专利名称:一种旁路阻断方式技术的制作方法
技术领域:
IP网络的一种过滤技术。
背景技术:
目前,无论是防火墙还是审计系统的acl过滤都是在网络主干上进行的,其原理 是在网关设备收到"非法"的报文直接丢掉而不去转发从而达到了过滤"非法"报文(会话) 的目的;这样做的一个缺点是l由于网关设备同时担任过滤和转发的任务,所以会消耗网 关处理报文的时间;2在主干上做过滤阻断增加了网络上故障的危险。为了回避在主干做 阻断的缺点我们提出了与此相对的旁路阻断,旁路阻断顾名思义就是在网络中插入一台旁 路阻断设备(不在网络的主干上插入),这台设备通过交换机的镜像技术来监视流经网络 主干的报文并审计, 一旦发现有"非法"的报文,就采取引流分离"非法"的报文或会话,从 而达到了过滤"非法"报文或会话的目的。
发明内容
旁路阻断技术主要包括如下几个方面 1阻断设备通过交换机的镜像技术来监视网络主干上的报文并审计之。
2阻断设备发现有"非法"的报文时,利用arp欺骗技术引流"非法"主机(发送 "非法"报文的机器)的所有报文。 3阻断设备过滤掉"非法"的报文并转发合法的报文。
图1阻断设备接入网络的拓普。
具体实施例方式
1将阻断设备以旁路的方式接入网络, 一个网口监视用, 一个网口发送arp报文和 转发报文(如图l所示); 2当监视口监视到有"非法"的报文时,设备会从发包口发送arp欺骗报文到"非 法"主机; 3在阻断设备上对引流过来的数据流进行处理丢弃"非法"的报文转发合法的报 文。
权利要求
旁路阻断技术是相对于主干上的阻断技术而言的,它的优点是容易部署、不会增加网络的单点故障等优点;基本设计思想是利用旁路的包检测和L7的应用审计技术分析所有流经被检测线路的应用,并识别出其L7的应用类别,当发现有“非法”(符合过滤规则)的L7应用通过时利用arp欺骗技术分离出“非法”主机(发送“非法”应用的主机)的应用(“合法”和“非法”应用集合)到旁路阻断设备,然后过滤掉“非法”的应用并转发“合法”的应用。
全文摘要
本发明公开了一种旁路阻断方法技术,具有易部署、易维护、降低设备故障时对网络的影响等特性,旨在提供一种配置简易、工作高效、且尽量不改变现有的网络拓扑结构的网络阻断技术,使网络管理员能够轻松的实现阻断一些“非法”的业务流,同时不会增加太高的维护成本。
文档编号H04L12/56GK101771608SQ20091020483
公开日2010年7月7日 申请日期2009年10月14日 优先权日2009年10月14日
发明者尹志超 申请人:莱克斯科技(北京)有限公司