[发明专利]交换机联动防火墙防护提升方法

说明书

本发明公开了一种交换机联动防火墙防护提升方法，交换机联动防火墙防护提升方法，通过抓包工具实现网络的监控，配合端口镜像技术在不改变IPV4协议的情况下利用静态IP将MAC与IP进行双向绑定，同时使用VLAN来缩小局域网，提高检索效率，发现威胁事件的源头，与交换机联动，阻断威胁事件的路径，弥补传统防火墙的不足，提供网络安全纵深防护。

技术领域：

本发明涉及计算机网络安全领域，特别是涉及一种交换机联动防火墙防护提升方法。

背景技术：

随着病毒、蠕虫、木马、后门和混合威胁的泛滥，应用层和网络层的安全威胁正变得司空见惯。传统防火墙只能阻止或允许特定IP地址和端口，能防护的东西相当有限，黑客已经研究出大量的方法来绕过防火墙策略，包括：利用端口扫描器发现防火墙开放的端口，攻击和探测程序通过防火墙开放的端口穿越防火墙。如MSN、QQ等工具均可通过80端口通信，SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送，使用传统的状态检测防火墙简直防不胜防。

发明内容：

本发明所要解决的技术问题是：克服现有技术的不足，通过抓包工具实现网络的监控，配合端口镜像技术在不改变IPV4协议的情况下利用静态IP将MAC与 IP进行双向绑定，同时使用VLAN来缩小局域网，提高检索效率，发现威胁事件的源头，与交换机联动，阻断威胁事件的路径的交换机联动防火墙防护提升方法。

本发明的技术方案是：一种交换机联动防火墙防护提升方法，其步骤如下：步骤一、在和网络安全防护服务器同网段的交换机上设置旁路监听；所述交换机支持端口镜像，利用交换机的端口镜像将所有经过该交换机的数据复制一份，发送给网络安全防护服务器端口；

步骤二、利用抓包工具获取数据包进行分析，得出其目的和源地址的MAC和IP对；其中包括：（1）、获取抓包过程参数；（2）、获取抓包时间限制条件；（3）、根据所述抓包过程参数和所述抓包时间限制条件控制抓包动作 ；

步骤三、验证获取的MAC和IP是否合理；若合理，则将映射对存入链表；若不合理，则将不合理的MAC地址所对应的端口进行单独监听；

步骤四、获取的源IP地址，形成已知IP地址库，对照以NAMP技术获取的未安装防护软件的PC终端IP列表，通过嗅探工具获取该IP对应的 MAC地址，对同一MAC地址的多个IP地址进行归一化处理 ；

步骤五、由网络嗅探工具发现新接入网络的终端，用于提供旁路监听规则中协议源IP，以供旁路监听进行分析，将源IP列表和局域网内所有PC服务器列表做比较；

步骤六、对比不成功时，则发出警报，同时用MAC地址找到交换机对应的端口，快速找出欺诈主机；

步骤七、网络安全防护服务器与交换机联动，阻断欺诈主机的路径。

进一步的，所述步骤二，所述述抓包过程参数包括：（1）从抓取开始时刻点到当前时刻点的第一抓取时长；（2）从抓取到上一个数据包的时刻点到当前时刻点的第二抓取时长；（3）当前抓取数据包总数。

进一步的，所述步骤二，所述抓包时间限制条件包括预设抓取持续时间或预设抓取间隔时间。

进一步的，所述步骤二，所述抓包过程参数和所述抓包时间限制条件控制抓包动作，包括：若所述第一抓取时长大于所述预设抓取持续时间，则停止抓包；反之，继续抓包；或；若所述第二抓取时长大于预设抓取间隔时间，则停止抓包；反之，继续抓包。

进一步的，所述步骤三，所述验证MAC和IP时需要对ARP进行解析，设置过滤器和过滤规则使只对ARP数据包进行协议解析；解析后ARP数据包包括硬件类型、协议类型、硬件地址长度、协议长度、操作代码、源MAC地址、源IP地址、目标MAC地址和目标IP地址。