專利名稱：防火墻包過濾網(wǎng)關(guān)網(wǎng)橋模式自適應(yīng)選擇的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種防火墻根據(jù)用戶配置選擇網(wǎng)關(guān)、網(wǎng)橋模式，并且可以通過網(wǎng)絡(luò)數(shù)據(jù)包特征動態(tài)選擇網(wǎng)絡(luò)模式的方法。特別涉及一種應(yīng)用于防火墻中，同時提供二層交換模式下安全功能與網(wǎng)絡(luò)層路由模式下安全功能的動態(tài)開關(guān)方法。
背景技術(shù)：
在用戶網(wǎng)絡(luò)中，如果用戶需要防火墻以路由形態(tài)存在，防火墻設(shè)置為路由模式，防火墻在網(wǎng)絡(luò)層處理并轉(zhuǎn)發(fā)ip報文，此種模式下需修改用戶網(wǎng)的某些路由設(shè)置指定為防火墻。如果用戶不希望修改網(wǎng)內(nèi)路由設(shè)置，防火墻設(shè)置為透明方式，則讓防火墻以透明網(wǎng)橋形態(tài)存在，防火墻在二層交換層處理并轉(zhuǎn)發(fā)Ip報文。當(dāng)用戶網(wǎng)絡(luò)內(nèi)上述兩種需求同時存在時，需要有兩種模式自適應(yīng)動態(tài)變換的辦法，方便用戶對網(wǎng)絡(luò)的調(diào)整與管理。

發(fā)明內(nèi)容
本發(fā)明旨在提供一種根據(jù)用戶配置選擇網(wǎng)關(guān)、網(wǎng)橋模式，或者二層交換模式下安全功能與網(wǎng)絡(luò)層路由模式下安全功能的自適應(yīng)動態(tài)選擇的方法。在防火墻設(shè)置為混合模式時，防火墻可以同時提供在網(wǎng)絡(luò)層和鏈路層處理安全需求并轉(zhuǎn)發(fā)Ip報文。用戶主機可以指向防火墻為路由，也可以不修改原有網(wǎng)關(guān)設(shè)置，防火墻對于用戶主機以透明形式存在。使用戶網(wǎng)絡(luò)的組網(wǎng)及其對網(wǎng)絡(luò)的管理更加方便靈活。
本發(fā)明的目的是這樣實現(xiàn)的一種防火墻包過濾網(wǎng)關(guān)網(wǎng)橋模式自適應(yīng)選擇的方法，即基于用戶配置的網(wǎng)關(guān)網(wǎng)橋模式選擇及自適應(yīng)轉(zhuǎn)換的方法它包括如下步驟步驟1從數(shù)據(jù)包緩沖隊列中取出數(shù)據(jù)包報文。
步驟2根據(jù)用戶的網(wǎng)絡(luò)模式配置決定下一步處理，用戶的網(wǎng)絡(luò)模式配置包括路由模式、透明模式、混合模式。
步驟3混合模式即對應(yīng)于網(wǎng)關(guān)網(wǎng)橋模式自適應(yīng)選擇的方法，進(jìn)入自適應(yīng)選擇流程。
步驟4根據(jù)自適應(yīng)流程返回結(jié)果，如果是屬于網(wǎng)橋模式則交由二層交換安全模塊處理，如果是則交由網(wǎng)絡(luò)層安全模塊處理。
在自適應(yīng)模式選擇流程中，上述步驟3具體為才


圖1為網(wǎng)關(guān)網(wǎng)橋模式選擇方法基本流程。
具體實施例方式
以下結(jié)合附圖和具體實例對本發(fā)明做進(jìn)一步的詳細(xì)說明。
本發(fā)明應(yīng)用于防火墻中網(wǎng)卡接收到包以后及安全處理之前。具體流程參見圖1。當(dāng)防火墻為混合模式時，其以太網(wǎng)口一般設(shè)置為混雜模式；網(wǎng)卡在此模式下會接收與該端口相連的局域網(wǎng)上的所有數(shù)據(jù)包。當(dāng)接收到的數(shù)據(jù)包從系統(tǒng)緩沖區(qū)被提取出來時執(zhí)行以下步驟步驟1從數(shù)據(jù)包緩沖隊列中取出數(shù)據(jù)包報文。
步驟2根據(jù)用戶的網(wǎng)絡(luò)模式配置決定下一步處理，用戶的網(wǎng)絡(luò)模式配置包括路由模式、透明模式、混合模式。
步驟3混合模式即對應(yīng)于網(wǎng)關(guān)網(wǎng)橋模式自適應(yīng)選擇的方法，進(jìn)入自適應(yīng)選擇流程。
步驟4根據(jù)自適應(yīng)流程返回結(jié)果，如果是屬于網(wǎng)橋模式則交由二層交換安全模塊處理，如果是則交由網(wǎng)絡(luò)層安全模塊處理。
在自適應(yīng)模式選擇流程中，上述步驟3具體為步驟31把ip數(shù)據(jù)包以太頭目的mac地址和接收網(wǎng)卡mac地址進(jìn)行比較，如果相同則屬于到達(dá)防火墻本機數(shù)據(jù)包，遞交到網(wǎng)絡(luò)層安全處理模塊處理。否則進(jìn)入步驟32進(jìn)行處理。
步驟32對于arp數(shù)據(jù)包，解析arp報文，根據(jù)不同的arp包類型進(jìn)行ip地址比對處理，如返回路由模式，則由路由安全處理模塊做相應(yīng)處理。
步驟33采用通常的對廣播和組播的處理。
步驟34其它數(shù)據(jù)包交由二層交換安全模塊處理。
在廣播和組播的處理中，可以根據(jù)用戶規(guī)則決定arp以外組播、廣播是否允許通過。
本發(fā)明根據(jù)用戶策略決定數(shù)據(jù)包的網(wǎng)絡(luò)模式、安全處理方式、轉(zhuǎn)發(fā)方式。并可以動態(tài)的決定數(shù)據(jù)包網(wǎng)絡(luò)模式的選擇。方便網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)配置管理，提高了防火墻在不同網(wǎng)絡(luò)環(huán)境中的可用性。
權(quán)利要求
1.防火墻包過濾網(wǎng)關(guān)網(wǎng)橋模式自適應(yīng)選擇的方法，防火墻同時設(shè)置路由模式和透明網(wǎng)橋模式，其特征在于，它至少包括如下步驟步驟1從數(shù)據(jù)包緩沖隊列中取出數(shù)據(jù)包報文；步驟2根據(jù)用戶的網(wǎng)絡(luò)模式配置決定下一步處理，用戶的網(wǎng)絡(luò)模式配置包括路由模式、透明模式、混合模式；步驟3混合模式即對應(yīng)于網(wǎng)關(guān)網(wǎng)橋模式自適應(yīng)選擇的方法，進(jìn)入自適應(yīng)選擇流程；步驟4根據(jù)自適應(yīng)流程返回結(jié)果，如果是屬于網(wǎng)橋模式則交由二層交換安全模塊處理，如果是則交由網(wǎng)絡(luò)層安全模塊處理。
2.根據(jù)權(quán)利要求1所述的網(wǎng)關(guān)網(wǎng)橋模式自適應(yīng)選擇的方法，其特征在于在混合模式時其至少包括以下步驟步驟31把ip數(shù)據(jù)包以太頭目的mac地址和接收網(wǎng)卡mac地址進(jìn)行比較，如果相同則屬于到達(dá)防火墻本機數(shù)據(jù)包，遞交到網(wǎng)絡(luò)層安全處理模塊處理。否則進(jìn)入步驟32進(jìn)行處理；步驟32對于arp數(shù)據(jù)包，解析arp報文，根據(jù)不同的arp包類型進(jìn)行ip地址比對處理，如返回路由模式，則由路由安全處理模塊做相應(yīng)處理；步驟33對廣播和組播的處理；步驟34其它數(shù)據(jù)包交由二層交換安全模塊處理。
3.根據(jù)權(quán)利要求1所述的網(wǎng)關(guān)網(wǎng)橋模式自適應(yīng)選擇的方法，其特征在于在廣播和組播的處理中，可以根據(jù)用戶規(guī)則決定arp以外組播、廣播是否允許通過。
全文摘要
防火墻包過濾網(wǎng)關(guān)網(wǎng)橋模式自適應(yīng)選擇的方法，防火墻同時設(shè)置路由模式和透明網(wǎng)橋模式，它至少包括以下步驟根據(jù)用戶配置決定防火墻是處于網(wǎng)關(guān)模式還是二層交換模式，在混合模式的自適應(yīng)轉(zhuǎn)換時，防火墻根據(jù)數(shù)據(jù)包的不同特征確定數(shù)據(jù)包的轉(zhuǎn)發(fā)方式。根據(jù)自適應(yīng)流程返回結(jié)果，如果是屬于網(wǎng)橋模式則交由二層交換安全模塊處理，如果是則交由網(wǎng)絡(luò)層安全模塊處理。方便網(wǎng)絡(luò)管理員進(jìn)行網(wǎng)絡(luò)配置管理，提高了防火墻在不同網(wǎng)絡(luò)環(huán)境中的可用性。
文檔編號H04L12/24GK1604563SQ20041006518
公開日2005年4月6日 申請日期2004年10月29日 優(yōu)先權(quán)日2004年10月29日
發(fā)明者李論, 蔡圣聞, 劉旸 申請人:江蘇南大蘇富特軟件股份有限公司, 南京大學(xué)