专利名称:一种报文处理方法、防火墙设备及网络安全系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种报文处理方法、防火墙设备及 网络安全系统。
背景技术:
目前,随着网络的日益发展,网络的安全问题越来越突出。人们将注意 力主要集中在来自于外部的攻击,因此花大力气和重金部署网络边界的安全
产品,例如防火墙、入侵;险测系统(IDS, Intrusion Detection Systems )等。
硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能 减少CPU的负担,使路由更稳定。硬件防火墙是保障内部网络安全的一道重 要屏障。此外,通过创建逻辑上的虚拟防火墙(Vfw, Virtual firewall),硬件 防火墙能够提供防火墙出租业务。虚拟防火墙是虚拟专用网络(VPN, Virtual Private Network)实例、安全实例和配置实例的综合体,能够为虚拟防火墙用 户提供私有的路由转发平面、安全服务和配置管理平面。
在现有的二层组网环境中,通过虚拟局域网(VLAN, Virtual Local Area Network)来区分不同的区域,在每个VLAN中运行着相互独立的业务。现有 技术中报文在透明模式下通过防火墙并进行防火墙业务处理时,在不同的 VLAN中不可以配置相同的IP地址,如果有两条不同的流分别指向两个相同的 IP地址,则在经过防火墙时,由于没有用不同VLAN的值来区分流,会导致两 条不同的流建立相同的状态表项,体现在防火墙中就是同 一条会话(session )。 此时,如果该两条流中任一条流连接发起则可能导致该条流不会发送到正确 的目的地址。
在实践过程中,发明人经过研究发现由于现有技术中不能标识唯一的 一条流,因此可能出现五元组(源IP、目的IP、源端口、目的端口、协议号) 相同的流在经过防火墙时,命中的表项不一定是属于该防火墙业务的流所对 应的,如果仍然根据该表项进行转发就会出现错误,从而导致业务中断。
发明内容
本发明实施例提供一种防火墙透明模式报文处理方法、防火墙设备及网络安全系统,能够解决地址重叠时出现的报文转发混乱的问题。
本发明实施例提供以下技术方案 本发明实施例提供一种报文处理方法,包括
转发报文时,对不同的虚拟局域网VLAN接口配置不同的虚拟专用网络 VPN值,并将包括VPN值在内的参数封装到所述报文相应的数据帧头中;
对所述报文进行解析,当解析为透明模式时,设置全局标识用于标识所 述报文是通过二层转发接口进入防火墙的;在所述报文通过防火墙的相关处 理后,为所述报文建立相应的状态表项并将所述报文转发出去,所述状态表 项中包括VPN值在内的参数信息。
本发明实施例还提供一种防火墙设备,包括
业务转发单元SFU,用于在转发报文时,对不同的虚拟局域网VLAN接 口配置不同的虚拟专用网络VPN值,并将包括VPN值在内的参数封装到所 述报文相应的数据帧头中;
安全业务单元SSU,用于对所述SFU转发的报文进行解析,当解析为透 明模式时,设置全局标识用于标识所述报文是通过二层转发接口进入防火墙 的;在所述报文通过SSU上防火墙的相关处理后,为所述报文建立相应的状 态表项并将所述报文转发出去,所述状态表项中包括VPN值在内的参数信息。
本发明实施例还提供一种包括上述防火墙设备的网络安全系统。
本发明实施例提供一种防火墙透明模式下报文处理方法、防火墙设备及 网络安全系统,能够解决地址重叠时出现的报文转发混乱的问题。本发明实 施例能够在不同的VLAN中配置相同的IP地址的情况下,通过增加标识以区 别IP地址相同的流,并分别建立不同的状态表项,从而能够正确的转发报文。 当同一条流的后续报文到来时,也能够正确的命中对应的状态表项,获取相 关参数进行转发处理,这样,后续报文的合法性可以快速检测出来,继而进 行快速转发处理。
图l是现有技术中虚拟防火墙体系结构图2是本发明实施例防火墙透明模式下报文处理方法流程图3是本发明实施例分布式防火墙透明;漢式下"^艮文转发示意图; 图4是本发明实施例防火墙设备结构示意图; 图5是本发明实施例网络安全系统结构示意图; 图6是本发明实施例分布式防火墙透明模式多实例的应用场景示意图。
具体实施例方式
本发明实施例提供一种防火墙透明模式下报文处理方法、防火墙设备及 网络安全系统,能够解决地址重叠时出现的净艮文转发混乱的问题。本发明实 施例所述防火墙既可以是集中式防火墙,也可以是分布式防火墙。为使本发 明的目的、技术方案及优点更加清楚明白,下面参照附图并举实施例,对本 发明进一步详细说明。
如图2所示,为本发明实施例提供的防火墙透明模式下报文处理方法流 程图,包括以下过程
步骤201、业务转发单元(SFU, Service Forward Unit)转发报文时,对 不同的VLAN接口配置不同的VPN值,以对该VLAN接口下的流进行所属 VPN上的有效区分;将包括VPN值在内的参数封装到所述报文相应的数据帧 头中送到安全业务单元(SSU, Security Service Unit)进行解析处理;
步骤202、 SSU对SFU转发的报文中封装的字段进行解析,当解析为透 明模式时,防火墙设置全局标识用于标识所述报文是通过二层转发接口进入 防火墙的;在所述报文通过SSU上防火墙的相关处理后,为所述报文建立相 应的状态表项并将该报文转发出去,所述状态表项中包括VPN值在内的参数 信息;
需要说明的是,在步骤202中还可以进一步包括
如果所述报文未通过SSU上防火墙的相关处理,则为所述报文建立对应
理方式;当有后续报文到达时,则从所述非法报文表项中获取相关参数进行 相应处理。
所述方法还可以进一步包括
步骤203、当有后续报文到达防火墙时,从所述状态表项中获取相关参数
进行后续转发处理。
在步骤203中,所述后续转发处理具体包括
SSU将包括VPN值在内的参数信息封装到所述报文的数据帧头中;
SSU对所述报文对应的状态表项进行状态改变、时间戳刷新等更新操作,
识别转发所述报文的对应的出接口及SFU,并将封装后的报文发送到对应的
SFU进行转发。
如图3所示,为本发明实施例分布式防火墙透明模式下报文转发示意图, 其中的SFU—A和SFU—B是物理上接收和转发数据的单元,用于简单的报文 封装、流程转发;SSU—A和SSU—B是主要的业务处理单元,用于识别报文的 合法性并建立与之对应的状态信息。报文转发的具体过程说明如下
步骤a:报文从SFILA进入,通过配置使能二层转发命令使该接口进入 二层转发状态,配置VLAN并让该接口加入。配置VPN并与该VLAN进行 绑定,这样属于该VLAN下的接口都会有对应的VPN值来标识。
SFU一A对报文进行简单的业务识别等相关动作处理后,会根据自定义的 算法把该条流送到对应的SSU单元进行处理,本实施例中假定是送往SSU_A (当然也可以送往SFU一B ),在这一过程中会把相关的参数封装到自定义的帧 头中送到SSU一A供后续业务处理时使用。
步骤b: SSU一A收到SFU—A送来的报文,会对所述报文对应帧头中的信 息进行解析,通过相应位置的识别可以知道该才艮文是从二层转发接口进入的, 防火墙会对这样的报文设置一个全局标识,用于后续针对这样的流的特殊处 理。
在SSU—A上会进行防火墙业务的处理,包括攻击防范检测,病毒识别等。 如果报文能够顺利通过各种检测,则SSU—A会为该条流建立相应的状态表项, 该状态表项的主要参数包括IP, PORT(端口), Protocol (协议号),VPN值 等信息,VPN值是在步骤a中由SFU—A封装的,后续报文则会直接命中该状 态表项进行转发。如果报文没有通过检测,即被SSU一A识别为非法报文,则 对该报文会进行丢弃、非法报文计数等处理,并为该条流建立非法报文的表 项,在后续非法报文过来的时候则会命中该非法报文的表项并直接做出处理。
步骤c: SSU—A完成报文的相关检测,并建立相应的状态表项后,SSU—A 会将与该条流相关的参数进行封装处理,填充到自定义的帧头结构中。
步骤d: SSU—A对报文和表项进行IP地址及时间戳进行更新,通过状态 表项中的字段识别出报文的出接口,假定为SFU—B。在更新等动作完成后会 把该条流送到相应的SFU单元来处理,假定本实施例的目的SFU单元是 SFU—B。
步骤e: SFU_B通过报文从SSU—A携带来的信息进行简单的报文类别识 别等处理,完毕后将报文转发出去。
在上述实施例中可以看出,由于不同的VLAN绑定了不同的VPN值,这 样即4吏在同一个网络环境的不同VLAN中配置相同的IP地址,当有相同五元 组的流产生在SSU上时,SSU也会建立不同的状态表项,这样如果后续有相 同五元组的流到达SSU,也不会出现因状态表项混乱而导致业务不通的情况。
如图4所示,为本发明实施例提供的防火墙设备结构示意图,包括业 务转发单元SFU 411 - 41n和安全业务单元SSU 421-42m,其中
所述SFU,用于在转发报文时,对不同的VLAN接口配置不同的VPN值, 并将包括VPN值在内的参数封装到所述报文相应的数据帧头中;
所述SSU,用于对SFU转发的报文进行解析,当解析为透明模式时,设 置全局标识用于标识所述报文是通过二层转发接口进入防火墙的;在所述报 文通过SSU上防火墙的相关处理后,为所述"^艮文建立相应的状态表项并将所 述报文转发出去,所述状态表项中包括VPN值在内的参数信息。
当有后续报文需要转发时,所述SSU还用于从所述状态表项中获取相关 参数进行后续转发处理。其中,所述SSU进行后续转发处理具体是将包括VPN 值在内的参数信息封装到所述报文自定义的帧头结构中;以及对所述报文和 状态表项进行更新操作,通过所述状态表项中的字段识别出所述报文的出接 口及SFU,将封装后的报文发送到对应的SFU进行转发。
需要说明的是,在所述报文未通过SSU上防火墙的相关处理时,所述SSU 还用于为所述报文建立对应的非法报文表项,所述表项中包括VPN值在内的 参数信息及相应处理方式;当有后续非法报文需要转发时,则从所述非法报文表项中获取相关参数进行相应处理。
在上述实施例中可以看出,由于不同的VLAN绑定了不同的VPN值,这 样即使配置了相同的IP,有相同的流产生在SSU—A上也会有属于自己的表项, 因而不会出现因状态混乱而导致业务不通的状况发生。
如图5所示,为本发明实施例提供的网络安全系统结构示意图,包括防 火墙设备510和状态检测设备500,其中
所述防火墙设备510具体包括若干个业务转发单元SFU511 - 51n和若 干个安全业务单元SSU521-52m,其中
所述SFU,用于在转发报文时,对不同的VLAN接口配置不同的VPN值, 并将包括VPN值在内的参数封装到所述才艮文相应的凝:据帧头中;
所述SSU,用于对SFU转发的报文进行解析,当解析为透明模式时,设 置全局标识用于标识所述报文是通过二层转发接口进入防火墙的;在所述报 文通过SSU防火墙的相关处理后,为所述报文建立相应的状态表项并将所述 报文转发出去,所述状态表项中包括VPN值在内的参数信息。
当有后续报文需要转发时,所述SSU还用于从所述状态表项中获取相关 参数进行后续转发处理。其中,所述SSU进行后续转发处理具体是将包括VPN 值在内的参数信息封装到所述报文自定义的帧头结构中;以及对所述报文和 状态表项进行更新操作,通过所述状态表项中的字段识别出所述报文的出接 口及SFU,将封装后的报文发送到对应的SFU进行转发。
需要说明的是,在所述报文未通过SSU上防火墙的相关处理时,所述SSU 还用于为所述报文建立对应的非法报文表项,所述表项中包括VPN值在内的 参数信息及相应处理方式;当有后续非法报文需要转发时,则从所述非法报 文表项中获取相关参数进行相应处理。
状态检测设备500,用于与防火墙设备510配合实现网络安全的防御,例 如,切断受控网络的通信主干线,对通过受控干线的任何通信进行安全处理 等。
当然,在实际应用中,网络安全系统的构成比较复杂,可能并不局限于 本发明上述实施例的情况,还可能包括其他一些辅助设备,本领域技术人员可以不通过创造性劳动就可以在本发明实施例的基础上进行有意义的拓展及
各种变形,此处不再赘述。
另外,本发明上述实施例提供的防火墙设备可以应用的场景比较广泛,
例如大中型客户、各种城域网的出口或入口处等。
下面,通过一个具体的应用实例对本发明上述实施例作进一步说明。 如图6所示,为本发明实施例提供的分布式防火墙透明模式多实例的应
用场景示意图。
场景描述如下
客户A和客户B同时租用一个分布式石更件防火墙,其中,客户A加入虚 拟防火墙VFW1,客户B加入虚拟防火墙VFW2,客户A和客户B支持地址 重叠。客户A分为trust、 dmz和untrust区域,其中,trust为私网地址,dmz 有对夕卜服务器,untrust区拥有公网地址。客户B分为tmst、 dmz和untrust区 域,其中,trust和dmz区提供对外服务器,untrust区为私网地址。
假定客户A属于VLAN1,绑定VFW1,接口 e4/0/1属于VFW1的trust域, 地址192.168.1.1;客户B属于VLAN2,绑定VFW2,接口 e4/0/5属于VFW2 的trust域,地址192.168.1.1;网关属于VF WO的untrust域,地址10.110.200.2 。
如果客户A和客户B都向网关发起连接,则会在防火墙上建立两张状态 表项,其中,IP、 Port、 Protocol都相同,但是VPN值不相同。客户A建立 的状态表项的VPN值为VPN1,而客户B建立的状态表项的VPN值为VPN2。
当分别属于客户A、客户B不同的流过来的时候都会通过VPN值命中属 于自己的状态表项,因而不会出现因状态混乱而导致业务不通的状况发生。
本领域普通技术人员可以理解实现上述实施例方法携带的全部或部分步 骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算 机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理模块中, 也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个才莫 块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模 块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
综上所述,本文提供了一种防火墙透明模式下报文处理方法、防火墙设 备及网络安全系统,能够解决地址重叠时出现的报文转发混乱的问题,可以 应用到不同架构的防火墙上。
本发明实施例能够在不同的VLAN中配置相同的IP地址的情况下,通过
增加标识以区别IP地址相同的流,并分别建立不同的状态表项,从而能够正 确的转发报文。当同一条流的后续报文到来时,也能够正确的命中对应的状 态表项,获取相关参数进行转发处理,这样,后续报文的合法性可以快速检 测出来,继而进行快速转发处理。
以上对本发明所提供的防火墙透明模式下报文处理方法、防火墙设备及 网络安全系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实
施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方案;同 时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应 用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1、一种报文处理方法,其特征在于,包括转发报文时,对不同的虚拟局域网VLAN接口配置不同的虚拟专用网络VPN值,并将包括VPN值在内的参数封装到所述报文相应的数据帧头中;对所述报文进行解析,当解析为透明模式时,设置全局标识用于标识所述报文是通过二层转发接口进入防火墙的;在所述报文通过防火墙的相关处理后,为所述报文建立相应的状态表项并将所述报文转发出去,所述状态表项中包括VPN值在内的参数信息。
2、 根据权利要求1所述的报文处理方法,其特征在于,还包括当有后续报文需要转发时,从所述状态表项中获取相关参数进行后续转 发处理。
3、 根据权利要求2所述的报文处理方法,其特征在于,所述后续转发处 理具体包括将包括VPN值在内的参数信息封装到所述报文自定义的帧头结构中; 对所述报文和状态表项进行更新操作,通过所述状态表项中的字段识别 出所述报文的出接口 ,将封装后的报文发送到对应的出接口进行转发。
4、 根据权利要求1所述的报文处理方法,其特征在于,还包括 如果所述报文未通过防火墙的相关处理,则为所述报文建立对应的非法报文表项,所述表项中包括VPN值在内的参数信息及相应处理方式;当有后续非法报文需要转发时,则从所述非法报文表项中获取相关参数 进4亍相应处理。
5、 一种防火墙设备,其特征在于,包括业务转发单元SFU,用于在转发报文时,对不同的虚拟局域网VLAN接 口配置不同的虚拟专用网络VPN值,并将包括VPN值在内的参数封装到所 述才艮文相应的数据帧头中;安全业务单元SSU,用于对所述SFU转发的报文进行解析,当解析为透 明模式时,设置全局标识用于标识所述报文是通过二层转发接口进入防火墙 的;在所述"^艮文通过SSU上防火墙的相关处理后,为所述报文建立相应的状 态表项并将所述报文转发出去,所述状态表项中包括VPN值在内的参数信息。
6、 根据权利要求5所述的防火墙设备,其特征在于, 当有后续报文需要转发时,所述SSU还用于从所述状态表项中获取相关参数进行后续转发处理。
7、 根据权利要求6所述的防火墙设备,其特征在于,所述报文自定义的帧头结构中;以及对所述报文和状态表项进行更新操作, 通过所述状态表项中的字段识别出所述报文的出接口及SFU,将封装后的报 文发送到对应的SFU进行转发。
8、 根据权利要求5所述的防火墙设备,其特征在于, 在所述"l艮文未通过SSU上防火墙的相关处理时,所述SSU还用于为所述报文建立对应的非法报文表项,所述表项中包括VPN值在内的参数信息及相 应处理方式;当有后续非法报文需要转发时,则从所述非法报文表项中获取 相关参数进行相应处理。
9、 根据权利要求5所述的防火墙设备,其特征在于,所述防火墙具体为 集中式防火墙或分布式防火墙。
10、 一种网络安全系统,其特征在于,包括防火墙设备,所述防火墙 设备具体包括业务转发单元SFU,用于在转发"t艮文时,对不同的虚拟局域网VLAN接 口配置不同的虚拟专用网络VPN值,并将包括VPN值在内的参数封装到所 述报文相应的数据帧头中;安全业务单元SSU,用于对所述SFU转发的报文进行解析,当解析为透 明模式时,设置全局标识用于标识所述报文是通过二层转发接口进入防火墙 的;在所述报文通过SSU上防火墙的相关处理后,为所述报文建立相应的状 态表项并将所述报文转发出去,所述状态表项中包括VPN值在内的参数信息。
全文摘要
本发明公开一种报文处理方法,包括转发报文时,对不同的虚拟局域网VLAN接口配置不同的虚拟专用网络VPN值,并将包括VPN值在内的参数封装到所述报文相应的数据帧头中;对所述报文进行解析,当解析为透明模式时,设置全局标识用于标识所述报文是通过二层转发接口进入防火墙的;在所述报文通过防火墙的相关处理后,为所述报文建立相应的状态表项并将所述报文转发出去,所述状态表项中包括VPN值在内的参数信息。本发明还公开一种防火墙设备及网络安全系统,能够解决地址重叠时出现的报文转发混乱的问题。
文档编号H04L12/56GK101345711SQ20081013517
公开日2009年1月14日 申请日期2008年8月13日 优先权日2008年8月13日
发明者代可可 申请人:成都市华为赛门铁克科技有限公司