ES2626251T3 - Método, dispositivo y sistema de red para transmitir datagrama - Google Patents

Método, dispositivo y sistema de red para transmitir datagrama Download PDF

Info

Publication number
ES2626251T3
ES2626251T3 ES10844465.4T ES10844465T ES2626251T3 ES 2626251 T3 ES2626251 T3 ES 2626251T3 ES 10844465 T ES10844465 T ES 10844465T ES 2626251 T3 ES2626251 T3 ES 2626251T3
Authority
ES
Spain
Prior art keywords
address
packet
port number
sent
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES10844465.4T
Other languages
English (en)
Inventor
Bing Liu
Yejian Xu
Meng Xu
Chengjiao Nie
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2626251T3 publication Critical patent/ES2626251T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Abstract

Un método de transmisión de paquetes aplicable a una red privada virtual, VPN, del protocolo de capa de zócalos seguros, SSL, en donde un cliente puede acceder a una intranet mediante el uso de una función de extensión de red después de iniciar sesión en SSL VPN, que comprende: recibir (201), por un servidor SSL VPN de SSL VPN, mediante el uso de un túnel de Red Privada Virtual, VPN, un paquete encriptado enviado por el cliente, en donde el paquete encriptado se envía por el cliente después de que el cliente determina, según una directiva de control preestablecida, que la directiva de control comprende una dirección de Protocolo de Internet, IP, y un número de puerto que son iguales a una dirección IP de destino y a un número de puerto de destino de un paquete a enviarse y encripta el paquete a enviarse y la directiva de control comprende información sobre una dirección IP y un número de puerto de un servidor de intranet de la intranet; descifrar (202), por el servidor SSL VPN, el paquete encriptado; y enviar (203), por el servidor SSL VPN, el paquete descifrado a un servidor de intranet correspondiente, en donde una dirección IP de origen del paquete descifrado es una dirección IP de red externa.

Description

5
10
15
20
25
30
35
40
45
50
DESCRIPCION
Metodo, dispositivo y sistema de red para transmitir datagrama.
Campo de la invencion
La presente invencion se refiere al campo de las tecnologfas de la comunicacion y, en particular, a un metodo, aparato y sistema de red de transmision de paquetes.
Antecedentes de la invencion
En una red privada virtual (VPN, por su sigla en ingles) del protocolo de capa de zocalos seguros (SSL, por su sigla en ingles), un cliente puede acceder a una intranet mediante el uso de una funcion de extension de red despues de iniciar sesion en SSL VPN. Por lo tanto, para los paquetes de ciertos servicios publicos, el cliente puede transmitirlos, de forma directa, a la intranet; para los paquetes de ciertos servicios protegidos, el cliente necesita transmitir los paquetes de los servicios protegidos en sSl VPN a la intranet.
La estructura topologica de la red provista en la tecnica anterior se muestra en la Figura 1. Despues de que el cliente inicia sesion en SSL VPN, para un paquete (es decir, un paquete de un servicio pubico) que no necesita transmitirse en SSL VPN, el cliente lo envfa directamente sin anadir una direccion IP de tunel o mediante el uso de un tunel VPN. La direccion IP de origen del paquete es una direccion IP de red externa (por ejemplo, la direccion IP de red externa del paquete enviado por el Puerto B en la Figura 1 es 50.1.1.1). Para un paquete (un paquete de un servicio protegido) que necesita transmitirse en SSL VPN, el software del cliente lo envfa en el tunel VPN despues de anadir una direccion IP de tunel. En el presente caso, la direccion IP de origen del paquete enviado es una direccion IP de red externa (por ejemplo, la direccion IP de red externa del paquete enviado por el Puerto A en la Figura 1 es 50.1.1.1). El cortafuegos envfa el paquete a SSL VPN segun la direccion IP de tunel. SSL VPN asigna una direccion IP virtual (por ejemplo, 192.168.0.X en la Figura 1) a dicho cliente y cambia la direccion IP de origen (es decir, la direccion IP de red externa, por ejemplo, 50.1.1.1 en la Figura 1) a la direccion IP virtual (por ejemplo, 192.168.0.X en la Figura 1) para implementar la comunicacion entre la red externa y la intranet. Por consiguiente, un segmento de la red privada correspondiente a la direccion IP virtual se asigna en la intranet y se dedica para la comunicacion con la red externa en SSL VPN.
En la tecnica anterior, dado que un segmento dedicado de la red privada para la comunicacion con la red externa en SSL VPN necesita asignarse en la intranet, la estructura topologica de la intranet cambiara. Ademas, dado que una red privada se asigna en la intranet, la directiva de administracion de la intranet tambien cambiara. Especialmente cuando multiples clientes necesitan acceder a la intranet en SSL VPN, un gran numero de direcciones IP virtuales necesitan asignarse y multiples redes privadas necesitan asignarse en la intranet, cambiando, por consiguiente, la estructura topologica de la intranet.
El documento WO 2006/012612 A1 se refiere a un metodo para asegurar el acceso remoto a redes privadas, incluidas las etapas de interceptar desde una capa de enlace de datos un paquete en una primera pluralidad de paquetes destinados a un primer sistema en una red privada. Un paquete en una segunda pluralidad de paquetes transmitidos desde un segundo sistema en la red privada destinada a un sistema en una segunda red se intercepta desde la capa de enlace de datos. Una traduccion de direccion de red se lleva a cabo en al menos un paquete interceptado y el al menos un paquete interceptado se transmite a un destino, que responde a una aplicacion de una directiva al paquete interceptado. Un paquete interceptado se puede transmitir a una aplicacion de cliente, que responde a una tabla de filtrado o tabla de enrutamiento modificado, para la transmision a un sistema de destino, que responde a una aplicacion de una directiva. La aplicacion de cliente puede residir en un dispositivo informatico de puerta de enlace, en un dispositivo informatico del cliente o en un dispositivo periferico.
El documento US 2003/140142 A1 se refiere al acceso a dispositivos privados que se separan de la red publica por cortafuegos y NATs sin reconfigurar los cortafuegos y NATs. Un dispositivo privado que desea proveer acceso a dispositivos externos establece una tubena privada virtual hasta un concentrador seguro, el cual incluye la funcionalidad de terminar tubenas virtuales y conmutar comunicaciones entre dichas tubenas y la red publica. El concentrador seguro asigna una direccion IP secundaria al dispositivo/concentrador privado y, por consiguiente, provee al dispositivo privado una apariencia de red que ahora se encuentra mas alla del cortafuegos/NAT. Los dispositivos externos acceden al dispositivo privado dirigiendo las comunicaciones a la direccion IP secundaria, cuyas comunicaciones se encaminan al concentrador seguro y se envfan por tunel a traves de la tubena al dispositivo privado. El dispositivo privado puede tambien restringir el acceso a traves de una lista de control de acceso que ejecuta el concentrador seguro.
Compendio de la invencion
5
10
15
20
25
30
35
40
Las realizaciones de la presente invencion proveen un metodo, aparato y sistema de red de transmision de paquetes, los cuales pueden transferir paquetes entre una red externa y una intranet en SSL VPN sin cambiar una estructura topologica de la intranet.
Segun un aspecto, una realizacion de la presente invencion provee un metodo:
un metodo de transmision de paquetes aplicable a una red privada virtual, VPN, del protocolo de capa de zocalos seguros, SSL, en donde un cliente puede acceder a una intranet mediante el uso de una funcion de extension de red despues de iniciar sesion en SSL VPN, que incluye:
recibir, por un servidor SSL VPN de la SSL VPN, mediante el uso de un tunel VPN, un paquete encriptado enviado por el cliente, donde el paquete encriptado se envfa por el cliente despues de que el cliente determina, segun una directiva de control preestablecida, que la directiva de control incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse y encripta el paquete a enviarse y la directiva de control incluye informacion sobre una direccion IP y un numero de puerto de un servidor de intranet de la intranet;
descifrar, por el servidor SSL VPN, el paquete encriptado; y
enviar, por el servidor SSL VPN, el paquete descifrado a un servidor de intranet correspondiente, donde una direccion IP de origen del paquete descifrado es una direccion IP de red externa.
Un metodo de transmision de paquetes aplicable a una red privada virtual, VPN, del protocolo de capa de zocalos seguros, SSL, en donde un cliente puede acceder a una intranet mediante el uso de una funcion de extension de red despues de iniciar sesion en SSL VPN, que incluye:
determinar, por un cliente, si una directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y un numero de puerto de destino de un paquete a enviarse, donde la directiva de control preestablecida incluye informacion sobre una direccion IP y un numero de puerto de un servidor de intranet de la intranet;
cuando la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, enviar, por el cliente, mediante el uso de un tunel VPN, el paquete a enviarse despues de la encriptacion a un servidor SSL VPN de la SSL VPN; y
cuando la directiva de control preestablecida no incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y el numero de puerto de destino del paquete a enviarse, enviar, por el cliente, el paquete a enviarse, donde el paquete a enviarse se envfa sin usar el tunel VPN.
Un servidor SSL VPN de SSL VPN, que incluye:
un medio configurado para transferir una directiva de control a un cliente cuando el cliente inicia sesion en la SSL VPN, en donde el cliente puede acceder a una intranet mediante el uso de una funcion de extension de red despues de iniciar sesion en SSL VPN, la directiva de control comprende informacion sobre una direccion IP y un numero de puerto de un servidor de intranet de la intranet;
una primera unidad de recepcion, configurada para recibir, mediante el uso de un tunel VPN, un paquete encriptado enviado por el cliente;
una unidad de descifrado, configurada para descifrar el paquete encriptado; y
una primera unidad de envfo, configurada para enviar el paquete descifrado al servidor de intranet, donde una direccion IP de origen del paquete descifrado es una direccion IP de red externa, una direccion IP de destino del paquete descifrado es la direccion IP del servidor de intranet y un numero de puerto de destino del paquete descifrado es el numero de puerto de un servidor de intranet;
en donde el servidor SSL VPN ademas comprende:
una segunda unidad de recepcion, configurada para recibir un paquete de respuesta del servidor de intranet;
una unidad de determinacion, configurada para determinar si una directiva de control preestablecida comprende una direccion IP y un numero de puerto que son iguales a una direccion IP de origen y a un numero de puerto de origen del paquete de respuesta;
una primera unidad de encriptacion, configurada para: cuando un resultado de la decision de la unidad de 5 determinacion es que la directiva de polttica de control preestablecida comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta, encriptar el paquete de respuesta; y
una segunda unidad de envfo, configurada para: cuando el resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida no comprende la direccion IP y el numero de puerto que son iguales a la 10 direccion IP de origen y al numero de puerto de origen del paquete de respuesta, transmitir, de forma transparente, el paquete de respuesta al cliente; y cuando el resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta, enviar el paquete de respuesta encriptado por la primera unidad de encriptacion al cliente.
15 Un cliente, que incluye:
una unidad de determinacion, configurada para determinar si una directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse, donde la directiva de control preestablecida incluye informacion sobre una direccion IP y un numero de puerto de un servidor de intranet que puede intercambiar paquetes con un servidor SSL 20 VPN;
una unidad de encriptacion, configurada para: cuando un resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, encriptar el paquete a enviarse; y
una unidad de envfo, configurada para: cuando el resultado de la decision de la unidad de determinacion es que la 25 directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, enviar, mediante el uso de un tunel VPN, el paquete encriptado por la unidad de encriptacion; y cuando el resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida no incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, enviar directamente el paquete a 30 enviarse, donde el paquete a enviarse se envfa sin usar el tunel VPN.
Un sistema de red, que incluye: el servidor SSL VPN y el cliente.
Segun la presente realizacion, la direccion IP y el numero de puerto de la directiva de control son la direccion IP y el numero de puerto del servidor de intranet correspondiente al servidor SSL VPN y el paquete del cliente recibido por el servidor SSL VPN desde el tunel VPN se envfa por el cliente despues de que el cliente determina que la directiva 35 de control incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse y encripta el paquete a enviarse. Dado que el servidor sSl VPN puede aprender el segmento de red del servidor de intranet que procesa dicho paquete (en este momento, el paquete es un paquete de un servicio protegido) segun la direccion IP de destino y el numero de puerto de destino del paquete, la direccion IP virtual no necesita asignarse, pero la direccion IP de origen del paquete permanece sin cambios, es 40 decir, la direccion IP de origen del paquete es aun una direccion IP de red externa. Como tal, el segmento dedicado de red privada para la comunicacion con la red externa en SSL VPN no necesita asignarse en el servidor de intranet. Por lo tanto, la topologfa de la red no necesita cambiarse.
Breve descripcion de los dibujos
Con el fin de ilustrar las soluciones tecnicas en las realizaciones de la presente invencion de forma mas clara, a 45 continuacion se describen brevemente los dibujos anexos requeridos para describir las realizaciones de la presente invencion. De manera aparente, los dibujos anexos en la siguiente descripcion muestran simplemente algunas realizaciones de la presente invencion y las personas con experiencia ordinaria en la tecnica pueden derivar otros dibujos a partir de dichos dibujos anexos sin esfuerzos creativos.
La Figura 1 es un diagrama esquematico de una transmision de paquete en la tecnica anterior;
5
10
15
20
25
30
35
la Figura 2 es un diagrama de flujo de un metodo de transmision de paquetes segun una realizacion de la presente invencion;
la Figura 3 es un diagrama de flujo de un metodo de transmision de paquetes segun otra realizacion de la presente invencion;
la Figura 4A es un diagrama de flujo de un metodo de transmision de paquetes segun otra realizacion de la presente invencion;
la Figura 4B es un diagrama esquematico de una transmision de paquetes segun otra realizacion de la presente invencion;
la Figura 5A, que se muestra como las Figuras 5A-A y 5A-B, es un diagrama de flujo de un metodo de transmision de paquetes segun otra realizacion de la presente invencion;
la Figura 5B es un diagrama esquematico de una transmision de paquetes segun otra realizacion de la presente invencion;
la Figura 6A es un diagrama esquematico estructural de un servidor SSL VPN segun una realizacion de la presente invencion;
la Figura 6B es un diagrama esquematico estructural de otro servidor SSL VPN segun una realizacion de la presente invencion;
la Figura 7 es un diagrama esquematico estructural de un cliente segun una realizacion de la presente invencion;
la Figura 8A es un diagrama esquematico estructural de un sistema de red segun una realizacion de la presente invencion; y
la Figura 8B es un diagrama esquematico estructural de un sistema de red segun otra realizacion de la presente invencion.
Descripcion detallada de las realizaciones
A continuacion se describen, de forma clara y completa, las soluciones tecnicas en las realizaciones de la presente invencion con referencia a los dibujos anexos en las realizaciones de la presente invencion.
La Figura 2 es un diagrama de flujo de un metodo de transmision de paquetes segun una realizacion de la presente invencion. El metodo incluye lo siguiente:
201: recibir, mediante el uso de un tunel VPN, un paquete encriptado enviado por un cliente.
El paquete encriptado se envfa por el cliente despues de que el cliente determina, segun una directiva de control preestablecida, que la directiva de control incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse y encripta el paquete a enviarse, la directiva de control incluye informacion sobre una direccion IP y un numero de puerto de un servidor de intranet que puede intercambiar paquetes con un servidor de red privada virtual con protocolo de capa de zocalos seguros SSL VPN y la direccion IP y el numero de puerto del servidor de intranet pueden identificar un segmento de red espedfico del servidor de intranet.
202: descifrar el paquete encriptado.
203: enviar el paquete descifrado a un servidor de intranet correspondiente.
El paquete descifrado incluye la direccion IP de destino y el numero de puerto de destino y una direccion IP de origen del paquete descifrado es una direccion IP de red externa.
El sujeto de ejecucion de cada etapa en el metodo puede ser un servidor SSL VPN.
5
10
15
20
25
30
35
40
45
50
El servidor SSL VPN en la presente realizacion se puede conectar a un dispositivo de enrutamiento y el servidor de intranet o el servidor SSL VPN se pueden conectar solamente al dispositivo de enrutamiento pero no al servidor de intranet. El dispositivo de enrutamiento puede ser un cortafuegos o un enrutador.
Cuando el servidor SSL VPN se conecta al dispositivo de enrutamiento y al servidor de intranet, un paquete enviado por el cliente (incluido un paquete enviado por el cliente mediante el uso del tunel VPN y un paquete enviado directamente sin usar el tunel VPN) se intercepta por el dispositivo de enrutamiento. El dispositivo de enrutamiento transmite, de forma transparente, el paquete interceptado al servidor SSL VPN. El servidor SSL VPN transmite, de forma transparente, el paquete recibido que se envfa sin usar el tunel VPN a un servidor de intranet correspondiente. Asimismo, el servidor SSL VPN puede ademas recibir un paquete de respuesta del servidor de intranet, enviar el paquete de respuesta despues de la encriptacion al cliente mediante el uso del tunel VPN cuando la directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de origen y a un numero de puerto de origen del paquete de respuesta y transmitir, de forma transparente, el paquete de respuesta al cliente cuando la directiva de control preestablecida no incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta.
Cuando el servidor SSL VPN se conecta al dispositivo de enrutamiento unicamente pero no al servidor de intranet, un paquete descifrado enviado por SSL VPN al servidor de intranet se intercepta por el dispositivo de enrutamiento. El dispositivo de enrutamiento envfa el paquete interceptado al servidor de intranet. El servidor SSL VPN recibe ademas un paquete de respuesta del servidor de intranet reenviado por el dispositivo de enrutamiento y envfa el paquete de respuesta despues de la encriptacion al cliente mediante el uso del tunel VPN. El paquete de respuesta se reenvfa al servidor SSL VPN despues de que el dispositivo de enrutamiento determina que la directiva de control incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de origen y a un numero de puerto de origen del paquete de respuesta.
Segun la presente realizacion, la direccion IP y el numero de puerto de la directiva de control son la direccion IP y el numero de puerto del servidor de intranet correspondiente al servidor SSL VPN y el paquete del cliente recibido por el servidor SSL VPN del tunel VPN se envfa por el cliente despues de que el cliente determina que la directiva de control incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse y encripta el paquete a enviarse. Dado que el servidor SSL VPN puede aprender el segmento de red del servidor de intranet que procesa dicho paquete (en este momento, el paquete es un paquete de un servicio protegido) segun la direccion Ip de destino y el numero de puerto de destino del paquete, la direccion IP virtual no necesita asignarse, pero la direccion IP de origen del paquete permanece sin cambios, es decir, la direccion IP de origen del paquete es aun una direccion IP de red externa. Como tal, el segmento dedicado de red privada para la comunicacion con la red externa en SSL VPN necesita asignarse en el servidor de intranet. Por lo tanto, la topologfa de la red no necesita cambiarse.
La Figura 3 es un diagrama de flujo de un metodo de transmision de paquetes segun una realizacion de la presente invencion. El metodo incluye lo siguiente:
301: determinar si una directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse, donde la directiva de control preestablecida incluye informacion sobre una direccion IP y un numero de puerto de un servidor de intranet que puede intercambiar paquetes con un servidor SSL VPN; cuando la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, ejecutar la etapa 302; y cuando la directiva de control preestablecida no incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, ejecutar la etapa 303.
El sujeto de ejecucion de cada etapa en la presente realizacion puede ser un cliente. La directiva de control del cliente se descarga por el cliente desde el servidor SSL VPN cuando el cliente inicia sesion en SSL VPN. La directiva de control en la presente realizacion incluye informacion sobre una direccion IP y un numero de puerto de un servidor de intranet que puede intercambiar paquetes con un servidor SSL VPN, y la direccion IP y el numero de puerto del servidor de intranet pueden identificar un segmento de red espedfico del servidor de intranet.
302: enviar, mediante el uso de un tunel VPN, el paquete a enviarse despues de la encriptacion. El procedimiento finaliza.
303: enviar el paquete a enviarse, donde el paquete a enviarse se envfa sin usar el tunel VPN.
El cliente determina si la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse. La direccion IP y el
5
10
15
20
25
30
35
40
45
50
numero de puerto de la directiva de control son la direccion IP y el numero de puerto del servidor de intranet que puede intercambiar paquetes con el servidor SSL VPN. Por lo tanto, si un resultado de la decision es no, ello indica que el paquete a enviarse es un paquete de un servicio publico. Dado que un paquete de un servicio publico no necesita enviarse en SSL VPN, el paquete se puede enviar directamente. En el presente caso, el paquete se envfa sin usar el tunel VPN. Si el resultado de la decision es sf, ello indica que el paquete a enviarse es un paquete de un servicio protegido. Dado que los paquetes de servicios protegidos necesitan transmitirse en SSL VPN, el paquete a enviarse se encripta y encapsula en una direccion IP de tunel antes de enviarse mediante el uso del tunel VPN.
Segun la presente realizacion, la direccion IP y el numero de puerto de la directiva de control son la direccion IP y el numero de puerto del servidor de intranet correspondiente al servidor SSL VPN y el cliente envfa, mediante el uso del tunel vPn, el paquete a enviarse despues de determinar que la directiva de control incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse y de encriptar el paquete de modo que el servidor SSL VPN puede aprender el segmento de red del servidor de intranet que procesa el paquete segun la direccion IP de destino y el numero de puerto de destino del paquete. Por lo tanto, la direccion IP virtual no necesita asignarse, pero la direccion IP de origen del paquete permanece sin cambios, es decir, la direccion IP de origen del paquete es aun una direccion IP de red externa. Como tal, el segmento dedicado de red privada para la comunicacion con la red externa en SSL VPN no necesita asignarse en el servidor de intranet. Por lo tanto, la topologfa de la red no necesita cambiarse.
Con el fin de ilustrar las soluciones tecnicas provistas en la presente invencion de forma mas clara, las siguientes dos realizaciones describen las soluciones tecnicas provistas en la presente invencion en detalle.
Como se muestra en la Figura 4A y la Figura 4B, una realizacion de la presente invencion provee un metodo de transmision de paquetes. En la presente realizacion, SSL VPN se conecta a un dispositivo de enrutamiento y a un servidor de intranet y el dispositivo de enrutamiento es un cortafuegos. El metodo de transmision de paquetes incluye lo siguiente:
401A: un cliente determina si una directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse; si no es asf, envfa directamente el paquete (es preciso remitirse al paquete enviado desde el Puerto B en la Figura 4B) al servidor de intranet sin usar un tunel VPN; y si es asf, encripta el paquete a enviarse (es preciso remitirse al paquete enviado desde el Puerto A en la Figura 4B), encapsula una direccion IP de tunel y luego envfa, mediante el uso del tunel VPN, el paquete a un servidor SSL VPN.
Se debe notar que, antes de esta etapa, cuando el cliente inicia sesion en SSL VPN, el cliente necesita descargar la directiva de control del servidor SSL VPN.
402A: un cortafuegos intercepta un paquete del cliente y envfa el paquete interceptado al servidor SSL VPN.
403A: el servidor SSL VPN descifra el paquete recibido del tunel VPN, envfa el paquete descifrado al servidor de intranet, donde una direccion IP de origen del paquete descifrado es una direccion IP de red externa, almacena una direccion IP de destino y un numero de puerto de destino del paquete descifrado y una relacion de mapeo entre la direccion IP de destino y el numero de puerto de destino y el tunel VPN (el tunel vPn es el tunel VPN para recibir el paquete) y transmite, de forma directa y transparente, un paquete recibido sin usar el tunel VPN al servidor de intranet.
404A: el servidor de intranet recibe el paquete producido por el servidor SSL VPN y devuelve un paquete de respuesta en respuesta al paquete recibido, donde una direccion IP de origen y un numero de puerto de origen del paquete de respuesta son la direccion IP de destino y el numero de puerto de destino del paquete recibido, respectivamente.
405A: el servidor SSL VPN recibe el paquete de respuesta del servidor de intranet y determina si la directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta; si es asf, determina un tunel VPN correspondiente a la direccion IP de origen y al numero de puerto de origen segun la relacion de mapeo almacenada en la etapa 403A y encripta el paquete de respuesta (por ejemplo, el paquete enviado desde el Puerto 1 en la Figura 4B) antes de enviar, mediante el uso del tunel VPN, el paquete al cliente; si no es asf, transmite, de forma directa y transparente, el paquete de respuesta (por ejemplo, el paquete enviado desde el Puerto 2 en la Figura 4B).
En la presente etapa, el servidor SSL VPN determina si la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta. Si la directiva de control preestablecida no incluye la direccion IP y el numero de puerto que son iguales a
5
10
15
20
25
30
35
40
45
la direccion IP de origen y al numero de puerto de origen del paquete de respuesta, ello indica que el paquete de respuesta es un paquete de un servicio publico. Dado que un paquete de un servicio publico no necesita enviarse en SSL VPN, el paquete se puede transmitir de forma directa y transparente. En el presente caso, el paquete de respuesta se transmite de forma directa y transparente. Si la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta, ello indica que el paquete de respuesta es un paquete de un servicio protegido. Dado que los paquetes de servicios protegidos necesitan transmitirse mediante el uso del tunel VPN, el paquete del servicio protegido se encripta y encapsula en una direccion IP de tunel antes de enviarse mediante el uso del tunel VPN.
406A: el cortafuegos intercepta un paquete del servidor SSL VPN y envfa el paquete interceptado al cliente.
Segun la presente realizacion, el cliente determina si el paquete a enviarse se envfa mediante el uso del tunel VPN determinando si la directiva de control incluye una direccion IP y un numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse. El servidor SSL VPN determina si el paquete de respuesta se envfa mediante el uso del tunel VPN determinando si la directiva de control incluye una direccion IP y un numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta. Dado que tanto el paquete a enviarse como el paquete de respuesta incluyen la direccion IP y el numero de puerto del servidor de intranet, lo cual permite al servidor SSL VPN aprender el segmento de red del servidor de intranet que intercambia paquetes consigo mismo, el servidor SSL VPN no necesita convertir la direccion IP cuando el cliente accede al servidor de intranet en SSL VPN, implementando la funcion de proveer proteccion de acceso SSL VPN sin cambiar la topologfa de la red del servidor de intranet.
Como se muestra en la Figura 5A y la Figura 5B, otra realizacion de la presente invencion provee un metodo de transmision de paquetes. En la presente realizacion, SSL VPN se conecta a un dispositivo de enrutamiento unicamente pero no a un servidor de intranet. El dispositivo de enrutamiento en la presente realizacion es un cortafuegos. El metodo de transmision de paquetes incluye, espedficamente, lo siguiente:
501A: un cliente determina si una directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse; si no es asf, envfa directamente el paquete (es preciso remitirse al paquete enviado desde el Puerto B en la Figura 5B) al servidor de intranet sin usar un tunel VPN; y, si es asf, encripta el paquete a enviarse (es preciso remitirse al paquete enviado desde el Puerto A en la Figura 4B), encapsula una direccion IP de tunel y luego envfa, mediante el uso del tunel VPN, el paquete a un servidor SSL VPN y es preciso dirigirse a 502A.
Se debe notar que, antes de esta etapa, cuando inicia sesion en SSL VPN, el cliente necesita descargar la directiva de control del servidor SSL VPN.
502A: el cortafuegos intercepta el paquete del cliente. Cuando se determina que el paquete interceptado se encapsula en una direccion IP de tunel (es decir, el paquete interceptado del cliente es un paquete enviado por el cliente mediante el uso del tunel VPN), es preciso dirigirse a 503A; cuando se determina que el paquete interceptado no se encapsula en una direccion IP de tunel (es decir, el paquete interceptado del cliente es un paquete enviado por el cliente sin usar el tunel VPN), es preciso dirigirse a 506A.
503A: el cortafuegos envfa el paquete interceptado al servidor SSL VPN. Es preciso dirigirse a 504A.
504A: el servidor SSL VPN envfa el paquete recibido desde el tunel VPN despues del descifrado, donde la direccion IP de origen del paquete descifrado es una direccion IP de red externa y almacena una relacion de mapeo entre una direccion IP de destino y un numero de puerto de destino del paquete descifrado y el tunel VPN (el tunel VPN es el tunel VPN para recibir el paquete). Es preciso dirigirse a 505A.
505A: el cortafuegos intercepta el paquete enviado por el servidor SSL VPN y lo envfa al servidor de intranet. Es preciso dirigirse a 507A.
506A: el cortafuegos envfa directamente el paquete interceptado al servidor de intranet. Es preciso dirigirse a 507A.
507A: el servidor de intranet recibe el paquete del cliente y envfa un paquete de respuesta en respuesta al paquete recibido, donde la direccion IP de origen y un numero de puerto de origen del paquete de respuesta son la direccion IP de destino y el numero de puerto de destino del paquete recibido, respectivamente. Es preciso dirigirse a 508A.
508A: el cortafuegos intercepta el paquete de respuesta del servidor de intranet y determina si la directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a la direccion IP de origen y al
numero de puerto de origen del paquete de respuesta. Si es asf, es preciso dirigirse a 509A; de lo contrario, es preciso dirigirse a 512A.
509A: el cortafuegos envfa el paquete de respuesta al servidor SSL VPN. Es preciso dirigirse a 510A.
Para mas detalles, es preciso remitirse al paquete enviado desde el Puerto 1 en la Figura 5B.
5 510A: el servidor SSL VPN determina un tunel VPN correspondiente a la direccion IP de origen y al numero de
puerto de origen segun la direccion IP de origen y el numero de puerto de origen del paquete de respuesta y la relacion de mapeo almacenada, encripta el paquete de respuesta y lo encapsula con una direccion IP de tunel antes de enviar el paquete al cliente mediante el uso del tunel VPN determinado. Es preciso dirigirse a 511A.
511A: el cortafuegos intercepta un paquete de respuesta encriptado enviado por el servidor SSL VPN y envfa el 10 paquete interceptado al cliente. El procedimiento finaliza.
512A: el cortafuegos transmite, de forma transparente, el paquete de respuesta del servidor de intranet al cliente.
Para mas detalles, es preciso remitirse al paquete enviado desde el Puerto 2 en la Figura 5B.
Segun la presente realizacion, el cliente determina si el paquete a enviarse se envfa mediante el uso del tunel VPN determinando si la directiva de control incluye una direccion IP y un numero de puerto que son iguales a la direccion 15 IP de destino y al numero de puerto de destino del paquete a enviarse. El cortafuegos determina si el paquete de respuesta se envfa mediante el uso del tunel VPN determinando si la directiva de control incluye una direccion IP y un numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta. Dado que tanto el paquete a enviarse como el paquete de respuesta incluyen la direccion IP y el numero de puerto del servidor de intranet, lo cual permite al servidor SSL VPN aprender el segmento de red del servidor de 20 intranet que intercambia paquetes consigo mismo, el servidor SSL VPN no necesita convertir la direccion IP cuando el cliente accede al servidor de intranet en SSL VPN, implementando la funcion de proveer proteccion de acceso SSL VPN sin cambiar la topologfa de la red del servidor de intranet. Ademas, segun el presente metodo, el servidor SSL VPN se despliega en forma de desvfo detras del cortafuegos, de modo que el cortafuegos puede todavfa enviar, de forma directa, paquetes de servicios publicos al servidor de intranet cuando el servidor SSL VPN es 25 anormal y evitar asf que dichos servicios publicos se interrumpan.
Como se muestra en la Figura 6A y la Figura 6B, una realizacion de la presente invencion provee un servidor SSL VPN, donde el servidor SSL VPN puede incluir:
una primera unidad de recepcion 601, configurada para recibir, mediante el uso de un tunel VPN, un paquete encriptado enviado por un cliente;
30 el paquete encriptado se envfa por el cliente despues de que el cliente determina, segun una directiva de control preestablecida, que la directiva de control incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse y encripta el paquete a enviarse, y la directiva de control incluye informacion sobre una direccion IP y un numero de puerto de un servidor de intranet que puede intercambiar paquetes con un servidor de red privada virtual con protocolo de capa de zocalos 35 seguros SSL VPN;
una unidad de descifrado 602, configurada para descifrar el paquete encriptado; y
una primera unidad de envfo 603, configurada para enviar el paquete descifrado a un servidor de intranet correspondiente, donde una direccion IP de origen del paquete descifrado es una direccion IP de red externa.
De manera espedfica, la primera unidad de recepcion 601 se configura ademas para recibir, sin usar el tunel VPN, 40 un paquete enviado por un cliente; la primera unidad de envfo 603 se configura ademas para transmitir, de forma transparente, el paquete recibido sin usar el tunel VPN a un servidor de intranet correspondiente.
Asimismo, en un caso, como se muestra en la Figura 6A, el servidor SSL VPN segun la presente realizacion puede ademas incluir:
una segunda unidad de recepcion 604, configurada para recibir un paquete de respuesta del servidor de intranet;
5
10
15
20
25
30
35
40
45
una unidad de determinacion 605, configurada para determinar si la directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de origen y a un numero de puerto de origen del paquete de respuesta;
una primera unidad de encriptacion 606, configurada para encriptar el paquete de respuesta cuando un resultado de la decision de la unidad de determinacion 605 es que la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta; y
una segunda unidad de envfo 607, configurada para transmitir, de forma transparente, el paquete de respuesta al cliente cuando el resultado de la decision de la unidad de determinacion 605 es no; y enviar el paquete de respuesta encriptado por la primera unidad de encriptacion 606 al cliente cuando el resultado de la decision de la unidad de determinacion 605 es su
Asimismo, la presente realizacion puede ademas incluir:
una unidad de almacenamiento 608, configurada para almacenar una relacion de mapeo entre la direccion IP de destino y el numero de puerto de destino del paquete descifrado y el tunel VPN.
De manera espedfica, la segunda unidad de envfo 607 envfa el paquete de respuesta encriptado por la primera unidad de encriptacion 606 al cliente mediante el uso del tunel VPN correspondiente a la direccion IP de origen y al numero de puerto de origen segun la relacion de mapeo almacenada por la unidad de almacenamiento 608 cuando el resultado de la decision de la unidad de determinacion 605 es sr
Asimismo, en otro caso, como se muestra en la Figura 6B, el servidor SSL VPN segun la presente realizacion puede ademas incluir:
una unidad de almacenamiento 608, configurada para almacenar una relacion de mapeo entre la direccion IP de destino y el numero de puerto de destino del paquete descifrado y el tunel VPN;
una tercera unidad de recepcion 609, configurada para recibir un paquete de respuesta del servidor de intranet reenviado por un dispositivo de enrutamiento, donde el paquete de respuesta se reenvfa al servidor SSL VPN por el dispositivo de enrutamiento despues de que el dispositivo de enrutamiento determina, segun una directiva de control preestablecida, que la directiva de control incluye una direccion IP y un numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta;
una segunda unidad de encriptacion 610, configurada para encriptar el paquete de respuesta; y
una tercera unidad de envfo 611, configurada para enviar el paquete de respuesta encriptado por la segunda unidad de encriptacion 610 al cliente.
De manera espedfica, la tercera unidad de envfo 611 puede enviar el paquete de respuesta encriptado por la segunda unidad de encriptacion 610 al cliente mediante el uso del tunel VPN correspondiente a la direccion IP de origen y al numero de puerto de origen segun la relacion de mapeo almacenada por la unidad de almacenamiento 608.
Segun la presente realizacion, la direccion IP y el numero de puerto de la directiva de control son la direccion IP y el numero de puerto del servidor de intranet correspondiente al servidor SSL VPN y el paquete del cliente recibido por el servidor SSL VPN desde el tunel VPN se envfa por el cliente despues de que el cliente determina que la directiva de control incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse y encripta el paquete a enviarse. Dado que el servidor sSl VPN puede aprender el segmento de red del servidor de intranet que procesa dicho paquete (en este momento, el paquete es un paquete de un servicio protegido) segun la direccion Ip de destino y el numero de puerto de destino del paquete, la direccion IP virtual no necesita asignarse, pero la direccion IP de origen del paquete permanece sin cambios, es decir, la direccion IP de origen del paquete es aun una direccion IP de red externa. Como tal, el segmento dedicado de red privada para la comunicacion con la red externa en SSL VPN no necesita asignarse en el servidor de intranet. Por lo tanto, la topologfa de la red no necesita cambiarse.
Como se muestra en la Figura 7, una realizacion de la presente invencion provee un cliente, el cual incluye:
una unidad de determinacion 701, configurada para determinar si una directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse, donde la directiva de control preestablecida incluye informacion sobre una direccion IP y un numero de puerto de un servidor de intranet que puede intercambiar paquetes con un servidor SSL 5 VPN;
una unidad de encriptacion 702, configurada para: cuando un resultado de la decision de la unidad de determinacion 701 es que la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, encriptar el paquete a enviarse; y
una unidad de envfo 703, configurada para: enviar, mediante el uso de un tunel VPN, el paquete encriptado por la 10 unidad de encriptacion 702; o cuando el resultado de la decision de la unidad de determinacion 701 es que la directiva de control preestablecida no incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, enviar directamente el paquete a enviarse, donde el paquete a enviarse se envfa sin usar el tunel VPN.
El cliente determina si la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son 15 iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse. La direccion IP y el numero de puerto de la directiva de control son la direccion IP y el numero de puerto del servidor de intranet que puede intercambiar paquetes con el servidor SSL VPN. Por lo tanto, si un resultado de la decision es no, ello indica que el paquete a enviarse es un paquete de un servicio publico. Dado que un paquete de un servicio publico no necesita enviarse en SSL VPN, el paquete se puede enviar directamente. En el presente caso, el paquete se envfa 20 sin usar el tunel VPN. Si el resultado de la decision es sf, ello indica que el paquete a enviarse es un paquete de un servicio protegido. Dado que los paquetes de servicios protegidos necesitan transmitirse en SSL VPN, el paquete a enviarse se encripta y encapsula en una direccion IP de tunel antes de enviarse mediante el uso del tunel VPN.
Segun la presente realizacion, la direccion IP y el numero de puerto de la directiva de control son la direccion IP y el numero de puerto del servidor de intranet correspondiente al servidor SSL VPN y el cliente envfa el paquete a 25 enviarse usando el tunel VPN despues de determinar que la directiva de control incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse y de encriptar el paquete de modo que el servidor SSL VPN puede aprender el segmento de red del servidor de intranet que procesa el paquete segun la direccion IP de destino y el numero de puerto de destino del paquete. Por lo tanto, la direccion IP virtual no necesita asignarse, pero la direccion IP de origen del paquete permanece sin cambios, es 30 decir, la direccion IP de origen del paquete es aun una direccion IP de red externa. Como tal, el segmento dedicado de red privada para la comunicacion con la red externa en SSL VPN necesita asignarse en el servidor de intranet. Por lo tanto, la topologfa de la red no necesita cambiarse.
Como se muestra en la Figura 8A y la Figura 8B, una realizacion de la presente invencion provee un sistema de red, que incluye un cliente 81 y un servidor SSL VPN 82.
35 El cliente 81 se configura para: determinar si una directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse, donde la directiva de control preestablecida incluye informacion sobre una direccion IP y un numero de puerto de un servidor de intranet que puede intercambiar paquetes con un servidor SSL VPN; cuando la directiva de control preestablecida incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al 40 numero de puerto de destino del paquete a enviarse, enviar, mediante el uso de un tunel VPN, el paquete a enviarse despues de la encriptacion; y cuando la directiva de control preestablecida no incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, enviar directamente el paquete a enviarse, donde el paquete a enviarse directamente enviado no se envfa usando el tunel VPN.
45 El servidor SSL VPN 82 se configura para: recibir un paquete encriptado enviado por el cliente usando el tunel VPN, donde el paquete encriptado se envfa por el cliente despues de que el cliente determina, segun la directiva de control preestablecida, que la directiva de control incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse y encripta el paquete a enviarse, y la directiva de control comprende informacion sobre una direccion IP y un numero de puerto de un servidor de 50 intranet que puede intercambiar paquetes con un servidor SSL VPN de red privada virtual de protocolo de capa de zocalos de seguridad; enviar el paquete descifrado a un servidor de intranet correspondiente, donde una direccion IP de origen del paquete descifrado es una direccion IP de red externa; recibir sin usar un tunel VPN el paquete enviado por el cliente; y transmitir, de forma transparente, el paquete recibido sin usar el tunel VPN a un servidor de intranet correspondiente.
Como se muestra en la Figura 8A, el sistema de red incluye ademas un servidor de intranet 83 y un dispositivo de enrutamiento 84. En el presente caso, el servidor SSL VPN 82 se despliega entre el dispositivo de enrutamiento 84 y el servidor de intranet 83 en una manera de trayecto directo.
El dispositivo de enrutamiento se puede configurar para interceptar un paquete del cliente y enviar el paquete 5 interceptado al servidor SSL VPN 82.
El paquete interceptado incluye el paquete enviado por el cliente 81 mediante el uso del tunel VPN y el paquete enviado sin usar el tunel VPN.
El servidor SSL VPN 82 se configura ademas para recibir un paquete de respuesta del servidor de intranet 83, enviar, mediante el uso del tunel VPN, el paquete de respuesta despues de la encriptacion al cliente cuando la 10 directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de origen y a un numero de puerto de origen del paquete de respuesta y transmitir, de forma transparente, el paquete de respuesta al cliente cuando la directiva de control preestablecida no incluye la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta.
O, como se muestra en la Figura 8B, el sistema de red incluye ademas un servidor de intranet 93 y un dispositivo de 15 enrutamiento 94. En el presente caso, el servidor SSL VPN 82 se conecta unicamente al dispositivo de enrutamiento 94 pero no a un servidor de intranet 93.
El dispositivo de enrutamiento 94 se configura para: interceptar un paquete del cliente; cuando el paquete interceptado es un paquete enviado por el cliente usando el tunel VPN, enviar el paquete interceptado al servidor SSL VPN e interceptar un paquete descifrado enviado por el servidor SSL VPN y enviarlo al servidor de intranet.
20 El dispositivo de enrutamiento se configura ademas para interceptar un paquete de respuesta del servidor de intranet y determinar si una directiva de control preestablecida incluye una direccion IP y un numero de puerto que son iguales a una direccion IP de origen y a un numero de puerto de origen del paquete de respuesta; si es asf, reenviar el paquete de respuesta al servidor SSL VPN; de lo contrario, transmitir, de forma transparente, el paquete de respuesta al cliente.
25 El servidor SSL VPN se configura ademas para recibir el paquete de respuesta del servidor de intranet reenviado por el dispositivo de enrutamiento y enviar, mediante el uso del tunel VPN, el paquete de respuesta despues de la encriptacion al cliente.
El dispositivo de enrutamiento en la presente realizacion puede ser un cortafuegos o un enrutador.
Segun la presente realizacion, el cliente determina si el paquete a enviarse se envfa mediante el uso del tunel VPN 30 determinando si la directiva de control incluye una direccion IP y un numero de puerto que son iguales a la direccion
IP de destino y al numero de puerto de destino del paquete a enviarse. El servidor SSL VPN o el dispositivo de
enrutamiento determinan si el paquete de respuesta se envfa mediante el uso del tunel VPN determinando si la directiva de control incluye una direccion IP y un numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta. Dado que tanto el paquete a enviarse como el paquete de 35 respuesta incluyen la direccion IP y el numero de puerto del servidor de intranet, lo cual permite al servidor SSL VPN aprender el segmento de red del servidor de intranet que intercambia paquetes consigo mismo, el servidor SSL VPN no necesita convertir la direccion IP cuando el cliente accede al servidor de intranet mediante el uso de SSL VPN, implementando la funcion de proveer proteccion de acceso SSL VPN sin cambiar la topologfa de la red del servidor de intranet. Ademas, segun el presente metodo, el servidor SSL VPN se despliega en forma de desvfo detras del 40 cortafuegos, de modo que el cortafuegos puede todavfa enviar, de manera directa, paquetes de servicios publicos al
servidor de intranet cuando el servidor SSL VPN es anormal y evitar asf que dichos servicios publicos se
interrumpan.
Las personas con experiencia ordinaria en la tecnica pueden comprender que todas o una parte de las etapas del metodo provisto en las realizaciones de mas arriba se pueden implementar por un programa que ordena el hardware 45 relevante. El programa se puede almacenar en un medio de almacenamiento legible por ordenador, por ejemplo, una memoria de solo lectura, un disco magnetico o un disco optico.

Claims (11)

  1. REIVINDICACIONES
    1. Un metodo de transmision de paquetes aplicable a una red privada virtual, VPN, del protocolo de capa de zocalos seguros, SSL, en donde un cliente puede acceder a una intranet mediante el uso de una funcion de extension de red despues de iniciar sesion en SSL VPN, que comprende:
    5 recibir (201), por un servidor SSL VPN de SSL VPN, mediante el uso de un tunel de Red Privada Virtual, VPN, un paquete encriptado enviado por el cliente, en donde el paquete encriptado se envfa por el cliente despues de que el cliente determina, segun una directiva de control preestablecida, que la directiva de control comprende una direccion de Protocolo de Internet, IP, y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse y encripta el paquete a enviarse y la directiva de control comprende 10 informacion sobre una direccion IP y un numero de puerto de un servidor de intranet de la intranet; descifrar (202), por el servidor SSL VPN, el paquete encriptado; y
    enviar (203), por el servidor SSL VPN, el paquete descifrado a un servidor de intranet correspondiente, en donde una direccion IP de origen del paquete descifrado es una direccion IP de red externa.
  2. 2. El metodo segun la reivindicacion 1, que ademas comprende:
    15 recibir, sin usar el tunel VPN, un paquete enviado por el cliente; y
    transmitir, de forma transparente, el paquete recibido sin usar el tunel VPN a un servidor de intranet correspondiente.
  3. 3. El metodo segun la reivindicacion 1, que ademas comprende: recibir un paquete de respuesta del servidor de intranet;
    cuando la directiva de control preestablecida comprende la direccion IP y el numero de puerto que son iguales a una 20 direccion IP de origen y a un numero de puerto de origen del paquete de respuesta, enviar, mediante el uso del tunel VPN, el paquete de respuesta despues de la encriptacion al cliente; y
    cuando la directiva de control preestablecida no comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta, transmitir, de forma transparente, el paquete de respuesta al cliente.
    25 4. El metodo segun la reivindicacion 1, que ademas comprende:
    recibir un paquete de respuesta del servidor de intranet reenviado por un dispositivo de enrutamiento, en donde el paquete de respuesta se reenvfa al servidor SSL VPN por el dispositivo de enrutamiento despues de que el dispositivo de enrutamiento determina, segun una directiva de control preestablecida, que la directiva de control comprende una direccion IP y un numero de puerto que son iguales a una direccion IP de origen y a un numero de 30 puerto de origen del paquete de respuesta; y
    enviar, mediante el uso del tunel VPN, el paquete de respuesta despues de la encriptacion al cliente.
  4. 5. El metodo segun la reivindicacion 3 o 4, que ademas comprende:
    almacenar una relacion de mapeo entre la direccion IP de destino y el numero de puerto de destino del paquete descifrado y el tunel VPN;
    35 enviar, mediante el uso del tunel VPN, el paquete de respuesta despues de la encriptacion al cliente, que comprende:
    segun la direccion IP de origen y el numero de puerto de origen del paquete de respuesta y la relacion de mapeo almacenada, enviar el paquete de respuesta despues de la encriptacion al cliente usando el tunel VPN correspondiente a la direccion IP de origen y al numero de puerto de origen.
    40 6. Un servidor de Red Privada Virtual, VPN, del Protocolo de Capa de Zocalos Seguros, SSL, SSL VPN, que
    comprende:
    5
    10
    15
    20
    25
    30
    35
    40
    un medio configurado para transferir una directiva de control a un cliente cuando el cliente inicia sesion en SSL VPN, en donde el cliente puede acceder a una intranet mediante el uso de una funcion de extension de red despues de iniciar sesion en SSL VPN, la directiva de control comprende informacion sobre una direccion IP y un numero de puerto de un servidor de intranet de la intranet;
    una primera unidad de recepcion (601), configurada para recibir, mediante el uso de un tunel VPN, un paquete encriptado enviado por el cliente;
    una unidad de descifrado (602), configurada para descifrar el paquete encriptado; y
    una primera unidad de envfo (603), configurada para enviar el paquete descifrado al servidor de intranet, en donde una direccion IP de origen del paquete descifrado es una direccion IP de red externa, una direccion IP de destino del paquete descifrado es la direccion IP del servidor de intranet y un numero de puerto de destino del paquete descifrado es el numero de puerto de un servidor de intranet;
    en donde el servidor SSL VPN ademas comprende:
    una segunda unidad de recepcion (604), configurada para recibir un paquete de respuesta del servidor de intranet;
    una unidad de determinacion (605), configurada para determinar si una directiva de control preestablecida comprende una direccion IP y un numero de puerto que son iguales a una direccion IP de origen y a un numero de puerto de origen del paquete de respuesta;
    una primera unidad de encriptacion (606), configurada para: cuando un resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero puerto de origen del paquete de respuesta, encriptar el paquete de respuesta; y
    una segunda unidad de envfo (607), configurada para: cuando el resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida no comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta, transmitir, de forma transparente, el paquete de respuesta al cliente; y cuando el resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta, enviar el paquete de respuesta encriptado por la primera unidad de encriptacion al cliente.
  5. 7. El servidor SSL VPN segun la reivindicacion 6, en donde:
    la primera unidad de recepcion se configura ademas para recibir, sin usar el tunel VPN, un paquete enviado por el cliente; y
    la primera unidad de envfo se configura ademas para transmitir, de forma transparente, el paquete recibido sin usar el tunel VPN a un servidor de intranet correspondiente.
  6. 8. El servidor SSL VPN segun la reivindicacion 6, que ademas comprende:
    una tercera unidad de recepcion (609), configurada para recibir un paquete de respuesta del servidor de intranet reenviado por un dispositivo de enrutamiento, en donde el paquete de respuesta se reenvfa al servidor SSL VPN por el dispositivo de enrutamiento despues de que el dispositivo de enrutamiento determina, segun la directiva de control preestablecida, que la directiva de control comprende una direccion IP y un numero de puerto que son iguales a una direccion IP de origen y a un numero de puerto de origen del paquete de respuesta;
    una segunda unidad de encriptacion (610), configurada para encriptar el paquete de respuesta; y
    una tercera unidad de envfo (611), configurada para enviar el paquete de respuesta encriptado por la segunda unidad de encriptacion al cliente.
  7. 9. El servidor SSL VPN segun la reivindicacion 8 o 9, que ademas comprende:
    5
    10
    15
    20
    25
    30
    35
    40
    una unidad de almacenamiento (608), configurada para almacenar una relacion de mapeo entre la direccion IP de destino y el numero de puerto de destino del paquete descifrado por la unidad de descifrado y el tunel VPN;
    en donde, el paquete de respuesta encriptado se envfa usando el tunel VPN correspondiente a la direccion IP de origen y al numero de puerto de origen del paquete de respuesta encriptado al cliente segun la relacion de mapeo almacenada por la unidad de almacenamiento.
  8. 10. Un metodo de transmision de paquetes aplicable a una red privada virtual, VPN, del protocolo de capa de zocalos seguros, SSL, en donde un cliente puede acceder a una intranet mediante el uso de una funcion de extension de red despues de iniciar sesion en SSL VPN, que comprende:
    determinar (301), por un cliente, si una directiva de control preestablecida comprende una direccion de Protocolo de Internet, IP, y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse, en donde la directiva de control preestablecida comprende informacion sobre una direccion IP y un numero de puerto de un servidor de intranet de la intranet;
    cuando la directiva de control preestablecida comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, enviar (302), por el cliente, mediante el uso de un tunel VPN, el paquete a enviarse despues de la encriptacion a un servidor SSL VPN de SSL VPN; y
    cuando la directiva de control preestablecida no comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, enviar (303), por el cliente, el paquete a enviarse, en donde el paquete a enviarse se envfa sin usar el tunel VPN.
  9. 11. El metodo de transmision de paquetes segun la reivindicacion 10, que ademas comprende: descargar la directiva de control del servidor SSL VPN cuando se inicia sesion en SSL VPN.
  10. 12. Un cliente, que comprende:
    una unidad de determinacion (701), configurada para determinar si una directiva de control preestablecida comprende una direccion de Protocolo de Internet, IP, y un numero de puerto que son iguales a una direccion IP de destino y a un numero de puerto de destino de un paquete a enviarse, en donde la directiva de control preestablecida comprende informacion sobre una direccion IP y un numero de puerto de un servidor de intranet que puede intercambiar un paquete con un servidor de Red Privada Virtual, VPN, del Protocolo de Capa de Zocalos Seguros, SSL;
    una unidad de encriptacion (702), configurada para: cuando un resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, encriptar el paquete a enviarse; y
    una unidad de envfo (703), configurada para: cuando el resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, enviar, mediante el uso de un tunel VPN, el paquete encriptado por la unidad de encriptacion; y cuando el resultado de la decision de la unidad de determinacion es que la directiva de control preestablecida no comprende la direccion IP y el numero de puerto que son iguales a la direccion IP de destino y al numero de puerto de destino del paquete a enviarse, enviar directamente el paquete a enviarse, en donde el paquete a enviarse se envfa sin usar el tunel VPN.
  11. 13. Un sistema de red, que comprende: el servidor SSL VPN segun cualquiera de las reivindicaciones 6 a 9 y el cliente segun la reivindicacion 12.
ES10844465.4T 2010-01-27 2010-12-09 Método, dispositivo y sistema de red para transmitir datagrama Active ES2626251T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201010104324 2010-01-27
CN2010101043241A CN101778045B (zh) 2010-01-27 2010-01-27 报文传输方法、装置及网络系统
PCT/CN2010/079593 WO2011091688A1 (zh) 2010-01-27 2010-12-09 报文传输方法、装置及网络系统

Publications (1)

Publication Number Publication Date
ES2626251T3 true ES2626251T3 (es) 2017-07-24

Family

ID=42514376

Family Applications (1)

Application Number Title Priority Date Filing Date
ES10844465.4T Active ES2626251T3 (es) 2010-01-27 2010-12-09 Método, dispositivo y sistema de red para transmitir datagrama

Country Status (5)

Country Link
US (1) US8713305B2 (es)
EP (1) EP2530883B1 (es)
CN (1) CN101778045B (es)
ES (1) ES2626251T3 (es)
WO (1) WO2011091688A1 (es)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101778045B (zh) * 2010-01-27 2012-07-04 成都市华为赛门铁克科技有限公司 报文传输方法、装置及网络系统
CN104168173B (zh) * 2010-08-20 2018-01-16 华为技术有限公司 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
CN102377629B (zh) 2010-08-20 2014-08-20 华为技术有限公司 终端穿越私网与ims核心网中服务器通信的方法、装置及网络系统
CN101951378B (zh) * 2010-09-26 2013-09-18 北京品源亚安科技有限公司 用于ssl vpn的协议栈系统及数据处理方法
US9137210B1 (en) * 2012-02-21 2015-09-15 Amazon Technologies, Inc. Remote browsing session management
AU2013230989B2 (en) * 2012-03-07 2015-12-03 Google Technology Holdings LLC Policy for secure packet transmission using required node paths and cryptographic signatures
CN102664896A (zh) * 2012-04-28 2012-09-12 郑州信大捷安信息技术股份有限公司 基于硬件加密的安全网络传输系统及传输方法
CN102904867A (zh) * 2012-05-12 2013-01-30 杭州迪普科技有限公司 一种vpn权限控制方法及装置
CN102917081B (zh) * 2012-09-27 2016-02-17 汉柏科技有限公司 Vpn客户端ip地址的分配方法、报文传输方法及vpn服务器
CN103067282B (zh) * 2012-12-28 2017-07-07 华为技术有限公司 数据备份方法、装置及系统
US8848726B1 (en) 2013-01-24 2014-09-30 The Intellisis Corporation I/O data interface for packet processors
US9350656B2 (en) 2013-01-24 2016-05-24 Knuedge Incorporated Systems and methods for packet routing
CN104811507B (zh) * 2014-01-26 2018-05-01 中国移动通信集团湖南有限公司 一种ip地址获取方法及装置
CN105337831B (zh) * 2014-08-08 2018-10-09 华为技术有限公司 虚拟专用网络的实现方法及客户端设备
CN104184646B (zh) * 2014-09-05 2017-12-22 深信服网络科技(深圳)有限公司 Vpn网络数据交互方法和系统及其网络数据交互设备
US20160226815A1 (en) * 2015-01-30 2016-08-04 Huawei Technologies Co., Ltd. System and method for communicating in an ssl vpn
CN105991442B (zh) * 2015-04-30 2019-10-11 杭州迪普科技股份有限公司 报文转发方法及装置
WO2016205998A1 (zh) * 2015-06-23 2016-12-29 华为技术有限公司 一种数据传输方法、设备及系统
CN105979202B (zh) * 2016-04-22 2020-01-14 浙江宇视科技有限公司 一种数据传输方法及装置
CN106101007B (zh) * 2016-05-24 2019-05-07 杭州迪普科技股份有限公司 处理报文的方法及装置
CN107517150B (zh) * 2016-06-17 2020-08-04 深圳市信锐网科技术有限公司 基于虚拟专用网络vpn的内网资源访问方法及装置
CN105933221A (zh) * 2016-07-01 2016-09-07 北京汉格尚华科技发展有限公司 互联网反向路由控制器
CN106230870B (zh) * 2016-10-13 2019-04-09 成都东方盛行电子有限责任公司 私有协议文件传输系统与方法
CN106549849B (zh) * 2016-10-27 2019-08-06 杭州迪普科技股份有限公司 报文的处理方法及装置
CN106878133B (zh) * 2016-12-15 2019-11-08 新华三技术有限公司 报文转发方法及装置
US10657580B2 (en) 2017-01-27 2020-05-19 Walmart Apollo, Llc System for improving in-store picking performance and experience by optimizing tote-fill and order batching of items in retail store and method of using same
US10572932B2 (en) 2017-01-27 2020-02-25 Walmart Apollo, Llc System for providing optimal shopping routes in retail store and method of using same
CN108718268B (zh) * 2017-04-07 2022-01-28 格尔软件股份有限公司 一种提高vpn服务端并发处理性能的方法
US10825076B2 (en) 2017-04-17 2020-11-03 Walmart Apollo Llc Systems to fulfill a picked sales order and related methods therefor
US10846645B2 (en) 2017-04-28 2020-11-24 Walmart Apollo, Llc Systems and methods for real-time order delay management
US10810542B2 (en) 2017-05-11 2020-10-20 Walmart Apollo, Llc Systems and methods for fulfilment design and optimization
US11126953B2 (en) 2017-06-14 2021-09-21 Walmart Apollo, Llc Systems and methods for automatically invoking a delivery request for an in-progress order
CN107547509B (zh) * 2017-06-27 2020-10-13 新华三技术有限公司 一种报文转发方法及装置
US11126954B2 (en) 2017-06-28 2021-09-21 Walmart Apollo, Llc Systems and methods for automatically requesting delivery drivers for online orders
US10909612B2 (en) 2017-07-13 2021-02-02 Walmart Apollo Llc Systems and methods for determining an order collection start time
US10764284B2 (en) * 2017-09-07 2020-09-01 Verizon Patent And Licensing Inc. Method and system for dynamic data flow enforcement
US11095617B2 (en) * 2017-12-04 2021-08-17 Nicira, Inc. Scaling gateway to gateway traffic using flow hash
CN108109625B (zh) * 2017-12-21 2021-07-20 北京华夏电通科技股份有限公司 手机语音识别内外网传输系统及方法
CN109525478B (zh) * 2018-12-17 2021-08-24 杭州迪普科技股份有限公司 一种ssl vpn连接方法及装置
US10581865B1 (en) * 2019-02-20 2020-03-03 Xage Security, Inc. Inline filtering to secure access and data between user and application to device and between device to device
CN110808975B (zh) * 2019-10-31 2021-11-19 广州润铂晟信息技术有限公司 敏感数据传输方法、装置、计算机设备和存储介质
US10805069B1 (en) 2019-11-12 2020-10-13 Xage Security, Inc. Multi-layer ledgers for multi-party secure data governance
US11657347B2 (en) 2020-01-31 2023-05-23 Walmart Apollo, Llc Systems and methods for optimization of pick walks
US11868958B2 (en) 2020-01-31 2024-01-09 Walmart Apollo, Llc Systems and methods for optimization of pick walks
CN111405018B (zh) * 2020-03-10 2023-04-07 创新奇智(上海)科技有限公司 一种文件传输方法、装置、电子设备及存储介质
US11902264B2 (en) 2020-06-22 2024-02-13 Vmware, Inc. Path selection for data packets encrypted based on an IPSEC protocol
CN112953808B (zh) * 2021-03-05 2022-07-08 网宿科技股份有限公司 Vpn数据传输方法、装置及服务器
US11863514B2 (en) 2022-01-14 2024-01-02 Vmware, Inc. Performance improvement of IPsec traffic using SA-groups and mixed-mode SAs
US11956213B2 (en) 2022-05-18 2024-04-09 VMware LLC Using firewall policies to map data messages to secure tunnels

Family Cites Families (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1180583C (zh) * 2001-09-03 2004-12-15 华为技术有限公司 一种宽带网络虚拟专用网的实现方法
US20030140142A1 (en) * 2002-01-18 2003-07-24 David Marples Initiating connections through firewalls and network address translators
BR0318455A (pt) * 2003-08-29 2006-09-12 Nokia Corp método, sistema e servidor de porta de comunicação para prover as regras para o acesso sem fio em uma conexão de túnel segura
WO2005069577A1 (en) * 2004-01-15 2005-07-28 Interactive People Unplugged Ab Device to facilitate the deployment of mobile virtual private networks for medium/large corporate networks
CN1561040A (zh) 2004-02-24 2005-01-05 武汉虹信通信技术有限责任公司 基于gprs/cdma2000 1x的通用无线透明vpn网桥系统传输方法
AU2005266945A1 (en) * 2004-07-23 2006-02-02 Citrix Systems, Inc. A method and systems for securing remote access to private networks
US20070248085A1 (en) * 2005-11-12 2007-10-25 Cranite Systems Method and apparatus for managing hardware address resolution
US7840701B2 (en) * 2007-02-21 2010-11-23 Array Networks, Inc. Dynamic system and method for virtual private network (VPN) packet level routing using dual-NAT method
US8661524B2 (en) * 2007-12-14 2014-02-25 Novell, Inc. Selective desktop control of virtual private networks (VPN's) in a multiuser environment
CN101572643B (zh) * 2008-04-30 2011-06-22 成都市华为赛门铁克科技有限公司 实现私网之间转发数据的方法和系统
CN101778045B (zh) * 2010-01-27 2012-07-04 成都市华为赛门铁克科技有限公司 报文传输方法、装置及网络系统

Also Published As

Publication number Publication date
EP2530883B1 (en) 2017-04-19
EP2530883A4 (en) 2013-03-27
EP2530883A1 (en) 2012-12-05
WO2011091688A1 (zh) 2011-08-04
US8713305B2 (en) 2014-04-29
US20120303949A1 (en) 2012-11-29
CN101778045A (zh) 2010-07-14
CN101778045B (zh) 2012-07-04

Similar Documents

Publication Publication Date Title
ES2626251T3 (es) Método, dispositivo y sistema de red para transmitir datagrama
US20210352017A1 (en) Virtual private network (vpn)-as-a-service with load- balanced tunnel endpoints
US11411996B2 (en) Virtual private network (VPN)-as-a-service with delivery optimizations while maintaining end-to-end data security
JP6009553B2 (ja) インターネットプロトコルネットワーク上でイーサネットパケットをルーティングするための集中型システム
US8223770B2 (en) Network virtualization
US7738457B2 (en) Method and system for virtual routing using containers
ES2596177T3 (es) Método, equipo y sistema de red para hacer comunicar un terminal con un servidor de infraestructura de un subsistema multimedia IP (IMS) atravesando una red privada
GB2565458A (en) Computer system architecture and computer network infrastructure comprising a plurality of said type of computer system architectures
US9838220B2 (en) Communication method, communication apparatus and non-transitory readable medium
US11831607B2 (en) Secure private traffic exchange in a unified network service
ES2827221T3 (es) Sistemas y procedimientos para proporcionar un entorno de comunicaciones ReNAT
Carthern et al. Advanced Routing
EP2878102B1 (en) Secure data transfer