CN110868402A - Ip地址封堵、解封堵方法及装置 - Google Patents
Ip地址封堵、解封堵方法及装置 Download PDFInfo
- Publication number
- CN110868402A CN110868402A CN201911036770.0A CN201911036770A CN110868402A CN 110868402 A CN110868402 A CN 110868402A CN 201911036770 A CN201911036770 A CN 201911036770A CN 110868402 A CN110868402 A CN 110868402A
- Authority
- CN
- China
- Prior art keywords
- address
- information
- deblocking
- deblocked
- blocking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明提供一种IP地址封堵、解封堵方法及装置,其中,该IP地址封堵方法包括:在收到封堵触发指令时,获取待封堵的IP地址信息;根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令;根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作。上述技术方案实现了高效准确地对IP地址进行封堵、解封堵,提高了IP地址封堵、解封堵的效率和准确率。
Description
技术领域
本发明涉及IP地址处理技术领域,特别涉及一种IP地址封堵、解封堵方法及装置。
背景技术
在互联网规模日益庞大、互联网安全问题日益复杂的今天,经常会发生非法攻击行为。为了快速截断非法攻击对网络产生的影响,需要及时禁止非法用户或非法攻击源头对网络的访问,IP地址封堵就是通过网络技术使特定IP地址丧失与其它IP的通信功能,对互联网来说也就是阻止其上网。IP地址解封堵的情况则相反。
目前,IP地址封堵、解封堵采用人工操作方式,不仅费时费力,而且可能因为操作错误或失误造成网络中断,甚至引起大面积网络瘫痪和用户投诉的情况,对运营商而言可谓重大故障,进而产生不可估量的影响和损失。
针对上述问题,目前尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种IP地址封堵方法,用以高效准确地对IP地址进行封堵,该方法包括:
在收到封堵触发指令时,获取待封堵的IP地址信息;
根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令;
根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作。
本发明实施例提供了一种IP地址解封堵方法,用以高效准确地对IP地址进行解封堵,该方法包括:
在收到解封堵触发指令时,获取待解封堵的IP地址信息;
根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令;
根据待解封堵的设备信息,登录待解封堵的设备,根据所述预配置解封堵操作命令,执行IP地址解封堵操作。
本发明实施例提供了一种IP地址封堵装置,用以高效准确地对IP地址进行封堵,该装置包括:
第一获取单元,用于在收到封堵触发指令时,获取待封堵的IP地址信息;
第一确定单元,用于根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令;
封堵单元,用于根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作。
本发明实施例提供了一种IP地址解封堵装置,用以高效准确地对IP地址进行解封堵,该装置包括:
第二获取单元,用于在收到解封堵触发指令时,获取待解封堵的IP地址信息;
第二确定单元,用于根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令;
解封堵单元,用于根据待解封堵的设备信息,登录待解封堵的设备,根据所述预配置解封堵操作命令,执行IP地址解封堵操作。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述IP地址封堵、解封堵方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述IP地址封堵、解封堵方法的计算机程序。
本发明实施例提供的技术方案:
第一,通过:在收到封堵触发指令时,获取待封堵的IP地址信息;根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令;根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作,实现了高效准确地对IP地址进行封堵,提高了IP地址封堵的效率和准确率。
第二,通过:在收到解封堵触发指令时,获取待解封堵的IP地址信息;根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令;根据待解封堵的设备信息,登录待解封堵的设备,根据所述预配置解封堵操作命令,执行IP地址解封堵操作,实现了高效准确地对IP地址进行解封堵,提高了IP地址解封堵的效率和准确率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中IP地址封堵方法的流程示意图;
图2是本发明另一实施例中IP地址封堵方法的流程示意图;
图3A是本发明实施例中封堵操作界面的示意图;
图3B是本发明实施例中封堵操作配置预览的示意图;
图4是本发明实施例中查询白名单的界面示意图;
图5是本发明实施例中单个白名单IP维护的界面示意图;
图6是本发明实施例中黑名单批量导入的界面示意图;
图7是本发明实施例中查询历史封堵日志的查询条件界面示意图;
图8是本发明实施例中查询历史封堵日志的查询结果界面示意图;
图9是本发明实施例中解封堵操作的界面示意图;
图10是本发明实施例中解封的配置预览结果的界面示意图;
图11是本发明实施例中查询IP地址封堵状态的界面示意图;
图12是本发明实施例中IP地址封堵状态查询结果的界面示意图;
图13是本发明实施例中已封堵IP查询的界面示意图;
图14是本发明实施例中IP地址解封堵方法的流程示意图;
图15是本发明实施例中IP地址封堵装置的结构示意图;
图16是本发明实施例中IP地址解封堵装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
发明人发现现有技术中存在的技术问题,并且发现随着人工封堵、解封堵操作方式弊端的日益加剧,实现高效准确地进行IP地址封堵、解封堵就成了迫切的需求。于是发明人提出了一种IP地址封堵、解封堵方案,该方案实现了在城域网中针对IP地址的自动化封堵和解封堵功能,并提供了一整套完善的封堵、解封堵操作解决方案。为了简化描述,下文中的封堵和解封堵两种操作的方案命名为自动化封堵工具。自动化封堵工具旨在减轻人工工作量、提高封堵效率达成封堵的自动化、准确性和可靠性目标;实现封堵操作日志记录,保证操作可查询、可审计。自动化封堵工具可以包括如下功能:
·封堵的触发:可以针对IP地址、IP地址段、域名、业务端口进行封堵。封堵操作的触发可以是自动工单接口,也可以是在可视化界面发起的批量即时操作。
·黑白名单维护:动态维护可封堵以及不可封堵的IP地址范围。
·封堵诊断:可以实时查询具体IP当前封堵状态。
·已封堵IP查询:动态掌握当前所有已封堵IP地址情况。
下面对该IP地址封堵、解封堵方案进行详细介绍如下。
首先介绍IP地址封堵方案,为了便于理解,在该IP地址封堵方案介绍的过程中,同时介绍了解封堵方案。图1是本发明实施例中IP地址封堵方法的流程示意图,如图1所示,该封堵方法包括如下步骤:
步骤101:在收到封堵触发指令时,获取待封堵的IP地址信息;
步骤102:根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令;
步骤103:根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作。
本发明实施例提供的IP地址封堵方法实现了高效准确地对IP地址进行封堵,提高了IP地址封堵的效率和准确率。
下面结合附图2至图13,对本发明实施例提供的IP地址封堵方法涉及的各个步骤进行详细介绍如下。
一、首先,介绍上述步骤101。
在一个实施例中,封堵触发指令可以通过自动工单接口或在可视化界面发起。
具体实施时,可以针对IP地址、IP地址段、域名、业务端口进行封堵。封堵操作的触发可以是自动工单接口,也可以是在可视化界面发起的批量即时操作,实现了操作的实时性和便捷性:无论通过接口下发工单触发还是手工即时发起封堵,都是实时操作、实时反馈。
具体实施时,可以设计GUI界面(可视化界面),允许用户通过该GUI界面,即封堵操作界面实时发起封堵操作,该封堵操作界面参见附图3A所示。用户界面也可以用于以直观方式呈现执行封堵操作的结果。
具体实施时,可以通过图3A所示封堵操作界面实时发起封堵操作,触发IP地址封堵操作,通过该触发指令,可以获取待封堵的IP地址信息(如图2所示的IP地址范围等参数信息),该IP地址信息可以包括:IP地址范围(包括单个IP、IP区间、IP网段、域名、业务端口),以及IP地址类型(公网/私网)等。
具体实施时,用户可以通过封堵操作界面录入要封堵IP段及相关的封堵原因(应用场景主要就是封堵原因,为封堵路由标记处封堵的应用场景),录入下文提到的配置参数(待封堵的IP地址信息),并发起封堵操作下发,可以通过点击执行封堵进行主动封堵,系统在当前页面显示封堵操作配置预览,如图3B所示。
在一个实施例中,如图2所示,在收到封堵触发指令时,获取待封堵的IP地址信息,之后可以包括:判断IP是否域名,若是的话需要通过域名解析将域名转换为对应的IP地址。
二、其次,介绍上述步骤102。
1、首先介绍预先配置封堵操作命令而得到上述预配置封堵操作命令的步骤。
具体实施时,结合现网配置和实际应用场景,梳理封堵流程和需要进行封堵操作的城域网设备。现网配置情况包括网络中各设备的位置及具体配置,主要包含ACL(访问控制列表,Access Control List)配置以及路由配置等。梳理现网配置主要是为了明确封堵逻辑以及对应城域网CR(核心路由器,Core Router)出口路由器。梳理进行封堵操作的配置参数,例如IP地址范围(包括单个IP、IP区间、IP网段、域名)、IP地址类型(公网/私网)。
在一个实施例中,预配置封堵操作命令可以以配置模板的形式呈现。
具体实施时,梳理进行封堵操作的配置命令(预配置封堵操作命令),生成配置模板,命令模板示例如下。
(1)华为设备配置命令模板示例:
#查询黑洞路由
display cu|include ip route-static X.X.X.X 255.255.255.255#blocked_ip
#添加黑洞路由
ip route-static X.X.X.X 255.255.255.255NULL0 deszidongfengdu20190305#blocked_ip、当前年月日
#删除黑洞路由
undo ip route-static X.X.X.X 255.255.255.255NULL0#blocked_ip。
(2)思科设备配置命令模板示例
封堵/解封配置脚本如下:
conf
router
static-route X.X.X.X 255.255.255.255next-hop 202.105.0.110tag 120---封堵
no static-route X.X.X.X 255.255.255.255next-hop 202.105.0.110tag120---解封
exit
exit
admin sa。
(3)Juniper设备配置命令模板示例
封堵配置脚本如下:
configure————【进入配置模式】
set routing-options static route<BlockIPSec>discard————【配置本地封堵】
set routing-options static route<BlockIPSec>tag<NextHopTag>————【标记路由】
commit————【提交保存配置】
exit————【退出配置模式】。
2、其次介绍根据待封堵的IP地址信息,确定待封堵的设备信息以及上述预配置封堵操作命令的步骤。
具体实施时,如图2所示,收到下发请求(封堵操作请求)后,根据配置参数,确定实际需要下发的IP地址范围、需要封堵的业务端口、需要进行配置下发的设备、设备对应的配置命令(预配置封堵操作命令)模板,具体地,可以通过可以通过一一匹配的方式进行确定。
三、接着,介绍上述步骤103。
具体实施时,根据上述步骤102确定的待封堵的设备信息,登录待封堵的设备,根据上述步骤102确定的预配置封堵操作命令,执行IP地址封堵操作,记录执行操作日志,并将执行结果返回用户界面(GUI界面),用户界面以直观方式呈现执行操作结果。
基于以上3个配置模板的示例(预配置封堵操作命)可知,封堵的基本逻辑是通过在出口路由器CR上对封堵路由进行打tag(标签)的方式实现封堵解封。在CR路由器上对路由打tag,打了tag的路由下一跳指向黑洞路由,并且由于各个CR之间BGP(边界网关协议)互通,封堵路由打tag以后,通过BGP播布到其余CR路由器,以达到封堵路由不能出城域网的目的。
在一个实施例中,根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作,可以包括:
根据待封堵的设备信息,登录待封堵的设备;
获取待封堵设备的当前IP地址状态;
在当前IP地址状态为未封堵状态时,根据所述预配置封堵操作命令,执行IP地址封堵操作。
在一个实施例中,上述IP地址封堵方法,还可以包括:在当前IP地址状态为封堵状态时,发出无需执行封堵操作的反馈信息。
具体实施时,如图2所示,根据IP归属、IP类型获取需要下发的设备集合,遍历待封堵操作设备,逐一执行下述逻辑:登录设备,获取IP当前状态。若当前状态是已封堵、当前操作是封堵,则返回“当前已经是封堵状态无需再执行封堵”,记录操作日志并退出流程。否则,根据操作设备厂家调用对应配置命令模板执行下发操作(封堵操作)。同理,在进行解封堵操作时,若当前状态是已解封、当前操作是解封堵,则返回“当前已经是解封状态无需再执行解封堵”,记录操作日志并退出流程。否则,根据操作设备厂家调用对应配置命令模板执行下发操作(解封堵操作)。
四、接着,介绍在步骤101之后,黑白名单维护,动态维护可封堵以及不可封堵的IP地址范围的方案。
在一个实施例中,在收到封堵触发指令时,获取待封堵的IP地址信息,之后可以包括:
确定待封堵的IP地址信息是否在黑名单内;所述黑名单用于存储不允许执行封堵操作的IP地址信息;
在确定待封堵的IP地址信息在黑名单内时,发出不允许执行封堵操作的反馈信息。
在一个实施例中,上述IP地址封堵方法,还可以包括:
在确定待封堵的IP地址信息不在黑名单内时,确定待封堵的IP地址信息是否在白名单内;所述白名单用于存储允许执行封堵操作的IP地址信息;
根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令,包括:
在确定待封堵的IP地址信息在白名单内时,根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令。
在一个实施例中,上述IP地址封堵方法,还可以包括:在确定待封堵的IP地址信息不在白名单内时,发出不允许执行封堵操作的反馈信息。
具体实施时,黑白名单定义:白名单:可封堵IP,即白名单用于存储允许执行封堵操作的IP地址信息。黑名单:不可封堵IP,即黑名单用于存储不允许执行封堵操作的IP地址信息,黑名单优先。黑白名单维护:可以查询黑白名单数据,可以批量导入黑白名单,也可以单个加入黑白名单。
具体实施时,查询白名单,如图4所示;单个白名单IP维护,如图5所示;黑名单批量导入,如图6所示。
具体实施时,在上述判断IP是否域名获得对应的IP地址后,继续判断IP是否位于黑名单内,如果是,则不允许执行封堵/解封操作。记录操作日志并退出流程。继续判断IP是否位于白名单范围内,如果不是,则不允许执行封堵/解封操作。记录操作日志并退出流程。
具体实施时,用户可以在界面上针对IP地址范围进行黑白名单维护,以便程序下发时自动判定哪些地址需要封堵、哪些地址不能封堵。
综上,上述技术方案实现了智能判断IP地址的可封堵性:通过黑白名单、IP地址当前的封堵状态,智能判断是否可以封堵或解封,完全避免了可能的误操作,进一步提高了IP地址封堵的准确性。
五、接着,介绍封堵操作日志记录,保证操作可查询、可审计溯源,以及基于日志,针对封堵状态、封堵操作的执行情况、任意IP地址的封堵信息进行查询的方案。
1、首先介绍记录封堵日志的步骤。
具体实施时,为了解决操作日志难于收集和追溯的问题,发明人提出了封堵历史日志查询与管理:方便更好地对问题进行溯源的方案。在执行IP地址封堵方法的每一步,均记录IP地址封堵操作日志。
具体实施时,用户可以按城域网(必选)、被封堵IP地址、操作类型(包括封堵和解封堵)、开始时间(必选)、结束时间(必选)、封堵原因、执行状态、操作人等条件组合查询历史封堵日志,查询条件如图7所示。查询后可将结果导出为Excel,查询结果如图8所示。
具体实施时,针对查询结果,可以对已封堵的IP进行解封操作,对已解封的IP进行封堵操作,解封堵操作可以如图9所示,解封的配置预览结果示例如图10所示。
2、其次介绍基于上述封堵操作日志,针对封堵状态、封堵操作的执行情况、任意IP地址的封堵信息进行查询的方案。
在一个实施例中,上述IP地址封堵方法,还可以包括:
接收用户输入的IP地址封堵操作信息查询指令;
根据所述查询指令以及存储的IP地址封堵操作日志,反馈IP地址封堵操作信息;所述IP地址封堵操作信息包括:IP地址封堵状态、任意次IP地址封堵操作的执行信息、任意IP地址的封堵信息。
(1)首先介绍查询IP地址封堵状态的步骤。
具体实施时,实现了封堵诊断:可以实时查询具体IP当前封堵状态(当前IP地址状态),IP当前封堵状态可以包括:已封堵和未封堵。
具体实施时,用户录入IP地址范围(输入查询指令,可以如图11所示)后,可一键查询IP是否被封堵(IP地址封堵状态查询结果显示,可以如图12所示)。系统会实时登录操作设备,查询IP当前状态。
具体实施时,IP封堵状态的可追踪性:可以追踪具体IP地址何时做过封堵、何时做过解封,查看IP在某时间范围内的全部状态信息。
(2)其次介绍已封堵IP查询的步骤。
具体实施时,用户可以在界面上查询指定IP地址的封堵情况,动态掌握当前所有已封堵IP地址情况。具体地,用户可以通过录入IP地址的方式进行模糊查询,查询结果可导出为Excel。点击即时采集现网封堵IP按钮,可以手动更新现网封堵IP信息,可在查询页面结果中解封封堵IP,解封操作会被记录以供查询,示例如图13。
另外,用户还可以在界面上按IP等条件查询任意一次封堵操作的执行情况。
六、接着介绍批量执行IP地址封堵的方案。
在一个实施例中,如图2所示,根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令,可以包括:
根据待封堵的IP地址信息,确定待封堵的设备集合信息,以及每一设备对应的预配置封堵操作命令;
根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作,可以包括:
根据待封堵的设备集合信息,逐一登录每台待封堵的设备,根据每一设备对应的预配置封堵操作命令,执行IP地址封堵操作。
具体实施时,封堵操作下发的高效率:可批量下发单个IP地址集合、IP地址区间集合、IP地址网段集合。同时,需要配置的设备也是批量下发,进一步提高了P地址封堵、解封堵的效率。
综上,本发明实施例提供的技术方案结合现网配置,找出适合自动化封堵操作的控制模式和配置指令,可以快速实现一键封堵和自动封堵;并针对复杂的封堵场景,执行智能化封堵操作判断。从而大大提高了封堵操作的便捷性、实时性、可靠性。
基于同一发明构思,本发明实施例中还提供了一种IP地址解封堵方法,如下面的实施例所述。由于IP地址解封堵方法解决问题的原理与上述IP地址封堵方法相似,因此IP地址解封堵方法的实施可以参见上述IP地址封堵方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图14是本发明实施例中IP地址解封堵方法的流程示意图,如图14所示,该方法包括如下步骤:
步骤201:在收到解封堵触发指令时,获取待解封堵的IP地址信息;
步骤202:根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令;
步骤203:根据待解封堵的设备信息,登录待解封堵的设备,根据预配置解封堵操作命令,执行IP地址解封堵操作。
具体实施时,本发明实施例中IP地址解封堵方法的实施请参见上述IP地址封堵方法的实施。
在一个实施例中,在收到解封堵触发指令时,获取待解封堵的IP地址信息,之后可以包括:
确定待解封堵的IP地址信息是否在黑名单内;所述黑名单用于存储不允许执行解封堵操作的IP地址信息;
在确定待解封堵的IP地址信息在黑名单内时,发出不允许执行解封堵操作的反馈信息。
在一个实施例中,上述IP地址解封堵方法,还可以包括:
在确定待解封堵的IP地址信息不在黑名单内时,确定待解封堵的IP地址信息是否在白名单内;所述白名单用于存储允许执行解封堵操作的IP地址信息;
根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令,可以包括:
在确定待解封堵的IP地址信息在白名单内时,根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令。
在一个实施例中,上述IP地址解封堵方法,还可以包括:在确定待解封堵的IP地址信息不在白名单内时,发出不允许执行解封堵操作的反馈信息。
在一个实施例中,根据待解封堵的设备信息,登录待解封堵的设备,根据预配置解封堵操作命令,执行IP地址解封堵操作,可以包括:
根据待解封堵的设备信息,登录待解封堵的设备;
获取待解封堵设备的当前IP地址状态;
在当前IP地址状态为未解封堵状态时,根据预配置解封堵操作命令,执行IP地址解封堵操作。
在一个实施例中,上述IP地址解封堵方法,还可以包括:在当前IP地址状态为解封堵状态时,发出无需执行解封堵操作的反馈信息。
在一个实施例中,上述IP地址解封堵方法,还可以包括:接收用户输入的IP地址解封堵操作信息查询指令;
根据所述查询指令以及存储的IP地址解封堵操作日志,反馈IP地址解封堵操作信息;所述IP地址解封堵操作信息包括:IP地址解封堵状态、任意次IP地址解封堵操作的执行信息、任意IP地址的解封堵信息。
在一个实施例中,根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的解封堵操作命令,可以包括:
根据待解封堵的IP地址信息,确定待解封堵的设备集合信息,以及每一设备对应的预配置解封堵操作命令;
根据待解封堵的设备信息,登录待解封堵的设备,根据所述预配置解封堵操作命令,执行IP地址解封堵操作,可以包括:
根据待解封堵的设备集合信息,逐一登录每台待解封堵的设备,根据每一设备对应的预配置解封堵操作命令,执行IP地址解封堵操作。
基于同一发明构思,本发明实施例中还提供了一种IP地址封堵装置,如下面的实施例所述。由于IP地址封堵装置解决问题的原理与IP地址封堵方法相似,因此IP地址封堵装置的实施可以参见IP地址封堵方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图15是本发明实施例中IP地址封堵装置的结构示意图,如图15所示,该装置包括:
第一获取单元011,用于在收到封堵触发指令时,获取待封堵的IP地址信息;
第一确定单元012,用于根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令;
封堵单元013,用于根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作。
在一个实施例中,上述IP地址封堵装置还可以包括:
第一筛选单元,用于确定待封堵的IP地址信息是否在黑名单内;所述黑名单用于存储不允许执行封堵操作的IP地址信息;
第一反馈单元,用于在确定待封堵的IP地址信息在黑名单内时,发出不允许执行封堵操作的反馈信息。
在一个实施例中,上述IP地址封堵装置还可以包括:
第二筛选单元,用于在确定待封堵的IP地址信息不在黑名单内时,确定待封堵的IP地址信息是否在白名单内;所述白名单用于存储允许执行封堵操作的IP地址信息;
所述第一确定单元具体用于:在确定待封堵的IP地址信息在白名单内时,根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令。
在一个实施例中,上述IP地址封堵装置还可以包括:
第二反馈单元,用于在确定待封堵的IP地址信息不在白名单内时,发出不允许执行封堵操作的反馈信息。
在一个实施例中,上述封堵单元具体用于:
根据待封堵的设备信息,登录待封堵的设备;
获取待封堵设备的当前IP地址状态;
在当前IP地址状态为未封堵状态时,根据所述预配置封堵操作命令,执行IP地址封堵操作。
在一个实施例中,上述IP地址封堵装置还可以包括:
第三反馈单元,用于在当前IP地址状态为封堵状态时,发出无需执行封堵操作的反馈信息。
在一个实施例中,上述IP地址封堵装置还可以包括:
第一接收单元,用于接收用户输入的IP地址封堵操作信息查询指令;
第一查询反馈单元,用于根据所述查询指令以及存储的IP地址封堵操作日志,反馈IP地址封堵操作信息;所述IP地址封堵操作信息包括:IP地址封堵状态、任意次IP地址封堵操作的执行信息、任意IP地址的封堵信息。
在一个实施例中,第一确定单元具体可以用于:
根据待封堵的IP地址信息,确定待封堵的设备集合信息,以及每一设备对应的预配置封堵操作命令;
封堵单元具体可以用于:
根据待封堵的设备集合信息,逐一登录每台待封堵的设备,根据每一设备对应的预配置封堵操作命令,执行IP地址封堵操作。
基于同一发明构思,本发明实施例中还提供了一种IP地址解封堵装置,如下面的实施例所述。由于IP地址解封堵装置解决问题的原理与上述IP地址封堵方法相似,因此IP地址解封堵装置的实施可以参见上述IP地址封堵方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图16是本发明实施例中IP地址解封堵装置的结构示意图,如图16所示,该装置包括:
第二获取单元021,用于在收到解封堵触发指令时,获取待解封堵的IP地址信息;
第二确定单元022,用于根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令;
解封堵单元023,用于根据待解封堵的设备信息,登录待解封堵的设备,根据所述预配置解封堵操作命令,执行IP地址解封堵操作。
在一个实施例中,上述IP地址解封堵装置还可以包括:
第三筛选单元,用于确定待解封堵的IP地址信息是否在黑名单内;所述黑名单用于存储不允许执行解封堵操作的IP地址信息;
第四反馈单元,用于在确定待解封堵的IP地址信息在黑名单内时,发出不允许执行解封堵操作的反馈信息。
在一个实施例中,上述IP地址解封堵装置还可以包括:
第四筛选单元,用于在确定待解封堵的IP地址信息不在黑名单内时,确定待解封堵的IP地址信息是否在白名单内;所述白名单用于存储允许执行解封堵操作的IP地址信息;
所述第二确定单元具体用于:在确定待解封堵的IP地址信息在白名单内时,根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令。
在一个实施例中,上述IP地址解封堵装置还可以包括:第五反馈单元,用于在确定待解封堵的IP地址信息不在白名单内时,发出不允许执行解封堵操作的反馈信息。
在一个实施例中,解封堵单元具体可以用于:
根据待解封堵的设备信息,登录待解封堵的设备;
获取待解封堵设备的当前IP地址状态;
在当前IP地址状态为未解封堵状态时,根据预配置解封堵操作命令,执行IP地址解封堵操作。
在一个实施例中,上述IP地址解封堵装置还可以包括:
第六反馈单元,用于在当前IP地址状态为解封堵状态时,发出无需执行解封堵操作的反馈信息。
在一个实施例中,上述IP地址解封堵装置还可以包括:
第二接收单元,用于接收用户输入的IP地址解封堵操作信息查询指令;
第二查询反馈单元,用于根据所述查询指令以及存储的IP地址解封堵操作日志,反馈IP地址解封堵操作信息;所述IP地址解封堵操作信息包括:IP地址解封堵状态、任意次IP地址解封堵操作的执行信息、任意IP地址的解封堵信息。
在一个实施例中,上述第二确定单元具体可以用于:
根据待解封堵的IP地址信息,确定待解封堵的设备集合信息,以及每一设备对应的预配置解封堵操作命令;
上述解封堵单元具体可以用于:
根据待解封堵的设备集合信息,逐一登录每台待解封堵的设备,根据每一设备对应的预配置解封堵操作命令,执行IP地址解封堵操作。
综上,本发明实施例提供的技术方案通过一整套自动化封堵管理工具包,实现了封堵、解封堵操作的全方位管理,解决了手工封堵、解封堵,效率低、易误操作且操作繁复、操作日志难于收集和追溯、封堵、解封堵状态查询麻烦等痛点。
本发明实施例还提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述IP地址封堵、解封堵方法。
本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有执行上述IP地址封堵、解封堵方法的计算机程序。
本发明实施例提供技术方案的有益技术效果是:实现了高效准确地对IP地址进行封堵、解封堵,提高了IP地址封堵、解封堵的效率和准确率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明实施例可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (17)
1.一种IP地址封堵方法,其特征在于,包括:
在收到封堵触发指令时,获取待封堵的IP地址信息;
根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令;
根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作。
2.如权利要求1所述的IP地址封堵方法,其特征在于,在收到封堵触发指令时,获取待封堵的IP地址信息,之后包括:
确定待封堵的IP地址信息是否在黑名单内;所述黑名单用于存储不允许执行封堵操作的IP地址信息;
在确定待封堵的IP地址信息在黑名单内时,发出不允许执行封堵操作的反馈信息。
3.如权利要求2所述的IP地址封堵方法,其特征在于,还包括:
在确定待封堵的IP地址信息不在黑名单内时,确定待封堵的IP地址信息是否在白名单内;所述白名单用于存储允许执行封堵操作的IP地址信息;
根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令,包括:
在确定待封堵的IP地址信息在白名单内时,根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令。
4.如权利要求1所述的IP地址封堵方法,其特征在于,根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作,包括:
根据待封堵的设备信息,登录待封堵的设备;
获取待封堵设备的当前IP地址状态;
在当前IP地址状态为未封堵状态时,根据所述预配置封堵操作命令,执行IP地址封堵操作。
5.一种IP地址解封堵方法,其特征在于,包括:
在收到解封堵触发指令时,获取待解封堵的IP地址信息;
根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令;
根据待解封堵的设备信息,登录待解封堵的设备,根据所述预配置解封堵操作命令,执行IP地址解封堵操作。
6.如权利要求5所述的IP地址解封堵方法,其特征在于,在收到解封堵触发指令时,获取待解封堵的IP地址信息,之后包括:
确定待解封堵的IP地址信息是否在黑名单内;所述黑名单用于存储不允许执行解封堵操作的IP地址信息;
在确定待解封堵的IP地址信息在黑名单内时,发出不允许执行解封堵操作的反馈信息。
7.如权利要求6所述的IP地址解封堵方法,其特征在于,还包括:
在确定待解封堵的IP地址信息不在黑名单内时,确定待解封堵的IP地址信息是否在白名单内;所述白名单用于存储允许执行解封堵操作的IP地址信息;
根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令,包括:
在确定待解封堵的IP地址信息在白名单内时,根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令。
8.如权利要求5所述的IP地址解封堵方法,其特征在于,根据待解封堵的设备信息,登录待解封堵的设备,根据所述预配置解封堵操作命令,执行IP地址解封堵操作,包括:
根据待解封堵的设备信息,登录待解封堵的设备;
获取待解封堵设备的当前IP地址状态;
在当前IP地址状态为未解封堵状态时,根据预配置解封堵操作命令,执行IP地址解封堵操作。
9.一种IP地址封堵装置,其特征在于,包括:
第一获取单元,用于在收到封堵触发指令时,获取待封堵的IP地址信息;
第一确定单元,用于根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令;
封堵单元,用于根据待封堵的设备信息,登录待封堵的设备,根据所述预配置封堵操作命令,执行IP地址封堵操作。
10.如权利要求9所述的IP地址封堵装置,其特征在于,还包括:
第一筛选单元,用于确定待封堵的IP地址信息是否在黑名单内;所述黑名单用于存储不允许执行封堵操作的IP地址信息;
第一反馈单元,用于在确定待封堵的IP地址信息在黑名单内时,发出不允许执行封堵操作的反馈信息。
11.如权利要求10所述的IP地址封堵装置,其特征在于,还包括:
第二筛选单元,用于在确定待封堵的IP地址信息不在黑名单内时,确定待封堵的IP地址信息是否在白名单内;所述白名单用于存储允许执行封堵操作的IP地址信息;
所述第一确定单元具体用于:在确定待封堵的IP地址信息在白名单内时,根据待封堵的IP地址信息,确定待封堵的设备信息,以及对应的预配置封堵操作命令。
12.如权利要求9所述的IP地址封堵装置,其特征在于,所述封堵单元具体用于:
根据待封堵的设备信息,登录待封堵的设备;
获取待封堵设备的当前IP地址状态;
在当前IP地址状态为未封堵状态时,根据所述预配置封堵操作命令,执行IP地址封堵操作。
13.一种IP地址解封堵装置,其特征在于,包括:
第二获取单元,用于在收到解封堵触发指令时,获取待解封堵的IP地址信息;
第二确定单元,用于根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令;
解封堵单元,用于根据待解封堵的设备信息,登录待解封堵的设备,根据所述预配置解封堵操作命令,执行IP地址解封堵操作。
14.如权利要求13所述的IP地址解封堵装置,其特征在于,还包括:
第三筛选单元,用于确定待解封堵的IP地址信息是否在黑名单内;所述黑名单用于存储不允许执行解封堵操作的IP地址信息;
第四反馈单元,用于在确定待解封堵的IP地址信息在黑名单内时,发出不允许执行解封堵操作的反馈信息。
15.如权利要求14所述的IP地址解封堵装置,其特征在于,还包括:
第四筛选单元,用于在确定待解封堵的IP地址信息不在黑名单内时,确定待解封堵的IP地址信息是否在白名单内;所述白名单用于存储允许执行解封堵操作的IP地址信息;
所述第二确定单元具体用于:在确定待解封堵的IP地址信息在白名单内时,根据待解封堵的IP地址信息,确定待解封堵的设备信息,以及对应的预配置解封堵操作命令。
16.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至8任一所述方法。
17.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至8任一所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911036770.0A CN110868402A (zh) | 2019-10-29 | 2019-10-29 | Ip地址封堵、解封堵方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911036770.0A CN110868402A (zh) | 2019-10-29 | 2019-10-29 | Ip地址封堵、解封堵方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110868402A true CN110868402A (zh) | 2020-03-06 |
Family
ID=69653452
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911036770.0A Pending CN110868402A (zh) | 2019-10-29 | 2019-10-29 | Ip地址封堵、解封堵方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110868402A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113904858A (zh) * | 2021-10-19 | 2022-01-07 | 中国联合网络通信集团有限公司 | Ip处理方法、装置、设备和存储介质 |
| CN114553522A (zh) * | 2022-02-21 | 2022-05-27 | 中国建设银行股份有限公司 | 一种安全产品自响应处置方法及相关设备 |
| CN114978563A (zh) * | 2021-02-26 | 2022-08-30 | 中国移动通信集团广东有限公司 | 一种封堵ip地址的方法及装置 |
| CN115277251A (zh) * | 2022-09-23 | 2022-11-01 | 浙江鹏信信息科技股份有限公司 | 基于frr软件路由集群的ip封堵方法、系统及介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158568A (zh) * | 2011-04-20 | 2011-08-17 | 北京蓝汛通信技术有限责任公司 | 一种封禁ip地址的方法、装置和内容分发网络服务器 |
| CN105207814A (zh) * | 2015-08-31 | 2015-12-30 | 茂名市群英网络有限公司 | 基于空路由的ip策略控制系统及方法 |
| CN106921519A (zh) * | 2017-02-24 | 2017-07-04 | 广州咨元信息科技有限公司 | 一种基于自动化调度和流程管理进行ip路由封堵的方法 |
| US20180375825A1 (en) * | 2017-06-23 | 2018-12-27 | Cisco Technology, Inc. | Container networking for connecting network controller applications to a switch fabric |
-
2019
- 2019-10-29 CN CN201911036770.0A patent/CN110868402A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102158568A (zh) * | 2011-04-20 | 2011-08-17 | 北京蓝汛通信技术有限责任公司 | 一种封禁ip地址的方法、装置和内容分发网络服务器 |
| CN105207814A (zh) * | 2015-08-31 | 2015-12-30 | 茂名市群英网络有限公司 | 基于空路由的ip策略控制系统及方法 |
| CN106921519A (zh) * | 2017-02-24 | 2017-07-04 | 广州咨元信息科技有限公司 | 一种基于自动化调度和流程管理进行ip路由封堵的方法 |
| US20180375825A1 (en) * | 2017-06-23 | 2018-12-27 | Cisco Technology, Inc. | Container networking for connecting network controller applications to a switch fabric |
Non-Patent Citations (1)
| Title |
|---|
| 董兴强: "山东电信IP网管自动化运维管理系统的设计与实现", 《中国优秀硕士学位论文全文数据库(电子期刊)信息科技辑》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114978563A (zh) * | 2021-02-26 | 2022-08-30 | 中国移动通信集团广东有限公司 | 一种封堵ip地址的方法及装置 |
| CN113904858A (zh) * | 2021-10-19 | 2022-01-07 | 中国联合网络通信集团有限公司 | Ip处理方法、装置、设备和存储介质 |
| CN114553522A (zh) * | 2022-02-21 | 2022-05-27 | 中国建设银行股份有限公司 | 一种安全产品自响应处置方法及相关设备 |
| CN115277251A (zh) * | 2022-09-23 | 2022-11-01 | 浙江鹏信信息科技股份有限公司 | 基于frr软件路由集群的ip封堵方法、系统及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110868402A (zh) | Ip地址封堵、解封堵方法及装置 | |
| US9749361B2 (en) | Security device controller | |
| US7003562B2 (en) | Method and apparatus for network wide policy-based analysis of configurations of devices | |
| CN109474508B (zh) | 一种vpn组网方法、系统、vpn主节点设备及介质 | |
| US20070162595A1 (en) | System and method for tracking network resources | |
| US11411988B2 (en) | Managing traffic control in a network mitigating DDOS | |
| CN110650037B (zh) | 异构网络设备配置方法及装置 | |
| CN113098851B (zh) | 虚拟防火墙的实现方法、装置、系统、设备和介质 | |
| CN113285918B (zh) | 针对网络攻击的acl过滤表项建立方法及装置 | |
| CN108551439B (zh) | 一种策略模板应用的改进方法及装置 | |
| CN111800338A (zh) | 跨as的evpn路由交互方法及装置 | |
| CN107294989B (zh) | 一种防arp网关欺骗的方法及装置 | |
| WO2018127024A1 (zh) | 基于网口传输的纠错方法、装置及网口传输设备 | |
| US11032138B2 (en) | Managing traffic control in a network mitigating DDOS | |
| CN111769992B (zh) | 一种网络数据的管理方法、云平台及存储介质 | |
| CN112491597A (zh) | 一种自动化专线中继割接方法及装置 | |
| CN114513419A (zh) | 安全策略配置方法及系统 | |
| KR100456622B1 (ko) | 정책기반의 네트워크 보안 관리 시스템에 있어서 시스템함수를 이용한 정책 제공 및 실행방법 | |
| CN112565159B (zh) | 一种封堵异常用户设备的方法和电子设备 | |
| CN115442231B (zh) | 一种交换机白名单信息管理方法、装置、设备及介质 | |
| CN112653937B (zh) | 光网络接入设备管理方法及装置 | |
| Faisal | Network Monitoring System Analysis Using OpenNMS to Analyze the Irregularities of the Internet Network | |
| CN112953741B (zh) | 城域网安全访问端口控制管理方法及装置 | |
| CN104518907A (zh) | 一种网络设备与网管系统管理权限的同步方法 | |
| CN111726236A (zh) | 一种状态识别信息生成方法、系统、装置及其存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200306 |
|
| RJ01 | Rejection of invention patent application after publication |