專利名稱:基于虛擬局域網(wǎng)交換的入侵防御方法與系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信技術(shù)�,尤其是一種基于虛擬局域網(wǎng)(Virtual Local Area Network,以下簡(jiǎn)稱VLAN)交換的入侵防御方法與系統(tǒng)。
背景技術(shù):
VLAN是在交換局域網(wǎng)的基礎(chǔ)上��,采用網(wǎng)絡(luò)管理軟件構(gòu)建的可跨越不同網(wǎng)段�、不同網(wǎng)絡(luò)的端到端的邏輯網(wǎng)絡(luò)。VLAN中��,信息只到達(dá)應(yīng)該到達(dá)的地點(diǎn)���,防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段��。例如企業(yè)的財(cái)務(wù)部�、人事部、生產(chǎn)部這樣的敏感部門�����,涉及很多敏感數(shù)據(jù)����, 其網(wǎng)絡(luò)上的信息不想讓太多人可以隨便訪問,通過在交換機(jī)上應(yīng)用VLAN技術(shù)�,就可以很好地實(shí)現(xiàn)這些功能。通過多年的發(fā)展���,VLAN技術(shù)得到廣泛的支持,并在大大小小的企業(yè)網(wǎng)絡(luò)中廣泛應(yīng)用��,成為一種成熟的以太局域網(wǎng)技術(shù)����。通過VLAN設(shè)置的訪問控制策略,使在VLAN 以外的網(wǎng)絡(luò)節(jié)點(diǎn)不能直接訪問VLAN內(nèi)的節(jié)點(diǎn)���。但是�����,由于執(zhí)行VLAN交換的設(shè)備越來越復(fù)雜�����,從而成為被攻擊的對(duì)象����。為了保障VLAN的網(wǎng)絡(luò)安全,通常會(huì)在VLAN的網(wǎng)絡(luò)邊界部署安全網(wǎng)關(guān)類產(chǎn)品�����,例如防火墻����、異常流量清洗設(shè)備、入侵檢測(cè)系統(tǒng)(Intrusion Detection System�����,以下簡(jiǎn)稱 IDS)��、入侵防御系統(tǒng)(Intrusion Prevention System�,以下簡(jiǎn)稱IPS)等�,對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù)�����。其中��,防火墻主要以串接方式部署在網(wǎng)絡(luò)邊界�,工作在網(wǎng)絡(luò)開放式系統(tǒng)互聯(lián)參考模型(Open System Interconnect Reference Model,以下簡(jiǎn)稱0SI)的 3 4層�,即網(wǎng)絡(luò)層與傳輸層,無法對(duì)應(yīng)用層的數(shù)據(jù)流內(nèi)容進(jìn)行識(shí)別�����,因此無法對(duì)攻擊流量進(jìn)行阻斷���,來保護(hù) VLAN中的設(shè)備���。異常流量清洗設(shè)備����,例如分布式拒絕服務(wù)攻擊(Distributed Denial of Service Attacks,以下簡(jiǎn)稱DDoQ設(shè)備,通過啟用邊界網(wǎng)關(guān)協(xié)議(Border Gateway Protocol,以下簡(jiǎn)稱BGP)等路由牽引和回注技術(shù)�,以單臂模式旁路部署在邊界交換機(jī)處���, 主要通過流量特征識(shí)別或者反向探測(cè)識(shí)別技術(shù),來實(shí)現(xiàn)異常流量的過濾��,但是���,不對(duì)應(yīng)用層的數(shù)據(jù)流進(jìn)行檢測(cè)�����,同樣無法對(duì)攻擊流量進(jìn)行阻斷�����,來保護(hù)VLAN中的設(shè)備����。IDS以單臂模式旁路部署在邊界交換機(jī)處�,工作在網(wǎng)絡(luò)OSI的2 7層,即數(shù)據(jù)鏈路層��、網(wǎng)絡(luò)層�、傳輸層、會(huì)話層、表示層與應(yīng)用層�,實(shí)時(shí)對(duì)流經(jīng)數(shù)據(jù)鏈路層上的數(shù)據(jù)流進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè),發(fā)現(xiàn)攻擊流量就進(jìn)行報(bào)警��,但不對(duì)攻擊流量進(jìn)行阻斷���,也無法保護(hù) VLAN中的設(shè)備���。IPS以串接方式部署在被保護(hù)對(duì)象的上行數(shù)據(jù)鏈路上,采用透?jìng)鞴ぷ髂J?�,?duì)流經(jīng)數(shù)據(jù)鏈路上的數(shù)據(jù)流進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)���、分析和防護(hù)���,對(duì)攻擊流量進(jìn)行阻斷,從而保護(hù)VLAN中的設(shè)備��。在實(shí)現(xiàn)本發(fā)明的過程中�����,發(fā)明人發(fā)現(xiàn)�,在交換架構(gòu)的網(wǎng)絡(luò)環(huán)境中�����,網(wǎng)絡(luò)邊界包括多個(gè)VLAN時(shí),現(xiàn)有技術(shù)對(duì)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的方法至少存在以下問題以串接方式將安全網(wǎng)關(guān)部署在網(wǎng)絡(luò)前端時(shí)����,所有進(jìn)出網(wǎng)絡(luò)的流量都會(huì)經(jīng)過安全網(wǎng)關(guān),增加了安全網(wǎng)關(guān)的開銷����;并且,進(jìn)出網(wǎng)絡(luò)的流量過大時(shí)可能導(dǎo)致安全網(wǎng)關(guān)擁堵癱瘓����,或者由于安全網(wǎng)關(guān)出現(xiàn)端口、設(shè)備故障時(shí)���,都增加了網(wǎng)絡(luò)斷點(diǎn)的風(fēng)險(xiǎn)����;以單臂模式將安全網(wǎng)關(guān)旁路部署在邊界交換機(jī)處時(shí)����,通過交換機(jī)上的重定向功能,將網(wǎng)絡(luò)中的數(shù)據(jù)流量全部重定向到安全網(wǎng)關(guān)連接的交換機(jī)端口,在確認(rèn)符合安全策略的情況下���,安全網(wǎng)關(guān)對(duì)數(shù)據(jù)流進(jìn)行相應(yīng)的轉(zhuǎn)發(fā)處理�。這種基于交換機(jī)重定向的部署方式存在如下問題交換機(jī)重定向會(huì)消耗交換機(jī)一定的訪問控制列表(Access Control List�,以下簡(jiǎn)稱ACL)資源,并且�,作為安全網(wǎng)關(guān),原本只需要防護(hù)VLAN與外部網(wǎng)絡(luò)之間的數(shù)據(jù)流量���,但是�����,在這種情況下還對(duì)VLAN內(nèi)的所有數(shù)據(jù)流量進(jìn)行處理����,對(duì)安全網(wǎng)關(guān)的處理性能產(chǎn)生了較大壓力�����,存在著很大的網(wǎng)絡(luò)斷點(diǎn)風(fēng)險(xiǎn)��;防火墻�、異常流量清洗設(shè)備類安全網(wǎng)關(guān)類產(chǎn)品不適用于網(wǎng)絡(luò)邊界包括多個(gè)VLAN 時(shí)的二層網(wǎng)絡(luò)環(huán)境�����;IDS只是對(duì)網(wǎng)絡(luò)流量檢測(cè)分析并對(duì)攻擊流量進(jìn)行告警,但不對(duì)攻擊流量進(jìn)行阻斷�����,無法保護(hù)VLAN中的設(shè)備�����。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例所要解決的技術(shù)問題是提供一種基于虛擬局域網(wǎng)交換的入侵防御方法與系統(tǒng)����,在網(wǎng)絡(luò)邊界包括多個(gè)VLAN時(shí)的二層網(wǎng)絡(luò)環(huán)境中,實(shí)現(xiàn)應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)和防護(hù)�,以保障VLAN用戶的安全性,并且減小系統(tǒng)開銷����,降低網(wǎng)絡(luò)斷點(diǎn)風(fēng)險(xiǎn)。為解決上述技術(shù)問題����,本發(fā)明實(shí)施例提供的一種基于虛擬局域網(wǎng)交換的入侵防御方法�,包括邊界交換機(jī)接收由發(fā)送方主機(jī)發(fā)送給接收方主機(jī)的數(shù)據(jù)報(bào)文�,所述數(shù)據(jù)報(bào)文的報(bào)文頭中包括源互聯(lián)網(wǎng)協(xié)議IP地址、源介質(zhì)訪問控制MAC地址�����、目的IP地址與目的MAC地址����;所述邊界交換機(jī)識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)虛擬局域網(wǎng)VLAN, 以及發(fā)送方主機(jī)與接收方主機(jī)是否屬于預(yù)先設(shè)定的保護(hù)VLAN �;若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN,所述邊界交換機(jī)對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理���;若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN����,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN����,所述邊界交換機(jī)請(qǐng)求入侵防御系統(tǒng)IPS對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理�。本發(fā)明實(shí)施例提供的一種基于虛擬局域網(wǎng)交換的入侵防御系統(tǒng),包括邊界交換機(jī)與 IPS ��;所述邊界交換機(jī),用于接收由發(fā)送方主機(jī)發(fā)送給接收方主機(jī)的數(shù)據(jù)報(bào)文�,所述數(shù)據(jù)報(bào)文的報(bào)文頭中包括源IP地址、源MAC地址�����、目的IP地址與目的MAC地址�����;并識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN�,以及發(fā)送方主機(jī)與接收方主機(jī)是否屬于預(yù)先設(shè)定的保護(hù)VLAN ��;若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN���,對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理���;若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN�����,請(qǐng)求IPS對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理�,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理�;所述IPS�,用于對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理。
基于本發(fā)明上述實(shí)施例提供的基于虛擬局域網(wǎng)交換的入侵防御方法與系統(tǒng)�����,邊界交換機(jī)可以識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN��,以及發(fā)送方主機(jī)與接收方主機(jī)是否屬于預(yù)先設(shè)定的保護(hù)VLAN�,在發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN時(shí)��,邊界交換機(jī)請(qǐng)求IPS對(duì)該數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理�����,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理�����, 與現(xiàn)有技術(shù)相比���,可以在網(wǎng)絡(luò)邊界包括多個(gè)VLAN時(shí)的二層網(wǎng)絡(luò)環(huán)境中����,對(duì)攻擊流量進(jìn)行阻斷,實(shí)現(xiàn)了對(duì)應(yīng)用層的數(shù)據(jù)內(nèi)容的檢測(cè)和防護(hù)����,彌補(bǔ)了防火墻設(shè)備的不足,為需要安全防護(hù)的用戶或者服務(wù)器提供2 7層的全方位安全保障�����,有效保障了 VLAN用戶的安全性�;若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN,邊界交換機(jī)對(duì)該數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理����,無需將該數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�、分析和防護(hù),與現(xiàn)有技術(shù)相比���,減少了系統(tǒng)開銷�����,避免了進(jìn)出網(wǎng)絡(luò)的流量過大時(shí)可能導(dǎo)致邊界交換機(jī)擁堵癱瘓��,降低了由于交換機(jī)出現(xiàn)端口���、設(shè)備故障時(shí)導(dǎo)致的網(wǎng)絡(luò)斷點(diǎn)的風(fēng)險(xiǎn)�。下面通過附圖和實(shí)施例���,對(duì)本發(fā)明的技術(shù)方案做進(jìn)一步的詳細(xì)描述�。
為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案���,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹����,顯而易見地��,下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例�,對(duì)于本領(lǐng)域普通技術(shù)人員來講,在不付出創(chuàng)造性勞動(dòng)性的前提下����,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明基于VLAN交換的入侵防御方法一個(gè)實(shí)施例的流程圖����;圖2為本發(fā)明基于VLAN交換的入侵防御方法另一個(gè)實(shí)施例的流程圖;圖3為本發(fā)明基于VLAN交換的IPS —個(gè)實(shí)施例的結(jié)構(gòu)示意圖;圖4為本發(fā)明基于VLAN交換的IPS另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖�����;圖5為本發(fā)明基于VLAN交換的入侵防御方法應(yīng)用實(shí)施例的一個(gè)示意圖�����;圖6為本發(fā)明基于VLAN交換的入侵防御方法應(yīng)用實(shí)施例的另一個(gè)示意圖����;圖7為本發(fā)明基于VLAN交換的入侵防御方法應(yīng)用實(shí)施例的又一個(gè)示意圖;圖8為本發(fā)明基于VLAN交換的入侵防御方法應(yīng)用實(shí)施例的再一個(gè)示意圖��。
具體實(shí)施例方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖�,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述����,顯然���,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例�,而不是全部的實(shí)施例���?�;诒景l(fā)明中的實(shí)施例�����,本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例�,都屬于本發(fā)明保護(hù)的范圍。圖1為本發(fā)明基于VLAN交換的入侵防御方法一個(gè)實(shí)施例的流程圖���。如圖1所示��, 該實(shí)施例基于VLAN交換的入侵防御方法包括以下流程步驟101��,邊界交換機(jī)接收由發(fā)送方主機(jī)發(fā)送給接收方主機(jī)的數(shù)據(jù)報(bào)文�����,該數(shù)據(jù)報(bào)文的報(bào)文頭中包括源互聯(lián)網(wǎng)協(xié)議(Internet Protocol����,以下簡(jiǎn)稱IP)地址���、源介質(zhì)訪問控制(Media Access Control,以下簡(jiǎn)稱MAC)地址�����、目的IP地址與目的MAC地址��。步驟102���,邊界交換機(jī)識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN����,以及發(fā)送方主機(jī)與接收方主機(jī)是否屬于預(yù)先設(shè)定的保護(hù)VLAN��。步驟103�,若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN,邊界交換機(jī)對(duì)數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理����。具體地,邊界交換機(jī)可以查詢目的MAC地址對(duì)應(yīng)的目的端口號(hào)��,并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī)�。之后��,不再執(zhí)行本實(shí)施例的后續(xù)流程����。步驟104��,若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN��,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN�����,邊界交換機(jī)請(qǐng)求IPS對(duì)數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理�����,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理��。本發(fā)明上述實(shí)施例提供的基于虛擬局域網(wǎng)交換的入侵防御方法����,邊界交換機(jī)可以識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN���,以及發(fā)送方主機(jī)與接收方主機(jī)是否屬于預(yù)先設(shè)定的保護(hù)VLAN��,在發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN��,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN時(shí)�,邊界交換機(jī)請(qǐng)求IPS對(duì)該數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理�,可以在網(wǎng)絡(luò)邊界包括多個(gè)VLAN時(shí)的二層網(wǎng)絡(luò)環(huán)境中,對(duì)攻擊流量進(jìn)行阻斷�,實(shí)現(xiàn)了對(duì)應(yīng)用層的數(shù)據(jù)內(nèi)容的檢測(cè)和防護(hù),彌補(bǔ)了防火墻設(shè)備的不足�����,為需要安全防護(hù)的用戶或者服務(wù)器提供2 7層的全方位安全保障���,有效保障了 VLAN用戶的安全性�����;若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN����,邊界交換機(jī)對(duì)該數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理���,無需將該數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�����、分析和防護(hù)�����,減少了系統(tǒng)開銷���,避免了進(jìn)出網(wǎng)絡(luò)的流量過大時(shí)可能導(dǎo)致邊界交換機(jī)擁堵癱瘓,降低了由于交換機(jī)出現(xiàn)端口���、設(shè)備故障時(shí)導(dǎo)致的網(wǎng)絡(luò)斷點(diǎn)的風(fēng)險(xiǎn)��。根據(jù)本發(fā)明的實(shí)施例���,由于保護(hù)VLAN中的主機(jī)與外網(wǎng)VLAN分屬不同VLAN,保護(hù) VLAN中的主機(jī)訪問外網(wǎng)設(shè)備的流量需要通過IPS進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理�,有效保證了保護(hù)VLAN與外網(wǎng)之間的數(shù)據(jù)流的安全。作為本發(fā)明的一個(gè)具體實(shí)施例��,步驟102中�����,可以通過如下方式識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN 確定發(fā)送方主機(jī)所屬的第一 VLAN����,以及接收方主機(jī)所屬的第二 VLAN �����;識(shí)別第一 VLAN與第二 VLAN是否相同�����;若第一 VLAN與第二 VLAN相同�����,確定發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN �;否則����,若第一 VLAN與第二 VLAN不同,確定發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN�����。具體地���,本發(fā)明的實(shí)施例中的VLAN���,可以是基于端口����、MAC地址�����、協(xié)議或者子網(wǎng)劃分的VLAN�����。在實(shí)施例中的VLAN是基于端口劃分的VLAN時(shí)���,邊界交換機(jī)上某些端口連接的主機(jī)屬于一個(gè)VLAN,而另一些端口連接的主機(jī)屬于另一個(gè)VLAN�,則可以根據(jù)預(yù)先設(shè)置的端口與VLAN之間的對(duì)應(yīng)關(guān)系信息,來獲取數(shù)據(jù)報(bào)文的報(bào)文頭中源MAC地址對(duì)應(yīng)的端口所屬的 VLAN,即為發(fā)送方主機(jī)所屬的第一 VLAN�,以及獲取數(shù)據(jù)報(bào)文的報(bào)文頭中目的MAC地址對(duì)應(yīng)的端口所屬的VLAN,即為接收方主機(jī)所屬的第二 VLAN�。在實(shí)施例中的VLAN是基于MAC地址劃分的VLAN時(shí),根據(jù)連接在邊界交換機(jī)上主機(jī)的MAC地址來劃分VLAN���,則可以根據(jù)預(yù)先設(shè)置的MAC地址與VLAN之間的對(duì)應(yīng)關(guān)系信息�, 來獲取數(shù)據(jù)報(bào)文的報(bào)文頭中源MAC地址所屬的VLAN��,即為發(fā)送方主機(jī)所屬的第一 VLAN,以及獲取數(shù)據(jù)報(bào)文的報(bào)文頭中目的MAC地址所屬的VLAN����,即為接收方主機(jī)所屬的第二 VLAN。在實(shí)施例中的VLAN是基于協(xié)議劃分的VLAN時(shí)�,根據(jù)網(wǎng)絡(luò)主機(jī)所使用的網(wǎng)絡(luò)協(xié)議來劃分VLAN,則可以根據(jù)預(yù)先存儲(chǔ)的IP地址與網(wǎng)絡(luò)協(xié)議之間的對(duì)應(yīng)關(guān)系信息����,分別獲取數(shù)據(jù)報(bào)文的報(bào)文頭中源IP地址與目的IP地址對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議,并通過識(shí)別源IP地址與目的 IP地址對(duì)應(yīng)的網(wǎng)絡(luò)協(xié)議是否相同��,來識(shí)別第一 VLAN與第二 VLAN是否相同���。在實(shí)施例中的VLAN是基于子網(wǎng)劃分的VLAN時(shí)��,根據(jù)網(wǎng)絡(luò)主機(jī)所用的IP地址所在的網(wǎng)絡(luò)子網(wǎng)來劃分VLAN���,則可以根據(jù)預(yù)先設(shè)置的IP地址所在的網(wǎng)絡(luò)子網(wǎng)與VLAN之間的對(duì)應(yīng)關(guān)系信息,來獲取數(shù)據(jù)報(bào)文的報(bào)文頭中源IP地址所在的網(wǎng)絡(luò)子網(wǎng)對(duì)應(yīng)的VLAN�����,即為發(fā)送方主機(jī)所屬的第一 VLAN,以及獲取數(shù)據(jù)報(bào)文的報(bào)文頭中目的IP地址所在的網(wǎng)絡(luò)子網(wǎng)對(duì)應(yīng)的VLAN��,接收方主機(jī)所屬的第二 VLAN����。另外,作為本發(fā)明的另一個(gè)具體實(shí)施例�,若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN,邊界交換機(jī)可以識(shí)別第一 VLAN或第二 VLAN是否屬于預(yù)先設(shè)定的保護(hù)VLAN�����。相應(yīng)的�,圖1所示實(shí)施例的步驟104可以通過如下方法實(shí)現(xiàn)若第一 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN��,邊界交換機(jī)對(duì)數(shù)據(jù)報(bào)文封裝第一 VLAN標(biāo)簽(tag)���,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS�,第一 VLAN tag中包括唯一標(biāo)識(shí)第一 VLAN 的第一 VLAN標(biāo)識(shí)(ID) ����;IPS根據(jù)預(yù)先設(shè)置的安全防護(hù)策略對(duì)第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè);若第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)��,IPS將第一數(shù)據(jù)包中的第一 VLAN tag變換為第二 VLAN tag,并將變換得到的第二數(shù)據(jù)包發(fā)送給邊界交換機(jī);邊界交換機(jī)根據(jù)第二 VLAN tag與目的IP地址轉(zhuǎn)發(fā)第二數(shù)據(jù)包���;若第二 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN�,邊界交換機(jī)對(duì)數(shù)據(jù)報(bào)文封裝第一 VLAN tag,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS����,第一 VLAN tag中包括唯一標(biāo)識(shí)第一 VLAN的第
一VLAN ID ;IPS根據(jù)預(yù)先設(shè)置的安全防護(hù)策略對(duì)第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)����; 若第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè),IPS將第一數(shù)據(jù)包中的第一 VLANtag變換為第
二VLAN tag��,并將變換得到的第二數(shù)據(jù)包發(fā)送給邊界交換機(jī)��;邊界交換機(jī)根據(jù)第二數(shù)據(jù)包中的目的MAC地址對(duì)應(yīng)的目的端口號(hào)�,并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī)。進(jìn)一步地���,作為本發(fā)明的又一個(gè)具體實(shí)施例�����,若第一數(shù)據(jù)包未通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)���,IPS可以根據(jù)安全防護(hù)策略���,丟棄第一數(shù)據(jù)包,或者����,刪除第一數(shù)據(jù)包中的不安全數(shù)據(jù)內(nèi)容,并以刪除不安全數(shù)據(jù)內(nèi)容的第一數(shù)據(jù)包作為通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)的第一數(shù)據(jù)包��,將其中的第一 VLAN tag變換為第二 VLAN tag��,并將變換得到的第二數(shù)據(jù)包發(fā)送給邊界交換機(jī)��;對(duì)于第一 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN的數(shù)據(jù)包�����,邊界交換機(jī)根據(jù)第二 VLAN tag與目的IP地址轉(zhuǎn)發(fā)第二數(shù)據(jù)包��,對(duì)于第二 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN的數(shù)據(jù)包���,邊界交換機(jī)根據(jù)第二數(shù)據(jù)包中的目的MAC地址對(duì)應(yīng)的目的端口號(hào),并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī)���。在本發(fā)明上述各實(shí)施例基于VLAN交換的入侵防御方法中����,若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN,且發(fā)送方主機(jī)與接收方主機(jī)均不屬于預(yù)先設(shè)定的保護(hù)VLAN��,邊界交換機(jī)可以根據(jù)第二 VLANtag與目的IP地址轉(zhuǎn)發(fā)第二數(shù)據(jù)包�。圖2為本發(fā)明基于VLAN交換的入侵防御方法另一個(gè)實(shí)施例的流程圖。如圖2所示���,該實(shí)施例基于VLAN交換的入侵防御方法包括以下流程步驟201���,邊界交換機(jī)接收由發(fā)送方主機(jī)發(fā)送給接收方主機(jī)的數(shù)據(jù)報(bào)文,該數(shù)據(jù)報(bào)文的報(bào)文頭中包括源IP地址��、源MAC地址��、目的IP地址與目的MAC地址����。
步驟202,邊界交換機(jī)確定發(fā)送方主機(jī)所屬的第一 VLAN��,以及接收方主機(jī)所屬的第二 VLAN�。步驟203�����,邊界交換機(jī)識(shí)別第一 VLAN與第二 VLAN是否相同���,若第一 VLAN與第二 VLAN相同,確定發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN�����,執(zhí)行步驟204����。否則,若第一 VLAN與第二 VLAN不同����,確定發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN�,執(zhí)行步驟205。步驟204��,邊界交換機(jī)查詢目的MAC地址對(duì)應(yīng)的目的端口號(hào)���,并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī)��。之后�����,不再執(zhí)行本實(shí)施例的后續(xù)流程��。步驟205�����,邊界交換機(jī)根據(jù)預(yù)先設(shè)置的保護(hù)VLAN信息����,識(shí)別第一 VLAN或第二 VLAN 是否屬于預(yù)先設(shè)定的保護(hù)VLAN,若第一 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN���,執(zhí)行步驟206�����。若第二 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN��,執(zhí)行步驟211����。否則,若第一 VLAN與第二 VLAN均不屬于預(yù)先設(shè)定的保護(hù)VLAN��,執(zhí)行步驟216���。步驟206���,邊界交換機(jī)對(duì)數(shù)據(jù)報(bào)文封裝第一 VLAN tag,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS�����,其中的第一 VLAN tag中包括第一 VLAN ID���。步驟207�����,IPS根據(jù)預(yù)先設(shè)置的安全防護(hù)策略����,對(duì)第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)���。若第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)����,執(zhí)行步驟208����。否則,若第一數(shù)據(jù)包未通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�,執(zhí)行步驟210。具體地���,安全防護(hù)策略可以根據(jù)實(shí)際需求建立�,并可以隨時(shí)更新��,例如��,可以是 檢查到帶有蠕蟲���、后門�、木馬等攻擊包的數(shù)據(jù)包直接丟棄�;接收到DDOS攻擊的數(shù)據(jù)包時(shí)直接丟棄;對(duì)帶有協(xié)議異常的數(shù)據(jù)包��、帶郵件病毒、文件病毒��、宏病毒等的數(shù)據(jù)流量可創(chuàng)建靈活的策略來采取一系列動(dòng)作����,例如,相應(yīng)的修正協(xié)議�、刪除郵件病毒、文件病毒�����、宏病毒等���; 如果被保護(hù)對(duì)象是域名服務(wù)器(Domain Name Server�,以下簡(jiǎn)稱DNS)�����、動(dòng)態(tài)主機(jī)配置協(xié)議 (Dynamic host configuration protocol�,以下簡(jiǎn)稱DHCP)服務(wù)器、萬維網(wǎng)(WEB)服務(wù)器或者郵件服務(wù)器等一些關(guān)鍵網(wǎng)元����,可創(chuàng)建一些針對(duì)性的安全策略,例如拒絕訪問、限制訪問等��,以有效保護(hù)服務(wù)器與內(nèi)網(wǎng)用戶安全訪問互聯(lián)網(wǎng)�����。步驟208����,IPS將第一數(shù)據(jù)包中的第一 VLAN tag變換為第二 VLAN tag��,并將變換得到的第二數(shù)據(jù)包發(fā)送給邊界交換機(jī)��。步驟209���,邊界交換機(jī)根據(jù)第二 VLAN tag與目的IP地址轉(zhuǎn)發(fā)第二數(shù)據(jù)包�。之后�����, 不再執(zhí)行本實(shí)施例的后續(xù)流程�����。步驟210,IPS根據(jù)安全防護(hù)策略����,丟棄第一數(shù)據(jù)包,或者����,刪除第一數(shù)據(jù)包中的不安全數(shù)據(jù)內(nèi)容,并以刪除不安全數(shù)據(jù)內(nèi)容的第一數(shù)據(jù)包作為通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)的第一數(shù)據(jù)包��,執(zhí)行步驟208 步驟209����。步驟211,邊界交換機(jī)對(duì)數(shù)據(jù)報(bào)文封裝第一 VLAN tag��,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS�,其中的第一 VLAN tag中包括第一 VLAN ID。步驟212���,IPS根據(jù)預(yù)先設(shè)置的安全防護(hù)策略對(duì)第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�����。若第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)����,執(zhí)行步驟213。否則����,若第一數(shù)據(jù)包未通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�,執(zhí)行步驟215。步驟213�,IPS將第一數(shù)據(jù)包中的第一 VLAN tag變換為第二 VLAN tag,并將變換得到的第二數(shù)據(jù)包發(fā)送給邊界交換機(jī)���。步驟214��,邊界交換機(jī)根據(jù)第二數(shù)據(jù)包中的目的MAC地址對(duì)應(yīng)的目的端口號(hào)����,并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī)����。之后,不再執(zhí)行本實(shí)施例的后續(xù)流程���。步驟215����,IPS根據(jù)安全防護(hù)策略,丟棄第一數(shù)據(jù)包����,或者,刪除第一數(shù)據(jù)包中的不安全數(shù)據(jù)內(nèi)容�����,并以刪除不安全數(shù)據(jù)內(nèi)容的第一數(shù)據(jù)包作為通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)的第一數(shù)據(jù)包�,執(zhí)行步驟213 步驟214。步驟216�,邊界交換機(jī)根據(jù)第二 VLAN tag與目的IP地址轉(zhuǎn)發(fā)第二數(shù)據(jù)包。具體地����,邊界交換機(jī)可以識(shí)別第二 VLAN是否該邊界交換機(jī)負(fù)責(zé)的VLAN,若第二 VLAN是該邊界交換機(jī)負(fù)責(zé)的VLAN���,則通過第二 VLAN所在的網(wǎng)關(guān)����,將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī)����;否則�,若第二 VLAN不是該邊界交換機(jī)負(fù)責(zé)的VLAN�����,邊界交換將數(shù)據(jù)報(bào)文通過第二 VLAN所在的網(wǎng)關(guān)��,由第二VLAN所在的網(wǎng)關(guān)根據(jù)數(shù)據(jù)報(bào)文中的目的IP地址轉(zhuǎn)發(fā)該數(shù)據(jù)報(bào)文�。
圖3為本發(fā)明基于VLAN交換的IPS —個(gè)實(shí)施例的結(jié)構(gòu)示意圖�����。該實(shí)施例基于VLAN 交換的IPS可用于實(shí)現(xiàn)本發(fā)明上述各基于VLAN交換的入侵防御方法實(shí)施例的流程�。如圖 3所示,其包括邊界交換機(jī)1與IPS2�。其中,邊界交換機(jī)1用于接收由發(fā)送方主機(jī)發(fā)送給接收方主機(jī)的數(shù)據(jù)報(bào)文�����,該數(shù)據(jù)報(bào)文的報(bào)文頭中包括源IP地址����、源MAC地址���、目的IP地址與目的MAC地址;并識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN����,以及發(fā)送方主機(jī)與接收方主機(jī)是否屬于預(yù)先設(shè)定的保護(hù)VLAN。若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN�����,對(duì)數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理��。 若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN�,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN,請(qǐng)求IPS對(duì)數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理���,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理����。其中的發(fā)送方主機(jī)�����、接收方主機(jī)既可以是內(nèi)網(wǎng)主機(jī)���,也可以是外網(wǎng)主機(jī)��。IPS2用于對(duì)邊界交換機(jī)1發(fā)送的數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理�。本發(fā)明上述實(shí)施例提供的基于虛擬局域網(wǎng)交換的IPS,邊界交換機(jī)可以識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN��,以及發(fā)送方主機(jī)與接收方主機(jī)是否屬于預(yù)先設(shè)定的保護(hù)VLAN�����,在發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN���,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN時(shí)��,邊界交換機(jī)請(qǐng)求IPS對(duì)該數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理���,可以在網(wǎng)絡(luò)邊界包括多個(gè)VLAN時(shí)的二層網(wǎng)絡(luò)環(huán)境中��,對(duì)攻擊流量進(jìn)行阻斷��,實(shí)現(xiàn)了對(duì)應(yīng)用層的數(shù)據(jù)內(nèi)容的檢測(cè)和防護(hù)���,彌補(bǔ)了防火墻設(shè)備的不足���,為需要安全防護(hù)的用戶或者服務(wù)器提供2 7層的全方位安全保障,有效保障了 VLAN用戶的安全性����;若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN, 邊界交換機(jī)對(duì)該數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理����,無需將該數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)、分析和防護(hù)�,減少了系統(tǒng)開銷,避免了進(jìn)出網(wǎng)絡(luò)的流量過大時(shí)可能導(dǎo)致邊界交換機(jī)擁堵癱瘓�����,降低了由于交換機(jī)出現(xiàn)端口�、設(shè)備故障時(shí)導(dǎo)致的網(wǎng)絡(luò)斷點(diǎn)的風(fēng)險(xiǎn)。圖4為本發(fā)明基于VLAN交換的IPS另一個(gè)實(shí)施例的結(jié)構(gòu)示意圖��。與圖3所示的實(shí)施例相比���,該實(shí)施例中��,邊界交換機(jī)1包括接收單元301�����、第一識(shí)別單元302�����、第二識(shí)別單元303與發(fā)送處理單元�����,IPS2包括內(nèi)容檢測(cè)單元401與變換單元402���。其中��,接收單元301用于接收由發(fā)送方主機(jī)發(fā)送給接收方主機(jī)的數(shù)據(jù)報(bào)文����。第一識(shí)別單元302用于確定數(shù)據(jù)報(bào)文的發(fā)送方主機(jī)所屬的第一 VLAN��,以及接收方主機(jī)所屬的第二 VLAN���,并識(shí)別第一 VLAN與第二 VLAN是否相同;若第一 VLAN與第二 VLAN相CN 102571738 A
同,確定發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN �����;若第一 VLAN與第二 VLAN不同���,確定發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN���。第二識(shí)別單元303用于識(shí)別第一識(shí)別單元302確定的第一 VLAN或第二 VLAN是否屬于預(yù)先設(shè)定的保護(hù)VLAN。發(fā)送處理單元304用于根據(jù)第一識(shí)別單元302的識(shí)別結(jié)果����,在第一 VLAN與第二 VLAN屬于同一個(gè)VLAN時(shí),對(duì)數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理�����;在第一 VLAN與第二 VLAN不屬于同一個(gè)VLAN時(shí)����,根據(jù)第二識(shí)別單元303的識(shí)別結(jié)果,若第一 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN���,對(duì)數(shù)據(jù)報(bào)文封裝第一 VLAN tag�����,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS2中的內(nèi)容檢測(cè)單元 401�,第一 VLAN tag中包括唯一標(biāo)識(shí)第一 VLAN的第一 VLAN ID,以及接收IPS2對(duì)第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理后由變換單元402返回的第二數(shù)據(jù)包,根據(jù)第二數(shù)據(jù)包中的第二 VLAN tag與目的IP地址轉(zhuǎn)發(fā)第二數(shù)據(jù)包���;若第二 VLAN屬于預(yù)先設(shè)定的保護(hù) VLAN���,對(duì)數(shù)據(jù)報(bào)文封裝第一 VLAN tag,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS2中的內(nèi)容檢測(cè)單元401��,第一 VLAN tag中包括第一 VLAN ID,以及接收IPS2對(duì)第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理后由變換單元402返回的第二數(shù)據(jù)包�,根據(jù)第二數(shù)據(jù)包中的目的 MAC地址對(duì)應(yīng)的目的端口號(hào),并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī)����。內(nèi)容檢測(cè)單元401用于根據(jù)預(yù)先設(shè)置的安全防護(hù)策略,對(duì)發(fā)送處理單元304發(fā)送的第一數(shù)據(jù)包與第二數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�����。變換單元402用于根據(jù)內(nèi)容檢測(cè)單元401的檢測(cè)結(jié)果����,在第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)時(shí),將第一數(shù)據(jù)包中的第一 VLAN tag變換為第二 VLAN tag�����,并將變換得到的第二數(shù)據(jù)包發(fā)送給發(fā)送處理單元304�����。與圖2所示方法實(shí)施例相應(yīng)���,作為本發(fā)明基于VLAN交換的IPS的又一個(gè)實(shí)施例�����, 圖4所示基于VLAN交換的IPS實(shí)施例中���,內(nèi)容檢測(cè)單元401還用于在第一數(shù)據(jù)包未通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)時(shí),根據(jù)安全防護(hù)策略���,丟棄第一數(shù)據(jù)包����,或者���,刪除第一數(shù)據(jù)包中的不安全數(shù)據(jù)內(nèi)容��,并以刪除不安全數(shù)據(jù)內(nèi)容的第一數(shù)據(jù)包作為通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)的第一數(shù)據(jù)包發(fā)送給變換單元304以進(jìn)行相應(yīng)的轉(zhuǎn)發(fā)處理�����。進(jìn)一步地����,與圖2所示方法實(shí)施例相應(yīng),作為本發(fā)明基于VLAN交換的IPS的再一個(gè)實(shí)施例�����,發(fā)送處理單元304還用于根據(jù)第一識(shí)別單元302的識(shí)別結(jié)果���,在第一 VLAN與第二 VLAN不屬于同一個(gè)VLAN時(shí)�,根據(jù)第二識(shí)別單元303的識(shí)別結(jié)果�����,若第一 VLAN與第二 VLAN 均不屬于預(yù)先設(shè)定的保護(hù)VLAN����,根據(jù)第二 VLAN tag與目的IP地址轉(zhuǎn)發(fā)第二數(shù)據(jù)包�����。以下以圖5 圖8所示的一個(gè)基于VLAN交換的入侵防御方法應(yīng)用實(shí)施例為例,對(duì)本發(fā)明實(shí)施例基于VLAN交換的入侵防御方法與系統(tǒng)進(jìn)行進(jìn)一步說明�����。圖5為本發(fā)明基于 VLAN交換的入侵防御方法應(yīng)用實(shí)施例的一個(gè)示意圖��。參見圖5�����,假設(shè)客戶端A的屬于VALN ID為100的VALN����,以下稱為VLAN 100,服務(wù)器B與客戶端C屬于VALNID為200的VALN 200�, 服務(wù)器D屬于VALN ID為300的VALN300,VLAN 100與VLAN 300的網(wǎng)關(guān)在核心交換機(jī)上��, VALN 200為預(yù)先設(shè)定的保護(hù)VLAN����,VLAN 200的網(wǎng)關(guān)在IPS上����。如圖5所示���,對(duì)于客戶端C訪問服務(wù)器B�����,即同一 VLAN內(nèi)用戶互相訪問的數(shù)據(jù)報(bào)文�,根據(jù)本發(fā)明實(shí)施例基于VLAN交換的入侵防御方法�����,與現(xiàn)有技術(shù)相同��,直接通過邊界交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)��,即同一 VLAN內(nèi)的用戶數(shù)據(jù)流��,不需要通過IPS轉(zhuǎn)發(fā)��,直接在同一個(gè)邊界交
12換機(jī)上轉(zhuǎn)發(fā)�。具體地,邊界交換機(jī)查詢數(shù)據(jù)報(bào)文的目的MAC地址對(duì)應(yīng)的目的端口號(hào)�,并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給對(duì)端�。對(duì)于客戶端A訪問服務(wù)器D的數(shù)據(jù)報(bào)文�����,根據(jù)本發(fā)明實(shí)施例基于VLAN交換的入侵防御方法��,與現(xiàn)有技術(shù)相同���,由邊界交換機(jī)根據(jù)服務(wù)器D的VLAN 300與IP地址,將數(shù)據(jù)包轉(zhuǎn)發(fā)到核心交換機(jī)���,通過核心交換機(jī)轉(zhuǎn)發(fā)給服務(wù)器D����。對(duì)于客戶端A訪問外網(wǎng)的數(shù)據(jù)報(bào)文�,根據(jù)本發(fā)明實(shí)施例基于VLAN交換的入侵防御方法,與現(xiàn)有技術(shù)相同���,由邊界交換機(jī)根據(jù)客戶端A的VLAN taglOO�����,將數(shù)據(jù)包轉(zhuǎn)發(fā)到核心交換機(jī)���,通過核心交換機(jī)根據(jù)目的IP地址轉(zhuǎn)發(fā)數(shù)據(jù)報(bào)文����。圖6為本發(fā)明基于VLAN交換的入侵防御方法應(yīng)用實(shí)施例的另一個(gè)示意圖�����。如圖 6所示����,對(duì)于服務(wù)器B或客戶端C訪問外網(wǎng)的數(shù)據(jù)報(bào)文,假設(shè)要訪問的外網(wǎng)為VALN2000��,根據(jù)本發(fā)明實(shí)施例基于VLAN交換的入侵防御方法����,邊界交換機(jī)對(duì)數(shù)據(jù)報(bào)文封裝VLAN 200的 VLANtag,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS�。IPS根據(jù)預(yù)先設(shè)置的安全防護(hù)策略,對(duì)第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�。若檢測(cè)異常,IPS根據(jù)安全防護(hù)策略丟棄第一數(shù)據(jù)包��,或者,刪除第一數(shù)據(jù)包中的不安全數(shù)據(jù)內(nèi)容��,并以刪除不安全數(shù)據(jù)內(nèi)容的第一數(shù)據(jù)包作為通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)的第一數(shù)據(jù)包���。若第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�����, IPS將第一數(shù)據(jù)包中的VLAN 200變換為VLAN 2000��,并將變換得到的第二數(shù)據(jù)包發(fā)送給邊界交換機(jī)����。邊界交換機(jī)收到帶有VLAN 2000tag的第二數(shù)據(jù)包�,就將其轉(zhuǎn)發(fā)到核心交換機(jī)���, 核心交換機(jī)再根據(jù)第二數(shù)據(jù)包中的目的IP地址���,將第二數(shù)據(jù)包路由轉(zhuǎn)發(fā)到相應(yīng)的外網(wǎng)網(wǎng)段。圖7為本發(fā)明基于VLAN交換的入侵防御方法應(yīng)用實(shí)施例的又一個(gè)示意圖�����。如圖 7所示,如果客戶端A要與服務(wù)器B通信�����,客戶端A會(huì)發(fā)起對(duì)服務(wù)器B的訪問���,因?yàn)榭蛻舳薃 與服務(wù)器B不在同一網(wǎng)段��,所以客戶端A訪問服務(wù)器B的數(shù)據(jù)報(bào)文需要通過VLAN 100的網(wǎng)關(guān)轉(zhuǎn)發(fā)�����,根據(jù)本發(fā)明實(shí)施例基于VLAN交換的入侵防御方法��,客戶端A發(fā)起的數(shù)據(jù)報(bào)文到達(dá)邊界交換機(jī)�����,邊界交換機(jī)對(duì)該數(shù)據(jù)報(bào)文封裝VLAN100的VLAN tag后得到第一數(shù)據(jù)包并轉(zhuǎn)發(fā)給VLAN 100的網(wǎng)關(guān)����,S卩核心交換機(jī)���。核心交換機(jī)接收到該第一數(shù)據(jù)包后���,獲知其中的目的 IP地址為服務(wù)器B的IP地址���,服務(wù)器B屬于VLAN 200,將第一數(shù)據(jù)包轉(zhuǎn)發(fā)給邊界交換機(jī)����, 邊界交換機(jī)獲知VLAN 200屬于保護(hù)VLAN便將第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS。IPS根據(jù)預(yù)先設(shè)置的安全防護(hù)策略對(duì)第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�。若檢測(cè)異常,IPS根據(jù)安全防護(hù)策略丟棄第一數(shù)據(jù)包�,或者,刪除第一數(shù)據(jù)包中的不安全數(shù)據(jù)內(nèi)容���,并以刪除不安全數(shù)據(jù)內(nèi)容的第一數(shù)據(jù)包作為通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)的第一數(shù)據(jù)包��。若第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè),IPS將第一數(shù)據(jù)包中的VLAN 100變換為VLAN 200�����,并將變換得到的第二數(shù)據(jù)包發(fā)送給邊界交換機(jī)�。邊界交換機(jī)根據(jù)第二數(shù)據(jù)包中的目的MAC地址對(duì)應(yīng)的目的端口號(hào),并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給服務(wù)器B�。反之,服務(wù)器B返回的數(shù)據(jù)報(bào)文,通過上述數(shù)據(jù)報(bào)文流向的反向流向到達(dá)客戶端A�。圖8為本發(fā)明基于VLAN交換的入侵防御方法應(yīng)用實(shí)施例的再一個(gè)示意圖。參見圖 8��,對(duì)于其它邊界交換機(jī)上有VLAN 200內(nèi)的客戶端E要與本邊界交換機(jī)上VLAN 100內(nèi)用戶通信的數(shù)據(jù)報(bào)文�����,通過核心交換機(jī)來進(jìn)行數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)���,該數(shù)據(jù)報(bào)文不需要通過IPS處理���。對(duì)于客戶端E訪問服務(wù)器B的數(shù)據(jù)報(bào)文,核心交換機(jī)直接將該數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)到邊界交換機(jī)����,邊界交換機(jī)對(duì)該數(shù)據(jù)報(bào)文封裝VLAN 100的VLAN tag后得到第一數(shù)據(jù)包并轉(zhuǎn)發(fā)給VLAN 100的網(wǎng)關(guān),S卩核心交換機(jī)����。核心交換機(jī)接收到該第一數(shù)據(jù)包后,獲知其中的目的 IP地址為服務(wù)器B的IP地址�����,服務(wù)器B屬于VLAN 200,將第一數(shù)據(jù)包轉(zhuǎn)發(fā)給邊界交換機(jī)�����, 邊界交換機(jī)獲知VLAN 200屬于保護(hù)VLAN��,便將第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS�。IPS根據(jù)預(yù)先設(shè)置的安全防護(hù)策略對(duì)第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)。若檢測(cè)異常�,IPS根據(jù)安全防護(hù)策略丟棄第一數(shù)據(jù)包,或者���,刪除第一數(shù)據(jù)包中的不安全數(shù)據(jù)內(nèi)容����,并以刪除不安全數(shù)據(jù)內(nèi)容的第一數(shù)據(jù)包作為通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)的第一數(shù)據(jù)包���。若第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�,IPS將第一數(shù)據(jù)包中的VLAN 100變換為VLAN 200����,并將變換得到的第二數(shù)據(jù)包發(fā)送給邊界交換機(jī)����。邊界交換機(jī)根據(jù)第二數(shù)據(jù)包中的目的MAC地址對(duì)應(yīng)的目的端口號(hào)�,并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給服務(wù)器B�。該實(shí)施例中,其它邊界交換機(jī)與邊界交換機(jī)的功能相當(dāng)于本發(fā)明基于VLAN交換的IPS中的邊界交換機(jī)功能����。本說明書中各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,每個(gè)實(shí)施例重點(diǎn)說明的都是與其它實(shí)施例的不同之處����,各個(gè)實(shí)施例之間相同或相似的部分相互參見即可。對(duì)于系統(tǒng)實(shí)施例而言�,由于其與方法實(shí)施例基本相似,所以描述的比較簡(jiǎn)單�����,相關(guān)之處參見方法實(shí)施例的部分說明即可��。本領(lǐng)域普通技術(shù)人員可以理解實(shí)現(xiàn)上述方法實(shí)施例的全部或部分步驟可以通過程序指令相關(guān)的硬件來完成���,前述的程序可以存儲(chǔ)于一計(jì)算機(jī)可讀取存儲(chǔ)介質(zhì)中��,該程序在執(zhí)行時(shí)����,執(zhí)行包括上述方法實(shí)施例的步驟;而前述的存儲(chǔ)介質(zhì)包括R0M���、RAM����、磁碟或者光盤等各種可以存儲(chǔ)程序代碼的介質(zhì)�����。本發(fā)明實(shí)施例中IPS與邊界交換機(jī)采用旁路部署���,實(shí)現(xiàn)了僅針對(duì)保護(hù)VLAN中用戶訪問外網(wǎng)的流量進(jìn)行安全檢查���,而不影響保護(hù)VLAN內(nèi)的用戶之間的通信,避免了不需要保護(hù)的普通VLAN用戶流量對(duì)IPS造成的沖擊����,解決了傳統(tǒng)交換架構(gòu)下單臂部署IPS帶來的消耗邊界交換機(jī)ACL以及對(duì)IPS性能要求高的問題,簡(jiǎn)化了邊界交換機(jī)的配置�����,降低了 IPS部署時(shí)的復(fù)雜度�����,為企事業(yè)單位提高了網(wǎng)絡(luò)安全�����,同時(shí)也可應(yīng)用于互聯(lián)網(wǎng)數(shù)據(jù)中心anternet Data Center�����,以下簡(jiǎn)稱IDC)接入層或匯聚層對(duì)特定用戶和服務(wù)器起到很好的安全保護(hù)�, 而對(duì)普通用戶不會(huì)有任何影響。本發(fā)明的描述是為了示例和描述起見而給出的��,而并不是無遺漏的或者將本發(fā)明限于所公開的形式�����。很多修改和變化對(duì)于本領(lǐng)域的普通技術(shù)人員而言是顯然的��。選擇和描述實(shí)施例是為了更好說明本發(fā)明的原理和實(shí)際應(yīng)用�,并且使本領(lǐng)域的普通技術(shù)人員能夠理解本發(fā)明從而設(shè)計(jì)適于特定用途的帶有各種修改的各種實(shí)施例。
權(quán)利要求
1.一種基于虛擬局域網(wǎng)交換的入侵防御方法�,其特征在于�,包括邊界交換機(jī)接收由發(fā)送方主機(jī)發(fā)送給接收方主機(jī)的數(shù)據(jù)報(bào)文�����,所述數(shù)據(jù)報(bào)文的報(bào)文頭中包括源互聯(lián)網(wǎng)協(xié)議IP地址�����、源介質(zhì)訪問控制MAC地址��、目的IP地址與目的MAC地址��;所述邊界交換機(jī)識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)虛擬局域網(wǎng)VLAN��,以及發(fā)送方主機(jī)與接收方主機(jī)是否屬于預(yù)先設(shè)定的保護(hù)VLAN ��;若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN����,所述邊界交換機(jī)對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理;若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN��,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN���,所述邊界交換機(jī)請(qǐng)求入侵防御系統(tǒng)IPS對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理����,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于��,所述識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN包括所述邊界交換機(jī)確定發(fā)送方主機(jī)所屬的第一 VLAN�,以及接收方主機(jī)所屬的第二 VLAN ;所述邊界交換機(jī)識(shí)別第一 VLAN與第二 VLAN是否相同����;若第一 VLAN與第二 VLAN相同,確定發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN ����;若第一VLAN與第二 VLAN不同,確定發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN��。
3.根據(jù)權(quán)利要求2所述的方法�,其特征在于,所述邊界交換機(jī)對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理包括所述邊界交換機(jī)查詢所述目的MAC地址對(duì)應(yīng)的目的端口號(hào)��,并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī)�����。
4.根據(jù)權(quán)利要求3所述的方法,其特征在于�����,還包括若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN�,所述邊界交換機(jī)識(shí)別第一 VLAN或第二VLAN是否屬于預(yù)先設(shè)定的保護(hù)VLAN ;所述邊界交換機(jī)請(qǐng)求IPS對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理�,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理包括若第一 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN,所述邊界交換機(jī)對(duì)所述數(shù)據(jù)報(bào)文封裝第一 VLAN標(biāo)簽tag��,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS���,所述第一 VLAN tag中包括唯一標(biāo)識(shí)所述第一 VLAN的第一 VLAN標(biāo)識(shí)ID ��;所述IPS根據(jù)預(yù)先設(shè)置的安全防護(hù)策略對(duì)所述第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)��;若所述第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�,所述 IPS將所述第一數(shù)據(jù)包中的第一 VLAN tag變換為第二 VLAN tag����,并將變換得到的第二數(shù)據(jù)包發(fā)送給所述邊界交換機(jī);所述邊界交換機(jī)根據(jù)所述第二 VLAN tag與所述目的IP地址轉(zhuǎn)發(fā)所述第二數(shù)據(jù)包�;若第二 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN���,所述邊界交換機(jī)對(duì)所述數(shù)據(jù)報(bào)文封裝第一 VLAN tag,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS����,所述第一 VLAN tag中包括第一 VLAN ID; 所述IPS根據(jù)預(yù)先設(shè)置的安全防護(hù)策略對(duì)所述第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�;若所述第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè),所述IPS將所述第一數(shù)據(jù)包中的第一 VLAN tag變換為第二 VLAN tag,并將變換得到的第二數(shù)據(jù)包發(fā)送給所述邊界交換機(jī)����;所述邊界交換機(jī)根據(jù)第二數(shù)據(jù)包中的目的MAC地址對(duì)應(yīng)的目的端口號(hào)�,并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī)。
5.根據(jù)權(quán)利要求4所述的方法��,其特征在于��,還包括若第一數(shù)據(jù)包未通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)����,所述IPS根據(jù)所述安全防護(hù)策略,丟棄第一數(shù)據(jù)包�,或者,刪除第一數(shù)據(jù)包中的不安全數(shù)據(jù)內(nèi)容�,并以刪除不安全數(shù)據(jù)內(nèi)容的第一數(shù)據(jù)包作為通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)的第一數(shù)據(jù)包�,執(zhí)行所述IPS將所述第一數(shù)據(jù)包中的第一 VLANtag變換為第二 VLAN tag的操作�����。
6.根據(jù)權(quán)利要求2至5任意一項(xiàng)所述的方法����,其特征在于,還包括若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN�,且發(fā)送方主機(jī)與接收方主機(jī)均不屬于預(yù)先設(shè)定的保護(hù)VLAN,所述邊界交換機(jī)根據(jù)所述第二 VLAN tag與所述目的IP地址轉(zhuǎn)發(fā)所述第二數(shù)據(jù)包���。
7.一種基于虛擬局域網(wǎng)交換的入侵防御系統(tǒng)����,其特征在于�,包括邊界交換機(jī)與IPS ;所述邊界交換機(jī)��,用于接收由發(fā)送方主機(jī)發(fā)送給接收方主機(jī)的數(shù)據(jù)報(bào)文��,所述數(shù)據(jù)報(bào)文的報(bào)文頭中包括源IP地址�、源MAC地址、目的IP地址與目的MAC地址�����;并識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN,以及發(fā)送方主機(jī)與接收方主機(jī)是否屬于預(yù)先設(shè)定的保護(hù)VLAN ����;若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN,對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理; 若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN����,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN,請(qǐng)求IPS對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理��,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理�����;所述IPS����,用于對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理�����。
8.根據(jù)權(quán)利要求7所述的系統(tǒng)����,其特征在于���,所述邊界交換機(jī)包括接收單元,用于接收數(shù)據(jù)報(bào)文�;第一識(shí)別單元,用于確定發(fā)送方主機(jī)所屬的第一 VLAN�,以及接收方主機(jī)所屬的第二 VLAN,并識(shí)別第一 VLAN與第二 VLAN是否相同;若第一 VLAN與第二 VLAN相同�����,確定發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN ����;若第一 VLAN與第VLAN不同,確定發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN;第二識(shí)別單元���,用于識(shí)別第一 VLAN或第二 VLAN是否屬于預(yù)先設(shè)定的保護(hù)VLAN ��;發(fā)送處理單元����,用于根據(jù)第一識(shí)別單元的識(shí)別結(jié)果�,在發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN時(shí)����,對(duì)所述數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理��;在第一 VLAN與第二 VLAN不屬于同一個(gè) VLAN時(shí)���,根據(jù)第二識(shí)別單元的識(shí)別結(jié)果��,若第一 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN����,對(duì)所述數(shù)據(jù)報(bào)文封裝第一 VLAN tag����,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS,所述第一 VLAN tag中包括唯一標(biāo)識(shí)所述第一 VLAN的第一 VLANID����,以及接收所述IPS對(duì)所述第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理后返回的第二數(shù)據(jù)包���,根據(jù)所述第二數(shù)據(jù)包中的第二 VLAN tag 與所述目的IP地址轉(zhuǎn)發(fā)所述第二數(shù)據(jù)包��;若第二 VLAN屬于預(yù)先設(shè)定的保護(hù)VLAN�,對(duì)所述數(shù)據(jù)報(bào)文封裝第一 VLAN tag,并將封裝得到的第一數(shù)據(jù)包轉(zhuǎn)發(fā)給IPS����,所述第一 VLAN tag 中包括第一 VLAN ID,以及接收所述IPS對(duì)所述第一數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理后返回的第二數(shù)據(jù)包,根據(jù)第二數(shù)據(jù)包中的目的MAC地址對(duì)應(yīng)的目的端口號(hào)����,并通過該目的端口號(hào)對(duì)應(yīng)的目的端口將所述數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)給接收方主機(jī);所述IPS包括內(nèi)容檢測(cè)單元�,用于根據(jù)預(yù)先設(shè)置的安全防護(hù)策略,對(duì)所述發(fā)送處理單元發(fā)送的第一數(shù)據(jù)包與所述第二數(shù)據(jù)包進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)�;變換單元,用于根據(jù)所述內(nèi)容檢測(cè)單元的檢測(cè)結(jié)果��,在所述第一數(shù)據(jù)包通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)時(shí)�,將所述第一數(shù)據(jù)包中的第一 VLANtag變換為第二 VLAN tag,并將變換得到的第二數(shù)據(jù)包發(fā)送給所述發(fā)送處理單元。
9.根據(jù)權(quán)利要求8所述的系統(tǒng)��,其特征在于����,所述內(nèi)容檢測(cè)單元還用于在第一數(shù)據(jù)包未通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)時(shí),根據(jù)所述安全防護(hù)策略�����,丟棄第一數(shù)據(jù)包,或者���,刪除第一數(shù)據(jù)包中的不安全數(shù)據(jù)內(nèi)容�����,并以刪除不安全數(shù)據(jù)內(nèi)容的第一數(shù)據(jù)包作為通過應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)的第一數(shù)據(jù)包發(fā)送給所述變換單元�����。
10.根據(jù)權(quán)利要求8或9所述的系統(tǒng)���,其特征在于,所述發(fā)送處理單元還用于根據(jù)第一識(shí)別單元的識(shí)別結(jié)果����,在第一 VLAN與第二 VLAN不屬于同一個(gè)VLAN時(shí),根據(jù)第二識(shí)別單元的識(shí)別結(jié)果�����,若第一 VLAN與第二 VLAN均不屬于預(yù)先設(shè)定的保護(hù)VLAN���,根據(jù)所述第二 VLAN tag與所述目的IP地址轉(zhuǎn)發(fā)所述第二數(shù)據(jù)包��。
全文摘要
本發(fā)明實(shí)施例公開了一種基于虛擬局域網(wǎng)交換的入侵防御方法與系統(tǒng)�����,其中���,方法包括邊界交換機(jī)接收數(shù)據(jù)報(bào)文;識(shí)別發(fā)送方主機(jī)與接收方主機(jī)是否屬于同一個(gè)VLAN以及是否屬于預(yù)先設(shè)定的保護(hù)VLAN�;若發(fā)送方主機(jī)與接收方主機(jī)屬于同一個(gè)VLAN,對(duì)數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理��;若發(fā)送方主機(jī)與接收方主機(jī)不屬于同一個(gè)VLAN����,且發(fā)送方主機(jī)或接收方主機(jī)屬于預(yù)先設(shè)定的保護(hù)VLAN,請(qǐng)求IPS對(duì)數(shù)據(jù)報(bào)文進(jìn)行應(yīng)用層的數(shù)據(jù)內(nèi)容安全防護(hù)處理�����,并對(duì)通過安全防護(hù)處理的數(shù)據(jù)報(bào)文進(jìn)行轉(zhuǎn)發(fā)處理��。本發(fā)明實(shí)施例可以在網(wǎng)絡(luò)邊界包括多個(gè)VLAN時(shí)的二層網(wǎng)絡(luò)環(huán)境中��,實(shí)現(xiàn)應(yīng)用層的數(shù)據(jù)內(nèi)容檢測(cè)和防護(hù),以保障VLAN用戶的安全性�����,并且減小系統(tǒng)開銷�����,降低網(wǎng)絡(luò)斷點(diǎn)風(fēng)險(xiǎn)����。
文檔編號(hào)H04L12/56GK102571738SQ201110052028
公開日2012年7月11日 申請(qǐng)日期2011年3月4日 優(yōu)先權(quán)日2010年12月8日
發(fā)明者孫培良, 張連營 申請(qǐng)人:中國電信股份有限公司