| 主权项 |
一种实现网络虚拟安全域的方法,其具体包含以下步骤:终端设备采用网络驱动接口规范中间层驱动拦截所有通过网络驱动接口规范发送和接收的数据包,如果拦截到的数据包为发送数据包,则将数据包打上标签后再转发出去;如果拦截到的数据包为接收数据包,则判断该数据包是否有标签,若该数据包无标签,则判定该数据包的发送端设备为未授信终端设备,阻断该数据包并告警;若该数据包有标签,则解析数据包标签的内容,并根据策略判断放行或阻断该数据包;其中,所述将数据包打上标签具体包括:将要发送的数据包拆分为以太头、IP头和IP数据段三个部分,然后填充虚拟安全域标签,并将虚拟安全域标签与IP数据段一起加密,最后将以太头、IP头、虚拟安全域标签和IP数据段重新组装成一个数据包发送出去;所述解析数据包标签具体包括:识别出数据包中的虚拟安全域标签,并将标签信息和本地策略进行判断,是否允许接收该数据包发送端发送的数据包,是,则放行该数据包,并将数据包中的虚拟安全域标签去掉,解密IP数据段的内容,将数据包还原为原始数据包;否,则阻止该数据包;所述方法首先将内部网络划分为授信安全域和未授信域,授信安全域是由装有客户端代理程序的终端组成,反之则处于未授信域中。 |
