CN101902469A - 一种基于二层网络设备的智能安全防御方法 - Google Patents
一种基于二层网络设备的智能安全防御方法 Download PDFInfo
- Publication number
- CN101902469A CN101902469A CN201010225642.3A CN201010225642A CN101902469A CN 101902469 A CN101902469 A CN 101902469A CN 201010225642 A CN201010225642 A CN 201010225642A CN 101902469 A CN101902469 A CN 101902469A
- Authority
- CN
- China
- Prior art keywords
- security
- packet
- port
- application port
- definitions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种基于二层网络设备的智能安全防御方法,用于二层网络设备对网络数据包的智能筛选及主动安全防御。所述方法步骤为:(1)在二层网络设备中建立安全机制;(2)二层网络设备在接收到网络数据包后,会自动将数据包中的安全定义模块提取出来;(3)用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义;如果安全级别为安全,则进行网络数据包的正常转发;如果安全级别为危险,则将网络数据包丢弃。本发明一种基于二层网络设备的智能安全防御方法,基于二层网络设备,能够智能分析网络数据包并进行主动安全防御。
Description
(一)技术领域
本发明涉及基于二层网络设备的智能安全防御方法,用于二层网络设备对网络数据包的智能筛选及主动安全防御。
(二)背景技术
随着网络规模的不断扩大、网络复杂度的不断提高,网络攻击与网络病毒也在迅速蔓延,不断的威胁着人们的网络安全,人们对于网络安全的需求也越来越迫切和强烈。目前市场上比较流行的网络安全产品分为两种:一种是基于三层的防火墙设备,一种是安装在终端机上的软件防火墙。基于三层的防火墙设备主要针对广域网中的网络攻击和网络病毒,能有效的保护防火墙内部的网络环境不受广域网的影响,但是它最大的缺点就是尽管它能非常有效的保护好内部的网络环境不受外部环境的影响,却无法抑制防火墙内部网络环境中蔓延的网络攻击和网络病毒。另外一种安装在终端机上的软件防火墙主要针对其他终端机对该终端机发起的网络攻击和网络病毒,能在一定程度上保护终端机的安全,但是却无法阻挡终端机向外发起网络攻击和网络病毒,由于软件防火墙是安装在终端机上的软件,所以对终端机的性能依赖较高,且由于它属于应用软件,无法直接对硬件进行控制,而必须通过操作系统的过度,如果网络攻击与网络病毒的爆发量过大时非常容易造成操作系统假死或者终端机当机。所以为了有效的保护好硬件防火墙内部的局域网环境,就必须让二层网络设备拥有对网络攻击和网络病毒的安全防御功能。
(三)发明内容
本发明的目的在于克服上述不足,提供一种基于二层网络设备的智能安全防御方法,该方法基于二层网络设备,能够智能分析网络数据包并进行主动安全防御。
本发明的目的是这样实现的:一种基于二层网络设备的智能安全防御方法,所述方法步骤为:
(1)在二层网络设备中建立一种包括设备的物理接口安全范围、媒体访问控制(MAC)地址基于物理接口的安全定义、因特网协议(IP)地址基于MAC地址的安全定义以及应用端口基于手工配置的安全定义的安全机制;
(2)二层网络设备在接收到网络数据包后,会自动将数据包中包括接收数据包的物理端口号、数据包的源IP地址、数据包的源MAC地址以及数据包的源应用端口与目的应用端口的安全定义模块提取出来;
(3)用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义,即用各个安全定义机制对安全定义模块中的各要素分别进行安全级别定义;如果安全级别为安全,则进行网络数据包的正常转发;如果安全级别为危险,则将网络数据包丢弃;其具体判断过程如下:
(A1)将提取出来的接收数据包的物理端口号进行安全级别定义:如果该端口属于设备的物理接口安全范围,则进入下述第(A2)步;如果该端口不属于安全定义范围,则不做任何处理,直接将数据包转发出去;
(A2)将提取出来的数据包的源MAC地址进行安全级别定义:如果该MAC地址属于该物理接口的MAC安全定义,则进入下述第(A3)步;如果该MAC地址不属于该物理接口的MAC安全定义,则将接收到的网络数据包丢弃;
(A3)将提取出来的数据包的源IP地址进行安全级别定义:如果该IP地址属于该MAC地址的IP安全定义,则进入下述第(A4)步;如果该IP地址不属于该MAC地址的IP安全定义,则将接收到的网络数据包丢弃;
(A4)将提取出来的源应用端口与目的应用端口进行安全级别定义:如果源应用端口与目的应用端口全部都被定义为安全,则直接将数据包正常转发;如果源应用端口与目的应用端口任意一个或者全部都被定义为危险,则将接收到的网络数据包丢弃;具体过程如下:
(B1)判断是否存在基于手工配置的应用端口安全定义,如果存在,则进入下述第(B2)步;否则,正常转发数据包;
(B2)判断是否定义了危险应用端口,如果定义了,则进入下述第(B3)步;否则,进入下述第(B4)步;
(B3)判断源应用端口和目的应用端口是否有任意一个或者全部都属于危险应用端口,如果是,则丢弃接收到的网络数据包;否则,进入下述第(B4)步;
(B4)判断是否定义了安全应用端口,如果定义了,则进入下述第(B5)步;否则,正常转发数据包;
(B5)判断源应用端口和目的应用端口是否全部都属于安全应用端口,如果是,则正常转发数据包;否则,丢弃接收到的网络数据包。
本发明一种基于二层网络设备的智能安全防御方法,所述步骤(1)中还包括:设备的物理接口安全范围定义为一个或多个物理接口,最大定义数为设备的总物理接口数;基于物理接口的MAC地址安全定义为一个或多个MAC地址;基于MAC地址的IP地址安全定义为一个或多个IP地址;基于手工配置的应用端口安全定义为一个或多个端口号。
本发明一种基于二层网络设备的智能安全防御方法,所述步骤(1)中还包括:级连物理接口上的安全定义为该接口所级连设备上所有安全定义的总合。
本发明一种基于二层网络设备的智能安全防御方法,所述步骤(A4)中还包括:基于手工配置的应用端口安全定义可以只定义危险应用端口,也可以只定义安全应用端口,或者安全应用端口和危险应用端口一起定义。
本发明的有益效果是:
本发明一种基于二层网络设备的智能安全防御方法,能够解决内部局域网环境中的攻击行为和病毒灾难蔓延,在只占用了二层网络设备的一小部分资源的情况下保证了局域网环境的安全,且由于本方法属于智能安全防御,所以当第一次实施时完成了安全定义,在后期的使用过程中几乎不用人员监控,为网络管理员节省了大量的人力成本和时间成本。
(四)附图说明
图1为本发明的网络应用环境示意图。
图2为本发明方法的流程示意图。
图3为用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义的步骤图。
图4为使用基于手工配置的应用端口安全定义将提取出来的源应用端口与目的应用端口进行安全级别定义的步骤图。
图中:
防火墙1、路由器2、二层交换机3、终端PC机4。
(五)具体实施方式
下面结合附图对本发明作进一步详细的描述。
图1所示为本发明网络应用环境,包含有防火墙1、路由器2、二层交换机3和终端PC机4,外网经上述防火墙1、路由器2和二层交换机3后与PC机4进行通信。
图2所示为基于二层网络设备的智能安全防御方法,其实施步骤如下:
步骤1:在二层网络设备中建立一种安全机制,其中包括设备的物理接口安全范围、MAC地址基于物理接口的安全定义、IP地址基于MAC地址的安全定义以及应用端口基于手工配置的安全定义。其中设备的物理接口安全范围可以只包括一个物理接口或者包括多个物理接口;MAC地址基于物理接口的安全定义、IP地址基于物理接口的安全定义以及应用端口基于手工配置的安全定义都可以只定义一个或者定义多个。除了物理接口安全范围之外,级连物理接口上的安全定义可以是该接口所级连设备上所有安全定义的总合。基于手工配置的应用端口安全定义可以不基于物理接口、IP地址和MAC地址而单独定义使用。所有的安全定义可以根据具体的网络环境和用户安全需求进行定义,可以通过命令行或网管手工配置或设备WEB管理界面配置。
步骤2:二层网络设备在接收到网络数据包后,会自动将数据包中的安全定义模块提取出来,其中包括接收数据包的物理端口号、数据包的源IP地址、数据包的源MAC地址以及数据包的源应用端口与目的应用端口。对于不同类型的网络数据包,会根据不同的偏移量进行安全定义模块的获取。
步骤3:用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义,即用各个安全定义机制对安全定义模块中的各要素分别进行安全级别定义。如果安全级别为安全,则进行网络数据包的正常转发;如果安全级别为危险,则将网络数据包丢弃。
如图3所示,用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义的步骤如下:
(A1)将提取出来的接收数据包的物理端口号进行安全级别定义:如果该端口属于设备的物理接口安全范围,则进入下述第(A2)步;如果该端口不属于安全定义范围,则不做任何处理,直接将数据包转发出去;
(A2)将提取出来的数据包的源MAC地址进行安全级别定义:如果该MAC地址属于该物理接口的MAC安全定义,则进入下述第(A3)步;如果该MAC地址不属于该物理接口的MAC安全定义,则将接收到的网络数据包丢弃;
(A3)将提取出来的数据包的源IP地址进行安全级别定义:如果该IP地址属于该MAC地址的IP安全定义,则进入第下述(A4)步;如果该IP地址不属于该MAC地址的IP安全定义,则将接收到的网络数据包丢弃;
(A4)将提取出来的源应用端口与目的应用端口进行安全级别定义:如果源应用端口与目的应用端口全部都被定义为安全,则直接将数据包正常转发;如果源应用端口与目的应用端口任意一个或者全部都被定义为危险,则将接收到的网络数据包丢弃。
如图4所示,使用基于手工配置的应用端口安全定义将提取出来的源应用端口与目的应用端口进行安全级别定义的步骤如下:
(B1)判断是否存在基于手工配置的应用端口安全定义,如果存在,则进入下述第(B2)步;否则,正常转发数据包;
(B2)判断是否定义了危险应用端口,如果定义了,则进入下述第(B3)步;否则,进入下述第(B4)步;
(B3)判断源应用端口和目的应用端口是否有任意一个或者全部都属于危险应用端口,如果是,则丢弃接收到的网络数据包;否则,进入下述第(B4)步;
(B4)判断是否定义了安全应用端口,如果定义了,则进入下述第(B5)步;否则,正常转发数据包;
(B5)判断源应用端口和目的应用端口是否全部都属于安全应用端口,如果是,则正常转发数据包;否则,丢弃接收到的网络数据包。
对于不同类型的网络数据包,会根据不同的偏移量进行安全定义模块的获取。
所有的安全定义根据具体的网络环境和用户安全需求进行定义,通过命令行或网管手工配置或设备WEB管理界面配置。
Claims (5)
1.一种基于二层网络设备的智能安全防御方法,其特征在于:所述方法步骤为:
(1)在二层网络设备中建立一种包括设备的物理接口安全范围、媒体访问控制(MAC)地址基于物理接口的安全定义、因特网协议(IP)地址基于MAC地址的安全定义以及应用端口基于手工配置的安全定义的安全机制;
(2)二层网络设备在接收到网络数据包后,会自动将数据包中包括接收数据包的物理端口号、数据包的源IP地址、数据包的源MAC地址以及数据包的源应用端口与目的应用端口的安全定义模块提取出来;
(3)用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义,即用各个安全定义机制对安全定义模块中的各要素分别进行安全级别定义;如果安全级别为安全,则进行网络数据包的正常转发;如果安全级别为危险,则将网络数据包丢弃;其具体判断过程如下:
(A1)将提取出来的接收数据包的物理端口号进行安全级别定义:如果该端口属于设备的物理接口安全范围,则进入下述第(A2)步;如果该端口不属于安全定义范围,则不做任何处理,直接将数据包转发出去;
(A2)将提取出来的数据包的源MAC地址进行安全级别定义:如果该MAC地址属于该物理接口的MAC安全定义,则进入下述第(A3)步;如果该MAC地址不属于该物理接口的MAC安全定义,则将接收到的网络数据包丢弃;
(A3)将提取出来的数据包的源IP地址进行安全级别定义:如果该IP地址属于该MAC地址的IP安全定义,则进入下述第(A4)步;如果该IP地址不属于该MAC地址的IP安全定义,则将接收到的网络数据包丢弃;
(A4)将提取出来的源应用端口与目的应用端口进行安全级别定义:如果源应用端口与目的应用端口全部都被定义为安全,则直接将数据包正常转发;如果源应用端口与目的应用端口任意一个或者全部都被定义为危险,则将接收到的网络数据包丢弃;具体过程如下:
(B1)判断是否存在基于手工配置的应用端口安全定义,如果存在,则进入下述第(B2)步;否则,正常转发数据包;
(B2)判断是否定义了危险应用端口,如果定义了,则进入下述第(B3)步;否则,进入下述第(B4)步;
(B3)判断源应用端口和目的应用端口是否有任意一个或者全部都属于危险应用端口,如果是,则丢弃接收到的网络数据包;否则,进入下述第(B4)步;
(B4)判断是否定义了安全应用端口,如果定义了,则进入下述第(B5)步;否则,正常转发数据包;
(B5)判断源应用端口和目的应用端口是否全部都属于安全应用端口,如果是,则正常转发数据包;否则,丢弃接收到的网络数据包。
2.根据权利要求1所述一种基于二层网络设备的智能安全防御方法,其特征在于:所述步骤(1)中还包括:设备的物理接口安全范围定义为一个或多个物理接口,最大定义数为设备的总物理接口数;基于物理接口的MAC地址安全定义为一个或多个MAC地址;基于MAC地址的IP地址安全定义为一个或多个IP地址;基于手工配置的应用端口安全定义为一个或多个端口号。
3.根据权利要求1或2所述一种基于二层网络设备的智能安全防御方法,其特征在于:所述步骤(1)中还包括:级连物理接口上的安全定义为该接口所级连设备上所有安全定义的总合。
4.根据权利要求1或2所述一种基于二层网络设备的智能安全防御方法,其特征在于:所述步骤(A4)中还包括:基于手工配置的应用端口安全定义可以只定义危险应用端口,也可以只定义安全应用端口,或者安全应用端口和危险应用端口一起定义。
5.根据权利要求3所述一种基于二层网络设备的智能安全防御方法,其特征在于:所述步骤(A4)中还包括:基于手工配置的应用端口安全定义可以只定义危险应用端口,也可以只定义安全应用端口,或者安全应用端口和危险应用端口一起定义。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010225642.3A CN101902469A (zh) | 2010-07-12 | 2010-07-12 | 一种基于二层网络设备的智能安全防御方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010225642.3A CN101902469A (zh) | 2010-07-12 | 2010-07-12 | 一种基于二层网络设备的智能安全防御方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101902469A true CN101902469A (zh) | 2010-12-01 |
Family
ID=43227670
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010225642.3A Pending CN101902469A (zh) | 2010-07-12 | 2010-07-12 | 一种基于二层网络设备的智能安全防御方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101902469A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102664804A (zh) * | 2012-04-24 | 2012-09-12 | 汉柏科技有限公司 | 网络设备实现网桥功能的方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1555166A (zh) * | 2003-12-26 | 2004-12-15 | ƽ | Pos数据过滤分发的方法与装置 |
CN1567808A (zh) * | 2003-06-18 | 2005-01-19 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
CN1610335A (zh) * | 2004-11-25 | 2005-04-27 | 上海复旦光华信息科技股份有限公司 | 基于网络处理器和cpu阵列的交换架构的安全过滤分流器 |
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
CN101222498A (zh) * | 2008-01-29 | 2008-07-16 | 中兴通讯股份有限公司 | 一种提高网络安全性的方法 |
US20090003317A1 (en) * | 2007-06-29 | 2009-01-01 | Kasralikar Rahul S | Method and mechanism for port redirects in a network switch |
CN101364877A (zh) * | 2008-09-28 | 2009-02-11 | 福建星网锐捷网络有限公司 | 安全策略配置方法及其装置 |
-
2010
- 2010-07-12 CN CN201010225642.3A patent/CN101902469A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1567808A (zh) * | 2003-06-18 | 2005-01-19 | 联想(北京)有限公司 | 一种网络安全装置及其实现方法 |
CN1555166A (zh) * | 2003-12-26 | 2004-12-15 | ƽ | Pos数据过滤分发的方法与装置 |
CN1610335A (zh) * | 2004-11-25 | 2005-04-27 | 上海复旦光华信息科技股份有限公司 | 基于网络处理器和cpu阵列的交换架构的安全过滤分流器 |
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
US20090003317A1 (en) * | 2007-06-29 | 2009-01-01 | Kasralikar Rahul S | Method and mechanism for port redirects in a network switch |
CN101222498A (zh) * | 2008-01-29 | 2008-07-16 | 中兴通讯股份有限公司 | 一种提高网络安全性的方法 |
CN101364877A (zh) * | 2008-09-28 | 2009-02-11 | 福建星网锐捷网络有限公司 | 安全策略配置方法及其装置 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102664804A (zh) * | 2012-04-24 | 2012-09-12 | 汉柏科技有限公司 | 网络设备实现网桥功能的方法及系统 |
CN102664804B (zh) * | 2012-04-24 | 2015-03-25 | 汉柏科技有限公司 | 网络设备实现网桥功能的方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102143143B (zh) | 一种网络攻击的防护方法、装置及路由器 | |
CN103023924B (zh) | 基于内容分发网络的云分发平台的DDoS攻击防护方法和系统 | |
CN100471172C (zh) | 一种黑名单实现的方法 | |
CN100592680C (zh) | 一种安全信息联动处理装置及方法 | |
CN105791047B (zh) | 一种安全视频专网网络管理系统的控制方法 | |
CN107135187A (zh) | 网络攻击的防控方法、装置及系统 | |
CN106411820A (zh) | 一种基于sdn架构的工业通信流传输安全控制方法 | |
EP3111712A1 (en) | Sensor network gateway | |
CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
CN104954367A (zh) | 一种互联网全向跨域DDoS攻击防护方法 | |
CN103200123A (zh) | 一种交换机端口安全控制方法 | |
CN103546488A (zh) | 电力二次系统的主动安全防御系统及方法 | |
JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
CN103036870A (zh) | 基于工业协议OPC Classic的无IP分布式工业防火墙深度检查算法 | |
CN105429974B (zh) | 一种面向sdn的入侵防御系统和方法 | |
CN103095730A (zh) | 基于故障树的信息安全风险评估方法及其系统 | |
CN112787911A (zh) | 一种物联网设备集成网关及系统 | |
CN104125213A (zh) | 一种防火墙抗分布式拒绝服务ddos攻击的方法和装置 | |
CN101141396B (zh) | 报文处理方法和网络设备 | |
CN101599889A (zh) | 一种以太网交换设备中防止mac地址欺骗的方法 | |
CN105429944A (zh) | 一种arp攻击自动识别调整的方法及路由器 | |
CN102075535B (zh) | 一种应用层分布式拒绝服务攻击过滤方法及系统 | |
CN108418794B (zh) | 一种智能变电站通信网络抵御arp攻击的方法及系统 | |
CN101902469A (zh) | 一种基于二层网络设备的智能安全防御方法 | |
CN103607350A (zh) | 一种路由生成方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20101201 |