专利名称:一种处理跨越不同防火墙间数据流的方法
技术领域:
本发明涉及虚拟防火墙技术,尤指一种处理跨越不同虚拟防火墙间或根防火墙与虚拟防火墙间数据流的方法。
背景技术:
防火墙(FW,Firewall)是指设置在不同网络之间,如可信的企业内部网和不可信的公共网或网络安全域之间的一系列部件的组合。防火墙可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现对网络的安全保护。防火墙有效地监控了内部网络和外部网络之间的数据交互,保证了内部网络的安全。
目前,防火墙常常基于安全区域而不是接口来制定安全策略,常见安全区域有可信网络(Trust)区域、不可信网络(Untrust)区域和非设防区域(DMZ)。虚拟防火墙是防火墙主系统衍生的逻辑子实体,对用户表现为独立的防火墙。创建虚拟防火墙后,将用户面对的防火墙主系统称为根防火墙,根防火墙为一个;虚拟防火墙的数量可根据配置动态创建,至少应该有一个。虚拟防火墙技术正逐步被厂商和用户采用,但是采用何种安全区域划分机制一直是虚拟防火墙应用的一个待定课题。
图1是现有技术虚拟防火墙及根防火墙安全区域划分示意图,从图1可见,某防火墙包括一个根防火墙和两个虚拟防火墙,其中,根防火墙被划分为三个安全区域一个用于中转数据流的公共安全区域即公共Untrust区域、两个私有安全区域即Trust区域与DMZ;虚拟防火墙1(VFW1)的私有安全区域包括Trust区域和DMZ两个安全区域;虚拟防火墙2(VFW2)的私有安全区域包括DMZ和Untrust区域两个安全区域,且在根防火墙的各私有安全区域与公共Untrust区域之间,各虚拟防火墙的每个私有安全区域与公共Untrust区域之间均设置有安全策略,安全策略可根据实际情况各自进行设置。另外,从图1还可见,防火墙与外界连接的端口均属于公共Untrust区域,比如属于根防火墙的端口1,属于VFW1和VFW2的端口2,其中,端口1和端口2为物理端口,端口2被划分为两个逻辑端口属于VFW1的Vlan1和属于VFW2的Vlan2。图1中虚线表示数据流穿越防火墙传送时均从发送数据流的源安全区域经由公共Untrust区域后到达接收数据流的目的安全区域,且在数据流穿越防火墙时依次采用源安全区域与公共Untrust区域之间的安全策略和公共Untrust区域与目的安全区域之间的安全策略对数据流进行过滤。
图2是现有技术处理跨越不同虚拟防火墙间或根防火墙与虚拟防火墙间的数据流的流程图,结合图1具体描述现有技术在数据流跨越不同虚拟防火墙间或跨越虚拟防火墙与根防火墙时,对数据流的处理方法,该方法包括以下步骤步骤200设置各虚拟防火墙的私有安全区域,根防火墙的公共安全区域及其私有安全区域;并将属于各防火墙的端口设置在公共安全区域上。
本步骤的实现如图1所示,这里不再重述。
步骤201分别设置虚拟防火墙各私有安全区域与公共安全区域之间的安全策略、公共安全区域与根防火墙各私有安全区域的安全策略。
安全策略的设置属于本领域人员公知技术,这里不再赘述。
步骤202若数据流跨越虚拟防火墙间或跨越根防火墙和虚拟防火墙间传送,则在发送端采用该数据流所属源安全区域与公共安全区域间安全策略过滤数据流;在接收端采用该数据流所到达的目的安全区域与公共安全区域间安全策略过滤数据流。
结合图1,假如数据流从VFW1的Trust区域传送到VFW2的DMZ,则将先后采用VFW1的Trust区域与公共Untrust区域间的安全策略、以及公共Untrust区域与VFW2的DMZ间的安全策略对数据流进行过滤,即采用通过公共Untrust区域进行中转的域间安全策略。
从上述方法可见,现有技术虚拟防火墙的安全区域划分机制有如下特点1)在每个虚拟防火墙的私有安全区域和公共安全区域间、以及公共安全区域和根防火墙其它私有安全区域间设置有安全策略。
2)公共安全区域上设置防火墙与外界连接的端口,包含物理端口和/或逻辑接口。来自公共安全区域的数据流,可以依据一定的数据流分类标准如不同端口、不同VLAN或者不同地址段被分配到不同的虚拟防火墙或者根防火墙。
3)对于跨越不同虚拟防火墙或跨越根防火墙与虚拟防火墙的数据流,均采用通过公共安全区域进行中转的域间安全策略。
按照上述现有技术通过公共Untrust区域进行中转的域间安全策略对跨越防火墙的数据流进行处理的方法,无法确定对于在同一公共安全区域内跨越不同虚拟防火墙或者跨越虚拟防火墙与根防火墙的数据流,应该采用何种安全策略。例如图1中跨越端口1和端口2的Vlan1之间的数据流,虽然跨越的区域同为公共Untrust区域,但是数据流却跨越了根防火墙和VFW1,这种情形下,不能确定对该数据流采用什么安全策略,从而不能对数据流采用合理的安全策略,进行合理的过滤处理,达不到防火墙对网络安全进行保护的作用。
另外,对于需要通过公共Untrust区域进行中转的数据流采用域间安全策略,而目前在域间设置的安全策略不能从根本上区分中转数据流和非中转数据流。例如图1中跨越端口2的Vlan2与VFW1的Trust区域之间的非中转数据流,采用公共Untrust区域与VFW1的Trust区域之间的安全策略进行过滤;而跨越VFW1的Trust区域与VFW2的DMZ之间的中转数据流,同样会采用公共Untrust区域与VFW1的Trust区域之间的安全策略进行过滤。由于不能区分中转数据流和非中转数据流,则不能更好地针对不同数据流采用合理的安全策略,进行合理过滤,从而不能达到防火墙对网络安全进行保护的作用。
发明内容
有鉴于此,本发明的主要目的在于提供一种处理跨越不同防火墙间的数据流的方法,能够针对跨越不同防火墙间的数据流采用合理的安全策略,进行合理过滤,使防火墙更好地达到对网络安全进行保护的作用。
为达到上述目的,本发明的技术方案具体是这样实现的一种处理跨越不同防火墙间数据流的方法,用于包括根防火墙和虚拟防火墙的防火墙中,该方法包括以下步骤A.在所述虚拟防火墙及根防火墙中分别设置私有安全区域和用于中转数据流的虚拟安全区域,并分别在所述虚拟防火墙和根防火墙中已设置的任一私有安全区域上设置各自的端口;B.分别在所述虚拟防火墙及根防火墙中的每个私有安全区域与其所属防火墙中的虚拟安全区域间设置安全策略;C.数据流跨越防火墙传送时,发送端采用数据流所属防火墙的源安全区域与该防火墙虚拟安全区域间的安全策略对该数据流进行过滤后,将数据传到接收端,接收端采用数据流所达到的防火墙的目的安全区域与该防火墙虚拟安全区域间的安全策略对该数据流进行过滤。
所述虚拟防火墙为至少为一个。
所述虚拟防火墙及根防火墙中的虚拟安全区域为共享安全区域、或为各自独立的安全区域。
步骤C中所述跨越防火墙为跨越不同的虚拟防火墙、或为跨越根防火墙和虚拟防火墙。
步骤B中还包括分别在所述虚拟防火墙及根防火墙的私有安全区域间设置安全策略。
所述安全策略为相同安全策略、或不同安全策略。
由上述技术方案可见,本发明方法在各虚拟防火墙及根防火墙中,除了分别按照需要设置私有安全区域外,还需要分别设置用于中转数据流的虚拟安全区域,并将属于各虚拟防火墙和根防火墙的端口分别设置在各自所在防火墙的任一私有安全区域上;在各防火墙的私有安全区域间设置安全策略,同时分别在各防火墙的每个私有安全区域与自身虚拟安全区域间设置安全策略;这样,当数据流跨越虚拟防火墙间或跨越根防火墙与虚拟防火墙间传送时,在发送端采用数据流所属防火墙的源安全区域与虚拟安全区域间的安全策略对该数据流进行过滤,在接收端则采用数据流所到达的防火墙的目的安全区域与虚拟安全区域间的安全策略对该数据流进行过滤。
本发明在各虚拟防火墙和根防火墙上设置的虚拟安全区域可以是共享的安全区域,也可以是独立的安全区域。从本发明方法可见,对虚拟防火墙来讲,虚拟安全区域用于接收来自其它虚拟防火墙或根防火墙的数据流,或者发送传送至其它虚拟防火墙或根防火墙的数据流;对根防火墙来讲,虚拟安全区域用于接收来自其它虚拟防火墙的数据流,或者发送传送至其它虚拟防火墙的数据流。由于虚拟安全区域的存在,使得跨越虚拟防火墙间或跨越根防火墙与虚拟防火墙间的中转数据流经由虚拟安全区域传送,而采用的安全策略是针对中转数据流而设置的。
另外,由于本发明中属于各防火墙的端口设置在自身的私有安全区域上,使得在不同端口间传送的数据流被确定为中转数据流,从而确定了需要采用的安全策略。
综上所述,本发明方法针对不同跨越虚拟防火墙间或跨越虚拟防火墙和根防火墙间的数据流采用了合理的安全策略,进行了合理过滤,使防火墙达到了对网络安全进行保护的作用。
图1是现有技术虚拟防火墙及根防火墙安全区域划分示意图;图2是现有技术处理跨越不同虚拟防火墙间或根防火墙与虚拟防火墙间的数据流的流程图;
图3是本发明虚拟防火墙及根防火墙安全区域划分示意图;图4是本发明处理跨越不同虚拟防火墙间或根防火墙与虚拟防火墙间的数据流的流程图。
具体实施例方式
本发明的核心思想是在各虚拟防火墙及根防火墙中分别设置私有安全区域和用于中转数据流的虚拟安全区域,并将属于各虚拟防火墙和根防火墙的端口分别设置在各自所在防火墙的任一私有安全区域上;在各防火墙的私有安全区域间设置安全策略,同时分别在各防火墙的每个私有安全区域与自身虚拟安全区域间设置安全策略;当数据流跨越虚拟防火墙间或跨越根防火墙与虚拟防火墙间传送时,在发送端采用数据流所属防火墙的源安全区域与虚拟安全区域间的安全策略对该数据流进行过滤,在接收端则采用数据流所到达的防火墙的目的安全区域与虚拟安全区域间的安全策略对该数据流进行过滤。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
图3是本发明虚拟防火墙及根防火墙安全区域划分示意图,从图3可见,某防火墙包括一个根防火墙和两个虚拟防火墙。根防火墙被划分为虚拟安全区域(Vzone)和三个私有安全区域,其中私有安全区域包括Untrust区域、Trust区域和DMZ;VFW1被划分为Vzone和私有安全区域共四个安全区域,其中私有安全区域包括Untrust区域、Trust区域和DMZ;VFW2被划分为Vzone和两个私有安全区域,其中私有安全区域包括DMZ和Untrust区域;且在根防火墙和虚拟防火墙中的各私有安全区域间设置安全策略,各虚拟防火墙中的每个私有安全区域与自身虚拟安全区域间均设置安全策略,根防火墙的各私有安全区域与自身虚拟安全区域间均设置安全策略。
另外,从图3还可见,各虚拟防火墙或根防火墙与外界连接的端口均属于自身的任一私有安全区域,比如属于根防火墙的端口1设置在根防火墙的Untrust区域,属于VFW1的端口2中一逻辑端口Vlan1设置在VFW1的Untrust区域,而属于VFW2的端口2中另一逻辑端口Vlan2设置在VFW2的Untrust区域。
图3中虚线表示数据流跨越防火墙传送时均从源安全区域经由虚拟安全区域后到达目的安全区域,且在数据流跨越防火墙时依次采用源安全区域与虚拟安全区域之间的安全策略和虚拟安全区域与目的安全区域之间的安全策略对数据流进行过滤。例如虚线a表示来自端口1的数据流从根防火墙的Untrust区域,采用根防火墙的Untrust区域与根防火墙的Vzone间的安全策略和VFW1的Vzone与VFW1的Untrust区域间的安全策略进行过滤后,传送至VFW1的端口2的Vlan1;虚线b表示来自根防火墙DMZ的数据流,采用根防火墙DMZ与根防火墙的Vzone间的安全策略和VFW2的Vzone与VFW2的Untrust区域间的安全策略进行过滤后,传送至VFW2的Untrust区域;虚线c表示来自VFW1的Trust区域的数据流,采用VFW1的Trust区域与VFW1的Vzone间的安全策略和VFW2的Vzone与VFW2的DMZ间的安全策略进行过滤后,传送至VFW2的DMZ。
图4是本发明处理跨越不同虚拟防火墙间或根防火墙与虚拟防火墙间的数据流的流程图,结合图3具体描述本发明在数据流跨越不同虚拟防火墙间或跨越虚拟防火墙与根防火墙时,对数据流的处理方法,该方法包括以下步骤步骤400设置各虚拟防火墙的私有安全区域和虚拟安全区域,根防火墙的私有安全区域及其虚拟安全区域;并将属于各防火墙的端口设置在各自任一私有安全区域上。
本步骤的实现如图3所示,这里不再重述。
步骤401分别设置各虚拟防火墙和根防火墙私有安全区域之间的安全策略,分别设置根防火墙和各虚拟防火墙中每个私有安全区域与其所属防火墙中的虚拟安全区域之间的安全策略。
安全策略的设置属于本领域人员公知技术,这里不再赘述。这里强调的是,各防火墙中的每个私有安全区域与其所属防火墙中的虚拟安全区域间设置安全策略,解决了现有技术中通过公共Untrust区域进行中转的域间安全策略对跨越防火墙的数据流进行处理时,无法确定对于同一公共安全区域内跨越不同虚拟防火墙或者跨越虚拟防火墙与根防火墙的数据流采用何种安全策略的问题,也保证了针对跨越虚拟防火墙间或跨越虚拟防火墙和根防火墙间的不同中转数据流进行合理过滤,使防火墙达到对网络安全进行保护的作用。所设置的安全策略可以相同,也可以不同。
从步骤400和步骤401可见,本发明方法在虚拟防火墙和根防火墙上均设置虚拟安全区域,并设置各虚拟安全区域与自身所属防火墙的其它私有安全区域间的安全策略。
步骤402若数据流跨越虚拟防火墙间或跨越根防火墙和虚拟防火墙间传送,则在发送端采用该数据流所属防火墙的源安全区域与虚拟安全区域间安全策略过滤数据流;在接收端采用该数据流所到达防火墙的目的安全区域与虚拟安全区域间安全策略过滤数据流。
本发明提出的在各虚拟防火墙和根防火墙上设置的虚拟安全区域,对虚拟防火墙来讲,虚拟安全区域用于接收来自其它虚拟防火墙或根防火墙的数据流,或者发送传送至其它虚拟防火墙或根防火墙的数据流;对根防火墙来讲,虚拟安全区域用于接收来自其它虚拟防火墙的数据流,或者发送传送至其它虚拟防火墙的数据流。由于虚拟安全区域的存在,使得跨越虚拟防火墙间或跨越根防火墙与虚拟防火墙间的中转数据流采用的安全策略是针对中转数据流而设置的。
另外,由于本发明中属于各防火墙的端口设置在各自的私有安全区域上,使得在不同端口间传送的数据流被确定为中转数据流,从而确定了需要采用的安全策略。
综上所述,本发明方法针对不同跨越虚拟防火墙间或跨越虚拟防火墙和根防火墙间的数据流采用了合理的安全策略,进行了合理过滤,使防火墙达到了对网络安全进行保护的作用。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
权利要求
1.一种处理跨越不同防火墙间数据流的方法,用于包括根防火墙和虚拟防火墙的防火墙中,其特征在于,该方法包括以下步骤A.在所述虚拟防火墙及根防火墙中分别设置私有安全区域和用于中转数据流的虚拟安全区域,并分别在所述虚拟防火墙和根防火墙中已设置的任一私有安全区域上设置各自的端口;B.分别在所述虚拟防火墙及根防火墙中的每个私有安全区域与其所属防火墙中的虚拟安全区域间设置安全策略;C.数据流跨越防火墙传送时,发送端采用数据流所属防火墙的源安全区域与该防火墙虚拟安全区域间的安全策略对该数据流进行过滤后,将数据传到接收端,接收端采用数据流所达到的防火墙的目的安全区域与该防火墙虚拟安全区域间的安全策略对该数据流进行过滤。
2.根据权利要求1所述的方法,其特征在于,所述虚拟防火墙为至少为一个。
3.根据权利要求1所述的方法,其特征在于,所述虚拟防火墙及根防火墙中的虚拟安全区域为共享安全区域、或为各自独立的安全区域。
4.根据权利要求1所述的方法,其特征在于,步骤C中所述跨越防火墙为跨越不同的虚拟防火墙、或为跨越根防火墙和虚拟防火墙。
5.根据权利要求1所述的方法,其特征在于,步骤B中还包括分别在所述虚拟防火墙及根防火墙的私有安全区域间设置安全策略。
6.根据权利要求1或5所述的方法,其特征在于,所述安全策略为相同安全策略、或不同安全策略。
全文摘要
本发明公开了一种处理跨越不同防火墙间数据流的方法,该方法在虚拟防火墙和根防火墙上均设置虚拟安全区域,并设置各虚拟安全区域与自身所属防火墙的其它私有安全区域间的安全策略,当数据流跨越虚拟防火墙间或跨越根防火墙与虚拟防火墙间传送时,在发送端采用数据流所属防火墙的源安全区域与虚拟安全区域间的安全策略对该数据流进行过滤,在接收端则采用数据流所达到的防火墙的目的安全区域与虚拟安全区域间的安全策略对该数据流进行过滤。本发明方法针对不同跨越虚拟防火墙间或跨越虚拟防火墙和根防火墙间的数据流采用了合理的安全策略,进行了合理过滤,使防火墙达到了对网络安全进行保护的作用。
文档编号H04L29/06GK1949741SQ20051011264
公开日2007年4月18日 申请日期2005年10月11日 优先权日2005年10月11日
发明者王宁, 雷奕康, 齐志, 张日华, 朱志强, 唐正斌 申请人:华为技术有限公司