專利名稱:一種實(shí)現(xiàn)服務(wù)器安全隔離的方法及裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及信息安全技術(shù),尤其涉及一種實(shí)現(xiàn)服務(wù)器安全隔離的方法及裝置�����。
背景技術(shù):
擁有大量的用戶和訪問(wèn)量是信息服務(wù)提供者的目標(biāo)���,但大量的訪問(wèn)會(huì)給
服務(wù)器帶來(lái)沉重的負(fù)擔(dān)����,隨著Internet應(yīng)用服務(wù)用戶人數(shù)的不斷增加��,服務(wù) 器的數(shù)據(jù)量也在不斷增加�����。目前的數(shù)據(jù)中心網(wǎng)絡(luò)中存在大量的服務(wù)器,小規(guī) 模的數(shù)據(jù)中心有幾十臺(tái)服務(wù)器����,大量的數(shù)據(jù)中心有數(shù)千臺(tái)乃至上萬(wàn)的服務(wù) 器。如此規(guī)模的服務(wù)器群組��,相互之間的數(shù)據(jù)同步�����、交換是必然的�����。但是���, 這些服務(wù)器之間的同步���、交換數(shù)據(jù)必須通過(guò)防火墻進(jìn)行控制,才能保證整個(gè) 數(shù)據(jù)中心服務(wù)器的安全��。舉個(gè)簡(jiǎn)單的例子,有一臺(tái)服務(wù)器因?yàn)榇嬖诼┒椿蛘?安全配置不合理導(dǎo)致中了病毒�����,如果服務(wù)器之間通信不受控���,這臺(tái)服務(wù)器上 的病毒很快就可以通過(guò)二層交換網(wǎng)絡(luò)傳播到整個(gè)數(shù)據(jù)中心所有的服務(wù)器上, 導(dǎo)致整個(gè)數(shù)據(jù)中心癱瘓���。
上述安全隔離的問(wèn)題不僅僅存在于數(shù)據(jù)中心的服務(wù)器群組中�,在絕大多 數(shù)企業(yè)局域網(wǎng)中�����,也存在同樣的安全隔離需求��。企業(yè)的各個(gè)部門業(yè)務(wù)不同��、 安全要求不同�,彼此之間有通信需求,但這些通信必須是受控的�。舉個(gè)例子 財(cái)務(wù)部門、人事部門����、生產(chǎn)部門這三個(gè)部門之間有通信需求��,但由于財(cái)務(wù)部 門關(guān)系企業(yè)的經(jīng)濟(jì)命脈�,因此不是其它部門可以隨便進(jìn)出的自由場(chǎng)地�����,只有 極個(gè)別有需要���、也有權(quán)限的其他部門的人員才可以訪問(wèn)財(cái)務(wù)部門的網(wǎng)絡(luò)�����。也 就是說(shuō)�����,企業(yè)各部門之間的網(wǎng)絡(luò)不能二層互通����,必須通過(guò)防火墻進(jìn)行受控的 互訪���。
目前���,常用的服務(wù)器安全隔離技術(shù)是基于虛擬局域網(wǎng)(Vlan)進(jìn)行的�����。 圖1示出了基于Vlan的服務(wù)器安全隔離組網(wǎng)圖���,需要受控互訪的服務(wù)器 (Server)被規(guī)劃到不同的Vlan中���,不同Vlan中的服務(wù)器要實(shí)現(xiàn)互訪必須 通過(guò)防火墻網(wǎng)關(guān)(FW)進(jìn)行安全控制��,以此來(lái)保證服務(wù)器之間的二層隔離����。 舉個(gè)例子�����,假設(shè)Vlanl (VI)中的服務(wù)器要訪問(wèn)Vlan3 ( V3 )中的服務(wù)器���, 則VI服務(wù)器發(fā)出的訪問(wèn)請(qǐng)求必須先經(jīng)接入交換機(jī)(Access Switch)和核心 交換機(jī)(Core Switch)到達(dá)防火墻網(wǎng)關(guān)FW進(jìn)行安全控制后�����,才能最終到達(dá) V3服務(wù)器��,而不能通過(guò)接入交換機(jī)直接轉(zhuǎn)發(fā)�。
上述基于Vlan的服務(wù)器安全隔離方案雖然組網(wǎng)簡(jiǎn)單、易于理解和布署�����, 但同時(shí)也存在以下缺陷
一���、 配置復(fù)雜
在服務(wù)器數(shù)量較多的數(shù)據(jù)中心或企業(yè)部門較多的局域網(wǎng)中����,為了保證各 服務(wù)器之間的安全隔離��,需要為每一臺(tái)服務(wù)器都分配一個(gè)Vlan�。如圖1所示, Vlan的數(shù)量可以達(dá)到2000甚至4000,如此大規(guī)模的Vlan會(huì)使配置非常復(fù)雜���。
二���、 系統(tǒng)性能嚴(yán)重下降
在數(shù)據(jù)中心和絕大部分局域網(wǎng)中,為了提高網(wǎng)絡(luò)的可用性��,必須對(duì)網(wǎng)絡(luò) 進(jìn)行冗余設(shè)計(jì)。目前最常見的方式就是多生成樹協(xié)議(MSTP) +虛擬路由器 冗余協(xié)議(VRRP)的方式��,其中�����,MSTP保證接入交換機(jī)與核心交換機(jī)之 間的鏈路冗余與高可用�����;VRRP保證防火墻網(wǎng)關(guān)的冗余與高可用�����。在Vlan 數(shù)量增大的同時(shí)���,MSTP的負(fù)荷也急劇增大,這會(huì)嚴(yán)重影響接入交換機(jī)和核 心交換機(jī)的性能�,降低交換機(jī)的轉(zhuǎn)發(fā)效率。更嚴(yán)重的是���,每一個(gè)Vlan都會(huì) 對(duì)應(yīng)一個(gè)獨(dú)立的網(wǎng)關(guān)(地址)�����,而每一個(gè)獨(dú)立的網(wǎng)關(guān)(地址)又會(huì)對(duì)應(yīng)一個(gè) 獨(dú)立的VRRP組��。鑒于VRRP組周期性的心跳交互會(huì)嚴(yán)重影響防火墻的性能����, 因此目前防火墻上的VRRP組規(guī)格都有嚴(yán)格的限制, 一般高端防火墻的 VRRP組上限不會(huì)超過(guò)200個(gè)����。正常情況下,50~80個(gè)VRRP組的負(fù)荷就會(huì) 導(dǎo)致防火墻性能的急劇下降�,如果在數(shù)據(jù)中心中出現(xiàn)成百上千的Vlan,就意
味著同樣數(shù)量的VRRP組��,這樣規(guī)模的VRRP組規(guī)格是任何防火墻也無(wú)法負(fù)擔(dān)的�。
為了克服上述兩個(gè)問(wèn)題,唯一可行的方式就是將一定數(shù)量的服務(wù)器劃 分在同一個(gè)Vlan內(nèi)����,以降低Vlan的數(shù)量,減輕防火墻和交換機(jī)的負(fù)荷����。但 這樣做的缺點(diǎn)是,雖然不同Vlan之間服務(wù)器的互訪是受控的�����,但對(duì)于劃分 在同一 Vlan內(nèi)的服務(wù)器而言,它們之間的互訪是不受控的�����,存在較為嚴(yán)重 的安全隱患�。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的目的在于提供一種實(shí)現(xiàn)服務(wù)器安全隔離的方法及裝 置�����,不僅可以通過(guò)很少數(shù)量的Vlan實(shí)現(xiàn)服務(wù)器的安全隔離��,減輕防火墻和 交換機(jī)的負(fù)荷�,同時(shí)也能夠保證同一 Vlan內(nèi)各服務(wù)器之間的安全互訪���,為 用戶提供一種簡(jiǎn)化的���、高性能的服務(wù)器安全隔離方案。
為達(dá)到上述目的���,本發(fā)明提供的技術(shù)方案如下
一種實(shí)現(xiàn)服務(wù)器安全隔離的方法����,適用于將一定數(shù)量的服務(wù)器劃分在同 一 Vlan內(nèi)的服務(wù)器安全隔離組網(wǎng)結(jié)構(gòu),當(dāng)位于同一 Vlan內(nèi)的第一服務(wù)器訪 問(wèn)第二服務(wù)器時(shí)�,包括以下步驟
第一服務(wù)器發(fā)出ARP請(qǐng)求,請(qǐng)求獲取第二服務(wù)器的MAC地址��;
接入交換機(jī)收到第一服務(wù)器發(fā)起的ARP請(qǐng)求后���,將防火墻網(wǎng)關(guān)的MAC 地址返回給第一服務(wù)器�;
第一服務(wù)器以接入交換機(jī)返回的防火墻網(wǎng)關(guān)的MAC地址作為目的 MAC地址發(fā)起訪問(wèn)請(qǐng)求�����;
防火墻網(wǎng)關(guān)對(duì)收到的訪問(wèn)請(qǐng)求進(jìn)行安全控制處理�,并將處理后的訪問(wèn)請(qǐng) 求轉(zhuǎn)發(fā)給第二服務(wù)器。
所述將防火墻網(wǎng)關(guān)的MAC地址返回給第 一服務(wù)器的操作由接入交換機(jī) 的ARP代理完成���。
當(dāng)所述服務(wù)器安全隔離組網(wǎng)結(jié)構(gòu)中包括兩個(gè)防火墻網(wǎng)關(guān)且這兩個(gè)防火
墻網(wǎng)關(guān)配置了 VRRP組時(shí)���,所述防火墻網(wǎng)關(guān)的MAC地址為VRRP組的虛 MAC地址,所述接入交換機(jī)將收到的目的MAC地址為防火墻網(wǎng)關(guān)MAC地 址的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給VRRP組中的主用防火墻網(wǎng)關(guān)處理���。 當(dāng)主用防火墻網(wǎng)關(guān)出現(xiàn)異常時(shí)�����,該方法進(jìn)一步包括 備用防火墻網(wǎng)關(guān)升級(jí)為主用防火墻網(wǎng)關(guān)���,重新發(fā)布ARP信息��; 接入交換機(jī)收到防火墻網(wǎng)關(guān)發(fā)布的ARP信息后���,更新自身的ARP表, 并在收到同一 Vlan內(nèi)服務(wù)器互訪的ARP請(qǐng)求時(shí)��,查詢更新后的ARP表��, 將新的主用防火墻網(wǎng)關(guān)的MAC地址作為目的MAC地址返回給發(fā)起ARP請(qǐng) 求的服務(wù)器��,并在收到目的MAC地址為防火墻網(wǎng)關(guān)MAC地址的訪問(wèn)請(qǐng)求 時(shí)�,將收到的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給新的主用防火墻網(wǎng)關(guān)處理。
該方法進(jìn)一步包括所述接入交換機(jī)丟棄所有來(lái)自服務(wù)器的目的MAC 地址為非防火墻網(wǎng)關(guān)MAC地址的單播數(shù)據(jù)�,以及只轉(zhuǎn)發(fā)來(lái)自服務(wù)器的ARP 廣播消息和DHCP廣播消息���,其它廣播消息一概丟棄����。
一種接入交換機(jī),位于包括核心交換機(jī)��、防火墻網(wǎng)關(guān)和服務(wù)器的服務(wù)器 安全隔離組網(wǎng)結(jié)構(gòu)中�����,且所述組網(wǎng)中一定數(shù)量的服務(wù)器被劃分在同一 Vlan 內(nèi)�,該接入交換機(jī)包括服務(wù)器側(cè)信息收發(fā)單元、ARP請(qǐng)求處理單元和訪問(wèn) 請(qǐng)求處理單元��,其中�����,
服務(wù)器側(cè)信息收發(fā)單元��,用于接收第一服務(wù)器發(fā)起的請(qǐng)求獲取位于同一 Vlan內(nèi)的第二服務(wù)器的MAC地址的ARP請(qǐng)求�,將收到的ARP請(qǐng)求發(fā)送給 ARP請(qǐng)求處理單元;以及��,接收第一服務(wù)器發(fā)起的目的MAC地址為防火墻 網(wǎng)關(guān)MAC地址的訪問(wèn)第二服務(wù)器的訪問(wèn)請(qǐng)求����,將收到的訪問(wèn)請(qǐng)求發(fā)送給訪 問(wèn)請(qǐng)求處理單元;
ARP請(qǐng)求處理單元,用于在收到所述ARP請(qǐng)求后���,將防火墻網(wǎng)關(guān)的 MAC地址返回給第一服務(wù)器��;
訪問(wèn)請(qǐng)求處理單元�,用于將所述訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給防火墻網(wǎng)關(guān)��,并將經(jīng)防 火墻網(wǎng)關(guān)安全處理后的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給第二服務(wù)器���。
當(dāng)所述服務(wù)器安全隔離組網(wǎng)結(jié)構(gòu)中包括兩個(gè)防火墻網(wǎng)關(guān)且這兩個(gè)防火
墻網(wǎng)關(guān)配置了 VRRP組時(shí)�����,所述防火墻網(wǎng)關(guān)的MAC地址為VRRP組的虛 MAC地址����,所述訪問(wèn)請(qǐng)求處理單元將收到的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給VRRP組中的 主用防火墻網(wǎng)關(guān)處理�����。
當(dāng)主用防火墻網(wǎng)關(guān)出現(xiàn)異常時(shí)����,VRRP組中的備用防火墻網(wǎng)關(guān)升級(jí)為主 用防火墻網(wǎng)關(guān)�,重新發(fā)布ARP信息���;
所述ARP請(qǐng)求處理單元根據(jù)防火墻網(wǎng)關(guān)發(fā)布的ARP信息更新自身的 ARP表,在收到同一 Vlan內(nèi)服務(wù)器互訪的ARP請(qǐng)求時(shí)���,查詢更新后的ARP 表��,將新的主用防火墻網(wǎng)關(guān)的MAC地址作為目的MAC地址返回給發(fā)起ARP 請(qǐng)求的服務(wù)器����;
所述訪問(wèn)請(qǐng)求處理單元在收到目的MAC地址為防火墻網(wǎng)關(guān)MAC地址 的訪問(wèn)請(qǐng)求后�,將收到的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給新的主用防火墻網(wǎng)關(guān)處理。
所述服務(wù)器側(cè)信息收發(fā)單元進(jìn)一步用于�����,丟棄所有來(lái)自服務(wù)器的目的 MAC地址為非防火墻網(wǎng)關(guān)MAC地址的單播數(shù)據(jù)��,以及只轉(zhuǎn)發(fā)來(lái)自服務(wù)器 的ARP廣播消息和DHCP廣播消息����,其它廣播消息 一概丟棄。
由此可見���,本發(fā)明通過(guò)在服務(wù)器的二層接入交換機(jī)上啟動(dòng)ARP代理功 能���,實(shí)現(xiàn)了同一Vlan內(nèi)各服務(wù)器之間的二層隔離����,保證了同一Vlan內(nèi)各服 務(wù)器間的互訪必須通過(guò)防火墻網(wǎng)關(guān)的控制����。這樣不僅可以通過(guò)很少數(shù)量的 Vlan實(shí)現(xiàn)服務(wù)器的安全隔離,減輕防火墻和交換機(jī)的負(fù)荷��,同時(shí)也能夠保證 同一 Vlan內(nèi)各服務(wù)器之間互訪的安全性��,為用戶提供了一種簡(jiǎn)化的����、高性 能的服務(wù)器安全隔離方案。
圖1為現(xiàn)有技術(shù)中基于Vlan的服務(wù)器安全隔離組網(wǎng)圖�����; 圖2為本發(fā)明實(shí)施例中基于ARP代理的服務(wù)器安全隔離組網(wǎng)圖�����; 圖3為圖2中Server 1訪問(wèn)Server3的流程圖; 圖4為Server 1訪問(wèn)Server3的信號(hào)走向圖5為主用防火墻網(wǎng)關(guān)出現(xiàn)異常時(shí)Serverl訪問(wèn)Server3的流程圖6為主用防火墻網(wǎng)關(guān)出現(xiàn)異常時(shí)Serverl訪問(wèn)Server3的信號(hào)走向圖�����; 圖7為本發(fā)明實(shí)施例中接入交換機(jī)的結(jié)構(gòu)示意圖���。
具體實(shí)施例方式
為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白����,下面參照附圖并舉 實(shí)施例,對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明����。
本發(fā)明的基本思想是在服務(wù)器的二層接入交換機(jī)上啟動(dòng)地址解析協(xié)議 (ARP)代理功能,通過(guò)ARP代理技術(shù)實(shí)現(xiàn)同一 Vlan內(nèi)各服務(wù)器間的二層 隔離�,保證各服務(wù)器之間的互訪必須通過(guò)防火墻網(wǎng)關(guān)的控制。
圖2示出了本發(fā)明實(shí)施例中基于ARP代理的服務(wù)器安全隔離組網(wǎng)圖�����, 包括服務(wù)器��、接入交換機(jī)�����、核心交換機(jī)和防火墻網(wǎng)關(guān)。其中��,服務(wù)器按照業(yè) 務(wù)進(jìn)行分組���,同 一組服務(wù)器規(guī)劃在同 一個(gè)Vlan內(nèi)����,以降低網(wǎng)絡(luò)內(nèi)Vlan的數(shù) 量���;接入交換機(jī)啟動(dòng)ARP代理功能�;核心交換才幾在防火墻網(wǎng)關(guān)和接入交換 機(jī)端口之間配置二層透明轉(zhuǎn)發(fā)���;為保證接入交換機(jī)與核心交換機(jī)之間的鏈路 冗余與高可用性�����,配置MSTP;為保證防火墻網(wǎng)關(guān)的冗余與高可靠性���,兩側(cè) 的防火墻網(wǎng)關(guān)配置VRRP組,MSTP和VRRP的配置與現(xiàn)有技術(shù)相同�����,這里 不再贅述;服務(wù)器的網(wǎng)關(guān)是防火墻�����,接入交換機(jī)上配置的防火墻網(wǎng)關(guān)IP地 址是VRRP組的虛IP地址��。
下面以圖2中Vlanl內(nèi)的服務(wù)器Server 1訪問(wèn)Server3為例���,說(shuō)明本發(fā) 明提供的服務(wù)器安全隔離方法。圖3示出了本例中Serverl訪問(wèn)Server3的 流程圖��,包括以下步驟
步驟301: Server 1發(fā)出ARP請(qǐng)求���,請(qǐng)求獲得Server3的媒質(zhì)接入控制 (MAC)地址���。
步驟302:接入交換機(jī)收到Serverl發(fā)起的ARP請(qǐng)求后,向Serverl返 回ARP響應(yīng)��,其中攜帶防火墻網(wǎng)關(guān)的MAC地址����。
接入交換機(jī)可以才艮據(jù)自身上配置的網(wǎng)關(guān)IP地址(VRRP組的虛IP地址) 查詢自身的ARP表�,
步驟302由接入交換機(jī)上的ARP代理完成���。
步驟303: Server 1收到ARP響應(yīng)后�����,向Server3發(fā)起訪問(wèn)請(qǐng)求�,該訪 問(wèn)請(qǐng)求的目的IP地址是Server3的IP地址�,但目的MAC地址卻是接入交換 才幾返回的防火墻網(wǎng)關(guān)的MAC地址。
步驟304:接入交換機(jī)收到Serverl發(fā)起的訪問(wèn)請(qǐng)求后�����,通過(guò)核心交換 機(jī)將該訪問(wèn)請(qǐng)求二層透明轉(zhuǎn)發(fā)給防火墻網(wǎng)關(guān)�。
圖2中有兩個(gè)防火墻網(wǎng)關(guān),本步驟中訪問(wèn)請(qǐng)求被轉(zhuǎn)發(fā)的防火墻網(wǎng)關(guān)指的 是VRRP組中的主用防火墻網(wǎng)關(guān)(本例中假設(shè)為圖2左側(cè)的防火墻網(wǎng)關(guān))�����。
步驟305:防火墻網(wǎng)關(guān)對(duì)收到的訪問(wèn)請(qǐng)求進(jìn)行安全控制處理��,將處理后 的訪問(wèn)請(qǐng)求通過(guò)核心交換機(jī)和接入交換機(jī)轉(zhuǎn)發(fā)給Server3��。
其中�,防火墻網(wǎng)關(guān)是根據(jù)訪問(wèn)請(qǐng)求中攜帶的目的IP地址進(jìn)行報(bào)文轉(zhuǎn)發(fā) 的�。本例中��,訪問(wèn)請(qǐng)求中攜帶的目的IP地址是Server3的IP地址�����,防火墻 網(wǎng)關(guān)才艮據(jù)該目的IP地址查詢ARP表獲取對(duì)應(yīng)的MAC地址���,然后才艮據(jù)獲取 的MAC地址將安全處理后的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給Server3��。
圖4示出了本例中Serverl訪問(wèn)Server3的信號(hào)走向圖�����。通過(guò)圖3所示 的處理流程后,同一 Vlan內(nèi)所有服務(wù)器發(fā)出的流量的目的MAC地址都將是 防火墻網(wǎng)關(guān)VRRP組的虛地址��,這樣Serverl發(fā)往Server3的流量就不會(huì)通 過(guò)接入交換機(jī)直接二層轉(zhuǎn)發(fā)給Server3�,而是必須先通過(guò)接入交換才幾和核心 交換機(jī)轉(zhuǎn)發(fā)到防火墻網(wǎng)關(guān),經(jīng)過(guò)防火墻的安全控制處理后才能轉(zhuǎn)發(fā)到 Server3, /人而保證了同一 Vlan內(nèi)服務(wù)器互訪的安全性�����。
以上對(duì)主用防火墻網(wǎng)關(guān)正常時(shí)的服務(wù)器互訪流程進(jìn)行了說(shuō)明�,下面闡述 一下主用防火墻網(wǎng)關(guān)出現(xiàn)異常時(shí)的處理過(guò)程����。
在圖2中����,當(dāng)左側(cè)的主用防火墻網(wǎng)關(guān)(或鏈路)出現(xiàn)異常時(shí),通過(guò)VRRP 機(jī)制右側(cè)的備用防火墻網(wǎng)關(guān)將迅速升級(jí)為主用防火墻網(wǎng)關(guān)�。此時(shí),新的主用 防火墻網(wǎng)關(guān)會(huì)重新發(fā)布ARP信息��,接入交換機(jī)收到新主用防火墻網(wǎng)關(guān)發(fā)布 的ARP信息后�,更新自己的ARP表,之后根據(jù)更新后的ARP表進(jìn)行報(bào)文 轉(zhuǎn)發(fā)�。
圖5示出了左側(cè)防火墻網(wǎng)關(guān)出現(xiàn)異常時(shí)Serverl訪問(wèn)Server3的流程圖, 包括以下步驟
步驟501: Serverl發(fā)出ARP請(qǐng)求��,請(qǐng)求獲得Server3的MAC地址�。 步驟502:接入交換機(jī)收到Serverl發(fā)起的ARP請(qǐng)求后,查詢更新后的
ARP表��,以新的防火墻網(wǎng)關(guān)的MAC地址作為響應(yīng)的MAC地址���,向Serverl
返回ARP響應(yīng)�����。
步驟503: Serverl收到ARP響應(yīng)后��,以新的防火墻網(wǎng)關(guān)MAC地址作 為目的MAC地址��,向Server3發(fā)起訪問(wèn)請(qǐng)求��。
步驟504:接入交換機(jī)通過(guò)核心交換機(jī)將該訪問(wèn)請(qǐng)求二層透明轉(zhuǎn)發(fā)給新 的防火墻網(wǎng)關(guān)即右側(cè)主用防火墻網(wǎng)關(guān)�。
步驟505:右側(cè)主用防火墻網(wǎng)關(guān)對(duì)收到的訪問(wèn)請(qǐng)求進(jìn)行安全控制處理, 并將處理后的訪問(wèn)請(qǐng)求通過(guò)核心交換才幾和4妄入交換4幾轉(zhuǎn)發(fā)給Server3���。
圖6示出了左側(cè)防火墻網(wǎng)關(guān)出現(xiàn)異常時(shí)Serverl訪問(wèn)Server3的信號(hào)走 向圖�,Serverl發(fā)出的訪問(wèn)Server3的請(qǐng)求不會(huì)通過(guò)4妄入交換機(jī)直接二層轉(zhuǎn)發(fā) 給Server3����,而是先通過(guò)接入交換機(jī)和核心交換機(jī)轉(zhuǎn)發(fā)到右側(cè)防火墻網(wǎng)關(guān)進(jìn) 行安全控制處理。
另外��,為了進(jìn)一步保證安全��,接入交換機(jī)可以對(duì)來(lái)自服務(wù)器端的數(shù)據(jù)流 進(jìn)行過(guò)濾���,以避免他人惡意攻擊,比如丟棄所有來(lái)自服務(wù)器的目的MAC 地址為非防火墻網(wǎng)關(guān)MAC地址的單播數(shù)據(jù);只轉(zhuǎn)發(fā)來(lái)自服務(wù)器的ARP廣播 消息和動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)廣播消息����,其它廣播消息一概丟棄。
相應(yīng)地�,本發(fā)明還提供了一種位于基于Vlan的服務(wù)器安全隔離組網(wǎng)結(jié) 構(gòu)中的接入服務(wù)器,所述組網(wǎng)中還包括核心交換機(jī)�、防火墻網(wǎng)關(guān)和服務(wù)器, 且一定數(shù)量的服務(wù)器被劃分在同一 Vlan內(nèi)���。
圖7示出了該接入交換機(jī)結(jié)構(gòu)�����,包括服務(wù)器側(cè)信息收發(fā)單元���、ARP 請(qǐng)求處理單元和訪問(wèn)請(qǐng)求處理單元。其中�,
服務(wù)器側(cè)信息收發(fā)單元,用于接收第 一服務(wù)器發(fā)起的請(qǐng)求獲取位于同一 Vlan內(nèi)的第二服務(wù)器的MAC地址的ARP請(qǐng)求���,將收到的ARP請(qǐng)求發(fā)送給
ARP請(qǐng)求處理單元�;以及�����,接收第一服務(wù)器發(fā)起的目的MAC地址為防火墻 網(wǎng)關(guān)MAC地址的訪問(wèn)第二服務(wù)器的訪問(wèn)請(qǐng)求,將收到的訪問(wèn)請(qǐng)求發(fā)送給訪 問(wèn)請(qǐng)求處理單元����;
ARP請(qǐng)求處理單元,用于在收到所述ARP請(qǐng)求后�����,將防火墻網(wǎng)關(guān)的 MAC地址返回給第一服務(wù)器�����;
訪問(wèn)請(qǐng)求處理單元����,用于將所述訪問(wèn)請(qǐng)求通過(guò)核心交換機(jī)轉(zhuǎn)發(fā)給防火墻 網(wǎng)關(guān),并將經(jīng)防火墻網(wǎng)關(guān)安全處理后的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給第二服務(wù)器�。
當(dāng)所述服務(wù)器安全隔離組網(wǎng)結(jié)構(gòu)中包括兩個(gè)防火墻網(wǎng)關(guān)且這兩個(gè)防火 墻網(wǎng)關(guān)配置了 VRRP組時(shí),所述防火墻網(wǎng)關(guān)的MAC地址為VRRP組的虛 MAC地址��,所述訪問(wèn)請(qǐng)求處理單元將收到的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給VRRP組中的 主用防火墻網(wǎng)關(guān)處理��。
當(dāng)主用防火墻網(wǎng)關(guān)出現(xiàn)異常時(shí)���,V RRP組中的備用防火墻網(wǎng)關(guān)升級(jí)為主 用防火墻網(wǎng)關(guān)��,重新發(fā)布ARP信息���;
所述ARP請(qǐng)求處理單元根據(jù)防火墻網(wǎng)關(guān)發(fā)布的ARP信息更新自身的 ARP表,在收到同一 Vlan內(nèi)服務(wù)器互訪的ARP請(qǐng)求時(shí)�,查詢更新后的ARP 表,將新的主用防火墻網(wǎng)關(guān)的MAC地址作為目的MAC地址返回給發(fā)起ARP 請(qǐng)求的服務(wù)器���;
所述訪問(wèn)請(qǐng)求處理單元在收到目的MAC地址為防火墻網(wǎng)關(guān)MAC地址 的訪問(wèn)請(qǐng)求后�����,將收到的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給新的主用防火墻網(wǎng)關(guān)處理�����。
所述服務(wù)器側(cè)信息收發(fā)單元進(jìn)一步用于��,丟棄所有來(lái)自服務(wù)器的目的 MAC地址為非防火墻網(wǎng)關(guān)MAC地址的單播數(shù)據(jù)��,以及只轉(zhuǎn)發(fā)來(lái)自服務(wù)器 的ARP廣播消息和DHCP廣播消息��,其它廣播消息一概丟棄���。
以上所述對(duì)本發(fā)明的目的��、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步的詳細(xì)說(shuō) 明��,所應(yīng)理解的是���,以上所述并不用以限制本發(fā)明,凡在本發(fā)明的精神和原 則之內(nèi)����,所做的任何修改、等同替換��、改進(jìn)等�,均應(yīng)包含在本發(fā)明的保護(hù)范 圍之內(nèi)。
權(quán)利要求
1�、一種實(shí)現(xiàn)服務(wù)器安全隔離的方法,適用于將一定數(shù)量的服務(wù)器劃分在同一Vlan內(nèi)的服務(wù)器安全隔離組網(wǎng)結(jié)構(gòu)�,其特征在于,當(dāng)位于同一Vlan內(nèi)的第一服務(wù)器訪問(wèn)第二服務(wù)器時(shí)�����,包括以下步驟:第一服務(wù)器發(fā)出ARP請(qǐng)求�����,請(qǐng)求獲取第二服務(wù)器的MAC地址����;接入交換機(jī)收到第一服務(wù)器發(fā)起的ARP請(qǐng)求后,將防火墻網(wǎng)關(guān)的MAC地址返回給第一服務(wù)器����;第一服務(wù)器以接入交換機(jī)返回的防火墻網(wǎng)關(guān)的MAC地址作為目的MAC地址發(fā)起訪問(wèn)請(qǐng)求;防火墻網(wǎng)關(guān)對(duì)收到的訪問(wèn)請(qǐng)求進(jìn)行安全控制處理���,并將處理后的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給第二服務(wù)器��。
2��、 根據(jù)權(quán)利要求1所述的方法�����,其特征在于���,所述將防火墻網(wǎng)關(guān)的MAC 地址返回給第一服務(wù)器的操作由接入交換機(jī)的ARP代理完成。
3�、 根據(jù)權(quán)利要求1所述的方法���,其特征在于,當(dāng)所述服務(wù)器安全隔離組網(wǎng) 結(jié)構(gòu)中包括兩個(gè)防火墻網(wǎng)關(guān)且這兩個(gè)防火墻網(wǎng)關(guān)配置了 VRRP組時(shí)�����,所述防火 墻網(wǎng)關(guān)的MAC地址為VRRP組的虛MAC地址����,所述接入交換機(jī)將收到的目 的MAC地址為防火墻網(wǎng)關(guān)MAC地址的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給VRRP組中的主用防 火墻網(wǎng)關(guān)處理。
4���、 根據(jù)權(quán)利要求3所述的方法�����,其特征在于��,當(dāng)主用防火墻網(wǎng)關(guān)出現(xiàn)異常 時(shí)���,該方法進(jìn)一步包括備用防火墻網(wǎng)關(guān)升級(jí)為主用防火墻網(wǎng)關(guān),重新發(fā)布ARP信息����; 接入交換機(jī)收到防火墻網(wǎng)關(guān)發(fā)布的ARP信息后���,更新自身的ARP表,并 在收到同一 Vlan內(nèi)服務(wù)器互訪的ARP請(qǐng)求時(shí)��,查詢更新后的ARP表�,將新的 主用防火墻網(wǎng)關(guān)的MAC地址作為目的MAC地址返回給發(fā)起ARP請(qǐng)求的服務(wù) 器����,并在收到目的MAC地址為防火墻網(wǎng)關(guān)MAC地址的訪問(wèn)請(qǐng)求時(shí),將收到的 訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給新的主用防火墻網(wǎng)關(guān)處理�。
5、 根據(jù)權(quán)利要求1至4任一項(xiàng)所述的方法�,其特征在于,該方法進(jìn)一步包 括所述接入交換機(jī)丟棄所有來(lái)自服務(wù)器的目的MAC地址為非防火墻網(wǎng)關(guān) MAC地址的單播數(shù)據(jù)��,以及只轉(zhuǎn)發(fā)來(lái)自服務(wù)器的ARP廣播消息和DHCP廣播 消息�,其它廣播消息一概丟棄。
6��、 一種接入交換機(jī)�����,位于包括核心交換機(jī)���、防火墻網(wǎng)關(guān)和服務(wù)器的服務(wù)器 安全隔離組網(wǎng)結(jié)構(gòu)中���,且所述組網(wǎng)中 一定數(shù)量的服務(wù)器被劃分在同一 Vlan內(nèi)�, 其特征在于����,該接入交換機(jī)包括服務(wù)器側(cè)信息收發(fā)單元、ARP請(qǐng)求處理單元 和訪問(wèn)請(qǐng)求處理單元���,其中����,服務(wù)器側(cè)信息收發(fā)單元�,用于接收第一服務(wù)器發(fā)起的請(qǐng)求獲取位于同一 Vlan內(nèi)的第二服務(wù)器的MAC地址的ARP請(qǐng)求,將收到的ARP請(qǐng)求發(fā)送給ARP 請(qǐng)求處理單元�;以及,接收第 一服務(wù)器發(fā)起的目的MAC地址為防火墻網(wǎng)關(guān)MAC 地址的訪問(wèn)第二服務(wù)器的訪問(wèn)請(qǐng)求,將收到的訪問(wèn)請(qǐng)求發(fā)送給訪問(wèn)請(qǐng)求處理單元��;ARP請(qǐng)求處理單元����,用于在收到所述ARP請(qǐng)求后,將防火墻網(wǎng)關(guān)的MAC 地址返回給第一服務(wù)器;訪問(wèn)請(qǐng)求處理單元�,用于將所述訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給防火墻網(wǎng)關(guān),并將經(jīng)防火 墻網(wǎng)關(guān)安全處理后的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給第二服務(wù)器��。
7�、 根據(jù)權(quán)利要求6所述的接入交換機(jī),其特征在于����,當(dāng)所述服務(wù)器安全隔 離組網(wǎng)結(jié)構(gòu)中包括兩個(gè)防火墻網(wǎng)關(guān)且這兩個(gè)防火墻網(wǎng)關(guān)配置了 VRRP組時(shí),所 述防火墻網(wǎng)關(guān)的MAC地址為VRRP組的虛MAC地址�����,所述訪問(wèn)請(qǐng)求處理單 元將收到的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給VRRP組中的主用防火墻網(wǎng)關(guān)處理��。
8��、 根據(jù)權(quán)利要求7所述的接入交換機(jī)�,其特征在于����,當(dāng)主用防火墻網(wǎng)關(guān)出 現(xiàn)異常時(shí),VRRP組中的備用防火墻網(wǎng)關(guān)升級(jí)為主用防火墻網(wǎng)關(guān)���,重新發(fā)布ARP 信息����;所述ARP請(qǐng)求處理單元根據(jù)防火墻網(wǎng)關(guān)發(fā)布的ARP信息更新自身的ARP 表,在收到同一 Vlan內(nèi)服務(wù)器互訪的ARP請(qǐng)求時(shí)��,查詢更新后的ARP表�,將 新的主用防火墻網(wǎng)關(guān)的MAC地址作為目的MAC地址返回給發(fā)起ARP請(qǐng)求的 服務(wù)器;所述訪問(wèn)請(qǐng)求處理單元在收到目的MAC地址為防火墻網(wǎng)關(guān)MAC地址的訪 問(wèn)請(qǐng)求后���,將收到的訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給新的主用防火墻網(wǎng)關(guān)處理�����。
9���、根據(jù)權(quán)利要求6至8任一項(xiàng)所述的接入交換機(jī),其特征在于�����,所述服務(wù) 器側(cè)信息收發(fā)單元進(jìn)一步用于���,丟棄所有來(lái)自服務(wù)器的目的MAC地址為非防 火墻網(wǎng)關(guān)MAC地址的單播數(shù)據(jù)�����,以及只轉(zhuǎn)發(fā)來(lái)自服務(wù)器的ARP廣播消息和 DHCP廣播消息���,其它廣播消息一概丟棄���。
全文摘要
本發(fā)明公開了一種實(shí)現(xiàn)服務(wù)器安全隔離的方法,其基本思想是在服務(wù)器的二層接入交換機(jī)上啟動(dòng)ARP代理功能��,通過(guò)ARP代理技術(shù)實(shí)現(xiàn)同一Vlan內(nèi)各服務(wù)器間的二層隔離����,保證各服務(wù)器之間的互訪必須通過(guò)防火墻網(wǎng)關(guān)的控制。相應(yīng)地����,本發(fā)明還提供了一種接入交換機(jī)��。利用本發(fā)明所提供的技術(shù)方案��,能夠保證同一Vlan內(nèi)各服務(wù)器之間的安全互訪����,為用戶提供一種簡(jiǎn)化的、高性能的服務(wù)器安全隔離方案。
文檔編號(hào)H04L12/56GK101383835SQ200810224800
公開日2009年3月11日 申請(qǐng)日期2008年10月21日 優(yōu)先權(quán)日2008年10月21日
發(fā)明者蔚 李 申請(qǐng)人:杭州華三通信技術(shù)有限公司