【技術實現步驟摘要】
本申請涉及交換機,具體涉及一種基于mac地址的端口防御方法、系統、設備及介質。
技術介紹
1、交換機端口安全技術通過限制對網絡資源的訪問,保護網絡設備免受未授權訪問和攻擊,保障網絡資源和數據的安全。隨著網絡規模的不斷擴大和網絡攻擊手段的日益多樣化,端口安全技術成為保障網絡安全的重要手段;
2、常見的交換機端口安全技術例如:
3、端口安全地址綁定,即通過將mac地址與端口進行綁定,實現對設備的精確控制;當一個設備接入交換機時,交換機會檢查其mac地址是否在允許的列表中,如果不在則會被拒絕接入;
4、端口訪問控制,即通過設置訪問控制列表(access?control?list,簡稱acl),對進入交換機端口的數據流進行過濾,只允許特定的mac地址、ip地址或協議通過,以有效防止未授權設備接入網絡;
5、端口安全保護,即通過設置端口安全參數,如最大允許的mac地址數量、違反規則時的處理方式(如禁用端口)等,實現對交換機端口的保護;
6、端口安全隔離,即通過將某些端口與其他端口隔離,實現對特定設備或網絡區域的保護,防止未授權訪問和攻擊;
7、端口安全動態學習,即通過配置端口安全動態學習功能,可以限制交換機學習到的mac地址數量,從而降低mac漂移的風險;
8、端口安全啟動,即通過限制只有已授權的設備才能通過端口進行通信,從而提高網絡的安全性。
9、然而上述方式依然存在如配置復雜、需要定時更新,影響網絡性能,降低數據傳輸速率的問題,并且若配置不
技術實現思路
1、本申請的目的是針對以上問題,提供一種基于mac地址的端口防御方法、系統、設備及介質。
2、第一方面,本申請提供一種基于mac地址的端口防御方法,包括:
3、獲取接入設備發送的數據幀,所述數據幀包含有所述接入設備的mac地址;
4、檢測mac地址表中存在所述mac地址的表項時:
5、獲取所述表項的生存時間次數;所述生存時間次數用于標識所述mac地址的有效時間,每隔預設時間所述表項的生存時間次數減少,并且每學習一次所述mac地址且對應的接收端口改變時,其表項的生存時間次數增加;
6、判斷所述生存時間次數小于等于設定閾值時,學習所述mac地址;
7、判斷所述生存時間次數大于設定閾值時,將所述數據幀丟棄。
8、根據本申請提供的技術方案,獲取接入設備發送的數據幀之后,還包括:檢測mac地址表中不存在所述mac地址的表項時,學習所述mac地址。
9、根據本申請提供的技術方案,每隔預設時間所述表項的生存時間次數減1,并且每學習一次所述mac地址,其表項的生存時間次數加1。
10、根據本申請提供的技術方案,所述預設時間為1-3600秒。
11、根據本申請提供的技術方案,所述設定閾值為1-3600次。
12、第二方面,本申請提供一種基于mac地址的端口防御方法,包括:
13、獲取接入設備發送的數據幀,所述數據幀包含有所述接入設備的mac地址;
14、獲取對應于所述mac地址的數據幀的接收端口變化頻率f,所述接收端口變化頻率f用于表征在預設周期t內與所述mac地址對應的接收端口的變化次數;所述預設周期t包括t-t+1時刻到當前時刻t;
15、判斷所述接收端口變化頻率f大于預設頻率時,將所述數據幀丟棄。
16、根據本申請提供的技術方案,所述預設周期t為1-3600s;所述預設頻率為f=(1-500)次/t。
17、第三方面,本申請提供一種基于mac地址的端口防御系統,包括:
18、接收模塊,所述接收模塊配置用于:獲取接入設備發送的數據幀,所述數據幀包含有所述接入設備的mac地址;
19、處理模塊,所述檢測模塊配置用于:
20、檢測mac地址表中存在所述mac地址的表項時:
21、獲取所述表項的生存時間次數;所述生存時間次數用于標識所述mac地址的有效時間,每隔預設時間所述表項的生存時間次數減少,并且每學習一次所述mac地址且對應的接收端口改變時,其表項的生存時間次數增加;
22、判斷所述生存時間次數小于等于設定閾值時,學習所述mac地址;
23、判斷所述生存時間次數大于設定閾值時,將所述數據幀丟棄。
24、第四方面,本申請提供一種電子設備,包括存儲器、處理器以及存儲在所述存儲器中并可在所述處理器上運行的計算機程序,所述處理器執行所述計算機程序時實現如上述所述的方法。
25、第四方面,本申請提供一種計算機可讀存儲介質,所述計算機可讀存儲介質上存儲有計算機程序,所述計算機程序被處理器執行時實現如上述所述的方法
26、與現有技術相比,本申請的有益效果:通過接收到相同mac地址的表項時,將表項的生存時間次數增加,并且每隔預設時間所述表項的生存時間次數減少,進而將生存時間次數與閾值進行比較,以識別短時間內mac漂移帶來的攻擊行為,并做出自動防御即不學習該mac并將該幀數據丟棄,上述步驟能夠實現mac端口的防御保護,同時配置簡單,無需定時更新,不影響網絡性能和數據傳輸速率。
27、應當理解的是,本申請中對技術特征、技術方案、有益效果或類似語言的描述并不是暗示在任意的單個實施例中可以實現所有的特點和優點。相反,可以理解的是對于特征或有益效果的描述意味著在至少一個實施例中包括特定的技術特征、技術方案或有益效果。因此,本說明書中對于技術特征、技術方案或有益效果的描述并不一定是指相同的實施例。進而,還可以任何適當的方式組合本實施例中所描述的技術特征、技術方案和有益效果。本領域技術人員將會理解,無需特定實施例的一個或多個特定的技術特征、技術方案或有益效果即可實現實施例。在其他實施例中,還可在沒有體現所有實施例的特定實施例中識別出額外的技術特征和有益效果。
本文檔來自技高網...【技術保護點】
1.一種基于MAC地址的端口防御方法,其特征在于,包括:
2.根據權利要求1所述的基于MAC地址的端口防御方法,其特征在于,獲取接入設備發送的數據幀之后,還包括:檢測MAC地址表中不存在所述MAC地址的表項時,學習所述MAC地址。
3.根據權利要求1所述的基于MAC地址的端口防御方法,其特征在于,每隔預設時間所述表項的生存時間次數減1,并且每學習一次所述MAC地址且對應的接收端口改變時,其表項的生存時間次數加1。
4.根據權利要求3所述的基于MAC地址的端口防御方法,其特征在于,所述預設時間為1-3600秒。
5.根據權利要求3所述的基于MAC地址的端口防御方法,其特征在于,所述設定閾值為1-3600次。
6.一種基于MAC地址的端口防御方法,其特征在于,包括:
7.根據權利要求6所述的基于MAC地址的端口防御方法,其特征在于,所述預設周期T為1-3600s;所述預設頻率為f=(1-500)次/T。
8.一種基于MAC地址的端口防御系統,其特征在于,包括:
9.一種電子設備,包括存儲器
10.一種計算機可讀存儲介質,所述計算機可讀存儲介質上存儲有計算機程序,其特征在于,所述計算機程序被處理器執行時實現如權利要求1-7任一項所述的方法。
...【技術特征摘要】
1.一種基于mac地址的端口防御方法,其特征在于,包括:
2.根據權利要求1所述的基于mac地址的端口防御方法,其特征在于,獲取接入設備發送的數據幀之后,還包括:檢測mac地址表中不存在所述mac地址的表項時,學習所述mac地址。
3.根據權利要求1所述的基于mac地址的端口防御方法,其特征在于,每隔預設時間所述表項的生存時間次數減1,并且每學習一次所述mac地址且對應的接收端口改變時,其表項的生存時間次數加1。
4.根據權利要求3所述的基于mac地址的端口防御方法,其特征在于,所述預設時間為1-3600秒。
5.根據權利要求3所述的基于mac地址的端口防御方法,其特征在于,所述設定閾值為1-36...
【專利技術屬性】
技術研發人員:田鑫,
申請(專利權)人:北京神州數碼云科信息技術有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。