CN101192917A - 基于网络地址转换对网络访问进行控制的方法和系统 - Google Patents
基于网络地址转换对网络访问进行控制的方法和系统 Download PDFInfo
- Publication number
- CN101192917A CN101192917A CNA2006101453184A CN200610145318A CN101192917A CN 101192917 A CN101192917 A CN 101192917A CN A2006101453184 A CNA2006101453184 A CN A2006101453184A CN 200610145318 A CN200610145318 A CN 200610145318A CN 101192917 A CN101192917 A CN 101192917A
- Authority
- CN
- China
- Prior art keywords
- network packet
- network
- gateway
- processing unit
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种基于网络地址转换对网络访问进行控制的方法和系统,该网络系统包括网关和网络包处理单元。该方法包括如下步骤:网关接收第一装置发出的网络包,该网络包具有对应第二装置的目标地址;网关对该网络包进行网络地址转换,将其目标地址转换为对应网络包处理单元的地址,将该网络包转送到网络包处理单元;网络包处理单元对该网络包进行处理;网络包处理单元将该处理后的网络包发送回网关;网关对该网络包进行网络地址转换,将其目标地址转换回对应第二装置的目标地址,将该网络包传送到第二装置。由于把网络包转送到网络包处理单元做相应的处理,从而可以分担网关的工作任务,以确保网关的处理进度,提高系统性能。
Description
技术领域
本发明涉及一种网络访问控制方法和系统,特别是涉及一种基于网络地址转换对网络访问进行控制的方法和系统。
背景技术
随着网络技术的发展,不同网络之间可以相互通信,例如,局域网(LAN)内部的个人计算机可以与外部公网(Internet)进行通信,以接收来自外部公网上的信息。然而,网络安全也随着网络的发展和Internet的广泛应用而受到威胁。网络安全威胁包含的范围很广,许多针对计算机系统内部的安全威胁也越来越多地是通过网络系统发起的,例如数据传输的威胁等等。针对众多的网络安全威胁,任何信息系统都需要采取必要的安全防护措施。
大多数个人计算机不是直接与Internet连接,而是通过网关(gateway)连接至Internet。网关通常采用网络地址转换(NAT)技术,当局域网内的计算机要与外部网络进行通信时,将内部地址转换成合法的公用IP地址,从而在Internet上正常使用,NAT可以使局域网内部的多台计算机共享Internet连接。通过这种方法,可以只申请一个IP地址,就把整个局域网中的计算机接入Internet中,从而解决了公共IP地址紧缺的问题。该公共IP地址是可以全球寻址的IP地址。网关设置在局域网和Internet之间,其可以作为网络安全系统。该网络安全系统可以是统一威胁管理(UTM)系统。通常UTM系统包括防火墙、防病毒、防垃圾和内容过滤等多种功能。由于UTM系统将多种安全特性集成于网关之中,构成一个标准的统一管理平台,其相对于单一的防火墙功能,网关中的中央控制器处理任务相应增加,导致其处理速度变慢,性能下降。另外,在两个网络相互通信的过程中,一个网络发出的网络包(network packet)在经过网关时,网关除了对该网络包进行上述安全方面的处理外,还可能需要对该网络包进行其他处理,例如对该网络包的内容进行修改,这将进一步加重网关的处理任务,从而影响其处理速度和性能。
发明内容
本发明要解决的技术问题在于提供一种基于网络地址转换对网络访问进行控制的方法和系统,用以减轻网关的处理任务,提高网络系统的性能。
为解决上述技术问题,本发明提供了一种基于网络地址转换对网络访问进行控制的方法,其控制网络系统中的第一装置和第二装置之间的访问,该网络系统包括位于该第一装置和第二装置之间的网关以及与该网关进行通信的至少一个网络包处理单元。该方法包括以下步骤:1)网关接收第一装置发出的网络包,该网络包具有对应第二装置的目标地址;2)网关对该网络包进行网络地址转换,将其目标地址转换为对应网络包处理单元的地址,将该网络包转送到网络包处理单元;3)网络包处理单元对该网络包进行处理;4)网络包处理单元将该处理后的网络包发送回网关;及5)网关对该网络包进行网络地址转换,将其目标地址转换回对应第二装置的目标地址,将该网络包传送到第二装置。
本发明还提供了一种基于网络地址转换对网络访问进行控制的系统,其控制第一装置和第二装置之间的访问。该系统包括位于所述第一装置和第二装置之间的网关以及与所述网关进行通信的至少一个网络包处理单元。所述网关接收第一装置发出的网络包,该网络包具有对应第二装置的目标地址,网关对该网络包进行网络地址转换,将其目标地址转换为对应网络包处理单元的地址,将该网络包转送到网络包处理单元进行处理。所述网络包处理单元将处理后的网络包发送回所述网关,网关对该网络包进行网络地址转换,将其目标地址转换回对应第二装置的目标地址,将该网络包传送到第二装置。
与现有技术相比,本发明利用网络地址转换(NAT),在第一装置发出的网络包传送至目标装置,即第二装置之前,先转发到网络包处理单元做相应的处理,处理完后再利用网络地址转换,将该网络包传送至目标装置。由于本发明把网络包转送到网络包处理单元做相应的处理,如安全处理,从而可以分担网关的工作任务,以确保网关的处理进度,提高系统性能。
以下结合附图和具体实施例对本发明的技术方案进行详细的说明,以使本发明的特性和优点更为明显。
附图说明
图1是本发明具有网络访问控制功能的网络系统的方框图。
图2是在图1所示网络环境中的两个网络之间进行通信的流程图。
具体实施方式
图1是本发明具有网络访问控制功能的网络系统的方框图。该网络系统包括设置在广域网100和局域网110之间的网关120以及与网关120进行通信的多个网络包处理单元1301、1302……130n。网关120可以是路由器、服务器等设备。网络包处理单元的数量可以根据实际情况而设置,在本发明的一个实施例中,包括具有N个不同处理功能的网络包处理单元,当然,也可以只有一个网络包处理单元。
局域网110内的计算机通过本地网络或其他方式连接至网关120。通常,局域网110内的所有计算机通过一个私网全球地址(inside globaladdress)与广域网100进行通信。该私网全球地址是对应网关120的IP地址。网关120可以利用NAT转换,将局域网110内部计算机发出的网络包(network packet)中的源地址,即内部本地地址(inside localaddress),转换为私网全球地址。然后,网关120根据该网络包的目标地址,将该网络包传送至外部网络。网关120包括中央控制器122,其控制网络包的NAT转换。局域网110需要接收广域网100发出的网络包时,网关120将该网络包中的目标地址,即私网全球地址,利用NAT转换为局域网110中相应计算机的本地地址,将该网络包传送给相应的计算机。这种NAT技术不仅可以节省网络地址空间而且可以隐藏局域网110内部计算机的本地地址,以减少来自外部网络的攻击。
局域网110内的一台用户计算机需要访问广域网100中的主机时,该用户计算机发出的网络包(network packet)具有内部本地地址和需要访问的广域网100中主机的目标地址。该网络包通过网关120时,网关120采用NAT技术改变这个网络包的内部本地地址,将其转换为对应网关120的私网全球地址,然后将该网络包传送到它的目的地,即需要访问的广域网100中的主机。NAT会为这个传输创建一个会话期(session)并且给这个session分配一个端口。一旦NAT创建了一个session后,NAT会记住该端口对应的局域网110中的这台用户计算机的本地地址,以后从广域网110的主机发送到该端口的信息会被NAT自动的转发到具有该本地地址的用户计算机。
广域网100中的主机通常通过以下过程发送一个网络包至局域网110中的某台用户计算机:广域网100中的主机发出一个网络包,其包括对应该主机的源地址和源端口以及对应局域网110的目标地址和目标端口,该目标地址就是私网全球地址。主机发送的该网络包被传送到网关120。网关120查看session,确认需要访问的目标端口是否存在,当确定存在时,采用NAT将该网络包的私网全球地址转换为局域网110内这台用户计算机的内部本地地址,从而将该网络包传送到该台用户计算机。
如上所述,广域网100发出的网络包经过网关120的NAT转换后,直接传送至目标装置,如局域网110中的一台用户计算机。本发明利用NAT特性改变网络包的传送方向,在该网络包传送至目标装置之前,将其转送到网络包处理单元,以对该网络包进行相应的处理,如防病毒检测、防垃圾检测和内容过滤等。网络包处理单元可以是个人计算机、服务器、专用处理器或CPU等其他装置。请参照图1,网关120对接收的网络包进行NAT转换,以改变网络包的源地址、源端口、目标地址和目标端口,从而将网络包转送到网络包处理单元,而不是直接传送到想要访问的局域网110。
下面将进一步对广域网100和局域网110之间的网络访问控制以实施例的方式进行较为详细的描述。例如,为确保网络通信安全,需要对局域网110将要接收的来自广域网100的网络包进行安全检测。请一并参照图1和图2,在步骤201,广域网100中的主机准备一个网络包,该网络包具有对应该主机的源地址A和源端口B,以及对应目标装置(如局域网110)的目标地址C和目标端口D。在步骤203,网关120接收该网络包。在步骤205,网关120对该网络包进行NAT转换,将其目标地址C和目标端口D转换为网络包处理单元,如第一网络包处理单元1301的目标地址C1和目标端口D1,同时将源地址A和源端口B改变为新的源地址A1和源端口B1。因此,网关120将准备发送给局域网110的网络包转发到第一网络包处理单元1301。在步骤207,第一网络包处理单元1301对该网络包进行处理,如防病毒检测。在步骤209,判断对该网络包的检测结果是否符合网络包处理单元的功能要求,如安全要求,若符合相应的安全要求,则在步骤211,第一网络包处理单元1301将该网络包发送回网关120。接着,网关120在步骤213,对该网络包进行NAT转换,将其目标地址C1和目标端口D1改变为最初想要访问的目标装置(如局域网110)的目标地址C和目标端口D,将该网络包传送到局域网110,以实现广域网100与局域网110之间的通信。若对该网络包的检测不符合安全要求,则在步骤215,禁止该网络包被传送至局域网110。
本发明在网络包传送至目标装置之前,利用NAT转换其目标地址,而将该网络包转发到网络包处理单元进行相应的安全检测,如果检测符合安全要求,再通过NAT转换为原先的目标地址和目标端口,将其发送到目标装置,从而确保通信安全。由于本发明中的安全检测由网络包处理单元来完成,从而减轻了网关中央控制器122的处理任务,以确保网关的处理速度。
虽然上文只描述了网关120基于NAT将网络包转发到网络包处理单元作安全方面的处理,但本发明并不局限于此,本发明的网络包处理单元可以是根据实际应用而具有相应处理功能的单元,如可以对转发来的网络包进行修改等其他处理,处理后的网络包再发送回网关120,由网关进行NAT转换后,发送到相应的目标装置。此外,本发明中的网络包处理单元也可以是具有相同处理功能的N个网络包处理单元,每个网络包处理单元分担一些网络流量以提高整体效率。
上面只是描述了本发明多种实施方式中的一种,对本领域的普通技术人员来说,本发明可以有多种实施方式。例如,从广域网100发出的网络包需要由第二网络包处理单元1302处理时,则网关120将该网络包的目标地址NAT转换为对应第二网络包处理单元1302的目标地址,以将该网络包转送至第二网络包处理单元1302进行相应的处理,如防垃圾检测,经处理完发回网关120,再由网关将其NAT转换为原先的目标地址,将该网络包发送至目标装置。若在网络包传送至想要访问的目标装置之前,需要做多次处理,则由网关对其进行NAT转换,以转送到对应的网络包处理单元,经该网络包处理单元处理后,发回至网关,再由网关NAT到另一个网络包处理单元,其处理完后再发回网关,重复以上步骤,直到完成所有需要的处理后,由网关NAT为原先的目标地址,将该网络包发送至目标装置。也就是说,在网络包传送至想要访问的目标装置之前,可以对该网络包做一次或多次NAT转换,以转发到相应的网络包处理单元。综上所述,网络包在传送至目标装置之前,网关可以根据网络包的内容,控制其中的一个网络包处理单元对其处理,或者是由其中的几个网络包处理单元进行处理,又或是通过全部网络包处理单元的处理。另外,在以上实施例中,对网络包进行NAT转换以便将其转发到网络包处理单元的过程中,同时对该网络包的源地址和源端口进行了转换,但对本领域的普通技术人员来说,为使该网络包转发到网络包处理单元,也可以只改变该网络包的目标地址和目标端口,而不改变其源地址和源端口。很显然,根据不同的路由协议,在对该网络包进行NAT转换,以转发至网络包处理单元或传送至目标装置时,也可以只改变目标地址。
如上所述,在本发明的一个实施例中是采用中央控制器来实现网络包的转发,以对网络访问进行控制。当然,本发明也可以利用硬件,如专用芯片控制多次NAT的转换,通过硬件将网络包传递到网络包处理单元做相应的处理,然后再传送到其目标装置中。此外,本发明采用局域网和广域网只是作为示范性实施例进行说明,很显然,本发明可以应用于其他网络系统,例如两个网络都是广域网或局域网,具体的网络可以根据应用情况而定。
最后所应说明的是:以上实施例仅用以说明本发明而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种基于网络地址转换对网络访问进行控制的方法,其控制网络系统中的第一装置和第二装置之间的访问,该网络系统包括位于该第一装置和第二装置之间的网关以及与该网关进行通信的至少一个网络包处理单元,该方法包括:1)网关接收第一装置发出的网络包,该网络包具有对应第二装置的目标地址;其特征在于,所述方法还包括以下步骤:
2)网关对该网络包进行网络地址转换,将其目标地址转换为对应网络包处理单元的地址,将该网络包转送到网络包处理单元;
3)网络包处理单元对该网络包进行处理;
4)网络包处理单元将该处理后的网络包发送回网关;及
5)网关对该网络包进行网络地址转换,将其目标地址转换回对应第二装置的目标地址,将该网络包传送到第二装置。
2.根据权利要求1所述的基于网络地址转换对网络访问进行控制的方法,其特征在于,在所述步骤3)和4)之间,进一步包括判断该网络包是否符合所述网络包处理单元的功能要求,若该网络包符合相应的功能要求,再执行步骤4),若该网络包不符合相应的功能要求,则禁止将该网络包发送至第二装置。
3.根据权利要求1或2所述的基于网络地址转换对网络访问进行控制的方法,其特征在于,当所述网络包处理单元为多个时,所述网关根据网络包的内容,控制网络包经由所述多个网络包处理单元中的全部或部分进行处理。
4.根据权利要求3所述的基于网络地址转换对网络访问进行控制的方法,其特征在于,重复所述步骤2)至4)直到网络包经过所述网关控制的全部网络包处理单元的处理,再执行步骤5)。
5.根据权利要求1或2所述的基于网络地址转换对网络访问进行控制的方法,其特征在于,所述网络包处理单元是个人计算机、服务器和专用处理器中的一种。
6.根据权利要求1所述的基于网络地址转换对网络访问进行控制的方法,其特征在于,所述网关是服务器和路由器中的一种。
7.根据权利要求1所述的基于网络地址转换对网络访问进行控制的方法,其特征在于,所述第一装置是广域网中的一台主机,所述第二装置是局域网中的一台用户计算机。
8.一种基于网络地址转换对网络访问进行控制的系统,其控制第一装置和第二装置之间的访问,该系统包括位于所述第一装置和第二装置之间的网关,以接收第一装置发出的网络包,该网络包具有对应第二装置的目标地址,其特征在于,所述系统还包括与所述网关进行通信的至少一个网络包处理单元,网关对该网络包进行网络地址转换,将其目标地址转换为对应网络包处理单元的地址,将该网络包转送到网络包处理单元进行处理,所述网络包处理单元将处理后的网络包发送回所述网关,网关对该网络包进行网络地址转换,将其目标地址转换回对应第二装置的目标地址,将该网络包传送到第二装置。
9.根据权利要求8所述的基于网络地址转换对网络访问进行控制的系统,其特征在于,所述网络包处理单元包括与网关进行通信的多个网络包处理单元,所述网关根据网络包的内容,控制网络包经由所述多个网络包处理单元中的全部或部分进行处理。
10.根据权利要求8或9所述的基于网络地址转换对网络访问进行控制的系统,其特征在于,所述网络包处理单元是个人计算机、服务器和专用处理器中的一种。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610145318A CN101192917B (zh) | 2006-11-24 | 2006-11-24 | 基于网络地址转换对网络访问进行控制的方法和系统 |
| HK08108566.9A HK1117972A1 (en) | 2006-11-24 | 2008-08-01 | A method and system for network access control based on network address translation |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610145318A CN101192917B (zh) | 2006-11-24 | 2006-11-24 | 基于网络地址转换对网络访问进行控制的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101192917A true CN101192917A (zh) | 2008-06-04 |
| CN101192917B CN101192917B (zh) | 2010-05-12 |
Family
ID=39487692
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610145318A Expired - Fee Related CN101192917B (zh) | 2006-11-24 | 2006-11-24 | 基于网络地址转换对网络访问进行控制的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101192917B (zh) |
| HK (1) | HK1117972A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110445806A (zh) * | 2019-08-22 | 2019-11-12 | 视联动力信息技术股份有限公司 | 一种呼叫互联网终端的方法、装置和协转服务器 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE10147147A1 (de) * | 2001-09-25 | 2003-04-24 | Siemens Ag | Verfahren und Vorrichtung zur Realisierung einer Firewallanwendung für Kommunikationsdaten |
| CN1257632C (zh) * | 2002-12-11 | 2006-05-24 | 中国科学院研究生院 | 一种坚固网关系统及其检测攻击方法 |
| US7814232B2 (en) * | 2003-03-28 | 2010-10-12 | Cisco Technology, Inc. | Network address translation with gateway load distribution |
| CN100493048C (zh) * | 2004-10-18 | 2009-05-27 | 北京万林克网络技术有限公司 | 穿越网络地址转换和防火墙的多媒体通信代理系统及方法 |
-
2006
- 2006-11-24 CN CN200610145318A patent/CN101192917B/zh not_active Expired - Fee Related
-
2008
- 2008-08-01 HK HK08108566.9A patent/HK1117972A1/xx not_active IP Right Cessation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110445806A (zh) * | 2019-08-22 | 2019-11-12 | 视联动力信息技术股份有限公司 | 一种呼叫互联网终端的方法、装置和协转服务器 |
| CN110445806B (zh) * | 2019-08-22 | 2022-03-01 | 视联动力信息技术股份有限公司 | 一种呼叫互联网终端的方法、装置和协转服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| HK1117972A1 (en) | 2009-01-23 |
| CN101192917B (zh) | 2010-05-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7532619B2 (en) | Packet transfer apparatus with multiple general-purpose processors | |
| US8353020B2 (en) | Transparently extensible firewall cluster | |
| US7567573B2 (en) | Method for automatic traffic interception | |
| US20060198356A1 (en) | Method and apparatus for router port configuration | |
| EP3125502A1 (en) | Method for providing access to a web server | |
| EP1892929A1 (en) | A method, an apparatus and a system for message transmission | |
| CN106161335A (zh) | 一种网络数据包的处理方法和装置 | |
| CA2761983A1 (en) | Method and apparatus to permit data transmission to traverse firewalls | |
| JP2007215201A (ja) | パケットをゲートウェイからエンドポイントへとルーティングするための方法およびシステム | |
| EP1881654A1 (en) | Peer-to-peer communication method and system enabling call and arrival | |
| JP2009177841A (ja) | ネットワーク装置及びその管理方法 | |
| US10397111B2 (en) | Communication device, communication system, and communication method | |
| JP2007249472A (ja) | プログラマブルコントローラおよび通信ユニット | |
| US8146144B2 (en) | Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium | |
| JP4619943B2 (ja) | パケット通信方法、パケット通信システム | |
| CN101192917B (zh) | 基于网络地址转换对网络访问进行控制的方法和系统 | |
| CN1866966A (zh) | 网际协议存储区域网络的隔离方法及隔离装置 | |
| JP5625394B2 (ja) | ネットワークセキュリティシステムおよび方法 | |
| EP2232810B1 (en) | Automatic proxy detection and traversal | |
| JP2003163681A (ja) | パケット転送装置、パケット転送方法およびプログラム | |
| CN102710518A (zh) | 广域网下实现nat穿透的方法及系统 | |
| US8880644B2 (en) | Programmable logic controller | |
| CN105791458A (zh) | 地址配置方法和装置 | |
| CN101170544A (zh) | 一种高可用群集系统采用单一实ip地址的通讯方法 | |
| JP2006287856A (ja) | 制御装置及びシステム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1117972 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1117972 Country of ref document: HK |
|
| ASS | Succession or assignment of patent right |
Owner name: O2 TECH. INTERNATIONAL LTD. Free format text: FORMER OWNER: O2MICRO TECHNOLOGY (CHINA) CO., LTD. Effective date: 20120216 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20120216 Address after: Grand Cayman British Cayman Islands Patentee after: O2 Tech. International Ltd. Address before: 201203 Shanghai City Songtao road Zhangjiang hi tech park, No. 560 Zhang Jiang Building 2B Patentee before: O2Micro (China) Co., Ltd. |
|
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 Termination date: 20121124 |