專利名稱:網(wǎng)絡安全網(wǎng)關產品共享的方法
技術領域:
本發(fā)明涉及計算機信息安全技術領域,更具體地說涉及一種網(wǎng)絡安全網(wǎng)關產品共享的方法�����。
背景技術:
互聯(lián)網(wǎng)與人們生活越來越密切����,人們會通過已知的域名或搜索引擎去尋找自己需要的信 息和各種服務。但與此同時�����,互聯(lián)網(wǎng)安全的問題也越來越成為迫切需要解決的問題���。針對網(wǎng) 絡服務器����、針對企業(yè)內部子網(wǎng)��,都需要各種網(wǎng)絡安全設備的保護���,比如防火墻����、郵件安全網(wǎng) 關、VPN (Virtual Private Network虛擬私用網(wǎng)���,或虛擬專網(wǎng))網(wǎng)關等。這類產品都是"網(wǎng)絡安全網(wǎng)關"設備�����,原因是這些產品都是插在被保護的服務器或網(wǎng)絡 (以下稱為被保護區(qū))與不安全的互聯(lián)網(wǎng)之間�����,充當一個看門人的角色����,凡是互聯(lián)網(wǎng)與被保 護區(qū)的請求和應答都會被監(jiān)控,然后根據(jù)策略決定允許還是不允許�,還要做什么附加操作。相對來說��,這些安全網(wǎng)關設備的采購成本����、維護成本都較高���,如果是托管到IDC ( Internet Data Center互聯(lián)網(wǎng)數(shù)據(jù)中心)還需要增加托管成本。同時���,由于被保護區(qū)可能需要多種安全網(wǎng)關的保護���,必須同時需要防火墻、郵件安全網(wǎng) 關�����、SSL-VPN等���,另外�,企業(yè)內部子網(wǎng)可能內部服務器有一定的保護措施����,不一定需要加密 ,只需要一般情況下未經授權的互聯(lián)網(wǎng)用戶無法訪問即可�,這時可能需要GRE、 IPIP等非加 密VPN提供企業(yè)用戶在外部時的遠程連接�。這些需求進一步加大了客戶需要負擔的各種成本安全網(wǎng)關的性能對于被保護區(qū)來說,必然是大大冗余的����,這是為了防止安全網(wǎng)關成為瓶 頸�,這對于安全網(wǎng)關的擁有者來說����,無疑是一種浪費。因此這些安全網(wǎng)關一般只有中大型企業(yè)會用��,限制了小型企業(yè)甚至個人對安全的需求���, 對他們來說安全可望而不可及。發(fā)明內容有鑒于此����,本發(fā)明的目的在于將安全網(wǎng)關從產品變成服務,從獨占變?yōu)楣蚕?�,降低客?安全成本�����。本發(fā)明是這樣實現(xiàn)的將網(wǎng)絡安全網(wǎng)關從被保護的服務器或網(wǎng)絡(稱為被保護區(qū))與互聯(lián)網(wǎng)之間(稱為邊界) 移到互聯(lián)網(wǎng)中����,成為安全節(jié)點將互聯(lián)網(wǎng)用戶對被保護區(qū)的請求靠DNS設定���、用戶客戶端配置等方式被弓1到安全節(jié)點;安全節(jié)點根據(jù)安全策略����,將合法請求轉發(fā)被保護區(qū);被保護區(qū)收到合法請求�,將響應數(shù)據(jù)返回給安全節(jié)點;安全節(jié)點根據(jù)安全策略���,將合法響應轉發(fā)給請求方��。反方向的訪問被保護域的用戶對互聯(lián)網(wǎng)的請求靠DNAT�����、用戶客戶端配置等方式弓1到安全節(jié)點��; 安全節(jié)點根據(jù)安全策略��,將合法請求轉發(fā)請求目標�; 請求目標收到合法請求����,將響應數(shù)據(jù)返回給安全節(jié)點���; 安全節(jié)點根據(jù)安全策略,將合法響應轉發(fā)給請求方�。本發(fā)明將安全網(wǎng)關產品部署到互聯(lián)網(wǎng)上,形成安全節(jié)點���,然后用技術手段使互聯(lián)網(wǎng)與被 保護區(qū)之間的數(shù)據(jù)流路徑經過上述互聯(lián)網(wǎng)上的安全節(jié)點����,這樣上述安全節(jié)點就可以為多個����、 在不同物理位置和網(wǎng)絡拓撲位置的被保護區(qū)所共享����,例如可能對于小型企業(yè)的網(wǎng)站來說, 100個網(wǎng)站共享這一臺安全節(jié)點���,這樣這些客戶就可能只需要花1/100的錢就可以得到安全�。如果上述過程中有攻擊包�、入侵包、試探/猜試請求等非法數(shù)據(jù)包�����,這些數(shù)據(jù)包將被安 全節(jié)點堵截,不會被轉發(fā)����。從而得到了和原來在邊界使用安全網(wǎng)關相同的效果。安全節(jié)點與被保護區(qū)需要建立一條安全通道�����,可以使用不加密的ACL (存取控制列表) 來實現(xiàn)�����,也可以使用加密的VPN來實現(xiàn)���,當然理論上也可以不用虛擬專網(wǎng)VPN而用真實專網(wǎng)�, 只是這樣沒什么商業(yè)意義��。
圖1為傳統(tǒng)的在邊界使用防火墻保護被保護區(qū)的示意圖��;圖2為本發(fā)明用共享安全節(jié)點保護被保護區(qū)的方法實施例一的示意圖安全節(jié)點為防火 墻保護被保護區(qū)����;圖3為傳統(tǒng)的在邊界使用郵件安全網(wǎng)關保護郵件服務器的示意圖���;圖4為本發(fā)明用共享安全節(jié)點保護被保護區(qū)的方法實施例二的示意圖安全節(jié)點為郵件 安全網(wǎng)關保護被保護的郵件服務器和域用戶;圖5為傳統(tǒng)的在邊界使用SSL-VPN網(wǎng)關提供遠程用戶存取內部敏感網(wǎng)絡的示意圖�����;圖6為本發(fā)明用共享安全節(jié)點保護被保護區(qū)的方法實施例三的示意圖安全節(jié)點為 SSL-VPN為遠程用戶提供內部敏感網(wǎng)絡的存取�����。
具體實施方式
本發(fā)明可以在安全�����、成本和有效利用等諸多方面達成統(tǒng)一��。不同的網(wǎng)關設備在邊界的網(wǎng)絡拓撲方式可能不同����,比如有網(wǎng)橋模式(亦稱透明模式)�, 有路由模式,也有轉發(fā)模式���。本發(fā)明的實現(xiàn)方法就是將這些不同的模式都改造為適合作為互 聯(lián)網(wǎng)上安全節(jié)點的節(jié)點模式�����,這種節(jié)點模式最接近上述轉發(fā)模式��。如果把原來的方式看做是一個保安看一個大門���,那么本發(fā)明的方式就是在大門和保安中 心之間建立安全通道�����,然后所有人都通過保安中心����、穿過安全通道進出大門���,這樣一個保安 中心可以通過不同的安全通道連接多個的大門���,每個大門也可以通過不同的安全通道連接多 個保安中心。只要保安的精力足夠���,他可以同時看守多個大門���;而如果一個大門的流量很大 �,也可以靠一個保安中心的多個保安��、甚至多個保安中心來看守�����。同時����,已有的位于被保護區(qū)與互聯(lián)網(wǎng)之間(稱為邊界)的安全網(wǎng)關,即使不移到互聯(lián)網(wǎng) 中����,也可以使用本發(fā)明的方法加入這個共享體系,以進一步達到物盡其用����、降低成本的目的 。這按上述比喻���,就類似于原來已經有保安看的大門這里改造為一個保安中心,不僅看自己 這個大門�,還可以看別的大門。下面的實施方式的說明中,將分別舉例幾種最常見的模式的共享實現(xiàn)方式�����。實施例一防火墻的共享傳統(tǒng)的防火墻保護體系�,見附圖l所示兩種情況, 一是使用防火墻FW1擋在被保護服務器 Sl (或服務器群)與互聯(lián)網(wǎng)之間���,二是擋在被保護網(wǎng)絡(內有服務器S2-S4和用戶機PC1����、 PC2)與互聯(lián)網(wǎng)之間(防火墻FW2)��,這兩種情況主要是偏重不同��,前者偏重互聯(lián)網(wǎng)對服務器 的訪問����,后者偏重被保護網(wǎng)絡對互聯(lián)網(wǎng)的訪問,但實際上反方向的訪問都存在����,可以理解為 一樣的。另外如果防火墻外還有臺路由器���,防火墻可能采用網(wǎng)橋模式���;有些情況下防火墻可 以采用路由模式而省卻那臺路由器���。當將防火墻放到互聯(lián)網(wǎng)上成為安全節(jié)點(Nodel-Node5)后,如圖2所示互聯(lián)網(wǎng)上的用戶(Cl-C4)對被保護區(qū)的訪問過程變成這樣被保護區(qū)的DNS解析調整為指向安全節(jié)點���;互聯(lián)網(wǎng)用戶訪問的目的IP被解析為安全節(jié)點���,因此數(shù)據(jù)流被引導到上述安全節(jié)點;互聯(lián)網(wǎng)用戶將訪問請求發(fā)給上述安全節(jié)點���;安全節(jié)點在安全策略的控制下將該互聯(lián)網(wǎng)用戶的合法請求轉發(fā)給上述被保護區(qū)����;上述被保護區(qū)收到安全節(jié)點轉發(fā)過來的請求���,將應答數(shù)據(jù)返回給安全節(jié)點��,安全節(jié)點再 根據(jù)安全策略將合法應答數(shù)據(jù)返回給上述互聯(lián)網(wǎng)用戶�����。如果互聯(lián)網(wǎng)用戶方發(fā)出的是攻擊包����、入侵包等非法數(shù)據(jù)包�,這些數(shù)據(jù)包將被安全節(jié)點堵 截,不會轉發(fā)給被保護區(qū)����。從而得到了和原來在邊界使用完全網(wǎng)關相同的效果。為了保證安全節(jié)點不被短路(有人直接訪問被保護區(qū)的IP�,而不是用域名通過DNS解析 轉道安全節(jié)點),被保護區(qū)的路由器需要設置ACL (存取控制列表)僅允許從安全節(jié)點來的 訪問���,而不允許其他IP來的訪問�����。該安全節(jié)點可以保護多個被保護區(qū)����,即多個被保護區(qū)可以分享同一個安全節(jié)點�;同一個 被保護區(qū)也可以被多個安全節(jié)點保護,這只需要將DNS指向多個安全節(jié)點即可���。被保護區(qū)對互聯(lián)網(wǎng)上的訪問過程(如PC1��、 PC2對互聯(lián)網(wǎng)的訪問)變成這樣 被保護區(qū)的路由器要對內部對外的請求做一個DNAT (目的網(wǎng)絡地址轉換)����,將內部請求 引導到安全節(jié)點;安全節(jié)點將路由器轉發(fā)過來的內部請求包再做一個SNAT (源網(wǎng)絡地址轉換)�����,將源地址改 為安全節(jié)點的IP�����,在安全策略的控制下將該內部用戶的合法請求轉發(fā)給上述用戶原始請求目 標�����;原始請求目標將應答返回給安全節(jié)點��,安全節(jié)點在安全策略的控制下將應答數(shù)據(jù)轉發(fā)給 原始內部用戶�。該安全節(jié)點可以保護多個被保護區(qū),只需要這多個被保護區(qū)的路由器都做DNAT到該安全 節(jié)點即可���;同一個被保護區(qū)也可以使用多個安全節(jié)點���,這需要該被保護區(qū)的路由器使用策略 路由變換DNAT的目的IP為這多個安全節(jié)點���。FW6雖然沒有移到互聯(lián)網(wǎng)中而仍然處于Net3和互聯(lián)網(wǎng)的邊界上,但仍然可以加入本發(fā)明 的網(wǎng)關共享體系為其他網(wǎng)絡提供安全保障�����。實施例二郵件安全網(wǎng)關的共享郵件安全網(wǎng)關用于為郵件服務器阻擋垃圾郵件�����、病毒郵件等非法郵件�,郵件網(wǎng)關有透明 模式(如圖3的MG1保護郵件服務器MS1)和轉發(fā)模式(如圖3的MG2保護郵件服務器MS2)兩種 �,由于郵件使用的是應用層存儲轉發(fā)協(xié)議,因此所謂透明模式實際上是網(wǎng)橋加截收轉發(fā)的方式��,因此郵件安全網(wǎng)關是最容易改造成郵件安全節(jié)點來共享郵件安全網(wǎng)關設備的����。當將郵件安全網(wǎng)關放到互聯(lián)網(wǎng)上成為郵件安全節(jié)點(如圖4的MG1)后被保護郵件服務器的收件過程變成這樣被保護郵件域的DNS解析的MX項被指向郵件安全節(jié)點;發(fā)件服務器要給被保護郵件域發(fā)郵件時試圖連接郵件安全節(jié)點�;郵件安全節(jié)點在收郵件前和收郵件后按照郵件安全策略判斷該發(fā)件服務器、發(fā)件人以及 該郵件是否合法�����,將合法郵件轉發(fā)被保護郵件服務器。為了保證郵件安全節(jié)點不被短路(有人直接把郵件送給被保護郵件服務器而不是轉道郵 件安全節(jié)點)��,被保護郵件服務器需要設置策略只接收從郵件安全節(jié)點來的郵件���。同一個郵件安全節(jié)點可以保護多個郵件域或郵件服務器�����,即它們可以分享同一個郵件安 全節(jié)點�����,這只需要這多個郵件域把DNS的MX項指向該郵件安全節(jié)點即可���;同一個郵件域也可 以使用多個郵件安全節(jié)點來保護,這需要該郵件域把DNS的MX設置多個即可��。被保護郵件域用戶的發(fā)件過程變成這樣被保護郵件域用戶需要將郵件客戶端的smtp服務器設置為郵件安全網(wǎng)關��,這樣用戶在發(fā) 郵件時就是和郵件安全節(jié)點握手��;郵件安全節(jié)點轉發(fā)發(fā)件人的握手信息給被保護郵件服務器以確定發(fā)件人是否合法,并根 據(jù)郵件安全策略判斷其郵件是否合法����,將合法郵件直接轉發(fā)給郵件的目的服務器。這要求被 保護郵件域對外增加該域的合法發(fā)件服務器包括郵件安全節(jié)點的公示�。當然也可以轉發(fā)給被保護郵件服務器再轉發(fā)給目的服務器,只是對于應用層的郵件���,這 樣做有點畫蛇添足����。同一臺郵件安全節(jié)點可以保護多個內部域的用戶��,這需要這些域的內部用戶都將smtp服 務器設置為該郵件安全節(jié)點�����,或這些域的網(wǎng)絡出口路由器都對郵件協(xié)議做DNAT到該郵件安全 節(jié)點����;同一個郵件域也可以使用多臺郵件安全節(jié)點����,這只需要對外公示該域的合法發(fā)件服務 器為這些郵件安全節(jié)點即可,發(fā)件用戶可以任選其一。為了保證用戶發(fā)件不被短路�����,被保護郵件服務器應拒絕用戶直接發(fā)來的郵件���,只接收為 其提供保護的郵件安全節(jié)點發(fā)來的郵件����。實施例三SSL-VPN網(wǎng)關的共享鑒于類似IPSec等傳統(tǒng)VPN在部署���、分發(fā)密鑰等應用各方面的不方便性���,SSL-VPN是近幾 年興起的安全訪問控制設備,可以讓遠程用戶在離開內部網(wǎng)時���,通過互聯(lián)網(wǎng)方便���、安全地訪 問內部敏感網(wǎng)絡。IPSec-VPN復雜的管理和維護把用戶和網(wǎng)管推入很郁悶的境地�,他們將 SSL-VPN視為方便、安全地遠程訪問的救星��。其實IPSec-VPN和SSL-VPN各有優(yōu)點,SSL-VPN部 署容易��、無需遠程用戶安裝客戶端��、可以對應用層協(xié)議做細致的安全策略控制�����,是很好的" 用戶到網(wǎng)絡"的連接方式�����;而IPSec-VPN雖然部署麻煩�,但性能較高對于不經常變化的網(wǎng)絡 結構針對所有協(xié)議的VPN連接卻是很適合的,因此它是"網(wǎng)絡到網(wǎng)絡"連接方式的首選�。由 于SSL-VPN—直用于"用戶到網(wǎng)絡"結構使遠程用戶訪問企業(yè)內部敏感網(wǎng)絡�����,因此它也一直 是處于內部網(wǎng)和互聯(lián)網(wǎng)之間的邊界網(wǎng)關����。如圖5,有了SSL-VPN網(wǎng)關�����,移動用戶Cl-C4就可以通過互聯(lián)網(wǎng)安全地訪問敏感網(wǎng)絡Netl 內部的S1-S3,或與PC1��、 PC2通信�。當將SSL-VPN網(wǎng)關放到互聯(lián)網(wǎng)上成為SSL-VPN安全節(jié)點后,如圖6����,遠程用戶訪問內部敏 感網(wǎng)絡的過程變成這樣遠程用戶訪問SSL-VPN安全節(jié)點;SSL-VPN安全節(jié)點根據(jù)安全策略允許合法的遠程用戶連入VPN;SSL-VPN安全節(jié)點與內部敏感網(wǎng)絡之間�����,可以使用IPSec等傳統(tǒng)VPN連接���,由于安全節(jié)點 �、客戶網(wǎng)絡這些網(wǎng)絡拓撲不會經常變化�����,因此使用IPSec是合適的�;遠程用戶最終是通過SSL-VPN安全節(jié)點、IPSec-VPN連接到內部敏感網(wǎng)絡�����,同時遠程用戶 允許訪問內部敏感網(wǎng)絡的哪些數(shù)據(jù),是由SSL-VPN控制的���。同一個SSL-VPN安全節(jié)點可以保護多個內部敏感網(wǎng)絡�����,需要在SSL-VPN安全節(jié)點上設置不 同的安全子網(wǎng)��、使用不同的IPSec-VPN安全子網(wǎng)分別服務不同的內部敏感網(wǎng)絡����。同一內部敏 感網(wǎng)絡也可以使用多個SSL-VPN安全節(jié)點�,只需要用IPSec-VPN的同一安全子網(wǎng)匯集這些 SSL-VPN安全節(jié)點的相應安全子網(wǎng)即可。由于SSL-VPN安全節(jié)點與內部敏感網(wǎng)絡之間使用IPSec等傳統(tǒng)VPN建立安全通道�����,因此無 需象前述的防火墻與被保護區(qū)�、郵件安全網(wǎng)關與被保護郵件服務器之間那樣用ACL (存取控 制列表)控制只能與安全節(jié)點通信�����。當然,前述的防火墻與被保護區(qū)�、郵件安全網(wǎng)關與被保 護郵件服務器之間,也可以使用VPN的方式建立安全通道�����,但這樣需要被保護區(qū)或被保護郵 件服務器支持VPN�����。甚至這些安全通道可以使用真實的專網(wǎng)來連接��,只是這沒有商業(yè)價值�����。 反之���,SSL-VPN安全節(jié)點與內部敏感網(wǎng)絡之間其實也可以使用ACL控制來作為安全通道�����, 一般 情況下足敷應用���,當然安全等級不如使用VPN或真實專網(wǎng)���。以上公開的僅為本發(fā)明的優(yōu)選實施方式,但本發(fā)明并非局限于此�����,任何本領域的技術人 員能思之的沒有創(chuàng)造性的變化�����,以及在不脫離本發(fā)明原理前提下所作的若干改進和潤飾����,都 應落在本發(fā)明的保護范圍內。
權利要求
1. 一種網(wǎng)絡安全網(wǎng)關產品共享的方法�,其特征在于,包括將網(wǎng)絡安全網(wǎng)關產品設置在互聯(lián)網(wǎng)中����,成為可以分享的安全節(jié)點;當互聯(lián)網(wǎng)用戶請求被保護服務器或網(wǎng)絡時��,將所述互聯(lián)網(wǎng)用戶請求引到安全節(jié)點���;安全節(jié)點根據(jù)安全策略�,將合法請求轉發(fā)至所述服務器或網(wǎng)絡����;安全節(jié)點接收所述服務器或網(wǎng)絡的響應數(shù)據(jù),根據(jù)安全策略���,將合法響應轉發(fā)給請求方��。
2.如權利要求l所述的方法��,其特征在于�����,還包括 當被保護區(qū)的用戶訪問互聯(lián)網(wǎng)時 被保護區(qū)的用戶請求被引到所述安全節(jié)點�;該安全節(jié)點根據(jù)安全策略���,將合法請求轉發(fā)請求目標�,獲取請求目標的響應數(shù)據(jù)����,并 根據(jù)安全策略,將合法響應數(shù)據(jù)轉發(fā)給所述被保護區(qū)的用戶。
3. 如權利要求1或2所述的方法���,其特征在于�����,包括所述將請求引到安全節(jié)點的實現(xiàn)方式有通過域名解析DNS設定��、通過目的地址轉換 DNAT�、用戶客戶端配置���、特殊路由����、虛擬專網(wǎng)VPN���、專網(wǎng)的方式����。
4.如權利要求3所述的方法���,其特征在于���,包括 所述被保護的服務器或網(wǎng)絡僅能與對應的安全節(jié)點通信��。
5. 如權利要求4所述的方法,其特征在于 一個安全節(jié)點與若干被保護的服務器或網(wǎng)絡相對應�����。
6.如權利要求4所述的方法��,其特征在于 一個被保護的服務器或網(wǎng)絡與若干安全節(jié)點相對應�����。權利要求7
如權利要求4所述的方法�����,其特征在于所述安全網(wǎng)關產品是由被保護的服務器或網(wǎng)絡的安全網(wǎng)關改造而成���,改造內容包括 對多個被保護區(qū)的支持和管理����,即安全網(wǎng)關內部的多個虛擬通道��;網(wǎng)絡拓撲支持的改變,比 如網(wǎng)橋模式和路由模式需要改為轉發(fā)模式或VPN模式��。
全文摘要
本發(fā)明公開一種網(wǎng)絡安全網(wǎng)關產品共享的方法����,包括將網(wǎng)絡安全網(wǎng)關產品設置在互聯(lián)網(wǎng)中,成為可以分享的安全節(jié)點���;當互聯(lián)網(wǎng)用戶請求被保護區(qū)服務器或網(wǎng)絡時�����,將所述互聯(lián)網(wǎng)用戶請求引到安全節(jié)點���;安全節(jié)點根據(jù)安全策略,將合法請求轉發(fā)至所述服務器或網(wǎng)絡�����;安全節(jié)點接收所述服務器或網(wǎng)絡的響應數(shù)據(jù)�,并根據(jù)安全策略轉發(fā)給請求方。本發(fā)明實施例將安全網(wǎng)關從該服務器或網(wǎng)絡的擁有者獨享(也就必須獨自采購)變成可以被許多不在同一地方的服務器或網(wǎng)絡共享(也就不必獨自采購��,只需要共同采購或者購買服務即可)��。同時對于有的被保護區(qū),如果流量很大�����、具備多種安全需求�����,可以使用多個安全節(jié)點來保護�����,而無需自購多臺安全網(wǎng)關來保護���,節(jié)省資源。
文檔編號H04L12/66GK101222456SQ20081030022
公開日2008年7月16日 申請日期2008年1月28日 優(yōu)先權日2008年1月28日
發(fā)明者勇 陳 申請人:勇 陳