通过虚接口对报文加密的方法
【专利摘要】本发明公开了一种通过虚接口对报文加密的方法,其特征在于包括:S1:为第一防火墙设备配置多个第一虚接口,为第二防火墙设备配置与第一虚接口相同数量的第二虚接口,并在第一虚接口中指定本端IP地址和对端IP地址,本端IP地址为真实物理接口IP地址,配置IPSEC隧道绑定到第一虚接口上,出接口是第一虚接口的报文需要进行ipsec隧道加密;S2:配置需要加密的报文路由到第一虚接口,第一虚接口对报文进行加密,再将加密后的报文路由到第二虚接口,第二虚接口对报文进行解密。本发明通过在防火墙中配置虚接口,解决了ACL无法对报文进行加密的问题,报文通过与虚接口匹配,进一步进行加密或者解密处理,然后再将处理后的报文路由转发。
【专利说明】 通过虚接口对报文加密的方法
【技术领域】
[0001]本发明涉及网络通信【技术领域】,特别涉及通过虚接口对报文加密的方法。
【背景技术】
[0002]Gre和ipsec都是vpn隧道的一种,其中gre使用虚接口对隧道进行管理,通过配置路由来指定哪些报文进行隧道封装,通过虚拟接口的up和down来控制隧道是否可以对报文进行封装,当无ip或者tunnel隧道指定的出物理接口 down,或者发送对端keepalive超时时,gre的虚拟接口就会变成down状态。Ipsec隧道通过配置acl来指定哪些报文进行隧道封装,通过动态维护隧道的ike sa状态来维护隧道是否可以对数据报文进行封装。其中ipsec隧道由于使用acl来匹配数据报文,并且隧道的两端配置的acl必须是镜像的,所以无法对组播报文和广播报文进行加密,如果将ipsec隧道也向gre隧道那样使用虚接口来控制哪些报文需要加密,就可以解决以上问题。
【发明内容】
[0003](一)要解决的技术问题
[0004]本发明要解决的是解决网络安全设备转发组播报文和广播报文时,ACL无法对报文进行加密的问题。
[0005](二)技术方案
[0006]为解决上述技术问题,本发明提供了一种通过虚接口对报文加密的方法,其特征在于包括:
[0007]S1:为第一防火墙设备配置多个第一虚接口,为所述第二防火墙设备配置与所述第一虚接口相同数量的第二虚接口,并在所述第一虚接口中指定本端IP地址和对端IP地址,所述本端IP地址为真实物理接口 IP地址,配置IPSEC隧道绑定到所述第一虚接口上,出接口是所述第一虚接口的报文需要进行ipsec隧道加密;
[0008]S2:配置需要加密的报文路由到所述第一虚接口,所述第一虚接口对所述报文进行加密,再将加密后的报文路由到所述第二虚接口,所述第二虚接口对报文进行解密。
[0009]将所述报文按照IP地址分组,每组报文对应一个特定的所述第一虚接口。
[0010](三)有益效果
[0011]本发明通过在防火墙中配置虚接口,解决了 ACL无法对报文进行加密的问题,报文通过与虚接口匹配,进一步进行加密或者解密处理,然后再将处理后的报文路由转发。
【具体实施方式】
[0012]下面对本发明的【具体实施方式】作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
[0013]应用场景:
[0014]第一个人设备通过第一防火墙设备发送报文,报文通过第二防火墙设备发送至第二个人设备。
[0015]本实施方式的方法包括以下步骤:
[0016]S1:为第一防火墙设备配置多个第一虚接口,为第二防火墙设备配置与第一虚接口相同数量的第二虚接口,并在第一虚接口中指定本端IP地址和对端IP地址,其中,本端IP地址为真实物理接口 IP地址,配置IPSEC隧道绑定到第一虚接口上,出接口是第一虚接口的报文需要进行ipsec隧道加密;
[0017]S2:配置需要加密的报文路由到第一虚接口,第一虚接口对报文进行加密,再将加密后的报文路由到第二虚接口,第二虚接口对报文进行解密。
[0018]进一步地,将报文按照IP地址分组,每组报文对应一个特定的第一虚接口。
[0019]本发明通过在防火墙中配置虚接口,解决了 ACL无法对报文进行加密的问题,报文通过与虚接口匹配,进一步进行加密或者解密处理,然后再将处理后的报文路由转发。
[0020]以上实施方式仅用于说明本发明,而并非对本发明的限制,有关【技术领域】的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
【权利要求】
1.通过虚接口对报文加密的方法,其特征在于包括: S1:为第一防火墙设备配置多个第一虚接口,为所述第二防火墙设备配置与所述第一虚接口相同数量的第二虚接口,并在所述第一虚接口中指定本端IP地址和对端IP地址,所述本端IP地址为真实物理接口 IP地址,配置IPSEC隧道绑定到所述第一虚接口上,出接口是所述第一虚接口的报文需要进行ipsec隧道加密; S2:配置需要加密的报文路由到所述第一虚接口,所述第一虚接口对所述报文进行加密,再将加密后的报文路由到所述第二虚接口,所述第二虚接口对报文进行解密。
2.如权利要求1所述通过虚接口对报文加密的方法,其特征在于,将所述报文按照IP地址分组,每组报文对应一个特定的所述第一虚接口。
【文档编号】H04L29/12GK103516574SQ201310447297
【公开日】2014年1月15日 申请日期:2013年9月26日 优先权日:2013年9月26日
【发明者】陈海滨 申请人:汉柏科技有限公司