通过虚接口对报文加密的方法技术

技术编号:9571397 阅读:195 留言:0更新日期:2014-01-16 04:12
本发明专利技术公开了一种通过虚接口对报文加密的方法,其特征在于包括:S1:为第一防火墙设备配置多个第一虚接口,为第二防火墙设备配置与第一虚接口相同数量的第二虚接口,并在第一虚接口中指定本端IP地址和对端IP地址,本端IP地址为真实物理接口IP地址,配置IPSEC隧道绑定到第一虚接口上,出接口是第一虚接口的报文需要进行ipsec隧道加密;S2:配置需要加密的报文路由到第一虚接口,第一虚接口对报文进行加密,再将加密后的报文路由到第二虚接口,第二虚接口对报文进行解密。本发明专利技术通过在防火墙中配置虚接口,解决了ACL无法对报文进行加密的问题,报文通过与虚接口匹配,进一步进行加密或者解密处理,然后再将处理后的报文路由转发。

【技术实现步骤摘要】

本专利技术涉及网络通信
,特别涉及。
技术介绍
Gre和ipsec都是vpn隧道的一种,其中gre使用虚接口对隧道进行管理,通过配置路由来指定哪些报文进行隧道封装,通过虚拟接口的up和down来控制隧道是否可以对报文进行封装,当无ip或者tunnel隧道指定的出物理接口 down,或者发送对端keepalive超时时,gre的虚拟接口就会变成down状态。Ipsec隧道通过配置acl来指定哪些报文进行隧道封装,通过动态维护隧道的ike sa状态来维护隧道是否可以对数据报文进行封装。其中ipsec隧道由于使用acl来匹配数据报文,并且隧道的两端配置的acl必须是镜像的,所以无法对组播报文和广播报文进行加密,如果将ipsec隧道也向gre隧道那样使用虚接口来控制哪些报文需要加密,就可以解决以上问题。
技术实现思路
(一)要解决的技术问题本专利技术要解决的是解决网络安全设备转发组播报文和广播报文时,ACL无法对报文进行加密的问题。(二)技术方案为解决上述技术问题,本专利技术提供了一种,其特征在于包括:S1:为第一防火墙设备配置多个第一虚接口,为所述第二防火墙设备配置与所述第一虚接口相同数量的第二虚接口,并在所述第一虚接口中指定本端IP地址和对端IP地址,所述本端IP地址为真实物理接口 IP地址,配置IPSEC隧道绑定到所述第一虚接口上,出接口是所述第一虚接口的报文需要进行ipsec隧道加密;S2:配置需要加密的报文路由到所述第一虚接口,所述第一虚接口对所述报文进行加密,再将加密后的报文路由到所述第二虚接口,所述第二虚接口对报文进行解密。将所述报文按照IP地址分组,每组报文对应一个特定的所述第一虚接口。(三)有益效果本专利技术通过在防火墙中配置虚接口,解决了 ACL无法对报文进行加密的问题,报文通过与虚接口匹配,进一步进行加密或者解密处理,然后再将处理后的报文路由转发。【具体实施方式】下面对本专利技术的【具体实施方式】作进一步详细描述。以下实施例用于说明本专利技术,但不用来限制本专利技术的范围。应用场景:第一个人设备通过第一防火墙设备发送报文,报文通过第二防火墙设备发送至第二个人设备。本实施方式的方法包括以下步骤:S1:为第一防火墙设备配置多个第一虚接口,为第二防火墙设备配置与第一虚接口相同数量的第二虚接口,并在第一虚接口中指定本端IP地址和对端IP地址,其中,本端IP地址为真实物理接口 IP地址,配置IPSEC隧道绑定到第一虚接口上,出接口是第一虚接口的报文需要进行ipsec隧道加密;S2:配置需要加密的报文路由到第一虚接口,第一虚接口对报文进行加密,再将加密后的报文路由到第二虚接口,第二虚接口对报文进行解密。进一步地,将报文按照IP地址分组,每组报文对应一个特定的第一虚接口。本专利技术通过在防火墙中配置虚接口,解决了 ACL无法对报文进行加密的问题,报文通过与虚接口匹配,进一步进行加密或者解密处理,然后再将处理后的报文路由转发。以上实施方式仅用于说明本专利技术,而并非对本专利技术的限制,有关
的普通技术人员,在不脱离本专利技术的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本专利技术的范畴,本专利技术的专利保护范围应由权利要求限定。本文档来自技高网
...

【技术保护点】
通过虚接口对报文加密的方法,其特征在于包括:S1:为第一防火墙设备配置多个第一虚接口,为所述第二防火墙设备配置与所述第一虚接口相同数量的第二虚接口,并在所述第一虚接口中指定本端IP地址和对端IP地址,所述本端IP地址为真实物理接口IP地址,配置IPSEC隧道绑定到所述第一虚接口上,出接口是所述第一虚接口的报文需要进行ipsec隧道加密;S2:配置需要加密的报文路由到所述第一虚接口,所述第一虚接口对所述报文进行加密,再将加密后的报文路由到所述第二虚接口,所述第二虚接口对报文进行解密。

【技术特征摘要】
1.通过虚接口对报文加密的方法,其特征在于包括: S1:为第一防火墙设备配置多个第一虚接口,为所述第二防火墙设备配置与所述第一虚接口相同数量的第二虚接口,并在所述第一虚接口中指定本端IP地址和对端IP地址,所述本端IP地址为真实物理接口 IP地址,配置IPSEC隧道绑定到所述第一虚接口上,出接口是所述第一虚接...

【专利技术属性】
技术研发人员:陈海滨
申请(专利权)人:汉柏科技有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1