專利名稱:一種報文處理方法、防火墻設(shè)備及網(wǎng)絡(luò)安全系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域��,尤其涉及一種報文處理方法���、防火墻設(shè)備及 網(wǎng)絡(luò)安全系統(tǒng)���。
背景技術(shù):
目前,隨著網(wǎng)絡(luò)的日益發(fā)展����,網(wǎng)絡(luò)的安全問題越來越突出。人們將注意 力主要集中在來自于外部的攻擊���,因此花大力氣和重金部署網(wǎng)絡(luò)邊界的安全
產(chǎn)品���,例如防火墻、入侵;險測系統(tǒng)(IDS, Intrusion Detection Systems )等����。
硬件防火墻是指把防火墻程序做到芯片里面�,由硬件執(zhí)行這些功能��,能 減少CPU的負(fù)擔(dān)���,使路由更穩(wěn)定����。硬件防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的一道重 要屏障���。此外�����,通過創(chuàng)建邏輯上的虛擬防火墻(Vfw, Virtual firewall),硬件 防火墻能夠提供防火墻出租業(yè)務(wù)���。虛擬防火墻是虛擬專用網(wǎng)絡(luò)(VPN, Virtual Private Network)實例�����、安全實例和配置實例的綜合體,能夠為虛擬防火墻用 戶提供私有的路由轉(zhuǎn)發(fā)平面����、安全服務(wù)和配置管理平面。
在現(xiàn)有的二層組網(wǎng)環(huán)境中��,通過虛擬局域網(wǎng)(VLAN�����, Virtual Local Area Network)來區(qū)分不同的區(qū)域��,在每個VLAN中運行著相互獨立的業(yè)務(wù)?���,F(xiàn)有 技術(shù)中報文在透明模式下通過防火墻并進(jìn)行防火墻業(yè)務(wù)處理時����,在不同的 VLAN中不可以配置相同的IP地址,如果有兩條不同的流分別指向兩個相同的 IP地址��,則在經(jīng)過防火墻時����,由于沒有用不同VLAN的值來區(qū)分流,會導(dǎo)致兩 條不同的流建立相同的狀態(tài)表項,體現(xiàn)在防火墻中就是同 一條會話(session )���。 此時�,如果該兩條流中任一條流連接發(fā)起則可能導(dǎo)致該條流不會發(fā)送到正確 的目的地址�����。
在實踐過程中�,發(fā)明人經(jīng)過研究發(fā)現(xiàn)由于現(xiàn)有技術(shù)中不能標(biāo)識唯一的 一條流,因此可能出現(xiàn)五元組(源IP���、目的IP�、源端口�����、目的端口����、協(xié)議號) 相同的流在經(jīng)過防火墻時,命中的表項不一定是屬于該防火墻業(yè)務(wù)的流所對 應(yīng)的�,如果仍然根據(jù)該表項進(jìn)行轉(zhuǎn)發(fā)就會出現(xiàn)錯誤,從而導(dǎo)致業(yè)務(wù)中斷����。
發(fā)明內(nèi)容
本發(fā)明實施例提供一種防火墻透明模式報文處理方法����、防火墻設(shè)備及網(wǎng)絡(luò)安全系統(tǒng)�����,能夠解決地址重疊時出現(xiàn)的報文轉(zhuǎn)發(fā)混亂的問題�。
本發(fā)明實施例提供以下技術(shù)方案 本發(fā)明實施例提供一種報文處理方法,包括
轉(zhuǎn)發(fā)報文時����,對不同的虛擬局域網(wǎng)VLAN接口配置不同的虛擬專用網(wǎng)絡(luò) VPN值��,并將包括VPN值在內(nèi)的參數(shù)封裝到所述報文相應(yīng)的數(shù)據(jù)幀頭中�����;
對所述報文進(jìn)行解析�,當(dāng)解析為透明模式時,設(shè)置全局標(biāo)識用于標(biāo)識所 述報文是通過二層轉(zhuǎn)發(fā)接口進(jìn)入防火墻的��;在所述報文通過防火墻的相關(guān)處 理后����,為所述報文建立相應(yīng)的狀態(tài)表項并將所述報文轉(zhuǎn)發(fā)出去��,所述狀態(tài)表 項中包括VPN值在內(nèi)的參數(shù)信息��。
本發(fā)明實施例還提供一種防火墻設(shè)備�����,包括
業(yè)務(wù)轉(zhuǎn)發(fā)單元SFU,用于在轉(zhuǎn)發(fā)報文時�,對不同的虛擬局域網(wǎng)VLAN接 口配置不同的虛擬專用網(wǎng)絡(luò)VPN值����,并將包括VPN值在內(nèi)的參數(shù)封裝到所 述報文相應(yīng)的數(shù)據(jù)幀頭中;
安全業(yè)務(wù)單元SSU,用于對所述SFU轉(zhuǎn)發(fā)的報文進(jìn)行解析��,當(dāng)解析為透 明模式時����,設(shè)置全局標(biāo)識用于標(biāo)識所述報文是通過二層轉(zhuǎn)發(fā)接口進(jìn)入防火墻 的;在所述報文通過SSU上防火墻的相關(guān)處理后���,為所述報文建立相應(yīng)的狀 態(tài)表項并將所述報文轉(zhuǎn)發(fā)出去�,所述狀態(tài)表項中包括VPN值在內(nèi)的參數(shù)信息��。
本發(fā)明實施例還提供一種包括上述防火墻設(shè)備的網(wǎng)絡(luò)安全系統(tǒng)。
本發(fā)明實施例提供一種防火墻透明模式下報文處理方法����、防火墻設(shè)備及 網(wǎng)絡(luò)安全系統(tǒng),能夠解決地址重疊時出現(xiàn)的報文轉(zhuǎn)發(fā)混亂的問題�����。本發(fā)明實 施例能夠在不同的VLAN中配置相同的IP地址的情況下��,通過增加標(biāo)識以區(qū) 別IP地址相同的流��,并分別建立不同的狀態(tài)表項�,從而能夠正確的轉(zhuǎn)發(fā)報文。 當(dāng)同一條流的后續(xù)報文到來時�,也能夠正確的命中對應(yīng)的狀態(tài)表項,獲取相 關(guān)參數(shù)進(jìn)行轉(zhuǎn)發(fā)處理���,這樣,后續(xù)報文的合法性可以快速檢測出來���,繼而進(jìn) 行快速轉(zhuǎn)發(fā)處理���。
圖l是現(xiàn)有技術(shù)中虛擬防火墻體系結(jié)構(gòu)圖2是本發(fā)明實施例防火墻透明模式下報文處理方法流程圖3是本發(fā)明實施例分布式防火墻透明;漢式下"^艮文轉(zhuǎn)發(fā)示意圖�; 圖4是本發(fā)明實施例防火墻設(shè)備結(jié)構(gòu)示意圖�; 圖5是本發(fā)明實施例網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)示意圖; 圖6是本發(fā)明實施例分布式防火墻透明模式多實例的應(yīng)用場景示意圖���。
具體實施例方式
本發(fā)明實施例提供一種防火墻透明模式下報文處理方法����、防火墻設(shè)備及 網(wǎng)絡(luò)安全系統(tǒng)��,能夠解決地址重疊時出現(xiàn)的凈艮文轉(zhuǎn)發(fā)混亂的問題���。本發(fā)明實 施例所述防火墻既可以是集中式防火墻�,也可以是分布式防火墻�����。為使本發(fā) 明的目的���、技術(shù)方案及優(yōu)點更加清楚明白�,下面參照附圖并舉實施例����,對本 發(fā)明進(jìn)一步詳細(xì)說明�����。
如圖2所示���,為本發(fā)明實施例提供的防火墻透明模式下報文處理方法流 程圖,包括以下過程
步驟201����、業(yè)務(wù)轉(zhuǎn)發(fā)單元(SFU, Service Forward Unit)轉(zhuǎn)發(fā)報文時,對 不同的VLAN接口配置不同的VPN值��,以對該VLAN接口下的流進(jìn)行所屬 VPN上的有效區(qū)分��;將包括VPN值在內(nèi)的參數(shù)封裝到所述報文相應(yīng)的數(shù)據(jù)幀 頭中送到安全業(yè)務(wù)單元(SSU, Security Service Unit)進(jìn)行解析處理���;
步驟202�����、 SSU對SFU轉(zhuǎn)發(fā)的報文中封裝的字段進(jìn)行解析����,當(dāng)解析為透 明模式時�,防火墻設(shè)置全局標(biāo)識用于標(biāo)識所述報文是通過二層轉(zhuǎn)發(fā)接口進(jìn)入 防火墻的;在所述報文通過SSU上防火墻的相關(guān)處理后����,為所述報文建立相 應(yīng)的狀態(tài)表項并將該報文轉(zhuǎn)發(fā)出去,所述狀態(tài)表項中包括VPN值在內(nèi)的參數(shù) 信息����;
需要說明的是,在步驟202中還可以進(jìn)一步包括
如果所述報文未通過SSU上防火墻的相關(guān)處理���,則為所述報文建立對應(yīng)
理方式��;當(dāng)有后續(xù)報文到達(dá)時��,則從所述非法報文表項中獲取相關(guān)參數(shù)進(jìn)行 相應(yīng)處理����。
所述方法還可以進(jìn)一步包括
步驟203��、當(dāng)有后續(xù)報文到達(dá)防火墻時��,從所述狀態(tài)表項中獲取相關(guān)參數(shù)
進(jìn)行后續(xù)轉(zhuǎn)發(fā)處理��。
在步驟203中�����,所述后續(xù)轉(zhuǎn)發(fā)處理具體包括
SSU將包括VPN值在內(nèi)的參數(shù)信息封裝到所述報文的數(shù)據(jù)幀頭中;
SSU對所述報文對應(yīng)的狀態(tài)表項進(jìn)行狀態(tài)改變��、時間戳刷新等更新操作����,
識別轉(zhuǎn)發(fā)所述報文的對應(yīng)的出接口及SFU,并將封裝后的報文發(fā)送到對應(yīng)的
SFU進(jìn)行轉(zhuǎn)發(fā)。
如圖3所示�����,為本發(fā)明實施例分布式防火墻透明模式下報文轉(zhuǎn)發(fā)示意圖����, 其中的SFU—A和SFU—B是物理上接收和轉(zhuǎn)發(fā)數(shù)據(jù)的單元,用于簡單的報文 封裝���、流程轉(zhuǎn)發(fā)���;SSU—A和SSU—B是主要的業(yè)務(wù)處理單元,用于識別報文的 合法性并建立與之對應(yīng)的狀態(tài)信息�����。報文轉(zhuǎn)發(fā)的具體過程說明如下
步驟a:報文從SFILA進(jìn)入�����,通過配置使能二層轉(zhuǎn)發(fā)命令使該接口進(jìn)入 二層轉(zhuǎn)發(fā)狀態(tài)����,配置VLAN并讓該接口加入。配置VPN并與該VLAN進(jìn)行 綁定���,這樣屬于該VLAN下的接口都會有對應(yīng)的VPN值來標(biāo)識�。
SFU一A對報文進(jìn)行簡單的業(yè)務(wù)識別等相關(guān)動作處理后�����,會根據(jù)自定義的 算法把該條流送到對應(yīng)的SSU單元進(jìn)行處理�,本實施例中假定是送往SSU_A (當(dāng)然也可以送往SFU一B ),在這一過程中會把相關(guān)的參數(shù)封裝到自定義的幀 頭中送到SSU一A供后續(xù)業(yè)務(wù)處理時使用。
步驟b: SSU一A收到SFU—A送來的報文�,會對所述報文對應(yīng)幀頭中的信 息進(jìn)行解析,通過相應(yīng)位置的識別可以知道該才艮文是從二層轉(zhuǎn)發(fā)接口進(jìn)入的��, 防火墻會對這樣的報文設(shè)置一個全局標(biāo)識��,用于后續(xù)針對這樣的流的特殊處 理。
在SSU—A上會進(jìn)行防火墻業(yè)務(wù)的處理�,包括攻擊防范檢測,病毒識別等�����。 如果報文能夠順利通過各種檢測�,則SSU—A會為該條流建立相應(yīng)的狀態(tài)表項, 該狀態(tài)表項的主要參數(shù)包括IP, PORT(端口)�, Protocol (協(xié)議號),VPN值 等信息�,VPN值是在步驟a中由SFU—A封裝的,后續(xù)報文則會直接命中該狀 態(tài)表項進(jìn)行轉(zhuǎn)發(fā)�����。如果報文沒有通過檢測��,即被SSU一A識別為非法報文��,則 對該報文會進(jìn)行丟棄��、非法報文計數(shù)等處理����,并為該條流建立非法報文的表 項�,在后續(xù)非法報文過來的時候則會命中該非法報文的表項并直接做出處理��。
步驟c: SSU—A完成報文的相關(guān)檢測��,并建立相應(yīng)的狀態(tài)表項后�����,SSU—A 會將與該條流相關(guān)的參數(shù)進(jìn)行封裝處理���,填充到自定義的幀頭結(jié)構(gòu)中。
步驟d: SSU—A對報文和表項進(jìn)行IP地址及時間戳進(jìn)行更新�����,通過狀態(tài) 表項中的字段識別出報文的出接口����,假定為SFU—B。在更新等動作完成后會 把該條流送到相應(yīng)的SFU單元來處理����,假定本實施例的目的SFU單元是 SFU—B。
步驟e: SFU_B通過報文從SSU—A攜帶來的信息進(jìn)行簡單的報文類別識 別等處理��,完畢后將報文轉(zhuǎn)發(fā)出去。
在上述實施例中可以看出����,由于不同的VLAN綁定了不同的VPN值,這 樣即4吏在同一個網(wǎng)絡(luò)環(huán)境的不同VLAN中配置相同的IP地址�,當(dāng)有相同五元 組的流產(chǎn)生在SSU上時,SSU也會建立不同的狀態(tài)表項����,這樣如果后續(xù)有相 同五元組的流到達(dá)SSU,也不會出現(xiàn)因狀態(tài)表項混亂而導(dǎo)致業(yè)務(wù)不通的情況。
如圖4所示��,為本發(fā)明實施例提供的防火墻設(shè)備結(jié)構(gòu)示意圖�����,包括業(yè) 務(wù)轉(zhuǎn)發(fā)單元SFU 411 - 41n和安全業(yè)務(wù)單元SSU 421-42m,其中
所述SFU����,用于在轉(zhuǎn)發(fā)報文時,對不同的VLAN接口配置不同的VPN值���, 并將包括VPN值在內(nèi)的參數(shù)封裝到所述報文相應(yīng)的數(shù)據(jù)幀頭中�;
所述SSU,用于對SFU轉(zhuǎn)發(fā)的報文進(jìn)行解析��,當(dāng)解析為透明模式時,設(shè) 置全局標(biāo)識用于標(biāo)識所述報文是通過二層轉(zhuǎn)發(fā)接口進(jìn)入防火墻的���;在所述報 文通過SSU上防火墻的相關(guān)處理后��,為所述"^艮文建立相應(yīng)的狀態(tài)表項并將所 述報文轉(zhuǎn)發(fā)出去����,所述狀態(tài)表項中包括VPN值在內(nèi)的參數(shù)信息��。
當(dāng)有后續(xù)報文需要轉(zhuǎn)發(fā)時����,所述SSU還用于從所述狀態(tài)表項中獲取相關(guān) 參數(shù)進(jìn)行后續(xù)轉(zhuǎn)發(fā)處理�。其中,所述SSU進(jìn)行后續(xù)轉(zhuǎn)發(fā)處理具體是將包括VPN 值在內(nèi)的參數(shù)信息封裝到所述報文自定義的幀頭結(jié)構(gòu)中��;以及對所述報文和 狀態(tài)表項進(jìn)行更新操作��,通過所述狀態(tài)表項中的字段識別出所述報文的出接 口及SFU,將封裝后的報文發(fā)送到對應(yīng)的SFU進(jìn)行轉(zhuǎn)發(fā)�����。
需要說明的是���,在所述報文未通過SSU上防火墻的相關(guān)處理時���,所述SSU 還用于為所述報文建立對應(yīng)的非法報文表項�,所述表項中包括VPN值在內(nèi)的 參數(shù)信息及相應(yīng)處理方式�����;當(dāng)有后續(xù)非法報文需要轉(zhuǎn)發(fā)時�����,則從所述非法報文表項中獲取相關(guān)參數(shù)進(jìn)行相應(yīng)處理��。
在上述實施例中可以看出����,由于不同的VLAN綁定了不同的VPN值,這 樣即使配置了相同的IP,有相同的流產(chǎn)生在SSU—A上也會有屬于自己的表項��, 因而不會出現(xiàn)因狀態(tài)混亂而導(dǎo)致業(yè)務(wù)不通的狀況發(fā)生�。
如圖5所示,為本發(fā)明實施例提供的網(wǎng)絡(luò)安全系統(tǒng)結(jié)構(gòu)示意圖�,包括防 火墻設(shè)備510和狀態(tài)檢測設(shè)備500,其中
所述防火墻設(shè)備510具體包括若干個業(yè)務(wù)轉(zhuǎn)發(fā)單元SFU511 - 51n和若 干個安全業(yè)務(wù)單元SSU521-52m,其中
所述SFU,用于在轉(zhuǎn)發(fā)報文時,對不同的VLAN接口配置不同的VPN值���, 并將包括VPN值在內(nèi)的參數(shù)封裝到所述才艮文相應(yīng)的凝:據(jù)幀頭中�����;
所述SSU����,用于對SFU轉(zhuǎn)發(fā)的報文進(jìn)行解析,當(dāng)解析為透明模式時�,設(shè) 置全局標(biāo)識用于標(biāo)識所述報文是通過二層轉(zhuǎn)發(fā)接口進(jìn)入防火墻的;在所述報 文通過SSU防火墻的相關(guān)處理后��,為所述報文建立相應(yīng)的狀態(tài)表項并將所述 報文轉(zhuǎn)發(fā)出去��,所述狀態(tài)表項中包括VPN值在內(nèi)的參數(shù)信息���。
當(dāng)有后續(xù)報文需要轉(zhuǎn)發(fā)時,所述SSU還用于從所述狀態(tài)表項中獲取相關(guān) 參數(shù)進(jìn)行后續(xù)轉(zhuǎn)發(fā)處理���。其中��,所述SSU進(jìn)行后續(xù)轉(zhuǎn)發(fā)處理具體是將包括VPN 值在內(nèi)的參數(shù)信息封裝到所述報文自定義的幀頭結(jié)構(gòu)中���;以及對所述報文和 狀態(tài)表項進(jìn)行更新操作�,通過所述狀態(tài)表項中的字段識別出所述報文的出接 口及SFU,將封裝后的報文發(fā)送到對應(yīng)的SFU進(jìn)行轉(zhuǎn)發(fā)��。
需要說明的是,在所述報文未通過SSU上防火墻的相關(guān)處理時����,所述SSU 還用于為所述報文建立對應(yīng)的非法報文表項,所述表項中包括VPN值在內(nèi)的 參數(shù)信息及相應(yīng)處理方式�;當(dāng)有后續(xù)非法報文需要轉(zhuǎn)發(fā)時,則從所述非法報 文表項中獲取相關(guān)參數(shù)進(jìn)行相應(yīng)處理����。
狀態(tài)檢測設(shè)備500,用于與防火墻設(shè)備510配合實現(xiàn)網(wǎng)絡(luò)安全的防御���,例 如��,切斷受控網(wǎng)絡(luò)的通信主干線�����,對通過受控干線的任何通信進(jìn)行安全處理 等���。
當(dāng)然,在實際應(yīng)用中,網(wǎng)絡(luò)安全系統(tǒng)的構(gòu)成比較復(fù)雜�����,可能并不局限于 本發(fā)明上述實施例的情況�,還可能包括其他一些輔助設(shè)備,本領(lǐng)域技術(shù)人員可以不通過創(chuàng)造性勞動就可以在本發(fā)明實施例的基礎(chǔ)上進(jìn)行有意義的拓展及
各種變形��,此處不再贅述���。
另外����,本發(fā)明上述實施例提供的防火墻設(shè)備可以應(yīng)用的場景比較廣泛�,
例如大中型客戶、各種城域網(wǎng)的出口或入口處等�。
下面,通過一個具體的應(yīng)用實例對本發(fā)明上述實施例作進(jìn)一步說明���。 如圖6所示,為本發(fā)明實施例提供的分布式防火墻透明模式多實例的應(yīng)
用場景示意圖����。
場景描述如下
客戶A和客戶B同時租用一個分布式石更件防火墻,其中���,客戶A加入虛 擬防火墻VFW1����,客戶B加入虛擬防火墻VFW2,客戶A和客戶B支持地址 重疊?����?蛻鬉分為trust��、 dmz和untrust區(qū)域�����,其中����,trust為私網(wǎng)地址,dmz 有對夕卜服務(wù)器�,untrust區(qū)擁有公網(wǎng)地址??蛻鬊分為tmst、 dmz和untrust區(qū) 域�����,其中,trust和dmz區(qū)提供對外服務(wù)器�,untrust區(qū)為私網(wǎng)地址。
假定客戶A屬于VLAN1,綁定VFW1,接口 e4/0/1屬于VFW1的trust域���, 地址192.168.1.1;客戶B屬于VLAN2�,綁定VFW2����,接口 e4/0/5屬于VFW2 的trust域,地址192.168.1.1;網(wǎng)關(guān)屬于VF WO的untrust域,地址10.110.200.2 ���。
如果客戶A和客戶B都向網(wǎng)關(guān)發(fā)起連接���,則會在防火墻上建立兩張狀態(tài) 表項,其中���,IP��、 Port��、 Protocol都相同,但是VPN值不相同?��?蛻鬉建立 的狀態(tài)表項的VPN值為VPN1,而客戶B建立的狀態(tài)表項的VPN值為VPN2�����。
當(dāng)分別屬于客戶A����、客戶B不同的流過來的時候都會通過VPN值命中屬 于自己的狀態(tài)表項�����,因而不會出現(xiàn)因狀態(tài)混亂而導(dǎo)致業(yè)務(wù)不通的狀況發(fā)生�����。
本領(lǐng)域普通技術(shù)人員可以理解實現(xiàn)上述實施例方法攜帶的全部或部分步 驟是可以通過程序來指令相關(guān)的硬件完成�,所述的程序可以存儲于一種計算 機(jī)可讀存儲介質(zhì)中,該程序在執(zhí)行時�����,包括方法實施例的步驟之一或其組合��。
另外,在本發(fā)明各個實施例中的各功能單元可以集成在一個處理模塊中�����, 也可以是各個單元單獨物理存在�,也可以兩個或兩個以上單元集成在一個才莫 塊中。上述集成的模塊既可以采用硬件的形式實現(xiàn)�,也可以采用軟件功能模 塊的形式實現(xiàn)。所述集成的模塊如果以軟件功能模塊的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時�,也可以存儲在一個計算機(jī)可讀取存儲介質(zhì)中。
上述提到的存儲介質(zhì)可以是只讀存儲器����,磁盤或光盤等。
綜上所述�����,本文提供了一種防火墻透明模式下報文處理方法����、防火墻設(shè) 備及網(wǎng)絡(luò)安全系統(tǒng),能夠解決地址重疊時出現(xiàn)的報文轉(zhuǎn)發(fā)混亂的問題�����,可以 應(yīng)用到不同架構(gòu)的防火墻上。
本發(fā)明實施例能夠在不同的VLAN中配置相同的IP地址的情況下���,通過
增加標(biāo)識以區(qū)別IP地址相同的流,并分別建立不同的狀態(tài)表項�����,從而能夠正 確的轉(zhuǎn)發(fā)報文���。當(dāng)同一條流的后續(xù)報文到來時�����,也能夠正確的命中對應(yīng)的狀 態(tài)表項�,獲取相關(guān)參數(shù)進(jìn)行轉(zhuǎn)發(fā)處理�����,這樣�����,后續(xù)報文的合法性可以快速檢 測出來���,繼而進(jìn)行快速轉(zhuǎn)發(fā)處理�����。
以上對本發(fā)明所提供的防火墻透明模式下報文處理方法�����、防火墻設(shè)備及 網(wǎng)絡(luò)安全系統(tǒng)進(jìn)行了詳細(xì)介紹���,本文中應(yīng)用了具體個例對本發(fā)明的原理及實
施方式進(jìn)行了闡述�,以上實施例的說明只是用于幫助理解本發(fā)明的方案�;同 時,對于本領(lǐng)域的一般技術(shù)人員��,依據(jù)本發(fā)明的思想���,在具體實施方式
及應(yīng) 用范圍上均會有改變之處��,綜上所述����,本說明書內(nèi)容不應(yīng)理解為對本發(fā)明的限制��。
權(quán)利要求
1、一種報文處理方法�,其特征在于,包括轉(zhuǎn)發(fā)報文時����,對不同的虛擬局域網(wǎng)VLAN接口配置不同的虛擬專用網(wǎng)絡(luò)VPN值,并將包括VPN值在內(nèi)的參數(shù)封裝到所述報文相應(yīng)的數(shù)據(jù)幀頭中�����;對所述報文進(jìn)行解析����,當(dāng)解析為透明模式時��,設(shè)置全局標(biāo)識用于標(biāo)識所述報文是通過二層轉(zhuǎn)發(fā)接口進(jìn)入防火墻的���;在所述報文通過防火墻的相關(guān)處理后�����,為所述報文建立相應(yīng)的狀態(tài)表項并將所述報文轉(zhuǎn)發(fā)出去�,所述狀態(tài)表項中包括VPN值在內(nèi)的參數(shù)信息����。
2����、 根據(jù)權(quán)利要求1所述的報文處理方法��,其特征在于���,還包括當(dāng)有后續(xù)報文需要轉(zhuǎn)發(fā)時���,從所述狀態(tài)表項中獲取相關(guān)參數(shù)進(jìn)行后續(xù)轉(zhuǎn) 發(fā)處理。
3��、 根據(jù)權(quán)利要求2所述的報文處理方法��,其特征在于��,所述后續(xù)轉(zhuǎn)發(fā)處 理具體包括將包括VPN值在內(nèi)的參數(shù)信息封裝到所述報文自定義的幀頭結(jié)構(gòu)中�; 對所述報文和狀態(tài)表項進(jìn)行更新操作,通過所述狀態(tài)表項中的字段識別 出所述報文的出接口 ���,將封裝后的報文發(fā)送到對應(yīng)的出接口進(jìn)行轉(zhuǎn)發(fā)�。
4、 根據(jù)權(quán)利要求1所述的報文處理方法���,其特征在于�����,還包括 如果所述報文未通過防火墻的相關(guān)處理��,則為所述報文建立對應(yīng)的非法報文表項�,所述表項中包括VPN值在內(nèi)的參數(shù)信息及相應(yīng)處理方式���;當(dāng)有后續(xù)非法報文需要轉(zhuǎn)發(fā)時,則從所述非法報文表項中獲取相關(guān)參數(shù) 進(jìn)4亍相應(yīng)處理����。
5、 一種防火墻設(shè)備�,其特征在于,包括業(yè)務(wù)轉(zhuǎn)發(fā)單元SFU,用于在轉(zhuǎn)發(fā)報文時�����,對不同的虛擬局域網(wǎng)VLAN接 口配置不同的虛擬專用網(wǎng)絡(luò)VPN值����,并將包括VPN值在內(nèi)的參數(shù)封裝到所 述才艮文相應(yīng)的數(shù)據(jù)幀頭中�����;安全業(yè)務(wù)單元SSU��,用于對所述SFU轉(zhuǎn)發(fā)的報文進(jìn)行解析��,當(dāng)解析為透 明模式時�,設(shè)置全局標(biāo)識用于標(biāo)識所述報文是通過二層轉(zhuǎn)發(fā)接口進(jìn)入防火墻 的��;在所述"^艮文通過SSU上防火墻的相關(guān)處理后����,為所述報文建立相應(yīng)的狀 態(tài)表項并將所述報文轉(zhuǎn)發(fā)出去,所述狀態(tài)表項中包括VPN值在內(nèi)的參數(shù)信息����。
6、 根據(jù)權(quán)利要求5所述的防火墻設(shè)備�����,其特征在于�����, 當(dāng)有后續(xù)報文需要轉(zhuǎn)發(fā)時,所述SSU還用于從所述狀態(tài)表項中獲取相關(guān)參數(shù)進(jìn)行后續(xù)轉(zhuǎn)發(fā)處理����。
7、 根據(jù)權(quán)利要求6所述的防火墻設(shè)備���,其特征在于��,所述報文自定義的幀頭結(jié)構(gòu)中�����;以及對所述報文和狀態(tài)表項進(jìn)行更新操作����, 通過所述狀態(tài)表項中的字段識別出所述報文的出接口及SFU��,將封裝后的報 文發(fā)送到對應(yīng)的SFU進(jìn)行轉(zhuǎn)發(fā)�。
8�����、 根據(jù)權(quán)利要求5所述的防火墻設(shè)備,其特征在于�����, 在所述"l艮文未通過SSU上防火墻的相關(guān)處理時����,所述SSU還用于為所述報文建立對應(yīng)的非法報文表項,所述表項中包括VPN值在內(nèi)的參數(shù)信息及相 應(yīng)處理方式�����;當(dāng)有后續(xù)非法報文需要轉(zhuǎn)發(fā)時����,則從所述非法報文表項中獲取 相關(guān)參數(shù)進(jìn)行相應(yīng)處理。
9����、 根據(jù)權(quán)利要求5所述的防火墻設(shè)備,其特征在于��,所述防火墻具體為 集中式防火墻或分布式防火墻�。
10、 一種網(wǎng)絡(luò)安全系統(tǒng)�,其特征在于�,包括防火墻設(shè)備�����,所述防火墻 設(shè)備具體包括業(yè)務(wù)轉(zhuǎn)發(fā)單元SFU,用于在轉(zhuǎn)發(fā)"t艮文時����,對不同的虛擬局域網(wǎng)VLAN接 口配置不同的虛擬專用網(wǎng)絡(luò)VPN值,并將包括VPN值在內(nèi)的參數(shù)封裝到所 述報文相應(yīng)的數(shù)據(jù)幀頭中��;安全業(yè)務(wù)單元SSU���,用于對所述SFU轉(zhuǎn)發(fā)的報文進(jìn)行解析��,當(dāng)解析為透 明模式時���,設(shè)置全局標(biāo)識用于標(biāo)識所述報文是通過二層轉(zhuǎn)發(fā)接口進(jìn)入防火墻 的;在所述報文通過SSU上防火墻的相關(guān)處理后���,為所述報文建立相應(yīng)的狀 態(tài)表項并將所述報文轉(zhuǎn)發(fā)出去,所述狀態(tài)表項中包括VPN值在內(nèi)的參數(shù)信息��。
全文摘要
本發(fā)明公開一種報文處理方法�,包括轉(zhuǎn)發(fā)報文時���,對不同的虛擬局域網(wǎng)VLAN接口配置不同的虛擬專用網(wǎng)絡(luò)VPN值,并將包括VPN值在內(nèi)的參數(shù)封裝到所述報文相應(yīng)的數(shù)據(jù)幀頭中����;對所述報文進(jìn)行解析,當(dāng)解析為透明模式時�,設(shè)置全局標(biāo)識用于標(biāo)識所述報文是通過二層轉(zhuǎn)發(fā)接口進(jìn)入防火墻的;在所述報文通過防火墻的相關(guān)處理后�����,為所述報文建立相應(yīng)的狀態(tài)表項并將所述報文轉(zhuǎn)發(fā)出去�����,所述狀態(tài)表項中包括VPN值在內(nèi)的參數(shù)信息����。本發(fā)明還公開一種防火墻設(shè)備及網(wǎng)絡(luò)安全系統(tǒng),能夠解決地址重疊時出現(xiàn)的報文轉(zhuǎn)發(fā)混亂的問題��。
文檔編號H04L12/56GK101345711SQ20081013517
公開日2009年1月14日 申請日期2008年8月13日 優(yōu)先權(quán)日2008年8月13日
發(fā)明者代可可 申請人:成都市華為賽門鐵克科技有限公司