CN101364877A - 安全策略配置方法及其装置 - Google Patents

安全策略配置方法及其装置 Download PDF

Info

Publication number
CN101364877A
CN101364877A CNA2008102236615A CN200810223661A CN101364877A CN 101364877 A CN101364877 A CN 101364877A CN A2008102236615 A CNA2008102236615 A CN A2008102236615A CN 200810223661 A CN200810223661 A CN 200810223661A CN 101364877 A CN101364877 A CN 101364877A
Authority
CN
China
Prior art keywords
security control
control function
chained list
function corresponding
corresponding strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2008102236615A
Other languages
English (en)
Other versions
CN101364877B (zh
Inventor
郭伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ruijie Networks Co Ltd
Original Assignee
Fujian Star Net Communication Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujian Star Net Communication Co Ltd filed Critical Fujian Star Net Communication Co Ltd
Priority to CN2008102236615A priority Critical patent/CN101364877B/zh
Publication of CN101364877A publication Critical patent/CN101364877A/zh
Application granted granted Critical
Publication of CN101364877B publication Critical patent/CN101364877B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种安全策略配置方法和装置。该方法包括:接收预配置的不同安全控制功能的安全策略;将不同安全控制功能对应的安全策略转换为对应的策略链表;对不同安全控制功能对应的策略链表进行处理,以获取与所用的硬件引擎数量相同的新的策略链表;其中,所述策略链表包括所述报文特征和所述报文的转发行为。通过本发明,可根据硬件引擎的数量配置各个安全功能,使得网络设备不需根据安全功能的数量提供同样数量的硬件引擎,从而使得网络设备在有限硬件引擎的基础上实现无限的安全功能。

Description

安全策略配置方法及其装置
技术领域
本发明关于通信网络的安全技术,特别关于一种安全策略配置方法及其装置。
背景技术
随着互联网技术的发展以及个人PC的普及,网络上需要传送的信息量大大增加,一方面给用户带来极大的方便,另一方面又存在大量的问题,如大量的网络黑客、层出不穷的计算机网络病毒等,这些问题都是每个计算机网络的管理者以及众多网络设备厂商共同面临的重大课题。
目前,为解决上述问题,网络设备中出现了大量的安全控制功能,如常见的访问控制列表(ACL:Access Control List)、802.1x认证、端口安全、GSN等网络安全方案,它们都能够解决网络特定的一类或是几类问题。
例如,ACL:用于对接入用户数据流进行过滤,只允许用户访问若干服务器资源、不允许用户访问若干服务器资源、丢弃用户发出的带计算机病毒特征的数据流等。
802.1x认证:用于控制接入用户,确保接入网络均是合法用户。
端口安全:用于防御地址表溢出攻击、用于控制接入用户IP数据的合法性。
GSN:用于控制接入用户数据流策略,如只允许访问特定网络资源,不允许用户特定网络资源。
目前,对于实现多种安全功能的网络设备,每个安全功能需要独自占用一个硬件引擎才能实现多种安全功能同时应用。其中,该硬件引擎为安全功能处理引擎,基于报文数据内容识别,用于允许转发或过滤带特定特征的报文的硬件处理器,也称之为策略引擎。
例如,当实现N个安全功能时,该硬件引擎对应为N个。通常情况下,上述硬件引擎1至N中的每个硬件引擎所对应的策略可为多个,例如,如图1A所示,每个硬件引擎配置的策略可为策略1、策略2、……、策略i,上述策略预先配置,且以列表的形式储存。其中,每条策略可由规则与行为构成,如图1B所示,例如,策略1由规则1和行为1构成,策略i由规则i和行为i构成。其中,策略中的规则由报文的域与域的数据构成;行为用于配置报文命中规则时分配的转发行为,包括:允许转发(forward),不允许转发(drop),分配Qos行为(assign Qos)等用于控制报文转发的规则,根据实际需要可有多种不同行为。
例如,策略1:域与域的数据:源MAC地址且数据内容为00D0-F800-0001、目的MAC地址FFFF-FFFF-FFFF;行为:drop。该策略1表示:MAC地址为00D0-F800-0001的网卡(网络设备)发送出来的所有二层广播报文均命中,报文进行丢弃。这里只关心源MAC域与目的MAC域中的数据,其它所不关心的域均可以认为是any,即可以为任意数据。
策略2,域与域的数据:源MAC地址且数据内容为00D0-F800-0001、目的MAC地址FFFF-FFFF-FFFF,以太网类型为0x0806;行为:forward。该策略2表示:MAC地址为00D0-F800-0001的网卡(网络设备)发送出来的ARP广播报文均命中,报文允许转发。
以下以实现ACL和802.1X安全功能的交换机为例对相关技术进行说明。
例如,1)安全ACL配置:
permit any host 192.168.1.1;
deny any any。
表示:只允许任意源IP的用户PC访问目的IP为192.168.1.1的用户PC。
2)802.1X用户授权
在源IP为192.168.5.1、源MAC为0000.0000.0001的通过认证后会生成如下安全策略:
源IP为192.168.5.1,源MAC为0000.0000.0001的用户可以通过;
其它所有IP数据流不允许通过。
由上述可知,用户将上述两个策略同时应用一个端口,目的在于采用802.1x安全应用控制接入的用户的IP与MAC的关系,同时应用安全ACL控制端口下所有用户只允许访问服务器192.168.1.1。
基于上述传统的硬件引擎应用方案,要实现上述应用,最少需要两个硬件引擎来支持,其中一个硬件引擎用于ACL安全应用,另一个硬件引擎用于802.1X安全应用。
如图2所示,网管人员对ACL安全应用中2条策略进行配置,即通过输入单元(未示出)输入该策略,通过软件的数据转换后,转换为2条硬件引擎策略格式,通过PCI等总线接口写入该硬件引擎1所对应的策略表1;同理,将802.1XIP授权的两个策略写入硬件引擎2对应的策略表2。
在这种情况下,当接收到的报文目的IP为192.168.1.1、源IP为192.168.5.1、源MAC为0000.0000.0001时,首先,硬件引擎1根据策略表1中的策略1、策略2进行分析,可知该报文的转发策略对应“forward”;硬件引擎2根据策略表2中的策略1、策略2进行分析,可知该报文的转发策略对应“forward”。因此,由于硬件引擎1和硬件引擎2同时被分配“forward”,因此,可转发该报文。
另外,对于所有非源IP192.168.5.1、源MAC0000.0000.0001用户发送的IP报文均会被分配硬件引擎1中的策略2的drop行为,而所有目的IP非192.1.1.1的报文都会被分配硬件引擎2中的策略2的drop行为。
由上述可知,上述软件策略与硬件策略一一对应,使得每一个安全应用都需要对应使用一个硬件引擎,而在现实应用中交换机支持多种安全功能,例如,支持ACL、Qos、802.1X、DHCP Snooping绑定、端口安全、GSN、ARP Check等安全功能,这样,就要使用与实现该多种安全功能一样多的硬件引擎,而在实际的MAC芯片中所能提供的硬件引擎数量有限,因此,由于受到硬件引擎数目的限制,网络设备只能同时开启一个或者有限的多个安全功能,这就使得网络管理员在使用上述网络设备安全功能时不得不在众多的安全功能中做取舍。
发明内容
本发明的目的在于提供一种安全策略配置方法,该方法可根据硬件引擎的数量配置各个安全功能,使得网络设备不需根据安全功能的数量提供同样数量的硬件引擎,从而使得网络设备在有限硬件引擎的基础上实现无限的安全功能。
本发明的目的还在于提供一种安全策略配置装置,该装置可根据硬件引擎的数量配置各个安全功能,使得网络设备不需根据安全功能的数量提供同样数量的硬件引擎,从而使得网络在有限硬件引擎的基础上实现无限的安全功能。
为实现上述目的,本发明提供一种安全策略配置方法,该方法包括:接收预配置的不同安全控制功能的安全策略;将不同安全控制功能对应的安全策略转换为对应的策略链表;对不同安全控制功能对应的策略链表进行处理,以获取与所用的硬件引擎数量相同的新的策略链表;其中,所述策略链表包括所述报文特征和所述报文的转发行为。
为实现上述目的,本发明还提供一种安全策略配置装置,该装置包括:
接收单元,用于接收预配置的不同安全控制功能的安全策略;
转换单元,用于将不同安全控制功能对应的安全策略转换为对应的策略链表;
处理单元,用于对不同安全控制功能对应的策略链表进行处理,以获取与所用的硬件引擎数量相同的新的策略链表;
其中,所述策略链表包括所述报文特征和所述报文的转发行为。
本发明的有益效果在于,该方法可根据硬件引擎的数量配置各个安全功能,使得网络设备不需根据安全功能的数量提供同样数量的硬件引擎,从而使得网络设备在有限硬件引擎的基础上实现无限的安全功能。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的限定。在附图中:
图1A和图1B是每个硬件引擎所对应的策略表示意图;
图2是相关技术中安全策略配置的示意图;
图3是本发明实施例1的安全策略配置装置示意图;
图4A是本发明实施例2的安全策略配置装置示意图;
图4B是图4A中处理单元构成示意图;
图5是本发明实施例3的安全策略配置方法流程图;
图6是本发明实施例4的安全策略配置方法流程图;
图7是本发明实施例4中进行集合运算的流程图;
图8是本发明实施例的VPCE1和VPCE2链表合并的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合实施方式和附图,对本发明做进一步详细说明。在此,本发明的示意性实施方式及其说明用于解释本发明,但并不作为对本发明的限定。
以下参照附图对本发明的具体实施方式进行详细说明。
实施例1
本发明提供一种安全策略配置装置,如图3所示,该装置包括接收单元301、转换单元302和处理单元303;其中,该接收单元301用于接收预配置的不同安全控制功能的安全策略;该转换单元302用于将不同安全控制功能对应的安全策略转换为对应的策略链表;该处理单元303用于对不同安全控制功能对应的策略链表进行处理,以获取与所用的硬件引擎数量相同的新的策略链表;其中,所述策略链表包括所述报文特征和所述报文的转发行为。
由上述可知,该方法可根据硬件引擎的数量配置各个安全功能,使得网络设备不需根据安全功能的数量提供同样数量的硬件引擎,从而使得网络设备在有限硬件引擎的基础上实现无限的安全功能。
实施例2
本发明提供一种安全策略配置装置,如图4A所示,该装置包括接收单元401、转换单元402和处理单元403;其中,该接收单元401、转换单元402和处理单元403的作用与实施例1类似,此处不再赘述。
如图4A所示,该装置还包括存储单元404,该存储单元404用于储存生成的新的策略链表。
在本实施例中,当该硬件引擎数量为1时,该处理单元403对不同安全控制功能对应的策略链表进行合并,以获得一个新的策略链表。
在本实施例中,当该硬件引擎数量为2个或2个以上时,如图4B所示,该处理单元403可包括分配单元403a和合并单元403b;其中,该分配单元403a用于将不同安全控制功能对应的策略链表分配给不同的硬件引擎;该合并单元403b分别对分配给不同的硬件引擎上的不同安全控制功能对应的策略链表进行合并,以获得与该硬件引擎数量相同的新的策略链表。
例如,当安全控制功能为4个,该硬件引擎数量为2时,可将其中2个安全控制功能分配给一个硬件引擎,而另外2个安全控制功能分配给另一个硬件引擎。这样,该合并单元403b可分别对硬件引擎1和硬件引擎2上的不同的安全控制功能的策略链表进行合并,以获得2个新的策略链表。
另外,还可将其中1个安全控制功能分配给一个硬件引擎,而另外3个安全控制功能分配给另一个硬件引擎。这种情况下,该合并单元403b对分配给另一个硬件引擎的3个安全控制功能的策略链表进行合并获得一个新的策略链表;而对分配给一个硬件引擎的1个安全控制功能的策略链表合并的结果获得的还是原策略链表,这样,最终获得2个新的策略链表。
由上述可知,该策略配置装置可根据硬件引擎的数量配置各个安全功能,使得网络设备不需根据安全功能的数量提供同样数量的硬件引擎,从而使得网络设备在有限硬件引擎的基础上实现无限的安全功能。
实施例3
本发明一种安全策略配置方法,如图5所示,该方法包括:接收预配置的不同安全控制功能的安全策略(见步骤501);将不同安全控制功能对应的安全策略转换为对应的策略链表(见步骤502);对不同安全控制功能对应的策略链表进行处理,以获取与所用的硬件引擎数量相同的新的策略链表(见步骤503);其中,该策略链表包括所述报文特征和所述报文的转发行为。
在本实施例中,如图2B所示,该安全策略由规则和行为构成。其中,该安全策略中的规则由报文的域与域的数据构成;行为用于配置报文命中规则时分配的转发行为,包括:允许转发(forward),不允许转发(drop),分配Qos行为(assign Qos)等用于控制报文转发的规则,根据实际需要可有多种不同行为。例1,802.1X产生用户A授权MAC、IP后产生的策略表:
1.<源MAC 0000.0000.0001,源IP 192.168.5.1,允许转发>
2.<任意源MAC,任意源IP地址,不允许转发>
表示只允许源MAC为0000.0000.0001,IP为192.168.5.1的用户访问网络。
例2,IP扩展安全ACL链表:
permit host 192.168.5.1 host 192.168.1.1
deny any any
表示只允许用户访问192.168.1.1。
在本实施例中,转换后的该策略链表被称作虚拟策略控制单元(VPCE),且可将该虚拟策略控制单元(VPCE)有序地进行存储。
例如,将例1的策略转换为策略链表,即虚拟策略控制单元VPCE时,该VPCE表示为:
VPCE1[0].SMAC=0000.0000.0001
VPCE1[0].ETYPE=0x0800
VPCE1[0].SIP=192.168.5.1
VPCE1[0].ACT=forward
VPCE1[1].SMAC=Any
VPCE1[1].ETYPE=0x0800
VPCE1[1].SIP=Any
VPCE1[1].ACT=Drop
其中,VPCE[i]表示该策略链表中的第i个表项,i=0、1。
例如,将例2的策略转换为策略链表,即虚拟策略控制单元VPCE时,该VPCE表示为:
VPCE2[0].ETYPE =0x0800
VPCE2[0].DIP   =192.168.1.1
VPCE2[0].ACT   =forward
VPCE2[1].ETYPE =0x0800
VPCE2[1].SIP   =Any
VPCE2[1].DIP   =Any
VPCE2[1].ACT   =drop
在本实施例中,每个虚拟策略控制单元VPCE可包括:以太网报文从链路层到应用层的信息以及报文的转发行为,如表1所示,但不限于此,还可根据实际需要包括其它信息。其中,该信息可为报文特征。
在本实施例中,对不同安全控制功能对应的策略链表进行处理,以获取与所用的硬件引擎数量相同的新的策略链表。
例如,当该硬件引擎数量为1时,本发明可对不同安全控制功能对应的策略链表进行合并,以获得一个新的策略链表。
表1
 
字段 描述
ACT 报文的处理行为●转发(forward)●丢弃(drop)●关联Qos(assign Qos)
DMAC 报文的目的MAC地址
SMAC 报文的源MAC地址
VID 报文VLANID信息
ETYPE 报文的以太网类型,如IPV4、ARP、ARP等
SIP IP报文的源IP信息
DIP IP报文的目的IP信息
PROTO IP报文的协议字段,如TCP、UDP、ICMP等
SRC PORT TCP、UDP报文的源端口号
DST PORT TCP、UDP报文的目的端口号
…… ……
当该硬件引擎数量为2个或2个以上时,首先将不同安全控制功能对应的策略链表分配给不同的硬件引擎;然后再分别对分配给不同的硬件引擎上的不同安全控制功能对应的策略链表进行合并,以获得与该硬件引擎数量相同的新的策略链表。
例如,当安全控制功能为4个,该硬件引擎数量为2时,可将其中2个安全控制功能分配给硬件引擎1,而另外2个安全控制功能分配给硬件引擎2。这样,分别对硬件引擎1和硬件引擎2上的不同的安全控制功能的策略链表进行合并,以获得2个新的策略链表。
另外,还可将其中1个安全控制功能分配给硬件引擎1,而另外3个安全控制功能分配给硬件引擎2。这种情况下,对分配给硬件引擎2的3个安全控制功能的策略链表进行合并获得一个新的策略链表;而对分配给硬件引擎1的1个安全控制功能的策略链表不作处理,这样,最终获得2个策略链表。
这样,当网络设备对接收到的报文进行处理时,可根据获得的新的策略链表来确定报文的转发行为。
在现有技术中,对于不支持多硬件引擎的网络设备,例1与例2不能够同时生效,即无法通过安全ACL控制1X授权用户的IP数据流。
本发明通过不同安全控制功能对应的策略链表,即VPCE之间的合并技术实现了例1与例2共存的功能,从而实现安全ACL对1X授权用户的控制。
由上述可知,该策略配置方法可根据硬件引擎的数量配置各个安全功能,使得网络设备不需根据安全功能的数量提供同样数量的硬件引擎,从而使得网络设备在有限硬件引擎的基础上实现无限的安全功能。
实施例四
本发明一种安全策略配置方法,以下结合附图4A、4B、图6进行说明。
如图6所示,该方法包括:
步骤601,接收单元401接收预配置的不同安全控制功能的安全策略;其中,该安全策略可由工作人员手动输入或其它方式接收。例如,该不同安全控制功能可包括安全ACL、QoS ACL、802.1X授权、端口安全等。
步骤602,该转换单元402将不同安全控制功能对应的安全策略转换为对应的策略链表,即虚拟策略控制单元VPCE;在本实施例中,将转换后的策略链表有序地进行储存。
该策略链表包括所述报文特征和所述报文的转发行为。其中,
该报文特征可包括VID、源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、IP协议类型、TCP/UDP源端口号和TCP/UDP目的端口号中的一个或几个;
该转发行为包括丢弃(drop)、转发(forward)、关联QoS等。
步骤603,该处理单元403可对不同安全控制功能对应的策略链表进行处理,以获取与所用的硬件引擎数量相同的新的策略链表。
步骤604,将获得的新的策略链表储存到存储单元404中。这样,网络设备可根据该新的策略链表确定报文的转发行为。
在本实施例中,该不同安全控制功能对应的安全策略和转换后的策略链表如实施例三所述,此处不再赘述。
在本实施例中,当硬件引擎的数量为1时,在步骤603中,对不同安全控制功能对应的策略链表进行处理可采用如下方式:对该不同安全控制功能对应的策略链表进行合并,以获得一个新的策略链表。
其中,在对该硬件引擎对应的不同安全控制功能中的两个不同安全控制功能的策略链表VPCE1和VPCE2进行合并时,可采用如下方式:
将一个安全控制功能对应的策略链表VPCE1中的每一个表项VPCE1[i]与另一个安全控制功能对应的策略链表VPCE2中的每一个表项VPCE2[j]进行集合运算,根据运算结果进行合并最终生成新的策略链表,如为VPCE3。
在本实施例中,当一个安全控制功能对应的策略链表VPCE1中的一个表项VPCE1[i]与另一个安全控制功能对应的策略链表VPCE2中的一个表项VPCE2[j]进行集合运算时,可采用如下方式:
根据报文特征确定该VPCE1[i]和VPCE1[j]的集合关系,根据该集合关系进行行为合并。
在本实施例中,上述集合关系为报文的特征值之间的集合关系,可包括相等、包含、相交、或无关。其中,设A=VPCE1[i]、B=VPCE2[j]。
在本实施例中,可首先根据报文在OSI七层模型中所在层次确定A与B是否存在子集关系,对于同在一个层次的报文可通过关键域以及域的值确认A与B之间的集合关系,最终确认的集合关系可包括:
1 . A &SubsetEqual; B , A包含于B,A与B的交集C=A;
2 . B &SubsetEqual; A , B包含于A,A与B的交集C=B;
3.A=B,A相等B;
4.C=A∩B,A与B相交,交集为C;
5.A与B不存在关系。
在本实施例中,参与集合运算的报文特征以及其所在的层次可为:
链路层(L2):目的地址、源MAC地址、以太网类型、802.1Q标签。
网络层:源IP地址、目的IP地址。
传输层:IP协议字段。
会话层:TCP、UDP端口号。
如图7所示,为进行集合运算的流程图。其中,上述集合运算的数目和顺序仅仅为本发明的实施例而已,本发明并不限于上述集合运算的数目以及先后次序,在实际应用中还可能包括以太网中的优先级别字段,同时也可能包括对非IPv4/IPv6报文的域合并算法,比如ARP的type/send ip/target ip/send mac/target mac等任何协议以及协议相关字段间的集合运算方法,为了方便描述,以下只以上述9个域的集合运算为例。
如图7所示,各集合的计算方式如下:
1.当计算VID集合关系时:
判断A与B的VID值是否相等,若相等,则A与B的VID集合为相等。
若不等,则进一步判断A、B中的一个VID是否为any,若A、B中的一个VID值是any,则另一VID集合则是该any的子集。
若VID不相等且均不为any时,则A与B之间无集合关系。
上述判断过程仅为本发明实施例而已,不限于此顺序。
2.当计算源MAC集合关系时,与计算VID集合关系类似:
判断A与B的MAC值是否相等,若相等,则A与B的MAC集合为相等。
若不等,则进一步判断A、B中的一个MAC值是否为any,若A、B中的一个是any,则另一则是该any的子集。
若MAC不相等且均不为any时,则A与B之间无集合关系。
3.当计算目的MAC集合关系时,与计算VID集合关系类似:
判断A与B的MAC值是否相等,若相等,则A与B的MAC集合为相等。
若不等,则进一步判断A、B中的一个MAC值是否为any,若A、B中的一个是any,则另一则是该any的子集。
若MAC不相等且均不为any时,则A与B之间无集合关系。
4.计算以太网类型关系,与上述类似:
判断A与B的以太网类型值是否相等,若相等,则A与B的以太网类型为相等。
若不等,则进一步判断A、B中的一个以太网类型值是否为any,若A、B中的一个是any,则另一是该any的子集。
若A、B以太网类型值不相等且均不为any时,则A与B之间无集合关系。
5.计算源IP、目的IP集合关系:
IP和掩码相与(and运算)的结果相等时,则集合为相等。
IP(A) & Min(Mask(A),Mask(B))等于IP(B) & Min(Mask(A),Mask(B))且Mask(A)小于Mask(B)时,VPCE[B]为VPCE[A]的子集。
其中:IP(n)为VPCE[n]的IP地址,Mask(n)为VPCE[n]的子网掩码。Min(a,b)表示取a与b中数值小的那个。
IP(A) & Min(Mask(A),Mask(B))不等于IP(B) & Min(Mask(A),Mask(B))时,无集合关系。
6.计算IP协议类型集合关系,与计算VID集合关系类似:
判断A与B的IP协议类型值是否相等,若相等,则A与B的IP协议类型为相等。
若不等,则进一步判断A、B中的一个IP协议类型值是否为any,若A、B中的一个是any,则另一是该any的子集。
若A、B IP协议类型值不相等且均不为any时,则A与B之间无集合关系。
7.计算TCP/UDP源端口集合关系,与计算VID集合关系类似:
判断A与B的以源端口值是否相等,若相等,则A与B的源端口集合为相等。
若不等,则进一步判断A、B中的一个源端口值是否为any,若A、B中的一个是any,则另一是该any的子集。
若A、B以源端口值不相等且均不为any时,则A与B之间无集合关系。
8.计算TCP/UDP目的端口号集合关系,与计算VID集合关系类似:
判断A与B的目的值是否相等,若相等,则A与B的目的端口号集合为相等。
若不等,则进一步判断A、B中的一个目的值是否为any,若A、B中的一个是any,则另一是该any的子集。
若A、B目的值不相等且均不为any时,则A与B之间无集合关系。
在本实施例中,在上述九个集合运算中,当该A的上述九个集合均与B相等,则确定A=B;当该A的上述九个集合均为B的子集时,则确定A是B的子集;当该A有任何集合与B不存集合关系,则确定A与B无集合关系;其它情况可确定该A与B相交。
此外,在本实施例中,通过上述的运算我们能够计算出A与B之间的集合关系,对于有交集的情况同时可以取出交集生成新的C。
在本实施例中,当将A与B之间的集合关系运算完成后,可根据该集合关系进行行为合并。在本实施例中,还需同时确认A和B的次序,以及交集C与A、B之间的次序。
在本实施例中,可采用如下方式:
1.当上述集合运算后,确定该集合关系为包含关系,即 A &SubsetEqual; B ,A包含于B,A=A∩B时,则根据集合关系进行行为合并,可采用如下方式:
1)A的行为丢弃报文(drop),B的行为drop
不向B中添中A。
2)A的行为转发报文(forward),B的行为drop
不向B中添加A。
3)A的行为drop,B的行为forward。
将A插入到B之前。
4)A的行为forward,B的行为forward。
不向B中添加A。
2.当确定该集合关系为相交关系、且产生交集C时,即C=A∩B,C不等于A,C不等于B,该根据集合关系进行行为合并:
1)A与B的转发行为不同,A与B任意一个行为drop,则C的行为drop,将C添加到A与B之前。
A与B之间行为为drop的在前。(称为drop优先)
例如,A的行为为drop,则将C插入A之前,将A插入B之前。
2)A与B转发行为相同,则不添加C,将A插入B中,A与B之间无次序要求。
3.当确定A与B集合关系不相交,即无关时,该根据集合关系进行行为合并:将A插入B,A与B无次序要求。
4.当该集合关系为相等时,即A=B,则根据集合关系进行行为合并:不添加A到B中。
这样,经过上述集合运算和合并,获得新的策略链表。
由上述可知,上述仅仅对一个安全控制功能对应的策略链表VPCE1中的一个表项VPCE1[i]与另一个安全控制功能对应的策略链表VPCE2中的一个表项VPCE2[j]进行集合运算和合并时的情况进行说明。
若VPCE1中包含m个表项,VPCE2中包含n个表项时,VPCE1中的每一个表项与VPCE2中的每个表项进行集合计算,最终合并生成新的链表VPCE3,便完成了VPCE1和VPCE2合并。
这样,可将生成的新的链表VPCE3存储到存储单元404中,供该网络设备使用。
以上以硬件引擎数量为1时进行说明。在本实施例中,当硬件引擎的数量为1个以上时,在步骤603中,对不同安全控制功能对应的策略链表进行处理可采用如下方式:将不同安全控制功能对应的策略链表分配给不同的硬件引擎;分别对分配给不同的硬件引擎上的不同安全控制功能对应的所述策略链表进行合并,以获得与所述硬件引擎数量相同的新的策略链表。
例如,当安全控制功能为4个,该硬件引擎数量为2时,可将其中2个安全控制功能分配给硬件引擎1,而另外2个安全控制功能分配给硬件引擎2。这样,分别对硬件引擎1和硬件引擎2上的不同的安全控制功能的策略链表进行合并,以获得2个新的策略链表。
另外,还可将其中1个安全控制功能分配给硬件引擎1,而另外3个安全控制功能分配给硬件引擎2。这种情况下,对分配给硬件引擎2的3个安全控制功能的策略链表进行合并获得一个新的策略链表;而对分配给硬件引擎1的1个安全控制功能的策略链表不作处理,这样,最终获得2个策略链表。
其中,每个硬件引擎的安全控制功能的策略链表的合并如上述,此处不再赘述。
以下举例说明:
例一:
如图8所示,VPCE1链表与VPCE2链表合并过程:
1)VPCE1[1]行为forward,VPCE2[1]行为drop
VPCE2[1]是VPCE1[1]的子集,将VPCE2[1]插入到VPCE1[1]之前(如①所示)。
2)VPCE1[2]行为drop
VPCE2[1]是VPCE1[2]的子集,两VPCE行为一致,因此VPCE2[1]被VPCE1[2]包括,不需要添加。
3)VPCE1[3]行为forward
VPCE1[3]与VPCE2[1]存在交集,将生成的交集添加到VPCE1[3]之前(如②所示),将VPCE2[1]添加到链表的末尾(如③所示)。
4)VPCE1[n]与VPCE2[1]不存在集合关系,将VPCE2[1]添加到链表末尾(如④所示)。
通过上述的过程,VPCE2中的每个VPCE与VPCE1中的每个VPCE进行集合计算,最终合并生成新的链表VPCE3,便完成了两条虚拟引擎的合并。
由上述可知,通过本发明可实现不同安全功能与硬件引擎的n:m的关系映射。
例二:
对上述例1与例2中两个VPCE1、VPCE2进行合并的过程如下:
1.VPCE2[0]与VPCE1数据库合并生成VPCE3数据库
1)VPCE1[0]与VPCE2[0]合并生成VPCE3[0]:
VPCE3[0].SMAC=0000.0000.0001
VPCE3[0].ETYPE=0x0800
VPCE3[0].SIP=192.168.5.1
VPCE3[0].DIP=192.168.1.1
VPCE3[0].ACT=forward
2)VPCE1[1]与VPCE2[0]合并,由于VPCE2[0]为VPCE1[1]的子集且VPCE1[1]为drop。因此只添加VPCE1[1],生成VPCE3[1]:
VPCE3[1].ETYPE=0x0800
VPCE3[1].SIP=Any
VPCE3[1].DIP=Any
VPCE3[1].ACT=drop
2.VPCE2[1]与VPCE1数据库合并生成VPCE3数据库
1)VPCE1[0]与VPCE2[1]合并计算:
VPCE1[0]是VPCE2[1]的子集,且VPCE2[1]为丢弃,因此不生成新的VPCE。
2)VPCE1[1]与VPCE2[1]合并计算:
VPCE1[1]与VPCE2[1]相等,且VPCE2[1]为丢弃,因此不生成新的VPCE。
3)经过1),2)步骤,将VPCE2[1]加入到VPCE3中作为VPCE3[1]。
3.经过上述过程最终生成新的VPCE数据库:
VPCE3[0].SMAC=0000.0000.0001
VPCE3[0].ETYPE=0x0800
VPCE3[0].SIP=192.168.5.1
VPCE3[0].DIP=192.168.1.1
VPCE3[0].ACT=forward
VPCE3[1].ETYPE =0x0800
VPCE3[1].SIP   =Any
VPCE3[1].DIP   =Any
VPCE3[1].ACT   =drop
即只允许MAC为0000.0000.0001,IP为192.168.5.1的用户访问IP地址为192.168.1.1的网络设备,通过这种方式的合并,我们将802.1x用户IP授权与安全ACL控制同时应用起来。
例三:将两个不同安全功能对应的策略链表合并为一个新的策略链表
以802.1x的IP授权+安全ACL为例,在实际应用中使用802.1x的IP授权控制接入用户的合法性,采用安全ACL控制数据流的合法性。
1.安全ACL配置
管理员通过控制端口允许接收的报文类型达到只允许用户访问web服务器与FTP服务器的目的。
permit tcp dst_port 80——目的端口为80的TCP报文为HTTP报文。
permit tcp dst_port 21——目的端口为21的TCP报文为FTP报文。
permit tcp dst_port 20——目的端口为20的TCP报文为FTP报文。
2.802.1X用户制授权
通过802.1x用户授权的方式生成两个用户。
User1 src_ip 192.168.217.70 src_mac 00d0.f800.0070
User2 src_ip 192.168.217.75 src_mac 00d0.f800.0075
当接收到上述安全策略后,将上述安全策略转换为对应的策略链表,即安全ACL对应VPCE1、该802.1X对应VPCE2。如表2和表3所示。
对VPCE1和VPCE2进行合并,获得新的策略链表VPCE3。
表2                                 表3
VPCE3[0].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DST_PORT=80
        ACT=Forward
VPCE3[1].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DST_PORT=21
        ACT=Forward
VPCE3[2].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DST_PORT=20
        ACT=Forward
VPCE3[3].ETYPE=IPV4
        .SMAC=00d0.f800.0075
        .SIP=192.168.217.75
        .DST_PORT=80
        ACT=Forward
VPCE3[4].ETYPE=IPV4
        .SMAC=00d0.f800.0075
        .SIP=192.168.217.75
        .DST_PORT=21
        ACT=Forward
VPCE3[5].ETYPE=IPV4
        .SMAC=00d0.f800.0075
        .SIP=192.168.217.75
        .DST_PORT=20
        ACT=Forward
VPCE3[6].ETYPE=IPV4
        .ACT=Drop
例四:三个不同安全功能对应的三个策略链表合并为一个策略链表
假设在例三的应用中再加入QOS ACL应用控制,对用户在访问不同服务器时分配不同的IP优先级别(DSCP,RFC 2474:Definition of the Differentiated Services Field(DS Field))。
Qos ACL配置:
dst ip 192.168.5.1 assign dscp 61
dst ip 192.168.5.2 assign dscp 62
dst ip 192.168.5.3 assign dscp 63
Qos应用转换为VPCE4,如表5所示:
VPCE4[0].ETYPE=IPV4
        .DIP=192.168.5.1
        .ACT=assign Qos(modify DSCP to 61)
VPCE4[1].ETYPE=IPV4
        .DIP=192.168.5.2
        .ACT=assign Qos(modify DSCP to 62)
VPCE4[2].ETYPE=IPV4
        .DIP=192.168.5.3
        .ACT=assign Qos(modify DSCP to 63)
注:Qos ACL配置与安全ACL不同的时,Qos没有默认丢弃所有报文的表项。
在仅有一个硬件引擎的情况下802.1X授权、安全ACL和Qos ACL这三种应用需要合并成一个策略链表,此时Qos ACL与先前例3的合并结果,如表4所示再次进行合并。
合并的结果:
VPCE5[0].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DIP=192.168.5.1
        .DST_PORT=80
ACT=Forward+assign Qos(modify DSCP to 61)
VPCE5[1].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DIP=192.168.5.2
        .DST_PORT=80
        ACT=Forward+assign Qos(modify DSCP to 62)
VPCE5[2].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DIP=192.168.5.3
        .DST_PORT=80
        ACT=Forward+assign Qos(modify DSCP to 63)
VPCE5[3].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DIP=192.168.5.1
        .DST_PORT=21
        ACT=Forward+assign Qos(modify DSCP to 61)
VPCE5[4].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DIP=192.168.5.2
        .DST_PORT=21
        ACT=Forward+assign Qos(modify DSCP to 62)
VPCE5[5].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DIP=192.168.5.3
        .DST_PORT=21
        ACT=Forward+assign Qos(modify DSCP to 63)
VPCE5[6].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DIP=192.168.5.1
        .DST_PORT=20
        ACT=Forward+assign Qos(modify DSCP to 61)
VPCE5[7].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DIP=192.168.5.2
        .DST_PORT=20
        ACT=Forward+assign Qos(modify DSCP to 62)
VPCE5[8].ETYPE=IPV4
        .SMAC=00d0.f800.0070
        .SIP=192.168.217.70
        .DIP=192.168.5.3
        .DST_PORT=20
        ACT=Forward+assign Qos(modify DSCP to 63)
VPCE5[9].ETYPE=IPV4
        .SMAC=00d0.f800.0075
        .SIP=192.168.217.75
         .DIP=192.168.5.1
         .DST_PORT=80
         ACT=Forward+assign Qos(modify DSCP to 61)
VPCE5[10].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DIP=192.168.5.2
         .DST_PORT=80
         ACT=Forward+assign Qos(modify DSCP to 62)
VPCE5[11].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DIP=192.168.5.3
         .DST_PORT=80
         ACT=Forward+assign Qos(modify DSCP to 63)
VPCE5[12].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DIP=192.168.5.1
         .DST_PORT=21
         ACT=Forward+assign Qos(modify DSCP to 61)
VPCE5[13].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DIP=192.168.5.2
         .DST_PORT=21
         ACT=Forward+assign Qos(modify DSCP to 62)
VPCE5[14].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DIP=192.168.5.3
.DST_PORT=21
ACT=Forward+assign Qos(modify DSCP to 63)
VPCE5[15].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DIP=192.168.5.1
         .DST_PORT=20
         ACT=Forward+assign Qos(modify DSCP to 61)
VPCE5[16].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DIP=192.168.5.2
         .DST_PORT=20
         ACT=Forward+assign Qos(modify DSCP to 62)
VPCE5[17].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DIP=192.168.5.3
         .DST_PORT=20
         ACT=Forward+assign Qos(modify DSCP to 63)
VPCE5[18].ETYPE=IPV4
         .SMAC=00d0.f800.0070
         .SIP=192.168.217.70
.DST_PORT=80
         ACT=Forward
VPCE5[19].ETYPE=IPV4
         .SMAC=00d0.f800.0070
         .SIP=192.168.217.70
         .DST_PORT=21
         ACT=Forward
VPCE5[20].ETYPE=IPV4
         .SMAC=00d0.f800.0070
         .SIP=192.168.217.70
         .DST_PORT=20
         ACT=Forward
VPCE5[21].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DST_PORT=80
         ACT=Forward
VPCE5[22].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DST_PORT=21
         ACT=Forward
VPCE5[23].ETYPE=IPV4
         .SMAC=00d0.f800.0075
         .SIP=192.168.217.75
         .DST_PORT=20
         ACT=Forward
VPCE5[24].ETYPE=IPV4
         .ACT=Drop
通过合并算法,原来三个应用中的8个VPCE单元的转换为25个VPCE单元,最终将这个25个VPCE单元安装到唯一的硬件引擎中。
表4                                       表5
Figure A200810223661D00321
例五:三条不同安全功能合并为两个新的策略链表,对应2个硬件引擎。
在支持两个硬件引擎的方案上,对于例4中的三个应用,可以不经过VPCE3+VPCE4生成VPCE5的过程,而是直接将VPCE3安装到硬件引擎1上,VPCE4安装到硬件引擎2上。
这样实际安装到硬件中的VPCE一共为10个(7个VPCE3+2个VPCE4),相比于例4安装到一个硬件引擎的情况,可以节省25—10=15个硬件策略单元。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (12)

1.一种安全策略配置方法,其特征在于,该方法包括:
接收预配置的不同安全控制功能的安全策略;
将不同安全控制功能对应的安全策略转换为对应的策略链表;
对不同安全控制功能对应的策略链表进行处理,以获取与所用的硬件引擎数量相同的新的策略链表;
其中,所述策略链表包括所述报文特征和所述报文的转发行为。
2.根据权利要求1所述的方法,其特征在于,所述报文特征包括VID、源MAC地址、目的MAC地址、以太网类型、源IP地址、目的IP地址、IP协议类型、TCP/UDP源端口号和TCP/UDP目的端口号中的一个或几个。
3.根据权利要求1所述的方法,其特征在于,当所述硬件引擎数量为1时,所述对不同安全控制功能对应的策略链表进行处理,包括:对所述不同安全控制功能对应的策略链表进行合并,以获得一个新的策略链表;
当所述硬件引擎数量为2个或2个以上时,所述对不同安全控制功能对应的策略链表进行处理,包括:
将不同安全控制功能对应的所述策略链表分配给不同的硬件引擎;
分别对分配给不同的硬件引擎上的不同安全控制功能对应的所述策略链表进行合并,以获得与所述硬件引擎数量相同的新的策略链表。
4.根据权利要求3所述的方法,其特征在于,在对一个硬件引擎对应的两个不同安全控制功能的策略链表进行合并时,包括:
将一个安全控制功能对应的策略链表中的每一个表项与另一个安全控制功能对应的策略链表集合中的每一个表项进行集合运算,根据运算结果进行合并最终生成新的策略链表。
5.根据权利要求4所述的方法,其特征在于,当一个安全控制功能对应的策略链表中的一个表项与另一个安全控制功能对应的策略链表中的一个表项进行集合运算时,包括:
根据报文特征确定所述一个安全控制功能对应的策略链表中的一个表项与另一个安全控制功能对应的策略链表中的一个表项之间的集合关系;
根据所述集合关系进行行为合并;
其中,所述集合关系包括相等、包含、相交、或无关。
6.根据权利要求5所述的方法,其特征在于,当所述集合关系为包含关系时,所述根据集合关系进行行为合并,包括:
当所述一个安全控制功能对应的策略链表中的一个表项的行为和所述另一个安全控制功能对应的策略链表中的一个表项的行为均为丢弃时,则不添加所述一个安全控制功能对应的策略链表中的一个表项到所述另一个安全控制功能对应的策略链表中;
当所述一个安全控制功能对应的策略链表中的一个表项的行为为报文转发,而所述另一个安全控制功能对应的策略链表中的一个表项的行为为丢弃时,则不添加所述一个安全控制功能对应的策略链表中的一个表项到所述另一个安全控制功能对应的策略表中;
当所述一个安全控制功能对应的策略链表中的一个表项的行为为丢弃,而所述另一个安全控制功能对应的策略链表中的一个表项的行为均为报文转发时,则将所述一个安全控制功能对应的策略链表中的一个表项插到所述另一个安全控制功能对应的策略链表中的一个表项之前;
当所述一个安全控制功能对应的策略链表中的一个表项的行为和所述另一个安全控制功能对应的策略链表中的一个表项的行为均为报文转发时,则不添加所述一个安全控制功能对应的策略链表中的一个表项到所述另一个安全控制功能对应的策略链表中。
7.根据权利要求5所述的方法,其特征在于,当所述集合关系为相交关系、且产生交集时,所述根据集合关系进行行为合并,包括:
判断所述一个安全控制功能对应的策略链表中的一个表项与另一个安全控制功能对应的策略链表中的一个表项之间的报文行为是否相同;
若相同,则不添加所述交集至所述另一个安全控制功能对应的策略链表中;并添加所述一个安全控制功能对应的策略链表中的一个表项至所述另一个安全控制功能对应的策略链表中。
8.根据权利要求7所述的方法,其特征在于,若判断结果为报文行为不同,则该方法还包括:
当所述一个安全控制功能对应的策略链表中的一个表项的报文行为为报文丢弃时,则将所述一个安全控制功能对应的策略链表中的一个表项添加所述另一个安全控制功能对应的策略链表中的一个表项之前,将所述交集添加到所述一个安全控制功能对应的策略链表中的一个表项之前;
当所述一个安全控制功能对应的策略链表中的一个表项的报文行为为报文转发时,则将所述一个安全控制功能对应的策略链表中的一个表项添加所述另一个安全控制功能对应的策略链表中的一个表项之后,将所述交集添加到所述另一个安全控制功能对应的策略链表中的一个表项之前。
9.根据权利要求5所述的方法,其特征在于,当所述集合关系为相等时,所述根据集合关系进行行为合并,包括:
不将所述一个安全控制功能对应的策略链表中的一个表项添加到所述另一个安全控制功能对应的策略链表中;
当所述集合关系为无关时,将所述一个安全控制功能对应的策略链表中的一个表项添加所述另一个安全控制功能对应的策略链表中。
10.一种安全策略配置装置,其特征在于,所述装置包括
接收单元,用于接收预配置的不同安全控制功能的安全策略;
转换单元,用于将不同安全控制功能对应的安全策略转换为对应的策略链表;
处理单元,用于对不同安全控制功能对应的策略链表进行处理,以获取与所用的硬件引擎数量相同的新的策略链表;
其中,所述策略链表包括所述报文特征和所述报文的转发行为。
11.根据权利要求10所述的装置,其特征在于,当所述硬件引擎数量为1时,所述处理单元对所述不同安全控制功能对应的策略链表进行合并,以获得一个新的策略链表。
12.根据权利要求10所述的装置,其特征在于,当所述硬件引擎数量为2个或2个以上时,所述处理单元包括:
分配单元,用于将不同安全控制功能对应的所述策略链表分配给不同的硬件引擎;
合并单元,用于分别对分配给不同的硬件引擎上的不同安全控制功能对应的所述策略链表进行合并,以获得与所述硬件引擎数量相同的新的策略链表。
CN2008102236615A 2008-09-28 2008-09-28 安全策略配置方法及其装置 Active CN101364877B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN2008102236615A CN101364877B (zh) 2008-09-28 2008-09-28 安全策略配置方法及其装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2008102236615A CN101364877B (zh) 2008-09-28 2008-09-28 安全策略配置方法及其装置

Publications (2)

Publication Number Publication Date
CN101364877A true CN101364877A (zh) 2009-02-11
CN101364877B CN101364877B (zh) 2010-10-27

Family

ID=40391056

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2008102236615A Active CN101364877B (zh) 2008-09-28 2008-09-28 安全策略配置方法及其装置

Country Status (1)

Country Link
CN (1) CN101364877B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902469A (zh) * 2010-07-12 2010-12-01 江苏华丽网络工程有限公司 一种基于二层网络设备的智能安全防御方法
WO2016037490A1 (zh) * 2014-09-12 2016-03-17 中兴通讯股份有限公司 一种动态主机配置协议dhcp消息的处理方法及装置
CN105791318A (zh) * 2016-04-29 2016-07-20 浙江宇视科技有限公司 一种组播安全接入装置及方法
CN111800408A (zh) * 2020-06-30 2020-10-20 深信服科技股份有限公司 策略配置装置、终端的安全策略配置方法和可读存储介质
WO2024001998A1 (zh) * 2022-06-29 2024-01-04 华为技术有限公司 一种安全策略的处理方法及相关装置

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7739720B2 (en) * 2004-10-14 2010-06-15 Microsoft Corporation Method and system for merging security policies
CN1773903A (zh) * 2004-11-08 2006-05-17 中兴通讯股份有限公司 通用安全策略构造方法
US7509493B2 (en) * 2004-11-19 2009-03-24 Microsoft Corporation Method and system for distributing security policies
CN101232509A (zh) * 2008-02-26 2008-07-30 杭州华三通信技术有限公司 支持隔离模式的网络接入控制方法、系统及设备

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101902469A (zh) * 2010-07-12 2010-12-01 江苏华丽网络工程有限公司 一种基于二层网络设备的智能安全防御方法
WO2016037490A1 (zh) * 2014-09-12 2016-03-17 中兴通讯股份有限公司 一种动态主机配置协议dhcp消息的处理方法及装置
CN105791318A (zh) * 2016-04-29 2016-07-20 浙江宇视科技有限公司 一种组播安全接入装置及方法
CN105791318B (zh) * 2016-04-29 2019-04-12 浙江宇视科技有限公司 一种组播安全接入装置及方法
CN111800408A (zh) * 2020-06-30 2020-10-20 深信服科技股份有限公司 策略配置装置、终端的安全策略配置方法和可读存储介质
CN111800408B (zh) * 2020-06-30 2022-09-30 深信服科技股份有限公司 策略配置装置、终端的安全策略配置方法和可读存储介质
WO2024001998A1 (zh) * 2022-06-29 2024-01-04 华为技术有限公司 一种安全策略的处理方法及相关装置

Also Published As

Publication number Publication date
CN101364877B (zh) 2010-10-27

Similar Documents

Publication Publication Date Title
CN103650436B (zh) 业务路径分配方法、路由器和业务执行实体
US7633864B2 (en) Method and system for creating a demilitarized zone using network stack instances
US7694011B2 (en) Techniques for load balancing over a cluster of subscriber-aware application servers
US10050840B2 (en) Method and system for an internet of things (IOT) device access in a software-defined networking (SDN) system
CN104023092B (zh) 一种实现定向流量包的方法及系统
CN103685467B (zh) 一种物联网互联互通平台及其通信方法
CN105634956B (zh) 一种报文转发方法、装置和系统
CN102664972B (zh) 一种虚拟网络中地址映射方法和装置
CN107409089A (zh) 业务功能注册机制和能力索引编制
CN102132532B (zh) 用于避免不需要的数据分组的方法和装置
US20080123536A1 (en) Virtual network testing and deployment using network stack instances and containers
US7869442B1 (en) Method and apparatus for specifying IP termination in a network element
CN106953788A (zh) 一种虚拟网络控制器及控制方法
Alzahrani et al. Enhancing internet of things security using software-defined networking
CN101364877B (zh) 安全策略配置方法及其装置
US8082333B2 (en) DHCP proxy for static host
CN106888145A (zh) 一种vpn资源访问方法及装置
CN104468619B (zh) 一种实现双栈web认证的方法和认证网关
US20070234418A1 (en) Method and apparatus of remote access message differentiation in VPN endpoint routers
CN104601738A (zh) 一种分布式网络地址转换系统
US20080043755A1 (en) Shared and separate network stack instances
CN106716939A (zh) 数据流递送中改进的qos
US9762746B2 (en) Advice of charge in content centric networks
CN100365591C (zh) 基于客户端的网络地址分配方法
CN108718320A (zh) 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP01 Change in the name or title of a patent holder
CP01 Change in the name or title of a patent holder

Address after: 350015 M9511 Industrial Park, fast road, Mawei District, Fujian, Fuzhou

Patentee after: RUIJIE NETWORKS Co.,Ltd.

Address before: 350015 M9511 Industrial Park, fast road, Mawei District, Fujian, Fuzhou

Patentee before: Beijing Star-Net Ruijie Networks Co.,Ltd.