CN102413124A - 一种实现网络增强隔离区的方法 - Google Patents
一种实现网络增强隔离区的方法 Download PDFInfo
- Publication number
- CN102413124A CN102413124A CN2011103407887A CN201110340788A CN102413124A CN 102413124 A CN102413124 A CN 102413124A CN 2011103407887 A CN2011103407887 A CN 2011103407887A CN 201110340788 A CN201110340788 A CN 201110340788A CN 102413124 A CN102413124 A CN 102413124A
- Authority
- CN
- China
- Prior art keywords
- main frame
- address
- dmz
- packet
- communication terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种实现网络增强隔离区的方法,隔离区主机通过带路由功能的通信终端与WAN相接,将所述的DMZ主机的IP地址设置与通信终端的WAN接口的IP地址相同。本发明由于将DMZ主机的IP地址设置与通信终端的WAN接口的IP地址相同,使进出DMZ主机的数据包得以快速完成。
Description
技术领域
本发明涉及网络通信数据安全领域,特别涉及一种增强网络隔离区安全性能的方法。
背景技术
在实际的网络应用中,有一些主机需要对外(如Internet)提供服务,如Web服务,E-mail服务。为了更好的对外提供服务,同时又要有效的保护内部网络的安全,就有必要将这些需要对外提供服务的主机和内部的众多网络设备分隔开来。
如图1所示是一种典型的网络结构示意图,在该结构中,有两种终端,这两种终端分别是普通主机和DMZ主机,DMZ是Demilitarized Zone的缩写,即俗称的非军事区,也叫隔离区,与军事区和信任区相对应,其作用是把WEB,e-mail,等允许外部访问的服务器单独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内外网分离,达到用户的安全需求。通过DMZ内部网络与外网联系。
在这样的组网方式中,如果DMZ区域和外部网络不是同一网段,那么,作为带路由功能的通信终端,就需要对往来于DMZ和外部网络的数据包做NAPT( Network Address Port Translation,即网络端口地址转换)。但是目前,NAPT的性能不能满足用户的要求。
如图2所示,为数据包正常转发流程,当数据通信终端,一般是带路由功能的通信终端接收到数据包后,通过mangle数据包头,然后经过NAT进行端口地址转换,进入路由决定由什么终端主机接收数据包,然后,根据接收到的数据包向外发送数据包,要经过FORWARD上的mangle与filter,和POSTROUTING上的mangle与nat等才向外发送数据包。
这里mangle、nat、filter等是linux的名词,其中
nat表 :地址转换表
filter表 :过滤表
mangle表 :这个没得中文名称,只能把他的工作描述一下:根据用户设置的iptables规则来操作数据包的ttl(time to live)值, tos(type of service)值,以及mark值(这个值不会反映到离开本机后的数据包中,即仅在本机中使用)。
这里iptables规则链就针对特定数据包的各种防火墙规则,按照顺序依次放入对应的链中。
一共有五条链。INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING;
INPUT: 当收到访问防火墙本地地址的数据包时,应用此链的规则;
OUTPUT:当防火墙本机向外发出数据时,应用此链的规则。
FORWARD:当收到要通过防火墙发送给其他网络地址的数据包时,应用此链的规则。
PREROUTING: 在对数据包做路由选择之前,应用此链的规则。
POSTROUTING: 在对数据包做路由选择之后,应用此链的规则。
在接收到的数据包进入防火墙内,PREROUTING链中由路由判断之前,改变包的TTS、TOS或者Mark 值,然后进行NAT,进行路由判断,FORWARD表示在最初的路由判断之后,紧后一次更改包的目的之间改变包的TTS、TOS或者Mark 值,同时过所有不是本地产生并且目的地不是本地的包。在所有路由判断之后,更改包的目的之间改变包的TTS、TOS或者Mark 值并且在包要防火墙之前改变其源地址。
发明内容
本发明的目的是设计一种增强隔离区(Supper-DMZ),以满足用户的需要。
本发明实现其发明目的所采用的技术方案是,一种实现网络增强隔离区的方法,隔离区主机通过带路由功能的通信终端与WAN相接,将所述的隔离区主机的IP地址设置与通信终端的WAN接口的IP地址相同。
进一步的,上述的一种实现网络增强隔离区的方法中:接收下行数据包时包括以下步骤:
步骤A、在下行数据包进入通信终端后,比较所述的下行数据包的目的MAC地址,如果目的MAC地址与通信终端WAN接口的MAC地址相同,接收该数据包;
步骤B、如果该数据包的目的端口是DMZ主机上开放的服务的端口,在下行包刚刚到达防火墙时,mangle 数据包并通过nat将数据包的目的端的MAC地址改成DMZ主机的MAC地址;
步骤C、数据包被DMZ主机接收;
发送上行数据包时包括以下步骤:
步骤D、比较所述的上行数据包的MAC地址,如果源地址与DMZ主机的MAC地址相同,则将所述的上行数据包的源地址修改为所述的通信终端WAN侧的MAC地址;
步骤E、将所述的上行数据包向WAN发送。
更进一步的,上述的一种实现网络增强隔离区的方法中:在所述的步骤D之前,与LAN侧其它主机不在同一网段的DMZ主机需要一个代理ARP,包括以下步骤:
步骤D01、DMZ主机发出的ARP解析请求;
步骤D02、ARP代理解析后,不管DMZ主机的所要解析的IP地址是什么,ARP代理都反馈给DMZ主机arp reply,并且解析到的MAC地址就是通信终端LAN接口的MAC地址。
本发明由于将DMZ主机的IP地址设置与通信终端的WAN接口的IP地址相同,使DMZ主机的数据包进出通信终端得以快速完成。
下面结合附图和具体实施方式对本发明进行详细地说明。
附图说明
图1是内外网络的拓扑结构示意图。
图2是数据包进出非DMZ主机的流程图。
图3是数据包进出非DMZ主机和DMZ主机的流程图。
具体实施方式
实施例1,如图3所示,本实施例是将DMZ主机的上行数据包和下行数据包的流程图,由于将DMZ主机的IP地址设置成与带路由功能的通信终端的WAN一侧的IP地址,使DMZ主机发送的上行数据直接向WAN发送,整个DMZ的数据包接收(下行数据包)和发送(上行数据包)包括以下步骤:
接收下行数据包时包括以下步骤:
步骤A、在下行数据包进入通信终端后,比较所述的下行数据包的目的MAC地址,如果目的MAC地址与通信终端WAN接口的MAC地址相同,接收该数据包;
步骤B、如果该数据包的接收终端是DMZ主机上开放的服务的端口,则将数据包的目的端的MAC地址改成DMZ主机的MAC地址;
步骤C、下行包被DMZ主机接收;
发送上行数据包时包括以下步骤:此时与LAN侧其它主机不在同一网段的DMZ主机需要一个代理ARP,
步骤D01、DMZ主机发出的ARP解析请求;
步骤D02、ARP代理解析后,不管DMZ主机的所要解析的IP地址是什么,ARP代理都反馈给DMZ主机arp reply,并且解析到的MAC地址就是通信终端LAN接口的MAC地址。
步骤D、比较所述的上行数据包的MAC地址,如果源地址与DMZ主机的MAC地址相同,则将所述的上行数据包的源地址修改为所述的通信终端WAN侧的MAC地址;
步骤E、将所述的上行数据包向WAN发送。
本实施例中,Supper-DMZ的最大特征就是DMZ主机的IP地址与通信终端的WAN接口的IP地址相同。
整个实现由三个部分组成:
第一部分:对下行数据包有条件的做目的MAC转换
所谓下行数据,就是由internet发往通信终端的数据。
在下行数据包进入通信终端后(在PREROUTING链上),比较数据包的目的MAC地址,如果目的MAC地址与通信终端WAN接口的MAC地址相同,并且数据包的目的端口是DMZ主机上开放的服务的端口,那么就把数据包的目的MAC地址改成DMZ主机的MAC地址,并通过iptables命令的ROUTE这个target把数据包的出接口强制改成通信终端LAN侧的接口,并从LAN接口发送出去,从而到达DMZ主机(见图3)。否则,走数据包的正常转发流程(见图2)。
第二部分:对上行数据包有条件的做源MAC地址转换
这里所谓上行数据包,就是指由DMZ主机发出,到达其他主机的数据包。
以以太网为例,对于上行数据包,比较数据包(非arp包)的目的MAC地址,如果源MAC地址跟DMZ主机的MAC地址相同, 就通过iptables命令的ROUTE这个target把数据包的源MAC地址改成通信终端的WAN接口的MAC地址,并把数据包从WAN接口发送出去。
第三部分:在通信终端的LAN侧做一个ARP代理
由于DMZ主机是连接在通信终端的LAN侧的,但是DMZ主机的IP地址却是跟通信终端WAN接口的IP地址一样的,所以DMZ主机的IP不会跟通信终端的LAN口IP在通一个网段,因此,DMZ主机的默认网关就不可能是通信终端的LAN口的IP地址,这种情况下,对于DMZ主机IP所在的网段来说,DMZ主机是一台被孤立的主机,所以,在发包前,它所能做的就是试尝发送ARP解析请求,解析DMZ主机的默认网关,ARP解析成功,就把包发送出去,解析不成功,就不发包。所以为了让DMZ主机能把数据包发送出去,在通信终端的LAN侧就需要做一个ARP代理,这个ARP代理完成这样的功能:只要是DMZ主机发出的ARP解析请求,不管所要解析的IP地址是什么,ARP代理都反馈给DMZ主机arp reply,reply的内容是,我就是你要解析的ip,你可以把包发送给我了。当包从DMZ主机发送到通信终端的LAN口后,再根据实际应用做进一步的处理。
本实施例中需要用到的:
iptables ROUTE target
可以直接采用内核2.6.21中的ipt_ROUTE.ko
xt_mac
内核2.6.21中的xt_mac只实现了根据源mac地址匹配,需要扩展支持目标mac地址匹配
arp代理
本实施例需要下的规则:
对于下行数据流:
当数据包从Internet来到通信终端的wan口,在linux的mangle表的PREROUTING链中,如果符合规则,那么就会修改数据包的目的mac地址为DMZ主机的mac地址,并从lan接口发送出去。
需要加下面这样一条规则(本实施例中,假设通信终端Wan侧建立的虚设备是vnet_1,其mac地址是AA,Lan侧是br1,DMZ主机mac地址是EE):
快速转发数据包的规则(并同时修改目的mac地址为EE,以DMZ主机开启了web服务为例):
Iptables –t mangle –A PREROUTING –m mac –mac-destination AA -p tcp --dport 80 –j ROUTE –oif br1
注意:这条SuperDMZ规则添加在PREROUTING链的末尾。
对于上行数据流:
本实施例中,假设通信终端Wan侧建立的虚设备是vnet_1,其mac地址是AA,DMZ主机mac地址是EE
iptables -t mangle -A PREROUTING -m mac --mac-source EE -j ROUTE --oif vnet_1
注意:这条SuperDMZ规则添加在PREROUTING链的末尾。
2.3 arp代理在上行的报文中可以看出,目标mac地址是ZZ,显然,在CPE的桥上,是没有ZZ记录的,因此,需要加入arp代理功能。在内核2.6.21中的,建立了一个arp代理模块,模块处理的参数是SuperDMZ绑定的Lan侧DMZ主机的mac地址EE,简单来说,该arp的功能是,若发现包的源mac地址是EE,则回应br1的mac地址。
Claims (3)
1.一种实现网络增强隔离区的方法,DMZ主机通过带路由功能的通信终端与WAN相接,其特征在于:将所述的DMZ主机的IP地址设置与通信终端的WAN接口的IP地址相同。
2.根据权利要求1所述的一种实现网络增强隔离区的方法,其特征在于:接收下行数据包时包括以下步骤:
步骤A、在下行数据包进入通信终端后,比较所述的下行数据包的目的MAC地址,如果目的MAC地址与通信终端WAN接口的MAC地址相同,接收该数据包;
步骤B、如果该数据包的目的端口是DMZ主机上开放的服务的端口,在下行包刚刚到达防火墙时,mangle 数据包并通过nat将数据包的目的MAC地址改成DMZ主机的MAC地址;
步骤C、数据包被DMZ主机接收;
发送上行数据包时包括以下步骤:
步骤D、比较所述的上行数据包的MAC地址,如果源地址与DMZ主机的MAC地址相同,则将所述的上行数据包的源地址修改为所述的通信终端WAN侧的MAC地址;
步骤E、将所述的上行数据包向WAN发送。
3.根据权利要求1所述的一种实现网络增强隔离区的方法,其特征在于:在所述的步骤D之前,与LAN侧其它主机不在同一网段的DMZ主机需要一个代理ARP,包括以下步骤:
步骤D01、DMZ主机发出的ARP解析请求;
步骤D02、ARP代理解析后,不管DMZ主机的所要解析的IP地址是什么,ARP代理都反馈给DMZ主机arp reply,并且解析到的MAC地址就是通信终端LAN接口的MAC地址。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011103407887A CN102413124A (zh) | 2011-11-02 | 2011-11-02 | 一种实现网络增强隔离区的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2011103407887A CN102413124A (zh) | 2011-11-02 | 2011-11-02 | 一种实现网络增强隔离区的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN102413124A true CN102413124A (zh) | 2012-04-11 |
Family
ID=45914974
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2011103407887A Pending CN102413124A (zh) | 2011-11-02 | 2011-11-02 | 一种实现网络增强隔离区的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102413124A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102647487A (zh) * | 2012-05-11 | 2012-08-22 | 浙江宇视科技有限公司 | 一种节约ip地址的方法及接入代理设备 |
CN107770297A (zh) * | 2017-09-28 | 2018-03-06 | 上海斐讯数据通信技术有限公司 | 一种路由器以及路由器的应用方法和系统 |
CN110855684A (zh) * | 2019-11-18 | 2020-02-28 | 深圳前海环融联易信息科技服务有限公司 | 网络隔离管理方法、装置、计算机设备及存储介质 |
CN112887439A (zh) * | 2019-11-29 | 2021-06-01 | 株洲中车时代电气股份有限公司 | 一种用于空调机组变频器的can地址配置方法及系统 |
CN114268470A (zh) * | 2021-12-06 | 2022-04-01 | 深圳飞音时代网络通讯技术有限公司 | 一种报文的传输方法、装置及设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030093563A1 (en) * | 2001-10-10 | 2003-05-15 | Young Bruce Fitzgerald | Method and system for implementing and managing a multimedia access network device |
CN101521631A (zh) * | 2009-04-14 | 2009-09-02 | 华为技术有限公司 | Vpls网络报文处理方法、设备及系统 |
CN102209124A (zh) * | 2011-06-08 | 2011-10-05 | 杭州华三通信技术有限公司 | 私网与公网通信的方法及网络地址转换设备 |
-
2011
- 2011-11-02 CN CN2011103407887A patent/CN102413124A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030093563A1 (en) * | 2001-10-10 | 2003-05-15 | Young Bruce Fitzgerald | Method and system for implementing and managing a multimedia access network device |
CN101521631A (zh) * | 2009-04-14 | 2009-09-02 | 华为技术有限公司 | Vpls网络报文处理方法、设备及系统 |
CN102209124A (zh) * | 2011-06-08 | 2011-10-05 | 杭州华三通信技术有限公司 | 私网与公网通信的方法及网络地址转换设备 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102647487A (zh) * | 2012-05-11 | 2012-08-22 | 浙江宇视科技有限公司 | 一种节约ip地址的方法及接入代理设备 |
CN102647487B (zh) * | 2012-05-11 | 2015-06-10 | 浙江宇视科技有限公司 | 一种节约ip地址的方法及接入代理设备 |
CN107770297A (zh) * | 2017-09-28 | 2018-03-06 | 上海斐讯数据通信技术有限公司 | 一种路由器以及路由器的应用方法和系统 |
CN110855684A (zh) * | 2019-11-18 | 2020-02-28 | 深圳前海环融联易信息科技服务有限公司 | 网络隔离管理方法、装置、计算机设备及存储介质 |
CN112887439A (zh) * | 2019-11-29 | 2021-06-01 | 株洲中车时代电气股份有限公司 | 一种用于空调机组变频器的can地址配置方法及系统 |
CN114268470A (zh) * | 2021-12-06 | 2022-04-01 | 深圳飞音时代网络通讯技术有限公司 | 一种报文的传输方法、装置及设备 |
CN114268470B (zh) * | 2021-12-06 | 2024-06-07 | 深圳飞音时代网络通讯技术有限公司 | 一种报文的传输方法、装置及设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3254417B1 (en) | Method and system for supporting port ranging in a software-defined networking (sdn) system | |
EP3633935B1 (en) | Devices, systems and methods for service chains | |
US9967185B1 (en) | Interface for extending service capabilities of a network device | |
EP3382954B1 (en) | Traceroute for multi-path routing | |
US7738457B2 (en) | Method and system for virtual routing using containers | |
CN108199958B (zh) | 一种通用的安全资源池服务链实现方法及系统 | |
US10375193B2 (en) | Source IP address transparency systems and methods | |
CN108173694B (zh) | 一种数据中心的安全资源池接入方法及系统 | |
US20120039338A1 (en) | Network system, controller, and network control method | |
US20140211795A1 (en) | Communication system, control device, node, node control method, and program | |
CN102055672B (zh) | 一种数据流传输路径的控制方法、装置和路由设备 | |
CN110022262B (zh) | 一种基于sdn网络实现平面分离的方法、系统和装置 | |
CN112165432B (zh) | 一种实现OpenStack虚拟机与外部通信的方法 | |
KR20120060810A (ko) | 통신망 사이에서 데이터를 라우팅하는 기술 | |
JP2002508123A (ja) | マルチレイヤ・ネットワーク要素用のシステムおよび方法 | |
WO2013063791A1 (en) | Nat/firewall accelerator | |
CN102413124A (zh) | 一种实现网络增强隔离区的方法 | |
CN106302525A (zh) | 一种基于伪装的网络空间安全防御方法及系统 | |
Wilkins | Designing for Cisco Internetwork Solutions (DESIGN) Foundation Learing Guide | |
US7813346B1 (en) | Filter-based forwarding in a network | |
US20120304251A1 (en) | Firewall security between network devices | |
CN106059803A (zh) | 一种在计算节点上实现虚拟机南北向通信的方法 | |
Cox et al. | Ryuretic: A modular framework for Ryu | |
CN109088953B (zh) | 一种Linux网关代理转换IP的方法及装置 | |
CN109962989A (zh) | 穿越网络地址网关的方法、装置和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120411 |