基于虚拟局域网交换的入侵防御方法与系统的制作方法

专利名称：基于虚拟局域网交换的入侵防御方法与系统的制作方法
技术领域：
本发明涉及通信技术，尤其是一种基于虚拟局域网(Virtual Local Area Network,以下简称VLAN)交换的入侵防御方法与系统。
背景技术：
VLAN是在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN中，信息只到达应该到达的地点，防止了大部分基于网络监听的入侵手段。例如企业的财务部、人事部、生产部这样的敏感部门，涉及很多敏感数据， 其网络上的信息不想让太多人可以随便访问，通过在交换机上应用VLAN技术，就可以很好地实现这些功能。通过多年的发展，VLAN技术得到广泛的支持，并在大大小小的企业网络中广泛应用，成为一种成熟的以太局域网技术。通过VLAN设置的访问控制策略，使在VLAN 以外的网络节点不能直接访问VLAN内的节点。但是，由于执行VLAN交换的设备越来越复杂，从而成为被攻击的对象。为了保障VLAN的网络安全，通常会在VLAN的网络边界部署安全网关类产品，例如防火墙、异常流量清洗设备、入侵检测系统(Intrusion Detection System，以下简称 IDS)、入侵防御系统(Intrusion Prevention System，以下简称IPS)等，对网络进行安全防护。其中，防火墙主要以串接方式部署在网络边界，工作在网络开放式系统互联参考模型(Open System Interconnect Reference Model，以下简称0SI)的 3 4层，即网络层与传输层，无法对应用层的数据流内容进行识别，因此无法对攻击流量进行阻断，来保护 VLAN中的设备。异常流量清洗设备，例如分布式拒绝服务攻击(Distributed Denial of Service Attacks,以下简称DDoQ设备，通过启用边界网关协议(Border Gateway Protocol,以下简称BGP)等路由牵引和回注技术，以单臂模式旁路部署在边界交换机处， 主要通过流量特征识别或者反向探测识别技术，来实现异常流量的过滤，但是，不对应用层的数据流进行检测，同样无法对攻击流量进行阻断，来保护VLAN中的设备。IDS以单臂模式旁路部署在边界交换机处，工作在网络OSI的2 7层，即数据链路层、网络层、传输层、会话层、表示层与应用层，实时对流经数据链路层上的数据流进行应用层的数据内容检测，发现攻击流量就进行报警，但不对攻击流量进行阻断，也无法保护 VLAN中的设备。IPS以串接方式部署在被保护对象的上行数据链路上，采用透传工作模式，对流经数据链路上的数据流进行应用层的数据内容检测、分析和防护，对攻击流量进行阻断，从而保护VLAN中的设备。在实现本发明的过程中，发明人发现，在交换架构的网络环境中，网络边界包括多个VLAN时，现有技术对网络进行安全防护的方法至少存在以下问题以串接方式将安全网关部署在网络前端时，所有进出网络的流量都会经过安全网关，增加了安全网关的开销；并且，进出网络的流量过大时可能导致安全网关拥堵瘫痪，或者由于安全网关出现端口、设备故障时，都增加了网络断点的风险；以单臂模式将安全网关旁路部署在边界交换机处时，通过交换机上的重定向功能，将网络中的数据流量全部重定向到安全网关连接的交换机端口，在确认符合安全策略的情况下，安全网关对数据流进行相应的转发处理。这种基于交换机重定向的部署方式存在如下问题交换机重定向会消耗交换机一定的访问控制列表(Access Control List，以下简称ACL)资源，并且，作为安全网关，原本只需要防护VLAN与外部网络之间的数据流量，但是，在这种情况下还对VLAN内的所有数据流量进行处理，对安全网关的处理性能产生了较大压力，存在着很大的网络断点风险；防火墙、异常流量清洗设备类安全网关类产品不适用于网络边界包括多个VLAN 时的二层网络环境；IDS只是对网络流量检测分析并对攻击流量进行告警，但不对攻击流量进行阻断，无法保护VLAN中的设备。

发明内容
本发明实施例所要解决的技术问题是提供一种基于虚拟局域网交换的入侵防御方法与系统，在网络边界包括多个VLAN时的二层网络环境中，实现应用层的数据内容检测和防护，以保障VLAN用户的安全性，并且减小系统开销，降低网络断点风险。为解决上述技术问题，本发明实施例提供的一种基于虚拟局域网交换的入侵防御方法，包括边界交换机接收由发送方主机发送给接收方主机的数据报文，所述数据报文的报文头中包括源互联网协议IP地址、源介质访问控制MAC地址、目的IP地址与目的MAC地址；所述边界交换机识别发送方主机与接收方主机是否属于同一个虚拟局域网VLAN， 以及发送方主机与接收方主机是否属于预先设定的保护VLAN ；若发送方主机与接收方主机属于同一个VLAN，所述边界交换机对所述数据报文进行转发处理；若发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN，所述边界交换机请求入侵防御系统IPS对所述数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理。本发明实施例提供的一种基于虚拟局域网交换的入侵防御系统，包括边界交换机与 IPS ；所述边界交换机，用于接收由发送方主机发送给接收方主机的数据报文，所述数据报文的报文头中包括源IP地址、源MAC地址、目的IP地址与目的MAC地址；并识别发送方主机与接收方主机是否属于同一个VLAN，以及发送方主机与接收方主机是否属于预先设定的保护VLAN ；若发送方主机与接收方主机属于同一个VLAN，对所述数据报文进行转发处理；若发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN，请求IPS对所述数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理；所述IPS，用于对所述数据报文进行应用层的数据内容安全防护处理。
基于本发明上述实施例提供的基于虚拟局域网交换的入侵防御方法与系统，边界交换机可以识别发送方主机与接收方主机是否属于同一个VLAN，以及发送方主机与接收方主机是否属于预先设定的保护VLAN，在发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN时，边界交换机请求IPS对该数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理， 与现有技术相比，可以在网络边界包括多个VLAN时的二层网络环境中，对攻击流量进行阻断，实现了对应用层的数据内容的检测和防护，弥补了防火墙设备的不足，为需要安全防护的用户或者服务器提供2 7层的全方位安全保障，有效保障了 VLAN用户的安全性；若发送方主机与接收方主机属于同一个VLAN，边界交换机对该数据报文进行转发处理，无需将该数据包转发给IPS进行应用层的数据内容检测、分析和防护，与现有技术相比，减少了系统开销，避免了进出网络的流量过大时可能导致边界交换机拥堵瘫痪，降低了由于交换机出现端口、设备故障时导致的网络断点的风险。下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。


为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本发明基于VLAN交换的入侵防御方法一个实施例的流程图；图2为本发明基于VLAN交换的入侵防御方法另一个实施例的流程图；图3为本发明基于VLAN交换的IPS —个实施例的结构示意图；图4为本发明基于VLAN交换的IPS另一个实施例的结构示意图；图5为本发明基于VLAN交换的入侵防御方法应用实施例的一个示意图；图6为本发明基于VLAN交换的入侵防御方法应用实施例的另一个示意图；图7为本发明基于VLAN交换的入侵防御方法应用实施例的又一个示意图；图8为本发明基于VLAN交换的入侵防御方法应用实施例的再一个示意图。
具体实施例方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。图1为本发明基于VLAN交换的入侵防御方法一个实施例的流程图。如图1所示， 该实施例基于VLAN交换的入侵防御方法包括以下流程步骤101，边界交换机接收由发送方主机发送给接收方主机的数据报文，该数据报文的报文头中包括源互联网协议(Internet Protocol，以下简称IP)地址、源介质访问控制(Media Access Control,以下简称MAC)地址、目的IP地址与目的MAC地址。步骤102，边界交换机识别发送方主机与接收方主机是否属于同一个VLAN，以及发送方主机与接收方主机是否属于预先设定的保护VLAN。步骤103，若发送方主机与接收方主机属于同一个VLAN，边界交换机对数据报文进行转发处理。具体地，边界交换机可以查询目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将数据报文转发给接收方主机。之后，不再执行本实施例的后续流程。步骤104，若发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN，边界交换机请求IPS对数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理。本发明上述实施例提供的基于虚拟局域网交换的入侵防御方法，边界交换机可以识别发送方主机与接收方主机是否属于同一个VLAN，以及发送方主机与接收方主机是否属于预先设定的保护VLAN，在发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN时，边界交换机请求IPS对该数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理，可以在网络边界包括多个VLAN时的二层网络环境中，对攻击流量进行阻断，实现了对应用层的数据内容的检测和防护，弥补了防火墙设备的不足，为需要安全防护的用户或者服务器提供2 7层的全方位安全保障，有效保障了 VLAN用户的安全性；若发送方主机与接收方主机属于同一个VLAN，边界交换机对该数据报文进行转发处理，无需将该数据包转发给IPS进行应用层的数据内容检测、分析和防护，减少了系统开销，避免了进出网络的流量过大时可能导致边界交换机拥堵瘫痪，降低了由于交换机出现端口、设备故障时导致的网络断点的风险。根据本发明的实施例，由于保护VLAN中的主机与外网VLAN分属不同VLAN，保护 VLAN中的主机访问外网设备的流量需要通过IPS进行应用层的数据内容安全防护处理，有效保证了保护VLAN与外网之间的数据流的安全。作为本发明的一个具体实施例，步骤102中，可以通过如下方式识别发送方主机与接收方主机是否属于同一个VLAN 确定发送方主机所属的第一 VLAN，以及接收方主机所属的第二 VLAN ；识别第一 VLAN与第二 VLAN是否相同；若第一 VLAN与第二 VLAN相同，确定发送方主机与接收方主机属于同一个VLAN ；否则，若第一 VLAN与第二 VLAN不同，确定发送方主机与接收方主机不属于同一个VLAN。具体地，本发明的实施例中的VLAN，可以是基于端口、MAC地址、协议或者子网划分的VLAN。在实施例中的VLAN是基于端口划分的VLAN时，边界交换机上某些端口连接的主机属于一个VLAN，而另一些端口连接的主机属于另一个VLAN，则可以根据预先设置的端口与VLAN之间的对应关系信息，来获取数据报文的报文头中源MAC地址对应的端口所属的 VLAN,即为发送方主机所属的第一 VLAN，以及获取数据报文的报文头中目的MAC地址对应的端口所属的VLAN，即为接收方主机所属的第二 VLAN。在实施例中的VLAN是基于MAC地址划分的VLAN时，根据连接在边界交换机上主机的MAC地址来划分VLAN，则可以根据预先设置的MAC地址与VLAN之间的对应关系信息， 来获取数据报文的报文头中源MAC地址所属的VLAN，即为发送方主机所属的第一 VLAN，以及获取数据报文的报文头中目的MAC地址所属的VLAN，即为接收方主机所属的第二 VLAN。在实施例中的VLAN是基于协议划分的VLAN时，根据网络主机所使用的网络协议来划分VLAN，则可以根据预先存储的IP地址与网络协议之间的对应关系信息，分别获取数据报文的报文头中源IP地址与目的IP地址对应的网络协议，并通过识别源IP地址与目的 IP地址对应的网络协议是否相同，来识别第一 VLAN与第二 VLAN是否相同。在实施例中的VLAN是基于子网划分的VLAN时，根据网络主机所用的IP地址所在的网络子网来划分VLAN，则可以根据预先设置的IP地址所在的网络子网与VLAN之间的对应关系信息，来获取数据报文的报文头中源IP地址所在的网络子网对应的VLAN，即为发送方主机所属的第一 VLAN，以及获取数据报文的报文头中目的IP地址所在的网络子网对应的VLAN，接收方主机所属的第二 VLAN。另外，作为本发明的另一个具体实施例，若发送方主机与接收方主机不属于同一个VLAN，边界交换机可以识别第一 VLAN或第二 VLAN是否属于预先设定的保护VLAN。相应的，图1所示实施例的步骤104可以通过如下方法实现若第一 VLAN属于预先设定的保护VLAN，边界交换机对数据报文封装第一 VLAN标签(tag)，并将封装得到的第一数据包转发给IPS，第一 VLAN tag中包括唯一标识第一 VLAN 的第一 VLAN标识(ID) ；IPS根据预先设置的安全防护策略对第一数据包进行应用层的数据内容检测；若第一数据包通过应用层的数据内容检测，IPS将第一数据包中的第一 VLAN tag变换为第二 VLAN tag,并将变换得到的第二数据包发送给边界交换机；边界交换机根据第二 VLAN tag与目的IP地址转发第二数据包；若第二 VLAN属于预先设定的保护VLAN，边界交换机对数据报文封装第一 VLAN tag,并将封装得到的第一数据包转发给IPS，第一 VLAN tag中包括唯一标识第一 VLAN的第
一VLAN ID ；IPS根据预先设置的安全防护策略对第一数据包进行应用层的数据内容检测； 若第一数据包通过应用层的数据内容检测，IPS将第一数据包中的第一 VLANtag变换为第
二VLAN tag，并将变换得到的第二数据包发送给边界交换机；边界交换机根据第二数据包中的目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将数据报文转发给接收方主机。进一步地，作为本发明的又一个具体实施例，若第一数据包未通过应用层的数据内容检测，IPS可以根据安全防护策略，丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包，将其中的第一 VLAN tag变换为第二 VLAN tag，并将变换得到的第二数据包发送给边界交换机；对于第一 VLAN属于预先设定的保护VLAN的数据包，边界交换机根据第二 VLAN tag与目的IP地址转发第二数据包，对于第二 VLAN属于预先设定的保护VLAN的数据包，边界交换机根据第二数据包中的目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将数据报文转发给接收方主机。在本发明上述各实施例基于VLAN交换的入侵防御方法中，若发送方主机与接收方主机不属于同一个VLAN，且发送方主机与接收方主机均不属于预先设定的保护VLAN，边界交换机可以根据第二 VLANtag与目的IP地址转发第二数据包。图2为本发明基于VLAN交换的入侵防御方法另一个实施例的流程图。如图2所示，该实施例基于VLAN交换的入侵防御方法包括以下流程步骤201，边界交换机接收由发送方主机发送给接收方主机的数据报文，该数据报文的报文头中包括源IP地址、源MAC地址、目的IP地址与目的MAC地址。
步骤202，边界交换机确定发送方主机所属的第一 VLAN，以及接收方主机所属的第二 VLAN。步骤203，边界交换机识别第一 VLAN与第二 VLAN是否相同，若第一 VLAN与第二 VLAN相同，确定发送方主机与接收方主机属于同一个VLAN，执行步骤204。否则，若第一 VLAN与第二 VLAN不同，确定发送方主机与接收方主机不属于同一个VLAN，执行步骤205。步骤204，边界交换机查询目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将数据报文转发给接收方主机。之后，不再执行本实施例的后续流程。步骤205，边界交换机根据预先设置的保护VLAN信息，识别第一 VLAN或第二 VLAN 是否属于预先设定的保护VLAN，若第一 VLAN属于预先设定的保护VLAN，执行步骤206。若第二 VLAN属于预先设定的保护VLAN，执行步骤211。否则，若第一 VLAN与第二 VLAN均不属于预先设定的保护VLAN，执行步骤216。步骤206，边界交换机对数据报文封装第一 VLAN tag，并将封装得到的第一数据包转发给IPS，其中的第一 VLAN tag中包括第一 VLAN ID。步骤207，IPS根据预先设置的安全防护策略，对第一数据包进行应用层的数据内容检测。若第一数据包通过应用层的数据内容检测，执行步骤208。否则，若第一数据包未通过应用层的数据内容检测，执行步骤210。具体地，安全防护策略可以根据实际需求建立，并可以随时更新，例如，可以是 检查到带有蠕虫、后门、木马等攻击包的数据包直接丢弃；接收到DDOS攻击的数据包时直接丢弃；对带有协议异常的数据包、带邮件病毒、文件病毒、宏病毒等的数据流量可创建灵活的策略来采取一系列动作，例如，相应的修正协议、删除邮件病毒、文件病毒、宏病毒等； 如果被保护对象是域名服务器(Domain Name Server，以下简称DNS)、动态主机配置协议 (Dynamic host configuration protocol，以下简称DHCP)服务器、万维网(WEB)服务器或者邮件服务器等一些关键网元，可创建一些针对性的安全策略，例如拒绝访问、限制访问等，以有效保护服务器与内网用户安全访问互联网。步骤208，IPS将第一数据包中的第一 VLAN tag变换为第二 VLAN tag，并将变换得到的第二数据包发送给边界交换机。步骤209，边界交换机根据第二 VLAN tag与目的IP地址转发第二数据包。之后， 不再执行本实施例的后续流程。步骤210，IPS根据安全防护策略，丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包，执行步骤208 步骤209。步骤211，边界交换机对数据报文封装第一 VLAN tag，并将封装得到的第一数据包转发给IPS，其中的第一 VLAN tag中包括第一 VLAN ID。步骤212，IPS根据预先设置的安全防护策略对第一数据包进行应用层的数据内容检测。若第一数据包通过应用层的数据内容检测，执行步骤213。否则，若第一数据包未通过应用层的数据内容检测，执行步骤215。步骤213，IPS将第一数据包中的第一 VLAN tag变换为第二 VLAN tag，并将变换得到的第二数据包发送给边界交换机。步骤214，边界交换机根据第二数据包中的目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将数据报文转发给接收方主机。之后，不再执行本实施例的后续流程。步骤215，IPS根据安全防护策略，丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包，执行步骤213 步骤214。步骤216，边界交换机根据第二 VLAN tag与目的IP地址转发第二数据包。具体地，边界交换机可以识别第二 VLAN是否该边界交换机负责的VLAN，若第二 VLAN是该边界交换机负责的VLAN，则通过第二 VLAN所在的网关，将数据报文转发给接收方主机；否则，若第二 VLAN不是该边界交换机负责的VLAN，边界交换将数据报文通过第二 VLAN所在的网关，由第二VLAN所在的网关根据数据报文中的目的IP地址转发该数据报文。
图3为本发明基于VLAN交换的IPS —个实施例的结构示意图。该实施例基于VLAN 交换的IPS可用于实现本发明上述各基于VLAN交换的入侵防御方法实施例的流程。如图 3所示，其包括边界交换机1与IPS2。其中，边界交换机1用于接收由发送方主机发送给接收方主机的数据报文，该数据报文的报文头中包括源IP地址、源MAC地址、目的IP地址与目的MAC地址；并识别发送方主机与接收方主机是否属于同一个VLAN，以及发送方主机与接收方主机是否属于预先设定的保护VLAN。若发送方主机与接收方主机属于同一个VLAN，对数据报文进行转发处理。 若发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN，请求IPS对数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理。其中的发送方主机、接收方主机既可以是内网主机，也可以是外网主机。IPS2用于对边界交换机1发送的数据报文进行应用层的数据内容安全防护处理。本发明上述实施例提供的基于虚拟局域网交换的IPS，边界交换机可以识别发送方主机与接收方主机是否属于同一个VLAN，以及发送方主机与接收方主机是否属于预先设定的保护VLAN，在发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN时，边界交换机请求IPS对该数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理，可以在网络边界包括多个VLAN时的二层网络环境中，对攻击流量进行阻断，实现了对应用层的数据内容的检测和防护，弥补了防火墙设备的不足，为需要安全防护的用户或者服务器提供2 7层的全方位安全保障，有效保障了 VLAN用户的安全性；若发送方主机与接收方主机属于同一个VLAN， 边界交换机对该数据报文进行转发处理，无需将该数据包转发给IPS进行应用层的数据内容检测、分析和防护，减少了系统开销，避免了进出网络的流量过大时可能导致边界交换机拥堵瘫痪，降低了由于交换机出现端口、设备故障时导致的网络断点的风险。图4为本发明基于VLAN交换的IPS另一个实施例的结构示意图。与图3所示的实施例相比，该实施例中，边界交换机1包括接收单元301、第一识别单元302、第二识别单元303与发送处理单元，IPS2包括内容检测单元401与变换单元402。其中，接收单元301用于接收由发送方主机发送给接收方主机的数据报文。第一识别单元302用于确定数据报文的发送方主机所属的第一 VLAN，以及接收方主机所属的第二 VLAN，并识别第一 VLAN与第二 VLAN是否相同；若第一 VLAN与第二 VLAN相CN 102571738 A
同，确定发送方主机与接收方主机属于同一个VLAN ；若第一 VLAN与第二 VLAN不同，确定发送方主机与接收方主机不属于同一个VLAN。第二识别单元303用于识别第一识别单元302确定的第一 VLAN或第二 VLAN是否属于预先设定的保护VLAN。发送处理单元304用于根据第一识别单元302的识别结果，在第一 VLAN与第二 VLAN属于同一个VLAN时，对数据报文进行转发处理；在第一 VLAN与第二 VLAN不属于同一个VLAN时，根据第二识别单元303的识别结果，若第一 VLAN属于预先设定的保护VLAN，对数据报文封装第一 VLAN tag，并将封装得到的第一数据包转发给IPS2中的内容检测单元 401，第一 VLAN tag中包括唯一标识第一 VLAN的第一 VLAN ID,以及接收IPS2对第一数据包进行应用层的数据内容安全防护处理后由变换单元402返回的第二数据包，根据第二数据包中的第二 VLAN tag与目的IP地址转发第二数据包；若第二 VLAN属于预先设定的保护 VLAN，对数据报文封装第一 VLAN tag，并将封装得到的第一数据包转发给IPS2中的内容检测单元401，第一 VLAN tag中包括第一 VLAN ID,以及接收IPS2对第一数据包进行应用层的数据内容安全防护处理后由变换单元402返回的第二数据包，根据第二数据包中的目的 MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将数据报文转发给接收方主机。内容检测单元401用于根据预先设置的安全防护策略，对发送处理单元304发送的第一数据包与第二数据包进行应用层的数据内容检测。变换单元402用于根据内容检测单元401的检测结果，在第一数据包通过应用层的数据内容检测时，将第一数据包中的第一 VLAN tag变换为第二 VLAN tag，并将变换得到的第二数据包发送给发送处理单元304。与图2所示方法实施例相应，作为本发明基于VLAN交换的IPS的又一个实施例， 图4所示基于VLAN交换的IPS实施例中，内容检测单元401还用于在第一数据包未通过应用层的数据内容检测时，根据安全防护策略，丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包发送给变换单元304以进行相应的转发处理。进一步地，与图2所示方法实施例相应，作为本发明基于VLAN交换的IPS的再一个实施例，发送处理单元304还用于根据第一识别单元302的识别结果，在第一 VLAN与第二 VLAN不属于同一个VLAN时，根据第二识别单元303的识别结果，若第一 VLAN与第二 VLAN 均不属于预先设定的保护VLAN，根据第二 VLAN tag与目的IP地址转发第二数据包。以下以图5 图8所示的一个基于VLAN交换的入侵防御方法应用实施例为例，对本发明实施例基于VLAN交换的入侵防御方法与系统进行进一步说明。图5为本发明基于 VLAN交换的入侵防御方法应用实施例的一个示意图。参见图5，假设客户端A的属于VALN ID为100的VALN，以下称为VLAN 100，服务器B与客户端C属于VALNID为200的VALN 200， 服务器D属于VALN ID为300的VALN300，VLAN 100与VLAN 300的网关在核心交换机上， VALN 200为预先设定的保护VLAN，VLAN 200的网关在IPS上。如图5所示，对于客户端C访问服务器B，即同一 VLAN内用户互相访问的数据报文，根据本发明实施例基于VLAN交换的入侵防御方法，与现有技术相同，直接通过边界交换机转发数据，即同一 VLAN内的用户数据流，不需要通过IPS转发，直接在同一个边界交
12换机上转发。具体地，边界交换机查询数据报文的目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将数据报文转发给对端。对于客户端A访问服务器D的数据报文，根据本发明实施例基于VLAN交换的入侵防御方法，与现有技术相同，由边界交换机根据服务器D的VLAN 300与IP地址，将数据包转发到核心交换机，通过核心交换机转发给服务器D。对于客户端A访问外网的数据报文，根据本发明实施例基于VLAN交换的入侵防御方法，与现有技术相同，由边界交换机根据客户端A的VLAN taglOO，将数据包转发到核心交换机，通过核心交换机根据目的IP地址转发数据报文。图6为本发明基于VLAN交换的入侵防御方法应用实施例的另一个示意图。如图 6所示，对于服务器B或客户端C访问外网的数据报文，假设要访问的外网为VALN2000，根据本发明实施例基于VLAN交换的入侵防御方法，边界交换机对数据报文封装VLAN 200的 VLANtag，并将封装得到的第一数据包转发给IPS。IPS根据预先设置的安全防护策略，对第一数据包进行应用层的数据内容检测。若检测异常，IPS根据安全防护策略丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包。若第一数据包通过应用层的数据内容检测， IPS将第一数据包中的VLAN 200变换为VLAN 2000，并将变换得到的第二数据包发送给边界交换机。边界交换机收到带有VLAN 2000tag的第二数据包，就将其转发到核心交换机， 核心交换机再根据第二数据包中的目的IP地址，将第二数据包路由转发到相应的外网网段。图7为本发明基于VLAN交换的入侵防御方法应用实施例的又一个示意图。如图 7所示，如果客户端A要与服务器B通信，客户端A会发起对服务器B的访问，因为客户端A 与服务器B不在同一网段，所以客户端A访问服务器B的数据报文需要通过VLAN 100的网关转发，根据本发明实施例基于VLAN交换的入侵防御方法，客户端A发起的数据报文到达边界交换机，边界交换机对该数据报文封装VLAN100的VLAN tag后得到第一数据包并转发给VLAN 100的网关，S卩核心交换机。核心交换机接收到该第一数据包后，获知其中的目的 IP地址为服务器B的IP地址，服务器B属于VLAN 200，将第一数据包转发给边界交换机， 边界交换机获知VLAN 200属于保护VLAN便将第一数据包转发给IPS。IPS根据预先设置的安全防护策略对第一数据包进行应用层的数据内容检测。若检测异常，IPS根据安全防护策略丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包。若第一数据包通过应用层的数据内容检测，IPS将第一数据包中的VLAN 100变换为VLAN 200，并将变换得到的第二数据包发送给边界交换机。边界交换机根据第二数据包中的目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将数据报文转发给服务器B。反之，服务器B返回的数据报文，通过上述数据报文流向的反向流向到达客户端A。图8为本发明基于VLAN交换的入侵防御方法应用实施例的再一个示意图。参见图 8，对于其它边界交换机上有VLAN 200内的客户端E要与本边界交换机上VLAN 100内用户通信的数据报文，通过核心交换机来进行数据报文转发，该数据报文不需要通过IPS处理。对于客户端E访问服务器B的数据报文，核心交换机直接将该数据报文转发到边界交换机，边界交换机对该数据报文封装VLAN 100的VLAN tag后得到第一数据包并转发给VLAN 100的网关，S卩核心交换机。核心交换机接收到该第一数据包后，获知其中的目的 IP地址为服务器B的IP地址，服务器B属于VLAN 200，将第一数据包转发给边界交换机， 边界交换机获知VLAN 200属于保护VLAN，便将第一数据包转发给IPS。IPS根据预先设置的安全防护策略对第一数据包进行应用层的数据内容检测。若检测异常，IPS根据安全防护策略丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包。若第一数据包通过应用层的数据内容检测，IPS将第一数据包中的VLAN 100变换为VLAN 200，并将变换得到的第二数据包发送给边界交换机。边界交换机根据第二数据包中的目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将数据报文转发给服务器B。该实施例中，其它边界交换机与边界交换机的功能相当于本发明基于VLAN交换的IPS中的边界交换机功能。本说明书中各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似的部分相互参见即可。对于系统实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。本发明实施例中IPS与边界交换机采用旁路部署，实现了仅针对保护VLAN中用户访问外网的流量进行安全检查，而不影响保护VLAN内的用户之间的通信，避免了不需要保护的普通VLAN用户流量对IPS造成的冲击，解决了传统交换架构下单臂部署IPS带来的消耗边界交换机ACL以及对IPS性能要求高的问题，简化了边界交换机的配置，降低了 IPS部署时的复杂度，为企事业单位提高了网络安全，同时也可应用于互联网数据中心anternet Data Center，以下简称IDC)接入层或汇聚层对特定用户和服务器起到很好的安全保护， 而对普通用户不会有任何影响。本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
权利要求
1.一种基于虚拟局域网交换的入侵防御方法，其特征在于，包括边界交换机接收由发送方主机发送给接收方主机的数据报文，所述数据报文的报文头中包括源互联网协议IP地址、源介质访问控制MAC地址、目的IP地址与目的MAC地址；所述边界交换机识别发送方主机与接收方主机是否属于同一个虚拟局域网VLAN，以及发送方主机与接收方主机是否属于预先设定的保护VLAN ；若发送方主机与接收方主机属于同一个VLAN，所述边界交换机对所述数据报文进行转发处理；若发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN，所述边界交换机请求入侵防御系统IPS对所述数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理。
2.根据权利要求1所述的方法，其特征在于，所述识别发送方主机与接收方主机是否属于同一个VLAN包括所述边界交换机确定发送方主机所属的第一 VLAN，以及接收方主机所属的第二 VLAN ；所述边界交换机识别第一 VLAN与第二 VLAN是否相同；若第一 VLAN与第二 VLAN相同，确定发送方主机与接收方主机属于同一个VLAN ；若第一VLAN与第二 VLAN不同，确定发送方主机与接收方主机不属于同一个VLAN。
3.根据权利要求2所述的方法，其特征在于，所述边界交换机对所述数据报文进行转发处理包括所述边界交换机查询所述目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将所述数据报文转发给接收方主机。
4.根据权利要求3所述的方法，其特征在于，还包括若发送方主机与接收方主机不属于同一个VLAN，所述边界交换机识别第一 VLAN或第二VLAN是否属于预先设定的保护VLAN ；所述边界交换机请求IPS对所述数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理包括若第一 VLAN属于预先设定的保护VLAN，所述边界交换机对所述数据报文封装第一 VLAN标签tag，并将封装得到的第一数据包转发给IPS，所述第一 VLAN tag中包括唯一标识所述第一 VLAN的第一 VLAN标识ID ；所述IPS根据预先设置的安全防护策略对所述第一数据包进行应用层的数据内容检测；若所述第一数据包通过应用层的数据内容检测，所述 IPS将所述第一数据包中的第一 VLAN tag变换为第二 VLAN tag，并将变换得到的第二数据包发送给所述边界交换机；所述边界交换机根据所述第二 VLAN tag与所述目的IP地址转发所述第二数据包；若第二 VLAN属于预先设定的保护VLAN，所述边界交换机对所述数据报文封装第一 VLAN tag，并将封装得到的第一数据包转发给IPS，所述第一 VLAN tag中包括第一 VLAN ID； 所述IPS根据预先设置的安全防护策略对所述第一数据包进行应用层的数据内容检测；若所述第一数据包通过应用层的数据内容检测，所述IPS将所述第一数据包中的第一 VLAN tag变换为第二 VLAN tag,并将变换得到的第二数据包发送给所述边界交换机；所述边界交换机根据第二数据包中的目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将所述数据报文转发给接收方主机。
5.根据权利要求4所述的方法，其特征在于，还包括若第一数据包未通过应用层的数据内容检测，所述IPS根据所述安全防护策略，丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包，执行所述IPS将所述第一数据包中的第一 VLANtag变换为第二 VLAN tag的操作。
6.根据权利要求2至5任意一项所述的方法，其特征在于，还包括若发送方主机与接收方主机不属于同一个VLAN，且发送方主机与接收方主机均不属于预先设定的保护VLAN，所述边界交换机根据所述第二 VLAN tag与所述目的IP地址转发所述第二数据包。
7.一种基于虚拟局域网交换的入侵防御系统，其特征在于，包括边界交换机与IPS ；所述边界交换机，用于接收由发送方主机发送给接收方主机的数据报文，所述数据报文的报文头中包括源IP地址、源MAC地址、目的IP地址与目的MAC地址；并识别发送方主机与接收方主机是否属于同一个VLAN，以及发送方主机与接收方主机是否属于预先设定的保护VLAN ；若发送方主机与接收方主机属于同一个VLAN，对所述数据报文进行转发处理; 若发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN，请求IPS对所述数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理；所述IPS，用于对所述数据报文进行应用层的数据内容安全防护处理。
8.根据权利要求7所述的系统，其特征在于，所述边界交换机包括接收单元，用于接收数据报文；第一识别单元，用于确定发送方主机所属的第一 VLAN，以及接收方主机所属的第二 VLAN,并识别第一 VLAN与第二 VLAN是否相同；若第一 VLAN与第二 VLAN相同，确定发送方主机与接收方主机属于同一个VLAN ；若第一 VLAN与第VLAN不同，确定发送方主机与接收方主机不属于同一个VLAN;第二识别单元，用于识别第一 VLAN或第二 VLAN是否属于预先设定的保护VLAN ；发送处理单元，用于根据第一识别单元的识别结果，在发送方主机与接收方主机属于同一个VLAN时，对所述数据报文进行转发处理；在第一 VLAN与第二 VLAN不属于同一个 VLAN时，根据第二识别单元的识别结果，若第一 VLAN属于预先设定的保护VLAN，对所述数据报文封装第一 VLAN tag，并将封装得到的第一数据包转发给IPS，所述第一 VLAN tag中包括唯一标识所述第一 VLAN的第一 VLANID，以及接收所述IPS对所述第一数据包进行应用层的数据内容安全防护处理后返回的第二数据包，根据所述第二数据包中的第二 VLAN tag 与所述目的IP地址转发所述第二数据包；若第二 VLAN属于预先设定的保护VLAN，对所述数据报文封装第一 VLAN tag，并将封装得到的第一数据包转发给IPS，所述第一 VLAN tag 中包括第一 VLAN ID,以及接收所述IPS对所述第一数据包进行应用层的数据内容安全防护处理后返回的第二数据包，根据第二数据包中的目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将所述数据报文转发给接收方主机；所述IPS包括内容检测单元，用于根据预先设置的安全防护策略，对所述发送处理单元发送的第一数据包与所述第二数据包进行应用层的数据内容检测；变换单元，用于根据所述内容检测单元的检测结果，在所述第一数据包通过应用层的数据内容检测时，将所述第一数据包中的第一 VLANtag变换为第二 VLAN tag,并将变换得到的第二数据包发送给所述发送处理单元。
9.根据权利要求8所述的系统，其特征在于，所述内容检测单元还用于在第一数据包未通过应用层的数据内容检测时，根据所述安全防护策略，丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包发送给所述变换单元。
10.根据权利要求8或9所述的系统，其特征在于，所述发送处理单元还用于根据第一识别单元的识别结果，在第一 VLAN与第二 VLAN不属于同一个VLAN时，根据第二识别单元的识别结果，若第一 VLAN与第二 VLAN均不属于预先设定的保护VLAN，根据所述第二 VLAN tag与所述目的IP地址转发所述第二数据包。
全文摘要
本发明实施例公开了一种基于虚拟局域网交换的入侵防御方法与系统，其中，方法包括边界交换机接收数据报文；识别发送方主机与接收方主机是否属于同一个VLAN以及是否属于预先设定的保护VLAN；若发送方主机与接收方主机属于同一个VLAN，对数据报文进行转发处理；若发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN，请求IPS对数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理。本发明实施例可以在网络边界包括多个VLAN时的二层网络环境中，实现应用层的数据内容检测和防护，以保障VLAN用户的安全性，并且减小系统开销，降低网络断点风险。
文档编号H04L12/56GK102571738SQ201110052028
公开日2012年7月11日 申请日期2011年3月4日 优先权日2010年12月8日
发明者孙培良, 张连营 申请人:中国电信股份有限公司