專利名稱:網絡安全設備多工作模式自適應的方法
技術領域:
本發明涉及一種網絡安全設備多工作模式自適應的方法,特別涉及網絡安全網關設備(如防火墻,虛擬個人網絡(Virtual Private Network,簡稱VPN))的多工作模式自動適應的方法,屬于網絡安全技術領域。
背景技術:
按照開放式系統互聯參考模型(Open System Interconnect ReferenceModel,簡稱OSI)協議體系分層技術,網橋是典型的鏈路層工作設備,它的一個很重要的功能就是為它所連接的不同物理子網提供鏈路連接,IEEE(電氣和電子工程師學會,Institute for Electrical and ElectronicEngineers)802.1d提供了一種基于STP(Spanning Tree Protocol,生成樹協議)的鏈路轉發與狀態維護方法。路由模式相當于工作在網絡層,在該模式下,數據的轉發在網絡層匹配路由表,完成路由的選擇和中繼。
網際傳輸控制協議(Transfer Control Protocol/Internet Protocol,簡稱TCP/IP協議)是一個分組交換通信協議,應用層的消息將被分組后被層層加上傳輸層包頭、網絡層包頭和鏈路層包頭,鏈路層包頭的內容包括該幀的源MAC(Media Access Control,即硬件接入點)地址與目的MAC地址,當某一TCP/IP主機試圖向其它主機發出一個數據包之前,將首先在本機的地址解析協議(Address Resolution Protocol,簡稱ARP)緩存里查詢目的網際協議(Internet Protocol,簡稱IP)對應的MAC地址,這樣才可以構造一個完整的鏈路數據幀、進而將該幀發出。如果本機的ARP緩存里沒有目的IP對應的表項時,則該主機需要發出一個ARP的廣播請求包,用以探詢該目的主機對應的MAC地址。如果源與目的在一個網段的話,則ARP請求將很快得到回應,這樣該主機發出的數據幀里才能加入目的地址的硬件地址;如果源與目的不在同一個網段時,ARP請求將難以得到回復。這樣會導致訪問的發起方找不到目的IP的MAC地址。這時,就需要我們在訪問的發起方主機上設置合適的網關地址,一旦出現目的IP網絡與源IP網絡不在一個子網內時,ARP將直接解析得到該網關的MAC地址、并記入緩存。
以上的情況也就是網橋模式網關與路由模式網關的區別所在,網橋模式網關的兩段所連接的一般是同一子網的兩個物理網段;路由模式的兩端一般接的是不同子網的兩個網段。在如上的ARP解析的工作過程中,前者能夠直接得到目的IP對應的MAC地址,而后者則只能得到網關的MAC地址;也就是說在前一情況下,數據幀可以直接通過網橋發給目的IP,后者的數據幀則只能發給路由網關,然后由路由網關完成后續的轉發工作。
傳統的包過濾技術一般工作于網絡層,網絡層的包過濾技術有兩個局限第一,由于網絡層只處理不同網段間的轉發,所以源地址和目的地址位于同一網段的IP報文將不會被轉發;第二,當防火墻加入在被保護網絡和路由器之間時,被防火墻保護的網絡內的主機應該將原來指向路由器的網關設置修改成指向防火墻的設置;同時,被保護網絡原來的路由器應該修改其路由表,以便轉發防火墻的IP報文。當用戶的網絡非常復雜時,這就給防火墻用戶帶來了設置上的麻煩。
參見圖1,其為防火墻作為網橋使用時的流程圖。
如圖所示,當端口接受到數據包,首先判斷端口狀態是否可用,此端口狀態由stp生成樹算法決定,如果端口狀態不可用,則丟棄;如果端口狀態可用,則將數據包進行過濾規則匹配,即解析出該包里所含的IP地址、協議類型、端口號等等,匹配用戶自定義的規則,若匹配結果不合法,則將數據包丟棄;若匹配結果合法,則繼續在轉發數據庫中查找數據幀的目的地址,若找到該目的地址,則根據路由信息將該數據幀從給定端口轉發出去;若沒找到該目的地址,則將該數據幀從各端口轉發出去;轉發出去后,若找到目的地址,則記入轉發數據庫;若沒有找到目的地址則將此數據包丟棄。
當用戶把本網關作為一個網橋來使用時,網關的不同接口所接的網段屬于同一子網,這樣這些網絡上的主機發出的ARP報文能夠正常解析出目的IP的MAC地址,這樣,這些主機發出的報文在穿過防火墻時,就可以在經過防火墻的安全檢查后、直接匹配轉發數據庫、從而轉發出去。
工作于鏈路層的包過濾技術正好可以彌補網絡層包過濾的不足。網橋模式下,對于每個經過規則匹配的幀將直接根據該幀的MAC地址匹配轉發數據庫,從合適的端口轉發過去。由于該轉發過程與IP地址無關(由MAC地址決定),與之相連客戶機的TCP/IP設置可以不作任何改動,所以也被稱之為透明模式。用該模式可以連接物理上分為兩個子網,但IP地址仍然屬于同一子網的網絡。
通常情況下,一個網關只能工作于一個狀態,如果是網橋狀態的話,它只能根據MAC地址完成包轉發,而源與目的IP處于不同子網時,由于不能直接得到目的的MAC地址,所以網橋不能處理不同子網間的轉發;而如果一個網關工作于路由狀態的話,它就只能在網絡層根據源IP與目的IP的地址、匹配路由表、最后確定轉發方向。一旦源與目的處于同一個子網的話,路由表匹配的結果將認為該幀必須回去,這樣也無法完成轉發,這就是網橋轉發與路由轉發不能兼容的原因。
所以許多廠家的防火墻一般是同時保留了網橋模式和路由模式,但在使用時需要由用戶選擇工作模式并予以切換,而且兩種方式并不兼容,這在使用中是很不方便的。
發明內容
本發明的主要目的是針對現有技術之不足而提出一種網關設備多工作模式自適應的方法,突破路由與網橋模式的局限,可以任意地處理網橋數據轉發與路由數據轉發,使網御防火墻可以隨時接入多個同網段子網之間(網橋)和不同網段子網之間(路由),而不需要任何切換。
本發明的目的是這樣實現的一種網絡安全設備多工作模式自適應的方法,網絡安全設備對接收數據幀的目的地址自動分析,并根據該分析的結果對該數據幀進行進一步的處理。
該方法的具體實現步驟至少包括步驟1網絡安全設備通過其端口接收到數據幀后,判斷該端口的狀態是否可用;如果不可用則丟棄該數據幀;步驟2判斷該數據幀的目的MAC地址是否指向本機;如果不是,則進行網橋數據處理;步驟3將該數據幀的鏈路幀頭信息去除后上傳到IP層;步驟4判斷該數據幀的IP層目的地址是否指向本機,如果是,則將該數據幀發送到本機協議棧高層進行處理;步驟5進行安全規則匹配;步驟6如果該數據幀為非法數據,則丟棄該數據;步驟7如果該數據幀被偽裝,則將該數據幀的源地址換為用戶指定的其他IP地址,然后再轉發;步驟8匹配路由表,然后將數據幀轉發出去。
上述的方法利用STP算法判斷該端口的狀態是否可用。
上述的網絡安全設備至少為防火墻或VPN,該網絡安全設備接在多個同網段子網之間或不同網段子網之間。
本發明是在網橋的轉發處理過程中實現了防火墻功能,同時仍然保持了IEEE802.1d生成樹網橋的轉發功能與IP層的路由轉發功能,它在使用時,用戶不需要知道本發明具體工作于什么狀態,只要用戶認為它工作于網橋模式,則按照該模式的特點配置后,本發明就能作為一個網橋模式的安全網關工作;如果用戶認為它工作于路由模式,本發明就能作為一個網橋模式的安全網關工作;同時,本發明的任意端口都可以混合的工作于這兩種模式之間,不需要任何設置、也沒有任何限制,這將能使本發明更方便地應用于各種復雜的網絡環境。
圖1為現有技術中網絡安全設備接收和轉發數據幀時的流程圖;圖2為本發明的流程圖。
具體實施例方式
以下結合附圖和具體的實施例對本發明作進一步的詳細說明本發明以IEEE 802.1d以太網橋為基礎,IEEE 802.X的網絡互聯實體(中繼實體)被指定為網橋,網橋的設計實現了局域網的互聯,它們在決定如何轉發局域網間的數據時使用的是目標MAC地址。網橋沒有通常的網絡層,通常由網絡層負擔的路由搜索與包轉發功能則放在了數據鏈路層。本發明的防火墻在工作時所有的以太網口被綁定為一個虛擬的網橋設備,以太端網口被設置為混雜模式。綁定到一個虛擬的網橋設備在此處指的是將物理上的網卡通過軟件的方式、加入到一個軟件網橋上去,使之成為一個網橋的一個端口,該過程完全基于802.1d協議。混雜模式也是通過軟件實現的形式,將網卡的處理芯片的一個控制位置位,以使該網卡可以接收所有的數據包。該端口相連的局域網上的所有數據均將被接收、進而被進一步處理。
用網橋方式實現的防火墻對接收到的數據包的處理有賴于兩個條件網橋所維護的轉發數據庫(或可稱之為網橋的路由信息庫)和網橋的每個物理端口(即網口)的可用狀態。
網橋的轉發數據庫的形成和維護是一個動態的學習與記錄過程;當某一以太網幀初次被轉發時網橋會嘗試將其通過其所有的物理端口向外轉發,若通過某一端口轉發出去后能正常達到其目標主機,則該次轉發的路由信息(包括目的MAC地址、轉發所用的端口)將會被記入轉發數據庫。802.1d網橋利用stp生成樹算法,會與其它的網橋設備會互發BPDU(橋協議數據單元,Bridge Protocol Data Unit)包來維護整個通過網橋互聯的鏈路拓撲,不會造成網絡的回路。
進入網橋的數據包在轉發時,防火墻會將它的目標MAC地址與網橋的轉發數據庫中的MAC地址進行匹配,如果數據庫已經記錄了該MAC地址的對應端口,并且該端口處于轉發狀態,則該數據包就可以由該端口轉發出去,這個過程完全在鏈路層實現。本發明在這個過程中添加了防火墻的接口和鏈路層網橋與IP層路由之間的通訊接口。
防火墻接口用于完成鏈路幀的安全檢查,也就是說,當網橋的工作狀態正常、鏈路幀的MAC地址包含在轉發數據庫時,該幀就將被接收規則檢查,不合法的被丟棄,合法的進行下一步處理。用戶可以自定義針對于IP地址、端口、協議類型的安全策略,當一個數據包在將被轉發時,將直接在鏈路層檢查每個數據包所包含的IP報文的有關(IP地址、端口、協議等)信息。
當用戶將網絡安全設備作為一個路由網關使用時,情況就不一樣了,如前所述,這時用戶的主機的網關應該是指向網關(即本網絡安全設備),它的ARP解析的結果,得到的是安全網關的MAC地址,這樣,本網關就不再將該包向外轉發,而是接收它、調用本網關的網橋設備與IP層的通訊接口,在本網關仍然處于網橋狀態的同時,去掉該幀的鏈路幀頭,傳遞給IP層,IP層接收到該數據包后,也會繼續對它解析安全規則檢查,不合法即丟棄,合法的話繼續檢查它的目的地址是不是本機,如果不是的話,接著匹配路由表,從路由表里找到其轉發方向,然后再按如前過程調用ARP協議得到它的MAC地址、再構成一個完整的鏈路幀、最后將報文轉發出去。也就是說本發明的網關作為路由網關使用是在網橋基礎上的路由服務。
參見圖2,當端口接受到數據包,首先判斷端口狀態是否可用,此端口狀態由stp生成樹算法決定,如果端口狀態不可用,則丟棄;如果端口狀態可用,則檢查目的MAC地址是否為本機,如果是,則通過網橋處理數據;如果不是,則去掉該數據幀的鏈路幀頭,傳遞給IP層,IP層接收到該數據包后,首先檢查它的目的地址是不是本機地址,如果是的話,則將該幀發往本機協議高層堆棧;如果不是的話,則會繼續對它進行解析安全規則檢查,不合法即丟棄,合法的話繼續匹配路由表,從路由表里找到其轉發方向,將其轉發出去。
本發明是在網橋的轉發處理過程中實現了防火墻功能,同時仍然保持了802.1d生成樹網橋的轉發功能與IP層的路由轉發功能,它在使用時,用戶不需要知道本發明具體工作于什么狀態,只要用戶認為它工作于網橋模式,則按照該模式的特點配置后,本發明就能作為一個網橋模式的安全網關工作;如果用戶認為它工作于路由模式,本發明就能作為一個網橋模式的安全網關工作;同時,本發明的任意端口都可以混合的工作于這兩種模式之間,不需要任何設置、也沒有任何限制,這將能使本發明更方便地應用于各種復雜的網絡環境。
最后應說明的是以上實施例僅用以說明本發明而并非限制本發明所描述的技術方案;因此,盡管本說明書參照上述的各個實施例對本發明已進行了詳細的說明,但是,本領域的普通技術人員應當理解,仍然可以對本發明進行修改或者等同替換;而一切不脫離本發明的精神和范圍的技術方案及其改進,其均應涵蓋在本發明的權利要求范圍當中。
權利要求
1.一種網絡安全設備多工作模式自適應的方法,其特征在于該網絡安全設備對接收數據幀的目的地址自動分析,并根據該分析的結果對該數據幀進行進一步的處理。
2.根據權利要求1所述的網絡安全設備多工作模式自適應的方法,其特征在于該方法的具體實現步驟至少包括步驟1網絡安全設備通過其端口接收到數據幀后,判斷該端口的狀態是否可用;如果不可用則丟棄該數據幀;步驟2判斷該數據幀的目的MAC地址是否指向本機;如果不是,則進行網橋數據處理;步驟3將該數據幀的鏈路幀頭信息去除后上傳到IP層;步驟4判斷該數據幀的IP層目的地址是否指向本機,如果是,則將該數據幀發送到本機協議棧高層進行處理;步驟5進行安全規則匹配;步驟6如果該數據幀為非法數據,則丟棄該數據;步驟7如果該數據幀被偽裝,則將該數據幀的源地址換為用戶指定的其他IP地址,然后再轉發;步驟8匹配路由表,然后將數據幀轉發出去。
3.根據權利要求2所述的網絡安全設備多工作模式自適應的方法其特征在于該方法利用STP算法判斷該端口的狀態是否可用。
4.根據權利要求1或2所述的網絡安全設備多工作模式自適應的方法其特征在于所述的網絡安全設備至少為防火墻或VPN,該網絡安全設備接在多個同網段子網之間或不同網段子網之間。
全文摘要
一種網絡安全設備多工作模式自適應的方法,該網絡安全設備對接收數據幀的目的地址自動分析,并根據該分析的結果對該數據幀進行進一步的處理。本發明是在網橋的轉發處理過程中實現了防火墻功能,同時仍然保持了IEEE802.1d生成樹網橋的轉發功能與IP層的路由轉發功能,用戶不需要知道本發明具體工作于什么狀態,只要用戶按照網橋模式特點配置后,本發明就能作為一個網橋模式的安全網關工作;同樣,本發明也能作為一個路由模式的安全網關工作;同時,本發明的任意端口都可以混合的工作于這兩種模式之間,不需要任何設置、也沒有任何限制,這將能使本發明更方便地應用于各種復雜的網絡環境。
文檔編號H04L9/00GK1509030SQ0215650
公開日2004年6月30日 申請日期2002年12月16日 優先權日2002年12月16日
發明者宋斌, 高紅, 李江力, 宋 斌 申請人:聯想(北京)有限公司