[发明专利]一种分布式网络隔离系统及方法

权利要求书

1.一种分布式网络隔离系统，包括内网主机、外网主机和安全隔离设备，其特征在于，所述内网主机、外网主机为带有网络通信功能的电脑，所述安全隔离设备部署在内、外网边界处，包括多个用于收发内外网数据包以及和管理人员电脑通信的通信端口，安全隔离设备还包括隔离交换单元，隔离交换单元使用网线或光纤通过光口或电口分别与内网主机、外网主机电连接。

2.根据权利要求1所述的一种分布式网络隔离系统，其特征在于，所述内网主机、外网主机包括台式机、笔记本电脑等。

3.根据权利要求1所述的一种分布式网络隔离系统，其特征在于，所述内网主机和外网主机上分别部署有客户端软件，客户端软件包括：

客户端管理软件，用于应用程序白名单管理、访问规则管理和应用程序异常检测，同时还负责和安全隔离设备进行密钥交换；

协议转换软件，是一个处于应用层软件和网卡驱动之间的内核软件模块，该模块负责拦截上层应用程序向外发送的数据包，将标准协议数据包转换为私有协议数据包后发送出去，同时，该模块也负责拦截网卡收到的向上层应用程序提交的数据包，将私有协议数据包转换为标准协议数据包递交给上层应用软件；

业务应用软件，是在内外网之间有数据交换需求的业务应用类软件，例如交换软件、邮件交换软件、数据库访问软件、即时通信软件等各种经过认证或自主开发的可信应用软件。

4.根据权利要求3所述的一种分布式网络隔离系统，其特征在于，所述业务应用软件可包含安全检测模块，用于在数据交换之前对数据进行病毒查杀、关键字检测等。

5.根据权利要求1所述的一种分布式网络隔离系统，其特征在于，所述隔离交换单元负责对从一侧网络收到的数据包进行私有协议鉴别和访问规则检查，并将符合访问规则的私有协议数据包发送到另一侧网络，其它数据包，包括标准的TCP、UDP、ARP、ICMP等协议数据包都会被扔掉，不能从一侧网络传输到另一侧网络。

6.根据权利要求1所述的一种分布式网络隔离系统，其特征在于，所述安全隔离设备还包括管理单元，管理单元通过单独的通信端口与管理人员计算机电连接，管理人员通过管理单元对安全隔离设备的各端口网络参数和访问规则进行配置，然后隔离交换单元依据访问规则对两侧网络的私有协议数据包进行过滤。

7.一种网络隔离方法，其特征在于，包括以下步骤：

1)通过内网主机上的客户端软件在操作系统内核拦截应用程序欲向外网发送的网络数据包，通过应用程序白名单和访问规则对网络数据包进行判定，将判定为合法网络数据包的网络数据包转换为私有协议数据包，然后通过网卡驱动发送出去；

2)通过部署在内外网边界处的安全隔离设备对内网发往外网的数据包进行过滤，将符合私有协议和访问规则的合法数据包转发至外网；

3)通过外网主机上的客户端软件在系统内核拦截网络数据包，并对数据包进行鉴别，如果所截获的数据包是私有协议数据包，则将数据包转换为标准网络协议数据包后提交至上层网络协议栈和应用程序。

8.根据权利要求7所述的一种网络隔离方法，其特征在于，所述内网和外网是对等的，内网到外网的数据交换方法和外网到内网的数据交换方法是相同的。

9.根据权利要求7所述的一种网络隔离方法，其特征在于，所述通过应用程序白名单和访问规则判定网络数据包是否为合法网络数据包，判定方法包括以下步骤：

1)通过内网主机上的客户端软件生成应用程序白名单，并根据应用程序文件内容生成原始文件特征，文件特征包括文件长度、文件CRC校验码、文件HMAC消息摘要、文件最后修改时间等；

2)通过内网主机上的客户端软件生成访问规则，访问规则包括源IP地址、源端口、目标IP地址、目标端口和协议类型等；

3)通过内网主机上的客户端软件在操作系统内核拦截应用程序欲向外网发送的网络数据包，并获取发送所述数据包的进程信息，进一步获取进程所对应的应用程序路径；

4)将所述应用程序路径和应用程序白名单进行比较，并用访问规则对网络数据包进行检查，如果应用程序路径在白名单内并且网络数据包符合访问规则，则该数据包为合法数据包，否则为非法数据包；

5)通过内网主机上的客户端软件不定期地对应用程序白名单对应的文件重新生成文件特征，并和原始文件特征进行比较，如果文件特征发生了变化，则将该应用程序从白名单中移除。

10.根据权利要求7所述的一种网络隔离方法，其特征在于，所述安全隔离设备对内网发往外网的数据包进行过滤，过滤方法包括以下步骤：

1)所述安全隔离设备预先配置访问规则，访问规则包括源IP地址、源MAC地址、源端口、目标IP地址、目标端口号、协议类型和通信方向等；

2)所述安全隔离设备对从一侧网络接收到的数据包进行鉴别，如果是私有协议则进一步做访问规则检查，如果也符合访问规则，则转发至另一侧。