CN111030970A - 一种分布式访问控制方法、装置及存储设备 - Google Patents
一种分布式访问控制方法、装置及存储设备 Download PDFInfo
- Publication number
- CN111030970A CN111030970A CN201910215908.7A CN201910215908A CN111030970A CN 111030970 A CN111030970 A CN 111030970A CN 201910215908 A CN201910215908 A CN 201910215908A CN 111030970 A CN111030970 A CN 111030970A
- Authority
- CN
- China
- Prior art keywords
- data packet
- access control
- local area
- area network
- rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种分布式访问控制方法、装置及存储设备,用以解决诸多防火墙的规则难以统一维护管理以及硬件防火墙在流量较大的情况下出现性能不足的问题。该方法包括:接收数据包,检测数据包是否为虚拟可扩展局域网数据包;若是,对所述数据包进行解析,否则将所述数据包丢弃;解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;若查询到对应的规则,则根据规则执行对所述数据包的动作;若未查询到对应的规则,将所述数据包引流至蜜罐网络诱导环境中,或重定向到特定网关设备。
Description
技术领域
本发明实施例涉及计算机网络安全领域,尤其涉及一种分布式访问控制方法、装置及存储设备。
背景技术
目前,防火墙是实现访问控制的一种常用方式,根据其位于协议栈的位置可分为网络层防火墙和应用层防火墙,网络层防火墙利用封包的多种属性进行过滤(IP、端口、协议等),应用层防火墙依据封包所属的应用程序进行过滤,理论上可以完全阻隔未知应用程序的数据流进到受保护的设备。防火墙可以部署在路由器上实现对内/外网的访问控制,也可以部署在单个PC上,实现对PC的访问控制。
但诸多防火墙的规则难以统一维护和管理,规则是否活跃也难以进行判断;同时,对于硬件防火墙来说,在流量较大的情况下常出现防火墙性能不足的情况。
发明内容
基于上述存在的问题,本发明实施例提供一种分布式访问控制方法、装置及存储设备,用以解决诸多防火墙的规则难以统一维护管理以及硬件防火墙在流量较大的情况下出现性能不足的问题。本发明实施例公开一种分布式访问控制方法,包括:
接收数据包,检测数据包是否为虚拟可扩展局域网数据包;若是,对所述数据包进行解析,否则将所述数据包丢弃;解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;若查询到对应的规则,则根据规则执行对所述数据包的动作;若未查询到对应的规则,将所述数据包引流至蜜罐网络诱导环境中,或重定向到特定网关设备。
进一步地,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表,还包括:若查询到非对应的规则,则所述数据包将被丢弃。
进一步地,所述访问控制规则列表采用白名单机制。
进一步地,所述访问控制规则列表中每条规则的格式为规则ID、优先级、匹配内容、动作内容;规则ID:利用虚拟可扩展局域网络标识映射访问控制规则列表中的规则ID;优先级:表示规则的优先级;匹配内容包括:发起IP、目的IP、发起端口、目的端口、发起网段、目的网段、传输层协议、应用层协议、发起方登录的用户、发起的应用;动作内容包括:允许通讯、禁止通讯、重定向数据包到特定网关设备、告警并丢弃、告警并重定向。
进一步地,每台设备只拥有预期与本设备发生交互关系的访问控制规则列表,且每台设备的访问控制规则列表均存储在访问控制规则库中,所述规则库存放内网单台设备上或者存放在分布式集群上。
进一步地,所述访问控制规则库不断进行更新,还包括:通知内网所有设备同步更新访问控制规则列表;或者识别所述访问控制规则列表更新所影响的内网设备,主动将更新后的访问控制规则列表推送给被影响的内网设备。
进一步地,所述访问控制规则列表中还包含临时申请规则,所述临时申请规则在限定条件下自动生效,并在给定时间后自动失效。
进一步地,将所述数据包引流至蜜罐网络诱导环境中,具体为:内网设备对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为蜜罐网络诱导环境的信息,源IP、端口、Mac变更为内网设备的信息;蜜罐网络诱导环境接收到更改后的数据包,对该数据包进行检测,根据检测结果构造虚拟可扩展局域网格式的反馈数据包,其中虚拟可扩展局域网络标识对应蜜罐的检测结果;内网设备收到蜜罐发送的反馈数据包,根据虚拟可扩展局域网络标识决定对所述数据包采取的动作。
进一步地,将所述数据包重定向到特定网关设备,具体为:内网设备仅对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为特定网关设备的信息,源IP、端口、Mac变更为内网设备的信息;将所述数据包重定向到特定网关设备。
本发明实施例公开一种分布式访问控制装置,包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
接收数据包,检测数据包是否为虚拟可扩展局域网数据包;若是,对所述数据包进行解析,否则将所述数据包丢弃;解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;若查询到对应的规则,则根据规则执行对所述数据包的动作;若未查询到对应的规则,将所述数据包引流至蜜罐网络诱导环境中,或重定向到特定网关设备。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表,还包括:若查询到非对应的规则,则所述数据包将被丢弃。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
所述访问控制规则列表采用白名单机制。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
所述访问控制规则列表中每条规则的格式为规则ID、优先级、匹配内容、动作内容;规则ID:利用虚拟可扩展局域网络标识映射访问控制规则列表中的规则ID;优先级:表示规则的优先级;匹配内容包括:发起IP、目的IP、发起端口、目的端口、发起网段、目的网段、传输层协议、应用层协议、发起方登录的用户、发起的应用;动作内容包括:允许通讯、禁止通讯、重定向数据包到特定网关设备、告警并丢弃、告警并重定向。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
每台设备只拥有预期与本设备发生交互关系的访问控制规则列表,且每台设备的访问控制规则列表均存储在访问控制规则库中,所述规则库存放内网单台设备上或者存放在分布式集群上。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
所述访问控制规则库不断进行更新,还包括:通知内网所有设备同步更新访问控制规则列表;或者识别所述访问控制规则列表更新所影响的内网设备,主动将更新后的访问控制规则列表推送给被影响的内网设备。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
所述访问控制规则列表中还包含临时申请规则,所述临时申请规则在限定条件下自动生效,并在给定时间后自动失效。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
将所述数据包引流至蜜罐网络诱导环境中,具体为:内网设备对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为蜜罐网络诱导环境的信息,源IP、端口、Mac变更为内网设备的信息;蜜罐网络诱导环境接收到更改后的数据包,对该数据包进行检测,根据检测结果构造虚拟可扩展局域网格式的反馈数据包,其中虚拟可扩展局域网络标识对应蜜罐的检测结果;内网设备收到蜜罐发送的反馈数据包,根据虚拟可扩展局域网络标识决定对所述数据包采取的动作。
进一步地,所述处理器还用于加载所述存储器中存储的指令以执行:
将所述数据包重定向到特定网关设备,具体为:内网设备仅对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:目的Mac、目的IP、端口变更为特定网关设备的信息,源IP、端口、Mac变更为内网设备的信息;将所述数据包重定向到特定网关设备。
本发明实施例同时公开一种分布式访问控制装置,包括:
接收检测模块:用于接收数据包,检测数据包是否为虚拟可扩展局域网数据包;
解析模块:若数据包为虚拟可扩展局域网数据包,用于对所述数据包进行解析;
丢弃模块:若数据包不是虚拟可扩展局域网数据包,用于将所述数据包丢弃;
查询模块:用于解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;
执行模块:若查询到对应的规则,则根据规则执行对所述数据包的动作;
引流模块:若未查询到对应的规则,用于将所述数据包引流至蜜罐网络诱导环境中;
重定向模块:若未查询到对应的规则,用于将重定向到特定网关设备。
本发明实施例提供了一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的分布式访问控制方法步骤。
与现有技术相比,本发明实施例提供的一种分布式访问控制方法、装置及存储设备,至少实现了如下的有益效果:
接收数据包,检测数据包是否为虚拟可扩展局域网数据包;若是,对所述数据包进行解析,否则将所述数据包丢弃;解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;若查询到对应的规则,则根据规则执行对所述数据包的动作;若未查询到对应的规则,将所述数据包引流至蜜罐网络诱导环境中,或重定向到特定网关设备。本发明实施例只需通过访问控制规则列表管理访问规则,可以从多维度对流量进行访问控制,可以灵活地定义流量,缓解了大流量情况下传统防火墙性能的瓶颈问题。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的分布式访问控制方法流程图;
图2为本发明实施例提供的数据包引流至蜜罐网络诱导环境的方法流程图;
图3为本发明实施例提供的数据包重定向到特定网关设备的方法流程图;
图4为本发明实施例提供的又一分布式访问控制方法流程图;
图5为本发明实施例提供的另一分布式访问控制方法流程图;
图6为本发明实施例提供的分布式访问控制装置结构图;
图7为本发明实施例提供的又一分布式访问控制装置结构图。
具体实施方式
为了使本发明的目的,技术方案和优点更加清楚,下面结合附图,对本发明实施例提供的分布式访问控制方法的具体实施方式进行详细地说明。应当理解,下面所描述的优选实施例仅用于说明和解释本发明,并不用于限定本发明。并且在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
本发明实施例提供了分布式访问控制方法流程图,如图1所示,包括:
步骤11,接收数据包;
步骤12,检测数据包是否为虚拟可扩展局域网数据包;若是,执行步骤13,否则执行步骤14;
虚拟可扩展局域网(VxLan)是一种将二层数据帧封装在UDP报文中的技术,主要通过将原始以太网帧加上VxLan Header,封装在UDP协议中穿越三层网络,在此过程中,交换机、路由器、防火墙这类既有的网络设备可以不处理虚拟可扩展局域网(VxLan)数据包,以保护现有资产;
检测数据包是否为虚拟可扩展局域网数据包,具体方法为:判断数据包是否为UDP数据包且目的端口是否为4789,若是,则为虚拟可扩展局域网数据包。
步骤13,对所述数据包进行解析;
步骤14,将所述数据包丢弃;
步骤15,解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表,若查询到对应的规则,则执行步骤16,若未查询到对应的规则,执行步骤17;
其中,虚拟可扩展局域网络标识(VNI)指VxLan网络标识,在此利用VNI映射访问控制规则列表中的规则ID,从而获取访问控制规则;
步骤16,根据规则执行对所述数据包的动作;
步骤17,将所述数据包引流至蜜罐网络诱导环境中,或重定向到特定网关设备。
其中所述访问控制规则列表采用白名单机制,访问控制规则列表中每条规则的格式为规则ID、优先级、匹配内容、动作内容;
具体为:规则ID:利用虚拟可扩展局域网络标识映射访问控制规则列表中的规则ID;优先级:表示规则的优先级;匹配内容包括:发起IP、目的IP、发起端口、目的端口、发起网段、目的网段、传输层协议、应用层协议、发起方登录的用户、发起的应用;动作内容包括:允许通讯、禁止通讯、重定向数据包到特定网关设备、告警并丢弃、告警并重定向。
每台设备只拥有预期与本设备发生交互关系的访问控制规则列表,且每台设备的访问控制规则列表均存储在访问控制规则库中,所述规则库存放内网单台设备上或者存放在分布式集群上;并且所述访问控制规则库不断进行更新,还包括:通知内网所有设备同步更新访问控制规则列表;或者识别所述访问控制规则列表更新所影响的内网设备,主动将更新后的访问控制规则列表推送给被影响的内网设备。
访问控制规则列表中还包含临时申请规则,临时申请规则在限定条件下自动生效,并在给定时间后自动失效。例如,在内网某个范围需要进行互相访问时,可以批复一些临时申请规则,并在一段时间内临时生效。
本发明实施例中采用访问控制规则的方法,访问控制规则列表可以根据用户标识(如IP地址)、端口、数据流方向、协议和应用程序等属性进行构建,并且通过访问控制规则列表可以实现网内所有设备访问规则的统一管理和维护,因此本发明实施例支持内网中多维度访问控制;本发明实施例访问控制规则列表采用强白名单机制,能够严格控制流量,同时本发明实施例采用分布式访问控制的方法,当网络规模需要扩大时,也可以实现快速扩容。
若未查询到对应的规则,则将所述数据包引流至蜜罐网络诱导环境中,本发明实施例还提供了数据包引流至蜜罐网络诱导环境的方法流程图,如图2所示,具体为:
步骤1711,内网设备对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为蜜罐网络诱导环境的信息,源IP、端口、Mac变更为内网设备的信息;
步骤1712,蜜罐网络诱导环境接收到更改后的数据包,对该数据包进行检测,根据检测结果构造虚拟可扩展局域网格式的反馈数据包,其中虚拟可扩展局域网络标识对应蜜罐的检测结果;
步骤1713,内网设备收到蜜罐发送的反馈数据包,根据虚拟可扩展局域网络标识决定对所述数据包采取的动作。
若未查询到对应的规则,则将所述数据包重定向到特定网关设备中,本发明实施例还提供了数据包重定向到特定网关设备的方法流程图,如图3所示,具体为:
步骤1721,内网设备仅对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:目的Mac、目的IP、端口变更为特定网关设备的信息,源IP、端口、Mac变更为内网设备的信息;
步骤1722,将所述数据包重定向到特定网关设备。
将所述数据包引流至蜜罐网络诱导环境中,或重定向到特定网关设备从而实现QoS(网络的一种安全机制,用来解决网络延迟和阻塞等问题的一种技术)、限速等目的。
以内网终端之间通信的情况举例,本发明实施例提供的又一分布式访问控制方法流程图,如图4所示,包括:
步骤41,内网终端B向终端A发送数据包;
步骤42,终端A接收到终端B发送的数据包,检测数据包是否为VxLan数据包,若是,执行步骤43,否则执行步骤44;
步骤43,对数据包进行解析,解析出VNI;
步骤44,直接告警并丢弃;
步骤45,获得VNI后,终端A根据VNI查询本机中的访问控制规则列表,若查找到对应的规则,则执行步骤46,若未查找到对应的规则,执行步骤47;
步骤46,根据规则执行对数据包的动作;
步骤47,将数据包引导至蜜罐网络诱导环境中,或重定向到特定的网关设备上;
步骤48,终端A将原数据链路层的数据包封装成VxLan数据包的格式,向终端B发送数据包;
步骤49,终端B接收到终端A的数据包,对数据包进行解析,继续重复执行上述步骤。
本发明实施例还可以应用于内外网之间通信的情况,提供又一分布式访问控制方法流程图,如图5所示,包括:
步骤51,外网终端D向内网终端C发送数据包;
此时,外网终端D向内网终端C发送的数据包格式为TCP/IP格式,而非VxLan格式。
步骤52,数据包达到内网的网关,网关查询访问控制规则列表确定外网终端D发送的数据包能否通过;若可以通过,执行步骤53;若不能通过,执行步骤54;
步骤53,将外网终端D发送的数据包封装成VxLan的格式,并为其填写VNI,将其转发给内网终端C;
步骤54,直接告警并丢弃;
步骤55,内网终端C接收封装后的数据包,对数据包进行解析,获得VNI后,内网终端C根据VNI查询本机中的访问控制规则列表,若查找到对应的规则,则执行步骤56,若未查找到对应的规则,执行步骤57;
步骤56,根据规则执行对数据包的动作;
步骤57,将数据包引导至蜜罐网络诱导环境中,或重定向到特定的网关设备上;
步骤58,内网终端C向外网终端D发送数据包;
步骤59,网关查验VNI,若能通过,则执行步骤591,否则,执行步骤592;
步骤591,将数据包还原为TCP/IP格式,发送给外网终端D;
步骤592,直接告警并丢弃。
本发明实施例还提供了一种分布式访问控制装置,如图6所示,包括:所述装置包括存储器61和处理器62,所述存储器61用于存储多条指令,所述处理器62用于加载所述存储器61中存储的指令以执行:
接收数据包,检测数据包是否为虚拟可扩展局域网数据包;若是,对所述数据包进行解析,否则将所述数据包丢弃;解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;若查询到对应的规则,则根据规则执行对所述数据包的动作;若未查询到对应的规则,将所述数据包引流至蜜罐网络诱导环境中,或重定向到特定网关设备。
进一步地,所述处理器62还用于加载所述存储器61中存储的指令以执行:
根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表,还包括:若查询到非对应的规则,则所述数据包将被丢弃。
所述处理器62用于加载所述存储器61中存储的指令以执行:
所述访问控制规则列表采用白名单机制。
所述处理器62用于加载所述存储器61中存储的指令以执行:
所述访问控制规则列表中每条规则的格式为规则ID、优先级、匹配内容、动作内容;规则ID:利用虚拟可扩展局域网络标识映射访问控制规则列表中的规则ID;优先级:表示规则的优先级;匹配内容包括:发起IP、目的IP、发起端口、目的端口、发起网段、目的网段、传输层协议、应用层协议、发起方登录的用户、发起的应用;动作内容包括:允许通讯、禁止通讯、重定向数据包到特定网关设备、告警并丢弃、告警并重定向。
所述处理器62用于加载所述存储器61中存储的指令以执行:
每台设备只拥有预期与本设备发生交互关系的访问控制规则列表,且每台设备的访问控制规则列表均存储在访问控制规则库中,所述规则库存放内网单台设备上或者存放在分布式集群上。
所述处理器62用于加载所述存储器61中存储的指令以执行:
所述访问控制规则库不断进行更新,还包括:通知内网所有设备同步更新访问控制规则列表;或者识别所述访问控制规则列表更新所影响的内网设备,主动将更新后的访问控制规则列表推送给被影响的内网设备。
所述处理器62用于加载所述存储器61中存储的指令以执行:
将所述数据包引流至蜜罐网络诱导环境中,具体为:内网设备对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为蜜罐网络诱导环境的信息,源IP、端口、Mac变更为内网设备的信息;蜜罐网络诱导环境接收到更改后的数据包,对该数据包进行检测,根据检测结果构造虚拟可扩展局域网格式的反馈数据包,其中虚拟可扩展局域网络标识对应蜜罐的检测结果;内网设备收到蜜罐发送的反馈数据包,根据虚拟可扩展局域网络标识决定对所述数据包采取的动作。
所述处理器62用于加载所述存储器61中存储的指令以执行:
将所述数据包重定向到特定网关设备,具体为:内网设备对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为特定网关设备的信息,源IP、端口、Mac变更为内网设备的信息;将所述数据包重定向到特定网关设备。
本发明实施例同时提供了又一种分布式访问控制装置,如图7所示,包括:
接收检测模块71:用于接收数据包,检测数据包是否为虚拟可扩展局域网数据包;
解析模块72:若数据包为虚拟可扩展局域网数据包,用于对所述数据包进行解析;
丢弃模块73:若数据包不是虚拟可扩展局域网数据包,用于将所述数据包丢弃;
查询模块74:用于解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;
执行模块75:若查询到对应的规则,则根据规则执行对所述数据包的动作;
引流模块76:若未查询到对应的规则,用于将所述数据包引流至蜜罐网络诱导环境中;
重定向模块77:若未查询到对应的规则,用于将重定向到特定网关设备。
本发明实施例还提供一种存储设备,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行本发明实施例提供的分布式访问控制方法的步骤。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
本领域技术人员可以理解附图只是一个优选实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (20)
1.一种分布式访问控制方法,其特征在于:
接收数据包,检测数据包是否为虚拟可扩展局域网数据包;
若是,对所述数据包进行解析,否则将所述数据包丢弃;
解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;
若查询到对应的规则,则根据规则执行对所述数据包的动作;若未查询到对应的规则,将所述数据包引流至蜜罐网络诱导环境中,或重定向到特定网关设备。
2.如权利要求1所述的方法,其特征在于,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表,还包括:若查询到非对应的规则,则所述数据包将被丢弃。
3.如权利要求1所述的方法,其特征在于,所述访问控制规则列表采用白名单机制。
4.如权利要求1所述的方法,其特征在于,所述访问控制规则列表中每条规则的格式为规则ID、优先级、匹配内容、动作内容;
规则ID:利用虚拟可扩展局域网络标识映射访问控制规则列表中的规则ID;
优先级:表示规则的优先级;
匹配内容包括:发起IP、目的IP、发起端口、目的端口、发起网段、目的网段、传输层协议、应用层协议、发起方登录的用户、发起的应用;
动作内容包括:允许通讯、禁止通讯、重定向数据包到特定网关设备、告警并丢弃、告警并重定向。
5.如权利要求1所述的方法,其特征在于,每台设备只拥有预期与本设备发生交互关系的访问控制规则列表,且每台设备的访问控制规则列表均存储在访问控制规则库中,所述规则库存放内网单台设备上或者存放在分布式集群上。
6.如权利要求5所述的方法,其特征在于,所述访问控制规则库不断进行更新,还包括:
通知内网所有设备同步更新访问控制规则列表;
或者识别所述访问控制规则列表更新所影响的内网设备,主动将更新后的访问控制规则列表推送给被影响的内网设备。
7.如权利要求1所述的方法,其特征在于,所述访问控制规则列表中还包含临时申请规则,所述临时申请规则在限定条件下自动生效,并在给定时间后自动失效。
8.如权利要求1所述的方法,其特征在于,将所述数据包引流至蜜罐网络诱导环境中,具体为:
内网设备对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为蜜罐网络诱导环境的信息,源IP、端口、Mac变更为内网设备的信息;
蜜罐网络诱导环境接收到更改后的数据包,对该数据包进行检测,根据检测结果构造虚拟可扩展局域网格式的反馈数据包,其中虚拟可扩展局域网络标识对应蜜罐的检测结果;
内网设备收到蜜罐发送的反馈数据包,根据虚拟可扩展局域网络标识决定对所述数据包采取的动作。
9.如权利要求1所述的方法,其特征在于,将所述数据包重定向到特定网关设备,具体为:
内网设备对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为特定网关设备的信息,源IP、端口、Mac变更为内网设备的信息;
将所述数据包重定向到特定网关设备。
10.一种分布式访问控制装置,其特征在于,所述装置包括存储器和处理器,所述存储器用于存储多条指令,所述处理器用于加载所述存储器中存储的指令以执行:
接收数据包,检测数据包是否为虚拟可扩展局域网数据包;
若是,对所述数据包进行解析,否则将所述数据包丢弃;
解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;
若查询到对应的规则,则根据规则执行对所述数据包的动作;若未查询到对应的规则,将所述数据包引流至蜜罐网络诱导环境中,或重定向到特定网关设备。
11.如权利要求10所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表,还包括:若查询到非对应的规则,则所述数据包将被丢弃。
12.如权利要求10所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
所述访问控制规则列表采用白名单机制。
13.如权利要求10所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
所述访问控制规则列表中每条规则的格式为规则ID、优先级、匹配内容、动作内容;
规则ID:利用虚拟可扩展局域网络标识映射访问控制规则列表中的规则ID;
优先级:表示规则的优先级;
匹配内容包括:发起IP、目的IP、发起端口、目的端口、发起网段、目的网段、传输层协议、应用层协议、发起方登录的用户、发起的应用;
动作内容包括:允许通讯、禁止通讯、重定向数据包到特定网关设备、告警并丢弃、告警并重定向。
14.如权利要求10所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
每台设备只拥有预期与本设备发生交互关系的访问控制规则列表,且每台设备的访问控制规则列表均存储在访问控制规则库中,所述规则库存放内网单台设备上或者存放在分布式集群上。
15.如权利要求14所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
所述访问控制规则库不断进行更新,还包括:
通知内网所有设备同步更新访问控制规则列表;
或者识别所述访问控制规则列表更新所影响的内网设备,主动将更新后的访问控制规则列表推送给被影响的内网设备。
16.如权利要求10所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
所述访问控制规则列表中还包含临时申请规则,所述临时申请规则在限定条件下自动生效,并在给定时间后自动失效。
17.如权利要求10所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
将所述数据包引流至蜜罐网络诱导环境中,具体为:
内网设备对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为蜜罐网络诱导环境的信息,源IP、端口、Mac变更为内网设备的信息;
蜜罐网络诱导环境接收到更改后的数据包,对该数据包进行检测,根据检测结果构造虚拟可扩展局域网格式的反馈数据包,其中虚拟可扩展局域网络标识对应蜜罐的检测结果;
内网设备收到蜜罐发送的反馈数据包,根据虚拟可扩展局域网络标识决定对所述数据包采取的动作。
18.如权利要求10所述的装置,其特征在于,所述处理器还用于加载所述存储器中存储的指令以执行:
将所述数据包重定向到特定网关设备,具体为:
内网设备仅对虚拟可扩展局域网数据包外层UDP、IP、Ethernet报头进行更改,具体为:将目的Mac、目的IP、端口变更为特定网关设备的信息,源IP、端口、Mac变更为内网设备的信息;
将所述数据包重定向到特定网关设备。
19.一种分布式访问控制装置,其特征在于,包括:
接收检测模块:用于接收数据包,检测数据包是否为虚拟可扩展局域网数据包;
解析模块:若数据包为虚拟可扩展局域网数据包,用于对所述数据包进行解析;
丢弃模块:若数据包不是虚拟可扩展局域网数据包,用于将所述数据包丢弃;
查询模块:用于解析出虚拟可扩展局域网络标识,根据所述虚拟可扩展局域网络标识查询本设备访问控制规则列表;
执行模块:若查询到对应的规则,则根据规则执行对所述数据包的动作;
引流模块:若未查询到对应的规则,用于将所述数据包引流至蜜罐网络诱导环境中;
重定向模块:若未查询到对应的规则,用于将重定向到特定网关设备。
20.一种存储设备,其特征在于,所述存储设备中存储有多条指令,所述指令适于由处理器加载并执行权1-9任一所述的方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910215908.7A CN111030970B (zh) | 2019-03-21 | 2019-03-21 | 一种分布式访问控制方法、装置及存储设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910215908.7A CN111030970B (zh) | 2019-03-21 | 2019-03-21 | 一种分布式访问控制方法、装置及存储设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111030970A true CN111030970A (zh) | 2020-04-17 |
CN111030970B CN111030970B (zh) | 2023-04-18 |
Family
ID=70203549
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910215908.7A Active CN111030970B (zh) | 2019-03-21 | 2019-03-21 | 一种分布式访问控制方法、装置及存储设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111030970B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887317A (zh) * | 2021-01-30 | 2021-06-01 | 北京中安星云软件技术有限公司 | 一种基于vxlan网络对数据库的防护方法及系统 |
CN114500028A (zh) * | 2022-01-21 | 2022-05-13 | 北京安天网络安全技术有限公司 | 网络访问控制方法、装置、计算机设备 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070156897A1 (en) * | 2005-12-29 | 2007-07-05 | Blue Jungle | Enforcing Control Policies in an Information Management System |
CN101111053A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 移动网络中防御网络攻击的系统和方法 |
CN101188557A (zh) * | 2007-12-07 | 2008-05-28 | 杭州华三通信技术有限公司 | 管理用户上网行为的方法、客户端、服务器和系统 |
CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
CN102724189A (zh) * | 2012-06-06 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种控制用户url访问的方法及装置 |
CN104410541A (zh) * | 2014-11-18 | 2015-03-11 | 盛科网络(苏州)有限公司 | Vxlan内层虚拟机流量在中间交换机上进行统计的方法及装置 |
CN106209799A (zh) * | 2016-06-29 | 2016-12-07 | 深圳市先河系统技术有限公司 | 一种实现动态网络防护的方法、系统及动态防火墙 |
US20170238236A1 (en) * | 2016-02-17 | 2017-08-17 | Zitovault, Inc. | Mac address-bound wlan password |
WO2017143611A1 (zh) * | 2016-02-27 | 2017-08-31 | 华为技术有限公司 | 用于处理vxlan报文的方法、设备及系统 |
WO2017148219A1 (zh) * | 2016-03-01 | 2017-09-08 | 中兴通讯股份有限公司 | 虚拟专用网业务实现方法、装置及通信系统 |
CN107332812A (zh) * | 2016-04-29 | 2017-11-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
CN108616456A (zh) * | 2018-03-20 | 2018-10-02 | 北京优帆科技有限公司 | 一种基于vxlan的负载均衡方法及负载均衡器 |
CN108989311A (zh) * | 2013-05-31 | 2018-12-11 | 华为技术有限公司 | 生成输入参数的方法及设备 |
-
2019
- 2019-03-21 CN CN201910215908.7A patent/CN111030970B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070156897A1 (en) * | 2005-12-29 | 2007-07-05 | Blue Jungle | Enforcing Control Policies in an Information Management System |
CN101111053A (zh) * | 2006-07-18 | 2008-01-23 | 中兴通讯股份有限公司 | 移动网络中防御网络攻击的系统和方法 |
CN101188557A (zh) * | 2007-12-07 | 2008-05-28 | 杭州华三通信技术有限公司 | 管理用户上网行为的方法、客户端、服务器和系统 |
CN102594814A (zh) * | 2012-02-10 | 2012-07-18 | 福建升腾资讯有限公司 | 基于端末的网络访问控制系统 |
CN102724189A (zh) * | 2012-06-06 | 2012-10-10 | 杭州华三通信技术有限公司 | 一种控制用户url访问的方法及装置 |
CN108989311A (zh) * | 2013-05-31 | 2018-12-11 | 华为技术有限公司 | 生成输入参数的方法及设备 |
CN104410541A (zh) * | 2014-11-18 | 2015-03-11 | 盛科网络(苏州)有限公司 | Vxlan内层虚拟机流量在中间交换机上进行统计的方法及装置 |
US20170238236A1 (en) * | 2016-02-17 | 2017-08-17 | Zitovault, Inc. | Mac address-bound wlan password |
WO2017143611A1 (zh) * | 2016-02-27 | 2017-08-31 | 华为技术有限公司 | 用于处理vxlan报文的方法、设备及系统 |
WO2017148219A1 (zh) * | 2016-03-01 | 2017-09-08 | 中兴通讯股份有限公司 | 虚拟专用网业务实现方法、装置及通信系统 |
CN107332812A (zh) * | 2016-04-29 | 2017-11-07 | 新华三技术有限公司 | 网络访问控制的实现方法及装置 |
CN106209799A (zh) * | 2016-06-29 | 2016-12-07 | 深圳市先河系统技术有限公司 | 一种实现动态网络防护的方法、系统及动态防火墙 |
CN108616456A (zh) * | 2018-03-20 | 2018-10-02 | 北京优帆科技有限公司 | 一种基于vxlan的负载均衡方法及负载均衡器 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112887317A (zh) * | 2021-01-30 | 2021-06-01 | 北京中安星云软件技术有限公司 | 一种基于vxlan网络对数据库的防护方法及系统 |
CN114500028A (zh) * | 2022-01-21 | 2022-05-13 | 北京安天网络安全技术有限公司 | 网络访问控制方法、装置、计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
CN111030970B (zh) | 2023-04-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3229407B1 (en) | Application signature generation and distribution | |
US10084713B2 (en) | Protocol type identification method and apparatus | |
EP3076612B1 (en) | Packet processing methods and nodes | |
US8149705B2 (en) | Packet communications unit | |
WO2017084535A1 (zh) | 可信协议转换方法和系统 | |
CN111030971B (zh) | 一种分布式访问控制方法、装置及存储设备 | |
US8732296B1 (en) | System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware | |
JP6782842B2 (ja) | 通信ネットワーク用の方法及び電子監視ユニット | |
RU2517411C1 (ru) | Способ управления соединениями в межсетевом экране | |
CN107612890B (zh) | 一种网络监测方法及系统 | |
CN104272656A (zh) | 软件定义网络中的网络反馈 | |
CN109787823B (zh) | 服务质量QoS标记方法、装置及存储介质 | |
WO2012130523A1 (en) | A method for providing a firewall rule and a corresponding system | |
CN111030970B (zh) | 一种分布式访问控制方法、装置及存储设备 | |
JP6422677B2 (ja) | ネットワーク中継装置、同装置を用いたDDoS防御方法および負荷分散方法 | |
CN111147519A (zh) | 数据检测方法、装置、电子设备和介质 | |
CN104067558A (zh) | 具有控制模块和网络访问模块的网络访问装置 | |
US20190215307A1 (en) | Mechanisms for layer 7 context accumulation for enforcing layer 4, layer 7 and verb-based rules | |
CN106899616B (zh) | 一种无ip防火墙的安全规则配置方法 | |
JP2015164295A (ja) | 情報伝送システム、情報通信装置、情報伝送装置、及びプログラム | |
CN111030976A (zh) | 一种基于密钥的分布式访问控制方法、装置及存储设备 | |
EP3985920A1 (en) | Network traffic analysis | |
TWI797962B (zh) | 基於SASE的IPv6雲邊緣網路安全連線方法 | |
CN110868393A (zh) | 一种基于电网信息系统异常流量的防护方法 | |
US11838197B2 (en) | Methods and system for securing a SDN controller from denial of service attack |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information | ||
CB02 | Change of applicant information |
Address after: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant after: Antan Technology Group Co.,Ltd. Address before: 150028 building 7, innovation and entrepreneurship square, science and technology innovation city, Harbin high tech Industrial Development Zone, Heilongjiang Province (No. 838, Shikun Road) Applicant before: Harbin Antian Science and Technology Group Co.,Ltd. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |