[发明专利]一种NAT网络环境下使用安全域的方法、装置和系统

说明书

技术领域

本发明涉及网络安全技术领域，尤其涉及一种网络地址转换(Network Address Translation，NAT)网络环境下使用安全域的方法、装置和系统。

背景技术

随着互联网业务的不断发展，企业的计算机网络变得越来越复杂，将网络划分为不同的区域，对每个区域进行层次化地有重点的保护，是建立纵深防御安全系统的自然而有效的手段。其中划分的区域被称之为“安全域”。安全域通常是由一组具有相同安全等级、相同安全需求并相互信任的系统组成的一个逻辑区域，由防火墙等安全域设备通过安全域访问策略（即允许哪些IP地址访问安全域的策略）对其进行访问控制。安全域划分的目的就是把一个大规模的复杂系统的安全问题，转换成更小区域的安全保护问题。

在安全域方案中，用户只有在身份识别后才能访问安全域。在现有技术中，通常是使用一些认证手段来对用户的身份进行认证识别，如WEB认证、802.1x认证。这些认证方式的最终结果均是在认证成功后向安全域设备下发用户的安全域访问策略。下面以WEB认证简要说明其技术原理，如图1所示，为现有技术中的WEB认证拓扑图，首先用户（即认证客户端）发送超文本传输协议（HyperText Transfer Protocol，HTTP）报文来访问某个安全域；当安全域设备上不存在该用户的安全域访问策略时，安全域设备对该HTTP报文进行拦截，重定向到认证服务器；然后用户输入认证信息（如用户名密码等），并选择登录的安全域，提交认证信息；当认证服务器认证成功后，将允许该用户的IP地址访问安全域的访问策略下发到安全域设备上，否则提示用户认证失败。

很显然，上述技术方案实际上是利用用户的认证信息与用户的IP地址绑定的关系来识别用户身份，这就必须保证每个用户的IP地址不能相同，否则该方案将无法识别用户的身份。

然而，随着接入网络的计算机数量的不断猛增，IP地址资源愈加显得捉襟见肘，这样少的IP地址根本无法满足网络用户的需求，于是出现了网络地址转换(Network Address Translation，NAT)技术。它是一种将私有地址转化为合法IP地址的转换技术，被广泛应用于各种类型的网络接入方式和各种类型的网络中，如图2所示，为现有技术中的在NAT网络环境下的WEB认证拓扑图。其中，在NAT网络环境下，不同用户的IP地址经过NAT设备转换以后会变成相同的IP地址，此时无法通过IP地址来识别用户身份。因此，上述方案在NAT网络环境下将无法正常工作。NAT网络环境下所有用户对外呈现相同的IP地址，此时只要其中一个用户认证成功，认证服务器就会下发允许该IP地址访问安全域的策略，那么处于NAT网络环境下的其他用户无需认证即可访问安全域，非法用户就有机可趁，这就使整个网络存在安全隐患。

发明内容

本发明实施例提供一种NAT网络环境下使用安全域的方法、装置和系统，用以解决现有技术中在NAT网络环境下使用安全域时存在的安全性较差的问题。

本发明实施例采用以下技术方案：

一种网络地址转换NAT网络环境下使用安全域的方法，包括：

访问控制网关获取NAT设备发送的来自客户端的第一报文；

当判断出所述客户端为已登录客户端时，对所述第一报文进行解封装，得到携带虚拟IP地址的第二报文；其中，所述虚拟IP地址是所述客户端登录所述访问控制网关时，由所述访问控制网关为所述客户端分配的，且所述访问控制网关为不同的客户端分配的虚拟IP地址互不相同；

将所述第二报文发送给安全域设备，以便所述安全域设备能够根据所述第二报文中携带的虚拟IP地址来判断所述客户端是否具有安全域访问权限。

其中，所述方法还包括：

当判断出所述客户端为未登录客户端时，将所述第一报文重定向到登陆页面，使所述客户端能够登陆所述访问控制网关；

当所述客户端登陆所述访问控制网关后，从预先存储的可用虚拟IP地址中为所述客户端分配虚拟IP地址；

将分配的虚拟IP地址发送给所述客户端，使所述客户端能够重新发送第一报文，重新发送的第一报文中封装有携带分配的虚拟IP地址的第二报文。

其中，所述第一报文中携带所述客户端的身份标识；则

判断所述客户端是否为已登录客户端，具体包括：

判断存储的已登录客户端的身份标识中，是否存在所述客户端的身份标识；

当判断结果为存在所述客户端的身份标识时，所述客户端为已登录客户端；

当判断结果为不存在所述客户端的身份标识时，所述客户端为未登录客户端。