[发明专利]防火墙/VPN安全网关设备的基于VPN配置的策略

说明书

技术领域

本发明涉及网络安全应用，具体为具有虚拟专用网络(VPN)配置的安全网关设备。

背景技术

由于互联网的普及，商业界借助互联网来扩展其自身的网络，作为提供跨国或遍布全球的信息交换的方法，其中有一则需要关注：保持快速、安全和可靠的通信的方法。

要与多个分支机构进行通信，有众多熟知的方法可供使用。一种方法包括租用电信线路或者建立卫星数据信道。另一种方法是VPN。由于采购或者租用额外设备以及维护的费用，即使最经济的租用电信线路或建立卫星数据信道的方法也比VPN方法昂贵很多。

VPN是使用公共网络将远程站点或用户连接在一起的专用网络，其中公共网络可以是互联网，以此代替使用专用的、真实世界的连接，例如租用的线路。例如，在一个公司里，VPN使用被称作VPN隧道的“虚拟”连接，该隧道选择通过因特网将公司的专用网络连接到到远程站点或职员。

传统的配置和建立VPN连接的方法是一个复杂的过程，其常常是在每种设备的基础上实现的。信息技术(IT)管理员必须对在每个端口的安全网关进行编程，以建立和保证专用通信隧道的安全。对于每个安全的通信终端，例如防火墙和/或VPN安全网关设备，IT管理员都必须配置互联网密钥交换(IKE)第一阶段和第二阶段的参数、认证方法、加密方法以及相应地址或者地址群的参数。对于要建立的每个VPN隧道，应当包括指定远程安全网关互联网协议(IP)地址以及后续的IP地址跳变(hop)。即使应用到的不同设备的VPN策略是相似的，上述复杂的过程仍旧不得不重复，且不能简化。

由于重视了VPN的布署和配置，所以难以在大规模布署环境中以多个安全网关设备来实现。另外，在布署之前难以验证正确的设置，也容易犯错误。一旦布署了一个错误的连接且在网络连接上产生了故障，则很难对其进行修复。

发明内容

本发明提供用于管理基于虚拟专用网络(VPN)配置的网络一种方法和途径。

为了实现上述目的，本发明提供一种用于在至少两个网络设备之间通过VPN隧道传输数据的方法。该方法包括使用中央管理服务器的图形用户接口(GUI)来配置至少两个网络设备的VPN策略。随后，通过应用已配置的VPN策略，使用中央管理服务器的GUI在两个网络设备之间建立VPN隧道。

附图说明

本发明的其他目的、优点和新颖性的特征，将会随着后文的具体实施方式的进行而变得清楚，具体实施方式结合下列附图进行：

图1是示出了根据本发明的一个实施例通过基于互联网的VPN将不同的分支机构进行连接的多分支组织的结构图。

图2是示出了根据本发明的一个实施例的用于配置VPN策略和建立VPN隧道的网络管理系统的物理组织的结构图。

图3是示出了根据本发明的一个实施例实施的用于为两个网络设备配置VPN策略的GUI显示的示意图。

图4是示出了根据本发明的一个实施例实施的用于管理基于VPN配置的网络的方法的示意图。

具体实施方式

下文将参照附图对本发明的实施例进行详细描述，即用于防火墙/VPN安全网关设备的基于虚拟专用网络(VPN)配置的策略。当本发明与这些实施例一道进行描述时，需要理解这不是意图将本发明限制在这些实施例上。相反，本发明意图覆盖变化、修改以及等价物，这些都包含在由所附权利要求所定义的本发明的精神和范围内。

而且，在本发明的下列详细描述中，为了提供对本发明的彻底理解而阐明了大量特定的细节。但是，本领域技术人员可以认识到，本发明可以不需要这些特定细节来实施。在其他实例中，为了使本发明的各个方面不必要地模糊，众所周知的方法、程序、组件和电路不再进行详细描述。

本领域技术人员都清楚VPN技术使用了加密和隧道效应来连接在互联网上不同位置或不同分支机构的用户，而取代了对专用的租用网络线路的依赖。参考图1，根据本发明的一个实施例，VPN系统100具有分支机构的网络120、122和124，其位于不同区域，且通过VPN连接在一起。

在图1的实施例中，网络120、122和124分别通过安全网关设备160、162和164连接到互联网140，该安全网关设备160、162和164可以提供将互联网连接到专用网络的接口。通过对安全网关设备160、162和164的配置，在网络120、122和124的主机之间的通信将受到保护。