專利名稱:實現(xiàn)防火墻交換式透明代理的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種防火墻交換技術(shù),尤其是一種實現(xiàn)防火墻交換式透明代理的方法,屬于計算機技術(shù)領(lǐng)域。
為此,本發(fā)明的目的是通過下述技術(shù)方案實現(xiàn)的一種實現(xiàn)防火墻交換式透明代理的方法,它至少包括如下步驟步驟1代理服務(wù)器網(wǎng)絡(luò)層工作在橋模式下;步驟2橋在鏈路層根據(jù)安全策略分析收到的數(shù)據(jù)包;步驟3如果數(shù)據(jù)包符合代理安全策略,將數(shù)據(jù)包送到IP層;步驟4如果數(shù)據(jù)包不符合代理安全策略,將數(shù)據(jù)包在鏈路層轉(zhuǎn)發(fā)或丟棄;步驟5IP層進行安全策略檢查;步驟6如符合代理安全策略,則將數(shù)據(jù)包送傳輸層,傳輸層經(jīng)過處理后送應(yīng)用透明代理處理;步驟7如不符合代理安全策略,則將數(shù)據(jù)包在IP層轉(zhuǎn)發(fā)或丟棄。
進一步地,鏈路層橋安全策略分析至少包括捕獲流經(jīng)防火墻的數(shù)據(jù)包,檢查數(shù)據(jù)包,將符合安全要求的數(shù)據(jù)包去掉以太網(wǎng)幀頭,送IP層處理;IP層安全策略檢查至少包括接收鏈路層發(fā)送過來的數(shù)據(jù)包,檢查該數(shù)據(jù)包,改變符合安全要求的數(shù)據(jù)包路由信息,送傳輸層,改變符合安全要求的數(shù)據(jù)包路由信息使其路由的目的地址為防火墻本身,確保數(shù)據(jù)包能送往傳輸層;傳輸層處理至少包括接收從IP層送來的數(shù)據(jù)包,檢查數(shù)據(jù)包中的服務(wù)信息,根據(jù)服務(wù)信息送透明代理處理。
具體地,透明代理為HTTP代理或FTP代理或SMTP代理或TELNET代理或通用代理。透明代理至少包括步驟為接收用戶請求,取得目的IP地址,向IP地址發(fā)起連接,轉(zhuǎn)發(fā)請求,接收服務(wù)器響應(yīng),轉(zhuǎn)發(fā)服務(wù)器響應(yīng),結(jié)束步驟。
本發(fā)明交換式透明代理技術(shù)是在二層交換式防火墻的基礎(chǔ)上實現(xiàn)HTTP代理、TELNET代理、SMTP代理、FTP代理和通用代理的技術(shù)。該代理技術(shù)對用戶是完全透明的,用戶不需要設(shè)置客戶端的代理、不需要將網(wǎng)關(guān)指向防火墻,也無需改變原有網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)置,只需將交換式透明代理服務(wù)器放置在局域網(wǎng)的出口處,透明代理服務(wù)會自動捕獲用戶的請求,檢查用戶請求的合法性,并代替用戶和外界聯(lián)系,然后將結(jié)果返回給用戶。該過程對于用戶來說是完全透明的,用戶并不知道代理的存在。透明代理將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的通信完全隔絕,極大的提高了內(nèi)部網(wǎng)絡(luò)的安全性。
圖3為本發(fā)明的IP層安全策略檢查模塊工作流程圖;圖4為本發(fā)明的傳輸層處理塊工作流程圖;圖5為本發(fā)明的透明代理模塊基本工作流程圖。
參見
圖1,本發(fā)明為一種實現(xiàn)防火墻交換式透明代理的方法,其中防火墻代理服務(wù)器工作時,其網(wǎng)絡(luò)層工作在橋模式下并非傳統(tǒng)的路由模式,橋在鏈路層根據(jù)安全策略分析所有收到的數(shù)據(jù)包,如果數(shù)據(jù)包符合代理安全策略,則將數(shù)據(jù)包送到IP層,IP層再進行安全策略檢查,若符合代理安全策略則送到傳輸層,傳輸層經(jīng)過處理后送給應(yīng)用代理處理。
具體地,如圖2所示,本發(fā)明鏈路層橋安全策略檢查是捕獲所有流經(jīng)防火墻的數(shù)據(jù)包,根據(jù)安全策略決定數(shù)據(jù)包的去向。橋安全策略分析步驟至少包括捕獲流經(jīng)防火墻的數(shù)據(jù)包,檢查數(shù)據(jù)包,將符合安全要求的數(shù)據(jù)包去掉以太網(wǎng)幀頭,送IP層處理,根據(jù)以太網(wǎng)幀類型去掉相應(yīng)的以太網(wǎng)幀頭,以便數(shù)據(jù)包能夠被IP層真確處理。
IP層安全策略檢查處理流程如圖3所示。它檢查由鏈路層送來的數(shù)據(jù)包,根據(jù)安全策略決定數(shù)據(jù)包的去向。IP層安全策略檢查至少包括接收鏈路層發(fā)送過來的數(shù)據(jù)包,檢查該數(shù)據(jù)包,改變符合安全要求的數(shù)據(jù)包路由信息,送傳輸層,改變符合安全要求的數(shù)據(jù)包路由信息使其路由的目的地址為防火墻本身,確保數(shù)據(jù)包能送往傳輸層。
傳輸層處理流程如圖4所示,處理由IP層送來的數(shù)據(jù)包,檢查數(shù)據(jù)包中的服務(wù)信息,根據(jù)服務(wù)信息送透明代理處理。例如,如果數(shù)據(jù)包中的服務(wù)信息為Web服務(wù),則傳輸層處理將數(shù)據(jù)送HTTP代理。
透明代理處理又包括HTTP代理、FTP代理模、TELNET代理模塊、SMTP代理以及通用代理處理。具體內(nèi)容如圖4所示。各個透明代理的工作原理基本相同,只是在不同的代理中所作的檢查不同。例如HTTP代理檢查請求方法、URL、等;FTP代理檢查傳輸模式、訪問控制命令等。
以上實施例僅用以說明本發(fā)明而非限制,盡管參照以上較佳實施例對本發(fā)明進行了詳細說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當理解,可以對本發(fā)明進行修改變形或者等同替換,而不脫離本發(fā)明的精神和范圍,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當中。
權(quán)利要求
1.一種實現(xiàn)防火墻交換式透明代理的方法,其特征在于它至少包括如下步驟步驟1代理服務(wù)器網(wǎng)絡(luò)層工作在橋模式下;步驟2橋在鏈路層根據(jù)安全策略分析收到的數(shù)據(jù)包;步驟3如果數(shù)據(jù)包符合代理安全策略,將數(shù)據(jù)包送到IP層;步驟4如果數(shù)據(jù)包不符合代理安全策略,將數(shù)據(jù)包鏈路層轉(zhuǎn)發(fā)或丟棄;步驟5IP層進行安全策略檢查;步驟6如符合代理安全策略,則將數(shù)據(jù)包送傳輸層,傳輸層經(jīng)過處理后送應(yīng)用透明代理處理;步驟7如不符合代理安全策略,則將數(shù)據(jù)包IP層轉(zhuǎn)發(fā)或丟棄;
2.根據(jù)權(quán)利要求1所述的實現(xiàn)防火墻交換式透明代理的方法,其特征在于鏈路層橋安全策略分析至少包括捕獲流經(jīng)防火墻的數(shù)據(jù)包,檢查數(shù)據(jù)包,將符合安全要求的數(shù)據(jù)包去掉以太網(wǎng)幀頭,送IP層處理。
3.根據(jù)權(quán)利要求2所述的實現(xiàn)防火墻交換式透明代理的方法,其特征在于去掉以太網(wǎng)幀頭具體為根據(jù)以太網(wǎng)幀類型,去掉相應(yīng)的太網(wǎng)幀頭。
4.根據(jù)權(quán)利要求1所述的實現(xiàn)防火墻交換式透明代理的方法,其特征在于IP層安全策略檢查至少包括接收鏈路層發(fā)送過來的數(shù)據(jù)包,檢查該數(shù)據(jù)包,改變符合安全要求的數(shù)據(jù)包路由信息,送傳輸層。
5.根據(jù)權(quán)利要求4所述的實現(xiàn)防火墻交換式透明代理的方法,其特征在于改變符合安全要求的數(shù)據(jù)包路由信息,使其路由的目的地址為防火墻本身,確保數(shù)據(jù)包能送往傳輸層。
6.根據(jù)權(quán)利要求1所述的實現(xiàn)防火墻交換式透明代理的方法,其特征在于傳輸層處理至少包括接收從IP層送來的數(shù)據(jù)包,檢查數(shù)據(jù)包中的服務(wù)信息,根據(jù)服務(wù)信息送透明代理處理。
7.根據(jù)權(quán)利要求1或6所述的實現(xiàn)防火墻交換式透明代理的方法,其特征在于透明代理為HTTP代理或FTP代理或SMTP代理或TELNET代理或通用代理。
8.根據(jù)權(quán)利要求7所述的實現(xiàn)防火墻交換式透明代理的方法,其特征在于透明代理至少包括接收用戶請求,取得目的IP地址,向IP地址發(fā)起連接,轉(zhuǎn)發(fā)請求,接收服務(wù)器響應(yīng),轉(zhuǎn)發(fā)服務(wù)器響應(yīng),結(jié)束步驟。
全文摘要
一種實現(xiàn)防火墻交換式透明代理的方法,它至少包括如下步驟代理服務(wù)器網(wǎng)絡(luò)層工作在橋模式下;橋在鏈路層根據(jù)安全策略分析收到的數(shù)據(jù)包;如果數(shù)據(jù)包符合代理安全策略,將數(shù)據(jù)包送到IP層;IP層進行安全策略檢查;如符合代理安全策略,則將數(shù)據(jù)包送傳輸層,傳輸層經(jīng)過處理后送應(yīng)用透明代理處理。采用本發(fā)明的方法,使用戶不需要設(shè)置客戶端的代理、不需要將網(wǎng)關(guān)指向防火墻,也無需改變原有網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)置,只需將交換式透明代理服務(wù)器放置在局域網(wǎng)的出口處,透明代理服務(wù)會自動捕獲用戶的請求,檢查用戶請求的合法性,并代替用戶和外界聯(lián)系。
文檔編號G06F12/14GK1437115SQ0210065
公開日2003年8月20日 申請日期2002年2月8日 優(yōu)先權(quán)日2002年2月8日
發(fā)明者宋斌, 高紅, 李江力 申請人:聯(lián)想(北京)有限公司