專利名稱:實現(xiàn)網(wǎng)絡安全裝置安全策略的方法
技術領域:
本發(fā)明涉及網(wǎng)絡安全裝置中實現(xiàn)安全策略的方法��。
背景技術:
隨著網(wǎng)絡技術的快速發(fā)展以及互聯(lián)網(wǎng)應用的普及��,網(wǎng)絡安全受到越來越廣泛的關注?,F(xiàn)有的網(wǎng)絡安全裝置通常包括防火墻、入侵檢測設備以及虛擬專用網(wǎng)(VPN)等安全設備或功能模塊�����。
安全策略是一種處理安全問題的管理策略的描述��,用于控制主機之間的通信����,以提高主機間通信的安全性�。
在配置安全策略時,安全策略中的源地址和目的地址通常使用網(wǎng)絡地址��;所述源地址描述的是源網(wǎng)絡的信息�����,目的地址描述的是目的網(wǎng)絡的信息�����。當安全裝置收到一個數(shù)據(jù)包時,提取數(shù)據(jù)包的源地址和目的地址�����,并且與安全策略中的源地址和目的地址匹配����,根據(jù)匹配的結果,并依據(jù)所述安全策略對數(shù)據(jù)包進行相應的處理����。
根據(jù)以上的原理,一種現(xiàn)行的實現(xiàn)安全策略的方法為手動解析域名地址對應的網(wǎng)絡地址�,并在安全裝置的安全策略中使用網(wǎng)絡地址。這種方法的缺點是如果所述域名地址所對應的網(wǎng)絡地址產(chǎn)生了變化�,則需要手動重新解析域名地址,并應用該解析獲得的網(wǎng)絡地址重新生效安全策略��。
另一種實現(xiàn)安全策略的現(xiàn)有技術為在安全策略中直接使用源網(wǎng)絡及目的網(wǎng)絡的域名地址�,在安全策略生效時,解析域名地址所對應的網(wǎng)絡地址���。這種方法的缺陷在于域名地址所對應的網(wǎng)絡地址只在安全策略生效時進行一次性解析�,實現(xiàn)安全策略時,均使用所述第一次解析獲得的網(wǎng)絡地址與數(shù)據(jù)包中的網(wǎng)絡地址進行匹配����,因此,如果安全策略中使用的域名地址所對應的網(wǎng)絡地址發(fā)生變化����,則需要重新解析域名地址所對應的網(wǎng)絡地址,進而重新配置安全策略����,否則無法實現(xiàn)安全策略。
綜上所述�����,如果域名地址所對應的網(wǎng)絡地址產(chǎn)生了變化���,則現(xiàn)有的安全策略實現(xiàn)方法中��,不能動態(tài)的更新網(wǎng)絡地址與域名地址的對應關系。由于現(xiàn)有網(wǎng)絡安全裝置無法靈活應對網(wǎng)絡地址的動態(tài)變化�����,因而提高了網(wǎng)絡安全裝置的配置管理工作量。
發(fā)明內容
本發(fā)明要解決的問題是提供一種實現(xiàn)網(wǎng)絡安全裝置安全策略的方法����,該方法能夠適應網(wǎng)絡地址的動態(tài)變化,使網(wǎng)絡安全裝置快速實現(xiàn)安全策略���。
為了解決上述問題��,本發(fā)明提供了一種實現(xiàn)安全策略的方法�,包括1)建立域名地址與網(wǎng)絡地址的對應關系��;2)配置安全策略�,在安全策略中引用域名地址;3)獲取數(shù)據(jù)包中攜帶的網(wǎng)絡地址���;4)將數(shù)據(jù)包中攜帶的網(wǎng)絡地址與所述域名地址對應的網(wǎng)絡地址進行匹配����;5)依據(jù)匹配結果及安全策略對數(shù)據(jù)包進行處理���。
步驟2)中還包括應用網(wǎng)絡地址配置安全策略�;并且�,步驟3)中還包括查找安全策略中是否定義了數(shù)據(jù)包中攜帶的網(wǎng)絡地址����,若沒有��,則進行步驟4)���,否則使用安全策略中定義的網(wǎng)絡地址進行匹配���,進行步驟5)。
步驟1)中所述建立對應關系具體為網(wǎng)絡安全裝置向服務器請求域名地址所對應的網(wǎng)絡地址���;服務器對所述域名地址進行解析�,并向網(wǎng)絡安全裝置反饋解析獲得的網(wǎng)絡地址與域名地址的對應關系�����。
網(wǎng)絡安全裝置周期性向服務器請求域名地址所對應的網(wǎng)絡地址�。
步驟1)中所述建立對應關系具體為網(wǎng)絡安全裝置分析經(jīng)過網(wǎng)絡設備的域名服務器協(xié)議的數(shù)據(jù)包,獲取域名地址與網(wǎng)絡地址的對應關系�。
步驟1)中還包括在預置時長內,若所述獲取的網(wǎng)絡地址與域名地址的對應關系未進行更新����,則刪除該對應關系。
在網(wǎng)絡安全裝置的用戶空間和內核空間分別建立域名地址和網(wǎng)絡地址的對應關系�。
所述用戶空間與內核空間中域名地址與網(wǎng)絡地址的對應關系同步更新。
以上技術方案可以看出�,在本發(fā)明中,由于在配置網(wǎng)絡安全策略時引用了域名地址���,并且建立了域名地址與網(wǎng)絡地址的對應關系����,因而��,本發(fā)明在安全策略未定義數(shù)據(jù)包中攜帶的網(wǎng)絡地址時��,可查找域名地址與網(wǎng)絡地址建立的對應關系����,對數(shù)據(jù)包中攜帶的網(wǎng)絡地址進行匹配,進而根據(jù)所述安全策略對數(shù)據(jù)包進行處理�。
進一步,本發(fā)明對所述建立的域名地址與網(wǎng)絡地址的對應關系進行動態(tài)管理�����,能夠建立域名地址與動態(tài)的網(wǎng)絡地址的對應關系��,并及時對該對應關系進行更新,而不必重新配置安全策略�;因此,在網(wǎng)絡地址發(fā)生變化時����,本發(fā)明能正確的對數(shù)據(jù)包中攜帶的網(wǎng)絡地址進行匹配,進而能夠依據(jù)安全策略對數(shù)據(jù)包進行正確的處理���。
進一步����,本發(fā)明在安全裝置的用戶空間與內核空間分別維護一個網(wǎng)絡地址與域名地址的對應關系����,并進行同步的更新,因此�,在對數(shù)據(jù)包中攜帶的網(wǎng)絡地址進行匹配時,能夠更加快速的查找所述的網(wǎng)絡地址與域名地址的對應關系�,提高了網(wǎng)絡安全裝置的處理效率。
綜上所述�,本發(fā)明方便了網(wǎng)絡安全裝置的管理,增強了網(wǎng)絡安全設備對網(wǎng)絡環(huán)境的適應能力��。
圖1為本發(fā)明實施例流程圖;圖2為用戶空間和內核空間中域名地址資源邏輯關系示意圖��;圖3為安全策略中進行網(wǎng)絡地址匹配的流程圖����。
具體實施例方式
本發(fā)明的核心思想是在網(wǎng)絡的安全策略中引用域名地址資源��,所述域名地址資源維護域名地址與它所對應的網(wǎng)絡地址之間的對應關系���,使所述對應關系能夠隨網(wǎng)絡實際環(huán)境的變化而更新���;在實現(xiàn)安全策略中使用域名地址資源中解析的網(wǎng)絡地址來完成網(wǎng)絡數(shù)據(jù)包的匹配,進而依據(jù)所述安全策略對數(shù)據(jù)包進行相應的處理�。
依照上述核心思想,參照圖1�����,本發(fā)明的具體實施方式
為步驟1建立域名地址與網(wǎng)絡地址的對應關系�,動態(tài)維護所述網(wǎng)絡地址與域名地址的對應關系;本實施例中���,通過建立和維護域名地址資源的方法實現(xiàn)本發(fā)明�,包括A)建立域名地址資源在域名地址資源中定義的屬性可包括域名地址資源的名稱,即某域名地址通常使用的名稱�����;域名地址�����,包括ASCII字符組成的域名地址或中文域名地址���,當某網(wǎng)站具有中文域名時��,通常該中文域名地址與所述域名地址資源的名稱相同��;靜態(tài)網(wǎng)絡地址�,即手動添加的網(wǎng)絡地址����;主次域名服務器,用于動態(tài)解析域名地址所對應的網(wǎng)絡地址的服務器地址��;動態(tài)解析�,即定義動態(tài)獲取域名地址所對應的網(wǎng)絡地址的功能;解析間隔����,動態(tài)獲取域名地址所對應的網(wǎng)絡地址的時間間隔����;失效期限�,動態(tài)獲取的域名地址和網(wǎng)絡地址的對應關系失效的時間間隔;最大記錄數(shù)����,每個域名地址所對應的網(wǎng)絡地址的最大數(shù)目�����。
實現(xiàn)安全策略之前����,用戶可以通過添加域名地址資源,并可以編輯域名地址資源的屬性�����,如添加靜態(tài)網(wǎng)絡地址或選擇動態(tài)解析功能等�����,用戶同樣可以刪除已建好的域名地址資源。
B)動態(tài)獲取域名地址對應的網(wǎng)絡地址�,其方法包括B1)域名地址資源程序向域名服務器主動請求域名地址所對應的網(wǎng)絡地址。即如果建立域名地址資源時開啟了動態(tài)解析功能����,則在添加域名地址資源時,域名地址資源程序會向域名服務器發(fā)送域名地址請求���,并且在域名地址資源建立完成后���,定時向域名服務器請求發(fā)送該域名地址資源的域名地址所對應的網(wǎng)絡地址。所述域名服務器是在域名地址資源屬性中定義的主次域名服務器��,如果域名地址資源中沒有定義主次域名服務器地址��,則使用本安全裝置的域名服務器地址����;B2)由網(wǎng)絡安全裝置的內核模塊分析穿過網(wǎng)絡設備的域名地址服務器(DNS)的協(xié)議包,并從中獲取域名地址和網(wǎng)絡地址的對應關系�����。
C)維護域名地址和網(wǎng)絡地址的對應關系域名地址資源程序在用戶空間和內核空間中各維護一個域名地址與網(wǎng)絡地址的對應關系表�,并且�,用戶空間和內核空間的對應關系表保持同步更新�。如圖2所示,在網(wǎng)絡安全裝置的用戶空間與內核空間中各自具有一個域名地址與網(wǎng)絡地址對應關系表21�,功能單元22為安全策略或其他功能模塊引用所述域名地址資源,進而獲取所述對應表21中的網(wǎng)絡地址與域名地址的對應關系���,在用戶單元中包括域名地址自動解析和更新單元23�����,該功能單元用于維護和更新所述對應關系表21中的網(wǎng)絡地址與域名地址的對應關系����,網(wǎng)絡安全裝置中內核空間與用戶空間中的域名地址和網(wǎng)絡地址對應關系表21通過功能單元23達到同步更新����。
在所述域名地址與網(wǎng)絡地址的對應關系表中��,一個域名地址所對應的網(wǎng)絡地址包括手動添加的靜態(tài)網(wǎng)絡地址和動態(tài)解析的動態(tài)網(wǎng)絡地址�。如上所述,由于建立域名地址資源時開啟了動態(tài)解析功能���,因而每個域名地址對應的動態(tài)網(wǎng)絡地址都會被定期自動解析出來�����,以建立與域名地址的對應關系���;并且��,當所述動態(tài)網(wǎng)絡地址與域名地址的對應關系在預置的時長內沒有更新時��,則在域名地址資源中將該動態(tài)網(wǎng)絡地址刪除��。每個域名地址的自動解析間隔和動態(tài)網(wǎng)絡地址的存活期限可以設置為不相同����。
步驟2配置安全策略���,并在安全策略中引用域名地址����。根據(jù)用戶的不同需求制定適應網(wǎng)絡環(huán)境的安全策略��,本發(fā)明中不對安全策略的制定進行限制�����。在安全策略中,根據(jù)域名地址資源名稱引用域名地址資源����。網(wǎng)絡安全裝置中的其他模塊根據(jù)本模塊的需要來引用域名地址資源。
步驟3獲取數(shù)據(jù)包中攜帶的網(wǎng)絡地址�����;網(wǎng)絡中傳送的數(shù)據(jù)包中帶有以網(wǎng)絡地址標識的源地址和目的地址����,本領域技術人員可依照現(xiàn)有技術獲取所述數(shù)據(jù)包中的網(wǎng)絡地址。
步驟4將數(shù)據(jù)包中攜帶的網(wǎng)絡地址與所述域名地址對應的網(wǎng)絡地址進行匹配��。在安全策略或其他功能模塊中引用域名地址資源��,并在安全策略生效時���,根據(jù)域名地址資源的域名地址資源名稱或序號,從網(wǎng)絡安全裝置的用戶空間或內核空間維護的域名地址與網(wǎng)絡地址的對應表中查找相應網(wǎng)絡地址����,進而對數(shù)據(jù)包中攜帶的網(wǎng)絡地址進行匹配。
參照圖3�����,在本實施例中,步驟31�����,網(wǎng)絡安全裝置收到數(shù)據(jù)包����;步驟32,提取數(shù)據(jù)包中的網(wǎng)絡地址�;在獲取數(shù)據(jù)包中的網(wǎng)絡地址后,進行步驟33�����,判斷是否需要在安全策略時引用域名地址資源�����;若需要�����,則進行步驟34,獲取域名地址資源對應表中的網(wǎng)絡地址�����;進而進行步驟35��,應用這些網(wǎng)絡地址對數(shù)據(jù)包中攜帶的網(wǎng)絡地址進行匹配�����;若步驟33中判斷不需要引用域名地址資源�����,則進行步驟36��,應用安全策略中的網(wǎng)絡地址對數(shù)據(jù)包中攜帶的網(wǎng)絡地址進行匹配����。
步驟5依據(jù)匹配結果,參照安全策略對數(shù)據(jù)包進行處理���,如進行丟棄或將數(shù)據(jù)包按照安全策略進行轉發(fā)等。
以上對本發(fā)明所提供的實現(xiàn)網(wǎng)絡安全裝置安全策略的方法進行了詳細介紹�����,本文中應用了具體個例對本發(fā)明的原理及實施方式進行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想�����;同時����,對于本領域的一般技術人員,依據(jù)本發(fā)明的思想�,在具體實施方式
及應用范圍上均會有改變之處,綜上所述��,本說明書內容不應理解為對本發(fā)明的限制��。
權利要求
1.一種實現(xiàn)安全策略的方法�����,其特征在于1)建立域名地址與網(wǎng)絡地址的對應關系��;2)配置安全策略�����,在安全策略中引用域名地址;3)獲取數(shù)據(jù)包中攜帶的網(wǎng)絡地址�;4)將數(shù)據(jù)包中攜帶的網(wǎng)絡地址與所述域名地址對應的網(wǎng)絡地址進行匹配;5)依據(jù)匹配結果及安全策略對數(shù)據(jù)包進行處理�����。
2.如權利要求1所述的實現(xiàn)安全策略的方法��,其特征在于步驟2)中還包括應用網(wǎng)絡地址配置安全策略���;并且�����,步驟3)中還包括查找安全策略中是否定義了數(shù)據(jù)包中攜帶的網(wǎng)絡地址��,若沒有����,則進行步驟4)��,否則使用安全策略中定義的網(wǎng)絡地址進行匹配���,進行步驟5)����。
3.如權利要求1所述的實現(xiàn)安全策略的方法���,其特征在于��,步驟1)中所述建立對應關系具體為網(wǎng)絡安全裝置向服務器請求域名地址所對應的網(wǎng)絡地址��;服務器對所述域名地址進行解析���,并向網(wǎng)絡安全裝置反饋解析獲得的網(wǎng)絡地址與域名地址的對應關系。
4.如權利要求3所述的實現(xiàn)安全策略的方法�����,其特征在于網(wǎng)絡安全裝置周期性向服務器請求域名地址所對應的網(wǎng)絡地址���。
5.如權利要求1所述的實現(xiàn)安全策略的方法���,其特征在于,步驟1)中所述建立對應關系具體為網(wǎng)絡安全裝置分析經(jīng)過網(wǎng)絡設備的域名服務器協(xié)議的數(shù)據(jù)包����,獲取域名地址與網(wǎng)絡地址的對應關系���。
6.如權利要求3至5其中之一所述的實現(xiàn)安全策略的方法,其特征在于�����,步驟1)中還包括在預置時長內�����,若所述獲取的網(wǎng)絡地址與域名地址的對應關系未進行更新�����,則刪除該對應關系���。
7.如權利要求1至5其中之一所述的實現(xiàn)安全策略的方法���,其特征在于在網(wǎng)絡安全裝置的用戶空間和內核空間分別建立域名地址和網(wǎng)絡地址的對應關系。
8.如權利要求7所述的實現(xiàn)安全策略的方法��,其特征在于所述用戶空間與內核空間中域名地址與網(wǎng)絡地址的對應關系同步更新���。
全文摘要
本發(fā)明公開了一種實現(xiàn)安全策略的方法����,包括1)建立域名地址與網(wǎng)絡地址的對應關系;2)配置安全策略���,在安全策略中引用域名地址;3)獲取數(shù)據(jù)包中攜帶的網(wǎng)絡地址�����;4)將數(shù)據(jù)包中攜帶的網(wǎng)絡地址與所述域名地址對應的網(wǎng)絡地址進行匹配���;5)依據(jù)匹配結果及安全策略對數(shù)據(jù)包進行處理�����。在本發(fā)明中���,在配置網(wǎng)絡安全策略時引用了域名地址,并且建立了域名地址與網(wǎng)絡地址的對應關系�;對所述建立的域名地址與網(wǎng)絡地址的對應關系進行動態(tài)管理;并在安全裝置的用戶空間與內核空間分別維護一個網(wǎng)絡地址與域名地址的對應關系���,并進行同步的更新����。因此,本發(fā)明方便了網(wǎng)絡安全裝置的管理�,增強了網(wǎng)絡安全設備對網(wǎng)絡環(huán)境的適應能力。
文檔編號H04L12/24GK1863193SQ200510069130
公開日2006年11月15日 申請日期2005年5月10日 優(yōu)先權日2005年5月10日
發(fā)明者朱小平, 畢學堯, 楊聰毅 申請人:聯(lián)想網(wǎng)御科技(北京)有限公司