技術領域

本發明涉及通信技術領域，尤其涉及一種節點保護方法、包過濾裝置及虛擬網絡系統。

背景技術

隨著企業數據集中的發展趨勢，對網絡虛擬化的需求不斷增加。虛擬專用網絡(Virtual?Private?Network，簡稱VPN)是通過公用網絡(例如為因特網)建立的專用連接，其各虛擬網絡節點之間并非通過端到端的物理鏈路實現連接，而是通過架構在公用網絡服務商所提供的網絡平臺之上的邏輯鏈路進行通信。在共用一個公用網絡的基礎上，不同的VPN之間可通過加密的通道協議實現邏輯隔離，即各VPN能夠提供一個臨時、安全、穩定的連接，并且通過該連接能夠對數據進行多倍加密從而達到安全使用互聯網的目的。

VPN旨在利用加密的通道協議在不安全的公用網絡(例如為互聯網)環境下傳送安全、可靠的信息，但由于虛擬網絡節點暴露在公用網絡中，所以虛擬網絡節點的信息安全仍受到威脅。

現有技術中對節點的保護方法主要是基于靜態包過濾機制的，例如Linux?iptables和防火墻，其通過命令配置需要過濾的目的IP地址和源IP地址來對網絡中的數據包進行過濾。但這種基于靜態包的過濾機制的節點保護方法不能夠根據現實情況來實時更改防護策略，因此存在若防護策略過于嚴格則可能影響網絡的正常使用、若防護策略存在疏漏則可能導致安全隱患的缺陷。

發明內容

針對上述缺陷，本發明提供節點保護方法、包過濾裝置及虛擬網絡系統，以在能夠保障網絡性能的同時為節點提供有效、可靠的保護。

本發明提供的節點保護方法包括：

第一節點的包過濾裝置截取向第一節點發送的報文，在預先存儲的授權地址列表中查找是否有所述報文的源地址，若是，則所述報文通過安全性檢驗；

若檢測獲知通過所述安全性檢驗的報文為連接請求報文，則將所述連接請求報文攜帶的第二節點地址添加至所述授權地址列表，以使來自所述第二節點地址的報文能夠通過所述安全性檢驗，其中所述第一節點為連接請求的被請求節點，所述第二節點為所述連接請求的發起請求節點。

本發明提供的包過濾裝置包括：

安全性檢驗模塊，用于截取向第一節點發送的報文，在預先存儲的授權地址列表中查找是否有所述報文的源地址，若是，則所述報文通過安全性檢驗；

安全策略更新模塊，用于若檢測獲知通過所述安全性檢驗的報文為連接請求報文，則將所述連接請求報文攜帶的第二節點地址添加至所述授權地址列表，以使來自所述第二節點地址的報文能夠通過所述安全性檢驗，其中所述第一節點為連接請求的被請求節點，所述第二節點為所述連接請求的發起請求節點。

根據本發明的又一方面，還提供了一種虛擬網絡系統，包括第一節點，第二節點和服務器；

所述第一節點，用于截取向所述第一節點發送的報文，在預先存儲的授權地址列表中查找是否有所述報文的源地址，若是，則所述報文通過安全性檢驗；若檢測獲知通過所述安全性檢驗的報文為連接請求報文，則將所述連接請求報文攜帶的第二節點地址添加至所述授權地址列表，以使來自所述第二節點地址的報文能夠通過所述安全性檢驗，并經由所述服務器向所述第二節點發送攜帶有所述第一節點地址的連接響應報文；

所述第二節點，用于經由所述服務器向所述第一節點發送所述連接請求報文，并截取所述第一節點發送的所述連接響應報文，將所述連接響應報文中攜帶的第一節點地址設置為所述第二節點的授權地址，所述授權地址為所述第二節點可接收報文的源地址；

所述服務器，用于將所述第二節點發送的所述連接請求報文轉發至所述第一節點；將所述第一節點發送的所述連接響應報文轉發至所述第二節點。

本發明提供的節點保護方法、包過濾裝置及虛擬網絡系統由于能夠響應于連接請求報文更新授權地址列表，所以能夠根據通信需要為節點動態配置授權地址，既避免了因將授權地址設置得過于嚴格而影響網絡正常使用，又避免了因授權地址設置過于寬松而導致安全性較低，實現了合理、有效的節點保護。

附圖說明

圖1為應用本發明實施例的節點保護方法的虛擬網絡的架構圖；

圖2為本發明實施例的節點保護方法的流程圖；

圖3為本發明實施例的包過濾裝置的結構示意圖；

圖4為本發明實施例的虛擬網絡系統的架構圖。

具體實施方式

為使本發明的目的、技術方案和優點更加清楚，下面將結合附圖，對本發明的技術方案進行清楚、完整地描述。