一种安全网关中进行安全策略统一处理的方法及装置

摘要

本发明是一种安全网关中进行安全策略统一处理的方法及装置，通过扩展安全网关的安全策略表，在允许、通过的基础上增加了进入隧道的动作、隧道的索引。因为安全网关的策略检查是基于TCP/UDP等协议状态的，所以同时扩展了安全网关的状态表，增加了进入隧道的动作、隧道的索引。安全网关对网络访问流的首数据包包进行安全策略匹配。如果匹配的安全策略有隧道选项，则新建状态表中增加隧道的选项。本发明解决了安全网关设备进行多次策略匹配的问题，将安全网关的网络处理性能提高了10％。使用安全策略统一处理，同时可以将安全控制集中在一个点上检查，减少了由于安全策略分散不统一造成的安全漏洞。

主权项

1.一种安全网关中进行安全策略统一处理的方法，其特征在于：该方法的步骤为：(1)在IPSEC虚拟专用网络(VPN)隧道的配置中增加隧道的索引；(2)在安全网关的安全策略表的安全动作上增加进入隧道的选择类型，对安全策略表的扩展选项中增加隧道的索引；(3)网络访问流的首数据包到达时，安全网关进行安全策略匹配，匹配成功后建立此网络访问流的状态表，如果安全策略的动作选择类型是进入隧道，在状态表中增加隧道索引的选项；(4)安全网关依据状态表对访问流的数据包进行处理，处理方式分为以下两种：[4-1]如果状态表的动作选择类型不是进入隧道的，则根据状态表的动作选择类型进行转发或丢弃；[4-2]如果状态表的动作选择类型是进入某一条隧道的，并且访问流的数据包由本地发向对方安全网关，根据状态表中的隧道的索引选项，查找安全联盟，此时处理方式也分为以下两种：[4-2-1]如果查找成功，对访问流的数据包数据进行加密，然后发送给对方安全网关；[4-2-2]如果查找不成功，向密钥交换进程发送安全联盟请求消息，该消息中应包含状态表中的隧道索引；(5)密钥交换进程接收上述步骤[4-2-2]的安全联盟请求消息，收到消息后，根据安全联盟请求消息中的隧道索引查找到隧道的配置，开始发起IKE协商，其中，安全策略协商所采用的安全策略是安全网关安全策略表扩展选项中与该隧道索引绑定在一起的安全网关的安全策略，协商通过后，向网络系统加载安全策略所指向的安全联盟，网络系统分配安全联盟存储空间，并根据隧道索引将安全联盟加入安全联盟数据库；(6)对方安全网关接收上述步骤[4-2-1]发出的加密数据包，收到加密包时，安全网关根据加密包的安全参数索引，查找安全联盟进行解密，如果数据包是网络访问流的首数据包，安全网关进行安全策略匹配，匹配成功后建立此网络访问流的状态表，如果状态表的动作选择类型是进入隧道，进行下一步处理，否则丢弃，该处理是根据解密此数据包用的安全联盟得到隧道索引，检查这个隧道索引与状态表中的隧道索引是否一致，如果一致系统对它进行路由转发，否则丢弃。