專利名稱:實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方法及其防火墻裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)控制方法及其裝置�����,特別是涉及-4中實(shí)現(xiàn)網(wǎng) 絡(luò)訪問控制的方法及其防火墻裝置����。
背景技術(shù):
防火墻作為網(wǎng)絡(luò)安全裝置,通常設(shè)置在網(wǎng)絡(luò)之間以確保網(wǎng)絡(luò)通信 安全�����,例如��,防火墻被設(shè)置在廣域網(wǎng)和需要高安全性能的局域網(wǎng)之間�。 防火墻根據(jù)其預(yù)先設(shè)定的安全策略,確定從局域網(wǎng)發(fā)往廣域網(wǎng)的網(wǎng)絡(luò) 包(network packet)或從廣域網(wǎng)發(fā)往局域網(wǎng)的網(wǎng)絡(luò)包是否允許通過防 火墻�。防火墻對(duì)網(wǎng)絡(luò)包執(zhí)行過濾程序,如果網(wǎng)絡(luò)包符合防火墻配置的 安全策略�����,網(wǎng)絡(luò)包被允許通過防火墻����,如果不符合安全策略,網(wǎng)絡(luò)包 則被丟棄掉�����,不允許通過防火墻。上述預(yù)先設(shè)定的安全策略可以是對(duì) 內(nèi)安全策略或?qū)ν獍踩呗?��,其中?duì)內(nèi)安全策略是針對(duì)廣域網(wǎng)對(duì)局域 網(wǎng)發(fā)出的訪問而執(zhí)行的策略��,而對(duì)外安全策略則是針對(duì)局域網(wǎng)對(duì)廣域 網(wǎng)發(fā)出的訪問而執(zhí)行的策略���。隨著企業(yè)規(guī)模的不但擴(kuò)大,企業(yè)的內(nèi)部網(wǎng)絡(luò)(即��,局域網(wǎng))變得 越來越復(fù)雜�����,對(duì)于處于企業(yè)出口的防火墻來說����,由于局域網(wǎng)中的不同 用戶(如不同部門)需要不同的安全策略,導(dǎo)致防火墻的安全策略越 來越多�����。因此����,在廣域網(wǎng)訪問局域網(wǎng)或局域網(wǎng)訪問廣域網(wǎng)時(shí)�����,防火墻 需要査詢的安全策略也越多����,査找效率低��,因此����,單位時(shí)間內(nèi)通過防 火墻的網(wǎng)絡(luò)包相應(yīng)減少�,工作效率低。另外����,在網(wǎng)絡(luò)出現(xiàn)故障時(shí),防 火墻中越來越多的安全策略使管理難度變得越來越大�,運(yùn)營(yíng)的開銷也 逐漸增大。為解決此問題�����,將企業(yè)的各部門獨(dú)立進(jìn)行管理是 -個(gè)比較 好的解決方案,但獨(dú)立管理需要每個(gè)部門分別設(shè)置一個(gè)獨(dú)立的防火墻�����, 這將需要購買更多的防火墻設(shè)備����,導(dǎo)致企業(yè)成本的大幅增加
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題在于提供一種實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方法 及其防火墻裝置,用以提高網(wǎng)絡(luò)之間訪問的效率和簡(jiǎn)化網(wǎng)絡(luò)管理����。為解決上述技術(shù)問題,本發(fā)明提供了 一種實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方 法�,其控制網(wǎng)絡(luò)系統(tǒng)中的第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的訪問,該網(wǎng)絡(luò)系 統(tǒng)包括位于第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的防火墻裝置��,防火墻裝置包括 多個(gè)從邏輯上劃分的虛擬防火墻���,每個(gè)虛擬防火墻都配置有自己的一 套安全策略���。該方法包括如下步驟1)第一網(wǎng)絡(luò)發(fā)出一個(gè)訪問第二網(wǎng) 絡(luò)的網(wǎng)絡(luò)包;2)防火墻裝置根據(jù)所述網(wǎng)絡(luò)包包含的信息����,將所述網(wǎng)絡(luò) 包分送至對(duì)應(yīng)的虛擬防火墻�;3)虛擬防火墻對(duì)所述網(wǎng)絡(luò)包進(jìn)行安全檢 測(cè)�;4)判斷所述網(wǎng)絡(luò)包是否符合虛擬防火墻的安全策略;5)若所述 網(wǎng)絡(luò)包符合虛擬防火墻的安全策略�,允許所述網(wǎng)絡(luò)包通過防火墻裝置; 及6)若所述網(wǎng)絡(luò)包不符合虛擬防火墻的安全策略����,禁止所述網(wǎng)絡(luò)包通 過防火墻裝置。本發(fā)明還提供了一種實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制方法的防火墻裝置����,其控 制第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的訪問����。該防火墻裝置包括多個(gè)從邏輯上 設(shè)置的虛擬防火墻,每個(gè)虛擬防火墻都配置有自己的一套安全策略���。 防火墻裝置根據(jù)第一網(wǎng)絡(luò)發(fā)出的網(wǎng)絡(luò)包包含的信息�,將該網(wǎng)絡(luò)包分送 到與之相應(yīng)的虛擬防火墻進(jìn)行安全檢測(cè)���,若該網(wǎng)絡(luò)包符合虛擬防火墻 的安全策略�����,允許該網(wǎng)絡(luò)包通過防火墻裝置����,若該網(wǎng)絡(luò)包不符合虛擬 防火墻的安全策略,禁止該網(wǎng)絡(luò)包通過防火墻裝置��。與現(xiàn)有技術(shù)相比����,本發(fā)明在一個(gè)防火墻裝置中邏輯地設(shè)置多個(gè)虛 擬防火墻,每個(gè)虛擬防火墻配置有自己的一套安全策略�,并且使網(wǎng)絡(luò) 流量一進(jìn)入防火墻裝置,就被分發(fā)到對(duì)應(yīng)的虛擬防火墻��,只需查找相 應(yīng)虛擬防火墻中的安全策略�,因此提高了工作效率,同時(shí)也減小了配 置的復(fù)雜度和減輕了管理方面的困難度�����。以下結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行詳細(xì)的說 明���,以使本發(fā)明的特性和優(yōu)點(diǎn)更為明顯���。
圖1是包括本發(fā)明防火墻裝置以實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制功能的網(wǎng)絡(luò)系 統(tǒng)的方框圖���。圖2是在圖1所示網(wǎng)絡(luò)環(huán)境中的兩個(gè)網(wǎng)絡(luò)之間進(jìn)行通信的流程圖。
具體實(shí)施方式
圖1是包括本發(fā)明防火墻裝置以實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制功能的網(wǎng)絡(luò)系統(tǒng)的方框圖�����。該網(wǎng)絡(luò)系統(tǒng)包括設(shè)置在局域網(wǎng)100和廣域網(wǎng)110之間的 防火墻裝置120�����。防火墻裝置120可以是獨(dú)立的一臺(tái)設(shè)備或者是集成有 防火墻功能的路由器����、網(wǎng)關(guān)等設(shè)備。根據(jù)安全策略設(shè)置的需要����,局域 網(wǎng)100中具有相同安全策略的用戶可以劃分在一起�����,形成一個(gè)用戶組���。 在本發(fā)明的一個(gè)實(shí)施例中���,局域網(wǎng)100是企業(yè)內(nèi)部的網(wǎng)絡(luò)并且其中的 用戶被劃分為N個(gè)用戶組1001���、 1002、 1003……100n�。防火墻裝置120 提供多個(gè)從邏輯上劃分的虛擬防火墻,實(shí)現(xiàn)多個(gè)網(wǎng)絡(luò)安全域(security domain)����。虛擬防火墻的數(shù)量可以根據(jù)局域網(wǎng)100內(nèi)用戶的需求而邏輯 設(shè)置。在本發(fā)明的一個(gè)實(shí)施例中�����,包括N個(gè)虛擬防火墻1201���、 1202����、 1203……120n��,每個(gè)虛擬防火墻都配置有自己的一套安全策略來管理 相應(yīng)的用戶組1001�����、 1002、 1003......100n��。在本發(fā)明的一個(gè)實(shí)施例中�����,局域網(wǎng)100內(nèi)N個(gè)用戶組中的第一用 戶組1001可以是企業(yè)的各類服務(wù)器��,如郵件服務(wù)器和Web服務(wù)器等�, 第二用戶組1002可以是財(cái)務(wù)部和市場(chǎng)部,第三用戶組1003可以是研 發(fā)部門和品質(zhì)保證部門�。每個(gè)虛擬防火墻具有自己定義的一套安全策 略,包括對(duì)外安全策略和對(duì)內(nèi)安全策略�����,來管理對(duì)應(yīng)的用戶組���,例如, 第一虛擬防火墻1201管理第一用戶組1001��,第二虛擬防火墻1202管 理第二用戶組1002���。局域網(wǎng)IOO中的用戶按照不同的安全策略劃分為N個(gè)用戶組���,使 局域網(wǎng)100中的網(wǎng)絡(luò)流量根據(jù)自己的特點(diǎn)進(jìn)行歸類���,每類流量都由一 個(gè)虛擬防火墻進(jìn)行管理。為實(shí)現(xiàn)每個(gè)虛擬防火墻管理一類網(wǎng)絡(luò)流量��, 即同一個(gè)用戶組的訪問��,可以將用戶按照IP地址來分類�����,通過對(duì)防火 墻裝置120進(jìn)行邏輯配置��,使每個(gè)虛擬防火墻管理一段IP地址的用戶����, 如第-一虛擬防火墻1201管理在一段IP地址內(nèi)的第一用戶組1001。作
為本發(fā)明的另一個(gè)實(shí)施例���,可以將用戶按照網(wǎng)絡(luò)接口來分類�,使每個(gè) 虛擬防火墻管理同一網(wǎng)絡(luò)接口上的網(wǎng)絡(luò)流量�。防火墻裝置120提供多 個(gè)網(wǎng)絡(luò)接口����,每個(gè)網(wǎng)絡(luò)接口連接一類用戶組����。用戶組中的多個(gè)用戶連 接至一臺(tái)交換機(jī),再將交換機(jī)連接至防火墻裝置120的網(wǎng)絡(luò)接口�����。當(dāng) 用戶組中只有一臺(tái)計(jì)算機(jī)時(shí)����,可以直接將其網(wǎng)線接入防火墻裝置120 的網(wǎng)絡(luò)接口,而無需采用交換機(jī)����。在實(shí)際應(yīng)用中,可以根據(jù)具體情況 選擇采用網(wǎng)絡(luò)接口或IP地址來區(qū)分局域網(wǎng)100中的網(wǎng)絡(luò)流量(即�,用戶的訪問)。--般來說����,網(wǎng)絡(luò)接口配置方式比較適合于物理地址固定的 用戶,例如由服務(wù)器組成的第一用戶組1001。 IP地址配置方式具有更 大的靈活性���,更適合于移動(dòng)性強(qiáng)的用戶,例如����,由財(cái)務(wù)部和市場(chǎng)部組 成的第二用戶組1002,由于這些部門中的人員需要經(jīng)常移動(dòng)辦公��,若 采用網(wǎng)絡(luò)接口方式來配置����,因用戶離開了原來的網(wǎng)絡(luò)接口而必須重新 定義,增加了復(fù)雜度�,而采用IP地址來配置,不論用戶如何移動(dòng)���,只 要不改變?cè)撚脩舻腎P地址��,則還是由同-一個(gè)虛擬防火墻進(jìn)行管理�。防火墻裝置120配置有需要管理的用戶組的信息�,例如用戶組所 在的 -段IP地址或網(wǎng)絡(luò)接口,以使每個(gè)用戶組由一個(gè)相應(yīng)的虛擬防火 墻進(jìn)行管理���。請(qǐng)一并參照?qǐng)Dl和圖2��,在局域網(wǎng)100需要和廣域網(wǎng)110 進(jìn)行通信時(shí)�,在步驟201,局域網(wǎng)IOO發(fā)出一個(gè)想要訪問廣域網(wǎng)110的 網(wǎng)絡(luò)包���,例如該網(wǎng)絡(luò)包是第二用戶組1002中的一個(gè)用戶發(fā)出的�。在步 驟203�,防火墻裝置120根據(jù)網(wǎng)絡(luò)包包含的信息,如對(duì)應(yīng)該用戶的源地 址(即IP地址)或接收該網(wǎng)絡(luò)包的防火墻裝置120的網(wǎng)絡(luò)接口�,找到 與該源地址或網(wǎng)絡(luò)接口對(duì)應(yīng)的虛擬防火墻,例如對(duì)應(yīng)第二用戶組1002 的第二虛擬防火墻1202�,因此,該網(wǎng)絡(luò)包被分送至第二虛擬防火墻 1202�����。在第二虛擬防火墻1202中配置有依據(jù)第二用戶組1002的需求 而定義的安全策略�。在步驟205,依據(jù)該虛擬防火墻�,即第二虛擬防火 墻1202,配置的安全策略對(duì)網(wǎng)絡(luò)包進(jìn)行安全檢測(cè)��。在步驟207��,判斷 網(wǎng)絡(luò)包是否符合虛擬防火墻,如第二虛擬防火墻1202的安全策略�����,若 符合第二虛擬防火墻1202所有的安全策略�,則在步驟209����,網(wǎng)絡(luò)包被 允許通過防火墻裝置120,實(shí)現(xiàn)局域網(wǎng)100與廣域網(wǎng)110的通信����。若網(wǎng) 絡(luò)包不符合其中一條安全策略,則在步驟211�,該網(wǎng)絡(luò)包被丟棄掉,禁
止通過防火墻裝置120���,因此�����,用戶所發(fā)出的網(wǎng)絡(luò)包在未被授權(quán)訪問廣 域網(wǎng)110時(shí)被過濾掉�����,從而阻止該用戶對(duì)廣域網(wǎng)110的訪問��。當(dāng)廣域網(wǎng)110需要訪問局域網(wǎng)100時(shí)���,例如訪問第一用戶組1001 中的用戶����,廣域網(wǎng)110發(fā)出一個(gè)想要訪問局域網(wǎng)100的網(wǎng)絡(luò)包���,防火 墻裝置120根據(jù)該網(wǎng)絡(luò)包包含的局域網(wǎng)100的目標(biāo)地址���,找到與該目 標(biāo)地址對(duì)應(yīng)的虛擬防火墻,如對(duì)應(yīng)第一用戶組1001的第一虛擬防火墻 1201�,因此該網(wǎng)絡(luò)包被分送至第一虛擬防火墻1201。然后��,根據(jù)第一 虛擬防火墻1201配置的安全策略���,對(duì)該網(wǎng)絡(luò)包進(jìn)行安全檢測(cè)�����,若符合 第一虛擬防火墻1201所有的安全策略�,則網(wǎng)絡(luò)包被允許通過防火墻裝 置120,實(shí)現(xiàn)廣域網(wǎng)110與局域網(wǎng)100的通信�����,只要該網(wǎng)絡(luò)包不符合其 中-條安全策略����,則該網(wǎng)絡(luò)包被丟棄掉,不允許通過防火墻裝置120��, 從而禁止對(duì)局域網(wǎng)100進(jìn)行訪問���。局域網(wǎng)100中的其他用戶組-般不 允許廣域網(wǎng)UO進(jìn)行訪問,當(dāng)防火墻裝置120接收到從廣域網(wǎng)110發(fā)出 的網(wǎng)絡(luò)包��,根據(jù)該網(wǎng)絡(luò)包的目標(biāo)地址進(jìn)行判斷�����,只要目標(biāo)地址不是第 一用戶組1001中的用戶�����,就直接將該網(wǎng)絡(luò)包丟棄掉�,從而阻止廣域網(wǎng) IIO對(duì)局域網(wǎng)100的訪問�����。綜上所述�,本發(fā)明根據(jù)實(shí)際應(yīng)用需求�,把同一局域網(wǎng)100內(nèi)的不 同用戶邏輯地劃分為不同的安全域,即用戶組�,每一安全域都包含一 組有著相同安全策略需求的用戶。對(duì)應(yīng)地���,防火墻裝置120提供多個(gè) 從邏輯上劃分的虛擬防火墻�,每個(gè)虛擬防火墻配置有需要其管理的-類安全域中的用戶IP地址和安全策略���。也就是說�,將局域網(wǎng)中的網(wǎng)絡(luò) 流量根據(jù)自己的特點(diǎn)進(jìn)行歸類�����,每類流量都由一個(gè)虛擬防火墻進(jìn)行管 理����。當(dāng)局域網(wǎng)100發(fā)出網(wǎng)絡(luò)包,基于該網(wǎng)絡(luò)包的源地址或網(wǎng)絡(luò)接口��, 選擇相應(yīng)的虛擬防火墻,執(zhí)行該虛擬防火墻的對(duì)外安全策略����。當(dāng)廣域 網(wǎng)110發(fā)出網(wǎng)絡(luò)包,基于該網(wǎng)絡(luò)包的目標(biāo)地址��,選擇相應(yīng)的虛擬防火 墻��,執(zhí)行該虛擬防火墻的對(duì)內(nèi)安全策略���。因此����,本發(fā)明采用虛擬防火 墻使網(wǎng)絡(luò)流量一進(jìn)入防火墻裝置120�,就被分發(fā)到對(duì)應(yīng)的虛擬防火墻�����, 只需査找相應(yīng)虛擬防火墻中的安全策略��,提高了工作效率����,同時(shí)也減 小了配置的復(fù)雜度和減輕了管理方面的困難度��。為了管理方便���,可以為每個(gè)虛擬防火墻設(shè)定一個(gè)管理員,并為其
設(shè)置不同的密碼�����,以對(duì)每個(gè)虛擬防火墻分開單獨(dú)管理�����,減輕網(wǎng)絡(luò)管理 的工作量�����。當(dāng)然�����,也可以由一個(gè)管理員統(tǒng)一管理所有的虛擬防火墻���。 無論是單獨(dú)管理還是統(tǒng)一管理���,由于每個(gè)虛擬防火墻只配置其管理的 -類網(wǎng)絡(luò)流量的安全策略����,因而��,在網(wǎng)絡(luò)出現(xiàn)故障時(shí)�����,只需要査找相 應(yīng)虛擬防火墻中的安全策略��,減小了管理的復(fù)雜度�。此外,根據(jù)安全 域的增加或減少��,可以相應(yīng)配置虛擬防火墻的數(shù)量和安全策略��,提供 網(wǎng)絡(luò)的可變更性��。此外����,在防火墻裝置中邏輯設(shè)置多個(gè)虛擬防火墻的 成本比購買多個(gè)防火墻設(shè)備和對(duì)每個(gè)防火墻設(shè)備進(jìn)行維護(hù)的成本會(huì)低 很多���,從而節(jié)省了企業(yè)的開支��。最后所應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明而非限制��,盡 管參照較佳實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)說明�����,本領(lǐng)域的普通技術(shù)人員 應(yīng)當(dāng)理解�����,可以對(duì)本發(fā)明進(jìn)行修改或者等同替換�����,而不脫離本發(fā)明的 精神和范圍�����,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中�。
權(quán)利要求
1. 一種實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方法,其控制網(wǎng)絡(luò)系統(tǒng)中的第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的訪問��,該網(wǎng)絡(luò)系統(tǒng)包括位于第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的防火墻裝置���,防火墻裝置包括多個(gè)從邏輯上劃分的虛擬防火墻���,每個(gè)虛擬防火墻都配置有自己的一套安全策略�,該方法包括1)第一網(wǎng)絡(luò)發(fā)出一個(gè)訪問第二網(wǎng)絡(luò)的網(wǎng)絡(luò)包�,其特征在于,所述方法還包括以下步驟2)防火墻裝置根據(jù)所述網(wǎng)絡(luò)包包含的信息����,將所述網(wǎng)絡(luò)包分送至與之對(duì)應(yīng)的虛擬防火墻;3)所述虛擬防火墻對(duì)所述網(wǎng)絡(luò)包進(jìn)行安全檢測(cè)�����;4)判斷網(wǎng)絡(luò)包是否符合虛擬防火墻的安全策略��;5)若網(wǎng)絡(luò)包符合虛擬防火墻的安全策略����,允許網(wǎng)絡(luò)包通過防火墻裝置;及6)若網(wǎng)絡(luò)包不符合虛擬防火墻的安全策略��,禁止網(wǎng)絡(luò)包通過防火墻裝置����。
2. 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方法����,其特征在于�,所述第一網(wǎng)絡(luò)是局域網(wǎng)��,所述第二網(wǎng)絡(luò)是廣域網(wǎng)����。
3. 根據(jù)權(quán)利要求2所述的實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方法,其特征在于�, 所述網(wǎng)絡(luò)包包含的信息是對(duì)應(yīng)局域網(wǎng)的源地址或接收該網(wǎng)絡(luò)包的防火 墻裝置的網(wǎng)絡(luò)接口。
4. 根據(jù)權(quán)利要求2或3所述的實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方法��,其特征 在于�,所述局域網(wǎng)包括多個(gè)安全域,每一安全域都包含一組有著相同 安全策略需求的用戶�,每個(gè)安全域發(fā)出的網(wǎng)絡(luò)包被分送至一個(gè)對(duì)應(yīng)的 虛擬防火墻進(jìn)行安全檢測(cè)。
5. 根據(jù)權(quán)利要求1所述的實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方法�����,其特征在于�����, 所述第一網(wǎng)絡(luò)是廣域網(wǎng),所述第二網(wǎng)絡(luò)是局域網(wǎng)���。
6. 根據(jù)權(quán)利要求5所述的實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方法�,其特征在于��, 所述網(wǎng)絡(luò)包包含的信息是對(duì)應(yīng)局域網(wǎng)的目標(biāo)地址���。
7. —種實(shí)現(xiàn)權(quán)利要求1所述的網(wǎng)絡(luò)訪問控制方法的防火墻裝置�, 其控制第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的訪問�,其特征在于,該防火墻裝置 包括多個(gè)從邏輯上設(shè)置的虛擬防火墻����,每個(gè)虛擬防火墻都配置有自己 的一套安全策略,防火墻裝置根據(jù)第一網(wǎng)絡(luò)發(fā)出的網(wǎng)絡(luò)包包含的信息�, 將該網(wǎng)絡(luò)包分送到與之相應(yīng)的虛擬防火墻進(jìn)行安全檢測(cè),若該網(wǎng)絡(luò)包 符合所述虛擬防火墻的安全策略�����,允許該網(wǎng)絡(luò)包通過防火墻裝置��,若 該網(wǎng)絡(luò)包不符合所述虛擬防火墻的安全策略�����,禁止該網(wǎng)絡(luò)包通過防火 墻裝置�����。
8. 根據(jù)權(quán)利要求7所述的防火墻裝置����,其特征在于,所述第一網(wǎng) 絡(luò)是局域網(wǎng)�,所述第二網(wǎng)絡(luò)是廣域網(wǎng),所述局域網(wǎng)包括多個(gè)安全域��, 每一安全域都包含一組有著相同安全策略需求的用戶��,每個(gè)虛擬防火 墻管理一個(gè)對(duì)應(yīng)的安全域�。
9. 根據(jù)權(quán)利要求7所述的防火墻裝置����,其特征在于�,所述防火墻 裝置是集成有防火墻功能的路由器或網(wǎng)關(guān)�。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制的方法及其防火墻裝置。防火墻裝置位于第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間����,其包括多個(gè)從邏輯上劃分的虛擬防火墻���,每個(gè)虛擬防火墻都配置有自己的一套安全策略。該控制方法包括如下步驟第一網(wǎng)絡(luò)發(fā)出一個(gè)訪問第二網(wǎng)絡(luò)的網(wǎng)絡(luò)包�����;防火墻裝置根據(jù)網(wǎng)絡(luò)包包含的信息����,將網(wǎng)絡(luò)包分送至對(duì)應(yīng)的虛擬防火墻;虛擬防火墻對(duì)網(wǎng)絡(luò)包進(jìn)行安全檢測(cè)��;若網(wǎng)絡(luò)包符合虛擬防火墻的安全策略�,允許網(wǎng)絡(luò)包通過防火墻裝置;若網(wǎng)絡(luò)包不符合虛擬防火墻的安全策略��,禁止網(wǎng)絡(luò)包通過防火墻裝置����。由于網(wǎng)絡(luò)流量一進(jìn)入防火墻裝置,就被分發(fā)到對(duì)應(yīng)的虛擬防火墻���,只需查找相應(yīng)虛擬防火墻中的安全策略����,因此提高了工作效率。
文檔編號(hào)H04L29/06GK101212453SQ20061015633
公開日2008年7月2日 申請(qǐng)日期2006年12月29日 優(yōu)先權(quán)日2006年12月29日
發(fā)明者肖海濤 申請(qǐng)人:凹凸科技(中國)有限公司