CN101197675B - 访问控制列表配置方法及装置 - Google Patents
访问控制列表配置方法及装置 Download PDFInfo
- Publication number
- CN101197675B CN101197675B CN2007101773454A CN200710177345A CN101197675B CN 101197675 B CN101197675 B CN 101197675B CN 2007101773454 A CN2007101773454 A CN 2007101773454A CN 200710177345 A CN200710177345 A CN 200710177345A CN 101197675 B CN101197675 B CN 101197675B
- Authority
- CN
- China
- Prior art keywords
- acl
- resource
- equipment
- configuration
- rule set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种访问控制列表(ACL)配置方法,该方法包括:将包括ACL基本信息和所有规则集的ACL资源统一下发给需要进行ACL配置的各个设备,并在下发时指定所述各个设备与规则集的对应关系;以供所述设备收到下发的ACL资源后,根据指定的对应关系确定与自身对应的规则集,并根据收到的ACL基本信息及与自身对应的规则集进行ACL配置。另外,本发明还提供了一种ACL配置装置及一种ACL管理系统。利用本发明所提供的技术方案,能够大大增强ACL配置的灵活性。
Description
技术领域
本发明涉及网络通信技术,尤其涉及访问控制列表(ACL,Access ControlList)配置方法及装置。
背景技术
互联网以及各种网络应用的普及在大幅提高企业生产经营效率的同时,也带来了诸多负面影响,如数据安全隐患,这使得网络安全保护成为网络管理中的重要课题。ACL是网络安全保护中的一项重要策略,其使用包过滤技术对符合规则的报文进行过滤,实现网络中的各种访问控制。比如,在公司网络的接入点设备上配置ACL,对用户可访问的网络域进行控制,使得该公司员工可以自由访问公司内部网络,但禁止访问公司财务网和外部网络。
对于存在多个设备需要进行ACL配置的网络环境,如果这些设备的ACL配置完全相同,则ACL管理系统可以采用批量下发的方式对这些设备进行统一配置,配置内容包括:ACL定义、ACL规则配置、时间范围配置和包过滤配置等。但是,如果这些设备的ACL配置不尽相同,则需要网络管理员对各个设备逐一单独进行ACL配置。比如,参见图1所示应用ACL的网络结构示意图,一个公司在北京、杭州都设有分支结构,由于这两个分支机构的网络配置必然存在很大差异,因此,为了保证该公司A员工在上述两个分支机构都能够正常访问其权限范围内的网络资源,就需要网络管理员在上述两个分支机构的接入点上分别配置不同的ACL,操作起来较为不便,配置灵活性较差。另外,由于不同接入点上配置的ACL不同,无法进行统一管理,因此,当A员工的访问权限发生改变时,又需要网络管理员分别对这两个接入点的ACL配置单独进行修改,这给使用上带来了极大的不便。
发明内容
有鉴于此,本发明的主要目的在于提供一种ACL配置方法及装置,提高ACL配置的灵活性。
为达到上述目的,本发明提供的技术方案如下:
一种访问控制列表ACL配置方法,将ACL资源分成ACL基本信息和对应不同应用场景的规则集,该方法包括:将包括ACL基本信息和所有规则集的ACL资源统一下发给需要进行ACL配置的各个设备,并在下发时指定所述各个设备与规则集的对应关系;以供所述设备收到下发的ACL资源后,根据指定的对应关系确定与自身对应的规则集,并根据收到的ACL基本信息及与自身对应的规则集进行ACL配置。
该方法进一步包括:在ACL资源发生变化或者发现设备上的ACL配置被更改后,向所述设备重新下发ACL资源。
该方法进一步包括:将所述设备上的既定ACL配置同步到ACL资源中。
所述ACL资源中包括至少两个规则集。
所述ACL基本信息包括ACL号、ACL类型、步长和/或规则匹配顺序。
所述规则集包括ACL规则信息和/或规则所使用的时间范围信息。
一种ACL配置装置,与需要进行ACL配置的设备相连,该装置包括:资源接收单元和ACL配置单元,其中,
资源接收单元,用于接收下发的ACL资源,并将收到的ACL资源转发给ACL配置单元,所述ACL资源包括ACL基本信息和所有规则集,并且还指定了需要进行ACL配置的各个设备与规则集的对应关系;
ACL配置单元,用于接收资源接收单元发来的ACL资源,根据指定的对应关系确定与自身相连的设备相对应的规则集,并根据收到的ACL基本信息及对应的规则集对与自身相连的设备进行ACL配置。
该装置设置在接入点设备或接入交换机中。
一种ACL管理系统,包括:资源存储单元和资源下发单元,其中,
资源存储单元,用于存储包括ACL基本信息和对应不同应用场景的规则集的ACL资源;
资源下发单元,用于将资源存储单元中存储的包括ACL基本信息和所有规则集的ACL资源统一下发给需要进行ACL配置的各个设备,并在下发时指定所述各个设备与规则集的对应关系。
所述资源下发单元进一步用于,在ACL资源发生变化或者发现设备上的ACL配置被更改后,向所述设备重新下发ACL资源。
所述资源下发单元进一步用于,将设备上的既定ACL配置同步到资源存储单元中的ACL资源中。
所述ACL资源中包括至少两个规则集。
所述ACL基本信息包括ACL号、ACL类型、步长和/或规则匹配顺序。
所述规则集包括ACL规则信息和/或规则所使用的时间范围信息。
由此可见,本发明通过将ACL资源分成ACL基本信息和规则集,并在统一下发ACL资源时为各个设备分别指定对应规则集,使得对于不同的设备,也可以采用统一下发ACL资源的方式来进行ACL配置,而无需分别针对各个设备单独进行配置,从而提高了ACL配置的灵活性,简化了ACL配置过程。
进一步地,采用本发明所提供的技术方案后,如果ACL资源中的基本信息或规则集发生了改变,则只需将改变后的ACL资源重新下发到相应的设备上即可,而无需网络管理员逐个修改相关设备上的ACL配置,从而增强了管理的可操作性和应用的便捷性。
附图说明
图1为现有技术中应用ACL的网络结构示意图。
图2为本发明实施例中ACL资源、规则集及设备的关联关系示意图。
图3为本发明实施例中的ACL配置方法流程图。
图4为本发明实施例中的ACL配置装置结构示意图。
图5为本发明实施例中的ACL管理系统结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,下面参照附图并举实施例,对本发明作进一步详细说明。
为了克服现有技术中ACL配置方案灵活性较差的缺陷,本发明提出了ACL资源这一概念,所述ACL资源主要包括ACL基本信息和规则集两部分,其中,ACL基本信息包括ACL号、ACL类型、步长、规则匹配顺序等,规则集包括相应的ACL规则信息及规则所使用的时间范围信息等。一项ACL资源对应一项业务,该业务在不同应用场景下所具有的共同信息构成ACL基本信息,而各个不同应用场景下所具有的独特信息则构成规则集,规则集对应不同的应用场景,体现了各个场景个性化的ACL规则配置。
比如,某公司使用ACL资源实现安全隔离策略,对不同的接入交换机配置ACL时,均采用相同的ACL号,并根据实际情况为不同接入交换机配置了不同的ACL规则集。这样既实现了业务共性的统一管理,又保留了应用环境的个性差异。
图2示出了ACL资源、规则集及需要进行ACL配置的设备的关联关系示意图。其中,ACL资源1对应业务A,包括规则集1和规则集2两个不同的规则集;ACL资源2对应业务B,包括规则3、规则集4和规则集5三个不同的规则集。在同一个设备上不仅可以进行对应一种业务的ACL配置,还可以进行对应多种不同业务的ACL配置。比如,参见图2所示,当在设备2上进行对应业务A的ACL配置时,则需要在设备2上配置ACL资源1的基本信息及规则集1;当在设备2上进行对应业务B的ACL配置时,则需要在设备2上配置ACL资源2的基本信息及规则集4。
下面以图2所示设备1、设备2和设备3需要进行对应业务A的ACL配置为例,对本发明提供的ACL配置方法进行详细说明。该ACL配置方法流程如图3所示,主要包括以下步骤:
步骤301:ACL管理系统将对应业务A的ACL资源统一下发到需要进行对应业务A的ACL配置的各个设备上,并指定与各个设备相对应的规则集。具体来说,即:ACL管理系统将包括ACL基本信息及规则集1和规则集2的ACL资源1统一下发到设备1、设备2和设备3上,并指定各个设备与规则集的对应关系,即指定设备1对应规则集1,设备2对应规则集1,设备3对应规则集2。
步骤302:需要进行ACL配置的设备收到ACL管理系统下发的ACL资源后,根据其中携带的ACL基本信息及与自身对应的规则集进行ACL配置。具体而言,即:设备1、设备2收到下发的ACL资源1后,读取其中携带的ACL基本信息及与自身对应的规则集1,并进行相关配置;设备3收到下发的ACL资源1后,读取其中携带的ACL基本信息及与自身对应的规则集2,并进行相关配置。
可见,采用本发明提供的ACL配置方法后,对于需要进行不同ACL配置的设备,可以采用统一下发ACL资源的方式来进行ACL配置,而无需分别针对各个设备单独进行配置,从而提高了ACL配置的灵活性,简化了ACL配置过程。
另外,采用本发明所提供的ACL配置方法,修改起来也比较方便。当ACL资源中的基本信息或者规则集改变后,只需ACL管理系统将改变后的ACL资源重新下发到相应的设备上即可,所述设备根据重新收到的ACL资源修改自身的ACL配置,而无需网络管理员逐个修改相关设备上的ACL配置。另外,当发现设备上的ACL配置被更改后,即发现设备上的ACL配置与该设备应该对应的ACL资源不一致后,ACL管理系统同样可以再次下发正确的ACL资源到该设备。
反之,网络管理员也可以将设备上的既定ACL配置同步到ACL管理系统中的ACL资源里,从而构成一个完整的双向循环。对于获取的设备既定ACL配置,ACL管理系统可以将其直接添加到ACL资源中,作为ACL资源中的一部分使用;或者,在后续应用过程中,根据之前已经获取的既定ACL配置判断设备上的ACL配置是否发生了改变。
比如,在图1所示的应用环境中,网络管理员可以为与A员工具有相同权限的员工组创建ACL资源A,ACL资源A中使用不同的规则集对应不同的接入点。在对接入点进行ACL配置时,网络管理员将ACL资源A统一下发给北京接入点和杭州接入点,同时指定与这两个接入点对应的规则集。当需要修改所述员工组权限时,可复制出资源A的一个拷贝,在拷贝上进行修改,或者在资源A上直接修改,然后将修改后的资源A统一下发给北京接入点和杭州接入点。采取上述方案,可大大提高ACL配置的灵活性,增强其应用的便捷性和管理的可操作性。
另外,本发明还提供了一种ACL配置装置,与需要进行ACL配置的设备相连,该装置结构参见图4所示,主要包括:资源接收单元和ACL配置单元,其中,
资源接收单元,用于接收下发的ACL资源,并将收到的ACL资源转发给ACL配置单元,所述ACL资源包括ACL基本信息和所有规则集,并且还指定了需要进行ACL配置的各个设备与规则集的对应关系;
ACL配置单元,用于接收资源接收单元发来的ACL资源,根据指定的对应关系确定与自身相连的设备相对应的规则集,并根据收到的ACL基本信息及对应的规则集对与自身相连的设备进行ACL配置。
图4所示ACL配置装置可设置在接入点设备或接入交换机中。
另外,本发明还提供了一种ACL管理系统,其结构参见图5所示,包括:资源存储单元和资源下发单元,其中,
资源存储单元,用于存储包括ACL基本信息和对应不同应用场景的规则集的ACL资源;
资源下发单元,用于将资源存储单元中存储的包括ACL基本信息和所有规则集的ACL资源统一下发给需要进行ACL配置的各个设备,并在下发时指定所述各个设备与规则集的对应关系。
其中,所述资源下发单元可进一步用于,在ACL资源发生变化或者发现设备上的ACL配置被更改后,向所述设备重新下发ACL资源。
并且,所述资源下发单元还可进一步用于,将设备上的既定ACL配置同步到资源存储单元中的ACL资源中。
以上所述对本发明的目的、技术方案和有益效果进行了进一步的详细说明,所应理解的是,以上所述并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种访问控制列表ACL配置方法,其特征在于,将ACL资源分成ACL基本信息和对应不同应用场景的规则集,该方法包括:
将包括ACL基本信息和所有规则集的ACL资源统一下发给需要进行ACL配置的各个设备,并在下发时指定所述各个设备与规则集的对应关系;以供所述设备收到下发的ACL资源后,根据指定的对应关系确定与自身对应的规则集,并根据收到的ACL基本信息及与自身对应的规则集进行ACL配置。
2.根据权利要求1所述的方法,其特征在于,该方法进一步包括:在ACL资源发生变化或者发现设备上的ACL配置被更改后,向所述设备重新下发ACL资源。
3.根据权利要求1所述的方法,其特征在于,该方法进一步包括:将所述设备上的既定ACL配置同步到ACL资源中。
4.根据权利要求1所述的方法,其特征在于,所述ACL资源中包括至少两个规则集。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述ACL基本信息包括ACL号、ACL类型、步长和/或规则匹配顺序。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述规则集包括ACL规则信息和/或规则所使用的时间范围信息。
7.一种访问控制列表ACL配置装置,与需要进行ACL配置的设备相连,其特征在于,该装置包括:资源接收单元和ACL配置单元,其中,
资源接收单元,用于接收下发的ACL资源,并将收到的ACL资源转发给ACL配置单元,所述ACL资源包括ACL基本信息和所有规则集,并且还指定了需要进行ACL配置的各个设备与规则集的对应关系;
ACL配置单元,用于接收资源接收单元发来的ACL资源,根据指定的对应关系确定与自身相连的设备相对应的规则集,并根据收到的ACL基本信息及对应的规则集对与自身相连的设备进行ACL配置。
8.根据权利要求7所述的装置,其特征在于,该装置设置在接入点设备或接入交换机中。
9.一种访问控制列表ACL管理系统,其特征在于,包括:资源存储单元和资源下发单元,其中,
资源存储单元,用于存储包括ACL基本信息和对应不同应用场景的规则集的ACL资源;
资源下发单元,用于将资源存储单元中存储的包括ACL基本信息和所有规则集的ACL资源统一下发给需要进行ACL配置的各个设备,并在下发时指定所述各个设备与规则集的对应关系。
10.根据权利要求9所述的系统,其特征在于,所述资源下发单元进一步用于,在ACL资源发生变化或者发现设备上的ACL配置被更改后,向所述设备重新下发ACL资源。
11.根据权利要求9所述的系统,其特征在于,所述资源下发单元进一步用于,将设备上的既定ACL配置同步到资源存储单元中的ACL资源中。
12.根据权利要求9所述的系统,其特征在于,所述ACL资源中包括至少两个规则集。
13.根据权利要求9至12任一项所述的系统,其特征在于,所述ACL基本信息包括ACL号、ACL类型、步长和/或规则匹配顺序。
14.根据权利要求9至12任一项所述的系统,其特征在于,所述规则集包括ACL规则信息和/或规则所使用的时间范围信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101773454A CN101197675B (zh) | 2007-11-14 | 2007-11-14 | 访问控制列表配置方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101773454A CN101197675B (zh) | 2007-11-14 | 2007-11-14 | 访问控制列表配置方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101197675A CN101197675A (zh) | 2008-06-11 |
| CN101197675B true CN101197675B (zh) | 2010-06-09 |
Family
ID=39547845
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101773454A Expired - Fee Related CN101197675B (zh) | 2007-11-14 | 2007-11-14 | 访问控制列表配置方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101197675B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104253754B (zh) * | 2014-09-11 | 2019-03-15 | 新华三技术有限公司 | 一种acl快速匹配的方法和设备 |
| CN105516099B (zh) * | 2015-11-30 | 2019-02-22 | 北京奇艺世纪科技有限公司 | 一种业务方访问及访问规则的配置的方法和装置 |
| CN107426035A (zh) * | 2017-08-22 | 2017-12-01 | 上海斐讯数据通信技术有限公司 | 无线ap批量配置装置及其方法 |
| CN107896169B (zh) * | 2017-12-28 | 2021-12-24 | 杭州迪普科技股份有限公司 | 一种acl的管理方法及装置 |
| CN113128200B (zh) * | 2019-12-31 | 2023-07-21 | 北京百度网讯科技有限公司 | 用于处理信息的方法和装置 |
| CN113132241B (zh) * | 2021-05-07 | 2022-05-24 | 杭州迪普信息技术有限公司 | Acl模板动态配置方法及装置 |
| CN115865839B (zh) * | 2023-01-20 | 2023-05-23 | 苏州浪潮智能科技有限公司 | Acl管理方法、装置、通信设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1569410A1 (en) * | 2004-02-26 | 2005-08-31 | Research In Motion Limited | Method and system for automatically configuring access control |
| CN1791065A (zh) * | 2005-12-20 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种接入虚拟局域网的方法 |
| CN1852263A (zh) * | 2006-05-23 | 2006-10-25 | 杭州华为三康技术有限公司 | 一种报文的访问控制方法及一种网络设备 |
| GB2426422A (en) * | 2005-05-17 | 2006-11-22 | Samsung Electronics Co Ltd | Dynamic network security system allowing Voice over Internet Protocol communication in the presence of a firewall |
-
2007
- 2007-11-14 CN CN2007101773454A patent/CN101197675B/zh not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1569410A1 (en) * | 2004-02-26 | 2005-08-31 | Research In Motion Limited | Method and system for automatically configuring access control |
| GB2426422A (en) * | 2005-05-17 | 2006-11-22 | Samsung Electronics Co Ltd | Dynamic network security system allowing Voice over Internet Protocol communication in the presence of a firewall |
| CN1791065A (zh) * | 2005-12-20 | 2006-06-21 | 杭州华为三康技术有限公司 | 一种接入虚拟局域网的方法 |
| CN1852263A (zh) * | 2006-05-23 | 2006-10-25 | 杭州华为三康技术有限公司 | 一种报文的访问控制方法及一种网络设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101197675A (zh) | 2008-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101197675B (zh) | 访问控制列表配置方法及装置 | |
| US20210141920A1 (en) | Dynamic view for implementing data access control policies | |
| CN110348202A (zh) | 一种基于区块链智能合约的角色访问控制系统及方法 | |
| US20200065313A1 (en) | Extensible content object metadata | |
| CN107172168A (zh) | 一种混合云存储数据迁移方法及系统 | |
| CN108092945B (zh) | 访问权限的确定方法和装置、终端 | |
| CN113508383B (zh) | 数据库对象上以容器为中心的访问控制 | |
| CN112835977B (zh) | 一种基于区块链的数据库管理方法及系统 | |
| CN101315621A (zh) | 一种实现文档共享编辑的方法 | |
| CN107622211A (zh) | 一种大数据集群权限访问控制方法及装置 | |
| AU2014208184A1 (en) | Systems and methodologies for managing document access permissions | |
| CN110363012B (zh) | 对权限资源进行权限配置的方法、权限系统和存储介质 | |
| US8180894B2 (en) | System and method for policy-based registration of client devices | |
| CN103001793B (zh) | 一种acl管理方法及装置 | |
| DE112017003294T5 (de) | Technologien für ein skalierbares Senden und Empfangen von Paketen | |
| CN102479354B (zh) | 一种基于工作流的数据处理方法以及系统 | |
| CN102097015B (zh) | 一种作业指导书处理系统及方法 | |
| CN111147528A (zh) | 管理网络安全策略的方法 | |
| CN107329991A (zh) | 一种列表页访问和展示方法及其系统 | |
| CN110232291A (zh) | 智能数据脱敏方法、装置、计算机设备和存储介质 | |
| CN108512782A (zh) | 访问控制列表分组调整方法、网络设备和系统 | |
| CN104239337B (zh) | 基于tcam的查表处理方法及装置 | |
| CN104391935B (zh) | 一种范围锁的实现方法及装置 | |
| CN117390105B (zh) | 一种工业服务开放平台的服务录入方法及系统 | |
| WO2017211161A1 (zh) | 基于软件定义网络的资源管理方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100609 Termination date: 20191114 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |