專利名稱:網(wǎng)絡(luò)安全網(wǎng)關(guān)產(chǎn)品共享的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)信息安全技術(shù)領(lǐng)域,更具體地說涉及一種網(wǎng)絡(luò)安全網(wǎng)關(guān)產(chǎn)品共享的方法。
背景技術(shù):
互聯(lián)網(wǎng)與人們生活越來越密切,人們會(huì)通過已知的域名或搜索引擎去尋找自己需要的信 息和各種服務(wù)。但與此同時(shí),互聯(lián)網(wǎng)安全的問題也越來越成為迫切需要解決的問題。針對(duì)網(wǎng) 絡(luò)服務(wù)器、針對(duì)企業(yè)內(nèi)部子網(wǎng),都需要各種網(wǎng)絡(luò)安全設(shè)備的保護(hù),比如防火墻、郵件安全網(wǎng) 關(guān)、VPN (Virtual Private Network虛擬私用網(wǎng),或虛擬專網(wǎng))網(wǎng)關(guān)等。這類產(chǎn)品都是"網(wǎng)絡(luò)安全網(wǎng)關(guān)"設(shè)備,原因是這些產(chǎn)品都是插在被保護(hù)的服務(wù)器或網(wǎng)絡(luò) (以下稱為被保護(hù)區(qū))與不安全的互聯(lián)網(wǎng)之間,充當(dāng)一個(gè)看門人的角色,凡是互聯(lián)網(wǎng)與被保 護(hù)區(qū)的請(qǐng)求和應(yīng)答都會(huì)被監(jiān)控,然后根據(jù)策略決定允許還是不允許,還要做什么附加操作。相對(duì)來說,這些安全網(wǎng)關(guān)設(shè)備的采購(gòu)成本、維護(hù)成本都較高,如果是托管到IDC ( Internet Data Center互聯(lián)網(wǎng)數(shù)據(jù)中心)還需要增加托管成本。同時(shí),由于被保護(hù)區(qū)可能需要多種安全網(wǎng)關(guān)的保護(hù),必須同時(shí)需要防火墻、郵件安全網(wǎng) 關(guān)、SSL-VPN等,另外,企業(yè)內(nèi)部子網(wǎng)可能內(nèi)部服務(wù)器有一定的保護(hù)措施,不一定需要加密 ,只需要一般情況下未經(jīng)授權(quán)的互聯(lián)網(wǎng)用戶無法訪問即可,這時(shí)可能需要GRE、 IPIP等非加 密VPN提供企業(yè)用戶在外部時(shí)的遠(yuǎn)程連接。這些需求進(jìn)一步加大了客戶需要負(fù)擔(dān)的各種成本安全網(wǎng)關(guān)的性能對(duì)于被保護(hù)區(qū)來說,必然是大大冗余的,這是為了防止安全網(wǎng)關(guān)成為瓶 頸,這對(duì)于安全網(wǎng)關(guān)的擁有者來說,無疑是一種浪費(fèi)。因此這些安全網(wǎng)關(guān)一般只有中大型企業(yè)會(huì)用,限制了小型企業(yè)甚至個(gè)人對(duì)安全的需求, 對(duì)他們來說安全可望而不可及。發(fā)明內(nèi)容有鑒于此,本發(fā)明的目的在于將安全網(wǎng)關(guān)從產(chǎn)品變成服務(wù),從獨(dú)占變?yōu)楣蚕?,降低客?安全成本。本發(fā)明是這樣實(shí)現(xiàn)的將網(wǎng)絡(luò)安全網(wǎng)關(guān)從被保護(hù)的服務(wù)器或網(wǎng)絡(luò)(稱為被保護(hù)區(qū))與互聯(lián)網(wǎng)之間(稱為邊界) 移到互聯(lián)網(wǎng)中,成為安全節(jié)點(diǎn)將互聯(lián)網(wǎng)用戶對(duì)被保護(hù)區(qū)的請(qǐng)求靠DNS設(shè)定、用戶客戶端配置等方式被弓1到安全節(jié)點(diǎn);安全節(jié)點(diǎn)根據(jù)安全策略,將合法請(qǐng)求轉(zhuǎn)發(fā)被保護(hù)區(qū);被保護(hù)區(qū)收到合法請(qǐng)求,將響應(yīng)數(shù)據(jù)返回給安全節(jié)點(diǎn);安全節(jié)點(diǎn)根據(jù)安全策略,將合法響應(yīng)轉(zhuǎn)發(fā)給請(qǐng)求方。反方向的訪問被保護(hù)域的用戶對(duì)互聯(lián)網(wǎng)的請(qǐng)求靠DNAT、用戶客戶端配置等方式弓1到安全節(jié)點(diǎn); 安全節(jié)點(diǎn)根據(jù)安全策略,將合法請(qǐng)求轉(zhuǎn)發(fā)請(qǐng)求目標(biāo); 請(qǐng)求目標(biāo)收到合法請(qǐng)求,將響應(yīng)數(shù)據(jù)返回給安全節(jié)點(diǎn); 安全節(jié)點(diǎn)根據(jù)安全策略,將合法響應(yīng)轉(zhuǎn)發(fā)給請(qǐng)求方。本發(fā)明將安全網(wǎng)關(guān)產(chǎn)品部署到互聯(lián)網(wǎng)上,形成安全節(jié)點(diǎn),然后用技術(shù)手段使互聯(lián)網(wǎng)與被 保護(hù)區(qū)之間的數(shù)據(jù)流路徑經(jīng)過上述互聯(lián)網(wǎng)上的安全節(jié)點(diǎn),這樣上述安全節(jié)點(diǎn)就可以為多個(gè)、 在不同物理位置和網(wǎng)絡(luò)拓?fù)湮恢玫谋槐Wo(hù)區(qū)所共享,例如可能對(duì)于小型企業(yè)的網(wǎng)站來說, 100個(gè)網(wǎng)站共享這一臺(tái)安全節(jié)點(diǎn),這樣這些客戶就可能只需要花1/100的錢就可以得到安全。如果上述過程中有攻擊包、入侵包、試探/猜試請(qǐng)求等非法數(shù)據(jù)包,這些數(shù)據(jù)包將被安 全節(jié)點(diǎn)堵截,不會(huì)被轉(zhuǎn)發(fā)。從而得到了和原來在邊界使用安全網(wǎng)關(guān)相同的效果。安全節(jié)點(diǎn)與被保護(hù)區(qū)需要建立一條安全通道,可以使用不加密的ACL (存取控制列表) 來實(shí)現(xiàn),也可以使用加密的VPN來實(shí)現(xiàn),當(dāng)然理論上也可以不用虛擬專網(wǎng)VPN而用真實(shí)專網(wǎng), 只是這樣沒什么商業(yè)意義。
圖1為傳統(tǒng)的在邊界使用防火墻保護(hù)被保護(hù)區(qū)的示意圖;圖2為本發(fā)明用共享安全節(jié)點(diǎn)保護(hù)被保護(hù)區(qū)的方法實(shí)施例一的示意圖安全節(jié)點(diǎn)為防火 墻保護(hù)被保護(hù)區(qū);圖3為傳統(tǒng)的在邊界使用郵件安全網(wǎng)關(guān)保護(hù)郵件服務(wù)器的示意圖;圖4為本發(fā)明用共享安全節(jié)點(diǎn)保護(hù)被保護(hù)區(qū)的方法實(shí)施例二的示意圖安全節(jié)點(diǎn)為郵件 安全網(wǎng)關(guān)保護(hù)被保護(hù)的郵件服務(wù)器和域用戶;圖5為傳統(tǒng)的在邊界使用SSL-VPN網(wǎng)關(guān)提供遠(yuǎn)程用戶存取內(nèi)部敏感網(wǎng)絡(luò)的示意圖;圖6為本發(fā)明用共享安全節(jié)點(diǎn)保護(hù)被保護(hù)區(qū)的方法實(shí)施例三的示意圖安全節(jié)點(diǎn)為 SSL-VPN為遠(yuǎn)程用戶提供內(nèi)部敏感網(wǎng)絡(luò)的存取。
具體實(shí)施方式
本發(fā)明可以在安全、成本和有效利用等諸多方面達(dá)成統(tǒng)一。不同的網(wǎng)關(guān)設(shè)備在邊界的網(wǎng)絡(luò)拓?fù)浞绞娇赡懿煌热缬芯W(wǎng)橋模式(亦稱透明模式), 有路由模式,也有轉(zhuǎn)發(fā)模式。本發(fā)明的實(shí)現(xiàn)方法就是將這些不同的模式都改造為適合作為互 聯(lián)網(wǎng)上安全節(jié)點(diǎn)的節(jié)點(diǎn)模式,這種節(jié)點(diǎn)模式最接近上述轉(zhuǎn)發(fā)模式。如果把原來的方式看做是一個(gè)保安看一個(gè)大門,那么本發(fā)明的方式就是在大門和保安中 心之間建立安全通道,然后所有人都通過保安中心、穿過安全通道進(jìn)出大門,這樣一個(gè)保安 中心可以通過不同的安全通道連接多個(gè)的大門,每個(gè)大門也可以通過不同的安全通道連接多 個(gè)保安中心。只要保安的精力足夠,他可以同時(shí)看守多個(gè)大門;而如果一個(gè)大門的流量很大 ,也可以靠一個(gè)保安中心的多個(gè)保安、甚至多個(gè)保安中心來看守。同時(shí),已有的位于被保護(hù)區(qū)與互聯(lián)網(wǎng)之間(稱為邊界)的安全網(wǎng)關(guān),即使不移到互聯(lián)網(wǎng) 中,也可以使用本發(fā)明的方法加入這個(gè)共享體系,以進(jìn)一步達(dá)到物盡其用、降低成本的目的 。這按上述比喻,就類似于原來已經(jīng)有保安看的大門這里改造為一個(gè)保安中心,不僅看自己 這個(gè)大門,還可以看別的大門。下面的實(shí)施方式的說明中,將分別舉例幾種最常見的模式的共享實(shí)現(xiàn)方式。實(shí)施例一防火墻的共享傳統(tǒng)的防火墻保護(hù)體系,見附圖l所示兩種情況, 一是使用防火墻FW1擋在被保護(hù)服務(wù)器 Sl (或服務(wù)器群)與互聯(lián)網(wǎng)之間,二是擋在被保護(hù)網(wǎng)絡(luò)(內(nèi)有服務(wù)器S2-S4和用戶機(jī)PC1、 PC2)與互聯(lián)網(wǎng)之間(防火墻FW2),這兩種情況主要是偏重不同,前者偏重互聯(lián)網(wǎng)對(duì)服務(wù)器 的訪問,后者偏重被保護(hù)網(wǎng)絡(luò)對(duì)互聯(lián)網(wǎng)的訪問,但實(shí)際上反方向的訪問都存在,可以理解為 一樣的。另外如果防火墻外還有臺(tái)路由器,防火墻可能采用網(wǎng)橋模式;有些情況下防火墻可 以采用路由模式而省卻那臺(tái)路由器。當(dāng)將防火墻放到互聯(lián)網(wǎng)上成為安全節(jié)點(diǎn)(Nodel-Node5)后,如圖2所示互聯(lián)網(wǎng)上的用戶(Cl-C4)對(duì)被保護(hù)區(qū)的訪問過程變成這樣被保護(hù)區(qū)的DNS解析調(diào)整為指向安全節(jié)點(diǎn);互聯(lián)網(wǎng)用戶訪問的目的IP被解析為安全節(jié)點(diǎn),因此數(shù)據(jù)流被引導(dǎo)到上述安全節(jié)點(diǎn);互聯(lián)網(wǎng)用戶將訪問請(qǐng)求發(fā)給上述安全節(jié)點(diǎn);安全節(jié)點(diǎn)在安全策略的控制下將該互聯(lián)網(wǎng)用戶的合法請(qǐng)求轉(zhuǎn)發(fā)給上述被保護(hù)區(qū);上述被保護(hù)區(qū)收到安全節(jié)點(diǎn)轉(zhuǎn)發(fā)過來的請(qǐng)求,將應(yīng)答數(shù)據(jù)返回給安全節(jié)點(diǎn),安全節(jié)點(diǎn)再 根據(jù)安全策略將合法應(yīng)答數(shù)據(jù)返回給上述互聯(lián)網(wǎng)用戶。如果互聯(lián)網(wǎng)用戶方發(fā)出的是攻擊包、入侵包等非法數(shù)據(jù)包,這些數(shù)據(jù)包將被安全節(jié)點(diǎn)堵 截,不會(huì)轉(zhuǎn)發(fā)給被保護(hù)區(qū)。從而得到了和原來在邊界使用完全網(wǎng)關(guān)相同的效果。為了保證安全節(jié)點(diǎn)不被短路(有人直接訪問被保護(hù)區(qū)的IP,而不是用域名通過DNS解析 轉(zhuǎn)道安全節(jié)點(diǎn)),被保護(hù)區(qū)的路由器需要設(shè)置ACL (存取控制列表)僅允許從安全節(jié)點(diǎn)來的 訪問,而不允許其他IP來的訪問。該安全節(jié)點(diǎn)可以保護(hù)多個(gè)被保護(hù)區(qū),即多個(gè)被保護(hù)區(qū)可以分享同一個(gè)安全節(jié)點(diǎn);同一個(gè) 被保護(hù)區(qū)也可以被多個(gè)安全節(jié)點(diǎn)保護(hù),這只需要將DNS指向多個(gè)安全節(jié)點(diǎn)即可。被保護(hù)區(qū)對(duì)互聯(lián)網(wǎng)上的訪問過程(如PC1、 PC2對(duì)互聯(lián)網(wǎng)的訪問)變成這樣 被保護(hù)區(qū)的路由器要對(duì)內(nèi)部對(duì)外的請(qǐng)求做一個(gè)DNAT (目的網(wǎng)絡(luò)地址轉(zhuǎn)換),將內(nèi)部請(qǐng)求 引導(dǎo)到安全節(jié)點(diǎn);安全節(jié)點(diǎn)將路由器轉(zhuǎn)發(fā)過來的內(nèi)部請(qǐng)求包再做一個(gè)SNAT (源網(wǎng)絡(luò)地址轉(zhuǎn)換),將源地址改 為安全節(jié)點(diǎn)的IP,在安全策略的控制下將該內(nèi)部用戶的合法請(qǐng)求轉(zhuǎn)發(fā)給上述用戶原始請(qǐng)求目 標(biāo);原始請(qǐng)求目標(biāo)將應(yīng)答返回給安全節(jié)點(diǎn),安全節(jié)點(diǎn)在安全策略的控制下將應(yīng)答數(shù)據(jù)轉(zhuǎn)發(fā)給 原始內(nèi)部用戶。該安全節(jié)點(diǎn)可以保護(hù)多個(gè)被保護(hù)區(qū),只需要這多個(gè)被保護(hù)區(qū)的路由器都做DNAT到該安全 節(jié)點(diǎn)即可;同一個(gè)被保護(hù)區(qū)也可以使用多個(gè)安全節(jié)點(diǎn),這需要該被保護(hù)區(qū)的路由器使用策略 路由變換DNAT的目的IP為這多個(gè)安全節(jié)點(diǎn)。FW6雖然沒有移到互聯(lián)網(wǎng)中而仍然處于Net3和互聯(lián)網(wǎng)的邊界上,但仍然可以加入本發(fā)明 的網(wǎng)關(guān)共享體系為其他網(wǎng)絡(luò)提供安全保障。實(shí)施例二郵件安全網(wǎng)關(guān)的共享郵件安全網(wǎng)關(guān)用于為郵件服務(wù)器阻擋垃圾郵件、病毒郵件等非法郵件,郵件網(wǎng)關(guān)有透明 模式(如圖3的MG1保護(hù)郵件服務(wù)器MS1)和轉(zhuǎn)發(fā)模式(如圖3的MG2保護(hù)郵件服務(wù)器MS2)兩種 ,由于郵件使用的是應(yīng)用層存儲(chǔ)轉(zhuǎn)發(fā)協(xié)議,因此所謂透明模式實(shí)際上是網(wǎng)橋加截收轉(zhuǎn)發(fā)的方式,因此郵件安全網(wǎng)關(guān)是最容易改造成郵件安全節(jié)點(diǎn)來共享郵件安全網(wǎng)關(guān)設(shè)備的。當(dāng)將郵件安全網(wǎng)關(guān)放到互聯(lián)網(wǎng)上成為郵件安全節(jié)點(diǎn)(如圖4的MG1)后被保護(hù)郵件服務(wù)器的收件過程變成這樣被保護(hù)郵件域的DNS解析的MX項(xiàng)被指向郵件安全節(jié)點(diǎn);發(fā)件服務(wù)器要給被保護(hù)郵件域發(fā)郵件時(shí)試圖連接郵件安全節(jié)點(diǎn);郵件安全節(jié)點(diǎn)在收郵件前和收郵件后按照郵件安全策略判斷該發(fā)件服務(wù)器、發(fā)件人以及 該郵件是否合法,將合法郵件轉(zhuǎn)發(fā)被保護(hù)郵件服務(wù)器。為了保證郵件安全節(jié)點(diǎn)不被短路(有人直接把郵件送給被保護(hù)郵件服務(wù)器而不是轉(zhuǎn)道郵 件安全節(jié)點(diǎn)),被保護(hù)郵件服務(wù)器需要設(shè)置策略只接收從郵件安全節(jié)點(diǎn)來的郵件。同一個(gè)郵件安全節(jié)點(diǎn)可以保護(hù)多個(gè)郵件域或郵件服務(wù)器,即它們可以分享同一個(gè)郵件安 全節(jié)點(diǎn),這只需要這多個(gè)郵件域把DNS的MX項(xiàng)指向該郵件安全節(jié)點(diǎn)即可;同一個(gè)郵件域也可 以使用多個(gè)郵件安全節(jié)點(diǎn)來保護(hù),這需要該郵件域把DNS的MX設(shè)置多個(gè)即可。被保護(hù)郵件域用戶的發(fā)件過程變成這樣被保護(hù)郵件域用戶需要將郵件客戶端的smtp服務(wù)器設(shè)置為郵件安全網(wǎng)關(guān),這樣用戶在發(fā) 郵件時(shí)就是和郵件安全節(jié)點(diǎn)握手;郵件安全節(jié)點(diǎn)轉(zhuǎn)發(fā)發(fā)件人的握手信息給被保護(hù)郵件服務(wù)器以確定發(fā)件人是否合法,并根 據(jù)郵件安全策略判斷其郵件是否合法,將合法郵件直接轉(zhuǎn)發(fā)給郵件的目的服務(wù)器。這要求被 保護(hù)郵件域?qū)ν庠黾釉撚虻暮戏òl(fā)件服務(wù)器包括郵件安全節(jié)點(diǎn)的公示。當(dāng)然也可以轉(zhuǎn)發(fā)給被保護(hù)郵件服務(wù)器再轉(zhuǎn)發(fā)給目的服務(wù)器,只是對(duì)于應(yīng)用層的郵件,這 樣做有點(diǎn)畫蛇添足。同一臺(tái)郵件安全節(jié)點(diǎn)可以保護(hù)多個(gè)內(nèi)部域的用戶,這需要這些域的內(nèi)部用戶都將smtp服 務(wù)器設(shè)置為該郵件安全節(jié)點(diǎn),或這些域的網(wǎng)絡(luò)出口路由器都對(duì)郵件協(xié)議做DNAT到該郵件安全 節(jié)點(diǎn);同一個(gè)郵件域也可以使用多臺(tái)郵件安全節(jié)點(diǎn),這只需要對(duì)外公示該域的合法發(fā)件服務(wù) 器為這些郵件安全節(jié)點(diǎn)即可,發(fā)件用戶可以任選其一。為了保證用戶發(fā)件不被短路,被保護(hù)郵件服務(wù)器應(yīng)拒絕用戶直接發(fā)來的郵件,只接收為 其提供保護(hù)的郵件安全節(jié)點(diǎn)發(fā)來的郵件。實(shí)施例三SSL-VPN網(wǎng)關(guān)的共享鑒于類似IPSec等傳統(tǒng)VPN在部署、分發(fā)密鑰等應(yīng)用各方面的不方便性,SSL-VPN是近幾 年興起的安全訪問控制設(shè)備,可以讓遠(yuǎn)程用戶在離開內(nèi)部網(wǎng)時(shí),通過互聯(lián)網(wǎng)方便、安全地訪 問內(nèi)部敏感網(wǎng)絡(luò)。IPSec-VPN復(fù)雜的管理和維護(hù)把用戶和網(wǎng)管推入很郁悶的境地,他們將 SSL-VPN視為方便、安全地遠(yuǎn)程訪問的救星。其實(shí)IPSec-VPN和SSL-VPN各有優(yōu)點(diǎn),SSL-VPN部 署容易、無需遠(yuǎn)程用戶安裝客戶端、可以對(duì)應(yīng)用層協(xié)議做細(xì)致的安全策略控制,是很好的" 用戶到網(wǎng)絡(luò)"的連接方式;而IPSec-VPN雖然部署麻煩,但性能較高對(duì)于不經(jīng)常變化的網(wǎng)絡(luò) 結(jié)構(gòu)針對(duì)所有協(xié)議的VPN連接卻是很適合的,因此它是"網(wǎng)絡(luò)到網(wǎng)絡(luò)"連接方式的首選。由 于SSL-VPN—直用于"用戶到網(wǎng)絡(luò)"結(jié)構(gòu)使遠(yuǎn)程用戶訪問企業(yè)內(nèi)部敏感網(wǎng)絡(luò),因此它也一直 是處于內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的邊界網(wǎng)關(guān)。如圖5,有了SSL-VPN網(wǎng)關(guān),移動(dòng)用戶Cl-C4就可以通過互聯(lián)網(wǎng)安全地訪問敏感網(wǎng)絡(luò)Netl 內(nèi)部的S1-S3,或與PC1、 PC2通信。當(dāng)將SSL-VPN網(wǎng)關(guān)放到互聯(lián)網(wǎng)上成為SSL-VPN安全節(jié)點(diǎn)后,如圖6,遠(yuǎn)程用戶訪問內(nèi)部敏 感網(wǎng)絡(luò)的過程變成這樣遠(yuǎn)程用戶訪問SSL-VPN安全節(jié)點(diǎn);SSL-VPN安全節(jié)點(diǎn)根據(jù)安全策略允許合法的遠(yuǎn)程用戶連入VPN;SSL-VPN安全節(jié)點(diǎn)與內(nèi)部敏感網(wǎng)絡(luò)之間,可以使用IPSec等傳統(tǒng)VPN連接,由于安全節(jié)點(diǎn) 、客戶網(wǎng)絡(luò)這些網(wǎng)絡(luò)拓?fù)洳粫?huì)經(jīng)常變化,因此使用IPSec是合適的;遠(yuǎn)程用戶最終是通過SSL-VPN安全節(jié)點(diǎn)、IPSec-VPN連接到內(nèi)部敏感網(wǎng)絡(luò),同時(shí)遠(yuǎn)程用戶 允許訪問內(nèi)部敏感網(wǎng)絡(luò)的哪些數(shù)據(jù),是由SSL-VPN控制的。同一個(gè)SSL-VPN安全節(jié)點(diǎn)可以保護(hù)多個(gè)內(nèi)部敏感網(wǎng)絡(luò),需要在SSL-VPN安全節(jié)點(diǎn)上設(shè)置不 同的安全子網(wǎng)、使用不同的IPSec-VPN安全子網(wǎng)分別服務(wù)不同的內(nèi)部敏感網(wǎng)絡(luò)。同一內(nèi)部敏 感網(wǎng)絡(luò)也可以使用多個(gè)SSL-VPN安全節(jié)點(diǎn),只需要用IPSec-VPN的同一安全子網(wǎng)匯集這些 SSL-VPN安全節(jié)點(diǎn)的相應(yīng)安全子網(wǎng)即可。由于SSL-VPN安全節(jié)點(diǎn)與內(nèi)部敏感網(wǎng)絡(luò)之間使用IPSec等傳統(tǒng)VPN建立安全通道,因此無 需象前述的防火墻與被保護(hù)區(qū)、郵件安全網(wǎng)關(guān)與被保護(hù)郵件服務(wù)器之間那樣用ACL (存取控 制列表)控制只能與安全節(jié)點(diǎn)通信。當(dāng)然,前述的防火墻與被保護(hù)區(qū)、郵件安全網(wǎng)關(guān)與被保 護(hù)郵件服務(wù)器之間,也可以使用VPN的方式建立安全通道,但這樣需要被保護(hù)區(qū)或被保護(hù)郵 件服務(wù)器支持VPN。甚至這些安全通道可以使用真實(shí)的專網(wǎng)來連接,只是這沒有商業(yè)價(jià)值。 反之,SSL-VPN安全節(jié)點(diǎn)與內(nèi)部敏感網(wǎng)絡(luò)之間其實(shí)也可以使用ACL控制來作為安全通道, 一般 情況下足敷應(yīng)用,當(dāng)然安全等級(jí)不如使用VPN或真實(shí)專網(wǎng)。以上公開的僅為本發(fā)明的優(yōu)選實(shí)施方式,但本發(fā)明并非局限于此,任何本領(lǐng)域的技術(shù)人 員能思之的沒有創(chuàng)造性的變化,以及在不脫離本發(fā)明原理前提下所作的若干改進(jìn)和潤(rùn)飾,都 應(yīng)落在本發(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
1. 一種網(wǎng)絡(luò)安全網(wǎng)關(guān)產(chǎn)品共享的方法,其特征在于,包括將網(wǎng)絡(luò)安全網(wǎng)關(guān)產(chǎn)品設(shè)置在互聯(lián)網(wǎng)中,成為可以分享的安全節(jié)點(diǎn);當(dāng)互聯(lián)網(wǎng)用戶請(qǐng)求被保護(hù)服務(wù)器或網(wǎng)絡(luò)時(shí),將所述互聯(lián)網(wǎng)用戶請(qǐng)求引到安全節(jié)點(diǎn);安全節(jié)點(diǎn)根據(jù)安全策略,將合法請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)器或網(wǎng)絡(luò);安全節(jié)點(diǎn)接收所述服務(wù)器或網(wǎng)絡(luò)的響應(yīng)數(shù)據(jù),根據(jù)安全策略,將合法響應(yīng)轉(zhuǎn)發(fā)給請(qǐng)求方。
2.如權(quán)利要求l所述的方法,其特征在于,還包括 當(dāng)被保護(hù)區(qū)的用戶訪問互聯(lián)網(wǎng)時(shí) 被保護(hù)區(qū)的用戶請(qǐng)求被引到所述安全節(jié)點(diǎn);該安全節(jié)點(diǎn)根據(jù)安全策略,將合法請(qǐng)求轉(zhuǎn)發(fā)請(qǐng)求目標(biāo),獲取請(qǐng)求目標(biāo)的響應(yīng)數(shù)據(jù),并 根據(jù)安全策略,將合法響應(yīng)數(shù)據(jù)轉(zhuǎn)發(fā)給所述被保護(hù)區(qū)的用戶。
3. 如權(quán)利要求1或2所述的方法,其特征在于,包括所述將請(qǐng)求引到安全節(jié)點(diǎn)的實(shí)現(xiàn)方式有通過域名解析DNS設(shè)定、通過目的地址轉(zhuǎn)換 DNAT、用戶客戶端配置、特殊路由、虛擬專網(wǎng)VPN、專網(wǎng)的方式。
4.如權(quán)利要求3所述的方法,其特征在于,包括 所述被保護(hù)的服務(wù)器或網(wǎng)絡(luò)僅能與對(duì)應(yīng)的安全節(jié)點(diǎn)通信。
5. 如權(quán)利要求4所述的方法,其特征在于 一個(gè)安全節(jié)點(diǎn)與若干被保護(hù)的服務(wù)器或網(wǎng)絡(luò)相對(duì)應(yīng)。
6.如權(quán)利要求4所述的方法,其特征在于 一個(gè)被保護(hù)的服務(wù)器或網(wǎng)絡(luò)與若干安全節(jié)點(diǎn)相對(duì)應(yīng)。權(quán)利要求7
如權(quán)利要求4所述的方法,其特征在于所述安全網(wǎng)關(guān)產(chǎn)品是由被保護(hù)的服務(wù)器或網(wǎng)絡(luò)的安全網(wǎng)關(guān)改造而成,改造內(nèi)容包括 對(duì)多個(gè)被保護(hù)區(qū)的支持和管理,即安全網(wǎng)關(guān)內(nèi)部的多個(gè)虛擬通道;網(wǎng)絡(luò)拓?fù)渲С值母淖?,?如網(wǎng)橋模式和路由模式需要改為轉(zhuǎn)發(fā)模式或VPN模式。
全文摘要
本發(fā)明公開一種網(wǎng)絡(luò)安全網(wǎng)關(guān)產(chǎn)品共享的方法,包括將網(wǎng)絡(luò)安全網(wǎng)關(guān)產(chǎn)品設(shè)置在互聯(lián)網(wǎng)中,成為可以分享的安全節(jié)點(diǎn);當(dāng)互聯(lián)網(wǎng)用戶請(qǐng)求被保護(hù)區(qū)服務(wù)器或網(wǎng)絡(luò)時(shí),將所述互聯(lián)網(wǎng)用戶請(qǐng)求引到安全節(jié)點(diǎn);安全節(jié)點(diǎn)根據(jù)安全策略,將合法請(qǐng)求轉(zhuǎn)發(fā)至所述服務(wù)器或網(wǎng)絡(luò);安全節(jié)點(diǎn)接收所述服務(wù)器或網(wǎng)絡(luò)的響應(yīng)數(shù)據(jù),并根據(jù)安全策略轉(zhuǎn)發(fā)給請(qǐng)求方。本發(fā)明實(shí)施例將安全網(wǎng)關(guān)從該服務(wù)器或網(wǎng)絡(luò)的擁有者獨(dú)享(也就必須獨(dú)自采購(gòu))變成可以被許多不在同一地方的服務(wù)器或網(wǎng)絡(luò)共享(也就不必獨(dú)自采購(gòu),只需要共同采購(gòu)或者購(gòu)買服務(wù)即可)。同時(shí)對(duì)于有的被保護(hù)區(qū),如果流量很大、具備多種安全需求,可以使用多個(gè)安全節(jié)點(diǎn)來保護(hù),而無需自購(gòu)多臺(tái)安全網(wǎng)關(guān)來保護(hù),節(jié)省資源。
文檔編號(hào)H04L12/66GK101222456SQ20081030022
公開日2008年7月16日 申請(qǐng)日期2008年1月28日 優(yōu)先權(quán)日2008年1月28日
發(fā)明者勇 陳 申請(qǐng)人:勇 陳