收藏
下载资源 加入会员免费下载

一种实现网络增强隔离区的方法.pdf

上传人:e2 文档编号:4311957 上传时间:2018-09-13 格式:PDF 页数:8 大小:414.39KB
返回 下载 相关 举报
摘要
申请专利号:

CN201110340788.7

 申请日:

2011.11.02
公开号:

CN102413124A

 公开日:

2012.04.11
当前法律状态:

撤回

 有效性:

无权
法律详情:

发明专利申请公布后的视为撤回IPC(主分类):H04L 29/06申请公布日:20120411|||实质审查的生效IPC(主分类):H04L 29/06申请日:20111102|||公开
IPC分类号:

H04L29/06; H04L29/12

 主分类号:

H04L29/06
申请人:

深圳市共进电子股份有限公司
发明人:

欧军和; 王志波; 汪澜; 朱余浩
地址:

518000 广东省深圳市南山区蛇口南海大道1019号百盈医疗器械园二楼
优先权:

专利代理机构:

深圳市智科友专利商标事务所 44241

 代理人:

陈润生
PDF下载: PDF下载
内容摘要

一种实现网络增强隔离区的方法,隔离区主机通过带路由功能的通信终端与WAN相接,将所述的DMZ主机的IP地址设置与通信终端的WAN接口的IP地址相同。本发明由于将DMZ主机的IP地址设置与通信终端的WAN接口的IP地址相同,使进出DMZ主机的数据包得以快速完成。

权利要求书

1: 一种实现网络增强隔离区的方法, DMZ 主机通过带路由功能的通信终端与 WAN 相接, 其特征在于 : 将所述的 DMZ 主机的 IP 地址设置与通信终端的 WAN 接口的 IP 地址相同。2: 根据权利要求 1 所述的一种实现网络增强隔离区的方法, 其特征在于 : 接收下行数 据包时包括以下步骤 : 步骤 A、 在下行数据包进入通信终端后, 比较所述的下行数据包的目的 MAC 地址, 如果 目的 MAC 地址与通信终端 WAN 接口的 MAC 地址相同, 接收该数据包 ; 步骤 B、 如果该数据包的目的端口是 DMZ 主机上开放的服务的端口, 在下行包刚刚到达 防火墙时, mangle 数据包并通过 nat 将数据包的目的 MAC 地址改成 DMZ 主机的 MAC 地址 ; 步骤 C、 数据包被 DMZ 主机接收 ; 发送上行数据包时包括以下步骤 : 步骤 D、 比较所述的上行数据包的 MAC 地址, 如果源地址与 DMZ 主机的 MAC 地址相同, 则 将所述的上行数据包的源地址修改为所述的通信终端 WAN 侧的 MAC 地址 ; 步骤 E、 将所述的上行数据包向 WAN 发送。3: 根据权利要求 1 所述的一种实现网络增强隔离区的方法, 其特征在于 : 在所述的步 骤 D 之前, 与 LAN 侧其它主机不在同一网段的 DMZ 主机需要一个代理 ARP, 包括以下步骤 : 步骤 D01、 DMZ 主机发出的 ARP 解析请求 ; 步骤 D02、 ARP 代理解析后, 不管 DMZ 主机的所要解析的 IP 地址是什么, ARP 代理都反 馈给 DMZ 主机 arp reply, 并且解析到的 MAC 地址就是通信终端 LAN 接口的 MAC 地址。

说明书


一种实现网络增强隔离区的方法

    【技术领域】
     本发明涉及网络通信数据安全领域, 特别涉及一种增强网络隔离区安全性能的方法。 背景技术 在实际的网络应用中, 有一些主机需要对外 (如 Internet) 提供服务, 如 Web 服务, E-mail 服务。 为了更好的对外提供服务, 同时又要有效的保护内部网络的安全, 就有必要将 这些需要对外提供服务的主机和内部的众多网络设备分隔开来。
     如图 1 所示是一种典型的网络结构示意图, 在该结构中, 有两种终端, 这两种终端 分别是普通主机和 DMZ 主机, DMZ 是 Demilitarized Zone 的缩写, 即俗称的非军事区, 也叫 隔离区, 与军事区和信任区相对应, 其作用是把 WEB,e-mail, 等允许外部访问的服务器单 独接在该区端口, 使整个需要保护的内部网络接在信任区端口后, 不允许任何访问, 实现内 外网分离, 达到用户的安全需求。通过 DMZ 内部网络与外网联系。
     在这样的组网方式中, 如果 DMZ 区域和外部网络不是同一网段, 那么, 作为带路 由功能的通信终端, 就需要对往来于 DMZ 和外部网络的数据包做 NAPT( Network Address Port Translation, 即网络端口地址转换 )。但是目前, NAPT 的性能不能满足用户的要求。
     如图 2 所示, 为数据包正常转发流程, 当数据通信终端, 一般是带路由功能的通 信终端接收到数据包后, 通过 mangle 数据包头, 然后经过 NAT 进行端口地址转换, 进入路 由决定由什么终端主机接收数据包, 然后, 根据接收到的数据包向外发送数据包, 要经过 FORWARD 上的 mangle 与 filter, 和 POSTROUTING 上的 mangle 与 nat 等才向外发送数据包。
     这里 mangle、 nat、 filter 等是 linux 的名词, 其中 nat 表 : 地址转换表 filter 表 : 过滤表 mangle 表 : 这 个 没 得 中 文 名 称, 只能把他的工作描述一下 : 根据用户设置的 iptables 规则来操作数据包的 ttl(time to live) 值,tos(type of service) 值, 以及 mark 值 (这个值不会反映到离开本机后的数据包中, 即仅在本机中使用) 。
     这里 iptables 规则链就针对特定数据包的各种防火墙规则, 按照顺序依次放入 对应的链中。
     一共有五条链。INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING ; INPUT: 当收到访问防火墙本地地址的数据包时, 应用此链的规则 ; OUTPUT : 当防火墙本机向外发出数据时, 应用此链的规则。
     FORWARD : 当收到要通过防火墙发送给其他网络地址的数据包时, 应用此链的规 则。
     PREROUTING: 在对数据包做路由选择之前, 应用此链的规则。
     POSTROUTING: 在对数据包做路由选择之后, 应用此链的规则。
     在接收到的数据包进入防火墙内, PREROUTING 链中由路由判断之前, 改变包的
     TTS、 TOS 或者 Mark 值, 然后进行 NAT, 进行路由判断, FORWARD 表示在最初的路由判断之后, 紧后一次更改包的目的之间改变包的 TTS、 TOS 或者 Mark 值, 同时过所有不是本地产生并 且目的地不是本地的包。在所有路由判断之后, 更改包的目的之间改变包的 TTS、 TOS 或者 Mark 值并且在包要防火墙之前改变其源地址。 发明内容
     本发明的目的是设计一种增强隔离区 (Supper-DMZ), 以满足用户的需要。
     本发明实现其发明目的所采用的技术方案是, 一种实现网络增强隔离区的方法, 隔离区主机通过带路由功能的通信终端与 WAN 相接, 将所述的隔离区主机的 IP 地址设置与 通信终端的 WAN 接口的 IP 地址相同。
     进一步的, 上述的一种实现网络增强隔离区的方法中 : 接收下行数据包时包括以 下步骤 : 步骤 A、 在下行数据包进入通信终端后, 比较所述的下行数据包的目的 MAC 地址, 如果 目的 MAC 地址与通信终端 WAN 接口的 MAC 地址相同, 接收该数据包 ; 步骤 B、 如果该数据包的目的端口是 DMZ 主机上开放的服务的端口, 在下行包刚刚到达 防火墙时, mangle 数据包并通过 nat 将数据包的目的端的 MAC 地址改成 DMZ 主机的 MAC 地 址; 步骤 C、 数据包被 DMZ 主机接收 ; 发送上行数据包时包括以下步骤 : 步骤 D、 比较所述的上行数据包的 MAC 地址, 如果源地址与 DMZ 主机的 MAC 地址相同, 则 将所述的上行数据包的源地址修改为所述的通信终端 WAN 侧的 MAC 地址 ; 步骤 E、 将所述的上行数据包向 WAN 发送。 更进一步的, 上述的一种实现网络增强隔离区的方法中 : 在所述的步骤 D 之前, 与 LAN 侧其它主机不在同一网段的 DMZ 主机需要一个代理 ARP, 包括以下步骤 : 步骤 D01、 DMZ 主机发出的 ARP 解析请求 ; 步骤 D02、 ARP 代理解析后, 不管 DMZ 主机的所要解析的 IP 地址是什么, ARP 代理都反 馈给 DMZ 主机 arp reply, 并且解析到的 MAC 地址就是通信终端 LAN 接口的 MAC 地址。
     本发明由于将 DMZ 主机的 IP 地址设置与通信终端的 WAN 接口的 IP 地址相同, 使 DMZ 主机的数据包进出通信终端得以快速完成。
     下面结合附图和具体实施方式对本发明进行详细地说明。
     附图说明
     图 1 是内外网络的拓扑结构示意图。 图 2 是数据包进出非 DMZ 主机的流程图。 图 3 是数据包进出非 DMZ 主机和 DMZ 主机的流程图。具体实施方式
     实施例 1, 如图 3 所示, 本实施例是将 DMZ 主机的上行数据包和下行数据包的流程 图, 由于将 DMZ 主机的 IP 地址设置成与带路由功能的通信终端的 WAN 一侧的 IP 地址, 使 DMZ主机发送的上行数据直接向 WAN 发送, 整个 DMZ 的数据包接收 ( 下行数据包 ) 和发送 ( 上 行数据包 ) 包括以下步骤 : 接收下行数据包时包括以下步骤 : 步骤 A、 在下行数据包进入通信终端后, 比较所述的下行数据包的目的 MAC 地址, 如果 目的 MAC 地址与通信终端 WAN 接口的 MAC 地址相同, 接收该数据包 ; 步骤 B、 如果该数据包的接收终端是 DMZ 主机上开放的服务的端口, 则将数据包的目的 端的 MAC 地址改成 DMZ 主机的 MAC 地址 ; 步骤 C、 下行包被 DMZ 主机接收 ; 发送上行数据包时包括以下步骤 : 此时与 LAN 侧其它主机不在同一网段的 DMZ 主机需 要一个代理 ARP, 步骤 D01、 DMZ 主机发出的 ARP 解析请求 ; 步骤 D02、 ARP 代理解析后, 不管 DMZ 主机的所要解析的 IP 地址是什么, ARP 代理都反 馈给 DMZ 主机 arp reply, 并且解析到的 MAC 地址就是通信终端 LAN 接口的 MAC 地址。
     步骤 D、 比较所述的上行数据包的 MAC 地址, 如果源地址与 DMZ 主机的 MAC 地址相 同, 则将所述的上行数据包的源地址修改为所述的通信终端 WAN 侧的 MAC 地址 ; 步骤 E、 将所述的上行数据包向 WAN 发送。
     本实施例中, Supper-DMZ 的最大特征就是 DMZ 主机的 IP 地址与通信终端的 WAN 接 口的 IP 地址相同。
     整个实现由三个部分组成 : 第一部分 : 对下行数据包有条件的做目的 MAC 转换 所谓下行数据, 就是由 internet 发往通信终端的数据。
     在下行数据包进入通信终端后 ( 在 PREROUTING 链上 ), 比较数据包的目的 MAC 地 址, 如果目的 MAC 地址与通信终端 WAN 接口的 MAC 地址相同, 并且数据包的目的端口是 DMZ 主机上开放的服务的端口, 那么就把数据包的目的 MAC 地址改成 DMZ 主机的 MAC 地址, 并通 过 iptables 命令的 ROUTE 这个 target 把数据包的出接口强制改成通信终端 LAN 侧的接口, 并从 LAN 接口发送出去, 从而到达 DMZ 主机 (见图 3) 。 否则, 走数据包的正常转发流程 (见图 2) 。
     第二部分 : 对上行数据包有条件的做源 MAC 地址转换 这里所谓上行数据包, 就是指由 DMZ 主机发出, 到达其他主机的数据包。
     以以太网为例, 对于上行数据包, 比较数据包 ( 非 arp 包 ) 的目的 MAC 地址, 如果 源 MAC 地址跟 DMZ 主机的 MAC 地址相同,就通过 iptables 命令的 ROUTE 这个 target 把数 据包的源 MAC 地址改成通信终端的 WAN 接口的 MAC 地址, 并把数据包从 WAN 接口发送出去。
     第三部分 : 在通信终端的 LAN 侧做一个 ARP 代理 由于 DMZ 主机是连接在通信终端的 LAN 侧的, 但是 DMZ 主机的 IP 地址却是跟通信终端 WAN 接口的 IP 地址一样的, 所以 DMZ 主机的 IP 不会跟通信终端的 LAN 口 IP 在通一个网段, 因此, DMZ 主机的默认网关就不可能是通信终端的 LAN 口的 IP 地址, 这种情况下, 对于 DMZ 主机 IP 所在的网段来说, DMZ 主机是一台被孤立的主机, 所以, 在发包前, 它所能做的就是 试尝发送 ARP 解析请求, 解析 DMZ 主机的默认网关, ARP 解析成功, 就把包发送出去, 解析不 成功, 就不发包。所以为了让 DMZ 主机能把数据包发送出去, 在通信终端的 LAN 侧就需要做一个 ARP 代理, 这个 ARP 代理完成这样的功能 : 只要是 DMZ 主机发出的 ARP 解析请求, 不管 所要解析的 IP 地址是什么, ARP 代理都反馈给 DMZ 主机 arp reply, reply 的内容是, 我就 是你要解析的 ip, 你可以把包发送给我了。 当包从 DMZ 主机发送到通信终端的 LAN 口后, 再 根据实际应用做进一步的处理。
     本实施例中需要用到的 : iptables ROUTE target 可以直接采用内核 2.6.21 中的 ipt_ROUTE.ko xt_mac 内核 2.6.21 中的 xt_mac 只实现了根据源 mac 地址匹配, 需要扩展支持目标 mac 地址 匹配 arp 代理 本实施例需要下的规则 : 对于下行数据流 : 当数据包从 Internet 来到通信终端的 wan 口, 在 linux 的 mangle 表的 PREROUTING 链 中, 如果符合规则, 那么就会修改数据包的目的 mac 地址为 DMZ 主机的 mac 地址, 并从 lan 接口发送出去。 需要加下面这样一条规则 (本实施例中, 假设通信终端 Wan 侧建立的虚设备是 vnet_1, 其 mac 地址是 AA, Lan 侧是 br1, DMZ 主机 mac 地址是 EE) : 快速转发数据包的规则 (并同时修改目的 mac 地址为 EE, 以 DMZ 主机开启了 web 服务为 例) : Iptables –t mangle –A PREROUTING –m mac –mac-destination AA -p tcp --dport 80 –j ROUTE –oif br1 注意 : 这条 SuperDMZ 规则添加在 PREROUTING 链的末尾。
     对于上行数据流 : 本实施例中, 假设通信终端 Wan 侧建立的虚设备是 vnet_1, 其 mac 地址是 AA, DMZ 主机 mac 地址是 EE iptables -t mangle -A PREROUTING -m mac --mac-source EE -j ROUTE --oif vnet_1 注意 : 这条 SuperDMZ 规则添加在 PREROUTING 链的末尾。
     2.3 arp 代理在上行的报文中可以看出, 目标 mac 地址是 ZZ, 显然, 在 CPE 的桥上, 是没有 ZZ 记录的, 因此, 需要加入 arp 代理功能。在内核 2.6.21 中的, 建立了一个 arp 代 理模块, 模块处理的参数是 SuperDMZ 绑定的 Lan 侧 DMZ 主机的 mac 地址 EE, 简单来说, 该 arp 的功能是, 若发现包的源 mac 地址是 EE, 则回应 br1 的 mac 地址。
    

一种实现网络增强隔离区的方法.pdf_第1页
第1页 / 共8页
一种实现网络增强隔离区的方法.pdf_第2页
第2页 / 共8页
一种实现网络增强隔离区的方法.pdf_第3页
第3页 / 共8页
点击查看更多>>
资源描述

《一种实现网络增强隔离区的方法.pdf》由会员分享,可在线阅读,更多相关《一种实现网络增强隔离区的方法.pdf(8页珍藏版)》请在专利查询网上搜索。

1、(10)申请公布号 CN 102413124 A (43)申请公布日 2012.04.11 C N 1 0 2 4 1 3 1 2 4 A *CN102413124A* (21)申请号 201110340788.7 (22)申请日 2011.11.02 H04L 29/06(2006.01) H04L 29/12(2006.01) (71)申请人深圳市共进电子股份有限公司 地址 518000 广东省深圳市南山区蛇口南海 大道1019号百盈医疗器械园二楼 (72)发明人欧军和 王志波 汪澜 朱余浩 (74)专利代理机构深圳市智科友专利商标事务 所 44241 代理人陈润生 (54) 发明名称 一。

2、种实现网络增强隔离区的方法 (57) 摘要 一种实现网络增强隔离区的方法,隔离区主 机通过带路由功能的通信终端与WAN相接,将所 述的DMZ主机的IP地址设置与通信终端的WAN接 口的IP地址相同。本发明由于将DMZ主机的IP 地址设置与通信终端的WAN接口的IP地址相同, 使进出DMZ主机的数据包得以快速完成。 (51)Int.Cl. (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 1 页 说明书 4 页 附图 2 页 CN 102413137 A 1/1页 2 1.一种实现网络增强隔离区的方法,DMZ主机通过带路由功能的通信终端与WAN相接, 其特征在于:将所述的D。

3、MZ主机的IP地址设置与通信终端的WAN接口的IP地址相同。 2.根据权利要求1所述的一种实现网络增强隔离区的方法,其特征在于:接收下行数 据包时包括以下步骤: 步骤A、在下行数据包进入通信终端后,比较所述的下行数据包的目的MAC地址,如果 目的MAC地址与通信终端WAN接口的MAC地址相同,接收该数据包; 步骤B、如果该数据包的目的端口是DMZ主机上开放的服务的端口,在下行包刚刚到达 防火墙时,mangle 数据包并通过nat将数据包的目的MAC地址改成DMZ主机的MAC地址; 步骤C、数据包被DMZ主机接收; 发送上行数据包时包括以下步骤: 步骤D、比较所述的上行数据包的MAC地址,如果源。

4、地址与DMZ主机的MAC地址相同,则 将所述的上行数据包的源地址修改为所述的通信终端WAN侧的MAC地址; 步骤E、将所述的上行数据包向WAN发送。 3.根据权利要求1所述的一种实现网络增强隔离区的方法,其特征在于:在所述的步 骤D之前,与LAN侧其它主机不在同一网段的DMZ主机需要一个代理ARP,包括以下步骤: 步骤D01、DMZ主机发出的ARP解析请求; 步骤D02、ARP代理解析后,不管DMZ主机的所要解析的IP地址是什么,ARP代理都反 馈给DMZ主机arp reply,并且解析到的MAC地址就是通信终端LAN接口的MAC地址。 权 利 要 求 书CN 102413124 A CN 1。

5、02413137 A 1/4页 3 一种实现网络增强隔离区的方法 技术领域 0001 本发明涉及网络通信数据安全领域,特别涉及一种增强网络隔离区安全性能的方 法。 背景技术 0002 在实际的网络应用中,有一些主机需要对外(如Internet)提供服务,如Web服务, E-mail服务。为了更好的对外提供服务,同时又要有效的保护内部网络的安全,就有必要将 这些需要对外提供服务的主机和内部的众多网络设备分隔开来。 0003 如图1所示是一种典型的网络结构示意图,在该结构中,有两种终端,这两种终端 分别是普通主机和DMZ主机,DMZ是Demilitarized Zone的缩写,即俗称的非军事区,也。

6、叫 隔离区,与军事区和信任区相对应,其作用是把WEB,e-mail,等允许外部访问的服务器单 独接在该区端口,使整个需要保护的内部网络接在信任区端口后,不允许任何访问,实现内 外网分离,达到用户的安全需求。通过DMZ内部网络与外网联系。 0004 在这样的组网方式中,如果DMZ区域和外部网络不是同一网段,那么,作为带路 由功能的通信终端,就需要对往来于DMZ和外部网络的数据包做NAPT( Network Address Port Translation,即网络端口地址转换)。但是目前,NAPT的性能不能满足用户的要求。 0005 如图2所示,为数据包正常转发流程,当数据通信终端,一般是带路由功。

7、能的通 信终端接收到数据包后,通过mangle数据包头,然后经过NAT进行端口地址转换,进入路 由决定由什么终端主机接收数据包,然后,根据接收到的数据包向外发送数据包,要经过 FORWARD上的mangle与filter,和POSTROUTING上的mangle与nat等才向外发送数据包。 0006 这里mangle、nat、filter等是linux的名词,其中 nat表 :地址转换表 filter表 :过滤表 mangle表 :这个没得中文名称,只能把他的工作描述一下:根据用户设置的 iptables规则来操作数据包的ttl(time to live)值, tos(type of serv。

8、ice)值,以及 mark值(这个值不会反映到离开本机后的数据包中,即仅在本机中使用)。 0007 这里iptables规则链就针对特定数据包的各种防火墙规则,按照顺序依次放入 对应的链中。 0008 一共有五条链。INPUT,OUTPUT,FORWARD,PREROUTING,POSTROUTING; INPUT: 当收到访问防火墙本地地址的数据包时,应用此链的规则; OUTPUT:当防火墙本机向外发出数据时,应用此链的规则。 0009 FORWARD:当收到要通过防火墙发送给其他网络地址的数据包时,应用此链的规 则。 0010 PREROUTING: 在对数据包做路由选择之前,应用此链的规。

9、则。 0011 POSTROUTING: 在对数据包做路由选择之后,应用此链的规则。 0012 在接收到的数据包进入防火墙内,PREROUTING链中由路由判断之前,改变包的 说 明 书CN 102413124 A CN 102413137 A 2/4页 4 TTS、TOS或者Mark 值,然后进行NAT,进行路由判断,FORWARD表示在最初的路由判断之后, 紧后一次更改包的目的之间改变包的TTS、TOS或者Mark 值,同时过所有不是本地产生并 且目的地不是本地的包。在所有路由判断之后,更改包的目的之间改变包的TTS、TOS或者 Mark 值并且在包要防火墙之前改变其源地址。 发明内容 0。

10、013 本发明的目的是设计一种增强隔离区(Supper-DMZ),以满足用户的需要。 0014 本发明实现其发明目的所采用的技术方案是,一种实现网络增强隔离区的方法, 隔离区主机通过带路由功能的通信终端与WAN相接,将所述的隔离区主机的IP地址设置与 通信终端的WAN接口的IP地址相同。 0015 进一步的,上述的一种实现网络增强隔离区的方法中:接收下行数据包时包括以 下步骤: 步骤A、在下行数据包进入通信终端后,比较所述的下行数据包的目的MAC地址,如果 目的MAC地址与通信终端WAN接口的MAC地址相同,接收该数据包; 步骤B、如果该数据包的目的端口是DMZ主机上开放的服务的端口,在下行包。

11、刚刚到达 防火墙时,mangle 数据包并通过nat将数据包的目的端的MAC地址改成DMZ主机的MAC地 址; 步骤C、数据包被DMZ主机接收; 发送上行数据包时包括以下步骤: 步骤D、比较所述的上行数据包的MAC地址,如果源地址与DMZ主机的MAC地址相同,则 将所述的上行数据包的源地址修改为所述的通信终端WAN侧的MAC地址; 步骤E、将所述的上行数据包向WAN发送。 0016 更进一步的,上述的一种实现网络增强隔离区的方法中:在所述的步骤D之前,与 LAN侧其它主机不在同一网段的DMZ主机需要一个代理ARP,包括以下步骤: 步骤D01、DMZ主机发出的ARP解析请求; 步骤D02、ARP。

12、代理解析后,不管DMZ主机的所要解析的IP地址是什么,ARP代理都反 馈给DMZ主机arp reply,并且解析到的MAC地址就是通信终端LAN接口的MAC地址。 0017 本发明由于将DMZ主机的IP地址设置与通信终端的WAN接口的IP地址相同,使 DMZ主机的数据包进出通信终端得以快速完成。 0018 下面结合附图和具体实施方式对本发明进行详细地说明。 附图说明 0019 图1是内外网络的拓扑结构示意图。 0020 图2是数据包进出非DMZ主机的流程图。 0021 图3是数据包进出非DMZ主机和DMZ主机的流程图。 具体实施方式 0022 实施例1,如图3所示,本实施例是将DMZ主机的上行。

13、数据包和下行数据包的流程 图,由于将DMZ主机的IP地址设置成与带路由功能的通信终端的WAN一侧的IP地址,使DMZ 说 明 书CN 102413124 A CN 102413137 A 3/4页 5 主机发送的上行数据直接向WAN发送,整个DMZ的数据包接收(下行数据包)和发送(上 行数据包)包括以下步骤: 接收下行数据包时包括以下步骤: 步骤A、在下行数据包进入通信终端后,比较所述的下行数据包的目的MAC地址,如果 目的MAC地址与通信终端WAN接口的MAC地址相同,接收该数据包; 步骤B、如果该数据包的接收终端是DMZ主机上开放的服务的端口,则将数据包的目的 端的MAC地址改成DMZ主机。

14、的MAC地址; 步骤C、下行包被DMZ主机接收; 发送上行数据包时包括以下步骤:此时与LAN侧其它主机不在同一网段的DMZ主机需 要一个代理ARP, 步骤D01、DMZ主机发出的ARP解析请求; 步骤D02、ARP代理解析后,不管DMZ主机的所要解析的IP地址是什么,ARP代理都反 馈给DMZ主机arp reply,并且解析到的MAC地址就是通信终端LAN接口的MAC地址。 0023 步骤D、比较所述的上行数据包的MAC地址,如果源地址与DMZ主机的MAC地址相 同,则将所述的上行数据包的源地址修改为所述的通信终端WAN侧的MAC地址; 步骤E、将所述的上行数据包向WAN发送。 0024 本实。

15、施例中,Supper-DMZ的最大特征就是DMZ主机的IP地址与通信终端的WAN接 口的IP地址相同。 0025 整个实现由三个部分组成: 第一部分:对下行数据包有条件的做目的MAC转换 所谓下行数据,就是由internet发往通信终端的数据。 0026 在下行数据包进入通信终端后(在PREROUTING链上),比较数据包的目的MAC地 址,如果目的MAC地址与通信终端WAN接口的MAC地址相同,并且数据包的目的端口是DMZ 主机上开放的服务的端口,那么就把数据包的目的MAC地址改成DMZ主机的MAC地址,并通 过iptables命令的ROUTE这个target把数据包的出接口强制改成通信终端。

16、LAN侧的接口, 并从LAN接口发送出去,从而到达DMZ主机(见图3)。否则,走数据包的正常转发流程(见图 2)。 0027 第二部分:对上行数据包有条件的做源MAC地址转换 这里所谓上行数据包,就是指由DMZ主机发出,到达其他主机的数据包。 0028 以以太网为例,对于上行数据包,比较数据包(非arp包)的目的MAC地址,如果 源MAC地址跟DMZ主机的MAC地址相同, 就通过iptables命令的ROUTE这个target把数 据包的源MAC地址改成通信终端的WAN接口的MAC地址,并把数据包从WAN接口发送出去。 0029 第三部分:在通信终端的LAN侧做一个ARP代理 由于DMZ主机是。

17、连接在通信终端的LAN侧的,但是DMZ主机的IP地址却是跟通信终端 WAN接口的IP地址一样的,所以DMZ主机的IP不会跟通信终端的LAN口IP在通一个网段, 因此,DMZ主机的默认网关就不可能是通信终端的LAN口的IP地址,这种情况下,对于DMZ 主机IP所在的网段来说,DMZ主机是一台被孤立的主机,所以,在发包前,它所能做的就是 试尝发送ARP解析请求,解析DMZ主机的默认网关,ARP解析成功,就把包发送出去,解析不 成功,就不发包。所以为了让DMZ主机能把数据包发送出去,在通信终端的LAN侧就需要做 说 明 书CN 102413124 A CN 102413137 A 4/4页 6 一个。

18、ARP代理,这个ARP代理完成这样的功能:只要是DMZ主机发出的ARP解析请求,不管 所要解析的IP地址是什么,ARP代理都反馈给DMZ主机arp reply,reply的内容是,我就 是你要解析的ip,你可以把包发送给我了。当包从DMZ主机发送到通信终端的LAN口后,再 根据实际应用做进一步的处理。 0030 本实施例中需要用到的: iptables ROUTE target 可以直接采用内核2.6.21中的ipt_ROUTE.ko xt_mac 内核2.6.21中的xt_mac只实现了根据源mac地址匹配,需要扩展支持目标mac地址 匹配 arp代理 本实施例需要下的规则: 对于下行数据流。

19、: 当数据包从Internet来到通信终端的wan口,在linux的mangle表的PREROUTING链 中,如果符合规则,那么就会修改数据包的目的mac地址为DMZ主机的mac地址,并从lan 接口发送出去。 0031 需要加下面这样一条规则(本实施例中,假设通信终端Wan侧建立的虚设备是 vnet_1,其mac地址是AA,Lan侧是br1,DMZ主机mac地址是EE): 快速转发数据包的规则(并同时修改目的mac地址为EE,以DMZ主机开启了web服务为 例): Iptables t mangle A PREROUTING m mac mac-destination AA -p tcp 。

20、-dport 80 j ROUTE oif br1 注意:这条SuperDMZ规则添加在PREROUTING链的末尾。 0032 对于上行数据流: 本实施例中,假设通信终端Wan侧建立的虚设备是vnet_1,其mac地址是AA,DMZ主机 mac地址是EE iptables -t mangle -A PREROUTING -m mac -mac-source EE -j ROUTE -oif vnet_1 注意:这条SuperDMZ规则添加在PREROUTING链的末尾。 0033 2.3 arp代理在上行的报文中可以看出,目标mac地址是ZZ,显然,在CPE的桥上, 是没有ZZ记录的,因此,需要加入arp代理功能。在内核2.6.21中的,建立了一个arp代 理模块,模块处理的参数是SuperDMZ绑定的Lan侧DMZ主机的mac地址EE,简单来说,该 arp的功能是,若发现包的源mac地址是EE,则回应br1的mac地址。 说 明 书CN 102413124 A CN 102413137 A 1/2页 7 图1 图2 说 明 书 附 图CN 102413124 A CN 102413137 A 2/2页 8 图3 说 明 书 附 图CN 102413124 A 。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 电学 > 电通信技术


copyright@ 2017-2020 zhuanlichaxun.net网站版权所有
经营许可证编号:粤ICP备2021068784号-1