專利名稱:一種交換機(jī)端口安全控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,尤其涉及一種交換機(jī)端口安全控制方法。
背景技術(shù):
目前,交換機(jī)設(shè)備大致有如下功能:1、端口限速;2、通過設(shè)置ACL(Access ControlList,訪問控制列表)對設(shè)定報文限速。3、直接丟棄某些系統(tǒng)設(shè)定的報文;4、對于發(fā)往CPU端口的協(xié)議報文進(jìn)行限速、丟棄、控制等操作?,F(xiàn)有的交換機(jī)針對于端口流量控制,基本上都是絕對操作,當(dāng)現(xiàn)象發(fā)生時,就產(chǎn)生一個絕對的動作,無法實(shí)現(xiàn)科學(xué)的管理操作。如專利號200910170191.5所公開的一種交換機(jī)流量控制方法和交換機(jī)專利,本發(fā)明人通過分析,發(fā)現(xiàn)此專利所公開的方法是可以實(shí)現(xiàn)流量控制,但存在如下缺陷:1、此專利只能在低端交換設(shè)備上使用,因?yàn)橹荒艽嬖谟赟VL (shared vlan learning,共享式Vlan學(xué)習(xí))學(xué)習(xí)模式,因?yàn)榇藢@幸粋€端口對應(yīng)一個固定的MAC(Media Access Control,介質(zhì)訪問控制)地址,從而無法進(jìn)行網(wǎng)絡(luò)拓?fù)洌?、此專利為針對目的MAC,如果發(fā)送端收到PAUSE幀,停止發(fā)送目的為對應(yīng)MAC的報文,這樣太絕對了,會導(dǎo)致一些目的為對應(yīng)MAC的一些重要協(xié)議報文無法發(fā)送,如果目的端長時間未收到協(xié)議報文,會導(dǎo)致某些通信或數(shù)據(jù)交換中斷,引起無法預(yù)料的重大問題。又如專利號200610033406.5所公開的一種基于端口的動態(tài)流量控制方法專利,本發(fā)明人通過分析,發(fā)現(xiàn)此專利通過基于報文優(yōu)先級來設(shè)定不同的流控值,雖可以實(shí)現(xiàn)流量控制,但仍存在缺陷:1、此專利對入口報文所帶優(yōu)先級來進(jìn)行相應(yīng)流控,如果某些攻擊性報文優(yōu)先級較高,則并不能啟動限制的作用;2、對惡意報文只能達(dá)到限速作用,并不能做出更有效的動作處理。
發(fā)明內(nèi)容
本發(fā)明的主要目的在于提供一種可以靈活配置、針對多種規(guī)則組合的報文進(jìn)行流速監(jiān)聽的交換機(jī)端口安全控制方法,當(dāng)交換機(jī)收到?jīng)_擊指示時,可以根據(jù)個人需求,產(chǎn)生相應(yīng)的動作內(nèi)容,在通過限速或改變動作內(nèi)容后,如果發(fā)送端狀態(tài)恢復(fù)正常(即流速正常),系統(tǒng)仍能正?;謴?fù)原始配置,不影響交換機(jī)下掛設(shè)備正常工作,因此,既可防止交換機(jī)普通業(yè)務(wù)端口下掛設(shè)備大量發(fā)送某些非法報文、或設(shè)備向交換機(jī)全速沖包,又不會影響一些重要協(xié)議報文的發(fā)送,從而大大降低了不必要的風(fēng)險,提高了交換機(jī)設(shè)備的穩(wěn)定性。為實(shí)現(xiàn)上述目的,一種交換機(jī)端口安全控制方法,其包括以下步驟:步驟一,在交換機(jī)上配置ACL表項(xiàng),設(shè)定基于端口下需要監(jiān)控的指定規(guī)則報文,向硬件下發(fā)ACL表項(xiàng),ACL配置為所需要監(jiān)控的端口報文流類型,所述指定規(guī)則包括丟棄規(guī)則和允許規(guī)則;所述報文流類型包括對應(yīng)IP地址或MAC地址報文、ICMP (Internet控制報文協(xié)議,可以區(qū)分type/code)報文、igmp ((Internet組管理協(xié)議))報文、目的端口報文、對數(shù)據(jù)段部分內(nèi)容過濾報文,以及上述多種報文規(guī)則的組合。步驟二,系統(tǒng)設(shè)置,設(shè)置所監(jiān)控ACL最大單位流速、掃描時間間隔、最大連續(xù)沖擊次數(shù)、監(jiān)聽沖擊時間、動作轉(zhuǎn)換內(nèi)容、警告信息內(nèi)容,以及端口關(guān)閉恢復(fù)時間;
步驟三,啟動設(shè)備ACL功能,通過設(shè)定監(jiān)控任務(wù),在規(guī)定時間間隔內(nèi),掃描需要監(jiān)控的ACL流量統(tǒng)計(jì),分析統(tǒng)計(jì)對應(yīng)ACL流速,并判斷單位流量大小,來進(jìn)行相應(yīng)動作規(guī)則。步驟三具體包括以下步驟:A.當(dāng)系統(tǒng)掃描到需要監(jiān)控的ACL單位流量大于設(shè)定ACL最大單位流速時,針對指定規(guī)則為丟棄規(guī)則的端口進(jìn)行的監(jiān)控,包括以下流程:Al、當(dāng)系統(tǒng)提示動作為關(guān)端口時,則關(guān)閉端口 ;如果有設(shè)置恢復(fù)時間,則監(jiān)控任務(wù)記錄時間始點(diǎn),當(dāng)時間大于或等于設(shè)置恢復(fù)時間時,則手動打開端口,重新對此ACL規(guī)則進(jìn)行監(jiān)控工作;A2、當(dāng)系統(tǒng)提示動作為警告時,則提示警告信息;B.當(dāng)系統(tǒng)掃描到需要監(jiān)控的ACL單位流量大于設(shè)定ACL最大單位流速時,針對指定規(guī)則為允許規(guī)則的端口進(jìn)行的監(jiān)控,包括以下流程:B1、當(dāng)系統(tǒng)提示動作為丟棄時,則將ACL動作修改為丟棄,并按照丟棄規(guī)則進(jìn)行重新監(jiān)控,執(zhí)行Al I步驟;B2、當(dāng)系統(tǒng)提示動作為流速限制時,則在ACL動作中添加限速雙漏桶,設(shè)置報文平均速率大于且接近于設(shè)定ACL最大單位流速,并重新監(jiān)控;在設(shè)置的監(jiān)聽沖擊時間內(nèi)監(jiān)聽,判斷在每個設(shè)定的單位掃描時間間隔內(nèi),單位流量大小是否大于ACL最大單位流速,如果成立,則累加沖擊次數(shù);當(dāng)沖擊時間大于或等于設(shè)定的監(jiān)聽沖擊時間,且累加沖擊次數(shù)大于或等于設(shè)置的最大連續(xù)沖擊次數(shù)時,則執(zhí)行以下步驟:B21、關(guān)閉端口,執(zhí)行步驟All ;B22、若系統(tǒng)提示動作為流速限制,將動作改為丟棄,并去除限速;B23、通過警告提示,仍未消除惡意攻擊,則可以通過修改ACL規(guī)則,擴(kuò)大監(jiān)聽范圍,直至對端意識到被阻截;當(dāng)時間大于或等于設(shè)定的監(jiān)聽沖擊時間,且累加沖擊次數(shù)小于設(shè)置的最大連續(xù)沖擊次數(shù)時,則還原動作為允許,對此ACL流速重新進(jìn)行監(jiān)聽;當(dāng)ACL單位流量大于設(shè)定的ACL最大單位流速時,則提示警告信息;B3、當(dāng)系統(tǒng)提示動作為警告時,則提示警告信息。本發(fā)明由于采用了上述方法,對于端口下需要丟棄的報文,如果在設(shè)定時間間隔內(nèi),對應(yīng)丟棄規(guī)則的報文有不斷地大量沖擊交換機(jī)(即大于設(shè)定值),則可以通過打印警告信息,或直接關(guān)閉端口(可以設(shè)定關(guān)閉恢復(fù)時間)來解決。對于正常接收報文,可以設(shè)定端口下某些需要監(jiān)控的規(guī)則類型的報文(如:ip、MAC、icmp、igmp、arp等組合方式),可以通過配置ACL實(shí)現(xiàn)。如果在設(shè)定時間間隔內(nèi),對應(yīng)規(guī)則的報文有不斷地大量沖擊交換機(jī)(即大于設(shè)定值),則可以通過打印警告信息,或在對應(yīng)ACL下添加policer動作內(nèi)容(限速),或直接修改動作為丟棄。具體有以下幾個過程:
1.如果在限速階段(注:一般中高端交換芯片ACL都支持流量整形,如雙漏桶或令牌桶算法等),設(shè)置CIR(Committed Information Rate,報文平均速率)值大于并接近設(shè)定的沖擊交換機(jī)值,在所設(shè)定的監(jiān)聽時間范圍內(nèi),如果在單位時間內(nèi)還是會大量沖擊交換機(jī)(即速率大于設(shè)定沖擊闕值),則強(qiáng)制將此過濾規(guī)則動作改為丟棄。并去除限速動作。2.如果在丟棄階段,此端口下對應(yīng)類型的報文,在所設(shè)定的監(jiān)聽時間范圍內(nèi),平均速度達(dá)到一定低,則重新允許接收,如果在單位時間內(nèi)還是會大量沖擊交換機(jī),則可以采取關(guān)閉端口一段時間來解決。3.如果通過過程1、2之后,仍未消除惡意攻擊。則可以通過修改ACL,擴(kuò)大監(jiān)聽范圍,如只監(jiān)聽此端口收包速率,或只監(jiān)聽對應(yīng)攻擊的源MAC地址,直至對端意識到被阻截。因此,本發(fā)明可以靈活的設(shè)定需要監(jiān)控的報文類型或端口,可以實(shí)現(xiàn)目的MAC、源MAC、協(xié)議類型、vlan、ip地址等多種組合判斷方式,從而大大降低不必要的風(fēng)險,無需發(fā)送pause幀,直接本地端口進(jìn)行判斷,并進(jìn)行相應(yīng)的動作即可,對其實(shí)時監(jiān)控,如果報文發(fā)送恢復(fù)正常,則取消設(shè)定動作內(nèi)容,還原初始動作。與傳統(tǒng)方法相比,本發(fā)明不但可以做到對報文優(yōu)先級進(jìn)行判斷整流,同時還可以結(jié)合其它規(guī)則一起,更具有針對性的操作,且本發(fā)明可以通過監(jiān)控惡意報文流速,采取警告提示、限速、丟棄、關(guān)閉端口等動作,來對惡意報文進(jìn)行強(qiáng)烈反擊,大大提高了交換機(jī)設(shè)備的穩(wěn)定性。本發(fā)明的特征及優(yōu)點(diǎn)將通過實(shí)施例結(jié)合附圖進(jìn)行詳細(xì)說明。
圖1為本發(fā)明方法的流程圖。
具體實(shí)施例方式下面以一個實(shí)施方式對本發(fā)明作進(jìn)一步詳細(xì)的說明,但應(yīng)當(dāng)說明,本發(fā)明的保護(hù)范圍不僅僅限于此。如圖1所示,一種交換機(jī)端口安全控制方法,其包括以下步驟:步驟一,在交換機(jī)上配置ACL表項(xiàng),設(shè)定基于端口下需要監(jiān)控的指定規(guī)則報文,向硬件下發(fā)ACL表項(xiàng),指定規(guī)則包括丟棄規(guī)則Al和允許規(guī)則A2 ;所述報文流類型包括對應(yīng)IP地址或MAC地址報文、ICMP (Internet控制報文協(xié)議,可以區(qū)分type/code)報文、igmp ((Internet組管理協(xié)議))報文、目的端口報文、對數(shù)據(jù)段部分內(nèi)容過濾報文,以及上述多種報文規(guī)則的組合。步驟二,系統(tǒng)配置,設(shè)置所監(jiān)控ACL最大單位流速m_r、掃描時間間隔s_t、最大連續(xù)沖擊次數(shù)c_n、監(jiān)聽沖擊時間m_t、動作轉(zhuǎn)換內(nèi)容action、警告信息內(nèi)容,以及端口關(guān)閉恢復(fù)時間r_t ;步驟三,啟動設(shè)備ACL功能,通過設(shè)定監(jiān)控任務(wù),在規(guī)定時間間隔內(nèi),掃描需要監(jiān)控的ACL流量統(tǒng)計(jì),分析統(tǒng)計(jì)對應(yīng)ACL流速,并判斷單位流量大小t_r,來進(jìn)行相應(yīng)動作規(guī)則。步驟三具體包括以下步驟:A.當(dāng)系統(tǒng)掃描到需要監(jiān)控的ACL單位流量t_r大于設(shè)定ACL最大單位流速m_r時,針對指定規(guī)則為丟棄規(guī)則的端口進(jìn)行的監(jiān)控,包括以下流程:Al、當(dāng)系統(tǒng)提示動作為關(guān)端口時,則關(guān)閉端口 ;如果有設(shè)置恢復(fù)時間r_t,則監(jiān)控任務(wù)記錄時間始點(diǎn),當(dāng)時間大于或等于設(shè)置恢復(fù)時間r_t時,則手動打開端口,重新對此ACL規(guī)則進(jìn)行監(jiān)控工作;A2、當(dāng)系統(tǒng)提示動作為警告時,則提示警告信息;B.當(dāng)系統(tǒng)掃描到需要監(jiān)控的ACL單位流量t_r大于設(shè)定ACL最大單位流速m_r時,針對指定規(guī)則為允許規(guī)則的端口進(jìn)行的監(jiān)控,包括以下流程:
B1、當(dāng)系統(tǒng)提示動作為丟棄時,則將ACL動作修改為丟棄,并按照丟棄規(guī)則進(jìn)行重新監(jiān)控,執(zhí)行Al I步驟;B2、當(dāng)系統(tǒng)提示動作為流速限制時,則在ACL動作中添加限速雙漏桶,設(shè)置報文平均速率大于且接近于設(shè)定ACL最大單位流速m_r,并重新監(jiān)控;在設(shè)定的監(jiān)聽沖擊時間m_t內(nèi)監(jiān)聽,判斷在每個設(shè)定的單位掃描時間間隔s_t內(nèi),單位流量大小t_r是否大于ACL最大單位流速m_r,如果成立,則累加沖擊次數(shù)n_n ;當(dāng)時間大于或等于設(shè)定的監(jiān)聽沖擊時間,且累加沖擊次數(shù)n_n大于或等于設(shè)置的最大連續(xù)沖擊次數(shù)c_n時,則執(zhí)行以下步驟:B21、關(guān)閉端口,執(zhí)行步驟All ;B22、若系統(tǒng)提示動作為流速限制,將動作改為丟棄,并去除限速;B23、通過警告提示,仍未消除惡意攻擊,則可以通過修改ACL規(guī)則,擴(kuò)大監(jiān)聽范圍,直至對端意識到被阻截;當(dāng)沖擊時間大于或等于設(shè)定的監(jiān)聽沖擊時間,且累加沖擊次數(shù)n_n小于設(shè)置的最大連續(xù)沖擊次數(shù)c_n時,則還原動作為允許,對此ACL流速重新進(jìn)行監(jiān)聽;當(dāng)ACL單位流量t_r大于設(shè)定的ACL最大單位流速m_r時,則提示警告信息;A23、當(dāng)系統(tǒng)提示動作為警告時,則提示警告信息。例如:如果通過抓包或其它功能發(fā)現(xiàn)端口 3上源MAC為00-02-02-02-02-02有大量發(fā)送ARP報文,需要對其進(jìn)行監(jiān)視。需求如下:當(dāng)上述列舉匹配規(guī)則的報文速率達(dá)到300Kbps時,串口提示警告信息,并限制其接收速率350Kbps,如果在警告開始的5分鐘內(nèi),沖擊次數(shù)大于50次(每3秒統(tǒng)計(jì)一次收到報文數(shù),如果計(jì)算平均值仍大于300Kbps,則沖擊次數(shù)加I),則將動作改為deny,丟棄此規(guī)則報文,此時再重新監(jiān)聽,同樣統(tǒng)計(jì)5分鐘,如果沖擊次數(shù)還是大于50次則關(guān)閉此端口 2分鐘,然后再打開,再對其進(jìn)行監(jiān)視。交換機(jī)上具體配置如下:1、啟動流控監(jiān)視任務(wù),配置ACL規(guī)則(過濾規(guī)則:port+srcjnac+協(xié)議類型(arp);動作:permit (允許))。2.按照圖1所示流程,根據(jù)您提供的需求,設(shè)置相關(guān)參數(shù)值。3.激活此條監(jiān)聽規(guī)則,開始對其進(jìn)行監(jiān)視。本發(fā)明的關(guān)鍵點(diǎn)在于:在通過限速或改變動作內(nèi)容后,如果發(fā)送端狀態(tài)恢復(fù)正常(即流速正常),系統(tǒng)仍能正?;謴?fù)原始配置,不影響交換機(jī)下掛設(shè)備正常工作。例如:假如端口 3下掛設(shè)備(電腦等),由于中毒或其它原因,不斷向交換機(jī)發(fā)送某種非法報文,這時通過本發(fā)明對其進(jìn)行流速監(jiān)視,產(chǎn)生相應(yīng)應(yīng)對動作,甚至關(guān)閉端口,直至對端意識到故障或被阻截,如果對端重啟設(shè)備或問題消除,則這時交換機(jī)也恢復(fù)對其進(jìn)行正常接收。雖然結(jié)合附圖描述了本發(fā)明的實(shí)施方式,但是本領(lǐng)域的技術(shù)人員可以在所附權(quán)利要求的范圍之內(nèi)作出各種變形或修改,只要不超過本發(fā)明的權(quán)利要求所描述的保護(hù)范圍,都應(yīng)當(dāng)在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1.一種交換機(jī)端口安全控制方法,其特征在于:其包括以下步驟: 步驟一,在交換機(jī)上配置ACL表項(xiàng),設(shè)定基于端口下需要監(jiān)控的指定規(guī)則報文,向硬件下發(fā)ACL表項(xiàng),ACL配置為所需要監(jiān)控的端口報文流類型,所述指定規(guī)則包括丟棄規(guī)則和允許規(guī)則; 步驟二,系統(tǒng)設(shè)置,設(shè)置所監(jiān)控ACL最大單位流速、掃描時間間隔、最大連續(xù)沖擊次數(shù)、監(jiān)聽沖擊時間、動作轉(zhuǎn)換內(nèi)容、警告信息內(nèi)容,以及端口關(guān)閉恢復(fù)時間; 步驟三,啟動設(shè)備ACL功能,通過設(shè)定監(jiān)控任務(wù),在規(guī)定時間間隔內(nèi),掃描需要監(jiān)控的ACL流量統(tǒng)計(jì),分析統(tǒng)計(jì)對應(yīng)ACL流速,并判斷單位流量大小,來進(jìn)行相應(yīng)動作規(guī)則。
2.如權(quán)利要求1所述的一種交換機(jī)端口安全控制方法,其特征在于:步驟三具體包括以下步驟: A.當(dāng)系統(tǒng)掃描到需要監(jiān)控的ACL單位流量大于設(shè)定ACL最大單位流速時,針對指定規(guī)則為丟棄規(guī)則的端口進(jìn)行的監(jiān)控,包括以下流程: Al、當(dāng)系統(tǒng)提示動作為關(guān)端口時,則關(guān)閉端口 ;如果有設(shè)置恢復(fù)時間,則監(jiān)控任務(wù)記錄時間始點(diǎn),當(dāng)時間大于或等于設(shè)置恢復(fù)時間時,則手動打開端口,重新對此ACL規(guī)則進(jìn)行監(jiān)控工作; A2、當(dāng)系統(tǒng)提示動作為警告時,別提示警告信息; B.當(dāng)系統(tǒng)掃描到需要監(jiān)控的ACL單位流量大于設(shè)定ACL最大單位流速時,針對指定規(guī)則為允許規(guī)則的端口進(jìn)行的監(jiān)控,包括以下流程: B1、當(dāng)系統(tǒng)提示動作為丟棄時,則將ACL動作修改為丟棄,并按照丟棄規(guī)則進(jìn)行重新監(jiān)控,執(zhí)行Al步驟; B2、當(dāng)系統(tǒng)提示動作為流速限制時,則在ACL動作中添加限速雙漏桶,設(shè)置報文平均速率大于且接近于設(shè)定ACL最大單位流速,并重新監(jiān)控;在設(shè)置的監(jiān)聽沖擊時間內(nèi)監(jiān)聽,判斷在每個設(shè)定的單位掃描時間間隔內(nèi),單位流量大小是否大于ACL最大單位流速,如果成立,則累加沖擊次數(shù); 當(dāng)沖擊時間大于或等于設(shè)定的監(jiān)聽沖擊時間,且累加沖擊次數(shù)大于或等于設(shè)置的最大連續(xù)沖擊次數(shù)時,則執(zhí)行以下步驟: B21、關(guān)閉端口,執(zhí)行Al步驟; B22、若系統(tǒng)提示動作為流速限制,將動作改為丟棄,并去除限速; B23、通過警告提示,仍未消除惡意攻擊,則可以通過修改ACL規(guī)則,擴(kuò)大監(jiān)聽范圍,直至對端意識到被阻截; 當(dāng)沖擊時間大于或等于設(shè)定的監(jiān)聽沖擊時間,且累加沖擊次數(shù)小于設(shè)置的最大連續(xù)沖擊次數(shù)時,則還原動作為允許,對此ACL流速重新進(jìn)行監(jiān)聽; 當(dāng)ACL單位流量大于設(shè)定的ACL最大單位流速時,則提示警告信息; B3、當(dāng)系統(tǒng)提示動作為警告時,則提示警告信息。
3.如權(quán)利要求1所述的一種交換機(jī)端口安全控制方法,其特征在于:所述報文流類型包括對應(yīng)IP地址或MAC地址報文、ICMP報文、igmp報文、目的端口報文、對數(shù)據(jù)段部分內(nèi)容過濾報文,以及上述多種報文規(guī)則的組合。
全文摘要
本發(fā)明公開了一種交換機(jī)端口安全控制方法,其包括以下步驟在交換機(jī)上配置ACL表項(xiàng),設(shè)定基于端口下需要監(jiān)控的指定規(guī)則報文,向硬件下發(fā)ACL表項(xiàng),ACL配置為所需要監(jiān)控的端口報文流類型;設(shè)置所監(jiān)控ACL最大單位流速、掃描時間間隔、最大連續(xù)沖擊次數(shù)、監(jiān)聽沖擊時間、動作轉(zhuǎn)換內(nèi)容、警告信息內(nèi)容,以及端口關(guān)閉恢復(fù)時間;通過設(shè)定監(jiān)控任務(wù),在規(guī)定時間間隔內(nèi),掃描需要監(jiān)控的ACL流量統(tǒng)計(jì),分析統(tǒng)計(jì)對應(yīng)ACL流速,并判斷單位流量大小,來進(jìn)行相應(yīng)動作規(guī)則。本發(fā)明既可防止交換機(jī)普通業(yè)務(wù)端口下掛設(shè)備大量發(fā)送某些非法報文,又不會影響一些重要協(xié)議報文的發(fā)送,大大降低了不必要的風(fēng)險,提高了交換機(jī)設(shè)備的穩(wěn)定性。
文檔編號H04L12/26GK103200123SQ201310071608
公開日2013年7月10日 申請日期2013年3月6日 優(yōu)先權(quán)日2013年3月6日
發(fā)明者王斌 申請人:深圳市新格林耐特通信技術(shù)有限公司