[发明专利]基于网络隔离装置的数据通信方法和装置

说明书

技术领域

本发明适用于通信技术领域，尤其是涉及基于网络隔离装置的数据通信方法。

背景技术

随着互联网的飞速发展，使得信息能够高度共享和迅速传递，它的开放性在给人们带来巨大便利的同时，也带来了系统入侵、信息泄密等网络安全问题，因此，网络安全隔离技术也得到越来越多的重视。通过部署网络隔离装置可以真正的实现网络隔离，在阻断各种网络攻击的前提下，为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交换。

网络隔离装置部署在以太网链路上，内外主机连接两个独立网络进行传输控制协议/网际互联协议(Transmission Control Protocol/Internet Protocol，TCP/IP)数据传输。现有的网络隔离装置具有内端主机和外端主机，内端主机与内网相连，外端主机与外网相连，内端主机与外端主机各自配有IP地址，当内网与外网进行通讯时，实际是通过与网络隔离装置中的内端主机和外端主机进行通信，例如，将数据包从外网终端发送至内网的设备，首先，将数据包发送到外端主机，外端主机对数据包进行安全检查，如包过滤，内容扫描，认证审查等，若通过安全检查，则去掉数据包各种包头信息，只保留应用层数据，也就是原始数据，然后用自定义的协议封装该数据，通过隔离通道发送至内端主机，再由内端主机发送至内网的设备。

由于针对用户的各种基于TCP或者用户数据报协议(User Data Protocol，UDP)的通信业务，例如邮件访问、数据库访问、OA办公等，内外端主机需要实现相关的协议代理功能，如TCP代理、UDP代理，以实现IP数据的正常传输。因此现有技术中内外端主机必须配置网络地址以支持TCP、UDP代理功能的实现。但是外端主机配置了网络地址，则外端主机所在网络的其它网络设备可以对其访问，恶意攻击者可以利用外端主机的漏洞对其攻击和入侵，存在着极大的安全隐患。

因此，目前需要本领域技术人员迫切解决的一个技术问题就是：如何解决由于网络隔离装置中的外端主机配置网络地址而存在安全隐患的问题，进而提高网络的安全性。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于网络隔离装置的数据通信方法和相应的网络隔离装置。

依据本发明的一个方面，提供了一种基于网络隔离装置的数据通信方法，包括：

内端主机响应内网终端向外网终端发送的连接请求数据包并建立内端主机与内网终端的内网连接；所述连接请求数据包携带有内网终端网络地址和外网终端网络地址；

所述内端主机通过隔离通道向对应的外端主机发送第一数据包，所述第一数据包携带有内网连接对应的内网连接标识、第一源网络地址和第一目的网络地址，所述第一源网络地址为所述内网终端网络地址，所述第一目的网络地址为所述外网终端网络地址；

所述外端主机根据收到的第一数据包与外网终端建立外网连接，所述外网连接的源地址为外端主机虚拟网络地址，目的地址为第一目的网络地址；

所述外端主机在预置的外网地址映射表中设置外网地址映射记录，所述外网地址映射记录包括所述外网连接对应的外网连接标识、所述内网连接标识、所述第一源网络地址和所述第一目的网络地址；

所述内端主机通过所述内网连接接收内网终端发送的内网数据包，所述内网数据包携带有所述内网连接标识和内网载荷数据；

所述内端主机将所述内网连接标识和内网载荷数据封装生成第二数据包，并将所述第二数据包通过隔离通道发送至外端主机；所述第二数据包的源地址为内端主机虚拟网络地址，目的地址为外端主机虚拟网络地址；

所述外端主机从接收到的第二数据包中获取所述内网连接标识，并匹配所述内网连接标识与所述外网地址映射表，若不存在匹配的外网地址映射记录，则丢弃所述第二数据包，若存在匹配的外网地址映射记录，则继续执行后续步骤；

所述外端主机以虚拟网络地址对所述第二数据包中的内网载荷数据进行封装，生成第一内网网络数据包，所述第一内网网络数据包的源地址为所述外端主机虚拟网络地址，目的地址为所述第一目的网络地址；

所述外端主机根据预置的地址转换表对所述第一内网网络数据包进行地址转换，生成第二内网网络数据包；所述第二内网网络数据包的源地址为所述第一源网络地址，目的地址为所述第一目的网络地址；

所述外端主机在预置的地址解析表中查找所述第二内网网络数据包对应的下一跳目的物理地址，并基于所述下一跳目的物理地址对所述第二内网网络数据包进行地址封装，生成内网链路数据包；