CN1697396A - 基于防火墙实现本地虚拟私网络的方法 - Google Patents
基于防火墙实现本地虚拟私网络的方法 Download PDFInfo
- Publication number
- CN1697396A CN1697396A CN 200410038976 CN200410038976A CN1697396A CN 1697396 A CN1697396 A CN 1697396A CN 200410038976 CN200410038976 CN 200410038976 CN 200410038976 A CN200410038976 A CN 200410038976A CN 1697396 A CN1697396 A CN 1697396A
- Authority
- CN
- China
- Prior art keywords
- vpn
- compartment wall
- fire compartment
- network
- virtual private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于防火墙划分本地虚拟私网络区域的方法,其特征在于:包括如下步骤:步骤一,首先在防火墙的接口属性表中配置VPN属性值,即VPN-ID;步骤二,在路由表的查找键值中也要增加VPN-ID域,也即VPN-ID和目标IP作为查找键值;步骤三,在安全策略表的查找键值中要同时增加VPN-ID。本发明在防火墙设备上实现本地VPN区域的划分,或者从另一个角度说,实现多个安全实体的防火墙资源共享;同时,实现了多个安全VPN实体间的访问控制和各个安全实体内各个安全区域的访问控制,为本地VPN应用提供方便实用的解决方案。
Description
技术领域
本发明涉及一种虚拟私网络的实现方法,特别是涉及基于防火墙技术构建安全的可相互隔离的本地虚拟私网络的方法。
背景技术
虚拟私网络(VPN)由于其灵活、便宜、安全等优点,已得到越来越广泛的使用。简单地说,VPN就是利用开放的公众网络建立专用数据传输通道,将远程的分支机构、商业伙伴等连接起来,形成的一种逻辑的闭合用户群。一般而言,VPN有一定的地理跨度。有多种方案可以实现这种VPN,如基于用户CPE设备的点到点的方案和基于ISP的运营商提供的VPN方案。
现有技术中,MPLS VPN是一种运营商提供的VPN解决方案之一,它适合于运营商大规模部署,同时也需要运营商多台设备的配合,是一种复杂的解决方案,需要一整套与MPLS相关的标签协议、路由协议来实现,而且需要设备支持MPLS标记,因此,如果希望在类似于某一个大厦内的本地VPN隔离和安全防范中,这种方案由于成本和管理原因,并不适用;而且也不能实现防火墙的安全区域的功能。
目前的防火墙设备,一般均假定只有一个公司实体来使用,一般安全等级最高的安全区域可以任意访问其它低等级的区域,如果在本地的防火墙之下有多个公司同时使用时,不同公司应有各自私有的安全区域,不同公司的区域之间禁止互访,所以目前的防火墙不能应用于这种场合。
由于本地情况下需要实现VPN的情况广泛存在,比如,上文中提到的某一个大厦内有多个公司的情况;或者,一个公司的内部(同一个防火墙下),不同的部门需要保密的情况,而本地一般都具有防火墙设备。如果能在防火墙上实现VPN的划分,则既可以实现本地VPN隔离和安全防范,又可以实现对外的防火墙安全防范;并且并不增加新的设备,管理起来也会更加方便。
发明内容
本发明要解决的技术问题是提出一种基于防火墙实现本地虚拟私网络的方法,本发明所述方法为防火墙的安全增加一层本地VPN的隔离保护,可实现保护机制更为灵活的本地虚拟私网络。
本发明所述一种基于防火墙划分本地虚拟私网络区域的方法,包括如下步骤:
步骤一,首先要在防火墙的接口属性表中配置VPN属性值,即VPN-ID;
步骤二,在路由表的查找键值中也要增加VPN-ID域,也即VPN-ID和目标IP作为查找键值;
步骤三,在安全策略表的查找键值中要同时增加VPN-ID。
如上所述的基于防火墙划分本地虚拟私网络区域的方法,步骤一和步骤二之间,还包括:如果防火墙内提供专门的服务器或支持NAT,则在服务器表的查找键值中增加VPN-ID域和目标IP地址;
如上所述的基于防火墙划分本地虚拟私网络区域的方法,在所述的步骤三之后,还包括如果防火墙如果支持NAT,则在NAT转换表的查找键值中增加VPN-ID域。
本发明在防火墙设备上实现本地VPN区域的划分,或者从另一个角度说,实现多个安全实体的防火墙资源共享;同时,实现了多个安全VPN实体间的访问控制和各个安全实体内各个安全区域的访问控制,为本地VPN应用提供方便实用的解决方案。
附图说明
图1为本发明基于防火墙的本地VPN组网示意图;
图2为本发明所述方法中设置防火墙各表的示意图;
图3是本发明所述的防火墙各表的结构示意图;
图4为本地VPN的报文处理的流程图。
具体实施方式
本发明中,所述的本地VPN的概念与通常的VPN有所不同,它由同在本地的连接到一个共同的防火墙设备上的多个公司或站点实体构成,这些实体之间逻辑上互相隔离,形成不同的VPN域,也即这些实体之间不可以直接互访,而且可以使用重叠的IP地址。
本发明所述的VPN只有本地意义,至于这些VPN是否在跨越防火墙后,与远端其它的网络实体建立VPN关系。
本地VPN典型的应用,其组网如图1所示:某一大厦中物业提供一台防火墙,大厦中的各个公司可以接入到防火墙的一个或多个接口上,彼此之间形成不同的VPN;同一公司内所属的各防火墙接口还可以配置不同的安全区域,以实现公司内部的安全控制;大厦提供统一的Internet出口,并且由专门的服务器提供一些增值业务,比如信息发布的Web服务和VOD点播等服务。
上面以大厦中的多个公司为例说明该问题,实际上有着该需求的不仅限于这一种应用场合。比如,在一个公司内部如果有需要严格隔离和划分的单位,也可以使用这种方式,这时VPN只是多了一个安全隔离层面。
本发明的技术方案,如下所述:
步骤一,首先要在防火墙的接口属性表中配置VPN属性值,即VPN-ID;
步骤二,在路由表的查找键值中也要增加VPN-ID域,也即VPN-ID+目标IP作为查找键值;
步骤三,在安全策略表的查找键值中要同时增加VPN-ID。
在所述的步骤一和步骤二之间,还包括:如果防火墙内提供专门的服务器或支持NAT,则在服务器表的查找键值中增加VPN-ID域和目标IP地址;
在所述的步骤三之后,还包括:如果防火墙同时支持NAT,还需要在NAT转换表的查找键值中增加VPN-ID域。
图2是本发明所述方法中设置基于防火墙本地VPN的方法示意图,为了实现基于接口/子接口划分VPN区域,本发明对防火墙的接口属性表、路由表、策略表、NAT绑定表、内部服务器地址映射表进行了设置,实现了基于防火墙的本地VPN区域划分。
结合图2,具体的步骤说明如下:
步骤201:用户首先要在接口属性表中配置VPN属性,即VPN-ID;即为防火墙的每一个接口通过接口属性表,增加一个VPN-ID,所有VPN-ID相同的接口所连接内部网络构成一个本地的虚拟私网络。一般连接公网的接口的VPN-ID设为0。
同时,如果VPN内部需要设置安全区域,也需要基于接口进行划分,所以接口属性表中还可以配置安全区域编号,也即ZONE-ID。
报文从接口进入时,需要获取这两个参数以进行后续的处理,参见图2中的表201,接口属性表中还可以有许多其它属性,比如MTU、封装类型等,不同的系统中可以有不同设置,本发明对此没有限制。
步骤202:防火墙中一般要实现静态或动态服务器映射,以完成灵活的目标访问功能。为了实现VPN的隔离,需要在服务器表的查找键值中增加VPN-ID域,同时,查找键值中必须包括目标IP地址。
所述的增加VPN-ID域是指在原有的表项的内容上增加一个VPN-ID得到一个新表,在新表中如果两个表项未只有VPN-ID不同,其余的部分相同,则被认为是两个不同的表项。这样在新表看来,所有的表项按VPN-ID划分成多个区域,不同的VPN-ID域中,可以有相同的项目,而同一个域中,不能出现相同的项目。以下其他步骤中,所述的增加VPN-ID域的含义相同。
可选地,服务器表也可以包括其它内容如IP协议号、TCP/UDP端口号。参见图2中的表202,服务器表可以有许多属性,比如应用协议类型、连接数量、目标地址NAT等,不同的系统中可以有不同设置,本发明对此没有限制。
步骤203:为了实现VPN域间的路由隔离,在路由表的查找键值中也要增加VPN-ID域,也即VPN-ID+目标IP作为查找键值。参见图2中的表203,对于路由表项的其他内容,本发明没有限制。
步骤204:为了实现基于VPN域和安全区域间的策略,在安全策略表的查找键值中要增加VPN-ID。如果VPN内部设置有安全区域,同时还要增加ZONE-ID。对于基于IP的安全策略,在查找键值中一般包括源/目标IP地址。
可选地,还可以包括IP协议号、TCP/UDP端口号等域。安全策略表的属性中一般有是否过滤、是否作带宽管理等各种策略内容,本发明对此没有限制。
如果在VPN内使用私网地址,一般是RFC1918中建议的地址,用户需要访问Internet,或如果安全策略允许时,访问其它VPN内的用户,需要作网络地址转换。
参见图2中的表205,为了支持不同VPN使用公共的NAT地址池,需要在NAT转换表的查找键值中增加VPN-ID域,通常,在查找键值中还包括源IP地址,可选地,还可以包括IP协议号、TCP/UDP端口号等域。NAT转换表的属性中一般有转换后的IP地址等内容,本发明对此没有限制。
NAPT(Network Address Port Translation,网络地址-端口转换)与NAT类似,也可以同样适用于本发明。
参见图3中的210-212,以上几类表均以树的形式存在;
210:是一个哈希桶。在对表项键值进行哈希后,取哈希值的前N位在该桶内进行索引,可以初步分开不同的表项;
211:是树的分叉节点。当有两个或多个表项进行哈希后,如果落在同一个哈希桶内,则需要用到分叉节点进行区分;
212:是叶子节点,存放表项的具体内容。
下面通过经过本发明方法设置的放火墙对报文的处理,进一步说明本发明的技术方案:
图3为本地VPN的报文处理的流程图。
报文从物理端口进入到防火墙中。这里的物理端口一般是指以太网口,也可以是指ATM等其它类型的端口。报文处理的具体步骤如下:
步骤301:报文针对不同的物理链路,查对应的接口属性表,如果是子接口,比如以太网的VLAN子接口,则查对应的子接口属性表。按照链路层信息进行的分类和处理,比如区分单播、多播和广播包,并进行必要的报文合法性检查。之后,携带接口属性表中配置的VPN-ID和ZONE-ID信息,转下一步。
步骤302:在进行IP层的处理之前,先要进行基本的IP报文合法性检查,主要是RFC1812中规定的处理。之后查服务器表,以确定是否配置有专门的服务器或是否有目的地址NAT映射。
查服务器的步骤是可选的,如果不提供专门的服务器,且不支持目的IP地址NAT,则此步骤可省略。
步骤303:根据报文的目的IP地址和VPN-ID,查路由表,如果命中,则记录相应的路由信息;如果未命中,则以VPN-ID=0来查路由表,以确定是否访问公网地址。
这里可以有一些可选的优化,比如,如果各VPN的私网地址均使用RFC1918确定的私网地址,则可以根据目的IP地址的类型,只查VPD-ID对应的私网路由表或只查VPN-ID=0对应的公网路由表。如果最后仍查不到路由,则按照系统确定的策略丢弃或者作重定向等其它处理。
步骤304:在步骤303中查到路由表后,可以得到出接口信息,进一步从出接口属性表中得到目标VPN-ID和ZONE-ID信息,从而根据源VPN-ID、源ZONE-ID以及源IP地址等信息,再查策略表,以确定访问是否允许,是否要进行地址转换以及其它策略动作。如果策略通过,则转发报文。
所述的安全策略一般可以分为两种,一是例外禁止,其余允许通过;二是例外允许,其余禁止通过;也可以是两种策略的组合。进一步,如果是VPN之间的互访,则按目标VPN-ID和ZONE-ID信息和源VPN-ID和ZONE-ID信息在安全策略表中查找对应的安全策略;如果是VPN到公网或公网的VPN的报文,则按目标VPN-ID和ZONE-ID信息或源VPN-ID和ZONE-ID与公网IP查找对应的安全策略。如果通过,则转发报文;如果不通过,则按设定进行重定向或直接丢弃。
步骤305:如果需要进行NAT,则从NAT地址池中分配空闲的地址资源,进行NAT,并创建NAT转换表,以便后续报文可以直接使用该转换表。
步骤306:对报文进行链路层的封装,并转发。
步骤307:后续报文可以直接通过NAT转换表转发,省去第一个包的各个处理环节。
各VPN实体可以通过二/三层交换机或路由器与防火墙相连,配置静态路由或者运行RIP/OSPF等路由协议。
在支持NAT的情况下,不同VPN可以共享宝贵的公网地址资源,实现访问公网(如:Internet)以及内部VPN的互访。
下面通过具体实例说明,经过本发明设置的防火墙是如何实现公网地址的共享:
如图1所示的网络结构中,假定VPN A中的主机1,记为A1,和VPN B中的主机2,记为B2,分别发起一个访问公网主机3的请求报文RA1和RB2;这两个请求在经过步骤301-304的处理后,到步骤305
RA1请求报文从NAT地址池中分配了一个地址和TCP端口号对(a.b.c.d,3000),其的源地址替换为该公网地址后转发,并记录下一个NAT转换关系{VPN_A,A1,(a.b.c.d,3000)};
同时RB2请求仍然可以从NAT地址池中分配了一个地址和TCP端口号对(a.b.c.d,3001),其的源地址替换为该公网地址后转发,并记录下一个NAT转换关系{VPN_B,B2,(a.b.c.d,3001)};
当RA1请求的应答从主机3回来时,可以使用目的(IP+TCP+端口号)找到NAT转换关系表{VPN_A,A1,(a.b.c.d,3000)},从而将目的恢复为VPN A中的主机A1。
同样当RB2请求的应答从主机3回来时,可以使用目的(IP+TCP+端口号)找到NAT转换关系表{VPN_B,B2,(a.b.c.d,3001)},从而将目的恢复为主机VPN_B中的主机B2。
这样,就实现了VPN A和VPN B对地址池资源的共享。
如果是VPN之间的互访,最简单的方式是在VPN内使用公网地址,将VPN之间的互访和外部的访问同样对待;也可以通过DNS服务器使用TwiceNAT(两次转换)的方式实现,可以参见《RFC2663 NAT Terminology and Considerations》文献。无论哪种方式,都可以通过策略方便地实现VPN间的互访控制。
最后所应说明的是:以上实施例仅用以说明而非限制本发明的技术方案,尽管参照上述实施例对本发明进行了详细说明,本领域的普通技术人员应当理解:依然可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围的任何修改或局部替换,其均应涵盖在本发明的权利要求范围当中。
Claims (9)
1、一种基于防火墙划分本地虚拟私网络区域的方法,其特征在于:包括如下步骤:
步骤一,首先在防火墙的接口属性表中配置VPN属性值VPN-ID;
步骤二,在路由表的查找键值中也要增加VPN-ID的域,即以VPN-ID和目标IP作为查找键值;
步骤三,在安全策略表的查找键值中同时增加VPN-ID。
2、根据权利要求1所述的基于防火墙划分本地虚拟私网络区域的方法,其特征在于:所述的步骤一和步骤二之间,如果防火墙内提供专门的服务器或支持NAT,则在服务器表的查找键值中增加VPN-ID域和目标IP地址。
3、根据权利要求1或2所述的基于防火墙划分本地虚拟私网络区域的方法,其特征在于:所述的步骤四之后,包括:所述的防火墙如果支持NAT转换,则在NAT转换表的查找键值中增加VPN-ID域。
4、根据权利要求1所述的基于防火墙划分本地虚拟私网络区域的方法,其特征在于:还包括:在防火墙的接口属性表中配置为安全区域编号ZONE-ID;在安全策略表的查找键值中要增加ZONE-ID。
5、根据权利要求1所述的基于防火墙划分本地虚拟私网络区域的方法,其特征在于:所述的步骤一,具体包括:为防火墙的每一个内部接口通过接口属性表,增加一个VPN-ID,所有VPN-ID相同的接口所连接内部网络构成一个本地的虚拟私网络。
6、根据权利要求1所述的基于防火墙划分本地虚拟私网络区域的方法,其特征在于:所述的步骤二,具体包括:根据报文的目的IP地址和VPN-ID,查路由表,如果找到,则记录相应的路由信息;如果未找到,则查路由表,以确定是否访问公网地址;如果最后仍查不到路由,则按照系统确定的策略丢弃或者作重定向等其它处理。
7、根据权利要求1所述的基于防火墙划分本地虚拟私网络区域的方法,其特征在于:所述的步骤二,如果各VPN的私网地址均使用RFC1918确定的私网地址,则可以根据目的IP地址的类型,只查私网路由表或只查公网路由表。
8、根据权利要求4所述的基于防火墙划分本地虚拟私网络区域的方法,其特征在于:所述的步骤三,根据步骤二得到的出接口信息,进一步从出接口属性表中得到目标VPN-ID和ZONE-ID信息,从而根据源VPN-ID、源ZONE-ID以及源IP地址等信息,再查安全策略表,如果策略通过,则转发报文;否则,系统确定的策略丢弃或者作重定向等其它处理。
9、根据权利要求3所述的基于防火墙划分本地虚拟私网络区域的方法,其特征在于:不同VPN通过NAT转换表,共享防火墙的公网地址资源,实现公网地址资源的复用和/或内部VPN的互访。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100389764A CN100417078C (zh) | 2004-05-10 | 2004-05-10 | 基于防火墙实现本地虚拟私网络的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2004100389764A CN100417078C (zh) | 2004-05-10 | 2004-05-10 | 基于防火墙实现本地虚拟私网络的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1697396A true CN1697396A (zh) | 2005-11-16 |
| CN100417078C CN100417078C (zh) | 2008-09-03 |
Family
ID=35349932
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100389764A Expired - Fee Related CN100417078C (zh) | 2004-05-10 | 2004-05-10 | 基于防火墙实现本地虚拟私网络的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100417078C (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222456A (zh) * | 2008-01-28 | 2008-07-16 | 陈勇 | 网络安全网关产品共享的方法 |
| CN101582830B (zh) * | 2009-06-22 | 2011-12-21 | 杭州华三通信技术有限公司 | 一种实现跨虚拟专用网互访的装置及方法 |
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| CN103004145A (zh) * | 2011-07-21 | 2013-03-27 | 华为技术有限公司 | 一种虚拟专用网络的分流方法、分流设备和分流系统 |
| CN103036801A (zh) * | 2012-12-18 | 2013-04-10 | 网神信息技术(北京)股份有限公司 | 数据包的处理方法及装置 |
| CN103516822A (zh) * | 2012-06-29 | 2014-01-15 | 同方股份有限公司 | 一种用于虚拟化网络中的虚拟化数据交换安全系统 |
| CN105991442A (zh) * | 2015-04-30 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN107395645A (zh) * | 2017-09-05 | 2017-11-24 | 瑞科网信(北京)科技有限公司 | 用于防火墙的系统和方法以及存储有对应程序的介质 |
| CN107547509A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN107769938A (zh) * | 2016-08-16 | 2018-03-06 | 北京金山云网络技术有限公司 | 一种Openstack平台支持多网络区域的系统和方法 |
| CN109412941A (zh) * | 2018-10-23 | 2019-03-01 | 北京明朝万达科技股份有限公司 | 数据交换方法、数据交换服务器、网络及可读存储介质 |
| SE1751344A1 (en) * | 2017-10-31 | 2019-05-01 | Telia Co Ab | Methods and apparatuses for routing data packets in a network topology |
| CN113169967A (zh) * | 2018-11-30 | 2021-07-23 | 思科技术公司 | 动态的基于意图的防火墙 |
| CN113194162A (zh) * | 2021-04-28 | 2021-07-30 | 浙江宇视科技有限公司 | 一种数据传输方法、装置、电子设备及介质 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6693878B1 (en) * | 1999-10-15 | 2004-02-17 | Cisco Technology, Inc. | Technique and apparatus for using node ID as virtual private network (VPN) identifiers |
| CN1199405C (zh) * | 2002-07-23 | 2005-04-27 | 华为技术有限公司 | 用虚拟路由器构建的企业外部虚拟专网系统及方法 |
-
2004
- 2004-05-10 CN CNB2004100389764A patent/CN100417078C/zh not_active Expired - Fee Related
Cited By (24)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101222456A (zh) * | 2008-01-28 | 2008-07-16 | 陈勇 | 网络安全网关产品共享的方法 |
| CN101582830B (zh) * | 2009-06-22 | 2011-12-21 | 杭州华三通信技术有限公司 | 一种实现跨虚拟专用网互访的装置及方法 |
| CN103004145A (zh) * | 2011-07-21 | 2013-03-27 | 华为技术有限公司 | 一种虚拟专用网络的分流方法、分流设备和分流系统 |
| CN103004145B (zh) * | 2011-07-21 | 2015-04-08 | 华为技术有限公司 | 一种虚拟专用网络的分流方法、分流设备和分流系统 |
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| CN103516822A (zh) * | 2012-06-29 | 2014-01-15 | 同方股份有限公司 | 一种用于虚拟化网络中的虚拟化数据交换安全系统 |
| CN102710669B (zh) * | 2012-06-29 | 2016-03-02 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| US9426117B2 (en) | 2012-06-29 | 2016-08-23 | Hangzhou H3C Technologies Co., Ltd. | Firewall security between virtual devices |
| CN103036801B (zh) * | 2012-12-18 | 2019-06-14 | 网神信息技术(北京)股份有限公司 | 数据包的处理方法及装置 |
| CN103036801A (zh) * | 2012-12-18 | 2013-04-10 | 网神信息技术(北京)股份有限公司 | 数据包的处理方法及装置 |
| CN105991442B (zh) * | 2015-04-30 | 2019-10-11 | 杭州迪普科技股份有限公司 | 报文转发方法及装置 |
| CN105991442A (zh) * | 2015-04-30 | 2016-10-05 | 杭州迪普科技有限公司 | 报文转发方法及装置 |
| CN107769938A (zh) * | 2016-08-16 | 2018-03-06 | 北京金山云网络技术有限公司 | 一种Openstack平台支持多网络区域的系统和方法 |
| CN107769938B (zh) * | 2016-08-16 | 2021-01-22 | 北京金山云网络技术有限公司 | 一种Openstack平台支持多网络区域的系统和方法 |
| CN107547509B (zh) * | 2017-06-27 | 2020-10-13 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN107547509A (zh) * | 2017-06-27 | 2018-01-05 | 新华三技术有限公司 | 一种报文转发方法及装置 |
| CN107395645B (zh) * | 2017-09-05 | 2018-06-26 | 瑞科网信(北京)科技有限公司 | 用于防火墙的系统和方法以及存储有对应程序的介质 |
| CN107395645A (zh) * | 2017-09-05 | 2017-11-24 | 瑞科网信(北京)科技有限公司 | 用于防火墙的系统和方法以及存储有对应程序的介质 |
| SE541314C2 (en) * | 2017-10-31 | 2019-06-25 | Telia Co Ab | Methods and apparatuses for routing data packets in a network topology |
| US10715431B2 (en) | 2017-10-31 | 2020-07-14 | Telia Company Ab | Methods and apparatuses for routing data packets in a network topology |
| SE1751344A1 (en) * | 2017-10-31 | 2019-05-01 | Telia Co Ab | Methods and apparatuses for routing data packets in a network topology |
| CN109412941A (zh) * | 2018-10-23 | 2019-03-01 | 北京明朝万达科技股份有限公司 | 数据交换方法、数据交换服务器、网络及可读存储介质 |
| CN113169967A (zh) * | 2018-11-30 | 2021-07-23 | 思科技术公司 | 动态的基于意图的防火墙 |
| CN113194162A (zh) * | 2021-04-28 | 2021-07-30 | 浙江宇视科技有限公司 | 一种数据传输方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100417078C (zh) | 2008-09-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8619779B2 (en) | Scalable architecture for enterprise extension in a cloud topology | |
| US8532108B2 (en) | Layer 2 seamless site extension of enterprises in cloud computing | |
| US7885276B1 (en) | Isolating network traffic in multi-tenant virtualization environments | |
| US20190342161A1 (en) | Managing use of alternative intermediate destination computing nodes for provided computer networks | |
| CN1214583C (zh) | 一种三层虚拟私有网络及其构建方法 | |
| US7760729B2 (en) | Policy based network address translation | |
| CN1697396A (zh) | 基于防火墙实现本地虚拟私网络的方法 | |
| US7643484B2 (en) | Network abstraction and isolation layer rules-based federation and masquerading | |
| US8937955B2 (en) | System and method for scaling IPv6 addresses in a network environment | |
| CN1949779A (zh) | 标签交换计算机网络中的欺骗检查 | |
| EP3709182A2 (en) | Configuring communications between computing nodes | |
| CN1791065A (zh) | 一种接入虚拟局域网的方法 | |
| CN1879388A (zh) | 双模式防火墙 | |
| CN1787489A (zh) | 将接口流量在多个网络处理器引擎中均担的方法 | |
| CN1199405C (zh) | 用虚拟路由器构建的企业外部虚拟专网系统及方法 | |
| CN1297105C (zh) | 基于虚拟专用网的实现多角色主机的方法 | |
| CN1909467A (zh) | 在ip网络中采用单播地址来标识多播组的方法 | |
| CN101043392A (zh) | 一种WiMAX网络中转发IP报文的装置及基站设备 | |
| US11818035B2 (en) | Augmented routing of data | |
| CN1697445A (zh) | 一种实现虚拟私有网络中数据传输的方法 | |
| CN1604587A (zh) | 一种网络过渡接入的方法 | |
| CN1595877A (zh) | 在一个芯片上同时实现二层交换、三层路由、数据内容过滤及防火墙功能的方法 | |
| CN1588916A (zh) | 柔性ip网络技术体系中利用接入管理实体实现nat穿越的方法 | |
| CN1798080A (zh) | 一种控制虚拟局域网间用户访问的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080903 Termination date: 20170510 |