專利名稱:控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)隔離設(shè)備控制方法,尤其是一種控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法。
背景技術(shù):
隨著Internet的日益普及,許多內(nèi)部網(wǎng)絡(luò)(比如某個公司的內(nèi)部網(wǎng),某個住宅小區(qū)的內(nèi)部網(wǎng))可以直接接入Internet網(wǎng)絡(luò),這為人們提供了極大的便利,但這種開放式的網(wǎng)絡(luò)同時帶來了許多不安全的隱患。
通常,在開放式的網(wǎng)絡(luò)中,存在著許多不可信的計(jì)算機(jī),網(wǎng)絡(luò)中也出現(xiàn)了各種類型的攻擊方式,如竊聽報文、地址欺騙、地址端口掃描、蠕蟲病毒等。這些都對私有的一些敏感信息造成了很大的威脅,網(wǎng)絡(luò)安全已成為業(yè)界必須面對的一個實(shí)際問題。
網(wǎng)絡(luò)隔離技術(shù)就是為了解決這樣的問題而產(chǎn)生的。簡單的說,用于進(jìn)行網(wǎng)絡(luò)隔離的網(wǎng)絡(luò)隔離設(shè)備(如防火墻)的作用就是保護(hù)一個網(wǎng)絡(luò)免受“不信任”的網(wǎng)絡(luò)的攻擊,同時保證兩個網(wǎng)絡(luò)之間可以進(jìn)行合法的通信。
網(wǎng)絡(luò)隔離設(shè)備作用時,為保護(hù)某個網(wǎng)絡(luò)免受其它網(wǎng)絡(luò)的攻擊,需要對網(wǎng)絡(luò)進(jìn)行劃分。劃分的方法有很多種,目前主要采用如下兩種第一種方式按照單個接口劃分,每個接口可以看作一個網(wǎng)絡(luò),網(wǎng)絡(luò)隔離設(shè)備的安全策略應(yīng)用到接口與接口之間。例如,按照該種方式劃分網(wǎng)絡(luò)的形式可參考圖1所示,A接口和B接口分別接入兩個網(wǎng)絡(luò),網(wǎng)絡(luò)隔離設(shè)備應(yīng)用在A接口與B接口之間進(jìn)行網(wǎng)絡(luò)隔離。
第二種方式按照接口的集合劃分,接口的集合通常稱為安全區(qū)域,每個安全區(qū)域可以理解為安全級別相同的網(wǎng)絡(luò),網(wǎng)絡(luò)隔離設(shè)備策略應(yīng)用到安全區(qū)域與安全區(qū)域之間。例如,參考圖2所示,A接口、B接口同屬于一個安全區(qū)域Z1,具有同樣的安全級別,C接口屬于另外一個安全區(qū)域Z2。
目前大多數(shù)的網(wǎng)絡(luò)隔離設(shè)備一般都提供了基于安全區(qū)域的隔離模型,每個安全區(qū)域可以按照網(wǎng)絡(luò)的實(shí)際組網(wǎng)加入任意的接口,這樣的安全管理模型不會受到網(wǎng)絡(luò)拓?fù)涞挠绊?,?yīng)用十分靈活。
但是,上述網(wǎng)絡(luò)隔離設(shè)備按照安全區(qū)域進(jìn)行網(wǎng)絡(luò)隔離時只支持用戶報文通過實(shí)際的接口進(jìn)出網(wǎng)絡(luò)隔離設(shè)備,但如圖3所示,假設(shè)E接口接的是yahoo的服務(wù)器,當(dāng)一個用戶訪問yahoo的網(wǎng)頁,如果用戶的訪問請求報文從A接口接入,采用的安全策略是P1,如果用戶的訪問請求報文從C接口接入,則采用的是另外的安全策略P2,這樣顯然是不合理的,因?yàn)閷τ谝粋€用戶來說,無論從任何接口接入,訪問yahoo的權(quán)限都應(yīng)該是一樣的,但這對于目前的基于接口的網(wǎng)絡(luò)隔離設(shè)備是無法實(shí)現(xiàn)的。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題是提供一種用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,以實(shí)現(xiàn)同一用戶通過任意接口訪問網(wǎng)絡(luò)隔離設(shè)備,其獲得的通過網(wǎng)絡(luò)隔離設(shè)備的權(quán)限都相同。
解決本發(fā)明技術(shù)問題所采用的技術(shù)方案是一種控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,該方法包括1)預(yù)設(shè)用戶報文通過網(wǎng)絡(luò)隔離設(shè)備所屬的安全區(qū)域;2)用戶報文通過網(wǎng)絡(luò)隔離設(shè)備時,確定所述預(yù)設(shè)的該用戶的報文所屬的安全區(qū)域;3)以所述用戶報文所屬的安全區(qū)域的安全策略控制該用戶的報文通過網(wǎng)絡(luò)隔離設(shè)備。
進(jìn)一步地,所述步驟1)具體包括A、指定用戶所屬的安全區(qū)域;
B、建立并保存該用戶的報文與該用戶所屬安全區(qū)域的映射關(guān)系。
其中,步驟A)中所述指定的用戶所屬的安全區(qū)域?yàn)橛脩魩ぬ栔杏蛎麑?yīng)的安全區(qū)域。
其中,所述用戶帳號中域名對應(yīng)的安全區(qū)域通過認(rèn)證服務(wù)器或策略服務(wù)器下發(fā)控制信息更改。
其中,所述用戶帳號為對用戶認(rèn)證獲取的帳號。
其中,所述認(rèn)證為網(wǎng)頁認(rèn)證或點(diǎn)到點(diǎn)協(xié)議認(rèn)證。
其中,步驟B)建立并保存用戶的報文與該用戶所屬安全區(qū)域的映射關(guān)系為確定用戶的報文源地址、目的地址與用戶所屬安全區(qū)域的映射;將所述映射關(guān)系保存到用戶信息表。
可選地,所述步驟2)中獲取用戶報文的安全區(qū)域具體包括a、根據(jù)用戶報文的源地址查詢用戶信息表,如果用戶信息表中包含所述用戶報文的源地址,則獲取所述用戶信息表中該報文的源地址對應(yīng)的用戶的安全區(qū)域,否則,獲取入接口所屬的安全區(qū)域;b、根據(jù)用戶報文的目的地址查詢用戶信息表,如果用戶信息表中包含所述用戶報文的目的地址,則獲取所述用戶信息表中該報文的目的地址對應(yīng)的用戶的安全區(qū)域,否則,獲取出接口所屬的安全區(qū)域。
可選地,所述驟2)中獲取用戶報文的安全區(qū)域具體包括a、根據(jù)用戶報文的目的地址查詢用戶信息表,如果用戶信息表中包含所述用戶報文的目的地址,則獲取所述用戶信息表中該報文的目的地址對應(yīng)的用戶的安全區(qū)域,否則,獲取出接口所屬的安全區(qū)域;b、根據(jù)用戶報文的源地址查詢用戶信息表,如果用戶信息表中包含所述用戶報文的源地址,則獲取所述用戶信息表中該報文的源地址對應(yīng)的用戶的安全區(qū)域,否則,獲取入接口所屬的安全區(qū)域。
其中,所述用戶帳號為用戶名和用戶所屬網(wǎng)絡(luò)運(yùn)營商的域名的組合。
其中,所述用戶帳號中用戶名和用戶所屬網(wǎng)絡(luò)運(yùn)營商的域名的組合的格式為username@domainname,其中username標(biāo)識用戶名,domainname標(biāo)識用戶所屬網(wǎng)絡(luò)運(yùn)營商的域名。
其中,所述網(wǎng)絡(luò)隔離設(shè)備可為防火墻。
本發(fā)明技術(shù)方案所產(chǎn)生的有益效果是本發(fā)明中用戶報文通過網(wǎng)絡(luò)隔離設(shè)備時,以預(yù)設(shè)的用戶報文所屬的安全區(qū)域的安全策略控制該用戶的報文通過網(wǎng)絡(luò)隔離設(shè)備,實(shí)現(xiàn)了對于一個用戶來說,無論從任意接口接入,只要是同一用戶,訪問權(quán)限都相同,從而可合理利用現(xiàn)有的防火墻隔離模型,實(shí)現(xiàn)基于用戶的網(wǎng)絡(luò)隔離設(shè)備(如防火墻)控制。
圖1為現(xiàn)有技術(shù)單接口網(wǎng)絡(luò)隔離設(shè)備模型圖;圖2為現(xiàn)有技術(shù)集合接口網(wǎng)絡(luò)隔離設(shè)備模型圖;圖3為現(xiàn)有技術(shù)多接口網(wǎng)絡(luò)隔離設(shè)備模型圖;圖4為本發(fā)明用戶報文通過網(wǎng)絡(luò)隔離設(shè)備方法的主要流程圖。
具體實(shí)施例方式
以下結(jié)合附圖對本發(fā)明作進(jìn)一步的詳細(xì)描述。
如圖4所示,本發(fā)明實(shí)現(xiàn)用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的主要流程包括預(yù)設(shè)用戶安全區(qū)域(步驟1)、確定用戶報文的安全區(qū)域(步驟2)和獲取安全策略通過網(wǎng)絡(luò)隔離設(shè)備(步驟3)三個步驟,不失一般性,下面以所述的網(wǎng)絡(luò)隔離設(shè)備采用防火墻為例進(jìn)行說明。
本發(fā)明中預(yù)設(shè)用戶安全區(qū)域?yàn)轭A(yù)設(shè)用戶報文通過防火墻所屬的安全區(qū)域,首先通過指定用戶所屬的安全區(qū)域,然后建立并保存該用戶的報文與該用戶所屬安全區(qū)域的映射關(guān)系,該映射關(guān)系為包含報文源地址、目的地址與用戶所屬安全區(qū)域的用戶信息表。
當(dāng)用戶的報文通過防火墻時,首先要確定該欲通過防火墻用戶報文所屬的安全區(qū)域,根據(jù)用戶報文的源地址和目的地址去查詢用戶信息表,防火墻首先根據(jù)報文源地址查詢信息表,如信息表中包含該報文的源地址,則獲得用戶的安全區(qū)域,否則獲得入接口所屬的安全區(qū)域,然后防火墻根據(jù)報文目的地址查詢信息表,如信息表中包含該報文的目的地址,則獲得用戶的安全區(qū)域,否則獲得出接口所屬的安全區(qū)域。
同樣的,在用戶的報文經(jīng)過防火墻時,防火墻也可以首先根據(jù)報文目的地址查詢信息表,如信息表中包含該報文的目的地址,則獲得用戶的安全區(qū)域,否則獲得出接口所屬的安全區(qū)域;然后防火墻根據(jù)報文源地址查詢信息表,如信息表中包含該報文的源地址,則獲得用戶的安全區(qū)域,否則獲得入接口所屬的安全區(qū)域。
具體地說,用戶報文通過防火墻時,一般先要進(jìn)行某種形式的認(rèn)證,比如WEB(網(wǎng)頁)認(rèn)證或是PPP(點(diǎn)對點(diǎn)協(xié)議)認(rèn)證等,并輸入正確的用戶帳號和密碼。用戶帳號的格式一般為username@domainname,其中username是用戶名,domainname用來標(biāo)識用戶所屬網(wǎng)絡(luò)運(yùn)營商ISP(Internet serviceprovider)的域名。
通常,接受同一個網(wǎng)絡(luò)運(yùn)營商ISP(Internet service provider)服務(wù)的用戶,都具有同樣的安全級別。預(yù)先在防火墻上配置每個域所對應(yīng)的安全區(qū)域,因?yàn)槊恳粋€用戶與域相對應(yīng),這就相當(dāng)于預(yù)先設(shè)置了用戶的安全區(qū)域,以具體的例子進(jìn)行說明,如圖3所示,A接口和B接口屬于同一個安全區(qū)域Z1,C接口和D接口屬于同一個安全區(qū)域Z2,E接口屬于一個安全區(qū)域Z3,Z1與Z3之間應(yīng)用一套防火墻安全策略P1,Z2與Z3之間應(yīng)用一套防火墻安全策略P2,假設(shè)預(yù)先配置了域名(domainname)所屬的安全區(qū)域?yàn)閆1。
當(dāng)用戶認(rèn)證時,防火墻設(shè)備根據(jù)用戶的帳號獲得域名(domainname),然后根據(jù)域名(domainname)獲得用戶所屬的安全區(qū)域。
如果用戶需要特定的安全區(qū)域,則經(jīng)申請后ISP也能給某些用戶下發(fā)特定的安全區(qū)域,可以通過特定的服務(wù)器下發(fā)控制信息來更改這些用戶所屬的安全區(qū)域。該特定服務(wù)器可以為認(rèn)證計(jì)費(fèi)服務(wù)器(如Radius server)、策略服務(wù)器(如COPS server)等等。
當(dāng)用戶通過認(rèn)證后,防火墻設(shè)備為用戶建立用戶的報文與用戶所屬安全區(qū)域的用戶信息表,記錄下用戶的源地址、目的地址和所屬的安全區(qū)域等信息。
用戶的報文經(jīng)過防火墻時,查詢上述用戶信息表,獲取安全策略控通過網(wǎng)絡(luò)隔離設(shè)備。
現(xiàn)假設(shè)圖3中的E接口接的是Internet,用戶username@domainname訪問Internet的報文經(jīng)過防火墻時,防火墻根據(jù)用戶的地址獲得用戶信息表,從而獲得其所屬的安全區(qū)域一定是Z1,不論用戶是A接口接入還是從C接口接入。
防火墻根據(jù)報文的目的地址獲得出接口所屬的安全區(qū)域,即E接口所屬的安全區(qū)域Z3。從而獲得防火墻安全策略是P1。
從此可以看出,無論用戶是從安全區(qū)域Z1中的接口(比如A接口)接入的,還是從安全區(qū)域Z2中的接口(比如C接口)接入的。防火墻最后得到的安全策略都是P1,從而實(shí)現(xiàn)了基于用戶帳號的防火墻控制。
另外,對于如何獲得用戶帳號所屬的安全區(qū)域,并不局限于上面所說的使用用戶信息表。其他的如將用戶所屬的安全區(qū)域記錄在用戶的FIB表中,通過查FIB表獲得也是可以實(shí)現(xiàn)的。
本發(fā)明中如何確定用戶帳號所屬的安全區(qū)域,并不局限于通過賬號中的域domain或是通過特定的服務(wù)器下發(fā)控制信息來確定,其他的如靜態(tài)配置某個帳號或者某個IP地址所屬的安全區(qū)域也是可以實(shí)現(xiàn)的。
以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式,應(yīng)當(dāng)指出,對于本技術(shù)領(lǐng)域的普通技術(shù)人員來說,在不脫離本發(fā)明原理的前提下,還可以作出若干改進(jìn)和潤飾,這些改進(jìn)和潤飾也應(yīng)視為本發(fā)明的保護(hù)范圍。
權(quán)利要求
1.一種控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,該方法包括1)預(yù)設(shè)用戶報文通過網(wǎng)絡(luò)隔離設(shè)備所屬的安全區(qū)域;2)用戶報文通過網(wǎng)絡(luò)隔離設(shè)備時,確定所述預(yù)設(shè)的該用戶的報文所屬的安全區(qū)域;3)以所述用戶報文所屬的安全區(qū)域的安全策略控制該用戶的報文通過網(wǎng)絡(luò)隔離設(shè)備。
2.根據(jù)權(quán)利要求1所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,所述步驟1)具體包括A、指定用戶所屬的安全區(qū)域;B、建立并保存該用戶的報文與該用戶所屬安全區(qū)域的映射關(guān)系。
3.根據(jù)權(quán)利要求2所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,步驟A)中所述指定的用戶所屬的安全區(qū)域?yàn)橛脩魩ぬ栔杏蛎麑?yīng)的安全區(qū)域。
4.根據(jù)權(quán)利要求3所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,所述用戶帳號中域名對應(yīng)的安全區(qū)域通過認(rèn)證服務(wù)器或策略服務(wù)器下發(fā)控制信息更改。
5.根據(jù)權(quán)利要求4所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,所述用戶帳號為對用戶認(rèn)證獲取的帳號。
6.根據(jù)權(quán)利要求5所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,所述認(rèn)證為網(wǎng)頁認(rèn)證或點(diǎn)到點(diǎn)協(xié)議認(rèn)證。
7.根據(jù)權(quán)利要求2所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,步驟B)建立并保存用戶的報文與該用戶所屬安全區(qū)域的映射關(guān)系為確定用戶的報文源地址、目的地址與用戶所屬安全區(qū)域的映射;將所述映射關(guān)系保存到用戶信息表。
8.根據(jù)權(quán)利要求7所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,所述步驟2)中獲取用戶報文的安全區(qū)域具體包括8a、根據(jù)用戶報文的源地址查詢用戶信息表,如果用戶信息表中包含所述用戶報文的源地址,則獲取所述用戶信息表中該報文的源地址對應(yīng)的用戶的安全區(qū)域,否則,獲取入接口所屬的安全區(qū)域;8b、根據(jù)用戶報文的目的地址查詢用戶信息表,如果用戶信息表中包含所述用戶報文的目的地址,則獲取所述用戶信息表中該報文的目的地址對應(yīng)的用戶的安全區(qū)域,否則,獲取出接口所屬的安全區(qū)域。
9.根據(jù)權(quán)利要求7所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,所述獲取用戶報文的安全區(qū)域具體包括9a、根據(jù)用戶報文的目的地址查詢用戶信息表,如果用戶信息表中包含所述用戶報文的目的地址,則獲取所述用戶信息表中該報文的目的地址對應(yīng)的用戶的安全區(qū)域,否則,獲取出接口所屬的安全區(qū)域;9b、根據(jù)用戶報文的源地址查詢用戶信息表,如果用戶信息表中包含所述用戶報文的源地址,則獲取所述用戶信息表中該報文的源地址對應(yīng)的用戶的安全區(qū)域,否則,獲取入接口所屬的安全區(qū)域。
10.根據(jù)權(quán)利要求3所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,所述用戶帳號為用戶名和用戶所屬網(wǎng)絡(luò)運(yùn)營商的域名的組合。
11.根據(jù)權(quán)利要求10所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,所述用戶帳號中用戶名和用戶所屬網(wǎng)絡(luò)運(yùn)營商的域名的組合的格式為username@domainname,其中username標(biāo)識用戶名,domainname標(biāo)識用戶所屬網(wǎng)絡(luò)運(yùn)營商的域名。
12.根據(jù)權(quán)利要求1-11任意一項(xiàng)所述的控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,其特征在于,所述網(wǎng)絡(luò)隔離設(shè)備為防火墻。
全文摘要
本發(fā)明公開了一種控制用戶報文通過網(wǎng)絡(luò)隔離設(shè)備的方法,該方法是這樣實(shí)現(xiàn)的用戶報文通過網(wǎng)絡(luò)隔離設(shè)備前,網(wǎng)絡(luò)隔離設(shè)備根據(jù)報文所屬的帳號獲得報文所屬的域名,由此獲得該報文所屬的安全區(qū)域;網(wǎng)絡(luò)隔離設(shè)備為設(shè)備所允許通過的所屬帳號的報文建立記錄有報文源地址、目的地址和所屬安全區(qū)域的信息表;報文通過網(wǎng)絡(luò)隔離設(shè)備時,網(wǎng)絡(luò)隔離設(shè)備根據(jù)報文源地址、目的地址查詢信息表;根據(jù)查詢信息表所獲取的網(wǎng)絡(luò)隔離設(shè)備安全策略執(zhí)行相應(yīng)操作,本發(fā)明實(shí)現(xiàn)了對于一個用戶來說,無論從任意端口接入,只要用的是同一個用戶帳號,訪問權(quán)限都相同,通過合理利用和部分?jǐn)U展現(xiàn)有的網(wǎng)絡(luò)隔離模型,實(shí)現(xiàn)基于用戶帳號的防火墻控制。
文檔編號H04L29/06GK1859384SQ20051012121
公開日2006年11月8日 申請日期2005年12月29日 優(yōu)先權(quán)日2005年12月29日
發(fā)明者熊蘇學(xué) 申請人:華為技術(shù)有限公司