一种实现交换机内部报文安全防护的方法、系统以及交换机
技术领域
本发明涉及数据通信技术领域,尤其涉及一种实现交换机内部报文安全防护的方法、系统以及交换机。
背景技术
防火墙是现代网络中必不可少的安全设备,它通过控制网络访问的方式实现安全策略。防火墙传统上仅仅实现了非法报文的过滤,防止外来非法地址的接入,UTM在此基础之上进行了扩展,实现更细力度的访问控制、NAT、VPN服务、IPS、防病毒、URL过滤、DPI识别等多种功能,充分保护了用户网络的私密性、完整性和可用性。
传统上区域边界一般会部署多台应用设备,比如应用网关、防火墙、VPN设备等,大量设备串联,不仅增加了用户投资,也增加了实施复杂度和管理成本。近来业界推出防火墙线卡,将交换机的转发和安全业务一定程度的融合起来,降低了网络拓扑复杂度和管理成本,但是都没有做到充分的融合,例如NP方案,一般是由一个功能强大的通用控制CPU和多个NP构建的解决方案,相同转发性能的软硬件成本明显偏高。采用RMI多核方案,它是通过万兆接口与交换机连接,实际这是两个独立的硬件系统通过以太网连接的一个集成产品,多业务板接收数据时不能获取入口交换机的入口物理信息,处理完数据包也不能指定交换机出端口的信息,这在数据包流回线卡后会增加接口线卡的处理负担。
发明内容
本发明的目的在于,在一个既需要交换又需要安全防护的网络拓扑中,达到交换与安全充分融合,降低用户投资和管理成本。
为达此目的,本发明采用以下技术方案:
一种实现交换机内部报文安全防护的方法,包括以下步骤:
A、主控模块向安全防护模块实时同步三层VLAN状态信息;
B、通过主控模块指定需要报文安全防护的VLAN;
C、主控模块根据预设的过滤规则生成报文引导规则并下发至接口模块;
D、接口模块把进入和/或流出所述指定VLAN的IP报文重定向到安全防护模块;
E、安全防护模块根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块。
所述步骤A中,所述三层VLAN状态信息包括:三层VLAN接口MAC、接口IP信息、路由表项和邻居表项;其中路由表项和邻居表项,包括静态配置的条目和动态生成的条目。
所述步骤C中,所述预设的过滤规则,是指为所述指定VLAN指定相应的安全防护模块进行报文安全防护处理。
所述步骤C中,所述报文引导规则包括ACL规则和邻居表项;
所述ACL规则,用于实现接口模块把进入所述指定VLAN的IP报文重定向到安全防护模块;
所述邻居表项,用于实现接口模块把流出所述指定VLAN的IP报文重定向到安全防护模块。
所述步骤D中,
当所述指定VLAN有IP报文流入时,接口模块根据主控模块下发的ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;
当所述指定VLAN有IP报文流出时,将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。
所述步骤E进一步包括以下步骤:
E1、安全防护模块对收到的IP报文根据NAT规则进行处理;
E2、判断处理后的IP报文的目标IP地址是否属于本机三层VLAN接口的IP地址;若属于,则所述IP报文为本地报文,进入步骤E3;若不属于,则所述IP报文为转发报文,进入步骤E4;
E3、安全防护模块根据预设的安全策略,对所述本地报文进行处理,把通过安全策略处理的本地报文转回接口模块;
E4、安全防护模块根据预设的安全策略,对所述转发报文进行处理,对于通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找而直接将所述转发数据包转发出去。
一种实现交换机内部报文安全防护的系统,包括:
主控模块,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口模块;
接口模块,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护模块;
安全防护模块,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块;
其中主控模块分别与接口模块和安全防护模块连接,接口模块与安全防护模块连接。
所述主控模块下发至接口模块的报文引导规则包括ACL规则和邻居表项;接口模块根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;接口模块通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。
所述安全防护模块对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口模块;对于转发报文,安全防护模块根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找,而直接将所述转发数据包转发出去。
一种实现内部报文安全防护的交换机,包括主控卡、至少一块接口线卡和至少一块安全防护线卡,所述接口线卡和安全防护线卡为独立线卡,通过HiGig口与交换机背板数据通道连接,主控卡通过背板的控制通道对接口线卡和安全防护线卡进行控制管理;
主控卡,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口线卡;
接口线卡,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护线卡;
安全防护线卡,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口线卡。
所述主控卡向同一机柜内的至少一块安全防护线卡实时同步三层VLAN状态信息,包括三层VLAN接口MAC、接口IP信息、路由表项、邻居表项,其中路由表项和邻居表包括静态配置的条目和动态生成的条目。
主控卡指定至少一个VLAN进行报文安全防护,并且为每个所述指定VLAN指定一块安全防护线卡。
所述主控卡下发至接口线卡的报文引导规则包括ACL规则和邻居表项;接口线卡根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护线卡;接口线卡通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护线卡所在的槽位号,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护线卡。
所述安全防护线卡对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口线卡;对于转发报文,安全防护线卡根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口线卡,接口线卡不再做路由查找,直接将所述转发数据包转发出去。
采用本发明的技术方案,在一个既需要交换又需要安全防护的网络拓扑中,达到交换与安全充分融合,降低用户投资和管理成本,使得管理员在已有的网络拓扑中添加安全防护功能时,仅用插入安全防护线卡和简单的命令配置即可完成,不用对拓扑做出任何变动。
附图说明
图1是本发明具体实施方式提供的实现交换机内部报文安全防护的方法流程示意图;
图2是安全防护模块对收到的IP报文进行处理的流程示意图;
图3是本发明具体实施方式提供的实现交换机内部报文安全防护的系统结构示意图;
图4是本发明具体实施方式提供的实现内部报文安全防护的交换机结构示意图。
具体实施方式
下面结合附图并通过具体实施方式来进一步说明本发明的技术方案。
图1是本发明具体实施方式提供的实现交换机内部报文安全防护的方法流程示意图,如图1所示,该实现交换机内部报文安全防护的方法包括以下步骤:
步骤S101,主控模块向安全防护模块实时同步三层VLAN状态信息。主控模块向处于运行状态的安全防护模块同步当前的三层VLAN状态信息,所述三层VLAN状态信息包括,三层VLAN接口MAC、接口IP信息、路由表项和邻居表项;其中路由表项和邻居表项,既包括静态配置的条目,又包括动态生成的条目。
步骤S102,通过主控模块指定需要报文安全防护的VLAN。管理员在主控模块上指定需要做安全防护的VLAN,与该VLAN相关的流量将会进行安全防护。
步骤S103,主控模块根据预设的过滤规则生成报文引导规则并下发至接口模块。在所述主控模块上可以配置过滤规则,将指定VLAN内的报文,指定到某一个安全防护线模块进行安全防护。
所述指定VLAN内的流量包括,进入该VLAN内的IP报文和从该VLAN转发出去的IP报文。进入该VLAN的IP报文识别特征为,该IP报文的目的MAC为该VLAN的三层接口的MAC。从该VLAN转发出去的IP报文,来自交换机的其它三层VLAN,出接口为该三层VLAN接口,识别特征为:目的路由的下一跳和该三层VLAN接口处于同一网段。
主控模块根据过滤规则,生成报文引导规则下发给接口模块。所述报文引导规则包括ACL规则,用于实现接口模块把进入所述指定VLAN的IP报文重定向到安全防护模块;邻居表项,用于实现接口模块把流出所述指定VLAN的IP报文重定向到安全防护模块。
步骤S104,接口模块把进入和/或流出所述指定VLAN的IP报文重定向到安全防护模块。当所述指定VLAN有IP报文流入时,接口模块根据主控模块下发的ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;
当所述指定VLAN有IP报文流出时,将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。
两种方式都保持重定向报文的完整性,不修改IP报文的任何内容,特别是不修改TTL。
步骤S105,安全防护模块根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块。图2为所述步骤S105中安全防护模块对收到的IP报文进行处理的流程示意图,如图2所示,该处理流程包括以下步骤:
步骤S201,安全防护模块对从HiGig口上收到的IP报文根据NAT规则进行处理。
步骤S202,判断处理后的IP报文的目标IP地址是否属于本机三层VLAN接口的IP地址。目标IP地址为本机三层VLAN接口IP的IP报文,视作本地报文,目标IP地址为非本机三层VLAN接口IP的其它IP报文,视作转发报文。
当所述IP报文为本地报文时,进入步骤S203;当所述IP报文为转发报文时,进入步骤S204。
步骤S203,安全防护模块根据预设的安全策略,对本地报文进行安全防护。对通过安全策略处理的本地报文,重定向到接口模块。
步骤S204,安全防护模块根据预设的安全策略,对所述转发报文进行安全防护,对于通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找而直接将所述转发数据包转发出去。
图3是本发明具体实施方式提供的实现交换机内部报文安全防护的系统结构示意图;如图3所示,该实现交换机内部报文安全防护的系统包括:
主控模块301,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口模块302;
接口模块302,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护模块303;
安全防护模块303,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块302;
其中主控模块分别与接口模块和安全防护模块连接,接口模块与安全防护模块连接。
所述主控模块下发至接口模块的报文引导规则包括ACL规则和邻居表项;接口模块根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;接口模块通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。
所述安全防护模块对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口模块;对于转发报文,安全防护模块根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找,而直接将所述转发数据包转发出去。
图4是本发明具体实施方式提供的实现内部报文安全防护的交换机结构示意图;如图4所示,该交换机包括:
包括主控卡401、至少一块接口线卡402和至少一块安全防护线卡403,所述接口线卡402和安全防护线卡403为独立线卡,通过HiGig口与交换机背板数据通道连接,主控卡401通过背板的控制通道对接口线卡402和安全防护线卡403进行控制管理;
主控卡401,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口线卡;
接口线卡402,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护线卡;
安全防护线卡403,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口线卡。
所述主控卡向同一机柜内的至少一块安全防护线卡实时同步三层VLAN状态信息,包括三层VLAN接口MAC、接口IP信息、路由表项、邻居表项,其中路由表项和邻居表包括静态配置的条目和动态生成的条目。
主控卡指定至少一个VLAN进行报文安全防护,并且为每个所述指定VLAN指定一块安全防护线卡。
所述主控卡下发至接口线卡的报文引导规则包括ACL规则和邻居表项;接口线卡根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护线卡;接口线卡通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护线卡所在的槽位号,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护线卡。
所述安全防护线卡对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口线卡;对于转发报文,安全防护线卡根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口线卡,接口线卡不再做路由查找,直接将所述转发数据包转发出去。
本发明具体实施方式提供的实现内部报文安全防护的交换机,转发逻辑和安全控制逻辑集成在同一主控卡上,接口线卡工作在网关模式,路由协议学习、邻居表项学习全部由主控卡完成,然后通过背板控制通道同步到安全防护线卡上,安全防护线卡完全融合到交换机系统中,仅把需要安全防护的流量(一般根据VLAN划分)导入安全防护线卡进行处理,其它流量仍在交换机进行高速的三层转发。与业界通过以太网连接而集成的产品相比,本发明具体实施方式中的安全防护线卡能够获取接口线卡的入口物理信息,处理完IP报文后直接指定接口线卡的出端口,减少了接口线卡的处理负担;同时在有安全防护线卡时,TTL仅花费1跳,与业界同类产品花费3跳相比,优化了报文的转发性能。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉该技术的人在本发明所揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。