本發明公開了一種交換機聯動防火墻防護提升方法，交換機聯動防火墻防護提升方法，通過抓包工具實現網絡的監控，配合端口鏡像技術在不改變IPV4協議的情況下利用靜態IP將MAC與IP進行雙向綁定，同時使用VLAN來縮小局域網，提高檢索效率，發現威脅事件的源頭，與交換機聯動，阻斷威脅事件的路徑，彌補傳統防火墻的不足，提供網絡安全縱深防護。

技術領域：

本發明涉及計算機網絡安全領域，特別是涉及一種交換機聯動防火墻防護提升方法。

背景技術：

隨著病毒、蠕蟲、木馬、后門和混合威脅的泛濫，應用層和網絡層的安全威脅正變得司空見慣。傳統防火墻只能阻止或允許特定IP地址和端口，能防護的東西相當有限，黑客已經研究出大量的方法來繞過防火墻策略，包括：利用端口掃描器發現防火墻開放的端口，攻擊和探測程序通過防火墻開放的端口穿越防火墻。如MSN、QQ等工具均可通過80端口通信，SoftEther等軟件更可以將所有TCP/IP通訊封裝成HTTPS數據包發送，使用傳統的狀態檢測防火墻簡直防不勝防。

發明內容：

本發明所要解決的技術問題是：克服現有技術的不足，通過抓包工具實現網絡的監控，配合端口鏡像技術在不改變IPV4協議的情況下利用靜態IP將MAC與 IP進行雙向綁定，同時使用VLAN來縮小局域網，提高檢索效率，發現威脅事件的源頭，與交換機聯動，阻斷威脅事件的路徑的交換機聯動防火墻防護提升方法。

本發明的技術方案是：一種交換機聯動防火墻防護提升方法，其步驟如下：步驟一、在和網絡安全防護服務器同網段的交換機上設置旁路監聽；所述交換機支持端口鏡像，利用交換機的端口鏡像將所有經過該交換機的數據復制一份，發送給網絡安全防護服務器端口；

步驟二、利用抓包工具獲取數據包進行分析，得出其目的和源地址的MAC和IP對；其中包括：（1）、獲取抓包過程參數；（2）、獲取抓包時間限制條件；（3）、根據所述抓包過程參數和所述抓包時間限制條件控制抓包動作 ；

步驟三、驗證獲取的MAC和IP是否合理；若合理，則將映射對存入鏈表；若不合理，則將不合理的MAC地址所對應的端口進行單獨監聽；

步驟四、獲取的源IP地址，形成已知IP地址庫，對照以NAMP技術獲取的未安裝防護軟件的PC終端IP列表，通過嗅探工具獲取該IP對應的 MAC地址，對同一MAC地址的多個IP地址進行歸一化處理 ；

步驟五、由網絡嗅探工具發現新接入網絡的終端，用于提供旁路監聽規則中協議源IP，以供旁路監聽進行分析，將源IP列表和局域網內所有PC服務器列表做比較；

步驟六、對比不成功時，則發出警報，同時用MAC地址找到交換機對應的端口，快速找出欺詐主機；

步驟七、網絡安全防護服務器與交換機聯動，阻斷欺詐主機的路徑。

進一步的，所述步驟二，所述述抓包過程參數包括：（1）從抓取開始時刻點到當前時刻點的第一抓取時長；（2）從抓取到上一個數據包的時刻點到當前時刻點的第二抓取時長；（3）當前抓取數據包總數。

進一步的，所述步驟二，所述抓包時間限制條件包括預設抓取持續時間或預設抓取間隔時間。

進一步的，所述步驟二，所述抓包過程參數和所述抓包時間限制條件控制抓包動作，包括：若所述第一抓取時長大于所述預設抓取持續時間，則停止抓包；反之，繼續抓包；或；若所述第二抓取時長大于預設抓取間隔時間，則停止抓包；反之，繼續抓包。

進一步的，所述步驟三，所述驗證MAC和IP時需要對ARP進行解析，設置過濾器和過濾規則使只對ARP數據包進行協議解析；解析后ARP數據包包括硬件類型、協議類型、硬件地址長度、協議長度、操作代碼、源MAC地址、源IP地址、目標MAC地址和目標IP地址。