本发明专利技术公开了一种实现交换机内部报文安全防护的方法、系统以及交换机,所述方法包括:主控模块向安全防护模块实时同步三层VLAN状态信息;通过主控模块指定需要报文安全防护的VLAN;主控模块根据预设的过滤规则生成报文引导规则并下发至接口模块;接口模块把进入和/或流出所述指定VLAN的IP报文重定向到安全防护模块;安全防护模块根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块。采用本发明专利技术的技术方案,在一个既需要交换又需要安全防护的网络拓扑中,达到交换与安全充分融合,不用对拓扑做出任何变动,降低了用户投资和管理成本。
【技术实现步骤摘要】
一种实现交换机内部报文安全防护的方法、系统以及交换机
本专利技术涉及数据通信
,尤其涉及一种实现交换机内部报文安全防护的方法、系统以及交换机。
技术介绍
防火墙是现代网络中必不可少的安全设备,它通过控制网络访问的方式实现安全策略。防火墙传统上仅仅实现了非法报文的过滤,防止外来非法地址的接入,UTM在此基础之上进行了扩展,实现更细力度的访问控制、NAT、VPN服务、IPS、防病毒、URL过滤、DPI识别等多种功能,充分保护了用户网络的私密性、完整性和可用性。传统上区域边界一般会部署多台应用设备,比如应用网关、防火墙、VPN设备等,大量设备串联,不仅增加了用户投资,也增加了实施复杂度和管理成本。近来业界推出防火墙线卡,将交换机的转发和安全业务一定程度的融合起来,降低了网络拓扑复杂度和管理成本,但是都没有做到充分的融合,例如NP方案,一般是由一个功能强大的通用控制CPU和多个NP构建的解决方案,相同转发性能的软硬件成本明显偏高。采用RMI多核方案,它是通过万兆接口与交换机连接,实际这是两个独立的硬件系统通过以太网连接的一个集成产品,多业务板接收数据时不能获取入口交换机的入口物理信息,处理完数据包也不能指定交换机出端口的信息,这在数据包流回线卡后会增加接口线卡的处理负担。
技术实现思路
本专利技术的目的在于,在一个既需要交换又需要安全防护的网络拓扑中,达到交换与安全充分融合,降低用户投资和管理成本。为达此目的,本专利技术采用以下技术方案:一种实现交换机内部报文安全防护的方法,包括以下步骤:A、主控模块向安全防护模块实时同步三层VLAN状态信息;B、通过主控模块指定需要报文安全防护的VLAN;C、主控模块根据预设的过滤规则生成报文引导规则并下发至接口模块;D、接口模块把进入和/或流出所述指定VLAN的IP报文重定向到安全防护模块;E、安全防护模块根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块。所述步骤A中,所述三层VLAN状态信息包括:三层VLAN接口MAC、接口IP信息、路由表项和邻居表项;其中路由表项和邻居表项,包括静态配置的条目和动态生成的条目。所述步骤C中,所述预设的过滤规则,是指为所述指定VLAN指定相应的安全防护模块进行报文安全防护处理。所述步骤C中,所述报文引导规则包括ACL规则和邻居表项;所述ACL规则,用于实现接口模块把进入所述指定VLAN的IP报文重定向到安全防护模块;所述邻居表项,用于实现接口模块把流出所述指定VLAN的IP报文重定向到安全防护模块。所述步骤D中,当所述指定VLAN有IP报文流入时,接口模块根据主控模块下发的ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;当所述指定VLAN有IP报文流出时,将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。所述步骤E进一步包括以下步骤:E1、安全防护模块对收到的IP报文根据NAT规则进行处理;E2、判断处理后的IP报文的目标IP地址是否属于本机三层VLAN接口的IP地址;若属于,则所述IP报文为本地报文,进入步骤E3;若不属于,则所述IP报文为转发报文,进入步骤E4;E3、安全防护模块根据预设的安全策略,对所述本地报文进行处理,把通过安全策略处理的本地报文转回接口模块;E4、安全防护模块根据预设的安全策略,对所述转发报文进行处理,对于通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找而直接将所述转发数据包转发出去。一种实现交换机内部报文安全防护的系统,包括:主控模块,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口模块;接口模块,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护模块;安全防护模块,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口模块;其中主控模块分别与接口模块和安全防护模块连接,接口模块与安全防护模块连接。所述主控模块下发至接口模块的报文引导规则包括ACL规则和邻居表项;接口模块根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护模块;接口模块通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护模块的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护模块。所述安全防护模块对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口模块;对于转发报文,安全防护模块根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口模块,接口模块不再做路由查找,而直接将所述转发数据包转发出去。一种实现内部报文安全防护的交换机,包括主控卡、至少一块接口线卡和至少一块安全防护线卡,所述接口线卡和安全防护线卡为独立线卡,通过HiGig口与交换机背板数据通道连接,主控卡通过背板的控制通道对接口线卡和安全防护线卡进行控制管理;主控卡,用于指定需要报文安全防护的VLAN,根据预设的过滤规则生成报文引导规则并下发至接口线卡;接口线卡,用于根据报文引导规则将进入和/或流出的IP报文重定向到安全防护线卡;安全防护线卡,用于根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口线卡。所述主控卡向同一机柜内的至少一块安全防护线卡实时同步三层VLAN状态信息,包括三层VLAN接口MAC、接口IP信息、路由表项、邻居表项,其中路由表项和邻居表包括静态配置的条目和动态生成的条目。主控卡指定至少一个VLAN进行报文安全防护,并且为每个所述指定VLAN指定一块安全防护线卡。所述主控卡下发至接口线卡的报文引导规则包括ACL规则和邻居表项;接口线卡根据ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护线卡;接口线卡通过将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护线卡所在的槽位号,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护线卡。所述安全防护线卡对收到的IP报文根据NAT规则进行处理,判断处理后的IP报文的类型;对于本地报文,安全防护模块根据预设的安全策略进行处理,把通过安全策略处理的本地报文转回接口线卡;对于转发报文,安全防护线卡根据预设的安全策略进行处理,对通过安全策略处理的转发报文,修改其TTL、以太网首部和HiGig信息,构造完整的转发数据包,通过HiGig口转回接口线卡,接口线卡不再做路由查找,直接将所述转发数据包转发出去。采用本专利技术的技术方案,在一个既需要交换又需要安全防护的网络拓扑中,达到交换与安全充分融合,降低用户投资和管理成本,使得管理员在已有的网络拓扑中添加安全防护功能时,仅用插入安全防护线卡和简单的命令配置即可完成,不用对拓扑本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种实现交换机内部报文安全防护的方法,其特征在于,包括以下步骤:A、主控卡向安全防护线卡实时同步三层VLAN状态信息;B、通过主控卡指定需要报文安全防护的VLAN,其中,所述三层VLAN状态信息包括:三层VLAN接口MAC、接口IP信息、路由表项和邻居表项;其中路由表项和邻居表项,包括静态配置的条目和动态生成的条目;C、主控卡根据预设的过滤规则生成报文引导规则并下发至接口线卡;D、接口线卡把进入和/或流出所述指定VLAN的IP报文重定向到安全防护线卡,其中,主控卡分别与接口线卡和安全防护线卡连接,接口线卡与安全防护线卡连接;E、安全防护线卡根据预设的安全策略,对收到的IP报文进行处理,把通过安全策略处理的IP报文转回接口线卡。2.根据权利要求1所述的实现交换机内部报文安全防护的方法,其特征在于,步骤C中,所述预设的过滤规则,是指为所述指定VLAN指定相应的安全防护线卡进行报文安全防护处理。3.根据权利要求1所述的实现交换机内部报文安全防护的方法,其特征在于,步骤C中,所述报文引导规则包括ACL规则和邻居表项;所述ACL规则,用于实现接口线卡把进入所述指定VLAN的IP报文重定向到安全防护线卡;所述邻居表项,用于实现接口线卡把流出所述指定VLAN的IP报文重定向到安全防护线卡。4.根据权利要求3所述的实现交换机内部报文安全防护的方法,其特征在于,步骤D中,当所述指定VLAN有IP报文流入时,接口线卡根据主控卡下发的ACL规则,把进入所述指定VLAN的IP报文通过HiGig口重定向到安全防护线卡;当所述指定VLAN有IP报文流出时,将所述指定VLAN接口的邻居表项对应端口的模块识别信息修改为安全防护线卡的识别信息,把所述指定VLAN流出的IP报文通过HiGig口重定向到安全防护线卡。5.根据权利要求1-4任一所述的实现交换机内部报文安全防护的方法,其特征在于,所述步骤E进一步包括以下步骤:E1、安全防护线卡对收到的IP报文根据NAT规则进行处理;E2、判断处理后的IP报文的目标IP地址是否属于本机三层VLAN接口的IP地址;若属于,则所述IP报文为本地报文,进入步骤E3;若不属于,则所述IP报文为转发报文,进入步骤E4;E3、安全防护线卡根据预设的安全策略,对所述本地报文进行处理,把通过安全策略处理的本地报文转回接口线卡;E4、安全防护线卡根据预设...
【专利技术属性】
技术研发人员:魏元首,
申请(专利权)人:神州数码网络北京有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。