CN102932377A - 一种ip报文过滤方法及装置 - Google Patents
一种ip报文过滤方法及装置 Download PDFInfo
- Publication number
- CN102932377A CN102932377A CN2012104918831A CN201210491883A CN102932377A CN 102932377 A CN102932377 A CN 102932377A CN 2012104918831 A CN2012104918831 A CN 2012104918831A CN 201210491883 A CN201210491883 A CN 201210491883A CN 102932377 A CN102932377 A CN 102932377A
- Authority
- CN
- China
- Prior art keywords
- ipsec
- message
- gateway
- chain
- literary composition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及属于信息安全及密码技术领域,涉及一种通过IPSECVPN及IPtables技术配合,实现IP报文过滤方法及装置。本发明提供一种集成IPSECVPN和防火墙模块的网关设备,通过一种IPSEC安全策略与防火墙策略配合方法,实现IP报文过滤。降低了配置ipsec安全策略与防火墙策略的耦合性,使两种策略配置各司其职。本设计通过策略配置实现数据在INPUT链、OUTPUT链、FORWARD链的传输。本发明主要应用于IP报文数据过滤领域。
Description
技术领域
本发明涉及属于信息安全及密码技术领域,涉及一种通过IPSEC VPN及IPtables技术配合,实现IP报文过滤方法及装置。
背景技术
IPSEC是互联网工程任务组(IETF)制定的一个开放的IP层安全框架协议,为IP网络通信提供透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。
IPSEC技术已广泛普及并应用到网关设备中,网关设备工作在本地局域网和与其通信的远程局域网的网关位置,采用IPSEC隧道技术,加密技术以及认证技术等方法,在公众网络上构建虚拟专用网络(即VPN),数据在安全信道上传输,从而到达保障通信安全,保密信息的目的。
作为网关设备,通常还需要对本地局域网进行隔离及访问控制保护,IP报文过滤功能也是必要的,通常采用的技术是IPSEC VPN安全策略与netfileter/iptables(简称为iptables)防火墙策略相互配合来实现。图1所示为linux网络协议栈中防火墙及IPSEC VPN工作流程图。
由图1可知,IPSEC安全策略主要控制哪些IP报文需要进行IPSEC VPN加解密处理;防火墙策略主要分布在filter表的INPUT链、OUTPUT链及FORWARD链,分别控制哪些IP报文允许进入到网关本地,哪些报文允许从网关本地发出,哪些IP报文允许穿过网关。对于IPSEC加密或解密处理的报文都先后经过防火墙策略及IPSEC安全策略的检查,为了使IPSEC能正常工作,通常采用的方法是,INPUT链及OUTPUT链防火墙策略允许出入网关本地的ESP、AH协议包及密钥协商包通过,FORWARD链防火墙策略允许IPSEC安全策略对应的IP包通过。但此方法存在以下缺限:
1)配置了IPSEC安全策略后,为了保证IPSEC处理的IP包通过防火墙检查,还需要在FORWARD链配置防火墙策略,用于放行IPSEC安全策略对应的IP包,这给管理员带来双重的工作量;
2)随着IPSEC安全策略数量越大,FORWARD链防火墙策略数量越多、越复杂,由于防火墙策略是自顶向下依次查找,所以网关吞吐量下降越明显。
发明内容
本发明所要解决的技术问题是:针对以上的不足,本发明提供一种集成IPSEC VPN和防火墙模块的网关设备,通过一种IPSEC安全策略与防火墙策略配合方法,实现IP报文过滤。降低了配置ipsec安全策略与防火墙策略的耦合性,使两种策略配置各司其职,其中IPSEC安全策略配置专注于对需进行IPSEC处理的IP报文进行过滤,防火墙策略配置专注于SECPOLICY自定义链上对非IPSEC处理的IP报文进行过滤。
本发明采用的技术方案如下:
一种IP报文过滤方法包括:
步骤1,利于linux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”(ACCEPT),INPUT链默认策略为“丢弃”(DROP),并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文(协议号为ESP或AH)进入本网关,允许密钥协商报文(即udp 500及udp 4500)进入本网关;
步骤2,设置FORWARD链默认策略为“丢弃”(DROP),新建一条名称为“SECPOLICY”规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,使得对出入本网关非IPSEC处理的IP包过滤。
步骤3,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加以下两条防火墙策略:
1)允许解密后明通报文(即IN方向的匹配IPSEC安全策略的IP报文)通过本网关,策略配置命令为:iptables –A FORWARD –m policy –dir in –j ACCEPT,对进入方向IPSEC解密后的IP包过滤;
2)允许加密前明通报文(即OUT方向的匹配IPSEC安全策略的IP报文)通过本网关,策略配置命令为:iptables –A FORWARD –m policy –dir out –j ACCEPT,对外出方向需IPSEC加密处理的IP包过滤。
所述步骤2中对出入本网关非IPSEC处理的IP包过滤具体过程包括,
步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;
步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;
步骤23,如果防火墙策略是放行,则转发该IP报文。
所述步骤3中对进入方向IPSEC解密后的IP包过滤具体过程包括,
步骤311:收到来自远端网关的IPSEC密通报文;
步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤313,根据三元组信息:即该报文目的地址、SPI安全参数索引、安全协议号(AH或ESP)查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;
步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;
步骤315,解密后的明通报文发向本网关内部网络。
所述步骤3中对外出方向需IPSEC加密处理的IP包过滤具体过程包括,
步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;
步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;
步骤323,查找该IP包匹配的安全策略(SP)及出站安全关联(SA);
步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为隧道的远端网关;
步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤326,IPSEC密通报文发向远端的网关地址。
所述密通报文是协议号为ESP或AH的报文。
所述密钥协商报文是udp 500或udp 4500报文。
一种IPSEC安全策略实现IP报文过滤装置包括
初始化模块,用于利用linux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”(ACCEPT),INPUT链默认策略为“丢弃”(DROP),并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文(协议号为ESP或AH)进入本网关,允许密钥协商报文(即udp 500及udp 4500)进入本网关;
非IPSEC处理的IP包过滤模块,用于初始化模块后,设置OUTPUT链默认策略为“丢弃”(DROP),新建一条自定义规则链(名称为“SECPOLICY”),在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,对出入本网关非IPSEC处理的IP包过滤;
加密处理的IP包过滤模块,用于初始化模块后,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加允许加密前明通报文(即OUT方向的匹配IPSEC安全策略的IP报文)通过本网关策略,对外出方向需IPSEC加密处理的IP包过滤;
解密处理的IP包过滤模块,用于初始化模块后,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加允许解密后明通报文(即IN方向的匹配IPSEC安全策略的IP报文)通过本网关策略,策略配置命令为:iptables –A FORWARD –m policy –dir in –j ACCEPT。
所述非IPSEC处理的IP包过滤模块对出入本网关非IPSEC处理的IP包过滤具体过程包括,
步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;
步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;
步骤23,如果防火墙策略是放行,则转发该IP报文。
所述加密处理的IP包过滤模块对外出方向需IPSEC加密处理的IP包过滤具体过程包括,
步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;
步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;
步骤323,查找该IP包匹配的安全策略(SP)及出站安全关联(SA);
步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为隧道的远端网关;
步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤326,IPSEC密通报文发向远端的网关地址。
所述解密处理的IP包过滤模块对进入方向IPSEC解密后的IP包过滤具体过程包括,
步骤311:收到来自远端网关的IPSEC密通报文;
步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤313,根据三元组信息:即该报文目的地址、SPI安全参数索引、安全协议号(AH或ESP)查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;
步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;
步骤315,解密后的明通报文发向本网关内部网络。
综上所述,由于采用了上述技术方案,本发明的有益效果是:
在本发明中,防火墙模块放行所有与IPSEC相关的密通及明通报文,确保了IPSEC模块正常工作,步骤3所添加的两条防火墙策略,降低了IPSEC及防火墙模块策略配置的耦合性,当每次配置IPSEC策略时,不再需要修改FORWARD链防火墙策略,提高了管理员配置效率,有效减少防火墙策略数量,降低了对系统吞吐量的影响。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1是防火墙及IPSEC工作流程图;
图2非IPSEC处理的IP包过滤流程;
图3是对进入方向需IPSEC解密处理的IP包过滤流程;
图4是对外出方向需IPSEC加密处理的IP包过滤流程。
具体实施方式
本说明书中公开的所有特征,或公开的所有方法或过程中的步骤,除了互相排斥的特征和/或步骤以外,均可以以任何方式组合。
本说明书(包括任何附加权利要求、摘要和附图)中公开的任一特征,除非特别叙述,均可被其他等效或具有类似目的的替代特征加以替换。即,除非特别叙述,每个特征只是一系列等效或类似特征中的一个例子而已。
本发明相关说明:
1、 netfilter及其工作原理:netfilter 是 Linux 核心中一个通用架构,它提供了一系列的“表”(tables) ,每个表由若干“链“(chains) 组成,而每条链中可以有一条或数条规则 (rule) 组成。系统缺省的表为“filter”,该表中包含了 INPUT、FORWARD 和 OUTPUT 3 个链。每一条链中可以有一条或数条规则,每一条规则都是这样定义的:如果数据包头符合这样的条件,就这样处理这个数据包。当一个数据包到达一个链时,系统就会从第一条规则开始检查,看是否符合该规则所定义的条件: 如果满足,系统将根据该条规则所定义的方法处理该数据包;如果不满足则继续检查下一条规则。最后,如果该数据包不符合该链中任一条规则的话,系统就会根据该链预先定义的策略来处理该数据包。
2、 OUTPUT链在Linux系统中的作用:如果数据包是由本地系统进程产生的,则系统将其送往Output链。如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。
3、 INPUT链在Linux系统中的作用:如果数据包的目的地址是本机,则系统将数据包送往Input链。如果通过规则检查,则该包被发给相应的本地进程处理;如果没有通过规则检查,系统就会将这个包丢掉。
4、 FORWARD链在Linux系统中的作用:如果数据包的目的地址不是本机,也就是说,这个包将被转发,则系统将数据包送往Forward链。如果通过规则检查,则该包被发给相应的本地进程处理; 如果没有通过规则检查,系统就会将这个包丢掉。
5、 IPSEC :Internet 协议安全性 (IPSec)”是一种开放标准的框架结构,通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。
6、 IPSEC隧道技术:为了实现在专用或公共IP网络上的安全传输, IPSec隧道模式使用安全方式封装和加密整个IP包。它首先对IP数据包进行加密,然后将密文数据包再次封装在明文IP包内,通过网络发送到接收端的VPN服务器。VPN服务器对收到的数据包进行处理,在去除明文IP包头,对内容进行解密之后,获得原始的IP数据包,再将其路由到目标网络的接收计算机。
7、 xt_policy模块:Linux内核(版本2.6.15以上)netfilter框架提供的防火墙策略扩展模块,该模块能根据进出方向(in/out)、安全协议号(AH或ESP)、SPI安全参数索引、隧道源/目的地址等多种条件匹配被IPSEC 安全策略命中的IP报文,供防火墙模块对匹配的IP报文进行过滤处理。
8、IP报文:IP数据包。
实施例一:一种IP报文过滤方法包括:
步骤1,利于linux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”,INPUT链默认策略为“丢弃”,并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文进入本网关,允许密钥协商报文进入本网关;
步骤2,设置FORWARD链默认策略为“丢弃”,新建一条名称为“SECPOLICY”的规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,使得对出入本网关非IPSEC处理的IP包过滤。
步骤3,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加以下两条防火墙策略:
1)允许解密后明通报文通过本网关,策略配置命令为:iptables –A FORWARD –m policy –dir in –j ACCEPT,对进入方向IPSEC解密后的IP包过滤;
2)允许加密前明通报文通过本网关,策略配置命令为:iptables –A FORWARD –m policy –dir out –j ACCEPT,对外出方向需IPSEC加密处理的IP包过滤。
实施例二:如图2所示,在实施例一基础上,所述步骤2中对出入本网关非IPSEC处理的IP包过滤具体过程包括,
步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;
步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;
步骤23,如果防火墙策略是放行,则转发该IP报文。
实施例三:在实施例一或二基础上,如图3所示,所述步骤3中对进入方向IPSEC解密后的IP包过滤具体过程包括,
步骤311:收到来自远端网关的IPSEC密通报文;
步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤313,根据三元组信息:即该报文目的地址、SPI安全参数索引、安全协议号(AH或ESP)查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;
步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;
步骤315,解密后的明通报文发向本网关内部网络。
实施例四:在实施例一至三之一基础上,如图4所示,所述步骤3中对外出方向需IPSEC加密处理的IP包过滤具体过程包括,
步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;
步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;
步骤323,查找该IP包匹配的安全策略及出站安全关联;
步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为隧道的远端网关;
步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤326,IPSEC密通报文发向远端的网关地址。
实施例五:在实施例四基础上,所述密通报文是协议号为ESP或AH的报文。
实施例六:在实施例五基础上,所述密钥协商报文是udp 500或udp 4500报文。
实施例七:在实施例一基础上,一种IPSEC安全策略实现IP报文过滤装置包括
初始化模块,用于利用linux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”,INPUT链默认策略为“丢弃”,并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文进入本网关,允许密钥协商报文进入本网关;
非IPSEC处理的IP包过滤模块,用于初始化模块后,设置OUTPUT链默认策略为“丢弃”,新建一条名称为“SECPOLICY”自定义规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,对出入本网关非IPSEC处理的IP包过滤;
加密处理的IP包过滤模块,用于初始化模块后,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加允许加密前明通报文通过本网关策略,对外出方向需IPSEC加密处理的IP包过滤;
解密处理的IP包过滤模块,用于初始化模块后,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加允许解密后明通报文通过本网关策略,策略配置命令为:iptables –A FORWARD –m policy –dir in –j ACCEPT。
实施例八:在实施例七基础上,所述非IPSEC处理的IP包过滤模块对出入本网关非IPSEC处理的IP包过滤具体过程包括,
步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;
步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;
步骤23,如果防火墙策略是放行,则转发该IP报文。
实施例九,在实施例七或八基础上,所述加密处理的IP包过滤模块对外出方向需IPSEC加密处理的IP包过滤具体过程包括,
步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;
步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;
步骤323,查找该IP包匹配的安全策略(SP)及出站安全关联(SA);
步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为隧道的远端网关;
步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤326,IPSEC密通报文发向远端的网关地址。
实施例十:在实施例七至九之一基础上,所述解密处理的IP包过滤模块对进入方向IPSEC解密后的IP包过滤具体过程包括,
步骤311:收到来自远端网关的IPSEC密通报文;
步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤313,根据三元组信息:即该报文目的地址、SPI安全参数索引、安全协议号(AH或ESP)查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;
步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN(输入)匹配到IPSEC策略,放行该IP报文;
步骤315,解密后的明通报文发向本网关内部网络。
本发明并不局限于前述的具体实施方式。本发明扩展到任何在本说明书中披露的新特征或任何新的组合,以及披露的任一新的方法或过程的步骤或任何新的组合。
Claims (10)
1.一种IP报文过滤方法,其特征在于包括:
步骤1,利于linux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”,INPUT链默认策略为“丢弃”,并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文进入本网关,允许密钥协商报文进入本网关;
步骤2,设置FORWARD链默认策略为“丢弃”,新建一条名称为“SECPOLICY”的规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,使得对出入本网关非IPSEC处理的IP包过滤;
步骤3,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加以下两条防火墙策略:
1)允许解密后明通报文通过本网关,策略配置命令为:iptables –A FORWARD –m policy –dir in –j ACCEPT,对进入方向IPSEC解密后的IP包过滤;
2)允许加密前明通报文通过本网关,策略配置命令为:iptables –A FORWARD –m policy –dir out –j ACCEPT,对外出方向需IPSEC加密处理的IP包过滤。
2.根据权利要求1所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述步骤2中对出入本网关非IPSEC处理的IP包过滤具体过程包括,
步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;
步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;
步骤23,如果防火墙策略是放行,则转发该IP报文。
3.根据权利要求1所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述步骤3中对进入方向IPSEC解密后的IP包过滤具体过程包括,
步骤311:收到来自远端网关的IPSEC密通报文;
步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤313,根据三元组信息:即该报文目的地址、SPI安全参数索引、AH或ESP安全协议号查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;
步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;
步骤315,解密后的明通报文发向本网关内部网络。
4.根据权利要求1所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述步骤3中对外出方向需IPSEC加密处理的IP包过滤具体过程包括,
步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;
步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;
步骤323,查找该IP包匹配的安全策略及出站安全关联;
步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为隧道的远端网关;
步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤326,IPSEC密通报文发向远端的网关地址。
5.根据权利要求1至4之一所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述密通报文是协议号为ESP或AH的报文。
6.根据权利要求1至4之一所述的一种IPSEC安全策略实现IP报文过滤方法,其特征在于所述密钥协商报文是udp 500或udp 4500报文。
7.根据权利要求1所述的一种IPSEC安全策略实现IP报文过滤装置,其特征在于包括
初始化模块,用于利用linux的netfilter包筛选机制,在IPtables模块初始化时,设置OUTPUT链默认策略为“允许”,INPUT链默认策略为“丢弃”,并在INPUT链添加防火墙策略,允许经IPSEC封装的密通报文进入本网关,允许密钥协商报文进入本网关;
非IPSEC处理的IP包过滤模块,用于初始化模块后,设置OUTPUT链默认策略为“丢弃”,新建一条名称为“SECPOLICY”自定义规则链,在FORWARD链添加策略跳转到该链,并将管理员配置的防火墙策略都加载在该链上,对出入本网关非IPSEC处理的IP包过滤;
加密处理的IP包过滤模块,用于初始化模块后,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加允许加密前明通报文通过本网关策略,对外出方向需IPSEC加密处理的IP包过滤;
解密处理的IP包过滤模块,用于初始化模块后,利用xt_policy模块提供的策略匹配功能,在FORWARD链末尾添加允许解密后明通报文通过本网关策略,策略配置命令为:iptables –A FORWARD –m policy –dir in –j ACCEPT。
8.根据权利要求7所述的一种IPSEC安全策略实现IP报文过滤装置,其特征在于所述非IPSEC处理的IP包过滤模块对出入本网关非IPSEC处理的IP包过滤具体过程包括,
步骤21:收到穿过本网关的明通IP报文,该IP报文不存在匹配的IPSEC安全策略,不需IPSEC处理;
步骤22,路由处理后,进入防火墙FORWARD链,在其子链SECPOLICY下检查防火墙策略,确定是否放行或丢弃该IP报文;
步骤23,如果防火墙策略是放行,则转发该IP报文。
9.根据权利要求7所述的一种IPSEC安全策略实现IP报文过滤装置,其特征在于所述加密处理的IP包过滤模块对外出方向需IPSEC加密处理的IP包过滤具体过程包括,
步骤321:网关收到从内部网络转发外部网络需要进行IPSEC加密处理的明通报文;
步骤322,路由处理后进入防火墙FORWARD链,检查到该IP报文在OUT方向匹配到IPSEC策略,放行该IP报文;
步骤323,查找该IP包匹配的安全策略(SP)及出站安全关联(SA);
步骤324,进行IPSEC加密处理,执行隧道模式ESP/AH封装,新的IP报文源地址为本网关,目的地址为隧道的远端网关;
步骤325,路由处理后进入防火墙OUTPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤326,IPSEC密通报文发向远端的网关地址。
10.根据权利要求7所述的一种IPSEC安全策略实现IP报文过滤装置,其特征在于所述解密处理的IP包过滤模块对进入方向IPSEC解密后的IP包过滤具体过程包括,
步骤311:收到来自远端网关的IPSEC密通报文;
步骤312,路由处理后进入防火墙INPUT链,因检查到该IPSEC密通报文为ESP/AH协议包,允许放行;
步骤313,根据三元组信息:即该报文目的地址、SPI安全参数索引、AH或ESP安全协议号查找安全关联,并进行IPSEC解密处理,解密后的明通报文目的地址为本网关的内部网络;
步骤314,路由处理后,进入防火墙FORWARD链,检查到解密后的明通报文在IN方向匹配到IPSEC策略,放行该IP报文;
步骤315,解密后的明通报文发向本网关内部网络。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210491883.1A CN102932377B (zh) | 2012-11-28 | 2012-11-28 | 一种ip报文过滤方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210491883.1A CN102932377B (zh) | 2012-11-28 | 2012-11-28 | 一种ip报文过滤方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102932377A true CN102932377A (zh) | 2013-02-13 |
| CN102932377B CN102932377B (zh) | 2015-05-06 |
Family
ID=47647079
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210491883.1A Active CN102932377B (zh) | 2012-11-28 | 2012-11-28 | 一种ip报文过滤方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102932377B (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103200187A (zh) * | 2013-03-20 | 2013-07-10 | 汉柏科技有限公司 | 一种快速解密报文的系统和方法 |
| CN105721477A (zh) * | 2016-02-25 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
| CN106506553A (zh) * | 2016-12-28 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip过滤方法及系统 |
| CN106789892A (zh) * | 2016-11-22 | 2017-05-31 | 国云科技股份有限公司 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
| CN108924121A (zh) * | 2018-06-28 | 2018-11-30 | 京信通信系统(中国)有限公司 | 多通道通信方法与系统 |
| CN109962885A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 物联网设备的网络安全防护方法及物联网设备 |
| CN110753061A (zh) * | 2019-10-25 | 2020-02-04 | 北京浪潮数据技术有限公司 | 一种加固ssh的方法、装置及相关组件 |
| CN113259362A (zh) * | 2021-05-25 | 2021-08-13 | 北京华胜信安电子科技发展有限公司 | 一种安全加密的工业级路由器终端 |
| CN113709052A (zh) * | 2020-05-21 | 2021-11-26 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN113961939A (zh) * | 2021-12-20 | 2022-01-21 | 北京智芯微电子科技有限公司 | 嵌入式操作系统安全的防护方法和系统 |
| CN115277164A (zh) * | 2022-07-24 | 2022-11-01 | 杭州迪普科技股份有限公司 | 基于二层组网环境的报文处理方法及装置 |
| CN116192463A (zh) * | 2022-12-30 | 2023-05-30 | 北京明朝万达科技股份有限公司 | 一种数据过滤方法、装置、电子设备及存储介质 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106850657A (zh) * | 2017-02-27 | 2017-06-13 | 郑州云海信息技术有限公司 | 一种高效的ip地址匹配方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1529485A (zh) * | 2003-10-20 | 2004-09-15 | 中兴通讯股份有限公司 | Ipsec嵌套策略匹配校验方法 |
| US20050010822A1 (en) * | 2003-07-09 | 2005-01-13 | Xinyu Zhou | Firewall and method for configuring same |
| CN101695160A (zh) * | 2009-10-20 | 2010-04-14 | 清华大学 | 基于策略路由的流定向传输方法 |
| CN101783804A (zh) * | 2010-02-22 | 2010-07-21 | 建汉科技股份有限公司 | 可提高安全协定封包处理效能的方法 |
-
2012
- 2012-11-28 CN CN201210491883.1A patent/CN102932377B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050010822A1 (en) * | 2003-07-09 | 2005-01-13 | Xinyu Zhou | Firewall and method for configuring same |
| CN1529485A (zh) * | 2003-10-20 | 2004-09-15 | 中兴通讯股份有限公司 | Ipsec嵌套策略匹配校验方法 |
| CN101695160A (zh) * | 2009-10-20 | 2010-04-14 | 清华大学 | 基于策略路由的流定向传输方法 |
| CN101783804A (zh) * | 2010-02-22 | 2010-07-21 | 建汉科技股份有限公司 | 可提高安全协定封包处理效能的方法 |
Non-Patent Citations (1)
| Title |
|---|
| 周元德: "基于Netfilter机制的IPSecVPN网关实现技术研究", 《中国优秀博硕士学位论文全文数据库 (硕士) 信息科技辑 (月刊 )2005 年 》, no. 06, 15 October 2005 (2005-10-15) * |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103200187B (zh) * | 2013-03-20 | 2017-04-19 | 汉柏科技有限公司 | 一种快速解密报文的系统和方法 |
| CN103200187A (zh) * | 2013-03-20 | 2013-07-10 | 汉柏科技有限公司 | 一种快速解密报文的系统和方法 |
| CN105721477A (zh) * | 2016-02-25 | 2016-06-29 | 上海斐讯数据通信技术有限公司 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
| CN105721477B (zh) * | 2016-02-25 | 2019-11-01 | 上海斐讯数据通信技术有限公司 | 移动终端的基于iptables的控制隐私泄漏的方法与系统 |
| CN106789892A (zh) * | 2016-11-22 | 2017-05-31 | 国云科技股份有限公司 | 一种云平台通用的防御分布式拒绝服务攻击的方法 |
| CN106506553B (zh) * | 2016-12-28 | 2019-11-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip过滤方法及系统 |
| CN106506553A (zh) * | 2016-12-28 | 2017-03-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip过滤方法及系统 |
| CN109962885A (zh) * | 2017-12-22 | 2019-07-02 | 北京安天网络安全技术有限公司 | 物联网设备的网络安全防护方法及物联网设备 |
| CN108924121B (zh) * | 2018-06-28 | 2021-04-27 | 京信通信系统(中国)有限公司 | 多通道通信方法与系统 |
| CN108924121A (zh) * | 2018-06-28 | 2018-11-30 | 京信通信系统(中国)有限公司 | 多通道通信方法与系统 |
| CN110753061A (zh) * | 2019-10-25 | 2020-02-04 | 北京浪潮数据技术有限公司 | 一种加固ssh的方法、装置及相关组件 |
| CN113709052A (zh) * | 2020-05-21 | 2021-11-26 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN113709052B (zh) * | 2020-05-21 | 2024-02-27 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN113259362A (zh) * | 2021-05-25 | 2021-08-13 | 北京华胜信安电子科技发展有限公司 | 一种安全加密的工业级路由器终端 |
| CN113961939A (zh) * | 2021-12-20 | 2022-01-21 | 北京智芯微电子科技有限公司 | 嵌入式操作系统安全的防护方法和系统 |
| CN113961939B (zh) * | 2021-12-20 | 2022-03-08 | 北京智芯微电子科技有限公司 | 嵌入式操作系统安全的防护方法和系统 |
| CN115277164A (zh) * | 2022-07-24 | 2022-11-01 | 杭州迪普科技股份有限公司 | 基于二层组网环境的报文处理方法及装置 |
| CN115277164B (zh) * | 2022-07-24 | 2023-06-27 | 杭州迪普科技股份有限公司 | 基于二层组网环境的报文处理方法及装置 |
| CN116192463A (zh) * | 2022-12-30 | 2023-05-30 | 北京明朝万达科技股份有限公司 | 一种数据过滤方法、装置、电子设备及存储介质 |
| CN116192463B (zh) * | 2022-12-30 | 2024-02-20 | 北京明朝万达科技股份有限公司 | 一种数据过滤方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102932377B (zh) | 2015-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102932377B (zh) | 一种ip报文过滤方法及装置 | |
| CN106375493B (zh) | 一种跨网络通信的方法以及代理服务器 | |
| CN105763557B (zh) | 交换芯片或np与cpu协同完成报文ipsec加密的方法与系统 | |
| EP2916492B1 (en) | Methods and apparatuses for sending and receiving data across virtual firewalls | |
| KR100472739B1 (ko) | 가상사설망용아키텍쳐 | |
| KR100431956B1 (ko) | 가상 사설망용 아키텍쳐 | |
| US9258282B2 (en) | Simplified mechanism for multi-tenant encrypted virtual networks | |
| CN106341404A (zh) | 基于众核处理器的IPSec VPN系统及加解密处理方法 | |
| CN101217435B (zh) | 一种L2TP over IPSEC远程接入的方法及装置 | |
| WO2004023307A1 (en) | Vpn and firewall integrated system | |
| CN104683332A (zh) | 一种工业控制网络中的安全隔离网关及其安全隔离方法 | |
| CN102882789A (zh) | 一种数据报文处理方法、系统及设备 | |
| US20100138909A1 (en) | Vpn and firewall integrated system | |
| CN101843031A (zh) | 用于提供安全网络通信的系统和方法 | |
| US9015825B2 (en) | Method and device for network communication management | |
| Lu et al. | Ipsec implementation on xilinx virtex-ii pro fpga and its application | |
| EP1953954A2 (en) | Encryption/decryption device for secure communications between a protected network and an unprotected network and associated methods | |
| CN105610790A (zh) | IPSec加密卡与CPU协同的用户面数据处理方法 | |
| CN107306198A (zh) | 报文转发方法、设备和系统 | |
| CN103051636B (zh) | 一种数据报文的传输方法和设备 | |
| CN110691074B (zh) | 一种IPv6数据加密方法、IPv6数据解密方法 | |
| WO2016165277A1 (zh) | 一种实现IPsec分流的方法和装置 | |
| CN103491088A (zh) | 一种IPSec VPN网关数据处理方法 | |
| CN111698245A (zh) | 一种基于国密算法的VxLAN安全网关及二层安全网络组建方法 | |
| CN100466599C (zh) | 一种专用局域网的安全访问方法及用于该方法的装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |