專利名稱:一種跨越虛擬防火墻發(fā)送和接收數(shù)據(jù)的方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)領(lǐng)域,尤其涉及一種跨越虛擬防火墻發(fā)送和接收數(shù)據(jù) 的方法及系統(tǒng)。
背景技術(shù):
防火墻(FW, Firewall )是指設(shè)置在不同網(wǎng)絡之間,如可信的企業(yè)內(nèi)部網(wǎng) 和不可信的公共網(wǎng)或網(wǎng)絡安全區(qū)域之間的一系列部件的組合。防火墻常?;?安全區(qū)域來制定安全策略,以對跨越防火墻的數(shù)據(jù)流進行監(jiān)測、限制或更改, 盡可能地對外部屏蔽網(wǎng)絡內(nèi)部的信息、結(jié)構(gòu)和運^f亍狀況,以此來實現(xiàn)對內(nèi)部網(wǎng) 絡的安全保護。
近年來,隨著VPN技術(shù)的興起和不斷發(fā)展,虛擬防火墻 (Virtual-firewall, VFW)技術(shù)應運而生。虛擬防火墻是防火墻主系統(tǒng)衍生 的邏輯子實體,對用戶表現(xiàn)為獨立的防火墻。創(chuàng)建虛擬防火墻后,將用戶面對 的防火墻主系統(tǒng)稱為根防火墻,根防火墻為一個,虛擬防火墻的數(shù)量可根據(jù)配 置動態(tài)創(chuàng)建,至少為一個。通過在防火墻上創(chuàng)建邏輯上的虛擬防火墻,可以在 滿足系統(tǒng)自身需求的同時,將系統(tǒng)中的剩余吞吐量用于出租業(yè)務,提高更大的 利益回報。目前,VPN技術(shù)已經(jīng)成為虛擬防火墻技術(shù)的主流技術(shù),每個虛擬防 火墻都是VPN實例、安全實例和配置實例的綜合體,能夠為虛擬防火墻用戶提 供私有的路由轉(zhuǎn)發(fā)平面、安全服務和配置管理平面。
隨著網(wǎng)絡安全技術(shù)的飛快發(fā)展,越來越多的大型企業(yè)利用互聯(lián)網(wǎng)采用IP 安全協(xié)議(Internet Protocol Security, IPSec)技術(shù)構(gòu)建VPN網(wǎng)絡,IPSec 協(xié)議為IP數(shù)據(jù)提供了高質(zhì)量的、可互操作的、基于密碼學的安全性能。特定 的通信方之間在IP層通過加密與數(shù)據(jù)源驗證等方式,來保證數(shù)據(jù)在網(wǎng)絡上傳 輸時的私有性、完整性、真實性。
現(xiàn)有技術(shù)在處理跨越不同防火墻間的數(shù)據(jù)流時,通過在虛擬防火墻及根防 火墻中分別設(shè)置有私有安全區(qū)域和用于中轉(zhuǎn)數(shù)據(jù)流的虛擬安全區(qū)域(VZONE
5域),分別在所述虛擬防火墻和根防火墻中已設(shè)置的任一私有安全區(qū)域上設(shè)置 各自的端口 ,并分別在所述虛擬防火墻及根防火墻的安全區(qū)域間設(shè)置安全策 略,當數(shù)據(jù)流跨越防火墻發(fā)送時,發(fā)送端采用數(shù)據(jù)流所屬防火墻的源安全區(qū)域 與該防火墻虛擬安全區(qū)域間的安全策略對數(shù)據(jù)流進行過濾,將過濾后的數(shù)據(jù)傳 到接收端,接收端采用數(shù)據(jù)流所到達的防火墻的目的安全區(qū)域與該防火墻的虛 擬安全區(qū)域間的安全策略對該數(shù)據(jù)流進行過濾。
現(xiàn)有技術(shù)在處理跨越防火墻的數(shù)據(jù)流時,需要為每個防火墻配置VZ0NE 域,并且除了配置防火墻原有的安全區(qū)域之間的安全策略,還需要分別配置防 火墻中的私有安全區(qū)域與VZONE域之間的安全策略,隨著VFW的不斷增加,要 配置的VZONE域也不斷增加,需要配置的安全策略也會越來越多,配置十分復 雜。而且現(xiàn)有技術(shù)在實現(xiàn)數(shù)據(jù)流跨防火墻轉(zhuǎn)發(fā)時,對每個數(shù)據(jù)流都要在發(fā)送端 和接收端分別進行安全過濾才能實現(xiàn)數(shù)據(jù)流的轉(zhuǎn)發(fā),不僅處理過程復雜,而且 各個防火墻之間的域間關(guān)系非常難以管理。
發(fā)明內(nèi)容
本發(fā)明實施例提供了 一種跨越虛擬防火墻發(fā)送和接收數(shù)據(jù)的方法,所述方 法能夠簡化跨越不同虛擬防火墻轉(zhuǎn)發(fā)數(shù)據(jù)時域間關(guān)系的處理。
根據(jù)本發(fā)明實施例提供一種跨越虛擬防火墻發(fā)送數(shù)據(jù)的方法,所述虛擬防 火墻設(shè)置有相應的安全隧道,所述安全隧道設(shè)置有保護域,所述跨越虛擬防火 墻發(fā)送數(shù)據(jù)的方法包括在第一虛擬防火墻,采用數(shù)據(jù)進入端口所在的安全區(qū) 域與所述第一虛擬防火墻的安全隧道的保護域之間的安全策略對數(shù)據(jù)進行安 全過濾,將所述數(shù)據(jù)發(fā)送至所述第一虛擬防火墻的安全隧道;所述安全隧道對 通過安全過濾的數(shù)據(jù)進行加密,通過所述安全隧道將所述加密后的數(shù)據(jù)發(fā)送至 第二虛擬防火墻,所述第二虛擬防火墻用于將所述數(shù)據(jù)發(fā)送出去。
根據(jù)本發(fā)明實施例提供一種跨越虛擬防火墻接收數(shù)據(jù)的方法所述虛擬防 火墻設(shè)置有相應的安全隧道,所述安全隧道設(shè)置有保護域,所述跨越虛擬防火 墻接收數(shù)據(jù)的方法包括第一虛擬防火墻接收待解密數(shù)據(jù),查找所述數(shù)據(jù)的解 密安全隧道,將所述數(shù)據(jù)發(fā)送至所述解密安全隧道;所述安全隧道對所述數(shù)據(jù) 進行解密,并將解密后數(shù)據(jù)中的進入端口所屬的安全區(qū)域修改為所述安全隧道 的保護域;第二虛擬防火墻采用所述安全隧道的保護域與所述數(shù)據(jù)到達的安全
6區(qū)域之間的安全策略對所述數(shù)據(jù)進行安全過濾。
本發(fā)明實施例還提供一種網(wǎng)絡系統(tǒng),包括發(fā)送設(shè)備和接收設(shè)備,所述發(fā)送 設(shè)備和接收設(shè)備中均設(shè)置有安全區(qū)域和保護域,所述發(fā)送設(shè)備中的保護域為所 述發(fā)送設(shè)備中的安全區(qū)域,所迷接收設(shè)備的保護域為所述接收設(shè)備中的安全區(qū)
域,且分別為發(fā)送設(shè)備和接收設(shè)備的安全區(qū)域間設(shè)置有安全策略,其中發(fā)送 設(shè)備采用數(shù)據(jù)進入端口所屬的安全區(qū)域與所述保護域之間的安全策略對所述 數(shù)據(jù)進行安全過濾后將所述數(shù)據(jù)進行加密并發(fā)送;接收設(shè)備用于接收發(fā)送設(shè)備 發(fā)送的數(shù)據(jù)的應答數(shù)據(jù),所述應答數(shù)據(jù)為目的地址到本地端的待解密數(shù)據(jù),接 收待解密數(shù)據(jù)后對所述待解密數(shù)據(jù)進行解密,并將所述解密后數(shù)據(jù)中的進入端 口所屬的安全區(qū)域修改為所述接收設(shè)備中的保護域,采用所述保護域與所述接 收設(shè)備中的安全區(qū)域?qū)λ鰯?shù)據(jù)進行安全過濾。
從上述技術(shù)方案可以看出,本發(fā)明實施例的技術(shù)方案通過采用如上的使用 安全隧道實現(xiàn)跨越虛擬防火墻轉(zhuǎn)發(fā)數(shù)據(jù)的方法,在確保數(shù)據(jù)傳輸?shù)陌踩缘耐?時簡化了不同虛擬防火墻之間的域間關(guān)系的處理,直接利用同一虛擬防火墻內(nèi) 在的兩個域間之間的安全策略對數(shù)據(jù)流進行安全過濾,就可以簡單的處理數(shù)據(jù) 流跨防火墻時的域間關(guān)系,實現(xiàn)跨虛擬防火墻轉(zhuǎn)發(fā)數(shù)據(jù),而無需采用現(xiàn)有技術(shù) 在配置時添加眾多不同虛擬防火墻中安全區(qū)域之間的安全策略的方法來處理 跨虛擬防火墻轉(zhuǎn)發(fā)數(shù)據(jù)時的域間關(guān)系,配置簡單,便于管理。該方法還有效的 實現(xiàn)了對虛擬防火墻的端口的重復使用,大大節(jié)省了資源。
為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對實施 例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹,顯而易見地,下面描述 中的附圖僅僅是本發(fā)明的一些實施例,對于本領(lǐng)域普通技術(shù)人員來講,在不付 出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。 圖1為本發(fā)明實施例提供的防火墻的結(jié)構(gòu)示意圖; 圖2為本發(fā)明實施例提供的跨越防火墻發(fā)送數(shù)據(jù)的過程示意圖; 圖3為本發(fā)明實施例提供的跨越防火墻接收數(shù)據(jù)的過程示意圖; 圖4為本發(fā)明實施例提供的發(fā)送設(shè)備的示意圖; 圖5為本發(fā)明實施例提供的接收設(shè)備示意圖;圖6為本發(fā)明實施例提供的網(wǎng)絡系統(tǒng)示意圖。
具體實施例方式
下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進行清 楚、完整地描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是 全部的實施例?;诒景l(fā)明中的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造 性勞動前提下所獲得的所有其他實施例,都屬于本發(fā)明保護的范圍。
為了實現(xiàn)本發(fā)明實施例,首先需要了解本發(fā)明實施例的技術(shù)方案所需要的 防火墻的配置示意圖。為了方便描述,以在一個根防火墻上創(chuàng)建的3個虛擬防 火墻為例簡單進行描述,需要說明的是,所述根防火墻可以看作為一個特殊的 虛擬防火墻。
如圖1所示,VFWO、 VFW1、 VFW2分別是才艮防火墻的三個虛擬防火墻,VFWO、 VFW1和VFW2中分別設(shè)置有端口 0、端口 1、端口 2。每個虛擬防火墻分別劃分 有多個安全區(qū)域,本發(fā)明實施例中以劃分為2個安全區(qū)域為例,包括Untrust 區(qū)域和Trust區(qū)域,每個虛擬防火墻中的各安全區(qū)域之間設(shè)置有安全策略。
圖1中的虛線a表示VFW1發(fā)送的數(shù)據(jù)流向,所述數(shù)據(jù)通過VFWO中的端口 0發(fā)送出去。圖1中的虛線a,表示VFWl接收的前述虛線a表示的數(shù)據(jù)的應答 數(shù)據(jù),所述數(shù)據(jù)通過VFWO中的端口 O進入。為了保護VFW1發(fā)送的數(shù)據(jù),配置 了 IPSecl隧道,IPSecl的出口為VFWO中的端口 0。需要說明的是,IPSecl 是"單向,,的,這里所說的"單向"是指IPSecl保護VFW1發(fā)送的需要通過 VFWO發(fā)送至公網(wǎng)的數(shù)據(jù)(如圖1中用虛線a來表示)以及該數(shù)據(jù)的應答數(shù)據(jù) (如圖1中用虛線a,來表示虛線a所表示數(shù)據(jù)的應答數(shù)據(jù)),即VFW1發(fā)送的要 通過VFWO發(fā)送至公網(wǎng)的數(shù)據(jù)或VFWO接收到的前述數(shù)據(jù)的應答數(shù)據(jù)才允許進入 IPSecl進行加密或解密,如果是從VFWO發(fā)出的要通過VFW1的數(shù)據(jù)只能由另 外為VFWO配置的通過VFW1的IPSec隧道進4亍保護。為了處理lt據(jù)跨越虛擬防 火墻時的域間關(guān)系,為IPSecl配置了保護域,IPSecl的保護域為VFW1中的 Untrust域,需要說明的是,IPSecl的保護域并不僅限于VFW1中的Untrust 域,只要是VFW1中的安全區(qū)域即可。
同樣的,圖1中的虛線b表示VFW2發(fā)送的數(shù)據(jù)流向,該數(shù)據(jù)也通過VFWO 中的端口 O發(fā)送出去。圖1中的虛線b,表示VFW2接收的前述虛線b表示的數(shù)據(jù)的應答數(shù)據(jù),該應答數(shù)據(jù)通過VFWO中的端口 Q進入。為了保護VFW2發(fā)送的 數(shù)據(jù),配置了 IPSec2隧道,IPSec2的出口為VFWO中的端口 0。同樣需要說明 的是,IPSec2也是"單向"的,即IPSec2也只保護從VFW2發(fā)送的需要通過 VFWO發(fā)送至公網(wǎng)的數(shù)據(jù)(如圖1中用虛線b來表示)以及該數(shù)據(jù)的應答數(shù)據(jù) (如圖1中用虛線b,來表示虛線b所表示數(shù)據(jù)的應答數(shù)據(jù))。為了處理數(shù)據(jù)跨 越虛擬防火墻時的域間關(guān)系,為IPSec2配置了保護域,IPSec2的保護域為VFW2 中的Untrust域,但也不限于VFW2中的Untrust域,只要是VFW2中的安全區(qū) 》或即可。
圖2是本發(fā)明實施例處理跨越虛擬防火墻發(fā)送數(shù)據(jù)的流程示意圖,該示意
以下將結(jié)合圖1中虛線a和虛線b所示的數(shù)據(jù)流跨虛擬防火墻發(fā)送的過程對該 處理流程進行具體描述。
步驟201:在第一虛擬防火墻,采用數(shù)據(jù)進入端口所在的安全區(qū)域與第一 虛擬防火墻的IPSec隧道的保護域之間的安全策略對數(shù)據(jù)進行安全過濾,將安 全過濾后的數(shù)據(jù)發(fā)送至所述第一虛擬防火墻的IPSec隧道。
如圖1所示,圖1中虛線a表示VFW1對外發(fā)送的數(shù)據(jù),所述數(shù)據(jù)需要通 過VFWO。發(fā)送時,VFW1首先對其端口 1接收到的待發(fā)送數(shù)據(jù)進行安全防范處 理,由于在配置時為VFW1配置了保護數(shù)據(jù)的IPSecl,并且將VFWl中的Untrust 安全區(qū)域設(shè)置為IPSecl的保護域。因此,當數(shù)據(jù)/人VFWl發(fā)送時,采用數(shù)據(jù)進 入的端口 1所在的Trust域與VFW1的IPSecl的保護域之間的安全策略對數(shù)據(jù) 進行安全過濾。圖1中的虛線b表示VFW2對外發(fā)送的數(shù)據(jù),所述數(shù)據(jù)需要通 過VFWO。由于在配置時為VFW2配置了保護數(shù)據(jù)的IPSec2,并且將VFW2中的 Untrust安全區(qū)域設(shè)置為IPSec2的保護域,因此,當數(shù)據(jù)/人VFW2發(fā)送時,采 用數(shù)據(jù)進入的端口 2所在的Trust域與VFW2的IPSec2的保護域之間的安全策 略對數(shù)據(jù)進行安全過濾。
步驟202:所述第一虛擬防火墻的IPSec隧道對通過安全過濾的數(shù)據(jù)進行 加密,通過所述IPSec隧道將加密后的數(shù)據(jù)發(fā)送至第二虛擬防火墻。
如圖1所示,虛線a表示的數(shù)據(jù)通過安全過濾后,由VFW1的IPSecl對該 數(shù)據(jù)進行加密,并使加密后的數(shù)據(jù)從VFWO轉(zhuǎn)發(fā)至公網(wǎng);同理,虛線b表示的數(shù)據(jù)通過安全過濾后,由VFW2的IPSec2對該數(shù)據(jù)進行加密,并使加密后的數(shù) 據(jù)從VFWO轉(zhuǎn)發(fā)至/厶網(wǎng)。
步驟202中所述將加密完成后的數(shù)據(jù)發(fā)送第二虛擬防火墻的方法可以采 用在該加密數(shù)據(jù)上打上所述第二虛擬防火墻的標簽的方式,也可以采用在該數(shù) 據(jù)的轉(zhuǎn)發(fā)列表中標明該數(shù)據(jù)的第二虛擬防火墻的方式,且不限于上述兩種方 式。
步驟203:所述第二虛擬防火墻發(fā)送數(shù)據(jù)。
在此實施例中,由于配置了 IPSec隧道,保證了跨VFW轉(zhuǎn)發(fā)數(shù)據(jù)的安全性。 并且由于為IPSecl和IPSec2分別配置有IPSecl的保護域和IPSec2的保護域, 且IPSecl的保護域為VFW1原有的Untrust安全區(qū)域,IPSec2的保護域也為 VFW2原有的Untrust安全區(qū)域,因此,當VFW1發(fā)送數(shù)據(jù)時,是利用VFW1中 的安全區(qū)域之間的安全策略對數(shù)據(jù)進行安全過濾,即進行安全防范處理的域間 關(guān)系均為VFW1的域間關(guān)系,從而簡化了現(xiàn)有技術(shù)中跨VFW轉(zhuǎn)發(fā)時域間關(guān)系的 處理流程。同理,VFW2發(fā)送數(shù)據(jù)時對該數(shù)據(jù)也是利用VFW2中的安全區(qū)域之間 的安全策略對數(shù)據(jù)進行安全過濾。并且由于采用了一定措施使經(jīng)過IPSecl和 IPSec2加密完成后的數(shù)據(jù)都能夠進入VFWO中進行轉(zhuǎn)發(fā),使多個VFW中的數(shù)據(jù) 均能通過同一個端口轉(zhuǎn)發(fā),達到了端口復用的目的,節(jié)省了資源。
圖3是本發(fā)明實施例處理跨越虛擬防火墻接收數(shù)據(jù)的流程示意圖,該示意 圖表示本發(fā)明實施例提供的虛擬防火墻接收數(shù)據(jù)時對數(shù)據(jù)的處理流程,所述數(shù) 據(jù)均為待解密數(shù)據(jù),且數(shù)據(jù)的目的地址是到本地端的終端。為了便于描述,以 下將以本地端防火墻接收前述實施例中VFW1和VFW2發(fā)送的數(shù)據(jù)(如圖1中虛 線a和虛線b表示)的應答數(shù)據(jù)(如圖1中虛線a,和虛線b,所示)的處理流 程為例進行具體描述。
步驟301:第一虛擬防火墻接收待解密數(shù)據(jù),查找所述待解密數(shù)據(jù)的解密 IPSec隧道后將所述fi:據(jù)送入所述IPSec隧道。
如圖1所示,圖1中的虛線a,表示VFW1接收的前述虛線a表示的數(shù)據(jù)的 應答數(shù)據(jù),該應答數(shù)據(jù)由VFWO中的端口 0進入。虛線b,表示VFW2接收的前述 虛線b表示的數(shù)據(jù)的應答數(shù)據(jù),該應答數(shù)據(jù)也由VFWO中的端口 O進入。因此, 源防火墻VFWO對進入的應答數(shù)據(jù)要進行查找解密隧道的操作,將a,所表示的
10應答數(shù)據(jù)送入其解密隧道IPSecl,將b,所表示的應答數(shù)據(jù)送入其解密隧道 IPSec2。
步驟302:所述IPSec隧道對所述數(shù)據(jù)進行解密,并將解密后數(shù)據(jù)中的進 入端口所屬的安全區(qū)域修改為所述lPSec隧道的保護域。
如圖l所示,IPSecl對a,所示的應答數(shù)據(jù)進行解密后,將該應答數(shù)據(jù)中 表示其進入端口所在的安全區(qū)域(即防火墻VFWO中的端口 O所在的Trust區(qū) 域)的參數(shù)修改為IPSecl的保護域(即VFW1的Untrust域);IPSec2對b, 所示的應答數(shù)據(jù)進行解密后,將該數(shù)據(jù)中表示其進入端口所在的安全區(qū)域(即 防火墻VFWO中的端口 O所在的Trust區(qū)域)的參IWf改為IPSec2的保護域(即 VFW2的Untrust域)。
步驟303:第二虛擬防火墻通過所述IPSec隧道的保護域與所述數(shù)據(jù)到達 的安全區(qū)域之間的安全策略對所述數(shù)據(jù)進行安全過濾。
如圖l所示,虛線a,表示的應答數(shù)據(jù)進入VFWl后采用IPSecl的保護域(即 VFW1的Untrust安全區(qū)域)與所述數(shù)據(jù)到達的安全區(qū)域(即VFW1中的Trust 域)之間的安全策略對數(shù)據(jù)進行安全過濾;虛線b,表示的應答數(shù)據(jù)進入VFW2 后采用IPSec2的保護域(即VFW2的Untrust安全區(qū)域)與所述數(shù)據(jù)到達的安 全區(qū)域(即VFW2中的Trust域)之間的安全策略對數(shù)據(jù)進行安全過濾。
步驟301中所述的尋找數(shù)據(jù)的解密隧道的方法,具體實現(xiàn)可以采用取出該 數(shù)據(jù)的目的IP、串行外圍設(shè)備接口 SPI (AH、 ESP協(xié)議中的一個協(xié)議字段,即 Serial Peripheral interface,串行外圍設(shè)備接口 )和協(xié)議類型三個部分, 通過這三個部分查找該數(shù)據(jù)需進入的隧道。
步驟302中所述修改解密后的數(shù)據(jù)中的進入端口所屬的安全區(qū)域的方式 可以采用給該數(shù)據(jù)上打上所述IPSec隧道的保護域的標簽的方式,也可以采用 在該數(shù)據(jù)的轉(zhuǎn)發(fā)列表中標明所述數(shù)據(jù)的進入端口所屬的安全區(qū)域為所述 IPSec隧道保護域的方式。且不限于上述兩種方式。
由上述實施例可以看出,本發(fā)明實施例提供的技術(shù)方案在虛擬防火墻作為 本地端防火墻接收應答數(shù)據(jù)時,利用了該虛擬防火墻作為本地端防火墻發(fā)送數(shù) 據(jù)時的IPSec通道,保證了數(shù)據(jù)的安全性。并且由于修改了該數(shù)據(jù)的入域,在 處理數(shù)據(jù)跨虛擬防火墻的域間關(guān)系時只需要采用數(shù)據(jù)到達的第二虛擬防火墻中原有的安全區(qū)域之間的安全策略對數(shù)據(jù)進行安全過濾,減化了現(xiàn)有技術(shù)中復 雜的域間關(guān)系的處理流程。
在上述本發(fā)明實施例所提供的跨虛擬防火墻發(fā)送數(shù)據(jù)以及接收數(shù)據(jù)的實 施方式中,虛擬防火墻的端口數(shù)量是由使用的防火墻設(shè)備來控制的,并不限于 圖l所示的3個端口 。且本發(fā)明實施例中的端口并不限于是物理端口還是虛擬端
口 ,只要該端口能夠設(shè)置到VFW中即可。VFW的數(shù)量是根據(jù)端口的數(shù)量來確定的, 即可以為每一個虛擬端口配置一個VFW。本發(fā)明實施例中任意一個VFW中的端口 均可作為其他VFW的共同出端口 ,如圖1中的端口 0 。
術(shù)方案中,可以為需要i^夸虛擬防火墻轉(zhuǎn)發(fā)的數(shù)據(jù)任意設(shè)置一個出口,只要在轉(zhuǎn) 發(fā)數(shù)據(jù)之前為該虛擬防火墻配置了相應的IPSec隧道即可。如VFW1中的數(shù)據(jù) 可以通過VFWO發(fā)送,也可以通過VFW2發(fā)送,同樣的,VFWO發(fā)送的數(shù)據(jù)也可 以通過VFW1或VFW2發(fā)送。
本發(fā)明實施例所提供的跨越虛擬防火墻發(fā)送數(shù)據(jù)以及接收數(shù)據(jù)的方法不 僅適用虛擬防火墻之間,也可以將根防火墻看作一個特殊的虛擬防火墻,適用 于及根防火墻與虛擬防火墻之間的數(shù)據(jù)轉(zhuǎn)發(fā)。
本發(fā)明實施例所提供的技術(shù)方案中,由于在處理跨越虛擬防火墻的數(shù)據(jù)時 采用了 IPSec技術(shù),并為IPSec隧道配置了保護域,在保證了數(shù)據(jù)跨虛擬防火 墻傳輸時的安全性基礎(chǔ)上,不需要另外配置虛擬安全區(qū)域,而是利用該虛擬防
有技術(shù)中復雜的域間安全策略的配置,在傳送數(shù)據(jù)的過程中只需要進行一次安 全過濾就能夠保證數(shù)據(jù)的安全性,減少了域間關(guān)系的處理流程。并且由于使用 了 IPSec技術(shù),使各個VFW可以相互轉(zhuǎn)發(fā),共用端口,因此,也使防火墻的端 口起到了重復使用的效果,大大節(jié)省了資源。
是可以通過計算機程序來指令相關(guān)的硬件來完成,所述的程序可存儲于計算機 可讀取存儲介質(zhì)中,該程序在執(zhí)行時,可包括如上述各方法的實施例的流程。 其中,所述的存儲介質(zhì)可為^茲碟、光盤、只讀存儲記憶體(Read-0nly Memory, ROM)或卩逸才幾存4諸"i己十乙體(Random Access Memory, RAM)等。圖4為本發(fā)明實施例所述的發(fā)送設(shè)備示意圖,該發(fā)送設(shè)備包括第一安全處 理單元401、加密單元402以及發(fā)送單元403,其中,第一安全處理單元401和發(fā) 送單元403均設(shè)置有安全區(qū)域(包括Untrust域和Trust域),且第一安全處理單 元401中的安全區(qū)域之間以及發(fā)送單元403中的安全區(qū)域之間分別設(shè)置有安全 策略,加密單元402中包括加密模塊4021和標識模塊4022,其中加密模塊4021 對第一安全處理單元401中的數(shù)據(jù)進行加密,標識模塊4022使加密后的數(shù)據(jù)進 入發(fā)送單元,為加密單元402設(shè)置有保護域,該保護域為第一安全處理單元401 中的Untrust域,需要說明的是,所述保護域并不僅限于第一安全處理單元401 中的Untrust域,只要是第一安全處理單元401中的安全區(qū)域即可。
第一安全處理單元401,采用數(shù)據(jù)進入端口所在的安全區(qū)域與加密單元402 的保護域之間的安全策略對數(shù)據(jù)進行安全過濾,將安全過濾后的數(shù)據(jù)發(fā)送至加 密單元402。
加密單元402,用于對通過第一安全處理單元401的數(shù)據(jù)進行加密,并將所 述加密后的數(shù)據(jù)發(fā)送至發(fā)送單元4 0 3 。
加密單元402包括加密模塊4021和標識模塊4022,其中加密模塊4021對來 自第一安全處理單元401的數(shù)據(jù)進行加密,標識;漠塊4022用于將經(jīng)過加密模塊 4021加密后的數(shù)據(jù)發(fā)送至發(fā)送單元403,所述標識;漠塊4022可以通過在該加密 數(shù)據(jù)上打上所述發(fā)送單元403的標簽或通過在所述數(shù)據(jù)的轉(zhuǎn)發(fā)列表中標明發(fā)送 單元403的方式將所述數(shù)據(jù)發(fā)送至發(fā)送單元403,且不限于上述兩種方式。
發(fā)送單元403,用于發(fā)送加密單元402加密后的數(shù)據(jù)。
這里所述的發(fā)送設(shè)備包括防火墻或防火墻類設(shè)備,加密單元的具體實現(xiàn)形 式可以為IPSec隧道。
圖5為本發(fā)明實施例所述的接收設(shè)備示意圖,該接收設(shè)備包括了接收單元 501、解密單元502、第二安全處理單元503,其中,接收單元501和第二安全處 理單元503中均設(shè)置有安全區(qū)域(包括Untrust域和Trust域),且接收單元501 中的安全區(qū)域之間以及第二安全處理單元5 0 3中的安全區(qū)域之間分別設(shè)置有安 全策略,解密單元502包括解密模塊5021和修改模塊5022,為解密單元502設(shè)置 有保護域,該保護域為第二安全處理單元503中的Untrust域,需要說明的是, 所述保護域并不僅限于第二安全處理單元503中的Untrust域,只要是第二安全
13處理單元503中的安全區(qū)域即可。
接收單元501,用于接收待解密數(shù)據(jù),查找所述數(shù)據(jù)的解密單元后將所述 數(shù)據(jù)送入解密單元502。所述待解密數(shù)據(jù)的目的地址是本地端的終端。
所述尋找數(shù)據(jù)的解密單元的方法,可以采用取出該數(shù)據(jù)的目的IP、SPI(AH、 ESP協(xié)議中的一個協(xié)議字段)和協(xié)議類型三個部分,通過這三個部分查找該數(shù) 據(jù)需進入的解密單元502。
解密單元502,用于對接收單元501所接收的待解密數(shù)據(jù)進行解密操作,并 將該數(shù)據(jù)中進入端口所屬的安全區(qū)域修改為所述解密單元5 02的保護域。
所述解密單元502包括解密模塊5021和修改模塊5022,所述解密模塊5021 對所述待解密數(shù)據(jù)進行解密,所述修改模塊5022用于將通過解密模塊5021解密 后的數(shù)據(jù)中進入端口所屬的安全區(qū)域修改為所述解密單元502的保護域,所述 修改模塊5022修改所述數(shù)據(jù)中進入端口所屬的安全區(qū)域的方式可以采用給所 述數(shù)據(jù)上打上所述解密單元502的保護域的標簽的方式,也可以采用在所述數(shù) 據(jù)的轉(zhuǎn)發(fā)列表中標明所述數(shù)據(jù)進入端口所屬的安全區(qū)域為所述解密單元502的 保護域的方式,且不限于上述兩種方式。
第二安全處理單元503,用于對解密單元502解密后的數(shù)據(jù)進行安全防范 處理,所述安全防范處理是通過所述解密單元502的保護域與所述數(shù)據(jù)到達的 安全區(qū)域之間的安全策略對所述數(shù)據(jù)進行安全過濾。
這里所述的接收設(shè)備包括防火墻或防火墻類設(shè)備,所述解密單元的具體實 現(xiàn)形式可以為IPSec隧道。
上述發(fā)送設(shè)備中的第 一安全處理單元和接收設(shè)備中的第二安全處理單元 在物理上可以為一個單元,同理,發(fā)送設(shè)備中的加密單元和接收設(shè)備中的解密 單元也可為一個單元,發(fā)送設(shè)備中的發(fā)送單元與接收設(shè)備中的接收單元也可為 一個單元。
圖6為本發(fā)明實施例所述的網(wǎng)絡系統(tǒng)示意圖,該網(wǎng)絡系統(tǒng)包括發(fā)送設(shè)備6 01 和接收設(shè)備602。
發(fā)送設(shè)備601,用于發(fā)送數(shù)據(jù);
接收設(shè)備602,用于接收發(fā)送設(shè)備601發(fā)送的數(shù)據(jù)的應答數(shù)據(jù),所述數(shù)據(jù)為 目的地址到本地端的待解密數(shù)據(jù)。所述發(fā)送設(shè)備601包括第一安全處理單元6011、加密單元6012和發(fā)送單元 6013,其中加密單元6012包括加密模塊60121和標識模塊60121。
所述第一安全處理單元6011和發(fā)送單元6013中均設(shè)置有安全區(qū)域(包括 Untrust域和Trust域),且在第一安全處理單元6011的各安全區(qū)域間設(shè)置有安 全策略,同樣的,在發(fā)送單元6013的各安全區(qū)域間也設(shè)置有安全策略。所述加 密單元6012設(shè)置有保護域,所述加密單元6012的保護域為第一安全處理單元 6011中的Untrust域,需要說明的是,加密單元6012的保護域并不僅限于第一 安全處理單元6011中的Untrust域,只要是第一安全處理單元6011中的安全區(qū) i或即可。
第 一安全處理單元6011,用于采用數(shù)據(jù)的進入端口所在的安全區(qū)域與加密 單元6012的保護域之間的安全策略對數(shù)據(jù)進行安全過濾,將安全過濾后的數(shù)據(jù) 發(fā)送至加密單元6012。
加密單元6012,用于對通過第一安全處理單元6011的數(shù)據(jù)進行加密,并將 所述數(shù)據(jù)發(fā)送至發(fā)送單元6013。
加密單元6012包括加密模塊60121和標識模塊60122,其中加密模塊60121 對來自第一安全處理單元6011的數(shù)據(jù)進行加密,標識^t塊60122用于將經(jīng)過加 密模塊60121加密后的數(shù)據(jù)發(fā)送至發(fā)送單元6013,所述標識;f莫塊60122可以通過 在該加密數(shù)據(jù)上打上所述發(fā)送單元6013的標簽或通過在所述數(shù)據(jù)的轉(zhuǎn)發(fā)列表
種方式。
發(fā)送單元6013,用于將加密單元6012加密后的數(shù)據(jù)發(fā)送出去。 所述接收設(shè)備602包括接收單元6021、解密單元6022和第二安全處理單元 6023,其中解密單元6022包括解密模塊60221和修改模塊60222。
所述接收單元6021和所述第二安全處理單元6023中也設(shè)置有安全區(qū)域(包 括Untrust域和Trust域),且在所述接收單元6021的各安全區(qū)域間設(shè)置有安全 策略,同樣的,在所述第二安全處理單元6023的各安全區(qū)域間也設(shè)置有安全策 略。所述解密單元6022設(shè)置有保護域,所述解密單元60"的保護域為第二安全 處理單元6023中的Untrust域,需要說明的是,解密單元6022的保護域也不限 于第二安全處理單元6023中的Untrust域,只要是第二安全處理單元60U中的
15安全區(qū)域即可。
接收單元6021,用于接收待解密數(shù)據(jù),查找所述數(shù)據(jù)的解密單元后將所述 數(shù)據(jù)送入解密單元6022,所述待解密數(shù)據(jù)的目的地址是本地端的終端。
所述接收單元6021尋找所述數(shù)據(jù)的解密單元時可以通過取出該數(shù)據(jù)的目 的IP、 SPI (AH、 ESP協(xié)議中的一個協(xié)議字段)和協(xié)議類型三個部分,通過這三 個部分查找該數(shù)據(jù)需進入的解密單元6022。
解密單元6022,用于對接收單元6021所接收的待解密數(shù)據(jù)進行解密操作, 并將解密后數(shù)據(jù)中進入端口所屬的安全區(qū)域修改為所述解密單元6022的保護 域。
所述解密單元6022包括解密模塊60221和修改模塊60222,所述解密模塊 60221對所述待解密數(shù)據(jù)進行解密,所述修改模塊60222用于將通過解密模塊 60221解密后的數(shù)據(jù)中進入端口所屬的安全區(qū)域修改為所述解密單元6022的保 護域,所述修改模塊60222修改所述數(shù)據(jù)中進入端口所屬的安全區(qū)域的方式可 以采用給該數(shù)據(jù)上打上所述解密單元6022的保護域的標簽的方式,也可以采用 在所述數(shù)據(jù)的轉(zhuǎn)發(fā)列表中標明所述數(shù)據(jù)進入端口所屬的安全區(qū)域為所述解密 單元6022的保護域的方式,且不限于上述兩種方式。
第二安全處理單元6023,用于對解密單元6022解密后的數(shù)據(jù)進行安全防 范處理,所述安全防范處理是通過所述解密單元6022的保護域與所述數(shù)據(jù)到 達的安全區(qū)域之間的安全策略對所述數(shù)據(jù)進行安全過濾。
這里所述的發(fā)送設(shè)備和接收設(shè)備包括防火墻或防火墻類設(shè)備,所述加密單 元和所述解密單元的具體實現(xiàn)形式可以為IPSec隧道。
上述網(wǎng)絡系統(tǒng)的發(fā)送設(shè)備中的第 一安全處理單元和接收設(shè)備中的第二安 全處理單元在物理上可以為一個單元,同理,發(fā)送設(shè)備中的加密單元和接收設(shè) 備中的解密單元也可為一個單元,發(fā)送設(shè)備中的發(fā)送單元與接收設(shè)備中的接收 單元也可為一個單元。
以上所述僅為本發(fā)明的幾個實施例,可以理解的是,對本領(lǐng)域普通技術(shù)人 員來說,可以根據(jù)本發(fā)明實施例的技術(shù)方案及其發(fā)明構(gòu)思加以等同替換或改 變,而所有這些改變或替換都應屬于本發(fā)明所附的權(quán)利要求的保護范圍。
權(quán)利要求
1、一種跨越虛擬防火墻發(fā)送數(shù)據(jù)的方法,其特征在于,所述虛擬防火墻設(shè)置有相應的安全隧道,所述安全隧道設(shè)置有保護域,所述跨越虛擬防火墻發(fā)送數(shù)據(jù)的方法包括在第一虛擬防火墻,采用數(shù)據(jù)進入端口所屬的安全區(qū)域與所述第一虛擬防火墻的安全隧道的保護域之間的安全策略對數(shù)據(jù)進行安全過濾,將安全過濾后的數(shù)據(jù)發(fā)送至所述第一虛擬防火墻的安全隧道;所述安全隧道對通過安全過濾的數(shù)據(jù)進行加密,通過所述安全隧道將所述加密后的數(shù)據(jù)發(fā)送至第二虛擬防火墻,所述第二虛擬防火墻用于將所述數(shù)據(jù)發(fā)送出去。
2、 如權(quán)利要求1所述的發(fā)送方法,其特征在于所述安全隧道的保護域 是所述安全隧道所保護的防火墻中的安全區(qū)域。
3、 如權(quán)利要求1所述的發(fā)送方法,其特征在于所述安全隧道將所述加 密后的數(shù)據(jù)發(fā)送至第二虛擬防火墻的方法包括在所述數(shù)據(jù)中打上所述第二虛 擬防火墻的標簽。
4、 如權(quán)利要求1所述的發(fā)送方法,其特征在于所述安全隧道將加密后 的數(shù)據(jù)發(fā)送至第二虛擬防火墻的方法還包括,在所述數(shù)據(jù)的轉(zhuǎn)發(fā)列表中標明所 述第二虛擬防火墻。
5、 一種跨越虛擬防火墻接收數(shù)據(jù)的方法,其特征在于,所述虛擬防火墻 設(shè)置有相應的安全隧道,所述安全隧道設(shè)置有保護域,所述跨越虛擬防火墻接 收數(shù)據(jù)的方法包括第一虛擬防火墻接收待解密數(shù)據(jù),查找所述數(shù)據(jù)的解密安全隧道,將所述 數(shù)據(jù)發(fā)送至所述解密安全隧道;所述安全隧道對所述數(shù)據(jù)進行解密,并將解密后數(shù)據(jù)中的進入端口所屬的 安全區(qū)域^修改為所述安全隧道的保護域;第二虛擬防火墻采用所述安全隧道的保護域與所述數(shù)據(jù)到達的安全區(qū)域 之間的安全策略對所述數(shù)據(jù)進行安全過濾。
6、 如權(quán)利要求5所述的接收方法,其特征在于所述安全隧道的保護 域是所述安全隧道所保護的防火墻中的安全區(qū)域。
7、 如權(quán)利要求5所述的接收方法,其特征在于所述查找數(shù)據(jù)的解密隧 道的方法包括取出所述數(shù)據(jù)的目的IP、串行外圍設(shè)備接口 SPI和協(xié)議類型, 通過所述目的IP、串行外圍設(shè)備接口 SPI和協(xié)議類型查找所述數(shù)據(jù)需進入的 安全隧道。
8、 如權(quán)利要求5所述的接收方法,其特征在于,所述修改解密后的數(shù)據(jù) 中的進入端口所屬的安全區(qū)域的方法包括在所述數(shù)據(jù)上打上所述安全隧道的 保護域的標簽。
9、 如權(quán)利要求5所述的接收方法,其特征在于,所述修改解密后的數(shù)據(jù) 的源安全區(qū)域的方法還包括在所述數(shù)據(jù)的轉(zhuǎn)發(fā)列表中標明所述數(shù)據(jù)的進入端 口所屬的安全區(qū)域為所述安全隧道的保護域。
10、 一種網(wǎng)絡系統(tǒng),其特征在于,包括發(fā)送設(shè)備和接收設(shè)備,所述發(fā)送設(shè) 備和接收設(shè)備中均設(shè)置有安全區(qū)域和保護域,所述發(fā)送設(shè)備中的保護域為所述 發(fā)送設(shè)備中的安全區(qū)域,所述接收設(shè)備的保護域為所述接收設(shè)備中的安全區(qū) 域,且分別為發(fā)送設(shè)備和接收設(shè)備的安全區(qū)域間設(shè)置有安全策略,其中發(fā)送設(shè)備,采用數(shù)據(jù)進入端口所屬的安全區(qū)域與所述保護域之間的安全策 略對所述數(shù)據(jù)進行安全過濾后將所述數(shù)據(jù)進行加密并發(fā)送;接收設(shè)備,用于接收發(fā)送設(shè)備發(fā)送的數(shù)據(jù)的應答數(shù)據(jù),所述應答數(shù)據(jù)為目 的地址到本地端的待解密數(shù)據(jù),接收待解密數(shù)據(jù)后對所述待解密數(shù)據(jù)進行解 密,并將所述解密后數(shù)據(jù)中的進入端口所屬的安全區(qū)域修改為所述接收設(shè)備中過濾。
11、 如權(quán)利要求10所述的網(wǎng)絡系統(tǒng),其特征在于所述發(fā)送設(shè)備包括第 一安全處理單元、加密單元和發(fā)送單元,所述第一安全處理單元設(shè)置有安全區(qū) 域,且各安全區(qū)域之間分別設(shè)置有安全策略,所述加密單元設(shè)置有保護域,其 中第一安全處理單元,采用數(shù)據(jù)進入端口所屬的安全區(qū)域與加密單元的保護 域之間的安全策略對數(shù)據(jù)進行安全過濾,將安全過濾后的數(shù)據(jù)發(fā)送至所述加密單元;加密單元,用于對通過第一安全處理單元的數(shù)據(jù)進行加密,并將所述加密后的數(shù)據(jù)發(fā)送至發(fā)送單元;發(fā)送單元,用于發(fā)送加密單元加密后的數(shù)據(jù)。
12、 如權(quán)利要求ll所述的網(wǎng)絡系統(tǒng),其特征在于所述加密單元的保護域 為第 一安全處理單元中的安全區(qū)域。
13、 如權(quán)利要求ll所述的網(wǎng)絡系統(tǒng),其特征在于所述加密單元包括加密 模塊和標識模塊,所述加密模塊用于對來自所述第一安全處理單元的數(shù)據(jù)進行加密; 所述標識;漠塊用于將所述加密模塊加密后的數(shù)據(jù)打上標識,將所述加密后的數(shù)據(jù)發(fā)送至發(fā)送單元;或者所述標識模塊用于在所述數(shù)據(jù)的轉(zhuǎn)發(fā)列表中標明所述加密后數(shù)據(jù)的發(fā)送單元,將所述加密后的數(shù)據(jù)發(fā)送至發(fā)送單元。
14、 如權(quán)利要求10所述的網(wǎng)絡系統(tǒng),其特征在于所述接收設(shè)備包括接收 單元、解密單元和第二安全處理單元,所述第二安全處理單元中設(shè)置有安全區(qū) 域,且各安全區(qū)域間設(shè)置有安全策略,所述解密單元中設(shè)置有保護域接收單元,用于接收待解密數(shù)據(jù),查找所述數(shù)據(jù)的解密單元后將所述數(shù)據(jù) 送入解密單元;解密單元,用于對所述接收單元所接收的待解密數(shù)據(jù)進行解密,并將所述 數(shù)據(jù)中進入端口所屬的安全區(qū)域修改為所述解密單元的保護域;第二安全處理單元,采用所述解密單元的保護域與所述數(shù)據(jù)到達的安全區(qū) 域之間的安全策略對所述數(shù)據(jù)進行安全過濾。
15、 如權(quán)利要求14所述的網(wǎng)絡系統(tǒng),其特征在于所述解密單元的保護域 為所述第二安全處理單元中的安全區(qū)域。
16、 如權(quán)利要求14所述的網(wǎng)絡系統(tǒng),其特征在于所述解密單元包括解密 模塊和修改模塊,所述解密模塊用于將所述接收單元接收的待解密數(shù)據(jù)進行解 密,所述修改模塊用于將所述解密模塊解密后的數(shù)據(jù)中的進入端口所屬的安全 區(qū)域修改為所述解密單元的保護域。
全文摘要
本發(fā)明實施例公開了一種跨越虛擬防火墻發(fā)送數(shù)據(jù)的方法,所述虛擬防火墻設(shè)置有相應的安全隧道,所述安全隧道設(shè)置有保護域,發(fā)送數(shù)據(jù)時在第一虛擬防火墻采用數(shù)據(jù)進入端口所屬的安全區(qū)域與所述第一虛擬防火墻的安全隧道的保護域之間的安全策略對數(shù)據(jù)進行安全過濾,將安全過濾后的數(shù)據(jù)發(fā)送至所述第一虛擬防火墻的安全隧道進行加密,將所述加密后的數(shù)據(jù)通過第二虛擬防火墻發(fā)送出去。通過本發(fā)明所述方法跨越虛擬防火墻發(fā)送數(shù)據(jù)時,簡化了眾多不同虛擬防火墻中安全區(qū)域之間的域間關(guān)系管理,還有效的實現(xiàn)了對虛擬防火墻的端口的重復使用,節(jié)省了資源。
文檔編號H04L29/06GK101478533SQ20081021779
公開日2009年7月8日 申請日期2008年11月29日 優(yōu)先權(quán)日2008年11月29日
發(fā)明者付翠花, 侯貴斌, 張日華, 勇 徐, 朱志強, 謝文輝, 陸曉萍, 擘 馬, 高國魯 申請人:成都市華為賽門鐵克科技有限公司