基于虚拟化网络的数据传输方法、系统和网络安全设备转让专利
申请号 : CN202110786332.7
文献号 : CN113242269B
文献日 : 2021-09-14
发明人 : 于洪 , 姜春晓 , 吴胜 , 于芷澜 , 于业浩 , 杨丽萍
申请人 : 北京宇创瑞联信息技术有限公司
摘要 :
权利要求 :
1.一种基于虚拟化网络的数据传输方法,其特征在于,所述方法包括以下步骤:由第一安全设备劫持从多个第一端通信设备发送的多个数据报文;
由所述第一安全设备基于预先存储的编译策略确定各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系,利用第一安全设备的第一编译器基于所述映射关系至少对各个第一端通信设备的网络地址进行编译而得到多个第一端通信设备的彼此嵌套的虚拟网络地址,由此基于所述映射关系在各第一端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络;其中所述彼此嵌套的多个虚拟网络地址包括:位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网段;
基于创建的虚拟化网络向所述对端通信设备发送数据报文,该数据报文中携带第一端通信设备和对端通信设备的虚拟网络地址;
所述第一安全设备接收经所述对端通信设备侧的第二安全设备发送的来自所述对端通信设备的数据报文,利用第一编译器基于预先存储的编译策略对所述对端通信设备的虚拟网络地址进行解析和还原,还原成功后向对应第一端通信设备传送携带还原的对端通信设备的真实网络地址的数据报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:由所述第二安全设备接收经所述第一安全设备发送的来自各第一端通信设备的数据报文,利用第二编译器基于预先存储的编译策略对各第一端通信设备的虚拟网络地址进行解析和还原,还原成功后向所述对端通信设备传送携带还原的真实网络地址的数据报文;
所述第二安全设备劫持从所述对端通信设备向各第一端通信设备返回的数据报文,利用第二编译器基于预先存储编译策略对所述对端通信设备的网络地址编译为虚拟网络地址,并在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文。
3.根据权利要求2所述的方法,其特征在于,所述第一安全设备和第二安全设备的物理网卡接口不具有IP地址和MAC地址;
所述第一安全设备和所述第二安全设备预先存储的编译策略包括各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系,所述映射关系包括真实IP地址和虚拟IP地址之间的映射关系。
4.根据权利要求2或3所述的方法,其特征在于,所述基于创建的虚拟化网络向所述对端通信设备发送数据报文包括:在当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向所述对端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文;对所述对端通信的IP地址网段之外的其他网段地址的访问,将当前第一端通信设备的IP地址网段转换为与所述其他网段不互通的第一特定广播地址段;
所述在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文,包括:当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向第一端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文;对作为目标的第一端通信设备的IP地址网段之外的其他网段的地址的访问,将所述对端通信设备的虚拟IP地址网段转换为与该其他网段不互通的第二特定广播地址段。
5.根据权利要求1所述的方法,其特征在于,所述选定类型的网络的IP地址范围包括:A类网络IP地址范围、B类网络IP地址范围或C类网络IP地址范围。
6.根据权利要求1所述的方法,其特征在于,所述映射关系还包括以下映射关系中的至少一种:真实MAC地址和虚拟MAC地址间的映射关系、真实IP端口与虚拟IP端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:如果基于预先存储的编译策略解析和还原真实网络地址失败,所述第一安全设备和/或所述第二安全设备丢弃要传送的数据报文。
8.一种基于虚拟化网络的数据传输系统,其特征在于,所述系统包括:位于通信发起方侧的第一安全设备和位于通信接收方侧的第二安全设备;
其中,所述第一安全设备用于:
劫持从多个通信发起方发送的服务请求报文;
基于预先存储的编译策略确定各通信发起方和通信接收方的真实网络信息和虚拟网络信息间的映射关系,利用第一编译器基于所述映射关系对各个发起方的网络地址进行编译而得到多个发起方的彼此嵌套的多个虚拟网络地址,由此基于所述映射关系在各通信发起方和通信接收方之间已建立的物理线路上创建虚拟化网络;所述彼此嵌套的多个虚拟网络地址包括:位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网段;
在各发起方和接收方之间已建立的物理线路上基于创建的虚拟化网络向接收方发送数据报文,该数据报文中携带发起方和接收方的虚拟网络地址;
接收来自第二安全设备的数据报文,利用第一编译器基于预先存储的编译策略对接收方经编译的虚拟网络地址进行解析和还原,还原成功后向所述发起方传送携带还原的接收方真实网络地址的数据报文;
所述第二安全设备用于:
劫持从所述通信接收方发送的数据报文,利用第二编译器基于预先存储的编译策略对接收方的网络地址编译为虚拟网络地址,并在各发起方和接收方之间已建立的物理线路上基于创建的虚拟化网络向各发起方彼此隔离地发送带有接收方和发起方虚拟网络地址的数据报文;
接收来自所述第一安全设备的数据报文,利用第二编译器基于预先存储的编译策略对各发起方的虚拟网络地址进行解析和还原,还原成功后向所述接收方传送携带还原的发起方真实网络地址的数据报文。
9.根据权利要求8所述的系统,其特征在于,所述第一安全设备和所述第二安全设备为网关;
所述在各发起方和接收方之间已建立的物理线路上基于创建的虚拟化网络向各发起方彼此隔离地发送带有接收方和发起方虚拟网络地址的数据报文,包括:在各发起方和接收方之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向各发起方发送携带有接收方的虚拟网络地址的数据报文,针对每一消息,对作为目标发起方的IP地址网段之外的其他虚拟网段地址的访问,将接收方的虚拟IP地址网段转换为与该其他虚拟网段不互通的特定广播地址段。
10.一种网络安全设备,其特征在于,所述网络安全设备用于与至少一个第一端通信设备连接,所述网络安全设备包括处理器和存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被处理器执行时实现如下步骤:
劫持从所述至少一个第一端通信设备发送的数据报文,基于预先存储的编译策略确定各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系,利用第一编译器基于所述映射关系对各个第一端通信设备的网络地址进行编译而得到多个第一端通信设备的彼此嵌套的多个虚拟网络地址,由此基于所述映射关系在各第一端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络,所述彼此嵌套的多个虚拟网络地址包括:位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网段;
在各第一端通信设备和多个对端通信设备之间已建立的物理线路上基于创建的虚拟化网络向所述多个对端通信设备彼此隔离地发送数据报文;
所述网络安全设备接收经对端网络安全设备发送的来自所述多个对端通信设备的消息,利用第一编译器基于预先存储的编译策略对各对端通信设备的虚拟网络地址进行解析和还原,还原成功后向所述第一端通信设备传送携带还原的对端通信设备的真实网络地址的消息。
11.根据权利要求10所述的网络安全设备,其特征在于,所述在各第一端通信设备和多个对端通信设备之间已建立的物理线路上基于创建的虚拟化网络向所述多个对端通信设备彼此隔离地发送数据报文,包括:在当前第一端通信设备和多个对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向多个对端通信设备发送携带有当前第一通信设备的虚拟网络地址的数据报文,对作为目标的对端通信设备的IP地址网段之外的其他虚拟网段地址的访问,将当前第一端通信设备的IP地址网段转换为与所述其他虚拟网段不互通的第二特定广播地址段。
说明书 :
基于虚拟化网络的数据传输方法、系统和网络安全设备
技术领域
背景技术
必然趋势。
用户的口令、数据库的信息;还可能篡改数据库内容,伪造用户身份,否认自己的签名。更有
甚者,可以删除数据库内容,摧毁网络节点,释放计算机病毒等等,这些都使信息安全问题
越来越复杂。
全防御方式是被动检测病毒样本、入侵特征样本等机制,同时结合黑白名单的访问控制机
制,访问控制策略添加前需要明确获知哪些是可以放行的哪些是可以阻止的,但在实际网
络通讯中黑客往往是模拟成可以放行通过访问的普通用户,直接被网络安全网关放行进入
到用户内网,这就造成了不可控的风险;(2)传统的网络安全是塔式防御,将各种安全软件
产品堆叠累积,各类静态的被动防御相互叠加,无法从根本有效的方式进行防御,只能是查
漏补漏的方式,无法实现动态+未知的自动防御;(3)传统的应用软件、网络设备、网络安全
设备都标有明确的IP标识,如IP地址或MAC地址,这样就会给黑客创造用黑客工具扫描探测
到网络IP地址或MAC地址进而找到相应的漏洞实施攻击的风险;(4)此外,通常的应用软件
或系统软件常常因为系统漏洞或补丁等不断的扩展和边界无限放大,如果黑客入侵者利用
软件漏洞就会发起入侵攻击的风险,因此所带来了新的风险和隐患。
络安全防护设备在网络中处于被暴露的状态,也就是说在网络中的任意节点只要网络路由
可达就可以连接到此设备,那时黑客就可以通过暴力口令破解的方式,来不断的尝试用户
名、密码、或者登陆此安全设备的浏览器漏洞或寻找后门进行入侵攻击;同时网络安全设备
自身也存在被通过物理攻击的CPU的晶振攻击和对内存资源的侧信道攻击,这两种攻击方
式可直接绕过任何安全防护直接接管核心控制单元,达到任意操控设备的风险。此外,还有
一个问题是,如果要断开客户端对服务器的某项资源的访问,需要断开实际的物理链接才
能真正阻止客户端的访问,而实际物理线路的断开将影响客户端对服务器其他业务资源的
访问。
发明内容
于所述映射关系至少对各个第一端通信设备的网络地址进行编译而得到多个第一端通信
设备的彼此嵌套的虚拟网络地址,由此基于所述映射关系在各第一端通信设备和对端通信
设备之间已建立的物理线路上创建虚拟化网络;其中所述彼此嵌套的多个虚拟网络地址包
括:位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地
址网段;
的虚拟网络地址进行解析和还原,还原成功后向对应第一端通信设备传送带还原的对端通
信设备的真实网络地址的数据报文。
译策略对各第一端通信设备的虚拟网络地址进行解析和还原,还原成功后向所述对端通信
设备传送带还原的真实网络地址的数据报文;所述第二安全设备劫持从所述对端通信设备
向各第一端通信设备返回的数据报文,利用第二编译器基于预先存储编译策略对所述对端
通信设备的网络地址编译为虚拟网络地址,并在各第一端通信设备和对端通信设备之间已
建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送
所述对端通信设备的数据报文。
各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系,所述映
射关系包括真实IP地址和虚拟IP地址之间的映射关系。
的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向所述对端通信设备发
送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文;对所述对端通信的IP地
址网段之外的其他网段地址的访问,将当前第一端通信设备的IP地址网段转换为与所述其
他网段不互通的第一特定广播地址段;
包括:当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网
络利用数据链路层ARP寻址广播方式或网络层路由方式向第一端通信设备发送携带有发起
方虚拟网络地址和接收方虚拟网络地址的数据报文;对作为目标的第一端通信设备的IP地
址网段之外的其他网段的地址的访问,将所述对端通信设备的虚拟IP地址网段转换为与该
其他网段不互通的第二特定广播地址段。
由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。
文。
行编译而得到多个发起方的彼此嵌套的多个虚拟网络地址,由此基于所述映射关系在各通
信发起方和通信接收方之间已建立的物理线路上创建虚拟化网络;所述彼此嵌套的多个虚
拟网络地址包括:位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩
小的多个IP地址网段;
接收方真实网络地址的数据报文;
路上基于创建的虚拟话网络向各发起方彼此隔离地发送带有接收方和发起方虚拟网络地
址的数据报文;
发起方真实网络地址的数据报文。
和接收方之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方
式或网络层路由方式向各发起方发送携带有所述对端通信设备的虚拟网络地址的数据报
文,针对每一消息,对作为目标发起方的IP地址网段之外的其他虚拟网段地址的访问,将接
收方的虚拟IP地址网段转换为与该其他虚拟网段不互通的特定广播地址段。
计算机指令,所述处理器用于执行所述存储器中存储的计算机指令,当所述计算机指令被
处理器执行时实现如下步骤:
用第一编译器基于所述映射关系对各个第一端通信设备的网络地址进行编译而得到各第
一端通信设备的虚拟网络地址,由此基于所述映射关系在各第一端通信设备和对端通信设
备之间已建立的物理线路上创建虚拟化网络,所述彼此嵌套的多个虚拟网络地址包括:位
于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网
段;
解析和还原,还原成功后向所述第一端通信设备传送带还原的对端通信设备的真实网络地
址的消息。
报文,包括:在当前第一端通信设备和多个对端通信设备之间已建立的物理线路上基于创
建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向多个对端通信设备
发送携带有当前第一通信设备的虚拟网络地址的数据报文,对作为目标的对端通信设备的
IP地址网段之外的其他虚拟网段地址的访问,将当前第一端通信设备的IP地址网段转换为
与所述其他虚拟网段不互通的第二特定广播地址段。
附图说明
具体实施方式
不作为对本发明的限定。
的其他细节。
设置编译器,利用编译器来进行包括虚拟再生网络地址在内的虚拟通信网络信息的编译,
其中编译的虚拟再生网络地址不同于实际网络中真实物理设备之间的网络地址,从而在通
信发起方和接收方的安全设备之间创建出多个虚拟再生网络,该虚拟再生网络的网络资源
为实际网络中所不存在的虚拟网络资源,通信发起方和接收方的安全设备之间的虚拟再生
网络可依据IETF和IEEE的标准规范,其虚拟的网络地址资源等信息仅在虚拟再生网络两端
的安全设备之间进行传输,而不被通信发起方和通信接收方传递或转发。本发明实施例中,
虚拟化再生网络指的是通过虚拟化技术实现虚拟网络的不断再生。本发明的基于虚拟化再
生网络的数据传输方法不改变原有网络结构、不改变原有网络路由条目、路由转发路径,也
可以不改变通讯机制和网络拓扑结构,从而可以在用户无感的情况下提高网络的安全性。
在下文中,为了便于描述,虚拟化再生网络可简称为虚拟化网络。
于进行数据包的监测和劫持的hook劫持技术为现有成熟技术,在此不再详细描述。
在一个第一安全设备连接多个客户端的情况下,该第一安全设备可用于对多个客户端发出
的数据包均进行劫持。
一安全设备的物理接口没有IP地址和MAC地址,其是靠劫持数据报文来获取发起方发出的
数据,并通过路由方式或广播方式将数据发送出去。
器基于所述映射关系至少对各个第一端通信设备的网络地址进行编译而得到多个第一端
通信设备的彼此嵌套的虚拟网络地址,由此基于所述映射关系在各第一端通信设备和对端
通信设备之间已建立的物理线路上创建虚拟化网络,并基于创建的虚拟化网络向所述对端
通信设备发送数据报文。
映射关系,编译器可以获知发起方和接收方的正式IP地址和虚拟IP地址,所述虚拟IP地址
优选为虚拟IP地址网段(或简称虚拟IP地址段)。
网络。作为示例,针对每一发起方(第一端通信设备)产生的虚拟化网络地址均为IP地址网
段。
可以包括以下网络IP地址范围中的部分或全部:A类网络IP地址范围、B类网络IP地址范围
和C类网络IP地址范围。其中,A类网络IP地址范围为最广的地址范围,其次为B类网络,再次
为C类网络。A类网络IP地址范围例如为从1.0.0.0 到126.0.0.0的IP地址范围。B类网络IP
地址范围例如为从128.0.0.0到191.255.255.255的IP地址范围。C类网络IP地址范围例如
为从192.0.0.0到223.255.255.255的IP地址范围。A类网络用8位表示网络号,24位表示主
机位;B类网络以16位表示网络,16位表示主机;C类网络用24位表示网络号,8位表示主机
位。
此隔离的虚拟化网络。在此,所谓彼此嵌套的IP网络地址是指对应的多个虚拟化网络的IP
地址段彼此包含,例如,如果针对三个客户端的服务请求报文产生的三个虚拟化网络的IP
地址段,第1个虚拟化网络的IP地址段例如可以是192.0.0.0/8,第2个虚拟化网络的IP地址
段例如可以是192.168.30.0/24,第3个虚拟化网络的IP地址段例如可以是192.168.10.25/
24,可见,第1个虚拟化网络的IP地址段范围包含第2个虚拟化网络的IP地址段范围,第2个
虚拟化网络的IP地址段范围包含第3个虚拟化网络的IP地址段范围。在本发明实施例中,这
样的嵌套式网络是针对特定的应用场景而设置的。对于希望针对不同客户端提供不同的、
彼此不共享的应用服务资源的情况下,尤其适合这种嵌套式网络地址设置。
服务请求,编译策略中与真实网络地址对应的虚拟网络地址的地址段例如可以是从A类网
络或B类网络IP地址范围中选择的IP地址段;针对访问人数较少的服务对应的服务请求,编
译策略中与真实网络地址对应的虚拟网络地址的地址段例如可以是从B类网络或C类网络
的IP地址范围中选择的IP地址段。编译器编译生成的IP地址段中的地址不与实际存在的物
理线路的IP地址相冲突。
真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系等。
在编译策略中的映射关系还包括真实MAC地址和虚拟MAC地址间的映射关系的情况下,第一
编译器编译的虚拟网络地址还可包括虚拟MAC地址。当前的MAC地址,通常用十六进制数表
示,共六个字节(48位)。MAC地址通常表示为12个16进制数,每2个16进制数之间用冒号或者
横杠隔开,如:48:89:E7:D5:23:7A就是一个MAC地址,其中前6位16进制数(即前3个字节,高
位24位)代表网络硬件制造商的编号,它由IEEE的注册管理机构(Registration
Authority,RA)分配,而后6位16进制数(即后3个字节,低位24位)代表该制造商所制造的某
个网络产品(如网卡)的系列号。在本发明实施例中,可以通过预定的编译策略来改变MAC地
址中的特征字段,从而防止黑客基于IP地址进行入侵攻击。
对IP地址、MAC地址、直连路由和下一跳路由以及通信服务端口等网络信息的编译,可将实
际物理网络映射为虚拟网络进行数据传输,这些虚拟化的信息在第一安全设备和第二安全
设备之间传递。
文中,来替换原数据报文中的网络地址信息,然后利用发起方和接收方之间已建立的物理
线路基于各虚拟化网络地址利用数据链路层ARP寻址广播方式或网络层路由方式将向接收
方发送数据报文,该数据报文中带有发起方和接收方的虚拟化网络地址。针对对接收方的
IP地址网段之外的其他网段地址的访问,第一编译器将第一端通信设备的IP地址网段转换
为与所述其他网段不互通的第一特定广播地址段,以防止其他网段的接收方接收到发起方
所发出的消息,从而实现与其他接收方对应的网络隔离。
共互联网,这种情况下,通过专网传递的数据便有可能被黑客入侵攻击而导致信息泄露。为
此,本发明提出在发起方和接收方之间已建立的实际物理线路上采用虚拟化的再生网络来
防止黑客的入侵攻击,同时,还可针对不同客户端对服务器的不同访问需求来在服务器和
客户端之间建立不同的多个虚拟化网络,这样,基于服务的完成情况可以灵活地断开多个
虚拟化网络中的部分网络而不会导致其他虚拟化网络的断开,也无需断开实际的实际物理
线路。
拟网络地址进行解析和还原,将还原后的真实IP地址重新封装至要向接收方(如服务器等
对端通信设备)传送的数据报文中,并向接收方传送带还原的发起方真实网络地址的数据
报文(服务请求报文)。
得接收方接收到的是带有发起方真实网络地址(如IP地址和MAC地址)的服务请求报文。在
本发明实施例中,第二安全设备确认数据报文中携带的虚拟网络信息与编译策略中相应应
用服务对应的虚拟网络信息相匹配,则可以成功还原真实网络地址,如果不匹配,则认为还
原失败。如果第二安全设备利用存储的编译策略解析发起方的真实网络地址失败,则第二
安全设备认为该服务请求报文为非法消息或不可信消息,于是做丢弃处理。
编译为虚拟网络地址,并在各发起方和接收方之间已建立的物理线路上基于创建的虚拟化
网络向各发起方彼此隔离地发送带有接收方虚拟网络地址的数据报文,该数据报文的目的
地址为发起方的虚拟化地址。
信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式
或网络层路由方式向第一端通信设备发送携带有所述对端通信设备的虚拟网络地址和当
前第一段通信设备的虚拟网络地址的数据报文;针对对作为目标的第一端通信设备的IP地
址网段之外的其他网段的地址的访问,将所述对端通信设备的虚拟IP地址网段转换为与该
其他网段不互通的第二特定广播地址段,以防止其他网段的发起方接收到接收方所发出的
消息,从而利用不互通的广播地址段实现虚拟网络间的隔离。例如,如果第二编译器确定采
用虚拟化的192.168.30.0地址网段来作为接收方的虚拟化网络地址进行特定发送方和接
收方之间数据报文的传输,则对其余的所有对任何地址的访问全部转换为1.1.1.255广播
地址段,该1.1.1.255广播地址段为当前接收方不能接收到的网段,从而将当前虚拟化网络
与其他虚拟化网络的地址相隔离,使得消息在嵌套的虚拟网络之间不互通。由此可以实现
多个虚拟化网络在同一物理线路上实现彼此隔离,进一步增强了数据向不同用户传输的安
全性。
行虚拟化编译。与第一编译策略相对应,第二安全设备中编译策略可以与第一安全设备中
的编译策略内容相同或相对应,即二者基于相一致的地址编译原则用于虚拟网络地址的编
译。
利用发起方和接收方之间已建立的物理线路基于编译后得到的虚拟化网络利用数据链路
层ARP寻址广播方式或网络层路由方式将向发起方发送带有接收方虚拟网络地址的数据报
文。该数据报文中以发起方的虚拟化网络地址作为目的地址。
方传送带还原的接收方真实网络地址的数据报文。
虚拟再生网络进行数据的传输,从而难以被黑客基于网络地址进行攻击。
一个第二安全设备(网关B)连接一个或多个服务器(图中仅示出一个)的情况。基于计算机
设备向服务器请求的应用服务的不同,可以在网关A和网关B之间建立多个虚拟网络,以基
于不同的应用服务来使用相应的虚拟网络进行数据的传输。图2中,作为发起方的客户端
PC1的网络接口eth0配置实际的IP地址为172.16.1.1,MAC地址为:000FC5056EB0(未示出),
其要访问网络接口eth1配置实际的IP地址为172.16.1.100,MAC地址为:F04EDA092709(未
示出)的交易服务器20,用作交易数据查询。在终端PC1主动发起请求来访问服务器20的情
况下,终端PC1基于预先存储的编译策略中真实网络信息和虚拟网络信息间的映射关系,通
过第一安全设备(网关A)的编译器在一候选网络IP地址范围192.0.0.0/8内创建第一虚拟
化网络(Net1:192.168.0.0/24),基于第一虚拟化网络的IP网段对PC1的虚拟化网络信息进
行编译,编译后的虚拟IP网络地址段在第一虚拟化网络范围内,网关A的编译器可使用虚拟
化网络地址192.168.0.1/24,虚拟化MAC地址000000001010,对服务器20发起访问;服务器
20通过网关B的编译器创建虚拟化网络Net1后,网关B的编译器可使用虚拟化网络地址
192.168.0.100/24,虚拟话网络1采用192.168.0.0/24 IP地址段进行网关A和网关B之间的
虚拟通讯。当终端PC1要访问服务器20以外的服务器时,网关A的编译器将执行以虚拟IP地
址为10.10.10.255的广播策略对外进行通信,该广播地址为服务器不可被服务器20以外的
服务器接收的广播地址,从而防止终端PC1与服务器20之外的主机进行访问,即将终端PC1
的对外广播地址转换为能隔离其他终端的广播地址段。当服务器要20要基于该虚拟网络访
问终端PC1以外的终端时,网关B的编译器将执行以虚拟IP地址为10.10.10.255的广播策略
对外进行通信,同样防止终端服务器20与PC1之外的主机进行访问,即将服务器20的对外广
播地址转换为能隔离其他终端的广播地址段。当终端PC2同样要访问交易服务器20进行特
定交易数据的查询,网关A的编译器可以基于终端PC2的访问请求报文确定PC2所请求的资
源为不希望被其他用户获取到的信息,并且该资源被访问的人数较少,则网关A和网关B的
编译器基于预定义的编译策略选择虚拟化网络1(Net1)范围内的子网段作为新的子虚拟化
网络Net2:192.268.30.0/24,网关A的编译器使用虚拟化网络地址192.168.30.1/24作为
PC1的虚拟化地址段,网关B的编译器使用虚拟化网络地址192.168.30.100/24作为服务器
的虚拟化地址段。基于与PC1和服务器之间的通信方式类似的通信方式进行通信。为了实现
子虚拟网络Net2和虚拟网络Net1之间的隔离,网关A和网关B可通过分别将对发起方PC2和
服务器20的IP地址网段之外的其他主机的虚拟网段地址的访问所用的IP地址网段转换为
与所述其他主机虚拟网段不互通的特定广播地址段来实现与其他网络的隔离,从而可以进
一步增强数据传输的安全性。这些虚拟网络无法通过硬件设备的接口路由到MAC SEC 设备
的另一端(计算机设备端/服务器端),因此有效的保护了外部设备对内网计算机或服务器
的安全性。
拟网络地址段空间,这些虚拟网络无法通过硬件设备的接口路由到MAC SEC 设备的另一端
(计算机设备端/服务器端),因此有效的保护了外部设备对内网计算机或服务器的安全性。
络。在现有技术中,如果某项业务需求需要断开网络,则需要断开整条物理线路,从而会影
响其他用户的使用,而本发明实施例中,可以无需断开实际的物理线路而仅断开不需要的
虚拟网络,从而不影响依赖于该物理线路的其他用户。
据,因此无需在相应通联设备(本发明中的网关等安全设备)的物理接口配置有相应IP/MAC
地址,在这种情况下,由安全设备新创建的虚拟化段地址可借助实际物理线路进行广播,在
传递到对端应接收方时接收方的安全设备根据虚拟网络地址再还原成物理实际对应的IP/
MAC地址来还原通讯,对于非接收方将无法还原真实的内部IP/MAC地址和会话链接通讯,因
此非指定接收方将对此虚拟化网段路由而做丢弃处理,由此有效防止了网络设备被黑客攻
击。
同的用户或应用服务设置不同的访问权限,从而可以更好的进行业务的监管。
或端口进行虚拟化,使得实际网络中出现一部分未知不可复现的网络,将传统网络与虚拟
网络进行分割控制,防止因物理网络中的会话劫持、渗透入侵攻击等对虚拟化网络通讯产
生影响。
射关系,利用第一编译器基于所述映射关系对各个发起方的网络地址进行编译而得到多个
发起方的彼此嵌套的多个虚拟网络地址,由此基于所述映射关系在各通信发起方和通信接
收方之间已建立的物理线路上创建虚拟化网络;所述彼此嵌套的多个虚拟网络地址包括:
位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网
段;在各发起方和接收方之间已建立的物理线路上基于创建的虚拟化网络向接收方发送数
据报文,该数据报文中携带发起方和接收方的虚拟网络地址;接收来自第二安全设备的数
据报文,利用第一编译器基于预先存储的编译策略对接收方经编译的虚拟网络地址进行解
析和还原,还原成功后向所述发起方传送携带还原的接收方真实网络地址的数据报文;
收方之间已建立的物理线路上基于创建的虚拟话网络向各发起方彼此隔离地发送带有接
收方和发起方虚拟网络地址的数据报文;接收来自所述第一安全设备的数据报文,利用第
二编译器基于预先存储的编译策略对各发起方的虚拟网络地址进行解析和还原,还原成功
后向所述接收方传送携带还原的发起方真实网络地址的数据报文。
存储器,所述存储器中存储有计算机指令,所述处理器用于执行所述存储器中存储的计算
机指令,当所述计算机指令被处理器执行时实现如下步骤:
用第一编译器基于所述映射关系对各个第一端通信设备的网络地址进行编译而得到各第
一端通信设备的虚拟网络地址,由此基于所述映射关系在各第一端通信设备和对端通信设
备之间已建立的物理线路上创建虚拟化网络,所述彼此嵌套的多个虚拟网络地址包括:位
于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网
段;
解析和还原,还原成功后向所述第一端通信设备传送带还原的对端通信设备的真实网络地
址的消息。
且在通信发起侧和接收侧之间加入本发明的网络安全设备不改变原有网络结构、不新增实
际的IP/MAC地址标识、不改变原有网络路由条目、路由转发路径、通讯机制和网络拓扑结
构。
原有IP地址、子网掩码、MAC地址、直连路由、下一跳网关路由、域名DNS、WINS、NetBios等信
息,而是通过通信两端安全设备的编译器产生虚拟IP地址段、虚拟MAC地址、虚拟路由、虚拟
通信端口等,而是在已建立的物理线路上在发起方和接收方的安全设备之间创建虚拟化网
络,在已建立的物理线路上通过虚拟化网络利用数据链路层ARP寻址广播方式或网络层路
由方式进行数据传输。本发明不改变原有网络结构、不改变原有网络路由条目、路由转发路
径,也可以不改变通讯机制和网络拓扑结构,可以在用户无感的情况下提高网络的安全性。
是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每
个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的
范围。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插
件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代
码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传
输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。
机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软
盘、CD‑ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联
网等的计算机网络被下载。
提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
实施方式的特征。
任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。