技術領域

本發明涉及二層報文轉發技術，特別涉及一種防火墻設備及處理二層轉發報文的方法。

背景技術

根據網絡拓撲的需要，在實際環境中不少防火墻僅工作于二層模式下，即稱為透明防火墻。透明防火墻除可以完成類似于二層交換機的二層轉發外，更重要的是能夠承擔各種安全業務的處理，如防范各種Dos/DDos攻擊，基于二、三層的報文過濾，傳輸層協議狀態檢測及處理等。在一些實際用戶環境中，除了要求防火墻的功能完備健壯外，亦提出防火墻安全業務的高性能處理。

基于如此，防火墻在對接收的報文進行安全性處理或判斷后，對需要轉發出去的業務數據報文進行二層轉發。

具體地，防火墻在完成類似于二層交換機的二層轉發時，保存有一張MAC地址表，防火墻根據每一個業務數據報文的MAC地址查詢保存的MAC地址表，如果查找成功，則表明該報文的目的MAC地址已知(即出接口已知)，業務數據報文會直接獲取出接口及相應信息(如VLAN)提供給后繼轉發；如果MAC表查找失敗，則表明該報文的目的MAC地址未知(即出接口未知)，這種情況下，一般系統會根據用戶配置進行處理，一般的防火墻均支持對未知目的MAC地址的轉發配置，如在所有接口Flood轉發、所有接口發送ARP報文請求該目的MAC并丟棄原數據報文或者直接丟棄不作處理。

由上述轉發過程可見，透明防火墻的二層轉發很大程度上依賴于MAC地址表。該MAC地址表的生成通過學習MAC地址過程完成。在現有的透明防火墻上，業務報文的轉發方法流程如圖1所示，具體包括：

步驟101，接收以太網報文，進行協議識別處理后根據報文特征送入二層轉發入隊列或者三層轉發入隊列。

步驟102，依次讀取送入二層轉發入隊列的報文，進行地址處理，包括判斷目的MAC地址是否可知，獲取出接口信息；對于源MAC地址未知的報文，學習其源MAC地址，并加入MAC地址表。

步驟103，識別報文的三層頭信息。

本步驟中，三層頭信息的識別包括對IP層協議的識別和IP頭信息的提取等，以方便后續根據三層信息對報文進行防火墻處理。

步驟104，對處理后的報文進行防火墻入處理，如入方向的包過濾、攻擊防范等。

步驟105，防火墻內部對入處理后的報文進行轉發處理，主要為分布式擴展需要。

步驟106，對業務數據報文進行防火墻出處理，如出方向的包過濾、攻擊防范等。

步驟107，將經過防火墻出處理、且仍需進行二層轉發的報文送入二層轉發出隊列。

本步驟中被送入二層轉發出隊列的報文即為通過防火墻處理認為是合法的報文。

步驟108，依次從二層轉發出隊列中取出報文，根據步驟102中獲取的出接口信息，將報文封裝二層頭信息后發送。

至此，防火墻對二層轉發報文的處理流程結束。由上述流程可以看出，源MAC地址的學習位于步驟102中，即二層轉發的入方向、防火墻處理之前。

在上述處理流程中存在如下缺點：

1、容易造成防火墻保存的MAC地址表受欺騙攻擊，導致正常業務無法處理。

如圖2，為簡約起見假設一臺透明防火墻下直接接兩臺PC，其中用戶USER_A假設為攻擊者，防火墻MAC地址表可存儲1K個地址表項。

在初始狀態，用戶A構造1K個這樣的攻擊報文，源MAC地址為偽造并相互不一樣(如采用源MAC地址不斷遞增)，在較短時間內(如2分鐘內，只要足夠少于透明防火墻的地址老化時間內)請求用戶B。透明防火墻在收到1K個攻擊報文后，由于源MAC地址均未知，因此需要耗費大量的資源進行源MAC地址的學習。在此處理過程中，若用戶USER_B想與用戶USER_A正常通信，該透明防火墻由于資源占用，無暇學習用戶USER_B的地址信息，因此無法完成后續的報文轉發。這種情況可理解為防火墻收到欺騙攻擊，攻擊者為用戶USER_A。

2、MAC漂移現象。

在二層網絡轉發設備中，主要根據MAC地址查詢出接口進行轉發，即每個MAC對應一個接口，如MAC_A對應出接口為接口A。但由于網絡的部署不合理或者攻擊者的存在，有可能導致接口B攜帶有MAC_A進入該二層網絡設備。

在步驟102進行MAC地址學習時，發現“MAC_A對應接口B”，與MAC地址表中保存的“MAC_A對應接口A”的信息不同，因此更新MAC地址表中的內容為“MAC_A對應接口B”，從而形成MAC_A對應出接口B。即MAC_A本屬于接口A，而漂移到了接口B，這種現象稱之為MAC漂移。