本發(fā)明提供了一種VPN安全網(wǎng)關(guān)，包括內(nèi)網(wǎng)通信單元、外網(wǎng)通信單元、加解密單元和管理單元，其中：內(nèi)網(wǎng)通信單元，用于將內(nèi)網(wǎng)數(shù)據(jù)傳給所述的加解密單元，并用于將所述加解密單元傳輸來(lái)的解密數(shù)據(jù)傳入內(nèi)網(wǎng)；外網(wǎng)通信單元，用于將外網(wǎng)數(shù)據(jù)傳給所述的加解密單元，并用于將所述加解密單元傳輸來(lái)的加密數(shù)據(jù)傳入外網(wǎng)；加解密單元，用于對(duì)內(nèi)網(wǎng)通信單元及外網(wǎng)通信單元傳輸來(lái)的相應(yīng)數(shù)據(jù)信息進(jìn)行相應(yīng)的處理；管理單元，用于統(tǒng)一管理該所述的內(nèi)網(wǎng)通信單元、外網(wǎng)通信單元和加解密單元，并用于監(jiān)控該所述內(nèi)網(wǎng)通信單元、外網(wǎng)通信單元和加解密單元的工作狀態(tài)。本發(fā)明提高了VPN安全網(wǎng)關(guān)的隔離性能。

技術(shù)領(lǐng)域

本發(fā)明涉及安全網(wǎng)關(guān)領(lǐng)域，具體是一種VPN安全網(wǎng)關(guān)。

背景技術(shù)

隨著現(xiàn)代網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)互聯(lián)已經(jīng)成為一種不可阻擋的潮流，但這種互聯(lián)方式極易受到各種攻擊，導(dǎo)致對(duì)內(nèi)部網(wǎng)絡(luò)的非法訪問(wèn)和信息泄露。如何保證用戶(hù)的信息在網(wǎng)絡(luò)安全的傳遞，不被懷有惡意的人加以竊聽(tīng)、破壞，是目前安全界面臨的一個(gè)重要的課題和發(fā)展方向。

VPN技術(shù)是一種通過(guò)在公共網(wǎng)絡(luò)中構(gòu)建一條加密的隧道，從而擴(kuò)大局域網(wǎng)通信距離的技術(shù)。這種技術(shù)可實(shí)現(xiàn)網(wǎng)絡(luò)-網(wǎng)絡(luò)（site-site）和主機(jī)-網(wǎng)絡(luò)（terminal-site）之間的通信，極大的方便了企業(yè)內(nèi)部信息的共享。

但目前，將VPN技術(shù)應(yīng)用于敏感信息的傳輸，依然存在相對(duì)較大的風(fēng)險(xiǎn)：一是對(duì)于單主機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)的通信方式，存在主機(jī)被控制的風(fēng)險(xiǎn)；二是未能實(shí)現(xiàn)可信區(qū)域與不可信區(qū)域的隔離，不能阻止非法數(shù)據(jù)包進(jìn)入可信網(wǎng)絡(luò)；三是無(wú)法在使用VPN的終端之間的進(jìn)行相互認(rèn)證問(wèn)題。鑒于上述問(wèn)題的存在，VPN安全網(wǎng)關(guān)的隔離性能不太理想，此為現(xiàn)有技術(shù)的不足之處。

針對(duì)這些不足，本申請(qǐng)?jiān)O(shè)計(jì)了一種VPN安全網(wǎng)關(guān)，其用于提高內(nèi)網(wǎng)與外網(wǎng)的隔離強(qiáng)度，實(shí)現(xiàn)數(shù)據(jù)在公共網(wǎng)絡(luò)上傳輸?shù)陌踩浴?/p>

發(fā)明內(nèi)容

本發(fā)明所要解決的技術(shù)問(wèn)題是，針對(duì)現(xiàn)有技術(shù)的不足，提供一種VPN安全網(wǎng)關(guān)，用于提高VPN安全網(wǎng)關(guān)的隔離性能。

為解決上述技術(shù)問(wèn)題，本發(fā)明提供了一種VPN安全網(wǎng)關(guān)，包括內(nèi)網(wǎng)通信單元、外網(wǎng)通信單元、加解密單元和管理單元，其中：

內(nèi)網(wǎng)通信單元，與內(nèi)網(wǎng)及所述的加解密單元通信連接，用于將內(nèi)網(wǎng)數(shù)據(jù)傳給所述的加解密單元，并用于將所述加解密單元傳輸來(lái)的解密數(shù)據(jù)傳入內(nèi)網(wǎng)；

外網(wǎng)通信單元，與外網(wǎng)及所述的加解密單元通信連接，用于將外網(wǎng)數(shù)據(jù)傳給所述的加解密單元，并用于將所述加解密單元傳輸來(lái)的加密數(shù)據(jù)傳入外網(wǎng)；

加解密單元，用于對(duì)內(nèi)網(wǎng)通信單元及外網(wǎng)通信單元傳輸來(lái)的相應(yīng)數(shù)據(jù)信息進(jìn)行相應(yīng)的處理，所述相應(yīng)的處理為加密處理、解密處理與丟棄處理中的任意一種處理；

管理單元，與所述的內(nèi)網(wǎng)通信單元、外網(wǎng)通信單元和加解密單元通信連接，用于統(tǒng)一管理該所述的內(nèi)網(wǎng)通信單元、外網(wǎng)通信單元和加解密單元，并用于監(jiān)控該所述內(nèi)網(wǎng)通信單元、外網(wǎng)通信單元和加解密單元的工作狀態(tài)。

其中，所述的管理單元用于向所述的內(nèi)網(wǎng)通信單元、外網(wǎng)通信單元和加解密單元分別下發(fā)相同的數(shù)據(jù)加解密匹配策略；

所述的內(nèi)網(wǎng)通信單元，在將內(nèi)網(wǎng)數(shù)據(jù)傳給所述的加解密單元之前，還包括：基于上述管理單元下發(fā)的數(shù)據(jù)加解密匹配策略，對(duì)當(dāng)前所要傳輸?shù)膬?nèi)網(wǎng)數(shù)據(jù)進(jìn)行相應(yīng)的重組，該重組后的內(nèi)網(wǎng)數(shù)據(jù)包括用于對(duì)當(dāng)前所要傳輸?shù)膬?nèi)網(wǎng)數(shù)據(jù)進(jìn)行加密的加密算法名稱(chēng)；

所述的外網(wǎng)通信單元，在將外網(wǎng)數(shù)據(jù)傳給所述的加解密單元之前，還包括：基于上述管理單元下發(fā)的數(shù)據(jù)加解密匹配策略，對(duì)當(dāng)前所要傳輸?shù)耐饩W(wǎng)數(shù)據(jù)進(jìn)行相應(yīng)的重組，該重組后的外網(wǎng)數(shù)據(jù)包括將要對(duì)當(dāng)前所要傳輸?shù)耐饩W(wǎng)數(shù)據(jù)進(jìn)行解密的解密算法名稱(chēng)；

所述的加解密單元，對(duì)內(nèi)網(wǎng)通信單元及外網(wǎng)通信單元傳輸來(lái)的相應(yīng)數(shù)據(jù)信息進(jìn)行相應(yīng)的處理的方法步驟包括：