[发明专利]交换机联动防火墙防护提升方法

权利要求书

1.一种交换机联动防火墙防护提升方法，其步骤如下：步骤一、在和网络安全防护服务器同网段的交换机上设置旁路监听；所述交换机支持端口镜像，利用交换机的端口镜像将所有经过该交换机的数据复制一份，发送给网络安全防护服务器端口；

步骤二、利用抓包工具获取数据包进行分析，得出其目的和源地址的MAC和IP对；其中包括：（1）、获取抓包过程参数；（2）、获取抓包时间限制条件；（3）、根据所述抓包过程参数和所述抓包时间限制条件控制抓包动作 ；

步骤三、验证获取的MAC和IP是否合理；若合理，则将映射对存入链表；若不合理，则将不合理的MAC地址所对应的端口进行单独监听；

步骤四、获取的源IP地址，形成已知IP地址库，对照以NAMP技术获取的未安装防护软件的PC终端IP列表，通过嗅探工具获取该IP对应的 MAC地址，对同一MAC地址的多个IP地址进行归一化处理 ；

步骤五、由网络嗅探工具发现新接入网络的终端，用于提供旁路监听规则中协议源IP，以供旁路监听进行分析，将源IP列表和局域网内所有PC服务器列表做比较；

步骤六、对比不成功时，则发出警报，同时用MAC地址找到交换机对应的端口，快速找出欺诈主机；

步骤七、网络安全防护服务器与交换机联动，阻断欺诈主机的路径。

2.根据权利要求1所述的交换机联动防火墙防护提升方法，其特征是：所述步骤二，所述述抓包过程参数包括：（1）从抓取开始时刻点到当前时刻点的第一抓取时长；（2）从抓取到上一个数据包的时刻点到当前时刻点的第二抓取时长；（3）当前抓取数据包总数。

3.根据权利要求1所述的交换机联动防火墙防护提升方法，其特征是：所述步骤二，所述抓包时间限制条件包括预设抓取持续时间或预设抓取间隔时间。

4.根据权利要求1所述的交换机联动防火墙防护提升方法，其特征是：所述步骤二，所述抓包过程参数和所述抓包时间限制条件控制抓包动作，包括：若所述第一抓取时长大于所述预设抓取持续时间，则停止抓包；反之，继续抓包；或；若所述第二抓取时长大于预设抓取间隔时间，则停止抓包；反之，继续抓包。

5.根据权利要求1所述的交换机联动防火墙防护提升方法，其特征是：所述步骤三，所述验证MAC和IP时需要对ARP进行解析，设置过滤器和过滤规则使只对ARP数据包进行协议解析；解析后ARP数据包包括硬件类型、协议类型、硬件地址长度、协议长度、操作代码、源MAC地址、源IP地址、目标MAC地址和目标IP地址。

6.根据权利要求1所述的交换机联动防火墙防护提升方法，其特征是：所述步骤四，所述定时对网络内所有到达网络安全防护服务器的数据包进行分析的内容包括客户 PC 终端与网络安全防护服务器间是否有登录数据、请求数据或心跳数据。