ES2622104T3 - Métodos y aparatos para enviar y recibir datos a través de cortafuegos virtuales - Google Patents

Métodos y aparatos para enviar y recibir datos a través de cortafuegos virtuales Download PDF

Info

Publication number
ES2622104T3
ES2622104T3 ES15164606.4T ES15164606T ES2622104T3 ES 2622104 T3 ES2622104 T3 ES 2622104T3 ES 15164606 T ES15164606 T ES 15164606T ES 2622104 T3 ES2622104 T3 ES 2622104T3
Authority
ES
Spain
Prior art keywords
data
security
unit
zone
vfw
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES15164606.4T
Other languages
English (en)
Inventor
Zhiqiang Zhu
Rihua Zhang
Guibin Hou
Yong Xu
Wenhui Xie
Bo Ma
Guolu Gao
Xiaoping Lu
Cuihua Fu
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2622104T3 publication Critical patent/ES2622104T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling

Abstract

Un método para enviar datos a través de firewalls virtuales, VFWs, en donde se establece un túnel seguro entre un primer VFW y un segundo VFW, estando el túnel seguro provisto de una zona de protección, y el método para enviar datos a través de VFWs comprende: realizar, por el primer VFW, un filtrado de seguridad (201) sobre los datos recibidos por el primer VFW por intermedio de un puerto de entrada de datos del primer VFW, en donde el filtrado de seguridad se realiza haciendo uso de una política de seguridad entre la zona de seguridad del puerto de entrada de datos y una zona de protección del túnel seguro, y enviar los datos después del filtrado de seguridad al túnel seguro; y la encriptación (202), por el túnel de seguridad, de los datos que pasan a través del filtrado de seguridad; y el envío, por el túnel de seguridad, de los datos encriptados al segundo VFW, en donde el segundo VFW está configurado para enviar los datos encriptados (203).

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodos y aparatos para enviar y recibir datos a traves de cortafuegos virtuales CAMPO DE LA INVENCION
La presente invencion se refiere al campo de las tecnolog^as de comunicaciones y mas en particular, a metodos y aparatos para enviar y recibir datos a traves de 'cortafuegos' virtuales (VFWs).
ANTECEDENTES DE LA INVENCION
Un denominado 'cortafuegos' es una combinacion de una serie de componentes establecidos entre diferentes redes, tales como entre una red Intranet de confianza y una red publica de no-confianza, o entre zonas de seguridad de redes. Dicho 'cortafuegos' suele formular una polttica de seguridad basada en zonas de seguridad para supervisar, limitar o modificar datos a traves del 'cortafuegos' y selecciona informacion interna, estructuras y situaciones operativas de una red hacia el exterior lo mas posible, con el fin de proteger una red Intranet.
Recientemente, con la aparicion y desarrollo de la tecnologfa de Red Privada Virtual (VPN), la tecnologfa del Cortafuegos Virtual (VFW) aparecio consecuentemente. Un VFW es una sub-entidad logica derivada de un sistema cortafuegos principal y se presenta a un usuario como un cortafuegos independiente. Despues de que se establezca un VFW, el sistema cortafuegos principal presentado por un usuario se denomina un cortafuegos rafz. El numero del cortafuegos rafz es uno y los VFWs pueden crearse de forma dinamica en conformidad con las configuraciones y el numero de los VFWs es al menos uno. Cuando los VFWs logicos se establecen sobre la base de un cortafuegos, se satisfacen las demandas del sistema y al mismo tiempo, los rendimientos restantes en el sistema se utilizan para proporcionar servicios de arrendamiento para conseguir mas altos rendimientos. Actualmente la tecnologfa de VPN se ha convertido en una tecnologfa basica de la tecnologfa de VFW. Cada VFW es un complejo de una instancia de VPN, una instancia de seguridad y una instancia de configuracion y es capaz de proporcionar a un usuario de los VFWs un plano de reenvfo de rutas privadas, servicios de seguridad y plano de gestion de configuracion.
Con el desarrollo rapido de las tecnologfas de seguridad de redes, cada vez mas empresas, a gran escala, utilizan las redes Internet para establecer redes VPN utilizando la tecnologfa de seguridad de protocolo Internet (IPSec). El protocolo IPSec proporciona datos IP con alta calidad, interoperables y un rendimiento de seguridad basado en la criptologfa. La encriptacion y la autenticacion origen de datos se realiza en la capa de IP entre partes de comunicaciones espedficas para garantizar la confidencialidad, integridad y la autenticidad cuando se transmiten datos a traves de las redes.
En la tecnica anterior (segun se ilustra, a modo de ejemplo, en el documento CN 1949741 A), cuando se procesa un flujo de datos a traves de diferentes cortafuegos, una zona de seguridad privada y una zona de seguridad virtual (VZONE) para transmitir el flujo de datos se establecen en VFW y el cortafuegos rafz, respectivamente. Se establece un puerto en cualquiera de las zonas de seguridad privadas que se establecen en los VFWs y el cortafuegos rafz respectivamente y se establecen poltticas de seguridad entre las zonas de seguridad de los VFWs y el cortafuegos rafz, respectivamente. Cuando un flujo de datos se envfa a traves de cortafuegos, un extremo transmisor filtra el flujo de datos utilizando una polttica de seguridad entre una zona de seguridad origen de un cortafuegos del flujo de datos y una VZONE del cortafuegos y envfa el flujo de datos filtrado a un extremo receptor. El extremo receptor filtra el flujo de datos utilizando una polttica de seguridad entre una zona de seguridad de destino de un cortafuegos en donde llega el flujo de datos y una zona VZONE del cortafuegos.
En la tecnica anterior, cuando se procesa un flujo de datos a traves del cortafuegos, cada uno de los cortafuegos necesita configurarse con una VZONE. Ademas de las polfticas de seguridad configuradas entre las zonas de seguridad existentes de los cortafuegos, necesitan configurarse, respectivamente, las polfticas de seguridad entre zonas de seguridad privadas y la VZONE en los cortafuegos. Con el incremento de VFWs, el numero de VZONEs que necesitan configurarse aumenta tambien continuamente, necesitandose configurar cada vez mas polfticas de seguridad y por ello, la configuracion se hace muy complicada. Ademas, en la tecnica anterior, cuando los flujos de datos se reenvfan a traves de cortafuegos, necesita realizarse un filtrado de seguridad sobre los flujos de datos en el extremo transmisor y en el extremo receptor para realizar el reenvfo de los flujos de datos, con lo que no solamente es complicado el proceso, sino que tambien resulta muy diffcil gestionar las relaciones inter-zonales entre los cortafuegos.
SUMARIO DE LA INVENCION
En un primer aspecto de la idea inventiva, la presente invencion da a conocer un metodo para enviar datos a traves de los denominados cortafuegos virtuales, VFWs, en donde se establece un tunel seguro entre un primer VFW y un segundo VFW, cuyo tunel seguro se establece con una zona de proteccion, y el metodo para enviar datos a traves de VFWs incluye:
realizar, por el primer VFW, una operacion de filtrado de seguridad sobre los datos recibidos por el primer VFW por
5
10
15
20
25
30
35
40
45
50
55
60
65
intermedio de un puerto de entrada de datos del primer VFW, en donde el filtrado de seguridad se realiza utilizando una polttica de seguridad entre la zona de seguridad del puerto de entrada de datos y una zona de proteccion del tunel seguro, y enviando los datos despues del filtrado de seguridad al tunel seguro; y
encriptar, por el tunel seguro, los datos que pasan a traves del filtrado de seguridad; y enviar, por el tunel seguro, los datos encriptados al segundo VFW, en donde el segundo VFW esta configurado para enviar los datos encriptados.
En una primera posible forma de realizacion en practica del metodo para enviar datos a traves de firewalls virtuales de conformidad con el primer aspecto, en donde la zona de proteccion del tunel seguro es una zona de seguridad en el primer VFW.
En una segunda posible forma de realizacion del metodo para enviar datos a traves de firewalls virtuales de conformidad con el primer aspecto como tal o de conformidad con cualquiera de las formas de realizacion precedentes del primer aspecto de la idea inventiva, en donde un metodo para enviar los datos encriptados al segundo VFW por el tunel seguro incluye: etiquetado de los datos encriptados con una etiqueta del segundo VFW.
En una tercera posible forma de realizacion del metodo para enviar datos a traves de firewalls virtuales de conformidad con el primer aspecto como tal o de conformidad con cualquiera de las formas de realizacion precedentes del primer aspecto, en donde un metodo para enviar los datos encriptados al segundo VFW por el tunel seguro incluye: marcado del segundo VFW en una lista de reenvfo de los datos encriptados.
En un segundo aspecto de la idea inventiva, la presente invencion da a conocer un metodo para la recepcion de datos a traves de firewalls virtuales, VFWs, en donde se establece un tunel seguro entre un segundo vFw y un primer VFW, siendo el tunel seguro establecido con una zona de proteccion, y el metodo para la recepcion de datos a traves de VFWs incluye:
recibir, por el primer VFW, datos a desencriptarse por intermedio de un puerto de entrada del primer VFW, buscando un tunel seguro para desencriptacion de los datos, y enviar los datos al tunel seguro para su desencriptacion;
desencriptar, por el tunel seguro para desencriptacion, los datos, y modificar los datos desencriptados sustituyendo una zona de seguridad a la que pertenece el puerto de entrada de los datos con una zona de proteccion del tunel seguro; y
realizar, por el segundo VFW, un filtrado de seguridad sobre los datos desencriptados utilizando una polttica de seguridad entre la zona de proteccion del tunel seguro y la zona de seguridad en donde los datos llegan en el segundo VFW.
En una primera posible forma de realizacion del metodo para la recepcion de datos a traves de firewalls virtuales de conformidad con el segundo aspecto de la idea inventiva, en donde la zona de proteccion del tunel seguro es una zona de seguridad en el segundo VFW.
En una segunda posible forma de realizacion del metodo para la recepcion de datos a traves de firewalls virtuales de conformidad con el segundo aspecto como tal o de conformidad con cualquiera de las formas de realizacion
precedentes del segundo aspecto, en donde un metodo para buscar el tunel seguro para desencriptacion de los
datos incluye: buscar un protocolo IP de destino de los datos, una Interfaz Periferica Serie, SPI y un tipo de protocolo, y buscar el tunel seguro en el que los datos estan obligados a entrar de conformidad con el protocolo IP de destino, la interfaz SPI y el tipo de protocolo.
En una tercera posible forma de realizacion del metodo para la recepcion de datos a traves de firewalls virtuales de conformidad con el segundo aspecto como tal o de conformidad con cualquiera de las formas de realizacion
precedentes del segundo aspecto, en donde un metodo para modificar los datos desencriptados sustituyendo la
zona de seguridad a la que pertenece el puerto de entrada con una zona de proteccion del tunel incluye: etiqueta los datos desencriptados con una etiqueta de la zona de proteccion del tunel seguro.
En una cuarta posible forma de realizacion del metodo para la recepcion de datos a traves de firewalls virtuales de conformidad con el segundo aspecto como tal o de conformidad con cualquiera de las formas de realizacion
precedentes del segundo aspecto, en donde un metodo para modificar los datos desencriptados sustituyendo la
zona de seguridad a la que pertenece el puerto de entrada con una zona de proteccion del tunel incluye: marcar en una lista de reenvfo de los datos desencriptados que la zona de seguridad a la que pertenece el puerto de entrada de los datos es la zona de proteccion del tunel seguro.
En un tercer aspecto de la idea inventiva, la presente invencion da a conocer un aparato de envfo, que incluye una primera unidad de procesamiento de seguridad, una unidad de encriptacion y una unidad de envfo, en donde la primera unidad de procesamiento de seguridad se establece con zonas de seguridad, y la unidad de encriptacion se establece con una zona de proteccion, en donde
5
10
15
20
25
30
35
40
45
50
55
60
65
la primera unidad de procesamiento de seguridad esta configurada para realizar un filtrado de seguridad sobre los datos haciendo uso de una polttica de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de proteccion de la unidad de encriptacion y enviar los datos despues del filtrado de seguridad a la unidad de encriptacion, en donde los datos se reciben por la primera unidad de procesamiento de seguridad por intermedio del puerto de entrada de datos;
la unidad de encriptacion esta configurada para encriptar los datos recibidos desde la primera unidad de procesamiento de seguridad y para enviar los datos encriptados a la unidad de envfo; y
la unidad de envfo esta configurada para enviar los datos encriptados por la unidad de encriptacion.
En una primera posible forma de realizacion del aparato de envfo de conformidad con el tercer aspecto, en donde la zona de proteccion de la unidad de encriptacion es la zona de seguridad de la primera unidad de procesamiento de seguridad.
En una segunda posible forma de realizacion del aparato de envfo de conformidad con el tercer aspecto como tal o de conformidad con cualquiera de las formas de realizacion precedentes del tercer aspecto, en donde la unidad de encriptacion incluye un modulo de encriptacion y un modulo de etiquetado,
el modulo de encriptacion esta configurado para encriptar los datos recibidos desde la primera unidad de procesamiento de seguridad; y
el modulo de etiquetado esta configurado para etiquetar los datos encriptados por el modulo de encriptacion con una etiqueta de la unidad de envfo, y para enviar los datos encriptados a la unidad de envfo; o
el modulo de etiquetado esta configurado para marcar la unidad de envfo de los datos encriptados en una lista de reenvfo de los datos encriptados, y para enviar los datos encriptados a la unidad de envfo.
En un cuarto aspecto, la presente invencion da a conocer un aparato de recepcion, que incluye una unidad de recepcion, una unidad de desencriptacion y una segunda unidad de procesamiento de seguridad, en donde la segunda unidad de procesamiento de seguridad se establece con zonas de seguridad, la unidad de desencriptacion se establecer con una zona de proteccion, en donde
la unidad de recepcion esta configurado para recibir datos a desencriptarse por intermedio de un puerto de entrada de la unidad de recepcion, para buscar la unidad de desencriptacion de los datos, y para enviar los datos a la unidad de desencriptacion;
la unidad de desencriptacion esta configurado para desencriptar los datos a desencriptarse recibidos por la unidad de recepcion, y para modificar los datos desencriptados sustituyendo una zona de seguridad a la que pertenece el puerto de entrada de los datos con la zona de proteccion de la unidad de desencriptacion; y
la segunda unidad de procesamiento de seguridad esta configurada para realizar un filtrado de seguridad sobre los datos desencriptados haciendo uso de una polttica de seguridad entre la zona de proteccion de la unidad de desencriptacion y la zona de seguridad a donde llegan los datos en la segunda unidad de procesamiento de seguridad.
En una primera posible forma de realizacion del aparato de recepcion de conformidad con el cuarto aspecto, en donde la zona de proteccion de la unidad de encriptacion es una zona de seguridad de la segunda unidad de procesamiento de seguridad.
En una segunda posible forma de realizacion del aparato de recepcion de conformidad con el cuarto aspecto como tal o de conformidad con cualquiera de las formas de realizacion precedentes del cuarto aspecto, en donde la unidad de desencriptacion incluye un modulo de desencriptacion y un modulo de modificacion, en donde
el modulo de desencriptacion esta configurado para desencriptar los datos a desencriptarse recibidos por la unidad de recepcion; y
el modulo de modificacion esta configurado para modificar los datos desencriptados por el modulo de desencriptacion sustituyendo una zona de seguridad a la que pertenece el puerto de entrada con la zona de proteccion de la unidad de desencriptacion.
Puede deducirse de las soluciones tecnicas que, en conformidad con las soluciones tecnicas de la presente invencion, se adopta el metodo anterior para reenviar datos a traves de VFWs usando un tunel de seguridad, de modo que se garantice la seguridad de la transmision de datos y al mismo tiempo, se simplifica la gestion de las relaciones inter-zonales entre diferentes VFWs. Una polttica de seguridad entre dos zonas en el interior de un VFW se usa directamente para realizar un filtrado de seguridad sobre un flujo de datos y de este modo, las relaciones
5
10
15
20
25
30
35
40
45
50
55
60
65
inter-zonales se gestionan de una manera simple cuando el flujo de datos cruza los VFWs. Por lo tanto, el reenvm de datos a traves de los VFWs se consigue sin adoptar un metodo de adicion de polfticas de seguridad entre zonas de seguridad en varios VFWs diferentes en la configuracion para procesar la relacion interzonal en la tecnica anterior, cuando se reenvfan los datos a traves de los VFWs y por ello, la configuracion es simple y es comoda de gestionar. Mediante este metodo, se realiza efectivamente la reutilizacion de puertos de los VFWs y se economizan recursos en gran medida.
BREVE DESCRIPCION DE LOS DIBUJOS
Para ilustrar las soluciones tecnicas en conformidad con las formas de realizacion de la presente invencion o en la tecnica anterior con mayor claridad, se introducen brevemente a continuacion los dibujos adjuntos para describir las formas de realizacion de la tecnica anterior. Evidentemente, los dibujos adjuntos en la siguiente descripcion son solamente algunas formas de realizacion de la presente invencion y los expertos ordinarios en esta tecnica pueden derivar otros dibujos a partir de los dibujos adjuntos sin necesidad de esfuerzos creativos.
La Figura 1 es una vista estructural esquematica de los denominados cortafuegos en conformidad con una forma de realizacion de la presente invencion;
La Figura 2 es un diagrama de flujo esquematico de envm de datos a traves de cortafuegos en conformidad con una forma de realizacion de la presente invencion;
La Figura 3 es un diagrama de flujo esquematico de recepcion de datos a traves de cortafuegos en conformidad con una forma de realizacion de la presente invencion;
La Figura 4 es una vista esquematica de un aparato de envm en conformidad con una forma de realizacion de la presente invencion;
La Figura 5 es una vista esquematica de un aparato de recepcion en conformidad con una forma de realizacion de la presente invencion; y
La Figura 6 es una vista esquematica de un sistema de redes de utilidad para el entendimiento de la presente invencion.
DESCRIPCION DETALLADA DE LAS FORMAS DE REALIZACION DE LA INVENCION
La solucion tecnica de la presente invencion se describira, con mayor claridad, a continuacion, haciendo referencia a los dibujos adjuntos. Es evidente que las formas de realizacion que se describen son solamente una parte y no la totalidad de las formas de realizacion de la presente invencion. Todas las demas formas de realizacion obtenidas por expertos en esta tecnica, sobre la base de las formas de realizacion de la presente invencion sin necesidad de esfuerzos creativos, caeran dentro del alcance de proteccion de la presente invencion.
Con el fin de poner en practica las formas de realizacion de la presente invencion, en primer lugar, una vista esquematica de configuracion de los cortafuegos necesarios en las soluciones tecnicas en las formas de realizacion de la presente invencion necesita entenderse. Para facilidad de la descripcion, se describe, a modo de ejemplo, la creacion de 3 VFWs en un cortafuegos rafz. Conviene senalar que el cortafuegos rafz puede considerarse como un VFW especial.
Segun se ilustra en la Figura 1, VFW0, VFW1 y VFW2 son tres VFWs del cortafuegos rafz. El Puerto 0, el Puerto 1 y el Puerto 2 se establecen en VFW0, VFW1 y VFW2 respectivamente. Cada VFW tiene multiples zonas de seguridad divididas respectivamente. En la forma de realizacion de la presente invencion, el VFW, a modo de ejemplo, esta dividido en 2 zonas de seguridad, que incluyen una zona de no-confianza y una zona de confianza. Polfticas de seguridad se establecen entre las zonas de seguridad de cada VFW.
Una lmea de trazos a en la Figura 1 representa una direccion de flujo de datos enviados por VFW1 y los datos se envfan a traves del Puerto 0 de VFW0. Una lmea de trazos a' en la Figura 1 representa los datos de respuesta que se proporcionan en respuesta a los datos que se representan por la lmea de trazos a y se reciben por VFW1 y los datos entran a traves del Puerto 0 de VFW0. Con el fin de proteger los datos enviados por VFW1, se configura un tunel IPSec1 y una salida de IPSec1 es el Puerto 0 de VFW0. Conviene senalar que IPSec1 es “unidireccional”. En este caso, el termino “unidireccional” significa que IPSec1 protege los datos (que se representan por la lmea de trazos a en la Figura 1) que se envfan por VFW1 y necesitan enviarse a una red publica a traves de VFW0 y los datos de respuesta en respuesta a los datos que se envfan por VFW1 y necesitan enviarse a una red publica a traves de VFW0 (segun se ilustra en la Figura 1, los datos de respuesta en respuesta a los datos representados por la lmea de trazos a se representa por la lmea de trazos a'). Es decir, solamente los datos que se envfan por VFW1 y necesitan enviarse a la red publica por VFW0 o los datos de respuesta en respuesta a los datos recibidos por VFW0 les esta permitido entrar en IPSec1 para su encriptacion o desencriptacion. Los datos que se envfan desde VFW0 e intentan pasar a traves de VFW1 solamente pueden protegerse por otro tunel IPSec que esta configurado para
5
10
15
20
25
30
35
40
45
50
55
60
65
VFW0 y pasan a traves de VFW1. Con el fin de gestionar las relaciones inter-zonales cuando los datos cruzan los VFWs, una zona de proteccion esta configurada para IPSecI y la zona de proteccion de IPSecI es la zona de no- confianza de VFW1. Conviene senalar que la zona de proteccion del IPSecI no esta limitada a la zona de no- confianza en VFW1 y puede ser cualquier zona de seguridad en VFW1.
En consecuencia, una lmea de trazos b en la Figura 1 representa una direccion de flujo de datos enviados por VFW2 y los datos se envfan tambien a traves del PuertoO de VFW0. Una lmea de trazos b' en la Figura 1 representa datos de respuesta en respuesta a los datos que se representan por la lmea de trazos b y se reciben por VFW2 y los datos de respuesta entran a traves del PuertoO de VFWO. Con el fin de proteger los datos enviados por VFW2, se configura un tunel IPSec2 y una salida del IPSec2 es el PuertoO de VFWO. Conviene senalar tambien que IPSec2 es tambien “unidireccional” es decir, IPSec2 solamente protege los datos que se envfan desde VFW2 y necesitan enviarse a la red publica a traves de VFWO (segun se representa por la lmea de trazos b en la Figura 1) y los datos de respuesta en respuesta a los datos (segun se ilustra en la Figura 1, los datos de respuesta en respuesta a los datos representados por la lmea de trazos b se representa por la lmea de trazos b’). Con el fin de gestionar las relaciones inter-zonales cuando los datos cruzan los VFWs, se configura una zona de proteccion para IPSec2 y la zona de proteccion de IPSec2 es la zona de no-confianza de VFW2. La zona de proteccion de IPSec2 no esta limitada a la zona de no-confianza en VFW2 y puede ser cualquier zona de seguridad en VFW2.
La Figura 2 es un diagrama de flujo esquematico de envm de datos a traves de VFWs en conformidad con una forma de realizacion de la presente invencion e ilustra el proceso del procesamiento de datos cuando lo datos se envfan por los VFWs en la forma de realizacion de la presente invencion. En adelante, el proceso de procesamiento se describe concretamente con referencia al procedimiento de envm de los flujos de datos representados por las lmeas de trazos a y b en la Figura 1 a traves de los VFWs.
En la etapa 2O1, se realiza un filtrado de seguridad sobre los datos en un primer VFW utilizando una polftica de seguridad entre una zona de seguridad de un puerto de entrada de datos una zona de proteccion de un tunel IPSec de un primer VFW y los datos despues del filtrado de seguridad se envfan a un tunel IPSec del primer VFW;
Segun se ilustra en la Figura 1, en la lmea de trazos a en la Figura 1 representa los datos enviados por VFW1 y los datos necesitan pasar a traves de VFWO. Cuando se envfan los datos, VFW1 realiza primero el procesamiento de seguridad y defensa sobre los datos que han de enviarse y reciben por el Puerto1 de VFW1. Durante la configuracion, VFW1 se configura con IPSec1 para proteccion de datos y una zona de seguridad de no-confianza de VFW1 se establece como una zona de proteccion de IPSec1. Por lo tanto, cuando los datos se envfan desde VFW1, se realiza un filtrado de seguridad sobre los datos utilizando la polftica de seguridad entre la zona de confianza del Puerto1 en donde los datos entran y la zona de proteccion de IPSec1 de VFW1. La lmea de trazos b, en la Figura 1, representa los datos enviados por VFW2 y los datos necesitan pasar a traves de VFWO. Durante la configuracion, vFW2 se configura con IPSec2 para proteccion de datos y una zona de seguridad de no-confianza de VFW2 se establece como una zona de proteccion del IPSec2. Por lo tanto, cuando se envfan los datos desde VFW2, se realiza un filtrado de seguridad sobre los datos utilizando la polftica de seguridad entre la zona de confianza del Puerto2 en donde los datos entran y la zona de proteccion de IPSec2 de unidad de VFW2.
En la etapa 2O2, el tunel IPSec del primer VFW encripta los datos que pasan a traves del filtrado de seguridad y los datos encriptados se envfan a un segundo VFW a traves del tunel IPSec.
Segun se ilustra en la Figura 1, despues de que los datos representados por la lmea de trazos a pasen por el filtrado de seguridad, IPSec1 de VFW1 encripta los datos y los datos encriptados se reenvfan desde VFWO a la red publica. De forma similar, despues de que los datos representados por la lmea de trazos b pasen por el filtrado de seguridad, IPSec2 de VFW2 encripta los datos y los datos encriptados se reenvfan desde VFWO a la red publica.
Un metodo para enviar los datos encriptados al segundo VFW en la etapa 2O2 puede incluir, sin limitacion, a: etiquetado de los datos encriptados con una etiqueta del segundo VFW o marcado del segundo VFW de los datos en una lista de reenvm de los datos.
En la etapa 2O3, el segundo VFW envfa los datos.
En esta forma de realizacion, se configura el tunel IPSec, se garantiza la seguridad del reenvm de los datos a traves de los VFWs. Ademas, IPSec1 e IPSec2 se configuran, respectivamente con la zona de proteccion de IPSec1 y la zona de proteccion de IPSec2 y la zona de proteccion de IPSec1 es la zona de seguridad de no-confianza original de VFW1 y la zona de proteccion de IPSec2 es tambien la zona de seguridad de no-confianza original de VFW2. Por lo tanto, cuando VFW1 envfa los datos, se realiza el filtrado de seguridad sobre los datos utilizando la polftica de seguridad entre las zonas de seguridad de VFW1 es decir, todas las relaciones inter-zonales para realizar el procesamiento de seguridad y de defensa son las relaciones inter-zonales de VFW1 y de este modo, se simplifica el proceso para gestionar las relaciones inter-zonales durante el envm de VFW en la tecnica anterior. De forma similar, cuando VFW2 envfa los datos, el filtrado de seguridad se realiza tambien sobre los datos utilizando la polftica de seguridad entre las zonas de seguridad de VFW2. Cuando se toman algunas medidas al respecto, los datos encriptados por IPSec1 e IPSec2 pueden entrar en VFWO para el reenvm, de modo que los datos en multiples VFWs
5
10
15
20
25
30
35
40
45
50
55
60
65
puedan reenviarse a traves del mismo puerto y de este modo, se reutiliza el puerto y se economizan recursos.
La Figura 3 es un diagrama de flujo esquematico de recepcion de datos a traves de VFWs en conformidad con una forma de realizacion de la presente invencion e ilustra el proceso de procesamiento de los datos cuando los VFWs reciben los datos en conformidad con la forma de realizacion de la presente invencion. Todos los datos son los datos que han de desencriptarse y la direccion de destino de los datos se dirige a un terminal local. Para facilidad de descripcion, a modo de ejemplo, el proceso del procesamiento de datos de respuesta (segun se representa por las lmeas de trazos a' y b' en la Figura 1) de los datos (segun se representa por las lmeas de trazos a y b en la Figura 1) enviados por VFW1 y VFW2 en la forma de realizacion anterior, se describen, en detalle, a continuacion.
En la etapa 301, un primer VFW recibe datos que han de desencriptarse y un tunel IPSec para desencriptacion de los datos que han de desencriptarse se busca a este respecto, y luego, los datos se envfan al tunel IPSec.
Segun se ilustra en la Figura 1, la lmea de trazos a' en la Figura 1 representa los datos de respuesta en respuesta a los datos que se representan por la lmea de trazos a y se reciben por VFW1 y los datos de respuesta entran a traves del PuertoO de VFW0. La lmea de trazos b' representa los datos de respuesta en respuesta a los datos que se representan por la lmea de trazos b y se reciben por VFW2 y los datos de respuesta entran tambien a traves del PuertoO de VFWO. Por lo tanto, el VFWo origen realiza la operacion de busqueda por tuneles para la desencriptacion sobre los datos de respuesta que entran y envfa los datos de respuesta representados por a' al tunel IPSec1 para su desencriptacion y envfa los datos de respuesta representados por b' al tunel IPSec2 para su desencriptacion.
En la etapa 302, el tunel IPSec desencripta los datos y modifica una zona de seguridad de un puerto de entrada de los datos desencriptados en una zona de proteccion del tunel IPSec.
Segun se ilustra en la Figura 1, despues de desencriptar los datos de respuesta representados por a', IPSec1 modifica un parametro que indica la zona de seguridad a la que pertenece el puerto de entrada de los datos (es decir, la zona de confianza del PuertoO de VFWO) en la zona de proteccion de IPSec1 (es decir, la zona de no- confianza de VFW1). Despues de desencriptar los datos de respuesta representados por b', IPSec2 modifica un parametro que indica la zona de seguridad a la que pertenece el puerto de entrada de los datos (es decir, la zona de confianza del PuertoO de VFWO) en la zona de proteccion de IPSec2 (es decir, la zona de no-confianza de VFW2).
En la etapa 3O3, un segundo VFW realiza un filtrado de seguridad sobre los datos utilizando una polftica de seguridad entre la zona de proteccion del tunel IPSec y la zona de seguridad en donde llegan los datos.
Segun se ilustra en la Figura 1, despues de que los datos de respuesta representados por la lmea de trazos a' entran en VFW1, se realiza un filtrado de seguridad sobre los datos usando la polftica de seguridad entre la zona de proteccion de IPSec1 (es decir, la zona de seguridad de no-confianza de VFW1) y la zona de seguridad en donde llegan los datos (es decir, la zona de confianza de VFW1); y despues de que los datos de respuesta representados por la lmea de trazos b' entran en VFW2, se realiza el filtrado de seguridad sobre los datos usando la polftica de seguridad entre la zona de proteccion de IPSec2 (es decir, la zona de seguridad de no-confianza de VFW2) y la zona de seguridad en donde llegan los datos (es decir, la zona de confianza de VFW2).
Un metodo para la busqueda de tuneles para desencriptar los datos en la etapa 3O1 se pone en practica buscando un IP de destino de los datos, una interfaz Periferica Serie (SPI, es decir, un campo de protocolo en el protocolo de Cabecera de Autenticacion (AH), un protocolo de Carga Util de Seguridad de Encapsulacion (ESP)) y un tipo de protocolo. Los tuneles que necesitan los datos para entrar se buscan por intermedio del IP de destino, la SPI y el tipo de protocolo.
Un metodo para modificar la zona de seguridad del puerto de entrada de los datos desencriptados en la etapa 3O2 puede incluir, sin limitacion, a: etiquetado de los datos con una etiqueta de la zona de proteccion del tunel IPSec o la indicacion en una lista de reenvfo de los datos que la zona de seguridad a la que pertenece el puerto de entrada de los datos es la zona de proteccion del tunel IPSec.
Puede deducirse de la forma de realizacion anterior, en las soluciones tecnicas de las formas de realizacion de la presente invencion, que cuando un VFW recibe los datos de respuesta como un cortafuegos de terminal local, el tunel IPSec utilizando cuando el VFW envfa los datos puesto que se utiliza un cortafuegos de terminal local y de este modo, se garantiza la seguridad de los datos. Ademas, cuando se modifica la zona de entrada con los datos, con el fin de gestionar la relaciones inter-zonales cuando los datos cruzan los VFWs, solamente la polftica de seguridad entre la zona de seguridad existente del segundo VFW en donde los datos que llegan necesitan utilizarse para realizar un filtrado de seguridad sobre los datos, por lo que se simplifica el proceso complicado para gestionar las relaciones inter-zonales en la tecnica anterior.
En los metodos para enviar y recibir datos a traves de los VFWs en conformidad con las formas de realizacion anteriores de la presente invencion, el numero de los puertos de VFWs se controla por el equipo de cortafuegos que se utiliza y no esta limitado a 3 puertos segun se ilustra en la Figura 1. Los puertos en las formas de realizacion de la presente invencion no estan limitados a los puertos ffsicos o puertos virtuales, solamente si los puertos pueden
5
10
15
20
25
30
35
40
45
50
55
60
65
establecerse en los VFWs. El numero de VFWs se determina en funcion del numero de puertos, es dedr, cada puerto virtual esta configurado con un VFW. En las formas de realizacion de la presente invencion, un puerto en cualquier VFW puede utilizarse como un puerto de entrada comun de otros VFWs, tal como el PuertoO en la Figura 1.
En las soluciones tecnicas para enviar y recibir datos a traves de los VFWs en conformidad con las formas de realizacion de la presente invencion, cualquier salida puede establecerse para los datos que necesitan reenviarse a traves de los VFWs, solamente se configura un tunel IPSec correspondiente para los VFWs antes de que se reenvfen los datos. A modo de ejemplo, los datos en VFW1 pueden enviarse a traves de VFW0 y pueden enviarse tambien a traves de VFW2. De forma similar, los datos enviados por VFW0 pueden enviarse tambien a traves de VFW1 o VFW2.
Los metodos para enviar o recibir datos a traves de los VFWs, en conformidad con las formas de realizacion de la presente invencion no son solamente aplicables a los datos que se reenvfan entre VFWs, sino que tambien son aplicables a datos que se reenvfan entre un cortafuegos rafz y un VFW cuando el cortafuegos rafz se considera como un VFW especial.
En las soluciones tecnicas en conformidad con las formas de realizacion de la presente invencion, cuando se procesan los datos a traves de los VFWs, puesto que se utiliza la tecnologfa de IPSec y el tunel IPSec esta configurado con la zona de proteccion, la seguridad esta garantizada cuando los datos se envfan a traves de los VFWs, sin necesidad de que tenga que configurarse ninguna VZONE adicional y el filtrado de seguridad se realiza sobre los datos utilizando las zonas de seguridad existentes de los VFWs y la polftica de seguridad entre las zonas. Por lo tanto, se elimina la configuracion complicada de las poltticas de seguridad inter-zonales y solamente se requiere un tiempo de filtrado de seguridad para garantizar la seguridad de los datos durante la transmision de datos y se reduce los procesos para gestionar las relaciones inter-zonales. Ademas, puesto que se utiliza la tecnologfa IPSec, los datos pueden reenviarse desde un VFW a otro VFW y los puertos se pueden compartir, con lo que se reutilizan los puertos de cortafuegos y se consigue una gran economica de recursos.
Los expertos ordinarios en esta tecnica pueden entender que la totalidad o parte de las etapas del metodo dado a conocer por las formas de realizacion de la presente invencion puede ponerse en practica por un programa que proporcione instrucciones al hardware pertinente. El programa puede memorizarse en un soporte de memorizacion legible por ordenador. Cuando se ejecuta el programa, pueden incluirse los procedimientos de las formas de realizacion de los metodos anteriores. El soporte de memorizacion puede ser un disco magnetico, una memoria de solamente lectura-disco compacto (CD-ROM), una memoria de solamente lectura (ROM) o una memoria de acceso aleatorio (RAM).
La Figura 4 es una vista esquematica de un aparato de envfo en conformidad con una forma de realizacion de la presente invencion. El aparato de envfo incluye una primera unidad de procesamiento de seguridad 401, una unidad de encriptacion 402 y una unidad de envfo 403. La primera unidad de procesamiento de seguridad 401 y la unidad de envfo 403 se establecen con zonas de seguridad (incluyendo una zona de no-confianza y una zona de confianza). Se establecen poltticas de seguridad entre las zonas de seguridad de la primera unidad de procesamiento de seguridad 401 y entre las zonas de seguridad de la unidad de envfo 403, respectivamente. La unidad de encriptacion 402 incluye un modulo de encriptacion 4021 y un modulo de etiquetado 4022. El modulo de encriptacion 4021 esta configurado para encriptar datos en la primera de unidad de procesamiento de seguridad 401. El modulo de etiquetado 4022 esta configurado para hacer que los datos encriptados entren en la unidad de envfo. La unidad de encriptacion 402 se establece con una zona de proteccion y la zona de proteccion es la zona de no-confianza de la primera unidad de procesamiento de seguridad 401. Conviene senalar que la zona de proteccion no esta limitada a la zona de no-confianza de la primera unidad de procesamiento de seguridad 401 y puede ser cualquier zona de seguridad de la primera unidad de procesamiento de seguridad 401.
La primera unidad de procesamiento de seguridad 401 esta configurada para realizar el filtrado de seguridad sobre los datos utilizando una polftica de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de proteccion de la unidad de encriptacion 402 y envfa los datos despues del filtrado de seguridad a la unidad de encriptacion 402.
La unidad de encriptacion 402 esta configurada para encriptar los datos que pasan por la primera unidad de procesamiento de seguridad 401 y para enviar los datos encriptados a la unidad de envfo 403.
La unidad de encriptacion 402 incluye el modulo de encriptacion 4021 y el modulo de etiquetado 4022. El modulo de encriptacion 4021 esta configurado para encriptar los datos procedentes de la primera unidad de procesamiento de seguridad 401. El modulo de etiquetado 4022 esta configurado para enviar los datos encriptados por el modulo de encriptacion 4021 a la unidad de envfo 403. Un metodo para enviar los datos a la unidad de envfo 403 incluye, sin limitacion, a: etiquetado de los datos encriptados con una etiqueta de la unidad de envfo 403 o la indicacion a la unidad de envfo 403 en una lista de reenvfo de los datos por el modulo de etiquetado 4022.
La unidad de envfo 403 esta configurada para enviar los datos encriptados por la unidad de encriptacion 402.
5
10
15
20
25
30
35
40
45
50
55
60
65
En este caso, el aparato de envfo incluye cortafuegos o equipos del tipo de cortafuegos y la unidad de encriptacion puede ser un tunel IPSec.
La Figura 5 es una vista esquematica de un aparato de recepcion en conformidad con una forma de realizacion de la presente invencion. El aparato de recepcion incluye una unidad de recepcion 501, una unidad de desencriptacion 502 y una segunda unidad de procesamiento de seguridad 503. La unidad de recepcion 501 y la segunda unidad de procesamiento de seguridad 503 se establecen con zonas de seguridad (incluyendo una zona de no-confianza y una zona de confianza). Se establecen poltticas de seguridad entre las zonas de seguridad de la unidad de recepcion 501 y entre las zonas de seguridad de la segunda unidad de procesamiento de seguridad 503, respectivamente. La unidad de desencriptacion 502 incluye un modulo de desencriptacion 5021 y un modulo de modificacion 5022. El modulo de desencriptacion 502 se establece con una zona de proteccion. La zona de proteccion es la zona de no- confianza de la segunda unidad de procesamiento de seguridad 503. Conviene senalar que la zona de proteccion no esta limitada a la zona de no-confianza de la segunda unidad de procesamiento de seguridad 503 y puede ser cualquier zona de seguridad de la segunda unidad de procesamiento de seguridad 503.
La unidad de recepcion 501 esta configurada para recibir los datos que han de desencriptarse, para buscar la unidad de desencriptacion de los datos y para enviar los datos a la unidad de desencriptacion 502. Una direccion de destino de los datos que han de desencriptarse es un terminal local.
Un metodo para la busqueda de la unidad de desencriptacion incluye la busqueda de un IP de destino de los datos, una SPI (un campo de protocolo en el protocolo AH, protocolo ESP) y un tipo de protocolo son todos ellos objeto de busqueda. La unidad de desencriptacion 502 a la que se requiere que entren los datos se busca a traves de IP de destino, la SPI y el tipo de protocolo.
La unidad de desencriptacion 502 esta configurada para desencriptar los datos que han de desencriptarse y se reciben por la unidad de recepcion 501 y para cambiar una zona de seguridad de un puerto de entrada de los datos a la zona de proteccion de la unidad de desencriptacion 502.
La unidad de desencriptacion 502 incluye un modulo de desencriptacion 5021 y un modulo de modificacion 5022. El modulo de desencriptacion 5021 desencripta los datos que han de desencriptarse. El modulo de modificacion 5022 esta configurado para modificarla zona de seguridad a la que pertenece el puerto de entrada de los datos desencriptados por el modulo de desencriptacion 5021 en la zona de proteccion de la unidad de desencriptacion 502. Un metodo para modificar la zona de seguridad a la que pertenece el puerto de entrada de los datos por el modulo de modificacion 5022 puede incluir, sin limitacion, a: etiquetado de los datos con una etiqueta de la zona de proteccion de la unidad de desencriptacion 502 o la indicacion en una lista de reenvfo de los datos de que la zona de seguridad del puerto de entrada de los datos es la zona de proteccion de la unidad de desencriptacion 502.
La segunda unidad de procesamiento de seguridad 503 esta configurada para realizar un procesamiento de seguridad y defensa sobre los datos desencriptados por la unidad de desencriptacion 502. El procesamiento de seguridad y de defensa se consigue realizando un filtrado de seguridad sobre los datos utilizando una polttica de seguridad entre la zona de proteccion de la unidad de desencriptacion 502 y la zona de seguridad en donde llegan los datos.
En este caso, el aparato de recepcion incluye los denominados cortafuegos o equipos del tipo de cortafuegos y la unidad de desencriptacion puede ser un tunel IPSec.
La primera unidad de procesamiento de seguridad del aparato de envfo y la segunda unidad de procesamiento de seguridad del aparato de recepcion pueden ser ffsicamente una misma unidad. De forma similar, la unidad de encriptacion del aparato de envfo y la unidad de desencriptacion del aparato de recepcion pueden ser tambien una misma unidad y la unidad de envfo del aparato emisor y la unidad de recepcion del aparato receptor puede ser tambien la misma unidad.
La Figura 6 es una vista esquematica de un sistema de redes que es de utilidad para entender la presente invencion. El sistema de redes incluye un aparato de envfo 601 y un aparato de recepcion 602.
El aparato de envfo 601 esta configurado para enviar datos.
El aparato de recepcion 602 esta configurado para recibir datos de respuesta que son en respuesta a los datos enviados por el aparato de envfo 601. Los datos de respuesta son los datos que han de desencriptarse con una direccion de destino dirigida a un terminal local.
El aparato de envfo 601 incluye una primera unidad de procesamiento de seguridad 6011, una unidad de encriptacion 6012 y una unidad de envfo 6013. La unidad de encriptacion 6012 incluye un modulo de encriptacion 60121 y un modulo de etiquetado 60122.
5
10
15
20
25
30
35
40
45
50
55
60
65
La primera unidad de procesamiento de seguridad 6011 y la unidad de envfo 6013 se establecen con zonas de seguridad (que incluye una zona de no-confianza y una zona de confianza). Se establecen polfticas de seguridad entre las zonas de seguridad de la primera unidad de procesamiento de seguridad 6011. De forma similar, se establecen tambien polfticas de seguridad entra la zona de seguridad de la unidad de envfo 6013. La unidad de encriptacion 6012 se establece con una zona de proteccion. La zona de proteccion de la unidad de encriptacion 6012 es la zona de no-confianza de la primera unidad de procesamiento de seguridad 6011. Conviene senalar que la zona de proteccion de la unidad de encriptacion 6012 no esta limitada a la zona de no-confianza de la primera unidad de procesamiento de seguridad 6011 y puede ser cualquier zona de seguridad de la primera unidad de procesamiento de seguridad 6011.
La primera unidad de procesamiento de seguridad 6011 esta configurada para realizar un filtrado de seguridad sobre los datos utilizando una polftica de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de proteccion de la unidad de encriptacion 6012 y para enviar los datos a los que se ha realizado un filtrado de seguridad a la unidad de encriptacion 6012.
La unidad de encriptacion 6012 esta configurada para encriptar los datos que pasan por la primera unidad de procesamiento de seguridad 6011 y para enviar los datos a la unidad de envfo 6013.
La unidad de encriptacion 6012 incluye un modulo de encriptacion 60121 y el modulo de etiquetado 60122. El modulo de encriptacion 60121 esta configurado para encriptar datos procedentes de la primera unidad de procesamiento de seguridad 6011. El modulo de etiquetado 60122 esta configurado para enviar los datos encriptados por el modulo de encriptacion 60121 a la unidad de envfo 6013. Un metodo para enviar los datos a la unidad de envfo 6013 incluye, sin limitacion, a: el etiquetado de los datos encriptados con una etiqueta de la unidad de envfo o la indicacion de la unidad de envfo 6013 en una lista de reenvfo de los datos por el modulo de etiquetado 60122.
La unidad de envfo 6013 esta configurada para enviar los datos encriptados por la unidad de encriptacion 6012.
El aparato de recepcion 602 incluye una unidad de recepcion 6021, una unidad de desencriptacion 6022 y una segunda unidad de procesamiento de seguridad 6023. La unidad de desencriptacion 6022 incluye un modulo de desencriptacion 60221 y un modulo de modificacion 60222.
La unidad de recepcion 6021 y la segunda unidad de procesamiento de seguridad 6023 se establecen tambien con zonas de seguridad (que incluyen una zona de no-confianza y una zona de confianza). Se establecen polfticas de seguridad entre las zonas de seguridad de la unidad de recepcion 6021. De forma similar, se establecen tambien polfticas de seguridad entre las zonas de seguridad de la unidad de procesamiento 6023. La unidad de desencriptacion 6022 se estable con una zona de proteccion. La zona de proteccion de la unidad de desencriptacion 6022 es la zona de no-confianza de la segunda unidad de procesamiento de seguridad 6023. Conviene senalar que la zona de proteccion de la unidad de desencriptacion 6022 no esta limitada a la zona de no-confianza de la segunda unidad de procesamiento de seguridad 6023 y puede ser cualquier zona de seguridad de la segunda unidad de procesamiento de seguridad 6023.
La unidad de recepcion 6021 esta configurada para recibir datos que han de desencriptarse, para buscar la unidad de desencriptacion de los datos y para enviar los datos a la unidad de desencriptacion 6022. Una direccion de destino de los datos que han de desencriptarse es un terminal local.
Un metodo para buscar la unidad de desencriptacion incluye la busqueda de un IP de destino de los datos, una SPI (un campo de protocolos en protocolo AH, protocolo ESP) y un tipo de protocolo. La unidad de desencriptacion 6022 a la que necesitan introducirse los datos se busca a traves del IP de destino, de la SPI y del tipo de protocolo.
La unidad de desencriptacion 6022 esta configurada para desencriptar los datos que han de desencriptarse y se reciben por la unidad de recepcion 6021 y para modificar una zona de seguridad de un puerto de entrada de los datos desencriptados en la zona de proteccion de la unidad de desencriptacion 6022.
La unidad de desencriptacion 6022 incluye un modulo de desencriptacion 60221 y un modulo de modificacion 60222. El modulo de desencriptacion 60221 esta configurado para desencriptar los datos que han de desencriptarse. El modulo de modificacion 60222 esta configurado para modificar la zona de seguridad a la que pertenece el puerto de entrada de los datos desencriptados por el modulo de desencriptacion 60221 en la zona de proteccion de la unidad de desencriptacion 6022. Un metodo para modificar la zona de seguridad la que pertenece el puerto de entrada de los datos por el modulo de modificacion 60222 incluye, sin limitacion, a: el etiquetado de los datos con una etiqueta de la zona de proteccion de la unidad de desencriptacion 6022 o la indicacion en una lista de reenvfo de los datos de que la zona de seguridad del puerto de entrada de datos es la zona de proteccion de la unidad de desencriptacion 6022.
La segunda unidad de procesamiento de seguridad 6023 esta configurada para realizar el procesamiento de seguridad y de defensa sobre los datos desencriptados por la unidad de desencriptacion 6022. El procesamiento de
seguridad y de defensa se consigue realizando un filtrado de seguridad sobre los datos utilizando una polttica de seguridad entre la zona de proteccion de la unidad de desencriptacion 6022 y la zona de seguridad en donde llegan los datos.
5 En este caso, el aparato de envfo y el aparato de recepcion incluyen los denominados cortafuegos o equipos del tipo cortafuegos y la unidad de encriptacion y la unidad de desencriptacion pueden ser un tunel IPSec.
En el sistema de redes, la primera unidad de procesamiento de seguridad del aparato de envfo y la segunda unidad de procesamiento de seguridad del aparato de recepcion pueden ser ffsicamente una misma unidad. De forma 10 similar, la unidad de encriptacion del aparato de envfo y la unidad de desencriptacion del aparato de recepcion pueden ser tambien una misma unidad y la unidad de envfo del aparato emisor y la unidad de recepcion del aparato receptor puede ser tambien una misma unidad.

Claims (15)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Un metodo para enviar datos a traves de firewalls virtuales, VFWs, en donde se establece un tunel seguro entre un primer VFW y un segundo VFW, estando el tunel seguro provisto de una zona de proteccion, y el metodo para enviar datos a traves de VFWs comprende:
    realizar, por el primer VFW, un filtrado de seguridad (201) sobre los datos recibidos por el primer VFW por intermedio de un puerto de entrada de datos del primer VFW, en donde el filtrado de seguridad se realiza haciendo uso de una polttica de seguridad entre la zona de seguridad del puerto de entrada de datos y una zona de proteccion del tunel seguro, y enviar los datos despues del filtrado de seguridad al tunel seguro; y
    la encriptacion (202), por el tunel de seguridad, de los datos que pasan a traves del filtrado de seguridad; y el envfo, por el tunel de seguridad, de los datos encriptados al segundo VFW, en donde el segundo VFW esta configurado para enviar los datos encriptados (203).
  2. 2. El metodo de envfo segun la reivindicacion 1, en donde la zona de proteccion del tunel de seguridad es una zona de seguridad del primer VFW.
  3. 3. El metodo de envfo segun la reivindicacion 1, en donde un metodo para enviar los datos encriptados al segundo VFW por el tunel de seguridad comprende: el etiquetado de los datos encriptados con una etiqueta del segundo VFW.
  4. 4. El metodo de envfo segun la reivindicacion 1, en donde un metodo para enviar los datos encriptados al segundo VFW por el tunel de seguridad comprende: el marcado del segundo VFW en una lista de reenvfo de los datos encriptados.
  5. 5. Un metodo para la recepcion de datos a traves de firewalls virtuales, VFWs, en donde se establece un tunel seguro entre un segundo VFW y un primer VFW, estando el tunel seguro provisto de una zona de proteccion, y el metodo para la recepcion de datos a traves de VFWs comprende:
    recibir (301), por el primer VFW, datos a desencriptarse por intermedio de un puerto de entrada del primer VFW, buscar un tunel seguro para desencriptacion de los datos, y enviar los datos al tunel seguro para su desencriptacion;
    desencriptar (302), por el tunel seguro para su desencriptacion, los datos, y modificar los datos desencriptados sustituyendo una zona de seguridad a la que pertenece el puerto de entrada de los datos con una zona de proteccion del tunel seguro; y
    la realizacion, por el segundo VFW, del filtrado de seguridad (303) sobre los datos desencriptados utilizando una polttica de seguridad entre la zona de proteccion del tunel de seguridad y la zona de seguridad en donde llegan los datos en el segundo VFW.
  6. 6. El metodo de recepcion segun la reivindicacion 5, en donde la zona de proteccion del tunel de seguridad es una zona de seguridad en el segundo VFW.
  7. 7. El metodo de recepcion segun la reivindicacion 5, en donde un metodo para la busqueda del tunel de seguridad para la desencriptacion de los datos comprende: la busqueda de un IP de destino de los datos, una Interfaz Periferica Serie, SPI y un tipo de protocolo y la busqueda del tunel de seguridad en donde se requiere que entren los datos en funcion del IP de destino, de la SPI y del tipo de protocolo.
  8. 8. El metodo de recepcion segun la reivindicacion 5, en donde un metodo para modificar los datos desencriptados sustituyendo la zona de seguridad a la que pertenece el puerto de entrada con una zona de proteccion del tunel comprende: etiquetar los datos desencriptados con una etiqueta de la zona de proteccion del tunel seguro.
  9. 9. El metodo de recepcion segun la reivindicacion 5, en donde un metodo para modificar los datos desencriptados sustituyendo la zona de seguridad a la que pertenece el puerto de entrada con una zona de proteccion del tunel comprende: marcar en una lista de reenvfo de los datos desencriptados, que la zona de seguridad a la que pertenece el puerto de entrada de los datos es la zona de proteccion del tunel seguro.
  10. 10. Un aparato de envfo, que comprende una primera unidad de procesamiento de seguridad (401), una unidad de encriptacion (402) y una unidad de envfo (403), en donde la primera unidad de procesamiento de seguridad se establece con zonas de seguridad, y la unidad de encriptacion se establece con una zona de proteccion, en donde
    la primera unidad de procesamiento de seguridad esta configurada para realizar el filtrado de seguridad sobre los datos utilizando una polftica de seguridad entre una zona de seguridad de un puerto de entrada de datos y la zona de proteccion de la unidad de encriptacion y para enviar los datos despues del filtrado de seguridad a la unidad de encriptacion, en donde los datos se reciben por la primera unidad de procesamiento de seguridad por intermedio del
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    puerto de entrada de datos;
    la unidad de encriptacion esta configurada para encriptar los datos recibidos procedentes de la primera unidad de procesamiento de seguridad y para enviar los datos encriptados a la unidad de envfo; y
    la unidad de envfo esta configurada para enviar los datos encriptados por la unidad de encriptacion.
  11. 11. El aparato de envfo segun la reivindicacion 10, en donde la zona de proteccion de la unidad de encriptacion es la zona de seguridad de la primera unidad de procesamiento de seguridad.
  12. 12. El aparato de envfo segun la reivindicacion 10, en donde la unidad de encriptacion comprende un modulo de encriptacion (4021) y un modulo de etiquetado (4022);
    el modulo de encriptacion esta configurado para encriptar los datos recibidos procedentes de la primera unidad de procesamiento de seguridad; y
    el modulo de etiquetado esta configurado para etiquetar los datos encriptados por el modulo de encriptacion con una etiqueta de la unidad de envfo y para enviar los datos encriptados a la unidad de envfo; o
    el modulo de etiquetado esta configurado para marcar la unidad de envfo de los datos encriptados en una lista de reenvfo de los datos encriptados y para enviar los datos encriptados a la unidad de envfo.
  13. 13. Un aparato de recepcion que comprende una unidad de recepcion (501), una unidad de desencriptacion (502) y una segunda unidad de procesamiento de seguridad (503), en donde la segunda unidad de procesamiento de seguridad (503) se establece con zonas de seguridad, estando la unidad de desencriptacion (502) establecida con una zona de proteccion, en donde
    la unidad de recepcion esta configurado para recibir datos a desencriptarse por intermedio de un puerto de entrada de la unidad de recepcion (501), para buscar la unidad de desencriptacion de los datos, y para enviar los datos a la unidad de desencriptacion;
    la unidad de desencriptacion esta configurado para desencriptar los datos a desencriptarse recibidos por la unidad de recepcion, y para modificar los datos desencriptados sustituyendo una zona de seguridad a la que pertenece el puerto de entrada de los datos con la zona de proteccion de la unidad de desencriptacion; y
    la segunda unidad de procesamiento de seguridad esta configurada para realizar un filtrado de seguridad sobre los datos desencriptados haciendo uso de una polttica de seguridad entre la zona de proteccion de la unidad de desencriptacion y la zona de seguridad a donde los datos llegan en la segunda unidad de procesamiento de seguridad.
  14. 14. El aparato de recepcion segun la reivindicacion 13, en donde la zona de proteccion de la unidad de encriptacion es una zona de seguridad de la segunda unidad de procesamiento de seguridad.
  15. 15. El aparato de recepcion segun la reivindicacion 13, en donde la unidad de desencriptacion comprende un modulo de desencriptacion (5021) y un modulo de modificacion (5022), en donde
    el modulo de desencriptacion esta configurado para desencriptar los datos que han de desencriptarse recibidos por la unidad de recepcion; y
    el modulo de modificacion esta configurado para modificar los datos desencriptados por el modulo de desencriptacion sustituyendo una zona de seguridad a la que pertenece el puerto de entrada con zona de proteccion de la unidad de desencriptacion.
ES15164606.4T 2008-11-29 2009-11-27 Métodos y aparatos para enviar y recibir datos a través de cortafuegos virtuales Active ES2622104T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2008102177975A CN101478533B (zh) 2008-11-29 2008-11-29 一种跨越虚拟防火墙发送和接收数据的方法及系统
CN200810217797 2008-11-29

Publications (1)

Publication Number Publication Date
ES2622104T3 true ES2622104T3 (es) 2017-07-05

Family

ID=40839165

Family Applications (2)

Application Number Title Priority Date Filing Date
ES15164606.4T Active ES2622104T3 (es) 2008-11-29 2009-11-27 Métodos y aparatos para enviar y recibir datos a través de cortafuegos virtuales
ES09828645.3T Active ES2546136T3 (es) 2008-11-29 2009-11-27 Métodos y aparatos para cruzar un denominado 'cortafuegos' virtual con el fin de transmitir y recibir datos

Family Applications After (1)

Application Number Title Priority Date Filing Date
ES09828645.3T Active ES2546136T3 (es) 2008-11-29 2009-11-27 Métodos y aparatos para cruzar un denominado 'cortafuegos' virtual con el fin de transmitir y recibir datos

Country Status (4)

Country Link
EP (2) EP2916492B1 (es)
CN (1) CN101478533B (es)
ES (2) ES2622104T3 (es)
WO (1) WO2010060385A1 (es)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8281377B1 (en) 2008-04-15 2012-10-02 Desktone, Inc. Remote access manager for virtual computing services
CN101478533B (zh) * 2008-11-29 2012-05-23 成都市华为赛门铁克科技有限公司 一种跨越虚拟防火墙发送和接收数据的方法及系统
CN102394897A (zh) * 2011-12-18 2012-03-28 西安安智科技有限公司 结合底线策略实现虚拟防火墙安全策略的系统和方法
US9467305B2 (en) 2012-03-07 2016-10-11 Vmware, Inc. Multitenant access to multiple desktops on host machine partitions in a service provider network
US9560014B2 (en) * 2013-01-23 2017-01-31 Mcafee, Inc. System and method for an endpoint hardware assisted network firewall in a security environment
US9467416B2 (en) * 2013-05-23 2016-10-11 Pismo Labs Technology Limited Methods and systems for dynamic domain name system (DDNS)
US9253158B2 (en) 2013-08-23 2016-02-02 Vmware, Inc. Remote access manager for virtual computing services
CN103561027A (zh) * 2013-11-05 2014-02-05 曙光云计算技术有限公司 虚拟网络隔离的实现方法和实现装置
CN104113522A (zh) * 2014-02-20 2014-10-22 西安未来国际信息股份有限公司 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计
CN113190495A (zh) 2014-12-08 2021-07-30 安博科技有限公司 从远程网络区域进行内容检索的系统及方法
WO2016110785A1 (en) 2015-01-06 2016-07-14 Umbra Technologies Ltd. System and method for neutral application programming interface
EP3251301A4 (en) 2015-01-28 2018-10-10 Umbra Technologies Ltd. System and method for a global virtual network
EP4325804A2 (en) * 2015-04-07 2024-02-21 Umbra Technologies Ltd. Multi-perimeter firewall in the cloud
EP3308504A4 (en) 2015-06-11 2019-01-02 Umbra Technologies Ltd. System and method for network tapestry multiprotocol integration
ES2931177T3 (es) 2015-12-11 2022-12-27 Umbra Tech Ltd Sistema y método para lanzamiento de información a través de un tapiz de red y granularidad de una marca
WO2017187263A1 (en) 2016-04-26 2017-11-02 Umbra Technologies Ltd. Sling-routing logic and load balancing
CN105939356B (zh) * 2016-06-13 2019-06-14 北京网康科技有限公司 一种虚拟防火墙划分方法和装置
CN106534153B (zh) * 2016-11-30 2023-06-13 广东科达洁能股份有限公司 基于互联网建立桥接专线系统
CN107483341B (zh) * 2017-08-29 2020-10-02 杭州迪普科技股份有限公司 一种跨防火墙报文快速转发方法及装置
CN107888500B (zh) * 2017-11-03 2020-04-17 东软集团股份有限公司 报文转发方法及装置、存储介质、电子设备
CN110290153A (zh) * 2019-07-19 2019-09-27 国网安徽省电力有限公司信息通信分公司 一种防火墙的端口管理策略自动下发方法及装置
CN112511439B (zh) * 2020-11-25 2023-03-14 杭州迪普科技股份有限公司 数据转发方法、装置、设备及计算机可读存储介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100466599C (zh) * 2005-07-22 2009-03-04 上海贝尔阿尔卡特股份有限公司 一种专用局域网的安全访问方法及用于该方法的装置
CN100426794C (zh) * 2005-10-11 2008-10-15 华为技术有限公司 一种处理跨越不同防火墙间数据流的方法
US8127347B2 (en) * 2006-12-29 2012-02-28 02Micro International Limited Virtual firewall
CN101212453A (zh) * 2006-12-29 2008-07-02 凹凸科技(中国)有限公司 实现网络访问控制的方法及其防火墙装置
CN101478533B (zh) * 2008-11-29 2012-05-23 成都市华为赛门铁克科技有限公司 一种跨越虚拟防火墙发送和接收数据的方法及系统

Also Published As

Publication number Publication date
CN101478533A (zh) 2009-07-08
WO2010060385A1 (zh) 2010-06-03
EP2916492A1 (en) 2015-09-09
EP2916492B1 (en) 2017-01-11
EP2357763A4 (en) 2011-10-05
EP2357763A1 (en) 2011-08-17
ES2546136T3 (es) 2015-09-18
EP2357763B1 (en) 2015-06-03
CN101478533B (zh) 2012-05-23

Similar Documents

Publication Publication Date Title
ES2622104T3 (es) Métodos y aparatos para enviar y recibir datos a través de cortafuegos virtuales
US10938685B2 (en) Secure traffic visibility and analytics for encrypted traffic
US9923874B2 (en) Packet obfuscation and packet forwarding
US9515992B2 (en) Network environment separation
US20220150700A1 (en) Security association reuse for multiple connections
CN102932377A (zh) 一种ip报文过滤方法及装置
US20230097734A1 (en) Wire-speed routing and policy enforcement without dpi or decryption
WO2008105834A4 (en) Re-encrypting policy enforcement point
US20220210131A1 (en) System and method for secure file and data transfers
WO2023030160A1 (zh) 发送报文的方法、网络设备、存储介质及程序产品
CN115277200A (zh) 一种链路层透明加密系统多节点密钥自动协商管理的方法
WO2022001937A1 (zh) 业务传输方法、装置、网络设备和存储介质
CN115941227A (zh) 发送报文的方法、网络设备、存储介质及程序产品
KR101845776B1 (ko) 레이어2 보안을 위한 MACsec 어댑터 장치
CN101558401A (zh) 在多个mpls网络上的服务质量和加密
CN108134794A (zh) 一种基于gre和ipsec的智能制造物联中业务数据加密传输的方法
US11722525B2 (en) IPsec processing of packets in SoCs
Lodha et al. Secure wireless internet of things communication using virtual private networks
EP3087696B1 (en) System and method for multiple concurrent virtual networks
Lee et al. Secure and Scalable IoT: An IoT Network Platform Based on Network Overlay and MAC Security
US20230133729A1 (en) Security for communication protocols
Cunjiang et al. Authentication analysis in an IPV6-based environment
Tharayil et al. Enhancing performance and security for data in motion in BIG DATA
BR102014024847A2 (pt) dispositivo removível de criptografia em portas de redes de dados e processo de criptografia em portas de redes de dados
CN115277190A (zh) 一种链路层透明加密系统在网络上实现邻居发现的方法