CN101478533B - 一种跨越虚拟防火墙发送和接收数据的方法及*** - Google Patents
一种跨越虚拟防火墙发送和接收数据的方法及*** Download PDFInfo
- Publication number
- CN101478533B CN101478533B CN2008102177975A CN200810217797A CN101478533B CN 101478533 B CN101478533 B CN 101478533B CN 2008102177975 A CN2008102177975 A CN 2008102177975A CN 200810217797 A CN200810217797 A CN 200810217797A CN 101478533 B CN101478533 B CN 101478533B
- Authority
- CN
- China
- Prior art keywords
- data
- safety zone
- protected field
- virtual firewall
- safety
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种跨越虚拟防火墙发送数据的方法,所述虚拟防火墙设置有相应的安全隧道,所述安全隧道设置有保护域,发送数据时在第一虚拟防火墙采用数据进入端口所属的安全区域与所述第一虚拟防火墙的安全隧道的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至所述第一虚拟防火墙的安全隧道进行加密,将所述加密后的数据通过第二虚拟防火墙发送出去。通过本发明所述方法跨越虚拟防火墙发送数据时,简化了众多不同虚拟防火墙中安全区域之间的域间关系管理,还有效的实现了对虚拟防火墙的端口的重复使用,节省了资源。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种跨越虚拟防火墙发送和接收数据的方法及***。
背景技术
防火墙(FW,Firewall)是指设置在不同网络之间,如可信的企业内部网和不可信的公共网或网络安全区域之间的一系列部件的组合。防火墙常常基于安全区域来制定安全策略,以对跨越防火墙的数据流进行监测、限制或更改,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现对内部网络的安全保护。
近年来,随着VPN技术的兴起和不断发展,虚拟防火墙(Virtual-firewall,VFW)技术应运而生。虚拟防火墙是防火墙主***衍生的逻辑子实体,对用户表现为独立的防火墙。创建虚拟防火墙后,将用户面对的防火墙主***称为根防火墙,根防火墙为一个,虚拟防火墙的数量可根据配置动态创建,至少为一个。通过在防火墙上创建逻辑上的虚拟防火墙,可以在满足***自身需求的同时,将***中的剩余吞吐量用于出租业务,提高更大的利益回报。目前,VPN技术已经成为虚拟防火墙技术的主流技术,每个虚拟防火墙都是VPN实例、安全实例和配置实例的综合体,能够为虚拟防火墙用户提供私有的路由转发平面、安全服务和配置管理平面。
随着网络安全技术的飞快发展,越来越多的大型企业利用互联网采用IP安全协议(Internet Protocol Security,IPSec)技术构建VPN网络,IPSec协议为IP数据提供了高质量的、可互操作的、基于密码学的安全性能。特定的通信方之间在IP层通过加密与数据源验证等方式,来保证数据在网络上传输时的私有性、完整性、真实性。
现有技术在处理跨越不同防火墙间的数据流时,通过在虚拟防火墙及根防火墙中分别设置有私有安全区域和用于中转数据流的虚拟安全区域(VZONE域),分别在所述虚拟防火墙和根防火墙中已设置的任一私有安全区域上设置各自的端口,并分别在所述虚拟防火墙及根防火墙的安全区域间设置安全策略,当数据流跨越防火墙发送时,发送端采用数据流所属防火墙的源安全区域与该防火墙虚拟安全区域间的安全策略对数据流进行过滤,将过滤后的数据传到接收端,接收端采用数据流所到达的防火墙的目的安全区域与该防火墙的虚拟安全区域间的安全策略对该数据流进行过滤。
现有技术在处理跨越防火墙的数据流时,需要为每个防火墙配置VZONE域,并且除了配置防火墙原有的安全区域之间的安全策略,还需要分别配置防火墙中的私有安全区域与VZONE域之间的安全策略,随着VFW的不断增加,要配置的VZONE域也不断增加,需要配置的安全策略也会越来越多,配置十分复杂。而且现有技术在实现数据流跨防火墙转发时,对每个数据流都要在发送端和接收端分别进行安全过滤才能实现数据流的转发,不仅处理过程复杂,而且各个防火墙之间的域间关系非常难以管理。
发明内容
本发明实施例提供了一种跨越虚拟防火墙发送和接收数据的方法,所述方法能够简化跨越不同虚拟防火墙转发数据时域间关系的处理。
根据本发明实施例提供一种跨越虚拟防火墙发送数据的方法,所述虚拟防火墙设置有相应的安全隧道,所述安全隧道设置有保护域,所述跨越虚拟防火墙发送数据的方法包括:在第一虚拟防火墙,采用数据进入端口所在的安全区域与所述第一虚拟防火墙的安全隧道的保护域之间的安全策略对数据进行安全过滤,将所述数据发送至所述第一虚拟防火墙的安全隧道;所述安全隧道对通过安全过滤的数据进行加密,通过所述安全隧道将所述加密后的数据发送至第二虚拟防火墙,所述第二虚拟防火墙用于将所述数据发送出去。
根据本发明实施例提供一种跨越虚拟防火墙接收数据的方法所述虚拟防火墙设置有相应的安全隧道,所述安全隧道设置有保护域,所述跨越虚拟防火墙接收数据的方法包括:第一虚拟防火墙接收待解密数据,查找所述数据的解密安全隧道,将所述数据发送至所述解密安全隧道;所述安全隧道对所述数据进行解密,并将解密后数据中的进入端口所属的安全区域修改为所述安全隧道的保护域;第二虚拟防火墙采用所述安全隧道的保护域与所述数据到达的安全区域之间的安全策略对所述数据进行安全过滤。
本发明实施例还提供一种网络***,包括发送设备和接收设备,所述发送设备和接收设备中均设置有安全区域和保护域,所述发送设备中的保护域为所述发送设备中的安全区域,所述接收设备的保护域为所述接收设备中的安全区域,且分别为发送设备和接收设备的安全区域间设置有安全策略,其中:发送设备采用数据进入端口所属的安全区域与所述保护域之间的安全策略对所述数据进行安全过滤后将所述数据进行加密并发送;接收设备用于接收发送设备发送的数据的应答数据,所述应答数据为目的地址到本地端的待解密数据,接收待解密数据后对所述待解密数据进行解密,并将所述解密后数据中的进入端口所属的安全区域修改为所述接收设备中的保护域,采用所述保护域与所述接收设备中的安全区域对所述数据进行安全过滤。
从上述技术方案可以看出,本发明实施例的技术方案通过采用如上的使用安全隧道实现跨越虚拟防火墙转发数据的方法,在确保数据传输的安全性的同时简化了不同虚拟防火墙之间的域间关系的处理,直接利用同一虚拟防火墙内在的两个域间之间的安全策略对数据流进行安全过滤,就可以简单的处理数据流跨防火墙时的域间关系,实现跨虚拟防火墙转发数据,而无需采用现有技术在配置时添加众多不同虚拟防火墙中安全区域之间的安全策略的方法来处理跨虚拟防火墙转发数据时的域间关系,配置简单,便于管理。该方法还有效的实现了对虚拟防火墙的端口的重复使用,大大节省了资源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的防火墙的结构示意图;
图2为本发明实施例提供的跨越防火墙发送数据的过程示意图;
图3为本发明实施例提供的跨越防火墙接收数据的过程示意图;
图4为本发明实施例提供的发送设备的示意图;
图5为本发明实施例提供的接收设备示意图;
图6为本发明实施例提供的网络***示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了实现本发明实施例,首先需要了解本发明实施例的技术方案所需要的防火墙的配置示意图。为了方便描述,以在一个根防火墙上创建的3个虚拟防火墙为例简单进行描述,需要说明的是,所述根防火墙可以看作为一个特殊的虚拟防火墙。
如图1所示,VFW0、VFW1、VFW2分别是根防火墙的三个虚拟防火墙,VFW0、VFW1和VFW2中分别设置有端口0、端口1、端口2。每个虚拟防火墙分别划分有多个安全区域,本发明实施例中以划分为2个安全区域为例,包括Untrust区域和Trust区域,每个虚拟防火墙中的各安全区域之间设置有安全策略。
图1中的虚线a表示VFW1发送的数据流向,所述数据通过VFW0中的端口0发送出去。图1中的虚线a’表示VFW1接收的前述虚线a表示的数据的应答数据,所述数据通过VFW0中的端口0进入。为了保护VFW1发送的数据,配置了IPSec1隧道,IPSec1的出口为VFW0中的端口0。需要说明的是,IPSec1是“单向”的,这里所说的“单向”是指IPSec1保护VFW1发送的需要通过VFW0发送至公网的数据(如图1中用虚线a来表示)以及该数据的应答数据(如图1中用虚线a’来表示虚线a所表示数据的应答数据),即VFW1发送的要通过VFW0发送至公网的数据或VFW0接收到的前述数据的应答数据才允许进入IPSec1进行加密或解密,如果是从VFW0发出的要通过VFW1的数据只能由另外为VFW0配置的通过VFW1的IPSec隧道进行保护。为了处理数据跨越虚拟防火墙时的域间关系,为IPSec1配置了保护域,IPSec1的保护域为VFW1中的Untrust域,需要说明的是,IPSec1的保护域并不仅限于VFW1中的Untrust域,只要是VFW1中的安全区域即可。
同样的,图1中的虚线b表示VFW2发送的数据流向,该数据也通过VFW0中的端口0发送出去。图1中的虚线b’表示VFW2接收的前述虚线b表示的数据的应答数据,该应答数据通过VFW0中的端口0进入。为了保护VFW2发送的数据,配置了IPSec2隧道,IPSec2的出口为VFW0中的端口0。同样需要说明的是,IPSec2也是“单向”的,即IPSec2也只保护从VFW2发送的需要通过VFW0发送至公网的数据(如图1中用虚线b来表示)以及该数据的应答数据(如图1中用虚线b’来表示虚线b所表示数据的应答数据)。为了处理数据跨越虚拟防火墙时的域间关系,为IPSec2配置了保护域,IPSec2的保护域为VFW2中的Untrust域,但也不限于VFW2中的Untrust域,只要是VFW2中的安全区域即可。
图2是本发明实施例处理跨越虚拟防火墙发送数据的流程示意图,该示意图表示了本发明实施例提供的虚拟防火墙作为发送数据时对数据的处理流程,以下将结合图1中虚线a和虚线b所示的数据流跨虚拟防火墙发送的过程对该处理流程进行具体描述。
步骤201:在第一虚拟防火墙,采用数据进入端口所在的安全区域与第一虚拟防火墙的IPSec隧道的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至所述第一虚拟防火墙的IPSec隧道。
如图1所示,图1中虚线a表示VFW1对外发送的数据,所述数据需要通过VFW0。发送时,VFW1首先对其端口1接收到的待发送数据进行安全防范处理,由于在配置时为VFW1配置了保护数据的IPSec1,并且将VFW1中的Untrust安全区域设置为IPSec1的保护域。因此,当数据从VFW1发送时,采用数据进入的端口1所在的Trust域与VFW1的IPSec1的保护域之间的安全策略对数据进行安全过滤。图1中的虚线b表示VFW2对外发送的数据,所述数据需要通过VFW0。由于在配置时为VFW2配置了保护数据的IPSec2,并且将VFW2中的Untrust安全区域设置为IPSec2的保护域,因此,当数据从VFW2发送时,采用数据进入的端口2所在的Trust域与VFW2的IPSec2的保护域之间的安全策略对数据进行安全过滤。
步骤202:所述第一虚拟防火墙的IPSec隧道对通过安全过滤的数据进行加密,通过所述IPSec隧道将加密后的数据发送至第二虚拟防火墙。
如图1所示,虚线a表示的数据通过安全过滤后,由VFW1的IPSec1对该数据进行加密,并使加密后的数据从VFW0转发至公网;同理,虚线b表示的数据通过安全过滤后,由VFW2的IPSec2对该数据进行加密,并使加密后的数据从VFW0转发至公网。
步骤202中所述将加密完成后的数据发送第二虚拟防火墙的方法可以采用在该加密数据上打上所述第二虚拟防火墙的标签的方式,也可以采用在该数据的转发列表中标明该数据的第二虚拟防火墙的方式,且不限于上述两种方式。
步骤203:所述第二虚拟防火墙发送数据。
在此实施例中,由于配置了IPSec隧道,保证了跨VFW转发数据的安全性。并且由于为IPSec1和IPSec2分别配置有IPSec1的保护域和IPSec2的保护域,且IPSec1的保护域为VFW1原有的Untrust安全区域,IPSec2的保护域也为VFW2原有的Untrust安全区域,因此,当VFW1发送数据时,是利用VFW1中的安全区域之间的安全策略对数据进行安全过滤,即进行安全防范处理的域间关系均为VFW1的域间关系,从而简化了现有技术中跨VFW转发时域间关系的处理流程。同理,VFW2发送数据时对该数据也是利用VFW2中的安全区域之间的安全策略对数据进行安全过滤。并且由于采用了一定措施使经过IPSec1和IPSec2加密完成后的数据都能够进入VFW0中进行转发,使多个VFW中的数据均能通过同一个端口转发,达到了端口复用的目的,节省了资源。
图3是本发明实施例处理跨越虚拟防火墙接收数据的流程示意图,该示意图表示本发明实施例提供的虚拟防火墙接收数据时对数据的处理流程,所述数据均为待解密数据,且数据的目的地址是到本地端的终端。为了便于描述,以下将以本地端防火墙接收前述实施例中VFW1和VFW2发送的数据(如图1中虚线a和虚线b表示)的应答数据(如图1中虚线a’和虚线b’所示)的处理流程为例进行具体描述。
步骤301:第一虚拟防火墙接收待解密数据,查找所述待解密数据的解密IPSec隧道后将所述数据送入所述IPSec隧道。
如图1所示,图1中的虚线a’表示VFW1接收的前述虚线a表示的数据的应答数据,该应答数据由VFW0中的端口0进入。虚线b’表示VFW2接收的前述虚线b表示的数据的应答数据,该应答数据也由VFW0中的端口0进入。因此,源防火墙VFW0对进入的应答数据要进行查找解密隧道的操作,将a’所表示的应答数据送入其解密隧道IPSec1,将b’所表示的应答数据送入其解密隧道IPSec2。
步骤302:所述IPSec隧道对所述数据进行解密,并将解密后数据中的进入端口所属的安全区域修改为所述IPSec隧道的保护域。
如图1所示,IPSec1对a’所示的应答数据进行解密后,将该应答数据中表示其进入端口所在的安全区域(即防火墙VFW0中的端口0所在的Trust区域)的参数修改为IPSec1的保护域(即VFW1的Untrust域);IPSec2对b’所示的应答数据进行解密后,将该数据中表示其进入端口所在的安全区域(即防火墙VFW0中的端口0所在的Trust区域)的参数修改为IPSec2的保护域(即VFW2的Untrust域)。
步骤303:第二虚拟防火墙通过所述IPSec隧道的保护域与所述数据到达的安全区域之间的安全策略对所述数据进行安全过滤。
如图1所示,虚线a’表示的应答数据进入VFW1后采用IPSec1的保护域(即VFW1的Untrust安全区域)与所述数据到达的安全区域(即VFW1中的Trust域)之间的安全策略对数据进行安全过滤;虚线b’表示的应答数据进入VFW2后采用IPSec2的保护域(即VFW2的Untrust安全区域)与所述数据到达的安全区域(即VFW2中的Trust域)之间的安全策略对数据进行安全过滤。
步骤301中所述的寻找数据的解密隧道的方法,具体实现可以采用取出该数据的目的IP、串行***设备接口SPI(AH、ESP协议中的一个协议字段,即Serial Peripheral interface,串行***设备接口)和协议类型三个部分,通过这三个部分查找该数据需进入的隧道。
步骤302中所述修改解密后的数据中的进入端口所属的安全区域的方式可以采用给该数据上打上所述IPSec隧道的保护域的标签的方式,也可以采用在该数据的转发列表中标明所述数据的进入端口所属的安全区域为所述IPSec隧道保护域的方式。且不限于上述两种方式。
由上述实施例可以看出,本发明实施例提供的技术方案在虚拟防火墙作为本地端防火墙接收应答数据时,利用了该虚拟防火墙作为本地端防火墙发送数据时的IPSec通道,保证了数据的安全性。并且由于修改了该数据的入域,在处理数据跨虚拟防火墙的域间关系时只需要采用数据到达的第二虚拟防火墙中原有的安全区域之间的安全策略对数据进行安全过滤,减化了现有技术中复杂的域间关系的处理流程。
在上述本发明实施例所提供的跨虚拟防火墙发送数据以及接收数据的实施方式中,虚拟防火墙的端口数量是由使用的防火墙设备来控制的,并不限于图1所示的3个端口。且本发明实施例中的端口并不限于是物理端口还是虚拟端口,只要该端口能够设置到VFW中即可。VFW的数量是根据端口的数量来确定的,即可以为每一个虚拟端口配置一个VFW。本发明实施例中任意一个VFW中的端口均可作为其他VFW的共同出端口,如图1中的端口0。
在上述本发明实施例所提供的跨虚拟防火墙发送数据以及接收数据的技术方案中,可以为需要跨虚拟防火墙转发的数据任意设置一个出口,只要在转发数据之前为该虚拟防火墙配置了相应的IPSec隧道即可。如VFW1中的数据可以通过VFW0发送,也可以通过VFW2发送,同样的,VFW0发送的数据也可以通过VFW1或VFW2发送。
本发明实施例所提供的跨越虚拟防火墙发送数据以及接收数据的方法不仅适用虚拟防火墙之间,也可以将根防火墙看作一个特殊的虚拟防火墙,适用于及根防火墙与虚拟防火墙之间的数据转发。
本发明实施例所提供的技术方案中,由于在处理跨越虚拟防火墙的数据时采用了IPSec技术,并为IPSec隧道配置了保护域,在保证了数据跨虚拟防火墙传输时的安全性基础上,不需要另外配置虚拟安全区域,而是利用该虚拟防火墙原有的安全区域以及域间的安全策略对数据进行安全过滤,从而减少了现有技术中复杂的域间安全策略的配置,在传送数据的过程中只需要进行一次安全过滤就能够保证数据的安全性,减少了域间关系的处理流程。并且由于使用了IPSec技术,使各个VFW可以相互转发,共用端口,因此,也使防火墙的端口起到了重复使用的效果,大大节省了资源。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
图4为本发明实施例所述的发送设备示意图,该发送设备包括第一安全处理单元401、加密单元402以及发送单元403,其中,第一安全处理单元401和发送单元403均设置有安全区域(包括Untrust域和Trust域),且第一安全处理单元401中的安全区域之间以及发送单元403中的安全区域之间分别设置有安全策略,加密单元402中包括加密模块4021和标识模块4022,其中加密模块4021对第一安全处理单元401中的数据进行加密,标识模块4022使加密后的数据进入发送单元,为加密单元402设置有保护域,该保护域为第一安全处理单元401中的Untrust域,需要说明的是,所述保护域并不仅限于第一安全处理单元401中的Untrust域,只要是第一安全处理单元401中的安全区域即可。
第一安全处理单元401,采用数据进入端口所在的安全区域与加密单元402的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至加密单元402。
加密单元402,用于对通过第一安全处理单元401的数据进行加密,并将所述加密后的数据发送至发送单元403。
加密单元402包括加密模块4021和标识模块4022,其中加密模块4021对来自第一安全处理单元401的数据进行加密,标识模块4022用于将经过加密模块4021加密后的数据发送至发送单元403,所述标识模块4022可以通过在该加密数据上打上所述发送单元403的标签或通过在所述数据的转发列表中标明发送单元403的方式将所述数据发送至发送单元403,且不限于上述两种方式。
发送单元403,用于发送加密单元402加密后的数据。
这里所述的发送设备包括防火墙或防火墙类设备,加密单元的具体实现形式可以为IPSec隧道。
图5为本发明实施例所述的接收设备示意图,该接收设备包括了接收单元501、解密单元502、第二安全处理单元503,其中,接收单元501和第二安全处理单元503中均设置有安全区域(包括Untrust域和Trust域),且接收单元501中的安全区域之间以及第二安全处理单元503中的安全区域之间分别设置有安全策略,解密单元502包括解密模块5021和修改模块5022,为解密单元502设置有保护域,该保护域为第二安全处理单元503中的Untrust域,需要说明的是,所述保护域并不仅限于第二安全处理单元503中的Untrust域,只要是第二安全处理单元503中的安全区域即可。
接收单元501,用于接收待解密数据,查找所述数据的解密单元后将所述数据送入解密单元502。所述待解密数据的目的地址是本地端的终端。
所述寻找数据的解密单元的方法,可以采用取出该数据的目的IP、SPI(AH、ESP协议中的一个协议字段)和协议类型三个部分,通过这三个部分查找该数据需进入的解密单元502。
解密单元502,用于对接收单元501所接收的待解密数据进行解密操作,并将该数据中进入端口所属的安全区域修改为所述解密单元502的保护域。
所述解密单元502包括解密模块5021和修改模块5022,所述解密模块5021对所述待解密数据进行解密,所述修改模块5022用于将通过解密模块5021解密后的数据中进入端口所属的安全区域修改为所述解密单元502的保护域,所述修改模块5022修改所述数据中进入端口所属的安全区域的方式可以采用给所述数据上打上所述解密单元502的保护域的标签的方式,也可以采用在所述数据的转发列表中标明所述数据进入端口所属的安全区域为所述解密单元502的保护域的方式,且不限于上述两种方式。
第二安全处理单元503,用于对解密单元502解密后的数据进行安全防范处理,所述安全防范处理是通过所述解密单元502的保护域与所述数据到达的安全区域之间的安全策略对所述数据进行安全过滤。
这里所述的接收设备包括防火墙或防火墙类设备,所述解密单元的具体实现形式可以为IPSec隧道。
上述发送设备中的第一安全处理单元和接收设备中的第二安全处理单元在物理上可以为一个单元,同理,发送设备中的加密单元和接收设备中的解密单元也可为一个单元,发送设备中的发送单元与接收设备中的接收单元也可为一个单元。
图6为本发明实施例所述的网络***示意图,该网络***包括发送设备601和接收设备602。
发送设备601,用于发送数据;
接收设备602,用于接收发送设备601发送的数据的应答数据,所述数据为目的地址到本地端的待解密数据。
所述发送设备601包括第一安全处理单元6011、加密单元6012和发送单元6013,其中加密单元6012包括加密模块60121和标识模块60121。
所述第一安全处理单元6011和发送单元6013中均设置有安全区域(包括Untrust域和Trust域),且在第一安全处理单元6011的各安全区域间设置有安全策略,同样的,在发送单元6013的各安全区域间也设置有安全策略。所述加密单元6012设置有保护域,所述加密单元6012的保护域为第一安全处理单元6011中的UntrUst域,需要说明的是,加密单元6012的保护域并不仅限于第一安全处理单元6011中的Untrust域,只要是第一安全处理单元6011中的安全区域即可。
第一安全处理单元6011,用于采用数据的进入端口所在的安全区域与加密单元6012的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至加密单元6012。
加密单元6012,用于对通过第一安全处理单元6011的数据进行加密,并将所述数据发送至发送单元6013。
加密单元6012包括加密模块60121和标识模块60122,其中加密模块60121对来自第一安全处理单元6011的数据进行加密,标识模块60122用于将经过加密模块60121加密后的数据发送至发送单元6013,所述标识模块60122可以通过在该加密数据上打上所述发送单元6013的标签或通过在所述数据的转发列表中标明发送单元6013的方式将所述数据发送至发送单元6013,且不限于上述两种方式。
发送单元6013,用于将加密单元6012加密后的数据发送出去。
所述接收设备602包括接收单元6021、解密单元6022和第二安全处理单元6023,其中解密单元6022包括解密模块60221和修改模块60222。
所述接收单元6021和所述第二安全处理单元6023中也设置有安全区域(包括Untrust域和Trust域),且在所述接收单元6021的各安全区域间设置有安全策略,同样的,在所述第二安全处理单元6023的各安全区域间也设置有安全策略。所述解密单元6022设置有保护域,所述解密单元6022的保护域为第二安全处理单元6023中的Untrust域,需要说明的是,解密单元6022的保护域也不限于第二安全处理单元6023中的Untrust域,只要是第二安全处理单元6023中的安全区域即可。
接收单元6021,用于接收待解密数据,查找所述数据的解密单元后将所述数据送入解密单元6022,所述待解密数据的目的地址是本地端的终端。
所述接收单元6021寻找所述数据的解密单元时可以通过取出该数据的目的IP、SPI(AH、ESP协议中的一个协议字段)和协议类型三个部分,通过这三个部分查找该数据需进入的解密单元6022。
解密单元6022,用于对接收单元6021所接收的待解密数据进行解密操作,并将解密后数据中进入端口所属的安全区域修改为所述解密单元6022的保护域。
所述解密单元6022包括解密模块60221和修改模块60222,所述解密模块60221对所述待解密数据进行解密,所述修改模块60222用于将通过解密模块60221解密后的数据中进入端口所属的安全区域修改为所述解密单元6022的保护域,所述修改模块60222修改所述数据中进入端口所属的安全区域的方式可以采用给该数据上打上所述解密单元6022的保护域的标签的方式,也可以采用在所述数据的转发列表中标明所述数据进入端口所属的安全区域为所述解密单元6022的保护域的方式,且不限于上述两种方式。
第二安全处理单元6023,用于对解密单元6022解密后的数据进行安全防范处理,所述安全防范处理是通过所述解密单元6022的保护域与所述数据到达的安全区域之间的安全策略对所述数据进行安全过滤。
这里所述的发送设备和接收设备包括防火墙或防火墙类设备,所述加密单元和所述解密单元的具体实现形式可以为IPSec隧道。
上述网络***的发送设备中的第一安全处理单元和接收设备中的第二安全处理单元在物理上可以为一个单元,同理,发送设备中的加密单元和接收设备中的解密单元也可为一个单元,发送设备中的发送单元与接收设备中的接收单元也可为一个单元。
以上所述仅为本发明的几个实施例,可以理解的是,对本领域普通技术人员来说,可以根据本发明实施例的技术方案及其发明构思加以等同替换或改变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
Claims (16)
1.一种跨越虚拟防火墙发送数据的方法,其特征在于,所述虚拟防火墙设置有相应的安全隧道,所述安全隧道设置有保护域,所述跨越虚拟防火墙发送数据的方法包括:
在第一虚拟防火墙,采用数据进入端口所属的安全区域与所述第一虚拟防火墙的安全隧道的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至所述第一虚拟防火墙的安全隧道;
所述安全隧道对通过安全过滤的数据进行加密,通过所述安全隧道将所述加密后的数据发送至第二虚拟防火墙,所述第二虚拟防火墙用于将所述数据发送出去。
2.如权利要求1所述的发送方法,其特征在于:所述安全隧道的保护域是所述安全隧道所保护的防火墙中的安全区域。
3.如权利要求1所述的发送方法,其特征在于:所述安全隧道将所述加密后的数据发送至第二虚拟防火墙的方法包括在所述数据中打上所述第二虚拟防火墙的标签。
4.如权利要求1所述的发送方法,其特征在于:所述安全隧道将加密后的数据发送至第二虚拟防火墙的方法还包括,在所述数据的转发列表中标明所述第二虚拟防火墙。
5.一种跨越虚拟防火墙接收数据的方法,其特征在于,所述虚拟防火墙设置有相应的安全隧道,所述安全隧道设置有保护域,所述跨越虚拟防火墙接收数据的方法包括:
第一虚拟防火墙接收待解密数据,查找所述数据的解密安全隧道,将所述数据发送至所述解密安全隧道;
所述安全隧道对所述数据进行解密,并将解密后数据中的进入端口所属的安全区域修改为所述安全隧道的保护域;
第二虚拟防火墙采用所述安全隧道的保护域与所述数据到达的安全区域之间的安全策略对所述数据进行安全过滤。
6.如权利要求5所述的接收方法,其特征在于:所述安全隧道的保护域是所述安全隧道所保护的防火墙中的安全区域。
7.如权利要求5所述的接收方法,其特征在于:所述查找数据的解密安全隧道的方法包括取出所述数据的目的IP、串行***设备接口SPI和协议类型,通过所述目的IP、串行***设备接口SPI和协议类型查找所述数据需进入的安全隧道。
8.如权利要求5所述的接收方法,其特征在于,所述修改解密后的数据中的进入端口所属的安全区域的方法包括:在所述数据上打上所述安全隧道的保护域的标签。
9.如权利要求5所述的接收方法,其特征在于,所述修改解密后的数据中的进入端口所属的安全区域的方法还包括:在所述数据的转发列表中标明所述数据的进入端口所属的安全区域为所述安全隧道的保护域。
10.一种网络***,其特征在于,包括发送设备和接收设备,所述发送设备和接收设备中均设置有安全区域和保护域,所述发送设备中的保护域为所述发送设备中的安全区域,所述接收设备的保护域为所述接收设备中的安全区域,且分别为发送设备和接收设备的安全区域间设置有安全策略,其中:
发送设备,采用数据进入端口所属的安全区域与所述保护域之间的安全策略对所述数据进行安全过滤后将所述数据进行加密并发送;
接收设备,用于接收发送设备发送的数据的应答数据,所述应答数据为目的地址到本地端的待解密数据,接收待解密数据后对所述待解密数据进行解密,并将所述解密后数据中的进入端口所属的安全区域修改为所述接收设备中的保护域,采用所述保护域与所述接收设备中的安全区域之间的安全策略对所述数据进行安全过滤。
11.如权利要求10所述的网络***,其特征在于:所述发送设备包括第一安全处理单元、加密单元和发送单元,所述第一安全处理单元设置有安全区域,且各安全区域之间分别设置有安全策略,所述加密单元设置有保护域,其中:
第一安全处理单元,采用数据进入端口所属的安全区域与加密单元的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至所述加密单元;
加密单元,用于对通过第一安全处理单元的数据进行加密,并将所述加密后的数据发送至发送单元;
发送单元,用于发送加密单元加密后的数据。
12.如权利要求11所述的网络***,其特征在于:所述加密单元的保护域为第一安全处理单元中的安全区域。
13.如权利要求11所述的网络***,其特征在于:所述加密单元包括加密模块和标识模块,
所述加密模块用于对来自所述第一安全处理单元的数据进行加密;
所述标识模块用于将所述加密模块加密后的数据打上标识,将所述加密后的数据发送至发送单元;或者
所述标识模块用于在所述数据的转发列表中标明所述加密后数据的发送单元,将所述加密后的数据发送至发送单元。
14.如权利要求10所述的网络***,其特征在于:所述接收设备包括接收单元、解密单元和第二安全处理单元,所述第二安全处理单元中设置有安全区域,且各安全区域间设置有安全策略,所述解密单元中设置有保护域:
接收单元,用于接收待解密数据,查找所述数据的解密单元后将所述数据送入解密单元;
解密单元,用于对所述接收单元所接收的待解密数据进行解密,并将所述数据中进入端口所属的安全区域修改为所述解密单元的保护域;
第二安全处理单元,采用所述解密单元的保护域与所述数据到达的安全区域之间的安全策略对所述数据进行安全过滤。
15.如权利要求14所述的网络***,其特征在于:所述解密单元的保护域为所述第二安全处理单元中的安全区域。
16.如权利要求14所述的网络***,其特征在于:所述解密单元包括解密模块和修改模块,所述解密模块用于将所述接收单元接收的待解密数据进行解密,所述修改模块用于将所述解密模块解密后的数据中的进入端口所属的安全区域修改为所述解密单元的保护域。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102177975A CN101478533B (zh) | 2008-11-29 | 2008-11-29 | 一种跨越虚拟防火墙发送和接收数据的方法及*** |
| EP09828645.3A EP2357763B1 (en) | 2008-11-29 | 2009-11-27 | Methods apparatuses for crossing virtual firewall to transmit and receive data |
| PCT/CN2009/075185 WO2010060385A1 (zh) | 2008-11-29 | 2009-11-27 | 一种跨越虚拟防火墙发送和接收数据的方法、装置及*** |
| ES09828645.3T ES2546136T3 (es) | 2008-11-29 | 2009-11-27 | Métodos y aparatos para cruzar un denominado 'cortafuegos' virtual con el fin de transmitir y recibir datos |
| EP15164606.4A EP2916492B1 (en) | 2008-11-29 | 2009-11-27 | Methods and apparatuses for sending and receiving data across virtual firewalls |
| ES15164606.4T ES2622104T3 (es) | 2008-11-29 | 2009-11-27 | Métodos y aparatos para enviar y recibir datos a través de cortafuegos virtuales |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008102177975A CN101478533B (zh) | 2008-11-29 | 2008-11-29 | 一种跨越虚拟防火墙发送和接收数据的方法及*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101478533A CN101478533A (zh) | 2009-07-08 |
| CN101478533B true CN101478533B (zh) | 2012-05-23 |
Family
ID=40839165
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008102177975A Active CN101478533B (zh) | 2008-11-29 | 2008-11-29 | 一种跨越虚拟防火墙发送和接收数据的方法及*** |
Country Status (4)
| Country | Link |
|---|---|
| EP (2) | EP2916492B1 (zh) |
| CN (1) | CN101478533B (zh) |
| ES (2) | ES2622104T3 (zh) |
| WO (1) | WO2010060385A1 (zh) |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8281377B1 (en) | 2008-04-15 | 2012-10-02 | Desktone, Inc. | Remote access manager for virtual computing services |
| CN101478533B (zh) * | 2008-11-29 | 2012-05-23 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及*** |
| CN102394897A (zh) * | 2011-12-18 | 2012-03-28 | 西安安智科技有限公司 | 结合底线策略实现虚拟防火墙安全策略的***和方法 |
| US9467305B2 (en) | 2012-03-07 | 2016-10-11 | Vmware, Inc. | Multitenant access to multiple desktops on host machine partitions in a service provider network |
| US9560014B2 (en) * | 2013-01-23 | 2017-01-31 | Mcafee, Inc. | System and method for an endpoint hardware assisted network firewall in a security environment |
| CN104662848B (zh) * | 2013-05-23 | 2017-09-19 | 柏思科技有限公司 | 用于动态域名***(ddns)的方法和*** |
| US9253158B2 (en) | 2013-08-23 | 2016-02-02 | Vmware, Inc. | Remote access manager for virtual computing services |
| CN103561027A (zh) * | 2013-11-05 | 2014-02-05 | 曙光云计算技术有限公司 | 虚拟网络隔离的实现方法和实现装置 |
| CN104113522A (zh) * | 2014-02-20 | 2014-10-22 | 西安未来国际信息股份有限公司 | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 |
| CN113190495A (zh) | 2014-12-08 | 2021-07-30 | 安博科技有限公司 | 从远程网络区域进行内容检索的***及方法 |
| CN113225369A (zh) | 2015-01-06 | 2021-08-06 | 安博科技有限公司 | 用于中立应用程序编程接口的***和方法 |
| EP3251301A4 (en) | 2015-01-28 | 2018-10-10 | Umbra Technologies Ltd. | System and method for a global virtual network |
| CN107637037B (zh) | 2015-04-07 | 2021-09-28 | 安博科技有限公司 | 用于全局虚拟网络中的虚拟接口和高级智能路由的***和方法 |
| CN107925594B (zh) | 2015-06-11 | 2020-12-29 | 安博科技有限公司 | 用于网络挂毯多协议集成的***和方法 |
| EP4236264A3 (en) | 2015-12-11 | 2023-11-08 | Umbra Technologies Ltd. | System and method for information slingshot over a network tapestry and granularity of a tick |
| EP3449353B1 (en) | 2016-04-26 | 2021-11-24 | Umbra Technologies Ltd. | Data beacon pulsers powered by information slingshot |
| CN105939356B (zh) * | 2016-06-13 | 2019-06-14 | 北京网康科技有限公司 | 一种虚拟防火墙划分方法和装置 |
| CN106534153B (zh) * | 2016-11-30 | 2023-06-13 | 广东科达洁能股份有限公司 | 基于互联网建立桥接专线*** |
| CN107483341B (zh) * | 2017-08-29 | 2020-10-02 | 杭州迪普科技股份有限公司 | 一种跨防火墙报文快速转发方法及装置 |
| CN107888500B (zh) * | 2017-11-03 | 2020-04-17 | 东软集团股份有限公司 | 报文转发方法及装置、存储介质、电子设备 |
| CN110290153A (zh) * | 2019-07-19 | 2019-09-27 | 国网安徽省电力有限公司信息通信分公司 | 一种防火墙的端口管理策略自动下发方法及装置 |
| CN112511439B (zh) * | 2020-11-25 | 2023-03-14 | 杭州迪普科技股份有限公司 | 数据转发方法、装置、设备及计算机可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1901499A (zh) * | 2005-07-22 | 2007-01-24 | 上海贝尔阿尔卡特股份有限公司 | 一种专用局域网的安全访问方法及用于该方法的装置 |
| CN1949741A (zh) * | 2005-10-11 | 2007-04-18 | 华为技术有限公司 | 一种处理跨越不同防火墙间数据流的方法 |
| CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8127347B2 (en) * | 2006-12-29 | 2012-02-28 | 02Micro International Limited | Virtual firewall |
| CN101478533B (zh) * | 2008-11-29 | 2012-05-23 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及*** |
-
2008
- 2008-11-29 CN CN2008102177975A patent/CN101478533B/zh active Active
-
2009
- 2009-11-27 WO PCT/CN2009/075185 patent/WO2010060385A1/zh active Application Filing
- 2009-11-27 EP EP15164606.4A patent/EP2916492B1/en active Active
- 2009-11-27 ES ES15164606.4T patent/ES2622104T3/es active Active
- 2009-11-27 EP EP09828645.3A patent/EP2357763B1/en active Active
- 2009-11-27 ES ES09828645.3T patent/ES2546136T3/es active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1901499A (zh) * | 2005-07-22 | 2007-01-24 | 上海贝尔阿尔卡特股份有限公司 | 一种专用局域网的安全访问方法及用于该方法的装置 |
| CN1949741A (zh) * | 2005-10-11 | 2007-04-18 | 华为技术有限公司 | 一种处理跨越不同防火墙间数据流的方法 |
| CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2916492A1 (en) | 2015-09-09 |
| EP2357763B1 (en) | 2015-06-03 |
| EP2357763A4 (en) | 2011-10-05 |
| ES2546136T3 (es) | 2015-09-18 |
| WO2010060385A1 (zh) | 2010-06-03 |
| EP2916492B1 (en) | 2017-01-11 |
| CN101478533A (zh) | 2009-07-08 |
| ES2622104T3 (es) | 2017-07-05 |
| EP2357763A1 (en) | 2011-08-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101478533B (zh) | 一种跨越虚拟防火墙发送和接收数据的方法及*** | |
| US11075892B2 (en) | Fully cloaked network communication model for remediation of traffic analysis based network attacks | |
| CN110661620B (zh) | 一种基于虚拟量子链路的共享密钥协商方法 | |
| CN104662551A (zh) | 在网络环境中对加密的数据的检查 | |
| CN102932377B (zh) | 一种ip报文过滤方法及装置 | |
| JP6841324B2 (ja) | 通信装置、システム、方法及びプログラム | |
| CN102882789A (zh) | 一种数据报文处理方法、***及设备 | |
| US9015825B2 (en) | Method and device for network communication management | |
| CN105812322A (zh) | 因特网安全协议安全联盟的建立方法及装置 | |
| Hatim et al. | Blockchain-based internet of vehicles (biov): An approach towards smart cities development | |
| CN103051636B (zh) | 一种数据报文的传输方法和设备 | |
| CN106506141A (zh) | 一种基于fpga的dcs数据加密方法 | |
| CN101572659B (zh) | 一种文件网络共享范围控制方法 | |
| WO2012126432A2 (zh) | 数据传输的方法、设备和*** | |
| Khosroshahi et al. | Security technology by using firewall for smart grid | |
| CN101741818B (zh) | 设置在网线的独立网络安全加密隔离方法 | |
| CN110213268A (zh) | 一种数据处理方法、数据处理装置和计算机*** | |
| KR101784240B1 (ko) | 넌어드레스 네트워크 장비를 이용한 통신 보안 시스템 및 방법 | |
| Kushwaha et al. | Selective encryption using natural language processing for text data in mobile ad hoc network | |
| KR102571495B1 (ko) | 광 전송 설비용 보안 시스템 및 방법 | |
| RU2472217C1 (ru) | Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты) | |
| JP6636964B2 (ja) | ゲートウエイ装置およびゲートウエイシステム | |
| Mani Sekhar et al. | Security and privacy in 5G-enabled internet of things: a data analysis perspective | |
| Ahmed et al. | Architecture based on tor network for securing the communication of northbound interface in sdn | |
| Cho et al. | Hybrid WBC: Secure and Efficient White-Box Encryption Schemes |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: HUAWEI DIGITAL TECHNOLOGY (CHENGDU) CO., LTD. Free format text: FORMER NAME: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee after: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. Address before: 611731 Chengdu high tech Zone, Sichuan, West Park, Qingshui River Patentee before: CHENGDU HUAWEI SYMANTEC TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220825 Address after: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee after: HUAWEI TECHNOLOGIES Co.,Ltd. Address before: 611731 Qingshui River District, Chengdu hi tech Zone, Sichuan, China Patentee before: HUAWEI DIGITAL TECHNOLOGIES (CHENG DU) Co.,Ltd. |