透明模式的防火墙支持AAA认证功能的方法及系统

摘要

本发明公开了一种透明模式的防火墙支持AAA认证功能的方法及系统，涉及网络通信技术领域，本发明通过虚接口启动tcp代理，实现了透明模式下支持AAA认证功能，提高了网络使用的安全性。

说明书

技术领域

本发明涉及网络通信技术领域，特别涉及一种透明模式的防火墙 支持AAA认证功能的方法及系统。

背景技术

防火墙作为一实际存在的物理设备，其本身也起到路由的作用， 所以在为用户安装防火墙时，就需要考虑如何改动其原有的网络拓扑 结构或修改连接防火墙的路由表，以适应用户的实际需要，这样就增 加了工作的复杂程度和难度。但如果防火墙采用了透明模式，即采用 无IP方式运行，用户将不必重新设定和修改路由，防火墙就可以直 接安装和放置到网络中使用，如交换机一样不需要设置IP地址。

透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台 路由器)，网络设备(包括主机、路由器、工作站等)和所有计算机的设 置(包括IP地址和网关)无须改变，同时解析所有通过它的报文，既增 加了网络的安全性，又降低了用户管理的复杂程度，但由于透明模式 的防火墙采用无IP方式运行，难以实现AAA认证功能，从而无法对 内网用户访问外网的权限设置，影响了网络使用的安全性。

发明内容

（一）要解决的技术问题

本发明要解决的技术问题是：如何实现透明模式下支持AAA认证 功能，以提高了网络使用的安全性。

（二）技术方案

为解决上述技术问题，本发明提供了一种透明模式的防火墙支持 AAA认证功能的方法，所述方法包括以下步骤：

S1：当前防火墙上的至少两个物理接口被配置为透明接口，所述 当前防火墙还设有一个虚接口；

S2：内网A内的客户端A_X发出连接请求报文时，通过所述虚接口 启动tcp代理，并由所述虚接口向所述客户端A_X发送AAA认证请求报 文，所述内网A内的客户端A_X与所述当前防火墙上的第一透明接口连 接；

S3：所述客户端A_X接收到所述AAA认证请求报文后，发送相应 的确认报文和数据报文至所述当前防火墙，所述数据报文包括用户名 和密码信息；

S4：所述当前防火墙查找快速转发表，若具有连接记录，则通过 所述虚接口直接转发所述连接请求报文，结束所述方法，否则执行下 一步；

S5：所述当前防火墙将所述数据报文转发至AAA服务器进行认 证，若认证通过，则将所述用户名和密码信息作为连接记录保存至所 述快速转发表中，并所述虚接口转发所述连接请求报文，否则丢弃所 述连接请求报文。

优选地，步骤S2中，通过所述虚接口启动tcp代理之前，所述 当前防火墙判断所述连接请求报文是否为向外网B的服务器所发送 的报文，若是，则通过所述虚接口启动tcp代理，所述外网B的服务 器与所述当前防火墙上的第二透明接口连接。

优选地，所述外网B的服务器与所述当前防火墙上的第二透明接 口之间通过路由器连接。

优选地，所述内网A内的客户端A_X与所述当前防火墙上的第一 透明接口之间通过交换机连接。

优选地，所述连接请求报文为能进行AAA认证的http报文、https 报文、ftp报文或telnet报文。

本发明还公开了一种透明模式的防火墙支持AAA认证功能的系 统，所述系统包括：

配置模块，用于当前防火墙上的至少两个物理接口被配置为没有 IP地址的透明接口，所述当前防火墙还设有一个配置有IP地址的虚接 口；

认证请求模块，用于内网A内的客户端A_X发出连接请求报文时， 通过所述虚接口启动tcp代理，并由所述虚接口向所述客户端A_X发送 AAA认证请求报文，所述内网A内的客户端A_X与所述当前防火墙上的 第一透明接口连接；

数据发送模块，用于所述客户端A_X接收到所述AAA认证请求报 文后，发送相应的确认报文和数据报文至所述当前防火墙，所述数据 报文包括用户名和密码信息；

查表模块，用于所述当前防火墙查找快速转发表，若具有连接记 录，则通过所述虚接口直接转发所述连接请求报文，结束所述系统， 否则执行认证模块；

认证模块，用于所述当前防火墙将所述数据报文转发至AAA服务 器进行认证，若认证通过，则将所述用户名和密码信息作为连接记录 保存至所述快速转发表中，并所述虚接口转发所述连接请求报文，否 则丢弃所述连接请求报文。

（三）有益效果

本发明通过虚接口启动tcp代理，实现了透明模式下支持AAA认 证功能，提高了网络使用的安全性。

附图说明

图1是按照本发明一种实施方式的透明模式的防火墙支持AAA认 证功能的方法流程图；

图2是按照本发明一种实施方式的防火墙上的接口示意图；

图3是按照本发明一种实施方式的防火墙的连接示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细 描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图1是按照本发明一种实施方式的透明模式的防火墙支持AAA认 证功能的方法流程图；参照图1，本实施方式的方法包括以下步骤：

S1：当前防火墙上的至少两个物理接口被配置为没有IP地址的透 明接口，所述当前防火墙还设有一个配置有IP地址的虚接口；参照图 2，本实施方式中，所述当前防火墙上的两个物理接口被配置为没有 IP地址的透明接口，即分别为图中的“G0/0”和“G0/1”，但并不限 定本发明的保护范围；

S2：内网A内的客户端A_X（即PC客户端）向外网发出连接请求 报文时，途径虚接口，所述虚接口对所述请求报文进行判断，若需要 对所述连接请求报文进行身份验证-授权-统计 (Authentication-Authorization-Accounting，AAA）认证，则通过所述 虚接口启动tcp代理，并由所述虚接口向所述客户端A_X发送AAA认证 请求报文，所述内网A内的客户端A_X与所述当前防火墙上的第一透明 接口连接，所述连接请求报文为超文本传送协议(http)报文、以安全 为目标的https通道（https）报文、文件传输协议（File Transfer Protocol， ftp）报文或telnet报文等能进行AAA认证的报文；由于透明接口不能 配置IP地址，只有在虚接口上可以配置IP地址，因此本发明依赖虚接 口来建立tcp代理，并在虚接口上配置相应的路由表项，以此实现虚 接口对内网pc客户端发送报文进行验证请求和结果发送，并实现虚接 口对外网AAA服务器发送报文进行内网用户的AAA认证，达到虚接 口实现验证中转的目的。

S3：所述客户端A_X接收到所述AAA认证请求报文后，发送相应 的确认报文和数据报文至所述当前防火墙，所述数据报文包括用户名 和密码信息；

S4：所述当前防火墙查找快速转发表，若具有连接记录，则通过 所述虚接口直接转发所述连接请求报文，结束所述方法，否则执行下 一步；

S5：所述当前防火墙将所述数据报文转发至AAA服务器进行认 证，将认证的结果送回所述当前防火墙，若认证通过，则将所述用户 名和密码信息作为连接记录保存至所述快速转发表中，并所述虚接口 转发所述连接请求报文，否则丢弃所述连接请求报文。

由于内网内的连接请求一般是无需进行AAA认证的，因此只需 对内网向外网进行的连接请求进行AAA认证，优选地，步骤S2中， 通过所述虚接口启动tcp代理之前，所述当前防火墙判断所述连接请 求报文是否为向外网B的服务器所发送的报文，若是，则通过所述虚 接口启动传输控制协议（Transmission Control Protocol，tcp）代理， 否则直接转发所述连接请求报文，所述外网B的服务器与所述当前防 火墙上的第二透明接口连接。

参照图3，优选地，所述外网B的服务器与所述当前防火墙上的 第二透明接口之间通过路由器连接，所述内网A内的客户端A_X与所 述当前防火墙上的第一透明接口之间通过交换机连接。

本发明还公开了一种透明模式的防火墙支持AAA认证功能的系 统，所述系统包括：

配置模块，用于当前防火墙上的至少两个物理接口被配置为没有 IP地址的透明接口，所述当前防火墙还设有一个配置有IP地址的虚接 口；

认证请求模块，用于内网A内的客户端A_X发出连接请求报文时， 通过所述虚接口启动tcp代理，并由所述虚接口向所述客户端A_X发送 AAA认证请求报文，所述内网A内的客户端A_X与所述当前防火墙上的 第一透明接口连接；

数据发送模块，用于所述客户端A_X接收到所述AAA认证请求报 文后，发送相应的确认报文和数据报文至所述当前防火墙，所述数据 报文包括用户名和密码信息；

查表模块，用于所述当前防火墙查找快速转发表，若具有连接记 录，则通过所述虚接口直接转发所述连接请求报文，结束所述系统， 否则执行认证模块；

认证模块，用于所述当前防火墙将所述数据报文转发至AAA服务 器进行认证，若认证通过，则将所述用户名和密码信息作为连接记录 保存至所述快速转发表中，并所述虚接口转发所述连接请求报文，否 则丢弃所述连接请求报文。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关 技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下， 还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明 的范畴，本发明的专利保护范围应由权利要求限定。