本发明专利技术以太网通道闸(附图3的C1)由以太网通道和单向闸组成,系将普通网闸中两个方向上的闸分开,右向闸左移,左向闸右移,形成两个相互独立且对称的单向闸。C1中的单向闸仅出现在A节点的向外和B节点的向内通道上,反方向的另一通道直接穿过C1,与单向闸无任何电连接,节点不复存在,即:C1既不构成网络节点,也不包含网络节点,C1既无MAC地址,也无任何协议地址,不能被直接访问。C1与其两侧的任何节点都不具备双向通信能力,C1能被攻破的必要条件不再成立,B侧的节点不能对C1实施任何控制,而A侧的节点最多只能对C1实施开环控制,自身安全性骤然上升。可单独使用,也可成对使用,形成不会被攻破或难于被攻破的系统。攻破或难于被攻破的系统。攻破或难于被攻破的系统。
【技术实现步骤摘要】
以太网通道闸
[0001]本申请为分案申请,原申请信息如下:
[0002]申请日:2019年07月05日
[0003]申请号:201910603098.2
[0004]专利技术创造名称:单向以太网闸
一、
[0005]本专利技术属计算机网络与信息安全领域,特别涉及兼具网络的安全隔离与数据的可靠传输以及网络安全设备的自身安全这一特殊领域。
二、
技术介绍
[0006]随着人们对网络与信息安全的重视,市面上出现了越来越多的网络与信息安全产品,不管这些产品是以纯软件的方式还是以软、硬件结合的方式出现,在道高一尺、魔高一丈的严峻形势下,都面临着一个共同的痛点:这就是安全产品自身的安全。当一个网络与信息安全产品被攻破后,其宣称的一切安全保护功能都将化为乌有。
[0007][0008]安全隔离与可靠传输是两个相互矛盾的概念,最安全的隔离莫过于物理断开,即两个节点A、B之间没有任何连接,在这种情况下A、B之间不可能有任何传输;而可靠的传输通常要通过双向通信来实现,哪怕传输本身是单向的也是如此,因为我们需要反馈才能实现传输的可靠,但这样一来,A、B之间的隔离就又成了问题。
三、
技术实现思路
[0009]如何既做到隔离的安全又实现传输的可靠、克服现有网络安全设备自身存在的不安全隐患是本专利技术要解决的技术问题。当我们将普通的网闸安装在A、B 两节点之间后,其本身便形成一个新的网络节点C,C不仅具有MAC这样的物理地址(二层网络节点特征),而且常常会配置像IP这样的协议地址(三层网络节点特征),用户也都是通过MAC/IP地址来实现对其的直接访问。人们之所以将其称为“网闸”,是因为其对网络流量进行过滤/中继,像“闸”一样,如附图1 中的虚线所示。我们知道,在节点C内,同时存在两个闸:一个是左上接收右下发送的闸(简称右向闸),另一个是右上接收左下发送的闸(简称左向闸)。C具有两个端口(port),C通过左面的端口与A保持完全的双向通信能力,C通过右面的端口与B也保持完全的双向通信能力,因此A和B均与C具有完全的双向通信能力,C与外部的这种双向通信能力是C能被攻破的必要条件。本专利技术将C 中两个方向上的闸分开,右向闸左移,左向闸右移,形成两个相互独立且对称的单向闸C1和C2,如附图2所示。我们只对C1进行论述,如附图3所示,从附图3可以看出,C1中的单向闸仅出现在A节点的向外和B节点的向内通道上,反方向的另一通道直接穿过C1,与单向闸无任何电连接,使原本对称的通道在 C1内呈现出不对称结构,节点不复存在,即:C1既不构成网络节点,也不包含网络节点,C1既无MAC地址,也无任何协议地址,不能被直接访问。C1与其两侧的任何节点都不具备双向通信能力,C1能被攻
破的必要条件不再成立,B侧的节点不能对C1实施任何控制,而A侧的节点最多只能对C1实施开环控制,闸自身的安全性骤然上升。在实际应用中,一方面,我们可在以太网通道闸内设置按键、普通开关或DIP拨码开关来对其功能进行选项设置和调整,适应不同的安全要求,方便使用,特别是将过滤功能变为全部过滤,即丢弃所有包,形成(逻辑)单向以太网桥或将过滤功能变为全部取消,即所有包均通过,形成 (双向)以太网桥;另一方面,以太网通道闸既可单独使用,如附图4所示,也可通过交叉网线反向串接成对使用,如附图5所示,形成不会被攻破或难于被攻破的系统,需要注意的是:在附图4所示的场景中,若去掉PC1和路由器等, PC2和PC3形成的系统和附图5没有本质上的区别,只是此时两个以太网通道闸是通过交换机连接在一起的。
[0010]本专利技术不涉及除以太网之外的第二层网络技术,文中使用100BASE
‑
TX只是为了叙述方便,实际使用中可以是其它形态的以太网。
四、附图说明
[0011]附图1为100BASE
‑
TX以太网环境下普通网闸的“闸”结构图,图中C集双向过滤功能于一体,与两端A和B均具有双向通信能力。附图2为100BASE
‑
TX 以太网环境下本专利技术以太网通道闸的专利技术原理图,图中C1与C2是完全相同的,都是在原本存在两个方向的情况下只进行一个方向上的过滤,这种结构使得本专利技术与现有技术存有本质区别。附图3为100BASE
‑
TX以太网环境下本专利技术以太网通道闸C1的内部结构及其与两端节点A、B的连接关系图,从B到A的通道只是经过C1,与C1中的单向闸无任何电连接;附图1、附图2和附图3中括号内的数字为100BASE
‑
TX以太网环境下双绞线对在对应的RJ45座子中的引脚号。附图4为本专利技术以太网通道闸单独使用的应用场景图。附图5为本专利技术以太网通道闸采用交叉(cross
‑
over)网线成对使用的应用场景图,注意:附图4中两个单独使用的场景也可形成附图5所示的成对使用的效果。附图中提及 100BASE
‑
TX只是为了叙述方便,实际使用中可以是其它形态的以太网。附图4 和附图5中的ECGx(Ethernet Channel Gate,x为数值)代表本专利技术以太网通道闸。附图4中PC1没有安装以太网通道闸,PC2、PC3与SWITCH之间均安装了以太网通道闸。我们仍以100BASE
‑
TX以太网为例来解释,在PC1的连接中,PC1 通过一条直通(straight
‑
through)网线与交换机SWITCH相连,网线中既存在一条PC1
→
SWITCH的通道(1、2线对),也存在一条SWITCH
→
PC1的通道(3、6线对),这样PC1可以将数据包传送给SWITCH,SWITCH也可以将数据包传送给PC1。在PC2的连接中,我们示出的是以太网通道闸的物理连接,从中可以看出以太网通道闸的连接方式与防火墙等网络设备的连接方式完全相同;在PC3的连接中,我们更进一步地示出了以太网通道闸的逻辑连接。从中可以看出以太网通道闸是连接在PCx(x为数值)的向外通道上的,其基本原理是对外出的帧(frame) 作选择性中继,在以太网通道闸内部可以有访问控制列表等参数及按键、普通开关或DIP拨码开关。
五、具体实施方式
[0012]具体实施方式见附图4和附图5。附图4是以太网通道闸单独使用的场景,附图5是
以太网通道闸成对使用的场景,无论是单独还是成对,当需要对以太网通道闸进行访问控制时,都使用protocol为1的IP协议来完成。
本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种以太网通道闸(附图3的C1),由以太网通道和单向闸组成,其特征是:(1)单向闸设置在以太网的一个通道上,反方向的另一通道直接穿过闸(附图3的C1),与单向闸无任何电连接,使原本对称的通道在闸(附图3的C1)内呈现出不对称结构;(2)不构成网络节点,也不包含网络节点,与两侧的任何节点都不具备双向通信能力,能被攻破的必要条件不再成立,一侧的节点(附图3的B)不能对闸(附图3的C1)实施任何控制,另...
【专利技术属性】
技术研发人员:ꢀ五一IntClH零四L九四零,
申请(专利权)人:郭爱波,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。