CN101247397A - 一种镜像和访问控制列表功能生效顺序的优化方法 - Google Patents
一种镜像和访问控制列表功能生效顺序的优化方法 Download PDFInfo
- Publication number
- CN101247397A CN101247397A CNA2008100655084A CN200810065508A CN101247397A CN 101247397 A CN101247397 A CN 101247397A CN A2008100655084 A CNA2008100655084 A CN A2008100655084A CN 200810065508 A CN200810065508 A CN 200810065508A CN 101247397 A CN101247397 A CN 101247397A
- Authority
- CN
- China
- Prior art keywords
- packet
- force
- mirror image
- feature
- image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种镜像和访问控制列表功能生效顺序的优化方法,包括:A.设置顺序选择模块;B.所述顺序选择模块设置镜像和访问控制列表功能的生效顺序;C.根据所设置的生效顺序对数据包执行相应的操作。本发明通过在接口设置顺序选择模块,该模块由网络管理员进行维护,在不需要对攻击包进行分析时,选择先进行ACL筛选再对筛选过的数据包镜像;在需要对供给包进行分析时,选择先对数据包镜像再进行ACL筛选,这样保证了在数据正常转发情况下设备免受攻击,同时也不会影响网络管理员对攻击报文进行分析。
Description
技术领域
本发明涉及网络通信技术,更具体的说,涉及一种对进入被监控设备接口的数据包进行镜像和ACL(Access Control List,访问控制列表)处理顺序的优化方法。
背景技术
互联网的高速发展带来了便利,同时也产生了例如网络攻击、病毒等很多问题。为了解决此类问题,网络管理者需要对经过网络设备的数据进行分析。但是由于设备本身一般不具备本地分析数据包的能力,所以需要将数据通过一定的方式发送到另外一个分析平台上进行处理,针对这个需求,产生了镜像功能。
镜像功能可以将一个或多个需要被镜像的端口的流量复制到指定的目的端口,这个端口也称为监控端口,一般可以连接网络管理平台等监控设备。监控平台通过镜像得到了这些数据,就可以进行网络流量的分析和监管,也可以在设备受到攻击的时候分析攻击特征并制定应对方案。镜像是独立于数据转发之外的行为,不会影响正常的流量转发。
镜像往往是应用在接口上的,在这个过程中,不可避免的会和同样应用在接口上的其它功能产生冲突,如ACL、URPF(UnicastReverse PathForwarding,单播反向路径查找)、QoS(Qualityof Service,服务质量)等。其中,与ACL的冲突最为明显。
ACL功能应用在接口上时,能够对经过接口的数据包进行筛选,将不需要转发的报文直接丢弃。当ACL和镜像同时应用到一个接口上时,就必须为这两个功能设置一个生效的先后顺序。目前的做法一般是首先对数据包进行ACL处理,然后再进行镜像处理。这样做的原因在于,如果这个数据包不需要被转发,那么直接丢弃掉即可,自然也不需要被镜像。但是这种情况会产生一个问题,即当攻击发生时,攻击报文可能因为不在允许转发的范围内而被丢弃,不会再被镜像,这样一来,接收报文的接口带宽被占据了,但网络管理员无法在监控设备上收到攻击报文,也就无法针对攻击行为进行下一步的动作。如果取消接口上的ACL配置,数据包确实能够被镜像,但是这样一来,对设备的攻击行为也就无法防御。
发明内容
本发明所要解决的技术问题是提供一种镜像和ACL功能生效顺序的优化方法,使得网络管理员可以根据情况对镜像和ACL生效顺序进行选择。
本发明的目的是通过以下技术方案实现的:
一种镜像和ACL功能生效顺序的优化方法,包括:
A、设置顺序选择模块;
B、所述顺序选择模块设置镜像和ACL功能的生效顺序;
C、根据所设置的生效顺序对数据包执行相应的操作。
其中,所述步骤B进一步包括:若不需要对数据包中的攻击包进行分析,则设置ACL功能先生效、镜像功能后生效;若需要对数据包中的攻击包进行分析,则设置镜像功能先生效、ACL功能后生效。
其中,所述步骤C进一步包括:若所设置的生效顺序为先ACL功能后镜像功能,则先对数据包进行ACL筛选,再对所筛选过的数据包镜像,最后转发该数据包;若所设置的生效顺序为先镜像功能后ACL功能,则先对数据包镜像,再对数据包进行ACL筛选,最后转发筛选后的数据包。
其中,所述顺序选择模块设置在被监控设备的接口的转发层面。
本发明具有以下有益效果:
本发明通过在接口设置顺序选择模块,该模块由网络管理员进行维护,在不需要对攻击包进行分析时,选择先进行ACL筛选再对筛选过的数据包镜像;在需要对供给包进行分析时,选择先对数据包镜像再进行ACL筛选,这样保证了在数据正常转发情况下设备免受攻击,同时也不会影响网络管理员对攻击报文进行分析。
附图说明
图1是本发明应用过程中的网络示意图;
图2是本发明的功能结构示意图;
图3是本发明中镜像和ACL的两个不同的生效顺序流程。
具体实施方式
本发明对接口上镜像功能和ACL功能的生效顺序进行优化,或者说在不同的情况下进行选择,做到在数据正常转发情况下设备免受攻击,同时也不会影响网络管理员对攻击报文进行分析。主要原理为:
一、在正常情况下,即不需要对攻击包进行分析的时候,仍然以传统的处理顺序为准:先进行ACL筛选,再对筛选过的数据包镜像。这种处理方法往往发生在无攻击行为或攻击行为比较弱,对网络造成的影响比较小,仅仅拒绝掉就已经足够了的情况。这样做的目的是减少镜像数据量,降低系统压力。
二、当网络受到攻击的时候,接口上的处理流程更改为首先对数据包进行镜像,之后不直接转发所有收到的数据包,而是进行ACL处理,将不需要转发的数据包丢弃,包括被怀疑有攻击行为的数据包。
下面结合附图及具体实施例对本发明作进一步的描述。
首先用图1对本发明所涉及的网络应用结构作简单说明。图1是一个典型的镜像功能应用示意图,发往Internet的流量从流量源发出,中间经过的设备都可以成为被监控设备。监控终端在收集到经过被监控设备的流量之后进行分析。
图2描述了本发明的功能结构。首先由顺序选择模块对当前转发层面的功能生效顺序进行设置,该过程由网络管理员根据实际需要完成。当设备运转正常时,管理员可以选择将ACL的生效流程安排在镜像之前,让不需要转发的数据包不被镜像,做到合理利用系统资源;当网络遭受攻击,管理员希望知道是什么样的数据包从接口进入时,可以将生效顺序改变为首先进行镜像,然后实现ACL,这样可以保证需要镜像的数据包不会因为ACL无法镜像。
对网络的攻击包,不论是攻击被监控设备的,还是经过被监控设备攻击其它设备或终端的,都会经过被监控的接口,如果单纯采用ACL拒绝掉数据包,确实可以避免攻击成功,但是对于被监控的接口来说,大量的数据包仍然会占据带宽,只是没有被转发或者上送CPU处理而已。在这种情况下,就需要进一步对攻击数据包进行分析,找到攻击者,有时候还需要找到攻击所针对的端口号等信息,所以需要在ACL处理之前镜像。
图3是对数据包进入接口以后,转发层面对其处理的流程图,具体过程和图2是对应的,下面分步骤说明。
步骤301,接口在收到数据包之后,首先通过“顺序选择模块”决定镜像和ACL之间的生效顺序,如果ACL优先生效,则进入步骤303,如果是镜像功能优先,则进入步骤302;
步骤302,经过顺序选择模块决定首先进行镜像处理之后,数据包被发送至“镜像模块”处理。镜像本身的策略由设备配置决定,这一点不做改动,也不会影响其它不需要镜像的数据包的正常转发。镜像处理结束后,所有的数据包再进入“ACL模块”,由ACL规则决定可以被转发的数据包;
步骤303,如果ACL流程优先被选择,那么就按照ACL的规则首先对进入接口的所有数据包进行过滤,之后,对过滤后剩余的数据包再匹配镜像条件,如果其中有需要被镜像的数据包,则作镜像操作。
经过以上步骤的处理,网络管理员可以自由的根据实际需要对被监控设备的接口流量进行分析,从而更加有效的保证网络安全。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (4)
1、一种镜像和访问控制列表功能生效顺序的优化方法,其特征在于,包括:
A、设置顺序选择模块;
B、所述顺序选择模块设置镜像和访问控制列表功能的生效顺序;
C、根据所设置的生效顺序对数据包执行相应的操作。
2、如权利要求1所述的镜像和访问控制列表功能生效顺序的优化方法,其特征在于,步骤B进一步包括:若不需要对数据包中的攻击包进行分析,则设置访问控制列表功能先生效、镜像功能后生效;若需要对数据包中的攻击包进行分析,则设置镜像功能先生效、访问控制列表功能后生效。
3、如权利要求2所述的镜像和访问控制列表功能生效顺序的优化方法,其特征在于,步骤C进一步包括:若所设置的生效顺序为先访问控制列表功能后镜像功能,则先对数据包进行访问控制列表筛选,再对所筛选过的数据包镜像处理,最后转发该数据包;若所设置的生效顺序为先镜像功能后访问控制列表功能,则先对数据包镜像处理,再对数据包进行访问控制列表筛选,最后转发筛选后的数据包。
4、如权利要求1所述的镜像和访问控制列表功能生效顺序的优化方法,其特征在于,所述顺序选择模块设置在被监控设备的接口的转发层面。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008100655084A CN101247397A (zh) | 2008-03-07 | 2008-03-07 | 一种镜像和访问控制列表功能生效顺序的优化方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008100655084A CN101247397A (zh) | 2008-03-07 | 2008-03-07 | 一种镜像和访问控制列表功能生效顺序的优化方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101247397A true CN101247397A (zh) | 2008-08-20 |
Family
ID=39947596
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008100655084A Pending CN101247397A (zh) | 2008-03-07 | 2008-03-07 | 一种镜像和访问控制列表功能生效顺序的优化方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101247397A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355503B (zh) * | 2008-09-03 | 2011-01-05 | 中兴通讯股份有限公司 | 一种报文自动镜像系统及方法 |
WO2011032456A1 (zh) * | 2009-09-17 | 2011-03-24 | 中兴通讯股份有限公司 | 一种检测访问控制列表生效的方法和装置 |
CN105207945A (zh) * | 2015-08-24 | 2015-12-30 | 上海斐讯数据通信技术有限公司 | 一种基于二、三层报文地址的端口镜像方法 |
CN109743231A (zh) * | 2019-02-22 | 2019-05-10 | 杭州迪普科技股份有限公司 | 一种acl功能测试方法和装置 |
-
2008
- 2008-03-07 CN CNA2008100655084A patent/CN101247397A/zh active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101355503B (zh) * | 2008-09-03 | 2011-01-05 | 中兴通讯股份有限公司 | 一种报文自动镜像系统及方法 |
WO2011032456A1 (zh) * | 2009-09-17 | 2011-03-24 | 中兴通讯股份有限公司 | 一种检测访问控制列表生效的方法和装置 |
CN105207945A (zh) * | 2015-08-24 | 2015-12-30 | 上海斐讯数据通信技术有限公司 | 一种基于二、三层报文地址的端口镜像方法 |
CN109743231A (zh) * | 2019-02-22 | 2019-05-10 | 杭州迪普科技股份有限公司 | 一种acl功能测试方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8149705B2 (en) | Packet communications unit | |
Shang et al. | FloodDefender: Protecting data and control plane resources under SDN-aimed DoS attacks | |
Gao et al. | Detection and mitigation of DoS attacks in software defined networks | |
Phan et al. | OpenFlowSIA: An optimized protection scheme for software-defined networks from flooding attacks | |
US10637886B2 (en) | Software defined network capable of detecting DDoS attacks and switch included in the same | |
CN101399749B (zh) | 一种报文过滤的方法、系统和设备 | |
US7725938B2 (en) | Inline intrusion detection | |
CN105827629B (zh) | 云计算环境下软件定义安全导流装置及其实现方法 | |
CN106921637A (zh) | 网络流量中的应用信息的识别方法和装置 | |
US20070192481A1 (en) | Systems and methods for content type classification | |
CN103444132A (zh) | 网络系统及其交换方法 | |
CN101496347A (zh) | 用于优先等级确定的基于内容的区分及定序 | |
CN101779434A (zh) | 处理分组流 | |
CN101640666A (zh) | 一种面向目标网络的流量控制装置及方法 | |
CN101599963A (zh) | 网络疑似威胁信息筛选器及筛选处理方法 | |
CN101227289A (zh) | 统一威胁管理设备及威胁防御模块的加载方法 | |
CN101547187A (zh) | 宽带接入设备的网络攻击防护方法 | |
CN101483649A (zh) | 一种基于fpga的网络安全内容处理卡 | |
CN101247397A (zh) | 一种镜像和访问控制列表功能生效顺序的优化方法 | |
CN100502356C (zh) | 一种基于多级聚集的异常流量控制方法与系统 | |
CN110912887A (zh) | 一种基于Bro的APT监测系统和方法 | |
US20090252041A1 (en) | Optimized statistics processing in integrated DPI service-oriented router deployments | |
Dressler et al. | Attack detection using cooperating autonomous detection systems (CATS) | |
KR20060130892A (ko) | 광대역 네트워크에서의 분산 서비스 거부 공격 탐지 및대응 방법 | |
CN1728679A (zh) | 路由器配置方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Open date: 20080820 |