[发明专利]一种安全隔离单向网闸

权利要求书

1.一种安全隔离单向网闸，其特征在于：包括外网处理单元（1001），隔离与交换控制单元（2001），内网处理单元（3001）三部分，所述外网处理单元（1001）和内网处理单元（3001）各自通过网卡直接与隔离与交换控制单元（2001）相连接；所述外网处理单元（1001）通过网卡连接外网，所述内网处理单元（3001）通过网卡连接内网；

所述外网处理单元（1001），隔离与交换控制单元（2001）和内网处理单元（3001）分别连接有各自的网卡A和网卡B；所述外网处理单元（1001）的网卡A与外网连接，内网处理单元（2001）的网卡B与内网连接，隔离与交换控制单元(2001)的网卡A与外网处理单元（1001）的网卡B直连，隔离与交换控制单元(2001)的网卡B与内网处理单元（1001）的网卡A直连；

来自外网的文件依次通过外网处理单元（1001），隔离与交换控制单元（2001）和内网处理单元（3001）经过两次不同私有协议摆渡和一次SSD磁盘摆渡摆渡到内网；任何协议都不能通过上述三个单元连接到内网；内网也不能通过任何协议连接到外网，也不能将内网的文件通过上述三个单元传输到外网，进而实现了外网向内网高性能安全交换文件；

具体包括以下步骤：

（1）外网处理单元（1001）通过NFS协议挂载外网一个或多个服务器上的目录；外网处理单元（1001）读取挂载目录内的文件，并将文件内容以私有协议A通过其网卡B发送到隔离与交换控制单元（2001）的网卡A上，私有协议A实现了第一次文件摆渡和隔离；

（2）隔离与交换控制单元（2001）内置的读取模块A从隔离与交换控制单元（2001）的网卡A读取外网处理单元（1001）以私有协议A发送过来的文件内容，不符合私有协议A的都直接丢弃，读取后内容转换后保存到隔离与交换控制单元(2001)内置的SSD磁盘上；隔离与交换控制单元（2001）内置的读写模块B从SSD磁盘上读取文件内容并写入到隔离与交换控制单元（2001）的网卡B上，隔离与交换控制单元（2001）内部通过直写和直读SSD磁盘完成了文件的第二次摆渡和隔离；

内网处理单元（3001）通过NFS协议挂载内网一个或多个服务器上的目录；内网处理单元（3001）读取其网卡A获取隔离与交换控制单元（2001）以私有协议B发送过来的文件数据，还原后写入到挂载的某个目录里，完成了第三次摆渡和隔离。

2.根据权利要求1所述的安全隔离单向网闸，其特征在于：所述隔离与交换控制单元（2001）包括读取模块A，读写模块B和SSD磁盘；所述读取模块A用于从隔离与交换控制单元（2001）的网卡A读取外网处理单元（1001）以私有协议A发送过来的文件内容，并将读取内容转换后保存到SSD磁盘上；所述读写模块B用于从SSD磁盘上读取文件内容并写入到隔离与交换控制单元（2001）的网卡B上。

3.根据权利要求2所述的安全隔离单向网闸，其特征在于：所述SSD磁盘以裸盘方式直接连接到隔离与交换控制单元（2001），隔离与交换控制单元（2001）中仅有读写模块B可以访问SSD磁盘，其它程序均不能以任何文件系统协议访问SSD磁盘上的内容。

4.根据权利要求1，2或3任意一项所述的安全隔离单向网闸，其特征在于：所述外网处理单元（1001）的网卡A配置有能与外网联通的IP地址，但外网不能通过外网处理单元（1001）的网卡A的IP直接访问外网处理单元（1001），外网处理单元（1001）的网卡B不配置IP地址；

所述隔离与交换控制单元（2001）的网卡A和网卡B都不配置IP地址，且都以网线直连的方式分别与外网处理单元（1001）和内网处理单元（3001）连接，外网和内网的服务器都不能物理或逻辑地连接到隔离与交换控制单元（2001），即外网和内网的服务器不能通过任何协议访问隔离与交换控制单元（2001）；

所述内网处理单元（3001）的网卡B配置有能与外网联通的IP地址，但内网不能通过内网处理单元（3001）的网卡B的IP直接访问内网处理单元（3001），内网处理单元（3001）的网卡A不配置IP地址；

所述外网处理单元（1001），隔离与交换控制单元（2001）和内网处理单元（3001）均关闭了与IP地址相关的服务，同时锁定root以外的用户并限制root用户不能远程登录。