[发明专利]一种基于以太网桥规则的防跳板机的通用方法

说明书

本发明公开了一种基于以太网桥规则的防跳板机的通用方法，采用一种以太网桥过滤数据包的配置方式，利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables，当数据包发送到Linux宿主机时，宿主机检测处理该数据包的过滤规则并过滤，由于多vlan部署的蜜罐桥接在Linux宿主机上，当攻击者攻击蜜罐时，利用ebtables对FORWARD链进行限制，FORWARD链规则不进入用户控件，负责转发流经主机但不进入本机的数据包。本发明采用一种以太网桥规则，在Linux宿主机上桥接多vlan创建大量蜜罐，形成大范围部署的蜜网，通过限制与允许端口流量的操作，使蜜罐独立于真实业务，进行防跳板操作。

技术领域

本发明涉及网络信息安全技术领域，具体涉及一种基于以太网桥规则的防跳板机的通用方法。

背景技术

现有的技术中，防跳板方式是通过在整体业务范围增加一个防火墙,或者通过每个蜜罐自身配置防火墙进行防跳板防护。然而，在整体业务范围增加防火墙，容易影响已有的业务功能，不利于机动配置。如果使用蜜罐自身配置防火墙进行防跳板，容易在攻击者获得超级管理员权限之后，修改自身防跳板，使其失效。

发明内容

发明目的：本发明的目的在于针对现有技术的不足，提供一种基于以太网桥规则的防跳板机的通用方法，通过限制与允许端口流量的操作，使得蜜罐可以独立于真实业务，解决了宿主机直接对桥接的蜜罐进行流量限制的问题。

本发明公开的一种基于以太网桥规则的防跳板机的通用方法，其特征在于，包括以下步骤：

步骤1：将多vlan部署的蜜罐桥接在Linux宿主机上，使所有流向目的为蜜罐的网络流量均通过Linux宿主机进行转发；

步骤2：采用以太网桥过滤数据包的配置方式，当数据包行进到数据链路层时，利用Linux内核中对数据链路层流量过滤数据包的配置工具ebtables，配置过滤数据包的规则，系统检测对应节点的过滤规则并进行过滤；

步骤3：配置后，当数据包发送到Linux宿主机时，Linux宿主机检测处理该数据包的过滤规则并且进行过滤；

步骤4：当攻击者攻击蜜罐时，利用ebtables对FORWARD链进行限制，ebtables用于对以太网帧的过滤，在配置FORWARD参数时，DROP掉从蜜罐对真实业务的帧，放行攻击者对蜜罐的帧。

进一步地，所述ebtables的配置分为表、链和规则三级，每个链中设有一系列规则，每个规则定义一系列过滤选项。

进一步地，所述FORWARD链规则不进入用户控件，负责转发流经主机但不进入本机的数据包。

进一步地，所述蜜罐为桥接的Kvm虚拟机。

进一步地，所述过滤规则为Linux宿主机本机配置的ebtables以太网桥防火墙规则。

本发明技术方案带来的有益效果有：

1、使用一种新的以太网桥防火墙进行蜜罐的流量控制，通过在宿主机上进行蜜罐防跳板比直接在蜜罐上进行防跳板操作要容易管理，也避免了蜜罐失陷之后防跳板机制失效；

2、使运维人员直接通过以太网桥防火墙进行流量控制，在大规模部署蜜网之后进行更便捷、更安全的防跳板配置；

3、由于蜜罐本身是用来诱捕攻击者的，加强蜜罐防跳板机制，也可以防止攻击者在内网中进行横向移动，保护其余资产。

附图说明

图1为本发明的一种基于以太网桥规则的防跳板机的通用方法的示意图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

本发明公开了一种基于以太网桥规则的防跳板机的通用方法，包括以下步骤：

步骤一：将多vlan部署的蜜罐桥接在Linux宿主机上。