專(zhuān)利名稱(chēng)::一種ip報(bào)文過(guò)濾方法及裝置的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及屬于信息安全及密碼
技術(shù)領(lǐng)域:
�,涉及一種通過(guò)IPSECVPN及IPtables技術(shù)配合��,實(shí)現(xiàn)IP報(bào)文過(guò)濾方法及裝置���。
背景技術(shù):
:IPSEC是互聯(lián)網(wǎng)工程任務(wù)組(IETF)制定的一個(gè)開(kāi)放的IP層安全框架協(xié)議����,為IP網(wǎng)絡(luò)通信提供透明的安全服務(wù)���,保護(hù)TCP/IP通信免遭竊聽(tīng)和篡改,可以有效抵御網(wǎng)絡(luò)攻擊�����,同時(shí)保持易用性。IPSEC技術(shù)已廣泛普及并應(yīng)用到網(wǎng)關(guān)設(shè)備中���,網(wǎng)關(guān)設(shè)備工作在本地局域網(wǎng)和與其通信的遠(yuǎn)程局域網(wǎng)的網(wǎng)關(guān)位置���,采用IPSEC隧道技術(shù),加密技術(shù)以及認(rèn)證技術(shù)等方法�,在公眾網(wǎng)絡(luò)上構(gòu)建虛擬專(zhuān)用網(wǎng)絡(luò)(即VPN),數(shù)據(jù)在安全信道上傳輸��,從而到達(dá)保障通信安全����,保密信息的目的。作為網(wǎng)關(guān)設(shè)備���,通常還需要對(duì)本地局域網(wǎng)進(jìn)行隔離及訪問(wèn)控制保護(hù)��,IP報(bào)文過(guò)濾功能也是必要的�,通常采用的技術(shù)是IPSECVPN安全策略與netfileter/iptableM簡(jiǎn)稱(chēng)為iptables)防火墻策略相互配合來(lái)實(shí)現(xiàn)��。圖I所示為Iinux網(wǎng)絡(luò)協(xié)議棧中防火墻及IPSECVPN工作流程圖����。由圖I可知�����,IPSEC安全策略主要控制哪些IP報(bào)文需要進(jìn)行IPSECVPN加解密處理�;防火墻策略主要分布在filter表的INPUT鏈�����、OUTPUT鏈及FORWARD鏈�,分別控制哪些IP報(bào)文允許進(jìn)入到網(wǎng)關(guān)本地,哪些報(bào)文允許從網(wǎng)關(guān)本地發(fā)出����,哪些IP報(bào)文允許穿過(guò)網(wǎng)關(guān)。對(duì)于IPSEC加密或解密處理的報(bào)文都先后經(jīng)過(guò)防火墻策略及IPSEC安全策略的檢查���,為了使IPSEC能正常工作���,通常采用的方法是,INPUT鏈及OUTPUT鏈防火墻策略允許出入網(wǎng)關(guān)本地的ESP����、AH協(xié)議包及密鑰協(xié)商包通過(guò),F(xiàn)ORWARD鏈防火墻策略允許IPSEC安全策略對(duì)應(yīng)的IP包通過(guò)����。但此方法存在以下缺限1)配置了IPSEC安全策略后,為了保證IPSEC處理的IP包通過(guò)防火墻檢查�,還需要在FORWARD鏈配置防火墻策略,用于放行IPSEC安全策略對(duì)應(yīng)的IP包���,這給管理員帶來(lái)雙重的工作量����;2)隨著IPSEC安全策略數(shù)量越大����,F(xiàn)ORWARD鏈防火墻策略數(shù)量越多、越復(fù)雜���,由于防火墻策略是自頂向下依次查找�����,所以網(wǎng)關(guān)吞吐量下降越明顯��。
發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問(wèn)題是針對(duì)以上的不足���,本發(fā)明提供一種集成IPSECVPN和防火墻模塊的網(wǎng)關(guān)設(shè)備�,通過(guò)一種IPSEC安全策略與防火墻策略配合方法����,實(shí)現(xiàn)IP報(bào)文過(guò)濾。降低了配置ipsec安全策略與防火墻策略的耦合性����,使兩種策略配置各司其職,其中IPSEC安全策略配置專(zhuān)注于對(duì)需進(jìn)行IPSEC處理的IP報(bào)文進(jìn)行過(guò)濾�,防火墻策略配置專(zhuān)注于SECP0LICY自定義鏈上對(duì)非IPSEC處理的IP報(bào)文進(jìn)行過(guò)濾。本發(fā)明采用的技術(shù)方案如下一種IP報(bào)文過(guò)濾方法包括步驟I����,利于Iinux的netfilter包篩選機(jī)制,在IPtables模塊初始化時(shí),設(shè)置OUTPUT鏈默認(rèn)策略為“允許”(ACCEPT),INPUT鏈默認(rèn)策略為“丟棄”(DROP)��,并在INPUT鏈添加防火墻策略�,允許經(jīng)IPSEC封裝的密通報(bào)文(協(xié)議號(hào)為ESP或AH)進(jìn)入本網(wǎng)關(guān),允許密鑰協(xié)商報(bào)文(即udp500及udp4500)進(jìn)入本網(wǎng)關(guān);步驟2�����,設(shè)置FORWARD鏈默認(rèn)策略為“丟棄”(DROP)����,新建一條名稱(chēng)為“SECPOLICY”規(guī)則鏈,在FORWARD鏈添加策略跳轉(zhuǎn)到該鏈����,并將管理員配置的防火墻策略都加載在該鏈上,使得對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾��。步驟3����,利用xt_policy模塊提供的策略匹配功能,在FORWARD鏈末尾添加以下兩條防火墻策略O(shè)允許解密后明通報(bào)文(即IN方向的匹配IPSEC安全策略的IP報(bào)文)通過(guò)本網(wǎng)關(guān)�,策略配置命令為iptables-AFORWARD-mpolicy-dirin-jACCEPT,對(duì)進(jìn)入方向IPSEC解密后的IP包過(guò)濾����;2)允許加密前明通報(bào)文(即OUT方向的匹配IPSEC安全策略的IP報(bào)文)通過(guò)本網(wǎng)關(guān),策略配置命令為iptables-AFORWARD-mpolicy-dirout_jACCEPT�����,對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾���。所述步驟2中對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾具體過(guò)程包括�,步驟21:收到穿過(guò)本網(wǎng)關(guān)的明通IP報(bào)文,該IP報(bào)文不存在匹配的IPSEC安全策略�����,不需IPSEC處理����;步驟22,路由處理后���,進(jìn)入防火墻FORWARD鏈����,在其子鏈SECPOLICY下檢查防火墻策略����,確定是否放行或丟棄該IP報(bào)文;步驟23�,如果防火墻策略是放行,則轉(zhuǎn)發(fā)該IP報(bào)文���。所述步驟3中對(duì)進(jìn)入方向IPSEC解密后的IP包過(guò)濾具體過(guò)程包括�,步驟311:收到來(lái)自遠(yuǎn)端網(wǎng)關(guān)的IPSEC密通報(bào)文;步驟312���,路由處理后進(jìn)入防火墻INPUT鏈����,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包����,允許放行����;步驟313,根據(jù)三元組信息即該報(bào)文目的地址��、SPI安全參數(shù)索引���、安全協(xié)議號(hào)(AH或ESP)查找安全關(guān)聯(lián)��,并進(jìn)行IPSEC解密處理�,解密后的明通報(bào)文目的地址為本網(wǎng)關(guān)的內(nèi)部網(wǎng)絡(luò)���;步驟314�,路由處理后,進(jìn)入防火墻FORWARD鏈�����,檢查到解密后的明通報(bào)文在IN方向匹配到IPSEC策略�,放行該IP報(bào)文;步驟315�����,解密后的明通報(bào)文發(fā)向本網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)�。所述步驟3中對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾具體過(guò)程包括,步驟321:網(wǎng)關(guān)收到從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)需要進(jìn)行IPSEC加密處理的明通報(bào)文�����;步驟322��,路由處理后進(jìn)入防火墻FORWARD鏈�����,檢查到該IP報(bào)文在OUT方向匹配到IPSEC策略��,放行該IP報(bào)文�����;步驟323,查找該IP包匹配的安全策略(SP)及出站安全關(guān)聯(lián)(SA)��;步驟324����,進(jìn)行IPSEC加密處理,執(zhí)行隧道模式ESP/AH封裝�,新的IP報(bào)文源地址為本網(wǎng)關(guān),目的地址為險(xiǎn)道的遠(yuǎn)端網(wǎng)關(guān)��;步驟325��,路由處理后進(jìn)入防火墻OUTPUT鏈��,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包����,允許放行�;步驟326,IPSEC密通報(bào)文發(fā)向遠(yuǎn)端的網(wǎng)關(guān)地址���。所述密通報(bào)文是協(xié)議號(hào)為ESP或AH的報(bào)文��。所述密鑰協(xié)商報(bào)文是udp500或udp4500報(bào)文����。一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾裝置包括初始化模塊,用于利用Iinux的netfilter包篩選機(jī)制,在IPtables模塊初始化時(shí),設(shè)置OUTPUT鏈默認(rèn)策略為“允許”(ACCEPT)�����,INPUT鏈默認(rèn)策略為“丟棄”(DROP)��,并在INPUT鏈添加防火墻策略����,允許經(jīng)IPSEC封裝的密通報(bào)文(協(xié)議號(hào)為ESP或AH)進(jìn)入本網(wǎng)關(guān),允許密鑰協(xié)商報(bào)文(即udp500及udp4500)進(jìn)入本網(wǎng)關(guān)�;·非IPSEC處理的IP包過(guò)濾模塊,用于初始化模塊后���,設(shè)置OUTPUT鏈默認(rèn)策略為“丟棄”(DROP)�,新建一條自定義規(guī)則鏈(名稱(chēng)為“SECPOLICY”)��,在FORWARD鏈添加策略跳轉(zhuǎn)到該鏈����,并將管理員配置的防火墻策略都加載在該鏈上�,對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾�;加密處理的IP包過(guò)濾模塊,用于初始化模塊后��,利用xt_p0liCy模塊提供的策略匹配功能�,在FORWARD鏈末尾添加允許加密前明通報(bào)文(即OUT方向的匹配IPSEC安全策略的IP報(bào)文)通過(guò)本網(wǎng)關(guān)策略,對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾�����;解密處理的IP包過(guò)濾模塊���,用于初始化模塊后���,利用xt_p0liCy模塊提供的策略匹配功能�,在FORWARD鏈末尾添加允許解密后明通報(bào)文(即IN方向的匹配IPSEC安全策略的IP報(bào)文)通過(guò)本網(wǎng)關(guān)策略,策略配置命令為iptables-AFORWARD-mpolicy-dirin-jACCEPT��。所述非IPSEC處理的IP包過(guò)濾模塊對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾具體過(guò)程包括��,步驟21:收到穿過(guò)本網(wǎng)關(guān)的明通IP報(bào)文�����,該IP報(bào)文不存在匹配的IPSEC安全策略,不需IPSEC處理��;步驟22�����,路由處理后�,進(jìn)入防火墻FORWARD鏈,在其子鏈SECPOLICY下檢查防火墻策略�����,確定是否放行或丟棄該IP報(bào)文����;步驟23,如果防火墻策略是放行��,則轉(zhuǎn)發(fā)該IP報(bào)文����。所述加密處理的IP包過(guò)濾模塊對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾具體過(guò)程包括,步驟321:網(wǎng)關(guān)收到從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)需要進(jìn)行IPSEC加密處理的明通報(bào)文����;步驟322���,路由處理后進(jìn)入防火墻FORWARD鏈,檢查到該IP報(bào)文在OUT方向匹配到IPSEC策略����,放行該IP報(bào)文;步驟323���,查找該IP包匹配的安全策略(SP)及出站安全關(guān)聯(lián)(SA)�����;步驟324�,進(jìn)行IPSEC加密處理��,執(zhí)行隧道模式ESP/AH封裝���,新的IP報(bào)文源地址為本網(wǎng)關(guān)��,目的地址為險(xiǎn)道的遠(yuǎn)端網(wǎng)關(guān);步驟325�,路由處理后進(jìn)入防火墻OUTPUT鏈,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包�����,允許放行;步驟326���,IPSEC密通報(bào)文發(fā)向遠(yuǎn)端的網(wǎng)關(guān)地址��。所述解密處理的IP包過(guò)濾模塊對(duì)進(jìn)入方向IPSEC解密后的IP包過(guò)濾具體過(guò)程包括����,步驟311:收到來(lái)自遠(yuǎn)端網(wǎng)關(guān)的IPSEC密通報(bào)文��;步驟312���,路由處理后進(jìn)入防火墻INPUT鏈����,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包�,允許放行;步驟313����,根據(jù)三元組信息即該報(bào)文目的地址、SPI安全參數(shù)索引�、安全協(xié)議號(hào)(AH或ESP)查找安全關(guān)聯(lián)���,并進(jìn)行IPSEC解密處理,解密后的明通報(bào)文目的地址為本網(wǎng)關(guān)的內(nèi)部網(wǎng)絡(luò)����;步驟314,路由處理后��,進(jìn)入防火墻FORWARD鏈�����,檢查到解密后的明通報(bào)文在IN方向匹配到IPSEC策略����,放行該IP報(bào)文;步驟315�����,解密后的明通報(bào)文發(fā)向本網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)�。綜上所述,由于采用了上述技術(shù)方案���,本發(fā)明的有益效果是在本發(fā)明中����,防火墻模塊放行所有與IPSEC相關(guān)的密通及明通報(bào)文���,確保了IPSEC模塊正常工作����,步驟3所添加的兩條防火墻策略�,降低了IPSEC及防火墻模塊策略配置的耦合性,當(dāng)每次配置IPSEC策略時(shí)����,不再需要修改FORWARD鏈防火墻策略,提高了管理員配置效率�����,有效減少防火墻策略數(shù)量����,降低了對(duì)系統(tǒng)吞吐量的影響。本發(fā)明將通過(guò)例子并參照附圖的方式說(shuō)明��,其中圖I是防火墻及IPSEC工作流程圖2非IPSEC處理的IP包過(guò)濾流程;圖3是對(duì)進(jìn)入方向需IPSEC解密處理的IP包過(guò)濾流程��;圖4是對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾流程�����。具體實(shí)施例方式本說(shuō)明書(shū)中公開(kāi)的所有特征�,或公開(kāi)的所有方法或過(guò)程中的步驟,除了互相排斥的特征和/或步驟以外�,均可以以任何方式組合。本說(shuō)明書(shū)(包括任何附加權(quán)利要求���、摘要和附圖)中公開(kāi)的任一特征�,除非特別敘述���,均可被其他等效或具有類(lèi)似目的的替代特征加以替換�����。即��,除非特別敘述����,每個(gè)特征只是一系列等效或類(lèi)似特征中的一個(gè)例子而已。本發(fā)明相關(guān)說(shuō)明I����、netfilter及其工作原理netfilter是Linux核心中一個(gè)通用架構(gòu)�,它提供了一系列的“表”(tables),每個(gè)表由若干“鏈“(chains)組成����,而每條鏈中可以有一條或數(shù)條規(guī)則(rule)組成。系統(tǒng)缺省的表為“filter”���,該表中包含了INPUT����、F0RWARD和OUTPUT3個(gè)鏈��。每一條鏈中可以有一條或數(shù)條規(guī)則�����,每一條規(guī)則都是這樣定義的如果數(shù)據(jù)包頭符合這樣的條件���,就這樣處理這個(gè)數(shù)據(jù)包���。當(dāng)一個(gè)數(shù)據(jù)包到達(dá)一個(gè)鏈時(shí)�����,系統(tǒng)就會(huì)從第一條規(guī)則開(kāi)始檢查��,看是否符合該規(guī)則所定義的條件如果滿(mǎn)足�,系統(tǒng)將根據(jù)該條規(guī)則所定義的方法處理該數(shù)據(jù)包�;如果不滿(mǎn)足則繼續(xù)檢查下一條規(guī)則。最后���,如果該數(shù)據(jù)包不符合該鏈中任一條規(guī)則的話���,系統(tǒng)就會(huì)根據(jù)該鏈預(yù)先定義的策略來(lái)處理該數(shù)據(jù)包。2���、OUTPUT鏈在Linux系統(tǒng)中的作用如果數(shù)據(jù)包是由本地系統(tǒng)進(jìn)程產(chǎn)生的���,則系統(tǒng)將其送往Output鏈。如果通過(guò)規(guī)則檢查�����,則該包被發(fā)給相應(yīng)的本地進(jìn)程處理;如果沒(méi)有通過(guò)規(guī)則檢查���,系統(tǒng)就會(huì)將這個(gè)包丟掉����。3��、INPUT鏈在Linux系統(tǒng)中的作用如果數(shù)據(jù)包的目的地址是本機(jī),則系統(tǒng)將數(shù)據(jù)包送往Input鏈�。如果通過(guò)規(guī)則檢查���,則該包被發(fā)給相應(yīng)的本地進(jìn)程處理���;如果沒(méi)有通過(guò)規(guī)則檢查,系統(tǒng)就會(huì)將這個(gè)包丟掉�����。4�����、FORWARD鏈在Linux系統(tǒng)中的作用如果數(shù)據(jù)包的目的地址不是本機(jī)���,也就是說(shuō)�����,這個(gè)包將被轉(zhuǎn)發(fā)�,則系統(tǒng)將數(shù)據(jù)包送往Forward鏈。如果通過(guò)規(guī)則檢查����,則該包被發(fā)給相應(yīng)的本地進(jìn)程處理;如果沒(méi)有通過(guò)規(guī)則檢查��,系統(tǒng)就會(huì)將這個(gè)包丟掉����。5、IPSECJnternet協(xié)議安全性(IPSec)”是一種開(kāi)放標(biāo)準(zhǔn)的框架結(jié)構(gòu),通過(guò)使用加密的安全服務(wù)以確保在Internet協(xié)議(IP)網(wǎng)絡(luò)上進(jìn)行保密而安全的通訊��。6���、IPSEC隧道技術(shù)為了實(shí)現(xiàn)在專(zhuān)用或公共IP網(wǎng)絡(luò)上的安全傳輸��,IPSec隧道模式使用安全方式封裝和加密整個(gè)IP包�。它首先對(duì)IP數(shù)據(jù)包進(jìn)行加密����,然后將密文數(shù)據(jù)包再次封裝在明文IP包內(nèi)����,通過(guò)網(wǎng)絡(luò)發(fā)送到接收端的VPN服務(wù)器�����。VPN服務(wù)器對(duì)收到的數(shù)據(jù)包進(jìn)行處理����,在去除明文IP包頭,對(duì)內(nèi)容進(jìn)行解密之后�,獲得原始的IP數(shù)據(jù)包�����,再將其路由到目標(biāo)網(wǎng)絡(luò)的接收計(jì)算機(jī)��。7���、xt_policy模塊Linux內(nèi)核(版本2.6.15以上)netfilter框架提供的防火墻策略擴(kuò)展模塊�����,該模塊能根據(jù)進(jìn)出方向(in/out)�����、安全協(xié)議號(hào)(AH或ESP)�、SPI安全參數(shù)索弓I、隧道源/目的地址等多種條件匹配被IPSEC安全策略命中的IP報(bào)文��,供防火墻模塊對(duì)匹配的IP報(bào)文進(jìn)行過(guò)濾處理���。8����、IP報(bào)文IP數(shù)據(jù)包���。實(shí)施例一一種IP報(bào)文過(guò)濾方法包括·步驟I����,利于Iinux的netfilter包篩選機(jī)制,在IPtables模塊初始化時(shí),設(shè)置OUTPUT鏈默認(rèn)策略為“允許”���,INPUT鏈默認(rèn)策略為“丟棄”����,并在INPUT鏈添加防火墻策略,允許經(jīng)IPSEC封裝的密通報(bào)文進(jìn)入本網(wǎng)關(guān)����,允許密鑰協(xié)商報(bào)文進(jìn)入本網(wǎng)關(guān);步驟2�����,設(shè)置FORWARD鏈默認(rèn)策略為“丟棄”����,新建一條名稱(chēng)為“SECPOLICY”的規(guī)則鏈,在FORWARD鏈添加策略跳轉(zhuǎn)到該鏈�,并將管理員配置的防火墻策略都加載在該鏈上,使得對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾����。步驟3���,利用xt_policy模塊提供的策略匹配功能����,在FORWARD鏈末尾添加以下兩條防火墻策略1)允許解密后明通報(bào)文通過(guò)本網(wǎng)關(guān),策略配置命令為iptables-AFORWARD-mpolicy-dirin-jACCEPT��,對(duì)進(jìn)入方向IPSEC解密后的IP包過(guò)濾����;2)允許加密前明通報(bào)文通過(guò)本網(wǎng)關(guān),策略配置命令為iptables-AFORWARD-mpolicy-dirout_jACCEPT����,對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾。實(shí)施例二如圖2所示����,在實(shí)施例一基礎(chǔ)上,所述步驟2中對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾具體過(guò)程包括���,步驟21:收到穿過(guò)本網(wǎng)關(guān)的明通IP報(bào)文���,該IP報(bào)文不存在匹配的IPSEC安全策略,不需IPSEC處理����;步驟22,路由處理后�,進(jìn)入防火墻FORWARD鏈,在其子鏈SECPOLICY下檢查防火墻策略,確定是否放行或丟棄該IP報(bào)文���;步驟23�,如果防火墻策略是放行��,則轉(zhuǎn)發(fā)該IP報(bào)文���。實(shí)施例三在實(shí)施例一或二基礎(chǔ)上���,如圖3所示,所述步驟3中對(duì)進(jìn)入方向IPSEC解密后的IP包過(guò)濾具體過(guò)程包括���,步驟311:收到來(lái)自遠(yuǎn)端網(wǎng)關(guān)的IPSEC密通報(bào)文�����;步驟312��,路由處理后進(jìn)入防火墻INPUT鏈���,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包���,允許放行�;步驟313,根據(jù)三元組信息即該報(bào)文目的地址����、SPI安全參數(shù)索引、安全協(xié)議號(hào)(AH或ESP)查找安全關(guān)聯(lián)�����,并進(jìn)行IPSEC解密處理��,解密后的明通報(bào)文目的地址為本網(wǎng)關(guān)的內(nèi)部網(wǎng)絡(luò)�;·步驟314,路由處理后�����,進(jìn)入防火墻FORWARD鏈���,檢查到解密后的明通報(bào)文在IN方向匹配到IPSEC策略�����,放行該IP報(bào)文�;步驟315,解密后的明通報(bào)文發(fā)向本網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)�����。實(shí)施例四在實(shí)施例一至三之一基礎(chǔ)上,如圖4所示,所述步驟3中對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾具體過(guò)程包括���,步驟321:網(wǎng)關(guān)收到從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)需要進(jìn)行IPSEC加密處理的明通報(bào)文����;步驟322��,路由處理后進(jìn)入防火墻FORWARD鏈�,檢查到該IP報(bào)文在OUT方向匹配到IPSEC策略,放行該IP報(bào)文�;步驟323,查找該IP包匹配的安全策略及出站安全關(guān)聯(lián)��;步驟324����,進(jìn)行IPSEC加密處理,執(zhí)行隧道模式ESP/AH封裝�,新的IP報(bào)文源地址為本網(wǎng)關(guān),目的地址為險(xiǎn)道的遠(yuǎn)端網(wǎng)關(guān)���;步驟325��,路由處理后進(jìn)入防火墻OUTPUT鏈�,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包����,允許放行;步驟326���,IPSEC密通報(bào)文發(fā)向遠(yuǎn)端的網(wǎng)關(guān)地址��。實(shí)施例五在實(shí)施例四基礎(chǔ)上���,所述密通報(bào)文是協(xié)議號(hào)為ESP或AH的報(bào)文。實(shí)施例六在實(shí)施例五基礎(chǔ)上����,所述密鑰協(xié)商報(bào)文是udp500或udp4500報(bào)文。實(shí)施例七在實(shí)施例一基礎(chǔ)上���,一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾裝置包括初始化模塊�,用于利用Iinux的netfilter包篩選機(jī)制,在IPtables模塊初始化時(shí),設(shè)置OUTPUT鏈默認(rèn)策略為“允許”�����,INPUT鏈默認(rèn)策略為“丟棄”,并在INPUT鏈添加防火墻策略��,允許經(jīng)IPSEC封裝的密通報(bào)文進(jìn)入本網(wǎng)關(guān)��,允許密鑰協(xié)商報(bào)文進(jìn)入本網(wǎng)關(guān)�;非IPSEC處理的IP包過(guò)濾模塊,用于初始化模塊后�����,設(shè)置OUTPUT鏈默認(rèn)策略為“丟棄”�����,新建一條名稱(chēng)為“SECPOLICY”自定義規(guī)則鏈��,在FORWARD鏈添加策略跳轉(zhuǎn)到該鏈�����,并將管理員配置的防火墻策略都加載在該鏈上�,對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾;加密處理的IP包過(guò)濾模塊�����,用于初始化模塊后,利用xt_p0liCy模塊提供的策略匹配功能��,在FORWARD鏈末尾添加允許加密前明通報(bào)文通過(guò)本網(wǎng)關(guān)策略���,對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾;解密處理的IP包過(guò)濾模塊���,用于初始化模塊后��,利用xt_p0liCy模塊提供的策略匹配功能���,在FORWARD鏈末尾添加允許解密后明通報(bào)文通過(guò)本網(wǎng)關(guān)策略,策略配置命令為iptables-AFORWARD-mpolicy-dirin-jACCEPT�����。實(shí)施例八在實(shí)施例七基礎(chǔ)上�����,所述非IPSEC處理的IP包過(guò)濾模塊對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾具體過(guò)程包括�,步驟21:收到穿過(guò)本網(wǎng)關(guān)的明通IP報(bào)文���,該IP報(bào)文不存在匹配的IPSEC安全策略,不需IPSEC處理��;步驟22���,路由處理后�����,進(jìn)入防火墻FORWARD鏈��,在其子鏈SECPOLICY下檢查防火墻策略����,確定是否放行或丟棄該IP報(bào)文����;步驟23,如果防火墻策略是放行���,則轉(zhuǎn)發(fā)該IP報(bào)文��。實(shí)施例九����,在實(shí)施例七或八基礎(chǔ)上,所述加密處理的IP包過(guò)濾模塊對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾具體過(guò)程包括����,步驟321:網(wǎng)關(guān)收到從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)需要進(jìn)行IPSEC加密處理的明通報(bào)文;步驟322��,路由處理后進(jìn)入防火墻FORWARD鏈�,檢查到該IP報(bào)文在OUT方向匹配到IPSEC策略����,放行該IP報(bào)文;步驟323�,查找該IP包匹配的安全策略(SP)及出站安全關(guān)聯(lián)(SA);步驟324�,進(jìn)行IPSEC加密處理,執(zhí)行隧道模式ESP/AH封裝���,新的IP報(bào)文源地址為本網(wǎng)關(guān)�,目的地址為險(xiǎn)道的遠(yuǎn)端網(wǎng)關(guān)���;步驟325�,路由處理后進(jìn)入防火墻OUTPUT鏈,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包���,允許放行�����;步驟326��,IPSEC密通報(bào)文發(fā)向遠(yuǎn)端的網(wǎng)關(guān)地址�。實(shí)施例十在實(shí)施例七至九之一基礎(chǔ)上�,所述解密處理的IP包過(guò)濾模塊對(duì)進(jìn)入方向IPSEC解密后的IP包過(guò)濾具體過(guò)程包括,步驟311:收到來(lái)自遠(yuǎn)端網(wǎng)關(guān)的IPSEC密通報(bào)文��;步驟312���,路由處理后進(jìn)入防火墻INPUT鏈����,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包���,允許放行��;步驟313�����,根據(jù)三元組信息即該報(bào)文目的地址��、SPI安全參數(shù)索引��、安全協(xié)議號(hào)(AH或ESP)查找安全關(guān)聯(lián)��,并進(jìn)行IPSEC解密處理�,解密后的明通報(bào)文目的地址為本網(wǎng)關(guān)的內(nèi)部網(wǎng)絡(luò);步驟314����,路由處理后��,進(jìn)入防火墻FORWARD鏈�����,檢查到解密后的明通報(bào)文在IN(輸入)匹配到IPSEC策略����,放行該IP報(bào)文;步驟315,解密后的明通報(bào)文發(fā)向本網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)�����。本發(fā)明并不局限于前述的具體實(shí)施方式��。本發(fā)明擴(kuò)展到任何在本說(shuō)明書(shū)中披露的新特征或任何新的組合����,以及披露的任一新的方法或過(guò)程的步驟或任何新的組合。權(quán)利要求1.一種IP報(bào)文過(guò)濾方法,其特征在于包括步驟I����,利于Iinux的netfilter包篩選機(jī)制,在IPtables模塊初始化時(shí),設(shè)置OUTPUT鏈默認(rèn)策略為“允許”,INPUT鏈默認(rèn)策略為“丟棄”�,并在INPUT鏈添加防火墻策略,允許經(jīng)IPSEC封裝的密通報(bào)文進(jìn)入本網(wǎng)關(guān)���,允許密鑰協(xié)商報(bào)文進(jìn)入本網(wǎng)關(guān)���;步驟2,設(shè)置FORWARD鏈默認(rèn)策略為“丟棄”���,新建一條名稱(chēng)為“SECPOLICY”的規(guī)則鏈�,在FORWARD鏈添加策略跳轉(zhuǎn)到該鏈,并將管理員配置的防火墻策略都加載在該鏈上��,使得對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾����;步驟3,利用xt_policy模塊提供的策略匹配功能,在FORWARD鏈末尾添加以下兩條防火墻策略1)允許解密后明通報(bào)文通過(guò)本網(wǎng)關(guān),策略配置命令為iptables-AFORWARD-mpolicy-dirin-jACCEPT�����,對(duì)進(jìn)入方向IPSEC解密后的IP包過(guò)濾��;2)允許加密前明通報(bào)文通過(guò)本網(wǎng)關(guān)����,策略配置命令為iptables-AFORWARD-mpolicy-dirout_jACCEPT,對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾�����。2.根據(jù)權(quán)利要求I所述的一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾方法��,其特征在于所述步驟2中對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾具體過(guò)程包括�����,步驟21:收到穿過(guò)本網(wǎng)關(guān)的明通IP報(bào)文��,該IP報(bào)文不存在匹配的IPSEC安全策略���,不需IPSEC處理���;步驟22,路由處理后��,進(jìn)入防火墻FORWARD鏈�,在其子鏈SECPOLICY下檢查防火墻策略,確定是否放行或丟棄該IP報(bào)文����;步驟23,如果防火墻策略是放行����,則轉(zhuǎn)發(fā)該IP報(bào)文。3.根據(jù)權(quán)利要求I所述的一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾方法����,其特征在于所述步驟3中對(duì)進(jìn)入方向IPSEC解密后的IP包過(guò)濾具體過(guò)程包括,步驟311:收到來(lái)自遠(yuǎn)端網(wǎng)關(guān)的IPSEC密通報(bào)文����;步驟312��,路由處理后進(jìn)入防火墻INPUT鏈��,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包����,允許放行���;步驟313����,根據(jù)三元組信息即該報(bào)文目的地址�����、SPI安全參數(shù)索引�、AH或ESP安全協(xié)議號(hào)查找安全關(guān)聯(lián),并進(jìn)行IPSEC解密處理���,解密后的明通報(bào)文目的地址為本網(wǎng)關(guān)的內(nèi)部網(wǎng)絡(luò)�����;步驟314�����,路由處理后�,進(jìn)入防火墻FORWARD鏈����,檢查到解密后的明通報(bào)文在IN方向匹配到IPSEC策略,放行該IP報(bào)文�;步驟315,解密后的明通報(bào)文發(fā)向本網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)��。4.根據(jù)權(quán)利要求I所述的一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾方法���,其特征在于所述步驟3中對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾具體過(guò)程包括�,步驟321:網(wǎng)關(guān)收到從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)需要進(jìn)行IPSEC加密處理的明通報(bào)文�����;步驟322�,路由處理后進(jìn)入防火墻FORWARD鏈,檢查到該IP報(bào)文在OUT方向匹配到IPSEC策略�,放行該IP報(bào)文��;步驟323�����,查找該IP包匹配的安全策略及出站安全關(guān)聯(lián)���;步驟324,進(jìn)行IPSEC加密處理��,執(zhí)行隧道模式ESP/AH封裝�����,新的IP報(bào)文源地址為本網(wǎng)關(guān)�����,目的地址為險(xiǎn)道的遠(yuǎn)端網(wǎng)關(guān)�;步驟325,路由處理后進(jìn)入防火墻OUTPUT鏈����,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包,允許放行;步驟326���,IPSEC密通報(bào)文發(fā)向遠(yuǎn)端的網(wǎng)關(guān)地址。5.根據(jù)權(quán)利要求I至4之一所述的一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾方法�,其特征在于所述密通報(bào)文是協(xié)議號(hào)為ESP或AH的報(bào)文。6.根據(jù)權(quán)利要求I至4之一所述的一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾方法����,其特征在于所述密鑰協(xié)商報(bào)文是udp500或udp4500報(bào)文。7.根據(jù)權(quán)利要求I所述的一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾裝置��,其特征在于包括初始化模塊���,用于利用Iinux的netfilter包篩選機(jī)制,在IPtables模塊初始化時(shí),設(shè)置OUTPUT鏈默認(rèn)策略為“允許”��,INPUT鏈默認(rèn)策略為“丟棄”����,并在INPUT鏈添加防火墻策略����,允許經(jīng)IPSEC封裝的密通報(bào)文進(jìn)入本網(wǎng)關(guān),允許密鑰協(xié)商報(bào)文進(jìn)入本網(wǎng)關(guān)�;非IPSEC處理的IP包過(guò)濾模塊,用于初始化模塊后,設(shè)置OUTPUT鏈默認(rèn)策略為“丟棄”����,新建一條名稱(chēng)為“SECPOLICY”自定義規(guī)則鏈,在FORWARD鏈添加策略跳轉(zhuǎn)到該鏈��,并將管理員配置的防火墻策略都加載在該鏈上���,對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾��;加密處理的IP包過(guò)濾模塊����,用于初始化模塊后�����,利用xt_p0liCy模塊提供的策略匹配功能��,在FORWARD鏈末尾添加允許加密前明通報(bào)文通過(guò)本網(wǎng)關(guān)策略�,對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾;解密處理的IP包過(guò)濾模塊����,用于初始化模塊后����,利用xt_p0liCy模塊提供的策略匹配功能���,在FORWARD鏈末尾添加允許解密后明通報(bào)文通過(guò)本網(wǎng)關(guān)策略�����,策略配置命令為iptables-AFORWARD-mpolicy-dirin-jACCEPT。8.根據(jù)權(quán)利要求7所述的一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾裝置�����,其特征在于所述非IPSEC處理的IP包過(guò)濾模塊對(duì)出入本網(wǎng)關(guān)非IPSEC處理的IP包過(guò)濾具體過(guò)程包括��,步驟21:收到穿過(guò)本網(wǎng)關(guān)的明通IP報(bào)文��,該IP報(bào)文不存在匹配的IPSEC安全策略�����,不需IPSEC處理���;步驟22�����,路由處理后����,進(jìn)入防火墻FORWARD鏈,在其子鏈SECPOLICY下檢查防火墻策略�,確定是否放行或丟棄該IP報(bào)文;步驟23���,如果防火墻策略是放行���,則轉(zhuǎn)發(fā)該IP報(bào)文。9.根據(jù)權(quán)利要求7所述的一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾裝置����,其特征在于所述加密處理的IP包過(guò)濾模塊對(duì)外出方向需IPSEC加密處理的IP包過(guò)濾具體過(guò)程包括,步驟321:網(wǎng)關(guān)收到從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)外部網(wǎng)絡(luò)需要進(jìn)行IPSEC加密處理的明通報(bào)文��;步驟322�,路由處理后進(jìn)入防火墻FORWARD鏈,檢查到該IP報(bào)文在OUT方向匹配到IPSEC策略���,放行該IP報(bào)文��;步驟323�,查找該IP包匹配的安全策略(SP)及出站安全關(guān)聯(lián)(SA);步驟324���,進(jìn)行IPSEC加密處理����,執(zhí)行隧道模式ESP/AH封裝�,新的IP報(bào)文源地址為本網(wǎng)關(guān),目的地址為險(xiǎn)道的遠(yuǎn)端網(wǎng)關(guān)�����;步驟325�����,路由處理后進(jìn)入防火墻OUTPUT鏈���,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包,允許放行��;步驟326�����,IPSEC密通報(bào)文發(fā)向遠(yuǎn)端的網(wǎng)關(guān)地址。10.根據(jù)權(quán)利要求7所述的一種IPSEC安全策略實(shí)現(xiàn)IP報(bào)文過(guò)濾裝置�,其特征在于所述解密處理的IP包過(guò)濾模塊對(duì)進(jìn)入方向IPSEC解密后的IP包過(guò)濾具體過(guò)程包括,步驟311:收到來(lái)自遠(yuǎn)端網(wǎng)關(guān)的IPSEC密通報(bào)文����;步驟312,路由處理后進(jìn)入防火墻INPUT鏈���,因檢查到該IPSEC密通報(bào)文為ESP/AH協(xié)議包��,允許放行����;步驟313�����,根據(jù)三元組信息即該報(bào)文目的地址��、SPI安全參數(shù)索引�����、AH或ESP安全協(xié)議號(hào)查找安全關(guān)聯(lián),并進(jìn)行IPSEC解密處理���,解密后的明通報(bào)文目的地址為本網(wǎng)關(guān)的內(nèi)部網(wǎng)絡(luò)���;步驟314,路由處理后�����,進(jìn)入防火墻FORWARD鏈���,檢查到解密后的明通報(bào)文在IN方向匹配到IPSEC策略�����,放行該IP報(bào)文;步驟315����,解密后的明通報(bào)文發(fā)向本網(wǎng)關(guān)內(nèi)部網(wǎng)絡(luò)。全文摘要本發(fā)明涉及屬于信息安全及密碼
技術(shù)領(lǐng)域:
��,涉及一種通過(guò)IPSECVPN及IPtables技術(shù)配合�,實(shí)現(xiàn)IP報(bào)文過(guò)濾方法及裝置����。本發(fā)明提供一種集成IPSECVPN和防火墻模塊的網(wǎng)關(guān)設(shè)備�,通過(guò)一種IPSEC安全策略與防火墻策略配合方法,實(shí)現(xiàn)IP報(bào)文過(guò)濾��。降低了配置ipsec安全策略與防火墻策略的耦合性�����,使兩種策略配置各司其職��。本設(shè)計(jì)通過(guò)策略配置實(shí)現(xiàn)數(shù)據(jù)在INPUT鏈���、OUTPUT鏈���、FORWARD鏈的傳輸。本發(fā)明主要應(yīng)用于IP報(bào)文數(shù)據(jù)過(guò)濾領(lǐng)域�。文檔編號(hào)H04L12/46GK102932377SQ20121049188公開(kāi)日2013年2月13日申請(qǐng)日期2012年11月28日優(yōu)先權(quán)日2012年11月28日發(fā)明者胡川申請(qǐng)人:成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司