的目的IP地址在外网,则把数据包发送至外网。
[0028]终端信息单元14用于为内网中每一个接入网络的网络终端维护一个终端信息表,终端信息表包括以下信息:(I)分配给网络终端的真实IP地址,记为rIP; (2)分配给网络终端的虚拟IP地址,记为vIP; (3)分配给网络终端的用于访问外网的IP地址,记为wIP; (4)分配给网络终端的用于获取vIP的虚拟域名,记为vDomain; (5)网络终端网卡的物理地址,记为rMac ;(6)vIP分配的当前时间,记为vIPtime;( 7) vDomain分配的当前时间,记为vDomaintime;终端信息单元中每个网络终端的终端信息表由下属通信处理单元建立。
[0029]所述通信处理单元13用于处理数据单元12发送过来的数据包,实现内网和外网之间、内网之间的正常通信。通信处理单元13首先为内网中接入网络的每一个网络终端分配rIP、vIP、wIP和vDomain,同时生成终端信息表存储到终端信息单元14中。通信处理单元13使内网之间采用VlP进行通信,内网和外网之间采用WlP进行通信,此外,由于DHCP协议是内网中用于分配IP地址的协议,vDomain用于获取vIP进行内网通信,因此通信处理单元13有两个单独的模块对这两种数据包进行处理,其中通信处理单元13的IP地址分配模块用于处理DHCP数据包,域名解析模块用于处理请求解析vDomain的DNS数据包。具体的如图3所示,通信处理单元13负责处理数据单元12发送过来的数据包,包括IP地址分配模块31、域名解析模块32、会话信息存储模块33、IP地址变换模块34。所述IP地址分配模块31负责处理DHCP数据包,并配置内网中各网络终端的终端信息表。IP地址分配模块31收到内网中每一个网络终端发来的用请求分配IP地址的DHCP数据包时,依据用户配置信息中设定的rIP地址的范围给内网中接入网络的每一个网络终端分配一个真实IP即rIP,通过查看网络终端的网卡连接信息可以查看分配给该网络终端的rIP,IP地址分配模块31在给内网中每一个接入网络的网络终端分配rIP时,会根据用户配置信息中设定的vIP和wIP的范围对应地为每一个网络终端分配与其rIP对应的一个vIP和一个wIP,同时为每一个vIP生成对应的虚拟域名vDomain,并同时生成每一个vIP分配的当前时间vIPtime和每一个vDomain分配的当前时间vDomaintime,且保证任何一个IP不会重复出现,并获得每个网络终端的物理网卡地址rMac。内网中每一个接入网络的网络终端的rIP、vIP、wIP、vDomain、网络终端物理网卡地址rMac、vIP分配的当前时间vIPtime和vDomain分配的当前时间vDomaintime相互对应并构成该网络终端的终端信息表,获得网络终端中的任何一个信息(如vIP)即可通过查询该网络终端的终端信息表得到该网络终端的所有其他信息(如rIP、wIP、vDomain、rMac、vIPtime和vDomaintimehlP地址分配模块31生成各网络终端的终端信息表,并将生成的各网络终端的终端信息表存储到终端信息单元14中。所述域名解析模块32负责处理请求解析vDomain的DNS请求数据包,域名解析模块32在终端信息单元14中查询请求解析的vDomain,如果查询到所述vDomain,则依据终端信息单元14中vDomain所对应的vIP生成DNS响应数据包,发送给数据单元12,然后再基于解析得到的所述vIP进行相关网络访问。如果查询不到请求解析的vDomain则直接将此DNS请求数据包丢弃。这样基于所述域名解析模块32,网络终端通过发送DNS请求数据包解析vDomain就可以得到vDomain对应的vIP。
[0030]本发明所述网络安全防御系统中重要创新在于通过使内网中网络终端之间利用vIP进行通信,内网中的网络终端利用wIP访问外网,从而不会泄露内网中各终端的真实IP,进而无法扫描探测到内网的主机信息和拓扑结构,进而无法攻击。借助通信处理单元中的会话信息存储模块33和IP地址变换模块34来实现这一功能。进行通信的每个数据包必须包括有五元组信息即源IP、目的IP、源端口、目的端口和通信协议,这在本领域是熟知的,故后续内容直接在此基础上进行描述。所述的会话信息存储模块33用于存储进行通信的两个IP的会话信息,所存储的会话信息包括源IP、目的IP、源端口、目的端口、通信协议以及在终端信息单元14中源IP、目的IP所对应的rIP、wIP等信息。内网中的两个终端之间、外网与内网之间两个IP的每次通信都会建立一个对应的会话信息,其中的IP地址变换模块用来建立每次通信对应的会话信息并将其存储在会话信息存储模块33中,在每次通信的具体通信过程中,依据其对应的会话信息处理通信中的数据包,并待通信完成后删除本次通信所对应的会话信息。所述的IP地址变换模块34处理除DHCP数据包和请求解析vDomain的DNS请求数据包以外的数据包。下面具体说明每种类型的通信过程。
[0031 ] 如果是内网和外网之间的通信,有两种情况即内网访问外网和外网访问内网,根据数据包中的IP即可进行这种判定。对于内网访问外网的情况,内网向外网发送数据包,内网的数据包经数据单元分析判定后首先发送至IP地址变换模块34,在通信开始建立时IP地址变换模块34为本次内网和外网间的通信建立对应的会话信息,如上所述数据包包括源IP、目的IP、源端口、目的端口和通信协议,所述IP地址变换模块34提取该数据包中的源IP,并在终端信息单元14中利用该源IP进行查询,得到与其对应的wIP(如果所述数据包真正来源于内网的网络终端,其中的源IP应该是网络终端在内网中的真实IP即所述源IPSrIPjn前所述终端信息单元中存储有每个内网终端的终端信息表,所述终端信息表中的rIP、vIP、wIP、vDomain、rMac、vIPtime和vDomaintime相互对应,根据r IP即可查询得到对应的wIP,如果查询不到则将此数据包直接丢弃,下同),然后将所述rIP、目的IP、源端口、目的端口、通信协议以及查询到的wIP组成本次通信的会话信息,并存储到会话信息存储模块33中,在接下来的通信过程中,依据该会话信息对数据包进行处理。接着进行IP变换操作,IP地址变换模块34利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议对会话信息存储模块33进行查询,如果查询不到则直接将此数据包丢弃,如果查询到,则所查询到的包括所述源IP、目的IP、源端口、目的端口和通信协议在内在会话信息即为对应于本次通信的会话信息,所述IP地址变换模块34将数据包中的源IP替换为查询到的会话信息中的wIP,然后根据所述会话信息重新计算数据包校验和后把数据包发送给数据单元12的数据包发送模块22,数据包发送模块22在根据数据包中的目的IP、目的端口和通信协议等信息将数据包发送至外网。在本次通信结束后,IP地址变换模块34再次利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33中查询得到本次通信所对应的所述会话信息,并将该会话信息删除。这样当外网接收到内网发送的数据包时,通过提取数据包中的源IP信息得到的是内网中网络终端的wIP,并不是网络终端的真实IP,通过这种IP变换实现了内网中网络终端利用wIP访问外网的目的,保证了网络安全。
[0032]同理,对于外网访问内网的情况,外网向内网发送数据包,外网的数据包经数据单元分析判定后首先发送至IP地址变换模块34,在通信开始建立时IP地址变换模块34为本次外网和内网间的通信建立对应的会话信息,所述数据包包括源IP、目的IP、源端口、目的端口和通信协议,所述数据包用于访问内网的网络终端(外网数据访问一般不会得到内网终端的真实IP,而且构成安全隐患的外网数据访问一般都是基于内网先访问外网时获取内网中的IP进行,如上所述本发明在内网访问外网时使用的是wIP,所以外网访问内网时其目的IP—般为内网中的网络终端的wIP,这对于本领域技术人员是容易理解的),所述IP地址变换模块34提取该数据包中的目的IP,并在终端信息单元14中利用该目的IP进行查询,如果查询不到则将此数据包直接丢弃,如果能查询到,则提取与该目的IP对应的rIP,然后将所述数据包的源IP、目的IP、源端口、目的端口、通信协议以及查询到的rIP组成本次通信的会话信息,并存储到会话信息存储模块33中,在接下来的通信过程中,依据该会话信息对数据包进行处理。接着进行IP变换操作,IP地址变换模块34利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议对会话信息存储模块33进行查询,如果查询不到则直接将此数据包丢弃,如果查询到,则所查询到的包括所述源IP、目的IP、源端口、目的端口和通信协议在内在会话信息即为对应于本次通信的会话信息,所述IP地址变换模块34将数据包中的目的IP替换为查询到的会话信息中的rIP,然后根据所述会话信息重新计算数据包校验和后把数据包发送给数据单元12的数据包发送模块22,数据包发送模块22在根据数据包中的rIP、目的端口等信息找到对应的内网终端,完成数据通信。在本次通信结束后,IP地址变换模块34再次利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33中查询得到本次通信所对应的所述会话信息,并将该会话信息删除。这样当外网向内网发送数据包时,通过上述变换能够找到与数据包中目的IP对应的内网终端的真实IP,保证了外网数据能够准确达到内网终端。
[0033]如果是内网和内网之间的通信,即内网中一个网络终端向另一个网络终端发送访问数据包,首先在通信开始建立之前,IP地址变换模块34提取数据包中的目的IP,并对其类型进行判定(因vIP、rIP、wIP分别对应于不同的IP段,因此容易实现这种类型判定),如果数据包的目的IP是一个rIP或wIP,则将此数据包直接丢弃,因为内网间不允许用rIP或wIP进行访问,如果数据包的目的IP是一个vIP,则执行如下通信变换过程。首先在通信开始建立时,IP地址变换模块34为本次内网间的通信建立对应的会话信息,所述数据包包括源IP、目的IP、源端口、目的端口和通信协议,所述IP地址变换模块34提取该数据包中的源IP,并在终端信息单元14中利用该源IP进行查询,得到与其对应的vIP(如果数据包真正来源于内网中的网络终端,则所述数据包的源IP必然是发送该数据包的网络终端在内网中的真实IP即所述源IP为rIP,此时根据rIP即可查询到该网络终端的vIP),同时所述IP地址变换模块34提取该数据包中的目的IP,并在终端信息单元14中利用该目的IP进行查询,得到与其对应的rIP(若查询不到,则直接将数据包丢弃),然后将所述源IP、目的IP、源端口、目的端口、通信协议以及查询到的与源IP对应的vIP、与目的IP对应的rIP组成本次通信的会话信息,并存储到会话信息存储模块33中,在接下来的通信过程中,依据该会话信息对数据包进行处理。然后由IP地址变换模块34执行IP变换操作,IP地址变换模块34利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议对会话信息存储模块33进行查询,如果查询不到则直接将此数据包丢弃,如果查询到,则所查询到的包括所述源IP、目的IP、源端口、目的端口和通信协议在内在会话信息即为对应于本次通信的会话信息,接着所述IP地址变换模块34将数据包中的源IP替换为查询到的会话信息中与源IP对应的vIP,将数据包中的目的IP替换为查询到的会话信息中该目的IP对应的rIP,然后根据所述会话信息重新计算数据包校验和后把数据包发送给数据单元12的数据包发送模块22,数据包发送模块22在根据数据包中的rIP、目的端口等信息找到对应的内网终端,完成数据通信。在本次通信结束后,IP地址变换模块34再次利用所述数据包中的源IP、目的IP、源端口、目的端口和通信协议在会话信息存储模块33中查询得到本次通信所对应的所述会话信息,并将该会话信息删除。这样内网中发送数据包时,发送方利用vIP进行数据发送,接收方利用rIP进行数据接收,内网中网络终端之间利用vIP进行通信,保证了网络安全和通