CN103152361A - 访问控制方法及设备、系统 - Google Patents

访问控制方法及设备、系统 Download PDF

Info

Publication number
CN103152361A
CN103152361A CN2013101013019A CN201310101301A CN103152361A CN 103152361 A CN103152361 A CN 103152361A CN 2013101013019 A CN2013101013019 A CN 2013101013019A CN 201310101301 A CN201310101301 A CN 201310101301A CN 103152361 A CN103152361 A CN 103152361A
Authority
CN
China
Prior art keywords
data flow
network data
network
security domain
property value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013101013019A
Other languages
English (en)
Other versions
CN103152361B (zh
Inventor
王雨晨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201310101301.9A priority Critical patent/CN103152361B/zh
Publication of CN103152361A publication Critical patent/CN103152361A/zh
Priority to PCT/CN2014/070715 priority patent/WO2014154040A1/zh
Application granted granted Critical
Publication of CN103152361B publication Critical patent/CN103152361B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种访问控制方法及设备、系统。访问控制方法包括:策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求,从所述请求中获取所述网络数据流的属性值;根据网络数据流属性值确定网络数据流所属的安全域;根据安全域查找对应的基于网络数据流属性的控制策略,根据查找到的控制策略和网络数据流属性值,确定对网络数据流的控制行为;将控制行为发送给网络流量处理设备,以使网络流量处理设备根据控制行为对网络数据流进行处理。通过上述方式,本发明能够不再依赖于安全设备本身所支持的网络隔离技术的虚拟端口或者网络隔离技术,来实现多用户共用一个安全设备,分别应用各自的安全策略而互不影响。

Description

访问控制方法及设备、系统
技术领域
本发明涉及计算机及通信技术领域,尤其涉及一种访问控制方法及设备、系统。
背景技术
安全设备的“多实例”,是指在云计算等安全应用场景中,多个租户共用一个安全设备,每个租户都可以按照自己的需要设置自己所需的安全策略而不用担心与其它租户的安全策略相冲突的技术。
通常为了实现安全设备的“多实例”,需要将一个物理安全设备划分为多个逻辑安全设备来使用。多个逻辑安全设备可以分别配置单独不同的安全策略,同时默认情况下,不同的逻辑安全设备的网络流量之间是默认隔离的。比如:对于防火墙系统接收到的数据流,系统会根据数据的虚拟局域网标识(Virtual Local Area Network IDentity,Vlan ID)/多协议标签交换和虚拟专用网络标签(Multi-Protocol Label SwitchingVirtual Private Network,MPLS VPN)、虚拟入接口来确定数据流所属的虚拟防火墙(即:此流量属于哪一个租户)。在各个虚拟防火墙系统中,数据流将根据各自系统的安全和转发策略完成处理。
目前的安全设备都是基于安全设备本身对网络隔离技术(比如虚拟局域网/虚拟专用网,VLAN/VPN)的支持来实现以上功能。比如防火墙设备大多基于VLAN或者VPN来实现“多实例”,即:在防火墙设备上需要针对不同的VLAN或者VPN设置虚拟端口,再针对每个虚拟端口设置对应的安全策略(其中,安全策略包括数据流属性),即将安全策略与虚拟端口进行绑定,因此,当防火墙接收到网络数据流后,根据数据流属性找到对应的安全策略,通过绑定的虚拟端口对数据流进行处理。
但是这种方式,受到安全设备中网络隔离技术的限制和设备虚拟端口数量的限制,应用具有一定的局限性。
发明内容
本申请实施例提供一种访问控制方法及设备、系统,用以避免现有技术实现多租户共用一个安全设备时,高度依赖于安全设备本身所支持的网络隔离技术的虚拟端口(如:VLAN虚拟端口)或者网络隔离技术(如:VLAN/VPN技术等)的问题。
有鉴于此,本申请提供一种访问控制方法及设备、系统,可以根据常规网络数据流属性来对应不同租户的安全策略,目的在于实现不再依赖于VLAN/VPN等特定技术而解决多个租户共用一个安全设备而互不影响。
第一方面,提供一种访问控制方法,包括:网络流量处理设备接收到网络数据流后,向策略管理设备请求所述网络数据流对应的控制行为,所述控制行为包括允许网络数据流通过或阻断网络数据流;所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。
结合第一方面,在第一方面的第一种可能的实现方式中:所述向策略管理设备请求所述网络数据流对应的控制行为,具体包括:所述网络流量处理设备向所述策略管理设备发送所述数据流,接收所述策略管理设备返回的控制行为;或所述网络流量处理设备从所述网络数据流中提取所述网络数据流的属性值,向所述策略管理设备发送所述属性值,接收所述策略管理设备返回的控制行为,所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源IP地址、目标IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值。
第二方面,提供一种访问控制方法,包括:策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求,从所述请求中获取所述网络数据流的属性值,所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源IP地址、目标IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值;根据所述网络数据流属性确定所述网络数据流所属的安全域,所述安全域是同一租户采用相同安全策略的网络或系统的集合,属于同一安全域的网络数据流共享一组相同的控制策略;根据所述安全域查找对应的基于网络数据流的控制策略,所述控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为,所述预设条件包括至少一种所述属性的属性值范围,所述控制行为包括允许网络数据流通过或阻断网络数据流;根据查找到的控制策略和所述网络数据流的属性值,确定对所述网络数据流采用的控制行为;将所述控制行为发送给所述网络流量处理设备,以使网络流量处理设备根据所述控制行为对所述网络数据流进行处理。
结合第二方面,在第二方面的第一种可能的实现方式中:所述策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求,从所述请求中获取所述网络数据流的属性的步骤之前,还包括:策略管理设备根据各个租户的安全策略信息,生成每个安全域基于网络数据流属性的所述控制策略。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中:所述各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略;所述根据所述网络数据流的属性值确定所述网络数据流所属的安全域,具体包括:根据所述安全域与网络数据流属性的对应关系,从所述网络数据流的属性值中提取安全域对应的属性值;将提取的属性值与各安全域对应的属性值进行匹配,确定所述网络数据流所属的安全域。
结合第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中:所述安全域与网络数据流属性的对应关系包括安全域与虚拟局域网标识、网络硬件地址集合、虚拟专用网隧道集合、源物理端口的集合中任一种或两种以上网络数据流属性值组合的对应关系。
结合第二方面或上述第四方面的任意一种可能的实现方式,在第二方面的第四种可能的实现方式中:所述网络流量处理设备为交换机,所述策略管理设备为控制器。
第三方面,提供一种网络流量处理设备,包括请求模块和处理模块,其中:所述请求模块用于接收到网络数据流后,向策略管理设备请求所述网络数据流对应的控制行为,所述控制行为包括允许网络数据流通过或阻断网络数据流;所述处理模块用于根据策略管理设备返回的所述控制行为对所述网络数据流进行处理。
结合第三方面,在第三方面的第一种可能的实现方式中:所述请求模块用于向所述策略管理设备发送所述网络数据流或从所述网络数据流中提取的网络数据流属性值,以向策略管理设备请求所述网络数据流对应的控制行为,所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源IP地址、目标IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值。
第四方面,提供一种策略管理设备,包括接收模块、第一确定模块、查找模块、第二确定模块以及发送模块,其中:所述接收模块用于接收来自网络流量处理设备的网络数据流控制行为请求,从所述请求中获取所述网络数据流的属性值,并将所述属性值发送给所述确定模块,所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源IP地址、目标IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值;所述第一确定模块用于根据所述网络数据流的属性值确定所述网络数据流所属的安全域,所述安全域是同一租户采用相同安全策略的网络或系统的集合,属于同一安全域的网络数据流共享一组相同的控制策略;所述查找模块用于根据所述确定模块确定出的所述安全域查找对应的基于网络数据流属性的控制策略,所述第二确定模块用于根据查找模块查找到的控制策略和所述网络数据流的属性值,确定对所述网络数据流采用的控制行为,将所述控制行为输出给所述发送模块,所述控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为,所述预设条件包括至少一种所述属性的属性值范围,所述控制行为包括允许网络数据流通过或阻断网络数据流;所述发送模块用于将所述查找模块得到的对所述网络数据流采用的控制行为发送给所述网络流量处理设备,以使所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。
结合第四方面,在第四方面的第一种可能的实现方式中:所述设备还包括策略生成模块,用于根据各个租户的安全策略信息,生成每个安全域基于网络数据流属性的所述控制策略。
结合第四方面的第一种可能的实现方式,在第四方面的第二种可能的实现方式中:所述各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略。
结合第四方面的第二种可能的实现方式,在第四方面的第三种可能的实现方式中:所述安全域与网络数据流属性的对应关系包括安全域与虚拟局域网标识、网络硬件地址集合、虚拟专用网隧道集合、源物理端口的集合中任一种或两种以上网络数据流属性组合的对应关系。
第五方面,提供一种网络系统,包括上述第三方面或第三方面的任意一种可能的实现方式所述的网络流量处理设备以及上述第四方面或第四方面的任意一种可能的实现方式所述的策略管理设备。
本发明实施例的有益效果是:区别于现有技术的情况,本申请实施方式策略管理设备根据流经网络流量处理设备的网络数据流的属性,确定所述网络数据流所属的安全域,然后根据策略管理设备中所述安全域的基于网络数据流属性的控制策略以及所述网络数据流的属性值,确定对所述网络数据流采用的控制行为;所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。由于安全域是基于各个租户安全策略的作用范围而划分的。因此,通过这种方式,安全设备虚拟化的数量,可以不再受限于专业安全设备本身所支持的“虚拟端口”等与协议相关的虚拟设备的数量,而仅受安全设备本身处理能力的限制;安全设备虚拟化的技术也不再需要基于VLAN/VPN等特定技术实现;在安全设备虚拟化之后,多个租户可以共用一个安全设备而互不影响。
附图说明
图1是本申请访问控制方法应用的网络系统一个实施方式的示意图;
图2是本申请访问控制方法一个实施方式的流程图;
图3是本申请访问控制方法另一个实施方式的流程图
图4是本申请网络流量处理设备一个实施方式的结构示意图;
图5是本申请策略管理设备一个实施方式的结构示意图;
图6是本申请网络流量处理设备另一个实施方式的结构示意图;
图7是本申请策略管理设备另一个实施方式的结构示意图。
具体实施方式
参阅图1,图1为本申请访问控制方法应用的网络系统一个实施方式的示意图,网络系统包括网络流量处理设备100、策略管理设备200以及若干台虚拟机300,其中,同一个租户可能有几台虚拟机300,比如租户1包括A、B、C三台虚拟机,租户2包括1、2、3三台虚拟机。虚拟机A、虚拟机B和虚拟机1位于宿主机1中,虚拟机2、虚拟机3和虚拟机C位于宿主机2中。网络流量处理设备可以是虚拟交换机,也可以是物理交换机或防火墙。每个租户的虚拟机属于同一安全域。
某一租户的虚拟机之间进行数据访问时,会产生相应的网络数据流,网络流量处理设备100接收网络数据流后,向策略管理设备200请求其所接收的网络数据流的控制行为,策略管理设备200根据数据流属性值,找到网络数据流所属的安全域,根据安全域查找到对应的基于网络数据流属性的控制策略,根据查找到的控制策略和网络数据流的属性值,确定网络数据流对应的控制行为,以使网络流量处理设备100根据策略管理设备200返回的控制行为对接收的网络数据流进行处理。
根据具体应用场景的不同,网络流量处理设备100和策略管理设备200可以是单独设置于网络中的实体设备,也可以作为一个功能模块集成于现有网络设备中。例如,在局域网中,网络流量处理设备100可以是宿主机中的虚拟交换机,普通物理交换机,也可以是防火墙设备,策略管理设备200可以集成于局域网中的DNS服务器或邮件服务器中;如果是应用在软件定义网络(Software Defined Network,SDN)这一场景中,网络流量处理设备100是交换机(Switch,SW),策略管理设备200为控制器。
请参阅图2,图2为本申请访问控制方法一个实施方式的流程图,本实施方式的访问控制方法是以上述的网络流量处理设备角度来描述,本实施方式的访问控制方法包括:
步骤S101:网络流量处理设备接收到网络数据流后,向策略管理设备请求网络数据流对应的控制行为;
当虚拟机之间进行数据访问时,产生相应的网络数据流。网络流量处理设备接收到网络数据流之后,向策略管理设备发出请求,以获取该网络数据流对应的控制行为。
其中,网络流量处理设备向策略管理设备发出请求,可以直接将网络数据流发送给策略管理设备,策略管理设备从网络数据流中提取网络数据流的属性值,这些属性值包括源物理端口、Vlan ID、源网络硬件地址(Media Access Control,MAC)、目标MAC地址、源IP地址、目标IP地址、源传输控制协议(Transmission Control Protocol,TCP)端口、目标TCP端口中的至少一种属性值。当然,还可以包括其他的数据流属性值。
比如对于数据流Flow1,租户1的IP地址为10.0.0.1虚拟机A需要访问IP地址为10.0.0.2虚拟机B的80端口时,产生的相应的网络数据流的属性如表1所示:(XX表示某个特定的值);
表1:Flow1的数据流属性
Figure BDA00002969092200071
策略管理设备根据数据流的属性值,确定该条数据流属于哪个安全域,根据策略管理设备中每个安全域内基于网络数据流属性的控制策略以及网络数据流的属性值,确定对网络数据流采用的控制行为。
基于网络数据流属性的控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为,预设条件包括至少一种所述属性的属性值范围,控制行为包括对数据流可采用的各种处理方式,其中控制行为包括允许网络数据流通过或阻断网络数据流。控制行为还可以包括地址替换、地址翻译等各种处理方式,在这里不进行一一列举。基于网络数据流属性的控制策略还可以包括网络数据流的一个或多个属性值。比如控制策略包括流表匹配域(即上述的预设条件)和流表控制行为。流表匹配域是指网络数据流的属性值与控制策略中数据流属性的匹配结果,而流表控制行为是对一条网络数据流的具体处理方式,比如但不限于是允许网络数据流通过(“Accept”)或阻断网络数据流(“Drop”)等。策略管理设备将控制行为发送给网络流量处理设备。
另外,网络流量处理设备也可以从网络数据流中提取出数据流的属性值,将提取的数据流属性值发送给策略管理设备以获取该数据流对应的控制行为。策略管理设备直接根据数据流属性值找到数据流所属的安全域,根据策略管理设备中每个安全域内基于网络数据流属性的控制策略以及网络数据流的属性值,确定对网络数据流采用的控制行为并发送给网络流量处理设备。
步骤S102:网络流量处理设备根据控制行为对网络数据流进行处理;
网络流量处理设备接收策略管理设备返回的控制行为,根据控制行为对网络数据流进行处理。
请参阅图3,图3为本申请访问控制方法另一个实施方式的流程图,本实施方式的访问控制方法是以上述的策略管理设备角度来进行描述,本实施方法的访问控制方法包括:
步骤S201:策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求,从请求中获取网络数据流的属性值;
网络流量处理设备接收网络数据流后,向策略管理设备请求网络数据流的控制行为。策略管理设备接收该请求,请求中携带有网络数据流或网络数据流的属性值,策略管理设备从网络数据流中提取网络数据流的属性值或者是直接从请求中获取网络数据流的属性值。
网络数据流的属性值包括源物理端口、Vlan ID、源MAC地址、目标MAC地址、源IP地址、目标IP地址、源TCP端口、目标TCP端口中的一种或多种属性值。当然,还可以包括除此之外其他的属性值。
步骤S202:根据网络数据流属性值确定网络数据流所属的安全域;
策略管理设备根据网络数据流属性值,确定该条网络数据流所属的安全域。安全域是同一租户采用相同安全策略的网络或系统的集合,相同安全域的数据流共享相同的控制策略。比如“租户1”租用了A,B,C三台计算机,“租户2”租用了1、2、3三台计算机;可定义“租户1”的计算机属于“安全域1”,“租户2”的计算机属于“安全域2”。而区分不同租户,可以通过每个租户的VLAN_ID、MAC地址、VPN隧道等等。比如以MAC地址描述,“安全域1”可以包括以下MAC地址组合:MACA、MACB、MACC;“安全域2”可以包括以下MAC地址组合:MAC1、MAC2、MAC3,依次类推。
本申请实施方式中,策略管理设备预先根据各个租户的安全策略信息,生成每个安全域基于网络数据流属性的控制策略。
各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略。所述安全域与网络数据流属性的对应关系用于描述通过网络数据流哪些属性来确定数据流所属的安全域。
比如“安全域1”由分布在不同HOST上的A、B、C三台虚拟机组成,各自的MAC地址为MacA,MacB,MacC,IP地址分别为10.0.0.1,10.0.0.2,10.0.0.3;
“安全域2”由分布在不同HOST上的1、2、3三台虚拟机组成,各自的MAC地址为Mac1,Mac2,Mac3,IP地址分别为10.0.0.1,10.0.0.2,10.0.0.3;
“安全域1”对应“租户1”,设置如下安全策略:any to10.0.0.2–dport80–j Accept;(即该租户要求,防火墙允许所有主机通过任意端口向IP地址为10.0.0.2的80端口发送报文。)
“安全域2”对应“租户2”,设置如下安全策略:any to10.0.0.3–dport80–j Drop;(即该租户要求,防火墙禁止任何主机通过任意端口发向IP地址为10.0.0.3主机的80端口的报文通过。)
关于租户的安全策略信息的部分举例可参见下表2-5,比如:
表2:“租户1”的安全策略信息
Figure BDA00002969092200101
表3:“租户2”的安全策略信息
Figure BDA00002969092200102
其中,“安全域与网络数据流属性的对应关系”可以有很多种,可以是任意单一或多个网络流量的网络属性的组合。上述实施方式仅以一种对应关系为例。类似的对应关系还包括并不限于,VLAN_ID对应“安全域”、MPLS VPN标签对应“安全域”、源物理端口的组合对应“安全域”等。
在实际应用过程中,具体使用多少种网络属性与安全域对应,可以根据用户对安全域的划分需求决定。比如对于比较简单的策略,可能就需要使用一个网络属性描述就能实现,如:假设用户要求所有使用TCP协议通信的网络节点属于“安全域TCP”,使用UDP通信的设备都属于“安全域UDP”,那么这种安全域划分方法的网络特征描述,就只需要“协议类型”一个属性与安全域对应即可。也就是说,网络属性描述的少,可划分的安全域就比较粗略,网络属性描述的多,可划分的安全域就能更加细化。
表4:“租户1”和租户2”的安全策略信息
Figure BDA00002969092200111
表5:“租户1”和租户2”的安全策略信息
Figure BDA00002969092200112
根据“安全域与网络数据流属性的对应关系”,可以确定安全域是通过哪些网络数据流属性来描述的,从所述网络数据流的属性值中提取安全域对应的属性值(也就是用于描述安全域的属性的属性值);将提取的属性值与各安全域对应的属性值进行匹配,进而确定网络数据流所属的安全域。
比如安全域是通过MAC地址组合来描述,那么就从网络数据流中提取数据流的源MAC、目标MAC地址,通过数据流的MAC地址组合的确定该数据流是属于哪个安全域。如果安全域是通过VLAN_ID来描述,那么就从网络数据流中提取数据流的VLAN_ID,通过数据流的VLAN_ID获知该数据流属于哪个安全域。
步骤S203:根据安全域查找对应的基于网络数据流属性的控制策略;
策略管理设备确定一条数据流属于哪个安全域,查找该安全域内基于网络数据流属性的控制策略。
控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为。预设条件包括至少一种所述属性的属性值范围。比如控制策略包括流表匹配域和流表控制行为,流表匹配域是指网络数据流的属性与控制策略中数据流属性的匹配结果(即上述的预设条件),而流表控制行为是对一条网络数据流的具体处理方式,比如是允许网络数据流通过“Accept”或阻断网络数据流“Drop”等。除此之外,控制行为还可以是其他任何对网络数据流的处理方式,比如地址交换等等。
以下举例说明每个安全域内基于网络数据流属性的控制策略:
比如“安全域1”对应的是MAC Group1:MacA、MacB、MacC,即由三台MAC地址分别为MacA、MacB、MacC的网络设备所组成的系统称为“安全域1”;
“安全域2”对应的是MAC Group2:Mac1、Mac2、Mac3,即由三台MAC地址分别为Mac1、Mac2、Mac3的网络设备所组成的系统称为“安全域2”;
表6:安全域1内基于网络数据流属性的控制策略
Figure BDA00002969092200121
表7:安全域2内基于网络数据流属性的控制策略
Figure BDA00002969092200122
Figure BDA00002969092200131
步骤S204,根据查找到的控制策略和网络数据流的属性值,确定对网络数据流采用的控制行为;
在本申请实施方式中,每个安全域对应一个基于网络数据流属性的控制策略,策略管理设备只要确定网络数据流属于哪个安全域,就可以根据该条数据流所属的安全域查找到对应的基于网络数据流属性的控制策略,并将网络数据流的属性值与控制策略中的网络数据流属性值进行匹配而确定对该条网络数据流采用的控制行为,以指导网络流量处理设备对该条网络数据流进行相应的处理。
比如上述Flow1,通过获取该数据流的属性值,如上表1所示,Flow1的源MAC地址MacA,目标MAC地址MacB的组合,查表可知Flow1属于MAC Group1,即:属于“安全域1”,采用“安全域1”的控制策略对Flow1进行处理。而“安全域1”基于网络数据流属性的控制策略如上表6所示,可知对该安全域内的网络数据流Flow1采用的控制行为为“Accept”,将该控制行为发送给网络流量处理设备。对于其他数据流的处理过程与上述方法相似,每条数据流都根据其流表属性确定其所属的安全域,根据安全域查找到对应网络数据流的控制行为。对于那些与预设的安全域的规则都不匹配的数据流,策略管理设备需要通过设置其他控制策略以指导网络流量处理设备进行处理,在此不一一举例说明。
步骤S205:将控制行为发送给网络流量处理设备,以使网络流量处理设备根据控制行为对网络数据流进行处理。
策略管理设备将对应网络数据流的控制行为发送给网络流量处理设备,网络流量处理设备根据返回的控制行为对网络数据流进行处理。
比如根据返回的针对Flow1控制行为,获知对应于该Flow1的流表控制行为应为“Accept”,决定对Flow1进行“Accept”操作,允许数据流的正常访问。
值得一提的是,本申请访问控制方法的应用场景为SDN系统时,上述提到的网络流量处理设备为交换机,策略管理设备为控制器(controller),当应用到SDN系统以外的场景时,网络流量处理设备也可以是防火墙。为了更详细描述本申请访问控制方法,以下以访问控制方法在SDN系统中的具体应用为例进行说明。
例1:租户1的IP地址为10.0.0.1的虚拟机A访问IP地址为10.0.0.2的虚拟机B的80端口
交换机接收到一条数据流Flow1,如:Flow1,即租户1的IP地址为10.0.0.1的虚拟机A访问IP地址为10.0.0.2的虚拟机B的80端口的时候,获得该条数据流属性:(XX表示某个特定的值),具体见上述表1的描述。
交换机会把上述flow1的属性发送给Controller询问对这条流的处理办法。
另一种可选的方式,交换机直接将数据流Flow1发送给Controller询问对这条数据流的处理办法。
Controller接收到数据流或数据流的属性后,根据数据流的属性判断该条数据流属于哪个安全域。具体地,Controller通过“安全域与网络数据流属性的对应关系”,得知本实施方式中“安全域”是通过MAC group描述的;进而通过Flow1中的源MAC地址MacA,目标MAC地址MacB的组合,查表可知Flow1属于MAC Group1,即:属于“安全域1”。
Controller在网络数据流所属“安全域”的“控制策略”下获得对此数据流的“流表控制行为”。即Controller通过MAC Group1下的“控制策略”与Flow1本身的属性相匹配,上述表1与上述表6相匹配的结果见下表8:
表8:Flow1的属性与其所属安全域的控制策略匹配的结果
Figure BDA00002969092200141
Figure BDA00002969092200151
由上表可知,对应Flow1的“流表控制行为”应该是“Accept”。
交换机SW根据Controller返回的针对Flow1的“流表控制行为”决定对Flow1进行“Accept”操作,允许数据流的正常访问。
例2:租户2的IP地址为10.0.0.2的虚拟机2访问IP地址为10.0.0.3的虚拟机3的80端口
交换机会接收到一条数据流Flow2,即租户2的IP地址为10.0.0.2的虚拟机2访问IP地址为10.0.0.3的虚拟机3的80端口的时候,获得如下数据流属性值(XX表示某个特定的值):
表9:Flow2的数据流属性
Figure BDA00002969092200152
交换机会把上述flow2的属性值发送给Controller询问对这条流的处理办法。
另一种可选的方式,交换机直接将数据流Flow2发送给Controller询问对这条数据流的处理办法。
Controller接收到数据流或数据流的属性值后,根据数据流的属性值判断该条数据流属于哪个安全域。具体地,Controller通过“安全域与网络数据流属性的对应关系”,得知本实施方式中“安全域”是通过MACgroup描述的;进而通过Flow2中的源MAC地址Mac2,目标MAC地址Mac3的组合,查表可知Flow2属于MAC Group2,即:属于“安全域2”。
Controller在网络数据流所属“安全域”的“控制策略”下获得对此数据流的“流表控制行为”。即Controller通过MAC Group2下的“控制策略”与Flow2本身的属性相匹配,上述表9与上述表7相匹配的结果见下表10:
表10:Flow2的属性与其所属安全域的控制策略匹配的结果
Figure BDA00002969092200161
由上表可知,对应Flow2的“流表控制行为”应该是“Drop”。
交换机SW根据Controller返回的针对Flow2的“流表控制行为”决定对Flow2进行“Drop”操作,禁止数据流的正常访问。
通过上述实施方式的描述,可以理解,本申请实施方式策略管理设备根据流经网络流量处理设备的网络数据流的属性,确定所述网络数据流所属的安全域,然后根据策略管理设备中每个安全域内基于网络数据流属性的控制策略以及所述网络数据流的属性值,确定对所述网络数据流采用的控制行为;所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。由于安全域是基于各个租户安全策略的作用范围而划分的。因此,通过这种方式,安全设备虚拟化的数量,可以不再受限于专业安全设备本身所支持的“虚拟端口”等与协议相关的虚拟设备的数量,而仅受安全设备本身处理能力的限制;安全设备虚拟化的技术也不再需要基于VLAN/VPN等特定技术实现;在安全设备虚拟化之后,多个租户可以共用一个安全设备而互不影响,并且能在SDN系统中使用不同租户的安全策略来实现安全功能。
请参阅图4,图4为本申请网络流量处理设备一个实施方式的结构示意图,网络流量处理设备100包括请求模块11和处理模块12,其中:
请求模块11用于接收到网络数据流后,向策略管理设备请求网络数据流对应的控制行为,控制行为包括允许网络数据流通过或阻断网络数据流通过;
当虚拟机之间进行数据访问时,产生相应的网络数据流。请求模块11接收到网络数据流之后,向策略管理设备发出请求,以获取该网络数据流对应的控制行为。
其中,请求模块11向策略管理设备发出请求,可以直接将网络数据流发送给策略管理设备,策略管理设备从网络数据流中提取网络数据流的属性值,这些属性值包括源物理端口、Vlan ID、源MAC地址、目标MAC地址、源IP地址、目标IP地址、源TCP端口、目标TCP端口中的至少一种属性值。当然,还可以包括其他的数据流属性值。
请求模块11也可以从网络数据流中提取出数据流的属性值,将提取的数据流属性值发送给策略管理设备以获取该数据流对应的控制行为。策略管理设备直接根据数据流属性值找到数据流所属的安全域,根据安全域找到基于网络数据流属性的控制策略,根据查找到的控制策略和所述网络数据流属性,确定对所述网络数据流的控制行为,并将所述控制行为发送给处理模块12。
处理模块12用于接收策略管理设备返回的控制行为,根据控制行为对网络数据流进行处理。
请参阅图5,图5为本申请策略管理设备一个实施方式的结构示意图,策略管理设备200包括接收模块21、第一确定模块22、查找模块23、第一确定模块24以及发送模块25,其中:
接收模块21用于接收来自网络流量处理设备的网络数据流控制行为请求,从请求中获取网络数据流的属性值,并将属性值发送给确定模块22,所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源IP地址、目标IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性;
网络流量处理设备接收网络数据流后,向策略管理设备请求网络数据流的控制行为。接收模块21接收该请求,请求中携带有网络数据流或网络数据流的属性值,接收模块21从网络数据流中提取网络数据流的属性值或者是直接从请求中获取网络数据流的属性值,将网络数据流的属性值发送给确定模块22。
第一确定模块22用于根据网络数据流属性值确定网络数据流所属的安全域,安全域是同一租户采用相同安全策略的网络或系统的集合,属于同一安全域的网络数据流共享一组相同的控制策略;
第一确定模块22根据网络数据流属性值,确定该条网络数据流属于哪个安全域。
查找模块23用于根据确定模块22确定得到的安全域查找对应的基于网络数据流属性的控制策略;
第二确定模块24用于根据查找模块23查找到的控制策略和网络数据流的属性值,确定对应于网络数据流的控制行为,将控制行为输出给发送模块25,控制策略包括属于该安全域的符合预设条件的网络数据流采用的控制行为,所述预设条件包括至少一种所述属性的属性值范围,所述控制行为包括允许网络数据流通过或阻断网络数据流;
第一确定模块22确定网络数据流所属的安全域后,查找模块23根据确定模块22确定的网络数据流所属的安全域查找到对应的基于网络数据流属性的控制策略,即所属安全域对应的控制策略,根据查找到的控制策略和网络数据流的属性值,确定网络数据流对应的控制行为。
在本申请实施方式中,每个安全域对应一个基于网络数据流属性的控制策略,只要确定网络数据流属于哪个安全域,就可以根据该条数据流所属的安全域查找到对应的控制策略,第二确定模块24根据查找到的控制策略和网络数据流属性,确定网络数据流对应的控制行为,以指导网络流量处理设备对该条网络数据流进行相应的处理。
发送模块25用于将控制行为发送给网络流量处理设备,以使网络流量处理设备根据控制行为对网络数据流进行处理。
发送模块25将对应网络数据流的控制行为发送给网络流量处理设备,网络流量处理设备根据返回的控制行为对网络数据流进行处理。
可选地,本实施方式的策略管理设备200还可以包括策略生成模块26,用于根据各个租户的安全策略信息,生成每个安全域基于网络数据流属性的控制策略。
各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略。所述安全域与网络数据流属性的对应关系用于描述通过网络数据流哪些属性来确定数据流所属的安全域。
其中,“安全域与网络数据流属性的对应关系”可以有很多种,可以是任意单一或多个网络流量的网络属性值的组合。上述实施方式仅以一种对应关系为例。类似的对应关系还包括并不限于,VLAN_ID对应“安全域”、MPLS VPN标签对应“安全域”、源物理端口的组合对应“安全域”等。
在实际应用过程中,具体使用多少种网络数据流的属性值与安全域对应,可以根据用户对安全域的划分需求决定。比如对于比较简单的策略,可能就需要使用一个网络数据流属性值描述就能实现,如:假设用户要求所有使用TCP协议通信的网络节点属于“安全域TCP”,使用UDP通信的设备都属于“安全域UDP”,那么这种安全域划分方法的网络特征描述,就只需要“协议类型”一个属性与安全域对应即可。也就是说,网络数据流的属性值描述的少,可划分的安全域就比较粗略,网络数据流的属性值描述的多,可划分的安全域就能更加细化。
根据“安全域与网络数据流属性的对应关系”,可以确定安全域是通过哪些网络数据流的属性值来描述的,接收模块21在提取网络数据流属性值的时候,获取跟安全域有对应关系的网络数据流属性值进行匹配,第一确定模块22进而确定网络数据流所属的安全域。
比如安全域是通过MAC地址组合来描述,那么就从网络数据流中提取数据流的源MAC、目标MAC地址,通过数据流的MAC地址组合的确定该数据流是属于哪个安全域。如果安全域是通过VLAN_ID来描述,那么就从网络数据流中提取数据流的VLAN_ID,通过数据流的VLAN_ID获知该数据流属于哪个安全域。
确定一条数据流属于哪个安全域,通过查找模块23查找到对应的基于网络数据流属性的控制策略,第二确定模块24根据查找到的控制策略和网络数据流的属性,确定网络数据流对应的控制行为。
控制策略包括安全域内符合预设条件的网络数据流的控制行为。比如控制策略包括流表匹配域(即上述的预设条件)和流表控制行为。流表匹配域是指网络数据流的属性与控制策略中数据流属性的匹配结果,而流表控制行为是对一条网络数据流的具体控制行为,比如但不限于是“Accept”或“Drop”等。
针对于SDN应用场景,上述实施方式的网络流量处理设备为交换机,策略管理设备为控制器。对于SDN以外的应用场景,网络流量处理设备也可以是防火墙。
请参阅图6,图6为本申请网络流量处理设备另一个实施方式的结构示意图,本实施方式的网络流量处理设备100包括处理器31、接收器32、发送器33、随机存取存储器34、只读存储器35、总线36以及网络接口单元37。其中,处理器31通过总线36分别耦接接收器32、发送器33、随机存取存储器34、只读存储器35以及网络接口单元37。其中,当需要运行网络流量处理设备时,通过固化在只读存储器35中的基本输入输出系统或者嵌入式系统中的bootloader引导系统进行启动,引导网络流量处理设备进入正常运行状态。在网络流量处理设备进入正常运行状态后,在随机存取存储器34中运行应用程序和操作系统,从网络接收数据或者向网络发送数据,使得:
接收器32接收需要处理的网络数据流。
处理器31用于从网络数据流中提取数据流的属性值,其中,数据流的属性值包括源物理端口、Vlan ID、源MAC地址、目标MAC地址、源IP地址、目标IP地址、源TCP端口、目标TCP端口中的至少一种属性值。当然,还可以包括其他的数据流属性值。
发送器33用于将数据流或处理器31提取得到的数据流的属性值发送给策略管理设备以获取网络数据流对应的控制行为。
处理器31进一步根据策略管理设备返回的网络数据流对应的控制行为,对网络数据流进行处理。所述控制行为包括各种对网络数据流的具体处理方式。比如允许网络数据流通过或阻断网络数据流通过,还可以包括其他的处理方式,比如地址交换、地址翻译等。
本实施方式中,处理器31可能是一个中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本申请实施方式的一个或多个集成电路。
请参阅图7,图7为本申请策略管理设备另一个实施方式的结构示意图,本实施方式策略管理设备200包括处理器41、接收器42、发送器43、随机存取存储器44、只读存储器45以及总线46。其中,处理器41通过总线46分别耦接接收器42、发送器43、随机存取存储器44以及只读存储器45。其中,当需要运行策略管理设备时,通过固化在只读存储器45中的基本输入输出系统或者嵌入式系统中的bootloader引导系统进行启动,引导策略管理设备进入正常运行状态。在策略管理设备进入正常运行状态后,在随机存取存储器44中运行应用程序和操作系统,并使得:
接收器42从网络流量处理设备接收网络数据流的控制行为请求,请求中包括网络数据流或网络数据流的属性值。
处理器41从控制行为请求中获取网络数据流的属性值,根据网络数据流的属性值,确定网络数据流所属的安全域,安全域是同一租户采用相同安全策略的网络或系统的集合,属于同一安全域的网络数据流共享一组相同的控制策略。比如“租户1”租用了A,B,C三台计算机,“租户2”租用了1、2、3三台计算机;可定义“租户1”的计算机属于“安全域1”,“租户2”的计算机属于“安全域2”。而区分不同租户,可以通过每个租户的VLAN_ID、MAC地址、VPN隧道等等。比如以MAC地址描述,“安全域1”可以包括以下MAC地址组合:MACA、MACB、MACC;“安全域2”可以包括以下MAC地址组合:MAC1、MAC2、MAC3,依次类推。处理器41进一步根据网络数据流所属的安全域,查找对应的基于网络数据流属性的控制策略,根据查找到的控制策略和网络数据流属性,确定网络数据流对应的控制行为,将该控制行为输出给所述发送器43。
本申请实施方式中,处理器41还用于预先根据各个租户的安全策略信息,生成每个安全域基于网络数据流属性的控制策略。
各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略。所述安全域与网络数据流属性的对应关系用于描述通过网络数据流哪些属性来确定数据流所属的安全域。
其中,“安全域与网络数据流属性的对应关系”可以有很多种,可以是任意单一或多个网络流量的网络属性值的组合。比如但不限于是VLAN_ID对应“安全域”、MPLS VPN标签对应“安全域”、源物理端口的组合对应“安全域”等。
在实际应用过程中,具体使用多少种网络数据流的属性值与安全域对应,可以根据用户对安全域的划分需求决定。比如对于比较简单的策略,可能就需要使用一个网络数据流的属性值描述就能实现,如:假设用户要求所有使用TCP协议通信的网络节点属于“安全域TCP”,使用UDP通信的设备都属于“安全域UDP”,那么这种安全域划分方法的网络特征描述,就只需要“协议类型”一个属性值与安全域对应即可。也就是说,网络数据流的属性值描述的少,可划分的安全域就比较粗略,网络数据流的属性值描述的多,可划分的安全域就能更加细化。
处理器41根据“安全域与网络数据流属性的对应关系”,可以确定安全域是通过哪些网络数据流属性值来描述的,在提取网络数据流属性值的时候,获取跟安全域有对应关系的网络数据流属性值进行匹配,进而确定网络数据流所属的安全域。
比如安全域是通过MAC地址组合来描述,那么就从网络数据流中提取数据流的源MAC、目标MAC地址,通过数据流的MAC地址组合的确定该数据流是属于哪个安全域。如果安全域是通过VLAN_ID来描述,那么就从网络数据流中提取数据流的VLAN_ID,通过数据流的VLAN_ID获知该数据流属于哪个安全域。
确定一条数据流属于哪个安全域,查找到对应的控制策略即数据流所属的安全域的控制策略。
控制策略包括安全域内符合预设条件的网络数据流的控制行为。比如控制策略包括流表匹配域(即上述预设条件)和流表控制行为。流表匹配域是指网络数据流的属性与控制策略中数据流属性的匹配结果,而流表控制行为是对网络数据流的具体控制行为,比如但不限于是“Accept”或“Drop”等。
本实施方式中,处理器41可能是一个中央处理器CPU,或者是特定集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本申请实施方式的一个或多个集成电路。
发送器43是将处理器41得到的对应网络数据流的控制行为发送给网络流量处理设备,以使网络流量处理设备根据控制行为对网络数据流进行相应的处理。
根据上述网络流量处理设备以及策略管理设备,本申请还提供一种网络系统,网络系统包括网络流量处理设备100以及策略管理设备200,其中网络流量处理设备100以及策略管理设备200之间实现通信,具体实现过程请参阅1以及相关描述,网络流量处理设备100以及策略管理设备200的具体功能实现请参与图4-图7相关实施方式的描述,在此不再赘述。
值得一提的是,本申请访问控制方法如果应用于SDN场景中,上述实施方式提到的网络流量处理设备为交换机,策略管理设备为控制器。如果应用在SDN以外的场景,网络流量处理设备也可以是防火墙。
上述技术方案,策略管理设备根据流经网络流量处理设备的网络数据流的属性,确定所述网络数据流所属的安全域,然后根据策略管理设备中每个安全域内基于网络数据流属性的控制策略以及所述网络数据流的属性值,确定对所述网络数据流采用的控制行为;所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。由于安全域是基于各个租户安全策略的作用范围而划分的。因此,通过这种方式,安全设备虚拟化的数量,可以不再受限于专业安全设备本身所支持的“虚拟端口”等与协议相关的虚拟设备的数量,而仅受安全设备本身处理能力的限制;安全设备虚拟化的技术也不再需要基于VLAN/VPN等特定技术实现;在安全设备虚拟化之后,多个租户可以共用一个安全设备而互不影响,并且能在SDN系统中使用不同租户的安全策略来实现安全功能。
在本申请所提供的几个实施方式中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施方式仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施方式方案的目的。
另外,在本申请各个实施方式中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施方式,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (12)

1.一种访问控制方法,其特征在于,包括:
网络流量处理设备接收到网络数据流后,向策略管理设备请求所述网络数据流对应的控制行为,所述控制行为包括允许网络数据流通过或阻断网络数据流;
所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。
2.根据权利要求1所述的方法,其特征在于,所述向策略管理设备请求所述网络数据流对应的控制行为,具体包括:
所述网络流量处理设备向所述策略管理设备发送所述数据流,接收所述策略管理设备返回的控制行为;或
所述网络流量处理设备从所述网络数据流中提取所述网络数据流的属性值,向所述策略管理设备发送所述属性值,接收所述策略管理设备返回的控制行为,所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源IP地址、目标IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种。
3.一种访问控制方法,其特征在于,包括:
策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求,从所述请求中获取所述网络数据流的属性值,所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源IP地址、目标IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种;
根据所述网络数据流的属性值确定所述网络数据流所属的安全域,所述安全域是同一租户采用相同安全策略的网络或系统的集合,属于同一安全域的网络数据流共享一组相同的控制策略;
根据所述安全域查找对应的基于网络数据流属性的控制策略,所述控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为,所述预设条件包括至少一种所述属性的属性值范围,所述控制行为包括允许网络数据流通过或阻断网络数据流;
根据查找到的控制策略和所述网络数据流的属性值,确定对所述网络数据流采用的控制行为;
将所述控制行为发送给所述网络流量处理设备,以使网络流量处理设备根据所述控制行为对所述网络数据流进行处理。
4.根据权利要求3所述的方法,其特征在于,
所述策略管理设备接收来自网络流量处理设备的网络数据流控制行为请求,从所述请求中获取所述网络数据流的属性的步骤之前,还包括:
策略管理设备根据各个租户的安全策略信息,生成每个安全域基于网络数据流属性的所述控制策略。
5.根据权利要求4所述的方法,其特征在于,
所述各个租户的安全策略信息至少包括安全域标识、安全域与网络数据流属性的对应关系以及安全域内的安全策略;
所述根据所述网络数据流的属性值确定所述网络数据流所属的安全域,具体包括:
根据所述安全域与网络数据流属性的对应关系,从所述网络数据流的属性值中提取安全域对应的属性值;
将提取的属性值与各安全域对应的属性值进行匹配,确定所述网络数据流所属的安全域。
6.根据权利要求5所述的方法,其特征在于,
所述安全域与网络数据流属性的对应关系包括安全域与虚拟局域网标识、网络硬件地址集合、虚拟专用网隧道集合、源物理端口的集合中任一种或两种以上网络数据流属性组合的对应关系。
7.根据权利要求3至6任一所述的方法,其特征在于,
所述网络流量处理设备为交换机,所述策略管理设备为控制器。
8.一种网络流量处理设备,其特征在于,包括请求模块和处理模块,其中:
所述请求模块用于接收到网络数据流后,向策略管理设备请求所述网络数据流对应的控制行为,所述控制行为包括允许网络数据流通过或阻断网络数据流;
所述处理模块用于根据策略管理设备返回的所述控制行为对所述网络数据流进行处理。
9.根据权利要求8所述的设备,其特征在于,
所述请求模块用于向所述策略管理设备发送所述网络数据流或从所述网络数据流中提取的网络数据流属性值,以向策略管理设备请求所述网络数据流对应的控制行为,所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源IP地址、目标IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值。
10.一种策略管理设备,其特征在于,包括接收模块、第一确定模块、查找模块、第二确定模块以及发送模块,其中:
所述接收模块用于接收来自网络流量处理设备的网络数据流控制行为请求,从所述请求中获取所述网络数据流的属性值,并将所述属性值发送给所述确定模块,所述属性值包括源物理端口、虚拟局域网标识、源网络硬件地址、目标网络硬件地址、源IP地址、目标IP地址、源传输控制协议端口、目标传输控制协议端口中的至少一种属性值;
所述第一确定模块用于根据所述网络数据流的属性值确定所述网络数据流所属的安全域,所述安全域是同一租户采用相同安全策略的网络或系统的集合,属于同一安全域的网络数据流共享一组相同的控制策略;
所述查找模块用于根据所述第一确定模块确定出的所述安全域,查找对应的基于网络数据流属性的控制策略,所述控制策略包括对属于该安全域的符合预设条件的网络数据流采用的控制行为,所述预设条件包括至少一种所述属性的属性值范围,所述控制行为包括允许网络数据流通过或阻断网络数据流;
所述第二确定模块用于根据所述查找模块查找到的控制策略和所述网络数据流的属性值,确定对所述网络数据流采用的控制行为,将所述控制行为输出给所述发送模块,
所述发送模块用于将所述第二确定模块得到的对所述网络数据流采用的控制行为发送给所述网络流量处理设备,以使所述网络流量处理设备根据所述控制行为对所述网络数据流进行处理。
11.根据权利要求10所述的设备,其特征在于,
所述设备还包括策略生成模块,用于根据各个租户的安全策略信息,生成每个安全域基于网络数据流属性的控制策略,将所述每个安全域基于网络数据流属性的控制策略输出给所述确定模块和所述查找模块。
12.一种网络系统,其特征在于,包括权利要求8-9任一项所述的网络流量处理设备以及权利要求10-11任一项所述的策略管理设备。
CN201310101301.9A 2013-03-26 2013-03-26 访问控制方法及设备、系统 Active CN103152361B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201310101301.9A CN103152361B (zh) 2013-03-26 2013-03-26 访问控制方法及设备、系统
PCT/CN2014/070715 WO2014154040A1 (zh) 2013-03-26 2014-01-16 访问控制方法及设备、系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310101301.9A CN103152361B (zh) 2013-03-26 2013-03-26 访问控制方法及设备、系统

Publications (2)

Publication Number Publication Date
CN103152361A true CN103152361A (zh) 2013-06-12
CN103152361B CN103152361B (zh) 2015-12-02

Family

ID=48550223

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310101301.9A Active CN103152361B (zh) 2013-03-26 2013-03-26 访问控制方法及设备、系统

Country Status (2)

Country Link
CN (1) CN103152361B (zh)
WO (1) WO2014154040A1 (zh)

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581325A (zh) * 2013-11-11 2014-02-12 中国联合网络通信集团有限公司 一种云计算资源池系统及其实现方法
CN103701824A (zh) * 2013-12-31 2014-04-02 大连环宇移动科技有限公司 一种安全隔离管控系统
CN103763309A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的安全域控制方法和系统
CN104023034A (zh) * 2014-06-25 2014-09-03 武汉大学 一种基于软件定义网络的安全防御系统及防御方法
WO2014154040A1 (zh) * 2013-03-26 2014-10-02 华为技术有限公司 访问控制方法及设备、系统
CN104092684A (zh) * 2014-07-07 2014-10-08 杭州华三通信技术有限公司 一种OpenFlow协议支持VPN的方法及设备
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
CN104506511A (zh) * 2014-12-15 2015-04-08 蓝盾信息安全技术股份有限公司 一种sdn网络动态目标防御系统及方法
CN104580168A (zh) * 2014-12-22 2015-04-29 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
WO2015066878A1 (zh) * 2013-11-07 2015-05-14 华为技术有限公司 Sdn网络中的控制设备和控制方法
WO2015113279A1 (zh) * 2014-01-29 2015-08-06 华为技术有限公司 通信网络、设备和控制方法
CN105450603A (zh) * 2014-08-22 2016-03-30 杭州迪普科技有限公司 一种报文处理方法和装置
CN105591953A (zh) * 2015-09-18 2016-05-18 杭州华三通信技术有限公司 一种OpenFlow实例的实现方法和装置
CN105656841A (zh) * 2014-11-11 2016-06-08 杭州华三通信技术有限公司 一种软件定义网络中实现虚拟防火墙的方法和装置
CN105763512A (zh) * 2014-12-17 2016-07-13 杭州华三通信技术有限公司 Sdn虚拟化网络的通信方法和装置
WO2016145629A1 (zh) * 2015-03-18 2016-09-22 华为技术有限公司 软件定义网络中进行通信的方法、装置及通信系统
CN106105117A (zh) * 2013-12-26 2016-11-09 华为技术有限公司 分层软件定义网络中的流量工程控制器
CN107563224A (zh) * 2017-09-04 2018-01-09 济南浪潮高新科技投资发展有限公司 一种多用户物理隔离方法及装置
CN107819683A (zh) * 2017-10-25 2018-03-20 杭州安恒信息技术有限公司 安全资源池实现租户业务流量编排的方法、装置及电子设备
CN107864126A (zh) * 2017-10-30 2018-03-30 国云科技股份有限公司 一种云平台虚拟网络行为检测方法
CN108156117A (zh) * 2016-12-05 2018-06-12 中国移动通信有限公司研究院 一种进行安全控制的方法、交换机以及过滤设备
CN108228318A (zh) * 2017-12-29 2018-06-29 上海优刻得信息科技有限公司 云容器与管理装置通信的方法、宿主机、系统和存储介质
CN109088886A (zh) * 2018-09-29 2018-12-25 郑州云海信息技术有限公司 在防火墙上监控策略的管理方法和装置
CN110351394A (zh) * 2018-04-02 2019-10-18 深信服科技股份有限公司 网络数据的处理方法及装置、计算机装置及可读存储介质
CN112532405A (zh) * 2019-09-17 2021-03-19 中兴通讯股份有限公司 软件定义网络sdn网络构建方法及装置
CN112769879A (zh) * 2019-11-01 2021-05-07 上汽通用汽车有限公司 用于保护车载通信系统安全的方法和装置
CN113114640A (zh) * 2021-03-29 2021-07-13 新华三大数据技术有限公司 一种认证方法及装置
CN113452722A (zh) * 2021-08-30 2021-09-28 统信软件技术有限公司 一种用户隔离方法、数据传输方法、计算设备及存储介质
CN115086017A (zh) * 2022-06-14 2022-09-20 杭州安恒信息安全技术有限公司 基于安全域的网络数据处理方法、装置、系统和电子设备
CN115866022A (zh) * 2020-01-17 2023-03-28 Oppo广东移动通信有限公司 一种安全信息发现方法、安全信息配置方法及设备

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1412996A (zh) * 2002-04-15 2003-04-23 华为技术有限公司 网络设备中基于接口的网络访问控制方法
CN101115018A (zh) * 2007-09-17 2008-01-30 中兴通讯股份有限公司 控制设备访问的方法
CN102404325A (zh) * 2011-11-23 2012-04-04 华为技术有限公司 报文访问控制方法及交换机

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103152361B (zh) * 2013-03-26 2015-12-02 华为技术有限公司 访问控制方法及设备、系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1412996A (zh) * 2002-04-15 2003-04-23 华为技术有限公司 网络设备中基于接口的网络访问控制方法
CN101115018A (zh) * 2007-09-17 2008-01-30 中兴通讯股份有限公司 控制设备访问的方法
CN102404325A (zh) * 2011-11-23 2012-04-04 华为技术有限公司 报文访问控制方法及交换机

Cited By (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014154040A1 (zh) * 2013-03-26 2014-10-02 华为技术有限公司 访问控制方法及设备、系统
CN105122747B (zh) * 2013-11-07 2018-06-26 华为技术有限公司 Sdn网络中的控制设备和控制方法
CN105122747A (zh) * 2013-11-07 2015-12-02 华为技术有限公司 Sdn网络中的控制设备和控制方法
WO2015066878A1 (zh) * 2013-11-07 2015-05-14 华为技术有限公司 Sdn网络中的控制设备和控制方法
US10122623B2 (en) 2013-11-07 2018-11-06 Huawei Technologies Co., Ltd. Control device and control method in SDN network
CN103581325A (zh) * 2013-11-11 2014-02-12 中国联合网络通信集团有限公司 一种云计算资源池系统及其实现方法
CN106105117B (zh) * 2013-12-26 2019-09-20 华为技术有限公司 分层软件定义网络中的流量工程控制器
CN106105117A (zh) * 2013-12-26 2016-11-09 华为技术有限公司 分层软件定义网络中的流量工程控制器
CN103701824A (zh) * 2013-12-31 2014-04-02 大连环宇移动科技有限公司 一种安全隔离管控系统
CN103763309A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的安全域控制方法和系统
CN103701824B (zh) * 2013-12-31 2017-06-06 大连环宇移动科技有限公司 一种安全隔离管控系统
WO2015113279A1 (zh) * 2014-01-29 2015-08-06 华为技术有限公司 通信网络、设备和控制方法
CN104023034A (zh) * 2014-06-25 2014-09-03 武汉大学 一种基于软件定义网络的安全防御系统及防御方法
CN104023034B (zh) * 2014-06-25 2017-05-10 武汉大学 一种基于软件定义网络的安全防御系统及防御方法
CN104092684A (zh) * 2014-07-07 2014-10-08 杭州华三通信技术有限公司 一种OpenFlow协议支持VPN的方法及设备
CN104092684B (zh) * 2014-07-07 2017-10-03 新华三技术有限公司 一种OpenFlow协议支持VPN的方法及设备
CN105450603A (zh) * 2014-08-22 2016-03-30 杭州迪普科技有限公司 一种报文处理方法和装置
CN105656841A (zh) * 2014-11-11 2016-06-08 杭州华三通信技术有限公司 一种软件定义网络中实现虚拟防火墙的方法和装置
CN105656841B (zh) * 2014-11-11 2018-12-11 新华三技术有限公司 一种软件定义网络中实现虚拟防火墙的方法和装置
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
CN104506511A (zh) * 2014-12-15 2015-04-08 蓝盾信息安全技术股份有限公司 一种sdn网络动态目标防御系统及方法
CN105763512A (zh) * 2014-12-17 2016-07-13 杭州华三通信技术有限公司 Sdn虚拟化网络的通信方法和装置
US10476981B2 (en) 2014-12-17 2019-11-12 Hewlett Packard Enterprise Development Lp Flow transmission
CN105763512B (zh) * 2014-12-17 2019-03-15 新华三技术有限公司 Sdn虚拟化网络的通信方法和装置
US10742682B2 (en) 2014-12-22 2020-08-11 Huawei Technologies Co., Ltd. Attack data packet processing method, apparatus, and system
CN104580168B (zh) * 2014-12-22 2019-02-26 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
CN104580168A (zh) * 2014-12-22 2015-04-29 华为技术有限公司 一种攻击数据包的处理方法、装置及系统
WO2016145629A1 (zh) * 2015-03-18 2016-09-22 华为技术有限公司 软件定义网络中进行通信的方法、装置及通信系统
US10348568B2 (en) 2015-03-18 2019-07-09 Huawei Technologies Co., Ltd. Method and apparatus for performing communication in software-defined networking, and communications system
CN105591953A (zh) * 2015-09-18 2016-05-18 杭州华三通信技术有限公司 一种OpenFlow实例的实现方法和装置
CN108156117A (zh) * 2016-12-05 2018-06-12 中国移动通信有限公司研究院 一种进行安全控制的方法、交换机以及过滤设备
CN108156117B (zh) * 2016-12-05 2021-04-27 中国移动通信有限公司研究院 一种进行安全控制的方法、交换机以及过滤设备
CN107563224A (zh) * 2017-09-04 2018-01-09 济南浪潮高新科技投资发展有限公司 一种多用户物理隔离方法及装置
CN107819683A (zh) * 2017-10-25 2018-03-20 杭州安恒信息技术有限公司 安全资源池实现租户业务流量编排的方法、装置及电子设备
CN107864126A (zh) * 2017-10-30 2018-03-30 国云科技股份有限公司 一种云平台虚拟网络行为检测方法
CN108228318A (zh) * 2017-12-29 2018-06-29 上海优刻得信息科技有限公司 云容器与管理装置通信的方法、宿主机、系统和存储介质
CN108228318B (zh) * 2017-12-29 2021-08-06 优刻得科技股份有限公司 云容器与管理装置通信的方法、宿主机、系统和存储介质
CN110351394A (zh) * 2018-04-02 2019-10-18 深信服科技股份有限公司 网络数据的处理方法及装置、计算机装置及可读存储介质
CN110351394B (zh) * 2018-04-02 2022-11-22 深信服科技股份有限公司 网络数据的处理方法及装置、计算机装置及可读存储介质
CN109088886A (zh) * 2018-09-29 2018-12-25 郑州云海信息技术有限公司 在防火墙上监控策略的管理方法和装置
CN109088886B (zh) * 2018-09-29 2021-10-01 郑州云海信息技术有限公司 在防火墙上监控策略的管理方法和装置
CN112532405A (zh) * 2019-09-17 2021-03-19 中兴通讯股份有限公司 软件定义网络sdn网络构建方法及装置
WO2021051936A1 (zh) * 2019-09-17 2021-03-25 南京中兴软件有限责任公司 软件定义网络sdn网络构建方法及装置
CN112769879A (zh) * 2019-11-01 2021-05-07 上汽通用汽车有限公司 用于保护车载通信系统安全的方法和装置
CN115866022A (zh) * 2020-01-17 2023-03-28 Oppo广东移动通信有限公司 一种安全信息发现方法、安全信息配置方法及设备
CN113114640A (zh) * 2021-03-29 2021-07-13 新华三大数据技术有限公司 一种认证方法及装置
CN113114640B (zh) * 2021-03-29 2022-05-27 新华三大数据技术有限公司 一种认证方法及装置
CN113452722A (zh) * 2021-08-30 2021-09-28 统信软件技术有限公司 一种用户隔离方法、数据传输方法、计算设备及存储介质
CN115086017A (zh) * 2022-06-14 2022-09-20 杭州安恒信息安全技术有限公司 基于安全域的网络数据处理方法、装置、系统和电子设备

Also Published As

Publication number Publication date
WO2014154040A1 (zh) 2014-10-02
CN103152361B (zh) 2015-12-02

Similar Documents

Publication Publication Date Title
CN103152361B (zh) 访问控制方法及设备、系统
US20200186598A1 (en) Method and system for processing load balancing using virtual switch in virtual network environment
JP6934142B2 (ja) データ処理
US11075981B2 (en) Method and system for processing direct server return load balancing using loopback interface in virtual network environment
EP3401783B1 (en) Method and apparatus for determining virtual machine migration
US9698995B2 (en) Systems and methods for providing multicast routing in an overlay network
EP3664383B1 (en) Scalable handling of bgp route information in vxlan with evpn control plane
US10205657B2 (en) Packet forwarding in data center network
EP2912812B1 (en) Traffic interconnection between virtual devices
Kreeger et al. Network Virtualization Overlay Control Protocol Requirements
US10250553B2 (en) ARP offloading for managed hardware forwarding elements
EP3175590B1 (en) Bridging clouds
WO2016055027A1 (en) Table entry in software defined network
US9065661B2 (en) Scalable multicast route distribution in a multitenant data center fabric in a network environment
WO2014131350A1 (en) Multicasting a data message in a multi-site network
CN103118149B (zh) 同一租户内服务器间的通信控制方法及网络设备
US8929255B2 (en) System and method for input/output virtualization using virtualized switch aggregation zones
CN107645431B (zh) 报文转发方法及装置
CN103873374A (zh) 虚拟化系统中的报文处理方法及装置
WO2015149253A1 (zh) 数据中心的虚拟网络管理方法及数据中心系统
EP3292666B1 (en) Multicast data packet forwarding
CN107547349A (zh) 一种虚拟机迁移的方法及装置
EP3292659B1 (en) Multicast data packet forwarding
US9009782B2 (en) Steering traffic among multiple network services using a centralized dispatcher
CN108199968B (zh) 路由处理方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant