[发明专利]基于虚拟局域网交换的入侵防御方法与系统

权利要求书

1.一种基于虚拟局域网交换的入侵防御方法，其特征在于，包括：

边界交换机接收由发送方主机发送给接收方主机的数据报文，所述数据报文的报文头中包括源互联网协议IP地址、源介质访问控制MAC地址、目的IP地址与目的MAC地址；

所述边界交换机识别发送方主机与接收方主机是否属于同一个虚拟局域网VLAN，以及发送方主机与接收方主机是否属于预先设定的保护VLAN；

若发送方主机与接收方主机属于同一个VLAN，所述边界交换机对所述数据报文进行转发处理；

若发送方主机与接收方主机不属于同一个VLAN，且发送方主机或接收方主机属于预先设定的保护VLAN，所述边界交换机请求入侵防御系统IPS对所述数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理。

2.根据权利要求1所述的方法，其特征在于，所述识别发送方主机与接收方主机是否属于同一个VLAN包括：

所述边界交换机确定发送方主机所属的第一VLAN，以及接收方主机所属的第二VLAN；

所述边界交换机识别第一VLAN与第二VLAN是否相同；

若第一VLAN与第二VLAN相同，确定发送方主机与接收方主机属于同一个VLAN；若第一VLAN与第二VLAN不同，确定发送方主机与接收方主机不属于同一个VLAN。

3.根据权利要求2所述的方法，其特征在于，所述边界交换机对所述数据报文进行转发处理包括：

所述边界交换机查询所述目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将所述数据报文转发给接收方主机。

4.根据权利要求3所述的方法，其特征在于，还包括：

若发送方主机与接收方主机不属于同一个VLAN，所述边界交换机识别第一VLAN或第二VLAN是否属于预先设定的保护VLAN；

所述边界交换机请求IPS对所述数据报文进行应用层的数据内容安全防护处理，并对通过安全防护处理的数据报文进行转发处理包括：

若第一VLAN属于预先设定的保护VLAN，所述边界交换机对所述数据报文封装第一VLAN标签tag，并将封装得到的第一数据包转发给IPS，所述第一VLAN tag中包括唯一标识所述第一VLAN的第一VLAN标识ID；所述IPS根据预先设置的安全防护策略对所述第一数据包进行应用层的数据内容检测；若所述第一数据包通过应用层的数据内容检测，所述IPS将所述第一数据包中的第一VLAN tag变换为第二VLAN tag，并将变换得到的第二数据包发送给所述边界交换机；所述边界交换机根据所述第二VLAN tag与所述目的IP地址转发所述第二数据包；

若第二VLAN属于预先设定的保护VLAN，所述边界交换机对所述数据报文封装第一VLAN tag，并将封装得到的第一数据包转发给IPS，所述第一VLAN tag中包括第一VLAN ID；所述IPS根据预先设置的安全防护策略对所述第一数据包进行应用层的数据内容检测；若所述第一数据包通过应用层的数据内容检测，所述IPS将所述第一数据包中的第一VLAN tag变换为第二VLAN tag，并将变换得到的第二数据包发送给所述边界交换机；所述边界交换机根据第二数据包中的目的MAC地址对应的目的端口号，并通过该目的端口号对应的目的端口将所述数据报文转发给接收方主机。

5.根据权利要求4所述的方法，其特征在于，还包括：

若第一数据包未通过应用层的数据内容检测，所述IPS根据所述安全防护策略，丢弃第一数据包，或者，删除第一数据包中的不安全数据内容，并以删除不安全数据内容的第一数据包作为通过应用层的数据内容检测的第一数据包，执行所述IPS将所述第一数据包中的第一VLANtag变换为第二VLAN tag的操作。

6.根据权利要求2至5任意一项所述的方法，其特征在于，还包括：

若发送方主机与接收方主机不属于同一个VLAN，且发送方主机与接收方主机均不属于预先设定的保护VLAN，所述边界交换机根据所述第二VLAN tag与所述目的IP地址转发所述第二数据包。