[实用新型]一种隔离网闸

说明书

技术领域

本实用新型涉及用于实现网络隔离的隔离网闸。

背景技术

用于实现网络隔离的现有隔离网闸如图1，外网是安全性不高的外部网络，内网是安全性很高的内部专用网络。正常情况下，外网和内网是完全断开的。隔离网闸设在两个网络之间，包括控制台和存储介质。当内网有数据需传输到外网时，首先如图2所示，控制台和内网主机之间建立连接，数据从内网主机发至控制台，控制台剥离协议从而分离出数据后将数据写入到存储介质中。控制台写入完成后，就断开与内网主机之间的连接，然后如图3所示和外网主机之间建立连接，随后控制台从存储介质读出数据发送至外网主机，至此完成一次数据传输。一个完整的数据包必须完整收全存储，再读出，其过程必然造成数据传输的时延，无法做到线速转发。因此，一般隔离网闸的的传输带宽不高，一般在百兆级。要增加带宽，一般采用多个控制台负荷分担方式实现，其实现成本较高，并且负荷分担的控制比较复杂。

经隔离网闸的数据传输通过上述摆渡切换实现内网和外网之间连接的开断，此开断切换越快，传输带宽就越高。但现有的隔离网闸不能设计成具有太快的切换速率，因为如果切换太快，网闸的作用就会被弱化，理论上存在让内网和外网之间直接建立连接的可能。攻击者可以利用这一程序漏洞绕过隔离网闸建立内网和外网之间的直接连接。现有隔离网闸的传输带宽和安全性之间存在着上述无法消除的矛盾，这是因为经过隔离网闸的数据双向传输是在同一物理介质中进行的，存在建立连接的可能。此外，数据双向传输在同一物理介质中进行使得攻击者只需入侵一个模块，例如入侵上述控制台或存储介质的其中之一者，双向传输的数据就都会被截获。

实用新型内容

本实用新型的目的是

(1)实现双向传输；

(2)降低双向传输的数据均被截获的可能性；

(3)以较低的成本提高隔离网闸的双向传输带宽；

(4)防止内网和外网之间绕过网闸直接建立连接，让其传输带宽的提高不对安全性造成影响。

为此给出一种隔离网闸，包括用于连接网络A的身份认证模块A和数据采集模块A，包括用于连接网络B的身份认证模块B和数据采集模块B，信息从网络A发往网络B的中途须从身份认证模块A发至数据采集模块B，且从身份认证模块A至数据采集模块B为单向不可逆的传输通路；信息从网络B发往网络A的中途须从身份认证模块B发至数据采集模块A，且从身份认证模块B至数据采集模块A为单向不可逆的传输通路。

所给出的隔离网闸的有益效果是

(1)隔离网闸在两个方向上的传输备用一条单向不可逆的传输通路实现了双向传输；

(2)攻击者如果只入侵其中一个传输方向的模块，只能截获该传输方向的数据，但无法截获反向传输的数据，降低了双向传输的数据均被截获的可能性；

(3)省略了数据传输中的先存储再读出的繁杂过程，无需增加高成本的设备就提高了传输带宽；

(4)两个方向的传输通路不可逆，身份认证模块A负责对来自网络A的用户进行身份认证，身份认证模块B负责对来自网络B的用户进行身份认证，防止了内网和外网之间绕过网闸直接建立连接，传输带宽的提高就不再对安全性造成影响。

优选地，所述的单向不可逆的传输通路为如下的光纤单向传输通路：包括两张光网卡，其一用作发射卡，其二用作接收卡；发射卡具有发射端和接收端，发射卡的数据发送需由其自身的接收端收到额定波长的光来启动；设有分光器，发射卡发射的光作为分光器的入射光；分光器的出射光有二，其一由接收卡接收，其二由发射卡的接收端接收。该光纤单向传输通路无需另行设计制造非标准的光网卡，而是采用现有的光网卡，也无需另提供额定波长的光源，而且由于发射卡的接收端收到的是发射卡自身发出的额定波长的光，故不需要经过调试，从而以低成本实现了光纤单向传输。

附图说明

图1是现有网络隔离系统架构图。

图2是图1中控制台处理内网数据的示意图。

图3是图1中控制台处理外网数据的示意图。

图4是本实用新型实施例网络隔离系统架构图。

具体实施方式