内网中终端间的横向流量隔离方法和装置制造方法及图纸

本发明专利技术提供一种内网中终端间的横向流量隔离方法和装置，其中的方法包括：接入设备收到ARP报文时，根据预存的横向隔离策略确定是否对所述ARP报文进行横向隔离操作；所述横向隔离操作包括以下至少之一：丢弃终端发送的ARP报文、向ARP请求报文的终端发送ARP应答报文以答复网关MAC地址、将终端发送的免费ARP报文的目的MAC地址修改为网关MAC地址并向网关设备发送；如果网关设备收到报文，则所述网关设备根据预存的横向隔离策略确定是否对所述报文进行横向隔离操作。从而实现内网中终端间的横向流量的隔离，打破内网的共享环境，减少甚至避免病毒在内网中进行大范围的传播；且不需要为每个终端配置不同的VLAN，有利于简化配置操作。

【技术实现步骤摘要】
内网中终端间的横向流量隔离方法和装置
本专利技术涉及网络安全
，尤其涉及一种内网中终端间的横向流量隔离方法和装置。
技术介绍
由于传统的企业内网是一种共享型网络，在该共享型网络下，同一VLAN(VirtualLocalAreaNetwork，虚拟局域网)下的终端之间的互访不受控制，从而为病毒或其它攻击的传播提供了极大的便利。一旦发生内网安全事件，将无法在第一时间定位及控制攻击源。因此，为了解决内网的安全隐患，传统的解决方案是通过给每个用户终端分配不同的VLAN和相关的IP子网，由此通过VLAN从网络体系结构中的第二层将每个用户终端隔离开来，以防止任何恶意的行为和Ethernet(以太网)的信息探听。但是，这种解决方案对日后的网络扩展造成了巨大局限，包括：1)由于交换机可使用的VLAN资源的数目是有限的，如果为每个终端都分配一个VLAN，则导致可接入的终端的数量受限，无法满足更多终端的接入需求；2)对于每个VLAN的每个相关的SpanningTree的拓扑都需要管理，而STP(SpanningTreeProtocol，生成树协议)较为复杂，并且需要对每个IP子网都进行相应的默认网本文档来自技高网...

【技术保护点】
1.一种内网中终端间的横向流量隔离方法，其特征在于，所述方法包括：接入设备收到ARP报文时，根据预存的横向隔离策略确定是否对所述ARP报文进行横向隔离操作；所述横向隔离操作包括以下至少之一：丢弃终端发送的ARP报文、向ARP请求报文的终端发送ARP应答报文以答复网关MAC地址、将终端发送的免费ARP报文的目的MAC地址修改为网关MAC地址并向网关设备发送；如果网关设备收到报文，则所述网关设备根据预存的横向隔离策略确定是否对所述报文进行横向隔离操作；其中，所述接入设备和所述网关设备的横向隔离策略都包括所需隔离横向通信的子网网段的信息；所述横向通信用于指示同一网段中的终端之间的通信。

【技术特征摘要】
1.一种内网中终端间的横向流量隔离方法，其特征在于，所述方法包括：接入设备收到ARP报文时，根据预存的横向隔离策略确定是否对所述ARP报文进行横向隔离操作；所述横向隔离操作包括以下至少之一：丢弃终端发送的ARP报文、向ARP请求报文的终端发送ARP应答报文以答复网关MAC地址、将终端发送的免费ARP报文的目的MAC地址修改为网关MAC地址并向网关设备发送；如果网关设备收到报文，则所述网关设备根据预存的横向隔离策略确定是否对所述报文进行横向隔离操作；其中，所述接入设备和所述网关设备的横向隔离策略都包括所需隔离横向通信的子网网段的信息；所述横向通信用于指示同一网段中的终端之间的通信。2.根据权利要求1所述的方法，其特征在于，网关设备的横向隔离策略由所述网关设备自动生成，生成过程包括：收到隔离指令时，根据所述隔离指令开启横向隔离功能并获取启用所述横向隔离功能的子网网段，并生成所述子网网段的横向隔离策略，以阻隔所述子网网段中终端间的通信。3.根据权利要求2所述的方法，其特征在于，所述网关设备生成横向策略之前，还向接入设备发送通告报文；所述通告报文携带的信息包括：子网网段对应的网关IP地址、掩码、网关MAC地址和VLAN-ID；接入设备的横向隔离策略为第一网关信息表项，所述第一网关信息表项由所述接入设备根据所述通告报文自动生成，生成过程包括：收到所述网关设备发送的所述通告报文时，根据所述通告报文建立并保存对应的第一网关信息表项；所述第一网关信息表项记录的信息包括所述通告报文携带的信息。4.根据权利要求3所述的方法，其特征在于，所述接入设备确定是否对所述ARP报文进行横向隔离操作包括：确定预存的第一网关信息表项中是否存在VLAN-ID与所述ARP报文所在的VLAN-ID一致的第一网关信息表项；如果存在，则确定所述ARP报文中的源IP地址是否为网关地址或0；如果不是，则确定所述ARP报文的报文类型；如果所述ARP报文为ARP请求报文，则丢弃所述ARP报文，并向请求端发送ARP应答报文，以向请求端答复所述网关MAC地址；如果所述ARP报文为免费ARP报文，则将所述ARP报文中的目的MAC地址修改为所述网关MAC地址，并向所述网关设备发送所述ARP报文。5.根据权利要求4所述的方法，其特征在于，在确定所述ARP报文的报文类型之前，所述接入设备确定是否对所述ARP报文进行横向隔离操作还包括：确定所述ARP报文中的源IP地址和目的IP地址是否处于同一网段；如果处于同一网段，则确定所述ARP报文的报文类型。6.根据权利要求1所述的方法，其特征在于，接入设备的横向隔离策略为第二网关信息表项；所述第二网关信息表项由所述接入设备基于预先输入的子网网段对应的网关IP地址和掩码建立所得，所述第二网关信息表项所记录的信息包括子网网段对应的网关IP地址、掩码和网关MAC地址，但不包括子网网段对应的VLAN-ID。7.根据权利要求6所述的方法，其特征在于，所述接入设备确定是否对所述ARP报文进行横向隔离操...

【专利技术属性】
技术研发人员：王富涛，王乾，
申请(专利权)人：杭州迪普科技股份有限公司，
类型：发明
国别省市：浙江,33