[发明专利]基于虚拟化网络的数据传输方法、系统和网络安全设备

权利要求书

1.一种基于虚拟化网络的数据传输方法，其特征在于，所述方法包括以下步骤：

由第一安全设备劫持从多个第一端通信设备发送的多个数据报文；

由所述第一安全设备基于预先存储的编译策略确定各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系，利用第一安全设备的第一编译器基于所述映射关系至少对各个第一端通信设备的网络地址进行编译而得到多个第一端通信设备的彼此嵌套的虚拟网络地址，由此基于所述映射关系在各第一端通信设备和对端通信设备之间已建立的物理线路上创建虚拟化网络；其中所述彼此嵌套的多个虚拟网络地址包括：位于选定类型的网络的IP地址范围内的彼此嵌套的、IP地址范围逐级缩小的多个IP地址网段；

基于创建的虚拟化网络向所述对端通信设备发送数据报文，该数据报文中携带第一端通信设备和对端通信设备的虚拟网络地址；

所述第一安全设备接收经所述对端通信设备侧的第二安全设备发送的来自所述对端通信设备的数据报文，利用第一编译器基于预先存储的编译策略对所述对端通信设备的虚拟网络地址进行解析和还原，还原成功后向对应第一端通信设备传送携带还原的对端通信设备的真实网络地址的数据报文。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

由所述第二安全设备接收经所述第一安全设备发送的来自各第一端通信设备的数据报文，利用第二编译器基于预先存储的编译策略对各第一端通信设备的虚拟网络地址进行解析和还原，还原成功后向所述对端通信设备传送携带还原的真实网络地址的数据报文；

所述第二安全设备劫持从所述对端通信设备向各第一端通信设备返回的数据报文，利用第二编译器基于预先存储编译策略对所述对端通信设备的网络地址编译为虚拟网络地址，并在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文。

3.根据权利要求2所述的方法，其特征在于，

所述第一安全设备和第二安全设备的物理网卡接口不具有IP地址和MAC地址；

所述第一安全设备和所述第二安全设备预先存储的编译策略包括各第一端通信设备和对端通信设备的真实网络信息和虚拟网络信息间的映射关系，所述映射关系包括真实IP地址和虚拟IP地址之间的映射关系。

4.根据权利要求2或3所述的方法，其特征在于，

所述基于创建的虚拟化网络向所述对端通信设备发送数据报文包括：在当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向所述对端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文；对所述对端通信的IP地址网段之外的其他网段地址的访问，将当前第一端通信设备的IP地址网段转换为与所述其他网段不互通的第一特定广播地址段；

所述在各第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的所述虚拟化网络向对应的第一端通信设备彼此隔离地发送所述对端通信设备的数据报文，包括：当前第一端通信设备和对端通信设备之间已建立的物理线路上基于创建的虚拟化网络利用数据链路层ARP寻址广播方式或网络层路由方式向第一端通信设备发送携带有发起方虚拟网络地址和接收方虚拟网络地址的数据报文；对作为目标的第一端通信设备的IP地址网段之外的其他网段的地址的访问，将所述对端通信设备的虚拟IP地址网段转换为与该其他网段不互通的第二特定广播地址段。

5.根据权利要求1所述的方法，其特征在于，所述选定类型的网络的IP地址范围包括：A类网络IP地址范围、B类网络IP地址范围或C类网络IP地址范围。

6.根据权利要求1所述的方法，其特征在于，所述映射关系还包括以下映射关系中的至少一种：真实MAC地址和虚拟MAC地址间的映射关系、真实IP端口与虚拟IP端口之间的映射关系、真实路由和虚拟路由之间的对应关系以及真实网络协议与虚拟网络协议间的对应关系。