[发明专利]网络安全隔离系统

权利要求书

1.网络安全隔离系统，包括内网关、外网关、安全隔离部件组成，其特征在于内网关、外网关分别通过各自的网络接口与内网、外网相连，内网关、外网关各有一组数据线与安全隔离部件相连，所述安全隔离部件逻辑上主要由存储介质构成，所述存储介质通过单一的数据总线和地址总线选择性地与内网关或与外网关相连。

2.根据权利要求1所述的网络安全隔离系统，其特征在于所述内网关、外网关均采用TCP/IP协议栈被裁剪掉的嵌入式LINUX操作系统。

3.根据权利要求2所述的网络安全隔离系统，其特征在于所述LINUX操作系统采用非X86指令集的低功耗嵌入式处理器。

4.根据权利要求1所述的网络安全隔离系统，其特征在于所述内网关可以收到两种数据：一种是通过串行口得到的用于设备参数设置和身份认证的数据，一种是内外网交换的数据，第一种数据被写在一个配置文件里供系统需要时调用，如果是第二种用于内外网交换的数据，则被收发数据模块接收，并把它送到数据包分析模块，该模块调用用户校验模块，用户校验模块会从系统状态链表中读取该用户的各种权限信息，如果是合法的用户，并准许被发送到外网，则该数据包会被写入IP缓冲区链表，等待被收发数据模块发送到中间的安全隔离控制器中，从安全隔离控制器方向接收到的数据，可以直接通过数据收发模块发到内网网卡。

5.根据权利要求1所述的网络安全隔离系统，其特征在于所述外网关的收发数据模块接收到从安全隔离控制器来的数据以后，会把数据送入内外网地址转换模块，该模块将内网主机IP地址和端口号替换为外网关IP地址和端口号，并将内网主机IP地址和端口号等信息写入内外网关地址映射表，然后由收发数据模块将替换过地址的数据包发到外网关的网卡缓冲区，准备被网卡发送。

6.根据权利要求1所述的网络安全隔离系统，其特征在于所述外网关接收到从网卡来的数据以后，首先把数据包交给数据包分析模块处理，数据包分析模块会调用内外网地址映射表，与表中的IP地址、端口号、序列号等信息进行比较，如果确定该数据包是内网所发的数据包的回应包，则交给内外网地址转换模块进行处理，把外网关的IP地址和端口号转换为内网主机的IP地址和端口号，然后把数据包写入IP缓冲区链表等待被发送，收发数据模块把IP缓冲区链表中的数据包取走发送到安全隔离控制器。