專利名稱:網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種網(wǎng)絡(luò)訪問控制技術(shù)�,尤其涉及一種網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法����。
為了實現(xiàn)包過濾,首先要配置一些規(guī)則來規(guī)定什么樣的數(shù)據(jù)包被過濾掉���、什么樣的數(shù)據(jù)包可以通過�����,這些規(guī)則稱為訪問控制列表(ACL)�����;接下來把配置好的規(guī)則應(yīng)用于特定的接口上���;最后啟動網(wǎng)絡(luò)訪問控制功能����。這樣����,用戶就在相應(yīng)接口配置了網(wǎng)絡(luò)訪問控制功能�����。
每一條ACL規(guī)則由若干條“允許/禁止(permit/deny)”語句組成��,ACL規(guī)則作為對數(shù)據(jù)包的區(qū)分標準���。ACL按內(nèi)容可分為僅根據(jù)源地址匹配數(shù)據(jù)包的標準訪問控制列表(Standard ACL)���;根據(jù)源/目的地址��、源/目的端口號����、承載的協(xié)議類型等匹配數(shù)據(jù)包的擴展訪問控制列表(Extended ACL)��。網(wǎng)絡(luò)設(shè)備的每個接口可以分別配置兩條標準的ACL規(guī)則或擴展的ACL規(guī)則����,分別用來對進入該接口和從該接口轉(zhuǎn)發(fā)的數(shù)據(jù)包進行包過濾。
現(xiàn)有的訪問控制列表只是規(guī)定了數(shù)據(jù)包的源/目的地址����、源/目的端口號、承載的協(xié)議類型等信息�,所以應(yīng)用了該訪問控制列表對數(shù)據(jù)包的訪問進行控制也只能根據(jù)這有限的信息實現(xiàn)。如
圖1所示網(wǎng)絡(luò)1到網(wǎng)絡(luò)n分別通過路由器的接入接口Input 1到Input n接入到路由器�����,然后從同一個轉(zhuǎn)發(fā)接口Output1轉(zhuǎn)發(fā)出去訪問到共享區(qū)域�。劃分成的不同網(wǎng)絡(luò)��,如網(wǎng)絡(luò)1����、網(wǎng)絡(luò)2..網(wǎng)絡(luò)n����,通常是代表不同訪問權(quán)限的用戶群,所以在不同的時候可能就需要對各個網(wǎng)絡(luò)釋放不同的權(quán)限�����。而在實際情況中��,不能排除部分網(wǎng)絡(luò)用戶為了改變自己的訪問權(quán)限�����,將自己的IP地址偽裝為某一個訪問權(quán)限較寬的IP地址��,這時�,若采用現(xiàn)有的技術(shù)僅根據(jù)數(shù)據(jù)包的源/目的地址����、源/目的端口號�����、承載的協(xié)議類型等信息來控制不同網(wǎng)絡(luò)的用戶���,已經(jīng)無法實現(xiàn)對該惡意用戶進行相應(yīng)的網(wǎng)絡(luò)訪問控制。
本發(fā)明的目的是這樣實現(xiàn)的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法����,包括(1)為網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口建立基于接口的訪問規(guī)則,訪問規(guī)則中配置了網(wǎng)絡(luò)設(shè)備入接口相對該轉(zhuǎn)發(fā)接口的訪問規(guī)則���;(2)獲取通過該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包進入網(wǎng)絡(luò)設(shè)備時所經(jīng)過的入接口的接口信息�;
(3)將接口信息與該轉(zhuǎn)發(fā)接口所配置的網(wǎng)絡(luò)設(shè)備入接口的訪問規(guī)則相匹配��,確定數(shù)據(jù)包的可訪問性�。
所述的步驟(1)包括(11)根據(jù)需要確定通過從各個入接口進入網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包是否可以通過相應(yīng)的轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)出去;(12)將上述規(guī)則通過基于接口的訪問控制列表建立并應(yīng)用于相應(yīng)的接口����。
所述的步驟(2)包括(21)數(shù)據(jù)包經(jīng)網(wǎng)絡(luò)設(shè)備相應(yīng)入接口進入網(wǎng)絡(luò)設(shè)備;(22)將該入接口的接口信息加載至數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)中�;(23)數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口時調(diào)用上述接口信息。
所述的步驟(3)包括(31)將該入接口的接口信息與該轉(zhuǎn)發(fā)接口所配置的訪問規(guī)則相匹配,判斷數(shù)據(jù)包是否可以通過該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)�,如果可以,執(zhí)行步驟(32)��,否則��,執(zhí)行步驟(33)����;(32)將數(shù)據(jù)包通過該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā);(33)將數(shù)據(jù)包丟棄��。
所述的配置網(wǎng)絡(luò)設(shè)備入接口相對該轉(zhuǎn)發(fā)接口的訪問規(guī)則包括配置基于接口的訪問控制規(guī)則和該規(guī)則的有效時間段����。
所述的配置網(wǎng)絡(luò)設(shè)備入接口相對該接口的訪問規(guī)則包括配置基于接口的訪問控制規(guī)則、該規(guī)則的有效時間段和是否對相應(yīng)的數(shù)據(jù)包做日志����。
由上述技術(shù)方案可以看出,本發(fā)明在現(xiàn)有的網(wǎng)絡(luò)訪問控制技術(shù)基礎(chǔ)上又增加了基于接口的網(wǎng)絡(luò)訪問控制規(guī)則��,使進入網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包可以根據(jù)其進入時所經(jīng)過接口的接口信息�����,進一步確定其網(wǎng)絡(luò)可訪問性���,從而可對通過網(wǎng)絡(luò)設(shè)備不同接口接入的不同網(wǎng)絡(luò)進行分別控制管理����。本發(fā)明實現(xiàn)了在IP地址相同的情況下依然可以對具有不同網(wǎng)絡(luò)訪問權(quán)限的網(wǎng)絡(luò)用戶分別進行網(wǎng)絡(luò)訪問控制���,有效地防止了部分網(wǎng)絡(luò)用戶惡意通過偽裝IP地址來改變自己的訪問權(quán)限����,從而大大提高了網(wǎng)絡(luò)訪問控制的可靠性���。
訪問控制規(guī)則通過基于接口的訪問控制列表的形式配置于網(wǎng)絡(luò)設(shè)備中相應(yīng)的接口上��,通過該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包均需遵守為該轉(zhuǎn)發(fā)接口配置的基于接口的訪問控制列表中的訪問控制規(guī)則�。
所述的基于接口的訪問控制列表具體通過下述命令進行配置access-list access-list-number{deny|permit}interface{interface-name|any}[log][time-range time-range-name]其中“access-list”為建立訪問控制列表命令����;“access-list-number”為指定訪問控制列表序號,對于基于接口的訪問控制列表的序號為1000至1199間數(shù)字���;“{deny|permit}”為指定可訪問性為禁止或允許��,“Deny”為丟棄符合條件的數(shù)據(jù)包�����,“Permit”通過符合條件的數(shù)據(jù)包���;“interface{interface-name|any}”用于指定數(shù)據(jù)包進入網(wǎng)絡(luò)設(shè)備所經(jīng)過的接口名或指定為所有接口�����,即指定允許或禁止從名字為“interface-name”的入接口或從任意入接口“any”進入網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包的轉(zhuǎn)發(fā)�����;“l(fā)og”為可選參數(shù)���,是否對符合條件的數(shù)據(jù)包做日志,日志內(nèi)容包括ACL規(guī)則的序號��,數(shù)據(jù)包通過或被丟棄�����,數(shù)據(jù)包的數(shù)目���;“time-range time-range-name”指定這條ACL規(guī)則在該時間段內(nèi)有效�����。
網(wǎng)絡(luò)設(shè)備的用戶除了可以為每個接口配置一條標準的或擴展的ACL外����,同時還可以增加配置一條基于接口的ACL��。用戶通過下述配置命令ip access-group{access-list-number|name}{in|out}no ip access-group{access-list-number|name}{in|out}即可將相應(yīng)訪問控制列表的訪問控制規(guī)則應(yīng)用到相應(yīng)的轉(zhuǎn)發(fā)接口上�����。其中“no”表示刪除相應(yīng)的設(shè)置�,即令相應(yīng)訪問控制列表的訪問控制規(guī)則對該轉(zhuǎn)發(fā)接口無效;“access-list-number”為ACL規(guī)則的序號���,在1-199之間表示標準或者擴展的ACL規(guī)則���;1000-1999表示基于接口過濾的ACL規(guī)則;“name”ACL規(guī)則的名字�����,字符串;“in”表示該訪問控制規(guī)則控制從接口收上來的數(shù)據(jù)包����;“out”表示該訪問控制規(guī)則控制從接口轉(zhuǎn)發(fā)的數(shù)據(jù)包,基于接口的ACL規(guī)則����,即序號為1000到1999的ACL規(guī)則,只能用參數(shù)“out”����。
然后,獲取通過該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包進入網(wǎng)絡(luò)設(shè)備時所經(jīng)過的入接口的接口信息����,見步驟2。獲取數(shù)據(jù)包進入網(wǎng)絡(luò)設(shè)備時經(jīng)過的入接口的接口信息是通過以下過程實現(xiàn)的當數(shù)據(jù)包經(jīng)網(wǎng)絡(luò)設(shè)備的相應(yīng)入接口進入網(wǎng)絡(luò)設(shè)備時�����,將該入接口的接口信息加載到數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)中���,當數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口時則調(diào)用上述接口信息�。
最后�����,將所調(diào)用的接口信息與該轉(zhuǎn)發(fā)接口所配置的各個入接口的可訪問性的訪問規(guī)則相匹配,確定數(shù)據(jù)包的可訪問性�,包括將獲取入接口的接口信息與步驟1所配置的各個入接口的可訪問性的訪問規(guī)則相匹配,判斷數(shù)據(jù)包是否可以通過該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)�,見步驟3�;如果可以,將數(shù)據(jù)包通過該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)����,見步驟4;否則���,將該數(shù)據(jù)包丟棄�����,見步驟5���。
通過上述過程,用戶便可以實現(xiàn)對通過同一網(wǎng)絡(luò)設(shè)備不同入接口接入網(wǎng)絡(luò)的不同網(wǎng)絡(luò)群體進行分級管理��。
例如�,用戶應(yīng)用的路由器有三個接口�����,分別是Serial3/0/0���、Serial4/0/0、Ethernet6/0/0�,若需要在接口Ethernet6/0/0的OUT方向上應(yīng)用下述訪問控制規(guī)則允許從接口Serial3/0/0進入的數(shù)據(jù)包通過該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā),拒絕從接口Serial4/0/0進入的數(shù)據(jù)包從該接口轉(zhuǎn)發(fā)�����,具體配置命令如下Access-list 1000 permit interface serial3/0/0Access-list 1000 permit interface serial3/0/0Ip access-group 1000 out通過上述相應(yīng)的配置命令即可將相應(yīng)的基于接口的訪問控制規(guī)則配置到路由器的Ethernet6/0/0接口上�,并對通過該接口的數(shù)據(jù)包按照該訪問控制規(guī)則進行網(wǎng)絡(luò)訪問控制。
權(quán)利要求
1.一種網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法��,包括(1)為網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口建立基于接口的訪問規(guī)則�,訪問規(guī)則中配置了網(wǎng)絡(luò)設(shè)備入接口相對該轉(zhuǎn)發(fā)接口的訪問規(guī)則;(2)獲取通過該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包進入網(wǎng)絡(luò)設(shè)備時所經(jīng)過的入接口的接口信息����;(3)將接口信息與該轉(zhuǎn)發(fā)接口所配置的網(wǎng)絡(luò)設(shè)備入接口的訪問規(guī)則相匹配,確定數(shù)據(jù)包的可訪問性���。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法�����,其特征在于所述的步驟(1)包括(11)根據(jù)需要確定通過從入接口進入網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包是否可以通過相應(yīng)的轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)出去��;(12)將上述規(guī)則通過基于接口的訪問控制列表建立并應(yīng)用于相應(yīng)的接口�����。
3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法����,其特征在于所述的步驟(2)包括(21)數(shù)據(jù)包經(jīng)網(wǎng)絡(luò)設(shè)備相應(yīng)入接口進入網(wǎng)絡(luò)設(shè)備��;(22)將該入接口的接口信息加載至數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)中��;(23)數(shù)據(jù)包經(jīng)過網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口時調(diào)用上述接口信息�����。
4.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法�,其特征所述的步驟(3)包括(31)將該入接口的接口信息與該轉(zhuǎn)發(fā)接口所配置的訪問規(guī)則相匹配,判斷數(shù)據(jù)包是否可以通過該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)����,如果可以���,執(zhí)行步驟(32),否則��,執(zhí)行步驟(33)�����;(32)將數(shù)據(jù)包通過該轉(zhuǎn)發(fā)接口轉(zhuǎn)發(fā)����;(33)將數(shù)據(jù)包丟棄。
5.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法��,其特征在于所述的配置網(wǎng)絡(luò)設(shè)備入接口相對該轉(zhuǎn)發(fā)接口的訪問規(guī)則包括配置基于接口的訪問控制規(guī)則和該規(guī)則的有效時間段��。
6.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法����,其特征在于所述的配置網(wǎng)絡(luò)設(shè)備入接口相對該接口的訪問規(guī)則包括配置基于接口的訪問控制規(guī)則、該規(guī)則的有效時間段和是否對相應(yīng)的數(shù)據(jù)包做日志��。
全文摘要
本發(fā)明涉及一種網(wǎng)絡(luò)設(shè)備中基于接口的網(wǎng)絡(luò)訪問控制方法�,包括首先,為網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā)接口建立基于接口的訪問規(guī)則,如路由器的轉(zhuǎn)發(fā)接口�����,訪問規(guī)則中分別配置了網(wǎng)絡(luò)設(shè)備入接口的可訪問性���;然后���,獲取通過該轉(zhuǎn)發(fā)接口的數(shù)據(jù)包進入網(wǎng)絡(luò)設(shè)備時所經(jīng)過的入接口的信息;最后�,將接口信息與該轉(zhuǎn)發(fā)接口所配置的各個入接口可訪問性的訪問規(guī)則相匹配,確定數(shù)據(jù)包的可訪問性���。本發(fā)明可對通過網(wǎng)絡(luò)設(shè)備不同入接口接入的不同網(wǎng)絡(luò)進行分別控制管理����,實現(xiàn)了在IP地址相同的情況下依然可以對具有不同網(wǎng)絡(luò)訪問權(quán)限的網(wǎng)絡(luò)用戶分別進行網(wǎng)絡(luò)訪問控制�����,有效地防止了部分網(wǎng)絡(luò)用戶惡意通過偽裝IP地址改變自己的訪問權(quán)限�,提高了網(wǎng)絡(luò)訪問控制的可靠性��。
文檔編號H04L29/02GK1412996SQ0211710
公開日2003年4月23日 申請日期2002年4月15日 優(yōu)先權(quán)日2002年4月15日
發(fā)明者王寧, 胡建元 申請人:華為技術(shù)有限公司