CN102546526A - 一种可同时对ip和mac进行访问控制的acl以及过滤方法 - Google Patents
一种可同时对ip和mac进行访问控制的acl以及过滤方法 Download PDFInfo
- Publication number
- CN102546526A CN102546526A CN2010105843034A CN201010584303A CN102546526A CN 102546526 A CN102546526 A CN 102546526A CN 2010105843034 A CN2010105843034 A CN 2010105843034A CN 201010584303 A CN201010584303 A CN 201010584303A CN 102546526 A CN102546526 A CN 102546526A
- Authority
- CN
- China
- Prior art keywords
- mac
- deny
- acl
- permit
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种可同时对IP和MAC进行访问控制的ACL以及过滤方法,其中,ACL配置模板如下:imp access-list acl_name{permit|deny}ip<a.b.cd>mac<hh:hh:hh:hh:hh:hh>{other-ip|other-mac}{permit|deny}unkown具体过滤方法如下:(1)依次匹配访问列表的所有表项,如果有完全匹配的表项,则按照表项规则决定deny或者permit;否则,执行步骤2;(2)查找部分匹配的表项,如果有多个表项都匹配,但只要其中有一项是deny,则该IP/MAC对就deny,即deny优先;否则,执行步骤3;(3)如果配置了permit unkown,则该IP/MAC对就permit;否则,就deny。本发明能够满足同时对IP和MAC进行访问控制的需求。
Description
技术领域
本发明涉及网络安全管理及访问控制列表ACL,具体涉及一种可同时对IP和MAC进行访问控制的ACL。
背景技术
访问控制列表ACL(Access Control List)是路由器和交换机接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。这张表中包含了匹配关系、条件和查询语句,表只是一个框架结构,其目的是为了对某种访问进行控制。
目前,访问控制列表ACL可以分为两类:IP ACL和MAC ACL。其中,IP ACL使用包过滤技术,读取第三层及第四层包头中的信息(源地址、目的地址、源端口、目的端口等),根据预先定义好的规则对包进行过滤,从而达到访问控制的目的;而MAC ACL能通过对源MAC地址、目的MAC地和以太网类型定义网络中的访问规则。可以说,IP ACL是三四层的ACL,而MACACL是二层的ACL,两者是不同层次的ACL技术。因此,可想而知,当需要同时对特定IP和特定MAC进行访问控制时,这两种ACL都无法满足实际的需要。
发明内容
本发明提供一种有效地结合了IP ACL和MAC ACL的技术,可以同时对IP和MAC进行访问控制,即IP-MAC PairACL(下面简称IMPACL)。
为了达到同时对IP和MAC进行访问控制的目的,本发明采用如下的技术方案:
IMPACL采用配置模板:
imp access-list acl_name
{permit|deny}ip<a.b.cd>mac<hh:hh:hh:hh:hh:hh>{other-ip|other-mac}
{permit|deny}unkown
其中:permit/deny:指明规则对应的操作。
ip:指明源IP地址<a.b.c.d>。
mac:指明源MAC地址<hh:hh:hh:hh:hh:hh>。
other-ip:指明IP地址可以为任意地址。
other-mac:指明MAC地址可以任意地址。
unkown:指明默认情况。
使用本发明提供的IMPACL进行过滤时,首先,需要从IP报文中解析出源MAC地址和源IP地址,形成相应的IP/MAC对;然后,根据事先定义好的规则,检查IP/MAC对的合法性。
然而,对于任何一个IP/MAC对,使用ACL访问列表检查其合法性时,有三种情况:
1.完全匹配访问列表中的某规则;
2.部分匹配,IP匹配且配置了other_mac或MAC匹配且配置了other_ip;
3.完全不匹配。
根据上述三种情况,IMP ACL过滤方法如下:
(1)从报文中解析出源MAC地址和源IP地址,形成相应的IP/MAC对;
(2)依次匹配上述方案形成的访问列表的规则,如果有完全匹配的规则,则按照规则决定deny或者permit;否则,执行步骤3;
(3)查找部分匹配的表项,如果有多个表项都匹配,但只要其中有一项是deny,则该IP/MAC对就deny,即deny优先;否则,执行步骤4;
(4)如果配置了permit unkown,则该IP/MAC对就permit;否则,就deny。
本发明提供的访问控制列表ACL能够同时对特定IP和特定MAC进行访问控制时,有效解决IP ACL和MAC ACL只能满足部分需求的问题。
本发明可以很容易地实现IP地址与MAC地址绑定的功能;同时可以阻止/允许特定IP和MAC访问网络资源,实现黑/白名单的功能;并且,IP/MAC对访问控制的ACL的配置灵活,完全可以代替简单功能的MAC ACL和IP ACL功能。
同时,本发明提供的IMPACL与传统ACL技术的主要区别为几个方面:
(1)不同层次的ACL
传统ACL技术中,MAC ACL是二层的ACL,而IP ACL则为三四层的ACL;而IMPACL涉及二三层的ACL。
(2)规则的执行顺序
传统ACL技术,即使是相同的规则,但只要顺序不同,将会出现不同的结果了。因为数据包与传统ACL中的规则一旦出现匹配的情况,就执行相应的操作,而此时对此数据包的检测就到此为止了,后面不管出现多少不匹配的情况将不作检测;而IMP ACL,检查是否存在完全匹配时,先检查所有deny规则,然后检查permit规则,因此,结果与规则顺序无关。
(3)应用在接口的方向
传统ACL可以匹配源/目的地址,因此可以应用在接口的进/出两个方向上;而IMPACL只使用了源地址,只应用在接口的进方向上。
(4)功能方面
参见图4,本发明提供的IMP ACL可以实现传统ACL无法完成的功能,一些即使同时配置MAC ACL和IP ACL也无法完成的功能,如同时对IP和MAC进行访问控制的功能;而在某些简单的场合,IMP ACL可以代替传统ACL满足需要。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明过滤方法的总体流程图。
图2为本发明详细流程图。
图3为本发明详细流程图。
图4为本发明与传统ACL的功能区分图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
为了满足同时对IP和MAC进行访问控制的需求,本发明提供一种可同时对IP和MAC进行访问控制的ACL(IP-MAC Pair ACL;简称IMP ACL),其采用如下配置模板配置而成:
imp access-list acl_name
{permit|deny}ip<a.b.c.d>mac<hh:hh:hh:hh:hh:hh>other-ip other-mac
{permit|deny}unkown
其中:permit/deny:指明规则对应的操作。
ip:指明源IP地址<a.b.c.d>。
mac:指明源MAC地址<hh:hh:hh:hh:hh:hh>。
other-ip:指明IP地址可以为任意地址。
other-mac:指明MAC地址可以任意地址。
unkown:指明默认情况。
对于任何一个IP/MAC对,使用访问列表检查其合法性时,有四种情况:
1、IP/MAC完全匹配访问列表中的某一项;
2、只有IP匹配;
3、只有MAC匹配;
4、都不匹配。
根据上述四种情况,其过滤方法如下(参见图1):
第一步,从报文中解析出源MAC地址和源IP地址,形成相应的IP/MAC对;
第二步,依次匹配上述方案形成的访问列表的规则,如果有完全匹配的规则,则按照规则决定deny或者permit;否则,执行步骤3;
第三步,查找部分匹配的表项,如果有多个表项都匹配,但只要其中有一项是deny,则该IP/MAC对就deny,即deny优先;否则,执行步骤4;
第四步,如果配置了permit unkown,则该IP/MAC对就permit;否则,就deny。
基于上述原理,本发明中一次遍历完成所有规则匹配工作的具体步骤如下:
(1)初始化,设置i=1,deny=0,match=false;(图2)
(2)读取第i条deny规则,如果规则为空,则执行步骤8,即开始检查permit规则;
(3)匹配第i条deny规则,如果IP和MAC都不匹配,i++,跳转到步骤1。
(4)如果IP和MAC完全匹配,则根据规则操作deny,丢弃数据报文;
(5)如果IP匹配且配置了other_mac,即IP部分匹配,则deny++;
(6)如果MAC匹配且配置了other_ip,即MAC部分匹配,则deny++;
(7)标记存在部分匹配情况,即match=true,i++,跳转到步骤1执行;
(8)初始化i=1;(图3)
(9)读取第i条permit规则,如果规则为空,则执行步骤15
(10)匹配第i条permit规则,如果IP和MAC都不匹配,i++,跳转到步骤9;
(11)如果IP和MAC完全匹配,则根据规则操作permit,允许数据报文。
(12)如果IP匹配且没有配置other_mac,则deny++;
(13)如果MAC匹配且没有配置other_ip,则deny++;
(14)标记存在部分匹配情况,即match=true,i++,跳转到步骤9执行;
(15)如果存在部分匹配,即match为true,则执行步骤17;
(16)如果默认情况为deny,即配置了deny unkown,则丢弃数据报文;
否则,允许数据报文通过;
(17)如果存在deny规则部分匹配的情况,即deny大于0,则丢弃数据报文;否则,允许报文通过。
本发明提供的IMPACL在功能方面常见的应用实例如下:
(1)IP/MAC地址绑定
imp access-list test
permit ip 1.1.1.1mac 1:1:1:1:1:1
以上配置将MAC地址2:2:2:2:2:2与IP地址1.1.1.1绑定起来,MAC地址为2:2:2:2:2:2的主机必须配置IP地址为1.1.1.1,否则将无法成功访问网络。
(2)黑名单
imp access-list test
deny ip 5.5.5.5mac 5:5:5:5:5:5other-ip
permit unknown
以上配置将MAC地址为5:5:5:5:5:5的主机加入到黑名单中,无论其配置任何IP地址,任何源MAC地址为5:5:5:5:5:5的IP报文都将被丢弃,达到拒绝访问的目的;而其他主机都能成功访问网络。
(3)白名单
imp access-list test
permit ip 2.2.2.2mac 2:2:2:2:2:2other-ip
deny unkown
以上配置将MAC地址为2:2:2:2:2:2的主机加入到黑名单中,无论其配置任何IP地址,任何源MAC地址为2:2:2:2:2:2的IP报文都被允许访问;而其他主机将无法成功访问网络。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (2)
1.一种可同时对IP和MAC进行访问控制的ACL,其特征在于,所述ACL采用如下模板配置而成:
imp access-list acl_name
{permit|deny}ip<a.b.c.d>mac<hh:hh:hh:hh:hh:hh>other-ip other-mac
{permit|deny}unkown
其中:permit/deny:指明规则对应的操作;ip:指明源IP地址<a.b.cd>;mac:指明源MAC地址<hh:hh:hh:hh:hh:hh>;other-ip:指明IP地址可以为任意地址;other-mac:指明MAC地址可以任意地址;unkown:指明默认情况。
2.一种同时对IP和MAC进行访问控制的过滤方法,其特征在于,所述过滤方法的实现如下:
(1)从报文中解析出源MAC地址和源IP地址,形成相应的IP/MAC对;
(2)依次匹配权利要求1所述的访问列表的所有表项,如果有完全匹配的表项,则按照表项规则决定deny或者permit;否则,执行步骤3;
(3)查找部分匹配的表项,如果有多个表项都匹配,但只要其中有一项是deny,则该IP/MAC对就deny,即deny优先;否则,执行步骤4;
(4)如果配置了permit unkown,则该IP/MAC对就permit;否则,就deny。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010584303.4A CN102546526B (zh) | 2010-12-11 | 一种同时对ip和mac进行访问控制的过滤方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010584303.4A CN102546526B (zh) | 2010-12-11 | 一种同时对ip和mac进行访问控制的过滤方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102546526A true CN102546526A (zh) | 2012-07-04 |
| CN102546526B CN102546526B (zh) | 2016-12-14 |
Family
ID=
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483514A (zh) * | 2017-10-13 | 2017-12-15 | 北京知道创宇信息技术有限公司 | 攻击监控设备及智能设备 |
| CN111695150A (zh) * | 2020-05-15 | 2020-09-22 | 浙江信网真科技股份有限公司 | 一种动态粒度自聚合的安全过滤方法及装置 |
| CN113225405A (zh) * | 2021-02-25 | 2021-08-06 | 紫光云技术有限公司 | 一种公有云平台下nat暂停和开启操作的方法、电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050204162A1 (en) * | 2004-03-09 | 2005-09-15 | Rayes Mark A. | Isolation approach for network users associated with elevated risk |
| CN1992713A (zh) * | 2005-12-30 | 2007-07-04 | 西门子(中国)有限公司 | 一种防止介质访问控制层欺骗的方法及其装置 |
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050204162A1 (en) * | 2004-03-09 | 2005-09-15 | Rayes Mark A. | Isolation approach for network users associated with elevated risk |
| CN1992713A (zh) * | 2005-12-30 | 2007-07-04 | 西门子(中国)有限公司 | 一种防止介质访问控制层欺骗的方法及其装置 |
Non-Patent Citations (1)
| Title |
|---|
| 练振兴: "专家级访问控制列表在网络安全中的应用", 《福建电脑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483514A (zh) * | 2017-10-13 | 2017-12-15 | 北京知道创宇信息技术有限公司 | 攻击监控设备及智能设备 |
| CN111695150A (zh) * | 2020-05-15 | 2020-09-22 | 浙江信网真科技股份有限公司 | 一种动态粒度自聚合的安全过滤方法及装置 |
| CN111695150B (zh) * | 2020-05-15 | 2023-07-28 | 浙江信网真科技股份有限公司 | 一种动态粒度自聚合的安全过滤方法及装置 |
| CN113225405A (zh) * | 2021-02-25 | 2021-08-06 | 紫光云技术有限公司 | 一种公有云平台下nat暂停和开启操作的方法、电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9270704B2 (en) | Modeling network devices for behavior analysis | |
| CN102263774B (zh) | 一种处理源角色信息的方法和装置 | |
| US20170353490A1 (en) | Method and system of mitigating network attacks | |
| US11595503B2 (en) | Efficient packet classification for dynamic containers | |
| TWI520530B (zh) | 封包交換裝置及方法 | |
| CN113595804A (zh) | 将远程设备管理属性分发给服务节点以用于服务规则处理 | |
| CN104158767B (zh) | 一种网络准入装置及方法 | |
| KR101948049B1 (ko) | 강제적 접근 제어 컴퓨팅 환경에서 네트워크 제어의 개선 | |
| US11314614B2 (en) | Security for container networks | |
| CN102811227A (zh) | IPsec协议下标准方式ACL规则的一种管理机制 | |
| US10397116B1 (en) | Access control based on range-matching | |
| Cuppens et al. | Handling stateful firewall anomalies | |
| CN105897493A (zh) | 一种sdn规则冲突的检测方法 | |
| CN103023914A (zh) | 一种防火墙系统及其实现方法 | |
| CN105991391A (zh) | 一种协议报文上送cpu的方法和装置 | |
| Wang et al. | Rule anomalies detecting and resolving for software defined networks | |
| TWI489825B (zh) | 路由設備及其網路封包處理方法 | |
| CN112532658B (zh) | 云网络逃逸事件扫描方法、装置及计算机可读存储介质 | |
| CN102263679B (zh) | 一种处理源角色信息的方法和转发芯片 | |
| CN103780630A (zh) | 虚拟局域网端口隔离方法及系统 | |
| US8495721B1 (en) | Data network security policies | |
| JP4600367B2 (ja) | Vlan通信範囲特定システム、データ作成方法、及びプログラム | |
| US20180198704A1 (en) | Pre-processing of data packets with network switch application -specific integrated circuit | |
| CN102546526A (zh) | 一种可同时对ip和mac进行访问控制的acl以及过滤方法 | |
| CN107493234A (zh) | 一种基于虚拟网桥的报文处理方法以及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |