CN101060432B - 一种ips设备灵活部署的方法以及相关设备 - Google Patents
一种ips设备灵活部署的方法以及相关设备 Download PDFInfo
- Publication number
- CN101060432B CN101060432B CN2007100960491A CN200710096049A CN101060432B CN 101060432 B CN101060432 B CN 101060432B CN 2007100960491 A CN2007100960491 A CN 2007100960491A CN 200710096049 A CN200710096049 A CN 200710096049A CN 101060432 B CN101060432 B CN 101060432B
- Authority
- CN
- China
- Prior art keywords
- ips
- equipment
- interface
- data
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种IPS设备灵活部署的方法,其包括:将网络中节点设备上的两个接口分别连接至所述IPS设备的出接口和入接口;然后,对所述节点设备进行相应配置,使得所述节点设备中需要IPS处理的数据流经所述IPS设备之后,再返回所述节点设备进行正常转发。还公开了支持上述方法实施的节点设备(包括路由设备和交换设备),所述节点设备包括有策略路由单元或转发预处理单元,用于匹配及定向转发需要IPS处理的数据至指定IP地址或接口。通过旁路接入IPS设备并对相关节点设备进行相应配置,本发明不仅实现了部署IPS设备时业务无中断,同时还有效提高了部署的灵活性、易用性、及兼容性。
Description
技术领域
本发明涉及通信网络,尤其涉及通信网络中IPS设备的部署及应用;更具体地说,本发明涉及一种IPS设备灵活部署的方法以及相关的设备。
背景技术
随着网络技术的发展,各种业务类型的多样化,网络除了要完成数据的转发之外,还需要对数据进行一些特殊的处理。比如,通过防火墙对数据进行过滤,通过IPS(Intrusion Prevention System,入侵防御系统)设备对数据内容进行检查,以及通过流量监控系统对数据进行统计记费等。其中,IPS技术已成为目前最新的内容检测过滤技术,其利用IPS设备对3~7层的数据进行内容检测和处理,起到攻击防范的作用。具体而言,IPS设备作为一个独立的2层/3层设备,对进出网络的数据进行过滤处理,也即其对流经的危险数据做丢弃处理;但是,IPS设备本身不会修改流经的数据,也即其对网络层而言是透明的。
目前部署IPS设备的最常用方案是,如图1所示将IPS设备串接入网络路径。对于这种串接方案,如果是新建网络,其中IPS设备的部署相对简单;但如果网络已建成,将IPS串接入网络路径中必然要对网络的现有结构进行修改,从而造成业务中断。总之,采用串接方案实际部署IPS设备时,需要面对以下问题:
1、将IPS设备部署在网络入口处,必然要对现有网络架构进行修改,而这种修改将带来额外的组网成本和业务中断;
2、由于网络中接口种类繁多,且IPS设备的接口一般为简单以太网口,这使得当网络入口为其它类型的接口时,部署IPS设备需要考虑接口适配的问题;
3、当存在多个网络入口时,可能需要配置多台IPS设备,并将因此大大增加组网的复杂度和成本;
4、在部署完成后,由于所有数据都必须经过IPS设备处理,致使其压力过大,从而加大了网络瓶颈和单点故障的出现可能。
目前部署IPS设备还存在另一种常用方案,即将IPS功能模块以板卡的形式集成在路由设备上,路由设备收到数据后首先进行IPS处理,然后再转发。对于这种方案,其板卡形式相比第一种解决方案降低了部署复杂度和成本,但其串接本质与第一种解决方案类似。因此,在实际部署这种方案时仍需要面对如下问题:
1、板卡的插拔将引发额外的组网成本和业务中断;
2、部署缺少兼容性,只能使用路由设备厂商的配套IPS板卡;
3、与独立的IPS设备相比,IPS板卡的处理性能较差。
发明内容
有鉴于此,本发明目的在于提供一种IPS设备灵活部署的方法,以实现部署IPS设备时业务无中断,同时提高IPS设备部署的灵活性、易用性、及兼容性。
同时,本发明另一目的在于,提供两种支持灵活部署IPS设备的节点设备,以支持所述方法的实施。
为了达到上述目的,本发明提供了一种IPS设备灵活部署的方法,其主要包括有下列步骤:首先,将节点设备的两个接口分别连接至所述IPS设备的出接口和入接口,使所述IPS设备旁路于所述节点设备;然后,对所述节点设备进行相应配置,使得所述节点设备中需要IPS处理的数据流经所述IPS设备进行安全性检查过滤之后,再返回所述节点设备进行正常转发。
对于上述IPS设备灵活部署的方法,当所述节点设备为三层设备、以及所述IPS设备为二层设备时,所述相应配置具体为:在所述节点设备上配置PBR(Policy-Based Routing,策略路由),使所述需要IPS处理的数据下一跳发送到一个虚IP(Internet Protocol,互联网协议)地址上,并将所述虚IP地址与所述节点设备中连接所述IPS设备入接口的接口IP地址配置在同一网段中;同时,在所述节点设备上配置静态ARP(Address Resolution Protocol,地址解析协议),将所述虚IP地址映射到所述节点设备中连接所述IPS设备出接口的接口MAC地址上。并且,优选地在所述节点设备的所有入接口上均使能所述PBR。或者进一步优选地,通过配置所述PBR的备份下一跳,使得所述节点设备在所述IPS设备出现故障时丢弃所述需要IPS处理的数据、或者正常转发所述需要IPS处理的数据。比如,如果将所述PBR的备份下一跳配置成指向NULL(空)接口,那么当所述IPS设备不可达时,所述节点设备将丢弃所述需要IPS处理的数据;如果不对所述PBR的备份下一跳进行配置,则当所述IPS设备出现故障时,所述节点设备将对所述需要IPS处理的数据进行正常转发。
对于上述IPS设备灵活部署的方法,当所述节点设备为三层设备、以及所述IPS设备为三层设备时,所述相应配置具体为:在所述节点设备上配置PBR,使所述需要IPS处理的数据下一跳发送到所述IPS设备的入接口IP地址上,并将所述IPS设备的入接口IP地址和所述节点设备中与所述IPS设备的入接口连接的接口IP地址配置在同一网段中。并且优选地,在所述节点设备的所有入接口上均使能所述PBR。或者进一步优选地,通过配置所述PBR的备份下一跳,使得所述节点设备在所述IPS设备出现故障时丢弃所述需要IPS处理的数据、或者正常转发所述需要IPS处理的数据。比如,如果将所述PBR的备份下一跳配置成指向NULL(空)接口,那么当所述IPS设备不可达时,所述节点设备将丢弃所述需要IPS处理的数据;如果不对所述PBR的备份下一跳进行配置,则当所述IPS设备出现故障时,所述节点设备将对所述需要IPS处理的数据进行正常转发。
对于上述IPS设备灵活部署的方法,当所述节点设备为二层设备、以及所述IPS设备为二层设备时,所述相应配置具体为:在所述节点设备上定义ACL匹配所述需要IPS处理的数据;同时,对通过匹配所述ACL确定需要IPS处理的数据应用流量重定向技术,使其定向到所述节点设备中与所述IPS设备入接口连接的接口上。并且优选地,在所述节点设备的接口上分别定义出入方向的ACL,以确保转发所述需要IPS处理的数据时不会产生网络环路和风暴。
同时,为了达到上述另一目的,本发明还提供了一种支持灵活部署IPS设备的路由设备,包括有:
接口,用于输入/输出数据,以及连接所述IPS设备;
路由表,用于存储到达特定目的地址的数据传输路径;
ARP表,用于在本地建立一个IP地址和MAC地址的映射表;
路由单元,用于根据所述路由表和ARP表进行数据转发;以及,
策略路由单元,与所述接口、所述路由表、所述ARP表、及所述路由单元相连,用于进行PBR匹配区分从所述接口输入的数据是否需要IPS处理,如果需要则将相应需要IPS处理的数据转发到指定地址上。
对于上述支持灵活部署IPS设备的路由设备,优选地,所述策略路由单元通过定义PBR来将所述需要IPS处理的数据定向到所述指定地址上。
对于上述支持灵活部署IPS设备的路由设备,优选地,所述指定地址为一个虚IP地址、或者为所述IPS设备入接口的IP地址。
对于上述支持灵活部署IPS设备的路由设备,进一步优选地,所述虚IP地址和所述IPS设备入接口的IP地址,分别与所述路由设备中连接所述IPS设备入接口的接口IP地址配置为同一网段地址。
对于上述支持灵活部署IPS设备的路由设备,更进一步优选地,当所述指定地址为所述虚IP地址时,在所述ARP表中将所述虚IP地址静态映射到所述路由设备中连接所述IPS设备出接口的接口MAC地址上。
此外,为了达到上述另一目的,本发明还提供了一种支持灵活部署IPS设备的交换设备,包括有:
接口,用于输入/输出数据;
转发表,用于存储所述接口的输入/输出交换关系;
交换单元,用于根据所述转发表进行数据转发;以及,
转发预处理单元,与所述接口、所述转发表、及所述交换单元相连,用于根据预定的ACL确定所述接口输入的数据是否需要IPS处理,如果需要则将相应需要IPS处理的数据转发到所述交换设备中连接所述IPS设备入接口的接口上。
对于上述支持灵活部署IPS设备的交换设备,优选地,在所述交换设备的接口上分别预先定义出入方向的所述ACL,所述转发预处理单元通过匹配所述ACL决定数据是否需要IPS设备进行处理。
通过上述介绍可知,本发明具有如下有益效果:首先,通过旁路接入IPS设备,使得应用本发明部署所述IPS设备时无需修改现有的网络结构,与现有技术相比,其不仅不会造成业务中断,同时还能大大降低组网的复杂度和成本。
其次,通过根据预定规则进行数据分流,使得用户能够根据实际需要简单、灵活地控制流经IPS设备的数据流量,能够实现旁挂所述IPS设备的高可靠性和负载均衡效果,从而提高整体网络的可靠性和所述IPS设备的利用率。
最后,鉴于现有IPS设备一般都提供以太网接口,这使得相关节点设备包含两个以太网接口即可应用本发明技术方案,也就是说本发明技术方案可与任何厂商的节点设备结合使用,也即具有很好的兼容性。
附图说明
图1为现有技术中串接应用IPS设备的组网示意图;
图2A~2B为本发明IPS设备灵活部署方法的网络旁路结构图;
图3为本发明IPS设备灵活部署方法第一实施例的组网示意图;
图4为本发明IPS设备灵活部署方法第一实施例中数据转发的流程图;
图5为本发明IPS设备灵活部署方法第二实施例的组网示意图;
图6为本发明IPS设备灵活部署方法第二实施例中数据转发的流程图;
图7为本发明IPS设备灵活部署方法第三实施例的组网示意图;
图8为本发明IPS设备灵活部署方法第三实施例中数据转发的流程图;
图9为本发明支持灵活部署IPS设备的路由设备的结构框图;
图10为本发明支持灵活部署IPS设备的交换设备的结构框图。
具体实施方式
下面将首先介绍本发明采用的几种现有公知的技术,以帮助用户更好理解本发明。
PBR(Policy-Based Routing,策略路由)技术,应用在路由设备中,目的在于定义先于路由表生效的策略路由。并且配置PBR的步骤通常为:首先,定义一个ACL(Access Control List,访问控制列表),制定数据的匹配规则,比如特定的源IP地址、目的IP地址、端口号、或协议号等,确定匹配ACL的数据需要特殊处理;然后,定义一个PBR,将匹配ACL的数据发送到指定的下一跳地址上。
ARP(Address Resolution Protocol,地址解析协议)技术,应用在路由设备中,目的在于根据三层IP(Internet Protocol,互联网协议)地址查询到二层MAC(Media Access Control,介质访问控制)地址,然后对IP报文进行二层封装。ARP协议的运行结果是在本地建立一个IP地址与MAC地址的映射表,也即ARP表。并且,静态ARP技术是通过手动方式往所述ARP表中添加一个IP地址与MAC地址的映射表项。
流量重定向(Traffic Redirect)技术,应用在交换设备的端口上,用于改变数据的转发方向,使得所述数据被输出到其他端口、或者其他IP地址或网段。
如图2A~2B所示,本发明IPS设备灵活部署的方法是指:
首先,将IPS设备210旁路于网络中数据流经的节点设备220/230上,也即将所述节点设备220/230的两个接口分别连接至所述IPS设备210的出/入接口(如图2A~2B中黑色连接线所示)。
然后,通过在节点设备220/230上进行相应的配置,将所述节点设备220/230中需要IPS处理的数据转发至所述IPS设备210(如图2A~2B中黑色箭头线所示),从而使得所述IPS设备210能够对所述数据进行安全性检查过滤。并且,如果所述需要IPS处理的数据通过了所述IPS设备210的检查,也即其不被丢弃,则其最终将返回所述节点设备220/230进行正常转发(同样如图2A~2B中黑色箭头线所示)。
需要说明的是,所述节点设备220/230包括但不限于路由设备220和交换设备230等,所述IPS设备210至少包括三层IPS设备和/或二层IPS设备。下面将区别具体实施时所述节点设备220/230和所述IPS设备210的设备种类,详细介绍本发明所提供IPS设备灵活部署的方法。
图3示出了本发明IPS设备灵活部署方法第一实施例的网络结构图,其中节点设备320为三层路由设备、IPS设备310为二层IPS设备,并对其详细解释如下。
如图3所示,所述二层IPS设备310的入接口310#1连接至所述三层路由设备320的以太网接口320#A,而所述二层IPS设备310的出接口310#2连接至所述三层路由设备320的以太网接口320#B。与现有公知技术中常用的串联接入方法,图3所示的旁路接入部署方式不需要修改网络300的现有结构,从而不会造成额外的业务中断。
确定所述二层IPS设备310已旁路接入所述网络300之后,通过对所述网络300中与所述二层IPS设备310连接的三层路由设备320进行相应配置,使得所述三层路由设备320中需要IPS处理的数据从其接口320#A输出至所述二层IPS设备310的入接口310#1,并在通过相应的安全性过滤检查之后,从所述二层IPS设备310的出接口310#2输出至所述三层路由设备320中接口320#B以进行正常的数据转发。
具体而言,上述相应配置主要包括有:首先,在所述三层路由设备320上配置PBR使所述需要IPS处理的数据下一跳发送到一个虚IP地址上,且发送到所述虚IP地址的数据将流经所述二层IPS设备310;同时,与所述PBR相配合,在所述三层路由设备320上配置静态ARP,将所述虚IP地址映射到连接所述二层IPS设备310中出接口310#2的接口320#B的MAC地址上。这样,所述二层路由设备320中需要IPS处理的数据,将从所述接口320#A输入所述二层IPS设备310,并在通过所述二层IPS设备310的安全性过滤检查之后,从所述接口320#B返回所述二层路由设备320。
其中,所述PBR作为策略路由将先于所述三层路由设备320中的路由表生效。这样,通过所述PBR将匹配出所述需要IPS处理的数据,并将所述需要IPS处理的数据转发到指定的下一跳虚IP地址上,而所述指定的下一跳虚IP地址上数据将输入所述二层IPS设备310。
至于如何确保所述虚IP地址上的数据将被正确发送至所述二层IPS设备310,本发明提供的解决措施是,将所述虚IP地址与所述三层路由设备320中接口320#A的IP地址配置在同一网段中。这样,由于所述虚IP地址与所述接口320#A为连接路由(处于同一网段),再加之所述接口320#A与所述二层IPS设备310的入接口310#1连接,从而使得由所述PBR定向至所述虚IP地址的数据将直接从所述接口320#A输入所述二层IPS设备310。
一般来说,需要在所述三层路由设备320中所有入接口上均使能所述PBR。当然,用户也可根据网络运行状况和实际业务处理需要,有选择地在所述三层路由设备320中部分入接口上使能所述PBR。
此外,用户还可优选地通过所述PBR的下一跳备份能力,灵活设定当所述二层IPS设备310出现故障时的数据转发策略。比如,将所述PBR的备份下一跳配置成指向空(NULL)接口,使得当所述二层IPS设备310不可达时,所述三层路由设备320将完全丢弃所述需要IPS处理的数据;或者,不对所述PBR的备份下一跳进行配置,使得当所述二层IPS设备310出现故障时,所述三层路由设备320将根据其中路由表对所述需要IPS处理的数据进行正常转发。
下面将以从所述三层路由设备320中接口320#C输入、并从所述三层路由设备320中接口320#D输出的数据为例(参见图3中虚线箭头所示),同时参照图4详细介绍所述网络300中数据的转发流程。
如图4所示,当图3所示网络300中三层路由设备320从其接口320#C接收到数据(图4所示步骤R2-1)后,所述三层路由设备320将首先对所述数据进行二层解封装处理(图4所示步骤R2-2),随后所述三层路由设备320中PBR将优先发生作用以判定所述数据是否需要IPS处理(图4所示步骤R2-3),判定否则根据所述三层路由设备320中路由表进行正常的数据转发(执行图4所示步骤R2-3N1~R2-3N3),判定是则将所述数据重定向流经所述二层IPS设备310之后,再返回所述三层路由设备320进行正常的数据转发(执行图4所示步骤R2-3Y1~R2-3Y6)。
其中,有关正常的数据转发(包括图4所示步骤R2-3N1~R2-3N3),本领域现有公知的技术文献中多所披露,故在此不再赘述。而有关如何转发所述需要IPS处理的数据,将参照图4所示实施例详细介绍如下。
对于通过所述PBR匹配确定需要IPS处理的数据,所述三层路由设备320将首先查找所述虚IP地址的路由表项,发现所述虚IP地址与所述三层路由设备320中接口320#A的IP地址配置在同一网段中,并据此确定所述需要IPS处理的数据的输出接口为所述接口320#A(图4所示步骤R2-3Y1);然后,通过查找ARP表命中所述静态ARP表项,并据此将所述三层路由设备320中接口320#B的MAC地址作为链路层目的地址封装在所述需要IPS处理的数据上(图4所示步骤R2-3Y2)。
至此,所述三层路由设备320将把所述需要IPS处理的数据从其接口320#A输出至所述二层IPS设备310的入接口310#1(图4所示步骤R2-3Y3),而所述需要IPS处理的数据中封装有所述接口320#B的MAC地址作为其链路层目的地址。
随后,所述二层IPS设备310从其入接口310#1接收到所述需要IPS处理的数据,并对其进行相应的安全性过滤检查(图4所示步骤R2-3Y4)。如果所述数据通过了所述二层IPS设备310的安全性过滤检查,则其将从所述二层IPS设备310的出接口310#2输出至所述三层路由设备320的接口320#B(图4所示步骤R2-3Y5)。
至此,所述需要IPS处理的数据旁路流经所述二层IPS设备310的转发流程已结束。随后,所述三层路由设备320从其接口320#B接收到已通过安全性过滤检查的数据后,由于所述数据的链路层目的地址为本地接口320#B的MAC地址,因此将对所述数据进行二层解封装(图4所示步骤R2-3Y6),然后将其直接送交三层路由进行正常转发(执行图4所示步骤R2-3N1~R2-3N3)。
需要说明的是,图3、图4所示以及上述相关介绍均为单向流量通过所述二层IPS设备310的设计方案,如果对往返流量均希望流经所述二层IPS设备310进行安全性过滤检查,只需反向再配置一遍所述PBR及所述静态ARP即可。
图5示出了本发明IPS设备灵活部署方法第二实施例的网络结构图,其中节点设备520为三层路由设备、IPS设备510为三层IPS设备,并对其详细解释如下。
如图5所示,所述三层IPS设备510的入接口510#1连接至所述三层路由设备520的以太网接口520#A,而所述三层IPS设备510的出接口510#2连接至所述三层路由设备520的以太网接口520#B。与现有公知技术中常用的串联接入方法,图5所示的旁路接入部署方式不需要修改网络500的现有结构,从而不会造成额外的业务中断。
确定所述三层IPS设备510已旁路接入所述网络500之后,通过对所述网络500中与所述三层IPS设备510连接的三层路由设备520进行相应配置,使得所述三层路由设备520中需要IPS处理的数据从其接口520#A输出至所述三层IPS设备510的入接口510#1,并在通过相应的安全性过滤检查之后,从所述三层IPS设备510的出接口510#2输出至所述三层路由设备520中接口520#B以进行正常的数据转发。
具体而言,上述相应配置主要包括有:在所述三层路由设备520上配置PBR使所述需要IPS处理的数据下一跳发送到所述三层IPS设备510的入接口IP地址上;同时,将所述三层IPS设备510中入接口510#1的IP地址和所述三层路由设备520中接口520#A的IP地址配置在同一网段中,和/或将所述三层IPS设备510中出接口510#2的IP地址和所述三层路由设备520中接口520#B的IP地址配置在同一网段中。这样,所述三层路由设备520中需要IPS处理的数据,将从所述接口520#A输入所述三层IPS设备510,并在通过所述三层IPS设备510的安全性过滤检查之后,从所述接口520#B返回所述三层路由设备520。
其中,所述PBR作为策略路由将先于所述三层路由设备520中的路由表生效。这样,通过所述PBR将匹配出所述需要IPS处理的数据,并将所述需要IPS处理的数据转发到所述三层IPS设备510中入接口510#1的IP地址上。
至于如何确保所述需要IPS处理的数据将被正确发送至所述三层IPS设备510,本发明提供的解决措施是,将所述三层IPS设备510中入接口510#1的IP地址与所述三层路由设备520中接口520#A的IP地址配置在同一网段中。这样,由于所述三层IPS设备510的入接口510#1与所述接口520#A为连接路由(处于同一网段),再加之所述接口520#A与所述三层IPS设备510的入接口510#1物理上连接,从而使得由所述PBR定向至所述三层IPS设备510中入接口510#1的IP地址上的数据将直接从所述接口520#A输入所述三层IPS设备510。
一般来说,需要在所述三层路由设备520中所有入接口上均使能所述PBR。当然,用户也可根据网络运行状况和实际业务处理需要,有选择地在所述三层路由设备520中部分入接口上使能所述PBR。
此外,用户还可优选地通过所述PBR的下一跳备份能力,灵活设定当所述三层IPS设备510出现故障时的数据转发策略。比如,将所述PBR的备份下一跳配置成指向空(NULL)接口,使得当所述三层IPS设备510不可达时,所述三层路由设备520将完全丢弃所述需要IPS处理的数据;或者,不对所述PBR的备份下一跳进行配置,使得当所述三层IPS设备510出现故障时,所述三层路由设备520将根据其中路由表对所述需要IPS处理的数据进行正常转发。
下面将以从所述三层路由设备520中接口520#C输入、并从所述三层路由设备520中接口520#D输出的数据为例(参见图5中虚线箭头所示),同时参照图6详细介绍网络500中数据的转发流程。
如图6所示,当图5所示网络500中三层路由设备520从其接口520#C接收到数据(图6所示步骤R3-1)后,所述三层路由设备520中的PBR将优先发生作用以判定所述数据是否需要IPS处理(图6所示步骤R3-2),判定否则根据所述三层路由设备520中路由表进行正常的数据转发(执行图6所示步骤R3-2N1~R3-2N2),判定是则将所述数据重定向流经所述三层IPS设备510之后,再返回所述三层路由设备520进行正常的数据转发(执行图6所示步骤R3-2Y1~R3-2Y4)。
其中,有关正常的数据转发(包括图6所示步骤R3-2N1~R3-2N2),本领域现有公知的技术文献中多有披露,故在此不再赘述。而有关如何转发所述需要IPS处理的数据,将参照图6所示实施例详细介绍如下。
对于通过所述PBR匹配确定需要IPS处理的数据,所述三层路由设备520将首先查找指定的所述三层IPS设备510中入接口510#1的IP地址的路由表项,发现所述入接口510#1的IP地址与所述三层路由设备520中接口520#A的IP地址配置在同一网段中,并据此确定所述需要IPS处理的数据的输出接口为所述接口520#A(图6所示步骤R3-2Y1)。接着,所述三层路由设备520将所述需要IPS处理的数据从其接口520#A输出至所述三层IPS设备510的入接口510#1(图6所示步骤R3-2Y2)。
随后,所述三层IPS设备510从其入接口510#1接收到所述需要IPS处理的数据,并对其进行相应的安全性过滤检查(图6所示步骤R3-2Y3)。如果所述数据通过了所述三层IPS设备510的安全性过滤检查,则其将从所述三层IPS设备510的出接口510#2输出至所述三层路由设备520的接口520#B(图6所示步骤R3-2Y4)。
至此,所述需要IPS处理的数据旁路流经所述三层IPS设备510的转发流程已结束。随后,所述三层路由设备520从其接口520#B接收到已通过安全性过滤检查的数据后,将所述数据直接送交三层路由进行正常的数据转发(执行图6所示步骤R3-2N1~R3-2N2)。
需要说明的是,图5、图6所示以及上述相关介绍均为单向流量通过所述三层IPS设备510的设计方案,如果对往返流量均希望流经所述三层IPS设备510进行安全性过滤检查,只需反向再配置一遍所述PBR及所述静态ARP即可。
图7示出了本发明IPS设备灵活部署方法第三实施例的网络结构图,其中节点设备720为二层交换设备,IPS设备710为二层IPS设备,并对其详细解释如下。
如图7所示,所述二层IPS设备710的入接口710#1连接至所述二层交换设备720的以太网接口720#A,而所述二层IPS设备710的出接口710#2连接至所述二层交换设备720的以太网接口720#B。与现有公知技术中常用的串联接入方法,图7所示的旁路接入部署方式不需要修改网络700的现有结构,从而不会造成额外的业务中断。
确定所述二层IPS设备710已旁路接入所述网络700之后,通过对所述网络700中与所述二层IPS设备710连接的二层交换设备720进行相应配置,使得所述二层交换设备720中需要IPS处理的数据从其接口720#A输出至所述二层IPS设备710的入接口710#1,并在通过相应的安全性过滤检查之后,从所述二层IPS设备710的出接口710#2输出至所述二层交换设备720中接口720#B以进行正常的数据转发。
具体而言,上述相应配置主要包括有:在所述二层交换设备720定义ACL匹配所述需要IPS处理的数据;同时,对通过匹配所述ACL确定需要IPS处理的数据应用流量重定向技术,将其定向到所述二层交换设备720中连接所述二层IPS设备710入接口710#1的接口720#A上。这样,所述二层交换设备720中需要IPS处理的数据,将从所述接口720#A输入所述二层IPS设备710,并在通过所述二层IPS设备710的安全性过滤检查之后,从所述接口720#B返回所述二层交换设备720。
需要注意的是,在所述二层交换设备720中连接所述二层IPS设备710的接口720#A和接口720#B上禁止使用STP(Spanning Tree Protocol,生成树协议),同时优选地在所述二层交换设备720的接口(包括720#A、720#B、720#C、720#D等)上分别定义出入方向的ACL,以确保转发所述需要IPS处理的数据时不会产生网络环路和风暴。
此外,当所述网络700中包含多VLAN(Virtual Local Area Network,虚拟本地网)流量,且所述二层IPS设备710支持处理VLAN流量时,还需要对所述二层交换设备720中连接所述二层IPS设备710的接口720#A和接口720#B进行相应配置,使所述接口720#A和接口720#B能够承载所有需要处理的VLAN流量。
下面将以从所述二层交换设备720中接口720#C输入、并从所述二层交换设备720中接口720#D输出的数据为例(参见图7中虚线箭头所示),同时参照图8详细介绍网络700中数据的转发流程。
如图8所示,当图7所示网络700中二层交换设备720从其接口720#C接收到数据(图8所示步骤S2-1)后,所述二层交换设备720将首先通过匹配所述ACL来判定所述数据是否需要IPS处理(图8所示步骤S2-2),判定否则根据所述二层交换设备720中转发表进行正常的数据转发(执行图8所示步骤S2-2N1~S2-2N2),判定是则将所述数据重定向流经所述二层IPS设备710之后,再返回所述二层交换设备720进行正常的数据转发(执行图8所示步骤S2-2Y1~S2-2Y3)。
其中,有关正常的数据转发(包括图8所示步骤S2-2N1~S2-2N2),本领域现有公知的技术文献中多有披露,故在此不再赘述。而有关如何转发所述需要IPS处理的数据,将参照图8所示实施例详细介绍如下。
对于通过匹配所述ACL确定需要IPS处理的数据,所述二层交换设备720直接将其从接口720#A输出至所述二层IPS设备710的入接口710#1(图8所示步骤S2-2Y1)。随后,所述二层IPS设备710从其入接口710#1接收到所述需要IPS处理的数据,并对其进行相应的安全性过滤检查(图8所示步骤S2-2Y2)。如果所述数据通过了所述二层IPS设备710的安全性过滤检查,则其将从所述二层IPS设备710的出接口710#2输出至所述二层交换设备720的接口720#B(图8所示步骤S2-2Y3)。
至此,所述需要IPS处理的数据旁路流经所述二层IPS设备710的转发流程已结束。随后,所述二层交换设备720从其接口720#B接收到已通过安全性过滤检查的数据后,将根据其中转发表对所述数据进行正常转发(执行图8所示步骤S2-2N1~S3-2N2)。
需要说明的是,图7、图8所示以及上述相关介绍均为单向流量通过所述二层IPS设备710的设计方案,如果对往返流量均希望流经所述二层IPS设备710进行安全性过滤检查,只需反向再配置一遍所述PBR及所述静态ARP即可。
此外,本发明还提供了一种支持灵活部署IPS设备的路由设备,以支持上述IPS设备灵活部署方法的实施。下面将参照图9详细介绍所述路由设备。
如图9所示,本发明所提供支持灵活部署IPS设备1100的路由设备900包括有现有常用路由设备的公知构件,比如:用于输入/输出数据的接口910#1/910#2/940#1/940#2,用于存储到达特定目的地址的数据传输路径的路由表950,用于在本地建立一个IP地址和MAC地址映射表的ARP表960,以及用于根据所述路由表950和ARP表960进行正常数据转发的路由单元930。
同时,所述路由设备900还包括有策略路由单元920。所述策略路由单元分别与所述接口910#1/910#2/940#1/940#2、所述路由表950、所述ARP表960、及所述路由单元930相连,用于根据预定规则区分从所述接口910#1输入的数据是否需要IPS处理,如果需要则将相应需要IPS处理的数据重定向至指定的IP地址上,使得所述需要IPS处理的数据能够被转发至所述IPS设备1100。
并且,如图9所示,当所述路由设备中入接口910#2和出接口940#2分别连接至所述IPS设备1100的出/入接口时,根据所述IPS设备1100的二/三层分类,所述指定的IP地址优选为一个预设的虚IP地址、或者为所述IPS设备1100入接口的IP地址。具体而言:
当所述IPS设备1100为二层设备时,所述指定的IP地址优选为一个预设的虚IP地址。并且,所述虚IP地址与连接所述IPS设备1100入接口的接口940#2的IP地址配置在同一网段中;同时,在所述ARP表960中,所述虚IP地址被静态映射到连接所述IPS设备1100出接口的接口910#2的MAC地址上。
当所述IPS设备1100为三层设备时,所述指定的IP地址优选为所述IPS设备1100入接口的IP地址。并且,所述IPS设备1100入接口的IP地址,与所述路由设备900中连接所述IPS设备1100入接口的出接口940#2的IP地址配置在同一网段中。
这样,当所述路由设备900从其入接口910#1接收到数据后,所述策略路由单元920将首先进行PBR匹配以确定所述数据是否需要IPS处理。如果确定所述数据不需要IPS处理,则将所述数据交由路由单元930进行正常的数据转发,如图9中框形箭头所示。如果确定所述数据需要IPS处理,则将所述数据转发至旁路接入的所述IPS设备1100,而所述数据通过所述IPS设备1100后将返回所述路由设备900以进行后续的正常转发,如图9中黑线箭头所示。
必须指出的是,为了清晰图示所述路由设备900中的数据转发流程,在图9中对所述路由设备900的接口按数据输入/输出方向区分为入接口(包括910#1和910#2)以及出接口(包括940#1和940#2)。然而本领域技术人员应能理解,实际实施本发明技术方案时所述出接口和所述入接口完全可以二位一体,也即所述路由设备900的接口既可用于输入数据、也可用于输出数据。
同时,本发明还提供了一种支持灵活部署IPS设备的交换设备,以支持上述IPS设备灵活部署方法的实施。下面将参照图10详细介绍所述交换设备。
如图10所示,本发明所提供支持灵活部署IPS设备1100的交换设备1000不仅包括有现有常用交换设备的公知构件,比如:用于输入/输出数据的接口1010#1/1010#2/1040#1/1040#2,用于存储所述接口1010#1/1010#2/1040#1/1040#2的输入/输出数据交换关系的转发表1050,以及用于根据所述转发表1050进行数据转发的交换单元1030。
同时,所述交换设备1000还包括有转发预处理单元1020。所述转发预处理单元1020分别与所述接口1010#1/1010#2/1040#1/1040#2、所述转发表1050、及所述交换单元1030相连,用于根据预定的ACL确定所述接口1010#1输入的数据是否需要IPS处理,如果需要则将相应需要IPS处理的数据转发到连接所述IPS设备1100入接口的接口1040#2上。
并且,如图10所示,当所述交换设备1000中的入接口1010#2和出接口1040#2分别连接至IPS设备1100的出/入接口时,通常需要在所述交换设备1000中的接口(包括1010#1、1040#1、1010#2、及1040#2)上分别定义出入方向的ACL,以确保转发所述需要IPS处理的数据时不会产生网络环路和风暴。
这样,当所述交换设备1000从其入接口1010#1接收到数据后,所述转发预处理单元1020将首先通过匹配ACL来确定所述数据是否需要IPS处理。如果确定所述数据不需要IPS处理,则将所述数据交由交换单元1030进行正常的数据转发,如图10中框形箭头所示。如果确定所述数据需要IPS处理,则将所述数据转发至旁路接入的所述IPS设备1100,而所述数据通过所述IPS设备1100后将返回所述交换设备1000以进行后续的正常转发,如图10中黑线箭头所示。
必须指出的是,为了清晰图示所述交换设备1000中的数据转发流程,在图10中对所述交换设备1000的接口按数据输入/输出方向区分为入接口(包括1010#1和1010#2)以及出接口(包括1040#1和1040#2)。然而本领域技术人员应能理解,实际实施本发明技术方案时所述出接口和所述入接口完全可以二位一体,也即所述交换设备1000的接口既可用于输入数据、也可用于输出数据。
需要声明的是,上述发明内容及具体实施方式意在证明本发明所提供技术方案的实际应用,不应解释为对本发明保护范围的限定。本领域技术人员在本发明的精神和原理内,当可作各种修改、等同替换、或改进。本发明的保护范围以所附权利要求书为准。
Claims (13)
1.一种入侵防御系统IPS设备灵活部署的方法,其特征在于,包括有:
将节点设备的两个接口分别连接至所述IPS设备的出接口和入接口,使所述IPS设备旁路于所述节点设备;
对所述节点设备进行相应配置,使得所述节点设备中需要IPS处理的数据流经所述IPS设备进行安全性检查过滤之后,再返回所述节点设备进行正常转发。
2.如权利要求1所述的方法,其特征在于,当所述节点设备为三层设备、以及所述IPS设备为二层设备时,所述相应配置具体为:
在所述节点设备上配置策略路由PBR,使所述需要IPS处理的数据下一跳发送到一个虚IP地址上,并将所述虚IP地址与所述节点设备中连接所述IPS设备入接口的接口IP地址配置在同一网段中;
同时,在所述节点设备上配置静态地址解析协议ARP,将所述虚IP地址映射到所述节点设备中连接所述IPS设备出接口的接口介质访问控制MAC地址上。
3.如权利要求1所述的方法,其特征在于,当所述节点设备为三层设备、以及所述IPS设备为三层设备时,所述相应配置具体为:
在所述节点设备上配置PBR,使所述需要IPS处理的数据下一跳发送到所述IPS设备的入接口IP地址上,并将所述IPS设备的入接口IP地址和所述节点设备中与所述IPS设备的入接口连接的接口IP地址配置在同一网段中。
4.如权利要求1所述的方法,其特征在于,当所述节点设备为二层设备、以及所述IPS设备为二层设备时,所述相应配置具体为:
在所述节点设备上定义访问控制列表ACL匹配所述需要IPS处理的数据;
同时,对通过匹配所述ACL确定需要IPS处理的数据应用流量重定向技术,使其定向到所述节点设备中连接所述IPS设备入接口的接口上。
5.如权利要求2或3所述的方法,其特征在于,配置所述PBR的备份下一跳,使得所述节点设备在所述IPS设备出现故障时丢弃所述需要IPS处理的数据。
6.如权利要求2或3所述的方法,其特征在于,在所述节点设备的所有入接口上均使能所述PBR。
7.如权利要求4所述的方法,其特征在于,在所述节点设备的接口上分别定义出入方向的ACL。
8.一种支持灵活部署入侵防御系统IPS设备的路由设备,包括有用于输入/输出数据的接口、路由表、地址解析协议ARP表、以及用于根据所述路由表和ARP表进行数据转发的路由单元;其特征在于,还包括有:
策略路由单元,与所述接口、所述路由表、所述ARP表、以及所述路由单元相连,用于进行策略路由PBR匹配区分所述接口输入的数据是否需要IPS处理,如果需要则将相应需要IPS处理的数据转发到指定地址上。
9.如权利要求8所述的路由设备,其特征在于,所述策略路由单元通过定义策略路由PBR来将所述需要IPS处理的数据定向到所述指定地址上。
10.如权利要求8或9所述的路由设备,其特征在于,所述指定地址为一个虚IP地址、或者为所述IPS设备入接口的IP地址;并且,所述虚IP地址和所述IPS设备入接口的IP地址,分别与所述路由设备中连接所述IPS设备入接口的接口IP地址配置为同一网段地址。
11.如权利要求10所述的路由设备,其特征在于,在所述ARP表中,所述虚IP地址被静态映射到所述路由设备中连接所述IPS设备出接口的接口介质访问控制MAC地址上。
12.一种支持灵活部署入侵防御系统IPS设备的交换设备,包括有用于输入/输出数据的接口、转发表、以及用于根据所述转发表进行数据转发的交换单元;其特征在于,还包括有:
转发预处理单元,与所述接口、所述转发表、以及所述交换单元相连,用于根据预定的访问控制列表ACL确定所述接口输入的数据是否需要IPS处理,如果需要则将相应需要IPS处理的数据转发到所述交换设备中连接所述IPS设备入接口的接口上。
13.如权利要求12所述的交换设备,其特征在于,在所述交换设备的接口上分别预先定义出入方向的所述ACL,所述转发预处理单元通过匹配所述ACL决定数据是否需要IPS设备进行处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100960491A CN101060432B (zh) | 2007-04-10 | 2007-04-10 | 一种ips设备灵活部署的方法以及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007100960491A CN101060432B (zh) | 2007-04-10 | 2007-04-10 | 一种ips设备灵活部署的方法以及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101060432A CN101060432A (zh) | 2007-10-24 |
| CN101060432B true CN101060432B (zh) | 2010-08-18 |
Family
ID=38866337
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007100960491A Expired - Fee Related CN101060432B (zh) | 2007-04-10 | 2007-04-10 | 一种ips设备灵活部署的方法以及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101060432B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101827012B (zh) * | 2009-03-05 | 2013-02-13 | 中国移动通信集团公司 | 分组传送网及其承载纯三层ip包业务的方法 |
| CN103414730A (zh) * | 2013-08-29 | 2013-11-27 | 迈普通信技术股份有限公司 | 一种arp报文的处理方法及装置 |
| CN107707478A (zh) * | 2017-09-30 | 2018-02-16 | 迈普通信技术股份有限公司 | 数据转发方法及设备 |
| CN109922090A (zh) * | 2019-04-29 | 2019-06-21 | 杭州迪普科技股份有限公司 | 流量转发方法、装置、电子设备及机器可读存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
-
2007
- 2007-04-10 CN CN2007100960491A patent/CN101060432B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1725709A (zh) * | 2005-06-30 | 2006-01-25 | 杭州华为三康技术有限公司 | 网络设备与入侵检测系统联动的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101060432A (zh) | 2007-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100568787C (zh) | 支持以太网媒体接入控制电路的方法及装置 | |
| CN1855873B (zh) | 用于实现高可用性虚拟局域网的方法和系统 | |
| CN102158421B (zh) | 创建三层接口的方法及单元 | |
| CN106161335B (zh) | 一种网络数据包的处理方法和装置 | |
| CN101335708B (zh) | 一种报文转发方法和一种运营商边缘汇聚设备 | |
| CN100417142C (zh) | 将接口流量在多个网络处理器引擎中均担的方法 | |
| CN102325073B (zh) | 一种基于vpls的报文处理方法及其装置 | |
| CN103475750B (zh) | 一种适用于多出口网络的地址转换方法及设备 | |
| US7801060B2 (en) | Network management apparatus and network system | |
| CN102457409B (zh) | 链路故障检测方法及系统 | |
| CN101909001A (zh) | 使用最短路径桥接在计算机网络中转发帧 | |
| CN101060432B (zh) | 一种ips设备灵活部署的方法以及相关设备 | |
| CN109995654A (zh) | 一种基于隧道传输数据的方法及装置 | |
| CN101635702B (zh) | 应用安全策略的数据包转发方法 | |
| CN101106528A (zh) | 基于安全设备的报文转发系统和方法以及安全设备 | |
| US20140003433A1 (en) | Methods and apparatus for providing services in distributed switch | |
| US20100115032A1 (en) | Dynamic connectivity determination | |
| CN100486181C (zh) | 一种灵活组网的方法以及相关路由设备 | |
| WO2006098837A2 (en) | Method for facilitating application server functionality and access node comprising same | |
| CN105915428A (zh) | 基于open_flow协议的sdn网络l2vpn实现方法及系统 | |
| CN101248620A (zh) | 一种标签报文路径合法性检查的实现方法 | |
| CN101188613A (zh) | 一种结合路由和隧道重定向网络攻击的方法 | |
| CN107968849A (zh) | 一种网络专线接驳的方法及装置 | |
| CN104579697B (zh) | 网络扩展模块及多网络处理系统 | |
| CN101557541B (zh) | 数据包传输的方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100818 Termination date: 20200410 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |