CN201167328Y - 一种状态切换式桥接装置 - Google Patents
一种状态切换式桥接装置 Download PDFInfo
- Publication number
- CN201167328Y CN201167328Y CNU2007201713815U CN200720171381U CN201167328Y CN 201167328 Y CN201167328 Y CN 201167328Y CN U2007201713815 U CNU2007201713815 U CN U2007201713815U CN 200720171381 U CN200720171381 U CN 200720171381U CN 201167328 Y CN201167328 Y CN 201167328Y
- Authority
- CN
- China
- Prior art keywords
- module
- bridge
- switch
- address
- control module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型属于网络安全防御领域,具体涉及一种可通过对防御模块的控制进行状态切换的桥接装置。所述桥接装置包括:数据交换模块和主控模块,防御模块和开关控制模块,所述防御模块分别与所述数据交换模块和所述主控模块连接,所述开关控制模块与所述防御模块连接,用于控制所述防御模块工作状态的开启或关闭。本实用新型状态切换式桥接装置结构简单,设计合理,使用方便,通过功能控制开关对防御模块进行开关状态控制使得本实用新型状态切换式桥接装置具有两种工作方式,可实现与普通桥接装置的兼容互换,又可以在开关控制模块开启时满足网络信息安全防御的要求。
Description
【技术领域】
本实用新型属于网络安全防御领域,具体涉及一种可通过对防御模块的控制进行状态切换的桥接装置。
【背景技术】
一组IEEE 802.3标准定义的局域网协议集。现已是最为常用的局域网链路层协议。二层以太网交换机是基于链路层的物理地址进行包交换的一种设备。
二层以太网交换机的原理是根据以太网交换机的原理很简单,它处理以太网二层报文信息,先进行源地址学习,检测从以太网端口来的数据包的源物理(介质访问层)地址,然后与系统内部的动态查找表进行比较,若数据包的源物理层地址不在查找表中,则将该地址加入查找表中,再根据数据包的目的物理地址,查找表,如果找到则将数据包发送给相应的目的端口,没有找到就将此数据包发送到所有端口;如果数据包目的物理是广播地址,则发送到所有端口。普通以太网交换机只是做数据的转发。
目前基于地址解析协议的病毒泛滥,常有的地址解析协议病毒有以下三种攻击方法:
第一种:物理地址伪冒攻击。物理地址欺骗行为发生在上述流程的第三步,此时因为地址解析协议请求报文是个广播报文,现有普通二层交换机会向所有终端进行广播,此请求报文在此局域网络中的所有终端都会收到,例如主机C也收到了给地址解析协议请求报文,如果主机C上有病毒或恶意程序,它可以伪装成主机B发送地址解析协议回应报文给主机A,在第四步中,主机A收到此伪装地址解析协议报文,会将其与主机C的物理地址对应关系存入其自身的地址解析协议表中,这样以后主机A与主机B通讯时的所有数据将全部发送给主机C,这样主机C就可以成功截获主机A和主机B之间的所有通讯数据信息。
第二种:物理地址泛滥攻击,导致网络瘫痪。通常广播网络内作为网关的设备的地址解析协议映射的数量是有限的,如果攻击者大量发送分别伪冒不同源IP地址的地址解析报文请求报文,就可以使整个广播网络的数据转发出现故障,此时攻击也可以被称为地址解析协议泛滥攻击。
第三种:物理地址伪冒导致IP冲突。通常的IP以太网主机系统为防止IP地址冲突,会在联网的最初阶段向外发送几个地址解析协议宣告,查询此IP是否有人已经占用,如果有人占用,则此主机不可使用此IP,这就有可能有恶意攻击者在收到此宣告后,发起一个响应,伪装已经占用此IP造成此主机不可联网。
对于上述攻击行为,根据目前普通二层交换机的工作原理,无法对这些攻击进行防御。
【实用新型内容】
为了更好的解决现有技术中存在的普通交换机无法防止物理地址伪冒攻击、物理地址泛滥攻击和物理地址伪冒导致IP冲突等技术问题,本实用新型提供了一种通过对防御模块的控制进行状态切换的桥接装置。
本实用新型解决现有技术问题所采用的技术方案为提供一种状态切换式桥接装置,所述桥接装置包括:数据交换模块、信息安全防御模块和主控模块,其特征在于:所述桥接装置还包括开关控制模块,所述开关控制模块与所述防御模块连接,用于控制所述防御模块工作状态的开启或关闭。根据本实用新型的一优选实施例:所述开关控制模块包括开关构件,与所述开关构件连接的触发构件。
根据本实用新型的一优选实施例:所述开关构件为按钮式开关或拨动式开关。
根据本实用新型的一优选实施例:所述开关构件设置于所述桥接装置壳体外部。
根据本实用新型的一优选实施例:所述防御模块为用于对所述数据交换模块转发信息进行数据转换处理的加密模块。
根据本实用新型的一优选实施例:所述加密模块为单独设计。
根据本实用新型的一优选实施例:所述加密模块与所述主控模块为集成设计。
根据本实用新型的一优选实施例:所述加密模块可通过加密软件实现。
根据本实用新型的一优选实施例:所述防御模块为将请求端发送的地址解析协议信息进行收集并单向上报发送至地址解析协议代理部的上报模块。
根据本实用新型的一优选实施例:所述桥接装置为交换机或路由器。
本实用新型状态切换式桥接装置结构简单,设计合理,使用方便,通过功能控制开关对防御模块进行开关状态控制使得本实用新型状态切换式桥接装置具有两种工作方式,可实现于普通桥接装置的兼容互换,又可以在开关控制模块开启时满足网络信息安全防御的要求。将状态切换式桥接装置安装到防御系统后在实际应用中能非常好的解决现有技术中存在的物理地址伪冒攻击、物理地址泛滥攻击和物理地址伪冒导致IP冲突等技术问题,具有很高的实用性。
【附图说明】
图1为本实用新型状态切换式桥接装置模块结构图;
图2为本实用新型状态切换式桥接装置结构示意图;
图3安装有状态切换式桥接装置的防攻击信息通讯网络安全防御系统结构图;
图4防御模块为加密模块时,状态切换式桥接装置在防攻击信息通讯网络安全防御系统中的防御方法流程图;
图5防御模块为上报模块时,状态切换式桥接装置在防攻击信息通讯网络安全防御系统中的防御方法流程图。
【具体实施方式】
以下结合附图说明和具体实施方式对本实用新型进一步说明。
请参阅图1本实用新型状态切换式桥接装置100模块结构图,如图1所示本实用新型一种状态切换式桥接装置100包括:数据交换模块103和主控模块,所述桥接装置100还包括防御模块102和开关控制模块104,所述防御模块102分别与所述数据交换模块103和所述主控模块连接,所述开关控制模块104与所述防御模块102连接,用于控制所述防御模块102工作状态的开启或关闭。
在本实用新型的实施例中所述开关控制模块104包括开关构件201,与所述开关构件201连接的触发构件。所述开关构件201为按钮式开关或拨动式开关。所述防御模块102为用于对所述数据交换模块103转发信息进行数据转换处理的加密模块,所述防御模块102也可以为将请求端发送的地址解析协议信息进行收集并单向上报发送至地址解析协议代理部301的上报模块。其中,所述加密模块可以采用单独设计的方案,所述加密模块也可以采用与所述主控模块进行集成设计的方案,所述加密模块也可以通过加密软件实现。
在本实用新型中所述桥接装置100为交换机或路由器。
请参阅图2本实用新型状态切换式桥接装置结构示意图,如图2所示,所述开关构件201设置于所述桥接装置100壳体外部。
以下举出一具体实施例对本实用新型状态切换式桥接装置100在网络安全防御领域中的实际应用进行详细说明。
请参阅图3安装有状态切换式桥接装置100的防攻击信息通讯网络安全防御系统结构图,如图3所示在所述防御系统中包括:地址解析协议代理部301,状态切换式桥接装置100和通讯终端,其中,所述各通讯终端与所述状态切换式桥接装置100连接,所述安全防御装置与所述地址解析协议代理部301连接,所述各终端相互之间通讯通过所述地址解析协议代理部301进行地址信息的存储和管理。
实施例一、所述桥接装置100在本实施例中以交换机100为例,所述防御模块102为加密模块时,开启开关控制模块104使所述加密模块在工作状态下时状态切换式桥接装置100在防攻击信息通讯网络安全防御系统中的防御方法可以参阅图4,如图4所示,所述防御方法包括以下步骤:
第一步、用户首先将正确的终端设备的IP对应的物理地址写入地址解析协议代理部301,并运行地址解析协议代理部301;
第二步、当所有终端设备在最初联网时,会单向向网内交换机100的指定端口送一个地址解析协议宣告广播包。
第三步、交换机100对交换端口的入口中的广播数据包进行检测,发现是地址解析协议请求报文时,则将该广播数据发给加密模块,在本实用新型中的加密通过中央处理器进行;
第四步、交换机100上的中央处理器收到此报文,对此报文进行加密处理后重新封装成非地址解析协议报文的特殊广播报文,重新从交换机100上广播出去;
第五步、地址解析协议代理部301主机收到此特殊广播报文后,进行解密转换成正常地址解析协议报文,交给地址解析协议代理程序确认,通过地址解析协议代理回应此地址解析协议请求;
第六步、所有终端设备根据地址解析协议代理部301的回应包查询自己的IP是否被占用。
第七步、当终端设备A302与终端设备B303开始通信时,终端设备A302首先查找自身存储的地址解析协议表[终端设备名IP地址与物理地址对应关系表],查找终端设备B303的物理地址,如查到则跳转到第十四步与B终端设备进行通讯;如果没找到终端设备B303的物理地址则执行地址解析协议学习流程进入第八步;
第八步、终端设备A302将会单向向网内交换机100的指定端口送一个地址解析协议宣告广播包,请求终端设备B303所对应的物理地址;
第九步、交换机100对交换端口的入口中的广播数据包进行检测,发现是地址解析协议请求报文时,则将该广播数据发给加密模块,在本实用新型中的加密通过中央处理器进行;
第十步、交换机100上的中央处理器收到此报文,对此报文进行加密处理后重新封装成非地址解析协议报文的特殊广播报文,重新从交换机100上广播出去;
第十一步、地址解析协议代理部301主机收到此特殊广播报文后,进行解密。
第十二步、地址解析协议代理部301将收到的地址解析协议请求报文中的请求IP在物理表中查找到正确的终端设备B303的物理地址,将向终端设备A302单向发送终端设备B303的地址解析协议回应报文;
第十三步、终端设备A302收到这个地址解析协议回应报文后,将终端设备B303的IP地址与终端设备B303的物理地址对应关系存入终端设备A302的地址解析协议表,以备下次与终端设备B303通讯时使用;
第十四步、终端设备A302根据终端设备B的物理地址与终端设备B303进行单向通讯。
实施例二、所述桥接装置100在本实施例中以交换机100为例,所述防御模块102为上报模块时,开启开关控制模块104使所述上报模块在工作状态下时状态切换式桥接装置100在防攻击信息通讯网络安全防御系统中的防御方法可以参阅图5,如图5所示,所述防御方法包括以下步骤:
第一步、用户首先将正确的终端设备的IP对应的物理地址写入地址解析协议代理部301,并运行地址解析协议代理部301;
第二步、当所有终设备在最初联网时,会向内网发送一个地址解析协议宣告广播包。
第三步、交换机100对交换端口的入口中的广播数据包进行检测,发现是地址解析协议请求报文时,将地址解析协议请求报文从指定端口(连接上一层交换机100或地址解析协议代理的接口)发送给上一层的交换机100或地址解析协议代理,直至最终发送给地址解析协议代理部301;
第四步、地址解析协议代理部301将收到的地址解析协议请求报文中的请求IP在物理表中查找到正确的终端设备B303的物理地址,将向终端设备A302单向发送终端设备B303的地址解析协议回应报文;
第五步、所有终端设备根据地址解析协议代理部301的回应包查询自己的IP是否被占用;
第六步、当终端设备A302与终端设备B303开始通信时,终端设备A302需要查找地址解析协议表[终端设备名IP地址与物理地址对应关系表],查找终端设备B303的物理地址,如查到则跳转到第十一步;如果没找到终端设备B303的物理地址则执行地址解析协议学习流程;
第七步、终端设备A302将广播一个地址解析协议请求,请求终端设备B303所对应的物理地址;
第八步、交换机100对交换端口的入口中的广播数据包进行检测,发现是地址解析协议请求报文时,将地址解析协议请求报文从指定端口(连接上一层交换机100或地址解析协议代理的接口)发送给上一层的交换机100或地址解析协议代理,直至最终发送给地址解析协议代理;
第九步、地址解析协议代理将收到的地址解析协议请求报文中的请求IP在物理表查正确的物理地址,找到IP对应的物理地址后,将单向发送一个地址解析协议回应报文;
第十步、终端设备A302收到这个地址解析协议回应,将终端设备B303的IP地址与终端设备B303的物理地址对应关系存入自身地址解析协议表;
第十一步、终端设备A302查找地址解析协议表中的B终端设备的物理地址与B终端设备进行通讯。
实施例三:所述桥接装置100在本实施例中以交换机100为例,关闭开关控制模块104,使所述防御模块102停止工作,这时本实用新型即为一种普通交换机100。
本实用新型中术语在行业内有不同写法,例如:本专利中所述地址解析协议可写成ARP;所述物理地址也可写成MAC地址。
以上内容是结合具体的优选实施方式对本实用新型所作的进一步详细说明,不能认定本实用新型的具体实施只局限于这些说明。对于本实用新型所属技术领域的普通技术人员来说,在不脱离本实用新型构思的前提下,还可以做出若干简单推演或替换,都应当视为属于本实用新型的保护范围。
Claims (10)
1.一种状态切换式桥接装置(100),所述桥接装置(100)包括:数据交换模块(103)、信息安全防御模块(102)和主控模块(101),其特征在于:所述桥接装置(100)还包括开关控制模块(104),所述开关控制模块(104)与所述防御模块(102)连接,用于控制所述防御模块(102)工作状态的开启或关闭。
2.根据权利要求1所述桥接装置(100),其特征在于:所述开关控制模块(104)包括开关构件,与所述开关构件(201)连接的触发构件。
3.根据权利要求1所述桥接装置(100),其特征在于:所述开关构件(201)为按钮式开关或拨动式开关。
4.根据权利要求1所述桥接装置(100),其特征在于:所述开关构件(201)设置于所述桥接装置(100)壳体外部。
5.根据权利要求1所述桥接装置(100),其特征在与:所述防御模块(102)为用于对所述数据交换模块(103)转发信息进行数据转换处理的加密模块(103)。
6.根据权利要求5所述桥接装置(100),其特征在于:所述加密模块(103)为单独设计。
7.根据权利要求5所述桥接装置(100),其特征在于:所述加密模块(103)与所述主控模块(101)为集成设计。
8.根据权利要求5所述桥接装置(100),其特征在于:所述加密模块(103)可通过加密软件实现。
9.根据权利要求1所述桥接装置(100),其特征在于:所述防御模块(102)为将请求端发送的地址解析协议信息进行收集、加密并单向上报发送至地址解析协议代理部(301)的上报模块(103)。
10.根据权利要求1所述桥接装置(100),其特征在于:所述桥接装置(100)为交换机或路由器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2007201713815U CN201167328Y (zh) | 2007-12-07 | 2007-12-07 | 一种状态切换式桥接装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU2007201713815U CN201167328Y (zh) | 2007-12-07 | 2007-12-07 | 一种状态切换式桥接装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201167328Y true CN201167328Y (zh) | 2008-12-17 |
Family
ID=40192720
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNU2007201713815U Expired - Fee Related CN201167328Y (zh) | 2007-12-07 | 2007-12-07 | 一种状态切换式桥接装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201167328Y (zh) |
-
2007
- 2007-12-07 CN CNU2007201713815U patent/CN201167328Y/zh not_active Expired - Fee Related
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102594814B (zh) | 基于端末的网络访问控制系统 | |
| US5805801A (en) | System and method for detecting and preventing security | |
| US5905859A (en) | Managed network device security method and apparatus | |
| CN105262738B (zh) | 一种路由器及其防arp攻击的方法 | |
| RU2006143768A (ru) | Ароматическое ограничение сетевого нарушителя | |
| CN100464548C (zh) | 一种阻断蠕虫攻击的系统和方法 | |
| CN102132532B (zh) | 用于避免不需要的数据分组的方法和装置 | |
| CN101820383B (zh) | 限制交换机远程访问的方法及装置 | |
| CN106302371A (zh) | 一种基于用户业务系统的防火墙控制方法和系统 | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| CN101577729A (zh) | DNS重定向与Http重定向相结合的旁路阻断方法 | |
| CN106506200A (zh) | 一种基于sdn的arp协议辅助模型 | |
| CN106027491B (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
| CN107071075B (zh) | 网络地址动态跳变的装置及方法 | |
| JP2001036561A (ja) | Tcp/ipネットワークシステム | |
| CN101141396A (zh) | 报文处理方法和网络设备 | |
| CN201167328Y (zh) | 一种状态切换式桥接装置 | |
| Cisco | set qos defaultcos through set spantree priority | |
| Fuxiang et al. | A security architecture for intranet based on security area division | |
| CN101252530B (zh) | 报文转发方法、系统以及交换设备 | |
| CN108712398A (zh) | 认证服务器的端口认证方法、服务器、交换机和存储介质 | |
| Cisco | set qos defaultcos through set spantree priority | |
| Cisco | set qos defaultcos through set spantree priority | |
| Cisco | set radius deadtime through set spantree uplinkfast set | |
| CN101197830A (zh) | 上报式防攻击信息通讯网络安全防御方法及防御系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20081217 Termination date: 20101207 |