CN109218324A - 一种基于流量统计的扩展访问控制方法 - Google Patents

一种基于流量统计的扩展访问控制方法 Download PDF

Info

Publication number
CN109218324A
CN109218324A CN201811138824.XA CN201811138824A CN109218324A CN 109218324 A CN109218324 A CN 109218324A CN 201811138824 A CN201811138824 A CN 201811138824A CN 109218324 A CN109218324 A CN 109218324A
Authority
CN
China
Prior art keywords
access control
traffic statistics
method based
control method
matched
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811138824.XA
Other languages
English (en)
Inventor
杨贵永
韩德亮
吴登勇
王则陆
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong Chaoyue CNC Electronics Co Ltd
Original Assignee
Shandong Chaoyue CNC Electronics Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong Chaoyue CNC Electronics Co Ltd filed Critical Shandong Chaoyue CNC Electronics Co Ltd
Priority to CN201811138824.XA priority Critical patent/CN109218324A/zh
Publication of CN109218324A publication Critical patent/CN109218324A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Environmental & Geological Engineering (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及网络安全技术领域,特别涉及一种基于流量统计的扩展访问控制方法,本发明的一种基于流量统计的扩展访问控制方法,其在访问控制规则的基础上,提取相应流量的统计信息,进一步扩展了访问控制列表,提高了访问控制的灵活性以及网络设备的安全性。

Description

一种基于流量统计的扩展访问控制方法
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于流量统计的扩展访问控制方法。
背景技术
为了保障网络通信的安全性,需要通过一些安全策略来保障非授权用户只能访问特定的网络资源,从而实现对网络合理有效的访问控制。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制列表不但可以起到控制网络流量、流向的作用,而且在很大程度上起到保护网络设备、服务器的关键作用。作为外网进入企业内网的第一道关卡,路由器上的访问控制列表成为保护内网安全的有效手段。
此外,在路由器的许多其他配置任务中都需要使用访问控制列表,如网络地址转换(Network Address Translation,NAT)、按需拨号路由(Dial on Demand Routing,DDR)、路由重分布(Routing Redistribution)、策略路由(Policy-Based Routing,PBR)等很多场合都需要访问控制列表。
现有技术下,对于访问控制列表的应用还局限在以上基本的手段上,可以匹配的规则有限,只能进行相对粗略的过滤,控制的灵活度不够,导致设备安全性降低。
发明内容
为了解决现有技术的问题,本发明提供了一种基于流量统计的扩展访问控制方法,其在访问控制规则的基础上,提取相应流量的统计信息,进一步扩展了访问控制列表,提高了访问控制的灵活性以及网络设备的安全性。
本发明所采用的技术方案如下:
一种基于流量统计的扩展访问控制方法,包括以下步骤:
A、当数据包流经网络设备的端口时,首先对数据包进行包头信息处理;
B、判断所述端口是否开启了访问控制功能,如果开启,进入步骤C,否则直接进入步骤G;
C、对数据包进行访问控制列表规则匹配,如果匹配到,进入步骤D,否则,重复步骤C,继续匹配下一条规则;
D、判断用户是否开启了基于流量统计的访问控制,如果开启,进入步骤E,否则进入步骤F;
E、计算匹配到访问控制列表规则的流量统计信息,并继续与用户配置进行匹配,如果匹配到,则执行相应的动作,进入步骤G,否则,返回步骤C,继续匹配下一条规则;
F、执行步骤C匹配规则对应的动作,然后进入步骤G;
G、结束对数据包的访问控制规则匹配。
流量统计信息包括总流量或平均流量。
流量统计信息基于byte或packet的流量统计。
步骤A中,包头信息为第三层或第四层包头信息,包括源地址,目的地址,源端口或目的端口。
本发明提供的技术方案带来的有益效果是:
ACL通过提取流经网络设备的数据包的第三层及第四层包头的信息,如源地址,目的地址,源端口,目的端口等,与定义好的访问规则进行匹配,来决定经过某个网络设备端口的数据包是被接受、拒绝、还是重定向等,从而实现数据包的过滤。
ACL可以有效地在三层上控制用户对网络资源的访问,既可以基于网络设备之间,也可以基于网段进行相应的访问控制管理。通过实施ACL,可以有效地部署企业网络出入网策略,也可以用来控制对局域网内部资源的访问能力,保障资源安全性。
因此,ACL提供了网络安全访问的基本手段,它可以帮助管理员进一步规划网络连通关系,提升网络性能。
ACL通常分为标准访问控制和扩展访问控制。由于标准访问控制可以匹配的规则有限,只能进行相对粗略的过滤,所以实际应用当中常常使用ACL扩展匹配,进行更精确灵活的访问控制。
按照用户设定的过滤规则划分流量类型,根据用户的配置对每种类型的流量进行统计,再基于流量统计结果进行访问规则的进一步设定,可以扩展访问控制的过滤方法,进一步细化网络流量的分类,提高访问控制的灵活性,减少不必要的流量冲突和CPU计算,提高网络设备的性能和安全性。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明的一种基于流量统计的扩展访问控制方法的控制流程图;
图2为本发明的一种基于流量统计的扩展访问控制方法中,基于流量统计的访问控制规则匹配的原理图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
本实施例的一种基于流量统计的扩展访问控制方法,包括以下步骤:
1、当数据包流经网络设备某端口时,首先对数据包进行标准的二三层处理;
2、判断该端口是否开启了访问控制功能,如果开启,进入步骤3,否则直接进入步骤7;
3、对数据包进行ACL规则匹配,如果匹配到,进入步骤4,否则,重复步骤3,继续匹配下一条规则;
4、判断用户是否开启了基于流量统计的访问控制,如果开启,进入步骤5,否则进入步骤6;
5、计算匹配到ACL规则的流量统计信息,包括总流量或平均流量、基于byte或packet的流量统计,并继续与用户配置进行匹配,如果匹配到,则执行相应的动作,进入步骤7,否则,返回步骤3,继续匹配下一条规则;
6、执行步骤3匹配规则对应的动作,然后进入步骤7;
7、结束对数据包的访问控制规则匹配。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (4)

1.一种基于流量统计的扩展访问控制方法,包括以下步骤:
A、当数据包流经网络设备的端口时,首先对数据包进行包头信息处理;
B、判断所述端口是否开启了访问控制功能,如果开启,进入步骤C,否则直接进入步骤G;
C、对数据包进行访问控制列表规则匹配,如果匹配到,进入步骤D,否则,重复步骤C,继续匹配下一条规则;
D、判断用户是否开启了基于流量统计的访问控制,如果开启,进入步骤E,否则进入步骤F;
E、计算匹配到访问控制列表规则的流量统计信息,并继续与用户配置进行匹配,如果匹配到,则执行相应的动作,进入步骤G,否则,返回步骤C,继续匹配下一条规则;
F、执行步骤C匹配规则对应的动作,然后进入步骤G;
G、结束对数据包的访问控制规则匹配。
2.根据权利要求1所述的一种基于流量统计的扩展访问控制方法,其特征在于,所述的流量统计信息包括总流量或平均流量。
3.根据权利要求2所述的一种基于流量统计的扩展访问控制方法,其特征在于,所述的流量统计信息基于byte或packet的流量统计。
4.根据权利要求1所述的一种基于流量统计的扩展访问控制方法,其特征在于,所述的步骤A中,包头信息为第三层或第四层包头信息,包括源地址,目的地址,源端口或目的端口。
CN201811138824.XA 2018-09-28 2018-09-28 一种基于流量统计的扩展访问控制方法 Pending CN109218324A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811138824.XA CN109218324A (zh) 2018-09-28 2018-09-28 一种基于流量统计的扩展访问控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811138824.XA CN109218324A (zh) 2018-09-28 2018-09-28 一种基于流量统计的扩展访问控制方法

Publications (1)

Publication Number Publication Date
CN109218324A true CN109218324A (zh) 2019-01-15

Family

ID=64982034

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811138824.XA Pending CN109218324A (zh) 2018-09-28 2018-09-28 一种基于流量统计的扩展访问控制方法

Country Status (1)

Country Link
CN (1) CN109218324A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110311838A (zh) * 2019-07-24 2019-10-08 北京神州绿盟信息安全科技股份有限公司 一种安全服务流量统计的方法及装置

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103023794A (zh) * 2012-12-06 2013-04-03 苏州阔地网络科技有限公司 一种数据流控制的方法及系统
US9497119B2 (en) * 2014-05-22 2016-11-15 International Business Machines Corporation Supporting access control list rules that apply to TCP segments belonging to ‘established’ connection
CN106302306A (zh) * 2015-05-11 2017-01-04 中兴通讯股份有限公司 一种基于访问控制列表acl的流量统计方法及装置

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103023794A (zh) * 2012-12-06 2013-04-03 苏州阔地网络科技有限公司 一种数据流控制的方法及系统
US9497119B2 (en) * 2014-05-22 2016-11-15 International Business Machines Corporation Supporting access control list rules that apply to TCP segments belonging to ‘established’ connection
CN106302306A (zh) * 2015-05-11 2017-01-04 中兴通讯股份有限公司 一种基于访问控制列表acl的流量统计方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110311838A (zh) * 2019-07-24 2019-10-08 北京神州绿盟信息安全科技股份有限公司 一种安全服务流量统计的方法及装置

Similar Documents

Publication Publication Date Title
CN103650436B (zh) 业务路径分配方法、路由器和业务执行实体
CN101111053B (zh) 移动网络中防御网络攻击的系统和方法
CN105791047B (zh) 一种安全视频专网网络管理系统的控制方法
CN105847300B (zh) 企业网络边界设备拓扑结构的可视化方法及装置
CN102195819A (zh) 一种网络设备及其业务流量监管方法
CN104185181A (zh) 一种基于iptables的WiFi用户接入控制方法
CN100438427C (zh) 网络控制方法和设备
Daly The legality of deep packet inspection
CN103036810A (zh) 基于多外网出口的外网访问控制方法及接入设备
CN105187380A (zh) 一种安全访问方法及系统
US7225255B2 (en) Method and system for controlling access to network resources using resource groups
CN105592141B (zh) 一种连接数控制方法及装置
CN103795736B (zh) 针对移动终端不同联网通道的防火墙联网系统
Alsmadi The integration of access control levels based on SDN
US20030084317A1 (en) Reverse firewall packet transmission control system
CN109218324A (zh) 一种基于流量统计的扩展访问控制方法
CN108366068A (zh) 一种软件定义网络下基于策略语言的云端网络资源管理控制系统
JP2023516555A (ja) ネットワークトラフィック分類においてユニバーサルターゲットを実装するためのシステムおよび方法
Griffioen et al. VIP Lanes: High-speed custom communication paths for authorized flows
Fernandez et al. A pattern language for firewalls
CN115051851B (zh) 物联网场景下的用户访问行为管控系统和方法
CN114978563B (zh) 一种封堵ip地址的方法及装置
Thakar et al. An approach to improve performance of a packet-filtering firewall
CN113507463A (zh) 一种零信任网络的构建方法
CN107623684B (zh) 利用abac模型控制网络服务组合的访问方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20190115

RJ01 Rejection of invention patent application after publication