一種基於雙向獨立傳輸異構的物理路由隔離裝置和方法與流程

2023-05-10 02:11:38 1

1.本發明屬於通信技術領域，尤其涉及一種基於雙向獨立傳輸異構的物理路由隔離裝置和方法。


背景技術：

2.路由隔離是目前多網組網安全的一項重要指標，路由滲透、路由掃描、拓撲獲取在網絡攻擊行為中屬於比較常態化的一種行為，如製造網絡震蕩、網絡引流、路由黑洞等。通過獲取組網態勢了解目標網絡的運行情況，使網絡攻擊更具有目標性和有效性。路由隔離目前採用的方式包括硬體路由隔離、軟體路由隔離兩種技術途徑。軟體路由隔離通常使用邏輯控制層面去限制，但是該方式存在比較大的漏洞就是可以通過配置解除路由隔離，當自身受到攻擊並被遠程控制後，其配置是可被更改的，因此不具有唯一性和可靠性。硬體路由隔離通過採用硬體雙板分離的方式，雙板之間不進行路由協議層面的協商和交互，由於其在隔離的雙向通道上採用的是相同的傳輸介質，導致當隔離的兩方安全級別不一樣的時候，需要區別對待，並且隔離的兩邊在通聯上需要形成分段隔離防禦的方式，安裝和使用都比較困難。因此我們需要提出一種基於雙向獨立傳輸異構的物理路由隔離裝置和方法。


技術實現要素：

3.針對現有技術中的上述不足，本發明提供的一種基於雙向獨立傳輸異構的物理路由隔離裝置和方法，解決了軟硬體路由隔離的問題。
4.為了達到以上目的，本發明採用的技術方案為：
5.本方案提供一種基於雙向獨立傳輸異構的物理路由隔離裝置，所述物理路由隔離裝置包括兩個獨立的物理子裝置，所述兩個獨立的物理子裝置之間的內部連接有雙向傳輸的兩條獨立異構傳輸鏈路。
6.本發明的有益效果是：本發明提供一種基於雙向獨立傳輸異構的物理路由隔離設備，該設備從硬體設計和架構上做到以物理分離的方式進行路由隔離，在硬體上通過異構的雙鏈路實現雙向物理隔離，並且在隔離的雙向通道上採用異構的傳輸介質，滿足隔離雙邊相同密級或不同密級的場景要求，在傳輸通信上，設備內部隔離兩邊之間的傳輸採用私有的非以太協議的方式進行分段防禦，從而達到隔離兩邊無法通過以太協議或漏洞進行滲透探測；設備外部通過路由轉譯及控制發布的方式，將兩邊的路由信息進行隱藏和受控發布，滿足在通信上的要求。
7.進一步地，各所述物理子裝置均包括：
8.協議轉換模塊，用於將外部路由信息進行私有映射轉換；
9.路由模塊，用於在隔離外部路由的前提下，依據協議轉換模塊將外部協議進行私有映射轉換，並將映射轉換後的路由信息受控發布至本網內的路由表中，隔離並隱藏外部路由信息；
10.隔離模塊，用於提供物理隔離和異構雙通路，以及在兩個隔離模塊之間採用私有
異構非以太協議，在協議層實現隔離離。
11.上述進一步方案的有益效果是：本發明的物理路由隔離裝置在軟體部分包括隔離模塊、路由模塊、協議轉換模塊，利用軟體部分該設備在兩個網絡域之間的通信，保證在路由協議層面是阻斷，不可通的，只有通過私有非以太協議封裝才能進行通信，在協議層達到阻斷效果，兩個路由域內的業務系統在通信時，隱藏了自己的真實地址信息，有更好的安全效果，有效保障了不同網絡域之間的路由信息是隔離，並且是隱藏的。
12.再進一步地，所述異構雙通路包括光纖傳輸和光空間傳輸。
13.本發明還提供了一種基於雙向獨立傳輸異構的物理路由隔離方法，包括以下步驟：
14.s1、在兩個獨立的物理子裝置上各通過路由模塊與各物理子裝置的3層數通設備建立鄰居關係；
15.s2、由兩個獨立的物理子裝置的路由模塊通過路由鄰居學習路由表，同時將路由表提交至各物理子裝置對應的協議轉換模塊；
16.s3、利用協議轉換模塊接收路由表，並通過人機展示提供路由表信息；
17.s4、根據路由表信息，配置路由協議映射，並配置需要發布的受控映射信息；
18.s5、將已配置的需要發布的受控映射信息發送至隔離模塊；
19.s6、由隔離模塊接收到需要發布的映射表後，通過私有協議格式傳送至另一物理子裝置的隔離模塊中，其中，傳輸鏈路為單向的異構傳輸鏈路；
20.s7、由另一隔離模塊接收需要發布的映射信息表，並通過路由鄰居發布至自身所在的路由域內，完成對物理路由隔離。
21.本發明的有益效果是：本發明提出一種基於雙向獨立傳輸異構的物理路由隔離方法，該方法從硬體設計和架構上做到以物理分離的方式進行路由隔離，在硬體上通過異構的雙鏈路實現雙向物理隔離，並且在隔離的雙向通道上採用異構的傳輸介質，滿足隔離雙邊相同密級或不同密級的場景要求，在傳輸通信上，設備內部隔離兩邊之間的傳輸採用私有的非以太協議的方式進行分段防禦，從而達到隔離兩邊無法通過以太協議、或漏洞進行滲透探測；設備外部通過路由轉譯及控制發布的方式，將兩邊的路由信息進行隱藏和受控發布，滿足在通信上的要求。
附圖說明
22.圖1為本發明的物理路由隔離裝置示意圖。
23.圖2為本發明的方法流程圖。
24.圖3為本實施例中路由映射受控發布的流程示意圖。
25.圖4為本實施例中在路由隔離的前提下實現業務通信流程示意圖。
具體實施方式
26.下面對本發明的具體實施方式進行描述，以便於本技術領域的技術人員理解本發明，但應該清楚，本發明不限於具體實施方式的範圍，對本技術領域的普通技術人員來講，只要各種變化在所附的權利要求限定和確定的本發明的精神和範圍內，這些變化是顯而易見的，一切利用本發明構思的發明創造均在保護之列。
27.實施例1
28.不同網絡之間進行安全互聯以及可靠業務傳輸時，網絡邊界防護相關的設備需要對不同網絡之間的路由進行隔離，並且從網絡層以及協議層之間提供一種分離途徑和手段。因此本發明提供一種基於雙向獨立傳輸異構的物理路由隔離方法和設備。如圖1所示，所述物理路由隔離裝置包括兩個獨立的物理子裝置，所述兩個獨立的物理子裝置之間的內部連接有雙向傳輸的兩條獨立異構傳輸鏈路。各所述物理子裝置均包括：
29.協議轉換模塊，用於將外部路由信息進行私有映射轉換；
30.路由模塊，用於在隔離外部路由的前提下，依據協議轉換模塊將外部協議進行私有映射轉換，並將映射轉換後的路由信息受控發布至本網內的路由表中，隔離並隱藏外部路由信息；
31.隔離模塊，用於提供物理隔離和異構雙通路，以及在兩個隔離模塊之間採用私有異構非以太協議，在協議層實現隔離，所述異構雙通路包括光纖傳輸和光空間傳輸。
32.本實施例中，本發明提供一種基於雙向獨立傳輸異構的物理路由隔離設備，該設備在硬體組成由兩個獨立的物理子裝置組成，並且兩個獨立的物理子裝置之間的內部連接有兩條獨立的異構傳輸鏈路組成，分別負責雙向傳輸鏈路；軟體組成分為隔離模塊、路由模塊、協議轉換模塊組成。其中，隔離模塊在內部傳輸時採用私有的非以太協議進行數據傳輸；路由模塊為向外發布路由信息的模塊；協議轉換模塊負責將其他網內的路由協議進行重構發布，屏蔽其他網的路由信息。
33.本實施例中，路由模塊：對外提供路由功能，隔離外部路由的基礎上，依據協議轉換模塊將外部協議進行私有映射轉換，映射後的路由信息受控發布到本網內的路由表中，隔離並隱藏外部路由信息。受控發布如：四條路由表，協議轉換後，只發布一條路由表，並且發布的路由表是映射轉換過的。協議轉換模塊：提供路由協議映射轉換功能，將外部路由信息進行私有地址映射功能，如：1.1.1.0/24映射為118.2.1.0/24。隔離模塊：提供硬體隔離和軟體隔離的功能，硬體上提供物理隔離，和異構的雙通路功能，軟體上在隔離模塊之間傳輸協議採用私有異構非以太協議，在協議層將實現隔離。
34.本發明通過以上設計，從硬體設計和架構上做到以物理分離的方式進行路由隔離，在硬體上通過異構的雙鏈路實現雙向物理隔離，並且在隔離的雙向通道上採用異構的傳輸介質，滿足隔離雙邊相同密級或不同密級的場景要求，在傳輸通信上，設備內部隔離兩邊之間的傳輸採用私有的非以太協議的方式進行分段防禦，從而達到隔離兩邊無法通過以太協議、或漏洞進行滲透探測；設備外部通過路由轉譯及控制發布的方式，將兩邊的路由信息進行隱藏和受控發布，滿足在通信上的要求。
35.實施例2
36.如圖2所示，本發明提供了一種基於雙向獨立傳輸異構的物理路由隔離方法，其實現方法如下：
37.s1、在兩個獨立的物理子裝置上各通過路由模塊與各物理子裝置的3層數通設備建立鄰居關係；
38.本實施例中，數通設備和物理子裝置為一對一關係，即一個物理子裝置與它對應的數通設備建立鄰居關係，兩個獨立的物理子裝置則對應兩個3層數通設備。
39.s2、由兩個獨立的物理子裝置的路由模塊通過路由鄰居學習路由表，同時將路由
表提交至各物理子裝置對應的協議轉換模塊；
40.本實施例中，物理子裝置中含有三個模塊(協議轉換模塊、路由模塊以及隔離模塊)，路由模塊處理完畢後，將數據提交至同屬物理子裝置內的協議轉換模塊處理。
41.s3、利用協議轉換模塊接收路由表，並通過人機展示提供路由表信息；
42.s4、根據路由表信息，配置路由協議映射，並配置需要發布的受控映射信息；
43.s5、將已配置的需要發布的受控映射信息發送至隔離模塊；
44.s6、由隔離模塊接收到需要發布的映射表後，通過私有協議格式傳送至另一物理子裝置的隔離模塊中，其中，傳輸鏈路為單向的異構傳輸鏈路；
45.s7、由另一隔離模塊接收需要發布的映射信息表，並通過路由鄰居發布至自身所在的路由域內，完成對物理路由隔離。
46.本實施例中，如圖3所示，在路由隔離層面，雙向獨立傳輸異構的物理路由隔離設備，在兩個物理子裝置上通過路由模塊與各自的3層數通設備(路由器或三層交換機)，建立鄰居關係。各自的路由模塊通過路由鄰居學習路由表，同時將路由表提交給協議轉換模塊。協議轉換模塊在收到路由表後，通過人機展示，向管理員提供路由表信息。管理員通過展示的路由表信息，進行路由協議映射配置，如配置1.1.1.0/24映射為118.2.1.0/24。並配置需要向對方發布的受控映射信息，如表1所示，表1為向對方發布的受控映射信息表。
47.表1
[0048][0049]
本實施例中，管理員配置好受控發布的映射信息表後，發給隔離模塊。隔離模塊收到需要向另一側發布的映射表後，通過私有協議格式(這裡的私有協議為非以太協議)傳送給對方物理子裝置的隔離模塊。其傳輸鏈路採用單向的異構傳輸鏈路。對方物理子裝置在收到需要發布的映射信息表後，通過路由鄰居發布給自己所在的路由域內。這樣兩個不同的路由域之間完全看不到對方真實路由信息，並且兩個路由域之間不存在直接的路由協議穿透的途徑。該設備帶來的安全效果，就是兩邊的路由域無法直接通過路由協議獲取對面的真實路由信息，並且無法通過路由夾帶、探測、泛洪等方式攻擊對方的路由域。並且兩側的業務在通信時，彼此均隱藏了其真實的業務ip地址。
[0050]
本實施例中，如圖4所示，a網的隔離板將b網的172.1.1.1，在網內映射為7.1.1.1，並通過路由發布到a網的路由域內。b網的隔離板將a網的1.1.1.1，在網內映射為178.1.1.1，並通過路由發布到b網的路由域內。兩個網內的終端通信過程如下：
[0051]
a網終端與b網終端通信時，報文的ip協議層地址信息為源1.1.1.1、目的7.1.1.1，該報文在a網通過路由轉發，會將該報文轉發到雙向獨立傳輸異構的物理路由隔離設備的a網隔離板上。雙向獨立傳輸異構的物理路由隔離設備的a網隔離板在收到數據後，通過配置
的映射關係，找到目標7.1.1.1的真實ip為172.1.1.1，將整個ip報文進行目的ip轉換，並將整個報文進行私有協議重封裝，通過內部鏈路發送到b網隔離板上。b網隔離板收到私有協議封裝的數據報文後，首先通過私有協議還原，還原出報文，再通過配置的映射關係，找到源ip1.1.1.1的映射ip為178.1.1.1，通過源地址轉換，將1.1.1.1替換為178.1.1.1，並將報文轉發到b網的路由域內。b網的172.1.1.1終端正常收到對方的通信報文。收到時可以看到源ip為178.1.1.1。反向通信過程一樣。
[0052]
本實施例中，該通信過程中，雙方在業務系統均不知道對方的真實ip，這樣在業務層也隱藏了自己的真實地址。
[0053]
本實施例中，本發明在硬體上通過異構的雙鏈路實現雙向物理隔離。該設備在兩個網絡域之間的通信，保證在路由協議層面是阻斷，不可通的，只有通過私有非以太協議封裝才能進行通信，在協議層達到阻斷效果。兩個路由域內的業務系統在通信時，隱藏了自己的真實地址信息，有更好的安全效果，有效保障了不同網絡域之間的路由信息是隔離，並且是隱藏的。