[发明专利]网络安全网关产品共享的方法

说明书

技术领域

本发明涉及计算机信息安全技术领域，更具体地说涉及一种网络安全网关产品共享的方法。

背景技术

互联网与人们生活越来越密切，人们会通过已知的域名或搜索引擎去寻找自己需要的信息和各种服务。但与此同时，互联网安全的问题也越来越成为迫切需要解决的问题。针对网络服务器、针对企业内部子网，都需要各种网络安全设备的保护，比如防火墙、邮件安全网关、VPN(Virtual Private Network虚拟私用网，或虚拟专网)网关等。

这类产品都是“网络安全网关”设备，原因是这些产品都是插在被保护的服务器或网络(以下称为被保护区)与不安全的互联网之间，充当一个看门人的角色，凡是互联网与被保护区的请求和应答都会被监控，然后根据策略决定允许还是不允许，还要做什么附加操作。

相对来说，这些安全网关设备的采购成本、维护成本都较高，如果是托管到IDC(Internet Data Center互联网数据中心)还需要增加托管成本。

同时，由于被保护区可能需要多种安全网关的保护，必须同时需要防火墙、邮件安全网关、SSL-VPN等，另外，企业内部子网可能内部服务器有一定的保护措施，不一定需要加密，只需要一般情况下未经授权的互联网用户无法访问即可，这时可能需要GRE、IPIP等非加密VPN提供企业用户在外部时的远程连接。这些需求进一步加大了客户需要负担的各种成本。

安全网关的性能对于被保护区来说，必然是大大冗余的，这是为了防止安全网关成为瓶颈，这对于安全网关的拥有者来说，无疑是一种浪费。

因此这些安全网关一般只有中大型企业会用，限制了小型企业甚至个人对安全的需求，对他们来说安全可望而不可及。

发明内容

有鉴于此，本发明的目的在于将安全网关从产品变成服务，从独占变为共享，降低客户安全成本。

本发明是这样实现的：

将网络安全网关从被保护的服务器或网络(称为被保护区)与互联网之间(称为边界)移到互联网中，成为安全节点：

将互联网用户对被保护区的请求靠DNS设定、用户客户端配置等方式被引到安全节点；

安全节点根据安全策略，将合法请求转发被保护区；

被保护区收到合法请求，将响应数据返回给安全节点；

安全节点根据安全策略，将合法响应转发给请求方。

反方向的访问：

被保护域的用户对互联网的请求靠DNAT、用户客户端配置等方式引到安全节点；

安全节点根据安全策略，将合法请求转发请求目标；

请求目标收到合法请求，将响应数据返回给安全节点；

安全节点根据安全策略，将合法响应转发给请求方。

本发明将安全网关产品部署到互联网上，形成安全节点，然后用技术手段使互联网与被保护区之间的数据流路径经过上述互联网上的安全节点，这样上述安全节点就可以为多个、在不同物理位置和网络拓扑位置的被保护区所共享，例如可能对于小型企业的网站来说，100个网站共享这一台安全节点，这样这些客户就可能只需要花1/100的钱就可以得到安全。

如果上述过程中有攻击包、入侵包、试探/猜试请求等非法数据包，这些数据包将被安全节点堵截，不会被转发。从而得到了和原来在边界使用安全网关相同的效果。

安全节点与被保护区需要建立一条安全通道，可以使用不加密的ACL(存取控制列表)来实现，也可以使用加密的VPN来实现，当然理论上也可以不用虚拟专网VPN而用真实专网，只是这样没什么商业意义。

附图说明

图1为传统的在边界使用防火墙保护被保护区的示意图；

图2为本发明用共享安全节点保护被保护区的方法实施例一的示意图：安全节点为防火墙保护被保护区；

图3为传统的在边界使用邮件安全网关保护邮件服务器的示意图；

图4为本发明用共享安全节点保护被保护区的方法实施例二的示意图：安全节点为邮件安全网关保护被保护的邮件服务器和域用户；

图5为传统的在边界使用SSL-VPN网关提供远程用户存取内部敏感网络的示意图；

图6为本发明用共享安全节点保护被保护区的方法实施例三的示意图：安全节点为SSL-VPN为远程用户提供内部敏感网络的存取。

具体实施方式

本发明可以在安全、成本和有效利用等诸多方面达成统一。

不同的网关设备在边界的网络拓扑方式可能不同，比如有网桥模式(亦称透明模式)，有路由模式，也有转发模式。本发明的实现方法就是将这些不同的模式都改造为适合作为互联网上安全节点的节点模式，这种节点模式最接近上述转发模式。