IPv4/IPv6无状态分段安全映射方法及控制系统与流程

技术特征：
1.一种ipv4/ipv6无状态分段安全映射方法，其特征在于，包括如下步骤：s1、配置ipv4服务侧翻译网关，并在所述翻译网关中构建默认的ipv4白名单分区/ipv4黑名单分区和ipv4/ipv6无状态分段安全映射表；s2、构建具备ipv4服务器地址信息的ipv6地址，配置并发布对应的dns aaaa记录；s3、ipv6客户机通过dns服务器请求所述dns aaaa记录，返回并发布ipv6分组数据；s4、通过所述翻译网关接收所述ipv6分组数据，并根据所述ipv4/ipv6无状态分段安全映射算法对所述ipv6分组数据进行映射匹配，获取翻译后的ipv4分组地址并发送至所述ipv4服务器。2.根据权利要求1所述的ipv4/ipv6无状态分段安全映射方法，其特征在于，在步骤s1中，所述配置ipv4服务侧翻译网关，并在所述翻译网关中构建默认的ipv4白名单分区/ipv4黑名单分区和ipv4/ipv6无状态分段安全映射表，包括：预设ipv4白名单分区数量和ipv4黑名单分区数量以及第一预设配置参数，根据第一预设配置参数，构建并配置相应的ipv4白名单分区和ipv4黑名单分区，并对应配置彼此不重叠的ipv4白名单地址范围和ipv4黑名单地址范围；预设ipv6客户机地址范围，包括ipv6白名单的地址范围和ipv6黑名单的地址范围，根据第二预设配置参数，构建并配置ipv4/ipv6无状态分段安全映射表，将不同的所述ipv6客户机地址范围根据所述ipv4/ipv6无状态分段安全映射表映射到不同的ipv4白名单地址范围和ipv4黑名单地址范围。3.根据权利要求1或2所述的ipv4/ipv6无状态分段安全映射方法，其特征在于，在步骤s1中，所述构建具备ipv4服务器地址信息的ipv6地址，配置并发布对应的dns aaaa记录，包括：根据rfc6052协议选择ipv6前缀及长度；将所述ipv4服务器地址嵌入所述ipv6前缀，并构成ipv6地址；通过所述dns服务器配置并发布对应的所述dnsaaaa记录。4.根据权利要求3所述的ipv4/ipv6无状态分段安全映射方法，其特征在于，在步骤s4中，所述通过所述翻译网关接收所述ipv6分组数据，并根据所述ipv4/ipv6无状态分段安全映射算法对所述ipv6分组数据进行映射匹配，获取翻译后的ipv4分组地址并发送至所述ipv4服务器，包括：通过所述翻译网关接收第一类ipv6分组；判断所述第一类ipv6分组的源地址是否匹配所述ipv4/ipv6无状态分段安全映射表中已存在的映射记录，如果是，则获得第一类ipv4分组，并发送至所述ipv4服务器。5.根据权利要求4所述的ipv4/ipv6无状态分段安全映射方法，其特征在于，还包括：通过所述翻译网关接收第一类ipv6分组；判断所述第一类ipv6分组的源地址是否匹配所述ipv4/ipv6无状态分段安全映射表中已存在的映射记录，如果否，则对所述第一类ipv6分组的源地址进行无状态分段安全映射，获取映射记录，并将映射记录写入所述ipv4/ipv6无状态分段安全映射表中；根据所述映射记录获得第一类ipv4分组，并发送至所述ipv4服务器。
6.根据权利要求4或5所述的ipv4/ipv6无状态分段安全映射方法，其特征在于，还包括：通过所述ipv4服务器接收所述第一类ipv4分组；对所述第一类ipv4分组进行处理，获得第二类ipv4分组；接收所述第二类ipv4分组，并发送到所述翻译网关。7.根据权利要求6所述的ipv4/ipv6无状态分段安全映射方法，其特征在于，还包括：通过所述翻译网关接收所述第二类ipv4分组；检查所述第二类ipv4分组的目的地址是否匹配所述ipv4/ipv6无状态分段安全映射表中已存在的映射记录，如果是，则根据所述ipv4/ipv6无状态分段安全映射表项记录进行映射，得到第二类ipv6分组并发送给所述ipv6客户机。8.根据权利要求2所述的ipv4/ipv6无状态分段安全映射方法，其特征在于，还包括：在所述ipv4黑名单分区中增加ipv4黑名单地址，以及对应在ipv6黑名单的地址范围内增加ipv6黑名单地址；获取带外疑似有安全风险的ipv6客户机的映射后ipv4地址，并将带外攻击的映射后ipv4地址根据所述ipv4/ipv6无状态分段安全映射表进行查询，获取对应的ipv6地址或其所在子网，形成黑名单隔离分区的ipv6/ipv4无状态映射表项；在已有的ipv4/ipv6无状态分段安全映射表中查询是否包含上述映射表项，如果否则将所述黑名单隔离分区的ipv6/ipv4无状态映射表项添加到所述ipv4/ipv6无状态分段安全映射表；否则丢弃。9.根据权利要求2或8所述的ipv4/ipv6无状态分段安全映射方法，其特征在于，还包括：在所述ipv6黑名单的地址范围内增加ipv6黑名单地址，以及对应在所述ipv4黑名单分区中增加ipv4黑名单地址；获取带外疑似有安全风险的ipv6地址或ipv6子网，并将所述带外疑似有安全风险的ipv6地址或ipv6子网根据所述ipv4/ipv6无状态分段安全映射表进行映射，获取ipv4地址映射结果，形成黑名单隔离分区的ipv6/ipv4无状态映射表项；在已有的ipv4/ipv6无状态分段安全映射表中查询是否包含上述映射表项，如果否，则将所述黑名单隔离分区的ipv6/ipv4无状态映射表项添加到所述ipv4/ipv6无状态分段安全映射表；否则丢弃。10.根据权利要求9所述的ipv4/ipv6无状态分段安全映射方法，其特征在于，还包括：在所述ipv6白名单的地址范围内增加ipv6白名单地址分区，以及对应在所述ipv4白名单地址范围中增加ipv4白名单地址分区；将新增ipv6白名单地址分区中的ipv6地址范围，与新增ipv4白名单地址分区中的ipv4地址范围进行静态映射，形成一条新的白名单ipv6/ipv4安全映射规则，并添加到ipv4/ipv6无状态分段安全映射表中；重复上述步骤并获得多条ipv6/ipv4安全映射规则，通过所述多条ipv6/ipv4安全映射规则在所述白名单ipv4地址范围内实现多个不同安全等级的ipv4白名单安全分区，且与ipv4黑名单分区一起，形成完备的多安全等级ipv4/ipv6映射规则簇。

技术总结
本申请涉及一种IPv4/IPv6无状态分段安全映射方法及控制系统，通过配置IPv4服务侧翻译网关，并在所述翻译网关中构建默认的IPv4白名单分区/IPv4黑名单分区和IPv4/IPv6无状态分段安全映射表；构建具备IPv4服务器地址信息的IPv6地址；通过所述翻译网关接收IPv6分组数据，并根据所述IPv4/IPv6无状态分段安全映射算法对所述IPv6分组数据进行映射匹配，获取翻译后的IPv4分组地址并发送至所述IPv4服务器。本发明能够将不同的IPv6地址范围按需映射到不同的安全分区，实现IPv4/IPv6正常翻译和访问，以及对异常攻击用户的安全隔离起到有效隔离和防护作用。离和防护作用。离和防护作用。


技术研发人员：王桥倩 韩国梁 包丛笑 李星
受保护的技术使用者：北京英迪瑞讯网络科技有限公司
技术研发日：2021.10.21
技术公布日：2021/11/24