專利名稱:防火墻鏈路層和網際協(xié)議層的地址綁定的方法
技術領域:
本發(fā)明涉及一種防火墻鏈路層和網際協(xié)議層的地址綁定的方法,特別涉及一種自動的防火墻鏈路層的IP/MAC地址學習功能�,屬于計算機網絡安全技術領域。
背景技術:
眾所周知每一塊網卡都具有一個唯一的硬件物理地址標識號碼�����,即網卡的MAC地址;MAC地址與網卡一一對應���。對于網絡協(xié)議為TCP/IP(網絡傳輸控制協(xié)議�����,Transfer Control Protocol/Internet Protocol)的兩臺設備進行通訊時,每塊網卡都具有一個網絡IP地址���。在網絡管理中,IP地址盜用現(xiàn)象經常發(fā)生���,不僅對網絡的正常使用造成影響��;同時���,由于被盜用的地址往往具有較高的權限,因而也對用戶造成了大量的經濟損失和潛在的安全隱患��。特別是在按IP流量計費的網絡中�����,由于費用是按IP地址進行統(tǒng)計的,許多用戶為了逃避網絡計費�,用IP地址盜用的辦法,將網絡流量計費轉嫁到他人身上���。另外�,一些人因為一些不可告人的目的�����,會采用IP地址盜用的方式來逃避追蹤���,隱藏自己的身份����。
隨著網絡應用的發(fā)展���,防火墻已經成為保障網絡安全必不可少的工具?,F(xiàn)有技術的防火墻地址綁定是利用地址解析協(xié)議(Address ResolutionProtocol�,簡稱ARP)的地址綁定功能實現(xiàn)的。由于ARP的地址綁定功能只有在IP層以上才有效�,而對于鏈路層無效,使得防火墻必須在使用路由或NAT(地址轉換)模式時����,地址綁定功能才有效�����,否則地址綁定功能無效�。同時原地址綁定缺少學習功能���,用戶在使用時要一個個地輸入����,使用者覺得很不方便��。因此有必要在鏈路層實現(xiàn)可學習的地址綁定功能�����。
發(fā)明內容
本發(fā)明的主要目的在于提供一種防火墻鏈路層和網際協(xié)議層的地址綁定的方法�����,它能在防火墻鏈路層和IP層內部建立網卡IP地址與其MAC地址的一一對應關系��,防止IP地址盜用�����,保證網絡安全�。
本發(fā)明的又一目的在于提供一種防火墻鏈路層和網際協(xié)議層的地址綁定的方法,它還具有學習功能���,可以為用戶提供流經防火墻的IP/MAC地址對應關系�����,使用戶可以方便的進行地址綁定��。
本發(fā)明的目的是這樣實現(xiàn)的對于流經防火墻的IP包�����,在鏈路層上首先檢查其IP地址對應的MAC地址是否與綁定的MAC地址一致���,如果在綁定的地址表中沒有該IP地址,則該地址未綁定���,允許向下傳遞進行其它的規(guī)則檢查����。如果MAC地址與綁定的MAC地址一致,則也向下傳遞進行其它的規(guī)則檢查�����,如果MAC地址與綁定的MAC地址不一致�����,則該包在鏈路層就被丟棄��。
鏈路層的IP/MAC地址學習及綁定方法具體為防火墻接收到IP報文��,首先用此報文的源IP地址查詢IP/MAC綁定地址表��,如果在IP/MAC綁定地址表中找到此源IP地址���,則繼續(xù)判斷此報文中的源MAC地址是否與IP/MAC綁定地址表中的相同,若不相同��,則認為是非法地址�,丟棄報文返回;若相同��,則認為是合法地址����,然后返回�;如果在IP/MAC綁定地址表中沒有找到此源IP地址�,則選擇是否啟動學習功能,若不學習�,則返回;若學習�,則將此報文的源IP和源MAC地址記錄到IP/MAC綁定地址表中,然后返回�。
防火墻提供將內部網卡IP/MAC地址進行綁定的功能,在防火墻內部建立了網卡的IP地址同其MAC地址一一對應的關系�����。在這種情況下���,即使某人盜用了該網卡的IP地址��,在通過防火墻時也會因網卡的MAC地址不匹配而拒絕通過��。充分利用網絡MAC地址綁定�,可以防止IP地址盜用���,保證企業(yè)網絡或個人電腦的安全�����。同時此地址捆綁所具有的學習功能使用戶可以方便的進行地址捆綁����。
圖1為鏈路層和IP層IP/MAC地址綁定方法的功能原理圖;圖2為鏈路層的IP/MAC地址學習及綁定方法的流程圖�;圖3為網御防火墻地址綁定應用的一個實施例。
具體實施例方式
以下結合附圖和具體的實施例對本發(fā)明作進一步的詳細說明鏈路層和IP層IP/MAC地址綁定技術包含IP/MAC地址對應關系的學習和IP/MAC地址的綁定兩個功能���,其中學習功能為用戶提供流經防火墻的IP/MAC地址對應關系����,使用戶可以方便的進行地址綁定�。
參見圖1,其為鏈路層和IP層IP/MAC地址綁定方法的功能原理圖��。啟用IP/MAC地址綁定學習功能時�,防火墻流經指定接口的IP報文頭中的源IP地址和源MAC地址對應關系記錄到IP/MAC地址綁定表中�����,并把該對應關系從防火墻的管理界面上顯示給用戶����。然后用戶可以選擇需要綁定的IP/MAC地址對���,實行綁定功能,綁定后在IP/MAC地址綁定表中設定標記表明該IP/MAC地址對已實行綁定���。當內網和外網通信的IP報文流經防火墻時���,都要經過地址綁定檢查,檢查結果不符的IP報文無法通過防火墻����,這樣內部用戶不可以盜用其它用戶的IP地址通過防火墻,外部Internet上的用戶也不可以盜用內部用戶的IP地址通過防火墻����,方便而且有效的保證了網絡的安全性。
參見圖2��,其為鏈路層的IP/MAC地址學習和綁定方法的流程圖�。對于流經防火墻的IP報文,在鏈路層上首先檢查其源IP地址對應的源MAC地址是否與綁定的MAC地址一致�����,如果在綁定的地址表中沒有該IP地址,則該地址未綁定�,允許向下傳遞進行其它的規(guī)則檢查。如果MAC地址與綁定的MAC地址一致���,則也向下傳遞進行其它的規(guī)則檢查��,如果MAC地址與綁定的MAC地址不一致�����,則該包在鏈路層就被丟棄�����。
再參見圖2�,其為鏈路層的IP/MAC地址學習及綁定方法的流程圖��,防火墻接收到IP報文���,首先用此報文的源IP地址查詢IP/MAC綁定地址表����,如果在IP/MAC綁定地址表中找到此源IP地址�,則繼續(xù)判斷此報文中的源MAC地址是否與IP/MAC綁定地址表中的相同,若不相同�,則認為是非法地址,丟棄報文返回��;若相同�����,則認為是合法地址����,返回;如果在IP/MAC綁定地址表中沒有找到此源IP地址����,則檢查是否啟動學習功能,若沒有啟動學習�,則返回;若啟動學習���,則將此報文的源IP和源MAC地址記錄到IP/MAC綁定地址表中�����,然后返回��。
該種鏈路層的IP/MAC地址綁定方法���,因其工作在鏈路層�,所以它既可以工作在防火墻的透明網橋模式下���,也可以工作在防火墻的路由模式和NAT模式下�,不僅可以防止內部IP欺騙���,還可以防止外網盜用內網的IP地址��。而傳統(tǒng)的ARP綁定方式工作在IP層�,它只能工作在防火墻的路由模式和NAT模式下����。因此本發(fā)明所提供的方法與傳統(tǒng)ARP綁定方式相比更靈活方便,不受工作模式的限制��。
參見圖3��,其為網御防火墻地址綁定應用的一個實施例����。防火墻3的IP地址為10.1.1.250和192.168.1.250��。部門1地址為192.168.1.0,缺省網關為192.168.1.250��。部門2地址為10.1.1.0��,缺省網關為10.1.1.250���。部門1和部門2之間的訪問是使用防火墻3的路由模式���。部門1和部門2都通過代理服務器4訪問Internet,使用防火墻3的透明網橋模式��。啟動MAC地址綁定學習功能���,指定和部門1����、部門2連接的網絡接口學習����,則防火墻3會把部門1和部門2的IP和MAC地址對應關系顯示給管理員�����,選擇綁定后�����,部門1和部門2用戶不可以盜用其它用戶的IP地址通過防火墻3���,外部Internet上的用戶也不可以盜用內部用戶的IP地址通過防火墻3,方便有效的保證了網絡的安全性�����。
最后應說明的是以上實施例僅用以說明本發(fā)明而并非限制本發(fā)明所描述的技術方案���;因此�,盡管本說明書參照上述的各個實施例對本發(fā)明已進行了詳細的說明����,但是,本領域的普通技術人員應當理解���,仍然可以對本發(fā)明進行修改或者等同替換�����;而一切不脫離本發(fā)明的精神和范圍的技術方案及其改進�����,其均應涵蓋在本發(fā)明的權利要求范圍當中�����。
權利要求
1.一種防火墻鏈路層和網際協(xié)議層的地址綁定的方法��,其特征在于防火墻對流經其鏈路層的IP包進行檢查后再向下傳遞或丟棄�。
2.根據權利要求1所述的防火墻鏈路層和網際協(xié)議層的地址綁定的方法����,其特征在于該方法具體包括步驟10對于流經防火墻的IP包,根據報文中的源MAC地址檢查其IP地址是否綁定或其IP地址對應的MAC地址是否與綁定的MAC地址一致�����;步驟11如果該IP地址未綁定���,或者其IP地址對應的MAC地址與綁定的MAC地址一致�����,則向下傳遞進行進一步的規(guī)則檢查�����;步驟12如果不一致���,則在鏈路層丟棄該包�����。
3.一種防火墻鏈路層和網際協(xié)議層的地址學習及綁定的方法���,其特征在于防火墻對流經其鏈路層的IP包進行檢查,并根據用戶的選擇進行地址學習和綁定后����,再向下傳遞或丟棄。
4.根據權利要求3所述的防火墻鏈路層和網際協(xié)議層的地址學習及綁定的方法��,其特征在于該方法具體包括步驟20防火墻接收到IP報文后�,用此報文源IP地址查詢IP/MAC綁定地址表;如果在IP/MAC綁定地址表中找不到該源IP地址��,執(zhí)行步驟23;步驟21繼續(xù)判斷該報文中的源MAC地址是否與IP/MAC綁定地址表中的MAC地址相同����,若不相同,則丟棄報文返回���;步驟22若相同�,則返回�����;步驟23根據用戶的設定判斷是否啟動學習功能��,若不學習���,則返回;步驟24若啟動學習功能����,則將該報文的源IP和源MAC地址記錄到IP/MAC綁定地址表中,然后返回���。
全文摘要
一種防火墻鏈路層和網際協(xié)議層的地址綁定的方法�����,防火墻對流經其鏈路層的IP包進行檢查�����,并根據用戶的選擇進行地址學習和綁定后����,再向下傳遞或丟棄。防火墻提供將內部網卡IP/MAC地址進行綁定的功能�����,在防火墻內部建立了網卡的IP地址同其MAC地址一一對應的關系�����。在這種情況下�����,即使某人盜用了該網卡的IP地址�����,在通過防火墻時也會因網卡的MAC地址不匹配而拒絕通過。充分利用網絡MAC地址綁定�����,可以防止IP地址盜用����,保證企業(yè)網絡或個人電腦的安全。同時此地址捆綁所具有的學習功能使用戶可以方便的進行地址捆綁���。
文檔編號H04L9/00GK1509002SQ0215568
公開日2004年6月30日 申請日期2002年12月13日 優(yōu)先權日2002年12月13日
發(fā)明者宋斌, 劉春梅, 高紅, 肖為劍, 丁曉東, 宋 斌 申請人:聯(lián)想(北京)有限公司