CN107547659B - 报文安全转发方法及装置 - Google Patents
报文安全转发方法及装置 Download PDFInfo
- Publication number
- CN107547659B CN107547659B CN201710908820.4A CN201710908820A CN107547659B CN 107547659 B CN107547659 B CN 107547659B CN 201710908820 A CN201710908820 A CN 201710908820A CN 107547659 B CN107547659 B CN 107547659B
- Authority
- CN
- China
- Prior art keywords
- address
- waf
- web server
- access request
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及报文安全转发方法及装置,所述方法应用于安装有防火墙的网络安全设备,所述方法包括:接收Web应用防护系统WAF发送的第一访问请求报文,并获取第一访问请求报文的第一源IP地址和第一目的IP地址;在第一源IP地址为WAF的私网IP地址、第一目的IP地址为Web服务器的安全IP地址的情况下,将第一源IP地址修改为WAF的外网IP地址、第一目的IP地址修改为Web服务器的私网IP地址,生成第二访问请求报文,其中,安全IP地址为未对外发布路由的IP地址;根据Web服务器的私网IP地址将第二访问请求报文转发到对应的Web服务器。根据本公开的报文安全转发方法及装置,可以提高WAF的利用率,简化WAF组网配置,节省了不同虚拟路由器间架设WAF的成本。
Description
技术领域
本公开涉及网络安全技术领域,尤其涉及一种报文安全转发方法及装置。
背景技术
WAF(Web Application Firewall,Web应用防护系统)是一种通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的Web防火墙。
反向代理(Reverse Proxy)方式是指以代理服务器来接受internet上的连接请求,然后将请求转发给内部网络上的服务器,并将从服务器上得到的结果返回给internet上请求连接的客户端,此时,代理服务器对外就表现为一个反向代理服务器。
为了保护Web服务器不受攻击,在访问Web服务器前架设WAF,通过WAF的反向代理的功能,在转发请求前对请求进行一次清洗,只有合法的请求才被送到Web服务器,不合法的请求将被安全策略过滤。
当前网络部署中,WAF与Web服务器需要在同一虚拟路由器内互通。在WAF上配置保护站点,需要在WAF上添加Web服务器的实际IP地址来开启反向代理功能。在网关上配置NAT(Network Address Translation,网络地址转换)转换,将WAF的私网IP转换成外网IP来达到与外界通信的功能。这对外部网络来说,访问Web服务器即访问WAF的外网IP地址。
以上的WAF组网方式,出于安全性的考虑,只能在同一虚拟路由器(同一VPN(Virtual Private Network,虚拟专用网络))内进行转发。若要跨虚拟路由器进行反向代理,转发的报文要经过外网网关,则需要通过为Web服务器配置外网IP,并且外网IP之间路由可达实现。而此方式直接将Web服务器的IP地址暴露到外网,客户端可绕过WAF来对服务器进行访问。
发明内容
有鉴于此,本公开提出了一种报文安全转发方法及装置,可以提高WAF的利用率,简化WAF组网配置,节省了不同虚拟路由器间架设WAF的成本。
根据本公开的一方面,提供了一种报文安全转发方法,所述方法应用于安装有防火墙的网络安全设备,所述方法包括:
接收Web应用防护系统WAF发送的第一访问请求报文,并获取所述第一访问请求报文的第一源IP地址和第一目的IP地址;
在所述第一源IP地址为WAF的私网IP地址、所述第一目的IP地址为Web服务器的安全IP地址的情况下,将所述第一源IP地址修改为WAF的外网IP地址、所述第一目的IP地址修改为Web服务器的私网IP地址,生成第二访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址;
根据所述Web服务器的私网IP地址将所述第二访问请求报文转发到对应的Web服务器。
根据本公开的另一方面,提供了一种文安全转发方法,所述方法应用于WAF,所述方法包括:
接收位于外网的客户端发送的第三访问请求报文;
根据第三访问请求报文携带的域名信息,确定所述域名对应的Web服务器的IP地址;
若所述IP地址为安全IP地址,则向所述安全IP地址对应的web服务器发送第一访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址,WAF与所述安全IP地址对应的Web服务器位于不同的VPN内。
根据本公开的另一方面,提供了一种报文安全转发装置,所述装置应用于安装有防火墙的网络安全设备,所述装置包括:
第一接收模块,用于接收Web应用防护系统WAF发送的第一访问请求报文,并获取所述第一访问请求报文的第一源IP地址和第一目的IP地址;
第一修改模块,用于在所述第一源IP地址为WAF的私网IP地址、所述第一目的IP地址为Web服务器的安全IP地址的情况下,将所述第一源IP地址修改为WAF的外网IP地址、所述第一目的IP地址修改为Web服务器的私网IP地址,生成第二访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址;
第一转发模块,用于根据所述Web服务器的私网IP地址将所述第二访问请求报文转发到对应的Web服务器。
根据本公开的另一方面,提供了一种报文安全转发装置,所述装置应用于WAF,所述装置包括:
第四接收模块,用于接收位于外网的客户端发送的第三访问请求报文;
确定模块,用于根据第三访问请求报文携带的域名信息,确定所述域名对应的Web服务器的IP地址;
请求模块,用于若所述IP地址为安全IP地址,则向所述安全IP地址对应的web服务器发送第一访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址,WAF与所述安全IP地址对应的Web服务器位于不同的VPN内。
根据本公开的另一方面,提供了一种SDN网络系统,包括:SDN控制器、防火墙、WAF和web服务器,所述防火墙用于执行上述防火墙执行的方法,所述WAF用于上述WAF执行的方法。
根据本公开的另一方面,提供了一种报文安全转发装置,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行上述防火墙执行的方法。
通过在防火墙FW配置WAF的外网IP,并对外网网关发布路由,配置Web服务器的安全IP地址,不对外发布路由。FW可以将接收到的,与Web服务器位于不用虚拟路由器内的WAF发送的访问请求报文,转发给Web服务器,可以实现WAF对位于不同虚拟路由器内的Web服务器的保护。同时,WAF处理访问请求报文的方式没有改变,也不影响WAF对位于同一虚拟路由器内的Web服务器的保护。因此,对于跨数据中心的私有的租户网络,在租户网络内部部署一个WAF设备,就可以实现对租户网络内所有的Web服务器的保护。
根据本公开的报文安全转发方法及装置,可以实现一个WAF既可以保护与WAF位于同一虚拟路由器内的Web服务器,又可以保护与WAF位于不同虚拟路由器内的Web服务器,可以提高WAF的利用率,简化WAF组网配置,节省了不同虚拟路由器间架设WAF的成本。用户可以在租户网络内使用一台WAF就能完成所有VPN实例内的Web服务器的保护。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出根据一示例的WAF反向代理方法示意图。
图2示出根据本公开一实施例的报文安全转发方法的流程图。
图3示出根据本公开一实施例的报文安全转发方法的流程图。
图4示出根据本公开一实施例的报文安全转发方法应用场景示意图。
图5示出根据本公开一实施例的报文安全转发方法的流程图。
图6示出根据本公开一实施例的报文安全转发方法的流程图。
图7示出根据本公开一实施例的报文安全转发方法应用场景示意图。
图8示出根据本公开一实施例的报文安全转发方法的信令交互示意图。
图9示出根据本公开一实施例的报文安全转发装置的框图。
图10示出根据本公开一实施例的报文安全转发装置的框图。
图11示出根据本公开一实施例的报文安全转发装置的框图。
图12示出根据本公开一实施例的报文安全转发装置的框图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
图1示出根据一示例的WAF反向代理方法示意图。如图1中的虚线1路线所示,对于同一虚拟路由器内的WAF和Web服务器,图1所示的VTEP(VXLAN Tunnel End Point,VXLAN隧道端点)1可以表示一虚拟路由器,图1中用Server1表示与WAF位于同一虚拟路由器内的Web服务器,外网访问Server1的流程可以为:
S900,外网客户端发起访问请求,访问请求的目的域名为Web服务器Server1的目的域名,访问请求的目的IP地址是WAF的外网IP地址;
其中,需要说明的是上述访问请求可以为HTTP请求,也可以为HTTPS请求或者其他网络协议的请求。本公开仅仅是以HTTP为例进行说明,但应当理解的是,本公开对于访问请求所遵循的应用层的网络协议并不加以限定。
S901,VTEP1可以接收到外网客户端发送的HTTP请求报文,发现目的IP地址为WAF的外网IP地址,对WAF的外网IP地址进行NAT转换,将该HTTP请求报文的目的IP地址修改为WAF的私网IP地址,并将该HTTP请求通过VTEP1报文转到WAF所在私网。
S902,WAF收到HTTP请求报文,对HTTP请求报文进行安全策略匹配,当请求合法时,解析HTTP请求报文后获取域名信息,并进行域名映射找到Server1的私网IP地址,并将HTTP请求报文的目的IP地址修改为Server1的私网IP地址、源IP地址修改为WAF的私网IP地址;
S903,WAF将修改后的HTTP请求报文转发到Server1,并收到Server1的HTTP回应信息。WAF收到HTTP回应信息后,将HTTP回应信息送往VTEP1;
S904,VTEP1做NAT转换后将HTTP回应信息源IP地址中WAF的私网IP地址修改为WAF的外网IP地址,并将修改后的HTTP回应信息送往客户端。
这对外部网络来说,访问Web服务器即访问WAF的外网IP地址,可以实现同一虚拟路由器内Web服务器保护。
如图1所示,以SDN(Software Defined Network,软件定义网络)网络为例,VTEP1和VTEP2可以为两个不同虚拟路由器的隧道端点设备,一般来说,VTEP设备可以具备网关的功能,当然网关与VTEP也可以为独立的两个设备,WAF和Web服务器可能位于不同的VPN(Virtual Private Network,虚拟专用网络)内,如图1所示,VTEP1下挂WAF和Server1,VTEP2下挂Web服务器Server2和Server3,其中Server2和Server3与WAF位于不同的VPN内。
通常情况下,对于位于不同VPN内的WAF和Web服务器,需要在外网网关GW(GateWay)配置WAF的外网IP地址以及Web服务器的外网IP地址、并对外发布路由,以保证WAF和Web服务器之间可达。
如图1中的虚线2路线所示,以WAF和Server3为例,当WAF收到外网发送的HTTP请求时,对于合法的请求,解析HTTP请求报文后获取目的域名,并进行域名映射找到Server3的外网IP地址,然后WAF通过外网网关GW将HTTP请求转发到Server3。
因此,在外网网关GW配置Web服务器的外网IP地址、并对外发布路由,将导致Web服务器的外网IP地址暴露到外网网关GW,客户端可绕过WAF来对Server3进行访问,WAF无法保护跨VPN的Server3。
对于跨数据中心的私有的租户网络,在租户网络内部部署一个WAF设备无法实现对租户网络内所有的Web服务器的保护。
为了解决上述技术问题,本公开提供了一种报文安全转发方法。
图2示出根据本公开一实施例的报文安全转发方法的流程图。该方法可以应用于WAF,该方法可以包括:
步骤S11,接收位于外网的客户端发送的第三访问请求报文。
位于外网的客户端可以是指位于公网的客户端,客户端需要访问与WAF属于同一租户的Web服务器时,通过访问WAF的外网IP地址、向WAF发送访问请求报文即可实现。
其中,第三访问请求报文可以是HTTP/HTTPS请求报文,或者其他网络协议的访问请求报文。下文仅仅是以HTTP为例进行说明,HTTP请求报文可以包括报文的源IP地址、目的IP地址以及要访问的Web服务器的域名信息等。
步骤S12,根据第三访问请求报文携带的域名信息,确定所述域名对应的Web服务器的IP地址。
WAF可以解析HTTP请求报文获取域名信息,并进行域名映射确定所述域名对应的Web服务器的IP地址。
步骤S13,若所述IP地址为安全IP地址,则向安全IP地址对应的Web服务器发送第一访问请求报文,其中,安全IP地址为未对外发布路由的IP地址,WAF与安全IP地址对应的Web服务器位于不同的VPN内。
其中,安全IP地址可以是在WAF内配置的与WAF位于不同虚拟路由器(不同VPN)内的Web服务器的IP地址,安全IP地址为未对外发布路由的IP地址。
如图1所示,WAF收到的HTTP请求报文可以是访问与WAF位于同一虚拟路由器内的Server1,也可以是访问与WAF位于不同虚拟路由器内的Server2或Server3。根据确定的与域名对应的Web服务器的IP地址,WAF可以确定HTTP请求要访问的Web服务器。
WAF可以对IP地址进行判断,若所述IP地址为与WAF处于同一VPN的IP地址,WAF可以确定客户端要访问的Web服务器为Server1,可以将HTTP请求报文的目的地址修改为Server1的私网IP地址、源地址修改为WAF的私网IP地址,并向所述Web服务器发送HTTP请求报文。当然,与WAF处于同一VPN的Web服务器可能不仅仅是一个,本实施例中仅以一个为例进行说明,但应当理解的是,不应当以该示例作为对数量的限制。
若所述IP地址为安全IP地址,在一种可能的实现方式中,WAF可以将HTTP请求报文的源IP地址修改为WAF的私网IP地址、目的IP地址修改为所述安全IP地址,生成第一访问请求报文,并将第一访问请求报文发送给所述安全IP地址对应的Web服务器,例如,Server2或Server3。
在一种可能的实现方式中,则向所述安全IP地址对应的Web服务器发送第一访问请求报文,可以包括:
向防火墙发送第一访问请求报文,以使防火墙将所述第一访问请求报文的源IP地址修改为WAF的外网IP地址、目的IP地址修改为Web服务器的私网IP地址,并发送给所述安全IP地址对应的Web服务器。
举例来说,第一访问请求报文的目的IP地址为上述安全IP地址,不是WAF所在VPN的私网IP地址,WAF可以先通过默认路由将第一访问请求报文发送的WAF所在VPN的服务网关,服务网关接收到第一访问请求报文后可以发送给防火墙,防火墙接收到所述第一访问请求报文后,可以根据所述安全IP地址确定Web服务器的私网IP地址,并将所述第一访问请求报文的源IP地址修改为WAF的外网IP地址、目的IP地址修改为Web服务器的私网IP地址,发送给所述安全IP地址对应的Web服务器。
根据本公开的报文安全转发方法,由于该安全IP地址未对外发布路由,因而不存在通过外网网关泄露web服务器的IP地址的问题,因此可以实现WAF对与WAF位于不同虚拟路由器内的Web服务器的保护。
图3示出根据本公开一实施例的报文安全转发方法的流程图,该方法可以应用于安装有防火墙的网络安全设备,例如,路由器、交换机等。
图4示出根据本公开一实施例的报文安全转发方法应用场景示意图。如图4所示,WAF和Web服务器Server位于两个不同虚拟路由器,两者可以共用一个FW(Fire Wall,防火墙)。其中,在FW上可以配置WAF的外网IP,并对外网网关发布路由,在FW上可以配置Server的安全IP地址,不对外发布路由。
所述方法可以包括:
步骤S21,接收WAF发送的第一访问请求报文,并获取所述第一访问请求报文的第一源IP地址和第一目的IP地址。
步骤S22,在第一源IP地址为WAF的私网IP地址、第一目的IP地址为Web服务器的安全IP地址的情况下,将第一源IP地址修改为WAF的外网IP地址、第一目的IP地址修改为Web服务器的私网IP地址,生成第二访问请求报文,其中,安全IP地址为未对外发布路由的IP地址。
步骤S23,根据Web服务器的私网IP地址将第二访问请求报文转发到对应的Web服务器。
如图4所示,WAF向防火墙发送第一访问请求报文,防火墙FW可以接收所述第一访问请求报文,并获取所述第一访问请求报文的第一源IP地址和第一目的IP地址。
若所述第一源IP地址为WAF的私网IP地址、所述第一目的IP地址为Web服务器的安全IP地址,FW可以将所述第一源IP地址修改为WAF的外网IP地址、所述第一目的IP地址修改为Web服务器的私网IP地址,生成第二访问请求报文,并将所述第二访问请求报文转发到对应的Web服务器。
将第一源IP地址修改为WAF的外网IP地址,这样,Web服务器向WAF发送回应报文时,可以通过WAF的外网IP地址访问WAF,也就是可以使得回应报文通过外网网关到达WAF。
在一种可能的实现方式中,对第一访问请求报文的修改可以通过以下方式实现,以SDN网络为例,SDN控制器可以向FW下发流表,流表匹配项的源IP地址为WAF的私网IP地址、目的IP地址为Web服务器的安全IP地址,流表的动作项为:修改源IP地址为WAF的外网IP,修改目的IP地址为与Web服务器的安全IP地址对应的Web服务器的私网IP地址。
在FW接收到第一访问请求报文,在第一访问请求报文的第一源IP地址、第一目的IP地址与上述流表匹配成功的情况下,FW可以根据流表的动作项,将第一访问请求报文的第一源IP地址修改为WAF的外网IP地址、第一目的IP地址修改为相应的Web服务器的私网IP地址,生成第二访问请求报文。
通过在防火墙FW配置WAF的外网IP,并对外网网关发布路由,配置Web服务器的安全IP地址,不对外发布路由,FW可以将接收到的、与Web服务器位于不用虚拟路由器内的WAF发送的访问请求报文,转发给Web服务器,可以实现WAF对位于不同虚拟路由器内的Web服务器的保护。同时,WAF处理访问请求报文的方式没有改变,也不影响WAF对位于同一虚拟路由器内的Web服务器的保护。因此,对于跨数据中心的私有的租户网络,在租户网络内部部署一个WAF设备,就可以实现对租户网络内所有的Web服务器的保护,简化WAF组网配置。
根据本公开的报文安全转发方法,可以实现一个WAF既可以保护与WAF位于同一虚拟路由器内的Web服务器,又可以保护与WAF位于不同虚拟路由器内的Web服务器,可以提高WAF的利用率,简化WAF组网配置,节省了不同虚拟路由器间架设WAF的成本。用户可以在租户网络内使用一台WAF就能完成所有VPN实例内的Web服务器的保护。
图5示出根据本公开一实施例的报文安全转发方法的流程图,如图5所示,方法还包括:
步骤S24,接收Web服务器发送的针对第二访问请求报文的第一回应报文,并获取第一回应报文的第二源IP地址和第二目的IP地址,第二源IP地址为Web服务器的私网IP地址;
步骤S25,在第二目的IP地址为WAF的外网IP地址的情况下,将第二源IP地址修改为Web服务器的安全IP地址,生成第二回应报文,将第二回应报文转发到外网网关。
如图4所示,FW将第二访问请求报文转发到对应的Web服务器,Web服务器接收到第二访问请求报文后可以对第二访问请求报文做出回应,向FW发送上述第一回应报文,该第一回应报文的目的IP地址可以为WAF的外网IP地址、源IP地址可以为Web服务器的私网IP地址。
其中,Web服务器对第二访问请求报文做出的回应可以为:返回静态html/htm页面,或者动态页面ASP(Active Server Pages,动态服务器页面)、ASPX(ASP.NET)、PHP(PHP:Hypertext Preprocessor,超文本预处理器)、JSP(Java Server Pages,JAVA服务器页面)、CGI(Common Gateway Interface,公共网关接口)等,本公开对此不作限定。
FW可以接收Web服务器发送的针对所述第二访问请求报文的第一回应报文,并获取第一回应报文的第二源IP地址:Web服务器的私网IP地址、以及第二目的IP地址。
在第二目的IP地址为WAF的外网IP地址的情况下,FW需要将第一回应报文发送到外网网关。为了保护Web服务器的私网IP地址,此时,WAF需要先将第二源IP地址修改为Web服务器的安全IP地址,生成第二回应报文,再将第二回应报文转发到外网网关。
通过上述实施例的报文安全转发方法,既可以保证Web服务器的回应报文可以到达WAF,又能够保证Web服务器的私网IP地址不会暴露给外网网关。
图6示出根据本公开一实施例的报文安全转发方法的流程图,如图6所示,方法还包括:
步骤S26,接收外网网关发送的第二回应报文,并获取第二回应报文的第三目的IP地址。
如图4所示,外网网关接收到第二回应报文后,可以获取第二回应报文的目的IP地址,第二回应报文的目的IP地址为WAF的外网IP地址,此时外网网关可以将第二回应报文发送给FW。
FW接收到第二回应报文后,获取第二回应报文的第三目的IP地址:WAF的外网IP地址。
步骤S27,将所述第三目的IP地址修改为所述WAF的私网IP地址,生成第三回应报文。
步骤S28,根据所述WAF的私网IP地址将所述第三回应报文转发给WAF。
在一种可能的实现方式中,FW可以对第二回应报文的目的IP地址进行NAT转换,即将第三目的IP地址修改为WAF的私网IP地址,生成第三回应报文(如图4所示),并根据WAF的私网IP地址将第三回应报文转发给WAF。
WAF接收到第三回应报文,可以将第三回应报文的目的IP地址修改为发起HTTP请求的客户端的IP地址、源IP地址为WAF的私网IP地址生成第四回应报文(未图示),然后WAF可以将第四回应报文发送给FW。
FW接收到第四回应报文后,可以将第四回应报文的源IP地址修改外WAF的外网IP地址,并转发给外网网关,外网网关可以根据目的IP地址发送给客户端。
客户端接收到外网网关发送的HTTP回应报文后,可以获得相应的Web服务。
通过上述实施例的报文安全转发方法,可以实现将Web服务器的回应报文安全转发到WAF,并不暴露Web服务器的私网IP地址,从而可以实现WAF对与WAF位于不同虚拟路由器内的Web服务器的保护。
应用示例
在一种可能的实现方式中,本公开的报文安全转发方法可以应用于SDN网络系统,该系统可以包括:SDN控制器、防火墙FW、WAF和web服务器。图7示出根据本公开一示例的报文安全转发方法应用场景示意图。
图8示出根据本公开一实施例的报文安全转发方法的信令交互示意图。
如图7所示,GW1和GW2为两个不同虚拟路由器的服务网关,两台服务网关可以共用一个FW(Fire Wall,防火墙)服务资源。其中,在FW上可以配置WAF的外网IP,并对外网网关发布路由,在FW上可以配置Web服务器Server的安全IP地址,不对外发布路由。
服务网关,可以理解为集成了防火墙、负载均衡等功能的网关,但一般网关本身不提供这些服务,都是有专门的设备来提供服务,在部署中将这些设备旁挂在网关旁边来提供服务的。流量经过防火墙、负载均衡等服务时,该网关即为服务网关。
SDN控制器可以向FW下发流表,流表匹配项的源IP地址为WAF的私网IP地址、目的IP地址为Web服务器Server的安全IP地址,流表的动作项为:修改源IP地址为WAF的外网IP,修改目的IP地址为相应的Web服务器的私网IP。
需要说明的是,图3所示的示例仅仅是一个示例,本领域技术人员可以理解的是,可以由多台服务网关GW公用一个FW,其中一台服务网关GW的VTEP下架设WAF,其他服务网关GW下的VTEP下架设Web服务器。相应的,FW上可以下发多条流表,不同流表表项的匹配项的目的IP地址,可以对应不同服务网关GW下的VTEP下架设Web服务器的安全IP地址。
此外,应当理解的是,本公开所提供的报文安全转发方法也可以应用于传统的二三层网络中,可以通过访问控制列表(Access Control List,ACL)修改目的IP地址为相应的Web服务器的私网IP。本实施例所提供的应用示例不应当理解为对应用场景的限制。
为了更清楚的描述本公开的报文安全转发方法,下面以图7和图8所示示例对整个过程进行完整的说明。
如图8所示,客户端通过外网网关发起HTTP请求,HTTP请求的目的IP地址为WAF的外网IP地址。FW上配置有WAF的外网IP地址,并对外网网关发布路由,因此,外网客户端可通过WAF的外网IP访问WAF。
步骤1:外网网关将HTTP请求报文发送给FW,FW接收HTTP请求报文,FW获取HTTP请求报文的目的IP地址为WAF的外网IP地址。
FW接收到目的IP地址为WAF的外网IP地址的HTTP请求报文,可以将HTTP请求报文的目的IP地址进行NAT转换,以将HTTP请求报文的目的IP地址修改为WAF的私网IP地址,生成第三访问请求报文。
步骤2,FW将修改后的HTTP请求报文(第三访问请求报文)发送给WAF:如图7所示,FW将第三访问请求报文封装成VXLAN报文后,可以通过WAF的下一跳出接口转发给GW1;由GW1对HTTP请求报文解VXLAN封装,根据目的IP地址查找路由表确定下一跳,然后重新进行VXLAN封装后转发到下一跳VTEP1;VTEP1接收到HTTP请求报文后进行VXLAN解封装,根据目的MAC地址转发到相应的WAF。
此时,如图2所示,WAF接收第三访问请求报文;根据第三访问请求报文携带的域名信息,进行域名映射确定所述域名对应的Web服务器的IP地址;若所述IP地址为安全IP地址,则将第三访问请求报文的源IP地址修改为WAF的私网IP地址、目的IP地址修改为Web服务器的安全IP地址,生成第一访问请求报文,并向所述安全IP地址对应的Web服务器发送第一访问请求报文。
具体地,步骤3,WAF可以将第一请求报文发送给FW:如图7所示,WAF可以将第一访问请求报文发送给VTEP1,由于所述安全IP地址不是WAF所在私网的IP地址,VTEP1接收到第一访问请求报文后可以对第一访问请求报文进行VXLAN封装,并通过默认路由发送给第一网关GW1;GW1收到第一访问请求报文后,可以通过与第一访问请求报文相应的VSI(VirtualSwitch Instance,虚拟交换实例,VSI与VXLAN一一对应)解VXLAN封装并根据VXLAN获取VPN信息,在VPN实例内匹配路由并将第一访问请求报文发送给FW。
如图3所示,FW可以接收第一访问请求报文,并获取第一访问请求报文的第一源地址、第一目的地址,如上,第一源IP地址可以为WAF的私网IP地址、第一目的IP地址可以为Web服务器的安全IP地址。
FW可以将第一源IP地址与流表匹配项的源IP地址进行匹配,将第一目的IP地址与流表匹配项的目的IP地址进行匹配。
在匹配成功的情况下,由于FW配置有Web服务器的私网IP地址,如图8所示,FW可以根据流表的动作项,将第一访问请求报文的第一源地址修改为WAF的外网IP地址、第一目的IP地址修改为相应的Web服务器的私网IP地址,生成第二访问请求报文。
步骤4,FW将第二访问请求报文发送给所述安全IP地址对应的Web服务器Server:如图7所示,FW可以将第二访问请求报文转发到GW2,GW2接收到第二访问请求报文后可以根据入接口获取VPN信息,在VPN实例内查找路由表,并对第二访问请求报文进行VXLAN封装送往VTEP2,VTEP2接收到第二访问请求报文后可以接VXLAN封装,并转发到下挂的Web服务器Server。
Web服务器Server接收到第二访问请求后可以做出回应,如图8步骤5,向FW发送第一回应报文,第一回应报文的目的IP地址可以为WAF的外网IP地址、源IP地址可以为Web服务器Server的私网IP地址。
如图7所示,Server可以向VTEP2发送上述第一回应报文,VTEP2接收到第一回应报文,可以对第一回应报文进行VXLAN封装后转发给第二网关GW2,第二网关GW2接收到第一回应报文后进行VXLAN解封装后转发给FW。
如图5所示,FW可以接收所述Web服务器发送的针对所述第二访问请求报文的第一回应报文,并获取所述第一回应报文的第二源IP地址和第二目的IP地址,所述第二源IP地址为Web服务器的私网IP地址。
在所述第二目的IP地址为WAF的外网IP地址的情况下,将所述第二源IP地址修改为Web服务器的安全IP地址,生成第二回应报文。
如图8所示步骤6,FW可以将所述第二回应报文转发到外网网关。
如图8所示步骤7,外网网关接收到第二回应报文后,根据第二回应报文的目的IP地址(WAF的外网IP地址)将第二回应报文发送给FW。
FW接收到外网网关发送的第二回应报文后,可以获取第二回应报文目的地址:WAF的外网IP地址。FW可以对WAF的外网IP地址进行NAT转换,以将第二回应报文的目的IP地址修改为WAF的私网IP地址,生成第三回应报文。
如图8所示步骤8,FW将第三回应报文发送给WAF:如图7所示,FW可以通过匹配路由,对第三回应报文进行VXLAN封装,并通过WAF的下一跳出接口转发给GW1;GW1对第三回应报文解VXLAN封装,根据目的IP地址(WAF的私网IP地址)查找路由表确定下一跳,然后重新进行VXLAN封装后转发到下一跳VTEP1;VTEP1接收到第三回应报文后进行VXLAN解封装,根据目的MAC地址转发到相应的WAF。
WAF接收到第三回应报文,可以将第三回应报文的目的IP地址修改为发起HTTP请求的客户端的IP地址、源IP地址为WAF的私网IP地址生成第四回应报文,然后WAF可以将第四回应报文发送给FW(如图8所示步骤9,具体封装、路由过程不再赘述,参见步骤3的描述)。
FW接收到第四回应报文后,可以将第四回应报文的源IP地址修改外WAF的外网IP地址,并转发给外网网关(如图8所示步骤10),外网网关可以根据目的IP地址发送给客户端。
客户端接收到外网网关发送的HTTP回应报文后,可以获得相应的Web服务。
图9示出根据本公开一实施例的报文安全转发装置的框图,该装置可以应用于安装有防火墙的网络安全设备,例如,路由器、交换机等。如图9所示,该装置包括:
第一接收模块91,用于接收Web应用防护系统WAF发送的第一访问请求报文,并获取所述第一访问请求报文的第一源IP地址和第一目的IP地址;
第一修改模块92,用于在所述第一源IP地址为WAF的私网IP地址、所述第一目的IP地址为Web服务器的安全IP地址的情况下,将所述第一源IP地址修改为WAF的外网IP地址、所述第一目的IP地址修改为Web服务器的私网IP地址,生成第二访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址;
第一转发模块93,用于根据所述Web服务器的私网IP地址将所述第二访问请求报文转发到对应的Web服务器。
根据本公开的报文安全转发装置,可以实现一个WAF既可以保护与WAF位于同一虚拟路由器内的Web服务器,又可以保护与WAF位于不同虚拟路由器内的Web服务器,可以提高WAF的利用率,简化WAF组网配置,节省了不同虚拟路由器间架设WAF的成本。用户可以在租户网络内使用一台WAF就能完成所有VPN实例内的Web服务器的保护。
图10示出根据本公开一实施例的报文安全转发装置的框图。如图10所示,该装置还包括:
第二接收模块94,用于接收所述Web服务器发送的针对所述第二访问请求报文的第一回应报文,并获取所述第一回应报文的第二源IP地址和第二目的IP地址,所述第二源IP地址为Web服务器的私网IP地址;
第二修改模块95,用于在所述第二目的IP地址为WAF的外网IP地址的情况下,将所述第二源IP地址修改为Web服务器的安全IP地址,生成第二回应报文,将所述第二回应报文转发到外网网关。
在一种可能的实现方式中,所述装置还包括:
第三接收模块96,用于接收外网网关发送的第二回应报文,并获取所述第二回应报文的第三目的IP地址;
第三修改模块97,用于将所述第三目的IP地址修改为所述WAF的私网IP地址,生成第三回应报文;
第三转发模块98,用于根据所述WAF的私网IP地址将第三回应报文转发给WAF。
图11示出根据本公开一实施例的报文安全转发装置的框图,该装置可以应用于WAF,所述装置包括:
第四接收模块1101,用于接收位于外网的客户端发送的第三访问请求报文;
确定模块1102,用于根据第三访问请求报文携带的域名信息,确定所述域名对应的Web服务器的IP地址;
请求模块1103,用于若所述IP地址为安全IP地址,则向所述安全IP地址对应的Web服务器发送第一访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址,WAF与所述安全IP地址对应的Web服务器位于不同的VPN内。
根据本公开的报文安全转发装置,由于该安全IP地址未对外发布路由,因而不存在通过外网网关泄露web服务器的IP地址的问题,因此可以实现WAF对与WAF位于不同虚拟路由器内的Web服务器的保护。
图12是根据一示例性实施例示出的一种用于报文安全转发装置900的框图。参照图12,该装置900可包括处理器901、存储有机器可执行指令的机器可读存储介质902。处理器901与机器可读存储介质902可经由系统总线903通信。并且,处理器901通过读取机器可读存储介质902中与报文安全转发逻辑对应的机器可执行指令以执行上文的报文安全转发方法。
本文中提到的机器可读存储介质902可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好地解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种报文安全转发方法,其特征在于,所述方法应用于安装有防火墙的网络安全设备,所述方法包括:
接收Web应用防护系统WAF发送的第一访问请求报文,并获取所述第一访问请求报文的第一源IP地址和第一目的IP地址;
在所述第一源IP地址为WAF的私网IP地址、所述第一目的IP地址为Web服务器的安全IP地址的情况下,将所述第一源IP地址修改为WAF的外网IP地址、所述第一目的IP地址修改为Web服务器的私网IP地址,生成第二访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址;
根据所述Web服务器的私网IP地址将所述第二访问请求报文转发到对应的Web服务器;
其中,WAF与所述安全IP地址对应的Web服务器位于不同的虚拟专用网络VPN内。
2.根据权利要求1所述的报文安全转发方法,其特征在于,所述方法还包括:
接收所述Web服务器发送的针对所述第二访问请求报文的第一回应报文,并获取所述第一回应报文的第二源IP地址和第二目的IP地址,所述第二源IP地址为Web服务器的私网IP地址;
在所述第二目的IP地址为WAF的外网IP地址的情况下,将所述第二源IP地址修改为Web服务器的安全IP地址,生成第二回应报文,将所述第二回应报文转发到外网网关。
3.根据权利要求2所述的报文安全转发方法,其特征在于,所述方法还包括:
接收外网网关发送的第二回应报文,并获取所述第二回应报文的第三目的IP地址;
将所述第三目的IP地址修改为所述WAF的私网IP地址,生成第三回应报文;
根据所述WAF的私网IP地址将所述第三回应报文转发给WAF。
4.一种报文安全转发方法,其特征在于,所述方法应用于WAF,所述方法包括:
接收位于外网的客户端发送的第三访问请求报文;
根据第三访问请求报文携带的域名信息,确定所述域名对应的Web服务器的IP地址;
若所述IP地址为安全IP地址,则向所述安全IP地址对应的Web服务器发送第一访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址,WAF与所述安全IP地址对应的Web服务器位于不同的虚拟专用网络VPN内。
5.一种报文安全转发装置,其特征在于,所述装置应用于安装有防火墙的网络安全设备,所述装置包括:
第一接收模块,用于接收Web应用防护系统WAF发送的第一访问请求报文,并获取所述第一访问请求报文的第一源IP地址和第一目的IP地址;
第一修改模块,用于在所述第一源IP地址为WAF的私网IP地址、所述第一目的IP地址为Web服务器的安全IP地址的情况下,将所述第一源IP地址修改为WAF的外网IP地址、所述第一目的IP地址修改为Web服务器的私网IP地址,生成第二访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址;
第一转发模块,用于根据所述Web服务器的私网IP地址将所述第二访问请求报文转发到对应的Web服务器;
其中,WAF与所述安全IP地址对应的Web服务器位于不同的虚拟专用网络VPN内。
6.根据权利要求5所述的报文安全转发装置,其特征在于,所述装置还包括:
第二接收模块,用于接收所述Web服务器发送的针对所述第二访问请求报文的第一回应报文,并获取所述第一回应报文的第二源IP地址和第二目的IP地址,所述第二源IP地址为Web服务器的私网IP地址;
第二修改模块,用于在所述第二目的IP地址为WAF的外网IP地址的情况下,将所述第二源IP地址修改为Web服务器的安全IP地址,生成第二回应报文,将所述第二回应报文转发到外网网关。
7.根据权利要求6所述的报文安全转发装置,其特征在于,所述装置还包括:
第三接收模块,用于接收外网网关发送的第二回应报文,并获取所述第二回应报文的第三目的IP地址;
第三修改模块,用于将所述第三目的IP地址修改为所述WAF的私网IP地址,生成第三回应报文;
第三转发模块,用于根据所述WAF的私网IP地址将第三回应报文转发给WAF。
8.一种报文安全转发装置,其特征在于,所述装置应用于WAF,所述装置包括:
第四接收模块,用于接收位于外网的客户端发送的第三访问请求报文;
确定模块,用于根据第三访问请求报文携带的域名信息,确定所述域名对应的Web服务器的IP地址;
请求模块,用于若所述IP地址为安全IP地址,则向所述安全IP地址对应的Web服务器发送第一访问请求报文,其中,所述安全IP地址为未对外发布路由的IP地址,WAF与所述安全IP地址对应的Web服务器位于不同的VPN内。
9.一种SDN网络系统,包括:SDN控制器、防火墙、WAF和web服务器,所述防火墙用于执行所述权利要求1-3任一项所述的方法,所述WAF用于执行权利要求4所述的方法。
10.一种报文安全转发装置,其特征在于,包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述权利要求1-3任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710908820.4A CN107547659B (zh) | 2017-09-29 | 2017-09-29 | 报文安全转发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710908820.4A CN107547659B (zh) | 2017-09-29 | 2017-09-29 | 报文安全转发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107547659A CN107547659A (zh) | 2018-01-05 |
| CN107547659B true CN107547659B (zh) | 2020-08-11 |
Family
ID=60964703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710908820.4A Active CN107547659B (zh) | 2017-09-29 | 2017-09-29 | 报文安全转发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107547659B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112866245B (zh) * | 2021-01-18 | 2022-09-09 | 中国工商银行股份有限公司 | 报文路由方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101052009A (zh) * | 2007-05-14 | 2007-10-10 | 中兴通讯股份有限公司 | 私网网元用公网地址借助nat设备实现内部访问的方法 |
| CN101136926A (zh) * | 2007-10-12 | 2008-03-05 | 杭州华三通信技术有限公司 | 非对称路由情况下的报文转发方法及网络地址转换网关 |
| US8019889B1 (en) * | 2002-05-31 | 2011-09-13 | Cisco Technology, Inc. | Method and apparatus for making end-host network address translation (NAT) global address and port ranges aware |
| CN102821036A (zh) * | 2012-04-20 | 2012-12-12 | 杭州华三通信技术有限公司 | 一种实现报文转发的方法及设备 |
| CN105141621A (zh) * | 2015-09-16 | 2015-12-09 | 北京星网锐捷网络技术有限公司 | 网络访问的监控方法及装置 |
| CN106453272A (zh) * | 2015-10-30 | 2017-02-22 | 远江盛邦(北京)网络安全科技股份有限公司 | 透明反向代理模式下的 ip 地址还原方法 |
-
2017
- 2017-09-29 CN CN201710908820.4A patent/CN107547659B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8019889B1 (en) * | 2002-05-31 | 2011-09-13 | Cisco Technology, Inc. | Method and apparatus for making end-host network address translation (NAT) global address and port ranges aware |
| CN101052009A (zh) * | 2007-05-14 | 2007-10-10 | 中兴通讯股份有限公司 | 私网网元用公网地址借助nat设备实现内部访问的方法 |
| CN101136926A (zh) * | 2007-10-12 | 2008-03-05 | 杭州华三通信技术有限公司 | 非对称路由情况下的报文转发方法及网络地址转换网关 |
| CN102821036A (zh) * | 2012-04-20 | 2012-12-12 | 杭州华三通信技术有限公司 | 一种实现报文转发的方法及设备 |
| CN105141621A (zh) * | 2015-09-16 | 2015-12-09 | 北京星网锐捷网络技术有限公司 | 网络访问的监控方法及装置 |
| CN106453272A (zh) * | 2015-10-30 | 2017-02-22 | 远江盛邦(北京)网络安全科技股份有限公司 | 透明反向代理模式下的 ip 地址还原方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107547659A (zh) | 2018-01-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6648308B2 (ja) | パケット伝送 | |
| US8259571B1 (en) | Handling overlapping IP addresses in multi-tenant architecture | |
| CA2383247C (en) | External access to protected device on private network | |
| KR102281685B1 (ko) | 공격들에 대해 방어하기 위한 네트워크 트래픽 처리 | |
| US8423631B1 (en) | Intelligent sorting for N-way secure split tunnel | |
| Nordström et al. | Serval: An {End-Host} stack for {Service-Centric} networking | |
| US10015132B1 (en) | Network virtualization for container-based cloud computation using locator-identifier separation protocol | |
| CN107948150B (zh) | 报文转发方法及装置 | |
| US8601567B2 (en) | Firewall for tunneled IPv6 traffic | |
| WO2015192563A1 (zh) | 一种实现负载均衡的方法、装置及负载均衡服务系统 | |
| US20160149748A1 (en) | Network address translation | |
| US11677717B2 (en) | Unified network service that connects multiple disparate private networks and end user client devices operating on separate networks | |
| US20140301387A1 (en) | Network device mobility | |
| US9426069B2 (en) | System and method of cross-connection traffic routing | |
| EP3166262B1 (en) | Control device, control system, control method, and control program | |
| CN107547659B (zh) | 报文安全转发方法及装置 | |
| Kantola | Implementing trust-to-trust with customer edge switching | |
| CN115834291B (zh) | 分布式内网服务数据获取方法、装置、设备及存储介质 | |
| US9973530B2 (en) | Method for providing a connection between a communications service provider and an internet protocol, IP, server, providing a service, as well as a perimeter network, comprising the IP server, and an IP server providing the service | |
| CN116264518A (zh) | 基于云专线的云服务互访方法、系统、网络节点和介质 | |
| US7373423B2 (en) | Network infrastructure management and data routing framework and method thereof | |
| CN115211090A (zh) | 用于解析命名标识符的方法 | |
| US20240259290A1 (en) | Deploying symmetric routing | |
| KR101712922B1 (ko) | 동적 터널엔드 방식의 가상 사설 네트워크 시스템과 그를 위한 가상 라우터 및 매니저 장치 | |
| Chaitra et al. | Integration of software router with Wi-Fi for enhanced security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |