[发明专利]实现网络访问控制的方法及其防火墙装置无效
| 申请号: | 200610156334.3 | 申请日: | 2006-12-29 |
| 公开(公告)号: | CN101212453A | 公开(公告)日: | 2008-07-02 |
| 发明(设计)人: | 肖海涛 | 申请(专利权)人: | 凹凸科技(中国)有限公司 |
| 主分类号: | H04L29/06 | 分类号: | H04L29/06;H04L12/56 |
| 代理公司: | 北京信慧永光知识产权代理有限责任公司 | 代理人: | 王月玲;武玉琴 |
| 地址: | 201203上海市张江*** | 国省代码: | 上海;31 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 实现 网络 访问 控制 方法 及其 防火墙 装置 | ||
1.一种实现网络访问控制的方法,其控制网络系统中的第一网络和第二网络之间的访问,该网络系统包括位于第一网络和第二网络之间的防火墙装置,防火墙装置包括多个从逻辑上划分的虚拟防火墙,每个虚拟防火墙都配置有自己的一套安全策略,该方法包括:1)第一网络发出一个访问第二网络的网络包,其特征在于,所述方法还包括以下步骤:
2)防火墙装置根据所述网络包包含的信息,将所述网络包分送至与之对应的虚拟防火墙;
3)所述虚拟防火墙对所述网络包进行安全检测;
4)判断网络包是否符合虚拟防火墙的安全策略;
5)若网络包符合虚拟防火墙的安全策略,允许网络包通过防火墙装置;及
6)若网络包不符合虚拟防火墙的安全策略,禁止网络包通过防火墙装置。
2.根据权利要求1所述的实现网络访问控制的方法,其特征在于,所述第一网络是局域网,所述第二网络是广域网。
3.根据权利要求2所述的实现网络访问控制的方法,其特征在于,所述网络包包含的信息是对应局域网的源地址或接收该网络包的防火墙装置的网络接口。
4.根据权利要求2或3所述的实现网络访问控制的方法,其特征在于,所述局域网包括多个安全域,每一安全域都包含一组有着相同安全策略需求的用户,每个安全域发出的网络包被分送至一个对应的虚拟防火墙进行安全检测。
5.根据权利要求1所述的实现网络访问控制的方法,其特征在于,所述第一网络是广域网,所述第二网络是局域网。
6.根据权利要求5所述的实现网络访问控制的方法,其特征在于,所述网络包包含的信息是对应局域网的目标地址。
7.一种实现权利要求1所述的网络访问控制方法的防火墙装置,其控制第一网络和第二网络之间的访问,其特征在于,该防火墙装置包括多个从逻辑上设置的虚拟防火墙,每个虚拟防火墙都配置有自己的一套安全策略,防火墙装置根据第一网络发出的网络包包含的信息,将该网络包分送到与之相应的虚拟防火墙进行安全检测,若该网络包符合所述虚拟防火墙的安全策略,允许该网络包通过防火墙装置,若该网络包不符合所述虚拟防火墙的安全策略,禁止该网络包通过防火墙装置。
8.根据权利要求7所述的防火墙装置,其特征在于,所述第一网络是局域网,所述第二网络是广域网,所述局域网包括多个安全域,每一安全域都包含一组有着相同安全策略需求的用户,每个虚拟防火墙管理一个对应的安全域。
9.根据权利要求7所述的防火墙装置,其特征在于,所述防火墙装置是集成有防火墙功能的路由器或网关。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于凹凸科技(中国)有限公司,未经凹凸科技(中国)有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200610156334.3/1.html,转载请声明来源钻瓜专利网。
