一種分布式網(wǎng)絡(luò)隔離系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)信息安全技術(shù)領(lǐng)域����,特別涉及一種分布式網(wǎng)絡(luò)隔離系統(tǒng)及方法��。
【背景技術(shù)】
[0002]為了實(shí)現(xiàn)不同安全級(jí)別或不同安全域網(wǎng)絡(luò)之間的安全隔離與信息交換,通常采用的手段是在網(wǎng)絡(luò)邊界處部署安全隔離與信息交換系統(tǒng)(例如網(wǎng)閘)�、防火墻等設(shè)備。
[0003]傳統(tǒng)的安全隔離與信息交換系統(tǒng)一般為“2+1”結(jié)構(gòu)��,2是指I個(gè)內(nèi)網(wǎng)處理單元���、I個(gè)外網(wǎng)處理單元���,I是指I個(gè)隔離交換單元。內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)連接��,外網(wǎng)處理單元與外網(wǎng)連接����,隔離交換單元負(fù)責(zé)對(duì)內(nèi)外網(wǎng)處理單元進(jìn)行隔離,并根據(jù)預(yù)先配置的策略在兩者之間進(jìn)行信息交換����。當(dāng)內(nèi)網(wǎng)需要向外網(wǎng)傳輸數(shù)據(jù)時(shí),內(nèi)網(wǎng)處理單元以代理的形式和內(nèi)網(wǎng)主機(jī)通信���,將從內(nèi)網(wǎng)接收到的數(shù)據(jù)包的包頭信息扔掉���,將用戶(hù)數(shù)據(jù)緩存至自身緩沖區(qū)進(jìn)行病毒查殺�����,然后再通過(guò)隔離交換單元以私有協(xié)議的形式將用戶(hù)數(shù)據(jù)交換至外網(wǎng)處理單元�,最后由外網(wǎng)處理單元再以代理的形式將用戶(hù)數(shù)據(jù)發(fā)送到外網(wǎng)目標(biāo)主機(jī)���。反之����,當(dāng)外網(wǎng)需要向內(nèi)網(wǎng)傳輸數(shù)據(jù)時(shí)原理類(lèi)似�。
[0004]這種傳統(tǒng)的“2+1”結(jié)構(gòu)存在以下缺點(diǎn):1.完成一次信息交換需要兩次代理轉(zhuǎn)發(fā),使通信效率降低��;2.需要在內(nèi)外網(wǎng)處理單元分別進(jìn)行針對(duì)不同業(yè)務(wù)的策略配置�,配置管理復(fù)雜;3.在網(wǎng)絡(luò)邊界處集中進(jìn)行安全檢測(cè)���,數(shù)據(jù)處理運(yùn)算量大�,增加了網(wǎng)絡(luò)延遲���;4.只支持文件交換���、郵件交換�、數(shù)據(jù)庫(kù)同步�����、網(wǎng)頁(yè)訪(fǎng)問(wèn)等有限的幾種應(yīng)用類(lèi)型�����,無(wú)法支持現(xiàn)有大量的各類(lèi)應(yīng)用����。
【發(fā)明內(nèi)容】
[0005]為了克服上述現(xiàn)有技術(shù)的不足���,本發(fā)明的目的在于提出一種分布式網(wǎng)絡(luò)隔離系統(tǒng)及方法��,能夠在不同安全級(jí)別或不同安全域網(wǎng)絡(luò)之間進(jìn)行網(wǎng)絡(luò)隔離和信息交換�����,提高了內(nèi)網(wǎng)與外網(wǎng)之間數(shù)據(jù)交換效率�,并支持現(xiàn)有的各類(lèi)應(yīng)用,具有通信效率高���、策略配置簡(jiǎn)單��、通用性強(qiáng)的特點(diǎn)��。
[0006]為了實(shí)現(xiàn)上述目的�����,本發(fā)明采用的技術(shù)方案是:
[0007]一種分布式網(wǎng)絡(luò)隔離系統(tǒng)��,包括內(nèi)網(wǎng)主機(jī)����、外網(wǎng)主機(jī)和安全隔離設(shè)備�,所述內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)為帶有網(wǎng)絡(luò)通信功能的電腦�����,所述安全隔離設(shè)備部署在內(nèi)��、外網(wǎng)邊界處���,包括多個(gè)用于收發(fā)內(nèi)外網(wǎng)數(shù)據(jù)包以及和管理人員電腦通信的通信端口�,安全隔離設(shè)備還包括隔離交換單元,隔離交換單元使用網(wǎng)線(xiàn)或光纖通過(guò)光口或電口分別與內(nèi)網(wǎng)主機(jī)�����、外網(wǎng)主機(jī)電連接�。
[0008]所述內(nèi)網(wǎng)主機(jī)、外網(wǎng)主機(jī)包括臺(tái)式機(jī)�、筆記本電腦等。
[0009]所述內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)上分別部署有客戶(hù)端軟件�,客戶(hù)端軟件包括:
[0010]客戶(hù)端管理軟件����,用于應(yīng)用程序白名單管理、訪(fǎng)問(wèn)規(guī)則管理和應(yīng)用程序異常檢測(cè)���,同時(shí)還負(fù)責(zé)和安全隔離設(shè)備進(jìn)行密鑰交換�;
[0011]協(xié)議轉(zhuǎn)換軟件��,是一個(gè)處于應(yīng)用層軟件和網(wǎng)卡驅(qū)動(dòng)之間的內(nèi)核軟件模塊����,該模塊負(fù)責(zé)攔截上層應(yīng)用程序向外發(fā)送的數(shù)據(jù)包�����,將標(biāo)準(zhǔn)協(xié)議數(shù)據(jù)包轉(zhuǎn)換為私有協(xié)議數(shù)據(jù)包后發(fā)送出去����,同時(shí)��,該模塊也負(fù)責(zé)攔截網(wǎng)卡收到的向上層應(yīng)用程序提交的數(shù)據(jù)包�����,將私有協(xié)議數(shù)據(jù)包轉(zhuǎn)換為標(biāo)準(zhǔn)協(xié)議數(shù)據(jù)包遞交給上層應(yīng)用軟件���;
[0012]業(yè)務(wù)應(yīng)用軟件�,是在內(nèi)外網(wǎng)之間有數(shù)據(jù)交換需求的業(yè)務(wù)應(yīng)用類(lèi)軟件���,例如交換軟件�、郵件交換軟件����、數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)軟件、即時(shí)通信軟件等各種經(jīng)過(guò)認(rèn)證或自主開(kāi)發(fā)的可信應(yīng)用軟件���。
[0013]所述業(yè)務(wù)應(yīng)用軟件可包含安全檢測(cè)模塊���,用于在數(shù)據(jù)交換之前對(duì)數(shù)據(jù)進(jìn)行病毒查殺�、關(guān)鍵字檢測(cè)等���。
[0014]所述隔離交換單元負(fù)責(zé)對(duì)從一側(cè)網(wǎng)絡(luò)收到的數(shù)據(jù)包進(jìn)行私有協(xié)議鑒別和訪(fǎng)問(wèn)規(guī)則檢查�,并將符合訪(fǎng)問(wèn)規(guī)則的私有協(xié)議數(shù)據(jù)包發(fā)送到另一側(cè)網(wǎng)絡(luò)���,其它數(shù)據(jù)包�,包括標(biāo)準(zhǔn)的TCP��、UDP��、ARP����、ICMP等協(xié)議數(shù)據(jù)包都會(huì)被扔掉���,不能從一側(cè)網(wǎng)絡(luò)傳輸?shù)搅硪粋?cè)網(wǎng)絡(luò)�。
[0015]所述安全隔離設(shè)備還包括管理單元��,管理單元通過(guò)單獨(dú)的通信端口與管理人員計(jì)算機(jī)電連接,管理人員通過(guò)管理單元對(duì)安全隔離設(shè)備的各端口網(wǎng)絡(luò)參數(shù)和訪(fǎng)問(wèn)規(guī)則進(jìn)行配置���,然后隔離交換單元依據(jù)訪(fǎng)問(wèn)規(guī)則對(duì)兩側(cè)網(wǎng)絡(luò)的私有協(xié)議數(shù)據(jù)包進(jìn)行過(guò)濾��。
[0016]一種網(wǎng)絡(luò)隔離方法���,包括以下步驟:
[0017]I)通過(guò)內(nèi)網(wǎng)主機(jī)上的客戶(hù)端軟件在操作系統(tǒng)內(nèi)核攔截應(yīng)用程序欲向外網(wǎng)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包,通過(guò)應(yīng)用程序白名單和訪(fǎng)問(wèn)規(guī)則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行判定���,將判定為合法網(wǎng)絡(luò)數(shù)據(jù)包的網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)換為私有協(xié)議數(shù)據(jù)包����,然后通過(guò)網(wǎng)卡驅(qū)動(dòng)發(fā)送出去��;
[0018]2)通過(guò)部署在內(nèi)外網(wǎng)邊界處的安全隔離設(shè)備對(duì)內(nèi)網(wǎng)發(fā)往外網(wǎng)的數(shù)據(jù)包進(jìn)行過(guò)濾�����,將符合私有協(xié)議和訪(fǎng)問(wèn)規(guī)則的合法數(shù)據(jù)包轉(zhuǎn)發(fā)至外網(wǎng)����;
[0019]3)通過(guò)外網(wǎng)主機(jī)上的客戶(hù)端軟件在系統(tǒng)內(nèi)核攔截網(wǎng)絡(luò)數(shù)據(jù)包,并對(duì)數(shù)據(jù)包進(jìn)行鑒另O���,如果所截獲的數(shù)據(jù)包是私有協(xié)議數(shù)據(jù)包�,則將數(shù)據(jù)包轉(zhuǎn)換為標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議數(shù)據(jù)包后提交至上層網(wǎng)絡(luò)協(xié)議棧和應(yīng)用程序。
[0020]所述內(nèi)網(wǎng)和外網(wǎng)是對(duì)等的�,內(nèi)網(wǎng)到外網(wǎng)的數(shù)據(jù)交換方法和外網(wǎng)到內(nèi)網(wǎng)的數(shù)據(jù)交換方法是相同的。
[0021]所述通過(guò)應(yīng)用程序白名單和訪(fǎng)問(wèn)規(guī)則判定網(wǎng)絡(luò)數(shù)據(jù)包是否為合法網(wǎng)絡(luò)數(shù)據(jù)包�,判定方法包括以下步驟:
[0022]I)通過(guò)內(nèi)網(wǎng)主機(jī)上的客戶(hù)端軟件生成應(yīng)用程序白名單,并根據(jù)應(yīng)用程序文件內(nèi)容生成原始文件特征���,文件特征包括文件長(zhǎng)度����、文件CRC校驗(yàn)碼���、文件HMAC消息摘要���、文件最后修改時(shí)間等;
[0023]2)通過(guò)內(nèi)網(wǎng)主機(jī)上的客戶(hù)端軟件生成訪(fǎng)問(wèn)規(guī)則��,訪(fǎng)問(wèn)規(guī)則包括源IP地址�����、源端口�、目標(biāo)IP地址、目標(biāo)端口和協(xié)議類(lèi)型等��;
[0024]3)通過(guò)內(nèi)網(wǎng)主機(jī)上的客戶(hù)端軟件在操作系統(tǒng)內(nèi)核攔截應(yīng)用程序欲向外網(wǎng)發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包����,并獲取發(fā)送所述數(shù)據(jù)包的進(jìn)程信息,進(jìn)一步獲取進(jìn)程所對(duì)應(yīng)的應(yīng)用程序路徑���;
[0025]4)將所述應(yīng)用程序路徑和應(yīng)用程序白名單進(jìn)行比較�,并用訪(fǎng)問(wèn)規(guī)則對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢查���,如果應(yīng)用程序路徑在白名單內(nèi)并且網(wǎng)絡(luò)數(shù)據(jù)包符合訪(fǎng)問(wèn)規(guī)則�,則該數(shù)據(jù)包為合法數(shù)據(jù)包���,否則為非法數(shù)據(jù)包�;
[0026]5)通過(guò)內(nèi)網(wǎng)主機(jī)上的客戶(hù)端軟件不定期地對(duì)應(yīng)用程序白名單對(duì)應(yīng)的文件重新生成文件特征��,并和原始文件特征進(jìn)行比較�,如果文件特征發(fā)生了變化,則將該應(yīng)用程序從白名單中移除�����。
[0027]所述安全隔離設(shè)備對(duì)內(nèi)網(wǎng)發(fā)往外網(wǎng)的數(shù)據(jù)包進(jìn)行過(guò)濾,過(guò)濾方法包括以下步驟:
[0028]I)所述安全隔離設(shè)備預(yù)先配置訪(fǎng)問(wèn)規(guī)則����,訪(fǎng)問(wèn)規(guī)則包括源IP地址、源MAC地址����、源端口、目標(biāo)IP地址����、目標(biāo)端口號(hào)、協(xié)議類(lèi)型和通信方向等;
[0029]2)所述安全隔離設(shè)備對(duì)從一側(cè)網(wǎng)絡(luò)接收到的數(shù)據(jù)包進(jìn)行鑒別,如果是私有協(xié)議則進(jìn)一步做訪(fǎng)問(wèn)規(guī)則檢查���,如果也符合訪(fǎng)問(wèn)規(guī)則�,則轉(zhuǎn)發(fā)至另一側(cè)。
[0030]本發(fā)明采用分布式系統(tǒng)架構(gòu)的網(wǎng)絡(luò)隔離系統(tǒng)��,通過(guò)在內(nèi)�、外網(wǎng)主機(jī)上部署協(xié)議轉(zhuǎn)換驅(qū)動(dòng)在內(nèi)外網(wǎng)主機(jī)之間建立基于私有協(xié)議的安全通道,經(jīng)認(rèn)證的可信應(yīng)用程序可通過(guò)安全通道進(jìn)行數(shù)據(jù)交換���,無(wú)需兩次代理服務(wù)轉(zhuǎn)發(fā)�,具有較高的通信實(shí)時(shí)性����,并且支持現(xiàn)有各類(lèi)可信的業(yè)務(wù)應(yīng)用,系統(tǒng)的靈活性��、通用性大大提高�����;同時(shí)在網(wǎng)絡(luò)邊界處部署安全隔離設(shè)備�����,可對(duì)網(wǎng)間交互的協(xié)議進(jìn)行過(guò)濾���,保證了內(nèi)�、外網(wǎng)均不會(huì)受到來(lái)自另一側(cè)網(wǎng)絡(luò)的任何基于網(wǎng)絡(luò)協(xié)議漏洞的攻擊�����,包括已知的網(wǎng)絡(luò)攻擊�,如DOS����、DDOS, IP Fragment�、ARP等網(wǎng)絡(luò)攻擊,及所有未知的網(wǎng)絡(luò)攻擊��。
【附圖說(shuō)明】
[0031]圖1為本發(fā)明系統(tǒng)結(jié)構(gòu)框圖�����。
[0032]圖2為安全隔離設(shè)備結(jié)構(gòu)框圖�����。
[0033]圖3為內(nèi)網(wǎng)主機(jī)數(shù)據(jù)發(fā)送流程圖����。
[0034]圖4為安全隔離設(shè)備數(shù)據(jù)交換流程圖。
[0035]圖5為外網(wǎng)主機(jī)數(shù)據(jù)接收流程圖���。
【具體實(shí)施方式】
[0036]下面結(jié)合附圖對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明�。
[0037]參見(jiàn)附圖1��、圖2���,一種分布式網(wǎng)絡(luò)隔離系統(tǒng)��,包括內(nèi)網(wǎng)主機(jī)����、外網(wǎng)主機(jī)和安全隔離設(shè)備�����,所述內(nèi)網(wǎng)主機(jī)����、外網(wǎng)主機(jī)為帶有網(wǎng)絡(luò)通信功能的電腦,包括臺(tái)式機(jī)���、筆記本電腦等���,所述安全隔離設(shè)備部署在內(nèi)、外網(wǎng)邊界處����,包括多個(gè)用于收發(fā)內(nèi)外網(wǎng)數(shù)據(jù)包以及和管理人員電腦通信的通信端口,安全隔離設(shè)備還包括隔離交換單元���,隔離交換單元使用網(wǎng)線(xiàn)通過(guò)光口或電口分別與內(nèi)網(wǎng)主機(jī)�����、外網(wǎng)主機(jī)電連接���。
[0038]所述內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)上分別部署有客戶(hù)端軟件�,客戶(hù)端軟件包括客戶(hù)端管理軟件��、協(xié)議轉(zhuǎn)換軟件��、業(yè)務(wù)應(yīng)用軟件���。
[0039]客戶(hù)端管理軟件�,用于應(yīng)用程序白名單管理���、訪(fǎng)問(wèn)規(guī)則管理和應(yīng)用程序異常檢測(cè)�,同時(shí)還負(fù)責(zé)和安全隔離設(shè)備進(jìn)行密鑰交換�;
[0040]協(xié)議轉(zhuǎn)換軟件,是一個(gè)處于應(yīng)用層軟件和網(wǎng)卡驅(qū)動(dòng)之間的內(nèi)核軟件模塊���,該模塊負(fù)責(zé)攔截上層應(yīng)用程序向外發(fā)送的數(shù)據(jù)包��,將標(biāo)準(zhǔn)協(xié)議數(shù)據(jù)包轉(zhuǎn)換為私有協(xié)議數(shù)據(jù)包后發(fā)送出去�,同時(shí),該模塊也負(fù)責(zé)攔截網(wǎng)卡收到的向上層應(yīng)用程序提交的數(shù)據(jù)包�����,將私有協(xié)議數(shù)據(jù)包轉(zhuǎn)換為標(biāo)準(zhǔn)協(xié)議數(shù)據(jù)包遞交給上層應(yīng)用軟件�;
[0041]業(yè)務(wù)應(yīng)用軟件���,是在內(nèi)外網(wǎng)之間有數(shù)據(jù)交換需求的業(yè)務(wù)應(yīng)用類(lèi)軟件����,例如交換軟件�、郵件交換軟件、數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)軟件���、即時(shí)通信軟件等各種經(jīng)過(guò)認(rèn)證或自主開(kāi)發(fā)的可信應(yīng)用軟件�。
[0042]優(yōu)選地����,所述業(yè)務(wù)應(yīng)用軟件可包含安全檢測(cè)模塊,用于在數(shù)據(jù)交換之前對(duì)數(shù)據(jù)進(jìn)行病毒查殺���、關(guān)鍵字檢測(cè)等����。
[0043]所述隔離交換單元負(fù)責(zé)對(duì)從一側(cè)網(wǎng)絡(luò)收到的數(shù)據(jù)包進(jìn)行私有協(xié)議鑒別和訪(fǎng)問(wèn)規(guī)則檢查,并將符合訪(fǎng)問(wèn)規(guī)則的私有協(xié)議數(shù)據(jù)包發(fā)送到另一側(cè)網(wǎng)絡(luò)���。其它數(shù)據(jù)包�����,包括標(biāo)準(zhǔn)的TCP�、UDP����、ARP、ICMP等協(xié)議數(shù)據(jù)包都會(huì)被扔掉�����,不能從一側(cè)網(wǎng)絡(luò)傳輸?shù)搅硪粋?cè)網(wǎng)絡(luò)��。
[0044]所述安全隔離設(shè)備還包括管理單元����,管理單元通過(guò)單獨(dú)的通信端口與管理