专利名称:一种跨越虚拟防火墙发送和接收数据的方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种跨越虚拟防火墙发送和接收数据 的方法及系统。
背景技术:
防火墙(FW, Firewall )是指设置在不同网络之间,如可信的企业内部网 和不可信的公共网或网络安全区域之间的一系列部件的组合。防火墙常常基于 安全区域来制定安全策略,以对跨越防火墙的数据流进行监测、限制或更改, 尽可能地对外部屏蔽网络内部的信息、结构和运^f亍状况,以此来实现对内部网 络的安全保护。
近年来,随着VPN技术的兴起和不断发展,虚拟防火墙 (Virtual-firewall, VFW)技术应运而生。虚拟防火墙是防火墙主系统衍生 的逻辑子实体,对用户表现为独立的防火墙。创建虚拟防火墙后,将用户面对 的防火墙主系统称为根防火墙,根防火墙为一个,虚拟防火墙的数量可根据配 置动态创建,至少为一个。通过在防火墙上创建逻辑上的虚拟防火墙,可以在 满足系统自身需求的同时,将系统中的剩余吞吐量用于出租业务,提高更大的 利益回报。目前,VPN技术已经成为虛拟防火墙技术的主流技术,每个虚拟防 火墙都是VPN实例、安全实例和配置实例的综合体,能够为虚拟防火墙用户提 供私有的路由转发平面、安全服务和配置管理平面。
随着网络安全技术的飞快发展,越来越多的大型企业利用互联网采用IP 安全协议(Internet Protocol Security, IPSec)技术构建VPN网络,IPSec 协议为IP数据提供了高质量的、可互操作的、基于密码学的安全性能。特定 的通信方之间在IP层通过加密与数据源验证等方式,来保证数据在网络上传 输时的私有性、完整性、真实性。
现有技术在处理跨越不同防火墙间的数据流时,通过在虚拟防火墙及根防 火墙中分别设置有私有安全区域和用于中转数据流的虚拟安全区域(VZONE
5域),分别在所述虚拟防火墙和根防火墙中已设置的任一私有安全区域上设置 各自的端口 ,并分别在所述虚拟防火墙及根防火墙的安全区域间设置安全策 略,当数据流跨越防火墙发送时,发送端采用数据流所属防火墙的源安全区域 与该防火墙虚拟安全区域间的安全策略对数据流进行过滤,将过滤后的数据传 到接收端,接收端采用数据流所到达的防火墙的目的安全区域与该防火墙的虚 拟安全区域间的安全策略对该数据流进行过滤。
现有技术在处理跨越防火墙的数据流时,需要为每个防火墙配置VZ0NE 域,并且除了配置防火墙原有的安全区域之间的安全策略,还需要分别配置防 火墙中的私有安全区域与VZONE域之间的安全策略,随着VFW的不断增加,要 配置的VZONE域也不断增加,需要配置的安全策略也会越来越多,配置十分复 杂。而且现有技术在实现数据流跨防火墙转发时,对每个数据流都要在发送端 和接收端分别进行安全过滤才能实现数据流的转发,不仅处理过程复杂,而且 各个防火墙之间的域间关系非常难以管理。
发明内容
本发明实施例提供了 一种跨越虚拟防火墙发送和接收数据的方法,所述方 法能够简化跨越不同虛拟防火墙转发数据时域间关系的处理。
根据本发明实施例提供一种跨越虚拟防火墙发送数据的方法,所述虚拟防 火墙设置有相应的安全隧道,所述安全隧道设置有保护域,所述跨越虚拟防火 墙发送数据的方法包括在第一虚拟防火墙,采用数据进入端口所在的安全区 域与所述第一虚拟防火墙的安全隧道的保护域之间的安全策略对数据进行安 全过滤,将所述数据发送至所述第一虚拟防火墙的安全隧道;所述安全隧道对 通过安全过滤的数据进行加密,通过所述安全隧道将所述加密后的数据发送至 第二虚拟防火墙,所述第二虚拟防火墙用于将所述数据发送出去。
根据本发明实施例提供一种跨越虚拟防火墙接收数据的方法所述虚拟防 火墙设置有相应的安全隧道,所述安全隧道设置有保护域,所述跨越虛拟防火 墙接收数据的方法包括第一虚拟防火墙接收待解密数据,查找所述数据的解 密安全隧道,将所述数据发送至所述解密安全隧道;所述安全隧道对所述数据 进行解密,并将解密后数据中的进入端口所属的安全区域修改为所述安全隧道 的保护域;第二虚拟防火墙采用所述安全隧道的保护域与所述数据到达的安全
6区域之间的安全策略对所述数据进行安全过滤。
本发明实施例还提供一种网络系统,包括发送设备和接收设备,所述发送 设备和接收设备中均设置有安全区域和保护域,所述发送设备中的保护域为所 述发送设备中的安全区域,所迷接收设备的保护域为所述接收设备中的安全区
域,且分别为发送设备和接收设备的安全区域间设置有安全策略,其中发送 设备采用数据进入端口所属的安全区域与所述保护域之间的安全策略对所述 数据进行安全过滤后将所述数据进行加密并发送;接收设备用于接收发送设备 发送的数据的应答数据,所述应答数据为目的地址到本地端的待解密数据,接 收待解密数据后对所述待解密数据进行解密,并将所述解密后数据中的进入端 口所属的安全区域修改为所述接收设备中的保护域,采用所述保护域与所述接 收设备中的安全区域对所述数据进行安全过滤。
从上述技术方案可以看出,本发明实施例的技术方案通过采用如上的使用 安全隧道实现跨越虚拟防火墙转发数据的方法,在确保数据传输的安全性的同 时简化了不同虚拟防火墙之间的域间关系的处理,直接利用同一虚拟防火墙内 在的两个域间之间的安全策略对数据流进行安全过滤,就可以简单的处理数据 流跨防火墙时的域间关系,实现跨虚拟防火墙转发数据,而无需采用现有技术 在配置时添加众多不同虚拟防火墙中安全区域之间的安全策略的方法来处理 跨虚拟防火墙转发数据时的域间关系,配置简单,便于管理。该方法还有效的 实现了对虚拟防火墙的端口的重复使用,大大节省了资源。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施 例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述 中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付 出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。 图1为本发明实施例提供的防火墙的结构示意图; 图2为本发明实施例提供的跨越防火墙发送数据的过程示意图; 图3为本发明实施例提供的跨越防火墙接收数据的过程示意图; 图4为本发明实施例提供的发送设备的示意图; 图5为本发明实施例提供的接收设备示意图;图6为本发明实施例提供的网络系统示意图。
具体实施例方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清 楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是 全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造 性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了实现本发明实施例,首先需要了解本发明实施例的技术方案所需要的 防火墙的配置示意图。为了方便描述,以在一个根防火墙上创建的3个虚拟防 火墙为例简单进行描述,需要说明的是,所述根防火墙可以看作为一个特殊的 虚拟防火墙。
如图1所示,VFWO、 VFW1、 VFW2分别是才艮防火墙的三个虚拟防火墙,VFWO、 VFW1和VFW2中分别设置有端口 0、端口 1、端口 2。每个虚拟防火墙分别划分 有多个安全区域,本发明实施例中以划分为2个安全区域为例,包括Untrust 区域和Trust区域,每个虚拟防火墙中的各安全区域之间设置有安全策略。
图1中的虚线a表示VFW1发送的数据流向,所述数据通过VFWO中的端口 0发送出去。图1中的虚线a,表示VFWl接收的前述虚线a表示的数据的应答 数据,所述数据通过VFWO中的端口 O进入。为了保护VFW1发送的数据,配置 了 IPSecl隧道,IPSecl的出口为VFWO中的端口 0。需要说明的是,IPSecl 是"单向,,的,这里所说的"单向"是指IPSecl保护VFW1发送的需要通过 VFWO发送至公网的数据(如图1中用虚线a来表示)以及该数据的应答数据 (如图1中用虚线a,来表示虚线a所表示数据的应答数据),即VFW1发送的要 通过VFWO发送至公网的数据或VFWO接收到的前述数据的应答数据才允许进入 IPSecl进行加密或解密,如果是从VFWO发出的要通过VFW1的数据只能由另 外为VFWO配置的通过VFW1的IPSec隧道进4亍保护。为了处理lt据跨越虚拟防 火墙时的域间关系,为IPSecl配置了保护域,IPSecl的保护域为VFW1中的 Untrust域,需要说明的是,IPSecl的保护域并不仅限于VFW1中的Untrust 域,只要是VFW1中的安全区域即可。
同样的,图1中的虚线b表示VFW2发送的数据流向,该数据也通过VFWO 中的端口 O发送出去。图1中的虛线b,表示VFW2接收的前述虚线b表示的数据的应答数据,该应答数据通过VFWO中的端口 Q进入。为了保护VFW2发送的 数据,配置了 IPSec2隧道,IPSec2的出口为VFWO中的端口 0。同样需要说明 的是,IPSec2也是"单向"的,即IPSec2也只保护从VFW2发送的需要通过 VFWO发送至公网的数据(如图1中用虛线b来表示)以及该数据的应答数据 (如图1中用虚线b,来表示虚线b所表示数据的应答数据)。为了处理数据跨 越虚拟防火墙时的域间关系,为IPSec2配置了保护域,IPSec2的保护域为VFW2 中的Untrust域,但也不限于VFW2中的Untrust域,只要是VFW2中的安全区 》或即可。
图2是本发明实施例处理跨越虚拟防火墙发送数据的流程示意图,该示意
以下将结合图1中虚线a和虚线b所示的数据流跨虚拟防火墙发送的过程对该 处理流程进行具体描述。
步骤201:在第一虛拟防火墙,采用数据进入端口所在的安全区域与第一 虚拟防火墙的IPSec隧道的保护域之间的安全策略对数据进行安全过滤,将安 全过滤后的数据发送至所述第一虚拟防火墙的IPSec隧道。
如图1所示,图1中虚线a表示VFW1对外发送的数据,所述数据需要通 过VFWO。发送时,VFW1首先对其端口 1接收到的待发送数据进行安全防范处 理,由于在配置时为VFW1配置了保护数据的IPSecl,并且将VFWl中的Untrust 安全区域设置为IPSecl的保护域。因此,当数据/人VFWl发送时,采用数据进 入的端口 1所在的Trust域与VFW1的IPSecl的保护域之间的安全策略对数据 进行安全过滤。图1中的虚线b表示VFW2对外发送的数据,所述数据需要通 过VFWO。由于在配置时为VFW2配置了保护数据的IPSec2,并且将VFW2中的 Untrust安全区域设置为IPSec2的保护域,因此,当数据/人VFW2发送时,采 用数据进入的端口 2所在的Trust域与VFW2的IPSec2的保护域之间的安全策 略对数据进行安全过滤。
步骤202:所述第一虚拟防火墙的IPSec隧道对通过安全过滤的数据进行 加密,通过所述IPSec隧道将加密后的数据发送至第二虚拟防火墙。
如图1所示,虚线a表示的数据通过安全过滤后,由VFW1的IPSecl对该 数据进行加密,并使加密后的数据从VFWO转发至公网;同理,虚线b表示的数据通过安全过滤后,由VFW2的IPSec2对该数据进行加密,并使加密后的数 据从VFWO转发至/厶网。
步骤202中所述将加密完成后的数据发送第二虚拟防火墙的方法可以采 用在该加密数据上打上所述第二虚拟防火墙的标签的方式,也可以采用在该数 据的转发列表中标明该数据的第二虚拟防火墙的方式,且不限于上述两种方 式。
步骤203:所述第二虚拟防火墙发送数据。
在此实施例中,由于配置了 IPSec隧道,保证了跨VFW转发数据的安全性。 并且由于为IPSecl和IPSec2分别配置有IPSecl的保护域和IPSec2的保护域, 且IPSecl的保护域为VFW1原有的Untrust安全区域,IPSec2的保护域也为 VFW2原有的Untrust安全区域,因此,当VFW1发送数据时,是利用VFW1中 的安全区域之间的安全策略对数据进行安全过滤,即进行安全防范处理的域间 关系均为VFW1的域间关系,从而简化了现有技术中跨VFW转发时域间关系的 处理流程。同理,VFW2发送数据时对该数据也是利用VFW2中的安全区域之间 的安全策略对数据进行安全过滤。并且由于采用了一定措施使经过IPSecl和 IPSec2加密完成后的数据都能够进入VFWO中进行转发,使多个VFW中的数据 均能通过同一个端口转发,达到了端口复用的目的,节省了资源。
图3是本发明实施例处理跨越虚拟防火墙接收数据的流程示意图,该示意 图表示本发明实施例提供的虚拟防火墙接收数据时对数据的处理流程,所述数 据均为待解密数据,且数据的目的地址是到本地端的终端。为了便于描述,以 下将以本地端防火墙接收前述实施例中VFW1和VFW2发送的数据(如图1中虚 线a和虚线b表示)的应答数据(如图1中虚线a,和虚线b,所示)的处理流 程为例进行具体描述。
步骤301:第一虚拟防火墙接收待解密数据,查找所述待解密数据的解密 IPSec隧道后将所述fi:据送入所述IPSec隧道。
如图1所示,图1中的虚线a,表示VFW1接收的前述虚线a表示的数据的 应答数据,该应答数据由VFWO中的端口 0进入。虚线b,表示VFW2接收的前述 虚线b表示的数据的应答数据,该应答数据也由VFWO中的端口 O进入。因此, 源防火墙VFWO对进入的应答数据要进行查找解密隧道的操作,将a,所表示的
10应答数据送入其解密隧道IPSecl,将b,所表示的应答数据送入其解密隧道 IPSec2。
步骤302:所述IPSec隧道对所述数据进行解密,并将解密后数据中的进 入端口所属的安全区域修改为所述lPSec隧道的保护域。
如图l所示,IPSecl对a,所示的应答数据进行解密后,将该应答数据中 表示其进入端口所在的安全区域(即防火墙VFWO中的端口 O所在的Trust区 域)的参数修改为IPSecl的保护域(即VFW1的Untrust域);IPSec2对b, 所示的应答数据进行解密后,将该数据中表示其进入端口所在的安全区域(即 防火墙VFWO中的端口 O所在的Trust区域)的参IWf改为IPSec2的保护域(即 VFW2的Untrust域)。
步骤303:第二虚拟防火墙通过所述IPSec隧道的保护域与所述数据到达 的安全区域之间的安全策略对所述数据进行安全过滤。
如图l所示,虚线a,表示的应答数据进入VFWl后采用IPSecl的保护域(即 VFW1的Untrust安全区域)与所述数据到达的安全区域(即VFW1中的Trust 域)之间的安全策略对数据进行安全过滤;虚线b,表示的应答数据进入VFW2 后采用IPSec2的保护域(即VFW2的Untrust安全区域)与所述数据到达的安 全区域(即VFW2中的Trust域)之间的安全策略对数据进行安全过滤。
步骤301中所述的寻找数据的解密隧道的方法,具体实现可以采用取出该 数据的目的IP、串行外围设备接口 SPI (AH、 ESP协议中的一个协议字段,即 Serial Peripheral interface,串行外围设备接口 )和协议类型三个部分, 通过这三个部分查找该数据需进入的隧道。
步骤302中所述修改解密后的数据中的进入端口所属的安全区域的方式 可以采用给该数据上打上所述IPSec隧道的保护域的标签的方式,也可以采用 在该数据的转发列表中标明所述数据的进入端口所属的安全区域为所述 IPSec隧道保护域的方式。且不限于上述两种方式。
由上述实施例可以看出,本发明实施例提供的技术方案在虚拟防火墙作为 本地端防火墙接收应答数据时,利用了该虚拟防火墙作为本地端防火墙发送数 据时的IPSec通道,保证了数据的安全性。并且由于修改了该数据的入域,在 处理数据跨虚拟防火墙的域间关系时只需要采用数据到达的第二虚拟防火墙中原有的安全区域之间的安全策略对数据进行安全过滤,减化了现有技术中复 杂的域间关系的处理流程。
在上述本发明实施例所提供的跨虚拟防火墙发送数据以及接收数据的实 施方式中,虚拟防火墙的端口数量是由使用的防火墙设备来控制的,并不限于 图l所示的3个端口 。且本发明实施例中的端口并不限于是物理端口还是虚拟端
口 ,只要该端口能够设置到VFW中即可。VFW的数量是根据端口的数量来确定的, 即可以为每一个虚拟端口配置一个VFW。本发明实施例中任意一个VFW中的端口 均可作为其他VFW的共同出端口 ,如图1中的端口 0 。
术方案中,可以为需要i^夸虚拟防火墙转发的数据任意设置一个出口,只要在转 发数据之前为该虚拟防火墙配置了相应的IPSec隧道即可。如VFW1中的数据 可以通过VFWO发送,也可以通过VFW2发送,同样的,VFWO发送的数据也可 以通过VFW1或VFW2发送。
本发明实施例所提供的跨越虚拟防火墙发送数据以及接收数据的方法不 仅适用虚拟防火墙之间,也可以将根防火墙看作一个特殊的虚拟防火墙,适用 于及根防火墙与虚拟防火墙之间的数据转发。
本发明实施例所提供的技术方案中,由于在处理跨越虛拟防火墙的数据时 采用了 IPSec技术,并为IPSec隧道配置了保护域,在保证了数据跨虚拟防火 墙传输时的安全性基础上,不需要另外配置虚拟安全区域,而是利用该虚拟防
有技术中复杂的域间安全策略的配置,在传送数据的过程中只需要进行一次安 全过滤就能够保证数据的安全性,减少了域间关系的处理流程。并且由于使用 了 IPSec技术,使各个VFW可以相互转发,共用端口,因此,也使防火墙的端 口起到了重复使用的效果,大大节省了资源。
是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于计算机 可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。 其中,所述的存储介质可为^兹碟、光盘、只读存储记忆体(Read-0nly Memory, ROM)或卩逸才几存4诸"i己十乙体(Random Access Memory, RAM)等。图4为本发明实施例所述的发送设备示意图,该发送设备包括第一安全处 理单元401、加密单元402以及发送单元403,其中,第一安全处理单元401和发 送单元403均设置有安全区域(包括Untrust域和Trust域),且第一安全处理单 元401中的安全区域之间以及发送单元403中的安全区域之间分别设置有安全 策略,加密单元402中包括加密模块4021和标识模块4022,其中加密模块4021 对第一安全处理单元401中的数据进行加密,标识模块4022使加密后的数据进 入发送单元,为加密单元402设置有保护域,该保护域为第一安全处理单元401 中的Untrust域,需要说明的是,所述保护域并不仅限于第一安全处理单元401 中的Untrust域,只要是第一安全处理单元401中的安全区域即可。
第一安全处理单元401,采用数据进入端口所在的安全区域与加密单元402 的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至加 密单元402。
加密单元402,用于对通过第一安全处理单元401的数据进行加密,并将所 述加密后的数据发送至发送单元4 0 3 。
加密单元402包括加密模块4021和标识模块4022,其中加密模块4021对来 自第一安全处理单元401的数据进行加密,标识;漠块4022用于将经过加密模块 4021加密后的数据发送至发送单元403,所述标识;漠块4022可以通过在该加密 数据上打上所述发送单元403的标签或通过在所述数据的转发列表中标明发送 单元403的方式将所述数据发送至发送单元403,且不限于上述两种方式。
发送单元403,用于发送加密单元402加密后的数据。
这里所述的发送设备包括防火墙或防火墙类设备,加密单元的具体实现形 式可以为IPSec隧道。
图5为本发明实施例所述的接收设备示意图,该接收设备包括了接收单元 501、解密单元502、第二安全处理单元503,其中,接收单元501和第二安全处 理单元503中均设置有安全区域(包括Untrust域和Trust域),且接收单元501 中的安全区域之间以及第二安全处理单元5 0 3中的安全区域之间分别设置有安 全策略,解密单元502包括解密模块5021和修改模块5022,为解密单元502设置 有保护域,该保护域为第二安全处理单元503中的Untrust域,需要说明的是, 所述保护域并不仅限于第二安全处理单元503中的Untrust域,只要是第二安全
13处理单元503中的安全区域即可。
接收单元501,用于接收待解密数据,查找所述数据的解密单元后将所述 数据送入解密单元502。所述待解密数据的目的地址是本地端的终端。
所述寻找数据的解密单元的方法,可以采用取出该数据的目的IP、SPI(AH、 ESP协议中的一个协议字段)和协议类型三个部分,通过这三个部分查找该数 据需进入的解密单元502。
解密单元502,用于对接收单元501所接收的待解密数据进行解密操作,并 将该数据中进入端口所属的安全区域修改为所述解密单元5 02的保护域。
所述解密单元502包括解密模块5021和修改模块5022,所述解密模块5021 对所述待解密数据进行解密,所述修改模块5022用于将通过解密模块5021解密 后的数据中进入端口所属的安全区域修改为所述解密单元502的保护域,所述 修改模块5022修改所述数据中进入端口所属的安全区域的方式可以采用给所 述数据上打上所述解密单元502的保护域的标签的方式,也可以采用在所述数 据的转发列表中标明所述数据进入端口所属的安全区域为所述解密单元502的 保护域的方式,且不限于上述两种方式。
第二安全处理单元503,用于对解密单元502解密后的数据进行安全防范 处理,所述安全防范处理是通过所述解密单元502的保护域与所述数据到达的 安全区域之间的安全策略对所述数据进行安全过滤。
这里所述的接收设备包括防火墙或防火墙类设备,所述解密单元的具体实 现形式可以为IPSec隧道。
上述发送设备中的第 一安全处理单元和接收设备中的第二安全处理单元 在物理上可以为一个单元,同理,发送设备中的加密单元和接收设备中的解密 单元也可为一个单元,发送设备中的发送单元与接收设备中的接收单元也可为 一个单元。
图6为本发明实施例所述的网络系统示意图,该网络系统包括发送设备6 01 和接收设备602。
发送设备601,用于发送数据;
接收设备602,用于接收发送设备601发送的数据的应答数据,所述数据为 目的地址到本地端的待解密数据。所述发送设备601包括第一安全处理单元6011、加密单元6012和发送单元 6013,其中加密单元6012包括加密模块60121和标识模块60121。
所述第一安全处理单元6011和发送单元6013中均设置有安全区域(包括 Untrust域和Trust域),且在第一安全处理单元6011的各安全区域间设置有安 全策略,同样的,在发送单元6013的各安全区域间也设置有安全策略。所述加 密单元6012设置有保护域,所述加密单元6012的保护域为第一安全处理单元 6011中的Untrust域,需要说明的是,加密单元6012的保护域并不仅限于第一 安全处理单元6011中的Untrust域,只要是第一安全处理单元6011中的安全区 i或即可。
第 一安全处理单元6011,用于采用数据的进入端口所在的安全区域与加密 单元6012的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据 发送至加密单元6012。
加密单元6012,用于对通过第一安全处理单元6011的数据进行加密,并将 所述数据发送至发送单元6013。
加密单元6012包括加密模块60121和标识模块60122,其中加密模块60121 对来自第一安全处理单元6011的数据进行加密,标识^t块60122用于将经过加 密模块60121加密后的数据发送至发送单元6013,所述标识;f莫块60122可以通过 在该加密数据上打上所述发送单元6013的标签或通过在所述数据的转发列表
种方式。
发送单元6013,用于将加密单元6012加密后的数据发送出去。 所述接收设备602包括接收单元6021、解密单元6022和第二安全处理单元 6023,其中解密单元6022包括解密模块60221和修改模块60222。
所述接收单元6021和所述第二安全处理单元6023中也设置有安全区域(包 括Untrust域和Trust域),且在所述接收单元6021的各安全区域间设置有安全 策略,同样的,在所述第二安全处理单元6023的各安全区域间也设置有安全策 略。所述解密单元6022设置有保护域,所述解密单元60"的保护域为第二安全 处理单元6023中的Untrust域,需要说明的是,解密单元6022的保护域也不限 于第二安全处理单元6023中的Untrust域,只要是第二安全处理单元60U中的
15安全区域即可。
接收单元6021,用于接收待解密数据,查找所述数据的解密单元后将所述 数据送入解密单元6022,所述待解密数据的目的地址是本地端的终端。
所述接收单元6021寻找所述数据的解密单元时可以通过取出该数据的目 的IP、 SPI (AH、 ESP协议中的一个协议字段)和协议类型三个部分,通过这三 个部分查找该数据需进入的解密单元6022。
解密单元6022,用于对接收单元6021所接收的待解密数据进行解密操作, 并将解密后数据中进入端口所属的安全区域修改为所述解密单元6022的保护 域。
所述解密单元6022包括解密模块60221和修改模块60222,所述解密模块 60221对所述待解密数据进行解密,所述修改模块60222用于将通过解密模块 60221解密后的数据中进入端口所属的安全区域修改为所述解密单元6022的保 护域,所述修改模块60222修改所述数据中进入端口所属的安全区域的方式可 以采用给该数据上打上所述解密单元6022的保护域的标签的方式,也可以采用 在所述数据的转发列表中标明所述数据进入端口所属的安全区域为所述解密 单元6022的保护域的方式,且不限于上述两种方式。
第二安全处理单元6023,用于对解密单元6022解密后的数据进行安全防 范处理,所述安全防范处理是通过所述解密单元6022的保护域与所述数据到 达的安全区域之间的安全策略对所述数据进行安全过滤。
这里所述的发送设备和接收设备包括防火墙或防火墙类设备,所述加密单 元和所述解密单元的具体实现形式可以为IPSec隧道。
上述网络系统的发送设备中的第 一安全处理单元和接收设备中的第二安 全处理单元在物理上可以为一个单元,同理,发送设备中的加密单元和接收设 备中的解密单元也可为一个单元,发送设备中的发送单元与接收设备中的接收 单元也可为一个单元。
以上所述仅为本发明的几个实施例,可以理解的是,对本领域普通技术人 员来说,可以根据本发明实施例的技术方案及其发明构思加以等同替换或改 变,而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。
权利要求
1、一种跨越虚拟防火墙发送数据的方法,其特征在于,所述虚拟防火墙设置有相应的安全隧道,所述安全隧道设置有保护域,所述跨越虚拟防火墙发送数据的方法包括在第一虚拟防火墙,采用数据进入端口所属的安全区域与所述第一虚拟防火墙的安全隧道的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至所述第一虚拟防火墙的安全隧道;所述安全隧道对通过安全过滤的数据进行加密,通过所述安全隧道将所述加密后的数据发送至第二虚拟防火墙,所述第二虚拟防火墙用于将所述数据发送出去。
2、 如权利要求1所述的发送方法,其特征在于所述安全隧道的保护域 是所述安全隧道所保护的防火墙中的安全区域。
3、 如权利要求1所述的发送方法,其特征在于所述安全隧道将所述加 密后的数据发送至第二虚拟防火墙的方法包括在所述数据中打上所述第二虛 拟防火墙的标签。
4、 如权利要求1所述的发送方法,其特征在于所述安全隧道将加密后 的数据发送至第二虚拟防火墙的方法还包括,在所述数据的转发列表中标明所 述第二虚拟防火墙。
5、 一种跨越虚拟防火墙接收数据的方法,其特征在于,所述虚拟防火墙 设置有相应的安全隧道,所述安全隧道设置有保护域,所述跨越虚拟防火墙接 收数据的方法包括第一虚拟防火墙接收待解密数据,查找所述数据的解密安全隧道,将所述 数据发送至所述解密安全隧道;所述安全隧道对所述数据进行解密,并将解密后数据中的进入端口所属的 安全区域^修改为所述安全隧道的保护域;第二虚拟防火墙采用所述安全隧道的保护域与所述数据到达的安全区域 之间的安全策略对所述数据进行安全过滤。
6、 如权利要求5所述的接收方法,其特征在于所述安全隧道的保护 域是所述安全隧道所保护的防火墙中的安全区域。
7、 如权利要求5所述的接收方法,其特征在于所述查找数据的解密隧 道的方法包括取出所述数据的目的IP、串行外围设备接口 SPI和协议类型, 通过所述目的IP、串行外围设备接口 SPI和协议类型查找所述数据需进入的 安全隧道。
8、 如权利要求5所述的接收方法,其特征在于,所述修改解密后的数据 中的进入端口所属的安全区域的方法包括在所述数据上打上所述安全隧道的 保护域的标签。
9、 如权利要求5所述的接收方法,其特征在于,所述修改解密后的数据 的源安全区域的方法还包括在所述数据的转发列表中标明所述数据的进入端 口所属的安全区域为所述安全隧道的保护域。
10、 一种网络系统,其特征在于,包括发送设备和接收设备,所述发送设 备和接收设备中均设置有安全区域和保护域,所述发送设备中的保护域为所述 发送设备中的安全区域,所述接收设备的保护域为所述接收设备中的安全区 域,且分别为发送设备和接收设备的安全区域间设置有安全策略,其中发送设备,采用数据进入端口所属的安全区域与所述保护域之间的安全策 略对所述数据进行安全过滤后将所述数据进行加密并发送;接收设备,用于接收发送设备发送的数据的应答数据,所述应答数据为目 的地址到本地端的待解密数据,接收待解密数据后对所述待解密数据进行解 密,并将所述解密后数据中的进入端口所属的安全区域修改为所述接收设备中过滤。
11、 如权利要求10所述的网络系统,其特征在于所述发送设备包括第 一安全处理单元、加密单元和发送单元,所述第一安全处理单元设置有安全区 域,且各安全区域之间分别设置有安全策略,所述加密单元设置有保护域,其 中第一安全处理单元,采用数据进入端口所属的安全区域与加密单元的保护 域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至所述加密单元;加密单元,用于对通过第一安全处理单元的数据进行加密,并将所述加密后的数据发送至发送单元;发送单元,用于发送加密单元加密后的数据。
12、 如权利要求ll所述的网络系统,其特征在于所述加密单元的保护域 为第 一安全处理单元中的安全区域。
13、 如权利要求ll所述的网络系统,其特征在于所述加密单元包括加密 模块和标识模块,所述加密模块用于对来自所述第一安全处理单元的数据进行加密; 所述标识;漠块用于将所述加密模块加密后的数据打上标识,将所述加密后的数据发送至发送单元;或者所述标识模块用于在所述数据的转发列表中标明所述加密后数据的发送单元,将所述加密后的数据发送至发送单元。
14、 如权利要求10所述的网络系统,其特征在于所述接收设备包括接收 单元、解密单元和第二安全处理单元,所述第二安全处理单元中设置有安全区 域,且各安全区域间设置有安全策略,所述解密单元中设置有保护域接收单元,用于接收待解密数据,查找所述数据的解密单元后将所述数据 送入解密单元;解密单元,用于对所述接收单元所接收的待解密数据进行解密,并将所述 数据中进入端口所属的安全区域修改为所述解密单元的保护域;第二安全处理单元,采用所述解密单元的保护域与所述数据到达的安全区 域之间的安全策略对所述数据进行安全过滤。
15、 如权利要求14所述的网络系统,其特征在于所述解密单元的保护域 为所述第二安全处理单元中的安全区域。
16、 如权利要求14所述的网络系统,其特征在于所述解密单元包括解密 模块和修改模块,所述解密模块用于将所述接收单元接收的待解密数据进行解 密,所述修改模块用于将所述解密模块解密后的数据中的进入端口所属的安全 区域修改为所述解密单元的保护域。
全文摘要
本发明实施例公开了一种跨越虚拟防火墙发送数据的方法,所述虚拟防火墙设置有相应的安全隧道,所述安全隧道设置有保护域,发送数据时在第一虚拟防火墙采用数据进入端口所属的安全区域与所述第一虚拟防火墙的安全隧道的保护域之间的安全策略对数据进行安全过滤,将安全过滤后的数据发送至所述第一虚拟防火墙的安全隧道进行加密,将所述加密后的数据通过第二虚拟防火墙发送出去。通过本发明所述方法跨越虚拟防火墙发送数据时,简化了众多不同虚拟防火墙中安全区域之间的域间关系管理,还有效的实现了对虚拟防火墙的端口的重复使用,节省了资源。
文档编号H04L29/06GK101478533SQ20081021779
公开日2009年7月8日 申请日期2008年11月29日 优先权日2008年11月29日
发明者付翠花, 侯贵斌, 张日华, 勇 徐, 朱志强, 谢文辉, 陆晓萍, 擘 马, 高国鲁 申请人:成都市华为赛门铁克科技有限公司