CN1292354C - 基于桥的二层交换式防火墙包过滤的方法 - Google Patents
基于桥的二层交换式防火墙包过滤的方法 Download PDFInfo
- Publication number
- CN1292354C CN1292354C CN 02100655 CN02100655A CN1292354C CN 1292354 C CN1292354 C CN 1292354C CN 02100655 CN02100655 CN 02100655 CN 02100655 A CN02100655 A CN 02100655A CN 1292354 C CN1292354 C CN 1292354C
- Authority
- CN
- China
- Prior art keywords
- bridge
- packet
- layer
- port
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
一种基于桥的二层交换式防火墙包过滤的方法,它至少包括如下步骤:在网桥中设置转发数据库,网桥端口设置为混杂模式;捕获连接局域网端口上流经的数据包,并将介质访问控制(MAC)地址和端口对应关系的信息记录在转发数据库中或更新上述信息;在网桥内部的包转发过程中,于链路层对数据包进行包过滤检查,决定数据包被丢弃或转发或提交上层协议(IP)层处理。本发明防火墙不在网络层处理并转发IP报文,因此该防火墙加入到用户的网络和路由器之间时,用户主机不必修改原来指向的网关设置,路由器也不必增加路由设置,简化用户使用操作过程。
Description
技术领域
本发明涉及一种防火墙包过滤的方法,尤其是一种基于桥在链路层和网络层之间实现防火墙包过滤的方法。
背景技术
如果防火墙在网络层处理并转发IP报文,则当防火墙加入在被保护网络和路由器之间时,被防火墙保护的网络内的主机应该将原来指向路由器的网关设置修改成指向防火墙,同时,被保护网络原来的路由器应该修改路由表,以便转发防火墙的IP报文。如果用户的网络非常复杂时,这就给防火墙用户带来了设置上的麻烦。
发明内容
本发明的目的在于提供一种基于桥的二层交换式防火墙包过滤的方法,其防火墙不在网络层处理并转发IP报文,因此该防火墙加入到用户的网络和路由器之间时,用户主机不必修改原来指向的网关设置,路由器也不必增加路由设置,简化用户使用操作过程。
本发明的目的是这样实现的:
一种基于桥的二层交换式防火墙包过滤的方法它至少包括如下步骤:
步骤1:在网桥中设置转发数据库,网桥端口设置为混杂模式;
步骤2:捕获连接局域网端口上流经的数据包,并将介质访问控制(MAC)地址和端口对应关系的信息记录在转发数据库中或更新上述信息;
步骤3:在网桥内部的包转发过程中,于链路层对数据包进行包过滤检查,决定数据包被丢弃或转发或提交上层协议(IP)层处理。
网桥内部的数据包在转发之前,将和用户定义的安全规则进行匹配检查,用户定义的安全规则主要针对IP层的IP地址信息和传输层的协议类型、端口信息等,所有的数据包将在根据检查结果决定被丢弃、转发或是提交上层协议(IP)层处理。
再有,进入网桥的数据包将被提取出其所包含的IP报文的IP包头信息和传输层包头信息进行安全策略检查,决定数据包是拒绝还是接收(这个检查过程并不改变原以太网帧的MAC地址信息),如是拒绝则将数据包丢弃;如是转发,则将数据包中的以太网帧的目标MAC地址与转发数据库的MAC地址进行匹配;如果数据库给出了目标MAC地址的对应端口,并且检查端口信息为转发状态,则数据包被路由到该端口,完成包过滤。
具体地安全策略检查数据包网络层包头的源IP地址、目的IP地址;传输层包头的源端口、目的端口信息的检查。
防火墙在完成包过滤检查的同时,也完全兼容IEEE802.1d以太网桥协议,防火墙内部的以太网帧在包过滤检查完毕后,最终将向哪个端口转发决定于以802.1d协议为基础实现并维护的转发数据库信息和/或网桥端口状态信息。
根据上述技术方案分析可知,本发明基于桥的防火墙在链路层和网络层之间实现了包过滤,在完全支持目前的主流网络交换机生成树协议(802.1d)网桥的基础上,改变了防火墙的调用接口。不仅使防火墙可以灵活地适合各类用户的复杂网络,同时方便了用户,而且还使防火墙仍然具有良好的包过滤功能。
附图说明
图1为网桥环路结构示意图;
图2为本发明网桥内部结构示意图;
图3为本发明链路层到IP层的包过滤数据流向示意图;
图4为本发明桥数据包处理模块流程图。
具体实施方式
IEEE802.X的网络互联实体(中继实体)被指定为网桥,网桥的设计是实现局域网的互联,它们在决定如何转发局域网间的数据时使用的是目标MAC地址,网桥没有通常的网络层,通常由网络层负担的路由搜索与包转发功能则放在了数据链路层。
本发明的基础就是利用网桥实现报文转发,但是在转发过程中,又可以由用户定义安全规则,即完全在链路层实现防火墙的包过滤功能。
如图1、2所示,本发明的防火墙在工作时所有的以太网口被绑定为一个虚拟的网桥设备,端口1和端口2为交换式防火墙的两个以太网端口。以太端口被设置为混杂模式,该端口相连的局域网上的所有数据均将被接收、进而被进一步处理。
用网桥方式实现的防火墙对接收到的数据包的处理有赖于两个条件:网桥所维护的转发数据库(或可称之为网桥的路由信息库)和网桥的每个物理端口(即网口)的可用状态。
网桥的转发数据库的形成和维护是一个动态的学习与记录过程,当某一以太网帧初次被转发时网桥会尝试将其通过所有的物理端口向外转发,若通过某一端口转发出去后能正常达到其目标主机,则该次转发的路由信息(包括目的MAC地址、转发所用的端口)将会被记入转发数据库。
网桥的端口状态可能是转发或是阻塞状态,参见图3,当出现环路或其它非树状拓扑结构时,数据包将在传输过程中形成死循环。802.1d网桥利用stp生成树算法,会与其它的网桥设备会互发BPDU(Bridge ProtocolData Unit)包来维护整个通过网桥拓扑,确定每个网桥设备及其端口的可用状态,对于如图3的情况,网桥的其中一个(或多个)端口将被设为阻断状态,而决不会造成网络的回路。
进入网桥的数据包在转发时防火墙将会将它的目标MAC地址与网桥的转发数据库中的MAC地址进行匹配,如果数据库已经记录了该MAC地址的对应端口,并且该端口处于转发状态,则该数据包就可以由该端口转发出去,这个过程完全在链路层实现。
以上基本上是IEEE802.1d以太网桥对数据包的标准处理过程。本发明的不同之处就在于在标准协议的基础之上添加了防火墙的接口。本发明主要处理步骤是桥对数据包的处理,包括桥数据包处理、桥广播、桥转发、桥本地处理、桥安全策略检查等。其中桥数据包处理模块是网桥的核心处理步骤,直接决定数据包是在链路层被转发、丢弃还足由上层协议来处理。如图4所示,具体地,首先判断桥是否为转发状态,如果不是,则丢弃包;如果是,则在散列表中查找目的以太网地址,找到后并检查不是本地处理,则进入桥安全策略检查。安全策略检查包括对数据包网络层包头的源IP地址、目的IP地址和传输层包头的源端口、目的端口等信息的检查。在此处进行数据包过滤,根据过滤的结果,将数据做丢弃、转发或送上层IP层处理;如果在散列表中查找目的以太网地址,找到后并检查是本地处理,则直接进行本地处理后返回;若在散列表中查找目的以太网地址,没有找到目标以太网地址,则将数据包送桥广播处理后返回。
在本发明的使用过程中,用户可以自定义针对于IP地址、端口、协议类型的安全策略。当一个数据包在将被转发时,将直接在链路层检查每个数据包所包含的IP报文的有关(IP地址、端口、协议等)信息,并根据用户定义的规则最终确定数据包被转发还是被丢弃或是交给上层协议(IP层)处理。
本发明是在链路层对数据包进行安全策略检查,决定该数据包是被丢弃、转发或交给上层协议(IP层)处理。包过滤检查仅仅发生于网桥内部的包转发过程中,这是和路由方式下的包过滤有很大的不同的。因此,是在网桥的转发处理过程中实现了防火墙功能,同时仍然保持了802.1d生成树网桥的特点,它不仅保证了通过网桥的数据转发,而且能防止通过多端口网桥实现互联的局域网环路问题。所以,可以安全地应用于各种复杂的网络环境。
以上实施例仅用以说明本发明而非限制,尽管参照以上较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明进行修改、变形或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (5)
1、一种基于桥的二层交换式防火墙包过滤的方法,其特征在于:它至少包括如下步骤:
步骤1:在网桥中设置转发数据库,网桥端口设置为混杂模式;
步骤2:捕获连接局域网端口上流经的数据包,并将介质访问控制MAC地址和端口对应关系的信息记录在转发数据库中或更新上述信息;
步骤3:以网桥方式,于链路层对数据包进行包过滤检查,决定数据包被丢弃或转发或提交上层协议层处理。
2、根据权利要求1所述的基于桥的二层交换式防火墙包过滤的方法,其特征在于:进入网桥的数据包,将和用户定义的安全规则进行匹配检查,用户定义的安全规则是针对IP层的IP地址信息和传输层的协议类型、端口信息的,所有的数据包将根据检查结果决定被丢弃、转发或是提交上层协议层处理。
3、根据权利要求1所述的基于桥的二层交换式防火墙包过滤的方法,其特征在于:进入网桥的数据包将被提取出其所包含的IP报文的IP包头信息和传输层包头信息进行安全策略检查,决定数据包是拒绝还是接收,如是拒绝则将数据包丢弃;如是接收,则将数据包中的以太网帧的目标MAC地址与转发数据库的MAC地址进行匹配;如果数据库给出了目标MAC地址的对应端口,并且检查端口信息为转发状态,则数据包被路由到所述对应端口,完成包过滤。
4、根据权利要求3所述的基于桥的二层交换式防火墙包过滤的方法,其特征在于:安全策略检查包括对数据包网络层包头的源IP地址、目的IP地址和传输层包头的源端口、目的端口信息的检查。
5、根据权利要求1所述的基于桥的二层交换式防火墙包过滤的方法,其特征在于:防火墙在完成包过滤检查的同时,也完全兼容IEEE802.1d以太网桥协议,防火墙内部的以太网帧在包过滤检查完毕后、最终将向哪个端口转发决定于以IEEE802.1d协议为基础实现并维护的转发数据库信息和/或网桥端口状态信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02100655 CN1292354C (zh) | 2002-02-08 | 2002-02-08 | 基于桥的二层交换式防火墙包过滤的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02100655 CN1292354C (zh) | 2002-02-08 | 2002-02-08 | 基于桥的二层交换式防火墙包过滤的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1437114A CN1437114A (zh) | 2003-08-20 |
| CN1292354C true CN1292354C (zh) | 2006-12-27 |
Family
ID=27627207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02100655 Expired - Fee Related CN1292354C (zh) | 2002-02-08 | 2002-02-08 | 基于桥的二层交换式防火墙包过滤的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1292354C (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100459563C (zh) * | 2003-11-21 | 2009-02-04 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
| US7496955B2 (en) * | 2003-11-24 | 2009-02-24 | Cisco Technology, Inc. | Dual mode firewall |
| US8688834B2 (en) | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| CN1735072B (zh) * | 2004-08-13 | 2010-04-21 | 中兴通讯股份有限公司 | 一种无线局域网网桥透明桥接的改进实现方法 |
| CN100384143C (zh) * | 2004-08-24 | 2008-04-23 | 华为技术有限公司 | 一种网络交换设备检测恶意ip扫描的方法 |
| US7616643B2 (en) * | 2006-04-19 | 2009-11-10 | Cisco Technology, Inc. | Techniques for integrated routing of call circuit signaling and the internet protocol |
| CN101119322B (zh) * | 2007-09-11 | 2012-02-08 | 杭州华三通信技术有限公司 | Mesh网络中的报文处理方法和节点设备 |
| US8763108B2 (en) * | 2007-11-29 | 2014-06-24 | Qualcomm Incorporated | Flow classification for encrypted and tunneled packet streams |
| CN102932229B (zh) * | 2012-11-20 | 2015-08-12 | 成都卫士通信息产业股份有限公司 | 一种对数据包进行加解密处理的方法 |
| DE102019210226A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren für Angriffserkennung in einem Kommunikationsnetzwerk |
| CN113938297B (zh) * | 2021-10-09 | 2023-12-19 | 北京天地和兴科技有限公司 | 一种能动态扩展业务口的防火墙装置及其运行方法 |
-
2002
- 2002-02-08 CN CN 02100655 patent/CN1292354C/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN1437114A (zh) | 2003-08-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| EP1158725B1 (en) | Method and apparatus for multi- redundant router protocol support | |
| US7903586B2 (en) | Ring rapid multiple spanning tree protocol system and method | |
| AU749880B2 (en) | Virtual local area networks having rules of precedence | |
| EP2643940B1 (en) | Method of shrinking a data loss window in a packet network device | |
| CN1292354C (zh) | 基于桥的二层交换式防火墙包过滤的方法 | |
| US20030182580A1 (en) | Network traffic flow control system | |
| US20050152399A1 (en) | Method and apparatus for determining a multilayer switching path | |
| US8340092B2 (en) | Switching system and method in switching system | |
| JP2002314571A5 (zh) | ||
| CA2555545A1 (en) | Interface bundles in virtual network devices | |
| GB2513188A (en) | Identification of the paths taken through a network of interconnected devices | |
| US8949458B1 (en) | Automatic filtering to prevent network attacks | |
| CN102571738A (zh) | 基于虚拟局域网交换的入侵防御方法与系统 | |
| CN101248620A (zh) | 一种标签报文路径合法性检查的实现方法 | |
| US8839352B2 (en) | Firewall security between network devices | |
| US8085654B2 (en) | Method for reducing fault detection time in a telecommunication network | |
| CN113422783A (zh) | 一种网络攻击防护方法 | |
| CN109088953B (zh) | 一种Linux网关代理转换IP的方法及装置 | |
| CN1278528C (zh) | 网络安全设备多工作模式自适应的方法 | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging | |
| Cisco | Configuring Transparent Bridging |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: LEGEND WANGYU TECHNOLOGY (BEIJING) LTD. Free format text: FORMER OWNER: LIANXIANG (BEIJING) CO. LTD. Effective date: 20050218 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20050218 Address after: 100086, room 801-810, CLP information building, 6 South Avenue, Beijing, Haidian District, Zhongguancun Applicant after: Lenovo Wangyu Technology (Beijing) Ltd. Address before: 100085, No. 6, Pioneer Road, Haidian District information industry base, Beijing Applicant before: Lenovo (Beijing) Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: BEIJING LEADSEC INFORMATION TECHNOLOGY CO., LTD. Free format text: FORMER NAME: LEADSEC TECHNOLOGY (BEIJING) CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 100086, room 801-810, CLP information building, 6 South Avenue, Beijing, Haidian District, Zhongguancun Patentee after: Beijing Leadsec Technology Co.,Ltd. Address before: 100086, room 801-810, CLP information building, 6 South Avenue, Beijing, Haidian District, Zhongguancun Patentee before: Lenovo Wangyu Technology (Beijing) Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20061227 Termination date: 20150208 |
|
| EXPY | Termination of patent right or utility model |