專利名稱:基于ip數(shù)據(jù)集合的多模式ipmac綁定策略的制作方法
技術領域:
本發(fā)明屬于網絡信息安全技術領域�,尤其涉及一種基于IP數(shù)據(jù)集合的多模式 IPMAC綁定策略。
背景技術:
當前��,很多網絡安全系統(tǒng)提供專門的客戶端工具�����,來處理數(shù)據(jù)包與設定的工作模 式之間的匹配問題。用戶可以通過設置特定的數(shù)據(jù)包規(guī)則集����,來滿足不同級別的安全性要 求。通常系統(tǒng)提供不同規(guī)則選項����,用于指定數(shù)據(jù)包與規(guī)則匹配所應具有的特征。在IP數(shù)據(jù)包處理中���,如果去匹配多個IP地址就會寫入多條IP數(shù)據(jù)包處理的規(guī)則 (這些IP都是無規(guī)律性的)�����,如果需要匹配幾百甚至上千個IP地址���,那么性能就會受到嚴 重的影響。
發(fā)明內容
本發(fā)明的目的在于���,提供一種基于IP數(shù)據(jù)集合的多模式IPMAC綁定策略���,解決當 前網絡安全系統(tǒng)在IP數(shù)據(jù)包處理過程中�,性能過低的問題��。本發(fā)明的技術方案是����,一種基于IP數(shù)據(jù)集合的多模式IPMAC綁定處理方法,其特 征在于�,所述方法包括下列步驟步驟1 選定數(shù)據(jù)包處理模式;步驟2 調用IPMAC數(shù)據(jù)集合工具�����,建立與要綁定的IPMAC網段地址相符的IP數(shù) 據(jù)集合�;并在系統(tǒng)內核空間中,創(chuàng)建與每個IP數(shù)據(jù)集合代表的網絡地址范圍大小相適應的 存儲區(qū)域���,用于存放IP數(shù)據(jù)集合中的IPMAC綁定信息����;區(qū)域中每8個字節(jié)存放一個IP數(shù)據(jù) 集合中的一個IP對應的IPMAC綁定標識����,并稱為結點���,該結點的前2個字節(jié)存放綁定標志 位����,代表一個IPMAC是否綁定;后6個字節(jié)存放綁定的MAC地址�����;步驟3 向IP數(shù)據(jù)集合加入IPMAC數(shù)據(jù)���,并向存放IP數(shù)據(jù)集合中的IPMAC綁定信 息的存儲區(qū)域中��,加入IP對應的IPMAC綁定標識信息�;步驟4 按照選定的處理模式���,進行數(shù)據(jù)包處理���。所述綁定標志位,當值為1時����,代表IPMAC已綁定;值為0時��,代表IPMAC未綁定。所述IP數(shù)據(jù)集合包括IP數(shù)據(jù)集合名稱�����、綁定的IPMAC數(shù)據(jù)代表的網段地址以及 綁定的IP地址和MAC地址���。所述數(shù)據(jù)包處理模式包括白名單模式�、黑名單模式和普通模式���;其中��,白名單模式 為IP數(shù)據(jù)集合中綁定的IPMAC能通過��,其它都不能通過����;黑名單模式為IP數(shù)據(jù)集合中綁定 的IPMAC不能通過�,其它的都能通過;普通模式為雙向綁定模式��,即IP和MAC都匹配時才能 通過�����。所述步驟4包括下列步驟步驟41 獲取數(shù)據(jù)包的IP地址���、MAC地址和網絡端口 ���;步驟42 遍歷系統(tǒng)內核中存放IP數(shù)據(jù)集合中的IPMAC綁定信息的存儲區(qū)域,查找與數(shù)據(jù)包MAC地址相同的結點����;步驟43 判斷是否找到相同的結點,如果找到相同的結點�,執(zhí)行步驟44 ;否則�,返回步驟41,進行下一個數(shù)據(jù)包的處理����;步驟44 通過綁定標志位判斷IPMAC是否已綁定,如果已經綁定�,則按照選定的處 理模式,進行數(shù)據(jù)包處理���。本發(fā)明的效果在于�����,基于IP數(shù)據(jù)集合的多模式IPMAC綁定策略���,在網絡安全系統(tǒng) 的IP數(shù)據(jù)包處理過程中��,無須寫入多條IP數(shù)據(jù)包處理的規(guī)則��,不需要匹配眾多的IP地址���, 從而使處理性能得到大幅度的提高;另外��,本發(fā)明可以按任意網段進行IPMAC綁定�����,對網段 內的IPMAC數(shù)據(jù)進行管理���,支持任意多網段�����,這種方式能夠適應當前防火墻對IP地址方便 靈活管理的要求�。
圖1是實現(xiàn)本發(fā)明各模塊之間的關系圖。圖2是實現(xiàn)基于IP數(shù)據(jù)集合的多模式IPMAC綁定處理方法流程圖�。圖3是IP數(shù)據(jù)集合結構示意圖。圖4是存放IP數(shù)據(jù)集合中的IPMAC綁定信息的存儲區(qū)域結構示意圖�。圖5是按照選定處理模式進行數(shù)據(jù)包處理流程圖。
具體實施例方式下面結合附圖����,對優(yōu)選實施例作詳細說明���。應該強調的是�����,下述說明僅僅是示例性 的����,而不是為了限制本發(fā)明的范圍及其應用���。圖1是實現(xiàn)本發(fā)明各模塊之間關系圖���。圖1中,用戶空間的數(shù)據(jù)集合生成模塊負 責生成IP數(shù)據(jù)集合�,并且與內核空間中的數(shù)據(jù)查找匹配模塊進行通信。用戶空間的數(shù)據(jù)集 合解析模塊,負責解析IP數(shù)據(jù)集合命令���。內核空間中的數(shù)據(jù)查找匹配模塊負責調用IP數(shù) 據(jù)集合進行數(shù)據(jù)查找��,且依賴于數(shù)據(jù)處理模塊�。內核空間中的數(shù)據(jù)處理模塊為內核主模塊����, 負責實際的數(shù)據(jù)處理。進一步�����,以綁定IP 地址192. 168. 1. 25����,MAC 地址;E3:24:A5:07:23:11 為例,對本
發(fā)明具體實現(xiàn)過程進行說明��。圖2是實現(xiàn)基于IP數(shù)據(jù)集合的多模式IPMAC綁定處理方法流程圖�。圖2中,本發(fā) 明通過下列步驟來實現(xiàn)步驟1 選定數(shù)據(jù)包處理模式�。通常數(shù)據(jù)包處理模式包括三種白名單模式、黑名 單模式和普通模式�。其中���,白名單模式為IP數(shù)據(jù)集合中綁定的IPMAC能通過,其它都不能 通過��;黑名單模式為IP數(shù)據(jù)集合中綁定的IPMAC不能通過��,其它的都能通過�����;普通模式為 雙向綁定模式�,即IP和MAC都匹配時才能通過�。步驟2 調用IPMAC數(shù)據(jù)集合工具,建立與要綁定的IPMAC網段地址相符的IP數(shù) 據(jù)集合����。IPMAC數(shù)據(jù)集合工具是用戶態(tài)的程序,可以通過命令行來實現(xiàn)�����,如下IPMACB0ND-N 數(shù)據(jù)集合名稱 macipmap-network 網段其中�,IPMACB0ND是IP數(shù)據(jù)集合建立命令。如果綁定的IP地址為192. 168. 1. 25����, MAC地址為E3:24:A5:07:23:11��,則在本是示例中��,通過命令行IPMACBOND-N IPSETmacipmap-network 192. 168. 1. 0/255. 255. 255. 0 來建立 IP 數(shù)據(jù)集合���。圖 3 是 IP 數(shù)據(jù)集合 結構示意圖,圖3中��,IP數(shù)據(jù)集合包括IP數(shù)據(jù)集合名稱(即圖3中的IPSET)�����、綁定的IPMAC 數(shù)據(jù)代表的網段地址(本實施例中����,網段地址為192. 168. 1. 0-192. 168. 1. 25)以及綁定的 IP地址和MAC地址。 在建立IP數(shù)據(jù)集合的同時�����,會在系統(tǒng)內核空間中�,創(chuàng)建與每個IP數(shù)據(jù)集合代表的 網絡地址范圍大小相適應的存儲區(qū)域,用于存放IP數(shù)據(jù)集合中的IPMAC綁定信息�����。圖4是存放IP數(shù)據(jù)集合中的IPMAC綁定信息的存儲區(qū)域結構示意圖。圖4中��,區(qū) 域中每8個字節(jié)存放一個IP數(shù)據(jù)集合中的一個IP對應的IPMAC綁定標識���,并稱為結點����,該 結點的前2個字節(jié)存放綁定標志位�,代表一個IPMAC是否綁定;后6個字節(jié)存放綁定的MAC 地址�����。設定綁定標志位����,當值為1時��,代表IPMAC已綁定����;值為0時�,代表IPMAC未綁定����。步驟3 向IP數(shù)據(jù)集合加入IPMAC數(shù)據(jù),并向存放IP數(shù)據(jù)集合中的IPMAC綁定信 息的存儲區(qū)域中����,加入IP對應的IPMAC綁定標識信息。向IP數(shù)據(jù)集合加入IPMAC數(shù)據(jù)�,通過命令IPMACB0ND-A 數(shù)據(jù)集合名稱 IP:MAC 來完成。本例中��,IPMACBOND-AIPSET 192. 168. 1. 25 ;E3:24:A5:07:23:11 即可將 192. 168. 1. 25 和與之對應的 MAC 地址 E3:24:A5:07:23:11加入IP數(shù)據(jù)集合���。與此同時�����,向存放IP數(shù)據(jù)集合中的IPMAC綁定信息 的存儲區(qū)域中��,加入IP對應的IPMAC綁定標識信息�����。步驟4 按照選定的處理模式���,進行數(shù)據(jù)包處理�。圖5是按照選定處理模式進行數(shù) 據(jù)包處理流程圖�。圖5中,數(shù)據(jù)包處理流程包括步驟41 獲取數(shù)據(jù)包的IP地址����、MAC地址和網絡端口。步驟42 遍歷系統(tǒng)內核中的相應的存放IP數(shù)據(jù)集合中的IPMAC綁定信息的存儲 區(qū)域����,查找與數(shù)據(jù)包MAC地址相同的結點。步驟43 判斷是否找到相同的結點���,如果找到相同的結點�,執(zhí)行步驟44�����。否則��,返 回步驟41���,進行下一個數(shù)據(jù)包的處理�。步驟44 通過綁定標志位判斷IPMAC是否已綁定�����,如果已經綁定�����,則根據(jù)數(shù)據(jù)包相 應的處理模式��,進行數(shù)據(jù)包處理���。在本實施例中����,如果在存放IP數(shù)據(jù)集合中的IPMAC綁定信息的存儲區(qū)域找到結 點��,即有結點存儲的MAC地址為E3 24 A5 07 23 11�,則判斷該結點的綁定標志位是否為1, 如果為1����,則根據(jù)數(shù)據(jù)包相應的處理模式,進行數(shù)據(jù)包處理。IPMAC_WHITE_ADD, IPMAC_BLCAK_ADD�����,IPMAC_NORMAL_ADD 分別為 IP 數(shù)據(jù)包處理工 具按照不同的處理模式的處理命令�。當步驟1中選定的數(shù)據(jù)包處理模式為白名單模式時,使用命令IPMAC_WHITE_ADD-m set—set IPSET src-j ACCEPT,其中�,IPSET是IP數(shù)據(jù)集合名稱。該命令使得該IP數(shù)據(jù)集合中的綁定的IPMAC數(shù) 據(jù)經過時全部通過�����。即數(shù)據(jù)包中的MAC地址與IP數(shù)據(jù)集合中的MAC地址相同�,且在存放IP 數(shù)據(jù)集合中的IPMAC綁定信息的存儲區(qū)域的相應結點的綁定標志位為1的相應的數(shù)據(jù)包可 以通過。當步驟1中選擇的數(shù)據(jù)包處理模式為黑名單模式時�����,使用命令
IPMAC_BLCAK_ADD_m set—set IPSET src-j DROP,其中��,IPSET是IP數(shù)據(jù)集合名稱����。該命令使得該IP數(shù)據(jù)集合中的IPMAC數(shù)據(jù)經 過時全部被拒絕�。當步驟1中選擇的數(shù)據(jù)包處理模式為普通模式(該模式為雙向綁定模式,實際上 不需要IP數(shù)據(jù)集合處理)時使用命令IPMAC_NORMAL_ADD _s 192. 168. 1. 25_m mac -mac-source ! E3:24:A5:07:23:ll-j DROPIPMAC_NORMAL_ADD _s ��! 192. 168. 1. 25-m mac —mac-sourceE3:24:A5:07: 23:ll-jDR0P此時�����,IP地址是192. 168. 1.25��,MAC地址不是E3:24:A5:07:23:11的數(shù)據(jù)包被拒 絕����;IP地址不是192. 168. 1. 25,MAC地址是E3:24:A5:07:23:11的數(shù)據(jù)包也被拒絕�;只有IP 地址是192. 168. 1. 25,MAC地址是E3:24:A5:07:23:11的數(shù)據(jù)才能通過�����。本發(fā)明通過構建IP數(shù)據(jù)集合��,在數(shù)據(jù)結構和匹配查找上做了很大的改善���,從而使 系統(tǒng)處理性能得到大幅度的提高��;另外�,本發(fā)明可以按任意網段進行IPMAC綁定,對網段內 的IPMAC數(shù)據(jù)進行管理���,支持任意多網段��,這種方式能夠適應當前防火墻對IP地址方便靈 活管理的要求����。以上所述�,僅為本發(fā)明較佳的具體實施 方式,但本發(fā)明的保護范圍并不局限于此��, 任何熟悉本技術領域的技術人員在本發(fā)明揭露的技術范圍內�����,可輕易想到的變化或替換��, 都應涵蓋在本發(fā)明的保護范圍之內���。因此����,本發(fā)明的保護范圍應該以權利要求的保護范圍 為準��。
權利要求
一種基于IP數(shù)據(jù)集合的多模式IPMAC綁定處理方法,其特征在于�,所述方法包括下列步驟步驟1選定數(shù)據(jù)包處理模式���;步驟2調用IPMAC數(shù)據(jù)集合工具���,建立與要綁定的IPMAC網段地址相符的IP數(shù)據(jù)集合;并在系統(tǒng)內核空間中�����,創(chuàng)建與每個IP數(shù)據(jù)集合代表的網絡地址范圍大小相適應的存儲區(qū)域����,用于存放IP數(shù)據(jù)集合中的IPMAC綁定信息;區(qū)域中每8個字節(jié)存放一個IP數(shù)據(jù)集合中的一個IP對應的IPMAC綁定標識����,并稱為結點,該結點的前2個字節(jié)存放綁定標志位��,代表一個IPMAC是否綁定�����;后6個字節(jié)存放綁定的MAC地址;步驟3向IP數(shù)據(jù)集合加入IPMAC數(shù)據(jù)����,并向存放IP數(shù)據(jù)集合中的IPMAC綁定信息的存儲區(qū)域中,加入IP對應的IPMAC綁定標識信息�����;步驟4按照選定的處理模式����,進行數(shù)據(jù)包處理。
2.根據(jù)權利要求1所述的一種基于IP數(shù)據(jù)集合的多模式IPMAC綁定處理方法��,其特征 在于��,所述綁定標志位�����,當值為1時��,代表IPMAC已綁定�����;值為O時,代表IPMAC未綁定���。
3.根據(jù)權利要求1所述的一種基于IP數(shù)據(jù)集合的多模式IPMAC綁定處理方法�����,其特征 在于,所述IP數(shù)據(jù)集合包括IP數(shù)據(jù)集合名稱�����、綁定的IPMAC數(shù)據(jù)代表的網段地址以及綁定 的IP地址和MAC地址�����。
4.根據(jù)權利要求1所述的一種基于IP數(shù)據(jù)集合的多模式IPMAC綁定處理方法���,其特征 在于,所述數(shù)據(jù)包處理模式包括白名單模式����、黑名單模式和普通模式�;其中,白名單模式為 IP數(shù)據(jù)集合中綁定的IPMAC能通過����,其它都不能通過�;黑名單模式為IP數(shù)據(jù)集合中綁定的 IPMAC不能通過���,其它的都能通過���;普通模式為雙向綁定模式,即IP和MAC都匹配時才能通 過��。
5.根據(jù)權利要求1所述的一種基于IP數(shù)據(jù)集合的多模式IPMAC綁定處理方法�����,其特征 在于����,所述步驟4包括下列步驟步驟41 獲取數(shù)據(jù)包的IP地址、MAC地址和網絡端口 ���;步驟42 遍歷系統(tǒng)內核中存放IP數(shù)據(jù)集合中的IPMAC綁定信息的存儲區(qū)域����,查找與數(shù) 據(jù)包MAC地址相同的結點����;步驟43 判斷是否找到相同的結點,如果找到相同的結點���,執(zhí)行步驟44 ;否則��,返回步 驟41,進行下一個數(shù)據(jù)包的處理��;步驟44 通過綁定標志位判斷IPMAC是否已綁定��,如果已經綁定,則按照選定的處理模 式��,進行數(shù)據(jù)包處理。
全文摘要
本發(fā)明公開了網絡信息安全技術領域中一種基于IP數(shù)據(jù)集合的多模式IPMAC綁定策略����。技術方案是�����,選定數(shù)據(jù)包處理模式;調用IPMAC數(shù)據(jù)集合工具�,建立與要綁定的IPMAC網段地址相符的IP數(shù)據(jù)集合��;并在系統(tǒng)內核空間中,創(chuàng)建與每個IP數(shù)據(jù)集合代表的網絡地址范圍大小相適應的存儲區(qū)域�����,存放IP數(shù)據(jù)集合中的IPMAC綁定信息�;向IP數(shù)據(jù)集合加入IPMAC數(shù)據(jù)�,并向存放IP數(shù)據(jù)集合中的IPMAC綁定信息的存儲區(qū)域中��,加入IP對應的IPMAC綁定標識信息���;按照選定的處理模式�,進行數(shù)據(jù)包處理�。本發(fā)明使數(shù)據(jù)包匹配規(guī)則處理性能得到極大的提高��,同時��,按任意網段進行IPMAC綁定符合防火墻對IP地址靈活管理的要求��。
文檔編號H04L12/56GK101848191SQ20091008066
公開日2010年9月29日 申請日期2009年3月23日 優(yōu)先權日2009年3月23日
發(fā)明者宋浩 申請人:北京鼎信高科信息技術有限公司