本申请提供一种IPSec的协商方法及装置,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述方法包括:响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPSec隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。二虚拟防火墙。二虚拟防火墙。
【技术实现步骤摘要】
一种IPSec的协商方法及装置
[0001]本申请涉及网络通信安全领域,尤其涉及一种IPSec的协商方法及装置。
技术介绍
[0002]现有的网络环境中,租户可以通过购买VPC(Virtual Private Cloud,虚拟私有云)搭建私有的网络安全服务环境。不同VPC之间可以通过基于IPSec(Internet Protocol Security,互联网安全)协议簇建立的VPN(Virtual Private Network,虚拟专用网络)隧道进行通信。
[0003]在现有技术中,同一防火墙设备支持为多个租户同时提供VPC服务,为实现不同租户的私有网络安全服务环境之间的隔离,同一防火墙设备上部署有多个虚拟防火墙,每个虚拟防火墙对应不同的租户,虚拟防火墙之间可以通过IPSec VPN隧道进行报文传递,实现相互通信。在建立不同虚拟防火墙之间的IPSec VPN隧道时,需要根据建立所述IPSec VPN隧道的虚拟防火墙的认证信息查找对应的协商状态,进行协商。当建立IPSec VPN隧道的两方虚拟防火墙处于同一防火墙设备上时,仅根据认证消息查找对应的协商状态可能导致多条协商状态同时出现,使得IPSec VPN隧道建立失败。
技术实现思路
[0004]针对上述技术问题,本申请提供一种IPSec的协商方法及装置。
[0005]具体地,本申请是通过如下技术方案实现的:
[0006]根据本申请的第一方面,提供了一种IPSec的协商方法,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述方法包括:
[0007]响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPSec隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;
[0008]根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;
[0009]将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。
[0010]根据本申请的第二方面,提供了一种IPSec的协商装置,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述装置包括:
[0011]查找单元,用于响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPSec VPN隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;
[0012]生成单元,用于根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;
[0013]发送单元,用于将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。
[0014]根据本申请的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现所述第一方面的方法的步骤。
[0015]根据本申请的第四方面,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现所述第一方面的方法的步骤。
[0016]本申请提供的技术方案通过虚拟防火墙ID以及认证信息查找对应协商状态,提高了查找的精确度,避免由于协商状态查找错误导致的协商失败。
[0017]应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
[0018]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
[0019]图1是本申请一示例性实施例的一种IPSec的协商系统结构示意图;
[0020]图2是本申请一示例性实施例的一种IPSec的协商方法的流程示意图;
[0021]图3是本申请一示例性实施例的另一种IPSec的协商系统结构示意图;
[0022]图4是本申请一示例性实施例的一种计算机设备的结构示意图;
[0023]图5是本申请一示例性实施例的一种IPSec的协商装置示意图。
具体实施方式
[0024]这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0025]在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0026]应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
[0027]在现今的网络环境中,通过对于VPC服务的购买,在公有的网络安全云平台中租户可以获取属于自己的私有网络安全服务环境,并对其进行管理,其中租户可以对自己的私
有网络安全服务环境的安全策略进行个性化配置。同时,租户之间还可以通过基于IPSec协议建立的VPN隧道进行相互通信,在保证了网络安全服务环境的安全的同时,又可以实现租户之间的信息交互。
[0028]在现有技术中,同一防火墙设备支持为多个租户同时提供网络安全服务环境,因此在同一防火墙设备上部署有多个虚拟防火墙,每个虚拟防火墙对应不同的租户。为了保证租户的网络安全服务环境的安全性,即便是部署于同一防火墙设备上的虚拟防火墙之间,也需要通过建立IPSec VPN隧道进行通信。IPSec VPN是基于IPSec协议簇构建的在IP层实现的安全虚拟专用网络,在通过IPSec VPN传输消息的过程中,基于IPSec协议簇提供安全的数据通信,以防止数据在网络传输过程中被查看、篡改等。在IPSec VPN隧道的建立过程中,需要根据建立所述IPSec VPN隧道的虚拟防火墙的认证信息查找对应的协商状态,进行认证校验。当建立IPSec VPN隧道的两方虚拟防火墙处于同一防火本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种IPSec的协商方法,其特征在于,应用于第一防火墙设备,所述第一防火墙设备上部署有第一虚拟防火墙和至少一个其他的虚拟防火墙,每一虚拟防火墙分配有不同的虚拟防火墙ID,所述方法包括:响应于在所述第一虚拟防火墙与区别于所述第一虚拟防火墙的第二虚拟防火墙之间建立IPsec VPN隧道的需求,根据认证信息以及与所述第二虚拟防火墙对应的对端虚拟防火墙ID查找对应的第一协商状态;根据对所述认证信息进行校验认证得到的校验认证结果生成第二协商状态,所述第二协商状态中包含所述第一虚拟防火墙对应的本端虚拟防火墙ID;将携带所述第二协商状态的协商报文发送至所述第二虚拟防火墙。2.如权利要求1所述的方法,其特征在于,还包括:当未查找到所述第一协商状态时,根据所述第一虚拟防火墙处预定义的静态配置策略生成默认协商状态,且所述默认协商状态中包含所述本端虚拟防火墙ID;将携带所述默认协商状态的协商报文发送至所述第二虚拟防火墙。3.如权利要求2所述的方法,其特征在于,所述第一防火墙设备上维护有本地部署的各个虚拟防火墙分别对应的静态配置策略,且每一静态配置策略中分别包含相应虚拟防火墙对应的虚拟防火墙ID;所述根据所述第一虚拟防火墙处预定义的静态配置策略生成默认协商状态,包括:根据所述本端虚拟防火墙ID查找所述第一虚拟防火墙对应的静态配置策略;根据查找到的静态配置策略生成所述默认协商状态。4.如权利要求1所述的方法,其特征在于,还包括:接收所述第二虚拟防火墙发送的携带所述第一协商状态的报文,该报文中包含所述认证信息以及所述对端虚拟防火墙ID。5.如权利要求1所述的方法,其特征在于,还包括:根据接收到携带所述第一协商状态的报文的接口以及预定义的接口与虚拟防火墙之间的对应关系,确定发出该报文的虚拟防火墙的对端虚拟防火墙ID;其中,所述携带所述第一协商状态的报文包含所述认证信息。6.如权利要求1所述的方法,其特征在于,所述第二虚拟防火墙部署于所述第一防火墙设备,或...
【专利技术属性】
技术研发人员:刘芝鹏,董俊文,赵旭东,
申请(专利权)人:杭州迪普科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。