专利名称:防火墙链路层和网际协议层的地址绑定的方法
技术领域:
本发明涉及一种防火墙链路层和网际协议层的地址绑定的方法,特别涉及一种自动的防火墙链路层的IP/MAC地址学习功能,属于计算机网络安全技术领域。
背景技术:
众所周知每一块网卡都具有一个唯一的硬件物理地址标识号码,即网卡的MAC地址;MAC地址与网卡一一对应。对于网络协议为TCP/IP(网络传输控制协议,Transfer Control Protocol/Internet Protocol)的两台设备进行通讯时,每块网卡都具有一个网络IP地址。在网络管理中,IP地址盗用现象经常发生,不仅对网络的正常使用造成影响;同时,由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济损失和潜在的安全隐患。特别是在按IP流量计费的网络中,由于费用是按IP地址进行统计的,许多用户为了逃避网络计费,用IP地址盗用的办法,将网络流量计费转嫁到他人身上。另外,一些人因为一些不可告人的目的,会采用IP地址盗用的方式来逃避追踪,隐藏自己的身份。
随着网络应用的发展,防火墙已经成为保障网络安全必不可少的工具。现有技术的防火墙地址绑定是利用地址解析协议(Address ResolutionProtocol,简称ARP)的地址绑定功能实现的。由于ARP的地址绑定功能只有在IP层以上才有效,而对于链路层无效,使得防火墙必须在使用路由或NAT(地址转换)模式时,地址绑定功能才有效,否则地址绑定功能无效。同时原地址绑定缺少学习功能,用户在使用时要一个个地输入,使用者觉得很不方便。因此有必要在链路层实现可学习的地址绑定功能。
发明内容
本发明的主要目的在于提供一种防火墙链路层和网际协议层的地址绑定的方法,它能在防火墙链路层和IP层内部建立网卡IP地址与其MAC地址的一一对应关系,防止IP地址盗用,保证网络安全。
本发明的又一目的在于提供一种防火墙链路层和网际协议层的地址绑定的方法,它还具有学习功能,可以为用户提供流经防火墙的IP/MAC地址对应关系,使用户可以方便的进行地址绑定。
本发明的目的是这样实现的对于流经防火墙的IP包,在链路层上首先检查其IP地址对应的MAC地址是否与绑定的MAC地址一致,如果在绑定的地址表中没有该IP地址,则该地址未绑定,允许向下传递进行其它的规则检查。如果MAC地址与绑定的MAC地址一致,则也向下传递进行其它的规则检查,如果MAC地址与绑定的MAC地址不一致,则该包在链路层就被丢弃。
链路层的IP/MAC地址学习及绑定方法具体为防火墙接收到IP报文,首先用此报文的源IP地址查询IP/MAC绑定地址表,如果在IP/MAC绑定地址表中找到此源IP地址,则继续判断此报文中的源MAC地址是否与IP/MAC绑定地址表中的相同,若不相同,则认为是非法地址,丢弃报文返回;若相同,则认为是合法地址,然后返回;如果在IP/MAC绑定地址表中没有找到此源IP地址,则选择是否启动学习功能,若不学习,则返回;若学习,则将此报文的源IP和源MAC地址记录到IP/MAC绑定地址表中,然后返回。
防火墙提供将内部网卡IP/MAC地址进行绑定的功能,在防火墙内部建立了网卡的IP地址同其MAC地址一一对应的关系。在这种情况下,即使某人盗用了该网卡的IP地址,在通过防火墙时也会因网卡的MAC地址不匹配而拒绝通过。充分利用网络MAC地址绑定,可以防止IP地址盗用,保证企业网络或个人电脑的安全。同时此地址捆绑所具有的学习功能使用户可以方便的进行地址捆绑。
图1为链路层和IP层IP/MAC地址绑定方法的功能原理图;图2为链路层的IP/MAC地址学习及绑定方法的流程图;图3为网御防火墙地址绑定应用的一个实施例。
具体实施例方式
以下结合附图和具体的实施例对本发明作进一步的详细说明链路层和IP层IP/MAC地址绑定技术包含IP/MAC地址对应关系的学习和IP/MAC地址的绑定两个功能,其中学习功能为用户提供流经防火墙的IP/MAC地址对应关系,使用户可以方便的进行地址绑定。
参见图1,其为链路层和IP层IP/MAC地址绑定方法的功能原理图。启用IP/MAC地址绑定学习功能时,防火墙流经指定接口的IP报文头中的源IP地址和源MAC地址对应关系记录到IP/MAC地址绑定表中,并把该对应关系从防火墙的管理界面上显示给用户。然后用户可以选择需要绑定的IP/MAC地址对,实行绑定功能,绑定后在IP/MAC地址绑定表中设定标记表明该IP/MAC地址对已实行绑定。当内网和外网通信的IP报文流经防火墙时,都要经过地址绑定检查,检查结果不符的IP报文无法通过防火墙,这样内部用户不可以盗用其它用户的IP地址通过防火墙,外部Internet上的用户也不可以盗用内部用户的IP地址通过防火墙,方便而且有效的保证了网络的安全性。
参见图2,其为链路层的IP/MAC地址学习和绑定方法的流程图。对于流经防火墙的IP报文,在链路层上首先检查其源IP地址对应的源MAC地址是否与绑定的MAC地址一致,如果在绑定的地址表中没有该IP地址,则该地址未绑定,允许向下传递进行其它的规则检查。如果MAC地址与绑定的MAC地址一致,则也向下传递进行其它的规则检查,如果MAC地址与绑定的MAC地址不一致,则该包在链路层就被丢弃。
再参见图2,其为链路层的IP/MAC地址学习及绑定方法的流程图,防火墙接收到IP报文,首先用此报文的源IP地址查询IP/MAC绑定地址表,如果在IP/MAC绑定地址表中找到此源IP地址,则继续判断此报文中的源MAC地址是否与IP/MAC绑定地址表中的相同,若不相同,则认为是非法地址,丢弃报文返回;若相同,则认为是合法地址,返回;如果在IP/MAC绑定地址表中没有找到此源IP地址,则检查是否启动学习功能,若没有启动学习,则返回;若启动学习,则将此报文的源IP和源MAC地址记录到IP/MAC绑定地址表中,然后返回。
该种链路层的IP/MAC地址绑定方法,因其工作在链路层,所以它既可以工作在防火墙的透明网桥模式下,也可以工作在防火墙的路由模式和NAT模式下,不仅可以防止内部IP欺骗,还可以防止外网盗用内网的IP地址。而传统的ARP绑定方式工作在IP层,它只能工作在防火墙的路由模式和NAT模式下。因此本发明所提供的方法与传统ARP绑定方式相比更灵活方便,不受工作模式的限制。
参见图3,其为网御防火墙地址绑定应用的一个实施例。防火墙3的IP地址为10.1.1.250和192.168.1.250。部门1地址为192.168.1.0,缺省网关为192.168.1.250。部门2地址为10.1.1.0,缺省网关为10.1.1.250。部门1和部门2之间的访问是使用防火墙3的路由模式。部门1和部门2都通过代理服务器4访问Internet,使用防火墙3的透明网桥模式。启动MAC地址绑定学习功能,指定和部门1、部门2连接的网络接口学习,则防火墙3会把部门1和部门2的IP和MAC地址对应关系显示给管理员,选择绑定后,部门1和部门2用户不可以盗用其它用户的IP地址通过防火墙3,外部Internet上的用户也不可以盗用内部用户的IP地址通过防火墙3,方便有效的保证了网络的安全性。
最后应说明的是以上实施例仅用以说明本发明而并非限制本发明所描述的技术方案;因此,尽管本说明书参照上述的各个实施例对本发明已进行了详细的说明,但是,本领域的普通技术人员应当理解,仍然可以对本发明进行修改或者等同替换;而一切不脱离本发明的精神和范围的技术方案及其改进,其均应涵盖在本发明的权利要求范围当中。
权利要求
1.一种防火墙链路层和网际协议层的地址绑定的方法,其特征在于防火墙对流经其链路层的IP包进行检查后再向下传递或丢弃。
2.根据权利要求1所述的防火墙链路层和网际协议层的地址绑定的方法,其特征在于该方法具体包括步骤10对于流经防火墙的IP包,根据报文中的源MAC地址检查其IP地址是否绑定或其IP地址对应的MAC地址是否与绑定的MAC地址一致;步骤11如果该IP地址未绑定,或者其IP地址对应的MAC地址与绑定的MAC地址一致,则向下传递进行进一步的规则检查;步骤12如果不一致,则在链路层丢弃该包。
3.一种防火墙链路层和网际协议层的地址学习及绑定的方法,其特征在于防火墙对流经其链路层的IP包进行检查,并根据用户的选择进行地址学习和绑定后,再向下传递或丢弃。
4.根据权利要求3所述的防火墙链路层和网际协议层的地址学习及绑定的方法,其特征在于该方法具体包括步骤20防火墙接收到IP报文后,用此报文源IP地址查询IP/MAC绑定地址表;如果在IP/MAC绑定地址表中找不到该源IP地址,执行步骤23;步骤21继续判断该报文中的源MAC地址是否与IP/MAC绑定地址表中的MAC地址相同,若不相同,则丢弃报文返回;步骤22若相同,则返回;步骤23根据用户的设定判断是否启动学习功能,若不学习,则返回;步骤24若启动学习功能,则将该报文的源IP和源MAC地址记录到IP/MAC绑定地址表中,然后返回。
全文摘要
一种防火墙链路层和网际协议层的地址绑定的方法,防火墙对流经其链路层的IP包进行检查,并根据用户的选择进行地址学习和绑定后,再向下传递或丢弃。防火墙提供将内部网卡IP/MAC地址进行绑定的功能,在防火墙内部建立了网卡的IP地址同其MAC地址一一对应的关系。在这种情况下,即使某人盗用了该网卡的IP地址,在通过防火墙时也会因网卡的MAC地址不匹配而拒绝通过。充分利用网络MAC地址绑定,可以防止IP地址盗用,保证企业网络或个人电脑的安全。同时此地址捆绑所具有的学习功能使用户可以方便的进行地址捆绑。
文档编号H04L9/00GK1509002SQ0215568
公开日2004年6月30日 申请日期2002年12月13日 优先权日2002年12月13日
发明者宋斌, 刘春梅, 高红, 肖为剑, 丁晓东, 宋 斌 申请人:联想(北京)有限公司