網絡訪問系統(tǒng)、網絡防護設備和終端服務器的制造方法
【專利摘要】本申請?zhí)峁┝艘环N網絡訪問系統(tǒng)、網絡防護設備和終端服務器��,網絡防護系統(tǒng)包括:局域網內的至少一個客戶端,網絡防護設備和終端服務器��;該客戶端向終端服務器發(fā)起遠程連接請求,并在接收到針對遠程連接請求的響應信息后��,向終端服務器發(fā)送本地獲取到的訪問操作數據���;該網絡防護設備中的內部處理裝置通過第一傳輸線路將客戶端發(fā)送的內網數據傳輸給內網監(jiān)測裝置�,并將外部處理裝置通過第三傳輸線路傳輸的響應信息和外網數據發(fā)送給客戶端���;該內網監(jiān)測裝置通過第二傳輸線路將內網數據傳輸給外部處理裝置����,以通過外部處理裝置將該內網數據傳輸給該終端服務器�,并由終端服務器依據該內網數據進行網絡訪問�,以提高局域網訪問外網的安全性�。
【專利說明】網絡訪問系統(tǒng)����、網絡防護設備和終端服務器
【技術領域】
[0001]本申請涉及網絡【技術領域】�����,更具體的說是涉及一種網絡訪問系統(tǒng)���、網絡防護設備和終端服務器。
【背景技術】
[0002]局域網是指在某一區(qū)域內由多臺計算機互聯(lián)成的計算機組�����。在局域網內計算機可以進行數據通信����,實現數據共享�。如�,一些學?;蛘邌挝粌炔渴且粋€局域網���。
[0003]隨著網絡技術的發(fā)展�,已經實現了局域網到外部因特網之間的通信���。為了保證局域網內部的數據資源的安全性��,在局域網與外部因特網之間會設置防火墻,以降低數據資源被泄露或破壞的風險�。然而一旦外部因特網中的木馬、病毒等攻破了該防火墻�,則會使得局域網內部的資源面臨具體的威脅���。
【發(fā)明內容】
[0004]有鑒于此�,本申請?zhí)峁┮环N網絡訪問系統(tǒng)��、網絡防護設備和終端服務器,以提高內部局域網訪問外部網絡過程中的數據安全性���。
[0005]為實現上述目的,本申請?zhí)峁┤缦录夹g方案:一種網絡訪問系統(tǒng)�,包括:設置在局域網內的至少一個客戶端,設置在所述局域網與外部網絡之間的網絡防護設備和終端服務器�,所述終端服務器與外部網絡連接�����;
[0006]其中,所述客戶端�����,用于向終端服務器發(fā)起遠程連接請求,并在接收到所述終端服務器針對所述遠程連接請求的響應信息后����,向所述終端服務器發(fā)送本地獲取到的訪問操作數據���;
[0007]所述網絡防護設備包括:內部處理裝置;通過第一傳輸線路與所述內部處理裝置相連的內網監(jiān)測裝置����;以及通過第二傳輸線路與所述內網監(jiān)測裝置相連的外部處理裝置���,且所述外部處理裝置通過第三傳輸線路與所述內部處理裝置相連���;
[0008]其中����,所述內部處理裝置,用于通過所述第一傳輸線路將所述客戶端發(fā)送的內網數據傳輸給所述內網監(jiān)測裝置����,并將所述外部處理裝置通過所述第三傳輸線路傳輸的所述響應信息和外網數據發(fā)送給所述客戶端���;其中��,所述內網數據包括所述遠程連接請求和所述訪問操作數據�����;所述外網數據包括所述終端服務器針對所述訪問操作數據返回的訪問響應數據��;
[0009]所述內網監(jiān)測裝置,用于在確定所述內網數據為預設的合法數據時�����,通過所述第二傳輸線路將所述內網數據傳輸給所述外部處理裝置;
[0010]所述外部處理裝置,用于將所述內網數據發(fā)送給所述終端服務器�����,并將所述終端服務器返回的所述響應信息和外網數據通過所述第三傳輸線路傳輸給所述內部處理裝置����;
[0011]所述終端服務器����,用于響應所述遠程連接請求��,并根據所述訪問操作數據訪問所述外部網絡��,并將訪問響應數據返回給所述客戶端�����。
[0012]優(yōu)選的,所述內部處理裝置包括:通過所述第一傳輸線路與所述內網監(jiān)測裝置相連的第一內部處理單元�,以及通過所述第三傳輸線路與所述外部處理裝置相連的第二內部處理單元;
[0013]則��,所述第一內部處理單元����,用于通過所述第一傳輸線路將所述內網數據發(fā)送給所述內網監(jiān)測裝置�;
[0014]所述第二內部處理單元���,用于接收所述外部處理裝置通過所述第三傳輸線路傳輸的所述響應信息和外網數據��,并將所述響應信息和外網數據發(fā)送給所述客戶端。
[0015]優(yōu)選的���,所述外部處理裝置包括:通過所述第二傳輸線路與所述內網監(jiān)測裝置相連的第一外部處理單元��,以及通過所述第三傳輸線路與所述第二內部處理單元相連的第二外部處理單元;
[0016]則所述第一外部處理單元�,用于將所述內網監(jiān)測裝置通過所述第二傳輸線路傳輸的所述內網數據發(fā)送給所述終端服務器;
[0017]所述第二外部處理單元����,用于將所述終端服務器發(fā)送的所述響應信息和所述外網數據通過所述第三傳輸線路傳輸給所述第二內部處理單元�。
[0018]優(yōu)選的,所述第一傳輸線路為信號傳輸方向從所述內部處理裝置到所述內網監(jiān)測裝置單向傳輸的光纖;
[0019]所述第二傳輸線路為信號傳輸方向從所述內網監(jiān)測裝置到所述外部處理裝置單向傳輸的光纖;
[0020]所述第三傳輸線路為信號傳輸方向從所述外部處理裝置到所述內部處理裝置單向傳輸的光纖����。
[0021]另一方面,本申請還提供了一種網絡防護設備����,該網絡防護裝置設置于局域網以及與外部網絡連接的終端服務器之間�����,所述網絡防護裝置包括:
[0022]內部處理裝置����;通過第一傳輸線路與所述內部處理裝置相連的內網監(jiān)測裝置�;以及通過第二傳輸線路與所述內網監(jiān)測裝置相連的外部處理裝置,且所述外部處理裝置通過第三傳輸線路與所述內部處理裝置相連;
[0023]其中,所述內部處理裝置�,用于通過所述第一傳輸線路將所述局域網中客戶端發(fā)送的內網數據傳輸給所述內網監(jiān)測裝置��,并將所述外部處理裝置通過所述第三傳輸線路傳輸的響應信息和外網數據發(fā)送給所述客戶端�;其中,所述內網數據包括所述客戶端向所述終端服務器發(fā)送的遠程連接請求,以及所述客戶端在接收到所述終端服務器針對所述遠程連接請求的所述響應信息后��,向所述終端服務器發(fā)送的訪問操作數據;所述外網數據包括所述終端服務器針對所述訪問操作數據返回的訪問響應數據�;
[0024]所述內網監(jiān)測裝置��,用于在確定所述內網數據為預設的合法數據時,通過所述第二傳輸線路將所述內網數據傳輸給所述外部處理裝置;
[0025]所述外部處理裝置����,用于將所述內網數據發(fā)送給所述終端服務器����,并將所述終端服務器返回的所述響應信息和外網數據通過所述第三傳輸線路傳輸給所述內部處理裝置���。
[0026]優(yōu)選的��,所述內部處理裝置包括:通過所述第一傳輸線路與所述內網監(jiān)測裝置相連的第一內部處理單元����,以及通過所述第三傳輸線路與所述外部處理裝置相連的第二內部處理單元����;
[0027]則��,所述第一內部處理單元,用于通過所述第一傳輸線路將所述內網數據發(fā)送給所述內網監(jiān)測裝置���;
[0028]所述第二內部處理單元,用于接收所述外部處理裝置通過所述第三傳輸線路傳輸的所述響應信息和外網數據����,并將所述響應信息和外網數據發(fā)送給所述客戶端�。
[0029]優(yōu)選的����,所述外部處理裝置包括:通過所述第二傳輸線路與所述內網監(jiān)測裝置相連的第一外部處理單元,以及通過所述第三傳輸線路與所述第二內部處理單元相連的第二外部處理單元�����;
[0030]則所述第一外部處理單元��,用于將所述內網監(jiān)測裝置通過所述第二傳輸線路傳輸的所述內網數據發(fā)送給所述終端服務器;
[0031]所述第二外部處理單元,用于將所述終端服務器發(fā)送的所述響應信息和所述外網數據通過所述第三傳輸線路傳輸給所述第二內部處理單元����。
[0032]優(yōu)選的�,所述第一傳輸線路為信號傳輸方向從所述內部處理裝置到所述內網監(jiān)測裝置單向傳輸的光纖����;
[0033]所述第二傳輸線路為信號傳輸方向從所述內網監(jiān)測裝置到所述外部處理裝置單向傳輸的光纖;
[0034]所述第三傳輸線路為信號傳輸方向從所述外部處理裝置到所述內部處理裝置單向傳輸的光纖�。
[0035]另一方面�,本申請還提供了一種終端服務器�,設置于局域網與外部網絡之間�,所述終端服務器與設置與所述局域網和所述外部網絡之間的網絡防護設備相連��,且所述網絡防護設備與局域網相連���,所述終端服務器與所述外部網絡相連��;
[0036]所述終端服務器用于通過所述網絡防護設備接收由所述局域網中的客戶端發(fā)送的遠程連接請求,并通過所述網絡防護設備返回針對所述遠程連接請求的確認信息�;通過所述網絡防護設備接收所述客戶端發(fā)送的訪問操作數據�,并依據所述訪問操作數據訪問所述外部網絡�,并通過所述網絡防護設備將所述訪問響應數據返回給所述客戶端;
[0037]其中��,所述訪問操作數據為所述客戶端在接收到針對所述遠程連接請求的響應信息后��,向所述終端服務器發(fā)送的本地獲取到的操作數據���。
[0038]經由上述的技術方案可知�����,當局域網內的客戶端需要訪問外部網絡時����,該客戶端需要向該終端服務器發(fā)起遠程連接請求��,并接收到該終端服務器針對該遠程連接請求的確認信息后��,將該客戶端本地獲取到的訪問操作數據發(fā)送給終端服務器�,以通過該終端服務器訪問外部網絡�����,這樣��,當意外連接到該外部網絡中的惡意網站后,由于該惡意網站只是與該局域網外的終端服務器相連,而沒有直接與該局域網內的客戶端相連�,從而無法從局域網的客戶端中內的信息,也無法在該客戶端中安裝木馬或病毒等,降低了局域網內部數據泄露的風險�,也避免了局域網內的客戶端數據被破壞,提高了局域網內數據的安全性�����。
【專利附圖】
【附圖說明】
[0039]為了更清楚地說明本申請實施例或現有技術中的技術方案��,下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹,顯而易見地��,下面描述中的附圖僅僅是本申請的實施例���,對于本領域普通技術人員來講,在不付出創(chuàng)造性勞動的前提下���,還可以根據提供的附圖獲得其他的附圖����。
[0040]圖1示出了本申請一個實施例中該網絡防護系統(tǒng)的組成結構示意圖���;
[0041]圖2示出了本申請另一個實施例中該網絡防護系統(tǒng)的組成結構示意圖��;
[0042]圖3示出了本申請另一個實施例中該網絡防護系統(tǒng)的組成結構示意圖���;
[0043]圖4示出了本申請一種網絡防護設備一個實施例的組成結構示意圖。
【具體實施方式】
[0044]本申請實施例公開了一種網絡防護系統(tǒng)���、網絡防護設備和終端服務器以提高內部局域網訪問外部網絡的安全性����。
[0045]下面將結合本申請實施例中的附圖,對本申請實施例中的技術方案進行清楚、完整地描述���,顯然���,所描述的實施例僅僅是本申請一部分實施例,而不是全部的實施例�?�;诒旧暾堉械膶嵤├?����,本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例�,都屬于本申請保護的范圍。
[0046]首先對一種網絡防護系統(tǒng)進行介紹�����。
[0047]參見圖1��,其示出了本申請一個實施例中該網絡防護系統(tǒng)的組成結構示意圖�,本實施例中該網絡防護系統(tǒng)包括:
[0048]設置在局域網內的至少一個客戶端11 ���;
[0049]以及設置在該局域網與外部網絡之間的網絡防護設備12和終端服務器13��。
[0050]其中,網絡防護設備與該局域網之間相連,該終端服務器與該外部網絡相連��。其中��,此處提到的該連接關系可以為物理線路的連接����,也可以是無線網絡連接���。
[0051 ] 其中�����,該客戶端11����,用于向終端服務器發(fā)起遠程連接請求�����,并在接收到該終端服務器針對該遠程連接請求的響應信息后����,向該終端服務器發(fā)送本地獲取到的訪問操作數據。
[0052]該網絡防護設備12包括:
[0053]內部處理裝置121通過第一傳輸線路LI與該內部處理裝置121相連的內網監(jiān)測裝置122 ;以及通過第二傳輸線路L2與該內網監(jiān)測裝置122相連的外部處理裝置123,且該外部處理裝置123通過第三傳輸線路L3與該內部處理裝置121相連�����。
[0054]其中����,該內部處理裝置121��,用于通過該第一傳輸線路將客戶端101發(fā)送的內網數據傳輸給該內網監(jiān)測裝置122���,并將該外部處理裝置123通過該第三傳輸線路傳輸的該響應信息和外網數據發(fā)送給該客戶端11。
[0055]其中,該內網數據包括:該遠程連接請求和訪問操作數據��。該外網數據包括:該終端服務器針對該訪問操作數據返回的訪問響應數據。
[0056]該內網監(jiān)測裝置122�,用于在確定該內網數據為預設的合法數據時����,通過該第二傳輸線路將該內網數據傳輸給所述外部處理裝置���。
[0057]該外部處理裝置123,用于將所述內網數據發(fā)送給所述終端服務器��,并將所述終端服務器返回的所述響應信息和外網數據通過所述第三傳輸線路傳輸給所述內部處理裝置���。
[0058]該終端服務器13�����,用于響應該遠程連接請求���,并根據該訪問操作數據訪問該外部網絡,并將訪問響應數據返回給該客戶端11���。
[0059]可見,在本申請實施例中���,當局域網內的客戶端需要訪問外部網絡時�,該客戶端需要向該終端服務器發(fā)起遠程連接請求���,并接收到該終端服務器針對該遠程連接請求的確認信息后�����,將該客戶端本地獲取到的訪問操作數據發(fā)送給終端服務器,以通過該終端服務器訪問外部網絡�����,這樣,當意外連接到該外部網絡中的惡意網站后��,由于該惡意網站只是與該局域網外的終端服務器相連�����,而沒有直接與該局域網內的客戶端相連����,從而無法從局域網的客戶端中內的信息���,也無法在該客戶端中安裝木馬或病毒等����,降低了局域網內部數據泄露的風險,也避免了局域網內的客戶端數據被破壞,提高了局域網內數據的安全性��。
[0060]同時�����,在本申請中局域網內的客戶端發(fā)出的遠程連接請求或者該訪問操作數據后�����,這些內網數據需要由該網絡防護裝置中的內部處理裝置經該第一傳輸線路傳輸給內網監(jiān)測裝置�、并由內網監(jiān)測裝置通過第二傳輸線路傳輸給外部處理裝置�,最后由外部處理裝置發(fā)送給終端服務器;而終端服務器返回的確認信息以及外網數據均需要由該外部處理裝置經該第三傳輸線路傳輸給內部處理裝置�,再由內部處理裝置才能傳輸回該局域網內的客戶端����。由以上數據傳輸過程可知��,內網數據從局域網向外傳輸�����,以及局域網外部的數據向局域網內的客戶端傳輸的傳輸路徑不同��,局域網的內網數據外部網絡的傳輸路徑具有單向性���,而局域網外部的數據向局域網內傳輸的傳輸路徑同樣具有單向性��。
[0061]由于內網數據由局域網向外網數據傳輸的傳輸路徑具有單向性��,內網監(jiān)測裝置檢測該內網數據為預設的合法數據后,又將該內網數據經第二傳輸線路單向傳輸給外部處理單元��,從而可以避免不是合法數據的內網數據泄露到外部網絡中�����,提高了數據的安全性����。
[0062]基于外網數據只能通過該外部處理裝置經該第三傳輸線路單向傳輸到該內部處理裝置�,即使外部網絡中的木馬病毒等能夠跨過該終端服務器����,并通過該外部處理裝置經該第三傳輸線路傳輸內部處理裝置����,最終進入到該局域網的客戶端中�,但是而由于基于網絡傳輸協(xié)議,木馬或病毒收集到的客戶端中的內網數據后���,需通過該內部處理裝置并經該第三傳輸線路傳輸到外部處理裝置后�,才能將內網數據傳輸到外部網絡���,而該第三傳輸線路傳輸的單向性,則不可能會出現將內網數據從該內部處理裝置經該第三傳輸線路傳輸到該外部處理裝置中,從而降低了局域網內部數據被泄露的風險��。
[0063]其中���,本申請中的局域網可以是某個工廠����、公司或者家庭的內部網絡�,當然,該局域網中除了包含有客戶端之外���,還可以包括數據庫服務器、文件服務器等設備����。外部網絡是相對于該局域網而言的,是指該局域網之外的網絡�。
[0064]局域網內的客戶端可以訪問該局域網內的網絡,實現局域網內的數據共享�����。當用戶需要利用客戶端訪問外部網絡時����,需要將客戶端由訪問內部網絡的狀態(tài)切換至訪問外部網絡的狀態(tài)����。
[0065]發(fā)明人在研究中發(fā)現,通過在局域網中增加鍵盤轉換器(KBS, Keyboard Switch)可以實現客戶端與局域網相連或者與外部網絡相連兩種狀態(tài)的切換,用戶通過切換該KBS上的開關可以實現客戶端與局域網或者是與外部網絡相連�。如�����,用戶將KBS切換到與外部網絡相連的狀態(tài)后��,該KBS獲取該客戶端當前的鼠標或鍵盤等操作數據���,并當前的操作數據作為訪問外部網絡的訪問操作數據��,并向外部網絡發(fā)送�����。但是在實際應用中發(fā)現��,為了實現客戶端從局域網切換到與外部網絡相連��,這樣,需要局域網中的每個客戶端均分別連接一個KBS����,這樣,當局域網內部署的客戶端的數量較多時�����,則需要大量的KBS����,增加了網絡訪問系統(tǒng)的復雜度。
[0066]同時,在局域網中部署KBS�����,需要將KBS的一個引出網線與客戶端相連�����,該KBS的另一個引出網線與外部網絡相連����,也就是說需要雙網布線。當用戶不小心將連接外部網絡的引出網線與該客戶端相連后�,用戶對該客戶端的操作���,就會使得該客戶端中的數據被發(fā)送到外部網絡�,引起信息泄露的問題���。
[0067]而本申請中的網絡防護系統(tǒng)中無需每個客戶端均連接KBS���,只需要由客戶端向終端服務器發(fā)起遠程連接請求,便可以切換到與外部網絡相連的狀態(tài)�,將對客戶端的輸入操作確定為訪問外部網絡的操作行為,并向外發(fā)送獲取到的訪問操作數據���,從而在提高內部局域網訪問外部網絡的安全性的前提下���,進一步降低了網絡訪問系統(tǒng)的復雜度�����。
[0068]可以理解的是��,在實際應用中客戶端向終端服務器發(fā)起遠程連接請求后���,用戶通過該客戶端中的鍵盤和鼠標等輸入裝置輸入的操作數據均可以認為是對用于訪問遠程網絡的訪問操作數據���。該終端服務器根據接收到的該訪問操作數據可以確定該客戶端具體的網絡訪問行為���,如訪問哪個外部網站,以及需要從外部網站獲取哪些數據等��,進而依據該訪問操作數據執(zhí)行相應的網絡訪問,以獲取影響數據�。
[0069]可選的,終端服務器響應該遠程連接請求后�,為客戶端返回確認信息中可以包括相應的操作界面數據�。該客戶端依據該操作界面數據展現相應的操作界面����,用戶可以在該操作界面中進行相應的輸入操作��,以進行外部網絡訪問��。
[0070]在以上任意一個實施例中��,該網絡防護設備中該內部處理裝置可以僅僅為一個整體的設備�,該內部處理裝置可以相應于內端機的作用����?���?蛇x的�����,該內部處理裝置可以包括兩個內部處理單元���,以分別實現將內網數據向外發(fā)送���,以及將外網數據發(fā)送回內網��。
[0071]具體的,可以參見圖2�����,其示出了本申請另一個實施例中一種網絡防護系統(tǒng)的組成結構示意圖��,本實施例上一實施例的網絡防護系統(tǒng)的不同之處在于:
[0072]在本實施例中,該網絡防護設備12中的內部處理裝置121包括:
[0073]通過第一傳輸線路LI與該內網監(jiān)測裝置相連的第一內部處理單元1211�,以及通過該第三傳輸線路L3與該外部處理裝置123相連的第二內部處理單元1212 �����;
[0074]相應的��,第一內部處理單元1211,用于通過該第一傳輸線路LI將該內網數據發(fā)送給該內網監(jiān)測裝置�����。
[0075]該第二內部處理單元1212,用于接收該外部處理裝置123通過該第三傳輸線路L3傳輸的所述響應信息和外網數據����,并將所述響應信息和外網數據發(fā)送給該客戶端11��。
[0076]可見�,在這種本實施例中��,客戶端將內網數據首先發(fā)送給該網絡防護裝置中的第一內部處理單兀1212,并由該第一內部處理單兀1211通過該第一傳輸線路傳輸給該內網監(jiān)測單元�,并由內網監(jiān)測單元通過該第二傳輸線路傳輸給外部處理單元123�,以通過外部處理單元將該內網數據傳輸給該終端服務器����;而終端服務器返回的外部數據則由該外部處理單元123經該第三傳輸線路傳輸給第二內部處理單元1232,從而實現了內網數據和外網數據采用不同的傳輸線路單向的數據傳輸�。
[0077]可以理解的是,在以上任意一個實施例中���,該內網監(jiān)測裝置中可以預先設定合法數據����,如����,可以將客戶端中鼠標��、鍵盤等輸入數據認為是合法數據,如果檢測到客戶端傳輸的內網數據包括鼠標���、鍵盤等輸入數據之外的數據�,則不會向外部處理裝置傳輸該內網數據���。
[0078]進一步的���,該外部處理裝置也可以由兩個外部處理單元組成,并由這兩個外部處理單元分別實現內網數據向外發(fā)送�����,以及將外網數據傳回局域網內部�����。
[0079]參見圖3�,其示出了本申請另一實施例的網絡防護系統(tǒng)的流程示意圖���。在本實施例與前面描述的網絡防護系統(tǒng)任意一個實施例的不同之處在于:
[0080]在本實施例中��,該網絡防護設備12中的外部處理裝置123可以包括:
[0081]通過該第二傳輸線路L2與該內網監(jiān)測裝置相連的第一外部處理單元1231�����,以及通過該第三傳輸線路L3與該第二內部處理單元1212相連的第二外部處理單元1232����。
[0082]相應的���,該第一外部處理單元1231,用于將該內網監(jiān)測裝置通過第二傳輸線路L2傳輸的內網數據發(fā)送給終端服務器13 ����;
[0083]該第二外部處理單元1232����,用于將該終端服務器13發(fā)送的響應信息和外網數據通過該第三傳輸線路L3傳輸給該第二內部處理單元�����。
[0084]可見��,在本實施例中����,在實現內網數據和外網數據單向傳輸的基礎上���,該內網數據向外傳輸以及外部網絡的外部數據向局域網內部傳輸分別經過該網絡防護設備中不同的內部處理單元和外部處理單元���,從而進一步減少了內部數據被泄露的風險�����,提高了內部網絡訪問外部網絡的安全性�����。
[0085]可以理解的是�,在該圖4實施例中是以該內部處理裝置包含第一內部處理單元和第二內部處理單元為例進行的描述���,但是在實際應用中,如果內部處理單元沒有單獨包括第一處內部處理單元和第二內部處理單元����,本實施例中該外部處理裝置的組成結構同樣適用,不同之處僅在于��,該外部處理裝置的第二內部處理單元可以通過第三傳輸線路直接與該內部處理裝置相連即可。
[0086]在以上任意一個實施例中����,為了能夠以上內網數據和外網數據的單向傳輸��,可以分別在該內部處理裝置、監(jiān)測裝置和外部處理裝置����,或者是內部處理裝置和外部處理裝置所包含的單元中進行設置,以限制數據傳輸的方向��。如����,設置該內部處理裝置從該客戶端接收到的內網數據只能通過第一傳輸線路傳輸到該監(jiān)測裝置�����,而該外部處理裝置從終端服務器接收到的外網數據只能通過該第三傳輸線路傳輸給該內部處理裝置��。
[0087]可選的�����,為了實現數據的單向傳輸性���,該第一傳輸線路��、第二傳輸線路和第三傳輸線路均只能完成單向的數據信號傳輸�。
[0088]如,在本申請中可以將該第一傳輸線路設置為信號傳輸方向從該內部處理裝置到該內網監(jiān)測裝置單向傳輸的光纖�。
[0089]相應的����,第二傳輸線路可以設置為信號傳輸方向從所述內網監(jiān)測裝置到所述外部處理裝置單向傳輸的光纖�;
[0090]第三傳輸線路可以設置為信號傳輸方向從該外部處理裝置到所述內部處理裝置單向傳輸的光纖����。
[0091]也就是說���,該第一傳輸線路�、第二傳輸線路和第三傳輸線路均利用了光信號的單向傳輸性來實現該數據信號在光纖上的單向傳輸,以實現內網數據和外網數據在傳輸過程中的單向性�����。具體的�,在這幾個傳輸線路中均設置有相應的光發(fā)射器和接收器�,如����,該第一傳輸線路實際上是包含了與該內部處理裝置相連的光發(fā)射器以及與該內網監(jiān)測裝置相連的光接收器,在光發(fā)射器和光接收器之間通過光纖相連�。該第二傳輸線路實際上也包含了與該內網監(jiān)測裝置相連的光發(fā)射器����,以及與外部處理裝置相連的光接收器��,在該光發(fā)射器和光接收器之間通過光纖相連�����;相應的,該第三傳輸線路實際上也包含了與該外部處理裝置相連的光發(fā)射器以及與該內部處理裝置相連的光接收器����,在該光發(fā)射器和光接收器之間通過光纖相連�����。
[0092]在以上任意一個實施例中,為了進一步提高網絡防護系統(tǒng)中網絡訪問的安全性,該網絡防護系統(tǒng)還可以在局域網與該網絡防護設備之間設置防火墻��。
[0093]另一方面��,本申請還提供了一種網絡防護設備���。參見圖4,其示出了本申請一種網絡防護設備一個實施例的組成結構示意圖�����,本實施例中該網絡防護設備設置于局域網以及與外部網絡連接的終端服務器之間��。該網絡防護裝置可以包括:
[0094]內部處理裝置41 ;通過第一傳輸線路LI與該內部處理裝置41相連的內網監(jiān)測裝置42 ;以及通過第二傳輸線路L2與內網監(jiān)測裝置41相連的外部處理裝置42����,且該外部處理裝置43通過第三傳輸線路L3與該內部處理裝置41相連����。
[0095]其中����,該內部處理裝置41,用于通過該第一傳輸線路將該局域網中客戶端發(fā)送的內網數據傳輸給該內網監(jiān)測裝置42���,并將該外部處理裝置43通過第三傳輸線路L3傳輸的響應信息和外網數據發(fā)送給該客戶端�。
[0096]其中,內網數據包括客戶端向終端服務器發(fā)送的遠程連接請求�����,以及所述客戶端在接收到所述終端服務器針對所述遠程連接請求的該響應信息后���,向所述終端服務器發(fā)送的訪問操作數據�����;
[0097]該外網數據包括所述終端服務器針對所述訪問操作數據返回的訪問響應數據���。
[0098]該內網監(jiān)測裝置42,用于在確定所述內網數據為預設的合法數據時����,通過所述第二傳輸線路將所述內網數據傳輸給所述外部處理裝置。
[0099]所述外部處理裝置43,用于將所述內網數據發(fā)送給所述終端服務器����,并將所述終端服務器返回的所述響應信息和外網數據通過所述第三傳輸線路傳輸給所述內部處理裝置��。
[0100]可見����,在本申請實施例中����,當局域網內的客戶端需要訪問外部網絡時�����,該客戶端將向該終端服務器發(fā)起遠程連接請求�����,發(fā)送給網絡防護設備���,以通過網絡防護設備將該遠程連接請求發(fā)送給終端服務器�,當客戶端接收到該終端服務器針對該遠程連接請求的確認信息后,將該客戶端本地獲取到的訪問操作數據通過該網絡防護設備發(fā)送給終端服務器���,以通過該終端服務器訪問外部網絡��,這樣�,當意外連接到該外部網絡中的惡意網站后,由于該惡意網站只是與該局域網外的終端服務器相連���,而沒有直接與該局域網內的客戶端相連,從而無法從局域網的客戶端中內的信息�,也無法在該客戶端中安裝木馬或病毒等�����,降低了局域網內部數據泄露的風險,也避免了局域網內的客戶端數據被破壞�����,提高了局域網內數據的安全性�。
[0101]另外��,由于該網絡防護設備接收到客戶端發(fā)送的內網數據后����,將該內網數據由內部處理裝置經第一傳輸線路���、內網監(jiān)測裝置以及該第二傳輸線路傳輸給外部處理裝置����,并由外部處理裝置最終發(fā)送給終端服務器;而終端服務器返回的外網數據由該外部處理裝置經第三傳輸線路傳輸給內部處理裝置��,實現了內網數據與外網數據分路徑單向傳輸��,避免不是合法數據的內網數據泄露到外部網絡中。同時�����,即使外部網絡中的木馬病毒等能夠跨過該終端服務器并最終進入到客戶端����,該病毒木馬等從客戶端獲取到數據也不能沿原路徑向外傳輸,從而避免了內網數據被泄露�����,提高了局域網中設備訪問外部網絡的安全性��。
[0102]可選的���,該內部處理裝置可以包括:通過所述第一傳輸線路與所述內網監(jiān)測裝置相連的第一內部處理單元,以及通過所述第三傳輸線路與所述外部處理裝置相連的第二內部處理單元�;
[0103]則,所述第一內部處理單元����,用于通過所述第一傳輸線路將所述內網數據發(fā)送給所述內網監(jiān)測裝置�����;
[0104]所述第二內部處理單元�,用于接收所述外部處理裝置通過所述第三傳輸線路傳輸的所述響應信息和外網數據��,并將所述響應信息和外網數據發(fā)送給所述客戶端。
[0105]進一步的���,該外部處理裝置可以包括:通過所述第二傳輸線路與所述內網監(jiān)測裝置相連的第一外部處理單元�����,以及通過所述第三傳輸線路與所述第二內部處理單元相連的第二外部處理單元��;
[0106]則所述第一外部處理單元,用于將所述內網監(jiān)測裝置通過所述第二傳輸線路傳輸的所述內網數據發(fā)送給所述終端服務器�����;
[0107]所述第二外部處理單元,用于將所述終端服務器發(fā)送的所述響應信息和所述外網數據通過所述第三傳輸線路傳輸給所述第二內部處理單元��。
[0108]以上內部處理裝置和外部處理裝置的組成結構以及相關描述可以參照圖2和圖3實施例的相關介紹�����。
[0109]可選的���,該第一傳輸線路為信號傳輸方向從所述內部處理裝置到所述內網監(jiān)測裝置單向傳輸的光纖�����;
[0110]則第二傳輸線路為信號傳輸方向從所述內網監(jiān)測裝置到所述外部處理裝置單向傳輸的光纖����;
[0111]該第三傳輸線路為信號傳輸方向從所述外部處理裝置到所述內部處理裝置單向傳輸的光纖���。具體的�����,可以參照前面實施例的相關描述,在此不再贅述����。
[0112]另一方面���,本申請還提供了一種終端服務器���,該終端服務器設置于局域網與外部網絡之間�,所述終端服務器與設置與所述局域網和所述外部網絡之間的網絡防護設備相連,且所述網絡防護設備與局域網相連����,所述終端服務器與所述外部網絡相連���;
[0113]該終端服務器用于通過所述網絡防護設備接收由所述局域網中的客戶端發(fā)送的遠程連接請求,并通過所述網絡防護設備返回針對所述遠程連接請求的確認信息��;通過所述網絡防護設備接收所述客戶端發(fā)送的訪問操作數據,并依據所述訪問操作數據訪問所述外部網絡���,并通過所述網絡防護設備將所述訪問響應數據返回給所述客戶端;
[0114]其中�,該訪問操作數據為所述客戶端在接收到針對所述遠程連接請求的響應信息后���,向所述終端服務器發(fā)送的本地獲取到的操作數據���。
[0115]可以理解的是�����,在本申請以上任意一個實施例中所提到的該終端服務器可以是windows的終端服務器、是云主機或者是提供遠程訪問的Linux服務器等�,在此不加以限制����。
[0116]本說明書中各個實施例采用遞進的方式描述�,每個實施例重點說明的都是與其他實施例的不同之處�,各個實施例之間相同相似部分互相參見即可。對于實施例公開的裝置而言�,由于其與實施例公開的方法相對應�,所以描述的比較簡單����,相關之處參見方法部分說明即可�。
[0117]對所公開的實施例的上述說明,使本領域專業(yè)技術人員能夠實現或使用本申請��。對這些實施例的多種修改對本領域的專業(yè)技術人員來說將是顯而易見的�,本文中所定義的一般原理可以在不脫離本申請的精神或范圍的情況下���,在其它實施例中實現���。因此�����,本申請將不會被限制于本文所示的這些實施例���,而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍��。
【權利要求】
1.一種網絡訪問系統(tǒng)�����,其特征在于,包括:設置在局域網內的至少一個客戶端����,設置在所述局域網與外部網絡之間的網絡防護設備和終端服務器,所述終端服務器與外部網絡連接; 其中�����,所述客戶端,用于向所述終端服務器發(fā)起遠程連接請求�����,并在接收到所述終端服務器針對所述遠程連接請求的響應信息后����,向所述終端服務器發(fā)送本地獲取到的訪問操作數據; 所述網絡防護設備包括:內部處理裝置��;通過第一傳輸線路與所述內部處理裝置相連的內網監(jiān)測裝置;以及通過第二傳輸線路與所述內網監(jiān)測裝置相連的外部處理裝置�,且所述外部處理裝置通過第三傳輸線路與所述內部處理裝置相連�; 其中�����,所述內部處理裝置,用于通過所述第一傳輸線路將所述客戶端發(fā)送的內網數據傳輸給所述內網監(jiān)測裝置,并將所述外部處理裝置通過所述第三傳輸線路傳輸的所述響應信息和外網數據發(fā)送給所述客戶端�����;其中��,所述內網數據包括所述遠程連接請求和所述訪問操作數據����;所述外網數據包括所述終端服務器針對所述訪問操作數據返回的訪問響應數據�����; 所述內網監(jiān)測裝置�����,用于在確定所述內網數據為預設的合法數據時����,通過所述第二傳輸線路將所述內網數據傳輸給所述外部處理裝置����; 所述外部處理裝置����,用于將所述內網數據發(fā)送給所述終端服務器�,并將所述終端服務器返回的所述響應信息和外網數據通過所述第三傳輸線路傳輸給所述內部處理裝置; 所述終端服務器����,用于響應所述遠程連接請求�,并根據所述訪問操作數據訪問所述外部網絡,并將訪問響應數據返回給所述客戶端。
2.根據權利要求1所述的系統(tǒng)���,其特征在于��,所述內部處理裝置包括:通過所述第一傳輸線路與所述內網監(jiān)測裝置相連的第一內部處理單元,以及通過所述第三傳輸線路與所述外部處理裝置相連的第二內部處理單元��; 貝U����,所述第一內部處理單元,用于通過所述第一傳輸線路將所述內網數據發(fā)送給所述內網監(jiān)測裝置; 所述第二內部處理單元�,用于接收所述外部處理裝置通過所述第三傳輸線路傳輸的所述響應信息和外網數據,并將所述響應信息和外網數據發(fā)送給所述客戶端�。
3.根據權利要求2所述的系統(tǒng)���,其特征在于��,所述外部處理裝置包括:通過所述第二傳輸線路與所述內網監(jiān)測裝置相連的第一外部處理單元,以及通過所述第三傳輸線路與所述第二內部處理單元相連的第二外部處理單元�����; 則所述第一外部處理單元,用于將所述內網監(jiān)測裝置通過所述第二傳輸線路傳輸的所述內網數據發(fā)送給所述終端服務器�����; 所述第二外部處理單元���,用于將所述終端服務器發(fā)送的所述響應信息和所述外網數據通過所述第三傳輸線路傳輸給所述第二內部處理單元���。
4.根據權利要求1至3任一項所述的系統(tǒng)��,其特征在于����,所述第一傳輸線路為信號傳輸方向從所述內部處理裝置到所述內網監(jiān)測裝置單向傳輸的光纖�����; 所述第二傳輸線路為信號傳輸方向從所述內網監(jiān)測裝置到所述外部處理裝置單向傳輸的光纖; 所述第三傳輸線路為信號傳輸方向從所述外部處理裝置到所述內部處理裝置單向傳輸的光纖�。
5.根據權利要求1所述的系統(tǒng),其特征在于��,所述系統(tǒng)還包括:設置于所述局域網與所述網絡防護設備之間的防火墻�。
6.一種網絡防護設備����,其特征在于,設置于局域網以及與外部網絡連接的終端服務器之間���,所述網絡防護裝置包括: 內部處理裝置����;通過第一傳輸線路與所述內部處理裝置相連的內網監(jiān)測裝置;以及通過第二傳輸線路與所述內網監(jiān)測裝置相連的外部處理裝置���,且所述外部處理裝置通過第三傳輸線路與所述內部處理裝置相連��; 其中��,所述內部處理裝置�,用于通過所述第一傳輸線路將所述局域網中客戶端發(fā)送的內網數據傳輸給所述內網監(jiān)測裝置,并將所述外部處理裝置通過所述第三傳輸線路傳輸的響應信息和外網數據發(fā)送給所述客戶端�;其中����,所述內網數據包括所述客戶端向所述終端服務器發(fā)送的遠程連接請求,以及所述客戶端在接收到所述終端服務器針對所述遠程連接請求的所述響應信息后,向所述終端服務器發(fā)送的訪問操作數據���;所述外網數據包括所述終端服務器針對所述訪問操作數據返回的訪問響應數據; 所述內網監(jiān)測裝置����,用于在確定所述內網數據為預設的合法數據時����,通過所述第二傳輸線路將所述內網數據傳輸給所述外部處理裝置����; 所述外部處理裝置���,用于將所述內網數據發(fā)送給所述終端服務器��,并將所述終端服務器返回的所述響應信息和外網數據通過所述第三傳輸線路傳輸給所述內部處理裝置�。
7.根據權利要求6所述的設備,其特征在于�,所述內部處理裝置包括:通過所述第一傳輸線路與所述內網監(jiān)測裝置相連的第一內部處理單元��,以及通過所述第三傳輸線路與所述外部處理裝置相連的第二內部處理單元; 貝U,所述第一內部處理單元��,用于通過所述第一傳輸線路將所述內網數據發(fā)送給所述內網監(jiān)測裝置; 所述第二內部處理單元�,用于接收所述外部處理裝置通過所述第三傳輸線路傳輸的所述響應信息和外網數據,并將所述響應信息和外網數據發(fā)送給所述客戶端����。
8.根據權利要求7所述的設備�����,其特征在于,所述外部處理裝置包括:通過所述第二傳輸線路與所述內網監(jiān)測裝置相連的第一外部處理單元,以及通過所述第三傳輸線路與所述第二內部處理單元相連的第二外部處理單元���; 則所述第一外部處理單元��,用于將所述內網監(jiān)測裝置通過所述第二傳輸線路傳輸的所述內網數據發(fā)送給所述終端服務器��; 所述第二外部處理單元�,用于將所述終端服務器發(fā)送的所述響應信息和所述外網數據通過所述第三傳輸線路傳輸給所述第二內部處理單元。
9.根據權利要求6至8任一項所述的設備��,其特征在于���,所述第一傳輸線路為信號傳輸方向從所述內部處理裝置到所述內網監(jiān)測裝置單向傳輸的光纖; 所述第二傳輸線路為信號傳輸方向從所述內網監(jiān)測裝置到所述外部處理裝置單向傳輸的光纖���; 所述第三傳輸線路為信號傳輸方向從所述外部處理裝置到所述內部處理裝置單向傳輸的光纖����。
10.一種終端服務器���,其特征在于���,設置于局域網與外部網絡之間�,所述終端服務器與設置與所述局域網和所述外部網絡之間的網絡防護設備相連�����,且所述網絡防護設備與局域網相連�����,所述終端服務器與所述外部網絡相連����; 所述終端服務器用于通過所述網絡防護設備接收由所述局域網中的客戶端發(fā)送的遠程連接請求��,并通過所述網絡防護設備返回針對所述遠程連接請求的確認信息;通過所述網絡防護設備接收所述客戶端發(fā)送的訪問操作數據���,并依據所述訪問操作數據訪問所述外部網絡��,并通過所述網絡防護設備將所述訪問響應數據返回給所述客戶端��; 其中���,所述訪問操作數據為所述客戶端在接收到針對所述遠程連接請求的響應信息后��,向所述終端服務器發(fā)送的本地獲取到的操作數據��。
【文檔編號】H04L29/06GK104243442SQ201410190365
【公開日】2014年12月24日 申請日期:2014年5月6日 優(yōu)先權日:2014年5月6日
【發(fā)明者】周宏斌 申請人:周宏斌