[发明专利]实现网络访问控制的方法及其防火墙装置

说明书

技术领域

本发明涉及一种网络控制方法及其装置，特别是涉及一种实现网络访问控制的方法及其防火墙装置。

背景技术

防火墙作为网络安全装置，通常设置在网络之间以确保网络通信安全，例如，防火墙被设置在广域网和需要高安全性能的局域网之间。防火墙根据其预先设定的安全策略，确定从局域网发往广域网的网络包(network packet)或从广域网发往局域网的网络包是否允许通过防火墙。防火墙对网络包执行过滤程序，如果网络包符合防火墙配置的安全策略，网络包被允许通过防火墙，如果不符合安全策略，网络包则被丢弃掉，不允许通过防火墙。上述预先设定的安全策略可以是对内安全策略或对外安全策略，其中对内安全策略是针对广域网对局域网发出的访问而执行的策略，而对外安全策略则是针对局域网对广域网发出的访问而执行的策略。

随着企业规模的不但扩大，企业的内部网络(即，局域网)变得越来越复杂，对于处于企业出口的防火墙来说，由于局域网中的不同用户(如不同部门)需要不同的安全策略，导致防火墙的安全策略越来越多。因此，在广域网访问局域网或局域网访问广域网时，防火墙需要查询的安全策略也越多，查找效率低，因此，单位时间内通过防火墙的网络包相应减少，工作效率低。另外，在网络出现故障时，防火墙中越来越多的安全策略使管理难度变得越来越大，运营的开销也逐渐增大。为解决此问题，将企业的各部门独立进行管理是一个比较好的解决方案，但独立管理需要每个部门分别设置一个独立的防火墙，这将需要购买更多的防火墙设备，导致企业成本的大幅增加。

发明内容

本发明要解决的技术问题在于提供一种实现网络访问控制的方法及其防火墙装置，用以提高网络之间访问的效率和简化网络管理。

为解决上述技术问题，本发明提供了一种实现网络访问控制的方法，其控制网络系统中的第一网络和第二网络之间的访问，该网络系统包括位于第一网络和第二网络之间的防火墙装置，防火墙装置包括多个从逻辑上划分的虚拟防火墙，每个虚拟防火墙都配置有自己的一套安全策略。该方法包括如下步骤：1)第一网络发出一个访问第二网络的网络包；2)防火墙装置根据所述网络包包含的信息，将所述网络包分送至对应的虚拟防火墙；3)虚拟防火墙对所述网络包进行安全检测；4)判断所述网络包是否符合虚拟防火墙的安全策略；5)若所述网络包符合虚拟防火墙的安全策略，允许所述网络包通过防火墙装置；及6)若所述网络包不符合虚拟防火墙的安全策略，禁止所述网络包通过防火墙装置。

本发明还提供了一种实现网络访问控制方法的防火墙装置，其控制第一网络和第二网络之间的访问。该防火墙装置包括多个从逻辑上设置的虚拟防火墙，每个虚拟防火墙都配置有自己的一套安全策略。防火墙装置根据第一网络发出的网络包包含的信息，将该网络包分送到与之相应的虚拟防火墙进行安全检测，若该网络包符合虚拟防火墙的安全策略，允许该网络包通过防火墙装置，若该网络包不符合虚拟防火墙的安全策略，禁止该网络包通过防火墙装置。

与现有技术相比，本发明在一个防火墙装置中逻辑地设置多个虚拟防火墙，每个虚拟防火墙配置有自己的一套安全策略，并且使网络流量一进入防火墙装置，就被分发到对应的虚拟防火墙，只需查找相应虚拟防火墙中的安全策略，因此提高了工作效率，同时也减小了配置的复杂度和减轻了管理方面的困难度。

以下结合附图和具体实施例对本发明的技术方案进行详细的说明，以使本发明的特性和优点更为明显。

附图说明

图1是包括本发明防火墙装置以实现网络访问控制功能的网络系统的方框图。

图2是在图1所示网络环境中的两个网络之间进行通信的流程图。

具体实施方式

图1是包括本发明防火墙装置以实现网络访问控制功能的网络系统的方框图。该网络系统包括设置在局域网100和广域网110之间的防火墙装置120。防火墙装置120可以是独立的一台设备或者是集成有防火墙功能的路由器、网关等设备。根据安全策略设置的需要，局域网100中具有相同安全策略的用户可以划分在一起，形成一个用户组。在本发明的一个实施例中，局域网100是企业内部的网络并且其中的用户被划分为N个用户组1001、1002、1003……100n。防火墙装置120提供多个从逻辑上划分的虚拟防火墙，实现多个网络安全域(securitydomain)。虚拟防火墙的数量可以根据局域网100内用户的需求而逻辑设置。在本发明的一个实施例中，包括N个虚拟防火墙1201、1202、1203……120n，每个虚拟防火墙都配置有自己的一套安全策略来管理相应的用户组1001、1002、1003……100n。