WO2010060385A1 - 一种跨越虚拟防火墙发送和接收数据的方法、装置及系统 - Google Patents

Description

一种跨越虚拟防火墙发送和接收数据的方法、 装置及系统 本申请要求于 2008 年 11 月 29 日提交中国专利局、 申请号为 200810217797. 5 , 发明名称为 "一种跨越虚拟防火墙发送和接收数据的方法 及系统" 的中国专利申请的优先权。

技术领域

本发明涉及通信技术领域， 尤其涉及一种跨越虚拟防火墙发送和接收数 据的方法、 装置及系统。

背景技术 防火墙（FW， Fi rewa l l )是指设置在不同网络之间， 如可信的企业内部 网和不可信的公共网或网络安全区域之间的一系列部件的组合。 防火墙常常 基于安全区域来制定安全策略， 以对跨越防火墙的数据流进行监测、 限制或 更改， 尽可能地对外部屏蔽网络内部的信息、 结构和运行状况， 以此来实现 对内部网络的安全保护。

近年来， 随着 VPN 技术的兴起和不断发展， 虚拟防火墙 ( Vi rtua l-f i rewa l l , VFW )技术应运而生。 虚拟防火墙是防火墙主系统 4汙生 的逻辑子实体， 对用户表现为独立的防火墙。 创建虚拟防火墙后， 将用户面 对的防火墙主系统称为根防火墙， 根防火墙为一个， 虚拟防火墙的数量可根 据配置动态创建， 至少为一个。 通过在防火墙上创建逻辑上的虚拟防火墙， 可以在满足系统自身需求的同时， 将系统中的剩余吞吐量用于出租业务， 提 高更大的利益回报。 目前， VPN技术已经成为虚拟防火墙技术的主流技术， 每 个虚拟防火墙都是 VPN 实例、 安全实例和配置实例的综合体， 能够为虚拟防 火墙用户提供私有的路由转发平面、 安全服务和配置管理平面。

随着网络安全技术的飞快发展， 越来越多的大型企业利用互联网采用 IP 安全协议（ Interne t Protocol Secur i ty, IPSec )技术构建 VPN网络， IPSec 协议为 IP数据提供了高质量的、 可互操作的、 基于密码学的安全性能。 特定 的通信方之间在 IP层通过加密与数据源验证等方式， 来保证数据在网络上传 输时的私有性、 完整性、 真实性。 现有技术在处理跨越不同防火墙间的数据流时， 通过在虚拟防火墙及根 防火墙中分别设置有私有安全区域和用于中转数据流的虚拟安全区域 ( VZ0NE 域），分別在所述虛拟防火墙和根防火墙中已设置的任一私有安全区域上设置 各自的端口， 并分别在所述虚拟防火墙及根防火墙的安全区域间设置安全策 略， 当数据流跨越防火墙发送时， 发送端采用数据流所属防火墙的源安全区 域与该防火墙虚拟安全区域间的安全策略对数据流进行过滤， 将过滤后的数 据传到接收端， 接收端采用数据流所到达的防火墙的目的安全区域与该防火 墙的虚拟安全区域间的安全策略对该数据流进行过滤。

现有技术在处理跨越防火墙的数据流时， 需要为每个防火墙配置 VZ0NE 域， 并且除了配置防火墙原有的安全区域之间的安全策略， 还需要分别配置 防火墙中的私有安全区域与 VZ0NE域之间的安全策略， 随着 VFW的不断增加， 要配置的 VZ0NE域也不断增加， 需要配置的安全策略也会越来越多， 配置十 分复杂。 而且现有技术在实现数据流跨防火墙转发时， 对每个数据流都要在 发送端和接收端分別进行安全过滤才能实现数据流的转发， 不仅处理过程复 杂， 而且各个防火墙之间的域间关系非常难以管理。

发明内容

本发明实施例提供了一种跨越虚拟防火墙发送和接收数据的方法， 所述 方法能够简化跨越不同虚拟防火墙转发数据时域间关系的处理。

根据本发明实施例提供一种跨越虚拟防火墙发送数据的方法， 所述虚拟 防火墙设置有相应的安全隧道， 所述安全隧道设置有保护域， 所述跨越虚拟 防火墙发送数据的方法包括： 在第一虚拟防火墙， 采用数据进入端口所在的 安全区域与所述第一虛拟防火墙的安全隧道的保护域之间的安全策略对数据 进行安全过滤， 将所述数据发送至所述第一虚拟防火墙的安全隧道； 所述第 一虚拟防火墙的安全隧道对通过安全过滤的数据进行加密， 通过所述第一虚 拟防火墙的安全隧道将所述加密后的数据发送至第二虛拟防火墙， 所述第二 虛拟防火墙用于将所述数据发送出去。

根据本发明实施例提供一种跨越虚拟防火墙接收数据的方法所述虚拟防 火墙设置有相应的安全隧道， 所述安全隧道设置有保护域， 所述跨越虚拟防 火墙接收数据的方法包括： 第一虚拟防火墙接收待解密数据， 查找所述数据 的解密安全隧道， 将所述数据发送至所述解密安全隧道； 所述解密安全隧道 对所述数据进行解密 , 并将解密后数据中的进入端口所属的安全区域修改为 所述解密安全隧道的保护域； 第二虚拟防火墙采用所述解密安全隧道的保护 域与所述数据到达的安全区域之间的安全策略对所述数据进行安全过滤。

本发明实施例还提供一种发送设备， 包括第一安全处理单元、 加密单元 和发送单元， 所述笫一安全处理单元设置有安全区域， 且各安全区域之间分 别设置有安全策略， 所述加密单元设置有保护域， 其中：

所述第一安全处理单元，用于釆用数据进入端口所属的安全区域与加密单 元的保护域之间的安全策略对数据进行安全过滤， 将安全过滤后的数据发送 至所述加密单元；

所述加密单元，用于对通过所述第一安全处理单元的数据进行加密，并将 所述加密后的数据发送至所述发送单元；

所述发送单元， 用于发送所述加密单元加密后的数据。

本发明实施例还提供一种接收设备， 包括接收单元、解密单元和第二安全 处理单元， 所述第二安全处理单元中设置有安全区域， 且各安全区域间设置 有安全策略， 所述解密单元中设置有保护域：

所述接收单元，用于接收待解密数据，查找所述数据的解密单元后将所述 数据送入所述解密单元；

所述解密单元，用于对所述接收单元所接收的待解密数据进行解密，并将 所述数据中进入端口所属的安全区域修改为所述解密单元的保护域；

所述第二安全处理单元，釆用所述解密单元的保护域与所述数据到达的安 全区域之间的安全策略对所述数据进行安全过滤。

本发明实施例还提供一种网络系统， 包括发送设备和接收设备， 所述发 送设备和接收设备中均设置有安全区域和保护域， 所述发送设备中的保护域 为所述发送设备中的安全区域， 所述接收设备的保护域为所述接收设备中的 安全区域， 且分别为发送设备和接收设备的安全区域间设置有安全策略， 其 中： 发送设备采用数据进入端口所属的安全区域与所述保护域之间的安全策 略对所述数据进行安全过滤后将所述数据进行加密并发送； 接收设备用于接 收发送设备发送的数据的应答数据， 所述应答数据为目的地址到本地端的待 解密数据， 接收待解密数据后对所述待解密数据进行解密， 并将所述解密后 数据中的进入端口所属的安全区域修改为所述接收设备中的保护域 , 采用所 述保护域与所述接收设备中的安全区域对所述数据进行安全过滤。

从上述技术方案可以看出， 本发明实施例的技术方案通过采用如上的使 用安全隧道实现跨越虚拟防火墙转发数据的方法， 在确保数据传输的安全性 的同时简化了不同虛拟防火墙之间的域间关系的处理， 直接利用同一虛拟防 火墙内在的两个域间之间的安全策略对数据流进行安全过滤， 就可以简单的 处理数据流跨防火墙时的域间关系， 实现跨虚拟防火墙转发数据， 而无需采 用现有技术在配置时添加众多不同虚拟防火墙中安全区域之间的安全策略的 方法来处理跨虛拟防火墙转发数据时的域间关系， 配置简单， 便于管理。 该 方法还有效的实现了对虛拟防火墙的端口的重复使用， 大大节省了资源。 附图说明 为了更清楚地说明本发明实施例或现有技术中的技术方案， 下面将对实 施例或现有技术描述中所需要使用的附图作简单地介绍， 显而易见地， 下面 描述中的附图仅仅是本发明的一些实施例， 对于本领域普通技术人员来讲， 在不付出创造性劳动性的前提下， 还可以根据这些附图获得其他的附图。

图 1为本发明实施例提供的防火墙的结构示意图；

图 2为本发明实施例提供的跨越防火墙发送数据的过程示意图； 图 3为本发明实施例提供的跨越防火墙接收数据的过程示意图； 图 4为本发明实施例提供的发送设备的示意图；

图 5为本发明实施例提供的接收设备示意图；

图 6为本发明实施例提供的网络系统示意图。

具体实施方式 下面将结合本发明实施例中的附图， 对本发明实施例中的技术方案进行 清楚、 完整地描述， 显然， 所描述的实施例仅仅是本发明一部分实施例， 而 不是全部的实施例。 基于本发明中的实施例， 本领域普通技术人员在没有做 出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

为了实现本发明实施例， 首先需要了解本发明实施例的技术方案所需要 的防火墙的配置示意图。 为了方便描述， 以在一个^ f艮防火墙上创建的 3个虚 拟防火墙为例简单进行描述， 需要说明的是， 所述根防火墙可以看作为一个 特殊的虛拟防火墙。

如图 1所示， VFW0、 VFW1、 VFW2分别是才艮防火墙的三个虚拟防火墙， VFW0, VFW1和 VFW2中分别设置有端口 0、 端口 1、 端口 2。 每个虚拟防火墙分别划 分有多个安全区域，本发明实施例中以划分为 2个安全区域为例，包括 Untrus t 区域和 Trus t区域， 每个虛拟防火墙中的各安全区域之间设置有安全策略。

图 1中的虚线 a表示 VFW1发送的数据流向， 所述数据通过 VFW0中的端 口 0发送出去。 图 1中的虚线 a' 表示 WW1接收的前述虚线 a表示的数据的 应答数据， 所述数据通过 VFW0中的端口 0进入。 为了保护 VFW1发送的数据， 配置了 IPSecl隧道， IPSecl的出口为 VFW0中的端口 0。需要说明的是， IPSecl 是 "单向" 的， 这里所说的 "单向" 是指 IPSecl保护 VFW1发送的需要通过 VFW0发送至公网的数据（如图 1中用虚线 a来表示） 以及该数据的应答数据 (如图 1中用虚线 a'来表示虚线 a所表示数据的应答数据）， 即 VFW1发送的 要通过 发送至公网的数据或 VFW0接收到的前述数据的应答数据才允许 进入 IPSecl进行加密或解密， 如果是从 VFW0发出的要通过 VFW1的数据只能 由另外为 VFW0配置的通过 VFW1的 IPSec隧道进行保护。 为了处理数据跨越 虚拟防火墙时的域间关系，为 IPSecl配置了保护域， IPSecl的保护域为 VFW1 中的 Untrus t 域， 需要说明的是， IPSecl 的保护域并不仅限于 VFW1 中的 Untrus t域， 只要是 VFW1中的安全区域即可。

同样的， 图 1中的虚线 b表示 VFW2发送的数据流向， 该数据也通过 VFW0 中的端口 0发送出去。 图 1中的虚线 b，表示 VFW2接收的前述虚线 b表示的数 据的应答数据， 该应答数据通过 w 中的端口 0进入。 为了保护 1发送 的数据， 配置了 IPSec2隧道， IPSec2的出口为 VFW0中的端口 0。 同样需要 说明的是， IPSec2也是 "单向" 的， 即 IPSec2也只保护从 VFW2发送的需要 通过 VFW0发送至公网的数据（如图 1中用虚线 b来表示）以及该数据的应答 数据 (如图 1中用虚线 b，来表示虚线 b所表示数据的应答数据）。 为了处理数 据跨越虚拟防火墙时的域间关系， 为 IPSec2配置了保护域， IPSec2的保护域 为 VFW2中的 Untrus t域， 但也不限于 2中的 Untrus t域， 只要是 VFW2中 的安全区域即可。

图 2 是本发明实施例处理跨越虛拟防火墙发送数据的流程示意图， 该示 意图表示了本发明实施例提供的虛拟防火墙作为发送数据时对数据的处理流 程， 以下将结合图 1 中虚线 a和虚线 b所示的数据流跨虚拟防火墙发送的过 程对该处理流程进行具体描述。

步骤 201 : 在第一虛拟防火墙， 采用数据进入端口所在的安全区域与第一 虛拟防火墙的 IPSec 隧道的保护域之间的安全策略对数据进行安全过滤， 将 安全过滤后的数据发送至所述第一虚拟防火墙的 IPSec隧道。

如图 1所示， 图 1中虚线 a表示 VFW1对外发送的数据， 所述数据需要通 过 VFW0。 发送时， 首先对其端口 1接收到的待发送数据进行安全防范处 理，由于在配置时为 VFW1配置了保护数据的 IPSec 1，并且将 VFW1中的 Unt rus t 安全区域设置为 IPSec l的保护域。 因此， 当数据从 VFW1发送时， 采用数据 进入的端口 1所在的 Trus t域与 VFW1的 IPSecl的保护域之间的安全策略对 数据进行安全过滤。 图 1中的虚线 b表示 VFW2对外发送的数据， 所述数据需 要通过 VFW0。 由于在配置时为 VFW2配置了保护数据的 IPSec2 , 并且将 VFW2 中的 Unt rus t安全区域设置为 IPSec2的保护域， 因此， 当数据从 VFW2发送 时， 采用数据进入的端口 2所在的 Trus t域与 VFW2的 IPSec2的保护域之间 的安全策略对数据进行安全过滤。

步骤 202 :所述第一虚拟防火墙的 IPSec隧道对通过安全过滤的数据进行 加密， 通过所述 IPSec隧道将加密后的数据发送至第二虛拟防火墙。

如图 1所示， 虚线 a表示的数据通过安全过滤后， 由 VFW1的 IPSecl对 该数据进行加密， 并使加密后的数据从 VFW0转发至公网； 同理， 虚线 b表示 的数据通过安全过滤后， 由 VFW2的 IPSec2对该数据进行加密， 并使加密后 的数据从 VFW0转发至公网。

步骤 202 中所述将加密完成后的数据发送至第二虚拟防火墙的方法可以 釆用在该加密数据上打上所述第二虚拟防火墙的标签的方式， 也可以釆用在 该数据的转发列表中标明该数据的第二虚拟防火墙的方式， 且不限于上述两 种方式。

步骤 203： 所述第二虚拟防火墙发送数据。 在此实施例中， 由于配置了 IPSec隧道， 保证了跨 VFW转发数据的安全 性。 并且由于为 IPSecl和 IPSec2分别配置有 IPSecl的保护域和 IPSec2的 保护域， 且 IPSecl的保护域为 VFW1原有的 Untrus t安全区域， IPSec2的保 护域也为 VFW2原有的 Untrus t安全区域， 因此， 当 VFW1发送数据时， 是利 用 VFW1中的安全区域之间的安全策略对数据进行安全过滤， 即进行安全防范 处理的域间关系均为 VFW1的域间关系， 从而简化了现有技术中跨 VFW转发时 域间关系的处理流程。 同理， VFW2发送数据时对该数据也是利用 VFW2中的安 全区域之间的安全策略对数据进行安全过滤。 并且由于采用了一定措施使经 过 IPSecl和 IPSec2加密完成后的数据都能够进入 VFW0中进行转发， 使多个 VFW中的数据均能通过同一个端口转发，达到了端口复用的目的，节省了资源。

图 3是本发明实施例处理跨越虛拟防火墙接收数据的流程示意图， 该示 意图表示本发明实施例提供的虚拟防火墙接收数据时对数据的处理流程， 所 述数据均为待解密数据， 且数据的目的地址是到本地端的终端。 为了便于描 述， 以下将以本地端防火墙接收前述实施例中 πη和 VFW2发送的数据 （如 图 1中虚线 a和虚线 b表示） 的应答数据（如图 1中虚线 a，和虚线 b'所示） 的处理流程为例进行具体描述。

步骤 301 : 第一虚拟防火墙接收待解密数据， 查找所述待解密数据的解密 IPSec隧道后将所述数据送入所述 IPSec隧道。

如图 1所示， 图 1中的虚线 a， 表示 VFW1接收的前述虚线 a表示的数据 的应答数据， 该应答数据由 VFW0中的端口 0进入。 虚线 b'表示 VFW2接收的 前述虛线 b表示的数据的应答数据， 该应答数据也由 中的端口 0进入。 因此， 源防火墙 VFW0 对进入的应答数据要进行查找解密隧道的操作， 将 a' 所表示的应答数据送入其解密隧道 IPSecl , 将 b'所表示的应答数据送入其解 密隧道 IPSec2。

步骤 302: 所述 IPSec隧道对所述数据进行解密， 并将解密后数据中的进 入端口所属的安全区域修改为所述 IPSec隧道的保护域。

如图 1所示， IPSecl对 a'所示的应答数据进行解密后， 将该应答数据中 表示其进入端口所在的安全区域（即防火墙 VFW0中的端口 0所在的 Trus t区 域） 的参数修改为 IPSecl的保护域（即 VFW1的 Untrus t域）； IPSec2对 b' 所示的应答数据进行解密后，将该数据中表示其进入端口所在的安全区域（即 防火墙 VFW0中的端口 0所在的 Trus t区域）的参数修改为 IPSec2的保护域（即 VFW2的 Untrus t域)。

步骤 303:第二虚拟防火墙通过所述 IPSec隧道的保护域与所述数据到达 的安全区域之间的安全策略对所述数据进行安全过滤。

如图 1所示， 虛线 a'表示的应答数据进入 VFW1后采用 IPSecl的保护域 (即 1的 Unt rus t安全区域）与所述数据到达的安全区域 (即 中的 Trus t域）之间的安全策略对数据进行安全过滤；虚线 b，表示的应答数据进入 VFW2后采用 IPSec2的保护域（即 VFW2的 Untrus t安全区域）与所述数据到 达的安全区域（即 VFW2中的 Trus t域 )之间的安全策略对数据进行安全过滤。

步骤 301 中所述的寻找数据的解密隧道的方法， 具体实现可以采用取出 该数据的目的 IP、 串行外围设备接口 SPI ( AH、 ESP协议中的一个协议字段， 即 Ser ia l Per iphera l interface , 串行外围设备接口 )和协议类型三个部分， 通过这三个部分查找该数据需进入的隧道。

步骤 302 中所述修改解密后的数据中的进入端口所属的安全区域的方式 可以采用给该数据上打上所述 IPSec 隧道的保护域的标签的方式， 也可以采 用在该数据的转发列表中标明所述数据的进入端口所属的安全区域为所述 IPSec隧道保护域的方式。 且不限于上述两种方式。

由上述实施例可以看出， 本发明实施例提供的技术方案在虚拟防火墙作 为本地端防火墙接收应答数据时， 利用了该虚拟防火墙作为本地端防火墙发 送数据时的 IPSec通道， 保证了数据的安全性。 并且由于修改了该数据的入 域， 在处理数据跨虚拟防火墙的域间关系时只需要釆用数据到达的第二虚拟 防火墙中原有的安全区域之间的安全策略对数据进行安全过滤， 减化了现有 技术中复杂的域间关系的处理流程。

在上述本发明实施例所提供的跨虚拟防火墙发送数据以及接收数据的实 施方式中， 虚拟防火墙的端口数量是由使用的防火墙设备来控制的， 并不限 于图 1所示的 3个端口。 且本发明实施例中的端口并不限于是物理端口还是虚 拟端口， 只要该端口能够设置到 VFW中即可。 VFW的数量是根据端口的数量来 确定的，即可以为每一个虚拟端口配置一个 VFW。本发明实施例中任意一个 VFW 中的端口均可作为其他 VFW的共同出端口， 如图 1中的端口 0。

在上述本发明实施例所提供的跨虚拟防火墙发送数据以及接收数据的技 术方案中， 可以为需要跨虛拟防火墙转发的数据任意设置一个出口， 只要在 转发数据之前为该虚拟防火墙配置了相应的 IPSec隧道即可。 如 VFW1中的数 据可以通过 VFTO发送， 也可以通过 VFW2发送， 同样的， VFW0发送的数据也 可以通过 VFW1或 2发送。

本发明实施例所提供的跨越虛拟防火墙发送数据以及接收数据的方法不 仅适用虚拟防火墙之间， 也可以将根防火墙看作一个特殊的虚拟防火墙， 适 用于及根防火墙与虚拟防火墙之间的数据转发。

本发明实施例所提供的技术方案中， 由于在处理跨越虚拟防火墙的数据 时采用了 IPSec技术， 并为 IPSec隧道配置了保护域， 在保证了数据跨虛拟 防火墙传输时的安全性基础上， 不需要另外配置虚拟安全区域， 而是利用该 虚拟防火墙原有的安全区域以及域间的安全策略对数据进行安全过滤， 从而 减少了现有技术中复杂的域间安全策略的配置， 在传送数据的过程中只需要 进行一次安全过滤就能够保证数据的安全性， 减少了域间关系的处理流程。 并且由于使用了 IPSec技术， 使各个 VFW可以相互转发， 共用端口， 因此， 也使防火墙的端口起到了重复使用的效果， 大大节省了资源。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流 程， 是可以通过计算机程序来指令相关的硬件来完成， 所述的程序可存储于 计算机可读取存储介质中， 该程序在执行时， 可包括如上述各方法的实施例 的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory , ROM )或随机存储记忆体 ( Random Acces s Memory, RAM )等。

图 4为本发明实施例所述的发送设备示意图， 该发送设备包括第一安全处 理单元 401、 加密单元 402以及发送单元 403 , 其中， 笫一安全处理单元 401和 发送单元 403均设置有安全区域（包括 Unt rus t域和 Trus t域）， 且第一安全处 安全策略， 加密单元 402中包括加密模块 4021和标识模块 4022 , 其中加密模块 4021对第一安全处理单元 401中的数据进行加密， 标识模块 4022使加密后的数 据进入发送单元， 为加密单元 402设置有保护域， 该保护域为第一安全处理单 元 401中的 Unt rus t域， 需要说明的是， 所述保护域并不仅限于第一安全处理 单元 401中的 Unt rus t域， 只要是第一安全处理单元 401中的安全区域即可。

第一安全处理单元 401 ,采用数据进入端口所在的安全区域与加密单元 402 的保护域之间的安全策略对数据进行安全过滤， 将安全过滤后的数据发送至 力口密单元 402。

加密单元 402 ,用于对通过第一安全处理单元 401的数据进行加密，并将所 述加密后的数据发送至发送单元 403。

加密单元 402包括加密模块 4021和标识模块 4022 , 其中加密模块 4021对来 自第一安全处理单元 401的数据进行加密， 标识模块 4022用于将经过加密模块

4021加密后的数据发送至发送单元 403， 所述标识模块 4022可以通过在该加密 数据上打上所述发送单元 403的标签或通过在所述数据的转发列表中标明发 送单元 403的方式将所述数据发送至发送单元 403 , 且不限于上述两种方式。

发送单元 403， 用于发送加密单元 402加密后的数据。

这里所述的发送设备包括防火墙或防火墙类设备，加密单元的具体实现形 式可以为 I PSec隧道。

图 5为本发明实施例所述的接收设备示意图， 该接收设备包括了接收单元 501、 解密单元 502、 第二安全处理单元 503， 其中， 接收单元 501和第二安全 处理单元 503中均设置有安全区域（包括 Unt rus t域和 Trus t域）， 且接收单元

501中的安全区域之间以及第二安全处理单元 503中的安全区域之间分別设置 有安全策略，解密单元 502包括解密模块 5021和修改模块 5022 ,该解密单元 502 设置有保护域， 该保护域为第二安全处理单元 503中的 Unt rus t域， 需要说明 的是， 所述保护域并不仅限于第二安全处理单元 503中的 Unt rus t域， 只要是 第二安全处理单元 503中的安全区域即可。

接收单元 501 , 用于接收待解密数据， 查找所述数据的解密单元后将所述 数据送入解密单元 502。 所述待解密数据的目的地址是本地端的终端。

所述寻找数据的解密单元的方法，可以釆用取出该数据的目的 IP、SPI( AH、 ESP协议中的一个协议字段）和协议类型三个部分， 通过这三个部分查找该数 据需进入的解密单元 502。

解密单元 502 ,用于对接收单元 501所接收的待解密数据进行解密操作，并 将该数据中进入端口所属的安全区域修改为所述解密单元 502的保护域。

所述解密单元 502包括解密模块 5021和修改模块 5022 , 所述解密模块 5021 对所述待解密数据进行解密， 所述修改模块 5022用于将通过解密模块 5021解 密后的数据中进入端口所属的安全区域修改为所述解密单元 502的保护域， 所 述修改模块 5022修改所述数据中进入端口所属的安全区域的方式可以采用给 所述数据上打上所述解密单元 502的保护域的标签的方式， 也可以釆用在所述 数据的转发列表中标明所述数据进入端口所属的安全区域为所述解密单元 502的保护域的方式， 且不限于上述两种方式。

第二安全处理单元 503,用于对解密单元 502解密后的数据进行安全防范 处理， 所述安全防范处理是通过所述解密单元 502 的保护域与所述数据到达 的安全区域之间的安全策略对所述数据进行安全过滤。

这里所述的接收设备包括防火墙或防火墙类设备，所述解密单元的具体实 现形式可以为 IPSec隧道。

上述发送设备中的第一安全处理单元和接收设备中的第二安全处理单元 在物理上可以为一个单元， 同理， 发送设备中的加密单元和接收设备中的解 密单元也可为一个单元， 发送设备中的发送单元与接收设备中的接收单元也 可为一个单元。

图 6为本发明实施例所述的网络系统示意图，该网络系统包括发送设备 601 和接收设备 602。

发送设备 601 , 用于发送数据；

接收设备 602 ,用于接收发送设备 601发送的数据的应答数据，所述数据为 目的地址到本地端的待解密数据。

所述发送设备 601包括第一安全处理单元 6011、 加密单元 6012和发送单元 6013 , 其中加密单元 6012包括加密模块 60121和标识模块 60121。

所述第一安全处理单元 6011和发送单元 6013中均设置有安全区域（包括 Untrus t域和 Trus t域）， 且在第一安全处理单元 6011的各安全区域间设置有安 全策略， 同样的， 在发送单元 6013的各安全区域间也设置有安全策略。 所述 加密单元 6012设置有保护域， 所述加密单元 6012的保护域为第一安全处理单 元 6011中的 Untrus t域， 需要说明的是， 加密单元 6012的保护域并不仅限于第 一安全处理单元 6011中的 Untrus t域， 只要是第一安全处理单元 6011中的安全 区域即可。

第一安全处理单元 6011 ,用于采用数据的进入端口所在的安全区域与加密 单元 6012的保护域之间的安全策略对数据进行安全过滤， 将安全过滤后的数 据发送至加密单元 6012。

加密单元 6012，用于对通过第一安全处理单元 6011的数据进行加密，并将 所述数据发送至发送单元 6013。

加密单元 6012包括加密模块 60121和标识模块 60122 , 其中加密模块 60121 对来自第一安全处理单元 6011的数据进行加密， 标识模块 60122用于将经过加 密模块 60121加密后的数据发送至发送单元 6013 , 所述标识模块 60122可以通 过在该加密数据上打上所述发送单元 6013的标签或通过在所述数据的转发列 表中标明发送单元 6013的方式将所述数据发送至发送单元 6013 , 且不限于上 述两种方式。

发送单元 6013， 用于将加密单元 6012加密后的数据发送出去。

所述接收设备 602包括接收单元 6021、 解密单元 6022和第二安全处理单元 6023 , 其中解密单元 6022包括解密模块 60221和修改模块 60222。

所述接收单元 6021和所述第二安全处理单元 6023中也设置有安全区域（包 括 Un trus t域和 Tr us t域 ) , 且在所述接收单元 6021的各安全区域间设置有安全 策略， 同样的， 在所述第二安全处理单元 6023的各安全区域间也设置有安全 策略。 所述解密单元 6022设置有保护域， 所述解密单元 6022的保护域为第二 安全处理单元 6023中的 Untrus t域， 需要说明的是， 解密单元 6022的保护域也 不限于第二安全处理单元 6023中的 Untrus t域， 只要是第二安全处理单元 6023 中的安全区域即可。

接收单元 6021，用于接收待解密数据，查找所述数据的解密单元后将所述 数据送入解密单元 6022 , 所述待解密数据的目的地址是本地端的终端。

所述接收单元 6021寻找所述数据的解密单元时可以通过取出该数据的目 的 IP、 SPI ( AH、 ESP协议中的一个协议字段）和协议类型三个部分， 通过这 三个部分查找该数据需进入的解密单元 6022。

解密单元 6022 , 用于对接收单元 6021所接收的待解密数据进行解密操作， 并将解密后数据中进入端口所属的安全区域修改为所述解密单元 6022的保护 域。

所述解密单元 6022包括解密模块 60221和修改模块 60222 , 所述解密模块 60221对所述待解密数据进行解密， 所述修改模块 6G222用于将通过解密模块 60221解密后的数据中进入端口所属的安全区域修改为所述解密单元 6022的 保护域， 所述修改模块 60222修改所述数据中进入端口所属的安全区域的方式 可以采用给该数据上打上所述解密单元 6022的保护域的标签的方式， 也可以 采用在所述数据的转发列表中标明所述数据进入端口所属的安全区域为所述 解密单元 6022的保护域的方式， 且不限于上述两种方式。

第二安全处理单元 6023 ,用于对解密单元 6022解密后的数据进行安全防 范处理， 所述安全防范处理是通过所述解密单元 6022的保护域与所述数据到 达的安全区域之间的安全策略对所述数据进行安全过滤。

这里所述的发送设备和接收设备包括防火墙或防火墙类设备，所述加密单 元和所述解密单元的具体实现形式可以为 IPSec隧道。

上述网络系统的发送设备中的第一安全处理单元和接收设备中的第二安 全处理单元在物理上可以为一个单元， 同理， 发送设备中的加密单元和接收 设备中的解密单元也可为一个单元， 发送设备中的发送单元与接收设备中的 接收单元也可为一个单元。

以上所述仅为本发明的几个实施例， 可以理解的是， 对本领域普通技术 人员来说， 可以根据本发明实施例的技术方案及其发明构思加以等同替换或 改变， 而所有这些改变或替换都应属于本发明所附的权利要求的保护范围。

Claims

权利 要求 书

1、 一种跨越虚拟防火墙发送数据的方法， 其特征在于， 所述虚拟防火墙设 置有相应的安全隧道， 所述安全隧道设置有保护域， 所述跨越虚拟防火墙发送 数据的方法包括：

在第一虚拟防火墙， 采用数据进入端口所属的安全区域与所述第一虚拟防 火墙的安全隧道的保护域之间的安全策略对数据进行安全过滤， 将安全过滤后 的数据发送至所述第一虚拟防火墙的安全隧道；

所述第一虚拟防火墙的安全隧道对通过安全过滤的数据进行加密， 通过所 述第一虚拟防火墙的安全隧道将所述加密后的数据发送至第二虚拟防火墙， 所 述第二虚拟防火墙用于将所述数据发送出去。

2、 如权利要求 1所述的发送方法， 其特征在于： 所述安全隧道的保护域是 所述安全隧道所保护的防火墙中的安全区域。

3、 如权利要求 1所述的发送方法， 其特征在于： 所述安全隧道将所述加密 后的数据发送至第二虚拟防火墙的方法包括在所述数据中打上所述第二虚拟防 火墙的标签。

4、 如权利要求 1所述的发送方法， 其特征在于： 所述安全隧道将加密后的 数据发送至第二虚拟防火墙的方法还包括， 在所述数据的转发列表中标明所述 第二虛拟防火墙。

5、 一种跨越虛拟防火墙接收数据的方法， 其特征在于， 所述虛拟防火墙设 置有相应的安全隧道， 所述安全隧道设置有保护域， 所述跨越虚拟防火墙接收 数据的方法包括：

第一虚拟防火墙接收待解密数据， 查找所述数据的解密安全隧道， 将所述 数据发送至所述解密安全隧道；

所述解密安全隧道对所述数据进行解密， 并将解密后数据中的进入端口所 属的安全区域修改为所述解密安全隧道的保护域；

第二虛拟防火墙采用所述解密安全隧道的保护域与所述数据到达的安全区 域之间的安全策略对所述数据进行安全过滤。

6、 如权利要求 5所述的接收方法， 其特征在于： 所述安全隧道的保护域 是所述安全隧道所保护的防火墙中的安全区域。

7、 如权利要求 5所述的接收方法， 其特征在于： 所述查找数据的解密安全 隧道的方法包括取出所述数据的目的 I P、 串行外围设备接口 SP I和协议类型， 通过所述目的 IP、 串行外围设备接口 SPI和协议类型查找所述数据需进入的解 密安全隧道。

8、 如权利要求 5所述的接收方法， 其特征在于， 所述修改解密后的数据中 的进入端口所属的安全区域的方法包括： 在所述数据上打上所述解密安全隧道 的保护域的标签。

9、 如权利要求 5所述的接收方法， 其特征在于， 所述修改解密后的数据的 源安全区域的方法还包括： 在所述数据的转发列表中标明所述数据的进入端口 所属的安全区域为所述解密安全隧道的保护域。

10、 一种发送设备， 其特征在于： 包括第一安全处理单元、 加密单元和发 送单元， 所述第一安全处理单元设置有安全区域， 且各安全区域之间分别设置 有安全策略， 所述加密单元设置有保护域， 其中：

所述第一安全处理单元，用于釆用数据进入端口所属的安全区域与加密单元 的保护域之间的安全策略对数据进行安全过滤， 将安全过滤后的数据发送至所 述加密单元；

所述加密单元，用于对通过所述第一安全处理单元的数据进行加密，并将所 述加密后的数据发送至所述发送单元；

所述发送单元， 用于发送所述加密单元加密后的数据。

11、如权利要求 10所述的发送设备， 其特征在于： 所述加密单元的保护域为 所述第一安全处理单元中的安全区域。

12、如权利要求 10所述的发送设备， 其特征在于： 所述加密单元包括加密模 块和标识模块，

所述加密模块， 用于对来自所述第一安全处理单元的数据进行加密； 所述标识模块， 用于将所述加密模块加密后的数据打上所述发送但还的标 签， 将所述加密后的数据发送至所述发送单元； 或者

所述标识模块，用于在所述数据的转发列表中标明所述加密后数据的发送单 元， 将所述加密后的数据发送至所述发送单元。

13、 一种接收设备， 其特征在于： 包括接收单元、 解密单元和第二安全处理 单元， 所述第二安全处理单元中设置有安全区域， 且各安全区域间设置有安全 策略， 所述解密单元中设置有保护域：

所述接收单元，用于接收待解密数据，查找所述数据的解密单元后将所述数 据送入所述解密单元；

所述解密单元，用于对所述接收单元所接收的待解密数据进行解密，并将所 述数据中进入端口所属的安全区域修改为所述解密单元的保护域；

所述第二安全处理单元，采用所述解密单元的保护域与所述数据到达的安全 区域之间的安全策略对所述数据进行安全过滤。

14、如权利要求 1 3所述的网絡系统， 其特征在于： 所述解密单元的保护域为 所述第二安全处理单元中的安全区域。

15、如权利要求 1 3所述的网络系统， 其特征在于： 所述解密单元包括解密模 块和修改模块，

所述解密模块用于将所述接收单元接收的待解密数据进行解密；

所述修改模块用于将所述解密模块解密后的数据中的进入端口所属的安全 区域修改为所述解密单元的保护域。

16、 一种网络系统， 其特征在于，包括发送设备和接收设备， 所述发送设备 和接收设备中均设置有安全区域和保护域， 所述发送设备中的保护域为所述发 送设备中的安全区域， 所述接收设备的保护域为所述接收设备中的安全区域， 且分别为发送设备和接收设备的安全区域间设置有安全策略， 其中：

发送设备，采用数据进入端口所属的安全区域与所述保护域之间的安全策略 对所述数据进行安全过滤后将所述数据进行加密并发送；

接收设备，用于接收发送设备发送的数据的应答数据，所述应答数据为目的 地址到本地端的待解密数据， 接收待解密数据后对所述待解密数据进行解密， 并将所述解密后数据中的进入端口所属的安全区域修改为所述接收设备中的保 护域， 采用所述保护域与所述接收设备中的安全区域对所述数据进行安全过滤。