一種用於內外網絡隔離的網際網路訪問伺服器及其處理方法
2023-05-05 15:39:01
專利名稱:一種用於內外網絡隔離的網際網路訪問伺服器及其處理方法
技術領域:
本發明涉及計算機網絡安全技術,尤其適用於在區域網路裡實現網絡中內外網的隔離,即內網是內網含有機密文件和資料的網絡,外網是可以和internet連接的網絡,並在隔離同時實現internet的便利使用,具體地說,本發明是涉及一種用於內外網絡隔離的網際網路訪問伺服器及其處理方法。
背景技術:
現有公司和機構網絡架構最常用的方式就是在內部建構自己的區域網,然後自己的區域網再通過防火牆或NAT(內部網絡地址轉換協議)的方式連接到外部的網際網路(internet),這樣內部計算機就通過防火牆安全管理訪問internet了,而外部到內部的連接必須經過防火牆的合法驗證。
為實現內部區域網中上internet的追蹤和控制,一般企業還會建設一個proxy server(代理伺服器),所有的區域網中計算機只有透過proxy server才能上網。
圖1是一個典型的區域網連接廣域網絡的典型結構,包括由若干個計算機1、交換機2和路由器3組成的區域網、防火牆4和網際網路5。
隔離概念是在為了保護高安全度網絡環境的情況下產生的;隔離產品的大量出現,也是經歷了五代隔離技術不斷的實踐和理論相結合後得來的。
第一代隔離技術-完全的隔離此方法使得網絡處於信息孤島狀態,做到了完全的物理隔離,需要至少兩套網絡和系統,更重要的是信息交流的不便和成本的提高,這樣給維護和使用帶來了極大的不便。
第二代隔離技術-硬體卡隔離在客戶端增加一塊硬體卡,客戶端硬碟或其他存儲設備首先連接到該卡,然後再轉接到主板上,通過該卡能控制客戶端硬碟或其他存儲設備。而在選擇不同的硬碟時,同時選擇了該卡上不同的網絡接口,連接到不同的網絡。但是,這種隔離產品有的仍然需要網絡布線為雙網線結構,產品存在著較大的安全隱患。
第三代隔離技術-數據轉播隔離利用轉播系統分時複製文件的途徑來實現隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網絡應用,失去了網絡存在的意義。
第四代隔離技術-空氣開關隔離它是通過使用單刀雙擲開關,使得內外部網絡分時訪問臨時緩存器來完成數據交換的,但在安全和性能上存在有許多問題。
第五代隔離技術-安全通道隔離此技術通過專用通信硬體和專有安全協議等安全機制,來實現內外部網絡的隔離和數據交換,不僅解決了以前隔離技術存在的問題,並有效地把內外部網絡隔離開來,而且高效地實現了內外網數據的安全交換,透明支持多種網絡應用,成為當前隔離技術的發展方向。
但是,在第五代隔離技術中如何做到安全和使用便利是難點所在。
最常用的訪問internet的訪問方式有web,mail,FTP等方式,這些方式都是靈活而強大的,而internet中這些的內容資源豐富巨大,為工作與外部世界的交互提供非常多的方便和幫助。
而與internet的交互中包括從internet中拿取資料和把自己的資料分享或傳遞到internet和別人分享。關鍵就在於這個把自己資料分享或傳遞出去,internet技術為我們提供成百上千種方法,這些方法在為大家提供便利的同時,也為組織和機構的資料外洩帶來巨大的風險。
為防範這些風險,從技術上來講,有些組織和機構通常採用的有兩種辦法,一就是對所有機密的文件採用加密的方法,二是用隔離的辦法把有機密資料的網絡與internet隔離開。
然而第一種方法,即對所有機密文件加密的方式,用密碼控制文件的訪問和文件用密碼又為用戶帶來的不方便性,所以就出現了對文件進行文件密鑰集中控制的方法,但這又有另外的問題,各種機密文件有各種格式,所有的文件的閱讀都必須在特殊的文件閱讀器中去閱讀。這個又為密碼控制帶來不方便性。
第二種方法也被廣泛採用,許多網絡從物理上被分為兩個網絡,兩臺計算機分別被連接到不同網絡。而且也因此出現了很多在這方面的技術,比如物理隔離卡,網閘。物理隔離卡需要對一臺計算機做改裝來實現一臺計算機裡的兩塊硬碟的物理隔離,而且能在兩個網絡中切換。網閘是用來隔離兩個內外網,並允許兩個網絡中必要的傳輸。
但上述的兩種方法都為用戶的使用帶來許多的額外的使用成本和不方便。而採用邏輯的方式有著internet連接的多樣性,徹底的邏輯隔離是很難做到的。而本發明就是針對解決上述問題提出的。
發明內容
本發明的目的在於提供一種用於內外網絡隔離的網際網路訪問伺服器及其處理方法,通過該網際網路訪問伺服器,既能使用戶能方便地從internet上獲得信息和資料,又能使組織和機構內的文件發送得到有序的控制,實現方便合理的分隔企業內部網絡和外部internet網絡。
本發明所提供的一種用於內外網絡隔離的網際網路訪問伺服器,連接在由若干個用戶計算機組成的內網和網際網路之間,用於將用戶計算機和網際網路隔開,其基於通用的計算機伺服器本體,其特徵在於它包括圖形終端服務模塊,圖形終端網絡傳輸模塊,對內網絡傳輸控制模塊,文件傳輸控制模塊,系統配置和用戶管理模塊,以及網際網路訪問傳輸模塊,其中圖形終端服務模塊與圖形終端網絡傳輸模塊相連,為客戶端提供圖形終端服務;對內網絡傳輸控制模塊,連接在所述計算機伺服器本體上,用於提供對網絡會話的嚴格限制,保證網絡內客戶端和本網際網路訪問伺服器之間都是合法的會話;文件傳輸控制模塊,連接在所述計算機伺服器本體上,用於管理用戶計算機本地硬碟與網際網路訪問伺服器各用戶專有存儲空間之間文件資料的傳輸;
系統配置和用戶管理模塊,連接在所述計算機伺服器本體上,用於增刪、修改用戶設置,上載部分流程設計,以及系統參數設置;網際網路訪問傳輸模塊,連接在所述計算機伺服器本體上,用於提供所述圖形終端服務模塊訪問internet的傳輸控制管理。
在上述的用於內外網絡隔離的網際網路訪問伺服器中,它還包括兩個網絡界面,一個是對用戶計算機提供網際網路圖形終端訪問服務的網絡界面,另一個是連接和訪問網際網路的網絡界面。
在上述的用於內外網絡隔離的網際網路訪問伺服器中,所述圖形終端服務模塊包括www網頁瀏覽器,電子郵件客戶端,FTP客戶端。
在上述的用於內外網絡隔離的網際網路訪問伺服器中,所述對內網絡傳輸控制模塊在客戶端和internet伺服器之間所控制的數據傳輸有三種數據會話,即圖象終端網絡協議,伺服器向客戶的合法下載,客戶機向網際網路訪問伺服器的受控的上載。
在上述的用於內外網絡隔離的網際網路訪問伺服器中,所述文件傳輸控制模塊包括下載和上載兩部分。
本發明還提供了一種上述的網際網路訪問伺服器中進行客戶端登記的方法,包括下列步驟客戶端程序初始化,得到數據標識號和用戶授權信息,向網際網路訪問伺服器登記數據標識號和授權過程;對於網際網路訪問伺服器確認授權的,則網際網路訪問伺服器記錄登記,並告登記結束;否則直接告登記結束。
本發明又提供了一種在上述的網際網路訪問伺服器中進行數據包過濾的方法,包括下列步驟收到傳輸數據包,判斷是否有正確數據標識號對於有正確數據標識號的,從數據包中得到K客戶端和伺服器地址,並判斷是否擁有授權登記並且數據類型的合法性若是,則傳輸數據包到正確地址,並告結束;若否,丟棄數據包;對於沒有正確數據標識號的,則直接丟棄數據包,並告結束。
本發明還提供了一種在權利要求1所述的網際網路訪問伺服器中用戶從internet上下載到用戶客戶端的方法,包括下列步驟在用戶使用圖形終端中的www網頁瀏覽器,或電子郵件客戶端,或FTP客戶端把文件下載到用戶私有存儲空間後,文件傳輸模塊在下載連接初始化後可根據伺服器用戶私有存儲空間的文件清單對客戶端列出所有文件信息,用戶可選擇的下載;在讀取用戶定義好的目標目錄後,傳輸模塊通過受認證的數據傳輸通道,傳輸到用戶自己的內網機器上的預先定義好的本地文件目錄中。
本發明再提供了一種在上述的網際網路訪問伺服器中進行上傳控制的方法,包括下列步驟傳輸連接初始化後,認證用戶通過文件上傳文件,上傳文件保存伺服器保密區,經判斷後,若通過,則從保密區傳輸到用戶個人存儲區,並告結束;若不通過,則直接記錄失敗結果,並告結束。
本發明最後提供了一種如上的用於內外網絡隔離的網際網路訪問伺服器,其特徵在於所述的對內網絡傳輸控制模塊、圖形終端服務模塊、文件傳輸控制模塊、系統配置和用戶管理模塊、以及網際網路訪問傳輸模塊按預定的組合方式分別設置在不同的通用的計算機伺服器本體上。
本發明是以特殊的訪問方式和傳輸控制來實現內外網絡的隔離和安全。所有有授權的內網中計算機可以通過網際網路訪問伺服器訪問網際網路,網際網路訪問伺服器可以包含圖象終端中的internet常用客戶端工具(如www,email,ftp等)。而通過這些方式下載下來的文件或信息,它們只能存放在外網的個人專用存儲空間中,再從外網伺服器上下載下來到內網。而無法(或嚴格受控)把內網中的文件上傳。通過本發明不僅可以實現隔離保護內網中的資料,而且可以提供對外的資料查詢和聯繫。
通過以下對本發明的一實施例結合其附圖的描述,可以進一步理解本發明的目的、具體結構特徵和優點。其中,附圖為圖1是現有典型的網絡架構示意圖;
圖2是本發明網際網路訪問伺服器置於圖1所示網絡架構中的示意圖;圖3是本發明網際網路訪問伺服器的功能模塊框圖;圖4是本發明中客戶端登記流程示意圖;圖5是本發明中對內數據控制模塊數據包過濾過程示意圖;圖6是本發明中文件傳輸控制模塊具體上傳的控制流程示意圖;圖7是本發明中圖形終端服務模塊建立一個internet訪問連接的流程示意圖;圖8本發明中文件傳輸控制模塊具體下載的控制流程示意圖。
具體實施例方式
本發明的基本思想是實現在機構內既能便利地訪問internet,又通過隔離和特殊的傳輸方法充分保障機構內的網絡安全。
本發明首先需要對網絡結構進行改造,以圖1所示的現有典型網絡結構看,本發明把由若干個用戶計算機(客戶端)組成的內網和網際網路(internet)隔開,使的客戶端無法直接或間接(透過proxy等方法)訪問internet資源。
如圖2所示,本發明在網際網路(internet)5和用戶計算機1之間架設了網際網路訪問伺服器6。客戶端與internet是隔開的,只有網際網路訪問伺服器才能真正透過路由器和防火牆來訪問internet,客戶端只能通過網際網路訪問伺服器圖形終端來訪問internet。
1)網際網路訪問伺服器硬體平臺的實現網際網路訪問伺服器硬體本是採用通用的計算機伺服器,包含伺服器的主板、CPU、內存、顯示適配卡和網卡。在本伺服器中需要對網絡布件做特殊改變。需要兩塊網卡,一塊是對客戶機器提供internet圖形終端訪問服務的,它的IP是網絡內部計算機能直接連接的。一塊是連接和訪問internet的,它的IP是能和網絡中internet路由器直接通信的。當然另一種變通的做法它也可以採用一塊網卡,在作業系統中綁定兩套網絡配置設置到一塊網卡中。這兩套網絡配置的作用分別與前面相同。總之該伺服器有兩個網絡界面,一個是對客戶機器提供internet圖形終端訪問服務的,一個是連接和訪問internet的。
另外在伺服器的作業系統中這兩個網絡界面不提供路由或數據包轉發功能。
軟體部分設計和實現如圖3所示,網際網路訪問伺服器包括圖形終端服務模塊61,圖形終端網絡傳輸模塊62,對內網絡傳輸控制模塊63,文件傳輸控制模塊64,系統配置和用戶管理模塊65,網際網路訪問傳輸模塊66。
圖形終端服務模塊與圖形終端網絡傳輸模塊相結合,為客戶端提供圖形終端服務。
對內網絡傳輸控制模塊,用於提供對網絡會話的嚴格限制,保證網絡內客戶端和本伺服器系統之間都是合法的會話。
文件傳輸控制模塊,用於管理用戶計算機本地硬碟與網際網路訪問伺服器各用戶專有存儲空間之間文件資料的傳輸。
系統配置和用戶管理模塊,用於增刪、修改用戶設置,上載部分流程設計,以及系統參數設置。
網際網路訪問傳輸模塊,用於提供所述圖形終端服務模塊訪問internet的傳輸控制管理。
本伺服器可以實現在Linux,Microsoft Window伺服器和Unix中的任一種作業系統上。
下面就各個功能模塊分別進行詳細描述。
1)圖形終端服務模塊與圖形終端網絡傳輸模塊圖形終端服務模塊包括基本的www網頁瀏覽器,電子郵件,FTP客戶端。圖形終端服務模塊能啟動/調用www網頁瀏覽器,電子郵件,FTP作為客戶訪問internet的工具。但隨著internet技術的發展,這些常用工具是可以靈活擴充的。
圖形終端服務模塊的客戶/伺服器模型不是建立在特定的軟、硬體資源之上,而是建立在圖形終端協議之上。圖形終端協議是一個抽象的應用服務協議,包括了終端的輸入請求和對伺服器服務程序發出的屏幕/媒體輸出命令,不包括對底層硬體的訪問和控制。圖形終端協議是圖形終端服務程序和圖形終端客戶程序進行通信的途徑。圖形終端客戶程序通過它向圖形終端服務程序發送請求,而圖形終端服務程序通過它回送狀態及一些其它的信息。真正控制終端工作的是圖形終端服務程序。
此外,圖形終端協議是建立在一些常用的傳輸協議之上,包括TCP/IP、IPX/SPX和DECnet等網絡協議。通過這些協議,客戶和伺服器之間就可能方便地對話。
圖形終端是一個基於網絡的圖形引擎,它可以在與遠端機連接、在伺服器機器上運行應用,使用遠程伺服器的CPU,硬碟空間的同時,在客戶端的圖形終端上處理I/O操作,包括輸入,顯示,聲音。使用internet訪問圖形終端訪問internet與普通客戶端直接訪問internet最大的不同就在於你的網頁瀏覽器,郵件客戶端實際上是在伺服器上運行的,你能直接使用的硬碟空間是伺服器上您被授權能使用的硬碟空間。本發明不局限於何種圖形終端的協議。
伺服器建立一個internet訪問連接的流程見圖7。首先檢查伺服器是否正常,正常再讀取連接用戶的個性化配置和數據,以便對www瀏覽器,email,ftp客戶端進行初始化。在初始化一個internet連接中包含重要的一點,每個用戶都有自己的個性化設置,比如internet訪問的cookie(個性化參數)。這些初始化設置都單獨保存在每個用戶的私有存儲區。在訪問連接初始化過程中需要參考他們。
www網頁瀏覽器實現的是基於http網絡協議的的html(超文本標記語言)顯示和瀏覽組件,電子郵件客戶端是基於smtp(簡單郵件傳輸協議)的email管理工具,FTP客戶端是FTP圖形化界面。它們的使用可以是採用第三方組件的方式來調用,而這類第三方組件非常繁多。這裡不對這三部分的實現做詳細的描述。
而圖形終端網絡傳輸模塊維護的是把圖形終端服務層的對網絡上機器的輸出請求做壓縮,使得在網絡上佔的頻寬足夠小。
本發明中internet訪問的實現是通過把客戶端和internet千變萬化的傳輸協議統一轉變為客戶端和internet訪問伺服器之間的基於圖形終端的傳輸協議和後面講的傳輸協議。
2)對內網絡傳輸控制模塊對內網絡傳輸控制模塊是用於控制客戶端和internet訪問伺服器之間的數據安全傳輸,實現方式是有條件的數據包過濾。
數據包過濾的實現是在對內的網絡界面上的網絡協議中綁定網絡數據包的過濾程序實現的。通過對內網絡界面的數據包都需要受到對內網絡傳輸控制層的篩選。
只有合法的數據包才允許通過。
對內網絡傳輸控制模塊是實現在客戶端和本網際網路訪問伺服器之間的數據傳輸只能是三種數據會話圖象終端網絡協議,伺服器向客戶的合法下載,客戶機向internet訪問伺服器的嚴格受控的上載。而控制網關識別這三類會話是通過識別通信網絡數據包中加密後的數據標記。
沒有正確數據標記的數據包一律被丟棄。
數據包的標記可以是在網絡數據每個數據包中必須包含客戶端網卡的物理地址和會話開始登記時間的加密數據轉化。
在對內網絡傳輸控制層登記的會話記錄是
系統每隔兩分種會自動刷新記錄一次, 兩分鐘內沒有通話的會話記錄會失效。再使用需要重新認證。
具體客戶端登記的流程見圖4,數據過濾的流程圖見圖5。
參見圖4,客戶端程序初始化,得到數據標識號和用戶授權信息,向網際網路訪問伺服器登記數據標識號和授權過程,對於網際網路訪問伺服器確認授權的,則網際網路訪問伺服器記錄登記,並告登記結束;否則直接告登記結束。
參見圖5,收到傳輸數據包,判斷是否有正確數據標識號對於有正確數據標識號的,從數據包中得到客戶端和伺服器地址,並判斷是否擁有授權登記並且數據類型的合法性,若是,則傳輸數據包到正確地址,並告結束;若否,丟棄數據包;對於沒有正確數據標識號的,則直接丟棄數據包,並告結束。
因此,客戶端要訪問網際網路訪問伺服器必須先向對內網絡傳輸控制模塊登記並得到伺服器用戶認證,才允許數據包通過,而客戶端關閉或長時間沒有活動,在訪問控制網關這個客戶端的登記蔣被註銷。新使用時需要重新登記。
沒有登記的訪問不會被通過,不管是從客戶端到伺服器端還是服務端到客戶端。所以會話登記和數據包的加密數據標記是數據包通過的兩個關鍵條件。
3)文件傳輸控制模塊除了圖形終端協議,在internet訪問伺服器和internet訪問的客戶端還允許存在文件傳輸加密的數據傳輸通道,在這裡面包含下載和上載兩部分。
具體下載的控制流程如圖8所示,在用戶使用圖形終端中的www網頁瀏覽器,或電子郵件客戶端,或FTP客戶端把文件下載到用戶私有存儲空間後,文件傳輸模塊在下載連接初始化後可根據伺服器用戶私有存儲空間的文件清單對客戶端列出所有文件信息,用戶可選擇的下載;在讀取用戶定義好的目標目錄後,傳輸模塊通過受認證的數據傳輸通道,傳輸到用戶自己的內網機器上的預先定義好的本地文件目錄中。
用戶從internet中下載文件方法是先把internet中文件下載到本網際網路訪問伺服器中私有的存儲空間中。然後文件傳輸模塊中可根據存儲空間的文件對客戶端列出所有文件信息,用戶可選擇的下載。通過受認證的數據傳輸通道,傳輸到用戶自己的內網機器上的預先定義好的本地文件目錄中。
高級用戶則允許可控的文件上傳。
具體上傳的控制流程如圖6所示,即上傳中高級用戶通過受認證的加密的數據傳輸通道上傳後,上傳後文件被放在伺服器的保密存儲區,然後文件會受到相關的審查,只有通過後文件才會出現在伺服器中的用戶的專用存儲區。用戶則可以再通過圖形終端服務對internet訪問時做真正的文件外傳。在下載和上傳中internet伺服器上為用戶分配的個人存儲區在個人用戶的內網絡機器和外部internet之間起到了存儲過渡作用。
4)系統配置和用戶管理模塊該模塊關鍵在用戶管理部分,用戶管理部分是對可訪問internet的用戶的管理,對用戶的增刪,修改,用戶使用存儲區空間和空間大小的指定。
具體核心用戶數據記錄是
5)網際網路訪問傳輸模塊在本系統internet訪問傳輸實現的是為圖形終端服務提供internet訪問傳輸。它的實現不在保護範圍之內。故不再詳述。
本發明對內網絡傳輸控制模塊和圖形終端服務模塊等各子模塊可以分開實施在不同的伺服器中。如對內傳輸控制模塊的實施在伺服器A上,圖形終端服務實施在B上,那麼客戶端的數據訪問必須訪問A,然後經過A驗證之後再由A把數據包轉發給B。實現方法和效果相同。它們的分開實施在不同伺服器上是本服務系統的一種變型。
該發明的實施效果在企業或機構裡實施本結構的系統後,用戶可以很方便的使用專用的客戶端連接到遠程的網際網路訪問伺服器,用戶的客戶端是對伺服器的遠程圖象終端。在這個客戶端裡使web,email,ftp,每個用戶在伺服器上有個自己私有的下載存儲區,用戶可以很方便的把自己的下載存儲區中的文件再傳遞到用戶自己的辦公電腦上去。而文件的上載是嚴格受控的。
本發明使用後,大部分需要物理區分內外網絡的機構,都可以在享用internet便利性的同時又保證了信息的安全,可反防止失誤的性的信息外洩,同時對防止病毒和木馬都是一個有效的措施。
雖然本發明已參照當前的具體實例進行了描述,但是本技術領域的普通技術人員應該認識到,以上的實例僅是用來說明本發明,在沒有脫離本發明精神的情況下還可作出各種等效的變化和修改。因此,只要在本發明的實質精神範圍內對上述實例的變化,變型都將落在本發明的權利要求書的範圍內。
權利要求
1.一種用於內外網絡隔離的網際網路訪問伺服器,連接在由若干個用戶計算機組成的內網和網際網路之間,用於將用戶計算機和網際網路隔開,其基於通用的計算機伺服器本體,其特徵在於它包括圖形終端服務模塊,圖形終端網絡傳輸模塊,對內網絡傳輸控制模塊,文件傳輸控制模塊,系統配置和用戶管理模塊,以及網際網路訪問傳輸模塊,其中圖形終端服務模塊與圖形終端網絡傳輸模塊相連,為客戶端提供圖形終端服務;對內網絡傳輸控制模塊,連接在所述計算機伺服器本體上,用於提供對網絡會話的嚴格限制,保證網絡內客戶端和本網際網路訪問伺服器之間都是合法的會話;文件傳輸控制模塊,連接在所述計算機伺服器本體上,用於管理用戶計算機本地硬碟與網際網路訪問伺服器各用戶專有存儲空間之間文件資料的傳輸;系統配置和用戶管理模塊,連接在所述計算機伺服器本體上,用於增刪、修改用戶設置,上載部分流程設計,以及系統參數設置;網際網路訪問傳輸模塊,連接在所述計算機伺服器本體上,用於提供所述圖形終端服務模塊訪問網際網路的傳輸控制管理。
2.根據權利要求1所述的用於內外網絡隔離的網際網路訪問伺服器,其特徵在於它還包括兩個網絡界面,一個是對用戶計算機提供網際網路圖形終端訪問服務的網絡界面,另一個是連接和訪問網際網路的網絡界面。
3.根據權利要求1或2所述的用於內外網絡隔離的網際網路訪問伺服器,其特徵在於所述圖形終端服務模塊包括www網頁瀏覽器,電子郵件客戶端,FTP客戶端。
4.根據權利要求1或2所述的用於內外網絡隔離的網際網路訪問伺服器,其特徵在於所述對內網絡傳輸控制模塊在客戶端和網際網路訪問伺服器之間所控制的數據傳輸有三種數據會話,即圖象終端網絡協議,伺服器向客戶的合法下載,客戶機向網際網路訪問伺服器的受控的上載。
5.根據權利要求1或2所述的用於內外網絡隔離的網際網路訪問伺服器,其特徵在於所述文件傳輸控制模塊包括下載和上載兩部分。
6.一種在權利要求1所述的網際網路訪問伺服器中進行客戶端登記的方法,包括下列步驟客戶端程序初始化,得到數據標識號和用戶授權信息,向網際網路訪問伺服器登記數據標識號和授權過程;對於網際網路訪問伺服器確認授權的,則網際網路訪問伺服器記錄登記,並告登記結束;否則直接告登記結束。
7.一種在權利要求1所述的網際網路訪問伺服器中進行數據包過濾的方法,包括下列步驟收到傳輸數據包,判斷是否有正確數據標識號對於有正確數據標識號的,從數據包中得到K客戶端和伺服器地址,並判斷是否擁有授權登記並且數據類型的合法性若是,則傳輸數據包到正確地址,並告結束;若否,丟棄數據包;對於沒有正確數據標識號的,則直接丟棄數據包,並告結束。
8.一種在權利要求1所述的網際網路訪問伺服器中用戶從internet上下載到用戶客戶端的方法,包括下列步驟在用戶使用圖形終端中的www網頁瀏覽器,或電子郵件客戶端,或FTP客戶端把文件下載到用戶私有存儲空間後,文件傳輸模塊在下載連接初始化後可根據伺服器用戶私有存儲空間的文件清單對客戶端列出所有文件信息,用戶可選擇的下載;在讀取用戶定義好的目標目錄後,傳輸模塊通過受認證的數據傳輸通道,傳輸到用戶自己的內網機器上的預先定義好的本地文件目錄中。
9.一種在權利要求1所述的網際網路訪問伺服器中進行上傳控制的方法,包括下列步驟傳輸連接初始化後,認證用戶通過文件上傳文件,上傳文件保存伺服器保密區,經判斷後,若通過,則從保密區傳輸到用戶個人存儲區,並告結束;若不通過,則直接記錄失敗結果,並告結束。
10.一種如權利要求1所述的用於內外網絡隔離的網際網路訪問伺服器,其特徵在於所述的對內網絡傳輸控制模塊、圖形終端服務模塊、文件傳輸控制模塊、系統配置和用戶管理模塊、以及網際網路訪問傳輸模塊按預定的組合方式分別設置在不同的通用的計算機伺服器本體上。
全文摘要
一種用於內外網絡隔離的網際網路訪問伺服器及其處理方法,其中該伺服器用於將用戶計算機和網際網路隔開,並在基於通用的計算機伺服器本體上包括圖形終端服務模塊、圖形終端網絡傳輸模塊、對內網絡傳輸控制模塊、文件傳輸控制模塊、系統配置和用戶管理模塊和網際網路訪問傳輸模塊。本發明是以特殊的訪問方式和傳輸控制來實現內外網絡的隔離和安全。所有有授權的內網中計算機可以通過網際網路訪問伺服器訪問網際網路,網際網路訪問伺服器包含圖像終端,而通過這些方式下載下來的文件或信息,只能存放在外網的個人專用存儲空間中,再從外網伺服器上下載下來到內網。而無法(或嚴格受控)把內網中的文件上傳。本發明不僅實現可以保護內網中的資料,而且可以提供對外的資料查詢和聯繫。
文檔編號H04L29/06GK101083607SQ20061002704
公開日2007年12月5日 申請日期2006年5月30日 優先權日2006年5月30日
發明者朱琳, 倪海生 申請人:倪海生, 朱琳