CN113923046A - 一种分布式防火墙安全通信的实现方法及系统 - Google Patents
一种分布式防火墙安全通信的实现方法及系统 Download PDFInfo
- Publication number
- CN113923046A CN113923046A CN202111299812.7A CN202111299812A CN113923046A CN 113923046 A CN113923046 A CN 113923046A CN 202111299812 A CN202111299812 A CN 202111299812A CN 113923046 A CN113923046 A CN 113923046A
- Authority
- CN
- China
- Prior art keywords
- service board
- target
- target service
- address
- data message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 42
- 238000004891 communication Methods 0.000 title claims abstract description 23
- 230000005540 biological transmission Effects 0.000 claims description 42
- 230000008878 coupling Effects 0.000 abstract description 4
- 238000010168 coupling process Methods 0.000 abstract description 4
- 238000005859 coupling reaction Methods 0.000 abstract description 4
- 238000012545 processing Methods 0.000 description 12
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 6
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000004075 alteration Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种分布式防火墙安全通信的实现方法及系统,实现方法包括:接收数据报文;基于数据报文的源地址和目的地址确定第一目标业务板以及第二目标业务板;其中,第一目标业务板属于第一安全设备;第二目标业务板属于第二安全设备;利用第一目标业务板对数据报文进行加密处理,得到加密报文;利用第二目标业务板对加密报文进行解密得到数据报文,并按照目的地址转发数据报文。本公开无需用依赖于硬件,也即解决了现有技术中IPSec表项规格受限于硬件ACL规格的问题;并且,在不依赖硬件的基础上提高了通用性,降低了耦合性,易移植,可扩展性较好。
Description
技术领域
本公开涉及通信安全技术领域,特别涉及一种分布式防火墙安全通信的实现方法及系统。
背景技术
随着网络技术的发展以及对网络设备功能、性能要求的不断提高,分布式处理架构的网络设备应运而生。分布式防火墙一般由控制板、业务板和交换接口板组成,通过多业务板并行处理提高整机处理性能,进而满足用户高并发、高新建以及高吞吐的要求。在分布式防火墙的硬件架构中,控制板用于设备的配置管理及路由等,业务板用于处理不同业务并建立会话等,交换接口板用于收发报文,并把接收到报文均衡的发送到各业务板处理。
现有技术中通常采用以下两种方式:1、线卡+协处理卡,线卡用于建立并维护IPSec隧道的对端IP地址与相应的协处理卡号的对应关系表,根据对应关系表,将报文送往协处理卡进行IPSec处理,具体结构参照图1;2、设置硬件ACL策略,业务板通知控制板及时向交换接口板下发ACL策略,以保证来自特定网络设备的报文均发送给对应的业务板,业务板进一步对报文进行加解密处理,具体结构参照图2。
但上述两种方式,虽然硬件ACL策略这一方式相较于线卡+协处理卡的方式,通用性较强、硬件较简单、易维护,但仍存在IPSec表项规格受限于硬件ACL规格,可扩展性较差的问题。
发明内容
有鉴于此,本公开实施例的目的在于提供一种分布式防火墙安全通信的实现方法及系统,用于解决现有技术中IPSec表项规格受限于硬件ACL规格,可扩展性较差的问题。
第一方面,本公开实施例提供了一种分布式防火墙安全通信的实现方法,其中,包括:
接收数据报文;
基于所述数据报文的源地址和目的地址确定第一目标业务板以及第二目标业务板;其中,所述第一目标业务板属于第一安全设备;第二目标业务板属于第二安全设备;
利用所述第一目标业务板对所述数据报文进行加密处理,得到加密报文;
利用所述第二目标业务板对所述加密报文进行解密得到数据报文,并按照所述目的地址转发所述数据报文。
在一种可能的实施方式中,基于所述数据报文的源地址和目的地址确定所述第一目标业务板,包括:
确定所述源地址和所述目的地址落入的第一目标前缀表;
将所述第一目标前缀表中包括的业务板作为所述第一目标业务板;
其中,每条所述前缀表包括第一子网段、第二子网段、业务板以及所述第一子网段与所述第二子网段之间的传输隧道。
在一种可能的实施方式中,所述确定所述源地址和所述目的地址落入的第一目标前缀表,包括:
将所述源地址落入的第一子网段以及所述目的地址落入的第二子网段所属的前缀表作为所述第一目标前缀表。
在一种可能的实施方式中,基于所述数据报文的源地址和目的地址确定所述第二目标业务板,包括:
查找所述第一目标前缀表中的传输隧道所属的第二目标前缀表;
将所述第二目标前缀表中包括的业务板作为所述第二目标业务板。
在一种可能的实施方式中,所述实现方法还包括:
获取所述传输隧道两端的第一安全设备的第一隧道地址以及第二安全设备的第二隧道地址;
对所述第一隧道地址和所述第二隧道地址进行计算,得到一业务板标识信息;
利用所述第一安全设备的第一子网段、所述第二安全设备的第二子网段、携带有该标识信息的业务板以及所述传输隧道构建所述前缀表。
在一种可能的实施方式中,在所述第二隧道地址为预设阈值的情况下,还包括:
通过所述传输隧道接收所述第二安全设备传输的协商报文;
从所述协商报文中提取所述第二安全设备的第二隧道地址。
在一种可能的实施方式中,所述实现方法还包括:
在第一目标业务板的目标标识信息与当前业务板的当前标识信息不同的情况下,将所述数据报文转发至所述目标标识信息对应的第一目标业务板。
第二方面,本公开实施例还提供了一种分布式防火墙安全通信的实现系统,包括第一安全设备和第二安全设备;
所述第一安全设备接收第一主机发送的数据报文;基于所述数据报文的源地址和目的地址确定第一目标业务板;利用所述第一目标业务板对所述数据报文进行加密处理,得到加密报文;将所述加密报文通过传输隧道传输给所述第二安全设备;
所述第二安全设备基于所述传输隧道确定第二目标业务板;利用所述第二目标业务板对所述加密报文进行解密,得到数据报文;按照所述目的地址转发所述数据报文。
在一种可能的实施方式中,所述第一安全设备上设置有多个前缀表,所述第一安全设备具体用于:
确定所述源地址以及所述目的地址落入的第一目标前缀表;
将所述第一目标前缀表中包括的业务板作为所述第一目标业务板;
其中,每条所述前缀表包括第一子网段、第二子网段、业务板以及所述第一子网段与所述第二子网段之间的传输隧道。
在一种可能的实施方式中,所述第一安全设备还具体用于:
将所述源地址落入的第一子网段以及所述目的地址落入的第二子网段所属的前缀表作为所述第一目标前缀表。
本公开实施例通过数据报文的源地址和目的地址确定第一安全设备上的第一目标业务板,以使第一目标业务板对数据报文进行加密;以及通过数据报文的源地址和目的地址确定第二安全设备上的第二目标业务板,以使第二目标业务板对加密得到的加密报文进行解密,并转发解密得到的数据报文,无需用依赖于硬件,也即解决了现有技术中IPSec表项规格受限于硬件ACL规格的问题;并且,在不依赖硬件的基础上提高了通用性,降低了耦合性,易移植,可扩展性较好。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1示出了现有技术中的一种结构示意图;
图2示出了现有技术中的另一种结构示意图;
图3示出了本公开所提供的分布式防火墙安全通信的实现方法的流程图;
图4示出了本公开所提供的分布式防火墙安全通信的实现方法中确定第一目标业务板的流程图;
图5示出了本公开所提供的分布式防火墙安全通信的实现方法中确定第二目标业务板的流程图;
图6示出了本公开所提供的分布式防火墙安全通信的实现方法中构建前缀表的流程图;
图7示出了本公开所提供的分布式防火墙安全通信的实现中一实施例的结构示意图;
图8示出了本公开所提供的分布式防火墙安全通信的实现系统的结构示意图。
具体实施方式
此处参考附图描述本公开的各种方案以及特征。
应理解的是,可以对此处申请的实施例做出各种修改。因此,上述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本公开的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本公开进行了描述,但本领域技术人员能够确定地实现本公开的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所申请的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所申请的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
这里,本公开实施例中的控制板为分布式系统下对安全设备整机进行管理的板卡;业务板为分布式系统下对安全设备进行业务处理的板卡;交换接口板为分布式系统下安全设备接收和发送报文的板卡;IPSec为一组基于网络层的,应用密码学的安全通信协议族;IPSec vpn为基于IPSec协议族构建的在IP层实现的安全虚拟专用网。
第一方面,为便于对本公开进行理解,首先对本公开所提供的一种分布式防火墙安全通信的实现方法进行详细介绍。如图3所示,为本公开实施例提供的分布式防火墙安全通信的实现方法,按照图3示出的方法步骤能够保证IPSec表项规格不受任何硬件限制,进而满足分布式防火墙IPSec不同表项规格的需求,极大的提高了IPSec表项规格的灵活性,适用性更为广泛。其中,具体步骤包括S101-S104。
S101,接收数据报文。
这里,数据报文为发送主机向接收主机发送的数据报文,当然,也可以是发送主机向服务器发送的数据报文等。
S102,基于数据报文的源地址和目的地址确定第一目标业务板以及第二目标业务板;其中,第一目标业务板属于第一安全设备;第二目标业务板属于第二安全设备。
在具体实施中,可以由第一安全设备接收数据报文,并在接收到数据报文之后,提取该数据报文的源地址和目的地址,当然,还可以提取其他信息如数据报文的大小、数据报文的请求时间等。
在提取到数据报文的源地址和目的地址之后,基于源地址和目的地址确定第一目标业务板,其中,第一安全设备上设置有一个或多个业务板,在实际确定第一目标业务板时,可以是第一安全设备包括的控制板来确定的,还可以是第一安全设备的交换接口板将数据报文转发至一业务板之后该当前业务板来确定的,本公开实施例对此不做具体限定。其中,交换接口板在接收到数据报文之后按照预设规则对该数据报文的属性信息如源地址、目的地址等信息进行hash计算,得到该数据报文对应的业务板,并将该数据报文转发至该数据报文对应的业务板。
同时,基于数据报文的源地址和目的地址还可以确定第二目标业务板,同样地,第二安全设备上也设置有一个或多个业务板。其中,第一安全设备和第二安全设备之间通过传输隧道连接。
具体地,参照图4示出的方法流程图来确定第一目标业务板,其中,具体步骤包括S201和S202。
S201,确定源地址和目的地址落入的第一目标前缀表。
S202,将第一目标前缀表中包括的业务板作为第一目标业务板。
在具体实施中,第一安全设备包括的每个业务板上均设置有第一安全设备上设备的所有前缀表,其中,每个业务板均对应一个前缀表,每条前缀表中包括一第一子网段、一第二子网段、一业务板以及一传输隧道,该传输隧道为用于第一子网段与第二子网段之间传输任意数据报文的隧道。
以第一安全设备的交换接口板将数据报文转发至一业务板之后该当前业务板来确定第一目标业务板为例,当前业务板筛选源地址落入的第一子网段所属的所有前缀表,之后,从源地址落入的第一子网段所属的所有前缀表中筛选目的地址落入的第二子网段所属的前缀表,将该前缀表作为源地址和目的地址落入的第一目标前缀表。之后,将该第一目标前缀表中包括的业务板作为第一目标业务板,也即,作为处理该数据报文的业务板。
具体地,参照图5示出的方法流程图来确定第二目标业务板,其中,具体步骤包括S301和S302。
S301,查找第一目标前缀表中的传输隧道所属的第二目标前缀表。
S302,将第二目标前缀表中包括的业务板作为第二目标业务板。
在具体实施中,第一安全设备上的第一目标业务板将数据报文进行处理之后,需要将处理后的数据报文传输至第二安全设备,以经过第二安全设备的处理之后转发至接收主机。进一步地,在确定第一目标前缀表之后,查找第一目标前缀表中的传输隧道,并且,在第二安全设备上查找该传输隧道所属的第二目标前缀表,其中,第二安全设备上的每个业务板上同样设置有第二安全设备的所有前缀表,同样地,每个业务板均对应一个前缀表,每条前缀表中包括一第一子网段、一第二子网段、一业务板以及一传输隧道,该传输隧道为用于第一子网段与第二子网段之间传输任意数据报文的隧道,值得说明的是,同一传输隧道两端的第一子网段与第二子网段唯一。
在确定第二目标前缀表之后,将第二目标前缀表中包括的业务板作为第二目标业务板。其中,第一目标前缀表中包括的业务板为第一安全设备上配置的业务板,第二目标前缀表中包括的业务板为第二安全设备上配置的业务板。
S103,利用第一目标业务板对数据报文进行加密处理,得到加密报文。
S104,利用第二目标业务板对加密报文进行解密得到数据报文,并按照目的地址转发数据报文。
在确定第一目标业务板以及第二目标业务板之后,利用第一目标业务板对数据报文进行加密处理,得到加密报文,之后,通过第一安全设备与第二安全设备之间的传输隧道将加密报文传输至第二安全设备的第二目标业务板,以利用第二目标业务板对加密报文进行解密得到数据报文,并按照目的地址转发数据报文,进而将数据报文发送给接收主机或服务器等。
在具体实施中,由于第一安全设备的交换接口板确定第一目标业务板的方式固定且不够准确,因此,当前业务板在接收到数据报文并基于数据报文的源地址和目的地址确定第一目标业务板之后,对比第一目标业务板的目标标识信息与当前业务板的当前标识信息是否相同,并在第一目标业务板的目标标识信息与当前业务板的当前标识信息不同的情况下,也即当前业务板并非处理该数据报文的业务板,将数据报文转发至目标标识信息对应的第一目标业务板,以使第一目标业务板处理该数据报文。其中每个业务板对应有唯一的标识信息如编号、名称等。
本公开实施例通过数据报文的源地址和目的地址确定第一安全设备上的第一目标业务板,以使第一目标业务板对数据报文进行加密;以及通过数据报文的源地址和目的地址确定第二安全设备上的第二目标业务板,以使第二目标业务板对加密得到的加密报文进行解密,并转发解密得到的数据报文,无需用依赖于硬件,也即解决了现有技术中IPSec表项规格受限于硬件ACL规格的问题;并且,在不依赖硬件的基础上提高了通用性,降低了耦合性,易移植,可扩展性较好;并且,基于前缀表在当前业务板并非第一目标业务板的情况下进行转板,提高了IPSec表项规格的灵活性。
具体地,参照图6示出的方法流程图来构建前缀表,具体步骤包括S401-S403。
S401,获取传输隧道两端的第一安全设备的第一隧道地址以及第二安全设备的第二隧道地址。
S402,对第一隧道地址和第二隧道地址进行计算,得到一业务板标识信息。
S403,利用第一安全设备的第一子网段、第二安全设备的第二子网段、携带有该标识信息的业务板以及传输隧道构建前缀表。
在具体实施中,在基于数据报文的源地址和目的地址确定第一目标业务板以及第二目标业务板之前,需要先针对每个业务板构建其对应的前缀表。其中,可以由第一安全设备的控制板来建立该前缀表。
具体地,获取传输隧道两端的第一安全设备的第一隧道地址以及第二安全设备的第二隧道地址,对第一隧道地址和第二隧道地址进行计算,得到一业务板标识信息;之后,利用第一安全设备的第一子网段、第二安全设备的第二子网段、携带有该标识信息的业务板以及传输隧道构建前缀表。
在具体实施中,存在第二隧道地址为预设阈值也即0.0.0.0的情况,此时,通过传输隧道接收第二安全设备传输的协商报文,从协商报文中提取第二安全设备的第二隧道地址,之后,再对第一隧道地址和第二隧道地址进行计算,一利用得到的业务板标识信息对应的业务板、第一子网段、第二子网段以及传输隧道构建前缀表。
这里,上述仅利用软件构建前缀表的方式,逻辑简单,资源消耗较少。
接下来,以图7示出的实施例为例进行阐述分布式防火墙安全通信的实现方法,其中,图7中分布式防火墙(FW1)为第一安全设备,分布式防火墙(FW2)为第二安全设备,FW1和FW2上分别配置有业务板1、业务板2、交换接口板1、交换接口板2、交换接口板3以及交换接口板4,第一子网段即为保护子网10.10.10.0/24,第二子网段即为保护子网20.20.20.0/24,第一隧道地址即为1.1.1.1,第二隧道地址即为1.1.1.2,基于第一隧道地址1.1.1.1以及第二隧道地址1.1.1.2确定一业务板标识信息为1,利用第一子网段、第二子网段、业务板1以及传输隧道形成一前缀表。FW1和FW2之间通过传输隧道连接,FW1与用户主机A连接,FW2与用户主机B连接。在实际应用中,用户主机A发送数据报文,FW1在接收到用户主机A发送的数据报文之后,FW1的交换接口板1基于预先配置的规则确定该数据报文对应的业务板为业务板2,并将数据报文传输至业务板2。
业务板2在接收到数据报文之后,提取该数据报文的源地址:10.10.10.10以及目的地址:20.20.20.20,基于源地址:10.10.10.10以及前缀表确定该数据报文对应的业务板为业务板1,并将数据报文转发至业务板1,以使业务板1对数据报文进行加密得到加密报文,并将加密报文通过传输隧道传输给FW2。
FW2基于传输隧道所属的前缀表确定业务板,利用该业务板对加密报文进行解密,得到数据报文;按照目的地址:20.20.20.20将数据报文转发给用户主机B。其中,用户主机B响应数据报文返回响应报文的处理流程同上,在此便不做过多赘述。
基于同一发明构思,本公开的第二方面还提供了一种与分布式防火墙安全通信的实现方法对应的分布式防火墙安全通信的实现系统,由于本公开中的装置解决问题的原理与本公开上述实现方法相似,因此装置的实施可以参见方法的实施,重复之处不再赘述。
参见图8所示,分布式防火墙安全通信的实现系统包括第一安全设备601和第二安全设备602;
所述第一安全设备601接收第一主机发送的数据报文;基于所述数据报文的源地址和目的地址确定第一目标业务板;利用所述第一目标业务板对所述数据报文进行加密处理,得到加密报文;将所述加密报文通过传输隧道传输给所述第二安全设备602;
所述第二安全设备602基于所述传输隧道确定第二目标业务板;利用所述第二目标业务板对所述加密报文进行解密,得到数据报文;按照所述目的地址转发所述数据报文。
在另一实施例中,所述第一安全设备601上设置有多个前缀表,所述第一安全设备601具体用于:
确定所述源地址以及所述目的地址落入的第一目标前缀表;
将所述第一目标前缀表中包括的业务板作为所述第一目标业务板;
其中,每条所述前缀表包括第一子网段、第二子网段、业务板以及所述第一子网段与所述第二子网段之间的传输隧道。
在另一实施例中,所述第一安全设备601还具体用于:
将所述源地址落入的第一子网段以及所述目的地址落入的第二子网段所属的前缀表作为所述第一目标前缀表。
在另一实施例中,所述第二安全设备602具体用于:
查找所述第一目标前缀表中的传输隧道所属的第二目标前缀表;
将所述第二目标前缀表中包括的业务板作为所述第二目标业务板。
在另一实施例中,所述第一安全设备601和所述第二安全设备602还用于:
获取所述传输隧道两端的第一安全设备的第一隧道地址以及第二安全设备的第二隧道地址;
对所述第一隧道地址和所述第二隧道地址进行计算,得到一业务板标识信息;
利用所述第一安全设备的第一子网段、所述第二安全设备的第二子网段、携带有该标识信息的业务板以及所述传输隧道构建所述前缀表。
在另一实施例中,所述第一安全设备601和所述第二安全设备602在所述第二隧道地址为预设阈值的情况下,还包括:
通过所述传输隧道接收所述第二安全设备传输的协商报文;
从所述协商报文中提取所述第二安全设备的第二隧道地址。
在另一实施例中,所述第一安全设备601还用于:
在第一目标业务板的目标标识信息与当前业务板的当前标识信息不同的情况下,将所述数据报文转发至所述目标标识信息对应的第一目标业务板。
本公开实施例通过数据报文的源地址和目的地址确定第一安全设备上的第一目标业务板,以使第一目标业务板对数据报文进行加密;以及通过数据报文的源地址和目的地址确定第二安全设备上的第二目标业务板,以使第二目标业务板对加密得到的加密报文进行解密,并转发解密得到的数据报文,无需用依赖于硬件,也即解决了现有技术中IPSec表项规格受限于硬件ACL规格的问题;并且,在不依赖硬件的基础上提高了通用性,降低了耦合性,易移植,可扩展性较好。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本邻域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
以上对本公开多个实施例进行了详细说明,但本公开不限于这些具体的实施例,本邻域技术人员在本公开构思的基础上,能够做出多种变型和修改实施例,这些变型和修改都应落入本公开所要求保护的范围之内。
Claims (10)
1.一种分布式防火墙安全通信的实现方法,其特征在于,包括:
接收数据报文;
基于所述数据报文的源地址和目的地址确定第一目标业务板以及第二目标业务板;其中,所述第一目标业务板属于第一安全设备;第二目标业务板属于第二安全设备;
利用所述第一目标业务板对所述数据报文进行加密处理,得到加密报文;
利用所述第二目标业务板对所述加密报文进行解密得到数据报文,并按照所述目的地址转发所述数据报文。
2.根据权利要求1所述的实现方法,其特征在于,基于所述数据报文的源地址和目的地址确定所述第一目标业务板,包括:
确定所述源地址和所述目的地址落入的第一目标前缀表;
将所述第一目标前缀表中包括的业务板作为所述第一目标业务板;
其中,每条所述前缀表包括第一子网段、第二子网段、业务板以及所述第一子网段与所述第二子网段之间的传输隧道。
3.根据权利要求2所述的实现方法,其特征在于,所述确定所述源地址和所述目的地址落入的第一目标前缀表,包括:
将所述源地址落入的第一子网段以及所述目的地址落入的第二子网段所属的前缀表作为所述第一目标前缀表。
4.根据权利要求2所述的实现方法,其特征在于,基于所述数据报文的源地址和目的地址确定所述第二目标业务板,包括:
查找所述第一目标前缀表中的传输隧道所属的第二目标前缀表;
将所述第二目标前缀表中包括的业务板作为所述第二目标业务板。
5.根据权利要求2所述的实现方法,其特征在于,还包括:
获取所述传输隧道两端的第一安全设备的第一隧道地址以及第二安全设备的第二隧道地址;
对所述第一隧道地址和所述第二隧道地址进行计算,得到一业务板标识信息;
利用所述第一安全设备的第一子网段、所述第二安全设备的第二子网段、携带有该标识信息的业务板以及所述传输隧道构建所述前缀表。
6.根据权利要求5所述的实现方法,其特征在于,在所述第二隧道地址为预设阈值的情况下,还包括:
通过所述传输隧道接收所述第二安全设备传输的协商报文;
从所述协商报文中提取所述第二安全设备的第二隧道地址。
7.根据权利要求1所述的实现方法,其特征在于,还包括:
在第一目标业务板的目标标识信息与当前业务板的当前标识信息不同的情况下,将所述数据报文转发至所述目标标识信息对应的第一目标业务板。
8.一种分布式防火墙安全通信的实现系统,其特征在于,包括第一安全设备和第二安全设备;
所述第一安全设备接收第一主机发送的数据报文;基于所述数据报文的源地址和目的地址确定第一目标业务板;利用所述第一目标业务板对所述数据报文进行加密处理,得到加密报文;将所述加密报文通过传输隧道传输给所述第二安全设备;
所述第二安全设备基于所述传输隧道确定第二目标业务板;利用所述第二目标业务板对所述加密报文进行解密,得到数据报文;按照所述目的地址转发所述数据报文。
9.根据权利要求8所述的实现系统,其特征在于,所述第一安全设备上设置有多个前缀表,所述第一安全设备具体用于:
确定所述源地址以及所述目的地址落入的第一目标前缀表;
将所述第一目标前缀表中包括的业务板作为所述第一目标业务板;
其中,每条所述前缀表包括第一子网段、第二子网段、业务板以及所述第一子网段与所述第二子网段之间的传输隧道。
10.根据权利要求9所述的实现系统,其特征在于,所述第一安全设备还具体用于:
将所述源地址落入的第一子网段以及所述目的地址落入的第二子网段所属的前缀表作为所述第一目标前缀表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111299812.7A CN113923046B (zh) | 2021-11-04 | 2021-11-04 | 一种分布式防火墙安全通信的实现方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111299812.7A CN113923046B (zh) | 2021-11-04 | 2021-11-04 | 一种分布式防火墙安全通信的实现方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113923046A true CN113923046A (zh) | 2022-01-11 |
| CN113923046B CN113923046B (zh) | 2023-11-10 |
Family
ID=79245130
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111299812.7A Active CN113923046B (zh) | 2021-11-04 | 2021-11-04 | 一种分布式防火墙安全通信的实现方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113923046B (zh) |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101783770A (zh) * | 2010-03-12 | 2010-07-21 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、系统以及业务处理板、线路处理板 |
| CN103546497A (zh) * | 2012-07-09 | 2014-01-29 | 杭州华三通信技术有限公司 | 一种分布式防火墙IPSec业务负载分担的方法及装置 |
| CN104486226A (zh) * | 2014-12-23 | 2015-04-01 | 北京天融信科技有限公司 | 一种报文处理方法及装置 |
| CN104994022A (zh) * | 2015-05-15 | 2015-10-21 | 杭州华三通信技术有限公司 | 一种报文传输的方法和业务板 |
| WO2019056918A1 (zh) * | 2017-09-22 | 2019-03-28 | 烽火通信科技股份有限公司 | 一种通用型跨路由域互通装置及方法 |
| CN111783165A (zh) * | 2020-06-29 | 2020-10-16 | 中国人民解放军战略支援部队信息工程大学 | 一种基于硬件隔离调用模式的安全可信系统芯片架构 |
| US20210144123A1 (en) * | 2016-03-17 | 2021-05-13 | Wells Fargo N.A. | Serialization of firewall rules with user, device, and application correlation |
| CN113507431A (zh) * | 2021-05-17 | 2021-10-15 | 新华三信息安全技术有限公司 | 一种报文管理方法、装置、设备及机器可读存储介质 |
-
2021
- 2021-11-04 CN CN202111299812.7A patent/CN113923046B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101783770A (zh) * | 2010-03-12 | 2010-07-21 | 成都市华为赛门铁克科技有限公司 | 报文处理方法、系统以及业务处理板、线路处理板 |
| CN103546497A (zh) * | 2012-07-09 | 2014-01-29 | 杭州华三通信技术有限公司 | 一种分布式防火墙IPSec业务负载分担的方法及装置 |
| CN104486226A (zh) * | 2014-12-23 | 2015-04-01 | 北京天融信科技有限公司 | 一种报文处理方法及装置 |
| CN104994022A (zh) * | 2015-05-15 | 2015-10-21 | 杭州华三通信技术有限公司 | 一种报文传输的方法和业务板 |
| US20210144123A1 (en) * | 2016-03-17 | 2021-05-13 | Wells Fargo N.A. | Serialization of firewall rules with user, device, and application correlation |
| WO2019056918A1 (zh) * | 2017-09-22 | 2019-03-28 | 烽火通信科技股份有限公司 | 一种通用型跨路由域互通装置及方法 |
| CN111783165A (zh) * | 2020-06-29 | 2020-10-16 | 中国人民解放军战略支援部队信息工程大学 | 一种基于硬件隔离调用模式的安全可信系统芯片架构 |
| CN113507431A (zh) * | 2021-05-17 | 2021-10-15 | 新华三信息安全技术有限公司 | 一种报文管理方法、装置、设备及机器可读存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| 张琳;丁晓明;: "交换机中报文三层转发的分布式处理研究与实现", 铁道通信信号, no. 12 * |
| 王鑫;许力;李晓;崔新友;: "基于FPGA的GOOSE报文解析模块设计与实现", 电力系统保护与控制, no. 24 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113923046B (zh) | 2023-11-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100596062C (zh) | 分布式报文传输安全保护装置和方法 | |
| CN107769914B (zh) | 保护数据传输安全的方法和网络设备 | |
| US8327129B2 (en) | Method, apparatus and system for internet key exchange negotiation | |
| CN110335043B (zh) | 一种基于区块链系统的交易隐私保护方法、设备以及系统 | |
| CN102340650B (zh) | 终端视频监控的方法及系统 | |
| CN110769420B (zh) | 网络接入方法、装置、终端、基站和可读存储介质 | |
| EP3813298B1 (en) | Method and apparatus for establishing trusted channel between user and trusted computing cluster | |
| US9866383B2 (en) | Key management for privacy-ensured conferencing | |
| CN110768954B (zh) | 适用于5g网络设备的轻量级安全接入认证方法及应用 | |
| CN113726795B (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN109104273A (zh) | 报文处理方法以及接收端服务器 | |
| US10630479B2 (en) | Network communication method having function of recovering terminal session | |
| CN113221146A (zh) | 区块链节点间数据传输的方法和装置 | |
| CN113992427B (zh) | 基于相邻节点的数据加密发送方法及装置 | |
| CN115361143A (zh) | 跨域数据传输方法及装置、电子设备、计算机可读介质 | |
| US20090185685A1 (en) | Trust session management in host-based authentication | |
| CN106533894A (zh) | 一种全新的安全的即时通信体系 | |
| CN104243153B (zh) | 一种用于发现设备的用户的方法和用户设备 | |
| CN105812219A (zh) | 帧传递方法以及相关装置和通信系统 | |
| CN114173328A (zh) | 密钥交换方法、装置、电子设备 | |
| CN112134831B (zh) | 接入请求的发送、处理方法及装置 | |
| CN105743649A (zh) | 一种用户签名、解用户签名的方法、装置和系统 | |
| CN109450849B (zh) | 一种基于区块链的云服务器组网方法 | |
| CN106487761B (zh) | 一种消息传输方法和网络设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |