專利名稱:網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)訪問(wèn)控制技術(shù)��,尤其涉及一種網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法�。
為了實(shí)現(xiàn)包過(guò)濾,首先要配置一些規(guī)則來(lái)規(guī)定什么樣的數(shù)據(jù)包被過(guò)濾掉��、什么樣的數(shù)據(jù)包可以通過(guò)��,這些規(guī)則稱為訪問(wèn)控制列表(ACL)�;接下來(lái)把配置好的規(guī)則應(yīng)用于特定的接口上;最后啟動(dòng)網(wǎng)絡(luò)訪問(wèn)控制功能�。這樣,用戶就在相應(yīng)接口配置了網(wǎng)絡(luò)訪問(wèn)控制功能�����。
每一條ACL規(guī)則由若干條“允許/禁止(permit/deny)”語(yǔ)句組成�,ACL規(guī)則作為對(duì)數(shù)據(jù)包的區(qū)分標(biāo)準(zhǔn)。ACL按內(nèi)容可分為僅根據(jù)源地址匹配數(shù)據(jù)包的標(biāo)準(zhǔn)訪問(wèn)控制列表(Standard ACL)�����;根據(jù)源/目的地址���、源/目的端口號(hào)���、承載的協(xié)議類型等匹配數(shù)據(jù)包的擴(kuò)展訪問(wèn)控制列表(Extended ACL)。網(wǎng)絡(luò)設(shè)備的每個(gè)接口可以分別配置兩條標(biāo)準(zhǔn)的ACL規(guī)則或擴(kuò)展的ACL規(guī)則��,分別用來(lái)對(duì)進(jìn)入該接口和從該接口轉(zhuǎn)發(fā)的數(shù)據(jù)包進(jìn)行包過(guò)濾。
現(xiàn)有的訪問(wèn)控制列表只是規(guī)定了數(shù)據(jù)包的源/目的地址��、源/目的端口號(hào)��、承載的協(xié)議類型等信息����,所以應(yīng)用了該訪問(wèn)控制列表對(duì)數(shù)據(jù)包的訪問(wèn)進(jìn)行控制也只能根據(jù)這有限的信息實(shí)現(xiàn)。如
圖1所示網(wǎng)絡(luò)1到網(wǎng)絡(luò)n分別通過(guò)路由器的接入接口Input 1到Input n接入到路由器����,然后從同一個(gè)轉(zhuǎn)發(fā)接口Output1轉(zhuǎn)發(fā)出去訪問(wèn)到共享區(qū)域。劃分成的不同網(wǎng)絡(luò)����,如網(wǎng)絡(luò)1、網(wǎng)絡(luò)2..網(wǎng)絡(luò)n����,通常是代表不同訪問(wèn)權(quán)限的用戶群,所以在不同的時(shí)候可能就需要對(duì)各個(gè)網(wǎng)絡(luò)釋放不同的權(quán)限��。而在實(shí)際情況中����,不能排除部分網(wǎng)絡(luò)用戶為了改變自己的訪問(wèn)權(quán)限,將自己的IP地址偽裝為某一個(gè)訪問(wèn)權(quán)限較寬的IP地址����,這時(shí),若采用現(xiàn)有的技術(shù)僅根據(jù)數(shù)據(jù)包的源/目的地址��、源/目的端口號(hào)���、承載的協(xié)議類型等信息來(lái)控制不同網(wǎng)絡(luò)的用戶�����,已經(jīng)無(wú)法實(shí)現(xiàn)對(duì)該惡意用戶進(jìn)行相應(yīng)的網(wǎng)絡(luò)訪問(wèn)控制�����。
本發(fā)明的目的是這樣實(shí)現(xiàn)的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法��,包括(1)為網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口建立基于接口的訪問(wèn)規(guī)則���,訪問(wèn)規(guī)則中配置了網(wǎng)絡(luò)設(shè)備入接口相對(duì)該轉(zhuǎn)發(fā)接口的訪問(wèn)規(guī)則;(2)獲取通過(guò)該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)設(shè)備時(shí)所經(jīng)過(guò)的入接口的接口信息����;
(3)將接口信息與該轉(zhuǎn)發(fā)接口所配置的網(wǎng)絡(luò)設(shè)備入接口的訪問(wèn)規(guī)則相匹配����,確定數(shù)據(jù)包的可訪問(wèn)性�����。
所述的步驟(1)包括(11)根據(jù)需要確定通過(guò)從各個(gè)入接口進(jìn)入網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包是否可以通過(guò)相應(yīng)的轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)出去�����;(12)將上述規(guī)則通過(guò)基于接口的訪問(wèn)控制列表建立并應(yīng)用于相應(yīng)的接口��。
所述的步驟(2)包括(21)數(shù)據(jù)包經(jīng)網(wǎng)絡(luò)設(shè)備相應(yīng)入接口進(jìn)入網(wǎng)絡(luò)設(shè)備�;(22)將該入接口的接口信息加載至數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)中;(23)數(shù)據(jù)包經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口時(shí)調(diào)用上述接口信息�����。
所述的步驟(3)包括(31)將該入接口的接口信息與該轉(zhuǎn)發(fā)接口所配置的訪問(wèn)規(guī)則相匹配��,判斷數(shù)據(jù)包是否可以通過(guò)該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)����,如果可以���,執(zhí)行步驟(32),否則��,執(zhí)行步驟(33)��;(32)將數(shù)據(jù)包通過(guò)該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)����;(33)將數(shù)據(jù)包丟棄����。
所述的配置網(wǎng)絡(luò)設(shè)備入接口相對(duì)該轉(zhuǎn)發(fā)接口的訪問(wèn)規(guī)則包括配置基于接口的訪問(wèn)控制規(guī)則和該規(guī)則的有效時(shí)間段。
所述的配置網(wǎng)絡(luò)設(shè)備入接口相對(duì)該接口的訪問(wèn)規(guī)則包括配置基于接口的訪問(wèn)控制規(guī)則���、該規(guī)則的有效時(shí)間段和是否對(duì)相應(yīng)的數(shù)據(jù)包做日志�。
由上述技術(shù)方案可以看出�����,本發(fā)明在現(xiàn)有的網(wǎng)絡(luò)訪問(wèn)控制技術(shù)基礎(chǔ)上又增加了基于接口的網(wǎng)絡(luò)訪問(wèn)控制規(guī)則�����,使進(jìn)入網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包可以根據(jù)其進(jìn)入時(shí)所經(jīng)過(guò)接口的接口信息,進(jìn)一步確定其網(wǎng)絡(luò)可訪問(wèn)性�,從而可對(duì)通過(guò)網(wǎng)絡(luò)設(shè)備不同接口接入的不同網(wǎng)絡(luò)進(jìn)行分別控制管理。本發(fā)明實(shí)現(xiàn)了在IP地址相同的情況下依然可以對(duì)具有不同網(wǎng)絡(luò)訪問(wèn)權(quán)限的網(wǎng)絡(luò)用戶分別進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制����,有效地防止了部分網(wǎng)絡(luò)用戶惡意通過(guò)偽裝IP地址來(lái)改變自己的訪問(wèn)權(quán)限,從而大大提高了網(wǎng)絡(luò)訪問(wèn)控制的可靠性�。
訪問(wèn)控制規(guī)則通過(guò)基于接口的訪問(wèn)控制列表的形式配置于網(wǎng)絡(luò)設(shè)備中相應(yīng)的接口上,通過(guò)該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包均需遵守為該轉(zhuǎn)發(fā)接口配置的基于接口的訪問(wèn)控制列表中的訪問(wèn)控制規(guī)則���。
所述的基于接口的訪問(wèn)控制列表具體通過(guò)下述命令進(jìn)行配置access-list access-list-number{deny|permit}interface{interface-name|any}[log][time-range time-range-name]其中“access-list”為建立訪問(wèn)控制列表命令�����;“access-list-number”為指定訪問(wèn)控制列表序號(hào)���,對(duì)于基于接口的訪問(wèn)控制列表的序號(hào)為1000至1199間數(shù)字;“{deny|permit}”為指定可訪問(wèn)性為禁止或允許��,“Deny”為丟棄符合條件的數(shù)據(jù)包�,“Permit”通過(guò)符合條件的數(shù)據(jù)包;“interface{interface-name|any}”用于指定數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)設(shè)備所經(jīng)過(guò)的接口名或指定為所有接口���,即指定允許或禁止從名字為“interface-name”的入接口或從任意入接口“any”進(jìn)入網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包的轉(zhuǎn)發(fā)�����;“l(fā)og”為可選參數(shù)����,是否對(duì)符合條件的數(shù)據(jù)包做日志,日志內(nèi)容包括ACL規(guī)則的序號(hào)�����,數(shù)據(jù)包通過(guò)或被丟棄�,數(shù)據(jù)包的數(shù)目���;“time-range time-range-name”指定這條ACL規(guī)則在該時(shí)間段內(nèi)有效�����。
網(wǎng)絡(luò)設(shè)備的用戶除了可以為每個(gè)接口配置一條標(biāo)準(zhǔn)的或擴(kuò)展的ACL外��,同時(shí)還可以增加配置一條基于接口的ACL���。用戶通過(guò)下述配置命令ip access-group{access-list-number|name}{in|out}no ip access-group{access-list-number|name}{in|out}即可將相應(yīng)訪問(wèn)控制列表的訪問(wèn)控制規(guī)則應(yīng)用到相應(yīng)的轉(zhuǎn)發(fā)接口上。其中“no”表示刪除相應(yīng)的設(shè)置�����,即令相應(yīng)訪問(wèn)控制列表的訪問(wèn)控制規(guī)則對(duì)該轉(zhuǎn)發(fā)接口無(wú)效;“access-list-number”為ACL規(guī)則的序號(hào)��,在1-199之間表示標(biāo)準(zhǔn)或者擴(kuò)展的ACL規(guī)則�;1000-1999表示基于接口過(guò)濾的ACL規(guī)則;“name”ACL規(guī)則的名字�����,字符串���;“in”表示該訪問(wèn)控制規(guī)則控制從接口收上來(lái)的數(shù)據(jù)包�����;“out”表示該訪問(wèn)控制規(guī)則控制從接口轉(zhuǎn)發(fā)的數(shù)據(jù)包�,基于接口的ACL規(guī)則��,即序號(hào)為1000到1999的ACL規(guī)則�,只能用參數(shù)“out”。
然后����,獲取通過(guò)該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)設(shè)備時(shí)所經(jīng)過(guò)的入接口的接口信息��,見步驟2����。獲取數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)設(shè)備時(shí)經(jīng)過(guò)的入接口的接口信息是通過(guò)以下過(guò)程實(shí)現(xiàn)的當(dāng)數(shù)據(jù)包經(jīng)網(wǎng)絡(luò)設(shè)備的相應(yīng)入接口進(jìn)入網(wǎng)絡(luò)設(shè)備時(shí)����,將該入接口的接口信息加載到數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)中,當(dāng)數(shù)據(jù)包經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口時(shí)則調(diào)用上述接口信息���。
最后,將所調(diào)用的接口信息與該轉(zhuǎn)發(fā)接口所配置的各個(gè)入接口的可訪問(wèn)性的訪問(wèn)規(guī)則相匹配���,確定數(shù)據(jù)包的可訪問(wèn)性����,包括將獲取入接口的接口信息與步驟1所配置的各個(gè)入接口的可訪問(wèn)性的訪問(wèn)規(guī)則相匹配�,判斷數(shù)據(jù)包是否可以通過(guò)該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā),見步驟3�����;如果可以����,將數(shù)據(jù)包通過(guò)該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)�,見步驟4�;否則,將該數(shù)據(jù)包丟棄���,見步驟5�。
通過(guò)上述過(guò)程���,用戶便可以實(shí)現(xiàn)對(duì)通過(guò)同一網(wǎng)絡(luò)設(shè)備不同入接口接入網(wǎng)絡(luò)的不同網(wǎng)絡(luò)群體進(jìn)行分級(jí)管理�。
例如����,用戶應(yīng)用的路由器有三個(gè)接口,分別是Serial3/0/0��、Serial4/0/0��、Ethernet6/0/0�����,若需要在接口Ethernet6/0/0的OUT方向上應(yīng)用下述訪問(wèn)控制規(guī)則允許從接口Serial3/0/0進(jìn)入的數(shù)據(jù)包通過(guò)該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā),拒絕從接口Serial4/0/0進(jìn)入的數(shù)據(jù)包從該接口轉(zhuǎn)發(fā)��,具體配置命令如下Access-list 1000 permit interface serial3/0/0Access-list 1000 permit interface serial3/0/0Ip access-group 1000 out通過(guò)上述相應(yīng)的配置命令即可將相應(yīng)的基于接口的訪問(wèn)控制規(guī)則配置到路由器的Ethernet6/0/0接口上����,并對(duì)通過(guò)該接口的數(shù)據(jù)包按照該訪問(wèn)控制規(guī)則進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制。
權(quán)利要求
1.一種網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法�,包括(1)為網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口建立基于接口的訪問(wèn)規(guī)則,訪問(wèn)規(guī)則中配置了網(wǎng)絡(luò)設(shè)備入接口相對(duì)該轉(zhuǎn)發(fā)接口的訪問(wèn)規(guī)則���;(2)獲取通過(guò)該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)設(shè)備時(shí)所經(jīng)過(guò)的入接口的接口信息����;(3)將接口信息與該轉(zhuǎn)發(fā)接口所配置的網(wǎng)絡(luò)設(shè)備入接口的訪問(wèn)規(guī)則相匹配��,確定數(shù)據(jù)包的可訪問(wèn)性���。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法,其特征在于所述的步驟(1)包括(11)根據(jù)需要確定通過(guò)從入接口進(jìn)入網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包是否可以通過(guò)相應(yīng)的轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)出去�����;(12)將上述規(guī)則通過(guò)基于接口的訪問(wèn)控制列表建立并應(yīng)用于相應(yīng)的接口���。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法���,其特征在于所述的步驟(2)包括(21)數(shù)據(jù)包經(jīng)網(wǎng)絡(luò)設(shè)備相應(yīng)入接口進(jìn)入網(wǎng)絡(luò)設(shè)備���;(22)將該入接口的接口信息加載至數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)中;(23)數(shù)據(jù)包經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口時(shí)調(diào)用上述接口信息��。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法����,其特征所述的步驟(3)包括(31)將該入接口的接口信息與該轉(zhuǎn)發(fā)接口所配置的訪問(wèn)規(guī)則相匹配,判斷數(shù)據(jù)包是否可以通過(guò)該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)����,如果可以,執(zhí)行步驟(32)��,否則����,執(zhí)行步驟(33);(32)將數(shù)據(jù)包通過(guò)該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)�����;(33)將數(shù)據(jù)包丟棄。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法���,其特征在于所述的配置網(wǎng)絡(luò)設(shè)備入接口相對(duì)該轉(zhuǎn)發(fā)接口的訪問(wèn)規(guī)則包括配置基于接口的訪問(wèn)控制規(guī)則和該規(guī)則的有效時(shí)間段����。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法�����,其特征在于所述的配置網(wǎng)絡(luò)設(shè)備入接口相對(duì)該接口的訪問(wèn)規(guī)則包括配置基于接口的訪問(wèn)控制規(guī)則�����、該規(guī)則的有效時(shí)間段和是否對(duì)相應(yīng)的數(shù)據(jù)包做日志�。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問(wèn)控制方法,包括首先��,為網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口建立基于接口的訪問(wèn)規(guī)則���,如路由器的轉(zhuǎn)發(fā)接口���,訪問(wèn)規(guī)則中分別配置了網(wǎng)絡(luò)設(shè)備入接口的可訪問(wèn)性�����;然后,獲取通過(guò)該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)設(shè)備時(shí)所經(jīng)過(guò)的入接口的信息���;最后����,將接口信息與該轉(zhuǎn)發(fā)接口所配置的各個(gè)入接口可訪問(wèn)性的訪問(wèn)規(guī)則相匹配���,確定數(shù)據(jù)包的可訪問(wèn)性����。本發(fā)明可對(duì)通過(guò)網(wǎng)絡(luò)設(shè)備不同入接口接入的不同網(wǎng)絡(luò)進(jìn)行分別控制管理���,實(shí)現(xiàn)了在IP地址相同的情況下依然可以對(duì)具有不同網(wǎng)絡(luò)訪問(wèn)權(quán)限的網(wǎng)絡(luò)用戶分別進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制���,有效地防止了部分網(wǎng)絡(luò)用戶惡意通過(guò)偽裝IP地址改變自己的訪問(wèn)權(quán)限,提高了網(wǎng)絡(luò)訪問(wèn)控制的可靠性����。
文檔編號(hào)H04L29/02GK1412996SQ0211710
公開日2003年4月23日 申請(qǐng)日期2002年4月15日 優(yōu)先權(quán)日2002年4月15日
發(fā)明者王寧, 胡建元 申請(qǐng)人:華為技術(shù)有限公司