CN101043329B - 一种防止网络攻击的方法和系统 - Google Patents

一种防止网络攻击的方法和系统 Download PDF

Info

Publication number
CN101043329B
CN101043329B CN200610061153A CN200610061153A CN101043329B CN 101043329 B CN101043329 B CN 101043329B CN 200610061153 A CN200610061153 A CN 200610061153A CN 200610061153 A CN200610061153 A CN 200610061153A CN 101043329 B CN101043329 B CN 101043329B
Authority
CN
China
Prior art keywords
network device
layer network
mac address
upper layer
list item
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN200610061153A
Other languages
English (en)
Other versions
CN101043329A (zh
Inventor
姚政
肖平
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Su Normal University Semiconductor Materials and Equipment Research Institute Pizhou Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN200610061153A priority Critical patent/CN101043329B/zh
Publication of CN101043329A publication Critical patent/CN101043329A/zh
Application granted granted Critical
Publication of CN101043329B publication Critical patent/CN101043329B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种防止网络攻击的方法和系统,所述的方法包括二层网络设备配置上层网络设备端口的MAC地址表项;当上层网络设备向二层网络设备发送数据帧后;二层网络设备对所述的上层网络设备端口的MAC地址表项进行处理。所述的系统包括终端设备、二层网络设备和上层网络设备,所述的二层网络设备配置上层网络设备端口的MAC地址表项,并根据接收的上层网络设备发送的数据帧,处理所述的上层网络设备端口的MAC地址表项。利用本发明所述方法和系统,实现了智能检测防止攻击者仿冒上层网络设备的端口MAC地址进行攻击,而且不需手工配置,大大减轻了用服人员的工作量。

Description

一种防止网络攻击的方法和系统
技术领域
本发明涉及网络通信领域,尤其涉及一种防止网络攻击的方法和系统。
背景技术
随着宽带接入越来越普及,用户数量的巨增,对网络安全的要求越来越高,网络运营商通常会在数字用户线接入设备上配置安全性策略。在众多策略中,防止用户MAC地址仿冒是其中一项基本但也是最重要的策略之一。
MAC地址仿冒利用了二层网络设备(比如:网桥、二层交换机和DSLAM)MAC地址学习原理,当这类设备收到一个数据帧后,有一个动态学习的过程:
首先,二层网络设备提取数据帧的源MAC地址和接收到此数据帧的端口号;
其次,二层网络设备检查自己的MAC地址表,看自己的MAC地址表中是否存在该MAC地址表项,如果存在,则进一步检查该MAC地址表项中该MAC地址对应的端口和接收到此数据帧的端口是否一致,如果一致,则根据此数据帧的目的MAC地址将此数据帧从对应的端口转发出去,如果不一致,则会更新自己的MAC地址表,即将该MAC地址表项中MAC地址对应的端口改为接收到此数据帧的端口,如果不存在,则创建一个MAC地址表项,并根据此数据帧的目的MAC地址将此数据帧从对应的端口转发出去。
比如,二层网络设备的MAC地址表为:
MAC ADR  INTERFACE
MAC-A    Ethernt7/2/0
MAC-B    Ethernet7/2/1
MAC-C    Ethernet7/2/2
MAC-D    Ethernet7/2/3
当该二层网络设备通过端口Ethernet7/2/0接收到源MAC地址为MAC-A、目的MAC地址为MAC-B的数据帧,该二层网络设备检查自己的MAC地址表,发现MAC地址表中存在MAC地址为MAC-A的地址表项,进一步检查发现此地址表项中对应的端口Ethernet7/2/0为接收到此数据帧的端口,则该二层网络设备根据此数据帧的目的MAC地址MAC-B将此数据帧从对应的端口Ethernet7/2/1转发出去;
当该二层网络设备通过端口Ethernet7/2/1接收到源MAC地址为MAC-A、目的MAC地址为MAC-C的数据帧,该二层网络设备检查自己的MAC地址表,发现MAC地址表中存在MAC地址为MAC-A的地址表项,进一步检查发现此地址表项中对应的端口Ethernet7/2/0不是接收到此数据帧的端口Ethernet7/2/1,则该二层网络设备更新自己的MAC地址表,并根据此数据帧的目的MAC地址MAC-C将此数据帧从对应的端口Ethernet7/2/2转发出去;
更新后的MAC地址表为:
MAC ADR    INTERFACE
MAC-A      Ethernet7/2/1
MAC-B      Ethernet7/2/1
MAC-C      Ethernet7/2/2
MAC-D      Ethernet7/2/3
当该二层网络设备通过端口Ethernet7/2/0接收到源MAC地址为MAC-G、目的MAC地址为MAC-B的数据帧,该二层网络设备检查自己的MAC地址表,发现MAC地址表中不存在MAC地址为MAC-G的地址表项,则该二层网络设备新创建一个MAC地址为MAC-G的地址表项,并根据此数据帧的目的MAC地址MAC-B将此数据帧从对应的端口Ethernet7/2/1转发出去;
增加了MAC地址为MAC-G的MAC地址表为:
MAC ADR    INTERFACE
MAC-A      Ethernet7/2/1
MAC-B      Ethernet7/2/1
MAC-C      Ethernet7/2/2
MAC-D      Ethernet7/2/3
MAC-G      Ethernet7/2/0
当攻击者知道二层网络设备连接的上层网络设备(比如:三层交换机、路由器)端口的MAC地址后,发送源MAC地址为上层网络设备端口的MAC地址的仿冒数据帧,使得上层网络设备的MAC地址同攻击者的用户端口绑定,导致正常用户的报文不能正确发送到上层网络设备。
比如,当攻击者知道二层网络设备连接的上层网络设备端口的MAC地址为MAC-D,则通过攻击者的用户端口Ethernet7/2/2发送源MAC地址为MAC-D的仿冒数据帧,二层网络设备检查自己的MAC地址表,发现MAC地址表中存在MAC地址为MAC-D的地址表项,进一步检查发现此地址表项中对应的端口Ethernet7/2/3不是接收到此数据帧的端口Ethernet7/2/2,则该二层网络设备更新自己的MAC地址表,将MAC地址为MAC-D的地址表项所对应的端口改为攻击者的端口Ethernet7/2/2,这样,当合法用户发送目的地址为MAC-D的数据帧时,该二层网络设备就根据更改后的地址表,将该数据帧通过攻击者的用户端口Ethernet7/2/2发送出去,而不是通过上层网络设备的端口Ethernet7/2/3发送给上层网络设备。
现有技术的解决方案是用服人员手动配置上层网络设备端口的静态MAC地址表项,如图1所示,计算机通过二层交换机同路由器相连,这里假设二层交换机通过端口Ethernet7/2/3与MAC地址为MAC-D的路由器相连。为了防止恶意用户仿冒路由器端口MAC地址进行攻击,需要在二层交换机上手动配置上层路由器端口的静态MAC地址,即在二层交换机的MAC地址表里手动配置一条静态MAC地址表项:
MAC ADDR  VLAN ID     STATE     PORT INDEX        AGING TIME
MAC-D      1          static    Ethernet7/2/3     NO AGED
静态MAC地址表项就表示该表项不会随便老化,即不会被随便更新,这样,当攻击者通过攻击者的用户端口发送MAC地址为MAC-D的仿冒数据帧时,该二层交换机查找自己的MAC地址表,发现MAC地址为MAC-D的地址表项是一静态地址表项,则该二层交换机将仍保持原来的静态地址表项,而不更新该静态地址表项,即不会将上层路由器的MAC地址同攻击者的用户端口绑定。
而当上层路由器更换,如从原来的MAC地址为MAC-D更换为MAC-E时,则用服人员通过手动配置新的MAC地址表项,即将上述的静态地址表项变更为:
MAC ADDR    VLAN ID    STATE     PORT INDEX     AGING TIME
MAC-E       1          static    Ethernet7/2/3  NO AGED
但是,用服人员只能在了解网络规划,得知上层路由器端口的MAC地址后,才能手动配置静态MAC地址,另外,现有技术还存在如下缺点:
准确性差。在二层交换机上手动配置路由器端口MAC地址,容易出错,导致安全纰漏;
智能性差。如果更换路由器或者二层交换机设备,必须人工干预,二层交换机需要重新配置路由器的端口静态MAC地址;
可维护性差。当出现网络扩容,需要增加二层交换机或者路由器时,用服人员需要对每台二层交换机手工配置静态MAC地址,增加用服人员的工作负担。
发明内容
本发明的目的在于提供一种防止网络攻击的方法和系统,以实现智能检测防止攻击者仿冒上层网络设备的端口MAC地址进行攻击。
本发明的目的是通过以下技术方案实现的:
一种防止网络攻击的方法,二层网络设备设置上层网络设备端口的MAC地址表项,所述方法包括:
A、所述二层网络设备接收其他网络设备发送的源MAC地址为上层网络设备端口MAC地址的数据帧;
B、所述二层网络设备根据接收所述数据帧的端口是否为上层网络设备端口以及所维护的上层网络设备端口的MAC地址表项,决定转发或丢弃所述数据帧。
所述的步骤B包括:
B11、二层网络设备检查接收所述数据帧的端口,若发现接收所述数据帧的端口为上层网络设备端口,则进一步检查所维护的上层网络设备端口的MAC地址表项中是否存在所述上层网络设备端口MAC地址的静态MAC地址表项或带特殊标识的动态MAC地址表项,若存在,则进行步骤B13,否则进行步骤B12;
B12、二层网络设备自动配置所述源MAC地址的静态MAC地址表项;
B13、二层网络设备转发所述的数据帧。
所述的步骤B包括:
B21、二层网络设备检查接收所述数据帧的端口,若发现接收所述数据帧的端口为上层网络设备端口,则进一步检查所维护的上层网络设备端口的MAC地址表项中是否存在所述上层网络设备端口MAC地址的静态MAC地址表项或带特殊标识的动态MAC地址表项,若存在,则进行步骤B23,否则进行步骤B22;
B22、二层网络设备创建所述源MAC地址的带特殊标识的动态MAC地址表项;
B23、二层网络设备转发所述的数据帧。
所述的步骤B还包括:二层网络设备检查接收所述数据帧的端口,若发现接收所述数据帧的端口不是上层网络设备端口,如果进一步检查发现所维护的上层网络设备端口的MAC地址表项中存在所述上层网络设备端口MAC地址的静态MAC地址表项或带特殊标识的动态MAC地址表项,则丢弃所述数据帧.
所述的静态MAC地址表项或带特殊标识的动态MAC地址表项是指该表项在特定条件下老化。
所述的特定条件是指所述的二层网络设备接收到更换后的上层网络设备发送的数据帧。
二层网络设备所维护的上层网络设备端口的MAC地址表项为规划中的所有上层网络设备端口的MAC地址表项。
一种防止网络攻击的系统,包括其他网络设备和二层网络设备,所述的其他网络设备向所述的二层网络设备发送源MAC地址为上层网络设备端口MAC地址的数据帧,所述二层网络设备根据接收所述数据帧的端口是否为上层网络设备端口以及所维护的上层网络设备端口的MAC地址表项,决定转发或丢弃所述数据帧。
二层网络设备所维护的上层网络设备端口的MAC地址表项为规划中的所有上层网络设备端口的MAC地址表项。
二层网络设备所维护的上层网络设备端口的MAC地址表项包括上层网络设备端口MAC地址的静态MAC地址表项或带特殊标识的动态MAC地址表项。
由本发明提供的技术方案可以看出,本发明通过在二层网络设备中预先配置好规划中的所有上层网络设备的端口MAC地址表项,当接收到上层网络设备发送的报文时,自动配置静态的MAC地址表项或者创建带特殊标识的动态MAC地址表项,从而实现智能检测防止源MAC地址仿冒攻击,不仅不需要手工配置,减少人为失误,而且当上层设备较多或者二层设备较多的时候,大大减轻用服人员工作量;另外,当在二层网络设备中添加了规划中所有上层网络设备MAC地址到上层网络设备的端口MAC地址表项以后,即使上层网络设备进行了更换,二层网络设备可以自动识别上层网络设备的变化,不用再进行任何配置,做到了即插即用。
附图说明
图1为现有技术网络组网图;
图2为本发明系统架构图;
图3为本发明方法第一实施例实现流程图;
图4为本发明第二实施例实现流程图。
具体实施方式
本发明的核心思想是在二层网络设备中预先配置好规划中的所有上层网络设备的端口MAC地址表项,当接收到上层网络设备发送的报文时,自动配置静态的MAC地址表项或者创建带特殊标识的动态MAC地址表项。
本发明提供一种防止网络攻击的系统,如图2所示为本发明所述系统的架构图,由图2可知,本发明所述系统包括:终端设备、二层网络设备和上层网络设备,所述的终端设备既可以为合法用户的终端设备,也可以为攻击者的终端设备;所述的上层网络设备可以为三层交换机、路由器等;所述的二层网络设备可以为网桥、二层交换机和DSLAM等;所述的二层网络设备通过用户端口和上层网络设备端口接收终端设备和上层网络设备发送的数据帧,并通过这些端口发送到所述数据帧的目的地址.
利用本发明所述系统,本发明还提供一种防止网络攻击的方法,图3示出了本发明的第一实施例中防止网络攻击的方法,该方法操作流程包括:
步骤10、二层网络设备配置规划中的所有上层网络设备端口的MAC地址表项;
因为在网络规划中,会先知道二层网络设备的所有上层网络设备的端口MAC地址,所以在所述的MAC地址表里预先配置好规划中的所有上层网络设备的端口MAC地址表项,比如,在网络规划中,知道二层网络设备通过上层网络设备端口Ethernet7/2/0连接的所有上层网络设备的端口MAC地址为MAC-A、MAC-B、MAC-C或者MAC-D,则在二层网络设备的MAC地址表里预先配置上层网络设备端口MAC地址表项:
MAC ADR  INTERFACE
MAC-A    Ethernet7/2/0
MAC-B    Ethernet7/2/0
MAC-C    Ethernet7/2/0
MAC-D    Ethernet7/2/0
步骤11、上层网络设备向二层网络设备发送数据帧;
步骤12、二层网络设备通过上层网络设备端口接收此数据帧,因为是通过上层网络设备端口接收的数据帧,所以,二层网络设备判断此数据帧为上层网络设备发送的数据帧,并检查自己的MAC地址表,发现上层网络设备端口MAC地址表项里有此MAC地址,则自动配置一条该MAC地址的静态MAC地址表项,
比如二层网络设备通过上层网络设备端口Ethernet7/2/0接收上层网络设备发送的源MAC地址为MAC-A的数据帧,因为是通过上层网络设备端口Ethernet7/2/0接收的数据帧,所以,二层网络设备判断此数据帧为上层网络设备发送的数据帧,并检查自己的MAC地址表,发现上层网络设备端口MAC地址表项里有此MAC地址,则自动配置一条该MAC地址的静态MAC地址表项:
MAC ADDR   VLAN ID   STATE   PORT INDEX     AGING TIME
MAC-A      1         static  Ethernet7/2/0  NO AGED
此方法的自动配置表示系统自动生成,不需手工操作,而静态则表示该表项不会随便老化,即不会随便更新;
步骤13、上层网络设备再向二层网络设备发送数据帧;
步骤14、二层网络设备通过上层网络设备端口接收此数据帧,因为是通过上层网络设备端口接收的数据帧,所以,二层网络设备判断此数据帧为上层网络设备发送的数据帧,并检查自己的MAC地址表,发现MAC地址表里已经有配置为静态的该MAC地址表项,则不改变自己的MAC地址表;
步骤15、攻击者发送源MAC地址为上层网络设备端口MAC地址的仿冒数据帧进行攻击;
步骤16、二层网络设备通过攻击者的用户端口接收到此数据帧后,检查自己的MAC地址表项,发现此MAC地址为上层网络设备端口的MAC地址,因为地址表项中已经把该MAC地址配置为静态,所以虽然接收的端口不是上层网络设备端口,二层网络设备也不会更新自己的MAC地址表,即不会把该MAC地址对应的端口由上层网络设备的端口改为攻击者的用户端口,而且判断此数据帧为仿冒数据帧,并将其丢弃.
当上层网络设备更换为规划中的另一上层网络设备,比如由端口MAC地址为MAC-A的上层网络设备更换为端口MAC地址为MAC-B的上层网络设备,
步骤17、更换后的上层网络设备向二层网络设备发送数据帧;
步骤18、二层网络设备通过上层网络设备端口接收此数据帧,因为是通过上层网络设备端口接收的数据帧,所以,二层网络设备判断此数据帧为上层网络设备发送的数据帧,并检查自己的MAC地址表,发现上层网络设备端口MAC地址表项里有此MAC地址,则自动配置一条该MAC地址的静态MAC地址表项,
比如二层网络设备通过上层网络设备端口Ethernet7/2/0接收上层网络设备发送的源MAC地址为MAC-B的数据帧,因为是通过上层网络设备端口Ethernet7/2/0接收的数据帧,所以,二层网络设备判断此数据帧为上层网络设备发送的数据帧,并检查自己的MAC地址表,发现上层网络设备端口MAC地址表项里有此MAC地址,则自动配置一条该MAC地址的静态MAC地址表项:
MAC ADDR  VLAN ID    STATE     PORT INDEX     AGING TIME
MAC-B     1          static    Ethernet7/2/0  NO AGED
同理,当更换后的上层网络设备再向二层网络设备发送数据帧时,进行步骤14;
同理,当攻击者发送源MAC地址为上层网络设备端口MAC地址的仿冒数据帧进行攻击时,进行步骤16。
图4示出了本发明的第二实施例中防止网络攻击的方法,在该方法中,当二层网络设备通过上层网络设备端口接收上层网络设备发送的数据帧,因为是通过上层网络设备端口接收的数据帧,所以,二层网络设备判断此数据帧为上层网络设备发送的数据帧,并检查自己的MAC地址表,发现上层网络设备端口MAC地址表项里有此MAC地址时,与第一实施例不同的是,则创建一条该MAC地址的带特殊标识的动态MAC地址表项。
比如二层网络设备通过上层网络设备端口Ethernet7/2/0接收上层网络设备发送的源MAC地址为MAC-A的数据帧,因为是通过上层网络设备端口Ethernet7/2/0接收的数据帧,所以,二层网络设备判断此数据帧为上层网络设备发送的数据帧,并检查自己的MAC地址表,发现上层网络设备端口MAC地址表项里有此MAC地址,则创建一条该MAC地址的带特殊标识的动态MAC地址表项:
MAC ADDR  VLAN ID  STATE    PORT INDEX    AGING TIME UPINTERFACE
MAC-A     1        dynamic  Ethernet7/2/0 NO AGED    YES
此处的特殊标识U PINTERFACE的值为YES时,表示该条MAC地址表项不会随便老化,即不会随便更新;
其他实现步骤与第一实施例相同,不再赘述。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种防止网络攻击的方法,其特征在于,二层网络设备设置上层网络设备端口的MAC地址表项,所述方法包括:
A、所述二层网络设备接收其他网络设备发送的源MAC地址为上层网络设备端口MAC地址的数据帧;
B、所述二层网络设备根据接收所述数据帧的端口是否为上层网络设备端口以及所维护的上层网络设备端口的MAC地址表项,决定转发或丢弃所述数据帧。
2.如权利要求1所述的一种防止网络攻击的方法,其特征在于,所述的步骤B包括:
B11、二层网络设备检查接收所述数据帧的端口,若发现接收所述数据帧的端口为上层网络设备端口,则进一步检查所维护的上层网络设备端口的MAC地址表项中是否存在所述上层网络设备端口MAC地址的静态MAC地址表项或带特殊标识的动态MAC地址表项,若存在,则进行步骤B13,否则进行步骤B12;
B12、二层网络设备自动配置所述源MAC地址的静态MAC地址表项;
B13、二层网络设备转发所述的数据帧。
3.如权利要求1所述的一种防止网络攻击的方法,其特征在于,所述的步骤B包括:
B21、二层网络设备检查接收所述数据帧的端口,若发现接收所述数据帧的端口为上层网络设备端口,则进一步检查所维护的上层网络设备端口的MAC地址表项中是否存在所述上层网络设备端口MAC地址的静态MAC地址表项或带特殊标识的动态MAC地址表项,若存在,则进行步骤B23,否则进行步骤B22;
B22、二层网络设备创建所述源MAC地址的带特殊标识的动态MAC地址表项;
B23、二层网络设备转发所述的数据帧。
4.如权利要求2或3所述的一种防止网络攻击的方法,其特征在于,所述的步骤B还包括:二层网络设备检查接收所述数据帧的端口,若发现接收所述数据帧的端口不是上层网络设备端口,如果进一步检查发现所维护的上层网络设备端口的MAC地址表项中存在所述上层网络设备端口MAC地址的静态MAC地址表项或带特殊标识的动态MAC地址表项,则丢弃所述数据帧。
5.如权利要求2或3所述的一种防止网络攻击的方法,其特征在于,所述的静态MAC地址表项或带特殊标识的动态MAC地址表项是指该表项在特定条件下老化。
6.如权利要求5所述的一种防止网络攻击的方法,其特征在于,所述的特定条件是指所述的二层网络设备接收到更换后的上层网络设备发送的数据帧。
7.如权利要求1所述的一种防止网络攻击的方法,其特征在于,二层网络设备所维护的上层网络设备端口的MAC地址表项为规划中的所有上层网络设备端口的MAC地址表项。
8.一种防止网络攻击的系统,包括其他网络设备和二层网络设备,所述的其他网络设备向所述的二层网络设备发送源MAC地址为上层网络设备端口MAC地址的数据帧,其特征在于,所述二层网络设备根据接收所述数据帧的端口是否为上层网络设备端口以及所维护的上层网络设备端口的MAC地址表项,决定转发或丢弃所述数据帧。
9.如权利要求8所述的一种防止网络攻击的系统,其特征在于,二层网络设备所维护的上层网络设备端口的MAC地址表项为规划中的所有上层网络设备端口的MAC地址表项。
10.如权利要求8所述的一种防止网络攻击的系统,其特征在于,二层网络设备所维护的上层网络设备端口的MAC地址表项包括上层网络设备端口MAC地址的静态MAC地址表项或带特殊标识的动态MAC地址表项.
CN200610061153A 2006-06-15 2006-06-15 一种防止网络攻击的方法和系统 Expired - Fee Related CN101043329B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN200610061153A CN101043329B (zh) 2006-06-15 2006-06-15 一种防止网络攻击的方法和系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN200610061153A CN101043329B (zh) 2006-06-15 2006-06-15 一种防止网络攻击的方法和系统

Publications (2)

Publication Number Publication Date
CN101043329A CN101043329A (zh) 2007-09-26
CN101043329B true CN101043329B (zh) 2010-05-12

Family

ID=38808564

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200610061153A Expired - Fee Related CN101043329B (zh) 2006-06-15 2006-06-15 一种防止网络攻击的方法和系统

Country Status (1)

Country Link
CN (1) CN101043329B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101753381B (zh) * 2009-12-25 2012-10-10 华中科技大学 一种检测网络攻击行为的方法
CN101860771B (zh) * 2010-06-02 2014-06-11 中兴通讯股份有限公司 家庭网关识别入网的方法及系统
CN102821169B (zh) * 2012-08-10 2015-12-09 华为技术有限公司 一种网络中mac地址表项创建的方法及网络设备
CN103825846B (zh) * 2014-02-28 2017-02-15 迈普通信技术股份有限公司 一种端口安全的实现方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1567839A (zh) * 2003-06-24 2005-01-19 华为技术有限公司 基于端口的网络访问控制方法
CN1780286A (zh) * 2004-11-18 2006-05-31 中兴通讯股份有限公司 一种增强地址解析协议表安全的方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1567839A (zh) * 2003-06-24 2005-01-19 华为技术有限公司 基于端口的网络访问控制方法
CN1780286A (zh) * 2004-11-18 2006-05-31 中兴通讯股份有限公司 一种增强地址解析协议表安全的方法

Also Published As

Publication number Publication date
CN101043329A (zh) 2007-09-26

Similar Documents

Publication Publication Date Title
EP2568670B1 (en) Method for message forwarding and device for deep packet inspection
CN103650436B (zh) 业务路径分配方法、路由器和业务执行实体
CN101502049B (zh) 识别和选择用于接入网络的接口的方法及设备
CN101047618B (zh) 获取网络路径信息的方法和系统
CN100414890C (zh) 一种集中配置终端设备的方法和系统
US20070168499A1 (en) Configurable Modular Networking System and Method Thereof
US20070101422A1 (en) Automated network blocking method and system
US8340092B2 (en) Switching system and method in switching system
CN106161335A (zh) 一种网络数据包的处理方法和装置
CN1832458B (zh) 用于实现应用服务器功能性的方法和接入节点
CN108322467A (zh) 基于ovs的虚拟防火墙配置方法、电子设备及存储介质
CN101043329B (zh) 一种防止网络攻击的方法和系统
CN101379778A (zh) 用于在通信系统中进行业务过滤的装置和方法
CN105991444A (zh) 业务处理的方法和装置
CN101540772A (zh) 一种深度报文检测设备及其通信方法
CN101599889A (zh) 一种以太网交换设备中防止mac地址欺骗的方法
CN105049403A (zh) 配电网控制系统的安全防护方法及系统
CN101072239A (zh) 一种实现ip地址过滤的方法及装置
CN105791176A (zh) 信息技术it设备端口的确定方法及装置
CN116566752B (zh) 安全引流系统、云主机及安全引流方法
CN103036801B (zh) 数据包的处理方法及装置
CN100438477C (zh) 用于业务分隔的过滤器和用于业务分隔的过滤器的方法
CN108011825B (zh) 一种基于软件定义网络的多网络设备互联现实方法及系统
WO2019123523A1 (ja) 通信装置、通信システム、通信制御方法、プログラム
CN106603468A (zh) 数据报文处理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20201214

Address after: Unit 2414-2416, main building, no.371, Wushan Road, Tianhe District, Guangzhou City, Guangdong Province

Patentee after: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.

Effective date of registration: 20201214

Address after: No.88 Liaohe West Road, Pizhou Economic Development Zone, Xuzhou City, Jiangsu Province

Patentee after: SU Normal University Semiconductor Materials and Equipment Research Institute (Pizhou) Co.,Ltd.

Address before: Unit 2414-2416, main building, no.371, Wushan Road, Tianhe District, Guangzhou City, Guangdong Province

Patentee before: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100512

Termination date: 20200615