CN114338153B - 一种IPSec的协商方法及装置 - Google Patents
一种IPSec的协商方法及装置 Download PDFInfo
- Publication number
- CN114338153B CN114338153B CN202111625850.7A CN202111625850A CN114338153B CN 114338153 B CN114338153 B CN 114338153B CN 202111625850 A CN202111625850 A CN 202111625850A CN 114338153 B CN114338153 B CN 114338153B
- Authority
- CN
- China
- Prior art keywords
- virtual firewall
- firewall
- negotiation
- virtual
- ipsec
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Abstract
本申请提供一种IPSec的协商方法及装置,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述方法包括:响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPSec隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。
Description
技术领域
本申请涉及网络通信安全领域,尤其涉及一种IPSec的协商方法及装置。
背景技术
现有的网络环境中,租户可以通过购买VPC(Virtual Private Cloud,虚拟私有云)搭建私有的网络安全服务环境。不同VPC之间可以通过基于IPSec(Internet ProtocolSecurity,互联网安全)协议簇建立的VPN(Virtual Private Network,虚拟专用网络)隧道进行通信。
在现有技术中,同一防火墙设备支持为多个租户同时提供VPC服务,为实现不同租户的私有网络安全服务环境之间的隔离,同一防火墙设备上部署有多个虚拟防火墙,每个虚拟防火墙对应不同的租户,虚拟防火墙之间可以通过IPSec VPN隧道进行报文传递,实现相互通信。在建立不同虚拟防火墙之间的IPSec VPN隧道时,需要根据建立所述IPSec VPN隧道的虚拟防火墙的认证信息查找对应的协商状态,进行协商。当建立IPSec VPN隧道的两方虚拟防火墙处于同一防火墙设备上时,仅根据认证消息查找对应的协商状态可能导致多条协商状态同时出现,使得IPSec VPN隧道建立失败。
发明内容
针对上述技术问题,本申请提供一种IPSec的协商方法及装置。
具体地,本申请是通过如下技术方案实现的:
根据本申请的第一方面,提供了一种IPSec的协商方法,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述方法包括:
响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPSec隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;
根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;
将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。
根据本申请的第二方面,提供了一种IPSec的协商装置,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述装置包括:
查找单元,用于响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPSec VPN隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;
生成单元,用于根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;
发送单元,用于将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。
根据本申请的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现所述第一方面的方法的步骤。
根据本申请的第四方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述第一方面的方法的步骤。
本申请提供的技术方案通过虚拟防火墙ID以及认证信息查找对应协商状态,提高了查找的精确度,避免由于协商状态查找错误导致的协商失败。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请一示例性实施例的一种IPSec的协商系统结构示意图;
图2是本申请一示例性实施例的一种IPSec的协商方法的流程示意图;
图3是本申请一示例性实施例的另一种IPSec的协商系统结构示意图;
图4是本申请一示例性实施例的一种计算机设备的结构示意图;
图5是本申请一示例性实施例的一种IPSec的协商装置示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在现今的网络环境中,通过对于VPC服务的购买,在公有的网络安全云平台中租户可以获取属于自己的私有网络安全服务环境,并对其进行管理,其中租户可以对自己的私有网络安全服务环境的安全策略进行个性化配置。同时,租户之间还可以通过基于IPSec协议建立的VPN隧道进行相互通信,在保证了网络安全服务环境的安全的同时,又可以实现租户之间的信息交互。
在现有技术中,同一防火墙设备支持为多个租户同时提供网络安全服务环境,因此在同一防火墙设备上部署有多个虚拟防火墙,每个虚拟防火墙对应不同的租户。为了保证租户的网络安全服务环境的安全性,即便是部署于同一防火墙设备上的虚拟防火墙之间,也需要通过建立IPSec VPN隧道进行通信。IPSec VPN是基于IPSec协议簇构建的在IP层实现的安全虚拟专用网络,在通过IPSec VPN传输消息的过程中,基于IPSec协议簇提供安全的数据通信,以防止数据在网络传输过程中被查看、篡改等。在IPSec VPN隧道的建立过程中,需要根据建立所述IPSec VPN隧道的虚拟防火墙的认证信息查找对应的协商状态,进行认证校验。当建立IPSec VPN隧道的两方虚拟防火墙处于同一防火墙设备上时,例如,如图1所示,响应于租户1所属的虚拟防火墙111与租户3所属的虚拟防火墙113之间建立IPSecVPN隧道的需求,需要在部署于同一防火墙设备上的两个不同虚拟防火墙111和113之间进行IPSec协商,仅根据认证信息查找对应的协商状态可能导致多条协商状态同时被查找,使得IPSec VPN隧道建立失败。
为解决上述问题,本申请提出一种IPSec的协商方法,通过根据虚拟防火墙ID以及认证信息查找对应协商状态的方法,提高了查找的精确度,避免由于状态查找错误导致的协商失败。
租户通过网络安全云平台购买网络安全服务后,网络安全云平台会给每个租户分配VPC,用于提供给租户搭建网络安全服务环境,每个VPC之间通过虚拟防火墙实现相互独立。虚拟防火墙是部署与防火墙设备上的,每个VPC对应防火墙设备上的一个虚拟防火墙,每个虚拟防火墙之间相互独立,又可以互相访问。租户通过VPC给虚拟防火墙对应的防火墙设备下发安全指令配置租户的虚拟防火墙的安全服务,搭建并打通安全服务流量,基于IPSec协议簇建立IPSec VPN隧道进行报文的传递,实现互相通信。例如,如图1所示,在第一防火墙设备11上同时部署有三个虚拟防火墙,分别为虚拟防火墙111、虚拟防火墙112、虚拟防火墙113。虚拟防火墙111对应于租户1的VPC1,虚拟防火墙112对应于租户2的VPC2,虚拟防火墙113对应于租户3的VPC3。每个租户可以对其对应的虚拟防火墙进行管理。
IPSec的协商过程主要分为两个阶段:第一阶段IKE状态协商,基于IKE(InternetKey Exchange,互联网密钥交换协议)协议建立一个为第二阶段提供保护的SA(SecurityAssociation,安全联盟);第二阶段是建立一个为数据提供保护的SA。在进行IKE状态协商时,可以通过两种不同的模式进行协商,分别为主模式(Main Mode)和野蛮模式(Aggressive Mode),主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、身份交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、身份交换和验证。无论通过哪种模式进行IKE状态协商,都需要保证本端和对端采用一致的加密和认证算法,从而保证数据的正确接收。第二阶段的协商基于第一阶段的协商状态,生成新的密钥并将封装方式、加密方式等发送给对端,然后对端会根据两端的认证信息来查找第一阶段生成的SA,基于第一阶段生产的SA生成第二阶段的SA即第二阶段的协商状态。
当前,安全服务的搭建存在两种情况,搭建IPSec VPN隧道的虚拟防火墙可能存在于同一防火墙设备上或者两个不同的防火墙设备上。
下面结合图2,对本申请的IPSec协商方法进行说明。其中,图2是一示例性实施例提供的一种IPSec的协商方法的流程示意图。如图2所示,该方法应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述方法可以包括以下步骤:
S201,响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPsec VPN隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态。
在本申请一示例性实施例中,在如图1所示的IPSec协商系统中,当需要建立虚拟防火墙111和虚拟防火墙113之间的IPSec VPN隧道时,则防火墙设备11即为第一防火墙设备。在部署于第一防火墙设备11上部署的虚拟防火墙111为第一虚拟防火墙的情况下,同样部署于第一防火墙设备11上的虚拟防火墙113即为第二虚拟防火墙。租户1可以通过访问VPC1并配置管理对应的第一虚拟防火墙111的IPSec配置,并进行IPSec协商建立IPSec VPN隧道,租户3同样可以通过访问VPC3,并配置管理对应的第二虚拟防火墙113的IPSec配置,并进行IPSec协商建立IPSec VPN隧道,租户1和租户3可以通过所述IPSec VPN隧道进行加密通信。
对于建立隧道的两端同时处于同一防火墙设备的情况,在建立过程中,如果两端具有相同的IPSec配置策略,在仅根据认证信息查找对应的第一协商状态时,可能会同时查找到多个协商状态,这样会导致IPSec协商的失败。但是由于加入了区分同一防火墙设备上不同虚拟防火墙的虚拟防火墙ID,在查找第一协商状态时,考虑同时根据对端虚拟防火墙ID以及认证信息查找第一协商状态。即使建立IPSec VPN隧道的虚拟防火墙均配置有相同的IPSec策略,但是由于相应的对端虚拟防火墙ID不同,可以精确查找到对应的第一协商状态,查找结果中不会出现其他协商状态。
当然,上述IPSec协商方法也可以应用于部署于不同的防火墙设备上的两个虚拟防火墙之间的IPSec协商。在本申请一示例性实施例中,如图3所示,所述防火墙设备31上部署的虚拟防火墙311与部署于防火墙设备32上的虚拟防火墙321进行IPSec协商,建立IPSecVPN隧道。此时,防火墙设备31即为第一防火墙设备,虚拟防火墙311即为第一虚拟防火墙,而部署于防火墙设备32上的虚拟防火墙321即为第二虚拟防火墙设备。
此时,租户4通过访问终端访问VPC1并配置管理对应的第一虚拟防火墙311的IPSec配置进行IPSec协商建立IPSec VPN隧道,租户5同样可以通过与其对应的访问终端访问VPC2,并配置管理对应的第二虚拟防火墙321的IPSec配置进行IPSec协商建立IPSec VPN隧道,租户4与租户5可以通过所述IPSec VPN隧道进行加密通信,保证了双方在通信过程中数据不被外泄。响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPsec VPN隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态。其中,所述认证信息既包括本端虚拟防火墙对应的认证信息,也包括对端虚拟防火墙对应的认证信息。所述认证信息可以包含所述本端以及对端虚拟防火墙的IPSec配置策略。所述本端与对端对于建立IPSec VPN隧道的双方来说是相对的。所述虚拟防火墙ID被设置用于区别部署于同一防火墙设备上的不同虚拟防火墙。由于在发起IPSec协商时,并未获知对端虚拟防火墙是否与本端虚拟防火墙部署于同一防火墙设备上,因此在查找协商状态时同时考虑对端虚拟防火墙ID和认证信息可以兼容图1以及图3两种情况下对协商状态的查找,并不影响查找的结果,在任何情况下都可以避免出现在查找第一协商状态时查找结果中出现多个第一协商状态。
在根据认证信息和对端虚拟防火墙ID查找到对应的第一协商状态后,需要根据所述认证信息以及所述第一协商状态进行校验认证,确定双方是否可以进行下一步的IPSec协商。
S202,根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID。
在此步骤中,第一虚拟防火墙所属的第一防火墙设备根据第一协商状态对所述认证信息进行校验认证,根据校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包括第一虚拟防火墙对应的本端虚拟防火墙ID。相对于S201中根据对端虚拟防火墙ID进行第一协商状态的查找,在步骤S202中需要将本端虚拟防火墙ID即第一协商阶段对应的虚拟防火墙ID信息通过状态协商提供给对端虚拟防火墙,以便对端虚拟防火墙根据本端的虚拟防火墙ID进行相应状态的查找。因此,所述本端虚拟防火墙ID包含在所述第二协商状态中。所述第二协商状态中还可以包含IPSec VPN隧道的加密算法、密钥信息等协商信息,所述协商信息用于进行双方的加密算法协商、交换双方的密钥信息等,在本申请中不做具体限制。
S203,将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。
所述第二协商状态的协商报文可以携带所述本端虚拟防火墙ID以及所述认证信息,同时所述第二协商状态的协商报文也可以携带协商信息,用于告知对端虚拟防火墙建立IPSec VPN所需的必要信息,本申请对此不做具体限制。
通过上述步骤,完成IKE阶段的状态协商,可以为下一阶段的状态协商进行加密保护。
在本申请一示例性实施例中,若根据所述对端虚拟防火墙ID以及所述认证信息无法查找到对应的第一协商状态,则证明所述第一协商状态不存在。为发起IPSec协商,建立IPSec VPN隧道,需要对状态进行初始化。
当未查找到所述第一协商状态时,根据所述第一虚拟防火墙处预定义的静态配置策略生成默认协商状态,且所述默认协商状态中包含所述本端虚拟防火墙ID。将携带所述默认协商状态的协商报文发送至所述第二虚拟防火墙。
其中,所述静态配置策略为所述第一虚拟防火墙对应的租户预定义的建立IPSecVPN隧道所必要的IPSec策略信息,根据所述静态配置策略进行状态的初始化设置,生产默认协商状态。
在本申请一示例性实施例中,所述第一防火墙设备上维护有本地部署的各个虚拟防火墙分别对应的静态配置策略,且每一静态配置策略中分别包含相应虚拟防火墙对应的虚拟防火墙ID;所述根据所述第一虚拟防火墙处预定义的静态配置策略生成默认协商状态,包括:根据所述本端虚拟防火墙ID查找所述第一虚拟防火墙对应的静态配置策略;根据查找到的静态配置策略生成所述默认协商状态。
例如,如图1所示,第一防火墙设备11上同时部署有不同的虚拟防火墙111、112和113,分别对应租户1、租户2和租户3。租户1、租户2和租户3可以分别通过访问VPC1、VPC2和VPC3对虚拟防火墙111、112和113进行静态策略的配置。为区分同一防火墙设备中的不同虚拟防火墙对应的静态配置策略,将对应的虚拟防火墙ID保存至所述静态配置策略中,以实现部署于同一防火墙设备上的不同虚拟防火墙的配置隔离。所述虚拟防火墙ID可以以字段的形式来标记区分不同虚拟系统下的静态配置策略,从而避免配置冲突。如表1所示为本申请一示例性实施例的一种IPSec静态策略配置字段。
| 绑定接口 | IPSec所属接口 |
| 本端IP | 本端设备接口ID |
| 对端IP | 对端设备接口ID |
| 虚拟防火墙ID | 本端设备虚拟防火墙ID |
| …… | …… |
表1
当给租户通过访问终端对相应的虚拟防火墙所属的防火墙设备下发一条IPSec策略静态配置时,会获取当前策略所属的虚拟防火墙ID,然后将该字段随静态配置策略一起保存到虚拟防火墙所属的防火墙设备中,这样可以区别不同虚拟防火墙之间的静态配置策略。部署于同一防火墙设备下的虚拟防火墙分配有不重复的虚拟防火墙ID,上述方案可以有效实现不同虚拟防火墙之间的静态配置隔离。
在本申请一示例性实施例中,如图2所述的方法还可以包括如何获取对端虚拟防火墙ID以及认证信息,所述第一虚拟防火墙可以通过接收所述第二虚拟防火墙发送的携带所述第一协商状态的报文获取对端虚拟防火墙ID以及认证信息,所述报文中包含所述认证信息以及所述对端虚拟防火墙ID。
另外,本申请一示例性实施例还提供一种获取对端虚拟防火墙ID的方法。根据接收到携带所述第一协商状态的报文的接口以及预定义的接口与虚拟防火墙之间的对应关系,确定发出该报文的虚拟防火墙的对端虚拟防火墙ID;其中,所述携带所述第一协商状态的报文包含所述认证信息。
当接收到携带所述第一协商状态的报文时,确定接收该报文的接口。所述接口与发送所述报文的虚拟防火墙之间具有一一对应关系。例如,当通过接口1接收报文时,可以确定接收到的报文来自与接口1具有对应关系的虚拟防火墙1;当通过接口2接收报文时,可以确定该报文来自于接口2具有对应关系的虚拟防火墙2。直接获取该虚拟防火墙对应的虚拟防火墙ID;或者,将所述接口信息通过字段形式保存至接收报文的接口所属的防火墙设备中,然后通过查找所述对应关系,确定发送所述报文的对端虚拟防火墙ID。
为了便于理解,下面结合具体实施例的流程图对本申请的技术方案进行描述。
假设部署于如图1所示防火墙设备11中的虚拟防火墙111有与同样部署于防火墙设备11中的第二虚拟防火墙112进行IPSec协商,建立IPSec VPN隧道。
在本申请一示例性实施例中,部署于防火墙设备11上的虚拟防火墙111与同样部署于防火墙设备11上的虚拟防火墙设备113进行IPSec协商。此时,虚拟防火墙111即为所述第一虚拟防火墙,与其建立IPSec VPN隧道的对端虚拟防火墙113即为所述第二虚拟防火墙。若所述虚拟防火墙111为IPSec协商的发起方,在发起IPSec协商时由于未进行前序的状态协商,所以,防火墙设备11根据所述对端虚拟防火墙ID以及认证信息显然无法查找到对应的第一协商状态。在所述第一虚拟防火墙(即虚拟防火墙111)为IPSec协商的发起方时,所述第一虚拟防火墙所部署的第一防火墙设备(即防火墙设备11)可以实现下述步骤:
根据认证信息以及与所述第二虚拟防火墙(即虚拟防火墙113)对应的对端虚拟防火墙ID查找对应的第一协商状态;由于无法查找到对应的第一协商状态,则根据所述第一虚拟防火墙处预定义的静态配置策略生成默认协商状态,且所述默认协商状态中包含所述本端虚拟防火墙ID;将携带所述默认协商状态的协商报文发送至所述第二虚拟防火墙。
在本申请另一示例性实施例中,同样地,部署于防火墙设备11上的虚拟防火墙111与同样部署于防火墙设备11上的虚拟防火墙设备113进行IPSec协商。此时,虚拟防火墙111即为所述第一虚拟防火墙,与其建立IPSec VPN隧道的对端虚拟防火墙113即为所述第二虚拟防火墙。
但此时,虚拟防火墙111不再是IPSec协商的发起方,而是IPSec协商的响应方,则可以通过接收第二虚拟防火墙发送的报文的方法获取第二虚拟防火墙相关的认证信息以及第二虚拟防火墙对应的对端虚拟防火墙ID,通过所述报文获取的相关信息对所述第一协商状态进行查找。在所述第一虚拟防火墙(即虚拟防火墙111)为IPSec协商的发起方时,所述第一虚拟防火墙所部署的第一防火墙设备(即防火墙设备11)可以实现下述步骤:接收所述第二虚拟防火墙发送的携带所述第一协商状态的报文,该报文中包含所述认证信息以及所述对端虚拟防火墙ID;根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。
上述实施例中的方法也均可以应用于如图3所示的IPSec协商系统中,部署于不同防火墙设备的第一虚拟防火墙与第二虚拟防火墙之间的IPSec协商。
在上述说明中,本申请通过虚拟防火墙ID实现了部署于同一防火墙设备的不同虚拟防火墙之间的静态配置策略的隔离以及状态隔离,为了进一步提高租户对于其对应的虚拟防火墙的管理效率,在本申请一示例性实施例中提供一种如下所述的技术方案,租户可以通过管理控制开关,管理目标虚拟防火墙的IPSec VPN隧道的建立权限。
如图1所示的防火墙设备11上部署有IPSec服务开关,所述IPSec服务开关受控于防火墙设备11的管理员A。当所述IPSec服务开关处于开启状态时,租户1可以针对部署于防火墙设备11上的目标虚拟防火墙111发起开关控制指令,对所述目标虚拟防火墙111的管理控制开关进行状态切换控制。若所述管理控制开关切换至开启状态,则赋予所述目标虚拟防火墙111建立IPSec VPN隧道的权限,若所述管理控制开关切换至关闭状态,则收回所述虚拟防火墙建立IPSec VPN隧道的权限。
当所述防火墙设备11的IPSec服务开关处于关闭状态时,收回目标虚拟防火墙111建立IPSec VPN隧道的权限。
通过上述技术方案,管理员依然可以通过IPSec服务开关管理控制其对应的防火墙设备的所有IPSec服务,同时各租户也可以实现对自己的IPSec服务的自主控制。
当管理员开启IPSec服务开关后,所述第一防火墙设备会启动IPSec服务进程,进程会遍历所有租户的管理控制开关状态,并发起所述管理控制开关状态处于开启状态的目标虚拟防火墙的IPSec协商。此时,目标虚拟防火墙是否可以进行IPSec协商取决于租户对于管理控制开关的状态控制。
当管理员开启IPSec服务开关后,所述第一防火墙设备会停止IPSec服务,此时,无论租户是否开启管理控制开关,部署于管理员管理的防火墙设备中的所有虚拟防火墙均无法与其他虚拟防火墙进行IPSec协商,建立IPSec VPN隧道。
因此,添加管理控制开关提高了租户对于目标虚拟防火墙管控的灵活性,在不需要进行IPSec协商时主动关闭所述管理控制开关可以提高租户的私有网络安全服务环境的安全性。同时,当部分租户关闭管理控制开关时,也可以疏解防火墙设备的服务压力,提高防火墙设备的服务效率。
图4是本说明书一示例性实施例的一种计算机设备的结构示意图。在硬件层面,该设备包括处理器402、内部总线404、网络接口406、内存408及非易失性存储器410。当然还可能包括其他业务所需要的硬件。处理器402从非易失性存储器410中读取对应的计算机程序到内存408中然后运行,在逻辑层面上形成一种IPSec的协商装置。当然,除了软件实现方式之外,本说明书一个或多个实施例并不排除其他实现方式,比如逻辑器件抑或软硬件结合的方式等等,也就是说以下处理流程的执行主体并不限定于各个逻辑单元,也可以是硬件或逻辑器件。
相应于上述方法的实施例,本说明书还提供一种IPSec的协商装置。
请参考图5,一种IPSec的协商装置,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述装置可以包括:
查找单元510,用于响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPsec VPN隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;
生成单元520,用于根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;
发送单元530,用于将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。
可选地,所述IPSec协商装置还可以包括:
默认生成单元540,用于当未查找到所述第一协商状态时,根据所述第一虚拟防火墙处预定义的静态配置策略生成默认协商状态,且所述默认协商状态中包含所述本端虚拟防火墙ID;
默认发送单元550,用于将携带所述默认协商状态的协商报文发送至所述第二虚拟防火墙。
可选地,所述第一防火墙设备上维护有本地部署的各个虚拟防火墙分别对应的静态配置策略,且每一静态配置策略中分别包含相应虚拟防火墙对应的虚拟防火墙ID,所述默认生成单元可以具体用于:
根据所述本端虚拟防火墙ID查找所述第一虚拟防火墙对应的静态配置策略;
根据查找到的静态配置策略生成所述默认协商状态。
可选地,所述IPSec协商装置还可以包括:
接收单元560,用于接收所述第二虚拟防火墙发送的携带所述第一协商状态的报文,该报文中包含所述认证信息以及所述对端虚拟防火墙ID。
可选地,所述IPSec协商装置还可以包括:
虚拟防火墙ID确定单元570,用于根据接收到携带所述第一协商状态的报文的接口以及预定义的接口与虚拟防火墙之间的对应关系,确定发出该报文的虚拟防火墙的对端虚拟防火墙ID;其中,所述携带所述第一协商状态的报文包含所述认证信息。
可选地,所述第二虚拟防火墙部署于所述第一防火墙设备,或者部署在区别于所述第一防火墙设备的第二防火墙设备上。
可选地,所述IPSec协商装置还包括:
切换控制单元580,用于响应于租户针对目标虚拟防火墙发起的开关控制指令,对所述目标虚拟防火墙的管理控制开关进行状态切换控制,其中,所述目标虚拟防火墙部署在所述第一防火墙设备上;
当所述第一防火墙设备的IPSec服务开关处于开启状态时,若所述管理控制开关切换至开启状态,则赋予所述目标虚拟防火墙建立IPSec VPN隧道的权限,若所述管理控制开关切换至关闭状态,则收回所述目标虚拟防火墙建立IPSec VPN隧道的权限;其中,所述IPSec服务开关受控于所述第一防火墙设备的管理员;
当所述第一防火墙设备的IPSec服务开关处于关闭状态时,收回所述目标虚拟防火墙建立IPSec VPN隧道的权限。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
在一个典型的配置中,计算机包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带、磁盘存储、量子存储器、基于石墨烯的存储介质或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
在本说明书一个或多个实施例中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性地包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
在本说明书一个或多个实施例使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
以上所述仅为本说明书一个或多个实施例的较佳实施例而已,并不用以限制本说明书一个或多个实施例,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本说明书一个或多个实施例保护的范围之内。
Claims (10)
1.一种IPSec的协商方法,其特征在于,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述方法包括:
响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPsec VPN隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;其中,所述认证信息包括所述第一虚拟防火墙的IPSec配置策略以及所述第二虚拟防火墙的IPSec配置策略;
根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;
将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙,以使所述第二虚拟防火墙获取所述本端虚拟防火墙ID,并根据所述认证信息和所述本端虚拟防火墙ID查找所述第二协商状态。
2.如权利要求1所述的方法,其特征在于,还包括:
当未查找到所述第一协商状态时,根据所述第一虚拟防火墙处预定义的静态配置策略生成默认协商状态,且所述默认协商状态中包含所述本端虚拟防火墙ID;
将携带所述默认协商状态的协商报文发送至所述第二虚拟防火墙。
3.如权利要求2所述的方法,其特征在于,所述第一防火墙设备上维护有本地部署的各个虚拟防火墙分别对应的静态配置策略,且每一静态配置策略中分别包含相应虚拟防火墙对应的虚拟防火墙ID;所述根据所述第一虚拟防火墙处预定义的静态配置策略生成默认协商状态,包括:
根据所述本端虚拟防火墙ID查找所述第一虚拟防火墙对应的静态配置策略;
根据查找到的静态配置策略生成所述默认协商状态。
4.如权利要求1所述的方法,其特征在于,还包括:
接收所述第二虚拟防火墙发送的携带所述第一协商状态的报文,该报文中包含所述认证信息以及所述对端虚拟防火墙ID。
5.如权利要求1所述的方法,其特征在于,还包括:
根据接收到携带所述第一协商状态的报文的接口以及预定义的接口与虚拟防火墙之间的对应关系,确定发出该报文的虚拟防火墙的对端虚拟防火墙ID;其中,所述携带所述第一协商状态的报文包含所述认证信息。
6.如权利要求1所述的方法,其特征在于,所述第二虚拟防火墙部署于所述第一防火墙设备,或者部署在区别于所述第一防火墙设备的第二防火墙设备上。
7.如权利要求1所述的方法,其特征在于,还包括:
响应于租户针对目标虚拟防火墙发起的开关控制指令,对所述目标虚拟防火墙的管理控制开关进行状态切换控制,其中,所述目标虚拟防火墙部署在所述第一防火墙设备上;
当所述第一防火墙设备的IPSec服务开关处于开启状态时,若所述管理控制开关切换至开启状态,则赋予所述目标虚拟防火墙建立IPSec VPN隧道的权限,若所述管理控制开关切换至关闭状态,则收回所述目标虚拟防火墙建立IPSec VPN隧道的权限;其中,所述IPSec服务开关受控于所述第一防火墙设备的管理员;
当所述第一防火墙设备的IPSec服务开关处于关闭状态时,收回所述目标虚拟防火墙建立IPSec VPN隧道的权限。
8.一种IPSec的协商装置,其特征在于,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述装置包括:
查找单元,用于响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPsec VPN隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;其中,所述认证信息包括所述第一虚拟防火墙的IPSec配置策略以及所述第二虚拟防火墙的IPSec配置策略;
生成单元,用于根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;
发送单元,用于将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙,以使所述第二虚拟防火墙获取所述本端虚拟防火墙ID,并根据所述认证信息和所述本端虚拟防火墙ID查找所述第二协商状态。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现权利要求1-7中任意一项所述方法的步骤。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-7中任意一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111625850.7A CN114338153B (zh) | 2021-12-28 | 2021-12-28 | 一种IPSec的协商方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111625850.7A CN114338153B (zh) | 2021-12-28 | 2021-12-28 | 一种IPSec的协商方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338153A CN114338153A (zh) | 2022-04-12 |
| CN114338153B true CN114338153B (zh) | 2023-07-25 |
Family
ID=81014386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111625850.7A Active CN114338153B (zh) | 2021-12-28 | 2021-12-28 | 一种IPSec的协商方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338153B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114928474A (zh) * | 2022-04-24 | 2022-08-19 | 北京天融信网络安全技术有限公司 | IPsec自动协商携资源入网的方法和系统及存储介质 |
| CN116599769B (zh) * | 2023-07-13 | 2023-09-26 | 北京安数云信息技术有限公司 | 一种基于vpn的数据传输方法和系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465844A (zh) * | 2007-12-18 | 2009-06-24 | 华为技术有限公司 | 一种防火墙穿越方法、系统和设备 |
| CN103152343A (zh) * | 2013-03-04 | 2013-06-12 | 北京神州绿盟信息安全科技股份有限公司 | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 |
| CN103947172A (zh) * | 2012-11-19 | 2014-07-23 | 华为技术有限公司 | 一种网络穿越服务的提供方法、装置及系统 |
| CN105635076A (zh) * | 2014-10-31 | 2016-06-01 | 华为技术有限公司 | 一种媒体传输方法和设备 |
| CN105656916A (zh) * | 2016-01-29 | 2016-06-08 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心业务子网的安全管理方法及系统 |
| CN105812322A (zh) * | 2014-12-30 | 2016-07-27 | 华为数字技术(苏州)有限公司 | 因特网安全协议安全联盟的建立方法及装置 |
| CN106169952A (zh) * | 2016-09-06 | 2016-11-30 | 杭州迪普科技有限公司 | 一种英特网密钥管理协议重协商的认证方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7546357B2 (en) * | 2004-01-07 | 2009-06-09 | Microsoft Corporation | Configuring network settings using portable storage media |
| US7657612B2 (en) * | 2004-01-07 | 2010-02-02 | Microsoft Corporation | XML schema for network device configuration |
-
2021
- 2021-12-28 CN CN202111625850.7A patent/CN114338153B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465844A (zh) * | 2007-12-18 | 2009-06-24 | 华为技术有限公司 | 一种防火墙穿越方法、系统和设备 |
| CN103947172A (zh) * | 2012-11-19 | 2014-07-23 | 华为技术有限公司 | 一种网络穿越服务的提供方法、装置及系统 |
| CN103152343A (zh) * | 2013-03-04 | 2013-06-12 | 北京神州绿盟信息安全科技股份有限公司 | 建立互联网安全协议虚拟专用网隧道的方法和网络设备 |
| CN105635076A (zh) * | 2014-10-31 | 2016-06-01 | 华为技术有限公司 | 一种媒体传输方法和设备 |
| CN105812322A (zh) * | 2014-12-30 | 2016-07-27 | 华为数字技术(苏州)有限公司 | 因特网安全协议安全联盟的建立方法及装置 |
| CN105656916A (zh) * | 2016-01-29 | 2016-06-08 | 浪潮(北京)电子信息产业有限公司 | 一种云数据中心业务子网的安全管理方法及系统 |
| CN106169952A (zh) * | 2016-09-06 | 2016-11-30 | 杭州迪普科技有限公司 | 一种英特网密钥管理协议重协商的认证方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 陈瑞.《山西广播电视大学学报》.2017,全文. * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338153A (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11451404B2 (en) | Blockchain integrated stations and automatic node adding methods and apparatuses | |
| US11424942B2 (en) | Blockchain integrated stations and automatic node adding methods and apparatuses | |
| CN108881308B (zh) | 一种用户终端及其认证方法、系统、介质 | |
| CN114338153B (zh) | 一种IPSec的协商方法及装置 | |
| US20200259667A1 (en) | Distributed management system for remote devices and methods thereof | |
| KR102379721B1 (ko) | Tcp 세션 제어에 기초하여 애플리케이션의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| US10470102B2 (en) | MAC address-bound WLAN password | |
| EP3639498B1 (en) | Certificate pinning in highly secure network environments using public key certificates obtained from a dhcp (dynamic host configuration protocol) server | |
| US8949411B2 (en) | Determining whether a device is inside a network | |
| EP2405388A1 (en) | Method of generating a virtual private community and network using the virtual private community | |
| US20170238236A1 (en) | Mac address-bound wlan password | |
| KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
| KR102439881B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| KR102333555B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| JP2023162313A (ja) | 端末のネットワーク接続を認証及び制御するためのシステム及びそれに関する方法 | |
| KR102333554B1 (ko) | 컨트롤러 기반의 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| KR102156206B1 (ko) | 종단 간 통신에 보안을 제공하기 위한 장치 및 방법 | |
| CN104270368A (zh) | 认证方法、认证服务器和认证系统 | |
| CN108848156B (zh) | 接入网关处理方法、装置及存储介质 | |
| KR102357233B1 (ko) | 다중 홉 기반의 통신 네트워크에서 접속 제어를 위한 통신 노드의 동작 방법 | |
| CN114362976A (zh) | 一种裸机的对接存储方法、装置及系统 | |
| US11647001B1 (en) | Optimizing communication in a virtual private network during blocking of an exit internet protocol address | |
| EP4107643B1 (en) | Methods, module and blockchain for distributed public keystore | |
| US11943202B1 (en) | Utilization of multiple exit internet protocol addresses in a virtual private network | |
| CN118041795A (zh) | 网络拓扑生成方法、装置、云平台及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |