專利名稱：基于橋的二層交換式防火墻包過濾的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種防火墻包過濾的方法，尤其是一種基于橋在鏈路層和網(wǎng)絡(luò)層之間實現(xiàn)防火墻包過濾的方法。
本發(fā)明的目的是這樣實現(xiàn)的一種基于橋的二層交換式防火墻包過濾的方法它至少包括如下步驟步驟1在網(wǎng)橋中設(shè)置轉(zhuǎn)發(fā)數(shù)據(jù)庫，網(wǎng)橋端口設(shè)置為混雜模式；步驟2捕獲連接局域網(wǎng)端口上流經(jīng)的數(shù)據(jù)包，并將介質(zhì)訪問控制(MAC)地址和端口對應(yīng)關(guān)系的信息記錄在轉(zhuǎn)發(fā)數(shù)據(jù)庫中或更新上述信息；步驟3在網(wǎng)橋內(nèi)部的包轉(zhuǎn)發(fā)過程中，于鏈路層對數(shù)據(jù)包進行包過濾檢查，決定數(shù)據(jù)包被丟棄或轉(zhuǎn)發(fā)或提交上層協(xié)議(IP)層處理。
網(wǎng)橋內(nèi)部的數(shù)據(jù)包在轉(zhuǎn)發(fā)之前，將和用戶定義的安全規(guī)則進行匹配檢查，用戶定義的安全規(guī)則主要針對IP層的IP地址信息和傳輸層的協(xié)議類型、端口信息等，所有的數(shù)據(jù)包將在根據(jù)檢查結(jié)果決定被丟棄、轉(zhuǎn)發(fā)或是提交上層協(xié)議(IP)層處理。
再有，進入網(wǎng)橋的數(shù)據(jù)包將被提取出其所包含的IP報文的IP包頭信息和傳輸層包頭信息進行安全策略檢查，決定數(shù)據(jù)包是拒絕還是接收(這個檢查過程并不改變原以太網(wǎng)幀的MAC地址信息)，如是拒絕則將數(shù)據(jù)包丟棄；如是轉(zhuǎn)發(fā)，則將數(shù)據(jù)包中的以太網(wǎng)幀的目標(biāo)MAC地址與轉(zhuǎn)發(fā)數(shù)據(jù)庫的MAC地址進行匹配；如果數(shù)據(jù)庫給出了目標(biāo)MAC地址的對應(yīng)端口，并且檢查端口信息為轉(zhuǎn)發(fā)狀態(tài)，則數(shù)據(jù)包被路由到該端口，完成包過濾。
具體地安全策略檢查數(shù)據(jù)包網(wǎng)絡(luò)層包頭的源IP地址、目的IP地址；傳輸層包頭的源端口、目的端口信息的檢查。
防火墻在完成包過濾檢查的同時，也完全兼容IEEE802.1d以太網(wǎng)橋協(xié)議，防火墻內(nèi)部的以太網(wǎng)幀在包過濾檢查完畢后，最終將向哪個端口轉(zhuǎn)發(fā)決定于以802.1d協(xié)議為基礎(chǔ)實現(xiàn)并維護的轉(zhuǎn)發(fā)數(shù)據(jù)庫信息和/或網(wǎng)橋端口狀態(tài)信息。
根據(jù)上述技術(shù)方案分析可知，本發(fā)明基于橋的防火墻在鏈路層和網(wǎng)絡(luò)層之間實現(xiàn)了包過濾，在完全支持目前的主流網(wǎng)絡(luò)交換機生成樹協(xié)議(802.1d)網(wǎng)橋的基礎(chǔ)上，改變了防火墻的調(diào)用接口。不僅使防火墻可以靈活地適合各類用戶的復(fù)雜網(wǎng)絡(luò)，同時方便了用戶，而且還使防火墻仍然具有良好的包過濾功能。
圖3為本發(fā)明鏈路層到IP層的包過濾數(shù)據(jù)流向示意圖；圖4為本發(fā)明橋數(shù)據(jù)包處理模塊流程圖。
本發(fā)明的基礎(chǔ)就是利用網(wǎng)橋?qū)崿F(xiàn)報文轉(zhuǎn)發(fā)，但是在轉(zhuǎn)發(fā)過程中，又可以由用戶定義安全規(guī)則，即完全在鏈路層實現(xiàn)防火墻的包過濾功能。
如

圖1、2所示，本發(fā)明的防火墻在工作時所有的以太網(wǎng)口被綁定為一個虛擬的網(wǎng)橋設(shè)備，端口1和端口2為交換式防火墻的兩個以太網(wǎng)端口。以太端口被設(shè)置為混雜模式，該端口相連的局域網(wǎng)上的所有數(shù)據(jù)均將被接收、進而被進一步處理。
用網(wǎng)橋方式實現(xiàn)的防火墻對接收到的數(shù)據(jù)包的處理有賴于兩個條件網(wǎng)橋所維護的轉(zhuǎn)發(fā)數(shù)據(jù)庫(或可稱之為網(wǎng)橋的路由信息庫)和網(wǎng)橋的每個物理端口(即網(wǎng)口)的可用狀態(tài)。
網(wǎng)橋的轉(zhuǎn)發(fā)數(shù)據(jù)庫的形成和維護是一個動態(tài)的學(xué)習(xí)與記錄過程，當(dāng)某一以太網(wǎng)幀初次被轉(zhuǎn)發(fā)時網(wǎng)橋會嘗試將其通過所有的物理端口向外轉(zhuǎn)發(fā)，若通過某一端口轉(zhuǎn)發(fā)出去后能正常達到其目標(biāo)主機，則該次轉(zhuǎn)發(fā)的路由信息(包括目的MAC地址、轉(zhuǎn)發(fā)所用的端口)將會被記入轉(zhuǎn)發(fā)數(shù)據(jù)庫。
網(wǎng)橋的端口狀態(tài)可能是轉(zhuǎn)發(fā)或是阻塞狀態(tài)，參見圖3，當(dāng)出現(xiàn)環(huán)路或其它非樹狀拓?fù)浣Y(jié)構(gòu)時，數(shù)據(jù)包將在傳輸過程中形成死循環(huán)。802.1d網(wǎng)橋利用stp生成樹算法，會與其它的網(wǎng)橋設(shè)備會互發(fā)BPDU(Bridge ProtocolData Unit) 包來維護整個通過網(wǎng)橋拓?fù)?，確定每個網(wǎng)橋設(shè)備及其端口的可用狀態(tài)，對于如圖3的情況，網(wǎng)橋的其中一個(或多個)端口將被設(shè)為阻斷狀態(tài)，而決不會造成網(wǎng)絡(luò)的回路。
進入網(wǎng)橋的數(shù)據(jù)包在轉(zhuǎn)發(fā)時防火墻將會將它的目標(biāo)MAC地址與網(wǎng)橋的轉(zhuǎn)發(fā)數(shù)據(jù)庫中的MAC地址進行匹配，如果數(shù)據(jù)庫已經(jīng)記錄了該MAC地址的對應(yīng)端口，并且該端口處于轉(zhuǎn)發(fā)狀態(tài)，則該數(shù)據(jù)包就可以由該端口轉(zhuǎn)發(fā)出去，這個過程完全在鏈路層實現(xiàn)。
以上基本上是IEEE802.1d以太網(wǎng)橋?qū)?shù)據(jù)包的標(biāo)準(zhǔn)處理過程。本發(fā)明的不同之處就在于在標(biāo)準(zhǔn)協(xié)議的基礎(chǔ)之上添加了防火墻的接口。本發(fā)明主要處理步驟是橋?qū)?shù)據(jù)包的處理，包括橋數(shù)據(jù)包處理、橋廣播、橋轉(zhuǎn)發(fā)、橋本地處理、橋安全策略檢查等。其中橋數(shù)據(jù)包處理模塊是網(wǎng)橋的核心處理步驟，直接決定數(shù)據(jù)包是在鏈路層被轉(zhuǎn)發(fā)、丟棄還是由上層協(xié)議來處理。如圖4所示，具體地，首先判斷橋是否為轉(zhuǎn)發(fā)狀態(tài)，如果不是，則丟棄包；如果是，則在散列表中查找目的以太網(wǎng)地址，找到后并檢查不是本地處理，則進入橋安全策略檢查.安全策略檢查數(shù)據(jù)包網(wǎng)絡(luò)層包頭的源IP地址、目的IP地址；傳輸層包頭的源端口、目的端口等信息的檢查。在此處進行數(shù)據(jù)包過濾，根據(jù)過濾的結(jié)果，將數(shù)據(jù)做丟棄、轉(zhuǎn)發(fā)或送上層IP層處理；如果在散列表中查找目的以太網(wǎng)地址，找到后并檢查是本地處理，則直接進行本地處理后返回；若在散列表中查找目的以太網(wǎng)地址，沒有找到目標(biāo)以太網(wǎng)地址，則將數(shù)據(jù)包送橋廣播處理后返回。
在本發(fā)明的使用過程中，用戶可以自定義針對于IP地址、端口、協(xié)議類型的安全策略。當(dāng)一個數(shù)據(jù)包在將被轉(zhuǎn)發(fā)時，將直接在鏈路層檢查每個數(shù)據(jù)包所包含的IP報文的有關(guān)(IP地址、端口、協(xié)議等)信息，并根據(jù)用戶定義的規(guī)則最終確定數(shù)據(jù)包被轉(zhuǎn)發(fā)還是被丟棄或是交給上層協(xié)議(IP層)處理。
本發(fā)明是在鏈路層對數(shù)據(jù)包進行安全策略檢查，決定該數(shù)據(jù)包是被丟棄、轉(zhuǎn)發(fā)或交給上層協(xié)議(IP層)處理。包過濾檢查僅僅發(fā)生于網(wǎng)橋內(nèi)部的包轉(zhuǎn)發(fā)過程中，這是和路由方式下的包過濾有很大的不同的。因此，是在網(wǎng)橋的轉(zhuǎn)發(fā)處理過程中實現(xiàn)了防火墻功能，同時仍然保持了802.1d生成樹網(wǎng)橋的特點，它不僅保證了通過網(wǎng)橋的數(shù)據(jù)轉(zhuǎn)發(fā)，而且能防止通過多端口網(wǎng)橋?qū)崿F(xiàn)互聯(lián)的局域網(wǎng)環(huán)路問題。所以，可以安全地應(yīng)用于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境。
以上實施例僅用以說明本發(fā)明而非限制，盡管參照以上較佳實施例對本發(fā)明進行了詳細(xì)說明，本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解，可以對本發(fā)明進行修改、變形或者等同替換，而不脫離本發(fā)明的精神和范圍，其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中。
權(quán)利要求
1.一種基于橋的二層交換式防火墻包過濾的方法，其特征在于它至少包括如下步驟步驟1在網(wǎng)橋中設(shè)置轉(zhuǎn)發(fā)數(shù)據(jù)庫，網(wǎng)橋端口設(shè)置為混雜模式；步驟2捕獲連接局域網(wǎng)端口上流經(jīng)的數(shù)據(jù)包，并將介質(zhì)訪問控制(MAC)地址和端口對應(yīng)關(guān)系的信息記錄在轉(zhuǎn)發(fā)數(shù)據(jù)庫中或更新上述信息；步驟3在網(wǎng)橋內(nèi)部的包轉(zhuǎn)發(fā)過程中，于鏈路層對數(shù)據(jù)包進行包過濾檢查，決定數(shù)據(jù)包被丟棄或轉(zhuǎn)發(fā)或提交上層協(xié)議(IP)層處理。
2.根據(jù)權(quán)利要求1所述的基于橋的二層交換式防火墻包過濾的方法，其特征在于網(wǎng)橋內(nèi)部的數(shù)據(jù)包在轉(zhuǎn)發(fā)之前，將和用戶定義的安全規(guī)則進行匹配檢查，用戶定義的安全規(guī)則主要針對IP層的IP地址信息和傳輸層的協(xié)議類型、端口信息等，所有的數(shù)據(jù)包將在根據(jù)檢查結(jié)果決定被丟棄、轉(zhuǎn)發(fā)或是提交上層協(xié)議(IP)層處理。
3.根據(jù)權(quán)利要求1所述的基于橋的二層交換式防火墻包過濾的方法，其特征在于進入網(wǎng)橋的數(shù)據(jù)包將被提取出其所包含的IP報文的IP包頭信息和傳輸層包頭信息進行安全策略檢查，決定數(shù)據(jù)包是拒絕還是接收(這個檢查過程并不改變原以太網(wǎng)幀的MAC地址信息)，如是拒絕則將數(shù)據(jù)包丟棄；如是轉(zhuǎn)發(fā)，則將數(shù)據(jù)包中的以太網(wǎng)幀的目標(biāo)MAC地址與轉(zhuǎn)發(fā)數(shù)據(jù)庫的MAC地址進行匹配；如果數(shù)據(jù)庫給出了目標(biāo)MAC地址的對應(yīng)端口，并且檢查端口信息為轉(zhuǎn)發(fā)狀態(tài)，則數(shù)據(jù)包被路由到該端口，完成包過濾。
4.根據(jù)權(quán)利要求3所述的基于橋的二層交換式防火墻包過濾的方法，其特征在于安全策略檢查數(shù)據(jù)包網(wǎng)絡(luò)層包頭的源IP地址、目的IP地址；傳輸層包頭的源端口、目的端口信息的檢查。
5.根據(jù)權(quán)利要求1所述的基于橋的二層交換式防火墻包過濾的方法，其特征在于防火墻在完成包過濾檢查的同時，也完全兼容IEEE802.1d以太網(wǎng)橋協(xié)議，防火墻內(nèi)部的以太網(wǎng)幀在包過濾檢查完畢后、最終將向哪個端口轉(zhuǎn)發(fā)決定于以802.1d協(xié)議為基礎(chǔ)實現(xiàn)并維護的轉(zhuǎn)發(fā)數(shù)據(jù)庫信息和/或網(wǎng)橋端口狀態(tài)信息。
全文摘要
一種基于橋的二層交換式防火墻包過濾的方法，它至少包括如下步驟在網(wǎng)橋中設(shè)置轉(zhuǎn)發(fā)數(shù)據(jù)庫，網(wǎng)橋端口設(shè)置為混雜模式；捕獲連接局域網(wǎng)端口上流經(jīng)的數(shù)據(jù)包，并將介質(zhì)訪問控制(MAC)地址和端口對應(yīng)關(guān)系的信息記錄在轉(zhuǎn)發(fā)數(shù)據(jù)庫中或更新上述信息；在網(wǎng)橋內(nèi)部的包轉(zhuǎn)發(fā)過程中，于鏈路層對數(shù)據(jù)包進行包過濾檢查，決定數(shù)據(jù)包被丟棄或轉(zhuǎn)發(fā)或提交上層協(xié)議(IP)層處理。本發(fā)明防火墻不在網(wǎng)絡(luò)層處理并轉(zhuǎn)發(fā)IP報文，因此該防火墻加入到用戶的網(wǎng)絡(luò)和路由器之間時，用戶主機不必修改原來指向的網(wǎng)關(guān)設(shè)置，路由器也不必增加路由設(shè)置，簡化用戶使用操作過程。
文檔編號G06F12/16GK1437114SQ0210065
公開日2003年8月20日 申請日期2002年2月8日 優(yōu)先權(quán)日2002年2月8日
發(fā)明者宋斌, 高紅, 李江力 申請人:聯(lián)想(北京)有限公司