[发明专利]一种主机安全检测方法及装置

说明书

本申请提供一种主机安全检测方法及装置，该方法包括：获取待传输报文的报文IP，并基于报文IP计算IP哈希值；判断边界设备中的配置哈希表中是否存在IP哈希值；当配置哈希表中存在IP哈希值时，判断三层设备中的探测哈希表中是否存在IP哈希值；当探测哈希表中存在IP哈希值时，获取配置哈希表中的配置MAC和探测哈希表中的探测MAC；判断配置MAC与探测MAC是否相同；当配置MAC与探测MAC相同时，输出主机安全信息，并放行待传输报文。可见，实施这种实施方式，能够让防火墙等边界设备能够对跨三层的报文进行过滤，从而实现对主机进行跨三层的安全性检测。

技术领域

本申请涉及安全领域，具体而言，涉及一种主机安全检测方法及装置。

背景技术

一般部署在边界的防火墙或其他网络转发设备都能够针对报文中的IP和MAC做绑定关系。而目前的方法中，通常会绑定一些重要管理员IP和特权IP，从而防止IP欺骗、伪装等事件的发生。

在传统方法中，当某个IP通过防火墙访问时，防火墙要检查发出这个IP广播包的MAC，并与防火墙上的MAC规则相比较，如果相符就允许通过，否则不允许通过防火墙。

然而，当报文跨三层设备后(如经过路由器)，报文中的源MAC会由源主机MAC变成路由器出接口MAC，从而使得报文经过防火墙时便无法得到正确的MAC，进而导致传统方法无法对主机进行有效的安全性检测。

发明内容

本申请实施例的目的在于提供一种主机安全检测方法及装置，能够让防火墙等边界设备能够对跨三层的报文进行过滤，从而实现对主机进行跨三层的安全性检测。

本申请实施例第一方面提供了一种主机安全检测方法，包括：

获取待传输报文的报文IP，并基于所述报文IP计算IP哈希值；

判断边界设备中的配置哈希表中是否存在所述IP哈希值；

当所述配置哈希表中存在所述IP哈希值时，判断三层设备中的探测哈希表中是否存在所述IP哈希值；

当所述探测哈希表中存在所述IP哈希值时，获取所述配置哈希表中的配置MAC和所述探测哈希表中的探测MAC；

判断所述配置MAC与所述探测MAC是否相同；

当所述配置MAC与所述探测MAC相同时，输出主机安全信息，并放行所述待传输报文。

在上述实施过程中，该方法可以优先获取待传输报文的报文IP，并基于报文IP计算IP哈希值；可见，该步骤能够优先根据报文的IP计算出主机的IP哈希值，从而便于后续步骤基于IP哈希值进行更有效、快速、准确的安全性检测。然后，该方法可以判断边界设备中的配置哈希表中是否存在IP哈希值；可见，该步骤可以通过判断来确定当前防火墙等边界设备是否针对此IP进行了限制，从而保障此IP在被限制的情况下进行后续的安全性检查的流程。当配置哈希表中存在IP哈希值时，判断三层设备中的探测哈希表中是否存在IP哈希值；可见，该步骤可以通过判断来确定路由器等三层设备中是否存有此主机的IP信息，并在三层设备探测到对应IP时再执行后续的步骤。当探测哈希表中存在IP哈希值时，获取配置哈希表中的配置MAC和探测哈希表中的探测MAC；可见，该步骤同时获取边界设备和三层设备中的MAC，以便后续对MAC进行比较。最后，判断配置MAC与探测MAC是否相同；并当配置MAC与探测MAC相同时，输出主机安全信息，并放行待传输报文；可见，该方法可以通过判断边界设备和三层设备中的MAC来确定主机是否安全，从而能够实现跨三层设备的安全性检测的效果。

进一步地，所述方法还包括：

当所述配置MAC与所述探测MAC不相同时，输出主机告警信息，并阻断所述待传输报文。