CN105577406B - 业务数据流的控制方法和网络设备 - Google Patents
业务数据流的控制方法和网络设备 Download PDFInfo
- Publication number
- CN105577406B CN105577406B CN201410545651.9A CN201410545651A CN105577406B CN 105577406 B CN105577406 B CN 105577406B CN 201410545651 A CN201410545651 A CN 201410545651A CN 105577406 B CN105577406 B CN 105577406B
- Authority
- CN
- China
- Prior art keywords
- data flow
- information
- business data
- admission control
- control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/80—Actions related to the user profile or the type of traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/50—Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种业务数据流的控制方法和网络设备。本发明业务数据流的控制方法,包括:网络设备接收业务数据流,获取业务数据流中基于标签控制协议而携带的控制标签;网络设备根据控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对业务数据流进行网络访问控制,网络访问控制包括准入控制和应用控制中至少一项。本发明实施例可以实现对业务数据流进行准入控制和/或应用控制,从而有效提升网络设备对业务数据流的处理效率。
Description
技术领域
本发明实施例涉及网络技术,尤其涉及一种业务数据流的控制方法和网络设备。
背景技术
随着网络新技术快速发展,移动终端迅速普及,移动办公和无线接入也随之兴起。对于采用任意终端,随时随地接入网络,并在不同地点接入网络后具有相同转发优先级、网络带宽以及网络访问权限和安全策略,成为企业网络的发展趋势。
针对这一趋势,基于软件定义网络(Software Defined Network,简称SDN)概念,提出在网络中增加网络控制器(Controller)组件,利用该控制器对全网用户信息进行集中控制。具体的,Controller将安全组信息全网同步到各执行点设备上,该执行点设备包括交换机、防火墙等,该安全组信息是指受保护的网络资源的信息或终端用户的信息,用户认证上线执行点设备获取业务流量的安全组信息,对业务流量进行准入控制或应用控制,其中,准入控制具体指对网络的边界进行保护,对接入网络的终端进行控制,而应用控制具体指基于准入的前提,对网络的边界应用流量进行保护,对接入网络的终端的应用流量进行控制。
然而,现有技术中各执行点设备只能对业务流量进行准入控制或者应用控制,这样使得执行点设备对业务流量的处理效率较低,因此如何提高执行点设备对业务流量的处理效率是如今亟待解决的一技术问题。
发明内容
本发明实施例提供一种业务数据流的控制方法和网络设备,以解决现有技术中执行点设备对业务流量的处理效率低的问题。
第一方面,本发明实施例提供一种业务数据流的控制方法,包括:
网络设备接收业务数据流,获取所述业务数据流中基于标签控制协议而携带的控制标签;
所述网络设备根据所述控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对所述业务数据流进行网络访问控制,所述网络访问控制包括准入控制和应用控制中至少一项。
结合第一方面,在第一方面的第一种可能的实现方式中,若所述网络设备为防火墙设备,所述网络设备根据所述控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对所述业务数据流进行网络访问控制,包括:
若所述控制标签为第一信息,则利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;
若所述控制标签为第二信息,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;
若所述控制标签为第三信息,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;
若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述方法还包括:
所述利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制后,将所述第一信息更新为所述第四信息,并转发所述业务数据流;或
所述仅利用所述应用控制配置信息,对所述业务数据流进行应用控制后,将所述第二信息更新为所述第四信息,并转发所述业务数据流;或
所述仅利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或
所述直接转发所述业务数据流时,保持所述第四信息不变。
结合第一方面或者第一方面的第一种可能的实现方式或者第一方面的第二种可能的实现方式,在第一方面的第三种可能的实现方式中,所述方法还包括:
若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第四信息;或
若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第三信息;或
若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
结合第一方面,在第一方面的第四种可能的实现方式中,若所述网络设备为交换机设备,所述网络设备根据所述控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对所述业务数据流进行网络访问控制,包括:
若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;
若所述控制标签为第二信息,则直接转发所述业务数据流;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;
若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;
若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,所述方法还包括:
所述若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第一信息更新为所述第二信息,并转发所述业务数据流;或
所述若所述控制标签为第二信息,则直接转发所述业务数据流时,保持所述第二信息不变;或
所述若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或
所述若所述控制标签为第四信息,则直接转发所述业务数据流时,保持所述第四信息不变。
结合第一方面的第四种可能的实现方式或第一方面的第五种可能的实现方式,在第一方面的第六种可能的实现方式中,所述方法还包括:
若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
第二方面,本发明实施例提供一种网络设备,包括:
接收模块,用于接收业务数据流,获取所述业务数据流中基于标签控制协议而携带的控制标签;
处理模块,用于根据所述控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对所述业务数据流进行网络访问控制,所述网络访问控制包括准入控制和应用控制中至少一项。
结合第二方面,在第二方面的第一种可能的实现方式中,若所述网络设备为防火墙设备,所述处理模块具体用于:
若所述控制标签为第一信息,则利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;
若所述控制标签为第二信息,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;
若所述控制标签为第三信息,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;
若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
结合第二方面的第一种可能的实现方式,在第二方面的第二种可能的实现方式中,所述网络设备还包括更新模块,所述更新模块具体用于:
所述利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制后,将所述第一信息更新为所述第四信息,并转发所述业务数据流;或
所述仅利用所述应用控制配置信息,对所述业务数据流进行应用控制后,将所述第二信息更新为所述第四信息,并转发所述业务数据流;或
所述仅利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或
所述直接转发所述业务数据流时,保持所述第四信息不变。
结合第二方面或第二方面的第一种可能的实现方式或第二方面的第二种可能的实现方式,在第二方面的第三种可能的实现方式中,所述网络设备还包括判断模块,所述判断模块具体用于:
若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第四信息;或
若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第三信息;或
若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
结合第二方面,在第二方面的第四种可能的实现方式中,若所述网络设备为交换机,所述处理模块具体用于:
若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;
若所述控制标签为第二信息,则直接转发所述业务数据流;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;
若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;
若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
结合第二方面的第四种可能的实现方式,在第二方面的第五种可能的实现方式中,所述网络设备还包括更新模块,所述更新模块具体用于:
所述若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第一信息更新为所述第二信息,并转发所述业务数据流;或
所述若所述控制标签为第二信息,则直接转发所述业务数据流时,保持所述第二信息不变;或
所述若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或
所述若所述控制标签为第四信息,则直接转发所述业务数据流时,保持所述第四信息不变。
结合第二方面的第四种可能的实现方式或第二方面的第五种可能的实现方式,在第二方面的第六种可能的实现方式中,所述网络设备还包括判断模块,具体用于:
若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
本发明实施例业务数据流的控制方法和网络设备,通过接收业务数据流,获取业务数据流中基于标签控制协议而携带的控制标签;根据控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对业务数据流进行准入控制和/或应用控制,从而实现对业务数据流进行准入控制和/或应用控制,进而有效提升网络设备对业务数据流的处理效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明业务数据流的控制方法实施例一的流程图;
图2为本发明业务数据流的控制方法实施例二的流程图;
图3为本发明业务数据流的具体形式示意图;
图4为本发明业务数据流的控制方法实施例三的流程图
图5为本发明网络设备实施例一的结构示意图;
图6为本发明网络设备实施例二的结构示意图;
图7为本发明网络设备实施例三的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明业务数据流的控制方法实施例一的流程图,如图1所示,本实施例的方法可以包括:
步骤101、网络设备接收业务数据流,获取业务数据流中基于标签控制协议而携带的控制标签。
其中,网络设备可以为下一代防火墙(Next-generation Firewall,简称NGFW)、交换机等可以为业务数据流提供应用控制和准入控制的网络设备。其中,该业务数据流中包括净荷、控制标签以及IP信息,该控制标签是基于标签控制协议(Label ControllerProtocol,简称LCP)在现有技术业务数据流中增加的信息,本实施例的网络设备具有增加控制标签和识别控制标签的功能。业务数据流中的IP信息包含源IP地址、目的IP地址以及其它一些IP层信息,网络设备可以获取与该业务流数据对应的安全组信息,安全组信息具体指受保护的网络资源的信息或终端用户的信息,该安全组信息包括源安全组信息和目的安全组信息,其中源安全组信息代表需要访问受保护网络资源的终端用户的信息,目的安全组信息代表提供服务并且是受保护的网络资源的信息,这些网络资源有固定的IP地址,管理员会要求终端用户通过身份认证并且获得授权之后才允许访问这些受保护的资源。具体获取方式可以参见现有技术中业务数据流的安全组信息的获取方式,具体可以为,控制器对网络中的用户信息进行集中控制,用户通过网络设备向控制器发送认证请求,控制器根据认证请求获取其对应的源安全组信息,返回给该网络设备,并且该网络设备根据业务数据流的目的IP获取该业务数据流的目的安全组信息,从而获取到该业务数据流对应的安全组信息。
步骤102、网络设备根据控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对业务数据流进行网络访问控制。
其中,网络访问控制包括准入控制和应用控制中至少一项。其中,准入控制具体指对网络的边界进行保护,对接入网络的终端进行控制,即根据业务数据流的安全组信息对业务数据流进行相应控制处理,应用控制具体指基于准入的前提对网络的边界应用流量进行保护,对接入网络的终端应用流量进行控制,即根据业务数据流的数据流相关信息和安全组信息对业务数据流进行相应控制处理,其中数据流相关信息可以为业务数据流的长度等信息。
控制器将基于安全组信息的准入控制配置信息和应用控制配置信息下发给各网络设备,网络设备可以根据业务数据流的安全组信息和基于安全组信息的准入控制配置信息、应用控制配置信息,对业务数据流进行准入控制、或者应用控制、或者先进行准入控制后再进行应用控制。
可选的,若网络设备为防火墙设备,则步骤102的具体实施方式可以为:
若控制标签为第一信息,则利用准入控制配置信息和应用控制配置信息,分别对业务数据流进行准入控制和应用控制;第一信息用于指示业务数据流的接收方,尚未对业务数据流进行准入控制和应用控制;这里,分别对业务数据流进行准入控制和应用控制具体指,首先利用准入控制配置信息对业务数据流进行准入控制,之后再利用应用控制配置信息对业务数据流进行应用控制。
若控制标签为第二信息,则仅利用应用控制配置信息,对业务数据流进行应用控制;第二信息用于指示业务数据流的接收方,已经完成对业务数据流的准入控制,但尚未进行应用控制;
若控制标签为第三信息,则仅利用准入控制配置信息,对业务数据流进行准入控制;第三信息用于指示业务数据流的接收方,已经完成对业务数据的应用控制,但尚未进行准入控制;
若控制标签为第四信息,则直接转发业务数据流;第四信息用于指示业务数据流的接收方,已经完成对业务数据流的准入控制和应用控制。
进一步地,若网络设备为防火墙设备,则本实施例的业务数据流的控制方法还可以包括以下步骤:
在执行上述步骤102中的利用准入控制配置信息和应用控制配置信息,分别对业务数据流进行准入控制和应用控制后,将业务数据流的第一信息更新为第四信息,并转发业务数据流;或
在执行上述步骤102中的仅利用应用控制配置信息,对业务数据流进行应用控制后,将业务数据流的第二信息更新为第四信息,并转发业务数据流;或
在执行上述步骤102中的仅利用准入控制配置信息,对业务数据流进行准入控制后,将业务数据流的第三信息更新为第四信息,并转发业务数据流;或
在执行上述步骤102中的直接转发业务数据流时,保持业务数据流第四信息不变。
可选的,若网络设备为防火墙设备,相应的,若判断获知业务数据流中不携带有控制标签,则利用准入控制配置信息和应用控制配置信息,分别对业务数据流进行准入控制和应用控制,并在业务数据流中增加控制标签,且控制标签的值为所述第四信息;或
若判断获知业务数据流中不携带有控制标签,则仅利用所述应用控制配置信息,对业务数据流进行应用控制,并在业务数据流中增加控制标签,且控制标签的值为所述第三信息;或
若判断获知业务数据流中不携带有控制标签,则仅利用准入控制配置信息,对业务数据流进行准入控制,并在业务数据流中增加控制标签,且控制标签的值为所述第二信息。
可选的,若网络设备为交换机设备,则步骤102可以具体为:
若控制标签为第一信息,则利用准入控制配置信息,对业务数据流进行准入控制;第一信息用于指示业务数据流的接收方,尚未对业务数据流进行准入控制和应用控制;
若控制标签为第二信息,则直接转发业务数据流;第二信息用于指示业务数据流的接收方,已经完成对业务数据流的准入控制,但尚未进行应用控制;
若控制标签为第三信息,则利用准入控制配置信息,对业务数据流进行准入控制;第三信息用于指示业务数据流的接收方,已经完成对业务数据的应用控制,但尚未进行准入控制;
若控制标签为第四信息,则直接转发业务数据流;第四信息用于指示业务数据流的接收方,已经完成对业务数据流的准入控制和应用控制。
进一步地,若网络设备为交换机设备,本实施例的业务数据流的控制方法还可以包括:
若控制标签为第一信息,则利用准入控制配置信息,对业务数据流进行准入控制后,将第一信息更新为第二信息,并转发业务数据流;或
若控制标签为第二信息,则直接转发业务数据流时,保持第二信息不变;或
若控制标签为第三信息,则利用准入控制配置信息,对业务数据流进行准入控制后,将第三信息更新为第四信息,并转发业务数据流;或
若控制标签为第四信息,则直接转发业务数据流时,保持第四信息不变。
可选的,若网络设备为交换机设备,若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
本实施例,网络设备通过接收业务数据流,获取业务数据流中基于标签控制协议而携带的控制标签;根据控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对业务数据流进行网络访问控制,该网络访问控制包括准入控制和/或应用控制,从而实现对业务数据流进行准入控制和/或应用控制,进而有效提升网络设备对业务数据流的处理效率。
下面采用两个具体的实施例,对图1所示方法实施例的技术方案进行详细说明。
图2为本发明业务数据流的控制方法二的流程图,图3为本发明业务数据流的具体形式示意图,本实施例以NGFW作为执行主体做举例说明,如图2所示,本实施例的方法可以包括:
S201:接收业务数据流。
其中,业务数据流可以为一报文。该业务数据流可以为现有技术中的业务数据流(未携带控制标签),也可以为本发明基于LCP的业务数据流(携带控制标签),其中基于LCP的业务数据流具体形式可以如图3所示,该业务流数据包括净荷、基于LCP的标签和IP头。其中,基于LCP的标签可以包括协议版本号(Version)、业务数据流长度(Length)、类型信息(Type)以及控制标签(Flag)。协议版本号(Version)用于标识协议版本信息,便于协议扩展;类型信息用于标识协议类型,例如本实施例是基于LCP协议,则类型信息可以用Type=01表示LCP协议;控制标签用于表示业务数据流是否进行过相应控制处理的控制信息,将控制标签的值分为四类,控制标签为第一信息时,用Flag=0表示,用于指示业务数据流的接收方,尚未对业务数据流进行准入控制和应用控制,控制标签为第二信息时,用Flag=1表示,用于指示业务数据流的接收方,已经完成对该业务数据流的准入控制,但尚未进行应用控制,控制标签为第三信息时,用Flag=2表示,用于指示业务数据流的接收方,已经完成对该业务数据流的应用控制,但尚未进行准入控制,控制标签为第四信息时,用Flag=3表示,用于指示业务数据流的接收方,已经完成对该业务数据流的准入控制和应用控制。
S202:判断业务数据流是否携带有控制标签,若是则执行S203,否则则执行S208。
其中,NGFW具有添加标签和识别标签的功能,当NGFW识别到该业务数据流携带有控制标签,则执行S203,当NGFW识别到该业务数据流未携带控制标签,则执行S208。
S203:根据业务数据流的控制标签,对业务数据流进行相应处理。
具体的,若控制标签为第一信息,则执行S204;若控制标签为第二信息,则执行S205;若控制标签为第三信息,则执行S206;若控制标签为第四信息,则执行S207。
NGFW根据业务数据流的控制标签,对业务数据流进行相应处理时,是利用控制器下发的基于安全组信息的准入控制配置信息和应用控制配置信息,基于安全组信息的准入控制配置信息的具体形式可以如表1所示,基于安全组信息的应用控制配置信息的具体形式可以如表2所示,表1和表2中的行属性用于指示源安全组信息,源安全组信息代表需要访问受保护网络资源的终端用户的信息,这里以A研发、B外包、0未知等作示意性举例说明,列属性用于指示目的安全组信息,目的安全组信息代表提供服务并且是受保护的网络资源的信息,这些网络资源有固定的IP地址,管理员会要求终端用户通过身份认证并且获得授权之后才允许访问这些受保护的资源,这里以C语音、D代码、一般WEB网站等作示意性举例说明,可以理解的,A研发、B外包、0未知也可以作为目的安全组信息,例如,A研发需要访问B外包的网络资源,此时源安全组信息为A研发,目的安全组信息为B外包。业务数据流的安全组信息的获取方式可以参见步骤101,根据业务流的安全组信息可以从基于安全组信息的准入控制配置信息和应用控制配置信息中,获取与其对应的准入控制信息和应用控制信息,例如,源安全组信息为B外包,目的安全组信息为C语音,根据表1的准入控制配置矩阵可知,准入控制为允许,即表示允许B外包进行C语音操作,源安全组信息为B外包,目的安全组信息为一般WEB网站,根据表2的应用控制配置矩阵可知,应用控制为允许、禁止上传文件,即表示允许B外包访问一般WEB网站,但禁止其上传文件。
表1 基于安全组信息的准入控制配置信息
A研发 | B外包 | 0未知 | C语音 | D代码 | G公网 | Any | |
A研发 | - | 禁止 | 允许 | ||||
B外包 | - | 允许 | 允许 | 禁止 | |||
0未知 | - | 禁止 | 禁止 | 禁止 | 允许 |
表2 基于安全组信息的应用控制配置信息
S204:利用准入控制配置信息和应用控制配置信息,分别对业务数据流进行准入控制和应用控制,将第一信息更新为所述第四信息,并转发业务数据流。
S205:仅利用应用控制配置信息,对业务数据流进行应用控制,将第二信息更新为第四信息,并转发业务数据流。
S206:仅利用准入控制配置信息,对业务数据流进行准入控制,将第三信息更新为第四信息,并转发业务数据流。
S207:直接转发业务数据流,保持第四信息不变。
S208:利用准入控制配置信息和应用控制配置信息,对业务数据流进行准入控制和/或应用控制,并在业务数据流中增加控制标签。
具体的,利用准入控制配置信息和应用控制配置信息,分别对业务数据流进行准入控制和应用控制,并在业务数据流中增加控制标签,且控制标签的值为第四信息;或者
仅利用应用控制配置信息,对业务数据流进行应用控制,并在业务数据流中增加控制标签,且控制标签的值为第三信息;或者
仅利用准入控制配置信息,对业务数据流进行准入控制,并在业务数据流中增加控制标签,且控制标签的值为第二信息。
本实施例,通过接收业务数据流,判断业务数据流是否携带控制标签,当业务数据流携带控制标签时,利用控制器下发的基于安全组信息的准入控制配置信息和应用控制配置信息,根据业务数据流的控制标签对业务数据流进行相应控制处理,并将经过准入控制和/或应用控制处理后的业务数据流的控制标签进行更新,当业务数据流未携带控制标签时,将该业务数据流进行相应控制处理后,给处理后的业务数据流增加控制标签,从而实现对业务数据流进行准入控制和/或应用控制,并且由于业务数据流经过下一个网络设备时,根据该业务数据流的更新后的控制标签,对业务数据流进行相应控制处理,避免了重复进行相同控制处理,进而有效的提高了业务数据流的处理效率。
图4为本发明业务数据流的控制方法实施例三的流程图,本实施例以交换机作为执行主体做举例说明,如图4所示,本实施例的方法可以包括:
S301:接收业务数据流。
具体实施方式可以参见S201。
S302:判断业务数据流是否携带有控制标签,若是则执行S303,否则则执行S308。
其中,交换机具有添加标签和识别标签的功能,当交换机识别到该业务数据流携带有控制标签,则执行S303,当交换机识别到该业务数据流未携带控制标签,则执行S308。
S303:根据业务数据流的控制标签,对业务数据流进行相应处理。
具体的,若控制标签为第一信息,则执行S304;若控制标签为第二信息,则执行S305;若控制标签为第三信息,则执行306;若控制标签为第四信息,则执行S307。
交换机接收控制器下发的基于安全组信息的准入控制配置信息和应用控制配置信息,但是交换机只利用基于安全组信息的准入控制配置信息对业务数据流进行准入控制,其中基于安全组信息的准入控制配置信息的具体形式可以参见表1所示。
S304:利用准入控制配置信息,对业务数据流进行准入控制,将第一信息更新为第二信息,并转发业务数据流。
S305:直接转发业务数据流,保持第二信息不变,并转发业务数据流。
S306:利用准入控制配置信息,对业务数据流进行准入控制,将第三信息更新为第四信息,并转发业务数据流。
S307:直接转发业务数据流,保持第四信息不变,并转发业务数据流。
S308:若判断获知业务数据流中不携带有控制标签,则利用准入控制配置信息,对业务数据流进行准入控制,并在业务数据流中增加控制标签,且控制标签的值为所述第二信息。
本实施例,通过接收业务数据流,判断业务数据流是否携带控制标签,当业务数据流携带控制标签时,利用控制器下发的基于安全组信息的准入控制配置信息和应用控制配置信息,根据业务数据流的控制标签对业务数据流进行相应准入控制处理,并将经过准入控制处理后的业务数据流的控制标签进行更新,当业务数据流未携带控制标签时,将该业务数据流进行相应准入控制处理后,给处理后的业务数据流增加控制标签,从而实现对业务数据流进行准入控制,并且由于业务数据流经过下一个网络设备时,根据该业务数据流的更新后的控制标签,对业务数据流进行相应控制处理,避免了重复进行相同控制处理,进而有效的提高了业务数据流的处理效率。
需要说明的是,在组网场景为使用NGFW和交换机进行准入控制和应用控制的情况下,利用本发明图1-图4所示实施例的业务数据流的控制方法,可以实现对业务数据流进行准入控制和应用控制。
图5为本发明网络设备实施例一的结构示意图,如图5所示,本实施例的网络设备可以包括:接收模块11和处理模块12,其中,接收模块11用于接收业务数据流,获取所述业务数据流中基于标签控制协议而携带的控制标签,处理模块12用于根据所述控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对所述业务数据流进行网络访问控制,所述网络访问控制包括准入控制和应用控制中至少一项。
可选的,若网络设备为防火墙设备,则所述处理模块12具体可以用于若所述控制标签为第一信息,则利用所述准入控制配置信息和所述应用控制配置信息,同时对所述业务数据流进行准入控制和应用控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;若所述控制标签为第二信息,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;若所述控制标签为第三信息,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
可选的,若网络设备为交换机设备时,所述处理模块12具体可以用于若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;若所述控制标签为第二信息,则直接转发所述业务数据流;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本发明网络设备实施例二的结构示意图,如图6所示,本实施例的网络设备在图5所示网络设备结构的基础上,进一步地,还可以包括:更新模块13,其中,若网络设备为防火墙设备,该更新模块13具体用于利用所述准入控制配置信息和所述应用控制配置信息,同时对所述业务数据流进行准入控制和应用控制后,将所述第一信息更新为所述第四信息,并转发所述业务数据流;或所述仅利用所述应用控制配置信息,对所述业务数据流进行应用控制后,将所述第二信息更新为所述第四信息,并转发所述业务数据流;或所述仅利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或所述直接转发所述业务数据流时,保持所述第四信息不变;若网络设备为交换机设备,该更新模块13具体用于所述若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第一信息更新为所述第二信息,并转发所述业务数据流;或所述若所述控制标签为第二信息,则直接转发所述业务数据流时,保持所述第二信息不变;或所述若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或所述若所述控制标签为第四信息,则直接转发所述业务数据流时,保持所述第四信息不变。
本实施例的网络设备,可以用于执行图2和图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明网络设备实施例三的结构示意图,如图7所示,本实施例的网络设备在图5或图6所示装置结构的基础上,进一步地,还可以包括:判断模块14,其中,若网络设备为防火墙设备时,该判断模块14用于若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息和所述应用控制配置信息,同时对所述业务数据流进行准入控制和应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第四信息;或若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第三信息;或若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息;若网络设备为交换机设备时,该判断模块14具体用于若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
本实施例的网络设备,可以用于执行图2和图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (14)
1.一种业务数据流的控制方法,其特征在于,包括:
网络设备接收业务数据流,获取所述业务数据流中基于标签控制协议而携带的控制标签;
所述网络设备根据所述控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对所述业务数据流进行网络访问控制,所述网络访问控制包括准入控制和应用控制中至少一项;
其中,所述安全组信息包括受保护的网络资源的信息或终端用户的信息,所述准入控制为对接入网络的终端进行控制,所述应用控制为对接入网络的终端应用流量进行控制。
2.根据权利要求1所述的方法,其特征在于,若所述网络设备为防火墙设备,所述网络设备根据所述控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对所述业务数据流进行网络访问控制,包括:
若所述控制标签为第一信息,则利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;
若所述控制标签为第二信息,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;
若所述控制标签为第三信息,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;
若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
所述利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制后,将所述第一信息更新为所述第四信息,并转发所述业务数据流;或
所述仅利用所述应用控制配置信息,对所述业务数据流进行应用控制后,将所述第二信息更新为所述第四信息,并转发所述业务数据流;或
所述仅利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或
所述直接转发所述业务数据流时,保持所述第四信息不变。
4.根据权利要求2或3所述的方法,其特征在于,所述方法还包括:
若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第四信息;或
若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第三信息;或
若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
5.根据权利要求1所述的方法,其特征在于,若所述网络设备为交换机设备,所述网络设备根据所述控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对所述业务数据流进行网络访问控制,包括:
若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;
若所述控制标签为第二信息,则直接转发所述业务数据流;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;
若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;
若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第一信息更新为所述第二信息,并转发所述业务数据流;或
所述若所述控制标签为第二信息,则直接转发所述业务数据流时,保持所述第二信息不变;或
所述若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或
所述若所述控制标签为第四信息,则直接转发所述业务数据流时,保持所述第四信息不变。
7.根据权利要求5或6所述的方法,其特征在于,所述方法还包括:
若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
8.一种网络设备,其特征在于,包括:
接收模块,用于接收业务数据流,获取所述业务数据流中基于标签控制协议而携带的控制标签;
处理模块,用于根据所述控制标签,利用控制器下发的、基于安全组信息的准入控制配置信息和应用控制配置信息,对所述业务数据流进行网络访问控制,所述网络访问控制包括准入控制和应用控制中至少一项;
其中,所述安全组信息包括受保护的网络资源的信息或终端用户的信息,所述准入控制为对对接入网络的终端进行控制,所述应用控制为对接入网络的终端应用流量进行控制。
9.根据权利要求8所述的网络设备,其特征在于,若所述网络设备为防火墙设备,所述处理模块具体用于:
若所述控制标签为第一信息,则利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;
若所述控制标签为第二信息,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;
若所述控制标签为第三信息,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;
若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
10.根据权利要求9所述的网络设备,其特征在于,所述网络设备还包括更新模块,所述更新模块具体用于:
所述利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制后,将所述第一信息更新为所述第四信息,并转发所述业务数据流;或
所述仅利用所述应用控制配置信息,对所述业务数据流进行应用控制后,将所述第二信息更新为所述第四信息,并转发所述业务数据流;或
所述仅利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或
所述直接转发所述业务数据流时,保持所述第四信息不变。
11.根据权利要求9或10所述的网络设备,其特征在于,所述网络设备还包括判断模块,所述判断模块具体用于:
若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息和所述应用控制配置信息,分别对所述业务数据流进行准入控制和应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第四信息;或
若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述应用控制配置信息,对所述业务数据流进行应用控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第三信息;或
若判断获知所述业务数据流中不携带有所述控制标签,则仅利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
12.根据权利要求8所述的网络设备,其特征在于,若所述网络设备为交换机,所述处理模块具体用于:
若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第一信息用于指示所述业务数据流的接收方,尚未对所述业务数据流进行准入控制和应用控制;
若所述控制标签为第二信息,则直接转发所述业务数据流;所述第二信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制,但尚未进行应用控制;
若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制;所述第三信息用于指示所述业务数据流的接收方,已经完成对所述业务数据的应用控制,但尚未进行准入控制;
若所述控制标签为第四信息,则直接转发所述业务数据流;所述第四信息用于指示所述业务数据流的接收方,已经完成对所述业务数据流的准入控制和应用控制。
13.根据权利要求12所述的网络设备,其特征在于,所述网络设备还包括更新模块,所述更新模块具体用于:
所述若所述控制标签为第一信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第一信息更新为所述第二信息,并转发所述业务数据流;或
所述若所述控制标签为第二信息,则直接转发所述业务数据流时,保持所述第二信息不变;或
所述若所述控制标签为第三信息,则利用所述准入控制配置信息,对所述业务数据流进行准入控制后,将所述第三信息更新为所述第四信息,并转发所述业务数据流;或
所述若所述控制标签为第四信息,则直接转发所述业务数据流时,保持所述第四信息不变。
14.根据权利要求12或13所述的网络设备,其特征在于,所述网络设备还包括判断模块,具体用于:
若判断获知所述业务数据流中不携带有所述控制标签,则利用所述准入控制配置信息,对所述业务数据流进行准入控制,并在所述业务数据流中增加控制标签,且所述控制标签的值为所述第二信息。
Priority Applications (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410545651.9A CN105577406B (zh) | 2014-10-15 | 2014-10-15 | 业务数据流的控制方法和网络设备 |
EP15179584.6A EP3010200B1 (en) | 2014-10-15 | 2015-08-03 | Method for controlling service data flow and network device |
US14/880,511 US10785165B2 (en) | 2014-10-15 | 2015-10-12 | Method for controlling service data flow and network device |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410545651.9A CN105577406B (zh) | 2014-10-15 | 2014-10-15 | 业务数据流的控制方法和网络设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105577406A CN105577406A (zh) | 2016-05-11 |
CN105577406B true CN105577406B (zh) | 2019-02-12 |
Family
ID=54365938
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410545651.9A Active CN105577406B (zh) | 2014-10-15 | 2014-10-15 | 业务数据流的控制方法和网络设备 |
Country Status (3)
Country | Link |
---|---|
US (1) | US10785165B2 (zh) |
EP (1) | EP3010200B1 (zh) |
CN (1) | CN105577406B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110445631A (zh) * | 2018-05-04 | 2019-11-12 | 南宁富桂精密工业有限公司 | 配置方法、控制器、网络设备和计算机存储介质 |
CN111224922A (zh) * | 2018-11-26 | 2020-06-02 | 顺丰科技有限公司 | 分布式安全组模块访问控制方法、系统 |
WO2021047321A1 (zh) * | 2019-09-11 | 2021-03-18 | 华为技术有限公司 | 一种数据传输的控制方法及装置 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6377577B1 (en) * | 1998-06-30 | 2002-04-23 | Cisco Technology, Inc. | Access control list processing in hardware |
CN1674558A (zh) * | 2004-03-25 | 2005-09-28 | 株式会社日立制作所 | 信息中继装置和数据流统计信息收集方法 |
EP2632082A2 (en) * | 2012-02-22 | 2013-08-28 | Huawei Technologies Co., Ltd. | Acces method and system of customer premise equipment, and broadband network gateway |
US8612612B1 (en) * | 2011-09-28 | 2013-12-17 | Juniper Networks, Inc. | Dynamic policy control for application flow processing in a network device |
CN103944884A (zh) * | 2014-03-24 | 2014-07-23 | 瑞达信息安全产业股份有限公司 | 一种基于网络标签通信的分级分域访问控制方法和系统 |
CN103905447B (zh) * | 2014-04-01 | 2017-06-27 | 华为技术有限公司 | 业务链路选择控制方法以及设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7010582B1 (en) * | 2000-06-26 | 2006-03-07 | Entrust Limited | Systems and methods providing interactions between multiple servers and an end use device |
US8910241B2 (en) * | 2002-04-25 | 2014-12-09 | Citrix Systems, Inc. | Computer security system |
US8891549B1 (en) * | 2002-10-24 | 2014-11-18 | Rockstar Consortium Us Lp | Method and apparatus for content processing application acceleration |
KR101306715B1 (ko) * | 2007-02-09 | 2013-09-11 | 엘지전자 주식회사 | 방송 신호 수신 장치 및 방송 신호 송수신 방법 |
US9325610B2 (en) * | 2013-03-15 | 2016-04-26 | Cisco Technology, Inc. | Extended tag networking |
-
2014
- 2014-10-15 CN CN201410545651.9A patent/CN105577406B/zh active Active
-
2015
- 2015-08-03 EP EP15179584.6A patent/EP3010200B1/en active Active
- 2015-10-12 US US14/880,511 patent/US10785165B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6377577B1 (en) * | 1998-06-30 | 2002-04-23 | Cisco Technology, Inc. | Access control list processing in hardware |
CN1674558A (zh) * | 2004-03-25 | 2005-09-28 | 株式会社日立制作所 | 信息中继装置和数据流统计信息收集方法 |
US8612612B1 (en) * | 2011-09-28 | 2013-12-17 | Juniper Networks, Inc. | Dynamic policy control for application flow processing in a network device |
EP2632082A2 (en) * | 2012-02-22 | 2013-08-28 | Huawei Technologies Co., Ltd. | Acces method and system of customer premise equipment, and broadband network gateway |
CN103944884A (zh) * | 2014-03-24 | 2014-07-23 | 瑞达信息安全产业股份有限公司 | 一种基于网络标签通信的分级分域访问控制方法和系统 |
CN103905447B (zh) * | 2014-04-01 | 2017-06-27 | 华为技术有限公司 | 业务链路选择控制方法以及设备 |
Also Published As
Publication number | Publication date |
---|---|
CN105577406A (zh) | 2016-05-11 |
US20160112344A1 (en) | 2016-04-21 |
EP3010200A1 (en) | 2016-04-20 |
EP3010200B1 (en) | 2020-04-22 |
US10785165B2 (en) | 2020-09-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20210360399A1 (en) | Mobile authentication in mobile virtual network | |
CN105577637B (zh) | 用于安全虚拟网络功能间通信的计算设备、方法和机器可读存储介质 | |
EP3494682B1 (en) | Security-on-demand architecture | |
CN105007577B (zh) | 一种虚拟sim卡参数管理方法、移动终端及服务器 | |
US9491183B1 (en) | Geographic location-based policy | |
Boudi et al. | Assessing lightweight virtualization for security-as-a-service at the network edge | |
JP6633775B2 (ja) | パケット伝送 | |
CN103067416A (zh) | 一种虚拟私云接入认证方法及相关装置 | |
CN104539598A (zh) | 一种改进Tor的安全匿名网络通信系统及方法 | |
CN105577406B (zh) | 业务数据流的控制方法和网络设备 | |
CN103795622A (zh) | 一种报文转发方法及其装置 | |
CN103701822A (zh) | 访问控制方法 | |
CN105262773A (zh) | 一种物联网系统的验证方法及装置 | |
US20150288658A1 (en) | Access point apparatus for configuring multiple security tunnel, and system having the same and method thereof | |
CN104796887B (zh) | 一种安全信息交互的方法和装置 | |
CN109996219A (zh) | 一种物联网鉴权方法、网络设备及终端 | |
CN105893456B (zh) | 地理围栏感知的计算基础设施的分离的方法和系统 | |
CN104735666A (zh) | 一种无线网络的认证方法及装置 | |
CN105049546B (zh) | 一种dhcp服务器为客户端分配ip地址的方法及装置 | |
CN108377499A (zh) | 一种网络接入方法、路由设备和终端 | |
CN104702591A (zh) | 一种基于端口转发复用技术穿透防火墙的方法和系统 | |
CN106302345A (zh) | 一种终端认证方法及装置 | |
US11652802B2 (en) | Policy based personally identifiable information leakage prevention in cloud native enviroments | |
CN105939292B (zh) | 控制策略生成方法以及装置 | |
CN109691158A (zh) | 移动流量重定向系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |