一种网络隔离装置及在网络隔离系统之间传输数据的方法与流程

1.本技术涉及网络安全领域，具体而言本技术实施例涉及一种网络隔离装置及在网络隔离系统之间传输数据的方法。


背景技术：

2.在一些对隔离合规要求比较高的行业，为实现区域网络隔离和跨网安全数据交换，将跨网安全数据交换产品部署在不同的网络作为网络隔离和数据摆渡唯一通道，使跨网安全数据交换产品配合网闸或光闸组成一套完整的跨网数据摆渡解决方案。跨网安全数据交换产品可以应用于各行业网络隔离场景，为满足各种复杂的海量业务，需要满足用户对跨网安全数据交换产品高吞吐高并发的要求。如图1所示，跨网安全数据交换产品由前置(即网络隔离装置)和后置(即另一个网络个隔离装置)组成一套设备，即跨网络安全数据交换产品130。可以通过配置代理策略(即各业务类型支持的策略)实现两个网络区域的通信。通过配置策略，前置可以将位于第一网络110的客户端发送给前置的报文转交给后置，后置再将报文发给位于第二网络120的服务端，从而完成两个隔离网络中客户端和服务端的通信；也可以是客户端发送报文给后置，后置将报文转交给前置，前置再将报文发给服务端，从而完成两个隔离网络中客户端和服务端的通信。
3.如图1所示，相关技术的某些跨网安全数据交换产品在前置和后置之间通过一对ip地址承载前置和后置之间的数据传输，完成真实客户端到服务端的通信。前置和后置之间使用私有协议，实现网络隔离，提升安全数据。在前置和后置之间通过一对ip地址承载前置和后置之间的所有数据传输会导致受单个ip限制，前置和后置之间可用的并发连接有限，当客户端连接数过多时由于前置和后置之间的并发连接不够，造成设备的新建和吞吐性能不高。


技术实现要素：

4.本技术实施例的目的在于提供一种网络隔离装置及在网络隔离系统之间传输数据的方法，本技术的实施例根据地址池中ip地址数量和业务类型数量的关系确定对地址池中地址的预分配策略，若根据预分配策略得到的预分配结果用于记录为每个业务类型预分配的地址池中的地址时，本技术的实施例在具体地址分配时不同业务类型预分配地址不完全隔离，即根据预分配结果为待传输数据报文选择传输地址和端口时是可以根据业务类型和策略配置调整可用地址，实现一定程度的共享。
5.第一方面，本技术实施例提供一种网络隔离装置，所述网络隔离装置包括：配置模块，被配置为：完成地址池中地址的预分配，得到本端地址预分配结果，其中，所述本端地址预分配结果是通过比较本端业务类型数目与本端地址池中地址的个数之间的大小关系确定的；维护所述本端地址预分配结果以及本端地址池地址使用状态；连接模块，被配置为依据所述本端地址预分配结果为对端的待传输数据报文获取本端数据传输地址和端口；数据传输模块，被配置为依据对端数据传输地址和端口向对端网络隔离装置发送本端的待传输
数据报文。
6.本技术的一些实施例通过比较相应网络隔离装置(例如，本端的网络隔离装置以及对端的网络隔离装置)所支持的业务类型的数目与地址池中地址的数目之间的大小关系确定地址分配策略，并依据分配策略完成地址池中地址的预分配，得到本端地址预分配结果，之后再依据本端地址预分配结果为待传输数据报文分配数据传输地址和端口，其中，在为待传输数据报文从地址预分配结果中选取数据传输地址和端口时可以调整地址预分配结果中所记录的地址和业务类型的对应关系。
7.在一些实施例中，所述配置模块进一步包括：地址池模块，被配置为：计算所述传输口地址所在子网的剩余可用地址，得到待分配地址集合；将所述待分配地址集合中的所有地址平分给所述网络隔离装置和所述对端网络隔离装置，得到所述本端地址池和所述对端地址池；按照所述本端业务类型数目和所述本端地址池中地址个数之间的大小关系确定地址预分配策略并依据所述地址预分配策略完成所述本端地址池中地址的预分配，得到所述本端地址预分配结果；记录表模块，被配置为存储所述本端地址预分配结果以及所述本端地址池地址使用状态。
8.本技术的一些实施例通过平分和传输口地址在同一子网的多个地址，得到与各网络隔离装置对应的地址池，之后再依据地址池实现各网络隔离装置的地址池中地址的预分配，得到各端的地址预分配结果。
9.在一些实施例中，所述地址池模块还被配置为：若确认所述本端业务类型数目大于所述本端地址池的地址个数，则为各业务类型分配第一标记并将所述本端地址池的地址作为第一本端地址预分配结果信息；若确认所述本端业务类型数目等于所述本端地址池的地址个数，则将所述本端地址池中的每个地址预分配给一个业务类型，得到各地址和端口与业务类型之间的对应关系，将所述对应关系作为第二本端地址预分配结果信息中的至少部分信息；若确认所述本端业务类型数目小于所述本端地址池中地址的个数，则将所述本端地址池中每个地址分配给一个业务类型，并将所述本端地址池地址中的剩余地址根据业务类型的策略数进行再次预分配；记录为各业务类型预分配的地址和端口，得到对应关系；将所述对应关系作为第三本端地址预分配结果中的至少部分信息。
10.本技术一些实施例通过比较相应端支持的业务类型数目与地址池中地址的数目确定预分配地址的策略，若前者大于后者则不为各业务类型预分配相应地址而是直接将地址池地址作为预分配结果；若两者相等则为每种业务类型分配一个地址池中的地址，得到业务类型与地址的一一对应关系，将该一一对象关系作为地址预分配结果中的部分(还可以进一步包括各业务类型启动的策略数)或者全部信息；若前者小于后者，则为每个业务类型分配一个地址的情况下针对支持策略数多的业务类型可以多于一个地址，得到各业务类型与被预分配的地址之间的对应关系，将该一一对象关系作为地址预分配结果中的部分(还可以进一步包括各业务类型启动的策略数)或者全部信息。可以理解的是，对端地址预分配结果的获取方式与本端地址预分配结果的策略相同。
11.在一些实施例中，所述第二本端地址预分配结果和所述第三本端地址预分配结果还分别用于记录当前时刻各业务类型启动的策略数。
12.本技术的一些实施例可以根据记录的策略数调整地址预分配结果中的地址与业务类型的对应关系，实现可以根据业务类型和策略配置调整待传输数据的可用地址改变地
址预分配结果中的地址与业务类型之间的映射关系。
13.在一些实施例中，所述连接模块包括：获取地址模块，被配置为根据所述对端的待传输数据所属的业务类型，通过查询所述本端地址预分配结果为所述对端的待传输数据获取所述本端数据传输地址和所述端口；连接判断模块，被配置为若所述对端的待传输数据报文属于首个报文则通过调用所述获取地址模块得到所述本端数据传输地址和端口，若所述对端的待传输数据报文不属于首个报文则通过调用所述记录表模块获取所述本端数据传输地址和端口，并将所述本端数据传输地址和所述端口提供给对端的数据传输模块。
14.本技术的一些实施例在有具体数据报文需要传输时通过对端地址预分配结果得到对端网络隔离装置的数据传输地址和端口，进而将待传输数据报文提供至对端。
15.在一些实施例中，所述获取地址模块还被配置为：若确认所述对端的待传输数据所属的业务类型为第一类型，则从所述本端地址池中读取下一个地址及端口作为所述数据传输地址和所述端口。
16.本技术的一些实施例对于业务类型数目大于策略数目时，则直接依次读取地址池中的地址完成地址分配，可以提高地址池中地址的使用效率，保证稀缺资源(即地址)的高效使用。
17.在一些实施例中，所述获取地址模块还被配置为：若确认所述对端的待传输数据所属的业务类型不属于第一类型，则首先从所述本端地址池地址使用状态中查找用于传输所述对端待传输数据所属业务类型的数据传输地址和端口得到所述本端数据传输地址和端口，若从所述本端地址池地址使用状态信息中未查找到用于传输所述对端的待传输数据的数据传输地址和端口，则进一步查询所述本端地址预分配结果中是否存在没有启动策略的业务类型，若存在则从所述没有启动策略的业务类型对应的预分配地址中获取所述本端数据传输地址和端口，否则优先在启动策略数少的业务类型对应的预分配地址中获取所述本端数据传输地址和端口。
18.本技术的一些实施例在为对端的待传输数据分配本端数据传输地址和端口时会根据本端的属性信息调整地址预分配结果中与各业务类型对应的数据传输地址和端口，即在为对端的待传输数据查找数据传输地址和端口时可以根据业务类型和设备策略配置调整地址预分配结果，实现共享。
19.第二方面，本技术的一些实施例提供一种在网络隔离系统之间传输数据的方法，所述网络隔离系统包括与客户端通信的第一网络隔离装置以及与服务端通信的第二网络隔离装置，所述方法包括：接收待传输报文；若确认需要为所述待传输报文建立新连接，则通过查询对端地址预分配结果或者对端地址池地址使用状态获取对端数据传输地址和端口，其中，所述对端地址预分配结果是通过比较对端业务类型数目与对端地址池中地址的个数之间的大小关系确定的；通过所述对端数据传输地址和端口向对端网络隔离装置发送本端的待传输数据报文。
20.在一些实施例中，在所述通过查询对端地址预分配结果信息或者对端地址池地址使用状态信息获取对端数据传输地址和端口之前，所述方法还包括：配置对端传输口地址；计算所述对端传输口地址所在子网的剩余可用地址，得到待分配地址集合；将所述待分配地址集合中的所有地址平分给所述第一网络隔离装置和所述第二网络隔离装置，作为对应网络隔离装置的地址池；按照对端业务类型数目和对端地址池中地址的个数之间的大小关
系完成所述对端地址池地址的预分配，得到所述对端地址预分配结果。
21.在一些实施例中，所述按照业务类型数目和所述地址池中地址的个数之间的大小关系完成所述地址池地址的预分配，得到所述地址预分配结果，包括：若确认所述对端业务类型数目大于所述对端地址池的地址个数，则为各业务类型分配第一类型标记并将所述对端地址池的地址作为对端地址预分配结果；若确认所述对端业务类型数目等于所述对端地址池的地址个数，则将所述对端地址池中的每个地址预分配给一个业务类型，得到各地址和端口与业务类型之间的对应关系，将所述对应关系作为对端地址预分配结果中的至少部分信息；若确认所述对端业务类型数目小于所述对端地址池中地址的个数，则将所述对端地址池中每个地址分配给一个业务类型，并将所述对端地址池地址中的剩余地址根据业务类型的策略数进行再次预分配；记录为各业务类型预分配的地址和端口，得到对应关系；将所述对应关系作为对端地址预分配结果中的至少部分信息。
22.在一些实施例中，所述通过查询对端地址预分配结果或者对端地址池地址使用状态获取对端数据传输地址和端口，包括：若确认所述本端的待传输数据报文所属的业务类型为第一类型，则从所述第一对端地址预分配结果中读取下一个地址及端口作为所述数据传输地址和所述端口。
23.在一些实施例中，所述通过查询对端地址预分配结果或者对端地址池地址使用状态获取对端数据传输地址和端口，包括：若确认所述待传输数据所属的业务类型不属于所述第一类型，则首先从所述对端地址池地址使用状态中查找与所述待传输数据所属业务类型的预分配地址和端口得到所述对端数据传输地址和端口，若从所述对端地址池地址使用状态中查找所述对端数据传输地址和端口的过程失败，则查询所述对端地址预分配结果中是否存在没有启动策略的业务类型，若存在则从所述没有启动策略的业务类型对应的预分配地址中获取所述对端数据传输地址和端口，否则优先在启动策略数少的业务类型对应的预分配地址中获取所述对端数据传输地址和端口。
24.在一些实施例中，在所述通过所述对端数据传输地址和所述端口向对端网络隔离装置发送所述本端的待传输数据报文之后，所述方法还包括：确认所述本端的待传输报文属于结束报文则释放所述数据传输地址及端口。
25.第三方面，本技术的一些提供一种电子设备，包括存储器和处理器，其中，所述存储器存储有计算机程序，所述处理器在执行所述计算机程序时可实现如下操作：完成地址池中地址的预分配，得到本端地址预分配结果，其中，所述本端地址预分配结果是通过比较本端业务类型数目与本端地址池中地址的个数之间的大小关系确定的；维护所述本端地址预分配结果以及本端地址池地址使用状态；依据所述本端地址预分配结果为对端的待传输数据报文获取本端数据传输地址和端口；依据对端数据传输地址和端口向位于对端网络隔离装置发送本端的待传输数据报文。
附图说明
26.为了更清楚地说明本技术实施例的技术方案，下面将对本技术实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。
27.图1为本技术实施例提供的相关技术的隔离网络系统的架构图；
28.图2为本技术实施例提供的前置设备/后置设备的功能模块组成图；
29.图3为本技术实施例提供的配置模块的功能模块组成图；
30.图4为本技术实施例提供的连接模块的功能模块组成图；
31.图5为本技术实施例提供的在网络隔离系统之间传输数据的方法的流程图之一；
32.图6为本技术实施例提供的在网络隔离系统之间传输数据的方法的流程图之二；
33.图7为本技术实施例提供的电子设备组成示意图。
具体实施方式
34.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行描述。
35.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。同时，在本技术的描述中，术语“第一”、“第二”等仅用于区分描述，而不能理解为指示或暗示相对重要性。
36.至少为了解决背景技术部分存在的技术问题，本技术的一些实施例基于地址池，根据地址池地址和业务类型的关系对地址池地址进行预分配，并根据地址可用情况和设备的策略配置情况动态调整可用地址，使不同业务类型的预分配地址不完全隔离，增加前置和后置之间可用的并发连接，提升跨网安全数据交换产品的新建、吞吐性能。
37.也就是说，本技术的一些实施例提供了一种基于地址池提升跨网安全数据交换产品新建、吞吐性能的方法。将原本前置和后置之间通过单对ip传输所有数据的方式变为基于地址池的方式交换前置和后置之间的数据，通过配置传输口地址后自动计算地址池，依据地址池和业务类型的关系对地址池地址进行预分配，并根据地址可用情况和设备策略配置情况动态调整可用地址，使不同业务类型的预分配地址不完全隔离，增加前置和后置之间可用的并发连接，从而提升了跨网安全数据交换产品的新建、吞吐性能，使其更好满足海量业务的数据摆渡需求。
38.请参看图2，图2为本技术一些实施例提供的前置或者后置的功能模块的组成图，与相关技术不同的是，本技术实施例的网络隔离装置，包括前置或者后置，对地址池地址进行动态配置实现数据报文的传输。
39.如图2所示，本技术实施例提供一种网络隔离装置(即前置或者后置)，所述网络隔离装置包括：配置模块110、连接模块120以及数据传输模块130。
40.配置模块110，被配置为：完成地址池中地址的预分配，得到本端地址预分配结果，其中，所述本端地址预分配结果是通过比较本端业务类型数目与本端地址池中地址的个数之间的大小关系确定的；维护所述本端地址预分配结果以及本端地址池地址使用状态。
41.例如，若网络隔离装置为前置则本端地址预分配结果即前置中的配置模块得到的地址预分配结果，若网络隔离装置为后置则本端地址预分配结果即后置中的配置模块得到的地址预分配结果。
42.连接模块120，被配置为依据所述本端地址预分配结果为对端的待传输数据报文获取本端数据传输地址和端口。
43.例如，若网络隔离装置为前置则本端地址预分配结果即前置中的配置模块得到的地址预分配结果且对端的待传输数据报文即来自后置的待传输数据报文；若网络隔离装置
为后置则本端地址预分配结果即后置中的配置模块得到的地址预分配结果且对端的待传输数据报文即来自前置的待传输数据报文。
44.数据传输模块130，被配置为依据对端数据传输地址和端口向对端网络隔离装置发送本端的待传输数据报文。
45.例如，本技术的一些实施例通过比较相应网络隔离装置(例如，本端的网络隔离装置以及对端的网络隔离装置)所支持的业务类型的数目与地址池中地址的数目之间的大小关系确定地址分配策略，并依据分配策略完成地址池中地址的预分配，得到本端地址预分配结果，之后再依据本端地址预分配结果为待传输数据报文分配数据传输地址和端口，其中，在为待传输数据报文从地址预分配结果中选取数据传输地址和端口时可以调整地址预分配结果中所记录的地址和业务类型的对应关系。
46.也就是说，本技术一些实施例提供的网络隔离装置为前置或者后置，且本身实施例的前置和后置均包含配置模块、连接模块和数据传输模块三个模块，其中，配置模块可以在配置前置和后置的传输口地址(类似于网关地址)之后计算地址池地址，并维护地址池地址的使用情况。连接模块负责前置和后置分别获取地址池中的数据传输地址及端口，后置(或者前置，即为真实服务端代理的设备)将自己的数据传输地址及端口发送给配套的对端设备，用于后续的数据传输。数据传输模块负责在获得前置或后置的数据传输地址及端口后，进行前置和后置的数据传输。当报文为结束报文时，调用记录表模块释放资源更新状态表。
47.下面结合图3示例性阐述配置模块的功能模块组成图。
48.如图3所示，在本技术的一些实施例中，所述配置模块进一步包括：地址模块111以及记录表模块112。
49.地址池模块111，被配置为：计算传输口地址所在子网的剩余可用地址，得到待分配地址集合；将所述待分配地址集合中的所有地址平分给地址模块所属的网络隔离装置和对端网络隔离装置，得到所述本端地址池(即地址模块所在的网络隔离装置对应的地址池)和所述对端地址池；按照所述本端业务类型数目和所述本端地址池中地址个数之间的大小关系确定地址预分配策略并依据所述地址预分配策略完成所述本端地址池中地址的预分配，得到所述本端地址预分配结果。可以理解的是，对端网络隔离装置会依据对端地址池完成地址预分配，即对端网络隔离装置的地址模块至少被配置为：按照所述对端业务类型数目和所述对端地址池中地址个数之间的大小关系确定地址预分配策略并依据所述地址预分配策略完成所述对端地址池中地址的预分配，得到所述对端地址预分配结果。
50.例如，在本技术的一些实施例中，所述地址池模块还被配置为：若确认所述本端业务类型数目大于所述本端地址池的地址个数，则为各业务类型分配第一标记并将所述本端地址池的地址作为第一本端地址预分配结果信息；若确认所述本端业务类型数目等于所述本端地址池的地址个数，则将所述本端地址池中的每个地址预分配给一个业务类型，得到各地址和端口与业务类型之间的对应关系，将所述对应关系作为第二本端地址预分配结果信息中的至少部分信息；若确认所述本端业务类型数目小于所述本端地址池中地址的个数，则将所述本端地址池中每个地址分配给一个业务类型，并将所述本端地址池地址中的剩余地址根据业务类型的策略数进行再次预分配；记录为各业务类型预分配的地址和端口，得到对应关系；将所述对应关系作为第三本端地址预分配结果中的至少部分信息。
51.例如，在本技术的一些实施例中，所述第二本端地址预分配结果和所述第三本端地址预分配结果还分别用于记录当前时刻各业务类型启动的策略数。本技术的一些实施例可以根据记录的策略数调整地址预分配结果中的地址与业务类型的对应关系，实现可以根据业务类型和策略配置调整待传输数据的可用地址改变地址预分配结果中的地址与业务类型之间的映射关系。
52.也就是说，本技术一些实施例通过比较相应端支持的业务类型数目与地址池中地址的数目确定预分配地址的策略，若前者大于后者则不为各业务类型预分配相应地址而是直接将地址池地址作为预分配结果；若两者相等则为每种业务类型分配一个地址池中的地址，得到业务类型与地址的一一对应关系，将该一一对象关系作为地址预分配结果中的部分(还可以进一步包括各业务类型启动的策略数)或者全部信息；若前者小于后者，则为每个业务类型分配一个地址的情况下针对支持策略数多的业务类型可以多于一个地址，得到各业务类型与被预分配的地址之间的对应关系，将该一一对象关系作为地址预分配结果中的部分(还可以进一步包括各业务类型启动的策略数)或者全部信息。可以理解的是，对端地址预分配结果的获取方式与本端地址预分配结果的策略相同。
53.记录表模块112，被配置为存储所述本端地址预分配结果以及所述本端地址池地址使用状态。可以理解的是，对端网络隔离装置的记录表模块用于存储对端地址预分配结果以及对端地址池地址使用状态。
54.本技术的一些实施例通过平分和传输口地址在同一子网的多个地址，得到与各网络隔离装置对应的地址池，之后再依据地址池实现各网络隔离装置的地址池中地址的预分配，得到各端的地址预分配结果。
55.也就是说，在本技术的一些实施例中，地址池模块111用来在用户配置完传输口地址后，计算传输口地址所在子网的剩余可用地址，将地址平分给前置和后置，作为地址池地址。对比地址池地址的个数和设备支持的业务类型的个数，地址池个数小于业务类型个数时，记录表中业务类型为null(即第一类型)，将结果写入对应表(即在对应表中写入业务类型，但是在该对应表中并不记载业务类型与地址之间的对应关系)；地址池个数等于业务类型个数时，按照业务类型，每个业务类型预分配一个ip地址，将结果写入对应表(即得到第二本端地址预分配结果或者第二对端地址预分配结果)；地址池个数大于业务类型个数时，按照业务类型，每个业务类型预分配一个ip地址，多余的ip地址将按照每种业务类型支持的策略数进行预分配，优先支持策略数多的业务，将结果写入对应表(即得到第三本端地址预分配结果或者第三对端地址预分配结果)。记录表模块112记录并维护相应地址池的使用情况，包含地址池和业务类型对应表(用于记录本端地址预分配结果或)，地址池地址状态表(用于记录本端地址池地址使用状态)。对应表用来记录业务类型、预分配地址、该业务类型启用策略数的关系。业务类型不为null时定期检查业务类型的启用策略数，更新对应表。状态表记录地址池地址，端口，业务信息，上次使用时间。定期检查状态表中数据传输地址及端口的使用时间，长时间未使用时及时释放资源更新记录表。可以理解的是，对端地址池地址使用状态或者对端地址预分配结果的获取方式同上，只是执行该地址预分配过程的是对端的网络隔离装置，为避免重复不做过多赘述。
56.下面结合图4示例性阐述地址池模块的功能模块组成图。
57.如图4所示，在本技术的一些实施例中，所述连接模块包括：获取地址模块122以及
连接判断模块121。
58.获取地址模块122，被配置为根据对端的待传输数据所属的业务类型，通过查询本端地址预分配结果为对端的待传输数据获取所述本端数据传输地址和所述端口。
59.例如，在本技术的一些实施例中，获取地址模块122还被配置为：若确认所述对端的待传输数据所属的业务类型为第一类型，则从所述本端地址池中读取下一个地址及端口作为所述数据传输地址和所述端口。本技术的一些实施例对于业务类型数目大于策略数目时，则直接依次读取地址池中的地址完成地址分配，可以提高地址池中地址的使用效率，保证稀缺资源(即地址)的高效使用。
60.例如，在本技术的一些实施例中，获取地址模块122还被配置为：若确认所述对端的待传输数据所属的业务类型不属于第一类型，则首先从所述本端地址池地址使用状态中查找用于传输所述对端待传输数据所属业务类型的数据传输地址和端口得到所述本端数据传输地址和端口，若从所述本端地址池地址使用状态信息中未查找到用于传输所述对端的待传输数据的数据传输地址和端口，则进一步查询所述本端地址预分配结果中是否存在没有启动策略的业务类型，若存在则从所述没有启动策略的业务类型对应的预分配地址中获取所述本端数据传输地址和端口，否则优先在启动策略数少的业务类型对应的预分配地址中获取所述本端数据传输地址和端口。本技术的一些实施例在为对端的待传输数据分配本端数据传输地址和端口时会根据本端的属性信息调整地址预分配结果中与各业务类型对应的数据传输地址和端口，即在为对端的待传输数据查找数据传输地址和端口时可以根据业务类型和设备策略配置调整地址预分配结果，实现共享。
61.连接判断模块121，被配置为若对端的待传输数据报文属于首个报文则通过调用本端的获取地址模块得到所述本端数据传输地址和端口，若所述对端的待传输数据报文不属于首个报文则通过调用本端的记录表模块获取所述本端数据传输地址和端口，并将所述本端数据传输地址和所述端口提供给对端的数据传输模块。
62.可以理解的是，上述实施例的本端和对端针对一个示例是确定的，即在一个示例中若本端为前置则对端为后置，若本端为后置则对端为前置。
63.本技术的一些实施例在有具体数据报文需要传输时通过对端地址预分配结果得到对端网络隔离装置的数据传输地址和端口，进而将待传输数据报文提供至对端。
64.也就是说，本技术的一些实施例的连接模块包括连接判断模块和获取地址模块，例如，连接判断模块判断客户端发送的报文是不是一个新的连接。如果是一个新的连接，调用获取地址模块获取数据传输地址及端口并更新状态表，其中后置(或者前置，即为真实服务端代理的设备)将数据传输地址及端口发送配套的对端设备，用于后续的数据传输；不是一个新的连接，调用记录表模块，从状态表中读取业务对应的数据传输地址及端口，并更新上次使用时间，交给数据传输模块进行数据传输。获取地址模块调用记录表模块，读取对应表，根据业务类型获取数据传输地址及端口。如业务类型是null(即第一类型的标记)，则根据状态表顺序从地址池中获取地址及端口即可；如果不为null，则首先在该业务类型对应的预分配地址中根据状态表(用于记录对应的地址池地址使用状态)获取地址及端口；若失败，则查询对应表(用于记录对应的地址预分配结果)中是否存在没有启动策略的业务类型，存在没有启动策略的业务类型，则从该业务类型对应的预分配地址状态表中获取地址及端口，否则优先在启动策略数少的业务类型对应的预分配地址状态表中获取地址及端
口。将获取到的传输口地址及端口返回给连接判断模块。
65.下面结合图5示例性阐述运行于图2的两端的网络隔离装置上的数据传输方法。
66.如图5所示，本技术的一些实施例提供一种在网络隔离系统之间传输数据的方法，所述网络隔离系统包括与客户端通信的第一网络隔离装置以及与服务端通信的第二网络隔离装置，所述方法包括：s101，接收待传输报文；s102，若确认需要为所述待传输报文建立新连接，则通过查询对端地址预分配结果或者对端地址池地址使用状态获取对端数据传输地址和端口，其中，所述对端地址预分配结果是通过比较对端业务类型数目与对端地址池中地址的个数之间的大小关系确定的；s103，通过所述对端数据传输地址和端口向对端网络隔离装置发送本端的待传输数据报文。
67.下面示例性阐述获取对端地址预分配结果的方法，可以理解的是对于本端地址预分配结果的获取方法与此相同只是执行的网络隔离装置不同。
68.在本技术的一些实施例中，在s102所述通过查询对端地址预分配结果信息或者对端地址池地址使用状态信息获取对端数据传输地址和端口之前，所述方法还包括如下获取对端地址预分配结果的方法，该方法可以由对端网络隔离装置执行：
69.第一步，配置对端传输口地址。
70.第二步，计算所述对端传输口地址所在子网的剩余可用地址，得到待分配地址集合。
71.第三步，将所述待分配地址集合中的所有地址平分给所述第一网络隔离装置和所述第二网络隔离装置，作为对应网络隔离装置的地址池。
72.第四步，按照对端业务类型数目和对端地址池中地址的个数之间的大小关系完成所述对端地址池地址的预分配，得到所述对端地址预分配结果。
73.例如，在本技术的一些实施例中，该第四步所述按照业务类型数目和所述地址池中地址的个数之间的大小关系完成所述地址池地址的预分配，得到所述地址预分配结果示例性包括：若确认所述对端业务类型数目大于所述对端地址池的地址个数，则为各业务类型分配第一类型标记并将所述对端地址池的地址作为对端地址预分配结果；若确认所述对端业务类型数目等于所述对端地址池的地址个数，则将所述对端地址池中的每个地址预分配给一个业务类型，得到各地址和端口与业务类型之间的对应关系，将所述对应关系作为对端地址预分配结果中的至少部分信息；若确认所述对端业务类型数目小于所述对端地址池中地址的个数，则将所述对端地址池中每个地址分配给一个业务类型，并将所述对端地址池地址中的剩余地址根据业务类型的策略数进行再次预分配；记录为各业务类型预分配的地址和端口，得到对应关系；将所述对应关系作为对端地址预分配结果中的至少部分信息。
74.下面示例性阐述s102的实现过程。
75.在本技术的一些实施例中，s102所述通过查询对端地址预分配结果或者对端地址池地址使用状态获取对端数据传输地址和端口示例性包括：若确认所述本端的待传输数据报文所属的业务类型为第一类型，则从所述第一对端地址预分配结果中读取下一个地址及端口作为所述数据传输地址和所述端口。若确认所述待传输数据所属的业务类型不属于所述第一类型，则首先从所述对端地址池地址使用状态中查找与所述待传输数据所属业务类型的预分配地址和端口得到所述对端数据传输地址和端口，若从所述对端地址池地址使用
状态中查找所述对端数据传输地址和端口的过程失败，则查询所述对端地址预分配结果中是否存在没有启动策略的业务类型，若存在则从所述没有启动策略的业务类型对应的预分配地址中获取所述对端数据传输地址和端口，否则优先在启动策略数少的业务类型对应的预分配地址中获取所述对端数据传输地址和端口。
76.在本技术的一些实施例中，在所述通过所述对端数据传输地址和所述端口向对端网络隔离装置发送所述本端的待传输数据报文之后，所述方法还包括：确认所述本端的待传输报文属于结束报文则释放所述数据传输地址及端口。
77.下面结合图6示例性阐述本技术一些实施例的在网络隔离系统之间传输数据的方法。
78.如图5所示，本技术一些实施例提供的在网络隔离系统之间传输数据的方法即基于地址池提升跨网安全数据交换产品性能方法，包括如下步骤：
79.s111，用户配置前置和后置传输口地址
80.用户配置前置和后置的传输口地址，用于前置和后置设备的通信。
81.s112，计算可用于地址池的地址
82.例如，根据传输口地址，根据子网掩码自动计算可用的ip地址，平均分配给前置和后置，作为地址池地址。
83.s113，比较地址池ip个数和业务类型数，例如，根据前置或者后置的许可文件获取业务类型和业务类型数。
84.将地址池可用ip个数和设备支持业务类型个数作比较，若果地址池ip个数小于业务类型数，执行s114；地址池ip个数等于业务类型数，执行s115；地址池ip个数小于业务类型数，执行s116。
85.s114，更新对应表，业务类型为null(即第一类型的标记)，执行s117。
86.s115，更新对应表，为每个业务预分配一个ip用于数据传输，并记录每个业务类型启用的策略数，执行s117。
87.s116，更新对应表，每个业务类型预分配一个ip，多余的ip将按照每种业务类型支持的策略数进行预分配，并记录每个业务类型启用的策略数。
88.s117，操作对应表。
89.该表用于记录地址预分配结果。需要说明的是，还会更新地址池地址使用状态得到对应状态表。该步骤的操作包括存储表格以及启动查询表格内容的过程，可以理解的是，只有对端有待传输数据时才需要查询数据传输地址和端口。
90.s121，前置(或者后置，即为真实客户端代理的设备)接收客户端报文。
91.s122，判断是不是新连接
92.根据客户端报文判断是否需要建立新连接，若需要建立新连接则执行s123，否则执行s127。
93.s123，前置(或者后置，即为真实客户端代理的设备)通过传输口地址及随机端口号和对端设备传输口地址及监听端口通信，请求对端设备的对端数据传输地址及端口。
94.s124，后置(或者前置，即为真实服务端代理的设备)收到请求后，获取数据传输地址及端口。
95.获取对端数据传输地址及端口的过程示例性包括图6的s131至s135的过程。
96.s131，判断根据业务类型获取地址及端口是否成功，即根据待传输数据的业务类型查询传输该业务类型数据的数据传输地址和端口。
97.查询对应表，根据业务类型获取地址及端口，若业务类型是null，根据状态表顺序获取，执行s135。如业务类型不是null，则在在业务类型对应的预分配地址中根据状态表获取地址及端口，成功则执行s135，失败进行s132。
98.s132，查询对应表，是否存在没有启用策略的业务类型，是则执行s134，否则执行s133。
99.s134，在没有启用策略的业务类型对应的预分配地址根据状态表中获取地址及端口，继续执行s135。
100.s133，在启动策略数少的业务类型对应的预分配地址根据状态表中获取地址及端口。
101.s135，返回得到的地址及端口，并更新状态表。
102.s125，后置(或者前置，即为真实服务端代理的设备)将数据传输地址及端口返回给对端设备。
103.s126，前置(或者后置，即为真实客户端代理的设备)同步相应过程获取对端数据传输地址及端口。
104.s128，此时前置(或者后置，即为真实客户端代理的设备)就拥有了自己的数据传输地址及端口和对端设备的数据传输地址及端口，可以将客户端的报文转交给对端，进行后续的数据传输。
105.s129，后置(或者前置，即为真实服务端代理的设备)将客户端报文转交给服务端。
106.s127，判断是否为结束报文。不是进行s128，是进行s130。
107.s130，通信完成后前置和后置释放地址池地址端口，更新状态表。
108.下面结合一个具体示例阐述本技术一些实施例提供的传输数据的方法。
109.本发明以数据交换产品支持包含协议代理共4种业务类，支持的策略比例为10:10:1:1(其中协议代理为10份)，添加http代理策略后，数据交换方向为前置将客户端http报文转交给后置，后置将客户端http报文发送给服务器为例，阐述代理的流程。按照本发明详细描述，具体流程如下：
110.1)用户配置前置和后置的传输口地址为1.1.2.1/28和1.1.2.2/28，用于前置和后置设备的通信。
111.2)配置传输口地址之后，根据子网掩码自动计算可用的ip地址为12个，平均分配给前置和后置各6个，作为地址池地址。
112.3)将地址池可用ip个数6个和设备支持业务类型个数4个作比较，地址池ip个数大于业务类型数。
113.4)每个业务类型预分配一个ip，多余2个ip，根据业务类型支持策略比例3:3:1:1，优先支持策略数多的业务，分配结果为2、2、1、1，并记录每个业务类型启用的策略数，更新对应表。
114.5)前置接收客户端报文。
115.6)根据客户端报文判断是否为新连接。新连接进行步骤7，不是新连接进行步骤16。
116.7)前置通过传输口地址及随机端口号和对端设备传输口地址及监听端口通信，请求对端设备的数据传输地址及端口。
117.8)后置收到请求后，获取数据传输地址及端口。
118.9)查询对应表，根据协议代理的业务类型获取地址及端口，在业务类型对应的预分配地址中根据状态表获取地址及端口，成功则进行步骤15)，失败进行步骤12)。
119.10)查询对应表，是否存在没有启用策略的业务类型，是则进行步骤11，否则进行步骤12)。
120.11)在没有启用策略的业务类型对应的预分配地址根据状态表中获取地址及端口，进行步骤12)。
121.12)在启动策略数少的业务类型对应的预分配地址根据状态表中获取地址及端口。
122.13)返回得到的地址及端口，并更新状态表。
123.14)后置将数据传输地址及端口返回给对端设备。
124.15)前置同步步骤10)到步骤13)获取数据传输地址及端口。
125.16)此时前置就拥有了自己的数据传输地址及端口和对端设备的数据传输地址及端口，可以将客户端的报文转交给对端，进行后续的数据传输。
126.17)后置将客户端报文转交给服务端。
127.18)判断是否为结束报文。不是进行步骤16)，是进行步骤19)。
128.19)通信完成后前置和后置释放地址池地址端口，更新状态表。
129.如图7所示，本技术的一些提供一种电子设备，包括存储器510和处理器520，其中，所述存储器510存储有计算机程序，所述处理器520在通过总线530从存储器读取程序并执行所述计算机程序时可实现如下操作：完成地址池中地址的预分配，得到本端地址预分配结果，其中，所述本端地址预分配结果是通过比较本端业务类型数目与本端地址池中地址的个数之间的大小关系确定的；维护所述本端地址预分配结果以及本端地址池地址使用状态；依据所述本端地址预分配结果为对端的待传输数据报文获取本端数据传输地址和端口；依据对端数据传输地址和端口向位于对端网络隔离装置发送本端的待传输数据报文。
130.处理器520可以处理数字信号，可以包括各种计算结构。例如复杂指令集计算机结构、结构精简指令集计算机结构或者一种实行多种指令集组合的结构。在一些示例中，处理器520可以是微处理器。
131.存储器510可以用于存储由处理器520执行的指令或指令执行过程中相关的数据。这些指令和/或数据可以包括代码，用于实现本技术实施例描述的一个或多个模块的一些功能或者全部功能。本公开实施例的处理器520可以用于执行存储器510中的指令以实现图5或图6中所示的方法。存储器510包括动态随机存取存储器、静态随机存取存储器、闪存、光存储器或其它本领域技术人员所熟知的存储器。
132.在本技术所提供的几个实施例中，应该理解到，所揭露的装置和方法，也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，附图中的流程图和框图显示了根据本技术的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执
行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
133.另外，在本技术各个实施例中的各功能模块可以集成在一起形成一个独立的部分，也可以是各个模块单独存在，也可以两个或两个以上模块集成形成一个独立的部分。
134.所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
135.以上所述仅为本技术的实施例而已，并不用于限制本技术的保护范围，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
136.以上所述，仅为本技术的具体实施方式，但本技术的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应所述以权利要求的保护范围为准。
137.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

技术特征：
1.一种网络隔离装置，其特征在于，所述网络隔离装置包括：配置模块，被配置为：完成地址池中地址的预分配，得到本端地址预分配结果，其中，所述本端地址预分配结果是通过比较本端业务类型数目与本端地址池中地址的个数之间的大小关系确定的；维护所述本端地址预分配结果以及本端地址池地址使用状态；连接模块，被配置为依据所述本端地址预分配结果为对端的待传输数据报文获取本端数据传输地址和端口；数据传输模块，被配置为依据对端数据传输地址和端口向位于对端网络隔离装置发送本端的待传输数据报文。2.如权利要求1所述的网络隔离装置，其特征在于，所述配置模块进一步包括：地址池模块，被配置为：计算传输口地址所在子网的剩余可用地址，得到待分配地址集合；将所述待分配地址集合中的所有地址平分给所述网络隔离装置和所述对端网络隔离装置，得到所述本端地址池和对端地址池；按照所述本端业务类型数目和所述本端地址池中地址个数之间的大小关系确定地址预分配策略并依据所述地址预分配策略完成所述本端地址池中地址的预分配，得到所述本端地址预分配结果；记录表模块，被配置为存储所述本端地址预分配结果以及所述本端地址池地址使用状态。3.如权利要求2所述的网络隔离装置，其特征在于，所述地址池模块还被配置为：若确认所述本端业务类型数目大于所述本端地址池的地址个数，则为各业务类型分配第一标记并将所述本端地址池的地址作为第一本端地址预分配结果；若确认所述本端业务类型数目等于所述本端地址池的地址个数，则将所述本端地址池中的每个地址预分配给一个业务类型，得到各地址和端口与业务类型之间的对应关系，将所述对应关系作为第二本端地址预分配结果信息中的至少部分信息；若确认所述本端业务类型数目小于所述本端地址池中地址的个数，则将所述本端地址池中每个地址分配给一个业务类型，并将所述本端地址池地址中的剩余地址根据业务类型的策略数进行再次预分配；记录为各业务类型预分配的地址和端口，得到对应关系；将所述对应关系作为第三本端地址预分配结果中的至少部分信息。4.如权利要求3所述的网络隔离装置，其特征在于，所述第二本端地址预分配结果和所述第三本端地址预分配结果还分别用于记录当前时刻各业务类型启动的策略数。5.如权利要求1所述的网络隔离装置，其特征在于，所述连接模块包括：获取地址模块，被配置为根据所述对端的待传输数据所属的业务类型，通过查询所述本端地址预分配结果为所述对端的待传输数据获取所述本端数据传输地址和所述端口；连接判断模块，被配置为若所述对端的待传输数据报文属于首个报文则通过调用所述获取地址模块得到所述本端数据传输地址和端口，若所述对端的待传输数据报文不属于首个报文则通过调用所述记录表模块获取所述本端数据传输地址和端口，并将所述本端数据传输地址和所述端口提供给对端的数据传输模块。
6.如权利要求5所述的网络隔离装置，其特征在于，所述获取地址模块还被配置为：若确认所述对端的待传输数据所属的业务类型为第一类型，则从所述本端地址池中读取下一个地址及端口作为所述数据传输地址和所述端口。7.如权利要求6所述的网络隔离装置，其特征在于，所述获取地址模块还被配置为：若确认所述对端的待传输数据所属的业务类型不属于第一类型，则首先从所述本端地址池地址使用状态中查找用于传输所述对端待传输数据所属业务类型的数据传输地址和端口得到所述本端数据传输地址和端口，若从所述本端地址池地址使用状态信息中未查找到用于传输所述对端的待传输数据的数据传输地址和端口，则进一步查询所述本端地址预分配结果中是否存在没有启动策略的业务类型，若存在则从所述没有启动策略的业务类型对应的预分配地址中获取所述本端数据传输地址和端口，否则优先在启动策略数少的业务类型对应的预分配地址中获取所述本端数据传输地址和端口。8.一种在网络隔离系统之间传输数据的方法，所述网络隔离系统包括与客户端通信的第一网络隔离装置以及与服务端通信的第二网络隔离装置，其特征在于，所述方法包括：接收待传输报文；若确认需要为所述待传输报文建立新连接，则通过查询对端地址预分配结果或者对端地址池地址使用状态获取对端数据传输地址和端口，其中，所述对端地址预分配结果是通过比较对端业务类型数目与对端地址池中地址的个数之间的大小关系确定的；通过所述对端数据传输地址和端口向对端网络隔离装置发送本端的待传输数据报文。9.如权利要求8所述的方法，其特征在于，在所述通过查询对端地址预分配结果或者对端地址池地址使用状态获取对端数据传输地址和端口之前，所述方法还包括：配置对端传输口地址；计算所述对端传输口地址所在子网的剩余可用地址，得到待分配地址集合；将所述待分配地址集合中的所有地址平分给所述第一网络隔离装置和所述第二网络隔离装置，作为对应网络隔离装置的地址池；按照对端业务类型数目和对端地址池中地址的个数之间的大小关系完成对端地址池地址的预分配，得到所述对端地址预分配结果。10.如权利要求9所述的方法，其特征在于，所述按照对端业务类型数目和对端地址池中地址的个数之间的大小关系完成所述对端地址池地址的预分配，得到所述对端地址预分配结果，包括：若确认所述对端业务类型数目大于所述对端地址池的地址个数，则为各业务类型分配第一类型标记并将所述对端地址池的地址作为第一对端地址预分配结果；若确认所述对端业务类型数目等于所述对端地址池的地址个数，则将所述对端地址池中的每个地址预分配给一个业务类型，得到各地址和端口与业务类型之间的对应关系，将所述对应关系作为第二对端地址预分配结果中的至少部分信息；若确认所述对端业务类型数目小于所述对端地址池中地址的个数，则将所述对端地址池中每个地址分配给一个业务类型，并将所述对端地址池地址中的剩余地址根据业务类型的策略数进行再次预分配；记录为各业务类型预分配的地址和端口，得到对应关系；将所述对应关系作为第三对端地址预分配结果中的至少部分信息。11.如权利要求8所述的方法，其特征在于，所述通过查询对端地址预分配结果或者对
端地址池地址使用状态获取对端数据传输地址和端口，包括：若确认所述本端的待传输数据报文所属的业务类型为第一类型，则从第一对端地址预分配结果中读取下一个地址及端口作为所述数据传输地址和所述端口。12.如权利要求8所述的方法，其特征在于，所述通过查询对端地址预分配结果或者对端地址池地址使用状态获取对端数据传输地址和端口，包括：若确认所述待传输数据所属的业务类型不属于第一类型，则首先从所述对端地址池地址使用状态中查找与所述待传输数据所属业务类型的预分配地址和端口得到所述对端数据传输地址和端口，若从所述对端地址池地址使用状态中查找所述对端数据传输地址和端口的过程失败，则查询所述对端地址预分配结果中是否存在没有启动策略的业务类型，若存在则从所述没有启动策略的业务类型对应的预分配地址中获取所述对端数据传输地址和端口，否则优先在启动策略数少的业务类型对应的预分配地址中获取所述对端数据传输地址和端口。13.如权利要求8所述的方法，其特征在于，在所述通过所述对端数据传输地址和所述端口向对端网络隔离装置发送所述本端的待传输数据报文之后，所述方法还包括：确认所述本端的待传输报文属于结束报文则释放所述数据传输地址及端口。14.一种电子设备，包括存储器和处理器，其中，所述存储器存储有计算机程序，所述处理器在执行所述计算机程序时可实现如下操作：完成地址池中地址的预分配，得到本端地址预分配结果，其中，所述本端地址预分配结果是通过比较本端业务类型数目与本端地址池中地址的个数之间的大小关系确定的；维护所述本端地址预分配结果以及本端地址池地址使用状态；依据所述本端地址预分配结果为对端的待传输数据报文获取本端数据传输地址和端口；依据对端数据传输地址和端口向位于对端网络隔离装置发送本端的待传输数据报文。

技术总结
本申请实施例提供一种网络隔离装置及在网络隔离系统之间传输数据的方法，所述网络隔离装置包括：配置模块，被配置为：完成地址池中地址的预分配，得到本端地址预分配结果，其中，所述本端地址预分配结果是通过比较本端业务类型数目与本端地址池中地址的个数之间的大小关系确定的；维护所述本端地址预分配结果以及本端地址池地址使用状态；连接模块，被配置为依据所述本端地址预分配结果为对端的待传输数据报文获取本端数据传输地址和端口；数据传输模块，被配置为依据对端数据传输地址和端口向对端网络隔离装置发送本端的待传输数据报文。本申请的实施例在具体地址分配时不同业务类型预分配地址不完全隔离实现一定程度的共享。共享。共享。


技术研发人员：陈静 杨勇
受保护的技术使用者：湖北天融信网络安全技术有限公司
技术研发日：2023.05.15
技术公布日：2023/8/14