專利名稱:一種鏡像和訪問控制列表功能生效順序的優(yōu)化方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù),更具體的說�,涉及一種對i^^lUi控設(shè)備接口的數(shù)據(jù)包進行鏡像和ACL ( Access Control List,訪問控制列表) 處理順序的優(yōu)化方法。
背景技術(shù):
互聯(lián)網(wǎng)的高速發(fā)展帶來了便利�,同時也產(chǎn)生了例如網(wǎng)絡(luò)攻擊、病毒 等很多問題��。為了解決此類問題�,網(wǎng)絡(luò)管理者需要對經(jīng)過網(wǎng)絡(luò)設(shè)備的數(shù) 據(jù)進行分析。但是由于設(shè)備本身一般不具備本地分析數(shù)據(jù)包的能力�,所 以需要將數(shù)據(jù)通過一定的方式發(fā)送到另外一個分析平臺上進行處理,針 對這個需求����,產(chǎn)生了鏡像功能。鏡像功能可以將一個或多個需要被鏡像的端口的流量復(fù)制到指定 的目的端口���,這個端口也稱為監(jiān)控端口, 一般可以連接網(wǎng)絡(luò)管理平臺等 監(jiān)控設(shè)備���。監(jiān)控平臺通過鏡像得到了這些數(shù)據(jù)�,就可以進行網(wǎng)絡(luò)流量的 分析和監(jiān)管���,也可以在設(shè)備受到攻擊的時候分析攻擊特征并制定應(yīng)對方 案�。鏡像是獨立于數(shù)據(jù)轉(zhuǎn)發(fā)之外的行為,不會影響正常的流量轉(zhuǎn)發(fā)�����。鏡像往往是應(yīng)用在接口上的�,在這個過程中,不可避免的會和同樣 應(yīng)用在接口上的其它功能產(chǎn)生沖突���,如ACL����、URPF( Unicast Reverse Path Forwarding,單播反向路徑查找)��、QoS (Quality of Service,月l務(wù)質(zhì)量) 等����。其中,與ACL的沖突最為明顯��。ACL功能應(yīng)用在接口上時����,能夠?qū)?jīng)過接口的數(shù)據(jù)包進行篩選,將 不需要轉(zhuǎn)發(fā)的報文直接丟棄�����。當ACL和鏡像同時應(yīng)用到一個接口上時, 就必須為這兩個功能設(shè)置一個生效的先后順序��。目前的做法一般是首先3對數(shù)據(jù)包進行ACL處理��,然后再進行鏡像處理�����。這H故的原因在于����, 如果這個數(shù)據(jù)包不需要被轉(zhuǎn)發(fā),那么直接丟棄掉即可����,自然也不需要被 鏡像。但是這種情況會產(chǎn)生一個問題�����,即當攻擊發(fā)生時�����,攻擊才艮文可能 因為不在允許轉(zhuǎn)發(fā)的范圍內(nèi)而被丟棄�,不會再被鏡像,這樣一來����,接收 報文的接口帶寬被占據(jù)了 ,但網(wǎng)絡(luò)管理員無法在監(jiān)控設(shè)備上收到攻擊報 文�����,也就無法針對攻擊行為進行下一步的動作���。如果取消接口上的ACL 配置����,數(shù)據(jù)包確實能夠被鏡像��,但是這樣一來�����,對設(shè)備的攻擊行為也就 無法防御�。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問^l:提供一種鏡像和ACL功能生效順序 的優(yōu)化方法,使得網(wǎng)絡(luò)管理員可以根據(jù)情況對鏡像和ACL生效順序進 行選擇�。本發(fā)明的目的是通過以下技術(shù)方案實現(xiàn)的 一種鏡像和ACL功能生效順序的優(yōu)化方法��,包括A��、 設(shè)置順序選擇模塊�����;B��、 所述順序選擇模塊設(shè)置鏡像和ACL功能的生效順序�;C�、 根據(jù)所設(shè)置的生效順序?qū)?shù)據(jù)包執(zhí)行相應(yīng)的操作。其中����,所述步驟B進一步包括若不需要對數(shù)據(jù)包中的攻擊包進行 分析,則設(shè)置ACL功能先生效�����、鏡像功能后生效�;若需要對數(shù)據(jù)包中 的攻擊包進行分析,則設(shè)置鏡像功能先生效��、ACL功能后生效���。其中���,所述步驟C進一步包括若所設(shè)置的生效順序為先ACL功 能后鏡像功能,則先對數(shù)據(jù)包進行ACL篩選����,再對所篩選過的數(shù)據(jù)包 鏡像��,最后轉(zhuǎn)發(fā)該數(shù)據(jù)包��;若所設(shè)置的生效順序為先鏡像功能后ACL功能�����,則先對數(shù)據(jù)包鏡像�����,再對數(shù)據(jù)包進行ACL '歸選���,最后轉(zhuǎn)發(fā)篩選 后的數(shù)據(jù)包。其中��,所述順序選擇模塊設(shè)置在被監(jiān)控設(shè)備的接口的轉(zhuǎn)發(fā)層面��。 本發(fā)明具有以下有益效果本發(fā)明通過在接口設(shè)置順序選擇模塊,該模塊由網(wǎng)絡(luò)管理員進行維 護��,在不需要對攻擊包進行分析時����,選擇先進行ACL篩選再對篩選過 的數(shù)據(jù)包鏡像;在需要對供給包進行分析時���,選擇先對數(shù)據(jù)包鏡像再進 行ACL篩選���,這樣保證了在數(shù)據(jù)正常轉(zhuǎn)發(fā)情況下設(shè)備免受攻擊,同時 也不會影響網(wǎng)絡(luò)管理員對攻擊報文進行分析���。
圖l是本發(fā)明應(yīng)用過程中的網(wǎng)絡(luò)示意圖����; 圖2是本發(fā)明的功能結(jié)構(gòu)示意圖����;圖3是本發(fā)明中鏡像和ACL的兩個不同的生效順序流程。
具體實施方式
本發(fā)明對接口上鏡像功能和ACL功能的生效順序進行優(yōu)化��,或者 說在不同的情況下進行選擇,做到在數(shù)據(jù)正常轉(zhuǎn)發(fā)情況下設(shè)備免受攻 擊��,同時也不會影響網(wǎng)絡(luò)管理員對攻擊報文進行分析�。主要原理為一、 在正常情況下���,即不需要對攻擊包進行分析的時候,仍然以傳 統(tǒng)的處理順序為準先進行ACL篩選����,再對篩選過的數(shù)據(jù)包鏡^f象。這 種處理方法往往發(fā)生在無攻擊行為或攻擊行為比較弱�����,對網(wǎng)絡(luò)造成的影 響比較小�����,僅僅拒絕掉就已經(jīng)足夠了的情況����。這樣做的目的是減少鏡像 數(shù)據(jù)量,P爭低系統(tǒng)壓力��。二、 當網(wǎng)絡(luò)受到攻擊的時候�����,接口上的處理流程更改為首先對翁:據(jù) 包進行鏡像����,之后不直接轉(zhuǎn)發(fā)所有收到的數(shù)據(jù)包,而是進行ACL處理���,將不需要轉(zhuǎn)發(fā)的數(shù)據(jù)包丟棄���,包括被懷疑有攻擊行為的數(shù)據(jù)包。 下面結(jié)合附圖及具體實施例對本發(fā)明作進一步的描述�����。 首先用圖l對本發(fā)明所涉及的網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)作簡單說明���。圖l是一個典型的鏡像功能應(yīng)用示意圖���,發(fā)往Internet的流量從流量源發(fā)出,中 間經(jīng)過的設(shè)備都可以成為被監(jiān)控設(shè)備���。監(jiān)控終端在收集到經(jīng)過凈tt控設(shè) 備的流量之后進行分析�����。圖2描述了本發(fā)明的功能結(jié)構(gòu)����。首先由順序選擇才莫塊對當前轉(zhuǎn)發(fā)層 面的功能生效順序進行設(shè)置,該過程由網(wǎng)絡(luò)管理員根據(jù)實際需要完成���。 當設(shè)備運轉(zhuǎn)正常時,管理員可以選擇將ACL的生效流程安排在鏡像之 前����,讓不需要轉(zhuǎn)發(fā)的數(shù)據(jù)包不被鏡像,做到合理利用系統(tǒng)資源�����;當網(wǎng)絡(luò) 遭受攻擊����,管理員希望知道是什么樣的數(shù)據(jù)包從接口進入時,可以將生 效順序改變?yōu)槭紫冗M行鏡像��,然后實現(xiàn)ACL,這樣可以保證需要鏡像的 數(shù)據(jù)包不會因為ACL無法鏡像。對網(wǎng)絡(luò)的攻擊包���,不論是攻擊^S!i控設(shè)備的�����,還是經(jīng)過^t^控i殳備 攻擊其它設(shè)備或終端的���,都會經(jīng)過被監(jiān)控的接口,如果單純采用ACL拒絕掉數(shù)據(jù)包�����,確實可以避免攻擊成功��,但是對于# :控的接口來說�,大量的數(shù)據(jù)包仍然會占據(jù)帶寬,只是沒有被轉(zhuǎn)發(fā)或者上送CPU處理而已���。在這種情況下����,就需要進一步對攻擊數(shù)據(jù)包進行分析�����,找到攻擊者,有時候還需要找到攻擊所針對的端口號等信息�,所以需要在ACL處理 之前鏡像。圖3是對數(shù)據(jù)包進入接口以后�,轉(zhuǎn)發(fā)層面對其處理的流程圖,具體 過程和圖2是對應(yīng)的��,下面分步驟說明��。步驟301,接口在收到數(shù)據(jù)包之后����,首先通過"順序選擇模塊"決 定鏡像和ACL之間的生效順序��,如果ACL優(yōu)先生效��,則進入步驟303���, 如果是鏡像功能優(yōu)先��,則進入步驟302;步驟302,經(jīng)過順序選#^莫塊決定首先進4于鏡<象處理之后�,數(shù)據(jù)包 凈皮發(fā)送至"鏡^^莫塊"處理�。鏡像本身的策略由設(shè)備配置決定�����,這一點 不做改動�,也不會影響其它不需要鏡像的數(shù)據(jù)包的正常轉(zhuǎn)發(fā)�����。鏡像處理 結(jié)束后�����,所有的數(shù)據(jù)包再進入"ACL模塊"��,由ACL規(guī)則決定可以被 轉(zhuǎn)發(fā)的數(shù)據(jù)包�����; ���;步驟303,如果ACL流程優(yōu)先被選擇����,那么就按照ACL的規(guī)則首 先對進入接口的所有數(shù)據(jù)包進行過濾����,之后����,對過濾后剩余的數(shù)據(jù)包再 匹配鏡像條件�����,如果其中有需要被鏡像的數(shù)據(jù)包�,則作鏡像操作。經(jīng)過以上步驟的處理���,網(wǎng)絡(luò)管理員可以自由的根據(jù)實際需要對凈 控設(shè)備的接口流量進行分析�,從而更加有效的保證網(wǎng)絡(luò)安全����。以上所述僅為本發(fā)明的較佳實施例而已���,并不用以限制本發(fā)明�����,凡 在本發(fā)明的精神和原則之內(nèi)所作的任何修改��、等同替換和改進等�����,均應(yīng) 包含在本發(fā)明的保護范圍之內(nèi)����。
權(quán)利要求
1、一種鏡像和訪問控制列表功能生效順序的優(yōu)化方法�����,其特征在于�,包括A、設(shè)置順序選擇模塊��;B�、所述順序選擇模塊設(shè)置鏡像和訪問控制列表功能的生效順序;C��、根據(jù)所設(shè)置的生效順序?qū)?shù)據(jù)包執(zhí)行相應(yīng)的操作���。
2�、 如權(quán)利要求1所述的鏡像和訪問控制列表功能生效順序的優(yōu) 化方法��,其特征在于,步驟B進一步包括若不需要對數(shù)據(jù)包中的 攻擊包進行分析��,則設(shè)置訪問控制列表功能先生效�、鏡像功能后生效; 若需要對數(shù)據(jù)包中的攻擊包進行分析����,則設(shè)置鏡像功能先生效、訪問 控制列表功能后生效���。
3���、 如權(quán)利要求2所述的鏡像和訪問控制列表功能生效順序的優(yōu) 化方法,其特征在于�,步驟C進一步包括若所設(shè)置的生效順序為 先訪問控制列表功能后鏡像功能,則先對數(shù)據(jù)包進行訪問控制列表篩 選�,再對所篩選過的數(shù)據(jù)包鏡像處理,最后轉(zhuǎn)發(fā)該數(shù)據(jù)包�����;若所設(shè)置 的生效順序為先鏡像功能后訪問控制列表功能���,則先對數(shù)據(jù)包鏡像處 理�,再對數(shù)據(jù)包進行訪問控制列表篩選����,最后轉(zhuǎn)發(fā)篩選后的數(shù)據(jù)包。
4����、 如權(quán)利要求1所述的鏡像和訪問控制列表功能生效順序的優(yōu) 化方法,其特征在于�����,所述順序選擇模塊設(shè)置在被監(jiān)控設(shè)備的接口的 轉(zhuǎn)發(fā)層面���。
全文摘要
本發(fā)明公開了一種鏡像和訪問控制列表功能生效順序的優(yōu)化方法�,包括A.設(shè)置順序選擇模塊���;B.所述順序選擇模塊設(shè)置鏡像和訪問控制列表功能的生效順序���;C.根據(jù)所設(shè)置的生效順序?qū)?shù)據(jù)包執(zhí)行相應(yīng)的操作。本發(fā)明通過在接口設(shè)置順序選擇模塊����,該模塊由網(wǎng)絡(luò)管理員進行維護�����,在不需要對攻擊包進行分析時�,選擇先進行ACL篩選再對篩選過的數(shù)據(jù)包鏡像�;在需要對供給包進行分析時,選擇先對數(shù)據(jù)包鏡像再進行ACL篩選���,這樣保證了在數(shù)據(jù)正常轉(zhuǎn)發(fā)情況下設(shè)備免受攻擊�,同時也不會影響網(wǎng)絡(luò)管理員對攻擊報文進行分析�����。
文檔編號H04L29/06GK101247397SQ200810065508
公開日2008年8月20日 申請日期2008年3月7日 優(yōu)先權(quán)日2008年3月7日
發(fā)明者揚 楊 申請人:中興通訊股份有限公司