CN1437114A - 基于桥的二层交换式防火墙包过滤的方法 - Google Patents
基于桥的二层交换式防火墙包过滤的方法 Download PDFInfo
- Publication number
- CN1437114A CN1437114A CN 02100655 CN02100655A CN1437114A CN 1437114 A CN1437114 A CN 1437114A CN 02100655 CN02100655 CN 02100655 CN 02100655 A CN02100655 A CN 02100655A CN 1437114 A CN1437114 A CN 1437114A
- Authority
- CN
- China
- Prior art keywords
- bridge
- packet
- layer
- port
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种基于桥的二层交换式防火墙包过滤的方法,它至少包括如下步骤:在网桥中设置转发数据库,网桥端口设置为混杂模式;捕获连接局域网端口上流经的数据包,并将介质访问控制(MAC)地址和端口对应关系的信息记录在转发数据库中或更新上述信息;在网桥内部的包转发过程中,于链路层对数据包进行包过滤检查,决定数据包被丢弃或转发或提交上层协议(IP)层处理。本发明防火墙不在网络层处理并转发IP报文,因此该防火墙加入到用户的网络和路由器之间时,用户主机不必修改原来指向的网关设置,路由器也不必增加路由设置,简化用户使用操作过程。
Description
技术领域
本发明涉及一种防火墙包过滤的方法,尤其是一种基于桥在链路层和网络层之间实现防火墙包过滤的方法。
背景技术
如果防火墙在网络层处理并转发IP报文,则当防火墙加入在被保护网络和路由器之间时,被防火墙保护的网络内的主机应该将原来指向路由器的网关设置修改成指向防火墙,同时,被保护网络原来的路由器应该修改路由表,以便转发防火墙的IP报文。如果用户的网络非常复杂时,这就给防火墙用户带来了设置上的麻烦。
发明内容
本发明的目的在于提供一种基于桥的二层交换式防火墙包过滤的方法,其防火墙不在网络层处理并转发IP报文,因此该防火墙加入到用户的网络和路由器之间时,用户主机不必修改原来指向的网关设置,路由器也不必增加路由设置,简化用户使用操作过程。
本发明的目的是这样实现的:
一种基于桥的二层交换式防火墙包过滤的方法它至少包括如下步骤:
步骤1:在网桥中设置转发数据库,网桥端口设置为混杂模式;
步骤2:捕获连接局域网端口上流经的数据包,并将介质访问控制(MAC)地址和端口对应关系的信息记录在转发数据库中或更新上述信息;
步骤3:在网桥内部的包转发过程中,于链路层对数据包进行包过滤检查,决定数据包被丢弃或转发或提交上层协议(IP)层处理。
网桥内部的数据包在转发之前,将和用户定义的安全规则进行匹配检查,用户定义的安全规则主要针对IP层的IP地址信息和传输层的协议类型、端口信息等,所有的数据包将在根据检查结果决定被丢弃、转发或是提交上层协议(IP)层处理。
再有,进入网桥的数据包将被提取出其所包含的IP报文的IP包头信息和传输层包头信息进行安全策略检查,决定数据包是拒绝还是接收(这个检查过程并不改变原以太网帧的MAC地址信息),如是拒绝则将数据包丢弃;如是转发,则将数据包中的以太网帧的目标MAC地址与转发数据库的MAC地址进行匹配;如果数据库给出了目标MAC地址的对应端口,并且检查端口信息为转发状态,则数据包被路由到该端口,完成包过滤。
具体地安全策略检查数据包网络层包头的源IP地址、目的IP地址;传输层包头的源端口、目的端口信息的检查。
防火墙在完成包过滤检查的同时,也完全兼容IEEE802.1d以太网桥协议,防火墙内部的以太网帧在包过滤检查完毕后,最终将向哪个端口转发决定于以802.1d协议为基础实现并维护的转发数据库信息和/或网桥端口状态信息。
根据上述技术方案分析可知,本发明基于桥的防火墙在链路层和网络层之间实现了包过滤,在完全支持目前的主流网络交换机生成树协议(802.1d)网桥的基础上,改变了防火墙的调用接口。不仅使防火墙可以灵活地适合各类用户的复杂网络,同时方便了用户,而且还使防火墙仍然具有良好的包过滤功能。
附图说明
图1为网桥环路结构示意图;
图2为本发明网桥内部结构示意图;
图3为本发明链路层到IP层的包过滤数据流向示意图;
图4为本发明桥数据包处理模块流程图。
具体实施方式
IEEE802.X的网络互联实体(中继实体)被指定为网桥,网桥的设计是实现局域网的互联,它们在决定如何转发局域网间的数据时使用的是目标MAC地址,网桥没有通常的网络层,通常由网络层负担的路由搜索与包转发功能则放在了数据链路层。
本发明的基础就是利用网桥实现报文转发,但是在转发过程中,又可以由用户定义安全规则,即完全在链路层实现防火墙的包过滤功能。
如图1、2所示,本发明的防火墙在工作时所有的以太网口被绑定为一个虚拟的网桥设备,端口1和端口2为交换式防火墙的两个以太网端口。以太端口被设置为混杂模式,该端口相连的局域网上的所有数据均将被接收、进而被进一步处理。
用网桥方式实现的防火墙对接收到的数据包的处理有赖于两个条件:网桥所维护的转发数据库(或可称之为网桥的路由信息库)和网桥的每个物理端口(即网口)的可用状态。
网桥的转发数据库的形成和维护是一个动态的学习与记录过程,当某一以太网帧初次被转发时网桥会尝试将其通过所有的物理端口向外转发,若通过某一端口转发出去后能正常达到其目标主机,则该次转发的路由信息(包括目的MAC地址、转发所用的端口)将会被记入转发数据库。
网桥的端口状态可能是转发或是阻塞状态,参见图3,当出现环路或其它非树状拓扑结构时,数据包将在传输过程中形成死循环。802.1d网桥利用stp生成树算法,会与其它的网桥设备会互发BPDU(Bridge ProtocolData Unit) 包来维护整个通过网桥拓扑,确定每个网桥设备及其端口的可用状态,对于如图3的情况,网桥的其中一个(或多个)端口将被设为阻断状态,而决不会造成网络的回路。
进入网桥的数据包在转发时防火墙将会将它的目标MAC地址与网桥的转发数据库中的MAC地址进行匹配,如果数据库已经记录了该MAC地址的对应端口,并且该端口处于转发状态,则该数据包就可以由该端口转发出去,这个过程完全在链路层实现。
以上基本上是IEEE802.1d以太网桥对数据包的标准处理过程。本发明的不同之处就在于在标准协议的基础之上添加了防火墙的接口。本发明主要处理步骤是桥对数据包的处理,包括桥数据包处理、桥广播、桥转发、桥本地处理、桥安全策略检查等。其中桥数据包处理模块是网桥的核心处理步骤,直接决定数据包是在链路层被转发、丢弃还是由上层协议来处理。如图4所示,具体地,首先判断桥是否为转发状态,如果不是,则丢弃包;如果是,则在散列表中查找目的以太网地址,找到后并检查不是本地处理,则进入桥安全策略检查.安全策略检查数据包网络层包头的源IP地址、目的IP地址;传输层包头的源端口、目的端口等信息的检查。在此处进行数据包过滤,根据过滤的结果,将数据做丢弃、转发或送上层IP层处理;如果在散列表中查找目的以太网地址,找到后并检查是本地处理,则直接进行本地处理后返回;若在散列表中查找目的以太网地址,没有找到目标以太网地址,则将数据包送桥广播处理后返回。
在本发明的使用过程中,用户可以自定义针对于IP地址、端口、协议类型的安全策略。当一个数据包在将被转发时,将直接在链路层检查每个数据包所包含的IP报文的有关(IP地址、端口、协议等)信息,并根据用户定义的规则最终确定数据包被转发还是被丢弃或是交给上层协议(IP层)处理。
本发明是在链路层对数据包进行安全策略检查,决定该数据包是被丢弃、转发或交给上层协议(IP层)处理。包过滤检查仅仅发生于网桥内部的包转发过程中,这是和路由方式下的包过滤有很大的不同的。因此,是在网桥的转发处理过程中实现了防火墙功能,同时仍然保持了802.1d生成树网桥的特点,它不仅保证了通过网桥的数据转发,而且能防止通过多端口网桥实现互联的局域网环路问题。所以,可以安全地应用于各种复杂的网络环境。
以上实施例仅用以说明本发明而非限制,尽管参照以上较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明进行修改、变形或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (5)
1、一种基于桥的二层交换式防火墙包过滤的方法,其特征在于:它至少包括如下步骤:
步骤1:在网桥中设置转发数据库,网桥端口设置为混杂模式;
步骤2:捕获连接局域网端口上流经的数据包,并将介质访问控制(MAC)地址和端口对应关系的信息记录在转发数据库中或更新上述信息;
步骤3:在网桥内部的包转发过程中,于链路层对数据包进行包过滤检查,决定数据包被丢弃或转发或提交上层协议(IP)层处理。
2、根据权利要求1所述的基于桥的二层交换式防火墙包过滤的方法,其特征在于:网桥内部的数据包在转发之前,将和用户定义的安全规则进行匹配检查,用户定义的安全规则主要针对IP层的IP地址信息和传输层的协议类型、端口信息等,所有的数据包将在根据检查结果决定被丢弃、转发或是提交上层协议(IP)层处理。
3、根据权利要求1所述的基于桥的二层交换式防火墙包过滤的方法,其特征在于:进入网桥的数据包将被提取出其所包含的IP报文的IP包头信息和传输层包头信息进行安全策略检查,决定数据包是拒绝还是接收(这个检查过程并不改变原以太网帧的MAC地址信息),如是拒绝则将数据包丢弃;如是转发,则将数据包中的以太网帧的目标MAC地址与转发数据库的MAC地址进行匹配;如果数据库给出了目标MAC地址的对应端口,并且检查端口信息为转发状态,则数据包被路由到该端口,完成包过滤。
4、根据权利要求3所述的基于桥的二层交换式防火墙包过滤的方法,其特征在于:安全策略检查数据包网络层包头的源IP地址、目的IP地址;传输层包头的源端口、目的端口信息的检查。
5、根据权利要求1所述的基于桥的二层交换式防火墙包过滤的方法,其特征在于:防火墙在完成包过滤检查的同时,也完全兼容IEEE802.1d以太网桥协议,防火墙内部的以太网帧在包过滤检查完毕后、最终将向哪个端口转发决定于以802.1d协议为基础实现并维护的转发数据库信息和/或网桥端口状态信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02100655 CN1292354C (zh) | 2002-02-08 | 2002-02-08 | 基于桥的二层交换式防火墙包过滤的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 02100655 CN1292354C (zh) | 2002-02-08 | 2002-02-08 | 基于桥的二层交换式防火墙包过滤的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1437114A true CN1437114A (zh) | 2003-08-20 |
| CN1292354C CN1292354C (zh) | 2006-12-27 |
Family
ID=27627207
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 02100655 Expired - Fee Related CN1292354C (zh) | 2002-02-08 | 2002-02-08 | 基于桥的二层交换式防火墙包过滤的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1292354C (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2005053269A1 (en) * | 2003-11-24 | 2005-06-09 | Cisco Technology, Inc. | Dual mode firewall |
| CN100384143C (zh) * | 2004-08-24 | 2008-04-23 | 华为技术有限公司 | 一种网络交换设备检测恶意ip扫描的方法 |
| CN100459563C (zh) * | 2003-11-21 | 2009-02-04 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
| CN1735072B (zh) * | 2004-08-13 | 2010-04-21 | 中兴通讯股份有限公司 | 一种无线局域网网桥透明桥接的改进实现方法 |
| CN101119322B (zh) * | 2007-09-11 | 2012-02-08 | 杭州华三通信技术有限公司 | Mesh网络中的报文处理方法和节点设备 |
| CN102932229A (zh) * | 2012-11-20 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种对数据包进行加解密处理的方法 |
| CN101911611B (zh) * | 2007-11-29 | 2013-03-27 | 高通股份有限公司 | 经加密和经隧穿的包串流的流分类 |
| CN101427530B (zh) * | 2006-04-19 | 2013-05-22 | 思科技术公司 | 用于呼叫电路信令和网际协议的集成路由的方法和设备 |
| US8688834B2 (en) | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| CN112217783A (zh) * | 2019-07-10 | 2021-01-12 | 罗伯特·博世有限公司 | 用于在通信网络中的攻击识别的设备和方法 |
| CN113938297A (zh) * | 2021-10-09 | 2022-01-14 | 北京天地和兴科技有限公司 | 一种能动态扩展业务口的防火墙装置及其运行方法 |
-
2002
- 2002-02-08 CN CN 02100655 patent/CN1292354C/zh not_active Expired - Fee Related
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100459563C (zh) * | 2003-11-21 | 2009-02-04 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
| US7496955B2 (en) | 2003-11-24 | 2009-02-24 | Cisco Technology, Inc. | Dual mode firewall |
| WO2005053269A1 (en) * | 2003-11-24 | 2005-06-09 | Cisco Technology, Inc. | Dual mode firewall |
| US8688834B2 (en) | 2004-07-09 | 2014-04-01 | Toshiba America Research, Inc. | Dynamic host configuration and network access authentication |
| CN101416176B (zh) * | 2004-07-09 | 2015-07-29 | 株式会社东芝 | 动态主机配置和网络访问验证 |
| CN1735072B (zh) * | 2004-08-13 | 2010-04-21 | 中兴通讯股份有限公司 | 一种无线局域网网桥透明桥接的改进实现方法 |
| CN100384143C (zh) * | 2004-08-24 | 2008-04-23 | 华为技术有限公司 | 一种网络交换设备检测恶意ip扫描的方法 |
| CN101427530B (zh) * | 2006-04-19 | 2013-05-22 | 思科技术公司 | 用于呼叫电路信令和网际协议的集成路由的方法和设备 |
| CN101119322B (zh) * | 2007-09-11 | 2012-02-08 | 杭州华三通信技术有限公司 | Mesh网络中的报文处理方法和节点设备 |
| CN101911611B (zh) * | 2007-11-29 | 2013-03-27 | 高通股份有限公司 | 经加密和经隧穿的包串流的流分类 |
| CN102932229A (zh) * | 2012-11-20 | 2013-02-13 | 成都卫士通信息产业股份有限公司 | 一种对数据包进行加解密处理的方法 |
| CN102932229B (zh) * | 2012-11-20 | 2015-08-12 | 成都卫士通信息产业股份有限公司 | 一种对数据包进行加解密处理的方法 |
| CN112217783A (zh) * | 2019-07-10 | 2021-01-12 | 罗伯特·博世有限公司 | 用于在通信网络中的攻击识别的设备和方法 |
| CN113938297A (zh) * | 2021-10-09 | 2022-01-14 | 北京天地和兴科技有限公司 | 一种能动态扩展业务口的防火墙装置及其运行方法 |
| CN113938297B (zh) * | 2021-10-09 | 2023-12-19 | 北京天地和兴科技有限公司 | 一种能动态扩展业务口的防火墙装置及其运行方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1292354C (zh) | 2006-12-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11032190B2 (en) | Methods and systems for network security universal control point | |
| CN101431449B (zh) | 一种网络流量清洗系统 | |
| JP4744723B2 (ja) | マルチプロトコル冗長ルータプロトコルサポート方法及び装置 | |
| US6141755A (en) | Firewall security apparatus for high-speed circuit switched networks | |
| US7903586B2 (en) | Ring rapid multiple spanning tree protocol system and method | |
| US7672227B2 (en) | Loop prevention system and method in a stackable ethernet switch system | |
| CN101155109B (zh) | 一种以太网交换系统及设备 | |
| US8705362B2 (en) | Systems, methods, and apparatus for detecting a pattern within a data packet | |
| AU749880B2 (en) | Virtual local area networks having rules of precedence | |
| US8306024B2 (en) | Preventing forwarding of a packet to a control plane | |
| US7411965B2 (en) | Method and apparatus for determining a multilayer switching path | |
| US8340092B2 (en) | Switching system and method in switching system | |
| CN1292354C (zh) | 基于桥的二层交换式防火墙包过滤的方法 | |
| CA2555545A1 (en) | Interface bundles in virtual network devices | |
| JP2002314571A5 (zh) | ||
| WO2002091674A1 (en) | Network traffic flow control system | |
| CN101257490A (zh) | 一种防火墙旁路模式下的报文处理方法和系统 | |
| CN102571738A (zh) | 基于虚拟局域网交换的入侵防御方法与系统 | |
| CN1527544A (zh) | 一种以太网交换机及其业务处理方法 | |
| CN101248620A (zh) | 一种标签报文路径合法性检查的实现方法 | |
| CN103493439A (zh) | 接收信息的方法、发送信息的方法及装置 | |
| CN1278528C (zh) | 网络安全设备多工作模式自适应的方法 | |
| KR102412933B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 서비스를 제공하는 시스템 및 방법 | |
| JP2004208068A (ja) | ネットワークの経路探索方式、中継ノードおよびネットワーク監視装置 | |
| WO2007031178A1 (en) | Method for load balancing in a network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: LEGEND WANGYU TECHNOLOGY (BEIJING) LTD. Free format text: FORMER OWNER: LIANXIANG (BEIJING) CO. LTD. Effective date: 20050218 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20050218 Address after: 100086, room 801-810, CLP information building, 6 South Avenue, Beijing, Haidian District, Zhongguancun Applicant after: Lenovo Wangyu Technology (Beijing) Ltd. Address before: 100085, No. 6, Pioneer Road, Haidian District information industry base, Beijing Applicant before: Lenovo (Beijing) Co., Ltd. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: BEIJING LEADSEC INFORMATION TECHNOLOGY CO., LTD. Free format text: FORMER NAME: LEADSEC TECHNOLOGY (BEIJING) CO., LTD. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: 100086, room 801-810, CLP information building, 6 South Avenue, Beijing, Haidian District, Zhongguancun Patentee after: Beijing Leadsec Technology Co.,Ltd. Address before: 100086, room 801-810, CLP information building, 6 South Avenue, Beijing, Haidian District, Zhongguancun Patentee before: Lenovo Wangyu Technology (Beijing) Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20061227 Termination date: 20150208 |
|
| EXPY | Termination of patent right or utility model |