CN103746918A - 报文转发系统和报文转发方法 - Google Patents
报文转发系统和报文转发方法 Download PDFInfo
- Publication number
- CN103746918A CN103746918A CN201410005805.5A CN201410005805A CN103746918A CN 103746918 A CN103746918 A CN 103746918A CN 201410005805 A CN201410005805 A CN 201410005805A CN 103746918 A CN103746918 A CN 103746918A
- Authority
- CN
- China
- Prior art keywords
- message
- safety
- state
- forwarding
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种报文转发系统,包括:提取单元,用于在接收到连接建立请求报文时,从所述连接建立请求报文中提取转发信息;创建单元,用于查找与所述转发信息对应的管理信息,并根据查找到的所述管理信息和所述转发信息创建安全转发表,并初始化所述安全转发表的状态;状态更新单元,用于根据接收到的与所述安全转发表相匹配的报文,更新所述安全转发表的状态;处理单元,用于根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为否时,对所述报文执行预定的处理操作。相应地,本发明还提供了一种报文转发方法。通过本发明的技术方案,可以解决传统的MAC表、路由表的安全性的缺陷,有效地防止非法报文的转发。
Description
技术领域
本发明涉及安全转发技术领域,具体而言,涉及一种报文转发系统和报文转发方法。
背景技术
在数据通信领域,交换/路由设备根据转发表项来进行报文的转发。设备收到一个报文之后,从转发表项中查找到目的地址的路径信息,然后将报文从转发表项中获取的出接口发出。
在以太网交换机上,充当转发表项的是MAC(Media AccessControl,介质访问控制)表。报文到达交换机之后,交换机根据目的MAC地址在MAC表中查得出接口后转发出去。设备可以通过动态的将通过报文的源地址和源端口加入MAC表,供后续转发查询,也可以手动添加静态MAC地址。
对应的在路由设备上,转发表项是路由表和由路由表中最优条目生成的FIB表(Forwarding information base,转发信息库),下文统称路由表。交换机通常承担局域网内的转发功能,路由器则承担跨网络的功能。报文到达路由器之后,路由器根据目的IP在路由表中查得目的接口和链路信息之后转发。
路由表由生成方式可分为静态路由表和动态路由表。顾名思义,静态路由表由管理员根据网络情况手动配置,当网络发生变化时,必须手动修改相关的路由条目以适应新的网络,当网络规模很大,路由器很多的时候,单纯使用静态路由表的维护工作是十分巨大的。
动态路由表由路由器根据网络上运行的动态路由协议计算生成,在网络中的所有路由器上运行相同的动态路由协议,路由器之间互相通报各自的路由信息,并根据这些信息计算出自身的路由表。当网络发生变化时,各个路由器节点可以根据路由协议的通报调整自己的路由表。动态路由协议解决了静态路由难以维护的问题。
传统的转发技术存在一些安全方面的缺陷:
传统转发表的单向机制缺陷:所谓单向机制就是只要IP地址属于合法的范围之内,就可以建立路由表项,即使是攻击流量也可以进行转发,从技术上就允许了非法流量的正常转发。
传统转发表易伪造:通过修改报文的源MAC可以造成交换机学习到错误的MAC表。网络黑客也可以通过伪造动态路由协议交互报文来伪造路由表,造成报文无法正常转发。
转发表项易耗尽:如上一条,黑客可以很容易的伪造大量虚假的转发表,造成动态表项占满或耗尽,正常的转发表项无法建立。
传统转发表无安全机制:路由表是基于地址单向式建立机制,任何合法流量和非法流量都能在设备的管理下正常转发,尤其是在专用网络环境中,网络流量需要区分管理,每个接入点都具有专用的协议服务终端,传统路由器无法从深层来过滤非法流量信息。
因此,需要一种新的报文转发技术,可以解决传统的MAC表、路由表的安全性的缺陷,有效地防止非法报文的转发。
发明内容
本发明正是基于上述问题,提出了一种新的可以解决传统的MAC表、路由表的安全性的缺陷,有效地防止非法报文的转发。
有鉴于此,本发明提出了一种报文转发系统,包括:提取单元,用于在接收到连接建立请求报文时,从所述连接建立请求报文中提取转发信息;创建单元,用于查找与所述转发信息对应的管理信息,并根据查找到的所述管理信息和所述转发信息创建安全转发表,并初始化所述安全转发表的状态;状态更新单元,用于根据接收到的与所述安全转发表相匹配的报文,更新所述安全转发表的状态;处理单元,用于根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为否时,对所述报文执行预定的处理操作。
在该技术方案中,转发信息包括报文的源/目的MAC、源/目的IP、协议号、源/目的端口,以及从路由表或MAC表查到的下一条的IP地址、MAC地址等信息。根据转发信息和转发的内容匹配安全策略,将匹配到的安全策略记录到管理信息中,管理信息包括匹配到的安全策略的索引信息、后续处理的动作(比如丢包和深度检测等)。安全转发表的实时状态包括安全转发表本身的状态(比如新建状态、正常状态等),连接状态(比如TCP(Transmission Control Protocol,传输控制协议)连接的三次握手状态、半连接状态、半关闭状态等),以及安全状态(比如是否有威胁、流量是否超过预警等信息)。这样,由传统路由表、MAC表结合会话状态创建安全转发表,根据会话交互信息确定安全转发表的状态,可以有效地防止非法状态的报文转发。
在上述技术方案中,优选地,所述预定的处理操作包括丢包处理、深度检测处理、审计处理和/或限速处理。
在该技术方案中,在检测到非法报文时,可以对该非法报文进行丢包处理、深度检测处理、审计处理和/或限速处理。但是本领域技术人员应当理解,本发明的处理操作包括但是不限于上述操作。
在上述技术方案中,优选地,还包括:解析单元,用于在接收到任一报文时,对所述任一报文进行解析,并根据解析结果确定与所述任一报文相匹配的安全转发表。
在该技术方案中,当在后续过程再收到报文时,可以直接匹配安全转发表,不需要重新查路由/MAC表,也不需要重新匹配策略,这样可以节省操作。
在上述技术方案中,优选地,所述处理单元还用于:根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为是时,转发所述报文。
在该技术方案中,当判断报文合法时,可以转发该报文,从而使得设备之间顺利建立起连接。
在上述技术方案中,优选地,还包括:删除单元,用于在所述安全转发表的状态持续预设时间或接收到连接断开请求报文时,删除所述安全转发表。
在该技术方案中,当设备之间的会话交互内容明确指出该会话将关闭时,系统将删除安全转发表。或者当在某一状态的时间达到指定的时间,系统将启动老化机制将该表项删除。这样,可以避免因安全转发表项占满或耗尽,而造成正常的转发表项无法建立的问题。
根据本发明的另一方面,还提供了一种报文转发方法,包括:提取步骤,在接收到连接建立请求报文时,从所述连接建立请求报文中提取转发信息;创建步骤,查找与所述转发信息对应的管理信息,并根据查找到的所述管理信息和所述转发信息创建安全转发表,并初始化所述安全转发表的状态;状态更新步骤,根据接收到的与所述安全转发表相匹配的报文,更新所述安全转发表的状态;处理步骤,根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为否时,对所述报文执行预定的处理操作。
在该技术方案中,转发信息包括报文的源/目的MAC、源/目的IP、协议号、源/目的端口,以及从路由表或MAC表查到的下一条的IP地址、MAC地址等信息。根据转发信息和转发的内容匹配安全策略,将匹配到的安全策略记录到管理信息中,管理信息包括匹配到的安全策略的索引信息、后续处理的动作(比如丢包和深度检测等)。安全转发表的实时状态包括安全转发表本身的状态(比如新建状态、正常状态等),连接状态(比如TCP连接的三次握手状态、半连接状态、半关闭状态等),以及安全状态(比如是否有威胁、流量是否超过预警等信息)。这样,由传统路由表、MAC表结合会话状态创建安全转发表,根据会话交互信息确定安全转发表的状态,可以有效地防止非法状态的报文转发。
在上述技术方案中,优选地,所述预定的处理操作包括丢包处理、深度检测处理、审计处理和/或限速处理。
在该技术方案中,在检测到非法报文时,可以对该非法报文进行丢包处理、深度检测处理、审计处理和/或限速处理。但是本领域技术人员应当理解,本发明的处理操作包括但是不限于上述操作。
在上述技术方案中,优选地,还包括:解析步骤,在接收到任一报文时,对所述任一报文进行解析,并根据解析结果确定与所述任一报文相匹配的安全转发表。
在该技术方案中,当在后续过程再收到报文时,可以直接匹配安全转发表,不需要重新查路由表/MAC表,也不需要重新匹配策略,这样可以节省操作。
在上述技术方案中,优选地,所述处理步骤还包括:根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为是时,转发所述报文。
在该技术方案中,当判断报文合法时,可以转发该报文,从而使得设备之间顺利建立起连接。
在上述技术方案中,优选地,还包括:删除步骤,在所述安全转发表的状态持续预设时间或接收到连接断开请求报文时,删除所述安全转发表。
在该技术方案中,当设备之间的会话交互内容明确指出该会话将关闭时,系统将删除安全转发表,或者当在某一状态的时间达到指定的时间,系统将启动老化机制将该表项删除。这样,可以避免因安全转发表项占满或耗尽,而造成正常的转发表项无法建立的问题。
通过以上技术方案,可以解决传统的MAC表、路由表的安全性的缺陷,有效地防止非法报文的转发。
附图说明
图1示出了根据本发明的实施例的报文转发系统的框图;
图2示出了根据本发明的实施例的报文转发方法的流程示意图;
图3示出了根据本发明的实施例的报文转发过程的示意图。
具体实施方式
为了能够更清楚地理解本发明的上述目的、特征和优点,下面结合附图和具体实施方式对本发明进行进一步的详细描述。需要说明的是,在不冲突的情况下,本申请的实施例及实施例中的特征可以相互组合。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是,本发明还可以采用其他不同于在此描述的其他方式来实施,因此,本发明的保护范围并不受下面公开的具体实施例的限制。
图1示出了根据本发明的实施例的报文转发系统的框图。
如图1所示,根据本发明的实施例的报文转发系统100,包括:提取单元102,用于在接收到连接建立请求报文时,从所述连接建立请求报文中提取转发信息;创建单元104,用于查找与所述转发信息对应的管理信息,并根据查找到的所述管理信息和所述转发信息创建安全转发表,并初始化所述安全转发表的状态;状态更新单元106,用于根据接收到的与所述安全转发表相匹配的报文,更新所述安全转发表的状态;处理单元108,用于根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为否时,对所述报文执行预定的处理操作。
在该技术方案中,转发信息包括报文的源/目的MAC、源/目的IP、协议号、源/目的端口,以及从路由表或MAC表查到的下一条的IP地址、MAC地址等信息。根据转发信息和转发的内容匹配安全策略,将匹配到的安全策略记录到管理信息中,管理信息包括匹配到的安全策略的索引信息、后续处理的动作(比如丢包和深度检测等)。安全转发表的实时状态包括安全转发表本身的状态(比如新建状态、正常状态等),连接状态(比如TCP连接的三次握手状态、半连接状态、半关闭状态等),以及安全状态(比如是否有威胁、流量是否超过预警等信息)。这样,由传统路由表、MAC表结合会话状态创建安全转发表,根据会话交互信息确定安全转发表的状态,可以有效地防止非法状态的报文转发。
在上述技术方案中,优选地,所述预定的处理操作包括丢包处理、深度检测处理、审计处理和/或限速处理。
在该技术方案中,在检测到非法报文时,可以对该非法报文进行丢包处理、深度检测处理、审计处理和/或限速处理。但是本领域技术人员应当理解,本发明的处理操作包括但是不限于上述操作。
在上述技术方案中,优选地,还包括:解析单元110,用于在接收到任一报文时,对所述任一报文进行解析,并根据解析结果确定与所述任一报文相匹配的安全转发表。
在该技术方案中,当在后续过程再收到报文时,可以直接匹配安全转发表,不需要重新查路由表/MAC表,也不需要重新匹配策略,这样可以节省操作。
在上述技术方案中,优选地,所述处理单元108还用于:根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为是时,转发所述报文。
在该技术方案中,当判断报文合法时,可以转发该报文,从而使得设备之间顺利建立起连接。
在上述技术方案中,优选地,还包括:删除单元112,用于在所述安全转发表的状态持续预设时间或接收到连接断开请求报文时,删除所述安全转发表。
在该技术方案中,当设备之间的会话交互内容明确指出该会话将关闭时,系统将删除安全转发表。或者当在某一状态的时间达到指定的时间,系统将启动老化机制将该表项删除。这样,可以避免因安全转发表项占满或耗尽,而造成正常的转发表项无法建立的问题。
图2示出了根据本发明的实施例的报文转发方法的流程示意图。
如图2所示,根据本发明的实施例的报文转发方法,包括:步骤202,在接收到连接建立请求报文时,从所述连接建立请求报文中提取转发信息;步骤204,查找与所述转发信息对应的管理信息,并根据查找到的所述管理信息和所述转发信息创建安全转发表,并初始化所述安全转发表的状态;步骤206,根据接收到的与所述安全转发表相匹配的报文,更新所述安全转发表的状态;步骤208,根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为否时,对所述报文执行预定的处理操作。
在该技术方案中,转发信息包括报文的源/目的MAC、源/目的IP、协议号、源/目的端口,以及从路由表或MAC表查到的下一条的IP地址、MAC地址等信息。根据转发信息和转发的内容匹配安全策略,将匹配到的安全策略记录到管理信息中,管理信息包括匹配到的安全策略的索引信息、后续处理的动作(比如丢包和深度检测等)。安全转发表的实时状态包括安全转发表本身的状态(比如新建状态、正常状态等),连接状态(比如TCP连接的三次握手状态、半连接状态、半关闭状态等),以及安全状态(比如是否有威胁、流量是否超过预警等信息)。这样,由传统路由表、MAC表结合会话状态创建安全转发表,根据会话交互信息确定安全转发表的状态,可以有效地防止非法状态的报文转发。
在上述技术方案中,优选地,所述预定的处理操作包括丢包处理、深度检测处理、审计处理和/或限速处理。
在该技术方案中,在检测到非法报文时,可以对该非法报文进行丢包处理、深度检测处理、审计处理和/或限速处理。但是本领域技术人员应当理解,本发明的处理操作包括但是不限于上述操作。
在上述技术方案中,优选地,还包括:在接收到任一报文时,对所述任一报文进行解析,并根据解析结果确定与所述任一报文相匹配的安全转发表。
在该技术方案中,当在后续过程再收到报文时,可以直接匹配安全转发表,不需要重新查路由表/MAC表,也不需要重新匹配策略,这样可以节省操作。
在上述技术方案中,优选地,所述步骤208还包括:根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为是时,转发所述报文。
在该技术方案中,当判断报文合法时,可以转发该报文,从而使得设备之间顺利建立起连接。
在上述技术方案中,优选地,还包括:在所述安全转发表的状态持续预设时间或接收到连接断开请求报文时,删除所述安全转发表。
在该技术方案中,当设备之间的会话交互内容明确指出该会话将关闭时,系统将删除安全转发表。或者当在某一状态的时间达到指定的时间,系统将启动老化机制将该表项删除。这样,可以避免因安全转发表项占满或耗尽,而造成正常的转发表项无法建立的问题。
图3示出了根据本发明的实施例的报文转发过程的示意图。
如图3所示,其中首包(即连接请求)处理流程包括:
步骤302,首包触发创建安全转发表。设备收到首包之后会进行传统路由/交换设备的处理,即查路由/MAC信息,然后匹配安全策略(安全策略主要由用户来配置),进而根据MAC、路由表、IP、协议号、端口号以及包含安全策略的管理信息创建安全转发表,并将状态设为新建。
其中安全转发表的内容主要包括:
1、转发信息:包括报文的源/目的MAC、源/目的IP、协议号、源/目的端口,以及从路由表或MAC表查到的下一条的IP地址、MAC地址等信息。
2、管理信息:根据报文转发信息和内容匹配安全策略,将匹配到的安全策略记录到管理信息中,管理信息包括匹配到的安全策略的索引信息、后续处理的动作(比如丢包、深度检测等)。
3、状态:这个状态指安全转发表状态(比如新建状态、正常状态等),连接状态(比如TCP连接的三次握手状态、半连接状态、半关闭状态等),也会保存一些安全状态,比如是否有威胁、流量是否超过预警等信息。
步骤304,首包后续处理。后续根据管理信息进行处理(比如丢包、深度检测等),处理结果也要记录到安全转发表中,更新安全状态。
后续包处理流程包括:
步骤306,匹配转发表。后续包直接匹配安全转发表,不需要重新查路由表/MAC表,也不需要重新匹配策略。
步骤308,状态检查。根据安全转发表中记录的状态比如连接状态、安全状态等状态信息确定此报文在当前状态下是否安全合法。另外,也根据报文中连接控制标识更新连接状态。一旦非法状态的报文到达安全转发表,系统会自动丢弃非法状态数据包。
步骤310,后续包的后续处理,类似首包的后续处理,根据策略中的动作进行处理,处理结果记录到安全转发表中,更新安全状态。
其中,图3中的首包和后续包是两个不同方向的,但是实际应用中,后续包大多数情况下都是双向的,但是处理流程是类似的。
通过本发明可以达到以下有益效果:
1、安全转发表结合会话信息动态创建的安全机制,防止非法流量通过,防止伪造。
2、安全转发表的老化机制防止转发表耗尽。
3、维护方便,便于扩展。安全转发表基于相对固定的2-4层信息加上管理信息。在系统上可以将相对固定的处理步骤交给硬件处理,软件可以对丰富的管理功能进行扩展。
以上结合附图详细说明了本发明的技术方案,本发明采用将传统的MAC表、路由表、会话连接相结合的安全转发表机制,解决了传统路由技术的安全缺陷,可以有效地防止非法状态的报文转发。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种报文转发系统,其特征在于,包括:
提取单元,用于在接收到连接建立请求时,从所述连接建立请求中提取转发信息;
创建单元,用于查找与所述转发信息对应的管理信息,根据查找到的所述管理信息和所述转发信息创建安全转发表,并初始化所述安全转发表的状态;
状态更新单元,用于根据接收到的与所述安全转发表相匹配的报文,更新所述安全转发表的状态,以得到所述安全转发表的实时状态;
处理单元,用于根据所述安全转发表的实时状态判断所述报文是否合法,并在判断结果为否时,对所述报文执行预定的处理操作。
2.根据权利要求1所述的报文转发系统,其特征在于,所述预定的处理操作包括丢包处理、深度检测处理、审计处理和/或限速处理。
3.根据权利要求1所述的报文转发系统,其特征在于,还包括:
解析单元,用于在接收到任一报文时,对所述任一报文进行解析,并根据解析结果确定与所述任一报文相匹配的安全转发表。
4.根据权利要求1所述的报文转发系统,其特征在于,所述处理单元还用于:
根据所述安全转发表的实时状态判断所述报文是否合法,并在判断结果为是时,转发所述报文。
5.根据权利要求1至4中任一项所述的报文转发系统,其特征在于,还包括:
删除单元,用于在所述安全转发表的状态持续预设时间或接收到连接断开请求报文时,删除所述安全转发表。
6.一种报文转发方法,其特征在于,包括:
提取步骤,在接收到连接建立请求报文时,从所述连接建立请求报文中提取转发信息;
创建步骤,查找与所述转发信息对应的管理信息,并根据查找到的所述管理信息和所述转发信息创建安全转发表,并初始化所述安全转发表的状态;
状态更新步骤,根据接收到的与所述安全转发表相匹配的报文,更新所述安全转发表的状态;
处理步骤,根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为否时,对所述报文执行预定的处理操作。
7.根据权利要求6所述的报文转发方法,其特征在于,所述预定的处理操作包括丢包处理、深度检测处理、审计处理和/或限速处理。
8.根据权利要求6所述的报文转发方法,其特征在于,还包括:
解析步骤,在接收到任一报文时,对所述任一报文进行解析,并根据解析结果确定与所述任一报文相匹配的安全转发表。
9.根据权利要求6所述的报文转发方法,其特征在于,所述处理步骤还包括:
根据所述安全转发表的状态判断所述报文是否合法,并在判断结果为是时,转发所述报文。
10.根据权利要求6至9中任一项所述的报文转发方法,其特征在于,还包括:
删除步骤,在所述安全转发表的状态持续预设时间或接收到连接断开请求报文时,删除所述安全转发表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410005805.5A CN103746918B (zh) | 2014-01-06 | 2014-01-06 | 报文转发系统和报文转发方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410005805.5A CN103746918B (zh) | 2014-01-06 | 2014-01-06 | 报文转发系统和报文转发方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN103746918A true CN103746918A (zh) | 2014-04-23 |
CN103746918B CN103746918B (zh) | 2018-01-12 |
Family
ID=50503909
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410005805.5A Active CN103746918B (zh) | 2014-01-06 | 2014-01-06 | 报文转发系统和报文转发方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103746918B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283882A (zh) * | 2014-10-11 | 2015-01-14 | 武汉烽火网络有限责任公司 | 一种路由器的智能安全防护方法 |
CN106850432A (zh) * | 2017-01-04 | 2017-06-13 | 杭州迪普科技股份有限公司 | 一种报文转发的方法及装置 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1722674A (zh) * | 2004-07-15 | 2006-01-18 | 联想网御科技(北京)有限公司 | 一种防火墙及其访问限制方法 |
US20070168377A1 (en) * | 2005-12-29 | 2007-07-19 | Arabella Software Ltd. | Method and apparatus for classifying Internet Protocol data packets |
CN101009661A (zh) * | 2007-01-25 | 2007-08-01 | 华为技术有限公司 | 基于流转发的更新流转发表项内容的方法及设备 |
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
CN101202700A (zh) * | 2006-12-12 | 2008-06-18 | 华为技术有限公司 | 一种点对点文件共享的流量控制方法、装置及系统 |
CN101465855A (zh) * | 2008-12-31 | 2009-06-24 | 中国科学院计算技术研究所 | 一种同步泛洪攻击的过滤方法及系统 |
US20090257434A1 (en) * | 2006-12-29 | 2009-10-15 | Huawei Technologies Co., Ltd. | Packet access control method, forwarding engine, and communication apparatus |
CN101572670A (zh) * | 2009-05-07 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 一种基于流表的数据包处理方法、装置和网络系统 |
CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
CN201467157U (zh) * | 2009-06-01 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 交换机 |
CN102195887A (zh) * | 2011-05-31 | 2011-09-21 | 北京星网锐捷网络技术有限公司 | 报文处理方法、装置和网络安全设备 |
CN103095709A (zh) * | 2013-01-17 | 2013-05-08 | 深信服网络科技(深圳)有限公司 | 安全防护方法及装置 |
CN103269299A (zh) * | 2013-04-22 | 2013-08-28 | 杭州华三通信技术有限公司 | Spbm网络中的报文转发方法及装置 |
-
2014
- 2014-01-06 CN CN201410005805.5A patent/CN103746918B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1722674A (zh) * | 2004-07-15 | 2006-01-18 | 联想网御科技(北京)有限公司 | 一种防火墙及其访问限制方法 |
US20070168377A1 (en) * | 2005-12-29 | 2007-07-19 | Arabella Software Ltd. | Method and apparatus for classifying Internet Protocol data packets |
CN101202700A (zh) * | 2006-12-12 | 2008-06-18 | 华为技术有限公司 | 一种点对点文件共享的流量控制方法、装置及系统 |
US20090257434A1 (en) * | 2006-12-29 | 2009-10-15 | Huawei Technologies Co., Ltd. | Packet access control method, forwarding engine, and communication apparatus |
CN101009661A (zh) * | 2007-01-25 | 2007-08-01 | 华为技术有限公司 | 基于流转发的更新流转发表项内容的方法及设备 |
CN101087187A (zh) * | 2007-05-22 | 2007-12-12 | 网御神州科技(北京)有限公司 | 一种基于用户的安全访问控制的方法及装置 |
CN101465855A (zh) * | 2008-12-31 | 2009-06-24 | 中国科学院计算技术研究所 | 一种同步泛洪攻击的过滤方法及系统 |
CN101572670A (zh) * | 2009-05-07 | 2009-11-04 | 成都市华为赛门铁克科技有限公司 | 一种基于流表的数据包处理方法、装置和网络系统 |
CN201467157U (zh) * | 2009-06-01 | 2010-05-12 | 北京星网锐捷网络技术有限公司 | 交换机 |
CN101707617A (zh) * | 2009-12-04 | 2010-05-12 | 福建星网锐捷网络有限公司 | 报文过滤方法、装置及网络设备 |
CN102195887A (zh) * | 2011-05-31 | 2011-09-21 | 北京星网锐捷网络技术有限公司 | 报文处理方法、装置和网络安全设备 |
CN103095709A (zh) * | 2013-01-17 | 2013-05-08 | 深信服网络科技(深圳)有限公司 | 安全防护方法及装置 |
CN103269299A (zh) * | 2013-04-22 | 2013-08-28 | 杭州华三通信技术有限公司 | Spbm网络中的报文转发方法及装置 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104283882A (zh) * | 2014-10-11 | 2015-01-14 | 武汉烽火网络有限责任公司 | 一种路由器的智能安全防护方法 |
CN106850432A (zh) * | 2017-01-04 | 2017-06-13 | 杭州迪普科技股份有限公司 | 一种报文转发的方法及装置 |
CN106850432B (zh) * | 2017-01-04 | 2020-01-03 | 杭州迪普科技股份有限公司 | 一种报文转发的方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN103746918B (zh) | 2018-01-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101286896B (zh) | 基于流的IPSec VPN协议深度检测方法 | |
CN101022340B (zh) | 实现城域以太网交换机接入安全的智能控制方法 | |
CN101296227B (zh) | 基于报文偏移量匹配的IPSec VPN协议深度检测方法 | |
KR101048510B1 (ko) | 지그비 무선 통신 프로토콜상에서의 보안성 강화 방법 및 장치 | |
CN101515927A (zh) | 支持隔离模式的网络接入控制方法、系统及设备 | |
CN101478485B (zh) | 局域网访问控制的方法以及网关设备 | |
JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
CN102231748B (zh) | 一种客户端验证方法及装置 | |
CN100428721C (zh) | 无线局域网中链路连接的切断方法及接入点装置 | |
CN115865526B (zh) | 一种基于云边协同的工业互联网安全检测方法及系统 | |
CN105391690B (zh) | 一种基于pof的网络窃听防御方法和系统 | |
Kugisaki et al. | Bot detection based on traffic analysis | |
CN100366026C (zh) | 一种在路由设备中实现报文转发控制的方法 | |
CN103746918A (zh) | 报文转发系统和报文转发方法 | |
CN102932373B (zh) | 一种僵尸网络的检测方法和装置 | |
CN103001966A (zh) | 一种私网ip的处理、识别方法及装置 | |
CN1996960B (zh) | 一种即时通信消息的过滤方法及即时通信系统 | |
CN103763321A (zh) | Wlan网络中一种基于认证方法的嗅探防御方法 | |
CN102325096A (zh) | 用以实现通信内容寿命管理的方法、终端及系统 | |
CN105391720A (zh) | 用户终端登录方法及装置 | |
CN106685861B (zh) | 一种软件定义网络系统及其报文转发控制方法 | |
CN109600745A (zh) | 一种新型的5g蜂窝网信道安全系统及安全实现方法 | |
CN101184044A (zh) | 一种组播监听发现协议的报文处理方法 | |
CN104579832A (zh) | 一种OpenFlow网络安全检测方法及系统 | |
CN107969004A (zh) | 联网系统、联网方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |