專利名稱:網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法����,特別涉及網(wǎng)絡(luò)安全網(wǎng)關(guān)設(shè)備(如防火墻,虛擬個(gè)人網(wǎng)絡(luò)(Virtual Private Network�,簡稱VPN))的多工作模式自動(dòng)適應(yīng)的方法,屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����。
背景技術(shù):
按照開放式系統(tǒng)互聯(lián)參考模型(Open System Interconnect ReferenceModel��,簡稱OSI)協(xié)議體系分層技術(shù)�,網(wǎng)橋是典型的鏈路層工作設(shè)備,它的一個(gè)很重要的功能就是為它所連接的不同物理子網(wǎng)提供鏈路連接,IEEE(電氣和電子工程師學(xué)會(huì)�,Institute for Electrical and ElectronicEngineers)802.1d提供了一種基于STP(Spanning Tree Protocol,生成樹協(xié)議)的鏈路轉(zhuǎn)發(fā)與狀態(tài)維護(hù)方法��。路由模式相當(dāng)于工作在網(wǎng)絡(luò)層���,在該模式下�����,數(shù)據(jù)的轉(zhuǎn)發(fā)在網(wǎng)絡(luò)層匹配路由表���,完成路由的選擇和中繼。
網(wǎng)際傳輸控制協(xié)議(Transfer Control Protocol/Internet Protocol�����,簡稱TCP/IP協(xié)議)是一個(gè)分組交換通信協(xié)議�,應(yīng)用層的消息將被分組后被層層加上傳輸層包頭、網(wǎng)絡(luò)層包頭和鏈路層包頭�,鏈路層包頭的內(nèi)容包括該幀的源MAC(Media Access Control,即硬件接入點(diǎn))地址與目的MAC地址����,當(dāng)某一TCP/IP主機(jī)試圖向其它主機(jī)發(fā)出一個(gè)數(shù)據(jù)包之前,將首先在本機(jī)的地址解析協(xié)議(Address Resolution Protocol,簡稱ARP)緩存里查詢目的網(wǎng)際協(xié)議(Internet Protocol����,簡稱IP)對應(yīng)的MAC地址,這樣才可以構(gòu)造一個(gè)完整的鏈路數(shù)據(jù)幀�、進(jìn)而將該幀發(fā)出。如果本機(jī)的ARP緩存里沒有目的IP對應(yīng)的表項(xiàng)時(shí)��,則該主機(jī)需要發(fā)出一個(gè)ARP的廣播請求包���,用以探詢該目的主機(jī)對應(yīng)的MAC地址。如果源與目的在一個(gè)網(wǎng)段的話�����,則ARP請求將很快得到回應(yīng)����,這樣該主機(jī)發(fā)出的數(shù)據(jù)幀里才能加入目的地址的硬件地址;如果源與目的不在同一個(gè)網(wǎng)段時(shí)����,ARP請求將難以得到回復(fù)。這樣會(huì)導(dǎo)致訪問的發(fā)起方找不到目的IP的MAC地址��。這時(shí),就需要我們在訪問的發(fā)起方主機(jī)上設(shè)置合適的網(wǎng)關(guān)地址�,一旦出現(xiàn)目的IP網(wǎng)絡(luò)與源IP網(wǎng)絡(luò)不在一個(gè)子網(wǎng)內(nèi)時(shí),ARP將直接解析得到該網(wǎng)關(guān)的MAC地址����、并記入緩存。
以上的情況也就是網(wǎng)橋模式網(wǎng)關(guān)與路由模式網(wǎng)關(guān)的區(qū)別所在����,網(wǎng)橋模式網(wǎng)關(guān)的兩段所連接的一般是同一子網(wǎng)的兩個(gè)物理網(wǎng)段;路由模式的兩端一般接的是不同子網(wǎng)的兩個(gè)網(wǎng)段���。在如上的ARP解析的工作過程中���,前者能夠直接得到目的IP對應(yīng)的MAC地址,而后者則只能得到網(wǎng)關(guān)的MAC地址����;也就是說在前一情況下,數(shù)據(jù)幀可以直接通過網(wǎng)橋發(fā)給目的IP���,后者的數(shù)據(jù)幀則只能發(fā)給路由網(wǎng)關(guān)��,然后由路由網(wǎng)關(guān)完成后續(xù)的轉(zhuǎn)發(fā)工作���。
傳統(tǒng)的包過濾技術(shù)一般工作于網(wǎng)絡(luò)層��,網(wǎng)絡(luò)層的包過濾技術(shù)有兩個(gè)局限第一��,由于網(wǎng)絡(luò)層只處理不同網(wǎng)段間的轉(zhuǎn)發(fā)���,所以源地址和目的地址位于同一網(wǎng)段的IP報(bào)文將不會(huì)被轉(zhuǎn)發(fā);第二�����,當(dāng)防火墻加入在被保護(hù)網(wǎng)絡(luò)和路由器之間時(shí)�,被防火墻保護(hù)的網(wǎng)絡(luò)內(nèi)的主機(jī)應(yīng)該將原來指向路由器的網(wǎng)關(guān)設(shè)置修改成指向防火墻的設(shè)置���;同時(shí)���,被保護(hù)網(wǎng)絡(luò)原來的路由器應(yīng)該修改其路由表,以便轉(zhuǎn)發(fā)防火墻的IP報(bào)文�。當(dāng)用戶的網(wǎng)絡(luò)非常復(fù)雜時(shí),這就給防火墻用戶帶來了設(shè)置上的麻煩�。
參見圖1,其為防火墻作為網(wǎng)橋使用時(shí)的流程圖����。
如圖所示�,當(dāng)端口接受到數(shù)據(jù)包�����,首先判斷端口狀態(tài)是否可用����,此端口狀態(tài)由stp生成樹算法決定,如果端口狀態(tài)不可用����,則丟棄;如果端口狀態(tài)可用����,則將數(shù)據(jù)包進(jìn)行過濾規(guī)則匹配,即解析出該包里所含的IP地址�����、協(xié)議類型�、端口號等等,匹配用戶自定義的規(guī)則��,若匹配結(jié)果不合法,則將數(shù)據(jù)包丟棄�����;若匹配結(jié)果合法�,則繼續(xù)在轉(zhuǎn)發(fā)數(shù)據(jù)庫中查找數(shù)據(jù)幀的目的地址,若找到該目的地址����,則根據(jù)路由信息將該數(shù)據(jù)幀從給定端口轉(zhuǎn)發(fā)出去;若沒找到該目的地址�,則將該數(shù)據(jù)幀從各端口轉(zhuǎn)發(fā)出去;轉(zhuǎn)發(fā)出去后����,若找到目的地址,則記入轉(zhuǎn)發(fā)數(shù)據(jù)庫�����;若沒有找到目的地址則將此數(shù)據(jù)包丟棄����。
當(dāng)用戶把本網(wǎng)關(guān)作為一個(gè)網(wǎng)橋來使用時(shí)����,網(wǎng)關(guān)的不同接口所接的網(wǎng)段屬于同一子網(wǎng)���,這樣這些網(wǎng)絡(luò)上的主機(jī)發(fā)出的ARP報(bào)文能夠正常解析出目的IP的MAC地址,這樣�����,這些主機(jī)發(fā)出的報(bào)文在穿過防火墻時(shí)����,就可以在經(jīng)過防火墻的安全檢查后、直接匹配轉(zhuǎn)發(fā)數(shù)據(jù)庫��、從而轉(zhuǎn)發(fā)出去����。
工作于鏈路層的包過濾技術(shù)正好可以彌補(bǔ)網(wǎng)絡(luò)層包過濾的不足。網(wǎng)橋模式下�,對于每個(gè)經(jīng)過規(guī)則匹配的幀將直接根據(jù)該幀的MAC地址匹配轉(zhuǎn)發(fā)數(shù)據(jù)庫,從合適的端口轉(zhuǎn)發(fā)過去�����。由于該轉(zhuǎn)發(fā)過程與IP地址無關(guān)(由MAC地址決定)�����,與之相連客戶機(jī)的TCP/IP設(shè)置可以不作任何改動(dòng),所以也被稱之為透明模式���。用該模式可以連接物理上分為兩個(gè)子網(wǎng)��,但I(xiàn)P地址仍然屬于同一子網(wǎng)的網(wǎng)絡(luò)���。
通常情況下,一個(gè)網(wǎng)關(guān)只能工作于一個(gè)狀態(tài)����,如果是網(wǎng)橋狀態(tài)的話,它只能根據(jù)MAC地址完成包轉(zhuǎn)發(fā)����,而源與目的IP處于不同子網(wǎng)時(shí),由于不能直接得到目的的MAC地址�����,所以網(wǎng)橋不能處理不同子網(wǎng)間的轉(zhuǎn)發(fā)�����;而如果一個(gè)網(wǎng)關(guān)工作于路由狀態(tài)的話����,它就只能在網(wǎng)絡(luò)層根據(jù)源IP與目的IP的地址、匹配路由表���、最后確定轉(zhuǎn)發(fā)方向��。一旦源與目的處于同一個(gè)子網(wǎng)的話��,路由表匹配的結(jié)果將認(rèn)為該幀必須回去�����,這樣也無法完成轉(zhuǎn)發(fā)�,這就是網(wǎng)橋轉(zhuǎn)發(fā)與路由轉(zhuǎn)發(fā)不能兼容的原因�����。
所以許多廠家的防火墻一般是同時(shí)保留了網(wǎng)橋模式和路由模式�����,但在使用時(shí)需要由用戶選擇工作模式并予以切換,而且兩種方式并不兼容����,這在使用中是很不方便的。
發(fā)明內(nèi)容
本發(fā)明的主要目的是針對現(xiàn)有技術(shù)之不足而提出一種網(wǎng)關(guān)設(shè)備多工作模式自適應(yīng)的方法�,突破路由與網(wǎng)橋模式的局限,可以任意地處理網(wǎng)橋數(shù)據(jù)轉(zhuǎn)發(fā)與路由數(shù)據(jù)轉(zhuǎn)發(fā)���,使網(wǎng)御防火墻可以隨時(shí)接入多個(gè)同網(wǎng)段子網(wǎng)之間(網(wǎng)橋)和不同網(wǎng)段子網(wǎng)之間(路由)��,而不需要任何切換�����。
本發(fā)明的目的是這樣實(shí)現(xiàn)的一種網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法��,網(wǎng)絡(luò)安全設(shè)備對接收數(shù)據(jù)幀的目的地址自動(dòng)分析��,并根據(jù)該分析的結(jié)果對該數(shù)據(jù)幀進(jìn)行進(jìn)一步的處理��。
該方法的具體實(shí)現(xiàn)步驟至少包括步驟1網(wǎng)絡(luò)安全設(shè)備通過其端口接收到數(shù)據(jù)幀后��,判斷該端口的狀態(tài)是否可用���;如果不可用則丟棄該數(shù)據(jù)幀�����;步驟2判斷該數(shù)據(jù)幀的目的MAC地址是否指向本機(jī);如果不是�����,則進(jìn)行網(wǎng)橋數(shù)據(jù)處理���;步驟3將該數(shù)據(jù)幀的鏈路幀頭信息去除后上傳到IP層��;步驟4判斷該數(shù)據(jù)幀的IP層目的地址是否指向本機(jī)����,如果是����,則將該數(shù)據(jù)幀發(fā)送到本機(jī)協(xié)議棧高層進(jìn)行處理;步驟5進(jìn)行安全規(guī)則匹配�����;步驟6如果該數(shù)據(jù)幀為非法數(shù)據(jù)��,則丟棄該數(shù)據(jù);步驟7如果該數(shù)據(jù)幀被偽裝��,則將該數(shù)據(jù)幀的源地址換為用戶指定的其他IP地址�����,然后再轉(zhuǎn)發(fā)�����;步驟8匹配路由表�����,然后將數(shù)據(jù)幀轉(zhuǎn)發(fā)出去��。
上述的方法利用STP算法判斷該端口的狀態(tài)是否可用�����。
上述的網(wǎng)絡(luò)安全設(shè)備至少為防火墻或VPN�,該網(wǎng)絡(luò)安全設(shè)備接在多個(gè)同網(wǎng)段子網(wǎng)之間或不同網(wǎng)段子網(wǎng)之間。
本發(fā)明是在網(wǎng)橋的轉(zhuǎn)發(fā)處理過程中實(shí)現(xiàn)了防火墻功能���,同時(shí)仍然保持了IEEE802.1d生成樹網(wǎng)橋的轉(zhuǎn)發(fā)功能與IP層的路由轉(zhuǎn)發(fā)功能��,它在使用時(shí)��,用戶不需要知道本發(fā)明具體工作于什么狀態(tài)��,只要用戶認(rèn)為它工作于網(wǎng)橋模式����,則按照該模式的特點(diǎn)配置后���,本發(fā)明就能作為一個(gè)網(wǎng)橋模式的安全網(wǎng)關(guān)工作���;如果用戶認(rèn)為它工作于路由模式,本發(fā)明就能作為一個(gè)網(wǎng)橋模式的安全網(wǎng)關(guān)工作��;同時(shí)��,本發(fā)明的任意端口都可以混合的工作于這兩種模式之間���,不需要任何設(shè)置�����、也沒有任何限制��,這將能使本發(fā)明更方便地應(yīng)用于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境�。
圖1為現(xiàn)有技術(shù)中網(wǎng)絡(luò)安全設(shè)備接收和轉(zhuǎn)發(fā)數(shù)據(jù)幀時(shí)的流程圖;圖2為本發(fā)明的流程圖�����。
具體實(shí)施例方式
以下結(jié)合附圖和具體的實(shí)施例對本發(fā)明作進(jìn)一步的詳細(xì)說明本發(fā)明以IEEE 802.1d以太網(wǎng)橋?yàn)榛A(chǔ)�����,IEEE 802.X的網(wǎng)絡(luò)互聯(lián)實(shí)體(中繼實(shí)體)被指定為網(wǎng)橋����,網(wǎng)橋的設(shè)計(jì)實(shí)現(xiàn)了局域網(wǎng)的互聯(lián),它們在決定如何轉(zhuǎn)發(fā)局域網(wǎng)間的數(shù)據(jù)時(shí)使用的是目標(biāo)MAC地址��。網(wǎng)橋沒有通常的網(wǎng)絡(luò)層���,通常由網(wǎng)絡(luò)層負(fù)擔(dān)的路由搜索與包轉(zhuǎn)發(fā)功能則放在了數(shù)據(jù)鏈路層�。本發(fā)明的防火墻在工作時(shí)所有的以太網(wǎng)口被綁定為一個(gè)虛擬的網(wǎng)橋設(shè)備����,以太端網(wǎng)口被設(shè)置為混雜模式。綁定到一個(gè)虛擬的網(wǎng)橋設(shè)備在此處指的是將物理上的網(wǎng)卡通過軟件的方式�、加入到一個(gè)軟件網(wǎng)橋上去�����,使之成為一個(gè)網(wǎng)橋的一個(gè)端口�����,該過程完全基于802.1d協(xié)議����?���;祀s模式也是通過軟件實(shí)現(xiàn)的形式�����,將網(wǎng)卡的處理芯片的一個(gè)控制位置位�,以使該網(wǎng)卡可以接收所有的數(shù)據(jù)包。該端口相連的局域網(wǎng)上的所有數(shù)據(jù)均將被接收���、進(jìn)而被進(jìn)一步處理����。
用網(wǎng)橋方式實(shí)現(xiàn)的防火墻對接收到的數(shù)據(jù)包的處理有賴于兩個(gè)條件網(wǎng)橋所維護(hù)的轉(zhuǎn)發(fā)數(shù)據(jù)庫(或可稱之為網(wǎng)橋的路由信息庫)和網(wǎng)橋的每個(gè)物理端口(即網(wǎng)口)的可用狀態(tài)。
網(wǎng)橋的轉(zhuǎn)發(fā)數(shù)據(jù)庫的形成和維護(hù)是一個(gè)動(dòng)態(tài)的學(xué)習(xí)與記錄過程��;當(dāng)某一以太網(wǎng)幀初次被轉(zhuǎn)發(fā)時(shí)網(wǎng)橋會(huì)嘗試將其通過其所有的物理端口向外轉(zhuǎn)發(fā)����,若通過某一端口轉(zhuǎn)發(fā)出去后能正常達(dá)到其目標(biāo)主機(jī),則該次轉(zhuǎn)發(fā)的路由信息(包括目的MAC地址��、轉(zhuǎn)發(fā)所用的端口)將會(huì)被記入轉(zhuǎn)發(fā)數(shù)據(jù)庫�。802.1d網(wǎng)橋利用stp生成樹算法,會(huì)與其它的網(wǎng)橋設(shè)備會(huì)互發(fā)BPDU(橋協(xié)議數(shù)據(jù)單元���,Bridge Protocol Data Unit)包來維護(hù)整個(gè)通過網(wǎng)橋互聯(lián)的鏈路拓?fù)?���,不?huì)造成網(wǎng)絡(luò)的回路���。
進(jìn)入網(wǎng)橋的數(shù)據(jù)包在轉(zhuǎn)發(fā)時(shí)�,防火墻會(huì)將它的目標(biāo)MAC地址與網(wǎng)橋的轉(zhuǎn)發(fā)數(shù)據(jù)庫中的MAC地址進(jìn)行匹配���,如果數(shù)據(jù)庫已經(jīng)記錄了該MAC地址的對應(yīng)端口�����,并且該端口處于轉(zhuǎn)發(fā)狀態(tài)��,則該數(shù)據(jù)包就可以由該端口轉(zhuǎn)發(fā)出去��,這個(gè)過程完全在鏈路層實(shí)現(xiàn)��。本發(fā)明在這個(gè)過程中添加了防火墻的接口和鏈路層網(wǎng)橋與IP層路由之間的通訊接口��。
防火墻接口用于完成鏈路幀的安全檢查�,也就是說,當(dāng)網(wǎng)橋的工作狀態(tài)正常��、鏈路幀的MAC地址包含在轉(zhuǎn)發(fā)數(shù)據(jù)庫時(shí)����,該幀就將被接收規(guī)則檢查����,不合法的被丟棄,合法的進(jìn)行下一步處理��。用戶可以自定義針對于IP地址�、端口、協(xié)議類型的安全策略�,當(dāng)一個(gè)數(shù)據(jù)包在將被轉(zhuǎn)發(fā)時(shí)����,將直接在鏈路層檢查每個(gè)數(shù)據(jù)包所包含的IP報(bào)文的有關(guān)(IP地址��、端口��、協(xié)議等)信息�。
當(dāng)用戶將網(wǎng)絡(luò)安全設(shè)備作為一個(gè)路由網(wǎng)關(guān)使用時(shí),情況就不一樣了�,如前所述,這時(shí)用戶的主機(jī)的網(wǎng)關(guān)應(yīng)該是指向網(wǎng)關(guān)(即本網(wǎng)絡(luò)安全設(shè)備)�����,它的ARP解析的結(jié)果�����,得到的是安全網(wǎng)關(guān)的MAC地址���,這樣�����,本網(wǎng)關(guān)就不再將該包向外轉(zhuǎn)發(fā)�,而是接收它、調(diào)用本網(wǎng)關(guān)的網(wǎng)橋設(shè)備與IP層的通訊接口��,在本網(wǎng)關(guān)仍然處于網(wǎng)橋狀態(tài)的同時(shí)�����,去掉該幀的鏈路幀頭����,傳遞給IP層,IP層接收到該數(shù)據(jù)包后�����,也會(huì)繼續(xù)對它解析安全規(guī)則檢查�����,不合法即丟棄��,合法的話繼續(xù)檢查它的目的地址是不是本機(jī)�����,如果不是的話��,接著匹配路由表����,從路由表里找到其轉(zhuǎn)發(fā)方向,然后再按如前過程調(diào)用ARP協(xié)議得到它的MAC地址��、再構(gòu)成一個(gè)完整的鏈路幀�����、最后將報(bào)文轉(zhuǎn)發(fā)出去���。也就是說本發(fā)明的網(wǎng)關(guān)作為路由網(wǎng)關(guān)使用是在網(wǎng)橋基礎(chǔ)上的路由服務(wù)����。
參見圖2�����,當(dāng)端口接受到數(shù)據(jù)包����,首先判斷端口狀態(tài)是否可用����,此端口狀態(tài)由stp生成樹算法決定�,如果端口狀態(tài)不可用,則丟棄����;如果端口狀態(tài)可用,則檢查目的MAC地址是否為本機(jī)����,如果是,則通過網(wǎng)橋處理數(shù)據(jù)��;如果不是����,則去掉該數(shù)據(jù)幀的鏈路幀頭,傳遞給IP層��,IP層接收到該數(shù)據(jù)包后�����,首先檢查它的目的地址是不是本機(jī)地址��,如果是的話�,則將該幀發(fā)往本機(jī)協(xié)議高層堆棧;如果不是的話���,則會(huì)繼續(xù)對它進(jìn)行解析安全規(guī)則檢查�,不合法即丟棄����,合法的話繼續(xù)匹配路由表,從路由表里找到其轉(zhuǎn)發(fā)方向�,將其轉(zhuǎn)發(fā)出去。
本發(fā)明是在網(wǎng)橋的轉(zhuǎn)發(fā)處理過程中實(shí)現(xiàn)了防火墻功能�,同時(shí)仍然保持了802.1d生成樹網(wǎng)橋的轉(zhuǎn)發(fā)功能與IP層的路由轉(zhuǎn)發(fā)功能,它在使用時(shí)���,用戶不需要知道本發(fā)明具體工作于什么狀態(tài)��,只要用戶認(rèn)為它工作于網(wǎng)橋模式�����,則按照該模式的特點(diǎn)配置后�,本發(fā)明就能作為一個(gè)網(wǎng)橋模式的安全網(wǎng)關(guān)工作����;如果用戶認(rèn)為它工作于路由模式�����,本發(fā)明就能作為一個(gè)網(wǎng)橋模式的安全網(wǎng)關(guān)工作�����;同時(shí)���,本發(fā)明的任意端口都可以混合的工作于這兩種模式之間,不需要任何設(shè)置���、也沒有任何限制�����,這將能使本發(fā)明更方便地應(yīng)用于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境��。
最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明而并非限制本發(fā)明所描述的技術(shù)方案����;因此���,盡管本說明書參照上述的各個(gè)實(shí)施例對本發(fā)明已進(jìn)行了詳細(xì)的說明��,但是���,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,仍然可以對本發(fā)明進(jìn)行修改或者等同替換���;而一切不脫離本發(fā)明的精神和范圍的技術(shù)方案及其改進(jìn)����,其均應(yīng)涵蓋在本發(fā)明的權(quán)利要求范圍當(dāng)中��。
權(quán)利要求
1.一種網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法����,其特征在于該網(wǎng)絡(luò)安全設(shè)備對接收數(shù)據(jù)幀的目的地址自動(dòng)分析,并根據(jù)該分析的結(jié)果對該數(shù)據(jù)幀進(jìn)行進(jìn)一步的處理���。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法���,其特征在于該方法的具體實(shí)現(xiàn)步驟至少包括步驟1網(wǎng)絡(luò)安全設(shè)備通過其端口接收到數(shù)據(jù)幀后,判斷該端口的狀態(tài)是否可用�;如果不可用則丟棄該數(shù)據(jù)幀����;步驟2判斷該數(shù)據(jù)幀的目的MAC地址是否指向本機(jī)����;如果不是,則進(jìn)行網(wǎng)橋數(shù)據(jù)處理��;步驟3將該數(shù)據(jù)幀的鏈路幀頭信息去除后上傳到IP層���;步驟4判斷該數(shù)據(jù)幀的IP層目的地址是否指向本機(jī)�,如果是���,則將該數(shù)據(jù)幀發(fā)送到本機(jī)協(xié)議棧高層進(jìn)行處理���;步驟5進(jìn)行安全規(guī)則匹配;步驟6如果該數(shù)據(jù)幀為非法數(shù)據(jù)�����,則丟棄該數(shù)據(jù)�����;步驟7如果該數(shù)據(jù)幀被偽裝,則將該數(shù)據(jù)幀的源地址換為用戶指定的其他IP地址����,然后再轉(zhuǎn)發(fā);步驟8匹配路由表���,然后將數(shù)據(jù)幀轉(zhuǎn)發(fā)出去。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法其特征在于該方法利用STP算法判斷該端口的狀態(tài)是否可用��。
4.根據(jù)權(quán)利要求1或2所述的網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法其特征在于所述的網(wǎng)絡(luò)安全設(shè)備至少為防火墻或VPN�,該網(wǎng)絡(luò)安全設(shè)備接在多個(gè)同網(wǎng)段子網(wǎng)之間或不同網(wǎng)段子網(wǎng)之間。
全文摘要
一種網(wǎng)絡(luò)安全設(shè)備多工作模式自適應(yīng)的方法���,該網(wǎng)絡(luò)安全設(shè)備對接收數(shù)據(jù)幀的目的地址自動(dòng)分析����,并根據(jù)該分析的結(jié)果對該數(shù)據(jù)幀進(jìn)行進(jìn)一步的處理�����。本發(fā)明是在網(wǎng)橋的轉(zhuǎn)發(fā)處理過程中實(shí)現(xiàn)了防火墻功能��,同時(shí)仍然保持了IEEE802.1d生成樹網(wǎng)橋的轉(zhuǎn)發(fā)功能與IP層的路由轉(zhuǎn)發(fā)功能�,用戶不需要知道本發(fā)明具體工作于什么狀態(tài)����,只要用戶按照網(wǎng)橋模式特點(diǎn)配置后���,本發(fā)明就能作為一個(gè)網(wǎng)橋模式的安全網(wǎng)關(guān)工作����;同樣��,本發(fā)明也能作為一個(gè)路由模式的安全網(wǎng)關(guān)工作����;同時(shí),本發(fā)明的任意端口都可以混合的工作于這兩種模式之間��,不需要任何設(shè)置����、也沒有任何限制,這將能使本發(fā)明更方便地應(yīng)用于各種復(fù)雜的網(wǎng)絡(luò)環(huán)境���。
文檔編號H04L9/00GK1509030SQ0215650
公開日2004年6月30日 申請日期2002年12月16日 優(yōu)先權(quán)日2002年12月16日
發(fā)明者宋斌, 高紅, 李江力, 宋 斌 申請人:聯(lián)想(北京)有限公司