CN114928474A - IPsec自动协商携资源入网的方法和系统及存储介质 - Google Patents
IPsec自动协商携资源入网的方法和系统及存储介质 Download PDFInfo
- Publication number
- CN114928474A CN114928474A CN202210436509.5A CN202210436509A CN114928474A CN 114928474 A CN114928474 A CN 114928474A CN 202210436509 A CN202210436509 A CN 202210436509A CN 114928474 A CN114928474 A CN 114928474A
- Authority
- CN
- China
- Prior art keywords
- firewall
- ipsec
- address
- central
- tunnel
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及通信技术领域,具体涉及一种IPsec自动协商携资源入网的方法和系统及存储介质,目的在于提高构建IPsec隧道的效率。本发明提出的IPsec自动协商携资源入网的方法包括:中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙,以使第一防火墙和第二防火墙进行隧道协商,从而建立第三IPsec隧道。其中,第一IPsec策略包括:第二防火墙的地址;第二IPsec策略包括:第一防火墙的地址。本发明的自动协商方法提高了IPsec协商的效率,降低了维护成本。
Description
技术领域
本发明涉及通信技术领域,具体涉及一种IPsec自动协商携资源入网的方法和系统及存储介质。
背景技术
互联网安全协议(Intemet Protocol security,IPsec),是一个协议簇,通过对IP协议的分组进行加密和认证来保护IP协议的网络传输协议簇。IPsec依靠密码技术保护各种环境中的通信,包括在专用网中计算机之间的通信链路,公司站点之间的链路,以及拨号用户和公司LAN之间的链路等。
图1是两台计算机之间通过互联网进行通信的示意图。如图1所示,如果PCI想要和PC2进行加密通信,需要在两台防火墙中间建立IPsec隧道,两台防火墙需要配置各自的IPsec策略来建立IPsec通信。图2是一个中心机构与多个分支机构之间通过公网连接的拓扑环境示意图。如图2所示,分别位于三个分支机构中的计算机PC-A、PC-B、PC-C和分支服务器A、分支服务器B、分支服务器C均通过各自的防火墙接入公网,位于中心机构的中心服务器1、中心服务器2、中心服务器3通过中心防火墙接入公网。在图2的拓扑环境中,如果计算机PC-A想要访问中心服务器和其他分支服务器的资源,需要在分支防火墙A和其他各台防火墙之间都建立一条隧道,当分支机构不断增多时,此时在配置防火墙IPsec策略时,对应关系是1:N的关系,导致防火墙配置非常复杂,人力维护不但效率低,而且成本很高。
发明内容
为了解决现有技术中的上述问题,本发明提出了一种IPsec自动协商携资源入网的方法和系统及存储介质,提高了IPsec协商的效率,降低了维护成本。
本发明第一方面,提出了一种IPsec自动协商携资源入网的方法,所述方法包括:
中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙,以使所述第一防火墙和所述第二防火墙进行隧道协商,从而建立第三IPsec隧道;
其中,
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一IPsec隧道位于中心端防火墙与第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与第二防火墙之间;
所述第一防火墙、所述第二防火墙和所述中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙。
优选地,在“中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙”之前,所述方法还包括:
所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址生成所述第一IPsec策略和所述第二IPsec策略。
优选地,在“所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址生成所述第一IPsec策略和所述第二IPsec策略”之前,所述方法还包括:
所述中心端服务器接收所述资源请求端发来的协商请求,所述协商请求包括:所述第一防火墙的地址,以及所述资源请求端想要访问的资源响应端的地址;
根据所述资源响应端的地址,获取所述第二防火墙的地址。
优选地,“根据所述资源响应端的地址,获取所述第二防火墙的地址”的步骤包括:
根据所述资源响应端的地址,通过查询预先记录的注册信息获取所述第二防火墙的地址;
其中,
所述注册信息包括:所述资源响应端的地址,以及与所述资源响应端的地址绑定的第二防火墙的地址。
本发明的第二方面,提出了另一种IPsec自动协商携资源入网的方法,所述方法包括:
资源请求端通过预先建立的第一IPsec隧道向中心端服务器发送协商请求,以使所述中心端服务器生成第一IPsec策略和第二IPsec策略,并将所述第一IPsec策略和所述第二IPsec策略分别通过所述第一IPsec隧道和预先建立的第二IPsec隧道发送到第一防火墙和第二防火墙,进而使所述第一防火墙和所述第二防火墙进行隧道协商,建立第三IPsec隧道;
其中,
所述协商请求包括:所述第一防火墙的地址,以及所述资源请求端想要访问的资源响应端的地址;
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间;
所述第二防火墙的地址预先记录在存储器中,并与所述资源响应端的地址绑定,能够被所述中心端服务器所获取。
本发明的第三方面,提出了第三种IPsec自动协商携资源入网的方法,所述方法包括:
第一防火墙通过预先建立的第一IPsec隧道,接收中心端服务器发来的第一IPsec策略;
根据所述第一IPsec策略与第二防火墙进行隧道协商,从而建立第三IPsec隧道;
其中,
所述第二防火墙与所述第一防火墙进行隧道协商时,依据的策略为第二IPsec策略,所述第二IPsec策略为所述第二防火墙通过预先建立的第二IPsec隧道接收的所述中心端服务器发来的信息;
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间。
本发明的第四方面,提出了第四种IPsec自动协商携资源入网的方法,所述方法包括:
第二防火墙通过预先建立的第二IPsec隧道,接收中心端服务器发来的第二IPsec策略;
根据所述第二IPsec策略与第一防火墙进行隧道协商,从而建立第三IPsec隧道;
其中,
所述第一防火墙与所述第二防火墙进行协商时,依据的策略为第一IPsec策略,所述第一IPsec策略为所述第一防火墙通过预先建立的第一IPsec隧道接收的所述中心端服务器发来的信息;
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间。
本发明的第五方面,提出了第五种IPsec自动协商携资源入网的方法,所述方法包括:
资源请求端通过预先建立的第一IPsec隧道向中心端服务器发送协商请求,所述协商请求包括:第一防火墙的地址,以及所述资源请求端想要访问的资源响应端的地址;
所述中心端服务器接收所述协商请求,并根据所述资源响应端的地址查询第二防火墙的地址;
所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址,生成第一IPsec策略和第二IPsec策略;
所述中心端服务器将所述第一IPsec策略和所述第二IPsec策略通过所述第一IPsec隧道和预先建立的第二IPsec隧道分别发送到所述第一防火墙和所述第二防火墙;
所述第一防火墙和所述第二防火墙分别根据所述第一IPsec策略和所述第二IPsec策略进行隧道协商,从而建立第三IPsec隧道;
其中,
所述第二防火墙的地址预先记录在存储器中,并与所述资源响应端的地址绑定,能够被所述中心端服务器所获取;
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为所述资源请求端、所述资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间。
本发明的第六方面,提出了一种IPsec自动协商携资源入网的系统,所述系统包括:中心端服务器、中心端防火墙、第一防火墙,以及第二防火墙;
所述中心端服务器配置为:通过预先建立的第一IPsec隧道接收资源请求端发来的协商请求;根据所述协商请求中包含的资源响应端的地址,查询所述第二防火墙的地址;根据所述第一防火墙的地址和所述第二防火墙的地址,生成第一IPsec策略和第二IPsec策略,并分别通过所述第一IPsec隧道和预先建立的第二IPsec隧道发送到所述第一防火墙和所述第二防火墙;
所述第一防火墙配置为:接收所述中心端服务器发来的所述第一IPsec策略,并根据所述第一IPsec策略与所述第二防火墙进行隧道协商;
所述第二防火墙配置为:接收所述中心端服务器发来的所述第二IPsec策略,并根据所述第二IPsec策略与所述第一防火墙进行隧道协商;
其中,
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第二防火墙的地址预先记录在存储器中,并与所述资源响应端的地址绑定,能够被所述中心端服务器所获取;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间。
本发明的第七方面,提出了一种计算机可读存储介质,存储有程序,所述程序能够被处理器加载并执行上面所述的IPsec自动协商携资源入网的方法。
与最接近的现有技术相比,本发明具有如下有益效果:
本发明提出的IPsec自动协商携资源入网的方法,当资源请求端想要访问资源响应端时,由中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙,以使第一防火墙和所述第二防火墙分别根据接收到的策略进行隧道协商,从而建立第三IPsec隧道。通过这种方式,本发明避免了手动配置第一防火墙、第二防火墙的繁琐步骤,既可以避免人工操作可能导致的配置失误,而且在需要频繁访问多个位于不同地点的资源响应端的情况下,可以有效提高工作效率,降低人力维护的成本。
附图说明
图1是两台计算机之间通过互联网进行通信的示意图;
图2是一个中心机构与多个分支机构之间通过公网连接的拓扑环境示意图;
图3是本发明实施例中各设备在网络上的位置关系示意图;
图4是本发明的IPsec自动协商携资源入网的方法实施例三的主要步骤示意图;
图5是本发明的IPsec自动协商携资源入网的方法实施例六的主要步骤示意图;
图6是本发明的IPsec自动协商携资源入网的系统示意图。
具体实施方式
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅用于解释本发明的技术原理,并非旨在限制本发明的保护范围。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本申请的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明的描述中,术语“第一”、“第二”仅仅是为了便于描述,而不是指示或暗示所述装置、元件或参数的相对重要性,因此不能理解为对本发明的限制。另外,本发明中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本发明的主要技术思路是:预先在中心端服务器与其他端设备对应的防火墙之间分别建立IPsec隧道,当两个端设备之间有通信需求时,借助中心端服务器下发协商策略来实现自动协商。下面的实施例中以“资源请求端”和“资源响应端”分别代表两个端设备进行描述。
图3是本发明实施例中各设备在网络上的位置关系示意图。如图3所示,第一防火墙、第二防火墙和中心端防火墙分别为资源请求端、资源响应端和中心端服务器的防火墙。第一防火墙与中心端防火墙之间预先建立了第一IPsec隧道;第二防火墙与中心端防火墙之间预先建立了第二IPsec隧道。
当资源请求端想要与资源响应端进行安全通信时,需要在第一防火墙与第二防火墙之间建立第三IPsec隧道。这时可以由中心端服务器通过预先建立的第一IPsec隧道向第一防火墙下发第一IPsec策略,并通过预先建立的第二IPsec隧道向第二防火墙下发第二IPsec策略,然后由第一防火墙和第二防火墙分别根据各自收到的IPsec策略进行协商,直到建立第三IPsec隧道。之后,资源请求端与资源响应端之间就可以通过第三IPsec隧道进行通行,无需手动配置对应的防火墙策略。
下面实施例一至三,均以中心端服务器为执行主体介绍了本发明的技术构思,实施例四、五、六分别以资源请求端、第一防火墙、第二防火墙为执行主体进行介绍,实施例七的方法同时具有上述多个执行主体。
本发明提供了IPsec自动协商携资源入网的方法实施例一。本实施例的方法主要包括步骤A1:
步骤A1,中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙,以使第一防火墙和第二防火墙进行隧道协商,从而建立第三IPsec隧道。
其中,第一IPsec策略包括:第二防火墙的地址;第二IPsec策略包括:第一防火墙的地址。
本实施例中,第一IPsec策略和第二IPsec策略可以由中心端服务器根据用户在中心端防火墙的配置信息生成;在资源请求端能够查询到第二防火墙地址的情况下,上述两个策略也可以由资源请求端生成并事先发送到中心端服务器,中心端服务器在接收到资源请求端的协商请求时再将上述两个策略下发。
本发明还提供了IPsec自动协商携资源入网的方法实施例二。本实施例的方法主要包括步骤B1-B2:
步骤B1,中心端服务器根据第一防火墙的地址和第二防火墙的地址生成第一IPsec策略和第二IPsec策略。
其中,第一IPsec策略包括:第二防火墙的地址;第二IPsec策略包括:第一防火墙的地址。
本实施例中,第一防火墙的地址和第二防火墙的地址可以是预先存储在某个能够被中心端服务器获取到的地方;也可以由资源请求端在发送协商请求时直接发送到中心端服务器。
步骤B2,中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙,以使第一防火墙和第二防火墙进行隧道协商,从而建立第三IPsec隧道。
图4是本发明的IPsec自动协商携资源入网的方法实施例三的主要步骤示意图。如图4所示,本实施例的方法包括步骤C1-C4:
步骤C1,中心端服务器接收资源请求端发来的协商请求。
其中,协商请求包括:第一防火墙的地址,以及资源请求端想要访问的资源响应端的地址。
步骤C2,根据资源响应端的地址,获取第二防火墙的地址。
第二防火墙的地址可以预先保存在中心端服务器中,或者由中心端服务器通过资源响应端或其他服务器获取得到。
步骤C3,中心端服务器根据第一防火墙的地址和第二防火墙的地址生成第一IPsec策略和第二IPsec策略。
其中,第一IPsec策略包括:第二防火墙的地址;第二IPsec策略包括:第一防火墙的地址。
步骤C4,中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙,以使第一防火墙和第二防火墙进行隧道协商,从而建立第三IPsec隧道。
在一种优选的实施例中,步骤C2中获取第二防火墙的地址的方法可以为:根据资源响应端的地址,通过查询预先记录的注册信息获取第二防火墙的地址。这里的注册信息可以是资源响应端预先向中心端服务器发送注册请求,然后由中心端服务器记录下来的。或者,可以由资源响应端预先向另外一台服务器发送注册请求,然后由接受该请求的服务器保存注册信息,但是中心端服务器能够在需要的时候随时获取到。
其中,注册信息包括:资源响应端的地址,以及与资源响应端的地址绑定的第二防火墙的地址。
本发明还提供了IPsec自动协商携资源入网的方法实施例四。本实施例的方法包括步骤D1:
步骤D1,资源请求端通过预先建立的第一IPsec隧道向中心端服务器发送协商请求,以使中心端服务器生成第一IPsec策略和第二IPsec策略,并将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和预先建立的第二IPsec隧道发送到第一防火墙和第二防火墙,进而使第一防火墙和第二防火墙进行隧道协商,建立第三IPsec隧道。
其中,协商请求包括:第一防火墙的地址,以及资源请求端想要访问的资源响应端的地址;第一IPsec策略包括:第二防火墙的地址;第二IPsec策略包括:第一防火墙的地址;第二防火墙的地址预先记录在存储器中,并与资源响应端的地址绑定,能够被中心端服务器所获取。
本发明还提供了IPsec自动协商携资源入网的方法实施例五。本实施例的方法包括步骤E1-E2:
步骤E1,第一防火墙通过预先建立的第一IPsec隧道,接收中心端服务器发来的第一IPsec策略。
步骤E2,根据第一IPsec策略与第二防火墙进行隧道协商,从而建立第三IPsec隧道。
其中,第二防火墙与第一防火墙进行隧道协商时,依据的策略为第二IPsec策略,该第二IPsec策略为第二防火墙通过预先建立的第二IPsec隧道接收的中心端服务器发来的信息;第一IPsec策略包括:第二防火墙的地址;第二IPsec策略包括:第一防火墙的地址。
本发明还提供了IPsec自动协商携资源入网的方法实施例六。本实施例的方法包括步骤F1-F2:
步骤F1,第二防火墙通过预先建立的第二IPsec隧道,接收中心端服务器发来的第二IPsec策略。
步骤F2,根据第二IPsec策略与第一防火墙进行隧道协商,从而建立第三IPsec隧道。
其中,第一防火墙与第二防火墙进行协商时,依据的策略为第一IPsec策略,第一IPsec策略为第一防火墙通过预先建立的第一IPsec隧道接收的中心端服务器发来的信息;第一IPsec策略包括:第二防火墙的地址;第二IPsec策略包括:第一防火墙的地址。
图5是本发明的IPsec自动协商携资源入网的方法实施例六的主要步骤示意图。如图5所示,本实施例的方法包括步骤G1-G5:
步骤G1,资源请求端通过预先建立的第一IPsec隧道向中心端服务器发送协商请求。
其中,协商请求包括:第一防火墙的地址,以及资源请求端想要访问的资源响应端的地址。
步骤G2,中心端服务器接收协商请求,并根据资源响应端的地址查询第二防火墙的地址。
其中,第二防火墙的地址预先记录在存储器中,并与资源响应端的地址绑定,能够被中心端服务器所获取。这里的存储器可以是中心端服务器的硬盘,或者是其他服务器的硬盘等,只要中心端服务器能够方便地查询到第二防火墙地址即可,还可以由中心端服务器通过资源响应端来获取。
步骤G3,中心端服务器根据第一防火墙的地址和第二防火墙的地址,生成第一IPsec策略和第二IPsec策略。
其中,第一IPsec策略包括:第二防火墙的地址;第二IPsec策略包括:第一防火墙的地址。
步骤G4,中心端服务器将第一IPsec策略和第二IPsec策略通过第一IPsec隧道和预先建立的第二IPsec隧道分别发送到第一防火墙和第二防火墙。
步骤G5,第一防火墙和第二防火墙分别根据第一IPsec策略和第二IPsec策略进行隧道协商,从而建立第三IPsec隧道。
进一步地,基于与上述IPsec自动协商携资源入网的方法同样的技术构思,本发明还提出了一种IPsec自动协商携资源入网的系统,下面将进行详细介绍。
图6是本发明的IPsec自动协商携资源入网的系统示意图。如图6所示,本实施例的系统100包括:中心端服务器110、中心端防火墙120、第一防火墙130,以及第二防火墙140。
本实施例中,中心端服务器110配置为:通过预先建立的第一IPsec隧道接收资源请求端200发来的协商请求;根据该协商请求中包含的资源响应端300的地址,查询第二防火墙140的地址;根据第一防火墙130的地址和第二防火墙140的地址,生成第一IPsec策略和第二IPsec策略,并分别通过预先建立的第一IPsec隧道和预先建立的第二IPsec隧道发送到第一防火墙130和第二防火墙140。
本实施例中,第一防火墙130配置为:接收中心端服务器110发来的第一IPsec策略,并根据第一IPsec策略与第二防火墙140进行隧道协商。
本实施例中,第二防火墙140配置为:接收中心端服务器110发来的第二IPsec策略,并根据第二IPsec策略与第一防火墙130进行隧道协商。
其中,第一IPsec策略包括:第二防火墙140的地址;第二IPsec策略包括:第一防火墙130的地址;第二防火墙140的地址预先记录在存储器中,并与资源响应端300的地址绑定,能够被中心端服务器110所获取。
更进一步地,基于上述IPsec自动协商携资源入网的方法,本发明还提供了一种计算机可读存储介质的实施例。本实施例的存储介质中存储有程序,所述程序能够被处理器加载并执行上面所述的IPsec自动协商携资源入网的方法。
所述计算机可读存储介质例如包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案。但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
Claims (10)
1.一种IPsec自动协商携资源入网的方法,其特征在于,所述方法包括:
中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙,以使所述第一防火墙和所述第二防火墙进行隧道协商,从而建立第三IPsec隧道;
其中,
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一IPsec隧道位于中心端防火墙与第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与第二防火墙之间;
所述第一防火墙、所述第二防火墙和所述中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙。
2.根据权利要求1所述的IPsec自动协商携资源入网的方法,其特征在于,在“中心端服务器将第一IPsec策略和第二IPsec策略分别通过预先建立的第一IPsec隧道和第二IPsec隧道发送到第一防火墙和第二防火墙”之前,所述方法还包括:
所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址生成所述第一IPsec策略和所述第二IPsec策略。
3.根据权利要求2所述的IPsec自动协商携资源入网的方法,其特征在于,在“所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址生成所述第一IPsec策略和所述第二IPsec策略”之前,所述方法还包括:
所述中心端服务器接收所述资源请求端发来的协商请求,所述协商请求包括:所述第一防火墙的地址,以及所述资源请求端想要访问的资源响应端的地址;
根据所述资源响应端的地址,获取所述第二防火墙的地址。
4.根据权利要求3所述的IPsec自动协商携资源入网的方法,其特征在于,“根据所述资源响应端的地址,获取所述第二防火墙的地址”的步骤包括:
根据所述资源响应端的地址,通过查询预先记录的注册信息获取所述第二防火墙的地址;
其中,
所述注册信息包括:所述资源响应端的地址,以及与所述资源响应端的地址绑定的第二防火墙的地址。
5.一种IPsec自动协商携资源入网的方法,其特征在于,所述方法包括:
资源请求端通过预先建立的第一IPsec隧道向中心端服务器发送协商请求,以使所述中心端服务器生成第一IPsec策略和第二IPsec策略,并将所述第一IPsec策略和所述第二IPsec策略分别通过所述第一IPsec隧道和预先建立的第二IPsec隧道发送到第一防火墙和第二防火墙,进而使所述第一防火墙和所述第二防火墙进行隧道协商,建立第三IPsec隧道;
其中,
所述协商请求包括:所述第一防火墙的地址,以及所述资源请求端想要访问的资源响应端的地址;
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间;
所述第二防火墙的地址预先记录在存储器中,并与所述资源响应端的地址绑定,能够被所述中心端服务器所获取。
6.一种IPsec自动协商携资源入网的方法,其特征在于,所述方法包括:
第一防火墙通过预先建立的第一IPsec隧道,接收中心端服务器发来的第一IPsec策略;
根据所述第一IPsec策略与第二防火墙进行隧道协商,从而建立第三IPsec隧道;
其中,
所述第二防火墙与所述第一防火墙进行隧道协商时,依据的策略为第二IPsec策略,所述第二IPsec策略为所述第二防火墙通过预先建立的第二IPsec隧道接收的所述中心端服务器发来的信息;
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间。
7.一种IPsec自动协商携资源入网的方法,其特征在于,所述方法包括:
第二防火墙通过预先建立的第二IPsec隧道,接收中心端服务器发来的第二IPsec策略;
根据所述第二IPsec策略与第一防火墙进行隧道协商,从而建立第三IPsec隧道;
其中,
所述第一防火墙与所述第二防火墙进行协商时,依据的策略为第一IPsec策略,所述第一IPsec策略为所述第一防火墙通过预先建立的第一IPsec隧道接收的所述中心端服务器发来的信息;
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间。
8.一种IPsec自动协商携资源入网的方法,其特征在于,所述方法包括:
资源请求端通过预先建立的第一IPsec隧道向中心端服务器发送协商请求,所述协商请求包括:第一防火墙的地址,以及所述资源请求端想要访问的资源响应端的地址;
所述中心端服务器接收所述协商请求,并根据所述资源响应端的地址查询第二防火墙的地址;
所述中心端服务器根据所述第一防火墙的地址和所述第二防火墙的地址,生成第一IPsec策略和第二IPsec策略;
所述中心端服务器将所述第一IPsec策略和所述第二IPsec策略通过所述第一IPsec隧道和预先建立的第二IPsec隧道分别发送到所述第一防火墙和所述第二防火墙;
所述第一防火墙和所述第二防火墙分别根据所述第一IPsec策略和所述第二IPsec策略进行隧道协商,从而建立第三IPsec隧道;
其中,
所述第二防火墙的地址预先记录在存储器中,并与所述资源响应端的地址绑定,能够被所述中心端服务器所获取;
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为所述资源请求端、所述资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间。
9.一种IPsec自动协商携资源入网的系统,其特征在于,所述系统包括:中心端服务器、中心端防火墙、第一防火墙,以及第二防火墙;
所述中心端服务器配置为:通过预先建立的第一IPsec隧道接收资源请求端发来的协商请求;根据所述协商请求中包含的资源响应端的地址,查询所述第二防火墙的地址;根据所述第一防火墙的地址和所述第二防火墙的地址,生成第一IPsec策略和第二IPsec策略,并分别通过所述第一IPsec隧道和预先建立的第二IPsec隧道发送到所述第一防火墙和所述第二防火墙;
所述第一防火墙配置为:接收所述中心端服务器发来的所述第一IPsec策略,并根据所述第一IPsec策略与所述第二防火墙进行隧道协商;
所述第二防火墙配置为:接收所述中心端服务器发来的所述第二IPsec策略,并根据所述第二IPsec策略与所述第一防火墙进行隧道协商;
其中,
所述第一IPsec策略包括:所述第二防火墙的地址;
所述第二IPsec策略包括:所述第一防火墙的地址;
所述第二防火墙的地址预先记录在存储器中,并与所述资源响应端的地址绑定,能够被所述中心端服务器所获取;
所述第一防火墙、所述第二防火墙和中心端防火墙分别为资源请求端、资源响应端和所述中心端服务器的防火墙;
所述第一IPsec隧道位于所述中心端防火墙与所述第一防火墙之间;
所述第二IPsec隧道位于所述中心端防火墙与所述第二防火墙之间。
10.一种计算机可读存储介质,其特征在于,存储有程序,所述程序能够被处理器加载并执行权利要求1至8中任一项所述的IPsec自动协商携资源入网的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210436509.5A CN114928474A (zh) | 2022-04-24 | 2022-04-24 | IPsec自动协商携资源入网的方法和系统及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210436509.5A CN114928474A (zh) | 2022-04-24 | 2022-04-24 | IPsec自动协商携资源入网的方法和系统及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114928474A true CN114928474A (zh) | 2022-08-19 |
Family
ID=82806414
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210436509.5A Pending CN114928474A (zh) | 2022-04-24 | 2022-04-24 | IPsec自动协商携资源入网的方法和系统及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114928474A (zh) |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1758654A (zh) * | 2005-11-11 | 2006-04-12 | 杭州华为三康技术有限公司 | 客户终端建立直联隧道的方法及其通信方法以及服务器 |
| CN101207546A (zh) * | 2006-12-18 | 2008-06-25 | 华为技术有限公司 | 一种动态建立隧道的方法、隧道服务器和系统 |
| US7739728B1 (en) * | 2005-05-20 | 2010-06-15 | Avaya Inc. | End-to-end IP security |
| CN103580981A (zh) * | 2013-10-29 | 2014-02-12 | 汉柏科技有限公司 | 一种ipsec隧道间冷备份的方法 |
| CN106713100A (zh) * | 2015-11-17 | 2017-05-24 | 华为数字技术(苏州)有限公司 | 一种自动建立隧道的方法、cpe及汇聚设备 |
| US20200336464A1 (en) * | 2019-04-16 | 2020-10-22 | Fortinet, Inc. | Automatic virtual private network (vpn) establishment |
| CN114338153A (zh) * | 2021-12-28 | 2022-04-12 | 杭州迪普科技股份有限公司 | 一种IPSec的协商方法及装置 |
-
2022
- 2022-04-24 CN CN202210436509.5A patent/CN114928474A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7739728B1 (en) * | 2005-05-20 | 2010-06-15 | Avaya Inc. | End-to-end IP security |
| CN1758654A (zh) * | 2005-11-11 | 2006-04-12 | 杭州华为三康技术有限公司 | 客户终端建立直联隧道的方法及其通信方法以及服务器 |
| CN101207546A (zh) * | 2006-12-18 | 2008-06-25 | 华为技术有限公司 | 一种动态建立隧道的方法、隧道服务器和系统 |
| CN103580981A (zh) * | 2013-10-29 | 2014-02-12 | 汉柏科技有限公司 | 一种ipsec隧道间冷备份的方法 |
| CN106713100A (zh) * | 2015-11-17 | 2017-05-24 | 华为数字技术(苏州)有限公司 | 一种自动建立隧道的方法、cpe及汇聚设备 |
| US20200336464A1 (en) * | 2019-04-16 | 2020-10-22 | Fortinet, Inc. | Automatic virtual private network (vpn) establishment |
| CN114338153A (zh) * | 2021-12-28 | 2022-04-12 | 杭州迪普科技股份有限公司 | 一种IPSec的协商方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7280540B2 (en) | Processing of data packets within a network element cluster | |
| US7107609B2 (en) | Stateful packet forwarding in a firewall cluster | |
| US9467327B2 (en) | Server-mediated setup and maintenance of peer-to-peer client computer communications | |
| CN105453488B (zh) | 用于处理dns请求的方法和系统 | |
| JP4708376B2 (ja) | プライベートネットワークへのアクセスを安全にする方法およびシステム | |
| US6529513B1 (en) | Method of using static maps in a virtual private network | |
| JP3443529B2 (ja) | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム | |
| US7181542B2 (en) | Method and system for managing and configuring virtual private networks | |
| US7444408B2 (en) | Network data analysis and characterization model for implementation of secure enclaves within large corporate networks | |
| CN105210330B (zh) | 用于处理dns请求的方法和系统 | |
| US20060161667A1 (en) | Server apparatus, communication control method and program | |
| US20080267395A1 (en) | Apparatus and method for encrypted communication processing | |
| CN110661858A (zh) | 基于websocket的内网穿透方法及系统 | |
| WO2023020606A1 (zh) | 一种隐藏源站的方法、系统、装置、设备及存储介质 | |
| US10805260B2 (en) | Method for transmitting at least one IP data packet, related system and computer program product | |
| CN114928474A (zh) | IPsec自动协商携资源入网的方法和系统及存储介质 | |
| US7237263B1 (en) | Remote management of properties, such as properties for establishing a virtual private network | |
| JP3841417B2 (ja) | 通信接続方法、サーバ計算機、および、プログラム | |
| JP2005128652A (ja) | 複合サーバシステム | |
| CN115664807B (zh) | 一种ssl vpn转发方法、装置、系统及存储介质 | |
| US20240007435A1 (en) | Chassis system management through data paths | |
| US20230006968A1 (en) | Secure networking engine for a secure networking system | |
| Arafat et al. | Study on security issue in open source SIP server | |
| KR101150299B1 (ko) | 사용자와 네트워킹 행위의 동시 공증 기반 다중 방화벽 동적 통과 기법 및 이에 적합한 장치 | |
| CN117581520A (zh) | 用于安全联网系统的安全联网引擎 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |