网络安全设备多工作模式自适应的方法

文档序号:7945144阅读:413来源:国知局
专利名称:网络安全设备多工作模式自适应的方法
技术领域
本发明涉及一种网络安全设备多工作模式自适应的方法,特别涉及网络安全网关设备(如防火墙,虚拟个人网络(Virtual Private Network,简称VPN))的多工作模式自动适应的方法,属于网络安全技术领域。
背景技术
按照开放式系统互联参考模型(Open System Interconnect ReferenceModel,简称OSI)协议体系分层技术,网桥是典型的链路层工作设备,它的一个很重要的功能就是为它所连接的不同物理子网提供链路连接,IEEE(电气和电子工程师学会,Institute for Electrical and ElectronicEngineers)802.1d提供了一种基于STP(Spanning Tree Protocol,生成树协议)的链路转发与状态维护方法。路由模式相当于工作在网络层,在该模式下,数据的转发在网络层匹配路由表,完成路由的选择和中继。
网际传输控制协议(Transfer Control Protocol/Internet Protocol,简称TCP/IP协议)是一个分组交换通信协议,应用层的消息将被分组后被层层加上传输层包头、网络层包头和链路层包头,链路层包头的内容包括该帧的源MAC(Media Access Control,即硬件接入点)地址与目的MAC地址,当某一TCP/IP主机试图向其它主机发出一个数据包之前,将首先在本机的地址解析协议(Address Resolution Protocol,简称ARP)缓存里查询目的网际协议(Internet Protocol,简称IP)对应的MAC地址,这样才可以构造一个完整的链路数据帧、进而将该帧发出。如果本机的ARP缓存里没有目的IP对应的表项时,则该主机需要发出一个ARP的广播请求包,用以探询该目的主机对应的MAC地址。如果源与目的在一个网段的话,则ARP请求将很快得到回应,这样该主机发出的数据帧里才能加入目的地址的硬件地址;如果源与目的不在同一个网段时,ARP请求将难以得到回复。这样会导致访问的发起方找不到目的IP的MAC地址。这时,就需要我们在访问的发起方主机上设置合适的网关地址,一旦出现目的IP网络与源IP网络不在一个子网内时,ARP将直接解析得到该网关的MAC地址、并记入缓存。
以上的情况也就是网桥模式网关与路由模式网关的区别所在,网桥模式网关的两段所连接的一般是同一子网的两个物理网段;路由模式的两端一般接的是不同子网的两个网段。在如上的ARP解析的工作过程中,前者能够直接得到目的IP对应的MAC地址,而后者则只能得到网关的MAC地址;也就是说在前一情况下,数据帧可以直接通过网桥发给目的IP,后者的数据帧则只能发给路由网关,然后由路由网关完成后续的转发工作。
传统的包过滤技术一般工作于网络层,网络层的包过滤技术有两个局限第一,由于网络层只处理不同网段间的转发,所以源地址和目的地址位于同一网段的IP报文将不会被转发;第二,当防火墙加入在被保护网络和路由器之间时,被防火墙保护的网络内的主机应该将原来指向路由器的网关设置修改成指向防火墙的设置;同时,被保护网络原来的路由器应该修改其路由表,以便转发防火墙的IP报文。当用户的网络非常复杂时,这就给防火墙用户带来了设置上的麻烦。
参见图1,其为防火墙作为网桥使用时的流程图。
如图所示,当端口接受到数据包,首先判断端口状态是否可用,此端口状态由stp生成树算法决定,如果端口状态不可用,则丢弃;如果端口状态可用,则将数据包进行过滤规则匹配,即解析出该包里所含的IP地址、协议类型、端口号等等,匹配用户自定义的规则,若匹配结果不合法,则将数据包丢弃;若匹配结果合法,则继续在转发数据库中查找数据帧的目的地址,若找到该目的地址,则根据路由信息将该数据帧从给定端口转发出去;若没找到该目的地址,则将该数据帧从各端口转发出去;转发出去后,若找到目的地址,则记入转发数据库;若没有找到目的地址则将此数据包丢弃。
当用户把本网关作为一个网桥来使用时,网关的不同接口所接的网段属于同一子网,这样这些网络上的主机发出的ARP报文能够正常解析出目的IP的MAC地址,这样,这些主机发出的报文在穿过防火墙时,就可以在经过防火墙的安全检查后、直接匹配转发数据库、从而转发出去。
工作于链路层的包过滤技术正好可以弥补网络层包过滤的不足。网桥模式下,对于每个经过规则匹配的帧将直接根据该帧的MAC地址匹配转发数据库,从合适的端口转发过去。由于该转发过程与IP地址无关(由MAC地址决定),与之相连客户机的TCP/IP设置可以不作任何改动,所以也被称之为透明模式。用该模式可以连接物理上分为两个子网,但IP地址仍然属于同一子网的网络。
通常情况下,一个网关只能工作于一个状态,如果是网桥状态的话,它只能根据MAC地址完成包转发,而源与目的IP处于不同子网时,由于不能直接得到目的的MAC地址,所以网桥不能处理不同子网间的转发;而如果一个网关工作于路由状态的话,它就只能在网络层根据源IP与目的IP的地址、匹配路由表、最后确定转发方向。一旦源与目的处于同一个子网的话,路由表匹配的结果将认为该帧必须回去,这样也无法完成转发,这就是网桥转发与路由转发不能兼容的原因。
所以许多厂家的防火墙一般是同时保留了网桥模式和路由模式,但在使用时需要由用户选择工作模式并予以切换,而且两种方式并不兼容,这在使用中是很不方便的。

发明内容
本发明的主要目的是针对现有技术之不足而提出一种网关设备多工作模式自适应的方法,突破路由与网桥模式的局限,可以任意地处理网桥数据转发与路由数据转发,使网御防火墙可以随时接入多个同网段子网之间(网桥)和不同网段子网之间(路由),而不需要任何切换。
本发明的目的是这样实现的一种网络安全设备多工作模式自适应的方法,网络安全设备对接收数据帧的目的地址自动分析,并根据该分析的结果对该数据帧进行进一步的处理。
该方法的具体实现步骤至少包括步骤1网络安全设备通过其端口接收到数据帧后,判断该端口的状态是否可用;如果不可用则丢弃该数据帧;步骤2判断该数据帧的目的MAC地址是否指向本机;如果不是,则进行网桥数据处理;步骤3将该数据帧的链路帧头信息去除后上传到IP层;步骤4判断该数据帧的IP层目的地址是否指向本机,如果是,则将该数据帧发送到本机协议栈高层进行处理;步骤5进行安全规则匹配;步骤6如果该数据帧为非法数据,则丢弃该数据;步骤7如果该数据帧被伪装,则将该数据帧的源地址换为用户指定的其他IP地址,然后再转发;步骤8匹配路由表,然后将数据帧转发出去。
上述的方法利用STP算法判断该端口的状态是否可用。
上述的网络安全设备至少为防火墙或VPN,该网络安全设备接在多个同网段子网之间或不同网段子网之间。
本发明是在网桥的转发处理过程中实现了防火墙功能,同时仍然保持了IEEE802.1d生成树网桥的转发功能与IP层的路由转发功能,它在使用时,用户不需要知道本发明具体工作于什么状态,只要用户认为它工作于网桥模式,则按照该模式的特点配置后,本发明就能作为一个网桥模式的安全网关工作;如果用户认为它工作于路由模式,本发明就能作为一个网桥模式的安全网关工作;同时,本发明的任意端口都可以混合的工作于这两种模式之间,不需要任何设置、也没有任何限制,这将能使本发明更方便地应用于各种复杂的网络环境。


图1为现有技术中网络安全设备接收和转发数据帧时的流程图;图2为本发明的流程图。
具体实施例方式
以下结合附图和具体的实施例对本发明作进一步的详细说明本发明以IEEE 802.1d以太网桥为基础,IEEE 802.X的网络互联实体(中继实体)被指定为网桥,网桥的设计实现了局域网的互联,它们在决定如何转发局域网间的数据时使用的是目标MAC地址。网桥没有通常的网络层,通常由网络层负担的路由搜索与包转发功能则放在了数据链路层。本发明的防火墙在工作时所有的以太网口被绑定为一个虚拟的网桥设备,以太端网口被设置为混杂模式。绑定到一个虚拟的网桥设备在此处指的是将物理上的网卡通过软件的方式、加入到一个软件网桥上去,使之成为一个网桥的一个端口,该过程完全基于802.1d协议。混杂模式也是通过软件实现的形式,将网卡的处理芯片的一个控制位置位,以使该网卡可以接收所有的数据包。该端口相连的局域网上的所有数据均将被接收、进而被进一步处理。
用网桥方式实现的防火墙对接收到的数据包的处理有赖于两个条件网桥所维护的转发数据库(或可称之为网桥的路由信息库)和网桥的每个物理端口(即网口)的可用状态。
网桥的转发数据库的形成和维护是一个动态的学习与记录过程;当某一以太网帧初次被转发时网桥会尝试将其通过其所有的物理端口向外转发,若通过某一端口转发出去后能正常达到其目标主机,则该次转发的路由信息(包括目的MAC地址、转发所用的端口)将会被记入转发数据库。802.1d网桥利用stp生成树算法,会与其它的网桥设备会互发BPDU(桥协议数据单元,Bridge Protocol Data Unit)包来维护整个通过网桥互联的链路拓扑,不会造成网络的回路。
进入网桥的数据包在转发时,防火墙会将它的目标MAC地址与网桥的转发数据库中的MAC地址进行匹配,如果数据库已经记录了该MAC地址的对应端口,并且该端口处于转发状态,则该数据包就可以由该端口转发出去,这个过程完全在链路层实现。本发明在这个过程中添加了防火墙的接口和链路层网桥与IP层路由之间的通讯接口。
防火墙接口用于完成链路帧的安全检查,也就是说,当网桥的工作状态正常、链路帧的MAC地址包含在转发数据库时,该帧就将被接收规则检查,不合法的被丢弃,合法的进行下一步处理。用户可以自定义针对于IP地址、端口、协议类型的安全策略,当一个数据包在将被转发时,将直接在链路层检查每个数据包所包含的IP报文的有关(IP地址、端口、协议等)信息。
当用户将网络安全设备作为一个路由网关使用时,情况就不一样了,如前所述,这时用户的主机的网关应该是指向网关(即本网络安全设备),它的ARP解析的结果,得到的是安全网关的MAC地址,这样,本网关就不再将该包向外转发,而是接收它、调用本网关的网桥设备与IP层的通讯接口,在本网关仍然处于网桥状态的同时,去掉该帧的链路帧头,传递给IP层,IP层接收到该数据包后,也会继续对它解析安全规则检查,不合法即丢弃,合法的话继续检查它的目的地址是不是本机,如果不是的话,接着匹配路由表,从路由表里找到其转发方向,然后再按如前过程调用ARP协议得到它的MAC地址、再构成一个完整的链路帧、最后将报文转发出去。也就是说本发明的网关作为路由网关使用是在网桥基础上的路由服务。
参见图2,当端口接受到数据包,首先判断端口状态是否可用,此端口状态由stp生成树算法决定,如果端口状态不可用,则丢弃;如果端口状态可用,则检查目的MAC地址是否为本机,如果是,则通过网桥处理数据;如果不是,则去掉该数据帧的链路帧头,传递给IP层,IP层接收到该数据包后,首先检查它的目的地址是不是本机地址,如果是的话,则将该帧发往本机协议高层堆栈;如果不是的话,则会继续对它进行解析安全规则检查,不合法即丢弃,合法的话继续匹配路由表,从路由表里找到其转发方向,将其转发出去。
本发明是在网桥的转发处理过程中实现了防火墙功能,同时仍然保持了802.1d生成树网桥的转发功能与IP层的路由转发功能,它在使用时,用户不需要知道本发明具体工作于什么状态,只要用户认为它工作于网桥模式,则按照该模式的特点配置后,本发明就能作为一个网桥模式的安全网关工作;如果用户认为它工作于路由模式,本发明就能作为一个网桥模式的安全网关工作;同时,本发明的任意端口都可以混合的工作于这两种模式之间,不需要任何设置、也没有任何限制,这将能使本发明更方便地应用于各种复杂的网络环境。
最后应说明的是以上实施例仅用以说明本发明而并非限制本发明所描述的技术方案;因此,尽管本说明书参照上述的各个实施例对本发明已进行了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明进行修改或者等同替换;而一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种网络安全设备多工作模式自适应的方法,其特征在于该网络安全设备对接收数据帧的目的地址自动分析,并根据该分析的结果对该数据帧进行进一步的处理。
2.根据权利要求1所述的网络安全设备多工作模式自适应的方法,其特征在于该方法的具体实现步骤至少包括步骤1网络安全设备通过其端口接收到数据帧后,判断该端口的状态是否可用;如果不可用则丢弃该数据帧;步骤2判断该数据帧的目的MAC地址是否指向本机;如果不是,则进行网桥数据处理;步骤3将该数据帧的链路帧头信息去除后上传到IP层;步骤4判断该数据帧的IP层目的地址是否指向本机,如果是,则将该数据帧发送到本机协议栈高层进行处理;步骤5进行安全规则匹配;步骤6如果该数据帧为非法数据,则丢弃该数据;步骤7如果该数据帧被伪装,则将该数据帧的源地址换为用户指定的其他IP地址,然后再转发;步骤8匹配路由表,然后将数据帧转发出去。
3.根据权利要求2所述的网络安全设备多工作模式自适应的方法其特征在于该方法利用STP算法判断该端口的状态是否可用。
4.根据权利要求1或2所述的网络安全设备多工作模式自适应的方法其特征在于所述的网络安全设备至少为防火墙或VPN,该网络安全设备接在多个同网段子网之间或不同网段子网之间。
全文摘要
一种网络安全设备多工作模式自适应的方法,该网络安全设备对接收数据帧的目的地址自动分析,并根据该分析的结果对该数据帧进行进一步的处理。本发明是在网桥的转发处理过程中实现了防火墙功能,同时仍然保持了IEEE802.1d生成树网桥的转发功能与IP层的路由转发功能,用户不需要知道本发明具体工作于什么状态,只要用户按照网桥模式特点配置后,本发明就能作为一个网桥模式的安全网关工作;同样,本发明也能作为一个路由模式的安全网关工作;同时,本发明的任意端口都可以混合的工作于这两种模式之间,不需要任何设置、也没有任何限制,这将能使本发明更方便地应用于各种复杂的网络环境。
文档编号H04L9/00GK1509030SQ0215650
公开日2004年6月30日 申请日期2002年12月16日 优先权日2002年12月16日
发明者宋斌, 高红, 李江力, 宋 斌 申请人:联想(北京)有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1