CN107612907A - 虚拟专用网络vpn安全防护方法及fpga - Google Patents
虚拟专用网络vpn安全防护方法及fpga Download PDFInfo
- Publication number
- CN107612907A CN107612907A CN201710834917.5A CN201710834917A CN107612907A CN 107612907 A CN107612907 A CN 107612907A CN 201710834917 A CN201710834917 A CN 201710834917A CN 107612907 A CN107612907 A CN 107612907A
- Authority
- CN
- China
- Prior art keywords
- message
- vpn
- fpga
- default
- type
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种虚拟专用网络VPN安全防护方法及FPGA,用以提高VPN网络安全设备转发报文的安全性。所述方法包括:通过现场可编程逻辑门阵列FPGA接收报文;在所述FPGA中,对所述报文进行报文类型识别,根据识别结果,滤除不符合预设报文类型,并按照预设的处理规则,对符合预设报文类型的报文进行转发。本发明有效提高了VPN网络安全设备转发报文的安全性。
Description
技术领域
本发明涉及网络技术领域,特别是涉及一种虚拟专用网络VPN安全防护方法及FPGA。
背景技术
目前,VPN(Virtual Private Network,虚拟专用网络)网络安全设备的网络接口通常采用网卡芯片或交换芯片设计方式,通过该设计方式接收报文或发送报文存在安全性较低的问题。
发明内容
为了克服上述缺陷,本发明要解决的技术问题是提供一种虚拟专用网络VPN安全防护方法及FPGA,用以提高VPN网络安全设备转发报文的安全性。
为解决上述技术问题,本发明提供一种虚拟专用网络VPN安全防护方法,所述方法包括:
通过现场可编程逻辑门阵列FPGA接收报文;
在所述FPGA中,对所述报文进行报文类型识别,根据识别结果,滤除不符合预设报文类型,并按照预设的处理规则,对符合预设报文类型的报文进行转发。
可选地,所述预设报文类型包括VPN业务类型和地址解析协议ARP类型。
具体地,当所述预设报文类型为VPN业务类型时,所述按照预设的处理规则,对符合预设报文类型的报文进行转发,包括:
获取所述报文的地址信息;
将所述地址信息与预置的地址匹配表进行匹配;
若匹配,转发所述报文;
若不匹配,丢弃所述报文。
具体地,所述地址信息包括目的IP地址和源IP地址。
具体地,所述方法还包括:
接收VPN网络安全设备的地址配置指令;
根据所述地址配置指令配置所述地址匹配表。
可选地,当所述预设报文类型为ARP类型时,所述按照预设的处理规则,对符合预设报文类型的报文进行转发,包括:
计算所述报文的转发流量;
若所述转发流量未达到预设的流量阈值,转发所述报文;
若所述转发流量达到预设的流量阈值,丢弃所述报文。
具体地,所述方法还包括:
接收VPN网络安全设备的流量配置指令;
根据所述流量配置指令配置所述流量阈值。
可选地,所述通过现场可编程逻辑门阵列FPGA接收报文,还包括:
所述FPGA通过网络接口接收报文,或者
所述FPGA通过总线接口接收报文。
具体地,当所述FPGA通过总线接口接收报文时,所述方法还包括:
当存在网络接口处于空闲状态时,所述FPGA将处于空闲状态的网络接口进行关闭。
为解决上述技术问题,本发明提供一种用于虚拟专用网络VPN安全防护的现场可编程逻辑门阵列FPGA,所述FPGA中固化有虚拟专用网络VPN安全防护程序,所述FPGA的处理单元执行所述程序,以实现如上任意一项所述的方法的步骤。
本发明有益效果如下:
本发明中方法及FPGA,通过现场可编程逻辑门阵列FPGA接收报文,在所述FPGA中,对所述报文进行报文类型识别,根据识别结果,滤除不符合预设报文类型,并按照预设的处理规则,对符合预设报文类型的报文进行转发,从而有效提高了VPN网络安全设备转发报文的安全性。
附图说明
图1是本发明实施例中一种虚拟专用网络VPN安全防护方法的流程图;
图2是本发明实施例中虚拟专用网络VPN安全防护方法的系统架构图。
具体实施方式
为了解决现有技术的问题,本发明提供了一种虚拟专用网络VPN安全防护方法及FPGA,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不限定本发明。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本发明的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
实施例一
如图1和图2所示,本发明实施例提供一种虚拟专用网络VPN安全防护方法,所述方法包括:
S101,通过现场可编程逻辑门阵列FPGA(Virtual Private Network)接收报文;
S102,在所述FPGA中,对所述报文进行报文类型识别,根据识别结果,滤除不符合预设报文类型,并按照预设的处理规则,对符合预设报文类型的报文进行转发。
本发明实施例通过现场可编程逻辑门阵列FPGA接收报文,在所述FPGA中,对所述报文进行报文类型识别,根据识别结果,滤除不符合预设报文类型,并按照预设的处理规则,对符合预设报文类型的报文进行转发,从而有效提高了VPN网络安全设备转发报文的安全性。进一步说,在VPN网络安全设备接口采用FPGA硬件防护功能,对报文类型的识别、过滤要比软件处理性能更高,安全性也更为可靠。
本发明实施例可以根据报文类型实现报文隔离,把不符合预设报文类型的报文直接丢弃。
可选地,所述预设报文类型包括VPN业务类型和地址解析协议ARP类型。
进一步地,当所述预设报文类型为VPN业务类型时,所述按照预设的处理规则,对符合预设报文类型的报文进行转发,包括:
获取所述报文的地址信息;
将所述地址信息与预置的地址匹配表进行匹配;
若匹配,转发所述报文;
若不匹配,丢弃所述报文。
其中,所述地址信息包括目的IP地址和源IP地址。
本发明实施例通过对VPN业务报文实行目的IP地址和源IP地址同时匹配的方式进行安全防护;也就是说,对VPN业务报文报文实行IP表查询匹配,不能完全与IP表规则匹配的VPN业务报文报文实行丢弃,防止非法VPN业务报文报文通过FPGA进入VPN网络安全设备。
进一步地,所述方法还包括:
接收VPN网络安全设备的地址配置指令;
根据所述地址配置指令配置所述地址匹配表。
可选地,当所述预设报文类型为ARP类型时,所述按照预设的处理规则,对符合预设报文类型的报文进行转发,包括:
计算所述报文的转发流量;
若所述转发流量未达到预设的流量阈值,转发所述报文;
若所述转发流量达到预设的流量阈值,丢弃所述报文。
进一步地,所述方法还包括:
接收VPN网络安全设备的流量配置指令;
根据所述流量配置指令配置所述流量阈值。
可选地,所述通过现场可编程逻辑门阵列FPGA接收报文,还包括:
所述FPGA通过网络接口接收报文,或者
所述FPGA通过总线接口接收报文。
进一步,当所述FPGA通过总线接口接收报文时,所述方法还包括:
当存在网络接口处于空闲状态时,所述FPGA将处于空闲状态的网络接口进行关闭。
本发明实施例对VPN网络安全设备的网络接口实行使用控制,只有VPN业务接入的网络端口才可以正常工作,没有业务接入的空闲网络端口实行硬件关闭状态,防止空闲网络端口有报文流量进入或流出VPN网络安全设备。
也就是说,本发明实施例通过FPGA对VPN网络安全设备的网络接口进行管理控制。当某一网络接口空闲时,FPGA芯片将使该网络接口对应的PHY芯片一直处在复位状态,对该空闲网络接口实行关闭,防止空闲的网络接口被利用做些与VPN业务无关的用途。
例如:在本发明实施例一的总体设计架构图中,FPGA芯片外接了多个以太网物理连接PHY芯片,FPGA芯片对以太网物理连接PHY芯片实行管理控制,包括:1.复位控制、2.PHY芯片的寄存器配置控制。在正常的VPN网络安全设备使用过程中,可能有些所示网络接口处于空闲状态,这时,FPGA芯片将让该网络接口对应的PHY芯片一直处在复位状态,对该空闲的网络接口实行关闭。同时,FPGA芯片关闭与空闲的网络接口对应的FPGA内部接收和发送模块。本发明实施方法的作用是防止空闲的网络接口被异常使用,防止空闲的网络接口被利用做些与VPN业务无关的用途。
以下简述本发明的原理。
如图2所示,1、报文进入FPGA有两种途径,一种是从以太网网络接口由互联网进入;一种是从PCI-E接口或其他高速总线,由VPN网络安全设备(例如VPN网络安全设备处理系统)进入。
2、报文经任一途径进入FPGA之后,先进行对网络报文的类型实行识别分类检测。
3、将报文分类成VPN业务报文、ARP报文以及其他类型报文。
4、将VPN业务(比如ESP、AH、PPPOE等类型)报文送往查询匹配目的IP地址和源IP地址模块,提取报文的IP地址进行IP地址表查询匹配。如果所查的目的IP和源IP地址无法在IP表得到完全匹配,则进行报文丢弃;如果所查的目的IP和源IP地址在IP表得到完全匹配,则进行报文转发。
5、IP地址表可由VPN网络安全设备处理系统动态更新、删除;或由配置管理员手动更新删除。
6、将ARP报文送往ARP流量阈模块处理,计算当前ARP报文的转发流量,如果当前ARP报文的转发流量尚未达到所设定的阈值,则转发报文,否则进行报文丢弃处理。其中,ARP流量阈值由VPN网络安全设备的配置管理员实行配置。通常VPN网络链路上一般只有每秒几十个ARP报文,一些流量比较大的VPN网络链路也不会超过每秒两百多个ARP报文,如果ARP报文流量超过正常流量,VPN网络链路就有可能存在异常风险。
7、将其他类型报文直接进行丢弃处理。
8、所有经过FPGA处理的报文都实行处理结果信息统计记录,定期发送给VPN网络安全设备处理系统。信息统计有助于网络管理员或系统识别判断VPN网络链路是否正常运行,是否存在网络风险,并作出相应的处理。
实施例二
本发明实施例提供一种用于虚拟专用网络VPN安全防护的现场可编程逻辑门阵列FPGA,所述FPGA中固化有虚拟专用网络VPN安全防护程序,所述FPGA的处理单元执行所述程序,以实现如实施例一中任意一项所述的方法的步骤。
本发明实施例通过现场可编程逻辑门阵列FPGA接收报文,在所述FPGA中,对所述报文进行报文类型识别,根据识别结果,滤除不符合预设报文类型,并按照预设的处理规则,对符合预设报文类型的报文进行转发,从而有效提高了VPN网络安全设备转发报文的安全性。进一步说,在VPN网络安全设备接口采用FPGA硬件防护功能,对报文类型的识别、过滤要比软件处理性能更高,安全性也更为可靠。
例如,所述FPGA的处理单元执行所述程序,以实现如下步骤:
通过现场可编程逻辑门阵列FPGA接收报文;
在所述FPGA中,对所述报文进行报文类型识别,根据识别结果,滤除不符合预设报文类型,并按照预设的处理规则,对符合预设报文类型的报文进行转发。
可选地,所述预设报文类型包括VPN业务类型和地址解析协议ARP类型。
进一步地,当所述预设报文类型为VPN业务类型时,所述按照预设的处理规则,对符合预设报文类型的报文进行转发,包括:
获取所述报文的地址信息;
将所述地址信息与预置的地址匹配表进行匹配;
若匹配,转发所述报文;
若不匹配,丢弃所述报文。
进一步地,所述地址信息包括目的IP地址和源IP地址。
再进一步地,所述将所述地址信息与预置的地址匹配表进行匹配之前,还包括:
接收VPN网络安全设备的地址配置指令;
根据所述地址配置指令配置所述地址匹配表。
可选地,当所述预设报文类型为ARP类型时,所述按照预设的处理规则,对符合预设报文类型的报文进行转发,包括:
计算所述报文的转发流量;
若所述转发流量未达到预设的流量阈值,转发所述报文;
若所述转发流量达到预设的流量阈值,丢弃所述报文。
进一步地,所述若所述转发流量未达到预设的流量阈值,转发所述报文之前,还包括:
接收VPN网络安全设备的流量配置指令;
根据所述流量配置指令配置所述流量阈值。
可选地,所述通过现场可编程逻辑门阵列FPGA接收报文,还包括:
所述FPGA通过网络接口接收报文,或者
所述FPGA通过总线接口接收报文。
进一步地,当所述FPGA通过总线接口接收报文时,所述通过现场可编程逻辑门阵列FPGA接收报文之后,还包括:
当存在网络接口处于空闲状态时,所述FPGA将处于空闲状态的网络接口进行关闭。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种虚拟专用网络VPN安全防护方法,其特征在于,所述方法包括:
通过现场可编程逻辑门阵列FPGA接收报文;
在所述FPGA中,对所述报文进行报文类型识别,根据识别结果,滤除不符合预设报文类型,并按照预设的处理规则,对符合预设报文类型的报文进行转发。
2.如权利要求1所述的方法,其特征在于,所述预设报文类型包括VPN业务类型和地址解析协议ARP类型。
3.如权利要求2所述的方法,其特征在于,当所述预设报文类型为VPN业务类型时,所述按照预设的处理规则,对符合预设报文类型的报文进行转发,包括:
获取所述报文的地址信息;
将所述地址信息与预置的地址匹配表进行匹配;
若匹配,转发所述报文;
若不匹配,丢弃所述报文。
4.如权利要求3所述的方法,其特征在于,所述地址信息包括目的IP地址和源IP地址。
5.如权利要求3所述的方法,其特征在于,所述方法还包括:
接收VPN网络安全设备的地址配置指令;
根据所述地址配置指令配置所述地址匹配表。
6.如权利要求2所述的方法,其特征在于,当所述预设报文类型为ARP类型时,所述按照预设的处理规则,对符合预设报文类型的报文进行转发,包括:
计算所述报文的转发流量;
若所述转发流量未达到预设的流量阈值,转发所述报文;
若所述转发流量达到预设的流量阈值,丢弃所述报文。
7.如权利要求6所述的方法,其特征在于,所述方法还包括:
接收VPN网络安全设备的流量配置指令;
根据所述流量配置指令配置所述流量阈值。
8.如权利要求1-7中任意一项所述的方法,其特征在于,所述通过现场可编程逻辑门阵列FPGA接收报文,还包括:
所述FPGA通过网络接口接收报文,或者
所述FPGA通过总线接口接收报文。
9.如权利要求8所述的方法,其特征在于,当所述FPGA通过总线接口接收报文时,所述方法还包括:
当存在网络接口处于空闲状态时,所述FPGA将处于空闲状态的网络接口进行关闭。
10.一种用于虚拟专用网络VPN安全防护的现场可编程逻辑门阵列FPGA,其特征在于,所述FPGA中固化有虚拟专用网络VPN安全防护程序,所述FPGA的处理单元执行所述程序,以实现如权利要求1-9中任意一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710834917.5A CN107612907A (zh) | 2017-09-15 | 2017-09-15 | 虚拟专用网络vpn安全防护方法及fpga |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710834917.5A CN107612907A (zh) | 2017-09-15 | 2017-09-15 | 虚拟专用网络vpn安全防护方法及fpga |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107612907A true CN107612907A (zh) | 2018-01-19 |
Family
ID=61060235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710834917.5A Pending CN107612907A (zh) | 2017-09-15 | 2017-09-15 | 虚拟专用网络vpn安全防护方法及fpga |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107612907A (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1495588A (zh) * | 2002-05-08 | 2004-05-12 | 无线计算装置中网络接口模块能量消耗的管理方法和系统 | |
| CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
| CN101155034A (zh) * | 2006-09-30 | 2008-04-02 | 中兴通讯股份有限公司 | 一种在网络设备上防止用户特定包攻击的方法 |
| CN101296168A (zh) * | 2007-04-25 | 2008-10-29 | 北京天融信网络安全技术有限公司 | 芯片内部连接表支持策略路由的方法 |
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN102411423A (zh) * | 2011-08-12 | 2012-04-11 | 华南理工大学 | 一种cpu与无线网卡的协同动态电源管理方法 |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN105450619A (zh) * | 2014-09-28 | 2016-03-30 | 腾讯科技(深圳)有限公司 | 恶意攻击的防护方法、装置和系统 |
| CN105991587A (zh) * | 2015-02-13 | 2016-10-05 | 中国移动通信集团山西有限公司 | 一种入侵检测方法及系统 |
| CN107046495A (zh) * | 2016-02-06 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 用于构建虚拟专用网络的方法、装置和系统 |
-
2017
- 2017-09-15 CN CN201710834917.5A patent/CN107612907A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1495588A (zh) * | 2002-05-08 | 2004-05-12 | 无线计算装置中网络接口模块能量消耗的管理方法和系统 | |
| CN101155034A (zh) * | 2006-09-30 | 2008-04-02 | 中兴通讯股份有限公司 | 一种在网络设备上防止用户特定包攻击的方法 |
| CN101296168A (zh) * | 2007-04-25 | 2008-10-29 | 北京天融信网络安全技术有限公司 | 芯片内部连接表支持策略路由的方法 |
| CN101119371A (zh) * | 2007-08-28 | 2008-02-06 | 杭州华三通信技术有限公司 | 防范利用arp进行网络攻击的方法、客户端、服务器及系统 |
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN102411423A (zh) * | 2011-08-12 | 2012-04-11 | 华南理工大学 | 一种cpu与无线网卡的协同动态电源管理方法 |
| CN103491108A (zh) * | 2013-10-15 | 2014-01-01 | 浙江中控研究院有限公司 | 一种工业控制网络安全防护方法和系统 |
| CN105450619A (zh) * | 2014-09-28 | 2016-03-30 | 腾讯科技(深圳)有限公司 | 恶意攻击的防护方法、装置和系统 |
| CN105991587A (zh) * | 2015-02-13 | 2016-10-05 | 中国移动通信集团山西有限公司 | 一种入侵检测方法及系统 |
| CN107046495A (zh) * | 2016-02-06 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 用于构建虚拟专用网络的方法、装置和系统 |
Non-Patent Citations (2)
| Title |
|---|
| 芦世雄: "基于FPGA的抗网络攻击关键技术研究", 《天津大学硕士学位论文》 * |
| 陈雪娣: "基于空闲时间分配的DAG图节能任务调度研究与实现", 《湖南大学硕士学位论文》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8755293B2 (en) | Time machine device and methods thereof | |
| US7725936B2 (en) | Host-based network intrusion detection systems | |
| US8509106B2 (en) | Techniques for preventing attacks on computer systems and networks | |
| US7882554B2 (en) | Apparatus and method for selective mirroring | |
| CN106060003A (zh) | 一种网络边界单向隔离传输装置 | |
| US20070056030A1 (en) | Apparatus and method for facilitating network security with granular traffic modifications | |
| US20070056029A1 (en) | Apparatus and method for providing security and monitoring in a networking architecture | |
| CN104519065B (zh) | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 | |
| JP2005229573A (ja) | ネットワーク保安システム及びその動作方法 | |
| CN104917776A (zh) | 一种工控网络安全防护设备与方法 | |
| WO2007134023A2 (en) | Portable firewall | |
| EA004423B1 (ru) | Система, устройство и способ быстрой фильтрации и обработки пакетов | |
| CN105282169A (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
| CN104539600B (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
| CN104333549A (zh) | 一种用于分布式防火墙系统的数据包过滤方法 | |
| CN103124226A (zh) | 一种家庭宽带上网监控系统及方法 | |
| CN106130962A (zh) | 一种报文处理方法和装置 | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| US20050138171A1 (en) | Logical network traffic filtering | |
| AU2017360114B2 (en) | Method and device for filtering packets | |
| CN107612907A (zh) | 虚拟专用网络vpn安全防护方法及fpga | |
| Zhang et al. | Reconfigurable security protection system based on NetFPGA and embedded soft-core technology | |
| CN105635145A (zh) | Capwap dtls隧道的芯片级安全防护方法 | |
| KR20160143086A (ko) | Sdn을 이용한 사이버 검역 시스템 및 방법 | |
| Zhang et al. | RSS: A reconfigurable security system designed on NetFPGA and Virtex5-LX110T |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180119 |
|
| RJ01 | Rejection of invention patent application after publication |