CN101447956B - 一种跨网闸的通信方法和通信*** - Google Patents
一种跨网闸的通信方法和通信*** Download PDFInfo
- Publication number
- CN101447956B CN101447956B CN2009100002152A CN200910000215A CN101447956B CN 101447956 B CN101447956 B CN 101447956B CN 2009100002152 A CN2009100002152 A CN 2009100002152A CN 200910000215 A CN200910000215 A CN 200910000215A CN 101447956 B CN101447956 B CN 101447956B
- Authority
- CN
- China
- Prior art keywords
- address
- equipment
- business stream
- gateway
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种跨网闸的通信方法和***,应用在包括第一通信设备和第二通信设备的网络中,所述第一通信设备位于第一网络中,所述第二通信设备位于第二网络中,所述第一网络通过第一网闸设备与外部网络分隔,所述第二网络通过第二网闸设备与外部网络分隔。本发明中通过建立两个网闸设备之间的业务流的地址端口动态转换关系,实现了跨越两个网闸的通信设备间的联动通信。该跨网闸的通信过程无需在两个网闸设备上手工静态配置转换表项,配置更加灵活,便于网闸设备的配置和维护。
Description
技术领域
本发明涉及网络技术领域,特别涉及一种跨网闸的通信方法和通信***。
背景技术
安全隔离网闸是一种由带有多种控制功能专用硬件的网络安全设备,用于切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换。作为提供数据交换的隔离设备,安全隔离网闸上内嵌病毒查杀的功能模块,可以对交换的数据进行病毒检查。
传统的安全产品可以以不同的方式满足保护数据和网络安全的需要,但不可能完全解决网络间信息的安全交换问题,因为各种安全技术都有其局限性。网闸保护内网安全性的同时,限制了部分通信流向。某些通信业务需要在网闸内外、或两个网闸后的设备之间展开。网闸对跨越网闸的通信,将分别代理目的端和源端,从而将端到端的通信连接分割为两个独立的连接,并由网闸在两个连接之间做数据过滤和摆渡。
以图1A所示的包括单个网闸的网络场景为例,位于可信网络内部的主机A需要和位于不可信网络中的B进行跨越网闸的通信时,网闸首先用一个可信网络(内网)中的一个地址B’代理不可信网络(外网)的目的地址B。之后,主机A发起目的地址为B’的通信Socket1,Socket1连接在可信网络内部传输,终结在网闸内部;网闸对通信数据进行过滤处理,并建立转换表项;如果网闸认为是安全通信流量,再用一个基于外网地址的Socket2代理主机A的Socket,发起目的地址为B、源地址为A’的通信Socket2,将Socket1的内容摆渡到Socket2上,Socket2连接在不可信网络内部传输,终结在主机B;主机B如果需要回复,则在Socket2上回复,网闸对通行数据进行过滤处理后,根据转换表项将数据摆渡到Socket1上。上述Socket(套接字)中包括地址和端口信息,主机通常可以通过Socket向网络中的对端发出请求或者应答来自网络中的对端的请求。
通过上述流程,使得网闸将跨越可信网络、不可信网络之间的通信分割为可信网络内部和不可信网络内部的两个独立连接,并由网闸在两个连接之间做数据过滤和摆渡,从而保证通信数据的安全。另外,如果通信连接由内网发起,转发表项可以动态建立。如果通信连接由外网发起,则需要在网闸上配置静态转发表项。
对于需要跨越两个网闸的通信,以图1B所示的包括两个网闸的网络场景为例,在网闸D上需要静态配置转换表项。然而从网闸C为主机A代理的Socket2端口不固定,在网闸D上配置的转换表项不一定能匹配到Socket2,因此网闸C也必须静态配置转换表项。因此,现有技术中对于需要跨越两个网闸的通信,需要在两个网闸分别配置对应的转换表项,不方便设备的配置和维护。
发明内容
本发明提供一种跨网闸的通信方法和通信***,用于方便的实现需要跨越两个网闸的通信。
为达到上述目的,本发明提供一种跨网闸的通信方法,应用在包括第一通信设备和第二通信设备的网络中,所述第一通信设备位于第一网络中,所述第二通信设备位于第二网络中,所述第一网络通过第一网闸设备与外部网络分隔,所述第二网络通过第二网闸设备与外部网络分隔,其特征在于,所述通信方法包括:
所述第一网闸设备接收到所述第一通信设备对所述第二通信设备的通信请求时,向域名解析设备发送根据第二通信设备的域名获取所述第二通信设备的地址的请求;
所述第一网闸设备接收所述域名解析设备根据所述第二通信设备的域名返回的所述第二网闸设备的地址;
所述第一网闸设备建立与所述第一通信设备间的第一业务流;
所述第一网闸设备根据所述第二网闸设备的地址,建立与所述第二网闸设备间的第二业务流,并建立所述第一业务流与所述第二业务流之间的第一地址端口动态转换关系;
所述第二网闸设备建立与所述第二通信设备间的第三业务流,并建立所述第二业务流与所述第三业务流之间的第二地址端口动态转换关系;
所述第一网闸设备根据所述第一地址端口动态转换关系、所述第二网闸设备根据所述第二地址端口动态转换关系,实现所述第一通信设备和第二通信设备间的通信。
其中,所述第一网闸设备接收所述域名解析设备根据所述第二通信设备的域名返回的所述第二网闸设备的地址,还包括:
在所述域名解析设备上存储所述第二通信设备的域名与所述第二网闸设备的地址的域名解析对应关系。
其中,所述第一网闸设备建立与所述第一通信设备间的第一业务流包括:
所述第一网闸设备生成与所述第二网闸设备的地址对应的第一代理地址并通知所述第一通信设备;
所述第一网闸设备与所述第一通信设备间建立第一业务流,所述第一业务流的地址端口信息中,源地址为第一通信设备的地址,源端口为第一通信设备建立所述第一业务流使用的端口,目的地址为所述第一网闸设备中的所述第一代理地址,目的端口为所述第一网闸设备为所述第一业务流分配的端口。
其中,所述第一网闸设备根据所述第二网闸设备的地址,建立与所述第二网闸设备间的第二业务流包括:
所述第一网闸设备向所述第二网闸设备发送为新业务流分配目的端口的请求,接收所述第二网闸设备分配的目的端口;
所述第一网闸设备与所述第二网闸设备间建立第二业务流,所述第二业务流的地址端口信息中,源地址为第一网闸设备的地址,源端口为第一网闸设备中建立所述第二业务流所使用的端口,目的地址为所述第二网闸设备的地址,目的端口为所述第二网闸设备为所述第二业务流分配的端口。
其中,所述第二网闸设备建立与所述第二通信设备间的第三业务流包括:
所述第二网闸设备生成与所述第二通信设备的地址对应的第二代理地址;
所述第二网闸设备建立与所述第二通信设备间的第三业务流,所述第三业务流的地址端口信息中,源地址为所述第二网闸设备中的所述第二代理地址,源端口为所述第二网闸设备为所述第三业务流分配的端口,目的地址为所述第二通信设备的地址,目的端口为所述第二通信设备上建立所述第三业务流所使用的端口。
其中,所述第一网闸设备根据所述第一地址端口动态转换关系、所述第二网闸设备所述第二地址端口动态转换关系,实现所述第一通信设备和第二通信设备间的通信包括:
所述第一网闸设备根据所述第一地址端口动态转换关系,将所述第一业务流中所述第一通信设备发送的数据转换为所述第二业务流中的数据,并发送到所述第二网闸设备;将所述第二业务流中所述第二通信设备发送的数据转换为所述第一业务流中的数据,并发送到所述第一通信设备;
所述第二网闸设备根据所述第二地址端口动态转换关系,将所述第二业务流中所述第一通信设备发送的数据转换为所述第三业务流中的数据,并发送到所述第二通信设备;将所述第三业务流中所述第二通信设备发送的数据转换为所述第二业务流中的数据,并发送到所述第一网闸设备。
本发明还提供一种通信***,包括第一通信设备和第二通信设备,所述第一通信设备位于第一网络中,所述第二通信设备位于第二网络中,所述第一网络通过第一网闸设备与外部网络分隔,所述第二网络通过第二网闸设备与外部网络分隔:
所述第一网闸设备,用于接收到所述第一通信设备对所述第二通信设备的通信请求时,获取所述第二网闸设备的地址,建立与所述第一通信设备间的第一业务流;根据所述第二网闸设备的地址,建立与所述第二网闸设备间的第二业务流,并建立所述第一业务流与所述第二业务流之间的第一地址端口动态转换关系;根据所述第一地址端口动态转换关系与所述第二网闸设备实现所述第一通信设备和第二通信设备间的通信;
所述第二网闸设备,用于建立与所述第二通信设备间的第三业务流,并建立所述第二业务流与所述第三业务流之间的第二地址端口动态转换关系;根据所述第二地址端口动态转换关系与所述第一网闸设备实现所述第一通信设备和第二通信设备间的通信。
具体的,所述第一网闸设备包括:地址获取单元,接收到所述第一通信设备根据所述第二通信设备的域名获取所述第二通信设备的地址的请求,向域名解析设备发送请求;并接收所述域名解析设备根据所述第二通信设备的域名返回的所述第二网闸设备的地址。
其中,所述第一网闸设备还包括:
第一代理地址生成单元,用于生成与所述第二网闸设备的地址对应的第一代理地址并通知所述第一通信设备;
第一业务流建立单元,用于与所述第一通信设备间建立第一业务流,所述第一业务流的地址端口信息中,源地址为第一通信设备的地址,源端口为第一通信设备建立所述第一业务流使用的端口,目的地址为所述第一网闸设备中的所述第一代理地址,目的端口为所述第一网闸设备为所述第一业务流分配的端口。
其中,所述第一网闸设备还包括:
端口获取单元,用于所述第二网闸设备发送为新业务流分配目的端口的请求,接收所述第二网闸设备分配的目的端口;
第二业务流建立单元,用于与所述第二网闸设备间建立第二业务流,所述第二业务流的地址端口信息中,源地址为第一网闸设备的地址,源端口为第一网闸设备中建立所述第二业务流所使用的端口,目的地址为所述第二网闸设备的地址,目的端口为所述第二网闸设备为所述第二业务流分配的端口。
其中,所述第一网闸设备还包括:
第一地址端口动态转换关系建立单元,用于所述第一业务流与所述第二业务流之间的第一地址端口动态转换关系;
第一转发单元,用于根据所述第一地址端口动态转换关系,将所述第一业务流中所述第一通信设备发送的数据转换为所述第二业务流中的数据,并发送到所述第二网闸设备;将所述第二业务流中所述第二通信设备发送的数据转换为所述第一业务流中的数据,并发送到所述第一通信设备。
其中,所述第二网闸设备包括:
端口分配单元,用于根据所述第一网闸设备的请求,为第二业务流分配目的端口;
第二代理地址生成单元,用于生成与所述第二通信设备的地址对应的第二代理地址;
第三业务流建立单元,用于建立与所述第二通信设备间的第三业务流,所述第三业务流的地址端口信息中,源地址为所述第二网闸设备中的所述第二代理地址,源端口为所述第二网闸设备为所述第三业务流分配的端口,目的地址为所述第二通信设备的地址,目的端口为所述第二通信设备上建立所述第三业务流所使用的端口。
其中,所述第二网闸设备还包括:
第二地址端口动态转换关系建立单元,用于所述第一业务流与所述第二业务流之间的第二地址端口动态转换关系;
第二转发单元,用于根据所述第二地址端口动态转换关系,将所述第二业务流中所述第一通信设备发送的数据转换为所述第三业务流中的数据,并发送到所述第二通信设备;将所述第三业务流中所述第二通信设备发送的数据转换为所述第二业务流中的数据,并发送到所述第一网闸设备。
其中,还包括:
域名解析设备,用于存储所述第二通信设备的域名与所述第二网闸设备的地址的域名解析对应关系。与现有技术相比,本发明具有以下优点:
通过建立两个网闸设备之间的业务流的地址端口动态转换关系,实现了跨越两个网闸的通信设备间的联动通信。该过程无需在两个网闸设备上手工静态配置转换表项,配置更加灵活,便于网闸设备的配置和维护。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1A是现有技术中包括单个网闸的网络场景示意图;
图1B是现有技术中包括两个网闸的网络场景示意图;
图2是本发明中跨网闸的通信方法的流程图;
图3是本发明中跨网闸的通信方法的一个应用场景示意图;
图4A和图4B是本发明的应用场景中跨网闸的通信方法的示意图;
图5是本发明中的通信***中第一网闸设备的结构示意图;
图6是本发明中的通信***中第二网闸设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种跨网闸的通信方法,应用在包括第一通信设备和第二通信设备的网络中,第一通信设备位于第一网络中,第二通信设备位于第二网络中,第一网络通过第一网闸设备与外部网络分隔,第二网络通过第二网闸设备与外部网络分隔,该方法如图2所示,包括:
步骤s201、第一网闸设备接收到第一通信设备对第二通信设备的通信请求时,获取第二网闸设备的地址,建立与第一通信设备间的第一业务流。
步骤s202、第一网闸设备根据第二网闸设备的地址,建立与第二网闸设备间的第二业务流,并建立第一业务流与第二业务流之间的第一地址端口动态转换关系。
步骤s203、第二网闸设备建立与第二通信设备间的第三业务流,并建立第二业务流与第三业务流之间的第二地址端口动态转换关系。
步骤s204、第一网闸设备根据第一地址端口动态转换关系、第二网闸设备根据第二地址端口动态转换关系,实现第一通信设备和第二通信设备间的通信。
本发明中,在第一网闸设备上建立第一业务流与第二业务流之间的第一地址端口动态转换关系、在第二网闸设备上建立第二业务流与第三业务流之间的第二地址端口动态转换关系;通过建立的上述业务流之间的地址端口动态转换关系,实现了跨越两个网闸的通信设备间的联动通信,避免了在网闸设备上手工静态配置转换表项的繁琐操作。
以下结合一个具体的应用场景,描述本发明中跨网闸的通信方法的具体实施方式。以图3所示的应用场景为例,其中包括位于可信网络Domain1中的主机A,位于可信网络Domain2中的主机B。可信网络Domain1与外部网络通过网闸C分隔,可信网络Domain2与外部网络通过网闸D分隔,在网闸C与网闸D上启动DNS代理功能。主机A与主机B分别在外网的DNS服务器上注册域名HostA.domain1和HostB.domain2,对应的IP地址分别是网闸C、网闸D的公网地址IPC、IPD。
如图4A和图4B所示,本发明中主机A与主机B间的通信方法包括:
步骤s401、主机A通过域名HostB.domain2访问主机B时,向网闸C请求关于HostB.domain2的IP地址。
步骤s402、网闸C向DNS(Domain Name System,域名***)服务器请求关于HostB.domain2的IP地址。
步骤s403、DNS服务器回复网闸C,HostB.domain2对应的IP地址为网闸D的公网地址IPD。上述步骤s402~s403的实现需要网闸C具有DNS代理功能。除了使用DNS获取主机B的地址以外,主机A还可以使用其他的名称解析服务,比如NETBIOS等。网闸C和网闸D则需要启动相应的代理功能。
步骤s404、网闸C向主机A回复内网地址IPB’,并存储IPB’与IPD的对应关系。
具体的,网闸C具有一个内网地址池,并为每一个目的主机分配一个私网IP。网闸C得到DNS服务器回复的地址IPD后生成一个内网地址IPB’代理主机B来以侦听来自主机A的Socket,并向主机A回复内网地址IPB’以使主机A认为“HostB.domain2对应的IP地址为IPB’”。另外,网闸C为了在收到不同的流时能够区分流的目的地址,还需要存储IPB’与IPD的对应关系。
步骤s405、主机A发送业务流Socket1,Socket1的地址端口信息中:源地址是主机A的地址IPA,源端口是主机A建立业务流Socket1使用的端口SrcPort1,目的地址是网闸C中的代理地址IPB’,目的端口是网闸C中为业务流Socket1分配的端口DstPort1。其中,主机A以为IPB’是真正的目的地址,DstPort1是真实的目的端口。
步骤s406、网闸C收到Socket1的业务流后,经过过滤等安全处理后,在不可信网络上转发Socket1的业务流。
具体的,网闸C首先缓存该流,并分配公网源端口号SrcPort2以创建Socket2;同时网闸C根据步骤s404中缓存的IPB’与IPD的对应关系,向目的地址为IPD的网闸D发送请求消息,请求网闸D为“IPC:SrcPort2+域名HostB.domain2:DstPort1”分配外网目的端口号,请求报文中同时包含请求ID,用于表示来自不同的网闸的不同的请求。
步骤s407、网闸D回复网闸C主机B的外网目的端口号DstPort2。
网闸D收到请求后,如果满足代理要求,则为“HostB.domain2”分配外网目的端口号DstPort2、并生成用于代理主机A的内网IP地址IPA’、代理主机A的内网源端口SrcPort3。之后建立以下转换表项:
之后网闸D回复网闸C,内容包括请求ID以及主机B的外网目的端口号DstPort2。
该步骤中,网闸D还可以首先对来自网闸C的请求报文源地址进行鉴权等处理,以确定网闸C是否有权限申请外网目的端口。权限可以包括:网闸C是否属于本地配置需要联动通信的网闸;或网闸C与本设备是否属于同一安全联盟等方式。另外,网闸D可以对请求连接的主机B的域名进行鉴权等处理,以确定是否需要为主机B开启外网通信权限。采取的权限可以包括:本地是否配置了需要为主机B进行网闸联动通信;以及主机B属于某一安全联盟等方式。
步骤s408、网闸C收到网闸D的回复后,生成业务流Socket2,Socket2的地址端口信息中,源地址为网闸C的地址IPC,源端口为网闸C中建立业务流Socket2所使用的端口SrcPort2,目的地址为网闸D的地址IPD,目的端口为网闸D为业务流Socket2分配的端口DstPort2。之后,网闸C将Socket1上的数据摆渡至Socket2,并建立以下表项:
该转换表项可以认为是Socket1的业务流与Socket2的业务流之间的第一地址端口动态转换关系。
步骤s409、网闸D收到来自不可信网络中Socket2的数据、经过过滤等安全处理后,根据步骤s407生成的转换表项,创建业务流Socket3,并将Socket2上的数据摆渡至Socket3。Socket3的地址端口信息中,源地址为网闸D中的代理地址IPA’,源端口为网闸D为业务流Socket3分配的端口SrcPort3,目的地址为IPB的地址,目的端口为IPB上建立业务流Socket3所使用的端口DstPort1。
另外,上述步骤s407中网闸D建立转换表项的步骤也可以在本步骤中进行。该转换表项可以认为是Socket2的业务流与Socket3的业务流之间的第二地址端口动态转换关系。
步骤s410、主机B如果需要进行响应,则在Socket3上发送响应数据至IPA’。
步骤s411、网闸D把Socket3上的响应数据经过过滤等安全处理后,摆渡给Socket2,发送给IPC。
步骤s412、网闸C把Socket2上的数据经过过滤等安全处理后,摆渡给Socket1,发送给IPA。
另外,上述网闸C与网闸D的通信过程中,由于通信是在不安全网络中进行,因此可以对网闸C与网闸D间的通信内容进行IPSec等数据加密技术,并通过IKE(Internet Key Exchange,因特网密钥交换协议)动态协商和更新密钥,以保证网闸间通信的安全性。对于由主机B主动发起的与主机A的通信,与上述图4A和图4B所示的过程相似,在此不进行重复描述。
本发明提供的方法中,通过建立两个网闸设备之间的业务流的地址端口动态转换关系,实现了跨越两个网闸的通信设备间的联动通信。该过程无需在两个网闸设备上手工静态配置转换表项,配置更加灵活,便于网闸设备的配置和维护。
本发明还提供一种通信***,包括第一通信设备和第二通信设备,第一通信设备位于第一网络中,第二通信设备位于第二网络中,第一网络通过第一网闸设备与外部网络分隔,第二网络通过第二网闸设备与外部网络分隔,其特征在于:
第一网闸设备,用于接收到第一通信设备对第二通信设备的通信请求时,获取第二网闸设备的地址,建立与第一通信设备间的第一业务流;根据第二网闸设备的地址,建立与第二网闸设备间的第二业务流,并建立第一业务流与第二业务流之间的第一地址端口动态转换关系;根据第一地址端口动态转换关系与第二网闸设备实现第一通信设备和第二通信设备间的通信;
第二网闸设备,用于建立与第二通信设备间的第三业务流,并建立第二业务流与第三业务流之间的第二地址端口动态转换关系;根据第二地址端口动态转换关系与第一网闸设备实现第一通信设备和第二通信设备间的通信。
该***还可以包括域名解析设备,用于存储第二通信设备的域名与第二网闸设备的地址的域名解析对应关系,以及第一通信设备的域名与第一网闸设备的地址的域名解析对应关系。
其中,第一网闸设备的结构示意图如图5所示,其中第一网闸设备10可以包括:
地址获取单元11,用于接收到第一通信设备根据第二通信设备的域名获取第二通信设备的地址的请求,向域名解析设备发送请求;并接收域名解析设备根据第二通信设备的域名返回的第二网闸设备的地址;
第一代理地址生成单元12,用于生成与第二网闸设备的地址对应的第一代理地址并通知第一通信设备;
第一业务流建立单元13,用于与第一通信设备间建立第一业务流,第一业务流的地址端口信息中,源地址为第一通信设备的地址,源端口为第一通信设备建立第一业务流使用的端口,目的地址为第一网闸设备中的第一代理地址,目的端口为第一网闸设备为第一业务流分配的端口;
端口获取单元14,用于第二网闸设备发送为新业务流分配目的端口的请求,接收第二网闸设备分配的目的端口;
第二业务流建立单元15,用于与第二网闸设备间建立第二业务流,第二业务流的地址端口信息中,源地址为第一网闸设备的地址,源端口为第一网闸设备中建立第二业务流所使用的端口,目的地址为第二网闸设备的地址,目的端口为第二网闸设备为第二业务流分配的端口;
第一地址端口动态转换关系建立单元16,用于第一业务流与第二业务流之间的第一地址端口动态转换关系;
第一转发单元17,用于根据第一地址端口动态转换关系,将第一业务流中第一通信设备发送的数据转换为第二业务流中的数据,并发送到第二网闸设备;将第二业务流中第二通信设备发送的数据转换为第一业务流中的数据,并发送到第一通信设备。
其中,第二网闸设备的结构示意图如图6所示,其中第二网闸设备20可以包括:
端口分配单元21,用于根据第一网闸设备的请求,为第二业务流分配目的端口;
第二代理地址生成单元22,用于生成与第二通信设备的地址对应的第二代理地址;
第三业务流建立单元23,用于建立与第二通信设备间的第三业务流,第三业务流的地址端口信息中,源地址为第二网闸设备中的第二代理地址,源端口为第二网闸设备为第三业务流分配的端口,目的地址为第二通信设备的地址,目的端口为第二通信设备上建立第三业务流所使用的端口;
第二地址端口动态转换关系建立单元24,用于第二业务流与第三业务流之间的第二地址端口动态转换关系;
第二转发单元25,用于根据第二地址端口动态转换关系,将第二业务流中第一通信设备发送的数据转换为第三业务流中的数据,并发送到第二通信设备;将第三业务流中第二通信设备发送的数据转换为第二业务流中的数据,并发送到第一网闸设备。
本发明提供的***和设备中,通过建立两个网闸设备之间的业务流的地址端口动态转换关系,实现了跨越两个网闸的通信设备间的联动通信。该过程无需在两个网闸设备上手工静态配置转换表项,配置更加灵活,便于网闸设备的配置和维护。
上述模块可以分布于一个装置,也可以分布于多个装置。上述模块可以合并为一个模块,也可以进一步拆分成多个子模块。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
以上公开的仅为本发明的几个具体实施例,但是,本发明并非局限于此,任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
Claims (13)
1.一种跨网闸的通信方法,应用在包括第一通信设备和第二通信设备的网络中,所述第一通信设备位于第一网络中,所述第二通信设备位于第二网络中,所述第一网络通过第一网闸设备与外部网络分隔,所述第二网络通过第二网闸设备与外部网络分隔,其特征在于,所述通信方法包括:
所述第一网闸设备接收到所述第一通信设备对所述第二通信设备的通信请求时,向域名解析设备发送根据第二通信设备的域名获取所述第二通信设备的地址的请求;
所述第一网闸设备接收所述域名解析设备根据所述第二通信设备的域名返回的所述第二网闸设备的地址;
所述第一网闸设备建立与所述第一通信设备间的第一业务流;
所述第一网闸设备根据所述第二网闸设备的地址,建立与所述第二网闸设备间的第二业务流,并建立所述第一业务流与所述第二业务流之间的第一地址端口动态转换关系;
所述第二网闸设备建立与所述第二通信设备间的第三业务流,并建立所述第二业务流与所述第三业务流之间的第二地址端口动态转换关系;
所述第一网闸设备根据所述第一地址端口动态转换关系、所述第二网闸设备根据所述第二地址端口动态转换关系,实现所述第一通信设备和第二通信设备间的通信。
2.如权利要求1所述的方法,其特征在于,所述第一网闸设备接收所述域名解析设备根据所述第二通信设备的域名返回的所述第二网闸设备的地址,还包括:
在所述域名解析设备上存储所述第二通信设备的域名与所述第二网闸设备的地址的域名解析对应关系。
3.如权利要求1所述的方法,其特征在于,所述第一网闸设备建立与所述第一通信设备间的第一业务流包括:
所述第一网闸设备生成与所述第二网闸设备的地址对应的第一代理地址并通知所述第一通信设备;
所述第一网闸设备与所述第一通信设备间建立第一业务流,所述第一业 务流的地址端口信息中,源地址为第一通信设备的地址,源端口为第一通信设备建立所述第一业务流使用的端口,目的地址为所述第一网闸设备中的所述第一代理地址,目的端口为所述第一网闸设备为所述第一业务流分配的端口。
4.如权利要求3所述的方法,其特征在于,所述第一网闸设备根据所述第二网闸设备的地址,建立与所述第二网闸设备间的第二业务流包括:
所述第一网闸设备向所述第二网闸设备发送为新业务流分配目的端口的请求,接收所述第二网闸设备分配的目的端口;
所述第一网闸设备与所述第二网闸设备间建立第二业务流,所述第二业务流的地址端口信息中,源地址为第一网闸设备的地址,源端口为第一网闸设备中建立所述第二业务流所使用的端口,目的地址为所述第二网闸设备的地址,目的端口为所述第二网闸设备为所述第二业务流分配的端口。
5.如权利要求4所述的方法,其特征在于,所述第二网闸设备建立与所述第二通信设备间的第三业务流包括:
所述第二网闸设备生成与所述第二通信设备的地址对应的第二代理地址;
所述第二网闸设备建立与所述第二通信设备间的第三业务流,所述第三业务流的地址端口信息中,源地址为所述第二网闸设备中的所述第二代理地址,源端口为所述第二网闸设备为所述第三业务流分配的端口,目的地址为所述第二通信设备的地址,目的端口为所述第二通信设备上建立所述第三业务流所使用的端口。
6.如权利要求1所述的方法,其特征在于,所述第一网闸设备根据所述第一地址端口动态转换关系、所述第二网闸设备所述第二地址端口动态转换关系,实现所述第一通信设备和第二通信设备间的通信包括:
所述第一网闸设备根据所述第一地址端口动态转换关系,将所述第一业务流中所述第一通信设备发送的数据转换为所述第二业务流中的数据,并发送到所述第二网闸设备;将所述第二业务流中所述第二通信设备发送的数据转换为所述第一业务流中的数据,并发送到所述第一通信设备;
所述第二网闸设备根据所述第二地址端口动态转换关系,将所述第二业务流中所述第一通信设备发送的数据转换为所述第三业务流中的数据,并发送到所述第二通信设备;将所述第三业务流中所述第二通信设备发送的数据转换为所述第二业务流中的数据,并发送到所述第一网闸设备。
7.一种通信***,包括第一通信设备和第二通信设备,所述第一通信设备位于第一网络中,所述第二通信设备位于第二网络中,所述第一网络通过第一网闸设备与外部网络分隔,所述第二网络通过第二网闸设备与外部网络分隔,其特征在于:
所述第一网闸设备,用于接收到所述第一通信设备对所述第二通信设备的通信请求时,获取所述第二网闸设备的地址,建立与所述第一通信设备间的第一业务流;根据所述第二网闸设备的地址,建立与所述第二网闸设备间的第二业务流,并建立所述第一业务流与所述第二业务流之间的第一地址端口动态转换关系;根据所述第一地址端口动态转换关系与所述第二网闸设备实现所述第一通信设备和第二通信设备间的通信;
所述第二网闸设备,用于建立与所述第二通信设备间的第三业务流,并建立所述第二业务流与所述第三业务流之间的第二地址端口动态转换关系;根据所述第二地址端口动态转换关系与所述第一网闸设备实现所述第一通信设备和第二通信设备间的通信;
具体的,所述第一网闸设备包括:地址获取单元,接收到所述第一通信设备根据所述第二通信设备的域名获取所述第二通信设备的地址的请求,向域名解析设备发送请求;并接收所述域名解析设备根据所述第二通信设备的域名返回的所述第二网闸设备的地址。
8.如权利要求7所述的通信***,其特征在于,所述第一网闸设备还包括:
第一代理地址生成单元,用于生成与所述第二网闸设备的地址对应的第一代理地址并通知所述第一通信设备;
第一业务流建立单元,用于与所述第一通信设备间建立第一业务流,所述第一业务流的地址端口信息中,源地址为第一通信设备的地址,源端口为第一通信设备建立所述第一业务流使用的端口,目的地址为所述第一网闸设 备中的所述第一代理地址,目的端口为所述第一网闸设备为所述第一业务流分配的端口。
9.如权利要求8所述的通信***,其特征在于,所述第一网闸设备还包括:
端口获取单元,用于所述第二网闸设备发送为新业务流分配目的端口的请求,接收所述第二网闸设备分配的目的端口;
第二业务流建立单元,用于与所述第二网闸设备间建立第二业务流,所述第二业务流的地址端口信息中,源地址为第一网闸设备的地址,源端口为第一网闸设备中建立所述第二业务流所使用的端口,目的地址为所述第二网闸设备的地址,目的端口为所述第二网闸设备为所述第二业务流分配的端口。
10.如权利要求8或9所述的通信***,其特征在于,所述第一网闸设备还包括:
第一地址端口动态转换关系建立单元,用于所述第一业务流与所述第二业务流之间的第一地址端口动态转换关系;
第一转发单元,用于根据所述第一地址端口动态转换关系,将所述第一业务流中所述第一通信设备发送的数据转换为所述第二业务流中的数据,并发送到所述第二网闸设备;将所述第二业务流中所述第二通信设备发送的数据转换为所述第一业务流中的数据,并发送到所述第一通信设备。
11.如权利要求7所述的通信***,其特征在于,所述第二网闸设备包括:
端口分配单元,用于根据所述第一网闸设备的请求,为第二业务流分配目的端口;
第二代理地址生成单元,用于生成与所述第二通信设备的地址对应的第二代理地址;
第三业务流建立单元,用于建立与所述第二通信设备间的第三业务流,所述第三业务流的地址端口信息中,源地址为所述第二网闸设备中的所述第二代理地址,源端口为所述第二网闸设备为所述第三业务流分配的端口,目的地址为所述第二通信设备的地址,目的端口为所述第二通信设备上建立所述第三业务流所使用的端口。
12.如权利要求11所述的通信***,其特征在于,所述第二网闸设备还包括:
第二地址端口动态转换关系建立单元,用于所述第二业务流与所述第三业务流之间的第二地址端口动态转换关系;
第二转发单元,用于根据所述第二地址端口动态转换关系,将所述第二业务流中所述第一通信设备发送的数据转换为所述第三业务流中的数据,并发送到所述第二通信设备;将所述第三业务流中所述第二通信设备发送的数据转换为所述第二业务流中的数据,并发送到所述第一网闸设备。
13.如权利要求7所述的通信***,其特征在于,还包括:
域名解析设备,用于存储所述第二通信设备的域名与所述第二网闸设备的地址的域名解析对应关系。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100002152A CN101447956B (zh) | 2009-01-13 | 2009-01-13 | 一种跨网闸的通信方法和通信*** |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100002152A CN101447956B (zh) | 2009-01-13 | 2009-01-13 | 一种跨网闸的通信方法和通信*** |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101447956A CN101447956A (zh) | 2009-06-03 |
CN101447956B true CN101447956B (zh) | 2012-01-04 |
Family
ID=40743362
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100002152A Expired - Fee Related CN101447956B (zh) | 2009-01-13 | 2009-01-13 | 一种跨网闸的通信方法和通信*** |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101447956B (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104009956B (zh) * | 2013-02-22 | 2017-05-03 | 杭州海康威视数字技术股份有限公司 | 一种基于嵌入式多核协处理网闸***的通信方法 |
CN103997495A (zh) * | 2014-05-23 | 2014-08-20 | 中国人民解放军理工大学 | 一种安全隔离文件传输控制方法 |
CN106170008A (zh) * | 2016-05-17 | 2016-11-30 | 北京畅游天下网络技术有限公司 | 一种跨网通讯方法、装置及负载均衡器 |
CN107872542B (zh) * | 2016-09-27 | 2021-05-04 | 阿里巴巴集团控股有限公司 | 一种数据传输的方法及网络设备 |
CN106375493B (zh) * | 2016-10-10 | 2020-12-18 | 腾讯科技(深圳)有限公司 | 一种跨网络通信的方法以及代理服务器 |
CN106506510A (zh) * | 2016-11-18 | 2017-03-15 | 江苏方天电力技术有限公司 | 动态振动信号数据跨网闸传输***及其方法 |
CN108243143B (zh) * | 2016-12-23 | 2020-05-19 | 北京明朝万达科技股份有限公司 | 一种基于web代理的网闸穿透方法及*** |
EP3367194B1 (de) * | 2017-02-23 | 2022-06-22 | Siemens Aktiengesellschaft | Inbetriebnahme von maschinen mit virtuellen komponenten im inselbetrieb ohne ip-adressvergabe |
CN107483333A (zh) * | 2017-09-22 | 2017-12-15 | 烽火通信科技股份有限公司 | 一种通用型跨路由域互通装置及方法 |
CN108173810B (zh) * | 2017-12-07 | 2020-10-13 | 新华三信息安全技术有限公司 | 一种传输网络数据的方法及装置 |
CN108092971A (zh) * | 2017-12-13 | 2018-05-29 | 新华三信息安全技术有限公司 | 一种处理业务报文的方法及装置 |
CN108984725A (zh) * | 2018-07-11 | 2018-12-11 | 浪潮软件股份有限公司 | 一种跨网闸数据同步方法 |
CN109302432B (zh) * | 2018-12-17 | 2021-09-07 | 何书霞 | 基于网络安全隔离技术的网络通信数据组合加密传输方法 |
CN109474628B (zh) * | 2018-12-27 | 2021-06-08 | 奇安信科技集团股份有限公司 | 一种基于双单向网闸的数据传输方法、***、设备和介质 |
CN110677409B (zh) * | 2019-09-26 | 2021-09-10 | 北京明略软件***有限公司 | 异构网络数据接入的单向安全传输方法及数据传输*** |
CN110890984B (zh) * | 2019-11-27 | 2022-07-22 | 山东九州信泰信息科技股份有限公司 | 一种基于隔离设备的双机热备的切换方法 |
CN113596184B (zh) * | 2020-04-30 | 2023-08-08 | 华为云计算技术有限公司 | 混合云***、网闸、网络访问方法及存储介质 |
CN112887192B (zh) * | 2021-01-12 | 2023-05-30 | 讯飞智元信息科技有限公司 | 跨网通信方法及其电子设备、计算机可读存储介质 |
CN114091058A (zh) * | 2021-11-08 | 2022-02-25 | 支付宝(杭州)信息技术有限公司 | 在第一区域和第二区域间数据安全共享的方法和*** |
CN114615082B (zh) * | 2022-04-07 | 2023-09-12 | 西安热工研究院有限公司 | 一种使用正反向网闸模拟tcp双工安全通讯***和方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1525711A (zh) * | 2003-01-21 | 2004-09-01 | ���ǵ�����ʽ���� | 用于在不同的专用网的网络设备之间支持通信的网关 |
CN1747457A (zh) * | 2005-09-09 | 2006-03-15 | 北京中星微电子有限公司 | 一种跨网关通信的方法 |
-
2009
- 2009-01-13 CN CN2009100002152A patent/CN101447956B/zh not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1525711A (zh) * | 2003-01-21 | 2004-09-01 | ���ǵ�����ʽ���� | 用于在不同的专用网的网络设备之间支持通信的网关 |
CN1747457A (zh) * | 2005-09-09 | 2006-03-15 | 北京中星微电子有限公司 | 一种跨网关通信的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN101447956A (zh) | 2009-06-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101447956B (zh) | 一种跨网闸的通信方法和通信*** | |
CN101252509B (zh) | 双-nat方法在动态虚拟专用网络(vpn)的数据包处理及路由中的应用 | |
EP2253123B1 (en) | Method and apparatus for communication of data packets between local networks | |
CN1586065B (zh) | 利用网络地址转换的对等网络通信方法、设备及*** | |
TWI545446B (zh) | 與一公用雲端網路一同使用之方法及系統 | |
CN107743075B (zh) | 一种多***网络互联设备、方法及装置 | |
US20030140142A1 (en) | Initiating connections through firewalls and network address translators | |
US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
US20110283017A1 (en) | Interconnecting Members of a Virtual Network | |
CN110191031A (zh) | 网络资源访问方法、装置、电子设备 | |
CN105430059A (zh) | 智能客户端路由 | |
CN106878133B (zh) | 报文转发方法及装置 | |
TW201511508A (zh) | 用於對虛擬私人網路之特定應用程式存取之系統及方法 | |
KR101472685B1 (ko) | 망 연계 게이트웨이 및 이를 이용한 망 분리 방법과 컴퓨터 네트워크 시스템 | |
CN102684969A (zh) | Vpn节点及其标识解析代理及方法、和vpn服务器 | |
CN111131448B (zh) | ADSL Nat的运维管理的边缘管理方法、边缘端代理设备及计算机可读存储介质 | |
CN105635335A (zh) | 社会资源接入方法、装置及*** | |
CN104539752B (zh) | 多级域平台间的访问方法及*** | |
CN106027354A (zh) | Vpn客户端的回流方法及装置 | |
JP2019050628A (ja) | ReNAT通信環境を提供するシステム及び方法 | |
CN105812499B (zh) | 通信方法和通信***及虚拟客户终端设备 | |
JP6609660B2 (ja) | 通信システム、通信装置、通信方法及び通信プログラム | |
US10542082B2 (en) | Communication control apparatus, communication control method and communication control program | |
US20140219164A1 (en) | Hardware-Based Private Network Using WiMAX | |
CN117439815B (zh) | 一种基于反向透明桥接的内网穿透***及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120104 Termination date: 20200113 |
|
CF01 | Termination of patent right due to non-payment of annual fee |