【技术实现步骤摘要】
基于虚拟化网络的数据传输方法、系统和网络安全设备
本专利技术涉及数据安全
,尤其涉及一种基于虚拟化网络的数据传输方法、装置和系统。
技术介绍
在我国近几年随着网络技术的发展,网络应用的普及和丰富,网络安全的问题也日益严重,利用信息技术进行的高科技犯罪事件呈现增长态势,因此建设安全通信环境是必然趋势。由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征,攻击者不仅有可能探测、扫描发现网络中的资产设备、窃听网络上的信息,窃取用户的口令、数据库的信息;还可能篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,可以删除数据库内容,摧毁网络节点,释放计算机病毒等等,这些都使信息安全问题越来越复杂。当前计算机网络的风险包括软件带来的安全风险(软件层面的风险)和硬件带来的安全风险(硬件层面的风险)。其中,软件层面的风险例如主要体现在:(1)传统的网络安全防御方式是被动检测病毒样本、入侵特征样本等机制,同时结合黑白名单的访问控制机制,访问控制策略添加前需要明确获知哪些是可以放行的哪些是可以阻止的,但在实际网络通讯中黑客往往是模拟成可以放行通过访问的普通用户,直接被网络安全网关放行进入到用户内网,这就造成了不可控的风险;(2)传统的网络安全是塔式防御,将各种安全软件产品堆叠累积,各类静态的被动防御相互叠加,无法从根本有效的方式进行防御,只能是查漏补漏的方式,无法实现动态+未知的自动防御;(3)传统的应用软件、网络设备、网络安全设备都标有明确的IP标识,如IP地址或MAC地址,这样就会 ...
【技术保护点】
1.一种基于虚拟化网络的数据传输方法,其特征在于,所述方法包括以下步骤:/n由第一安全设备劫持从多个第一端通信设备发送的多个数据报文;/n由所述第一安全设备基于预先存储的编译策略确定各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系,利用第一安全设备的第一编译器基于所述映射关系至少对各个第一端通信设备的网络地址进行编译而得到多个第一端通信设备的彼此嵌套的虚拟网络地址,由此基于所述映射关系在各第一端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络;其中所述彼此嵌套的多个虚拟网络地址包括:位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网段;/n基于创建的虚拟化网络向所述对端通信设备发送数据报文,该数据报文中携带第一端通信设备和对端通信设备的虚拟网络地址;/n所述第一安全设备接收经所述对端通信设备侧的第二安全设备发送的来自所述对端通信设备的数据报文,利用第一编译器基于预先存储的编译策略对所述对端通信设备的虚拟网络地址进行解析和还原,还原成功后向对应第一端通信设备传送带还原的对端通信设备的真实网络地址的数据报文。/n
【技术特征摘要】
1.一种基于虚拟化网络的数据传输方法,其特征在于,所述方法包括以下步骤:
由第一安全设备劫持从多个第一端通信设备发送的多个数据报文;
由所述第一安全设备基于预先存储的编译策略确定各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系,利用第一安全设备的第一编译器基于所述映射关系至少对各个第一端通信设备的网络地址进行编译而得到多个第一端通信设备的彼此嵌套的虚拟网络地址,由此基于所述映射关系在各第一端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络;其中所述彼此嵌套的多个虚拟网络地址包括:位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网段;
基于创建的虚拟化网络向所述对端通信设备发送数据报文,该数据报文中携带第一端通信设备和对端通信设备的虚拟网络地址;
所述第一安全设备接收经所述对端通信设备侧的第二安全设备发送的来自所述对端通信设备的数据报文,利用第一编译器基于预先存储的编译策略对所述对端通信设备的虚拟网络地址进行解析和还原,还原成功后向对应第一端通信设备传送带还原的对端通信设备的真实网络地址的数据报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
由所述第二安全设备接收经所述第一安全设备发送的来自各第一端通信设备的数据报文,利用第二编译器基于预先存储的编译策略对各第一端通信设备的虚拟网络地址进行解析和还原,还原成功后向所述对端通信设备传送带还原的真实网络地址的数据报文;
所述第二安全设备劫持从所述对端通信设备向各第一端通信设备返回的数据报文,利用第二编译器基于预先存储编译策略对所述对端通信设备的网络地址编译为虚拟网络地址,并在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文。
3.根据权利要求2所述的方法,其特征在于,
所述第一安全设备和第二安全设备的物理网卡接口不具有IP地址和MAC地址;
所述第一安全设备和所述第二安全设备预先存储的编译策略包括各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系,所述映射关系包括真实IP地址和虚拟IP地址之间的映射关系。
4.根据权利要求2或3所述的方法,其特征在于,
所述基于创建的虚拟化网络向所述对端通信设备发送数据报文包括:在当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向所述对端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文;对所述对端通信的IP地址网段之外的其他网段地址的访问,将当前第一端通信设备的IP地址网段转换为与所述其他网段不互通的第一特定广播地址段;
所述在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文,包括:当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向第一端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文;对作为目标的第一端通信设备的IP地址网段之外的其他网段的地址的访问,将所述对端通信设备的虚拟IP地址网段转换为与该其他网段不互通的第二特定广播地址段。
5.根据权利要求1所述的方法,其特征在于,所述选定类型的网络的IP地址范围包括:A类网络IP地址范围、B类网络IP地址范围或C类网络IP地址范围。
6.根据权利要求1所述的方法,其特征在于,所述映射关系还包括以下映射关系中的至少一种:真实MAC地址和虚拟MAC地址间的映射关系、真实IP端口与虚拟IP端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
如果基于预先存储的编译策略解析和还原真实网络地址失败,所述第一安全设备和/或所述第二安全设备丢弃要传送的数据报文。
8.一种基于虚拟化网络的数据传输...
【专利技术属性】
技术研发人员:于洪,姜春晓,吴胜,于芷澜,于业浩,杨丽萍,
申请(专利权)人:北京宇创瑞联信息技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。