[发明专利]IPSECVPN设备的隔离方法与系统

说明书

技术领域

本发明涉及信息安全技术领域，特别是涉及IPSEC VPN设备及其隔离方法与系统。 

背景技术

IPSec是互联网工程任务组制定的一个开放的IP层安全框架协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSEC技术已广泛普及并应用到网关设备中，采用IPSEC隧道技术，加密技术以及认证技术等方法，在公众网络上构建虚拟专用网络，数据在安全信道上传输，从而到达保障通信安全，保密信息的目的。 

通常IPSEC VPN设备部署在内部网络和外部网络之间，IPSEC VPN设备包括外端主机和内端主机，外端主机和内端主机进行数据交互，其中外端主机与外部网络进行数据交互，内端主机与内部网络进行数据交互。内部网络安全度很高，外部网络一般为互联网，安全度很低，因此IPSEC VPN设备还需要对内部网络进行隔离及访问控制保护，通常集成防火墙、入侵检测、应用网关等功能模块。 

黑客从外部网络利用网络协议漏洞和操作系统漏洞入侵，如果劫持了IPSEC VPN设备本身，内部网络的安全防线就被瓦解了，因此现有的IPSEC VPN设备及其隔离方法是无法做到非常有效的隔离保护的，特别是对于对于安全度要求很高的内部网络，现有的IPSEC VPN设备及其隔离方法已经无法满足这种安全度要求很高的内部网络隔离保护需求。 

发明内容

基于此，有必要针对现有IPSEC VPN设备无法做到非常有效的隔离保护某些安全度要求很高的内部网络对隔离保护的需求的问题，提供一种非常有效的IPSEC VPN设备及其隔离方法与系统，以满足某些安全度要求很高的内部网络 隔离保护的需求。 

一种IPSEC VPN设备的隔离方法，包括步骤： 

在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息； 

对于从内部网络输出到外部网络的明文数据包包括如下步骤： 

接收来自内部网络的明文数据包； 

对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包； 

对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机； 

外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络； 

对于从外部网络进入到内部网络的密文数据包包括如下步骤： 

接收来自外部网络的密文数据包； 

对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机； 

内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络。 

一种IPSEC VPN设备的隔离系统，包括： 

IP映射表维护模块，用于在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息； 

外发数据包处理模块，用于对从内部网络输出到外部网络的明文数据进传输处理，其中，所述外发数据包处理模块包括： 

明文数据包接收模块，用于接收来自内部网络的明文数据包； 

密文数据包生成模块，用于对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包；