一种基于网闸的安全隔离与数据包分发方法、分发系统与流程

1.本发明属于数据处理技术领域，尤其涉及一种基于网闸的安全隔离与数据包分发方法、分发系统。


背景技术：

2.目前，当前市场的网闸设备主要功能是用来外网和内网进行数据隔离交换，网闸主要由内网主机、外网主机、隔离卡三部分组成，外网设备通过和外网主机建立数据连接，将数据发送到外网主机，然后外网主机通过私有协议和内网主机建立连接，将数据发送到内网主机，内网主机和内网服务器建立连接，将数据发送给内网服务器。
3.网闸作为隔离交换设备，一般都部署在内外网的边界，用来实现内外网业务数据的安全隔离和交换，但对于交换机镜像口的数据，目前网闸无法实现数据摆渡功能；另外交换机的一个接口组的数据只能镜像到一个目的接口，当需要对数据做入侵检测或安全审计或更多安全检测时，一个接口无法同时接多台安全审计设备。
4.当前市场的网闸设备主要通过隔离卡保证外网和内网之前的安全隔离，对于一些安全审计设备，比如入侵检查设备、日志审计设备、行为审计设备等，如果是部署在内网，由于网闸无法对交换机镜像口的数据进行数据摆渡，所以审计设备无法对这些数据进审计；另外交换机一个接口组的数据也只能镜像到一个目的接口，一个接口也无法实现多种安全审计设备的接入。
5.通过上述分析，现有技术存在的问题及缺陷为：现有的网闸无法摆渡交换机镜像口数据；同时现有技术不能将内外网不同接口的数据镜像到不同的目的接口，一个接口也无法实现多种安全审计设备的接入，不能满足客户对网络数据的审计需求。


技术实现要素：

6.针对现有技术存在的问题，本发明提供了一种基于网闸的安全隔离与数据包分发方法、分发系统。
7.本发明是这样实现的，一种基于网闸的安全隔离与数据包分发方法，所述基于网闸的安全隔离与数据包分发方法包括：步骤一，利用隔离组件进行外网主机与内网主机的安全隔离与数据交换；外网交换机将一个或多个业务接口数据镜像到镜像接口；并将外网主机千兆以太网ge2接口连接外网交换机镜像接口；步骤二，外网主机千兆以太网ge2接口接收交换机镜像口的所有数据包，并通过数据分发组件将数据包克隆到内网主机千兆以太网ge2和ge3接口；步骤三，内网主机ge3接口接入侵检测设备，对数据包进行安全检测；内网主机千兆以太网ge2接口接审计设备，对内网的所有数据操作进行审计。
8.进一步，所述步骤一中，利用隔离组件进行外网主机与内网主机的安全隔离与数据交换包括：
（1）外网客户端和外网主机ge1口建立数据连接，此连接可以是tcp连接，也可以是udp连接，连接建立成功后外网主机接收外网客户端发送的业务数据，并将数据保存在外网主机缓冲区，然后外网主机通过udp协议通过隔离部件将数据发送到内网主机；（2）内网主机通过ge1接口与内网服务器建立数据连接，此连接可以是tcp连接，也可以是udp连接，内网主机将通过隔离组件接收数据，并将数据保存在内网主机缓冲区，然后内网主机读取缓冲区数据，通过与内网服务器建立的数据连接将数据发送给内网服务器，进行业务数据的交换。
9.进一步，所述利用隔离组件进行外网主机与内网主机的安全隔离与数据交换包括以下步骤：首先，外网客户端和外网主机通过tcp三次握手后建立基于连接的tcp数据连接或直接通过udp数据包建立udp连接；外网客户端通过tcp或udp数据连接将业务数据发送给外网主机；其次，外网主机接收客户端数据后，将数据缓存在缓冲区，然后通过udp报文通过隔离组件将数据摆渡到内网主机；内网主机和内网服务器通过tcp三次握手后建立tcp数据连接或者直接通过udp数据包建立udp连接；最后，内网主机将通过隔离组件收的业务数据通过建立的tcp或udp数据连接发送给内网服务器。
10.进一步，所述步骤二中，通过数据分发组件将数据包克隆到内网主机千兆以太网ge2和ge3接口之前还需进行包括：1）设置外网主机与外网交换机镜像口连接的千兆以太网ge2接口为混杂模式，千兆以太网ge2接口支持三种模式，透明模式、路由模式、混杂模式，透明模式只能用来透传数据包，无法对数据包进行修改；路由模式用来转发数据包，只有路由可达的数据包才能转发；混杂模式可以接收到达该网口的所有数据包，并且通过驱动模块对数据包进行打标签操作；2）将外网主机千兆以太网ge2接口与数据分发组件进行绑定，设置外网数据发送标签为tag2；外网主机千兆以太网ge2接口接收交换机镜像口的所有数据，为了将千兆以太网ge2口收到的所有数据通过分发组件分发到内网，所以需要将外网主机千兆以太网ge2接口与数据分发组件进行绑定（如果外网主机其他接口的数据也需要分发到内网，需要同时将此接口一起和分发模块绑定），绑定成功后，设置一个标签tag2，这样外网主机会对这个绑定组里面接收到的所有数据包增加一个tag2标签，通过分发模块分发到内网主机时，以便内网主机通过标签来区分数据包分发的目的接口。
11.3）将内网主机千兆以太网ge2和ge3接口与数据分发组件绑定；设置内网数据接收标签为tag2。
12.因本案例是将外网交换机镜像接口的数据通过外网ge2分发到内网ge2和ge3，所以内网主机需要将千兆以太网ge2和ge3与分发组件绑定到一个组，同时设置组标签为tag2，这样当内网主机通过分发模块收到的标签为tag2的所有数据包直接克隆到内网主机千兆以太网ge2和ge3接口。
13.进一步，所述步骤二中，外网主机千兆以太网ge2接口接收交换机镜像口的所有数
据包，并通过数据分发组件将数据包克隆到内网主机千兆以太网ge2和ge3接口包括：（1）外网主机指定接口与外网交换机接口连接，并且设置外网接口模式为混杂模式；外网主机接口ge2收到数据时，查询绑定关系表；（2）根据绑定关系表，外网主机确定数据包的源接口和目的接口及数据标签设置，外网主机克隆源接口的数据包到目的接口设备；查询绑定关系表中对应的数据包标签设置；（3）对从源接口设备中接收到的数据包进行打标签处理；通过数据分发组件对打标签的数据包分发到内网主机；（4）内网主机查询数据标签表，用来确定接收到的带标签的数据包需要分发到那个绑定接口组；内网主机查询绑定关系表，用来确定需要将数据包分发到那些目的接口，内网主机根据数据标签和绑定关系表进行去标签处理并将数据包克隆到对应的目的接口设备。
14.进一步，所述目的接口为千兆以太网ge2接口和ge3接口。
15.本发明的另一目的在于提供一种实施所述基于网闸的安全隔离与数据包分发方法的基于网闸的安全隔离与数据包分发系统，所述基于网闸的安全隔离与数据包分发系统包括：外网主机，用于接收外网客服端发送的业务数据以及外网交换机镜像口的所有数据包，并将接收的数据包克隆至数据分发组件；内网主机，用于接收克隆的数据包并接入入侵检测设备对数据包进行安全检测；同时用于接入审计设备对内网的所有数据操作进行审计；隔离组件，用于进行外网主机与内网主机的数据业务的隔离与交换；数据分发组件，用于将外网主机指定接口的数据以及外网主机交换机镜像接口的数据、克隆至内网主机的一个或多个接口；同时用于将内网主机的指定接口数据克隆至内网主机的一个或多个接口。
16.本发明的另一目的在于提供一种计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述基于网闸的安全隔离与数据包分发方法的步骤。
17.本发明的另一目的在于提供一种计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器执行所述基于网闸的安全隔离与数据包分发方法的步骤。
18.本发明的另一目的在于提供一种信息数据处理终端，所述信息数据处理终端用于实现所述基于网闸的安全隔离与数据包分发系统。
19.结合上述的技术方案和解决的技术问题，请从以下几方面分析本发明所要保护的技术方案所具备的优点及积极效果为：第一、针对上述现有技术存在的技术问题以及解决该问题的难度，紧密结合本发明的所要保护的技术方案以及研发过程中结果和数据等，详细、深刻地分析本发明技术方案如何解决的技术问题，解决问题之后带来的一些具备创造性的技术效果。具体描述如下：本发明装置通过在网闸原有的隔离卡基础上，再增加一块单向数据分发卡，外网指定的一个或多个接口的数据通过数据分发卡发送到内网指定的一个或多个接口，解决方
案是通过对接口进行分组，通过对数据打标签的方式，将指定源接口组的数据分发到指定目的接口，源接口组为外网接口+数据分发接口，目的接口组为内网接口+数据分发接口，源目的接口通过数据分发卡关联，并通过数据标签来分发数据；假设外网主机1、2、3口的数据分发到内网主机1、2口，外网主机4口的数据分发到内网主机3口，则接口分组逻辑如图8。
20.如图8所示，源目的接口组可以根据客户需要进行任意组合，通过该发明方案，解决了网闸无法摆渡交换机镜像口数据的一个功能缺陷，同时可以将外网不同接口的数据镜像到不同的内网主机不同接口，可以很好的解决客户对网络数据的审计及流量镜像需求。
21.第二，把技术方案看做一个整体或者从产品的角度，本发明所要保护的技术方案具备的技术效果和优点，具体描述如下：本发明解决了网闸无法摆渡交换机镜像接口数据的一个功能缺陷；本发明实现了一对多或多对多的接口数据镜像。
22.第三，作为本发明的权利要求的创造性辅助证据，还体现在本发明的技术方案填补了国内外业内技术空白：本发明的技术方案解决了国内网闸产品的一个功能缺陷，当企业部署网闸后，由于网闸无法摆渡交换机镜像接口的数据，导致内网之前部署的入侵检测设备或审计设备无法工作；另外还填补了当前交换机的一个功能缺陷，当前的交换机只能将若干源接口的数据进行到一个目的接口，无法实现源目的接口的自由组合，通过该发明方案可以很好的解决上述两个问题。
附图说明
23.图1是本发明实施例提供的基于网闸的安全隔离与数据包分发方法原理图；图2是本发明实施例提供的基于网闸的安全隔离与数据包分发方法流程图；图3是本发明实施例提供的外网客户端导入数据到内网服务器数据流程图；图4是本发明实施例提供的将外网交换机镜像口数据分发到内网接口配置过程流程图；图5是本发明实施例提供的交换机镜像接口数据通过网闸分发过程流程图；图6是本发明实施例提供的数据包分发路径图；图7是本发明实施例提供的外网客户端到内网服务器数据传输过程流程图；图8是本发明实施例提供的接口分组逻辑图。
具体实施方式
24.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
25.一、解释说明实施例。为了使本领域技术人员充分了解本发明如何具体实现，该部分是对权利要求技术方案进行展开说明的解释说明实施例。参考图1即可。
26.如图1所示，本发明实施例提供的基于网闸的安全隔离与数据包分发方法包括：s101，利用隔离组件进行外网主机与内网主机的安全隔离与数据交换；外网交换机将一个或多个业务接口数据镜像到镜像接口；并将外网主机千兆以太网ge2接口连接外
网交换机镜像接口；s102，外网主机千兆以太网ge2接口接收交换机镜像口的所有数据包，并通过数据分发组件将数据包克隆到内网主机千兆以太网ge2和ge3接口；s103，内网主机千兆以太网ge2接口接入侵检测设备，对数据包进行安全检测；内网主机ge3接口接审计设备，对内网的所有数据操作进行审计。
27.如图１所示，虚线上方为安全隔离与数据交换业务，虚线下方为数据分发业务。
28.（1）安全隔离与数据交换数据处理流程：（1.1）外网客户端和外网主机ge1口建立数据连接；（1.2）外网主机接收外网客户端发送的业务数据并通过隔离部件发送到内网主机；（1.3）内网主机通过ge1接口与内网服务器建立数据连接；（1.4）内网主机将通过隔离部件接收到的数据发送给内网服务器，完成正常业务数据的交换。
29.（2）数据分发业务流程：（2.1）外网交换机将一个或多个业务接口数据镜像到镜像接口；（2.2）外网主机千兆以太网ge2接口连接外网交换机镜像接口；（2.3）外网主机千兆以太网ge2接口接收交换机镜像口的所有数据包，并通过分发模块将数据包克隆到内网主机千兆以太网ge2和ge3接口；（2.4）内网主机千兆以太网ge2接口接入侵检测设备，对数据包进行安全检测；（2.5）内网主机ge3接口接审计设备，对内网的所有数据操作进行审计。
30.如图3所示，外网客户端导入数据到内网服务器数据流程如下。
31.1）客户端和外网主机通过tcp三次握手后建立数据连接；2）客户端将业务数据发送给外网主机；3）外网主机通过隔离模块，将数据摆渡到内网主机；4）内网主机和内网服务器通过tcp三次握手后建立数据连接；5）内网主机将通过隔离模块收的业务数据发送给内网服务器。
32.如图4所示，将外网交换机镜像口数据分发到内网接口配置过程如下：1）设置外网主机与外网交换机镜像口连接的千兆以太网ge2接口为混杂模式；2）将外网主机千兆以太网ge2接口与分发模块进行绑定，以便将ge2收到的报文克隆到分发模块；3）设置外网数据发送标签为tag2，以便所有通过ge2克隆到分发模块的数据包都增加tag2标签；4）将内网主机ge2和ge3接口与分发模块绑定；5）设置内网数据接收标签为tag2,这样保证只要是从分发模块接收到的所有tag2的报文全部克隆到内网主机的ge2和ge3接口。
33.如图5所示，交换机镜像接口数据通过网闸分发过程如下：1）外网主机指定接口与外网交换机接口连接，并且外网接口模式为混杂模式，这样保证可以接收所有交换机镜像接口的数据包；2）外网主机查询绑定关系表，以便确认需要镜像的数据包的源接口和目的接口设
备；3）根据绑定关系表，外网主机克隆源接口的数据包到目的接口设备；4）查询绑定关系表中对应的数据包标签设置；5）对从源接口设备中接收到的数据包进行打标签处理；6）通过数据分发模块，对打标签的数据包分发到内网主机模块；7）内网主机查询数据标签表；8）内网主机查询查询绑定关系表；9）内网主机根据数据标签和绑定关系表，首先去标签操作，然后将数据包克隆到对应的目的接口设备；10）内网主机模块将接收到的数据包给审计设备进行安全审计。
34.下面结合具体实施例对本发明的技术方案做进一步说明。
35.实施例1：如图6所示，外网交换机镜像口数据分发到内网主机千兆以太网ge2接口和ge3接口数据处理过程如下：a模块：交换机镜像接口，所有经过交换机的数据包都可以镜像到该模块，用来对数据包进行入侵检测或审计；b1模块：该发明装置的外网主机某个接口，该模块和a模块互联，并且该模块需要设置为混杂模式，以便能接收到a模块的所有数据包；b模块：该发明装置的外网主机，该模块负责对从b1模块收到的数据包打标签，然后发送到c模块；c模块：数据分发模块，该发明装置的外网主机和内网主机中间的数据隔离卡，负责数据包从b模块到d模块的数据摆渡；d模块：该发明装置内网主机，接收c模块摆渡来的数据，解析数据包的标签，然后查找内网主机中那些接口设置的标签与数据包中的标签一致；d1模块和d2模块：内网主机的两个接口，并将这两个接口设置为同一个标签，并且和b模块对数据包打的标签一致，目的是将a模块的所有数据包同时分发到d1模块和d2模块（该实例只演示了d1模块和d2两个模块，实际情况可以为n个，n取决于内网主机网口个数）；e模块和f模块：为不同的安全审计设备，比如入侵检测、日志审计等。
36.实施例2：如图7所示，外网客户端导入数据到内网服务器过程：a模块：外网客户端，业务主动发起方，a模块请求和b1模块建立tcp连接，连接成功后，a模块发送数据到b1模块；b1模块：外网主机一个接口模块，该接口绑定一个代理服务器程序，用来和a模块建立tcp连接，并且缓存a模块发送来的数据；b模块：外网主机，对b1模块收到的数据进行重新封装，转换为特定的私钥协议后和c模块建立一个安全通道，并发送给c模块；c模块：安全隔离模块，接收b模块发送的私钥协议报文后转发给d模块；d模块：内网主机，接收c模块发送来的私钥协议数据，然后解封装，解封后调用d1模块；
d1模块：内网主机一个接口模块，该接口绑定一个代理客户端程序，该模块和e模块建立tcp连接，在收到d模块解封后的数据后，发送到e模块；e模块：内网服务器，用来接收外网客户端发送来的数据。
37.二、应用实施例。为了证明本发明的技术方案的创造性和技术价值，该部分是对权利要求技术方案进行具体产品上或相关技术上的应用实施例。
38.实施例1某企业因网络升级改造，因安全需要，企业出口必须部署网闸隔离交换设备，要求部署网闸后，内网服务器可以通过网闸对外发布业务，完成正常的业务隔离与交换，保证内网业务不受影响，另外原内网的入侵检测设备可以继续部署在网闸内网接口；通过该方面方案，可以将之前外网交换机的镜像口与改发明装置的外网接口1直接连接，并且接口1和分发装置定义一个接口组，内网主机接口1和分发装置定义一个接口组，内外网两个接口组定义相同的标签，通过该方法很好的解决了该企业需求，协助企业完成网络升级改造。
39.实施例2某企业因业务扩展，新增加了部分业务，因等保需要，要求新业务必须通过隔离设备网闸与外网进行安全隔离，同时需要部署入侵检测、网络升级、日志审计设备，但由于交换机相同的源接口数据只能镜像到一个目的接口，无法在一个交换机上同时接3台设备；通过部署该发明装备后，首先满足了新业务的隔离交换需求，另外通过将交换机镜像口和该发明装置的外网主机接口1连接，接口1和分发装置绑定一个组，内网主机接口1、2、3和分发装置绑定一个组，两个组定义相同的标签，实现了外网主机接口1的包同时分发到内网主机1、2、3口，完美解决企业需求。
40.将本发明实施例提供的基于网闸的安全隔离与数据包分发方法应用于计算机设备，所述计算机设备包括存储器和处理器，所述存储器存储有计算机程序，所述计算机程序被所述处理器执行时，使得所述处理器执行所述基于网闸的安全隔离与数据包分发方法的步骤。
41.将本发明实施例提供的基于网闸的安全隔离与数据包分发方法应用于计算机可读存储介质，存储有计算机程序，所述计算机程序被处理器执行时，使得所述处理器所述基于网闸的安全隔离与数据包分发方法的步骤。
42.将本发明实施例提供的基于网闸的安全隔离与数据包分发系统应用于信息数据处理终端，其特征在于，所述信息数据处理终端实现所述基于网闸的安全隔离与数据包分发系统。
43.三、实施例相关效果的证据。本发明实施例在研发或者使用过程中取得了一些积极效果，和现有技术相比的确具备很大的优势，下面内容结合试验过程的数据、图表等进行描述。
44.按照等保需要，企业网络出口必须部署安全隔离网闸，但由于网闸的特性，部署网闸后为了适应原来的业务需求，往往需要增加交换机等额外设备，对企业带来很多额外支出；该发明装置目前已经在医院、电子政务、税务等完成10多个项目的成功部署，满足企业安全隔离交换需求的同时，为企业节约百万以上的额外的交换机等设备采购成本。
45.通过对接口进行分组，通过对数据打标签的方式，将指定源接口组的数据分发到指定目的接口，源接口组为外网接口+数据分发接口，目的接口组为内网接口+数据分发接口，源目的接口通过数据分发卡关联，并通过数据标签来分发数据；假设外网主机1、2、3口的数据分发到内网主机1、2口，外网主机4口的数据分发到内网主机3口，则接口分组逻辑如图8，如图8所示，源目的接口组可以根据客户需要进行任意组合，通过该发明方案，解决了网闸无法摆渡交换机镜像口数据的一个功能缺陷，同时可以将外网不同接口的数据镜像到不同的内网主机不同接口，可以很好的解决客户对网络数据的审计及流量镜像需求。
46.应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。
47.以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。