[发明专利]IPSECVPN设备的隔离方法与系统

摘要

本发明提供一种IPSEC VPN设备及其隔离方法与系统，设备包括内端主机、外端主机和非网络隔离卡，内、外端主机分别维护了相同的IP映射表，每一条表项定义了原地址、目的地址及IP映射ID等信息，数据包经过IP头剥离及重组，IP映射表检索过滤，私有协议封转及解封装，非网络隔离卡传输等方式实现网络隔离，数据包在内网主机上对IPsec VPN网络数据包进行加解密，设备能抵抗恶意攻击行为，抵抗病毒、木马、恶意插件的传播，从真正意义上达到内外网连接时的安全隔离，实现对内部网络、IPSEC VPN设备以及网络业务数据包更高强度的安全保护，是一种安全程度高的IPSEC VPN隔离设备。

主权项

一种IPSEC VPN设备的隔离方法，其特征在于，包括步骤：在内端主机与外端主机中维护相同的IP映射表，其中，所述IP映射表为哈希链表，所述哈希链表定义有IP映射表索引INDEX以及数据包的源地址、目的地址和IP映射ID信息；对于从内部网络输出到外部网络的明文数据包包括如下步骤：接收来自内部网络的明文数据包；对接收到的明文数据包进行数据加密处理和IPSEC隧道封装处理，生成密文数据包；对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到外端主机；外端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成密文IPSEC数据包，发送密文IPSEC数据包到外部网络；对于从外部网络进入到内部网络的密文数据包包括如下步骤：接收来自外部网络的密文数据包；对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据发送到内端主机；内端主机对接收到的私有协议封装数据进行解封装处理，根据解封装得到的IP映射表索引INDEX，节点ID在IP映射表进行检索，根据检索的结果对密文IPSEC数据包进行重组，生成新的密文数据包，再对新的密文数据包进行解密处理和IPSEC隧道解封装处理，生成明文数据包，发送明文数据包到内部网络；对于从内部网络输出到外部网络的明文数据包的步骤中，所述对密文数据包进行以太帧及IP头部剥离处理，根据剥离的IP头部，计算IP映射表中索引INDEX，并遍历所述哈希链表，查找是否有对应的源IP地址、目的IP地址，如有对应的数据，则对密文数据包进行私有协议封装处理，并将私有协议封装的数据包发送到外端主机具体包括步骤：对密文数据包进行以太帧及IP头部剥离处理，获得密文数据包剥离的IP头部；根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX，并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包；发送所述私有协议的数据包到外端主机；所述根据剥离的IP头部携带的源地址和目的地址，利用HASH算法，计算其IP映射表索引INDEX，并遍历所述哈希链表，如有对应的源IP地址、目的IP地址，则对密文数据包进行私有协议封装处理，生成私有协议封装的数据包具体包括步骤：根据密文数据包的源地址和目的地址，利用hash算法，计算出IP映射表索引INDEX值，在IP映射表中取出对应的节点链表的首节点；遍历所述节点链表，查找与密文数据包的源地址以及目的地址相匹配的节点项，若查找到，则将对应的节点ID值及映射表索引INDEX值写入密文数据私有协议数据包中，若未查找到，则丢弃该密文数据包并结束处理；剥除密文数据包以太帧及IP头信息，将纯载荷内容以及关键状态信息写入私有协议数据包中。