[发明专利]一种IP报文过滤方法及装置

说明书

技术领域

本发明涉及属于信息安全及密码技术领域，涉及一种通过IPSEC VPN及IPtables技术配合，实现IP报文过滤方法及装置。

背景技术

IPSEC是互联网工程任务组（IETF）制定的一个开放的IP层安全框架协议，为IP网络通信提供透明的安全服务，保护 TCP/IP 通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。

IPSEC技术已广泛普及并应用到网关设备中，网关设备工作在本地局域网和与其通信的远程局域网的网关位置，采用IPSEC隧道技术，加密技术以及认证技术等方法，在公众网络上构建虚拟专用网络（即VPN），数据在安全信道上传输，从而到达保障通信安全，保密信息的目的。

作为网关设备，通常还需要对本地局域网进行隔离及访问控制保护，IP报文过滤功能也是必要的，通常采用的技术是IPSEC VPN安全策略与netfileter/iptables（简称为iptables）防火墙策略相互配合来实现。图1所示为linux网络协议栈中防火墙及IPSEC VPN工作流程图。

由图1可知，IPSEC安全策略主要控制哪些IP报文需要进行IPSEC VPN加解密处理；防火墙策略主要分布在filter表的INPUT链、OUTPUT链及FORWARD链，分别控制哪些IP报文允许进入到网关本地，哪些报文允许从网关本地发出，哪些IP报文允许穿过网关。对于IPSEC加密或解密处理的报文都先后经过防火墙策略及IPSEC安全策略的检查，为了使IPSEC能正常工作，通常采用的方法是，INPUT链及OUTPUT链防火墙策略允许出入网关本地的ESP、AH协议包及密钥协商包通过，FORWARD链防火墙策略允许IPSEC安全策略对应的IP包通过。但此方法存在以下缺限：

1）配置了IPSEC安全策略后，为了保证IPSEC处理的IP包通过防火墙检查，还需要在FORWARD链配置防火墙策略，用于放行IPSEC安全策略对应的IP包，这给管理员带来双重的工作量；

2）随着IPSEC安全策略数量越大，FORWARD链防火墙策略数量越多、越复杂，由于防火墙策略是自顶向下依次查找，所以网关吞吐量下降越明显。

发明内容

本发明所要解决的技术问题是：针对以上的不足，本发明提供一种集成IPSEC VPN和防火墙模块的网关设备，通过一种IPSEC安全策略与防火墙策略配合方法，实现IP报文过滤。降低了配置ipsec安全策略与防火墙策略的耦合性，使两种策略配置各司其职，其中IPSEC安全策略配置专注于对需进行IPSEC处理的IP报文进行过滤，防火墙策略配置专注于SECPOLICY自定义链上对非IPSEC处理的IP报文进行过滤。

本发明采用的技术方案如下：

一种IP报文过滤方法包括：

步骤1，利于linux的netfilter包筛选机制，在IPtables模块初始化时，设置OUTPUT链默认策略为“允许”（ACCEPT），INPUT链默认策略为“丢弃”（DROP），并在INPUT链添加防火墙策略，允许经IPSEC封装的密通报文（协议号为ESP或AH）进入本网关，允许密钥协商报文（即udp 500及udp 4500）进入本网关；

步骤2，设置FORWARD链默认策略为“丢弃”（DROP），新建一条名称为“SECPOLICY”规则链，在FORWARD链添加策略跳转到该链，并将管理员配置的防火墙策略都加载在该链上，使得对出入本网关非IPSEC处理的IP包过滤。

步骤3，利用xt_policy模块提供的策略匹配功能，在FORWARD链末尾添加以下两条防火墙策略：

1）允许解密后明通报文（即IN方向的匹配IPSEC安全策略的IP报文）通过本网关，策略配置命令为：iptables –A FORWARD –m policy –dir in –j ACCEPT，对进入方向IPSEC解密后的IP包过滤；

2）允许加密前明通报文（即OUT方向的匹配IPSEC安全策略的IP报文）通过本网关，策略配置命令为：iptables –A FORWARD –m policy –dir out –j ACCEPT，对外出方向需IPSEC加密处理的IP包过滤。

所述步骤2中对出入本网关非IPSEC处理的IP包过滤具体过程包括，

步骤21：收到穿过本网关的明通IP报文，该IP报文不存在匹配的IPSEC安全策略，不需IPSEC处理；