專利名稱：一種實(shí)現(xiàn)防火墻接入的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，特別涉及一種實(shí)現(xiàn)防火墻接入的方法。
背景技術(shù)：
防火墻作為重要的網(wǎng)絡(luò)安全設(shè)備，在現(xiàn)在的各類網(wǎng)絡(luò)環(huán)境中已經(jīng)成為不可缺少的 網(wǎng)絡(luò)設(shè)備。大部分防火墻都可以支持各種組網(wǎng)，包括常見二層交換和三層路由等等，防火墻 也實(shí)現(xiàn)了交換機(jī)和路由器的主要功能。 隨著網(wǎng)絡(luò)設(shè)計(jì)的日益復(fù)雜，配置防火墻對(duì)網(wǎng)絡(luò)管理員的要求也逐漸提高了，管理
員要考慮如何配置防火墻的交換和路由的功能才能使網(wǎng)絡(luò)通訊正常，而且隨著各種網(wǎng)絡(luò)協(xié)
議的層出不窮，防火墻和路由器、交換機(jī)之間也會(huì)出現(xiàn)一些不兼容的問題，所以在一些復(fù)雜
的網(wǎng)絡(luò)環(huán)境中，加入防火墻并使整個(gè)網(wǎng)絡(luò)正常工作并不是一件容易的工作。 而且，在很多情況下，用戶只是需要在一個(gè)現(xiàn)有的網(wǎng)絡(luò)中增加安全功能，用戶不想
對(duì)現(xiàn)有的網(wǎng)絡(luò)設(shè)備做任何調(diào)整和配置的修改，只需要增加防火墻對(duì)網(wǎng)絡(luò)中的報(bào)文進(jìn)行分析
和過濾，保證網(wǎng)絡(luò)的安全。如果防火墻能夠做到用戶只需要關(guān)心防火墻提供的各種安全保
護(hù)功能，了解安全訪問控制的配置方法，而不需要考慮防火墻如何才能接入網(wǎng)絡(luò)并保證網(wǎng)
絡(luò)的正常運(yùn)行，這對(duì)用戶來說，應(yīng)該是大大減輕了網(wǎng)絡(luò)維護(hù)的工作。

發(fā)明內(nèi)容
本發(fā)明的目的在于，提供一種實(shí)現(xiàn)防火墻接入的方法。
本發(fā)明的實(shí)現(xiàn)防火墻接入的方法，包括下列步驟 步驟A:預(yù)先利用網(wǎng)口配置命令將防火墻設(shè)置成虛擬線，將防火墻內(nèi)部數(shù)據(jù)結(jié)構(gòu) 修改成包含標(biāo)識(shí)消息是否從虛擬線轉(zhuǎn)發(fā)來的標(biāo)志位的數(shù)據(jù)結(jié)構(gòu)，并選擇兩個(gè)網(wǎng)口作為所述 虛擬線的兩個(gè)端口； 步驟B :防火墻收到消息后，如果該消息是從所述虛擬線接口收到的，則保存該消
息的出接口為所述虛擬線的對(duì)端網(wǎng)口，并進(jìn)行連接處理； 步驟D :進(jìn)行防火墻規(guī)則的匹配，過濾掉不符合規(guī)則的消息； 步驟E :發(fā)送消息，根據(jù)所述保存的出接口把消息發(fā)送出去。 其中，所述步驟A包括下列步驟 步驟A1 :防火墻需要在內(nèi)存中記錄虛擬線配置，每條虛擬線需要記錄用于指向虛 擬線的兩個(gè)網(wǎng)口的兩個(gè)指針，并將系統(tǒng)中所有虛擬線的配置進(jìn)行保存； 步驟A2 :保存消息的數(shù)據(jù)結(jié)構(gòu)新增一個(gè)bit的標(biāo)志位do—vline，通過設(shè)置該標(biāo)志 位，表示消息是否通過虛擬線轉(zhuǎn)發(fā)。 其中，在所述步驟A1中，將系統(tǒng)中所有虛擬線的配置通過全局鏈表或者通過數(shù)組 進(jìn)行保存。 其中，在步驟B中，通過遍歷該全局鏈表，查看鏈表中每個(gè)節(jié)點(diǎn)記錄的兩個(gè)網(wǎng)口， 只要有和收到消息的網(wǎng)口相同的，就說明消息是從虛擬線接口收到的。
3
其中，在所述步驟A2中，如果do_vline為l，代表消息是通過虛擬線轉(zhuǎn)發(fā)，否則表 示消息需要走普通的處理流程；dojline缺省為0，當(dāng)確認(rèn)消息是從虛擬線轉(zhuǎn)發(fā)時(shí)，將其設(shè) 置為1。 另外，在步驟B中，進(jìn)行連接處理之前，進(jìn)一步包括下列步驟根據(jù)標(biāo)志位判斷是 否屬于虛擬線的消息，如果是，則進(jìn)行連接處理；否則，進(jìn)行二層交換處理，進(jìn)行MAC地址學(xué) 習(xí)，確認(rèn)消息從屬于哪個(gè)局域網(wǎng)。 另外，在步驟B中，進(jìn)行連接處理之后，進(jìn)一步包括下列步驟根據(jù)消息的標(biāo)志位 判斷是否屬于虛擬線的消息，如果是，則在連接處理之后直接執(zhí)行步驟C ;否則，在進(jìn)行連 接處理之后，進(jìn)行三層路由處理，即進(jìn)行路由查找，進(jìn)行必要的地址轉(zhuǎn)換協(xié)議ARP查詢，最 終確認(rèn)消息的出接口 ，然后執(zhí)行步驟C。 本發(fā)明的有益效果是依照本發(fā)明的實(shí)現(xiàn)防火墻接入的方法，對(duì)于組網(wǎng)來說，防火 墻就相當(dāng)于一根網(wǎng)線，管理員不用配置任何有關(guān)交換和路由等數(shù)據(jù)通訊方面的配置，只需 要選擇兩個(gè)網(wǎng)口作為虛擬線的端口 ，然后再配置各種安全規(guī)則，最后把虛擬線的兩個(gè)網(wǎng)口 接入到網(wǎng)絡(luò)中就可以。因此，大大簡(jiǎn)化了防火墻的配置和組網(wǎng)的難度；并且可以實(shí)現(xiàn)防火墻 的平滑遷移，當(dāng)一臺(tái)防火墻需要遷移到另一個(gè)網(wǎng)絡(luò)環(huán)境時(shí)，不需要做任何配置上的修改。


圖1為本發(fā)明的組網(wǎng)舉例示意圖；
圖2為本發(fā)明實(shí)施時(shí)的消息處理流程圖。
具體實(shí)施例方式
以下，參考附圖1 2詳細(xì)描述本發(fā)明的實(shí)現(xiàn)防火墻接入的方法。
步驟100 :利用網(wǎng)口配置命令將兩個(gè)網(wǎng)口作為虛擬線的兩個(gè)端口 ，將防火墻設(shè)置
成虛擬線，并預(yù)先對(duì)防火墻內(nèi)部數(shù)據(jù)結(jié)構(gòu)進(jìn)行修改； 具體地，可以依照如下方式使用和配置虛擬線 在將防火墻接入到網(wǎng)絡(luò)中時(shí)，只使用兩個(gè)網(wǎng)口，例如ethl和eth2，把ethl和eth2
接入網(wǎng)絡(luò)，具體ethl和eth2連接的是路由器、交換機(jī)或是其他網(wǎng)絡(luò)設(shè)備都是可以的； 管理員運(yùn)行配置命令，把兩個(gè)網(wǎng)口配置成一條虛擬線，具體命令如network
virtual-line add devl ethl dev2 eth2，表示把網(wǎng)口 ethl和網(wǎng)口 eth2作為虛擬線的兩
個(gè)端口。管理員配置各種防火墻的訪問控制規(guī)則，其作用范圍為虛擬線的接口。 防火墻的規(guī)則是比較復(fù)雜的，具體的配置情況由于與本發(fā)明關(guān)系不大，所以不做
舉例，總之防火墻規(guī)則和其他組網(wǎng)的配置情況是一樣的，用戶根據(jù)內(nèi)外網(wǎng)口配置不同的策
略作用到ethl和eth2上。 另外，步驟100可以包括下列步驟 步驟11 :防火墻需要在內(nèi)存中記錄虛擬線配置，每條虛擬線需要記錄用于指向虛 擬線的兩個(gè)網(wǎng)口的兩個(gè)指針，并將系統(tǒng)中所有虛擬線的配置進(jìn)行保存； 其中，將系統(tǒng)中所有虛擬線的配置可以通過全局鏈表保存，當(dāng)管理員添加和刪除
虛擬線的配置時(shí)，最終會(huì)更新這個(gè)全局鏈表；此外，還可以通過數(shù)組進(jìn)行保存； 步驟12 :保存消息的數(shù)據(jù)結(jié)構(gòu)tos_buff需要新增一個(gè)bit的標(biāo)志位do—vline，通過設(shè)置該標(biāo)志位，表示消息是否通過虛擬線轉(zhuǎn)發(fā)； 其中，如果do_Vline為l，代表消息是通過虛擬線轉(zhuǎn)發(fā)，否則表示消息需要走普通
的處理流程；dojline缺省為0，當(dāng)確認(rèn)消息是從虛擬線轉(zhuǎn)發(fā)時(shí)，把它設(shè)置為1。 步驟200 :防火墻收到消息后，判斷該消息是否是從虛擬線接口收到的，如果是，
則記錄該消息的出接口為該虛擬線的對(duì)端網(wǎng)口，并執(zhí)行步驟300;否則，依照普通流程進(jìn)行
消息轉(zhuǎn)發(fā)； 其中，在步驟200中，該判斷過程就是在系統(tǒng)中查找所有虛擬線的配置保存情況， 例如，如果所有虛擬線的配置是通過全局鏈表保存實(shí)現(xiàn)的，則遍歷該全局鏈表，查看鏈表中 每個(gè)節(jié)點(diǎn)記錄的兩個(gè)網(wǎng)口，只要有和收到消息的網(wǎng)口相同的，就說明消息是從虛擬線接口 收到的。 另外，在步驟200中，假設(shè)消息是從端口 ethl收到的，那消息將來發(fā)送時(shí)使用的出 接口就應(yīng)該是eth2 ;防火墻中每個(gè)消息的相關(guān)信息都記錄在tos_buff的結(jié)構(gòu)中，其中數(shù)據(jù) 成員為odev，表示消息的出接口，這時(shí)把odev置為eth2，同時(shí)把tos_buff的do_vline標(biāo) 志置為1。 另外，需要說明的是，如果依照普通流程進(jìn)行消息轉(zhuǎn)發(fā)，則要進(jìn)行二層交換處理， 主要是進(jìn)行mac地址的學(xué)習(xí)，確認(rèn)消息從屬于哪個(gè)vlan等；而對(duì)于虛擬線轉(zhuǎn)發(fā)的消息，這些 步驟是沒有必要的，所以在進(jìn)入這個(gè)步驟處理前，需要根據(jù)標(biāo)志位dojline判斷是否屬于 虛擬線的消息，如果是，則執(zhí)行步驟300 ;否則，進(jìn)入二層交換處理。
步驟300 :進(jìn)行連接處理； 需要說明的是，虛擬線轉(zhuǎn)發(fā)的消息也同樣需要建立連接，當(dāng)前的防火墻主要都是 基于連接的，防火墻的主要功能和緩存的信息都是針對(duì)連接進(jìn)行操作，虛擬線的消息如果 需要防火墻功能，同樣需要建立連接，這個(gè)和普通的消息是一致的。并且，對(duì)于虛擬線消息 來說，在收到消息時(shí)已經(jīng)確定了出接口 。 另外，在執(zhí)行步驟300之后，可以進(jìn)一步包括下列步驟判斷消息的do—vline標(biāo)志 是否為l，如果為l(即屬于虛擬線的消息)，則在執(zhí)行步驟300后直接執(zhí)行步驟400 ;否則， 依照普通流程進(jìn)行消息轉(zhuǎn)發(fā)，即在執(zhí)行步驟300后，還需要進(jìn)行三層路由處理，主要是進(jìn)行 路由查找，進(jìn)行必要的地址轉(zhuǎn)換協(xié)議(Address Resolution Protocol,ARP)查詢，最終確認(rèn) 消息的出接口 ，然后執(zhí)行步驟400 。 步驟400 :進(jìn)行防火墻規(guī)則的匹配，過濾掉不符合規(guī)則的消息。這是防火墻的基本 功能，虛擬線的消息也需要正常處理。 步驟500 :發(fā)送消息，根據(jù)tos_buff記錄的出接口把消息發(fā)送出去。
對(duì)于虛擬線消息來說，odev已經(jīng)確認(rèn)，而且消息的二層和三層頭也不需要修改，直 接把消息發(fā)送給odev設(shè)備就可以了。而對(duì)于普通消息，由于經(jīng)過了二層和三層的處理，已 經(jīng)可以知道出接口和目的mac等信息。 綜上所述，依照本發(fā)明的實(shí)現(xiàn)防火墻接入的方法，對(duì)于組網(wǎng)來說，防火墻就相當(dāng)于 一根網(wǎng)線，管理員不用配置任何有關(guān)交換和路由等數(shù)據(jù)通訊方面的配置，只需要選擇兩個(gè) 網(wǎng)口作為虛擬線的端口，然后再配置各種安全規(guī)則，最后把虛擬線的兩個(gè)網(wǎng)口接入到網(wǎng)絡(luò) 中就可以。因此，大大簡(jiǎn)化了防火墻的配置和組網(wǎng)的難度；并且可以實(shí)現(xiàn)防火墻的平滑遷 移，當(dāng)一臺(tái)防火墻需要遷移到另一個(gè)網(wǎng)絡(luò)環(huán)境時(shí)，不需要做任何配置上的修改。
5
以上是為了使本領(lǐng)域普通技術(shù)人員理解本發(fā)明，而對(duì)本發(fā)明所進(jìn)行的詳細(xì)描述， 但可以想到，在不脫離本發(fā)明的權(quán)利要求所涵蓋的范圍內(nèi)還可以做出其它的變化和修改， 這些變化和修改均在本發(fā)明的保護(hù)范圍內(nèi)。
權(quán)利要求
一種實(shí)現(xiàn)防火墻接入的方法，其特征在于，包括下列步驟步驟A預(yù)先利用網(wǎng)口配置命令將防火墻設(shè)置成虛擬線，將防火墻內(nèi)部數(shù)據(jù)結(jié)構(gòu)修改成包含標(biāo)識(shí)消息是否從虛擬線轉(zhuǎn)發(fā)來的標(biāo)志位的數(shù)據(jù)結(jié)構(gòu)，并選擇兩個(gè)網(wǎng)口作為所述虛擬線的兩個(gè)端口；步驟B防火墻收到消息后，如果該消息是從所述虛擬線接口收到的，則保存該消息的出接口為所述虛擬線的對(duì)端網(wǎng)口，并進(jìn)行連接處理；步驟D進(jìn)行防火墻規(guī)則的匹配，過濾掉不符合規(guī)則的消息；步驟E發(fā)送消息，根據(jù)所述保存的出接口把消息發(fā)送出去。
2. 如權(quán)利要求1所述的實(shí)現(xiàn)防火墻接入的方法，其特征在于，所述步驟A包括下列步驟步驟A1 :防火墻需要在內(nèi)存中記錄虛擬線配置，每條虛擬線需要記錄用于指向虛擬線 的兩個(gè)網(wǎng)口的兩個(gè)指針，并將系統(tǒng)中所有虛擬線的配置進(jìn)行保存；步驟A2 :保存消息的數(shù)據(jù)結(jié)構(gòu)新增一個(gè)bit的標(biāo)志位do—vline，通過設(shè)置該標(biāo)志位，表 示消息是否通過虛擬線轉(zhuǎn)發(fā)。
3. 如權(quán)利要求1所述的實(shí)現(xiàn)防火墻接入的方法，其特征在于，在所述步驟Al中，將系統(tǒng) 中所有虛擬線的配置通過全局鏈表或者通過數(shù)組進(jìn)行保存。
4. 如權(quán)利要求3所述的實(shí)現(xiàn)防火墻接入的方法，其特征在于，在步驟B中，通過遍歷該 全局鏈表，查看鏈表中每個(gè)節(jié)點(diǎn)記錄的兩個(gè)網(wǎng)口，只要有和收到消息的網(wǎng)口相同的，就說明 消息是從虛擬線接口收到的。
5. 如權(quán)利要求1所述的實(shí)現(xiàn)防火墻接入的方法，其特征在于，在所述步驟A2中，如 果do_vline為l，代表消息是通過虛擬線轉(zhuǎn)發(fā)，否則表示消息需要走普通的處理流程；do_ vline缺省為0，當(dāng)確認(rèn)消息是從虛擬線轉(zhuǎn)發(fā)時(shí)，將其設(shè)置為1。
6. 如權(quán)利要求1所述的實(shí)現(xiàn)防火墻接入的方法，其特征在于，在步驟B中，進(jìn)行連接處 理之前，進(jìn)一步包括下列步驟根據(jù)標(biāo)志位判斷是否屬于虛擬線的消息，如果是，則進(jìn)行連 接處理；否則，進(jìn)行二層交換處理，進(jìn)行MAC地址學(xué)習(xí)，確認(rèn)消息從屬于哪個(gè)局域網(wǎng)。
7. 如權(quán)利要求1所述的實(shí)現(xiàn)防火墻接入的方法，其特征在于，在步驟B中，進(jìn)行連接處 理之后，進(jìn)一步包括下列步驟根據(jù)消息的標(biāo)志位判斷是否屬于虛擬線的消息，如果是，則在連接處理之后直接執(zhí)行步驟C;否則，在進(jìn)行連接處理之后，進(jìn)行三層路由處理，即進(jìn)行路由查找，進(jìn)行必要的地址轉(zhuǎn)換協(xié)議ARP查詢，最終確認(rèn)消息的出接口 ，然后執(zhí)行步驟C。
全文摘要
本發(fā)明提供一種實(shí)現(xiàn)防火墻接入的方法，包括下列步驟步驟A預(yù)先利用網(wǎng)口配置命令將防火墻設(shè)置成虛擬線，將防火墻內(nèi)部數(shù)據(jù)結(jié)構(gòu)修改成包含標(biāo)識(shí)消息是否從虛擬線轉(zhuǎn)發(fā)來的標(biāo)志位的數(shù)據(jù)結(jié)構(gòu)，并選擇兩個(gè)網(wǎng)口作為所述虛擬線的兩個(gè)端口；步驟B防火墻收到消息后，如果該消息是從所述虛擬線接口收到的，則保存該消息的出接口為所述虛擬線的對(duì)端網(wǎng)口，并進(jìn)行連接處理；步驟D進(jìn)行防火墻規(guī)則的匹配，過濾掉不符合規(guī)則的消息；步驟E發(fā)送消息，根據(jù)所述保存的出接口把消息發(fā)送出去。本發(fā)明的方法能夠大大簡(jiǎn)化防火墻的配置和組網(wǎng)的難度，并減輕了網(wǎng)絡(luò)維護(hù)的工作。
文檔編號(hào)H04L12/24GK101753541SQ20081022796
公開日2010年6月23日 申請(qǐng)日期2008年12月3日 優(yōu)先權(quán)日2008年12月3日
發(fā)明者婁揚(yáng) 申請(qǐng)人:北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司