[发明专利]网络隔离方法、装置、设备及可读存储介质

说明书

本申请实施例提出了一种网络隔离方法、装置、设备和存储介质，所述方法包括：在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包；在确定所述网络数据包为安全进程发送的数据包的情况下，对所述网络数据包中的第一路径进行修改，得到具有第二路径的网络数据包；所述第二路径指向预设的安全隧道；基于所述第二路径将具有所述第二路径的网络数据包，通过所述安全隧道发送给安全网关，实现对所述网络数据包的隔离。

技术领域

本申请涉及网络安全技术，尤其涉及一种网络隔离方法、装置、设备及计算机可读存储介质。

背景技术

相关技术中，沙箱隔离技术是在应用层实现沙箱隔离的，协议兼容性较差，并且会受到当前环境路由表的影响，可能导致网络隔离失效引发数据泄露安全问题，即，通过在应用层进行数据隔离，数据仍然可以通过某些应用层协议，或者通过网络层泄漏。同时，对网络包的拦截，也可能引发内外网地址冲突类的兼容问题。

发明内容

本申请实施例期望提供一种网络隔离的方法、装置、电子设备和计算机存储介质。

第一方面，本申请实施例提供了一种网络隔离方法，所述方法包括：

在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包；

在所述网络数据包为安全进程发送的数据包的情况下，对所述网络数据包中的第一路径进行修改，得到具有第二路径的网络数据包；所述第二路径指向预设的安全隧道；

基于所述第二路径将具有所述第二路径的网络数据包，通过所述安全隧道发送给安全网关，实现对所述网络数据包的隔离。

第二方面，本申请实施例提供了一种网络隔离装置，所述装置包括：

第一获取模块，用于在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包；

第一修改模块，用于在所述网络数据包为安全进程发送的数据包的情况下，对所述网络数据包中的第一路径进行修改，得到具有第二路径的网络数据包；所述第二路径指向预设的安全隧道；

第一发送模块，用于基于所述第二路径将具有所述第二路径的网络数据包，通过所述安全隧道发送给安全网关，实现对所述网络数据包的隔离。

第三方面，本申请实施例还提供了一种网络隔离设备，包括：存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述任一项所述网络隔离方法中的步骤。

第四方面，本申请实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述任一项所述网络隔离方法中的步骤。

在本申请实施例中，通过在数据链路层获取沙箱环境下的应用程序发往内网的网络数据包；在确定所述网络数据包为安全进程发送的数据包的情况下，对所述网络数据包中的第一路径进行修改，得到具有第二路径的网络数据包；所述第二路径指向预设的安全隧道；基于所述第二路径将具有所述第二路径的网络数据包，通过所述安全隧道发送给安全网关，实现对所述网络数据包的隔离，可以看出，由于该网络隔离方法是在沙箱的链路层实现，没有网络层、传输层、应用层各种协议带来的兼容性问题，也不会导致网络隔离失效引发数据泄露安全问题且独立与系统原生网络环境，不会引发内外网冲突的情况。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，这些附图示出了符合本申请的实施例，并与说明书一起用于说明本申请的技术方案。

图1为相关技术中开放式系统互联(Open System Interconnection，OSI)模型的组成结构示意图；