CN1509002A - 防火墙链路层和网际协议层的地址绑定的方法 - Google Patents
防火墙链路层和网际协议层的地址绑定的方法 Download PDFInfo
- Publication number
- CN1509002A CN1509002A CNA021556873A CN02155687A CN1509002A CN 1509002 A CN1509002 A CN 1509002A CN A021556873 A CNA021556873 A CN A021556873A CN 02155687 A CN02155687 A CN 02155687A CN 1509002 A CN1509002 A CN 1509002A
- Authority
- CN
- China
- Prior art keywords
- address
- mac
- binding
- compartment wall
- fire compartment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种防火墙链路层和网际协议层的地址绑定的方法,防火墙对流经其链路层的IP包进行检查,并根据用户的选择进行地址学习和绑定后,再向下传递或丢弃。防火墙提供将内部网卡IP/MAC地址进行绑定的功能,在防火墙内部建立了网卡的IP地址同其MAC地址一一对应的关系。在这种情况下,即使某人盗用了该网卡的IP地址,在通过防火墙时也会因网卡的MAC地址不匹配而拒绝通过。充分利用网络MAC地址绑定,可以防止IP地址盗用,保证企业网络或个人电脑的安全。同时此地址捆绑所具有的学习功能使用户可以方便的进行地址捆绑。
Description
技术领域
本发明涉及一种防火墙链路层和网际协议层的地址绑定的方法,特别涉及一种自动的防火墙链路层的IP/MAC地址学习功能,属于计算机网络安全技术领域。
背景技术
众所周知:每一块网卡都具有一个唯一的硬件物理地址标识号码,即网卡的MAC地址;MAC地址与网卡一一对应。对于网络协议为TCP/IP(网络传输控制协议,Transfer Control Protocol/Internet Protocol)的两台设备进行通讯时,每块网卡都具有一个网络IP地址。在网络管理中,IP地址盗用现象经常发生,不仅对网络的正常使用造成影响;同时,由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济损失和潜在的安全隐患。特别是在按IP流量计费的网络中,由于费用是按IP地址进行统计的,许多用户为了逃避网络计费,用IP地址盗用的办法,将网络流量计费转嫁到他人身上。另外,一些人因为一些不可告人的目的,会采用IP地址盗用的方式来逃避追踪,隐藏自己的身份。
随着网络应用的发展,防火墙已经成为保障网络安全必不可少的工具。现有技术的防火墙地址绑定是利用地址解析协议(Address ResolutionProtocol,简称ARP)的地址绑定功能实现的。由于ARP的地址绑定功能只有在IP层以上才有效,而对于链路层无效,使得防火墙必须在使用路由或NAT(地址转换)模式时,地址绑定功能才有效,否则地址绑定功能无效。同时原地址绑定缺少学习功能,用户在使用时要一个个地输入,使用者觉得很不方便。因此有必要在链路层实现可学习的地址绑定功能。
发明内容
本发明的主要目的在于提供一种防火墙链路层和网际协议层的地址绑定的方法,它能在防火墙链路层和IP层内部建立网卡IP地址与其MAC地址的一一对应关系,防止IP地址盗用,保证网络安全。
本发明的又一目的在于提供一种防火墙链路层和网际协议层的地址绑定的方法,它还具有学习功能,可以为用户提供流经防火墙的IP/MAC地址对应关系,使用户可以方便的进行地址绑定。
本发明的目的是这样实现的:
对于流经防火墙的IP包,在链路层上首先检查其IP地址对应的MAC地址是否与绑定的MAC地址一致,如果在绑定的地址表中没有该IP地址,则该地址未绑定,允许向下传递进行其它的规则检查。如果MAC地址与绑定的MAC地址一致,则也向下传递进行其它的规则检查,如果MAC地址与绑定的MAC地址不一致,则该包在链路层就被丢弃。
链路层的IP/MAC地址学习及绑定方法具体为:防火墙接收到IP报文,首先用此报文的源IP地址查询IP/MAC绑定地址表,如果在IP/MAC绑定地址表中找到此源IP地址,则继续判断此报文中的源MAC地址是否与IP/MAC绑定地址表中的相同,若不相同,则认为是非法地址,丢弃报文返回;若相同,则认为是合法地址,然后返回;如果在IP/MAC绑定地址表中没有找到此源IP地址,则选择是否启动学习功能,若不学习,则返回;若学习,则将此报文的源IP和源MAC地址记录到IP/MAC绑定地址表中,然后返回。
防火墙提供将内部网卡IP/MAC地址进行绑定的功能,在防火墙内部建立了网卡的IP地址同其MAC地址一一对应的关系。在这种情况下,即使某人盗用了该网卡的IP地址,在通过防火墙时也会因网卡的MAC地址不匹配而拒绝通过。充分利用网络MAC地址绑定,可以防止IP地址盗用,保证企业网络或个人电脑的安全。同时此地址捆绑所具有的学习功能使用户可以方便的进行地址捆绑。
附图说明
图1为链路层和IP层IP/MAC地址绑定方法的功能原理图;
图2为链路层的IP/MAC地址学习及绑定方法的流程图;
图3为网御防火墙地址绑定应用的一个实施例。
具体实施方式
以下结合附图和具体的实施例对本发明作进一步的详细说明:
链路层和IP层IP/MAC地址绑定技术包含IP/MAC地址对应关系的学习和IP/MAC地址的绑定两个功能,其中学习功能为用户提供流经防火墙的IP/MAC地址对应关系,使用户可以方便的进行地址绑定。
参见图1,其为链路层和IP层IP/MAC地址绑定方法的功能原理图。启用IP/MAC地址绑定学习功能时,防火墙流经指定接口的IP报文头中的源IP地址和源MAC地址对应关系记录到IP/MAC地址绑定表中,并把该对应关系从防火墙的管理界面上显示给用户。然后用户可以选择需要绑定的IP/MAC地址对,实行绑定功能,绑定后在IP/MAC地址绑定表中设定标记表明该IP/MAC地址对已实行绑定。当内网和外网通信的IP报文流经防火墙时,都要经过地址绑定检查,检查结果不符的IP报文无法通过防火墙,这样内部用户不可以盗用其它用户的IP地址通过防火墙,外部Internet上的用户也不可以盗用内部用户的IP地址通过防火墙,方便而且有效的保证了网络的安全性。
参见图2,其为链路层的IP/MAC地址学习和绑定方法的流程图。对于流经防火墙的IP报文,在链路层上首先检查其源IP地址对应的源MAC地址是否与绑定的MAC地址一致,如果在绑定的地址表中没有该IP地址,则该地址未绑定,允许向下传递进行其它的规则检查。如果MAC地址与绑定的MAC地址一致,则也向下传递进行其它的规则检查,如果MAC地址与绑定的MAC地址不一致,则该包在链路层就被丢弃。
再参见图2,其为链路层的IP/MAC地址学习及绑定方法的流程图,防火墙接收到IP报文,首先用此报文的源IP地址查询IP/MAC绑定地址表,如果在IP/MAC绑定地址表中找到此源IP地址,则继续判断此报文中的源MAC地址是否与IP/MAC绑定地址表中的相同,若不相同,则认为是非法地址,丢弃报文返回;若相同,则认为是合法地址,返回;如果在IP/MAC绑定地址表中没有找到此源IP地址,则检查是否启动学习功能,若没有启动学习,则返回;若启动学习,则将此报文的源IP和源MAC地址记录到IP/MAC绑定地址表中,然后返回。
该种链路层的IP/MAC地址绑定方法,因其工作在链路层,所以它既可以工作在防火墙的透明网桥模式下,也可以工作在防火墙的路由模式和NAT模式下,不仅可以防止内部IP欺骗,还可以防止外网盗用内网的IP地址。而传统的ARP绑定方式工作在IP层,它只能工作在防火墙的路由模式和NAT模式下。因此本发明所提供的方法与传统ARP绑定方式相比更灵活方便,不受工作模式的限制。
参见图3,其为网御防火墙地址绑定应用的一个实施例。防火墙3的IP地址为10.1.1.250和192.168.1.250。部门1地址为192.168.1.0,缺省网关为192.168.1.250。部门2地址为10.1.1.0,缺省网关为10.1.1.250。部门1和部门2之间的访问是使用防火墙3的路由模式。部门1和部门2都通过代理服务器4访问Internet,使用防火墙3的透明网桥模式。启动MAC地址绑定学习功能,指定和部门1、部门2连接的网络接口学习,则防火墙3会把部门1和部门2的IP和MAC地址对应关系显示给管理员,选择绑定后,部门1和部门2用户不可以盗用其它用户的IP地址通过防火墙3,外部Internet上的用户也不可以盗用内部用户的IP地址通过防火墙3,方便有效的保证了网络的安全性。
最后应说明的是:以上实施例仅用以说明本发明而并非限制本发明所描述的技术方案;因此,尽管本说明书参照上述的各个实施例对本发明已进行了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明进行修改或者等同替换;而一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围当中。
Claims (4)
1、一种防火墙链路层和网际协议层的地址绑定的方法,其特征在于:防火墙对流经其链路层的IP包进行检查后再向下传递或丢弃。
2、根据权利要求1所述的防火墙链路层和网际协议层的地址绑定的方法,其特征在于:该方法具体包括:
步骤10:对于流经防火墙的IP包,根据报文中的源MAC地址检查其IP地址是否绑定或其IP地址对应的MAC地址是否与绑定的MAC地址一致;
步骤11:如果该IP地址未绑定,或者其IP地址对应的MAC地址与绑定的MAC地址一致,则向下传递进行进一步的规则检查;
步骤12:如果不一致,则在链路层丢弃该包。
3、一种防火墙链路层和网际协议层的地址学习及绑定的方法,其特征在于:防火墙对流经其链路层的IP包进行检查,并根据用户的选择进行地址学习和绑定后,再向下传递或丢弃。
4、根据权利要求3所述的防火墙链路层和网际协议层的地址学习及绑定的方法,其特征在于:该方法具体包括:
步骤20:防火墙接收到IP报文后,用此报文源IP地址查询IP/MAC绑定地址表;如果在IP/MAC绑定地址表中找不到该源IP地址,执行步骤23;
步骤21:继续判断该报文中的源MAC地址是否与IP/MAC绑定地址表中的MAC地址相同,若不相同,则丢弃报文返回;
步骤22:若相同,则返回;
步骤23:根据用户的设定判断是否启动学习功能,若不学习,则返回;
步骤24:若启动学习功能,则将该报文的源IP和源MAC地址记录到IP/MAC绑定地址表中,然后返回。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA021556873A CN1509002A (zh) | 2002-12-13 | 2002-12-13 | 防火墙链路层和网际协议层的地址绑定的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA021556873A CN1509002A (zh) | 2002-12-13 | 2002-12-13 | 防火墙链路层和网际协议层的地址绑定的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1509002A true CN1509002A (zh) | 2004-06-30 |
Family
ID=34236030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA021556873A Pending CN1509002A (zh) | 2002-12-13 | 2002-12-13 | 防火墙链路层和网际协议层的地址绑定的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1509002A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101507194B (zh) * | 2006-06-27 | 2012-08-15 | 艾利森电话股份有限公司 | 桥接的以太网中的强制介质访问控制(mac)学习 |
| CN101848191B (zh) * | 2009-03-23 | 2012-12-26 | 北京鼎信高科信息技术有限公司 | 基于ip数据集合的多模式ipmac绑定策略 |
| CN105635047A (zh) * | 2014-10-29 | 2016-06-01 | 江苏威盾网络科技有限公司 | 一种基于防火墙的文件级访问准入安全控制系统 |
| CN105991794A (zh) * | 2015-06-01 | 2016-10-05 | 杭州迪普科技有限公司 | 一种地址学习方法及装置 |
| CN113765842A (zh) * | 2020-06-01 | 2021-12-07 | 台众计算机股份有限公司 | 信息装置的网络联机管理系统 |
-
2002
- 2002-12-13 CN CNA021556873A patent/CN1509002A/zh active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101507194B (zh) * | 2006-06-27 | 2012-08-15 | 艾利森电话股份有限公司 | 桥接的以太网中的强制介质访问控制(mac)学习 |
| CN101848191B (zh) * | 2009-03-23 | 2012-12-26 | 北京鼎信高科信息技术有限公司 | 基于ip数据集合的多模式ipmac绑定策略 |
| CN105635047A (zh) * | 2014-10-29 | 2016-06-01 | 江苏威盾网络科技有限公司 | 一种基于防火墙的文件级访问准入安全控制系统 |
| CN105991794A (zh) * | 2015-06-01 | 2016-10-05 | 杭州迪普科技有限公司 | 一种地址学习方法及装置 |
| CN105991794B (zh) * | 2015-06-01 | 2019-05-07 | 杭州迪普科技股份有限公司 | 一种地址学习方法及装置 |
| CN113765842A (zh) * | 2020-06-01 | 2021-12-07 | 台众计算机股份有限公司 | 信息装置的网络联机管理系统 |
| CN113765842B (zh) * | 2020-06-01 | 2023-04-07 | 台众计算机股份有限公司 | 信息装置的网络联机管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2001290633B2 (en) | System and method for secure dual channel communication through a firewall | |
| CN100459563C (zh) | 认证网关及其数据处理方法 | |
| CN1946034B (zh) | 控管网络设备的方法与通透可组态网络设备 | |
| CN1107400C (zh) | 从外部通过防火墙访问计算机资源的装置和方法 | |
| DE602005000017T2 (de) | Kommunikationsvorrichtung, Verfahren und Programm zur Namenauflösung | |
| CN100496038C (zh) | 远程大规模多用户并发控制的防火墙实验系统的实现方法 | |
| CN102132532B (zh) | 用于避免不需要的数据分组的方法和装置 | |
| Vixie | DNS and BIND Security Issues. | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| AU2001290633A1 (en) | System and method for secure dual channel communication through a firewall | |
| CN105847300B (zh) | 企业网络边界设备拓扑结构的可视化方法及装置 | |
| CN1585334A (zh) | 服务器设备,通信系统和给网络分配安全性策略的方法 | |
| CN100589434C (zh) | 在接入模式下实现业务服务器地址防欺骗的方法 | |
| CN1521993A (zh) | 网络控制方法和设备 | |
| CN1509002A (zh) | 防火墙链路层和网际协议层的地址绑定的方法 | |
| EP1563664A1 (en) | Management of network security domains | |
| WO2007138068A1 (en) | A type of management method and device for network equipment | |
| SE517217C2 (sv) | Metod och system för kommunikation mellan olika nätverk | |
| CN1571349A (zh) | 基于媒体接入控制地址的网络接入控制方法 | |
| CN101364877A (zh) | 安全策略配置方法及其装置 | |
| CN103825846B (zh) | 一种端口安全的实现方法及装置 | |
| CN101262503B (zh) | 用于dhcp设备的回收用户ip地址方法 | |
| Cisco | Configuring Access Control | |
| Cisco | Configuring Access Control Lists | |
| Cisco | Configuring Access Control |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |