專利名稱::節(jié)點保護方法�����、包過濾裝置及虛擬網絡系統(tǒng)的制作方法
技術領域:
:本發(fā)明涉及通信
技術領域:
���,尤其涉及一種節(jié)點保護方法、包過濾裝置及虛擬網絡系統(tǒng)�����。
背景技術:
:隨著企業(yè)數據集中的發(fā)展趨勢,對網絡虛擬化的需求不斷增加�。虛擬專用網絡(VirtualPrivateNetwork,簡稱VPN)是通過公用網絡(例如為因特網)建立的專用連接�����,其各虛擬網絡節(jié)點之間并非通過端到端的物理鏈路實現連接�����,而是通過架構在公用網絡服務商所提供的網絡平臺之上的邏輯鏈路進行通信��。在共用一個公用網絡的基礎上��,不同的VPN之間可通過加密的通道協(xié)議實現邏輯隔離����,即各VPN能夠提供一個臨時��、安全�、穩(wěn)定的連接,并且通過該連接能夠對數據進行多倍加密從而達到安全使用互聯(lián)網的目的�����。VPN旨在利用加密的通道協(xié)議在不安全的公用網絡(例如為互聯(lián)網)環(huán)境下傳送安全、可靠的信息���,但由于虛擬網絡節(jié)點暴露在公用網絡中�,所以虛擬網絡節(jié)點的信息安全仍受到威脅?����,F有技術中對節(jié)點的保護方法主要是基于靜態(tài)包過濾機制的�����,例如Linuxiptables和防火墻��,其通過命令配置需要過濾的目的IP地址和源IP地址來對網絡中的數據包進行過濾����。但這種基于靜態(tài)包的過濾機制的節(jié)點保護方法不能夠根據現實情況來實時更改防護策略,因此存在若防護策略過于嚴格則可能影響網絡的正常使用�、若防護策略存在疏漏則可能導致安全隱患的缺陷。
發(fā)明內容針對上述缺陷�����,本發(fā)明提供節(jié)點保護方法���、包過濾裝置及虛擬網絡系統(tǒng)��,以在能夠保障網絡性能的同時為節(jié)點提供有效���、可靠的保護����。本發(fā)明提供的節(jié)點保護方法包括第一節(jié)點的包過濾裝置截取向第一節(jié)點發(fā)送的報文�����,在預先存儲的授權地址列表中查找是否有所述報文的源地址�����,若是��,則所述報文通過安全性檢驗�����;若檢測獲知通過所述安全性檢驗的報文為連接請求報文����,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗��,其中所述第一節(jié)點為連接請求的被請求節(jié)點�����,所述第二節(jié)點為所述連接請求的發(fā)起請求節(jié)點����。本發(fā)明提供的包過濾裝置包括安全性檢驗模塊,用于截取向第一節(jié)點發(fā)送的報文���,在預先存儲的授權地址列表中查找是否有所述報文的源地址�����,若是���,則所述報文通過安全性檢驗;安全策略更新模塊�,用于若檢測獲知通過所述安全性檢驗的報文為連接請求報文,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表�����,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗,其中所述第一節(jié)點為連接請求的被請求節(jié)點���,所述第二節(jié)點為所述連接請求的發(fā)起請求節(jié)點�。根據本發(fā)明的又一方面����,還提供了一種虛擬網絡系統(tǒng),包括第一節(jié)點�,第二節(jié)點和服務器;所述第一節(jié)點����,用于截取向所述第一節(jié)點發(fā)送的報文�����,在預先存儲的授權地址列表中查找是否有所述報文的源地址���,若是�,則所述報文通過安全性檢驗�����;若檢測獲知通過所述安全性檢驗的報文為連接請求報文,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表�����,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗�����,并經由所述服務器向所述第二節(jié)點發(fā)送攜帶有所述第一節(jié)點地址的連接響應報文�����;所述第二節(jié)點��,用于經由所述服務器向所述第一節(jié)點發(fā)送所述連接請求報文���,并截取所述第一節(jié)點發(fā)送的所述連接響應報文�����,將所述連接響應報文中攜帶的第一節(jié)點地址設置為所述第二節(jié)點的授權地址��,所述授權地址為所述第二節(jié)點可接收報文的源地址����;所述服務器,用于將所述第二節(jié)點發(fā)送的所述連接請求報文轉發(fā)至所述第一節(jié)點����;將所述第一節(jié)點發(fā)送的所述連接響應報文轉發(fā)至所述第二節(jié)點。本發(fā)明提供的節(jié)點保護方法����、包過濾裝置及虛擬網絡系統(tǒng)由于能夠響應于連接請求報文更新授權地址列表,所以能夠根據通信需要為節(jié)點動態(tài)配置授權地址��,既避免了因將授權地址設置得過于嚴格而影響網絡正常使用����,又避免了因授權地址設置過于寬松而導致安全性較低,實現了合理���、有效的節(jié)點保護。圖1為應用本發(fā)明實施例的節(jié)點保護方法的虛擬網絡的架構圖���;圖2為本發(fā)明實施例的節(jié)點保護方法的流程圖��;圖3為本發(fā)明實施例的包過濾裝置的結構示意圖���;圖4為本發(fā)明實施例的虛擬網絡系統(tǒng)的架構圖����。具體實施例方式為使本發(fā)明的目的����、技術方案和優(yōu)點更加清楚,下面將結合附圖��,對本發(fā)明的技術方案進行清楚�、完整地描述。圖1為應用本發(fā)明實施例的節(jié)點保護方法的虛擬網絡的架構圖�����。如圖1所示����,該虛擬網絡中包括服務器(server)、多個客戶端(client)節(jié)點和與各client節(jié)點對應設置的�����、用于執(zhí)行節(jié)點保護的包過濾裝置����,該包過濾裝置可以獨立設置在所要保護的client節(jié)點之前���,也可以與所要保護的client節(jié)點集成設置。本發(fā)明實施例的節(jié)點保護方法由虛擬網絡中的包過濾裝置來執(zhí)行�����,下面以對應于虛擬網絡中的第一節(jié)點(任意一個client節(jié)點)的包過濾裝置對第一節(jié)點進行節(jié)點保護為例���,對本發(fā)明的節(jié)點保護方法進行詳細說明�。圖2為本發(fā)明實施例的節(jié)點保護方法的流程圖�。如圖2所示,該節(jié)點保護方法包括以下步驟步驟S100��,第一節(jié)點的包過濾裝置截取向第一節(jié)點發(fā)送的報文���,在預先存儲的授權地址列表中查找是否有報文的源地址����,若是����,則報文通過安全性檢驗;上述步驟SlOO可以包括步驟S101���,第一節(jié)點的包過濾裝置預先存儲可信節(jié)點地址為授權地址�����;其中�,包過濾裝置中預先存儲有授權地址列表����,該授權地址列表中包括在對向第一節(jié)點發(fā)送的報文進行安全性檢驗時,允許通過的報文的源地址�����。將可信節(jié)點地址設置為授權地址��,其中��,該可信節(jié)點例如為該虛擬網絡中的服務器�����,下面以該可信節(jié)點為服務器為例進行說明����。當第一節(jié)點接入虛擬網絡時�,包過濾裝置默認第一節(jié)點與服務器之間的連接為安全連接����,即允許服務器與第一節(jié)點之間進行通信。第一節(jié)點接入虛擬網絡時�,第一節(jié)點向服務器進行身份驗證,并從服務器獲取該虛擬網絡的全部在線客戶端(client)節(jié)點的名稱����,其中,全部在線client節(jié)點的名稱按照與各client節(jié)點的IP地址相對應的方式存儲在服務器的IP地址列表中�。步驟S102,截取向第一節(jié)點發(fā)送的報文��,解析所述報文的源地址�;其中,包過濾裝置可采取現有技術中的任意報文解析方式獲取報文的源地址�����。步驟S103����,在預先存儲的授權地址列表中查找是否有所述報文的源地址,若是�,則允許所述報文通過以由所述第一節(jié)點接收。其中�����,包過濾裝置在授權地址列表中查詢解析得到的報文源地址���,若授權地址列表中包含該地址���,則允許報文通過,以由第一節(jié)點接收�����;若授權地址列表中未包含該地址�����,則將該報文濾除�。在初始狀態(tài)時,由于包過濾裝置的授權地址列表中僅設置了服務器地址為授權地址���,所以只有服務器發(fā)送的報文能夠通過該安全性檢驗��,其他任意client節(jié)點發(fā)送的報文均在安全性檢驗中被包過濾裝置過濾掉�,即第一節(jié)點僅能夠接收服務器發(fā)送的報文。而且�����,由于第一節(jié)點未獲知其他節(jié)點的IP地址����,不能夠向其他client節(jié)點發(fā)送報文,即此時第一節(jié)點與其他client節(jié)點之間未建立連接�����,不能進行通信�。步驟S200,若檢測獲知通過所述安全性檢驗的報文為連接請求報文��,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表���,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗��。其中�����,第一節(jié)點為連接請求的被請求節(jié)點�����,第二節(jié)點為連接請求的發(fā)起請求節(jié)點�,并且第二節(jié)點可以為虛擬網絡中的除第一節(jié)點外的任一client節(jié)點���。具體地����,當第二節(jié)點要與第一節(jié)點建立連接時�,第二節(jié)點向服務器發(fā)送攜帶有第二節(jié)點IP地址和第一節(jié)點名稱的連接請求,服務器接收到該連接請求后�,根據第一節(jié)點名稱從存儲的IP地址列表中查找第一節(jié)點IP地址,并根據查找到的第一節(jié)點IP地址將連接請求轉發(fā)至第一節(jié)點�����。包過濾裝置對發(fā)送至第一節(jié)點的安全報文進行進一步檢測��,以判斷其是否為連接請求報文�。并當該報文為連接請求報文時,響應該連接請求報文建立連接。上述步驟S200可以包括步驟S201����,提取所述通過所述安全性檢驗的報文的關鍵字;其中����,對于通過安全性檢驗的報文,提取其關鍵字���,關鍵字是該虛擬網絡中預先約定的����,用于表征報文內容�。步驟S202,若檢測獲知所述報文的關鍵字為預定的連接請求報文的關鍵字�����,則提取所述報文中攜帶的第二節(jié)點地址�����;其中���,例如在虛擬網絡中預先約定連接請求報文的關鍵字為CormectionRequest���。若在步驟S201中提取出的報文的關鍵字為ConnectionRequest,則獲知該報文為連接請求報文�����,并根據預先約定的報文格式��,從報文中的指定位置讀取第二節(jié)點地址����,即發(fā)起請求節(jié)點地址(例如連接請求報文中第47字節(jié)為發(fā)起請求節(jié)點地址信息����,811字節(jié)為關鍵字���,則通過讀取相應字節(jié)的內容即可獲取報文的關鍵字和發(fā)起請求節(jié)點地址)�。步驟S203�����,將所述第二節(jié)點地址設置為授權地址���,以使來自第二節(jié)點地址的報文能夠通過所述安全性檢驗����。其中,包過濾裝置將在步驟S202中獲取的第二節(jié)點地址添加至授權地址列表中�����,則當包過濾裝置再次截取到向第一節(jié)點發(fā)送的報文時��,若檢測獲知報文的源地址為服務器地址或第二節(jié)點地址��,則確認該報文通過安全性檢驗����。根據上述實施例的節(jié)點保護方法,由于根據預先存儲的授權地址列表對發(fā)送至節(jié)點的報文進行安全性檢驗���,并當所接收的經過安全性檢驗的報文為連接請求報文時�����,將該連接請求報文中攜帶的第二節(jié)點地址添加至授權地址列表�����,為第一節(jié)點建立新的安全連接��,從而實現根據通信需要為節(jié)點動態(tài)配置授權地址��;由于在初始狀態(tài)下�����,僅源地址為可信節(jié)點(例如為服務器)地址的報文可通過安全性檢驗����,第一節(jié)點所接收的連接請求報文必須是經由可信節(jié)點轉發(fā)的報文,通常情況下���,發(fā)起連接請求的第二節(jié)點在與可信節(jié)點通信之前會通過服務器的安全認證,從而能夠確保連接請求報文攜帶的第二節(jié)點為安全節(jié)點��。因此�,通過將第二節(jié)點地址添加至第一節(jié)點的授權地址列表來建立第一節(jié)點與第二節(jié)點的連接,實現了第一節(jié)點僅與安全節(jié)點建立連接�,充分保障了節(jié)點的安全;而且既避免了因將安全策略設置得過于嚴格而影響網絡正常使用��,又避免了因安全策略設置過于寬松而導致安全性較低��,實現了合理、有效的節(jié)點保護�。進一步地,在上述實施例的節(jié)點保護方法中�,若檢測獲知通過所述安全性檢驗的報文為連接請求報文,則將所述連接請求報文攜帶的第二節(jié)點地址添加至授權地址列表�,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗的步驟之后還包括第一節(jié)點經由所述可信節(jié)點向所述第二節(jié)點發(fā)送攜帶有所述第一節(jié)點地址的連接響應報文;所述第二節(jié)點的包過濾裝置接收所述連接響應報文����,將所攜帶的第一節(jié)點地址設置為第二節(jié)點的授權地址,第二節(jié)點的授權地址為第二節(jié)點可接收的報文的源地址�����,其中�����,將第一節(jié)點地址設置為第二節(jié)點的授權地址的動作由與第二節(jié)點對應設置的包過濾裝置來執(zhí)行�。具體地,第一節(jié)點在根據連接請求報文更新授權地址列表后��,還向服務器返回攜帶自身IP地址的連接響應報文�����,服務器接收到該連接響應報文后,將其轉發(fā)至連接請求的發(fā)起請求節(jié)點(即本實施例中的第二節(jié)點)���,則用于保護第二節(jié)點的包過濾裝置根據連接響應報文中攜帶的信息獲取第一節(jié)點IP地址���,根據該第一節(jié)點IP地址更新授權地址列表(具體步驟與本實施例中第一節(jié)點的授權地址更新方法相同)。此時����,第一節(jié)點知道了第二節(jié)點的IP地址,第二節(jié)點知道了第一節(jié)點的IP地址�����,且對方的IP地址均包含在各自的授權地址列表中����,從而建立了第一節(jié)點與第二節(jié)點之間的連接,實現兩者之間的安全通信�。圖3為本發(fā)明實施例的包過濾裝置的結構示意圖����,如圖3所示,該包過濾裝置100包括安全性檢驗模塊10��,用于截取向第一節(jié)點發(fā)送的報文,在預先存儲的授權地址列表中查找是否有所述報文的源地址���,若是�,則所述報文通過安全性檢驗�;安全策略更新模塊20,用于若檢測獲知通過所述安全性檢驗的報文為連接請求報文���,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表���,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗,其中所述第一節(jié)點為連接請求的被請求節(jié)點����,所述第二節(jié)點為所述連接請求的發(fā)起請求節(jié)點。該包過濾裝置100用于集成設置在節(jié)點上或獨立設置在節(jié)點之前以提供節(jié)點保護����,其提供節(jié)點保護的方法與上述任一實施例的節(jié)點保護方法相同,故此處不再贅述�。根據上述實施例的包過濾裝置100,由于設置有能夠根據預先存儲的授權地址列表和報文的源地址對報文進行安全性檢驗的安全性檢驗模塊�����,還設置有當檢測到連接請求報文時可將連接請求報文攜帶的第二節(jié)點(連接請求的發(fā)起請求節(jié)點)地址添加至授權地址列表的安全策略更新模塊,所以實現了根據通信需要為節(jié)點動態(tài)配置授權地址列表���,既避免了因將授權地址設置得過于嚴格而影響網絡正常使用�,又避免了因授權地址設置過于寬松而導致安全性較低�,提供了合理、有效的節(jié)點保護����。進一步地,在上述實施例的包過濾裝置中��,安全性檢驗模塊包括授權地址存儲單元�,用于預先存儲授權地址列表;地址解析單元���,用于截取向第一節(jié)點發(fā)送的報文�����,解析所述報文的源地址�;報文過濾單元��,用于在預先存儲的授權地址列表中查找是否有所述報文的源地址�,若是,則允許所述報文通過以由所述第一節(jié)點接收��。進一步地�����,在上述實施例的包過濾裝置中�����,安全策略更新模塊包括報文解析單元�,用于提取所述報文的關鍵字;若檢測獲知所述報文的關鍵字為預定的連接請求報文的關鍵字�����,則提取所述報文中攜帶的第二節(jié)點地址��;授權地址更新單元����,用于將所述第二節(jié)點地址設置為授權地址,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗�����。進一步地,在上述實施例的包過濾裝置中�����,還包括連接響應報文截取模塊�����,用于截取向所述包過濾裝置所保護節(jié)點發(fā)送的連接響應報文�,將所述連接響應報文中攜帶的節(jié)點地址設置為所保護節(jié)點的授權地址,所述授權地址為所保護節(jié)點可接收報文的源地址�����。圖4為本發(fā)明實施例的虛擬網絡系統(tǒng)的架構圖���。如圖4所示�����,該系統(tǒng)包括第一節(jié)點���,第二節(jié)點和服務器���;第一節(jié)點���,用于截取向所述第一節(jié)點發(fā)送的報文��,在預先存儲的授權地址列表中查找是否有所述報文的源地址���,若是,則所述報文通過安全性檢驗����;若檢測獲知通過所述安全性檢驗的報文為連接請求報文,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表�,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗,并經由所述服務器向所述第二節(jié)點發(fā)送攜帶有所述第一節(jié)點地址的連接響應報文����;第二節(jié)點,用于經由所述服務器向所述第一節(jié)點發(fā)送所述連接請求報文�,并截取所述第一節(jié)點發(fā)送的所述連接響應報文,將所述連接響應報文中攜帶的第一節(jié)點地址設置為所述第二節(jié)點的授權地址�����,所述授權地址為所述第二節(jié)點可接收報文的源地址;所述服務器���,用于將所述第二節(jié)點發(fā)送的所述連接請求報文轉發(fā)至所述第一節(jié)點���;將所述第一節(jié)點發(fā)送的所述連接響應報文轉發(fā)至所述第二節(jié)點。根據上述實施例的虛擬網絡系統(tǒng)����,實現動態(tài)更新節(jié)點的授權地址列表,既有效保護了該網絡中節(jié)點安全��,又充分保障了網絡性能�����。最后應說明的是以上實施例僅用以說明本發(fā)明的技術方案����,而非對其限制;盡管參照前述實施例對本發(fā)明進行了詳細的說明����,本領域的普通技術人員應當理解其依然可以對前述各實施例所記載的技術方案進行修改,或者對其中部分技術特征進行等同替換�;而這些修改或者替換����,并不使相應技術方案的本質脫離本發(fā)明各實施例技術方案的精神和范圍�。權利要求1.一種節(jié)點保護方法,其特征在于����,包括第一節(jié)點的包過濾裝置截取向第一節(jié)點發(fā)送的報文��,在預先存儲的授權地址列表中查找是否有所述報文的源地址��,若是�,則所述報文通過安全性檢驗;若檢測獲知通過所述安全性檢驗的報文為連接請求報文�����,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表��,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗���,其中所述第一節(jié)點為連接請求的被請求節(jié)點����,所述第二節(jié)點為所述連接請求的發(fā)起請求節(jié)點。2.根據權利要求1所述的節(jié)點保護方法�,其特征在于,所述第一節(jié)點的包過濾裝置截取向第一節(jié)點發(fā)送的報文�����,在預先存儲的授權地址列表中查找是否有所述報文的源地址�,若是,則所述報文通過安全性檢驗的步驟包括第一節(jié)點的包過濾裝置預先存儲可信節(jié)點地址為授權地址���;截取向第一節(jié)點發(fā)送的報文�����,解析所述報文的源地址��;在預先存儲的授權地址列表中查找是否有所述報文的源地址����,若是�,則允許所述報文通過以由所述第一節(jié)點接收。3.根據權利要求1所述的節(jié)點保護方法���,其特征在于�,所述若檢測獲知通過所述安全性檢驗的報文為連接請求報文,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表�����,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗的步驟包括提取所述通過所述安全性檢驗的報文的關鍵字����;若檢測獲知所述報文的關鍵字為預定的連接請求報文的關鍵字,則提取所述報文中攜帶的第二節(jié)點地址�;將所述第二節(jié)點地址設置為授權地址,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗�����。4.根據權利要求2所述的節(jié)點保護方法�����,其特征在于���,該方法還包括所述第一節(jié)點經由所述可信節(jié)點向所述第二節(jié)點發(fā)送攜帶有所述第一節(jié)點地址的連接響應報文;第二節(jié)點的包過濾裝置接收所述連接響應報文����,將所攜帶的所述第一節(jié)點地址設置為第二節(jié)點的授權地址��,所述第二節(jié)點的授權地址為所述第二節(jié)點可接收的報文的源地址���。5.一種包過濾裝置,其特征在于���,包括安全性檢驗模塊��,用于截取向第一節(jié)點發(fā)送的報文����,在預先存儲的授權地址列表中查找是否有所述報文的源地址��,若是��,則所述報文通過安全性檢驗��;安全策略更新模塊���,用于若檢測獲知通過所述安全性檢驗的報文為連接請求報文�,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表���,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗�����;其中所述第一節(jié)點為連接請求的被請求節(jié)點���,所述第二節(jié)點為所述連接請求的發(fā)起請求節(jié)點���。6.根據權利要求5所述的包過濾裝置,其特征在于���,所述安全性檢驗模塊包括授權地址存儲單元��,用于預先存儲授權地址列表�����;地址解析單元,用于截取向第一節(jié)點發(fā)送的報文���,解析所述報文的源地址����;報文過濾單元,用于在預先存儲的授權地址列表中查找是否有所述報文的源地址��,若是�,則允許所述報文通過以由所述第一節(jié)點接收。7.根據權利要求5所述的包過濾裝置�,其特征在于,所述安全策略更新模塊包括報文解析單元�����,用于提取通過所述安全性檢驗的報文的關鍵字�;若檢測獲知所述報文的關鍵字為預定的連接請求報文的關鍵字,則提取所述報文中攜帶的第二節(jié)點地址���;授權地址更新單元���,用于將所述第二節(jié)點地址設置為授權地址,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗����。8.根據權利要求5所述的包過濾裝置,其特征在于�,還包括連接響應報文截取模塊,用于截取向所述包過濾裝置所保護節(jié)點發(fā)送的連接響應報文�����,將所述連接響應報文中攜帶的節(jié)點地址設置為所保護節(jié)點的授權地址,所述授權地址為所保護節(jié)點可接收報文的源地址��。9.根據權利要求5所述的包過濾裝置����,其特征在于,所述包過濾裝置集成在所保護的節(jié)點上���。10.一種虛擬網絡系統(tǒng)���,其特征在于,包括第一節(jié)點��,第二節(jié)點和服務器����;所述第一節(jié)點,用于截取向所述第一節(jié)點發(fā)送的報文�,在預先存儲的授權地址列表中查找是否有所述報文的源地址��,若是����,則所述報文通過安全性檢驗�����;若檢測獲知通過所述安全性檢驗的報文為連接請求報文���,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗�,并經由所述服務器向所述第二節(jié)點發(fā)送攜帶有所述第一節(jié)點地址的連接響應報文;所述第二節(jié)點����,用于經由所述服務器向所述第一節(jié)點發(fā)送所述連接請求報文,并截取所述第一節(jié)點發(fā)送的所述連接響應報文�,將所述連接響應報文中攜帶的第一節(jié)點地址設置為所述第二節(jié)點的授權地址,所述授權地址為所述第二節(jié)點可接收報文的源地址���;所述服務器�����,用于將所述第二節(jié)點發(fā)送的所述連接請求報文轉發(fā)至所述第一節(jié)點�����;將所述第一節(jié)點發(fā)送的所述連接響應報文轉發(fā)至所述第二節(jié)點���。全文摘要本發(fā)明提供節(jié)點保護方法����、包過濾裝置及虛擬網絡系統(tǒng)���。該節(jié)點保護方法包括第一節(jié)點的包過濾裝置截取向第一節(jié)點發(fā)送的報文��,根據預先存儲的授權地址列表和所述報文的源地址對所述報文進行安全性檢驗���;若檢測獲知通過所述安全性檢驗的報文為連接請求報文,則將所述連接請求報文攜帶的第二節(jié)點地址添加至所述授權地址列表���,以使來自所述第二節(jié)點地址的報文能夠通過所述安全性檢驗�,其中所述第一節(jié)點為連接請求的被請求節(jié)點�,所述第二節(jié)點為所述連接請求的發(fā)起請求節(jié)點。本發(fā)明的節(jié)點保護方法���、包過濾裝置及虛擬網絡系統(tǒng)能夠保障網絡性能的同時為節(jié)點提供有效�����、可靠的保護���。文檔編號H04L12/56GK102123102SQ20111007664公開日2011年7月13日申請日期2011年3月29日優(yōu)先權日2011年3月29日發(fā)明者劉利鋒,翁宇佳申請人:成都市華為賽門鐵克科技有限公司