专利名称:实现网络安全装置安全策略的方法
技术领域:
本发明涉及网络安全装置中实现安全策略的方法。
背景技术:
随着网络技术的快速发展以及互联网应用的普及,网络安全受到越来越广泛的关注。现有的网络安全装置通常包括防火墙、入侵检测设备以及虚拟专用网(VPN)等安全设备或功能模块。
安全策略是一种处理安全问题的管理策略的描述,用于控制主机之间的通信,以提高主机间通信的安全性。
在配置安全策略时,安全策略中的源地址和目的地址通常使用网络地址;所述源地址描述的是源网络的信息,目的地址描述的是目的网络的信息。当安全装置收到一个数据包时,提取数据包的源地址和目的地址,并且与安全策略中的源地址和目的地址匹配,根据匹配的结果,并依据所述安全策略对数据包进行相应的处理。
根据以上的原理,一种现行的实现安全策略的方法为手动解析域名地址对应的网络地址,并在安全装置的安全策略中使用网络地址。这种方法的缺点是如果所述域名地址所对应的网络地址产生了变化,则需要手动重新解析域名地址,并应用该解析获得的网络地址重新生效安全策略。
另一种实现安全策略的现有技术为在安全策略中直接使用源网络及目的网络的域名地址,在安全策略生效时,解析域名地址所对应的网络地址。这种方法的缺陷在于域名地址所对应的网络地址只在安全策略生效时进行一次性解析,实现安全策略时,均使用所述第一次解析获得的网络地址与数据包中的网络地址进行匹配,因此,如果安全策略中使用的域名地址所对应的网络地址发生变化,则需要重新解析域名地址所对应的网络地址,进而重新配置安全策略,否则无法实现安全策略。
综上所述,如果域名地址所对应的网络地址产生了变化,则现有的安全策略实现方法中,不能动态的更新网络地址与域名地址的对应关系。由于现有网络安全装置无法灵活应对网络地址的动态变化,因而提高了网络安全装置的配置管理工作量。
发明内容
本发明要解决的问题是提供一种实现网络安全装置安全策略的方法,该方法能够适应网络地址的动态变化,使网络安全装置快速实现安全策略。
为了解决上述问题,本发明提供了一种实现安全策略的方法,包括1)建立域名地址与网络地址的对应关系;2)配置安全策略,在安全策略中引用域名地址;3)获取数据包中携带的网络地址;4)将数据包中携带的网络地址与所述域名地址对应的网络地址进行匹配;5)依据匹配结果及安全策略对数据包进行处理。
步骤2)中还包括应用网络地址配置安全策略;并且,步骤3)中还包括查找安全策略中是否定义了数据包中携带的网络地址,若没有,则进行步骤4),否则使用安全策略中定义的网络地址进行匹配,进行步骤5)。
步骤1)中所述建立对应关系具体为网络安全装置向服务器请求域名地址所对应的网络地址;服务器对所述域名地址进行解析,并向网络安全装置反馈解析获得的网络地址与域名地址的对应关系。
网络安全装置周期性向服务器请求域名地址所对应的网络地址。
步骤1)中所述建立对应关系具体为网络安全装置分析经过网络设备的域名服务器协议的数据包,获取域名地址与网络地址的对应关系。
步骤1)中还包括在预置时长内,若所述获取的网络地址与域名地址的对应关系未进行更新,则删除该对应关系。
在网络安全装置的用户空间和内核空间分别建立域名地址和网络地址的对应关系。
所述用户空间与内核空间中域名地址与网络地址的对应关系同步更新。
以上技术方案可以看出,在本发明中,由于在配置网络安全策略时引用了域名地址,并且建立了域名地址与网络地址的对应关系,因而,本发明在安全策略未定义数据包中携带的网络地址时,可查找域名地址与网络地址建立的对应关系,对数据包中携带的网络地址进行匹配,进而根据所述安全策略对数据包进行处理。
进一步,本发明对所述建立的域名地址与网络地址的对应关系进行动态管理,能够建立域名地址与动态的网络地址的对应关系,并及时对该对应关系进行更新,而不必重新配置安全策略;因此,在网络地址发生变化时,本发明能正确的对数据包中携带的网络地址进行匹配,进而能够依据安全策略对数据包进行正确的处理。
进一步,本发明在安全装置的用户空间与内核空间分别维护一个网络地址与域名地址的对应关系,并进行同步的更新,因此,在对数据包中携带的网络地址进行匹配时,能够更加快速的查找所述的网络地址与域名地址的对应关系,提高了网络安全装置的处理效率。
综上所述,本发明方便了网络安全装置的管理,增强了网络安全设备对网络环境的适应能力。
图1为本发明实施例流程图;图2为用户空间和内核空间中域名地址资源逻辑关系示意图;图3为安全策略中进行网络地址匹配的流程图。
具体实施例方式
本发明的核心思想是在网络的安全策略中引用域名地址资源,所述域名地址资源维护域名地址与它所对应的网络地址之间的对应关系,使所述对应关系能够随网络实际环境的变化而更新;在实现安全策略中使用域名地址资源中解析的网络地址来完成网络数据包的匹配,进而依据所述安全策略对数据包进行相应的处理。
依照上述核心思想,参照图1,本发明的具体实施方式
为步骤1建立域名地址与网络地址的对应关系,动态维护所述网络地址与域名地址的对应关系;本实施例中,通过建立和维护域名地址资源的方法实现本发明,包括A)建立域名地址资源在域名地址资源中定义的属性可包括域名地址资源的名称,即某域名地址通常使用的名称;域名地址,包括ASCII字符组成的域名地址或中文域名地址,当某网站具有中文域名时,通常该中文域名地址与所述域名地址资源的名称相同;静态网络地址,即手动添加的网络地址;主次域名服务器,用于动态解析域名地址所对应的网络地址的服务器地址;动态解析,即定义动态获取域名地址所对应的网络地址的功能;解析间隔,动态获取域名地址所对应的网络地址的时间间隔;失效期限,动态获取的域名地址和网络地址的对应关系失效的时间间隔;最大记录数,每个域名地址所对应的网络地址的最大数目。
实现安全策略之前,用户可以通过添加域名地址资源,并可以编辑域名地址资源的属性,如添加静态网络地址或选择动态解析功能等,用户同样可以删除已建好的域名地址资源。
B)动态获取域名地址对应的网络地址,其方法包括B1)域名地址资源程序向域名服务器主动请求域名地址所对应的网络地址。即如果建立域名地址资源时开启了动态解析功能,则在添加域名地址资源时,域名地址资源程序会向域名服务器发送域名地址请求,并且在域名地址资源建立完成后,定时向域名服务器请求发送该域名地址资源的域名地址所对应的网络地址。所述域名服务器是在域名地址资源属性中定义的主次域名服务器,如果域名地址资源中没有定义主次域名服务器地址,则使用本安全装置的域名服务器地址;B2)由网络安全装置的内核模块分析穿过网络设备的域名地址服务器(DNS)的协议包,并从中获取域名地址和网络地址的对应关系。
C)维护域名地址和网络地址的对应关系域名地址资源程序在用户空间和内核空间中各维护一个域名地址与网络地址的对应关系表,并且,用户空间和内核空间的对应关系表保持同步更新。如图2所示,在网络安全装置的用户空间与内核空间中各自具有一个域名地址与网络地址对应关系表21,功能单元22为安全策略或其他功能模块引用所述域名地址资源,进而获取所述对应表21中的网络地址与域名地址的对应关系,在用户单元中包括域名地址自动解析和更新单元23,该功能单元用于维护和更新所述对应关系表21中的网络地址与域名地址的对应关系,网络安全装置中内核空间与用户空间中的域名地址和网络地址对应关系表21通过功能单元23达到同步更新。
在所述域名地址与网络地址的对应关系表中,一个域名地址所对应的网络地址包括手动添加的静态网络地址和动态解析的动态网络地址。如上所述,由于建立域名地址资源时开启了动态解析功能,因而每个域名地址对应的动态网络地址都会被定期自动解析出来,以建立与域名地址的对应关系;并且,当所述动态网络地址与域名地址的对应关系在预置的时长内没有更新时,则在域名地址资源中将该动态网络地址删除。每个域名地址的自动解析间隔和动态网络地址的存活期限可以设置为不相同。
步骤2配置安全策略,并在安全策略中引用域名地址。根据用户的不同需求制定适应网络环境的安全策略,本发明中不对安全策略的制定进行限制。在安全策略中,根据域名地址资源名称引用域名地址资源。网络安全装置中的其他模块根据本模块的需要来引用域名地址资源。
步骤3获取数据包中携带的网络地址;网络中传送的数据包中带有以网络地址标识的源地址和目的地址,本领域技术人员可依照现有技术获取所述数据包中的网络地址。
步骤4将数据包中携带的网络地址与所述域名地址对应的网络地址进行匹配。在安全策略或其他功能模块中引用域名地址资源,并在安全策略生效时,根据域名地址资源的域名地址资源名称或序号,从网络安全装置的用户空间或内核空间维护的域名地址与网络地址的对应表中查找相应网络地址,进而对数据包中携带的网络地址进行匹配。
参照图3,在本实施例中,步骤31,网络安全装置收到数据包;步骤32,提取数据包中的网络地址;在获取数据包中的网络地址后,进行步骤33,判断是否需要在安全策略时引用域名地址资源;若需要,则进行步骤34,获取域名地址资源对应表中的网络地址;进而进行步骤35,应用这些网络地址对数据包中携带的网络地址进行匹配;若步骤33中判断不需要引用域名地址资源,则进行步骤36,应用安全策略中的网络地址对数据包中携带的网络地址进行匹配。
步骤5依据匹配结果,参照安全策略对数据包进行处理,如进行丢弃或将数据包按照安全策略进行转发等。
以上对本发明所提供的实现网络安全装置安全策略的方法进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种实现安全策略的方法,其特征在于1)建立域名地址与网络地址的对应关系;2)配置安全策略,在安全策略中引用域名地址;3)获取数据包中携带的网络地址;4)将数据包中携带的网络地址与所述域名地址对应的网络地址进行匹配;5)依据匹配结果及安全策略对数据包进行处理。
2.如权利要求1所述的实现安全策略的方法,其特征在于步骤2)中还包括应用网络地址配置安全策略;并且,步骤3)中还包括查找安全策略中是否定义了数据包中携带的网络地址,若没有,则进行步骤4),否则使用安全策略中定义的网络地址进行匹配,进行步骤5)。
3.如权利要求1所述的实现安全策略的方法,其特征在于,步骤1)中所述建立对应关系具体为网络安全装置向服务器请求域名地址所对应的网络地址;服务器对所述域名地址进行解析,并向网络安全装置反馈解析获得的网络地址与域名地址的对应关系。
4.如权利要求3所述的实现安全策略的方法,其特征在于网络安全装置周期性向服务器请求域名地址所对应的网络地址。
5.如权利要求1所述的实现安全策略的方法,其特征在于,步骤1)中所述建立对应关系具体为网络安全装置分析经过网络设备的域名服务器协议的数据包,获取域名地址与网络地址的对应关系。
6.如权利要求3至5其中之一所述的实现安全策略的方法,其特征在于,步骤1)中还包括在预置时长内,若所述获取的网络地址与域名地址的对应关系未进行更新,则删除该对应关系。
7.如权利要求1至5其中之一所述的实现安全策略的方法,其特征在于在网络安全装置的用户空间和内核空间分别建立域名地址和网络地址的对应关系。
8.如权利要求7所述的实现安全策略的方法,其特征在于所述用户空间与内核空间中域名地址与网络地址的对应关系同步更新。
全文摘要
本发明公开了一种实现安全策略的方法,包括1)建立域名地址与网络地址的对应关系;2)配置安全策略,在安全策略中引用域名地址;3)获取数据包中携带的网络地址;4)将数据包中携带的网络地址与所述域名地址对应的网络地址进行匹配;5)依据匹配结果及安全策略对数据包进行处理。在本发明中,在配置网络安全策略时引用了域名地址,并且建立了域名地址与网络地址的对应关系;对所述建立的域名地址与网络地址的对应关系进行动态管理;并在安全装置的用户空间与内核空间分别维护一个网络地址与域名地址的对应关系,并进行同步的更新。因此,本发明方便了网络安全装置的管理,增强了网络安全设备对网络环境的适应能力。
文档编号H04L12/24GK1863193SQ200510069130
公开日2006年11月15日 申请日期2005年5月10日 优先权日2005年5月10日
发明者朱小平, 毕学尧, 杨聪毅 申请人:联想网御科技(北京)有限公司