CN109218324A - 一种基于流量统计的扩展访问控制方法 - Google Patents
一种基于流量统计的扩展访问控制方法 Download PDFInfo
- Publication number
- CN109218324A CN109218324A CN201811138824.XA CN201811138824A CN109218324A CN 109218324 A CN109218324 A CN 109218324A CN 201811138824 A CN201811138824 A CN 201811138824A CN 109218324 A CN109218324 A CN 109218324A
- Authority
- CN
- China
- Prior art keywords
- access control
- traffic statistics
- method based
- control method
- matched
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Environmental & Geological Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全技术领域,特别涉及一种基于流量统计的扩展访问控制方法,本发明的一种基于流量统计的扩展访问控制方法,其在访问控制规则的基础上,提取相应流量的统计信息,进一步扩展了访问控制列表,提高了访问控制的灵活性以及网络设备的安全性。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于流量统计的扩展访问控制方法。
背景技术
为了保障网络通信的安全性,需要通过一些安全策略来保障非授权用户只能访问特定的网络资源,从而实现对网络合理有效的访问控制。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
此外,在路由器的许多其他配置任务中都需要使用访问控制列表,如网络地址转换(Network Address Translation,NAT)、按需拨号路由(Dial on Demand Routing,DDR)、路由重分布(Routing Redistribution)、策略路由(Policy-Based Routing,PBR)等很多场合都需要访问控制列表。
现有技术下,对于访问控制列表的应用还局限在以上基本的手段上,可以匹配的规则有限,只能进行相对粗略的过滤,控制的灵活度不够,导致设备安全性降低。
发明内容
为了解决现有技术的问题,本发明提供了一种基于流量统计的扩展访问控制方法,其在访问控制规则的基础上,提取相应流量的统计信息,进一步扩展了访问控制列表,提高了访问控制的灵活性以及网络设备的安全性。
本发明所采用的技术方案如下:
一种基于流量统计的扩展访问控制方法,包括以下步骤:
A、当数据包流经网络设备的端口时,首先对数据包进行包头信息处理;
B、判断所述端口是否开启了访问控制功能,如果开启,进入步骤C,否则直接进入步骤G;
C、对数据包进行访问控制列表规则匹配,如果匹配到,进入步骤D,否则,重复步骤C,继续匹配下一条规则;
D、判断用户是否开启了基于流量统计的访问控制,如果开启,进入步骤E,否则进入步骤F;
E、计算匹配到访问控制列表规则的流量统计信息,并继续与用户配置进行匹配,如果匹配到,则执行相应的动作,进入步骤G,否则,返回步骤C,继续匹配下一条规则;
F、执行步骤C匹配规则对应的动作,然后进入步骤G;
G、结束对数据包的访问控制规则匹配。
流量统计信息包括总流量或平均流量。
流量统计信息基于byte或packet的流量统计。
步骤A中,包头信息为第三层或第四层包头信息,包括源地址,目的地址,源端口或目的端口。
本发明提供的技术方案带来的有益效果是:
ACL通过提取流经网络设备的数据包的第三层及第四层包头的信息,如源地址,目的地址,源端口,目的端口等,与定义好的访问规则进行匹配,来决定经过某个网络设备端口的数据包是被接受、拒绝、还是重定向等,从而实现数据包的过滤。
ACL可以有效地在三层上控制用户对网络资源的访问,既可以基于网络设备之间,也可以基于网段进行相应的访问控制管理。通过实施ACL,可以有效地部署企业网络出入网策略,也可以用来控制对局域网内部资源的访问能力,保障资源安全性。
因此,ACL提供了网络安全访问的基本手段,它可以帮助管理员进一步规划网络连通关系,提升网络性能。
ACL通常分为标准访问控制和扩展访问控制。由于标准访问控制可以匹配的规则有限,只能进行相对粗略的过滤,所以实际应用当中常常使用ACL扩展匹配,进行更精确灵活的访问控制。
按照用户设定的过滤规则划分流量类型,根据用户的配置对每种类型的流量进行统计,再基于流量统计结果进行访问规则的进一步设定,可以扩展访问控制的过滤方法,进一步细化网络流量的分类,提高访问控制的灵活性,减少不必要的流量冲突和CPU计算,提高网络设备的性能和安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种基于流量统计的扩展访问控制方法的控制流程图;
图2为本发明的一种基于流量统计的扩展访问控制方法中,基于流量统计的访问控制规则匹配的原理图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本实施例的一种基于流量统计的扩展访问控制方法,包括以下步骤:
1、当数据包流经网络设备某端口时,首先对数据包进行标准的二三层处理;
2、判断该端口是否开启了访问控制功能,如果开启,进入步骤3,否则直接进入步骤7;
3、对数据包进行ACL规则匹配,如果匹配到,进入步骤4,否则,重复步骤3,继续匹配下一条规则;
4、判断用户是否开启了基于流量统计的访问控制,如果开启,进入步骤5,否则进入步骤6;
5、计算匹配到ACL规则的流量统计信息,包括总流量或平均流量、基于byte或packet的流量统计,并继续与用户配置进行匹配,如果匹配到,则执行相应的动作,进入步骤7,否则,返回步骤3,继续匹配下一条规则;
6、执行步骤3匹配规则对应的动作,然后进入步骤7;
7、结束对数据包的访问控制规则匹配。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (4)
1.一种基于流量统计的扩展访问控制方法,包括以下步骤:
A、当数据包流经网络设备的端口时,首先对数据包进行包头信息处理;
B、判断所述端口是否开启了访问控制功能,如果开启,进入步骤C,否则直接进入步骤G;
C、对数据包进行访问控制列表规则匹配,如果匹配到,进入步骤D,否则,重复步骤C,继续匹配下一条规则;
D、判断用户是否开启了基于流量统计的访问控制,如果开启,进入步骤E,否则进入步骤F;
E、计算匹配到访问控制列表规则的流量统计信息,并继续与用户配置进行匹配,如果匹配到,则执行相应的动作,进入步骤G,否则,返回步骤C,继续匹配下一条规则;
F、执行步骤C匹配规则对应的动作,然后进入步骤G;
G、结束对数据包的访问控制规则匹配。
2.根据权利要求1所述的一种基于流量统计的扩展访问控制方法,其特征在于,所述的流量统计信息包括总流量或平均流量。
3.根据权利要求2所述的一种基于流量统计的扩展访问控制方法,其特征在于,所述的流量统计信息基于byte或packet的流量统计。
4.根据权利要求1所述的一种基于流量统计的扩展访问控制方法,其特征在于,所述的步骤A中,包头信息为第三层或第四层包头信息,包括源地址,目的地址,源端口或目的端口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811138824.XA CN109218324A (zh) | 2018-09-28 | 2018-09-28 | 一种基于流量统计的扩展访问控制方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811138824.XA CN109218324A (zh) | 2018-09-28 | 2018-09-28 | 一种基于流量统计的扩展访问控制方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN109218324A true CN109218324A (zh) | 2019-01-15 |
Family
ID=64982034
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811138824.XA Pending CN109218324A (zh) | 2018-09-28 | 2018-09-28 | 一种基于流量统计的扩展访问控制方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109218324A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110311838A (zh) * | 2019-07-24 | 2019-10-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全服务流量统计的方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023794A (zh) * | 2012-12-06 | 2013-04-03 | 苏州阔地网络科技有限公司 | 一种数据流控制的方法及系统 |
US9497119B2 (en) * | 2014-05-22 | 2016-11-15 | International Business Machines Corporation | Supporting access control list rules that apply to TCP segments belonging to ‘established’ connection |
CN106302306A (zh) * | 2015-05-11 | 2017-01-04 | 中兴通讯股份有限公司 | 一种基于访问控制列表acl的流量统计方法及装置 |
-
2018
- 2018-09-28 CN CN201811138824.XA patent/CN109218324A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103023794A (zh) * | 2012-12-06 | 2013-04-03 | 苏州阔地网络科技有限公司 | 一种数据流控制的方法及系统 |
US9497119B2 (en) * | 2014-05-22 | 2016-11-15 | International Business Machines Corporation | Supporting access control list rules that apply to TCP segments belonging to ‘established’ connection |
CN106302306A (zh) * | 2015-05-11 | 2017-01-04 | 中兴通讯股份有限公司 | 一种基于访问控制列表acl的流量统计方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110311838A (zh) * | 2019-07-24 | 2019-10-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种安全服务流量统计的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
CN101111053B (zh) | 移动网络中防御网络攻击的系统和方法 | |
CN105791047B (zh) | 一种安全视频专网网络管理系统的控制方法 | |
CN105847300B (zh) | 企业网络边界设备拓扑结构的可视化方法及装置 | |
CN102195819A (zh) | 一种网络设备及其业务流量监管方法 | |
CN104185181A (zh) | 一种基于iptables的WiFi用户接入控制方法 | |
CN100438427C (zh) | 网络控制方法和设备 | |
Daly | The legality of deep packet inspection | |
CN103036810A (zh) | 基于多外网出口的外网访问控制方法及接入设备 | |
CN105187380A (zh) | 一种安全访问方法及系统 | |
US7225255B2 (en) | Method and system for controlling access to network resources using resource groups | |
CN105592141B (zh) | 一种连接数控制方法及装置 | |
CN103795736B (zh) | 针对移动终端不同联网通道的防火墙联网系统 | |
Alsmadi | The integration of access control levels based on SDN | |
US20030084317A1 (en) | Reverse firewall packet transmission control system | |
CN109218324A (zh) | 一种基于流量统计的扩展访问控制方法 | |
CN108366068A (zh) | 一种软件定义网络下基于策略语言的云端网络资源管理控制系统 | |
JP2023516555A (ja) | ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法 | |
Griffioen et al. | VIP Lanes: High-speed custom communication paths for authorized flows | |
Fernandez et al. | A pattern language for firewalls | |
CN115051851B (zh) | 物联网场景下的用户访问行为管控系统和方法 | |
CN114978563B (zh) | 一种封堵ip地址的方法及装置 | |
Thakar et al. | An approach to improve performance of a packet-filtering firewall | |
CN113507463A (zh) | 一种零信任网络的构建方法 | |
CN107623684B (zh) | 利用abac模型控制网络服务组合的访问方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190115 |
|
RJ01 | Rejection of invention patent application after publication |