CN109167774B - 一种数据报文及在防火墙上的数据流安全互访方法 - Google Patents
一种数据报文及在防火墙上的数据流安全互访方法 Download PDFInfo
- Publication number
- CN109167774B CN109167774B CN201810968541.1A CN201810968541A CN109167774B CN 109167774 B CN109167774 B CN 109167774B CN 201810968541 A CN201810968541 A CN 201810968541A CN 109167774 B CN109167774 B CN 109167774B
- Authority
- CN
- China
- Prior art keywords
- address
- data
- header section
- data message
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明的一种数据报文,包括Mac头部段、IP头部段、新协议头部段、TCP/UDP头部段、数据载荷段以及FCS段,新协议头部段包括版本号字段以及优先级字段。本发明的数据报文在防火墙上的数据流安全互访方法,包括:建立数据报文格式,并更新转发协议;防火墙对数据报文进行解封装,若源IP地址和目标IP地址均为私有网络,将目标地址和接口地址对应表和接口策略表匹配,确认是否允许转发;若源IP地址和目标IP地址分别是私网地址和公网地址,如果允许转发则先进行NAT处理,然后再发送。本发明的方案实现简单,原理清晰,可以更有效地解决数据流在不同网络中的安全访问,提高了不同网络之间数据互访配置的灵活性。
Description
技术领域
本发明属于数据通信与网络安全技术领域,具体涉及一种数据报文,还涉及基于该数据报文在防火墙上的数据流安全互访方法
背景技术
目前传统防火墙采用的是区域划分的方法来区别网络的安全等级,传统防火墙的区域划分虽然合理地将不同接口划分为不同安全级别,以实现数据包在安全策略的允许下合法的访问,但如果要实现不同安全区域的访问必须配置域间缺省包过滤策略或者域间安全转发策略,域间缺省包过滤策略虽然配置简单,并且极少浪费系统资源,但是它的策略条件是极为宽泛的,换句话说,就是非常不精准,也不安全;而域间安全转发策略的策略条件是非常精确的,也是相对安全的,但是大量的配置工作会给设备带来不小的资源消耗,影响了设备处理性能。如果数据包需要在内网中的相同安全级别区域进行互访,当然少不了域内安全转发策略,这样做解决了安全性,但是失去了灵活性。所以传统防火墙的区域的划分方法,导致了安全转发策略的大量应用,这样就存在浪费设备系统资源,影响设备性能下降的缺陷。
发明内容
本发明的目的在于提供一种数据报文,使防火墙能通过该报文识别来自不同等级接口的数据,并根据协议报文中已使能的业务功能进行相应的执行动作。
本发明的目的还在于提供一种数据报文在防火墙上的数据流安全互访方法,解决了传统防火墙通过区域划分的方法以及安全转发策略的大量应用导致的浪费设备系统资源,影响设备性能下降的问题。
本发明所采用的一种技术方案是:一种数据报文,包括Mac头部段、IP头部段、新协议头部段、TCP/UDP头部段、数据载荷段以及FCS段,所述新协议头部段包括版本号字段以及优先级字段。
进一步的,所述新协议头部段还包括验证类型字段和哈希值字段。
更进一步的,所述验证类型字段包括不验证类型、MD5类型、SHA-1类型以及SHA-2。
本发明所采用另一种技术方案是:一种数据报文在防火墙上的数据流安全互访方法,包括以下步骤:
建立如上所述的数据报文,并在防火墙的各个接口或全局下使能该数据报文格式对应的新转发协议;
当数据报文经过防火墙时,防火墙对所述数据报文进行解封装,拆掉Mac头部段和IP头部段,分析所述数据报文的源IP地址和目标IP地址,若源IP地址和目标IP地址均为私有网络,则视为内部网络通信,防火墙将目标地址和接口地址对应表进行匹配,匹配成功之后,记录目标地址对应的接口,接着匹配接口策略表,确认是否允许此两种接口进行数据的来往,如果允许则转发,如果拒绝则丢弃所述数据报文;若源IP地址是私网地址、目标IP地址是公网地址或者源IP地址是公网地址、而目标IP地址是私网地址,防火墙将目标地址和接口地址对应表进行匹配,匹配成功之后,记录目标地址对应的接口,接着匹配接口策略表,确认是否允许此两种接口进行数据的来往,如果允许则先进行NAT处理,然后再转发,如果拒绝则丢弃所述数据报文。
进一步的,若源IP地址和目标IP地址均为私有网络,在进行转发之前,对所述数据报文的内容进行分析,若有额外业外功能使能,如果允许则转发,如果拒绝则丢弃所述数据报文。
进一步的,在转发之前,还包括对数据报文所包含的数据进行完整性验证的步骤,若新协议的头部段中的验证类型字段为验证类型,则发送者根据散列函数计算相应的哈希值,并记录在哈希值字段中,接受者收到数据包使用相同的散列函数进行计算,如果计算出的哈希值与发送者发送的哈希值相同,则确认数据完整,没有进行过篡改,进行接收,否则丢弃。
本发明的有益效果是:本发明提出了一种数据报文及在防火墙上的数据流安全互访的方法,此方案实现简单,原理清晰,可以更有效地解决数据流在不同网络中的安全访问,提高了不同网络之间数据互访配置的灵活性,并且实现了数据包之间的灵活访问,提供了数据完整性验证,弥补了传统防火墙区域划分及转发策略的大量使用带来的资源浪费,设备性能下降的不足。
附图说明
图1是本发明数据报文的格式图;
图2是图1中新协议头部的格式图。
具体实施方式
下面结合附图和具体实施方式对本发明进行详细说明。
本发明提供的数据报文的结构如图1和图2所示,包括Mac头部段、IP头部段、新协议头部段、TCP/UDP头部段、数据载荷段以及FCS段,新协议头部段包括版本号字段、优先级字段、验证类型字段以及哈希值字段。本实施例中,Mac头部段的数据长度为14B,IP头部段的数据长度为20B,TCP/UDP头部段的对应数据长度对应为20/8B、数据载荷段,FCS段的数据长度为4B,新协议头部段的数据长度为4B,版本号字段、优先级字段、验证类型字段以及哈希值字段的数据长度均为1B。
新协议头部段的各字段功能如下:
Version(版本号字段):暂定版本为1,该协议后续还会有其他版本;
Priority(优先级字段):接口设置的等级,越大等级越高;
Auth Type(验证类型字段):若需要对数据进行完整性验证,就要对此字段进行设置。参见表1,其中验证类型字段的0表示不验证,1表示MD5,2表示SHA-1,3表示SHA-2,等等:
数字符号 | 代表类型 |
0 | 不认证 |
1 | MD5 |
2 | SHA-1 |
3 | SHA-2 |
表1验证类型字段的数字符号与对应的代表类型对应表
Hash Value(哈希值字段):若Auth Type字段置位了,此字段是数据包进行相应验证方法的散列函数值;若没有置位,则此字段为0。
由于不同接口拥有不同Priority(等级),越大越优先,每个接口都会根据相应接口下的IP地址和子网掩码计算出相应的网络号,然后在全局下自动记录接口与网络的对应关系,类似Mac地址表中Mac地址与接口的对应关系,并事先配置好不同等级接口之间通信的策略,此策略不同于传统防火墙中的安全转发策略,此策略是针对于不同等级的接口,消耗系统资源较少,安全转发策略则针对的是不同区域以及不同区域间的网络,消耗系统资源较多。
同时,本发明还提供一种数据报文在防火墙上的数据流安全互访方法,包括以下步骤:
建立如上所述的数据报文格式,并在防火墙的各个接口或全局下使能该数据报文格式对应的新转发协议;
当发送者与接受者要进行通信时,数据报文经过防火墙时,防火墙对所述数据报文进行解封装,拆掉Mac头部段和IP头部段,分析数据报文的源IP地址和目标IP地址,若源IP地址和目标IP地址均为私有网络,则视为内部网络通信,防火墙将目标地址和接口地址对应表进行匹配,匹配成功之后,记录目标地址对应的接口,接着匹配接口策略表,确认是否允许此两种接口进行数据的来往,如果允许则转发,如果拒绝则丢弃数据报文;若源IP地址是私网地址、目标IP地址是公网地址,或者源IP地址是公网地址、而目标IP地址是私网地址,防火墙将目标地址和接口地址对应表进行匹配,匹配成功之后,记录目标地址对应的接口,接着匹配接口策略表,确认是否允许此两种接口进行数据的来往,如果允许则先进行NAT处理,然后再转发,如果拒绝则丢弃数据报文。
进一步的,若源IP地址和目标IP地址均为私有网络,在进行转发之前,对数据报文的内容进行分析,若有额外业外功能使能,如果允许则转发,如果拒绝则丢弃数据报文。
更进一步的,在转发之前,还包括对数据报文所包含的数据进行完整性验证的步骤,若新协议的头部段中的验证类型字段为验证类型,则发送者根据散列函数计算相应的哈希值,并记录在哈希值字段中,接受者收到数据包使用相同的散列函数进行计算,如果计算出的哈希值与发送者发送的哈希值相同,则认为数据完整,没有进行过篡改,进行接收,否则丢弃。具体的,在数据封装的时候对新协议报文头部中的Auth Type字段进行设置,参见表1,若此字段为0,表示不进行数据完整性验证,若不为0,始发段会根据相应的散列函数计算出相应的哈希值,并记录在Hash Value字段中;接受者接受到数据包使用相同的散列函数进行计算,如果计算出的哈希值与发送者发送的哈希值相同,则认为数据完整,没有进行过篡改等,否则丢弃。这一功能进一步的提高了安全性。
本发明数据报文及在防火墙上的数据流安全互访方法,利用新设计的协议及报文格式,使得数据包的访问能有条不紊的进行和被处理,弥补了传统防火墙在内网中不同安全区域间的访问需要策略配置带来的性能下降以及安全性上的不足,适合应用于中小型网络。
Claims (3)
1.一种数据报文在防火墙上的数据流安全互访方法,其特征在于,包括以下步骤:
建立一种数据报文,包括Mac头部段、IP头部段、新协议头部段、TCP/UDP头部段、数据载荷段以及FCS段,所述新协议头部段包括版本号字段以及优先级字段;所述新协议头部段还包括验证类型字段和哈希值字段;验证类型字段包括不验证类型、MD5类型、SHA-1类型以及SHA-2;并在防火墙的各个接口或全局下使能该数据报文格式对应的新转发协议;
当数据报文经过防火墙时,防火墙对所述数据报文进行解封装,拆掉Mac头部段和IP头部段,分析所述数据报文的源IP地址和目标IP地址,若源IP地址和目标IP地址均为私有网络,则视为内部网络通信,防火墙将目标地址和接口地址对应表进行匹配,匹配成功之后,记录目标地址对应的接口,接着匹配接口策略表,确认是否允许此两种接口进行数据的来往,如果允许则转发,如果拒绝则丢弃所述数据报文;若源IP地址是私网地址、目标IP地址是公网地址或者源IP地址是公网地址、而目标IP地址是私网地址,防火墙将目标地址和接口地址对应表进行匹配,匹配成功之后,记录目标地址对应的接口,接着匹配接口策略表,确认是否允许此两种接口进行数据的来往,如果允许则先进行NAT处理,然后再转发,如果拒绝则丢弃所述数据报文。
2.如权利要求1所述的数据报文在防火墙上的数据流安全互访方法,其特征在于,若源IP地址和目标IP地址均为私有网络,在进行转发之前,对所述数据报文的内容进行分析,若有额外业外功能使能,如果允许则转发,如果拒绝则丢弃所述数据报文。
3.如权利要求1或2所述的数据报文在防火墙上的数据流安全互访方法,其特征在于,在转发之前,还包括对数据报文所包含的数据进行完整性验证的步骤,若新协议的头部段中的验证类型字段为验证类型,则发送者根据散列函数计算相应的哈希值,并记录在哈希值字段中,接受者收到数据包使用相同的散列函数进行计算,如果计算出的哈希值与发送者发送的哈希值相同,则确认数据完整,没有进行过篡改,进行接收,否则丢弃。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810968541.1A CN109167774B (zh) | 2018-08-23 | 2018-08-23 | 一种数据报文及在防火墙上的数据流安全互访方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810968541.1A CN109167774B (zh) | 2018-08-23 | 2018-08-23 | 一种数据报文及在防火墙上的数据流安全互访方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109167774A CN109167774A (zh) | 2019-01-08 |
CN109167774B true CN109167774B (zh) | 2021-04-06 |
Family
ID=64896574
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810968541.1A Active CN109167774B (zh) | 2018-08-23 | 2018-08-23 | 一种数据报文及在防火墙上的数据流安全互访方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109167774B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110166474B (zh) * | 2019-05-29 | 2021-07-09 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
CN113852640B (zh) * | 2021-09-29 | 2023-06-09 | 上海市大数据股份有限公司 | 一种基于rpa的网络安全自动防御系统 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101116052A (zh) * | 2004-12-21 | 2008-01-30 | 米斯特科技有限公司 | 网络接口及防火墙设备 |
CN101267437A (zh) * | 2008-04-28 | 2008-09-17 | 杭州华三通信技术有限公司 | 网络设备的报文访问控制方法及系统 |
CN101568198A (zh) * | 2009-05-21 | 2009-10-28 | 南京联创科技股份有限公司 | 关于消息流在移动业务事务交换上的使用方法 |
CN104717205A (zh) * | 2015-02-04 | 2015-06-17 | 上海展湾信息科技有限公司 | 基于报文重构的工控防火墙控制方法 |
CN104954386A (zh) * | 2015-06-30 | 2015-09-30 | 百度在线网络技术(北京)有限公司 | 一种网络反劫持方法及装置 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8233482B2 (en) * | 2010-04-22 | 2012-07-31 | Robert Paul Morris | Methods, systems, and computer program products for disabling an operative coupling to a network |
-
2018
- 2018-08-23 CN CN201810968541.1A patent/CN109167774B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101116052A (zh) * | 2004-12-21 | 2008-01-30 | 米斯特科技有限公司 | 网络接口及防火墙设备 |
CN101267437A (zh) * | 2008-04-28 | 2008-09-17 | 杭州华三通信技术有限公司 | 网络设备的报文访问控制方法及系统 |
CN101568198A (zh) * | 2009-05-21 | 2009-10-28 | 南京联创科技股份有限公司 | 关于消息流在移动业务事务交换上的使用方法 |
CN104717205A (zh) * | 2015-02-04 | 2015-06-17 | 上海展湾信息科技有限公司 | 基于报文重构的工控防火墙控制方法 |
CN104954386A (zh) * | 2015-06-30 | 2015-09-30 | 百度在线网络技术(北京)有限公司 | 一种网络反劫持方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN109167774A (zh) | 2019-01-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1624644B1 (en) | Privileged network routing | |
EP3846406A1 (en) | Dynamic security actions for network tunnels against spoofing | |
CN103763194B (zh) | 一种报文转发方法及装置 | |
US7000120B1 (en) | Scheme for determining transport level information in the presence of IP security encryption | |
US9722919B2 (en) | Tying data plane paths to a secure control plane | |
CN110971620A (zh) | 一种智能网关流量安全策略方法 | |
WO2015080909A1 (en) | Smart virtual private network | |
US10057236B2 (en) | Method for operating a network and a network | |
CN113691490A (zh) | 一种校验SRv6报文的方法及装置 | |
CN109167774B (zh) | 一种数据报文及在防火墙上的数据流安全互访方法 | |
WO2012014509A1 (ja) | 不正アクセス遮断制御方法 | |
CN104519012A (zh) | 基于sip协议的通信网攻击的检测方法及系统 | |
CN105591967B (zh) | 一种数据传输方法和装置 | |
EP3195554B1 (en) | Method for communicating in a network comprising a virtual network, and a communication node comprising a virtual network entity | |
CN113497800A (zh) | 一种SRv6信任域的边界过滤方法及装置 | |
CN106161386A (zh) | 一种实现IPsec分流的方法和装置 | |
US20110078283A1 (en) | Service providing system, filtering device, filtering method and method of confirming message | |
JP2016019031A (ja) | フィルタリング装置およびフィルタリング方法 | |
CN115348118B (zh) | 一种基于密码技术的网络地址和端口号隐藏方法 | |
US20220303201A1 (en) | Traffic Monitoring in a Network Node | |
CN110602110A (zh) | 一种全网端口隔离方法、装置、设备及存储介质 | |
US20190238541A1 (en) | Securely transferring the authorization of connected objects | |
CN110572415B (zh) | 一种安全防护的方法、设备及系统 | |
US20110149734A1 (en) | Smart border router and method for transmitting flow using the same | |
CN106067864B (zh) | 一种报文处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |