专利名称::一种ip报文过滤方法及装置的制作方法
技术领域:
:本发明涉及属于信息安全及密码
技术领域:
,涉及一种通过IPSECVPN及IPtables技术配合,实现IP报文过滤方法及装置。
背景技术:
:IPSEC是互联网工程任务组(IETF)制定的一个开放的IP层安全框架协议,为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSEC技术已广泛普及并应用到网关设备中,网关设备工作在本地局域网和与其通信的远程局域网的网关位置,采用IPSEC隧道技术,加密技术以及认证技术等方法,在公众网络上构建虚拟专用网络(即VPN),数据在安全信道上传输,从而到达保障通信安全,保密信息的目的。作为网关设备,通常还需要对本地局域网进行隔离及访问控制保护,IP报文过滤功能也是必要的,通常采用的技术是IPSECVPN安全策略与netfileter/iptableM简称为iptables)防火墙策略相互配合来实现。图I所示为Iinux网络协议栈中防火墙及IPSECVPN工作流程图。由图I可知,IPSEC安全策略主要控制哪些IP报文需要进行IPSECVPN加解密处理;防火墙策略主要分布在filter表的INPUT链、OUTPUT链及FORWARD链,分别控制哪些IP报文允许进入到网关本地,哪些报文允许从网关本地发出,哪些IP报文允许穿过网关。对于IPSEC加密或解密处理的报文都先后经过防火墙策略及IPSEC安全策略的检查,为了使IPSEC能正常工作,通常采用的方法是,INPUT链及OUTPUT链防火墙策略允许出入网关本地的ESP、AH协议包及密钥协商包通过,FORWARD链防火墙策略允许IPSEC安全策略对应的IP包通过。但此方法存在以下缺限1)配置了IPSEC安全策略后,为了保证IPSEC处理的IP包通过防火墙检查,还需要在FORWARD链配置防火墙策略,用于放行IPSEC安全策略对应的IP包,这给管理员带来双重的工作量;2)随着IPSEC安全策略数量越大,FORWARD链防火墙策略数量越多、越复杂,由于防火墙策略是自顶向下依次查找,所以网关吞吐量下降越明显。
发明内容本发明所要解决的技术问题是针对以上的不足,本发明提供一种集成IPSECVPN和防火墙模块的网关设备,通过一种IPSEC安全策略与防火墙策略配合方法,实现IP报文过滤。降低了配置ipsec安全策略与防火墙策略的耦合性,使两种策略配置各司其职,其中IPSEC安全策略配置专注于对需进行IPSEC处理的IP报文进行过滤,防火墙策略配置专注于SECP0LICY自定义链上对非IPSEC处理的IP报文进行过滤。本发明采用的技术方案如下一种IP报文过滤方法包括步骤I,利于Iinux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”(ACCEPT),INPUT链默认策略为“丢弃”(DROP),并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文(协议号为ESP或AH)进入本网关,允许密钥协商报文(即udp500及udp4500)进入本网关;步骤2,设置FORWARD链默认策略为“丢弃”(DROP),新建一条名称为“SECPOLICY”规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,使得对出入本网关非IPSEC处理的IP包过滤。步骤3,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加以下两条防火墙策略O允许解密后明通报文(即IN方向的匹配IPSEC安全策略的IP报文)通过本网关,策略配置命令为iptables-AFORWARD-mpolicy-dirin-jACCEPT,对进入方向IPSEC解密后的IP包过滤;2)允许加密前明通报文(即OUT方向的匹配IPSEC安全策略的IP报文)通过本网关,策略配置命令为iptables-AFORWARD-mpolicy-dirout_jACCEPT,对外出方向需IPSEC加密处理的IP包过滤。所述步骤2中对出入本网关非IPSEC处理的IP包过滤具体过程包括,步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;步骤23,如果防火墙策略是放行,则转发该IP报文。所述步骤3中对进入方向IPSEC解密后的IP包过滤具体过程包括,步骤311:收到来自远端网关的IPSEC密通报文;步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤313,根据三元组信息即该报文目的地址、SPI安全参数索引、安全协议号(AH或ESP)查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;步骤315,解密后的明通报文发向本网关内部网络。所述步骤3中对外出方向需IPSEC加密处理的IP包过滤具体过程包括,步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;步骤323,查找该IP包匹配的安全策略(SP)及出站安全关联(SA);步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为險道的远端网关;步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤326,IPSEC密通报文发向远端的网关地址。所述密通报文是协议号为ESP或AH的报文。所述密钥协商报文是udp500或udp4500报文。一种IPSEC安全策略实现IP报文过滤装置包括初始化模块,用于利用Iinux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”(ACCEPT),INPUT链默认策略为“丢弃”(DROP),并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文(协议号为ESP或AH)进入本网关,允许密钥协商报文(即udp500及udp4500)进入本网关;·非IPSEC处理的IP包过滤模块,用于初始化模块后,设置OUTPUT链默认策略为“丢弃”(DROP),新建一条自定义规则链(名称为“SECPOLICY”),在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,对出入本网关非IPSEC处理的IP包过滤;加密处理的IP包过滤模块,用于初始化模块后,利用xt_p0liCy模块提供的策略匹配功能,在FORWARD链末尾添加允许加密前明通报文(即OUT方向的匹配IPSEC安全策略的IP报文)通过本网关策略,对外出方向需IPSEC加密处理的IP包过滤;解密处理的IP包过滤模块,用于初始化模块后,利用xt_p0liCy模块提供的策略匹配功能,在FORWARD链末尾添加允许解密后明通报文(即IN方向的匹配IPSEC安全策略的IP报文)通过本网关策略,策略配置命令为iptables-AFORWARD-mpolicy-dirin-jACCEPT。所述非IPSEC处理的IP包过滤模块对出入本网关非IPSEC处理的IP包过滤具体过程包括,步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;步骤23,如果防火墙策略是放行,则转发该IP报文。所述加密处理的IP包过滤模块对外出方向需IPSEC加密处理的IP包过滤具体过程包括,步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;步骤323,查找该IP包匹配的安全策略(SP)及出站安全关联(SA);步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为險道的远端网关;步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤326,IPSEC密通报文发向远端的网关地址。所述解密处理的IP包过滤模块对进入方向IPSEC解密后的IP包过滤具体过程包括,步骤311:收到来自远端网关的IPSEC密通报文;步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤313,根据三元组信息即该报文目的地址、SPI安全参数索引、安全协议号(AH或ESP)查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;步骤315,解密后的明通报文发向本网关内部网络。综上所述,由于采用了上述技术方案,本发明的有益效果是在本发明中,防火墙模块放行所有与IPSEC相关的密通及明通报文,确保了IPSEC模块正常工作,步骤3所添加的两条防火墙策略,降低了IPSEC及防火墙模块策略配置的耦合性,当每次配置IPSEC策略时,不再需要修改FORWARD链防火墙策略,提高了管理员配置效率,有效减少防火墙策略数量,降低了对系统吞吐量的影响。本发明将通过例子并参照附图的方式说明,其中图I是防火墙及IPSEC工作流程图2非IPSEC处理的IP包过滤流程;图3是对进入方向需IPSEC解密处理的IP包过滤流程;图4是对外出方向需IPSEC加密处理的IP包过滤流程。具体实施例方式本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。本发明相关说明I、netfilter及其工作原理netfilter是Linux核心中一个通用架构,它提供了一系列的“表”(tables),每个表由若干“链“(chains)组成,而每条链中可以有一条或数条规则(rule)组成。系统缺省的表为“filter”,该表中包含了INPUT、F0RWARD和OUTPUT3个链。每一条链中可以有一条或数条规则,每一条规则都是这样定义的如果数据包头符合这样的条件,就这样处理这个数据包。当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略来处理该数据包。2、OUTPUT链在Linux系统中的作用如果数据包是由本地系统进程产生的,则系统将其送往Output链。如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。3、INPUT链在Linux系统中的作用如果数据包的目的地址是本机,则系统将数据包送往Input链。如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。4、FORWARD链在Linux系统中的作用如果数据包的目的地址不是本机,也就是说,这个包将被转发,则系统将数据包送往Forward链。如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。5、IPSECJnternet协议安全性(IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。6、IPSEC隧道技术为了实现在专用或公共IP网络上的安全传输,IPSec隧道模式使用安全方式封装和加密整个IP包。它首先对IP数据包进行加密,然后将密文数据包再次封装在明文IP包内,通过网络发送到接收端的VPN服务器。VPN服务器对收到的数据包进行处理,在去除明文IP包头,对内容进行解密之后,获得原始的IP数据包,再将其路由到目标网络的接收计算机。7、xt_policy模块Linux内核(版本2.6.15以上)netfilter框架提供的防火墙策略扩展模块,该模块能根据进出方向(in/out)、安全协议号(AH或ESP)、SPI安全参数索弓I、隧道源/目的地址等多种条件匹配被IPSEC安全策略命中的IP报文,供防火墙模块对匹配的IP报文进行过滤处理。8、IP报文IP数据包。实施例一一种IP报文过滤方法包括·步骤I,利于Iinux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”,INPUT链默认策略为“丢弃”,并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文进入本网关,允许密钥协商报文进入本网关;步骤2,设置FORWARD链默认策略为“丢弃”,新建一条名称为“SECPOLICY”的规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,使得对出入本网关非IPSEC处理的IP包过滤。步骤3,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加以下两条防火墙策略1)允许解密后明通报文通过本网关,策略配置命令为iptables-AFORWARD-mpolicy-dirin-jACCEPT,对进入方向IPSEC解密后的IP包过滤;2)允许加密前明通报文通过本网关,策略配置命令为iptables-AFORWARD-mpolicy-dirout_jACCEPT,对外出方向需IPSEC加密处理的IP包过滤。实施例二如图2所示,在实施例一基础上,所述步骤2中对出入本网关非IPSEC处理的IP包过滤具体过程包括,步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;步骤23,如果防火墙策略是放行,则转发该IP报文。实施例三在实施例一或二基础上,如图3所示,所述步骤3中对进入方向IPSEC解密后的IP包过滤具体过程包括,步骤311:收到来自远端网关的IPSEC密通报文;步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤313,根据三元组信息即该报文目的地址、SPI安全参数索引、安全协议号(AH或ESP)查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;·步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;步骤315,解密后的明通报文发向本网关内部网络。实施例四在实施例一至三之一基础上,如图4所示,所述步骤3中对外出方向需IPSEC加密处理的IP包过滤具体过程包括,步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;步骤323,查找该IP包匹配的安全策略及出站安全关联;步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为險道的远端网关;步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤326,IPSEC密通报文发向远端的网关地址。实施例五在实施例四基础上,所述密通报文是协议号为ESP或AH的报文。实施例六在实施例五基础上,所述密钥协商报文是udp500或udp4500报文。实施例七在实施例一基础上,一种IPSEC安全策略实现IP报文过滤装置包括初始化模块,用于利用Iinux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”,INPUT链默认策略为“丢弃”,并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文进入本网关,允许密钥协商报文进入本网关;非IPSEC处理的IP包过滤模块,用于初始化模块后,设置OUTPUT链默认策略为“丢弃”,新建一条名称为“SECPOLICY”自定义规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,对出入本网关非IPSEC处理的IP包过滤;加密处理的IP包过滤模块,用于初始化模块后,利用xt_p0liCy模块提供的策略匹配功能,在FORWARD链末尾添加允许加密前明通报文通过本网关策略,对外出方向需IPSEC加密处理的IP包过滤;解密处理的IP包过滤模块,用于初始化模块后,利用xt_p0liCy模块提供的策略匹配功能,在FORWARD链末尾添加允许解密后明通报文通过本网关策略,策略配置命令为iptables-AFORWARD-mpolicy-dirin-jACCEPT。实施例八在实施例七基础上,所述非IPSEC处理的IP包过滤模块对出入本网关非IPSEC处理的IP包过滤具体过程包括,步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;步骤23,如果防火墙策略是放行,则转发该IP报文。实施例九,在实施例七或八基础上,所述加密处理的IP包过滤模块对外出方向需IPSEC加密处理的IP包过滤具体过程包括,步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;步骤323,查找该IP包匹配的安全策略(SP)及出站安全关联(SA);步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为險道的远端网关;步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤326,IPSEC密通报文发向远端的网关地址。实施例十在实施例七至九之一基础上,所述解密处理的IP包过滤模块对进入方向IPSEC解密后的IP包过滤具体过程包括,步骤311:收到来自远端网关的IPSEC密通报文;步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤313,根据三元组信息即该报文目的地址、SPI安全参数索引、安全协议号(AH或ESP)查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN(输入)匹配到IPSEC策略,放行该IP报文;步骤315,解密后的明通报文发向本网关内部网络。本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。权利要求1.一种IP报文过滤方法,其特征在于包括步骤I,利于Iinux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”,INPUT链默认策略为“丢弃”,并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文进入本网关,允许密钥协商报文进入本网关;步骤2,设置FORWARD链默认策略为“丢弃”,新建一条名称为“SECPOLICY”的规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,使得对出入本网关非IPSEC处理的IP包过滤;步骤3,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加以下两条防火墙策略1)允许解密后明通报文通过本网关,策略配置命令为iptables-AFORWARD-mpolicy-dirin-jACCEPT,对进入方向IPSEC解密后的IP包过滤;2)允许加密前明通报文通过本网关,策略配置命令为iptables-AFORWARD-mpolicy-dirout_jACCEPT,对外出方向需IPSEC加密处理的IP包过滤。2.根据权利要求I所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述步骤2中对出入本网关非IPSEC处理的IP包过滤具体过程包括,步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;步骤23,如果防火墙策略是放行,则转发该IP报文。3.根据权利要求I所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述步骤3中对进入方向IPSEC解密后的IP包过滤具体过程包括,步骤311:收到来自远端网关的IPSEC密通报文;步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤313,根据三元组信息即该报文目的地址、SPI安全参数索引、AH或ESP安全协议号查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;步骤315,解密后的明通报文发向本网关内部网络。4.根据权利要求I所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述步骤3中对外出方向需IPSEC加密处理的IP包过滤具体过程包括,步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;步骤323,查找该IP包匹配的安全策略及出站安全关联;步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为險道的远端网关;步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤326,IPSEC密通报文发向远端的网关地址。5.根据权利要求I至4之一所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述密通报文是协议号为ESP或AH的报文。6.根据权利要求I至4之一所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述密钥协商报文是udp500或udp4500报文。7.根据权利要求I所述的一种IPSEC安全策略实现IP报文过滤装置,其特征在于包括初始化模块,用于利用Iinux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”,INPUT链默认策略为“丢弃”,并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文进入本网关,允许密钥协商报文进入本网关;非IPSEC处理的IP包过滤模块,用于初始化模块后,设置OUTPUT链默认策略为“丢弃”,新建一条名称为“SECPOLICY”自定义规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,对出入本网关非IPSEC处理的IP包过滤;加密处理的IP包过滤模块,用于初始化模块后,利用xt_p0liCy模块提供的策略匹配功能,在FORWARD链末尾添加允许加密前明通报文通过本网关策略,对外出方向需IPSEC加密处理的IP包过滤;解密处理的IP包过滤模块,用于初始化模块后,利用xt_p0liCy模块提供的策略匹配功能,在FORWARD链末尾添加允许解密后明通报文通过本网关策略,策略配置命令为iptables-AFORWARD-mpolicy-dirin-jACCEPT。8.根据权利要求7所述的一种IPSEC安全策略实现IP报文过滤装置,其特征在于所述非IPSEC处理的IP包过滤模块对出入本网关非IPSEC处理的IP包过滤具体过程包括,步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;步骤23,如果防火墙策略是放行,则转发该IP报文。9.根据权利要求7所述的一种IPSEC安全策略实现IP报文过滤装置,其特征在于所述加密处理的IP包过滤模块对外出方向需IPSEC加密处理的IP包过滤具体过程包括,步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;步骤323,查找该IP包匹配的安全策略(SP)及出站安全关联(SA);步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为險道的远端网关;步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤326,IPSEC密通报文发向远端的网关地址。10.根据权利要求7所述的一种IPSEC安全策略实现IP报文过滤装置,其特征在于所述解密处理的IP包过滤模块对进入方向IPSEC解密后的IP包过滤具体过程包括,步骤311:收到来自远端网关的IPSEC密通报文;步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;步骤313,根据三元组信息即该报文目的地址、SPI安全参数索引、AH或ESP安全协议号查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;步骤315,解密后的明通报文发向本网关内部网络。全文摘要本发明涉及属于信息安全及密码
技术领域:
,涉及一种通过IPSECVPN及IPtables技术配合,实现IP报文过滤方法及装置。本发明提供一种集成IPSECVPN和防火墙模块的网关设备,通过一种IPSEC安全策略与防火墙策略配合方法,实现IP报文过滤。降低了配置ipsec安全策略与防火墙策略的耦合性,使两种策略配置各司其职。本设计通过策略配置实现数据在INPUT链、OUTPUT链、FORWARD链的传输。本发明主要应用于IP报文数据过滤领域。文档编号H04L12/46GK102932377SQ20121049188公开日2013年2月13日申请日期2012年11月28日优先权日2012年11月28日发明者胡川申请人:成都卫士通信息产业股份有限公司