CN101902469A - 一种基于二层网络设备的智能安全防御方法 - Google Patents

Abstract

本发明涉及一种基于二层网络设备的智能安全防御方法，用于二层网络设备对网络数据包的智能筛选及主动安全防御。所述方法步骤为：(1)在二层网络设备中建立安全机制；(2)二层网络设备在接收到网络数据包后，会自动将数据包中的安全定义模块提取出来；(3)用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义；如果安全级别为安全，则进行网络数据包的正常转发；如果安全级别为危险，则将网络数据包丢弃。本发明一种基于二层网络设备的智能安全防御方法，基于二层网络设备，能够智能分析网络数据包并进行主动安全防御。

Description

一种基于二层网络设备的智能安全防御方法

(一)技术领域

本发明涉及基于二层网络设备的智能安全防御方法，用于二层网络设备对网络数据包的智能筛选及主动安全防御。

(二)背景技术

随着网络规模的不断扩大、网络复杂度的不断提高，网络攻击与网络病毒也在迅速蔓延，不断的威胁着人们的网络安全，人们对于网络安全的需求也越来越迫切和强烈。目前市场上比较流行的网络安全产品分为两种：一种是基于三层的防火墙设备，一种是安装在终端机上的软件防火墙。基于三层的防火墙设备主要针对广域网中的网络攻击和网络病毒，能有效的保护防火墙内部的网络环境不受广域网的影响，但是它最大的缺点就是尽管它能非常有效的保护好内部的网络环境不受外部环境的影响，却无法抑制防火墙内部网络环境中蔓延的网络攻击和网络病毒。另外一种安装在终端机上的软件防火墙主要针对其他终端机对该终端机发起的网络攻击和网络病毒，能在一定程度上保护终端机的安全，但是却无法阻挡终端机向外发起网络攻击和网络病毒，由于软件防火墙是安装在终端机上的软件，所以对终端机的性能依赖较高，且由于它属于应用软件，无法直接对硬件进行控制，而必须通过操作系统的过度，如果网络攻击与网络病毒的爆发量过大时非常容易造成操作系统假死或者终端机当机。所以为了有效的保护好硬件防火墙内部的局域网环境，就必须让二层网络设备拥有对网络攻击和网络病毒的安全防御功能。

(三)发明内容

本发明的目的在于克服上述不足，提供一种基于二层网络设备的智能安全防御方法，该方法基于二层网络设备，能够智能分析网络数据包并进行主动安全防御。

本发明的目的是这样实现的：一种基于二层网络设备的智能安全防御方法，所述方法步骤为：

(1)在二层网络设备中建立一种包括设备的物理接口安全范围、媒体访问控制(MAC)地址基于物理接口的安全定义、因特网协议(IP)地址基于MAC地址的安全定义以及应用端口基于手工配置的安全定义的安全机制；

(2)二层网络设备在接收到网络数据包后，会自动将数据包中包括接收数据包的物理端口号、数据包的源IP地址、数据包的源MAC地址以及数据包的源应用端口与目的应用端口的安全定义模块提取出来；

(3)用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义，即用各个安全定义机制对安全定义模块中的各要素分别进行安全级别定义；如果安全级别为安全，则进行网络数据包的正常转发；如果安全级别为危险，则将网络数据包丢弃；其具体判断过程如下：

(A1)将提取出来的接收数据包的物理端口号进行安全级别定义：如果该端口属于设备的物理接口安全范围，则进入下述第(A2)步；如果该端口不属于安全定义范围，则不做任何处理，直接将数据包转发出去；

(A2)将提取出来的数据包的源MAC地址进行安全级别定义：如果该MAC地址属于该物理接口的MAC安全定义，则进入下述第(A3)步；如果该MAC地址不属于该物理接口的MAC安全定义，则将接收到的网络数据包丢弃；

(A3)将提取出来的数据包的源IP地址进行安全级别定义：如果该IP地址属于该MAC地址的IP安全定义，则进入下述第(A4)步；如果该IP地址不属于该MAC地址的IP安全定义，则将接收到的网络数据包丢弃；

(A4)将提取出来的源应用端口与目的应用端口进行安全级别定义：如果源应用端口与目的应用端口全部都被定义为安全，则直接将数据包正常转发；如果源应用端口与目的应用端口任意一个或者全部都被定义为危险，则将接收到的网络数据包丢弃；具体过程如下：

(B1)判断是否存在基于手工配置的应用端口安全定义，如果存在，则进入下述第(B2)步；否则，正常转发数据包；

(B2)判断是否定义了危险应用端口，如果定义了，则进入下述第(B3)步；否则，进入下述第(B4)步；

(B3)判断源应用端口和目的应用端口是否有任意一个或者全部都属于危险应用端口，如果是，则丢弃接收到的网络数据包；否则，进入下述第(B4)步；

(B4)判断是否定义了安全应用端口，如果定义了，则进入下述第(B5)步；否则，正常转发数据包；

(B5)判断源应用端口和目的应用端口是否全部都属于安全应用端口，如果是，则正常转发数据包；否则，丢弃接收到的网络数据包。

本发明一种基于二层网络设备的智能安全防御方法，所述步骤(1)中还包括：设备的物理接口安全范围定义为一个或多个物理接口，最大定义数为设备的总物理接口数；基于物理接口的MAC地址安全定义为一个或多个MAC地址；基于MAC地址的IP地址安全定义为一个或多个IP地址；基于手工配置的应用端口安全定义为一个或多个端口号。

本发明一种基于二层网络设备的智能安全防御方法，所述步骤(1)中还包括：级连物理接口上的安全定义为该接口所级连设备上所有安全定义的总合。

本发明一种基于二层网络设备的智能安全防御方法，所述步骤(A4)中还包括：基于手工配置的应用端口安全定义可以只定义危险应用端口，也可以只定义安全应用端口，或者安全应用端口和危险应用端口一起定义。

本发明的有益效果是：

本发明一种基于二层网络设备的智能安全防御方法，能够解决内部局域网环境中的攻击行为和病毒灾难蔓延，在只占用了二层网络设备的一小部分资源的情况下保证了局域网环境的安全，且由于本方法属于智能安全防御，所以当第一次实施时完成了安全定义，在后期的使用过程中几乎不用人员监控，为网络管理员节省了大量的人力成本和时间成本。

(四)附图说明

图1为本发明的网络应用环境示意图。

图2为本发明方法的流程示意图。

图3为用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义的步骤图。

图4为使用基于手工配置的应用端口安全定义将提取出来的源应用端口与目的应用端口进行安全级别定义的步骤图。

图中：

防火墙1、路由器2、二层交换机3、终端PC机4。

(五)具体实施方式

下面结合附图对本发明作进一步详细的描述。

图1所示为本发明网络应用环境，包含有防火墙1、路由器2、二层交换机3和终端PC机4，外网经上述防火墙1、路由器2和二层交换机3后与PC机4进行通信。

图2所示为基于二层网络设备的智能安全防御方法，其实施步骤如下：

步骤1：在二层网络设备中建立一种安全机制，其中包括设备的物理接口安全范围、MAC地址基于物理接口的安全定义、IP地址基于MAC地址的安全定义以及应用端口基于手工配置的安全定义。其中设备的物理接口安全范围可以只包括一个物理接口或者包括多个物理接口；MAC地址基于物理接口的安全定义、IP地址基于物理接口的安全定义以及应用端口基于手工配置的安全定义都可以只定义一个或者定义多个。除了物理接口安全范围之外，级连物理接口上的安全定义可以是该接口所级连设备上所有安全定义的总合。基于手工配置的应用端口安全定义可以不基于物理接口、IP地址和MAC地址而单独定义使用。所有的安全定义可以根据具体的网络环境和用户安全需求进行定义，可以通过命令行或网管手工配置或设备WEB管理界面配置。

步骤2：二层网络设备在接收到网络数据包后，会自动将数据包中的安全定义模块提取出来，其中包括接收数据包的物理端口号、数据包的源IP地址、数据包的源MAC地址以及数据包的源应用端口与目的应用端口。对于不同类型的网络数据包，会根据不同的偏移量进行安全定义模块的获取。

步骤3：用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义，即用各个安全定义机制对安全定义模块中的各要素分别进行安全级别定义。如果安全级别为安全，则进行网络数据包的正常转发；如果安全级别为危险，则将网络数据包丢弃。

如图3所示，用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义的步骤如下：

(A1)将提取出来的接收数据包的物理端口号进行安全级别定义：如果该端口属于设备的物理接口安全范围，则进入下述第(A2)步；如果该端口不属于安全定义范围，则不做任何处理，直接将数据包转发出去；

(A2)将提取出来的数据包的源MAC地址进行安全级别定义：如果该MAC地址属于该物理接口的MAC安全定义，则进入下述第(A3)步；如果该MAC地址不属于该物理接口的MAC安全定义，则将接收到的网络数据包丢弃；

(A3)将提取出来的数据包的源IP地址进行安全级别定义：如果该IP地址属于该MAC地址的IP安全定义，则进入第下述(A4)步；如果该IP地址不属于该MAC地址的IP安全定义，则将接收到的网络数据包丢弃；

(A4)将提取出来的源应用端口与目的应用端口进行安全级别定义：如果源应用端口与目的应用端口全部都被定义为安全，则直接将数据包正常转发；如果源应用端口与目的应用端口任意一个或者全部都被定义为危险，则将接收到的网络数据包丢弃。

如图4所示，使用基于手工配置的应用端口安全定义将提取出来的源应用端口与目的应用端口进行安全级别定义的步骤如下：

(B1)判断是否存在基于手工配置的应用端口安全定义，如果存在，则进入下述第(B2)步；否则，正常转发数据包；

(B2)判断是否定义了危险应用端口，如果定义了，则进入下述第(B3)步；否则，进入下述第(B4)步；

(B3)判断源应用端口和目的应用端口是否有任意一个或者全部都属于危险应用端口，如果是，则丢弃接收到的网络数据包；否则，进入下述第(B4)步；

(B4)判断是否定义了安全应用端口，如果定义了，则进入下述第(B5)步；否则，正常转发数据包；

(B5)判断源应用端口和目的应用端口是否全部都属于安全应用端口，如果是，则正常转发数据包；否则，丢弃接收到的网络数据包。

对于不同类型的网络数据包，会根据不同的偏移量进行安全定义模块的获取。

所有的安全定义根据具体的网络环境和用户安全需求进行定义，通过命令行或网管手工配置或设备WEB管理界面配置。

Claims (5)

1.一种基于二层网络设备的智能安全防御方法，其特征在于：所述方法步骤为：

(1)在二层网络设备中建立一种包括设备的物理接口安全范围、媒体访问控制(MAC)地址基于物理接口的安全定义、因特网协议(IP)地址基于MAC地址的安全定义以及应用端口基于手工配置的安全定义的安全机制；

(2)二层网络设备在接收到网络数据包后，会自动将数据包中包括接收数据包的物理端口号、数据包的源IP地址、数据包的源MAC地址以及数据包的源应用端口与目的应用端口的安全定义模块提取出来；

(3)用设备中的已定义安全机制来为提取出来的安全定义模块进行安全级别定义，即用各个安全定义机制对安全定义模块中的各要素分别进行安全级别定义；如果安全级别为安全，则进行网络数据包的正常转发；如果安全级别为危险，则将网络数据包丢弃；其具体判断过程如下：

(A1)将提取出来的接收数据包的物理端口号进行安全级别定义：如果该端口属于设备的物理接口安全范围，则进入下述第(A2)步；如果该端口不属于安全定义范围，则不做任何处理，直接将数据包转发出去；

(A2)将提取出来的数据包的源MAC地址进行安全级别定义：如果该MAC地址属于该物理接口的MAC安全定义，则进入下述第(A3)步；如果该MAC地址不属于该物理接口的MAC安全定义，则将接收到的网络数据包丢弃；

(A3)将提取出来的数据包的源IP地址进行安全级别定义：如果该IP地址属于该MAC地址的IP安全定义，则进入下述第(A4)步；如果该IP地址不属于该MAC地址的IP安全定义，则将接收到的网络数据包丢弃；

(A4)将提取出来的源应用端口与目的应用端口进行安全级别定义：如果源应用端口与目的应用端口全部都被定义为安全，则直接将数据包正常转发；如果源应用端口与目的应用端口任意一个或者全部都被定义为危险，则将接收到的网络数据包丢弃；具体过程如下：

(B1)判断是否存在基于手工配置的应用端口安全定义，如果存在，则进入下述第(B2)步；否则，正常转发数据包；

(B2)判断是否定义了危险应用端口，如果定义了，则进入下述第(B3)步；否则，进入下述第(B4)步；

(B3)判断源应用端口和目的应用端口是否有任意一个或者全部都属于危险应用端口，如果是，则丢弃接收到的网络数据包；否则，进入下述第(B4)步；

(B4)判断是否定义了安全应用端口，如果定义了，则进入下述第(B5)步；否则，正常转发数据包；

(B5)判断源应用端口和目的应用端口是否全部都属于安全应用端口，如果是，则正常转发数据包；否则，丢弃接收到的网络数据包。

2.根据权利要求1所述一种基于二层网络设备的智能安全防御方法，其特征在于：所述步骤(1)中还包括：设备的物理接口安全范围定义为一个或多个物理接口，最大定义数为设备的总物理接口数；基于物理接口的MAC地址安全定义为一个或多个MAC地址；基于MAC地址的IP地址安全定义为一个或多个IP地址；基于手工配置的应用端口安全定义为一个或多个端口号。

3.根据权利要求1或2所述一种基于二层网络设备的智能安全防御方法，其特征在于：所述步骤(1)中还包括：级连物理接口上的安全定义为该接口所级连设备上所有安全定义的总合。

4.根据权利要求1或2所述一种基于二层网络设备的智能安全防御方法，其特征在于：所述步骤(A4)中还包括：基于手工配置的应用端口安全定义可以只定义危险应用端口，也可以只定义安全应用端口，或者安全应用端口和危险应用端口一起定义。

5.根据权利要求3所述一种基于二层网络设备的智能安全防御方法，其特征在于：所述步骤(A4)中还包括：基于手工配置的应用端口安全定义可以只定义危险应用端口，也可以只定义安全应用端口，或者安全应用端口和危险应用端口一起定义。

Images