專利名稱：透明模式的防火墻支持aaa認證功能的方法及系統(tǒng)的制作方法
技術領域：
本發(fā)明涉及網(wǎng)絡通信技術領域，特別涉及一種透明模式的防火墻支持AAA認證功能的方法及系統(tǒng)。
背景技術：
防火墻作為一實際存在的物理設備，其本身也起到路由的作用，所以在為用戶安裝防火墻時，就需要考慮如何改動其原有的網(wǎng)絡拓撲結構或修改連接防火墻的路由表，以適應用戶的實際需要，這樣就增加了工作的復雜程度和難度。但如果防火墻采用了透明模式，即采用無IP方式運行，用戶將不必重新設定和修改路由，防火墻就可以直接安裝和放置到網(wǎng)絡中使用，如交換機一樣不需要設置IP地址。透明模式的防火墻就好像是一臺網(wǎng)橋(非透明的防火墻好像一臺路由器)，網(wǎng)絡設備(包括主機、路由器、工作站等)和所有計算機的設置(包括IP地址和網(wǎng)關)無須改·變，同時解析所有通過它的報文，既增加了網(wǎng)絡的安全性，又降低了用戶管理的復雜程度，但由于透明模式的防火墻采用無IP方式運行，難以實現(xiàn)AAA認證功能，從而無法對內網(wǎng)用戶訪問外網(wǎng)的權限設置，影響了網(wǎng)絡使用的安全性。

發(fā)明內容
(一)要解決的技術問題本發(fā)明要解決的技術問題是如何實現(xiàn)透明模式下支持AAA認證功能，以提高了網(wǎng)絡使用的安全性。(二)技術方案為解決上述技術問題，本發(fā)明提供了一種透明模式的防火墻支持AAA認證功能的方法，所述方法包括以下步驟SI :當前防火墻上的至少兩個物理接口被配置為透明接口，所述當前防火墻還設有一個虛接口；S2 :內網(wǎng)A內的客戶端Ax發(fā)出連接請求報文時，通過所述虛接口啟動tcp代理，并由所述虛接口向所述客戶端Ax發(fā)送AAA認證請求報文，所述內網(wǎng)A內的客戶端Ax與所述當前防火墻上的第一透明接口連接；S3 :所述客戶端Ax接收到所述AAA認證請求報文后，發(fā)送相應的確認報文和數(shù)據(jù)報文至所述當前防火墻，所述數(shù)據(jù)報文包括用戶名和密碼信息； S4 :所述當前防火墻查找快速轉發(fā)表，若具有連接記錄，則通過所述虛接口直接轉發(fā)所述連接請求報文，結束所述方法，否則執(zhí)行下一步；S5 :所述當前防火墻將所述數(shù)據(jù)報文轉發(fā)至AAA服務器進行認證，若認證通過，則將所述用戶名和密碼信息作為連接記錄保存至所述快速轉發(fā)表中，并所述虛接口轉發(fā)所述連接請求報文，否則丟棄所述連接請求報文。優(yōu)選地，步驟S2中，通過所述虛接口啟動tcp代理之前，所述當前防火墻判斷所述連接請求報文是否為向外網(wǎng)B的服務器所發(fā)送的報文，若是，則通過所述虛接口啟動tcp代理，所述外網(wǎng)B的服務器與所述當前防火墻上的第二透明接口連接。優(yōu)選地，所述外網(wǎng)B的服務器與所述當前防火墻上的第二透明接口之間通過路由器連接。優(yōu)選地，所述內網(wǎng)A內的客戶端Ax與所述當前防火墻上的第一透明接口之間通過交換機連接。優(yōu)選地,所述連接請求報文為能進行AAA認證的http報文、https報文、ftp報文或telnet報文。本發(fā)明還公開了一種透明模式的防火墻支持AAA認證功能的系統(tǒng)，所述系統(tǒng)包括配置模塊，用于當前防火墻上的至少兩個物理接口被配置為沒有IP地址的透明 接口，所述當前防火墻還設有一個配置有IP地址的虛接口 ；認證請求模塊，用于內網(wǎng)A內的客戶端Ax發(fā)出連接請求報文時，通過所述虛接口啟動tcp代理，并由所述虛接口向所述客戶端Ax發(fā)送AAA認證請求報文，所述內網(wǎng)A內的客戶端Ax與所述當前防火墻上的第一透明接口連接；數(shù)據(jù)發(fā)送模塊，用于所述客戶端Ax接收到所述AAA認證請求報文后，發(fā)送相應的確認報文和數(shù)據(jù)報文至所述當前防火墻，所述數(shù)據(jù)報文包括用戶名和密碼信息；查表模塊，用于所述當前防火墻查找快速轉發(fā)表，若具有連接記錄，則通過所述虛接口直接轉發(fā)所述連接請求報文，結束所述系統(tǒng)，否則執(zhí)行認證模塊；認證模塊，用于所述當前防火墻將所述數(shù)據(jù)報文轉發(fā)至AAA服務器進行認證，若認證通過，則將所述用戶名和密碼信息作為連接記錄保存至所述快速轉發(fā)表中，并所述虛接口轉發(fā)所述連接請求報文，否則丟棄所述連接請求報文。(三)有益效果本發(fā)明通過虛接口啟動tcp代理，實現(xiàn)了透明模式下支持AAA認證功能，提高了網(wǎng)絡使用的安全性。


圖I是按照本發(fā)明一種實施方式的透明模式的防火墻支持AAA認證功能的方法流程圖；圖2是按照本發(fā)明一種實施方式的防火墻上的接口示意圖；圖3是按照本發(fā)明一種實施方式的防火墻的連接示意圖。
具體實施例方式下面結合附圖和實施例，對本發(fā)明的具體實施方式
作進一步詳細描述。以下實施例用于說明本發(fā)明，但不用來限制本發(fā)明的范圍。圖I是按照本發(fā)明一種實施方式的透明模式的防火墻支持AAA認證功能的方法流程圖；參照圖1，本實施方式的方法包括以下步驟SI :當前防火墻上的至少兩個物理接口被配置為沒有IP地址的透明接口，所述當前防火墻還設有一個配置有IP地址的虛接口 ；參照圖2，本實施方式中，所述當前防火墻上的兩個物理接口被配置為沒有IP地址的透明接口，即分別為圖中的“G0/0”和“G0/1”，但并不限定本發(fā)明的保護范圍；S2 :內網(wǎng)A內的客戶端Ax (即PC客戶端)向外網(wǎng)發(fā)出連接請求報文時，途徑虛接口，所述虛接口對所述請求報文進行判斷，若需要對所述連接請求報文進行身份驗證-授權-統(tǒng)計(Authentication-Authorization-Accounting, AAA)認證，則通過所述虛接口啟動tcp代理，并由所述虛接口向所述客戶端Ax發(fā)送AAA認證請求報文，所述內網(wǎng)A內的客戶端Ax與所述當前防火墻上的第一透明接口連接，所述連接請求報文為超文本傳送協(xié)議(http)報文、以安全為目標的https通道(https)報文、文件傳輸協(xié)議(File TransferProtocol, ftp)報文或telnet報文等能進行AAA認證的報文；由于透明接口不能配置IP地址，只有在虛接口上可以配置IP地址，因此本發(fā)明依賴虛接口來建立tcp代理，并在虛接口上配置相應的路由表項，以此實現(xiàn)虛接口對內網(wǎng)PC客戶端發(fā)送報文進行驗證請求和結果發(fā)送，并實現(xiàn)虛接口對外網(wǎng)AAA服務器發(fā)送報文進行內網(wǎng)用戶的AAA認證，達到虛接口實現(xiàn)驗證中轉的目的。 S3 :所述客戶端Ax接收到所述AAA認證請求報文后，發(fā)送相應的確認報文和數(shù)據(jù)報文至所述當前防火墻，所述數(shù)據(jù)報文包括用戶名和密碼信息；S4:所述當前防火墻查找快速轉發(fā)表，若具有連接記錄，則通過所述虛接口直接轉發(fā)所述連接請求報文，結束所述方法，否則執(zhí)行下一步；S5 :所述當前防火墻將所述數(shù)據(jù)報文轉發(fā)至AAA服務器進行認證，將認證的結果送回所述當前防火墻，若認證通過，則將所述用戶名和密碼信息作為連接記錄保存至所述快速轉發(fā)表中，并所述虛接口轉發(fā)所述連接請求報文，否則丟棄所述連接請求報文。由于內網(wǎng)內的連接請求一般是無需進行AAA認證的，因此只需對內網(wǎng)向外網(wǎng)進行的連接請求進行AAA認證,優(yōu)選地,步驟S2中，通過所述虛接口啟動tcp代理之前,所述當前防火墻判斷所述連接請求報文是否為向外網(wǎng)B的服務器所發(fā)送的報文，若是，則通過所述虛接口啟動傳輸控制協(xié)議(Transmission Control Protocol, tcp)代理,否則直接轉發(fā)所述連接請求報文，所述外網(wǎng)B的服務器與所述當前防火墻上的第二透明接口連接。參照圖3，優(yōu)選地，所述外網(wǎng)B的服務器與所述當前防火墻上的第二透明接口之間通過路由器連接，所述內網(wǎng)A內的客戶端Ax與所述當前防火墻上的第一透明接口之間通過交換機連接。本發(fā)明還公開了一種透明模式的防火墻支持AAA認證功能的系統(tǒng)，所述系統(tǒng)包括配置模塊，用于當前防火墻上的至少兩個物理接口被配置為沒有IP地址的透明接口，所述當前防火墻還設有一個配置有IP地址的虛接口 ；認證請求模塊，用于內網(wǎng)A內的客戶端Ax發(fā)出連接請求報文時，通過所述虛接口啟動tcp代理，并由所述虛接口向所述客戶端Ax發(fā)送AAA認證請求報文，所述內網(wǎng)A內的客戶端Ax與所述當前防火墻上的第一透明接口連接；數(shù)據(jù)發(fā)送模塊，用于所述客戶端Ax接收到所述AAA認證請求報文后，發(fā)送相應的確認報文和數(shù)據(jù)報文至所述當前防火墻，所述數(shù)據(jù)報文包括用戶名和密碼信息；查表模塊，用于所述當前防火墻查找快速轉發(fā)表，若具有連接記錄，則通過所述虛接口直接轉發(fā)所述連接請求報文，結束所述系統(tǒng)，否則執(zhí)行認證模塊；
認證模塊，用于所述當前防火墻將所述數(shù)據(jù)報文轉發(fā)至AAA服務器進行認證，若認證通過，則將所述用戶名和密碼信息作為連接記錄保存至所述快速轉發(fā)表中，并所述虛接口轉發(fā)所述連接請求報文，否則丟棄所述連接請求報文。以上實施方式僅用于說明本發(fā)明，而并非對本發(fā)明的限制，有關技術領域的普通技術人員，在不脫離本發(fā)明的精神和范圍的情況下，還可以做出各種變化和變型，因此所有等同的技術方案也屬于本發(fā)明的范疇，本發(fā)明的專利保護范圍應由權利要 求限定。
權利要求
1.ー種透明模式的防火墻支持AAA認證功能的方法，其特征在于，所述方法包括以下步驟 51:當前防火墻上的至少兩個物理接ロ被配置為透明接ロ，所述當前防火墻還設有一個虛接ロ ； 52:內網(wǎng)A內的客戶端Ax發(fā)出連接請求報文時，通過所述虛接ロ啟動tcp代理，并由所述虛接ロ向所述客戶端Ax發(fā)送AAA認證請求報文，所述內網(wǎng)A內的客戶端Ax與所述當前防火墻上的第一透明接ロ連接； 53:所述客戶端Ax接收到所述AAA認證請求報文后，發(fā)送相應的確認報文和數(shù)據(jù)報文至所述當前防火墻，所述數(shù)據(jù)報文包括用戶名和密碼信息； S4:所述當前防火墻查找快速轉發(fā)表，若具有連接記錄，則通過所述虛接ロ直接轉發(fā)所述連接請求報文，結束所述方法，否則執(zhí)行下一歩； S5 :所述當前防火墻將所述數(shù)據(jù)報文轉發(fā)至AAA服務器進行認證，若認證通過，則將所述用戶名和密碼信息作為連接記錄保存至所述快速轉發(fā)表中，并所述虛接ロ轉發(fā)所述連接請求報文，否則丟棄所述連接請求報文。
2.如權利要求I所述的方法，其特征在干，步驟S2中，通過所述虛接ロ啟動tcp代理之前，所述當前防火墻判斷所述連接請求報文是否為向外網(wǎng)B的服務器所發(fā)送的報文，若是，則通過所述虛接ロ啟動tcp代理，所述外網(wǎng)B的服務器與所述當前防火墻上的第二透明接ロ連接。
3.如權利要求2所述的方法，其特征在于，所述外網(wǎng)B的服務器與所述當前防火墻上的第二透明接ロ之間通過路由器連接。
4.如權利要求廣3中任一項所述的方法，其特征在于，所述內網(wǎng)A內的客戶端Ax與所述當前防火墻上的第一透明接ロ之間通過交換機連接。
5.如權利要求Γ3中任一項所述的方法，其特征在于，所述連接請求報文為能進行AAA認證的http報文、https報文、ftp報文或telnet報文。
6.ー種透明模式的防火墻支持AAA認證功能的系統(tǒng)，其特征在于，所述系統(tǒng)包括 配置模塊，用于當前防火墻上的至少兩個物理接ロ被配置為沒有IP地址的透明接ロ，所述當前防火墻還設有ー個配置有IP地址的虛接ロ ； 認證請求模塊，用于內網(wǎng)A內的客戶端Ax發(fā)出連接請求報文時，通過所述虛接ロ啟動tcp代理，并由所述虛接ロ向所述客戶端Ax發(fā)送AAA認證請求報文，所述內網(wǎng)A內的客戶端Ax與所述當前防火墻上的第一透明接ロ連接； 數(shù)據(jù)發(fā)送模塊，用于所述客戶端Ax接收到所述AAA認證請求報文后，發(fā)送相應的確認報文和數(shù)據(jù)報文至所述當前防火墻，所述數(shù)據(jù)報文包括用戶名和密碼信息； 查表模塊，用于所述當前防火墻查找快速轉發(fā)表，若具有連接記錄，則通過所述虛接ロ直接轉發(fā)所述連接請求報文，結束所述系統(tǒng)，否則執(zhí)行認證模塊； 認證模塊，用于所述當前防火墻將所述數(shù)據(jù)報文轉發(fā)至AAA服務器進行認證，若認證通過，則將所述用戶名和密碼信息作為連接記錄保存至所述快速轉發(fā)表中，并所述虛接ロ轉發(fā)所述連接請求報文，否則丟棄所述連接請求報文。
全文摘要
本發(fā)明公開了一種透明模式的防火墻支持AAA認證功能的方法及系統(tǒng)，涉及網(wǎng)絡通信技術領域，本發(fā)明通過虛接口啟動tcp代理，實現(xiàn)了透明模式下支持AAA認證功能，提高了網(wǎng)絡使用的安全性。
文檔編號H04L29/06GK102685140SQ20121016057
公開日2012年9月19日 申請日期2012年5月22日 優(yōu)先權日2012年5月22日
發(fā)明者陳海濱 申請人:漢柏科技有限公司