CN101222456A - 网络安全网关产品共享的方法 - Google Patents
网络安全网关产品共享的方法 Download PDFInfo
- Publication number
- CN101222456A CN101222456A CNA2008103002268A CN200810300226A CN101222456A CN 101222456 A CN101222456 A CN 101222456A CN A2008103002268 A CNA2008103002268 A CN A2008103002268A CN 200810300226 A CN200810300226 A CN 200810300226A CN 101222456 A CN101222456 A CN 101222456A
- Authority
- CN
- China
- Prior art keywords
- security
- network
- protected
- security node
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种网络安全网关产品共享的方法,包括:将网络安全网关产品设置在互联网中,成为可以分享的安全节点;当互联网用户请求被保护区服务器或网络时,将所述互联网用户请求引到安全节点;安全节点根据安全策略,将合法请求转发至所述服务器或网络;安全节点接收所述服务器或网络的响应数据,并根据安全策略转发给请求方。本发明实施例将安全网关从该服务器或网络的拥有者独享(也就必须独自采购)变成可以被许多不在同一地方的服务器或网络共享(也就不必独自采购,只需要共同采购或者购买服务即可)。同时对于有的被保护区,如果流量很大、具备多种安全需求,可以使用多个安全节点来保护,而无需自购多台安全网关来保护,节省资源。
Description
技术领域
本发明涉及计算机信息安全技术领域,更具体地说涉及一种网络安全网关产品共享的方法。
背景技术
互联网与人们生活越来越密切,人们会通过已知的域名或搜索引擎去寻找自己需要的信息和各种服务。但与此同时,互联网安全的问题也越来越成为迫切需要解决的问题。针对网络服务器、针对企业内部子网,都需要各种网络安全设备的保护,比如防火墙、邮件安全网关、VPN(Virtual Private Network虚拟私用网,或虚拟专网)网关等。
这类产品都是“网络安全网关”设备,原因是这些产品都是插在被保护的服务器或网络(以下称为被保护区)与不安全的互联网之间,充当一个看门人的角色,凡是互联网与被保护区的请求和应答都会被监控,然后根据策略决定允许还是不允许,还要做什么附加操作。
相对来说,这些安全网关设备的采购成本、维护成本都较高,如果是托管到IDC(Internet Data Center互联网数据中心)还需要增加托管成本。
同时,由于被保护区可能需要多种安全网关的保护,必须同时需要防火墙、邮件安全网关、SSL-VPN等,另外,企业内部子网可能内部服务器有一定的保护措施,不一定需要加密,只需要一般情况下未经授权的互联网用户无法访问即可,这时可能需要GRE、IPIP等非加密VPN提供企业用户在外部时的远程连接。这些需求进一步加大了客户需要负担的各种成本。
安全网关的性能对于被保护区来说,必然是大大冗余的,这是为了防止安全网关成为瓶颈,这对于安全网关的拥有者来说,无疑是一种浪费。
因此这些安全网关一般只有中大型企业会用,限制了小型企业甚至个人对安全的需求,对他们来说安全可望而不可及。
发明内容
有鉴于此,本发明的目的在于将安全网关从产品变成服务,从独占变为共享,降低客户安全成本。
本发明是这样实现的:
将网络安全网关从被保护的服务器或网络(称为被保护区)与互联网之间(称为边界)移到互联网中,成为安全节点:
将互联网用户对被保护区的请求靠DNS设定、用户客户端配置等方式被引到安全节点;
安全节点根据安全策略,将合法请求转发被保护区;
被保护区收到合法请求,将响应数据返回给安全节点;
安全节点根据安全策略,将合法响应转发给请求方。
反方向的访问:
被保护域的用户对互联网的请求靠DNAT、用户客户端配置等方式引到安全节点;
安全节点根据安全策略,将合法请求转发请求目标;
请求目标收到合法请求,将响应数据返回给安全节点;
安全节点根据安全策略,将合法响应转发给请求方。
本发明将安全网关产品部署到互联网上,形成安全节点,然后用技术手段使互联网与被保护区之间的数据流路径经过上述互联网上的安全节点,这样上述安全节点就可以为多个、在不同物理位置和网络拓扑位置的被保护区所共享,例如可能对于小型企业的网站来说,100个网站共享这一台安全节点,这样这些客户就可能只需要花1/100的钱就可以得到安全。
如果上述过程中有攻击包、入侵包、试探/猜试请求等非法数据包,这些数据包将被安全节点堵截,不会被转发。从而得到了和原来在边界使用安全网关相同的效果。
安全节点与被保护区需要建立一条安全通道,可以使用不加密的ACL(存取控制列表)来实现,也可以使用加密的VPN来实现,当然理论上也可以不用虚拟专网VPN而用真实专网,只是这样没什么商业意义。
附图说明
图1为传统的在边界使用防火墙保护被保护区的示意图;
图2为本发明用共享安全节点保护被保护区的方法实施例一的示意图:安全节点为防火墙保护被保护区;
图3为传统的在边界使用邮件安全网关保护邮件服务器的示意图;
图4为本发明用共享安全节点保护被保护区的方法实施例二的示意图:安全节点为邮件安全网关保护被保护的邮件服务器和域用户;
图5为传统的在边界使用SSL-VPN网关提供远程用户存取内部敏感网络的示意图;
图6为本发明用共享安全节点保护被保护区的方法实施例三的示意图:安全节点为SSL-VPN为远程用户提供内部敏感网络的存取。
具体实施方式
本发明可以在安全、成本和有效利用等诸多方面达成统一。
不同的网关设备在边界的网络拓扑方式可能不同,比如有网桥模式(亦称透明模式),有路由模式,也有转发模式。本发明的实现方法就是将这些不同的模式都改造为适合作为互联网上安全节点的节点模式,这种节点模式最接近上述转发模式。
如果把原来的方式看做是一个保安看一个大门,那么本发明的方式就是在大门和保安中心之间建立安全通道,然后所有人都通过保安中心、穿过安全通道进出大门,这样一个保安中心可以通过不同的安全通道连接多个的大门,每个大门也可以通过不同的安全通道连接多个保安中心。只要保安的精力足够,他可以同时看守多个大门;而如果一个大门的流量很大,也可以靠一个保安中心的多个保安、甚至多个保安中心来看守。
同时,已有的位于被保护区与互联网之间(称为边界)的安全网关,即使不移到互联网中,也可以使用本发明的方法加入这个共享体系,以进一步达到物尽其用、降低成本的目的。这按上述比喻,就类似于原来已经有保安看的大门这里改造为一个保安中心,不仅看自己这个大门,还可以看别的大门。
下面的实施方式的说明中,将分别举例几种最常见的模式的共享实现方式。
实施例一:防火墙的共享
传统的防火墙保护体系,见附图1所示两种情况,一是使用防火墙FW1挡在被保护服务器S1(或服务器群)与互联网之间,二是挡在被保护网络(内有服务器S2-S4和用户机PC1、PC2)与互联网之间(防火墙FW2),这两种情况主要是偏重不同,前者偏重互联网对服务器的访问,后者偏重被保护网络对互联网的访问,但实际上反方向的访问都存在,可以理解为一样的。另外如果防火墙外还有台路由器,防火墙可能采用网桥模式;有些情况下防火墙可以采用路由模式而省却那台路由器。
当将防火墙放到互联网上成为安全节点(Node1-Node5)后,如图2所示:
互联网上的用户(C1-C4)对被保护区的访问过程变成这样:
被保护区的DNS解析调整为指向安全节点;
互联网用户访问的目的IP被解析为安全节点,因此数据流被引导到上述安全节点;
互联网用户将访问请求发给上述安全节点;
安全节点在安全策略的控制下将该互联网用户的合法请求转发给上述被保护区;
上述被保护区收到安全节点转发过来的请求,将应答数据返回给安全节点,安全节点再根据安全策略将合法应答数据返回给上述互联网用户。
如果互联网用户方发出的是攻击包、入侵包等非法数据包,这些数据包将被安全节点堵截,不会转发给被保护区。从而得到了和原来在边界使用完全网关相同的效果。
为了保证安全节点不被短路(有人直接访问被保护区的IP,而不是用域名通过DNS解析转道安全节点),被保护区的路由器需要设置ACL(存取控制列表)仅允许从安全节点来的访问,而不允许其他IP来的访问。
该安全节点可以保护多个被保护区,即多个被保护区可以分享同一个安全节点;同一个被保护区也可以被多个安全节点保护,这只需要将DNS指向多个安全节点即可。
被保护区对互联网上的访问过程(如PC1、PC2对互联网的访问)变成这样:
被保护区的路由器要对内部对外的请求做一个DNAT(目的网络地址转换),将内部请求引导到安全节点;
安全节点将路由器转发过来的内部请求包再做一个SNAT(源网络地址转换),将源地址改为安全节点的IP,在安全策略的控制下将该内部用户的合法请求转发给上述用户原始请求目标;
原始请求目标将应答返回给安全节点,安全节点在安全策略的控制下将应答数据转发给原始内部用户。
该安全节点可以保护多个被保护区,只需要这多个被保护区的路由器都做DNAT到该安全节点即可;同一个被保护区也可以使用多个安全节点,这需要该被保护区的路由器使用策略路由变换DNAT的目的IP为这多个安全节点。
FW6虽然没有移到互联网中而仍然处于Net3和互联网的边界上,但仍然可以加入本发明的网关共享体系为其他网络提供安全保障。
实施例二:邮件安全网关的共享
邮件安全网关用于为邮件服务器阻挡垃圾邮件、病毒邮件等非法邮件,邮件网关有透明模式(如图3的MG1保护邮件服务器MS1)和转发模式(如图3的MG2保护邮件服务器MS2)两种,由于邮件使用的是应用层存储转发协议,因此所谓透明模式实际上是网桥加截收转发的方式,因此邮件安全网关是最容易改造成邮件安全节点来共享邮件安全网关设备的。
当将邮件安全网关放到互联网上成为邮件安全节点(如图4的MG1)后:
被保护邮件服务器的收件过程变成这样:
被保护邮件域的DNS解析的MX项被指向邮件安全节点;
发件服务器要给被保护邮件域发邮件时试图连接邮件安全节点;
邮件安全节点在收邮件前和收邮件后按照邮件安全策略判断该发件服务器、发件人以及该邮件是否合法,将合法邮件转发被保护邮件服务器。
为了保证邮件安全节点不被短路(有人直接把邮件送给被保护邮件服务器而不是转道邮件安全节点),被保护邮件服务器需要设置策略:只接收从邮件安全节点来的邮件。
同一个邮件安全节点可以保护多个邮件域或邮件服务器,即它们可以分享同一个邮件安全节点,这只需要这多个邮件域把DNS的MX项指向该邮件安全节点即可;同一个邮件域也可以使用多个邮件安全节点来保护,这需要该邮件域把DNS的MX设置多个即可。
被保护邮件域用户的发件过程变成这样:
被保护邮件域用户需要将邮件客户端的smtp服务器设置为邮件安全网关,这样用户在发邮件时就是和邮件安全节点握手;
邮件安全节点转发发件人的握手信息给被保护邮件服务器以确定发件人是否合法,并根据邮件安全策略判断其邮件是否合法,将合法邮件直接转发给邮件的目的服务器。这要求被保护邮件域对外增加该域的合法发件服务器包括邮件安全节点的公示。
当然也可以转发给被保护邮件服务器再转发给目的服务器,只是对于应用层的邮件,这样做有点画蛇添足。
同一台邮件安全节点可以保护多个内部域的用户,这需要这些域的内部用户都将smtp服务器设置为该邮件安全节点,或这些域的网络出口路由器都对邮件协议做DNAT到该邮件安全节点;同一个邮件域也可以使用多台邮件安全节点,这只需要对外公示该域的合法发件服务器为这些邮件安全节点即可,发件用户可以任选其一。
为了保证用户发件不被短路,被保护邮件服务器应拒绝用户直接发来的邮件,只接收为其提供保护的邮件安全节点发来的邮件。
实施例三:SSL-VPN网关的共享
鉴于类似IPSec等传统VPN在部署、分发密钥等应用各方面的不方便性,SSL-VPN是近几年兴起的安全访问控制设备,可以让远程用户在离开内部网时,通过互联网方便、安全地访问内部敏感网络。IPSec-VPN复杂的管理和维护把用户和网管推入很郁闷的境地,他们将SSL-VPN视为方便、安全地远程访问的救星。其实IPSec-VPN和SSL-VPN各有优点,SSL-VPN部署容易、无需远程用户安装客户端、可以对应用层协议做细致的安全策略控制,是很好的“用户到网络”的连接方式;而IPSec-VPN虽然部署麻烦,但性能较高对于不经常变化的网络结构针对所有协议的VPN连接却是很适合的,因此它是“网络到网络”连接方式的首选。由于SSL-VPN一直用于“用户到网络”结构使远程用户访问企业内部敏感网络,因此它也一直是处于内部网和互联网之间的边界网关。
如图5,有了SSL-VPN网关,移动用户C1-C4就可以通过互联网安全地访问敏感网络Net1内部的S1-S3,或与PC1、PC2通信。
当将SSL-VPN网关放到互联网上成为SSL-VPN安全节点后,如图6,远程用户访问内部敏感网络的过程变成这样:
远程用户访问SSL-VPN安全节点;
SSL-VPN安全节点根据安全策略允许合法的远程用户连入VPN;
SSL-VPN安全节点与内部敏感网络之间,可以使用IPSec等传统VPN连接,由于安全节点、客户网络这些网络拓扑不会经常变化,因此使用IPSec是合适的;
远程用户最终是通过SSL-VPN安全节点、IPSec-VPN连接到内部敏感网络,同时远程用户允许访问内部敏感网络的哪些数据,是由SSL-VPN控制的。
同一个SSL-VPN安全节点可以保护多个内部敏感网络,需要在SSL-VPN安全节点上设置不同的安全子网、使用不同的IPSec-VPN安全子网分别服务不同的内部敏感网络。同一内部敏感网络也可以使用多个SSL-VPN安全节点,只需要用IPSec-VPN的同一安全子网汇集这些SSL-VPN安全节点的相应安全子网即可。
由于SSL-VPN安全节点与内部敏感网络之间使用IPSec等传统VPN建立安全通道,因此无需象前述的防火墙与被保护区、邮件安全网关与被保护邮件服务器之间那样用ACL(存取控制列表)控制只能与安全节点通信。当然,前述的防火墙与被保护区、邮件安全网关与被保护邮件服务器之间,也可以使用VPN的方式建立安全通道,但这样需要被保护区或被保护邮件服务器支持VPN。甚至这些安全通道可以使用真实的专网来连接,只是这没有商业价值。反之,SSL-VPN安全节点与内部敏感网络之间其实也可以使用ACL控制来作为安全通道,一般情况下足敷应用,当然安全等级不如使用VPN或真实专网。
以上公开的仅为本发明的优选实施方式,但本发明并非局限于此,任何本领域的技术人员能思之的没有创造性的变化,以及在不脱离本发明原理前提下所作的若干改进和润饰,都应落在本发明的保护范围内。
Claims (7)
1.一种网络安全网关产品共享的方法,其特征在于,包括:
将网络安全网关产品设置在互联网中,成为可以分享的安全节点;
当互联网用户请求被保护服务器或网络时,将所述互联网用户请求引到安全节点;
安全节点根据安全策略,将合法请求转发至所述服务器或网络;
安全节点接收所述服务器或网络的响应数据,根据安全策略,将合法响应转发给请求方。
2.如权利要求1所述的方法,其特征在于,还包括:
当被保护区的用户访问互联网时:
被保护区的用户请求被引到所述安全节点;
该安全节点根据安全策略,将合法请求转发请求目标,获取请求目标的响应数据,并根据安全策略,将合法响应数据转发给所述被保护区的用户。
3.如权利要求1或2所述的方法,其特征在于,包括:
所述将请求引到安全节点的实现方式有通过域名解析DNS设定、通过目的地址转换DNAT、用户客户端配置、特殊路由、虚拟专网VPN、专网的方式。
4.如权利要求3所述的方法,其特征在于,包括:
所述被保护的服务器或网络仅能与对应的安全节点通信。
5.如权利要求4所述的方法,其特征在于:
一个安全节点与若干被保护的服务器或网络相对应。
6.如权利要求4所述的方法,其特征在于:
一个被保护的服务器或网络与若干安全节点相对应。
7.如权利要求4所述的方法,其特征在于:
所述安全网关产品是由被保护的服务器或网络的安全网关改造而成,改造内容包括:
对多个被保护区的支持和管理,即安全网关内部的多个虚拟通道;网络拓扑支持的改变,比如网桥模式和路由模式需要改为转发模式或VPN模式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008103002268A CN101222456A (zh) | 2008-01-28 | 2008-01-28 | 网络安全网关产品共享的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008103002268A CN101222456A (zh) | 2008-01-28 | 2008-01-28 | 网络安全网关产品共享的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101222456A true CN101222456A (zh) | 2008-07-16 |
Family
ID=39632034
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008103002268A Pending CN101222456A (zh) | 2008-01-28 | 2008-01-28 | 网络安全网关产品共享的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101222456A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102792328A (zh) * | 2010-03-12 | 2012-11-21 | 三星电子株式会社 | 基于购买信息来发送和接收应用/内容的方法和设备 |
| CN108011988A (zh) * | 2017-11-27 | 2018-05-08 | 广东睿江云计算股份有限公司 | 一种取代发送邮件系统集群的方法、系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1578218A (zh) * | 2003-06-30 | 2005-02-09 | 微软公司 | 用透明虚拟专用网络减少网络配置复杂性 |
| CN1697396A (zh) * | 2004-05-10 | 2005-11-16 | 华为技术有限公司 | 基于防火墙实现本地虚拟私网络的方法 |
-
2008
- 2008-01-28 CN CNA2008103002268A patent/CN101222456A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1578218A (zh) * | 2003-06-30 | 2005-02-09 | 微软公司 | 用透明虚拟专用网络减少网络配置复杂性 |
| CN1697396A (zh) * | 2004-05-10 | 2005-11-16 | 华为技术有限公司 | 基于防火墙实现本地虚拟私网络的方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102792328A (zh) * | 2010-03-12 | 2012-11-21 | 三星电子株式会社 | 基于购买信息来发送和接收应用/内容的方法和设备 |
| CN102792328B (zh) * | 2010-03-12 | 2016-08-10 | 三星电子株式会社 | 基于购买信息来发送和接收应用/内容的方法和设备 |
| US10121173B2 (en) | 2010-03-12 | 2018-11-06 | Samsung Electronics Co., Ltd | Method and apparatus for transmitting and receiving application/content based on purchase information |
| CN108011988A (zh) * | 2017-11-27 | 2018-05-08 | 广东睿江云计算股份有限公司 | 一种取代发送邮件系统集群的方法、系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103634314B (zh) | 一种基于虚拟路由器vsr的服务访问控制方法及设备 | |
| CN104106094B (zh) | 在网络环境下使用本地策略应用进行云电子邮件消息扫描 | |
| CN102223365B (zh) | 基于ssl vpn网关集群的用户接入方法及其装置 | |
| US8458786B1 (en) | Automated dynamic tunnel management | |
| EP1255395B1 (en) | External access to protected device on private network | |
| JP3651721B2 (ja) | 移動計算機装置、パケット処理装置及び通信制御方法 | |
| US8185933B1 (en) | Local caching of endpoint security information | |
| CN103875226B (zh) | 用于网络环境中主机发起的防火墙发现的系统和方法 | |
| US8010085B2 (en) | Traffic redirection in cloud based security services | |
| CN101802837B (zh) | 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法 | |
| US20170034174A1 (en) | Method for providing access to a web server | |
| JP6737610B2 (ja) | 通信装置 | |
| Alves et al. | WS3N: wireless secure SDN‐based communication for sensor networks | |
| US10348687B2 (en) | Method and apparatus for using software defined networking and network function virtualization to secure residential networks | |
| Song et al. | DS‐ARP: A New Detection Scheme for ARP Spoofing Attacks Based on Routing Trace for Ubiquitous Environments | |
| CN102823219B (zh) | 保护对经由实现本方法的设备可访问的数据或服务的访问的方法和相应设备 | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
| JP3587633B2 (ja) | ネットワーク通信方法および装置 | |
| CN100490393C (zh) | 一种访问客户网络管理平台的方法 | |
| US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
| CN101222456A (zh) | 网络安全网关产品共享的方法 | |
| Alam et al. | Recent privacy and security issues in internet of things network layer: a systematic review | |
| US20110103383A1 (en) | Two dimensional location transparency of software services | |
| JP3649180B2 (ja) | セキュリティ管理システムおよび経路指定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20080716 |