CN107135203B - 一种终端访问控制策略优化的方法及系统 - Google Patents
一种终端访问控制策略优化的方法及系统 Download PDFInfo
- Publication number
- CN107135203B CN107135203B CN201710216597.7A CN201710216597A CN107135203B CN 107135203 B CN107135203 B CN 107135203B CN 201710216597 A CN201710216597 A CN 201710216597A CN 107135203 B CN107135203 B CN 107135203B
- Authority
- CN
- China
- Prior art keywords
- address
- terminal
- rule
- access
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种终端访问控制策略优化的方法及系统,该系统包括五个部分:Web控制台、准入网关、业务数据库、应用服务器、移动终端;其中,所述Web管理控制台实现终端信息管理、策略管理;准入网关提供用户管理服务、终端设备管理服务、策略管理服务、日志管理服务;业务数据库存储用户信息、设备信息、策略信息、应用信息、日志信息;应用服务器为提供具体业务的一个或多个应用服器;移动终端发起准入认证以及应用访问请求。通过本发明的方案,可以应对更多的用户并发登录,增加用户可制定的策略数量;提高用户访问应用服务器的效率。
Description
技术领域
本发明涉及计算机安全领域,具体涉及一种终端访问控制策略优化的方法及系统。
背景技术
随着科学技术的发展,高科技人员(黑客或敌对势力)利用终端恶意软件、恶意代码来攻击大数据平台、窃用数据,建立的各种移动系统也存在高度的风险。目前中国各个城市相关部门已建立很多移动办公系统,用户在使用移动终端时,由于操作不符合规定,同时没有严格的监管和控制,导致内部网络被非法入侵,系统乃至国家机密被窃用,严重影响终端用户的使用、业务的正常进行以及相关部门对信息安全的处理能力。因此有必要对不同的终端限制其访问的网络范围,对未知终端进行禁止准入或其它处理。
现有准入系统多利用防火墙来或类似防火墙原理进行实现,通过对准入终端的Ip设置防火墙规则,而后防火墙根据规则对IP做禁止或允许访问网络的动作,从而实现了对终端准入的管控需求。
图1是给出通过防火墙来控制终端访问网络实现流程。该技术是目前最为普遍的终端准入控制的一种实现。其技术实现是终端准入访问请求后,查询策略表来设置针对该终端此时的IP规则,当终端访问应用服务器时,根据设置好的规则来判断该请求是否被允许。
但现有防火墙规则,只能针对某一IP,或一批IP进行规则设定,当需要设置规则的IP数量庞大且无规律时,设置规则存在一定困难或设置后的规则量具大。如有100条策略,10000个无规律IP,则需要设置100*10000条防火墙规则,会造成服务器大量的资源消耗;若有1百万条IP地址,1万策略,100亿条防火墙规则,服务器将不堪重负。
另外防火墙规则在进行匹配时,大多是对规则做逐条区配,区配效率低下,在规则较少时对网络吞吐量无明显影响,但当规则数量大时,则对网络有较大影响,网络延迟加大,进而影响终端用户的使用体验。
本申请从实际需求和应用的角度出发,根据准入终端在配置策略时的特点,及访问应用时需要快速判断是否允许准入的特点,提出了一种新的解决方案。
在配置终端策略时,往往是针对有相似特征的一批终端配置相同的策略,虽然终端登录时的IP无规律,但终端是有规律可寻的。对此,在生成及存储IP规则时,提出等价IP概念,即一批终端的IP等价于同一个等价IP,且只针对该等价IP做规则的存储,其它IP只存储到该IP的映射及关系。
在终端访问应用时,需要快速判断是否允许准入,故在存储规则时预先进行处理,对规则源地址及目的地址采用多级hashMap进行存储,存储时对目的地址范围进行归并,并计算出其中最大及最小值;查询时,无需全部遍历规则,经有限的查询即可判断出结果。具体预处理方案如下:对所有IP规则按源IP到目的IP队列进行存储,目的队列更改时,同步修改对应的范围,即对目的队列进行归并处理,减少需要查询的次数。
发明内容
为解决上述技术问题,本发明提供了一种终端访问控制策略优化的方法,包括以下步骤:
1).获取终端的请求IP包,取得请求终端相应的终端IP地址;
2).查询是否存在与该终端IP地址对应的等价IP地址,如存在,查找等价的IP规则,如不存在,直接查找该终端IP地址对应的IP规则,其中,所述IP规则包括允许IP规则和禁止IP规则;
3).对该允许IP规则进行判定,如果该允许IP规则不包含该终端IP地址,则丢弃该IP包,跳转到步骤7),否则转到步骤4);
4).如果该允许IP规则包含该终端IP地址,则对禁止IP规则进行判定,如果该禁止IP规则包含该终端IP地址,则丢弃该IP包,跳转到步骤7),否则转到步骤5);
5).如果该禁止IP规则不包含该终端IP地址,说明允许终端访问,转发该IP包到应用服务器;
6).接收应用服务器的响应包,并转发给该终端;
7).结束。
优选的,所述步骤1)之前还包括终端准入请求步骤,具体包括:
a).接收到终端准入请求后,做请求解析,得到终端信息及终端IP地址;
b).根据该终端信息查到相应策略,若终端IP地址有对应的等价IP,则直接将该终端IP地址设置为等价IP,结束终端准入请求流程;
c).若无对应的等价IP,直接将该策略转换为IP规则,并进行设置,结束终端准入请求流程。
优选的,其中设置IP规则的流程如下:
e).查找源IP地址对应目的IP地址队列是否存在,若不存在,则新建一个目的IP地址队列,否则直接跳转到步骤f);
f).将目的IP地址插入到上述源IP地址对应的目的IP地址队列;
g).若目的IP地址开始地址与结束地址相同,则插入到单一目的IP地址队列,结束设置IP规则流程;
h).若目的IP地址开始地址与结束地址不同,则插入到一个目的IP地址开始地址与结束地址之间的范围队列;
i).所述插入到范围队列时做IP地址归并,并计算范围区间。
优选的,所述对允许IP规则和禁止IP规则进行判定的具体步骤包括:
⑴.查找所述IP包的源IP地址对应的目的IP地址队列是否存在,若不存在,则该IP地址队列不包含该源IP地址,结束判定流程,否则进入步骤⑵;
⑵.查找所述源IP地址对应的目的IP地址是否在目的IP地址单一队列中,如果存在,则该目的IP地址单一队列包含该目的IP地址,结束判定流程,否则进入步骤⑶;
⑶.在目的IP地址范围队列中查找,如果存在,则该目的IP地址范围包含所述目的IP地址,结束判定流程,否则进入步骤⑷;
⑷.如不存在,则该目的IP地址范围不包含所述目的IP地址,结束判定流程。
优选的,所述等价IP地址是指:同一批终端的IP地址,或者同一类型的IP地址,或者满足某一相同条件的IP地址。
为解决上述技术问题,本发明提供了一种终端访问控制策略优化的系统,该系统包括五个部分:Web控制台、准入网关、业务数据库、应用服务器、移动终端;
其中,所述Web管理控制台实现终端信息管理、策略管理;
准入网关提供用户管理服务、终端设备管理服务、策略管理服务、日志管理服务;
业务数据库存储用户信息、设备信息、策略信息、应用信息、日志信息;
应用服务器为提供具体业务的一个或多个应用服器;
移动终端发起准入认证以及应用访问请求。
优选的,该系统实现终端访问控制策略优化的步骤包括:
1)将要接受管控的用户移动终端通过所述的Web控制台,配置相应的终端类型,并对相应的终端类型配置相应的应用访问服务;将配置的结果存入所述业务数据库;
2)所述准入网关从所述业务数据库中读出所述策略信息,将各终端类型转换为某一特定IP地址,即等价IP地址,对此等价IP地址按照所述策略信息生成相应的IP规则表;
3)所述移动终端发起认证请求时,所述准入网关根据请求信息取得对应的终端类型,并获取请求中的IP地址及所述终端类型对应的特定IP地址作为等价IP地址设置到所述IP规则表中;
4)所述移动终端发起应用请求时,所述准入网关查找所述等价IP地址是否存在包含请求中的源IP到目的IP地址的允许或禁止规则中,从而控制该移动终端能否访问所述应用服务器。
为解决上述技术问题,本发明提供了一种移动终端,该移动终端包括处理器和计算机存储介质,该计算机存储介质包括计算机指令,所述处理器通过执行所述计算机程序指令实现权利要求1-5之一的方法。
为解决上述技术问题,本发明提供了一种终端访问控制策略优化的设备,包括:
获取装置,获取终端的请求IP包,取得请求终端相应的终端IP地址;
查询装置,查询是否存在与该终端IP地址对应的等价IP地址,如存在,查找等价的IP规则,如不存在,直接查找该终端IP地址对应的IP规则,其中,所述IP规则包括允许IP规则和禁止IP规则;
判定装置,对该允许IP规则进行判定,如果该允许IP规则不包含该终端IP地址,则丢弃该IP包,如果该允许IP规则包含该终端IP地址,则对禁止IP规则进行判定,如果该禁止IP规则包含该终端IP地址,则丢弃该IP包;
转发装置,如果该禁止IP规则不包含该终端IP地址,说明允许终端访问,转发该IP包到应用服务器;
接收装置,接收应用服务器的响应包,并转发给该终端。
为解决上述技术问题,本发明提供了一种计算机存储介质,该计算机存储介质存储有计算机程序,当该计算机程序被执行时实现上述任一的方法。
通过本发明的技术方案取得了以下技术效果:
(1)可以应对更多的用户并发登录
(2)增加用户可制定的策略数量;
(3)提高用户访问应用服务器的效率。
附图说明
图1是现有技术通过防火墙来控制终端访问网络实现流程图
图2是本发明总体架构图
图3是本发明的终端准入请求流程图
图4是本发明的设置IP规则的具体流程
图5是本发明的终端应用请求图
图6是本发明的IP规则判定的具体流程
图7本发明的移动安全业务准入系统
具体实施方式
如图2所示,本发明申请的关键是等价IP规则的设置及判定使用,有效的减少整体规则的数量,提高设置规则时的效率;另一关键点是对IP规则的存储采用多机存储及预计算范围,加快了IP包判定时的速度;为了方便计算范围,将ip地址换为整型数据,例如:IP地址为“192.168.1.1”,存储为一个整数192*(2^24)+168(2^16)+1*(2^8)+1=3 232 235777,上述仅为一种实施方式,在此不对具体的实施方式做限定。
如图3,是本发明的准入请求过程。
准入请求是一个终端识别的过程,对发起请求的终端进行身份识别,匹配策略,并将终端对应的IP结合策略转换为IP规则,设置到IP规则表中,供应用请求时来进行准入判定。
准入请求处理流程如下:
1)接收到终端准入请求后,做请求解析,得到终端信息及终端IP;
2)根据终端信息查到相应策略,若终端有对应的等价IP,则直接添加一条终端IP到等价IP的等价IP规则;
3)若无对应的等价IP,直接将策略转换为IP规则,并进行设置。
如图4,其中设置IP规则的具体流程如下:
1)查找源IP对应目的地队列是否存在,若不存在,则新建一个;
所谓IP规则,即:针对IP地址的管控规则,即允许或禁止IP包从源地址IP发送到目的地址IP,其中目的IP地址可以是一个地址范围,例如:192.168.1.1禁止访问192.168.2.1至192.168.2.5。规则本身反应的就是源到目的关系。
2)将目的地址插入到上步的源地址对应的目的地队列;
3)若目的地址开始与结束相同,则插入到单一队列;
4)若不同,则插入到一个目的地址开始与结束的范围队列;
5)插入到范围队列时做归并,并计算范围区间,即计算当前范围队列的最小值与最大值之间的范围区间。
如图5,应用请求是一个终端访问实际应用服务器的请求,通过对准入请求时设定的规则,来决定是允许访问或拒绝访问应用服务器;实际的实现方法为准入网关服务器对收的IP包进行映射,符合规则的包进行转发,不符合的包则进行丢弃,从而达到允许或拒绝。
应用请求处理流程如下:
1)通过底层网卡驱动获取到映射的终端请求IP包;
2)查询是否存在等价IP,存在,查找等价的IP规则,如不存在,直接查找该IP对应的规则;
3)对允许IP规则进行判定,不包含则丢弃包;
4)包含,对禁止IP规则进行判定,包含则丢弃包;
5)不包含,说明允许应用访问,转发包到应用服务器;
6)接收应用服务器的响应包,并转发给终端。
如图6,其中IP规则判定的具体流程如下:
1)查找源地址对应的目的地址队列是否存在,不存在则不包含,判定结束;
2)查找是否在目的地址单一队列中,存在则包含,判定结束;
3)在目的地址范围队列中查找,在则包含,判定结束;
4)不在则不包含,判定结束。
实施例中,移动业务在实际运行时,将终端分为不同的类别,不同的类别可访问的应用不同,即在配置策略时,是对终端类别分配准入策略,而非传统意义上的防火墙对具体的IP分配规则,故特别适合使用本申请中的准入方法。
如图7,提供了一种终端访问控制策略优化的系统,此系统包含五部分:Web控制台、准入网关、业务数据库、应用服务器、移动终端。
Web管理控制台主要包含终端管理、策略管理。
准入网关服务器主要提供用户管理服务、终端设备管理服务、策略管理服务、日志管理服务。
业务数据库主要用户存储用户信息、设备信息、策略信息、应用信息、日志信息。
应用服务器为具体业务系统中所用到具体业务应用服器,可以多台。
移动终端包含准入认证以及实际的应用访问请求。
此系统工作的主要业务流程如下:
(1)由管理员将要接受管控的用户移动终端通过Web控制台,配置相应的终端类型,并对相应的终端类型配置相应的应用访问服务;将配置的结果存入业务数据库;
(2)准入网关从业务数据库中读出策略,将各终端类型转换为某一特定IP,对此IP按照策略生成相应的IP规则表中;
(3)移动终端发起认证请求时,准入网关根据请求信息取得对应的终端类型,并取请求中的IP及类型对应的特定IP作为等价IP设置到内存中的IP规则表中;
(4)移动终端发起应用请求时,准入网关查找是否存在包含请求中的源IP到目的IP地址的允许或禁止规则,来控制终可否访问应用服务器。
通过本发明,可以取得如下技术效果:可以应对更多的用户并发登录;增加用户可制定的策略数量;提高用户访问应用服务器的效率。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应保护在本发明的保护范围之内。
Claims (7)
1.一种终端访问控制策略优化的方法,包括以下步骤:
1).获取终端的请求IP包,取得请求终端相应的终端IP地址;
2).查询是否存在与该终端IP地址对应的等价IP地址,如存在,查找等价IP地址对应的IP规则,如不存在,直接查找该终端IP地址对应的IP规则,其中,所述IP规则包括允许IP规则和禁止IP规则;
3).对该允许IP规则进行判定,如果该允许IP规则不包含该终端IP地址,则丢弃该IP包,跳转到步骤7),否则转到步骤4);
4).如果该允许IP规则包含该终端IP地址,则对禁止IP规则进行判定,如果该禁止IP规则包含该终端IP地址,则丢弃该IP包,跳转到步骤7),否则转到步骤5);
5).如果该禁止IP规则不包含该终端IP地址,说明允许终端访问,转发该IP包到应用服务器;
6).接收应用服务器的响应包,并转发给该终端;
7).结束;
步骤1)之前还包括终端准入请求步骤,具体包括:
a).接收到终端准入请求后,做请求解析,得到终端信息及终端IP地址;
b).根据该终端信息查到相应策略,若终端IP地址有对应的等价IP,则直接将该终端IP地址设置为等价IP,结束终端准入请求流程;
c).若无对应的等价IP,直接将该策略转换为IP规则,并进行设置,结束终端准入请求流程;
其中,所述等价IP地址是指:同一批终端的IP地址,或者同一类型的IP地址,或者满足某一相同条件的IP地址;
其中,所述IP规则是针对IP地址的管控规则,所述管控规则是允许或禁止IP包从源地址IP发送到目的地址IP的规则,所述IP规则本身反应了源到目的的关系。
2.根据权利要求1所述的方法,其中设置IP规则的流程如下:
e).查找源IP地址对应目的IP地址队列是否存在,若不存在,则新建一个目的IP地址队列,否则直接跳转到步骤f);
f).将目的IP地址插入到上述源IP地址对应的目的IP地址队列;
g).若目的IP地址开始地址与结束地址相同,则插入到单一目的IP地址队列,结束设置IP规则流程;
h).若目的IP地址开始地址与结束地址不同,则插入到一个目的IP地址开始地址与结束地址之间的范围队列;
i).所述插入到范围队列时做IP地址归并,并计算范围区间。
3.根据权利要求1-2之一所述的方法,所述对允许IP规则和禁止IP规则进行判定的具体步骤包括:
⑴.查找所述IP包的源IP地址对应的目的IP地址队列是否存在,若不存在,则该IP地址队列不包含该源IP地址对应的目的IP地址,结束判定流程,否则进入步骤⑵;
⑵.查找所述源IP地址对应的目的IP地址是否在目的IP地址单一队列中,如果存在,则该目的IP地址单一队列包含该目的IP地址,结束判定流程,否则进入步骤⑶;
⑶.在目的IP地址范围队列中查找,如果存在,则该目的IP地址范围包含所述目的IP地址,结束判定流程,否则进入步骤⑷;
⑷.如不存在,则该目的IP地址范围不包含所述目的IP地址,结束判定流程。
4.一种终端访问控制策略优化的系统,该系统包括五个部分:Web控制台、准入网关、业务数据库、应用服务器、移动终端;
其中,所述Web控制台实现终端信息管理和策略管理;
准入网关提供用户管理服务、终端设备管理服务、策略管理服务和日志管理服务;
业务数据库存储用户信息、设备信息、策略信息、应用信息和日志信息;
应用服务器为提供具体业务的一个或多个应用服器;
移动终端发起准入认证以及应用访问请求;
该系统实现终端访问控制策略优化,具体包括以下步骤:
1)将要接受管控的用户移动终端通过所述的Web控制台,配置相应的终端类型,并对相应的终端类型配置相应的应用访问服务;将配置的结果存入所述业务数据库;
2)所述准入网关从所述业务数据库中读出所述策略信息,将各终端类型转换为某一特定IP地址,即等价IP地址,对此等价IP地址按照所述策略信息生成相应的IP规则表;
3)所述移动终端发起认证请求时,所述准入网关根据请求信息取得对应的终端类型,并获取请求中的IP地址及所述终端类型对应的特定IP地址作为等价IP地址设置到所述IP规则表中;
4)所述移动终端发起应用请求时,所述准入网关查找所述等价IP地址是否存在于源IP到目的IP地址的允许或禁止规则中,从而控制该移动终端能否访问所述应用服务器;
其中,所述IP规则是针对IP地址的管控规则,所述管控规则是允许或禁止IP包从源地址IP发送到目的地址IP的规则,所述IP规则本身反应了源到目的的关系。
5.一种移动终端,该移动终端包括处理器和计算机存储介质,该计算机存储介质包括计算机指令,所述处理器通过执行所述计算机程序指令实现权利要求1-3之一的方法。
6.一种终端访问控制策略优化的设备,包括:
获取装置,获取终端的请求IP包,取得请求终端相应的终端IP地址;查询装置,查询是否存在与该终端IP地址对应的等价IP地址,如存在,查找等价IP地址对应的IP规则,如不存在,直接查找该终端IP地址对应的IP规则,其中,所述IP规则包括允许IP规则和禁止IP规则;
判定装置,对该允许IP规则进行判定,如果该允许IP规则不包含该终端IP地址,则丢弃该IP包,如果该允许IP规则包含该终端IP地址,则对禁止IP规则进行判定,如果该禁止IP规则包含该终端IP地址,则丢弃该IP包;
转发装置,如果该禁止IP规则不包含该终端IP地址,说明允许终端访问,转发该IP包到应用服务器;
接收装置,接收应用服务器的响应包,并转发给该终端;以及
终端准入请求的装置,用于:
接收到终端准入请求,并进行请求解析,得到终端信息及终端IP地址;
根据该终端信息查到相应策略,若终端IP地址有对应的等价IP,则直接将该终端IP地址设置为等价IP,若无对应的等价IP,直接将该策略转换为IP规则,并进行设置;
其中,所述等价IP地址是指:同一批终端的IP地址,或者同一类型的IP地址,或者满足某一相同条件的IP地址;
其中,所述IP规则是针对IP地址的管控规则,所述管控规则是允许或禁止IP包从源地址IP发送到目的地址IP的规则,所述IP规则本身反应了源到目的的关系。
7.一种计算机存储介质,该计算机存储介质存储有计算机程序,当该计算机程序被执行时实现权利要求1-3之一的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710216597.7A CN107135203B (zh) | 2017-04-05 | 2017-04-05 | 一种终端访问控制策略优化的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710216597.7A CN107135203B (zh) | 2017-04-05 | 2017-04-05 | 一种终端访问控制策略优化的方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107135203A CN107135203A (zh) | 2017-09-05 |
CN107135203B true CN107135203B (zh) | 2019-03-08 |
Family
ID=59715323
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710216597.7A Active CN107135203B (zh) | 2017-04-05 | 2017-04-05 | 一种终端访问控制策略优化的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107135203B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110278237A (zh) * | 2018-03-18 | 2019-09-24 | 江苏智慧新吴信息科技有限公司 | 一种多维数据组合策略引擎 |
CN110417777B (zh) * | 2019-07-29 | 2021-05-14 | 中国银联股份有限公司 | 一种优化的微服务间通信的方法及装置 |
CN110891025B (zh) * | 2019-10-31 | 2022-04-05 | 上海众链科技有限公司 | 获取应用程序对端目的地址的系统和方法 |
CN111314165B (zh) * | 2019-12-18 | 2022-02-01 | 上海米哈游天命科技有限公司 | 一种游戏服务器确定方法、装置、服务器和介质 |
CN112788368B (zh) * | 2020-12-23 | 2022-11-04 | 杭州海康威视系统技术有限公司 | 取流控制方法和用于提供视频流媒体服务的平台装置 |
CN114338139B (zh) * | 2021-12-27 | 2023-03-24 | 北京安博通科技股份有限公司 | 一种上网行为管理支持终端类型控制的方法 |
CN117097573B (zh) * | 2023-10-19 | 2024-01-30 | 深圳竹云科技股份有限公司 | 一种零信任安全体系下的防火墙动态访问控制方法及装置 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701784A (zh) * | 2013-12-17 | 2014-04-02 | 迈普通信技术股份有限公司 | 一种主机防护方法 |
Family Cites Families (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2004006061A2 (en) * | 2002-07-03 | 2004-01-15 | University Of Florida | Dynamic ip router tables using highest-priority matching |
CN101459576B (zh) * | 2007-12-14 | 2013-07-17 | 上海博达数据通信有限公司 | 一种ip acl归并优化处理的实现方法 |
CN101909298B (zh) * | 2010-07-15 | 2012-12-26 | 优视科技有限公司 | 无线网络安全接入控制方法和装置 |
US8448231B2 (en) * | 2010-10-05 | 2013-05-21 | Guest Tek Interactive Entertainment Ltd. | Walled garden system for providing access to one or more websites that incorporate content from other websites and method thereof |
CN103220287B (zh) * | 2013-04-11 | 2016-12-28 | 汉柏科技有限公司 | 利用acl对报文进行业务匹配的方法 |
CN103581363B (zh) * | 2013-11-29 | 2017-12-12 | 哈尔滨工业大学(威海) | 对恶意域名和非法访问的控制方法及装置 |
US9467453B2 (en) * | 2014-02-19 | 2016-10-11 | Qualcomm Incorporated | Network access and control for mobile devices |
CN105721406A (zh) * | 2014-12-05 | 2016-06-29 | 中国移动通信集团广东有限公司 | 一种获取ip黑名单的方法和装置 |
-
2017
- 2017-04-05 CN CN201710216597.7A patent/CN107135203B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103701784A (zh) * | 2013-12-17 | 2014-04-02 | 迈普通信技术股份有限公司 | 一种主机防护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107135203A (zh) | 2017-09-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107135203B (zh) | 一种终端访问控制策略优化的方法及系统 | |
US10630645B1 (en) | Private network request forwarding | |
CN103597787B (zh) | 终端、控制装置、通信方法、通信系统、通信模块以及信息处理装置 | |
CN104468624B (zh) | Sdn控制器、路由/交换设备及网络防御方法 | |
CN106067890B (zh) | 一种域名解析方法、装置及系统 | |
CN102075537B (zh) | 一种实现虚拟机间数据传输的方法和系统 | |
CN101610296B (zh) | 一种网络地址转换出接口均衡方法和装置 | |
CN105960782B (zh) | 用于转发数据分组的接入节点设备 | |
KR20130079525A (ko) | 단말, 제어 장치, 통신 방법, 통신 시스템, 통신 모듈, 프로그램 및 정보 처리 장치 | |
CN103179100B (zh) | 一种防止域名系统隧道攻击的方法及设备 | |
EP3226509B1 (en) | Dynamic prioritization of network traffic based on reputation | |
CN107819732A (zh) | 用户终端访问本地网络的方法和装置 | |
RU2013143020A (ru) | Система связи, база данных, устройство управления, способ связи и программа | |
CN103858381A (zh) | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 | |
CN103493442A (zh) | 终端、控制设备、通信方法、通信系统、通信模块、程序以及信息处理设备 | |
US10057165B2 (en) | Packet forwarding method and device | |
US10038763B2 (en) | Method and apparatus for detecting network protocols | |
CN109286630B (zh) | 等保处理方法、装置、设备及存储介质 | |
Jakaria et al. | Dynamic ddos defense resource allocation using network function virtualization | |
US20220006782A1 (en) | Efficient matching of feature-rich security policy with dynamic content using user group matching | |
KR20210106896A (ko) | 보안 통제 관리 시스템 및 그 방법 | |
CN108199965B (zh) | Flow spec表项下发方法、网络设备、控制器及自治系统 | |
KR101369980B1 (ko) | 이기종 네트워크 기반 데이터 동시 전송 서비스 방법 및 이에 적용되는 장치 | |
CN108833410A (zh) | 一种针对HTTP Flood攻击的防护方法及系统 | |
CN103685021B (zh) | 数据传输方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |