本發明公開了一種基于安全隔離網閘的雙向透明傳輸技術，該發明基于安全隔離網閘的雙向透明代理技術，當受保護的內網主機訪問外部網絡的時候，客戶端不需要做任何特殊的設置，隔離系統對雙向傳輸的通信端來說是透明的，由于通信兩端感受不到中間代理的存在，因此可以在不改變常規配置的條件下和外界無障礙的通信，減少了網絡管理員的工作量，極大的方便了用戶的使用。

技術領域

本發明涉及數據處理技術領域，尤其涉及一種基于安全隔離網閘的雙向透明傳輸技術。

背景技術

隨著計算機網絡的發展和互聯網的不斷推廣和應用，目前計算機網絡安全已經是全球性的熱點問題之一。在各種網絡安全技術中，最具代表性的是防火墻技術。然后隨著對防火墻技術的深入研究，逐漸的意識到防火墻存在著一定的局限性，無論是防火墻還是UTM等防護系統都無法保證攻擊的阻斷，入侵檢測等監控系統也無法保證入侵行為完全被隔離和捕獲，所以最安全的方式就是物理隔開。

網絡的物理隔離，給數據的通信帶來了很多的不方便，因此物理隔離之后更好的進行信息交換一直是網絡隔離技術發展的關鍵。高速網絡技術的空前發展更是對網絡隔離技術在如何高效的實現內外網數據集的安全交換，透明支持多種網絡應用等方面提出了更高的要求，因此，構建一種基于隔離網閘的雙向透明傳輸技術就顯得很有必要。本文在此基礎上提出一種基于安全隔離網閘系統的透明傳輸技術，該結構模型由三大部分組成，透明傳輸連接管理，透明傳輸數據管理和私有交換協議。

發明內容

本發明基于安全隔離網閘的雙向透明代理技術，當受保護的內網主機訪問外部網絡的時候，客戶端不需要做任何特殊的設置，隔離系統對雙向傳輸的通信端來說是透明的，由于通信兩端感受不到中間代理的存在。因此可以在不改變常規配置的條件下和外界無障礙的通信，減少了網絡管理員的工作量，極大的方便了用戶的使用。

同時雙向透明代理可以靈活的裝載和卸載，不影響其他功能模塊，雙向透明傳輸作為隔離網閘實施訪問控制的一種手段，利用對應用層的理解能力，代替應用程序向網絡傳遞請求，由于代理機制完全阻斷了內部網絡和外部網絡的直接練習，保證了內部網絡拓撲結構等重要信息被限制在代理網關內，減少了被攻擊時所需的必要信息。除了有對外隱藏內部系統的信息功能，它也對接收和發送的信息進行驗證和記錄，以便于審計。

附圖說明

為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其它的附圖。

圖1是本發明流程圖；

圖2是本發明數據流程圖；

圖3是本發明實施案例流程圖；

具體實施方式

下面將結合附圖，對本發明進行詳細說明。所描述的詳細案例僅是本發明的一部分，而不是對本發明的限制。

以代理一個從客戶端到服務端的TCP連接的過程來說明雙向透明代理的工作原理：

當客戶端對服務端發起連接請求時，連接報文經過外網網口到達外網代理服務器的連接管理模塊。連接管理模塊將連接報文的目的IP地址修改為外網代理服務器的虛擬地址，并將該報文傳遞給外網代理服務器應層的數據管理程序。外網代理服務數據管理程序接管該報文之后，將該報文的數據以及源地址端口，目的地址和端口信息通過隔離網閘私有交換協議傳遞給內網的代理服務器程序。同時對客戶端的請求作出應答，這個報文在被送出協議棧之前，連接管理模塊修改其源地址，從而建立外網代理服務器和客戶端之間的連接。