网络隔离设备及方法.pdf

《网络隔离设备及方法.pdf》由会员分享，可在线阅读，更多相关《网络隔离设备及方法.pdf（12页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910926275.0 (22)申请日 2019.09.27 (71)申请人 国家计算机网络与信息安全管理中 心 地址 100029 北京市朝阳区裕民路甲3号 申请人 北京全路通信信号研究设计院集团 有限公司 (72)发明人 王进何跃鹰李强侯斯尧 罗冰李亚红缪亚男孙中豪 郭涛陈少鹏 (74)专利代理机构 北京柏杉松知识产权代理事 务所(普通合伙) 11413 代理人 孟维娜马敬 (51)Int.Cl. H04L 29/06(2006.01) (54)发明名称 一种网络隔离设。

2、备及方法 (57)摘要 本发明实施例提供了一种网络隔离设备及 方法， 包括处理器、 出接口、 多个入接口； 网络隔 离设备通过入接口与采集设备连接， 网络隔离设 备通过出接口与中心设备连接； 多个入接口之间 相互隔离； 多个入接口中的第一入接口， 用于接 收数据包， 将数据包发送至处理器； 处理器， 用于 检测数据包与预设的过滤规则是否匹配； 若是， 则丢弃数据包； 若否， 则将数据包发送至出接口； 出接口， 用于向中心设备发送数据包。 可见， 本发 明实施例实现了冗余双网在物理层面和逻辑层 面的数据隔离， 提高了网络安全性。 权利要求书2页 说明书6页 附图3页 CN 110708305 A。

3、 2020.01.17 CN 110708305 A 1.一种网络隔离设备， 其特征在于， 所述网络隔离设备包括处理器、 出接口、 多个入接 口； 所述网络隔离设备通过入接口与采集设备连接， 所述网络隔离设备通过出接口与中心 设备连接； 所述多个入接口之间相互隔离； 所述多个入接口中的第一入接口， 用于接收数据包， 将所述数据包发送至所述处理器； 所述处理器， 用于检测所述数据包与预设的过滤规则是否匹配； 若是， 则丢弃所述数据 包； 若否， 则将所述数据包发送至出接口； 所述出接口， 用于向所述中心设备发送所述数据包。 2.根据权利要求1所述的设备， 其特征在于， 所述过滤规则包括五元组信息。

4、； 所述处理器， 具体用于检测所述数据包的五元组信息是否与所述过滤规则包括的五元 组信息匹配； 若五元组信息匹配， 则确定所述数据包与过滤规则不匹配， 将所述数据包发送 至出接口； 若五元组信息不匹配， 则确定所述数据包与过滤规则匹配， 丢弃所述数据包。 3.根据权利要求1所述的设备， 其特征在于， 所述过滤规则包括预设协议格式； 所述处理器， 具体用于检测所述数据包的协议格式是否与所述过滤规则包括的预设协 议格式匹配； 若预设协议格式不匹配， 则确定所述数据包与过滤规则不匹配， 将所述数据包 发送至出接口； 若预设协议格式匹配， 则确定所述数据包与过滤规则匹配， 丢弃所述数据 包。 4.根据。

5、权利要求1所述的设备， 其特征在于， 若所述网络隔离设备包括多个出接口， 则 所述多个出接口之间相互隔离。 5.根据权利要求4所述的设备， 其特征在于， 所述处理器， 具体用于按照预先存储的入 接口和出接口的对应关系， 确定所述第一入接口对应的出接口， 将所述数据包发送至所述 第一入接口对应的出接口。 6.根据权利要求1-5所述的设备， 其特征在于， 所述入接口为双向接口， 所述出接口为 双向接口。 7.一种网络隔离方法， 其特征在于， 应用于网络隔离设备， 所述网络隔离设备包括处理 器、 出接口、 多个入接口； 所述网络隔离设备通过入接口与采集设备连接， 所述网络隔离设 备通过出接口与中心设。

6、备连接； 所述多个入接口之间相互隔离； 所述多个入接口中的第一入接口接收数据包， 将所述数据包发送至所述处理器； 所述处理器检测所述数据包与预设的过滤规则是否匹配； 若是， 则丢弃所述数据包； 若 否， 则将所述数据包发送至出接口； 所述出接口向所述中心设备发送所述数据包。 8.根据权利要求7所述的方法， 其特征在于， 所述过滤规则包括五元组信息； 所述处理器检测所述数据包与预设的过滤规则是否匹配， 包括： 所述处理器检测所述数据包的五元组信息是否与所述过滤规则包括的五元组信息匹 配； 若五元组信息匹配， 则确定所述数据包与过滤规则不匹配； 若五元组信息不匹配， 则确 定所述数据包与过滤规则匹。

7、配。 9.根据权利要求7所述的方法， 其特征在于， 所述过滤规则包括预设协议格式； 所述处理器检测所述数据包与预设的过滤规则是否匹配， 包括： 所述处理器检测所述数据包的协议格式是否与所述过滤规则包括的预设协议格式匹 配； 若预设协议格式不匹配， 则确定所述数据包与过滤规则不匹配； 若预设协议格式匹配， 权利要求书 1/2 页 2 CN 110708305 A 2 则确定所述数据包与过滤规则匹配。 10.根据权利要求7所述的方法， 其特征在于， 所述网络隔离设备包括多个出接口， 则所 述多个出接口之间相互隔离； 所述将所述数据包发送至出接口， 包括： 所述处理器按照预先存储的入接口和出接口的对。

8、应关系， 确定所述第一入接口对应的 出接口， 将所述数据包发送至所述第一入接口对应的出接口。 权利要求书 2/2 页 3 CN 110708305 A 3 一种网络隔离设备及方法 技术领域 0001 本发明涉及网络安全技术领域， 特别是涉及一种网络隔离设备及方法。 背景技术 0002 在轨道交通安全数据网中， 采用冗余双网架构， 双网之间的业务网络相互隔离。 当 其中一个网络出现故障或受到攻击时， 用户与轨道交通安全数据网之间的业务通信可以自 动切换到另一个网络中独立完成工作， 保障信号安全数据网的正常运转和轨道交通的正常 运营。 采集设备对冗余双网中的数据进行分开采集， 得到的数据需要通过带。

9、外网络上传到 中心设备进行数据分析处理。 在此过程中， 若中心设备受到攻击， 中心设备会成为带外网络 上双网数据转发的中继站。 也就是， 一个网络中的采集设备被恶意劫持后， 通过带外网络将 恶意代码上传到中心设备， 中心设备将恶意代码转发到双网中的另一个网络， 从而对另一 个网络造成威胁， 打破了双网之间的隔离状态， 导致轨道交通控制信号数据网的网络安全 风险大大增加。 发明内容 0003 本发明实施例的目的在于提供一种网络隔离设备及方法， 以实现冗余双网的数据 隔离， 提高网络安全性。 具体技术方案如下： 0004 第一方面， 本发明实施例提供了一种网络隔离设备， 所述网络隔离设备包括处理 。

10、器、 出接口、 多个入接口； 所述网络隔离设备通过入接口与采集设备连接， 所述网络隔离设 备通过出接口与中心设备连接； 所述多个入接口之间相互隔离； 0005 所述多个入接口中的第一入接口， 用于接收数据包， 将所述数据包发送至所述处 理器； 0006 所述处理器， 用于检测所述数据包与预设的过滤规则是否匹配； 若是， 则丢弃所述 数据包； 若否， 则将所述数据包发送至出接口； 0007 所述出接口， 用于向所述中心设备发送所述数据包。 0008 可选的， 所述过滤规则包括五元组信息； 0009 所述处理器， 具体用于检测所述数据包的五元组信息是否与所述过滤规则包括的 五元组信息匹配； 若五元。

11、组信息匹配， 则确定所述数据包与过滤规则不匹配， 将所述数据包 发送至出接口； 若五元组信息不匹配， 则确定所述数据包与过滤规则匹配， 丢弃所述数据 包。 0010 可选的， 所述过滤规则包括预设协议格式； 0011 所述处理器， 具体用于检测所述数据包的协议格式是否与所述过滤规则包括的预 设协议格式匹配； 若预设协议格式不匹配， 则确定所述数据包与过滤规则不匹配， 将所述数 据包发送至出接口； 若预设协议格式匹配， 则确定所述数据包与过滤规则匹配， 丢弃所述数 据包。 0012 可选的， 若所述网络隔离设备包括多个出接口， 则所述多个出接口之间相互隔离。 说明书 1/6 页 4 CN 110。

12、708305 A 4 0013 可选的， 所述处理器， 具体用于按照预先存储的入接口和出接口的对应关系， 确定 所述第一入接口对应的出接口， 将所述数据包发送至所述第一入接口对应的出接口。 0014 可选的， 所述入接口为双向接口， 所述出接口为双向接口。 0015 第二方面， 本发明实施例还提供了一种网络隔离方法， 应用于网络隔离设备， 所述 网络隔离设备包括处理器、 出接口、 多个入接口； 所述网络隔离设备通过入接口与采集设备 连接， 所述网络隔离设备通过出接口与中心设备连接； 所述多个入接口之间相互隔离； 0016 所述多个入接口中的第一入接口接收数据包， 将所述数据包发送至所述处理器；。

13、 0017 所述处理器检测所述数据包与预设的过滤规则是否匹配； 若是， 则丢弃所述数据 包； 若否， 则将所述数据包发送至出接口； 0018 所述出接口向所述中心设备发送所述数据包。 0019 可选的， 所述过滤规则包括五元组信息； 0020 所述处理器检测所述数据包与预设的过滤规则是否匹配， 包括： 0021 所述处理器检测所述数据包的五元组信息是否与所述过滤规则包括的五元组信 息匹配； 若五元组信息匹配， 则确定所述数据包与过滤规则不匹配； 若五元组信息不匹配， 则确定所述数据包与过滤规则匹配。 0022 可选的， 所述过滤规则包括预设协议格式； 0023 所述处理器检测所述数据包与预设的。

14、过滤规则是否匹配， 包括： 0024 所述处理器检测所述数据包的协议格式是否与所述过滤规则包括的预设协议格 式匹配； 若预设协议格式不匹配， 则确定所述数据包与过滤规则不匹配； 若预设协议格式匹 配， 则确定所述数据包与过滤规则匹配。 0025 可选的， 若所述网络隔离设备包括多个出接口， 则所述多个出接口之间相互隔离。 0026 可选的， 所述将所述数据包发送至出接口， 包括： 0027 所述处理器按照预先存储的入接口和出接口的对应关系， 确定所述第一入接口对 应的出接口， 将所述数据包发送至所述第一入接口对应的出接口。 0028 可选的， 所述入接口为双向接口， 所述出接口为双向接口。 0。

15、029 本发明实施例提供的一种网络隔离设备及方法， 在中心设备和采集设备间设置了 网络隔离设备， 网络隔离设备与采集设备连接的多个入接口之间相互隔离， 实现了冗余双 网的物理隔离。 另外， 处理器根据预设的过滤规则， 过滤数据包， 丢弃与过滤规则匹配的数 据包， 实现了冗余双网的逻辑隔离。 可见， 本发明实施例实现了冗余双网在物理层面和逻辑 层面的数据隔离， 提高了网络安全性。 0030 当然， 实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优 点。 附图说明 0031 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实施例或现 有技术描述中所需要使用的附图作简单地。

16、介绍， 显而易见地， 下面描述中的附图仅仅是本 发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动的前提下， 还可以 根据这些附图获得其他的附图。 0032 图1为本发明实施例提供的隔离设备的第一种结构图； 说明书 2/6 页 5 CN 110708305 A 5 0033 图2为本发明实施例提供的一种基于冗余双网的组网示意图； 0034 图3为本发明实施例提供的网络隔离设备的第二种结构图； 0035 图4为本发明实施例提供的网络隔离方法的一种流程图。 具体实施方式 0036 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行清楚、 完 整地描述， 显然， 所描。

17、述的实施例仅仅是本发明一部分实施例， 而不是全部的实施例。 基于 本发明中的实施例， 本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例， 都属于本发明保护的范围。 0037 为解决现有技术中存在的上述问题， 本发明实施例公开了一种网络隔离设备及方 法， 以下分别进行详细说明。 0038 如图1所示， 图1为本发明实施例提供的网络隔离设备的一种结构图， 包括处理器 101、 出接口102、 多个入接口103； 网络隔离设备通过入接口103与采集设备连接， 网络隔离 设备通过出接口102与中心设备连接； 多个入接口103之间相互隔离。 0039 如图2所示， 图2为本发明实施例。

18、提供的一种基于冗余双网的组网示意图。 其中， 图 中的隔离设备即网络隔离设备， 网络隔离设备通过入接口103与采集设备连接， 网络隔离设 备通过出接口102与中心设备连接。 在带外网络和中心设备之间增加了网络隔离设备， 并且 多个入接口103之间相互隔离， 从而防止中心设备受到攻击后成为带外网络上双网数据转 发的中继站， 实现冗余双网的数据隔离， 提高网络安全性。 0040 网络隔离设备中， 多个入接口103中的第一入接口， 用于接收数据包， 将数据包发 送至处理器101。 0041 网络隔离设备中包括多个入接口103， 上述第一入接口可以是多个入接口中的任 一入接口， 第一入接口接收采集设备。

19、发送给网络隔离设备的数据包， 并将数据包发送至处 理器101。 0042 处理器101， 用于检测数据包与预设的过滤规则是否匹配； 若是， 则丢弃数据包； 若 否， 则将数据包发送至出接口102。 0043 处理器101中可以预设一些过滤规则， 检测数据包与预设的过滤规则是否匹配； 若 与预设的过滤规则匹配， 则将数据包丢弃； 若与预设的过滤规则不匹配， 则将数据包发送给 出接口102。 0044 一个实施例中， 过滤规则可以包括五元组信息。 这种情况下， 处理器101， 具体可以 用于检测数据包的五元组信息是否与过滤规则包括的五元组信息匹配； 若五元组信息匹 配， 则确定数据包与过滤规则不匹。

20、配， 将数据包发送至出接口102； 若五元组信息不匹配， 则 确定数据包与过滤规则匹配， 丢弃数据包。 0045 处理器101中预设的五元组信息包括源地址、 源端口、 目的地址、 目的端口和传输 层协议， 把包括上述五元组信息的过滤规则来检测数据包， 当数据包的五元组信息与处理 器101中预设的五元组信息不一致时， 则确定该数据包与过滤规则匹配， 将该数据包丢弃； 当数据包的五元组信息与处理器101中预设的五元组信息一致时， 则该数据包与过滤规则 不匹配， 将该数据包发送到出接口102。 将非法五元组信息的数据包丢弃， 防止恶意数据包 攻击中心设备， 从而实现冗余双网的在逻辑层面的数据隔离， 。

21、提高了网络安全性。 说明书 3/6 页 6 CN 110708305 A 6 0046 另一个实施例中， 过滤规则可以包括预设协议格式。 这种情况下， 处理器101， 具体 可以用于检测数据包的协议格式是否与过滤规则包括的预设协议格式匹配； 若预设协议格 式不匹配， 则确定数据包与过滤规则不匹配， 将数据包发送至出接口102； 若预设协议格式 匹配， 则确定数据包与过滤规则匹配， 丢弃数据包。 0047 处理器101中的预设协议格式可以包括ssh、 ftp、 telnet等协议格式， 把包括上述 预设协议格式的过滤规则来检测数据包， 当数据包的预设协议格式与处理器101中预设的 预设协议格式一。

22、致时， 则确定该数据包与过滤规则匹配， 将该数据包丢弃； 当数据包的预设 协议格式与处理器101中的预设协议格式不一致时， 则该数据包与过滤规则不匹配， 将该数 据包发送到出接口102。 这类预设协议格式的报文通常会企图向中心设备发送管理命令或 控制信息， 若将这类协议格式的数据包丢弃， 就可以防止中心设备被非法设备控制， 实现冗 余双网的在逻辑层面的数据隔离， 提高了网络安全性。 0048 另一个实施例中， 过滤规则还可以包括五元组信息和预设协议格式； 处理器101， 具体用于检测数据包的五元组信息是否与过滤规则包括的五元组信息匹配， 并检测数据包 的预设协议格式是否与过滤规则包括的预设协议。

23、格式匹配； 若五元组信息匹配且预设协议 格式不匹配， 则确定数据包与过滤规则不匹配， 将数据包发送至出接口102； 若五元组信息 不匹配和/或预设协议格式匹配， 则确定数据包与过滤规则匹配， 丢弃数据包。 这样， 可以将 非法五元组信息的数据包和预设协议格式的数据包丢弃， 防止恶意数据包攻击中心设备， 也能防止中心设备被非法设备控制， 进一步实现冗余双网的在逻辑层面的数据隔离， 进一 步提高了网络安全性。 0049 一个实施例中， 若网络隔离设备可以包括多个出接口102， 则多个出接口102之间 相互隔离。 0050 如图3所示， 图3为本发明实施例提供的网络隔离设备的第二种结构图。 其中， 。

24、网络 入口接口与网络出口接口的数量仅为示意， 图中包括3个网络入口接口， 1个核心处理单元 和2个网络出口接口， 也就是包括3个入接口103， 1个处理器101和2个出接口102。 入接口103 之间相互隔离， 出接口102之间相互隔离， 防止入接口之间和出接口之间存在数据交换， 实 现了冗余双网在物理层面的数据隔离， 提高了网络安全性。 0051 一个实施例中， 处理器101， 具体用于按照预先存储的入接口103和出接口102的对 应关系， 确定第一入接口对应的出接口， 将数据包发送至第一入接口对应的出接口。 0052 处理器中可以包含存储单元， 预先存储有入接口103和出接口102的对应关。

25、系， 当 数据包从第一入接口接收， 就给该数据包打上对应第一入接口的标签， 当处理器101识别出 标签后， 从预先存储的入接口103和出接口102的对应关系中， 确定对应的出接口， 并将该数 据包发送给对应的出接口。 这样， 非法设备就无法从另外的出接口中获取数据， 提高了网络 安全性。 0053 一个实施例中， 入接口103为双向接口， 出接口102为双向接口。 0054 入接口103为双向接口， 其中一个接口与采集设备连接， 另一个接口与处理器101 连接； 同样， 出接口102为双向接口， 其中一个接口与处理器102连接， 另一个接口与中心设 备连接。 0055 本发明实施例提供的一种网。

26、络隔离设备中， 在中心设备和采集设备间设置了网络 隔离设备， 网络隔离设备与采集设备连接的多个入接口之间相互隔离， 实现了冗余双网的 说明书 4/6 页 7 CN 110708305 A 7 物理隔离。 另外， 处理器根据预设的过滤规则， 过滤数据包， 丢弃与过滤规则匹配的数据包， 实现了冗余双网的逻辑隔离。 可见， 本发明实施例实现了冗余双网在物理层面和逻辑层面 的数据隔离， 提高了网络安全性。 0056 与网络隔离设备实施例对应， 本发明实施例还提供了一种网络隔离方法， 如图4所 示， 图4为本发明实施例提供的网络隔离方法的一种流程图。 该网络隔离方法可以应用于网 络隔离设备， 网络隔离设。

27、备包括处理器、 出接口、 多个入接口； 网络隔离设备通过入接口与 采集设备连接， 网络隔离设备通过出接口与中心设备连接； 多个入接口之间相互隔离； 该网 络隔离方法包括如下步骤。 0057 步骤401， 多个入接口中的第一入接口接收数据包， 将数据包发送至处理器。 0058 步骤402， 处理器检测数据包与预设的过滤规则是否匹配。 若是， 则执行步骤403。 若否， 则执行步骤404。 0059 步骤403， 处理器丢弃数据包。 0060 步骤404， 处理器将数据包发送至出接口。 0061 步骤405， 出接口向中心设备发送数据包。 0062 一个实施例中， 上述过滤规则包括五元组信息； 0。

28、063 处理器检测数据包与预设的过滤规则是否匹配， 包括： 0064 处理器检测数据包的五元组信息是否与过滤规则包括的五元组信息匹配； 若五元 组信息匹配， 则确定数据包与过滤规则不匹配； 若五元组信息不匹配， 则确定数据包与过滤 规则匹配。 0065 一个实施例中， 上述过滤规则包括预设协议格式； 0066 处理器检测数据包与预设的过滤规则是否匹配， 包括： 0067 处理器检测数据包的协议格式是否与过滤规则包括的预设协议格式匹配； 若预设 协议格式不匹配， 则确定数据包与过滤规则不匹配； 若预设协议格式匹配， 则确定数据包与 过滤规则匹配。 0068 一个实施例中， 若网络隔离设备包括多个。

29、出接口， 则多个出接口之间相互隔离。 0069 一个实施例中， 将数据包发送至出接口， 包括： 0070 处理器按照预先存储的入接口和出接口的对应关系， 确定第一入接口对应的出接 口， 将数据包发送至第一入接口对应的出接口。 0071 一个实施例中， 入接口为双向接口， 出接口为双向接口。 0072 本发明实施例提供的一种网络隔离方法中， 在中心设备和采集设备间设置了网络 隔离设备， 网络隔离设备与采集设备连接的多个入接口之间相互隔离， 实现了冗余双网的 物理隔离。 另外， 处理器根据预设的过滤规则， 过滤数据包， 丢弃与过滤规则匹配的数据包， 实现了冗余双网的逻辑隔离。 可见， 本发明实施例。

30、实现了冗余双网在物理层面和逻辑层面 的数据隔离， 提高了网络安全性。 0073 需要说明的是， 在本文中， 诸如第一和第二等之类的关系术语仅仅用来将一个实 体或者操作与另一个实体或操作区分开来， 而不一定要求或者暗示这些实体或操作之间存 在任何这种实际的关系或者顺序。 而且， 术语 “包括” 、“包含” 或者其任何其他变体意在涵盖 非排他性的包含， 从而使得包括一系列要素的过程、 方法、 物品或者设备不仅包括那些要 素， 而且还包括没有明确列出的其他要素， 或者是还包括为这种过程、 方法、 物品或者设备 说明书 5/6 页 8 CN 110708305 A 8 所固有的要素。 在没有更多限制的。

31、情况下， 由语句 “包括一个” 限定的要素， 并不排除在 包括所述要素的过程、 方法、 物品或者设备中还存在另外的相同要素。 0074 本说明书中的各个实施例均采用相关的方式描述， 各个实施例之间相同相似的部 分互相参见即可， 每个实施例重点说明的都是与其他实施例的不同之处。 尤其， 对于方法实 施例而言， 由于其基本相似于设备实施例， 所以描述的比较简单， 相关之处参见设备实施例 的部分说明即可。 0075 以上所述仅为本发明的较佳实施例而已， 并非用于限定本发明的保护范围。 凡在 本发明的精神和原则之内所作的任何修改、 等同替换、 改进等， 均包含在本发明的保护范围 内。 说明书 6/6 页 9 CN 110708305 A 9 图1 图2 说明书附图 1/3 页 10 CN 110708305 A 10 图3 说明书附图 2/3 页 11 CN 110708305 A 11 图4 说明书附图 3/3 页 12 CN 110708305 A 12 。