法律状态公告日
法律状态信息
法律状态
2019-05-14
未缴年费专利权终止 IPC(主分类):H04L29/06 授权公告日:20140813 终止日期:20180522 申请日:20120522
专利权的终止
2015-07-01
文件的公告送达 IPC(主分类):H04L29/06 收件人:北京汉柏科技有限公司 文件名称:视为未提出通知书 申请日:20120522
文件的公告送达
2015-06-17
专利权的转移 IPC(主分类):H04L29/06 变更前: 变更后: 登记生效日:20150527 申请日:20120522
专利申请权、专利权的转移
2014-08-13
授权
授权
2012-11-14
实质审查的生效 IPC(主分类):H04L29/06 申请日:20120522
实质审查的生效
2012-09-19
公开
公开
查看全部
技术领域
本发明涉及网络通信技术领域,特别涉及一种透明模式的防火墙 支持AAA认证功能的方法及系统。
背景技术
防火墙作为一实际存在的物理设备,其本身也起到路由的作用, 所以在为用户安装防火墙时,就需要考虑如何改动其原有的网络拓扑 结构或修改连接防火墙的路由表,以适应用户的实际需要,这样就增 加了工作的复杂程度和难度。但如果防火墙采用了透明模式,即采用 无IP方式运行,用户将不必重新设定和修改路由,防火墙就可以直 接安装和放置到网络中使用,如交换机一样不需要设置IP地址。
透明模式的防火墙就好像是一台网桥(非透明的防火墙好像一台 路由器),网络设备(包括主机、路由器、工作站等)和所有计算机的设 置(包括IP地址和网关)无须改变,同时解析所有通过它的报文,既增 加了网络的安全性,又降低了用户管理的复杂程度,但由于透明模式 的防火墙采用无IP方式运行,难以实现AAA认证功能,从而无法对 内网用户访问外网的权限设置,影响了网络使用的安全性。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是:如何实现透明模式下支持AAA认证 功能,以提高了网络使用的安全性。
(二)技术方案
为解决上述技术问题,本发明提供了一种透明模式的防火墙支持 AAA认证功能的方法,所述方法包括以下步骤:
S1:当前防火墙上的至少两个物理接口被配置为透明接口,所述 当前防火墙还设有一个虚接口;
S2:内网A内的客户端AX发出连接请求报文时,通过所述虚接口 启动tcp代理,并由所述虚接口向所述客户端AX发送AAA认证请求报 文,所述内网A内的客户端AX与所述当前防火墙上的第一透明接口连 接;
S3:所述客户端AX接收到所述AAA认证请求报文后,发送相应 的确认报文和数据报文至所述当前防火墙,所述数据报文包括用户名 和密码信息;
S4:所述当前防火墙查找快速转发表,若具有连接记录,则通过 所述虚接口直接转发所述连接请求报文,结束所述方法,否则执行下 一步;
S5:所述当前防火墙将所述数据报文转发至AAA服务器进行认 证,若认证通过,则将所述用户名和密码信息作为连接记录保存至所 述快速转发表中,并所述虚接口转发所述连接请求报文,否则丢弃所 述连接请求报文。
优选地,步骤S2中,通过所述虚接口启动tcp代理之前,所述 当前防火墙判断所述连接请求报文是否为向外网B的服务器所发送 的报文,若是,则通过所述虚接口启动tcp代理,所述外网B的服务 器与所述当前防火墙上的第二透明接口连接。
优选地,所述外网B的服务器与所述当前防火墙上的第二透明接 口之间通过路由器连接。
优选地,所述内网A内的客户端AX与所述当前防火墙上的第一 透明接口之间通过交换机连接。
优选地,所述连接请求报文为能进行AAA认证的http报文、https 报文、ftp报文或telnet报文。
本发明还公开了一种透明模式的防火墙支持AAA认证功能的系 统,所述系统包括:
配置模块,用于当前防火墙上的至少两个物理接口被配置为没有 IP地址的透明接口,所述当前防火墙还设有一个配置有IP地址的虚接 口;
认证请求模块,用于内网A内的客户端AX发出连接请求报文时, 通过所述虚接口启动tcp代理,并由所述虚接口向所述客户端AX发送 AAA认证请求报文,所述内网A内的客户端AX与所述当前防火墙上的 第一透明接口连接;
数据发送模块,用于所述客户端AX接收到所述AAA认证请求报 文后,发送相应的确认报文和数据报文至所述当前防火墙,所述数据 报文包括用户名和密码信息;
查表模块,用于所述当前防火墙查找快速转发表,若具有连接记 录,则通过所述虚接口直接转发所述连接请求报文,结束所述系统, 否则执行认证模块;
认证模块,用于所述当前防火墙将所述数据报文转发至AAA服务 器进行认证,若认证通过,则将所述用户名和密码信息作为连接记录 保存至所述快速转发表中,并所述虚接口转发所述连接请求报文,否 则丢弃所述连接请求报文。
(三)有益效果
本发明通过虚接口启动tcp代理,实现了透明模式下支持AAA认 证功能,提高了网络使用的安全性。
附图说明
图1是按照本发明一种实施方式的透明模式的防火墙支持AAA认 证功能的方法流程图;
图2是按照本发明一种实施方式的防火墙上的接口示意图;
图3是按照本发明一种实施方式的防火墙的连接示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细 描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
图1是按照本发明一种实施方式的透明模式的防火墙支持AAA认 证功能的方法流程图;参照图1,本实施方式的方法包括以下步骤:
S1:当前防火墙上的至少两个物理接口被配置为没有IP地址的透 明接口,所述当前防火墙还设有一个配置有IP地址的虚接口;参照图 2,本实施方式中,所述当前防火墙上的两个物理接口被配置为没有 IP地址的透明接口,即分别为图中的“G0/0”和“G0/1”,但并不限 定本发明的保护范围;
S2:内网A内的客户端AX(即PC客户端)向外网发出连接请求 报文时,途径虚接口,所述虚接口对所述请求报文进行判断,若需要 对所述连接请求报文进行身份验证-授权-统计 (Authentication-Authorization-Accounting,AAA)认证,则通过所述 虚接口启动tcp代理,并由所述虚接口向所述客户端AX发送AAA认证 请求报文,所述内网A内的客户端AX与所述当前防火墙上的第一透明 接口连接,所述连接请求报文为超文本传送协议(http)报文、以安全 为目标的https通道(https)报文、文件传输协议(File Transfer Protocol, ftp)报文或telnet报文等能进行AAA认证的报文;由于透明接口不能 配置IP地址,只有在虚接口上可以配置IP地址,因此本发明依赖虚接 口来建立tcp代理,并在虚接口上配置相应的路由表项,以此实现虚 接口对内网pc客户端发送报文进行验证请求和结果发送,并实现虚接 口对外网AAA服务器发送报文进行内网用户的AAA认证,达到虚接 口实现验证中转的目的。
S3:所述客户端AX接收到所述AAA认证请求报文后,发送相应 的确认报文和数据报文至所述当前防火墙,所述数据报文包括用户名 和密码信息;
S4:所述当前防火墙查找快速转发表,若具有连接记录,则通过 所述虚接口直接转发所述连接请求报文,结束所述方法,否则执行下 一步;
S5:所述当前防火墙将所述数据报文转发至AAA服务器进行认 证,将认证的结果送回所述当前防火墙,若认证通过,则将所述用户 名和密码信息作为连接记录保存至所述快速转发表中,并所述虚接口 转发所述连接请求报文,否则丢弃所述连接请求报文。
由于内网内的连接请求一般是无需进行AAA认证的,因此只需 对内网向外网进行的连接请求进行AAA认证,优选地,步骤S2中, 通过所述虚接口启动tcp代理之前,所述当前防火墙判断所述连接请 求报文是否为向外网B的服务器所发送的报文,若是,则通过所述虚 接口启动传输控制协议(Transmission Control Protocol,tcp)代理, 否则直接转发所述连接请求报文,所述外网B的服务器与所述当前防 火墙上的第二透明接口连接。
参照图3,优选地,所述外网B的服务器与所述当前防火墙上的 第二透明接口之间通过路由器连接,所述内网A内的客户端AX与所 述当前防火墙上的第一透明接口之间通过交换机连接。
本发明还公开了一种透明模式的防火墙支持AAA认证功能的系 统,所述系统包括:
配置模块,用于当前防火墙上的至少两个物理接口被配置为没有 IP地址的透明接口,所述当前防火墙还设有一个配置有IP地址的虚接 口;
认证请求模块,用于内网A内的客户端AX发出连接请求报文时, 通过所述虚接口启动tcp代理,并由所述虚接口向所述客户端AX发送 AAA认证请求报文,所述内网A内的客户端AX与所述当前防火墙上的 第一透明接口连接;
数据发送模块,用于所述客户端AX接收到所述AAA认证请求报 文后,发送相应的确认报文和数据报文至所述当前防火墙,所述数据 报文包括用户名和密码信息;
查表模块,用于所述当前防火墙查找快速转发表,若具有连接记 录,则通过所述虚接口直接转发所述连接请求报文,结束所述系统, 否则执行认证模块;
认证模块,用于所述当前防火墙将所述数据报文转发至AAA服务 器进行认证,若认证通过,则将所述用户名和密码信息作为连接记录 保存至所述快速转发表中,并所述虚接口转发所述连接请求报文,否 则丢弃所述连接请求报文。
以上实施方式仅用于说明本发明,而并非对本发明的限制,有关 技术领域的普通技术人员,在不脱离本发明的精神和范围的情况下, 还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明 的范畴,本发明的专利保护范围应由权利要求限定。
机译: 用于cdma系统上的移动ip版本6(mipv6)的认证和授权支持的方法和系统,用于cdma框架内的移动ip交付版本6(mipv6)的系统以及用于支持ip认证和授权版本6的aaa家庭网络服务器( cdma系统上的mipv6)
机译: 结合使用透明防火墙和认证服务器的访问控制服务的方法,系统和计算机程序产品
机译: 网络安全系统,访问控制方法,认证机制,防火墙机制,认证机制程序,防火墙机制程序和记录介质