一种实现防火墙交换式透明代理的方法,它至少包括如下步骤:代理服务器网络层工作在桥模式下;桥在链路层根据安全策略分析收到的数据包;如果数据包符合代理安全策略,将数据包送到IP层;IP层进行安全策略检查;如符合代理安全策略,则将数据包送传输层,传输层经过处理后送应用透明代理处理。采用本发明专利技术的方法,使用户不需要设置客户端的代理、不需要将网关指向防火墙,也无需改变原有网络结构和设置,只需将交换式透明代理服务器放置在局域网的出口处,透明代理服务会自动捕获用户的请求,检查用户请求的合法性,并代替用户和外界联系。(*该技术在2022年保护过期,可自由使用*)
【技术实现步骤摘要】
本专利技术涉及一种防火墙交换技术,尤其是一种,属于计算机
为此,本专利技术的目的是通过下述技术方案实现的一种,它至少包括如下步骤步骤1代理服务器网络层工作在桥模式下;步骤2桥在链路层根据安全策略分析收到的数据包;步骤3如果数据包符合代理安全策略,将数据包送到IP层;步骤4如果数据包不符合代理安全策略,将数据包在链路层转发或丢弃;步骤5IP层进行安全策略检查;步骤6如符合代理安全策略,则将数据包送传输层,传输层经过处理后送应用透明代理处理;步骤7如不符合代理安全策略,则将数据包在IP层转发或丢弃。进一步地,链路层桥安全策略分析至少包括捕获流经防火墙的数据包,检查数据包,将符合安全要求的数据包去掉以太网帧头,送IP层处理;IP层安全策略检查至少包括接收链路层发送过来的数据包,检查该数据包,改变符合安全要求的数据包路由信息,送传输层,改变符合安全要求的数据包路由信息使其路由的目的地址为防火墙本身,确保数据包能送往传输层;传输层处理至少包括接收从IP层送来的数据包,检查数据包中的服务信息,根据服务信息送透明代理处理。具体地,透明代理为HTTP代理或FTP代理或SMTP代理或TELNET代理或通用代理。透明代理至少包括步骤为接收用户请求,取得目的IP地址,向IP地址发起连接,转发请求,接收服务器响应,转发服务器响应,结束步骤。本专利技术交换式透明代理技术是在二层交换式防火墙的基础上实现HTTP代理、TELNET代理、SMTP代理、FTP代理和通用代理的技术。该代理技术对用户是完全透明的,用户不需要设置客户端的代理、不需要将网关指向防火墙,也无需改变原有网络结构和设置,只需将交换式透明代理服务器放置在局域网的出口处,透明代理服务会自动捕获用户的请求,检查用户请求的合法性,并代替用户和外界联系,然后将结果返回给用户。该过程对于用户来说是完全透明的,用户并不知道代理的存在。透明代理将内部网络和外部网络的通信完全隔绝,极大的提高了内部网络的安全性。图3为本专利技术的IP层安全策略检查模块工作流程图;图4为本专利技术的传输层处理块工作流程图;图5为本专利技术的透明代理模块基本工作流程图。参见附图说明图1,本专利技术为一种,其中防火墙代理服务器工作时,其网络层工作在桥模式下并非传统的路由模式,桥在链路层根据安全策略分析所有收到的数据包,如果数据包符合代理安全策略,则将数据包送到IP层,IP层再进行安全策略检查,若符合代理安全策略则送到传输层,传输层经过处理后送给应用代理处理。具体地,如图2所示,本专利技术链路层桥安全策略检查是捕获所有流经防火墙的数据包,根据安全策略决定数据包的去向。桥安全策略分析步骤至少包括捕获流经防火墙的数据包,检查数据包,将符合安全要求的数据包去掉以太网帧头,送IP层处理,根据以太网帧类型去掉相应的以太网帧头,以便数据包能够被IP层真确处理。IP层安全策略检查处理流程如图3所示。它检查由链路层送来的数据包,根据安全策略决定数据包的去向。IP层安全策略检查至少包括接收链路层发送过来的数据包,检查该数据包,改变符合安全要求的数据包路由信息,送传输层,改变符合安全要求的数据包路由信息使其路由的目的地址为防火墙本身,确保数据包能送往传输层。传输层处理流程如图4所示,处理由IP层送来的数据包,检查数据包中的服务信息,根据服务信息送透明代理处理。例如,如果数据包中的服务信息为Web服务,则传输层处理将数据送HTTP代理。透明代理处理又包括HTTP代理、FTP代理模、TELNET代理模块、SMTP代理以及通用代理处理。具体内容如图4所示。各个透明代理的工作原理基本相同,只是在不同的代理中所作的检查不同。例如HTTP代理检查请求方法、URL、等;FTP代理检查传输模式、访问控制命令等。以上实施例仅用以说明本专利技术而非限制,尽管参照以上较佳实施例对本专利技术进行了详细说明,本领域的普通技术人员应当理解,可以对本专利技术进行修改变形或者等同替换,而不脱离本专利技术的精神和范围,其均应涵盖在本专利技术的权利要求范围当中。权利要求1.一种,其特征在于它至少包括如下步骤步骤1代理服务器网络层工作在桥模式下;步骤2桥在链路层根据安全策略分析收到的数据包;步骤3如果数据包符合代理安全策略,将数据包送到IP层;步骤4如果数据包不符合代理安全策略,将数据包链路层转发或丢弃;步骤5IP层进行安全策略检查;步骤6如符合代理安全策略,则将数据包送传输层,传输层经过处理后送应用透明代理处理;步骤7如不符合代理安全策略,则将数据包IP层转发或丢弃;2.根据权利要求1所述的,其特征在于链路层桥安全策略分析至少包括捕获流经防火墙的数据包,检查数据包,将符合安全要求的数据包去掉以太网帧头,送IP层处理。3.根据权利要求2所述的,其特征在于去掉以太网帧头具体为根据以太网帧类型,去掉相应的太网帧头。4.根据权利要求1所述的,其特征在于IP层安全策略检查至少包括接收链路层发送过来的数据包,检查该数据包,改变符合安全要求的数据包路由信息,送传输层。5.根据权利要求4所述的,其特征在于改变符合安全要求的数据包路由信息,使其路由的目的地址为防火墙本身,确保数据包能送往传输层。6.根据权利要求1所述的,其特征在于传输层处理至少包括接收从IP层送来的数据包,检查数据包中的服务信息,根据服务信息送透明代理处理。7.根据权利要求1或6所述的,其特征在于透明代理为HTTP代理或FTP代理或SMTP代理或TELNET代理或通用代理。8.根据权利要求7所述的,其特征在于透明代理至少包括接收用户请求,取得目的IP地址,向IP地址发起连接,转发请求,接收服务器响应,转发服务器响应,结束步骤。全文摘要一种,它至少包括如下步骤代理服务器网络层工作在桥模式下;桥在链路层根据安全策略分析收到的数据包;如果数据包符合代理安全策略,将数据包送到IP层;IP层进行安全策略检查;如符合代理安全策略,则将数据包送传输层,传输层经过处理后送应用透明代理处理。采用本专利技术的方法,使用户不需要设置客户端的代理、不需要将网关指向防火墙,也无需改变原有网络结构和设置,只需将交换式透明代理服务器放置在局域网的出口处,透明代理服务会自动捕获用户的请求,检查用户请求的合法性,并代替用户和外界联系。文档编号G06F12/14GK1437115SQ0210065公开日2003年8月20日 申请日期2002年2月8日 优先权日2002年2月8日专利技术者宋斌, 高红, 李江力 申请人:联想(北京)有限公司 本文档来自技高网...
【技术保护点】
一种实现防火墙交换式透明代理的方法,其特征在于:它至少包括如下步骤: 步骤1:代理服务器网络层工作在桥模式下; 步骤2:桥在链路层根据安全策略分析收到的数据包; 步骤3:如果数据包符合代理安全策略,将数据包送到IP层; 步骤4:如果数据包不符合代理安全策略,将数据包链路层转发或丢弃; 步骤5:IP层进行安全策略检查; 步骤6:如符合代理安全策略,则将数据包送传输层,传输层经过处理后送应用透明代理处理; 步骤7:如不符合代理安全策略,则将数据包IP层转发或丢弃。
【技术特征摘要】
【专利技术属性】
技术研发人员:宋斌,高红,李江力,
申请(专利权)人:联想网御科技北京有限公司,
类型:发明
国别省市:11[中国|北京]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。