CN111343193B - 云网络端口安全防护方法、装置、电子设备及存储介质 - Google Patents
云网络端口安全防护方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN111343193B CN111343193B CN202010152431.5A CN202010152431A CN111343193B CN 111343193 B CN111343193 B CN 111343193B CN 202010152431 A CN202010152431 A CN 202010152431A CN 111343193 B CN111343193 B CN 111343193B
- Authority
- CN
- China
- Prior art keywords
- port
- access equipment
- information
- cloud network
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明实施例提供一种云网络端口安全防护方法、装置、电子设备及存储介质;方法包括:基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态;监听到节点端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备。本发明实施例提供的云网络端口安全防护方法、装置、电子设备及存储介质通过接入设备的信息确定云网络端口的信任状态,通过对端口状态的变化情况的监听,自动感知新设备的接入,可在无人为干预的情况下,自动判断是否为信任设备,从而对云网络端口进行相应的安全防护。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种云网络端口安全防护方法、装置、电子设备及存储介质。
背景技术
现有技术中,在云网络的应用场景中,接入设备(包括服务器、PC等设备)接入叶节点时,云网络自身没有动态的端口安全防护功能,不能及时检测到接入设备是否为非法接入,无法自动进行非法设备的阻断和隔离。
现有技术中的云网络安全防护配置只能等到接入设备完成接入且网络管理人员已线下获知有设备接入后,再手动检查叶节点的MAC地址表,对端口和MAC地址进行绑定(使能交换机端口的Sticky MAC功能),实施叶节点的端口安全防护措施。
在实际应用中发现,这种在叶节点中手动配置云网络端口安全防护的方法,存在如下不足:
1)无法自动感知新设备接入,只能在已知情的情况下,进行手动配置绑定关系,无法做到及时的安全防护。
2)无法满足大型云网络的快速构建业务网络的需求,手动配置绑定关系不仅操作复杂,而且极容易出错。
发明内容
本发明实施例提供一种云网络端口安全防护方法、装置、电子设备及存储介质,用以解决现有技术中需要通过手动配置实现对云网络中端口的安全管理所带来的低效、易出错的缺陷。
本发明第一方面实施例提供一种云网络端口安全防护方法,包括:
基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态;
监听到节点端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备;
其中,所述接入设备的信息包括接入设备的通用唯一识别码、与接入设备连接的叶节点组的端口、与接入设备连接的带外管理节点的端口、接入设备的MAC地址以及与接入设备连接的带外管理节点的IP地址;所述端口的信任状态用于描述端口为信任端口或非信任端口。
上述技术方案中,还包括:
获取接入云网络的接入设备的信息;该步骤进一步包括:
获取云网络全量叶节点组中端口与相应带外管理节点端口之间的对应关系;
获取云网络全量接入设备的MAC地址信息;
获取云网络全量接入设备的通用唯一识别码信息;
获取全球网络设备MAC地址和所属厂商的对应关系表;
根据所述云网络全量叶节点组中端口与相应带外管理节点端口之间的对应关系、云网络全量接入设备的MAC地址信息、云网络全量接入设备的通用唯一识别码信息、以及全球网络设备MAC地址和所属厂商的对应关系表,得到接入云网络的接入设备的信息。
上述技术方案中,所述根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备包括:
第一端口当前为信任端口,所述第一端口从开启状态转变为关闭状态,且在叶节点粘性MAC的保活时间内从关闭状态重新转变为开启状态,维持所述第一端口为信任端口,与所述第一端口所对应的接入设备的信息予以保留;
将新接入所述第一端口的接入设备的信息与所述第一端口所对应的接入设备的信息进行比较,根据比较结果确定新接入所述第一端口的接入设备为予以准入的合法接入设备或予以拒绝的非法接入设备。
上述技术方案中,所述根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备包括:
第二端口当前为信任端口,所述第二端口从开启状态转变为关闭状态,且处于关闭状态的持续时间超出了叶节点粘性MAC的保活时间,将所述第二端口的信任状态由信任端口转变为非信任端口,删除与所述第二端口所对应的接入设备的信息;
所述第二端口从关闭状态转变为开启状态,获取接入第二端口的接入设备的信息,根据所述接入第二端口的接入设备的信息的完整与否,确定接入所述第二端口的接入设备为予以准入的合法接入设备或予以拒绝的非法接入设备。
上述技术方案中,所述根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备包括:
第三端口当前为非信任端口,且所述第三端口为空置端口,所述第三端口从关闭状态转变为开启状态,获取接入第三端口的接入设备的信息,根据所述接入第三端口的接入设备的信息的完整与否,确定接入第三端口的接入设备为予以准入的合法接入设备或予以拒绝的非法接入设备。
上述技术方案中,还包括:
根据端口的信任状态在端口上实现数据访问控制。
上述技术方案中,所述根据端口的信任状态在端口上实现数据访问控制包括:
对于信任端口,使能叶节点交换机端口的粘性MAC功能,将MAC地址绑定于信任端口中,且放行所述信任端口至云网络的流量传输;
对于非信任端口,禁止所述非信任端口至云网络的流量传输,仅允许包括ARP和RARP在内的信息通过。
本发明第二方面实施例提供了一种云网络端口安全防护装置,包括:
端口信任状态确定模块,用于基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态;
设备接入防护模块,用于监听到端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备;
其中,所述接入设备的信息包括接入设备的通用唯一识别码、与接入设备连接的叶节点组的端口、与接入设备连接的带外管理节点的端口、接入设备的MAC地址以及与接入设备连接的带外管理节点的IP地址;所述端口的信任状态用于描述端口为信任端口或非信任端口。
本发明第三方面实施例提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如本发明第一方面实施例所述云网络端口安全防护方法的步骤。
本发明第四方面实施例提供了一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如本发明第一方面实施例所述云网络端口安全防护方法的步骤。
本发明实施例提供的云网络端口安全防护方法、装置、电子设备及存储介质通过接入设备的信息确定云网络端口的信任状态,通过对端口状态的变化情况的监听,自动感知新设备的接入,可在无人为干预的情况下,自动判断是否为信任设备,从而对云网络端口进行相应的安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为云网络的架构示意图;
图2为本发明实施例所提供的云网络端口安全防护方法的流程图;
图3为本发明又一实施例所提供的云网络端口安全防护方法的流程图;
图4为本发明另一实施例所提供的云网络端口安全防护方法的流程图;
图5为本发明实施例所提供的云网络端口安全防护装置的示意图;
图6示例了一种电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在对本发明实施例做详细说明之前,首先对本发明实施例中所涉及的相关概念做一个说明。
接入设备:指能够接入网络并探测网络的设备,常见的接入设备有服务器、PC、网络分析仪等。
图1为云网络的架构示意图,如图1所示,云网络包括脊节点(spine)、叶节点(leaf)。叶节点是云网络的底层节点,叶节点中包括有交换机,交换机的端口可与带外管理节点的端口匹配。接入设备(如服务器、PC等设备)的端口分别与叶节点的端口、带外管理节点的端口连接,以接入云网络。如何在接入设备接入时,实现云网络端口的安全防护正是本发明实施例所提供的云网络端口安全防护方法所要解决的问题。
本发明实施例提供的云网络端口安全防护方法在实现时需要有权配置和监控网络基础设施,因此适用于私有云(私有云中,默认使用者即为该网络基础设施的管理者)以及公有云的管理者。
图2为本发明实施例所提供的云网络端口安全防护方法的流程图,如图2所示,本发明实施例提供的云网络端口安全防护方法包括:
步骤201、基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态。
在本发明实施例中,接入设备的信息包括:接入设备的通用唯一识别码、与接入设备连接的叶节点组的端口、与接入设备连接的带外管理节点的端口、接入设备的MAC地址以及与接入设备连接的带外管理节点的IP地址。通过这五个维度的信息能够唯一地描述一台接入设备。
接入云网络的所有接入设备均具有所述的接入设备的信息。在本发明实施例中,可通过端口状态数据表存储接入云网络的接入设备的信息。
表1为端口状态数据表的一个范例,表中的一行代表了一个接入设备的信息。其中接入设备UUID项描述了该接入设备的UUID。叶节点项描述了与接入设备相连接的一组叶节点中的两台交换机的端口,带外管理节点项描述了与接入设备相连接的带外管理节点的端口;同一行中的叶节点组端口与带外管理节点端口对应匹配,形成信任端口,因此一组信任端口有三个端口成员。MAC地址项包括接入设备的两条MAC地址信息,其中一条是业务网口(Bond)的MAC地址信息,另外一条是管理口(IPMI)的地址信息。IP地址项描述了与接入设备相连接的带外管理节点的IP地址(接入设备本身的IP地址不容易获取,此处采用带外管理节点的IP地址)。
表1
接入设备的信息并不局限于前述的五个维度的信息,在本发明其他实施例中,还可包括设备厂商等维度的信息。在一个特定的云网络中,运营方所采购的设备的品牌是一定的,因此设备厂商的信息对安全防护也可起到辅助作用。
接入设备的信息能够反映与该接入设备相连接的端口的信任状态。端口的信任状态有两种,一种是信任端口,另一种是非信任端口。若所述接入设备的信息是完整的,如前述接入设备的通用唯一识别码、与接入设备连接的叶节点组的端口、与接入设备连接的带外管理节点的端口、接入设备的MAC地址以及与接入设备连接的带外管理节点的IP地址都存在、没有空缺项,则证明与该接入设备相连接的端口是信任端口,反之,若所述接入设备的信息不完整,即存在空缺项,则与该接入设备相连接的端口是非信任端口。
可选的,采用端口状态数据表存储接入云网络的接入设备的信息时,可将端口的信任状态一并存储,例如在前述表1中,添加一列用于存储端口的信任状态,若与某接入设备连接的叶节点组的端口、带外管理节点的端口是可信任的,则信任状态的值为1,否则为0。在端口状态数据表中直接存储信任状态的值可以在后续步骤中省去相应的判断步骤。
前述的端口状态数据表存储后形成端口状态数据库。该端口状态数据库中包含有当前接入云网络的所有接入设备的信息。在云网络中存在一些空置端口,也存在与非法接入设备相连接的端口,通过查找端口状态数据库中所保存的接入设备的信息可以对云网络中的所有端口进行区分,确定某一具体的端口是信任端口还是非信任端口。
步骤202、监听到节点端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备。
接入设备与端口的连接或者与端口的脱离都会造成端口的开启或关闭状态发生变化。具体的说,当接入设备与一端口连接,则该端口会从关闭状态转变为开启状态;当接入设备与一端口脱离,则该端口会从开启状态转变为关闭状态。
端口所处的信任状态的不同(信任端口或非信任端口),会使得端口在开启或关闭状态发生变化时的后续操作存在明显的差异。下面分别予以说明。
信任端口
信任端口的状态发生变化是指在一组信任端口中有1-3个端口产生状态变化的场景。现以叶节点中一个端口产生变化为例,说明该种场景下如何实现对状态变化端口的防护。
(1)叶节点一个端口的状态由up状态转变为down状态
叶节点Sticky(粘性)MAC的默认保活时间为3600秒,即端口由up状态转变为down状态的时间在3600秒内,则不变动数据链路层和网络层的安全防护策略。“端口状态数据库”中所保存的相应接入设备的信息不变化。
端口由up状态转变为down状态的时间超过3600秒后,将该端口的MAC地址绑定关系删除;禁止该端口至云网络的流量传输;“端口状态数据库”中所保存的相应接入设备的信息被删除,置该端口为非信任端口。
在本发明实施例中,通过触发“STICKY自动化脚本”实现端口MAC地址绑定关系的删除;通过触发“ACL自动化脚本”禁止端口至云网络的流量传输。在本发明的其他实施例中,也可采用本领域技术人员公知的其他方式。
(2)叶节点一个端口状态由down状态转变为up状态
情况1:信任端口由up状态转变为down状态,再从down状态转变为up状态的时间间隔小于3600秒,则防护策略及“端口状态数据库”中所保存的相应接入设备的信息不做变化。
对应此种情况,非法设备拔掉信任端口的线缆,进行非法设备接入,但无法接入云网络,因为非法设备的MAC地址与“端口状态数据库”中所保存的与该端口对应的接入设备的MAC地址信息及Sticky MAC绑定关系不匹配。拒绝该非法设备的接入,同时触发告警,邮件或短信通知云网络运维人员。
反之,若为之前的接入设备接入,则由于“端口状态数据库”中还保存有之前的接入设备的信息,因此将会准予接入。
情况2:信任端口由up状态转变为down状态,再转变为up状态的时间间隔大于3600秒,该端口已被置为非信任端口,该端口至云网络的流量传输已经被禁止。
此时需要重新对该端口是否可信任进行判断,在下文中对非信任端口从down状态转变为up状态后如何判断是否可信的过程有具体的描述,因此不在此处做重复说明。
非信任端口
非信任端口包括:当前时刻无设备接入的叶节点的空置端口、由信任端口转变而来的非信任端口(信任端口如何转变为非信任端口在前文中已经有详细描述,此处不再赘述)。非信任端口的当前接口状态为down状态。
当非信任端口由down状态转变为up状态后,触发“UUID自动化脚本”,通过生成UUID和MAC地址的对应关系,判断新的MAC地址是否对应该端口原有所属接入设备的UUID。由于“端口状态数据库”中并未保存非信任端口的信息,因此此种情况下,端口不存在原有所属接入设备。继续触发“UUID自动化脚本”,实现“端口状态数据库”的刷新。
“端口状态数据库”刷新的目的是为了验证能否得到新的信任端口,分两种情况:
情况1:“端口状态数据库”刷新后生成了与非信任端口连接的接入设备的信息,且信息完整,如接入设备UUID项、叶节点项、带外管理节点项、MAC地址项、IP地址项的信息都具备,按照前述对信任端口的判断方法可知与非信任端口新连接的接入设备是合法设备,把非信任端口的信任状态转变为信任端口。理由如下:
a.需要云网络叶节点组、带外管理节点端口对应关系,才能使能叶节点组的两个接口和带外管理节点的相应端口;
b.需要知晓接入设备IPMI管理的通用只读账号,才能获取设备的UUID信息。
以上信息均为保密信息,非法设备能够同时获知上述信息的概率极低。
情况2:“端口状态数据库”的刷新后生成了与非信任端口连接的接入设备的信息,且信息不完整,则非信任端口的信任关系不做变化。拒绝该非法设备的接入,同时触发告警,如以邮件或短信的方式通知云网络运维人员。
以上是对本发明实施例提供的云网络端口安全防护方法的描述。本发明实施例提供的云网络端口安全防护方法通过接入设备的信息确定云网络端口的信任状态,通过对端口状态的变化情况的监听,自动感知新设备的接入,可在无人为干预的情况下,自动判断是否为信任设备,从而对云网络端口进行相应的安全防护。
基于上述任一实施例,图3为本发明又一实施例所提供的云网络端口安全防护方法的流程图,如图3所示,本发明又一实施例提供的云网络端口安全防护方法包括:
步骤301、基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态。
步骤302、根据端口的信任状态在端口上实现数据访问控制。
在确定端口的信任状态后,可根据端口的信任状态为云网络中已有的接入设备所对应的端口采取相应的安全防护措施。
对端口的安全防护包括两个层面,一是数据链路层的端口安全防护,二是网络层的端口安全防护。
数据链路层的端口安全防护包括:根据端口状态数据库的表项中所描述的MAC端口对应关系,使能叶节点交换机端口的Sticky MAC功能,将MAC地址绑定于信任端口中。在本发明实施例中,将MAC地址绑定于信任端口的操作可通过“STICKY自动化脚本”实现。
网络层的端口安全防护包括:根据端口状态数据库的表项中所描述的信任端口的信息以及叶节点ACL(Access Control Lists,访问控制列表)配置模板生成应用于各个具体端口的ACL策略。所述ACL策略包括:对于叶节点中信任端口,自动放行该端口至云网络的流量传输;对于非信任端口,自动禁止该端口至云网络的流量传输,仅允许ARP/RARP等信息通过。
步骤303、监听到节点端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备。
以上是对本发明实施例提供的云网络端口安全防护方法的描述。本发明实施例提供的云网络端口安全防护方法通过接入设备的信息确定云网络端口的信任状态,根据端口的具体信任状态自动地为端口设置有针对性的安全防护措施,减少了人为干预,增强了安全防护的效率。
基于上述任一实施例,图4为本发明另一实施例所提供的云网络端口安全防护方法的流程图,如图4所示,本发明另一实施例提供的云网络端口安全防护方法包括:
步骤401、获取接入云网络的接入设备的信息。
在本发明前一实施例中,已经对接入设备的信息的具体内容做了详细说明,此处不再重复。
要获取接入设备的信息,可首先从云网络及公网中获取如下信息:
(1)云网络全量叶节点组中端口与相应带外管理节点端口之间的对应关系
一组叶节点中的两台接入交换机的相应端口和带外管理节点中的相应端口若能对应匹配,将形成信任关系,形成信任端口。获取这些端口的信息。叶节点组中端口与带外管理节点端口间的对应关系属于保密信息,非法设备一般很难获取。
(2)云网络全量接入设备的MAC地址信息
在本发明实施例中,可通过运行“ARP(Address Resolution Protocol,地址解析协议)自动化脚本”自动收集全量MAC地址信息。
(3)云网络全量接入设备的UUID(通用唯一识别码)信息
在本发明实施例中,运行“UUID自动化脚本”,通过接入设备IPMI管理的通用只读账号(保密信息),获取接入设备的UUID。
(4)设备厂商信息
采集采购过的设备的厂商信息。在一个特定的云网络中,运营方所采购的设备的品牌是一定的,如有不是已采购设备厂商的设备接入,可以直接判断为非法接入。因此采集采购过的设备的厂商信息有助于安全防护。
(5)第三方MAC地址数据库。
在本发明实施例中,运行“IEEE自动化脚本”,自动下载IEEE官网中全球网络设备MAC地址和所属厂商的对应关系表。
需要说明的是,从云网络及公网中获取上述信息的过程一般只需要在云网络首次执行本发明实施例提供的云网络端口安全防护方法时实现。从云网络及公网中获取上述信息后可将相关信息予以保存。云网络再次执行本发明实施例提供的云网络端口安全防护方法时,直接调用所存储的信息即可。
在获得云网络全量叶节点组中端口与相应带外管理节点端口之间的对应关系、云网络全量接入设备的MAC地址信息、云网络全量接入设备的通用唯一识别码信息、以及全球网络设备MAC地址和所属厂商的对应关系表后,可据此得到接入云网络的接入设备的信息。
步骤402、基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态。
步骤403、根据端口的信任状态在端口上实现数据访问控制。
步骤404、监听到端口的开启或关闭状态发生变化,根据开启或关闭状态发生变化的端口的当前信任状态以及开启或关闭状态的变化情况,结合接入设备的信息,实现对非法接入设备的拒绝或合法接入设备的准入。
以上是对本发明实施例提供的云网络端口安全防护方法的描述。本发明实施例提供的云网络端口安全防护方法通过获取接入云网络的接入设备的信息,确定云网络端口的信任状态,进而提供有针对性的安全防护;通过对端口状态的变化情况的监听,自动感知新设备的接入,可在无人为干预的情况下,自动判断是否为信任设备。
基于上述任一实施例,图5为本发明实施例所提供的云网络端口安全防护装置的示意图,如图5所示,本发明实施例提供的云网络端口安全防护装置包括:
端口信任状态确定模块501,用于基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态。
设备接入防护模块502,用于监听到节点端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备。
本发明实施例所提供的云网络端口安全防护装置可在一台服务器上实现,也可在由数台服务器构成的服务器集群上实现。
本发明实施例提供的云网络端口安全防护装置通过接入设备的信息确定云网络端口的信任状态,通过对端口状态的变化情况的监听,自动感知新设备的接入,可在无人为干预的情况下,自动判断是否为信任设备,从而对云网络端口进行相应的安全防护。
图6示例了一种电子设备的实体结构示意图,如图6所示,该电子设备可以包括:处理器(processor)610、通信接口(Communications Interface)620、存储器(memory)630和通信总线640,其中,处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信。处理器610可以调用存储器630中的逻辑指令,以执行如下方法:基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态;监听到端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备。
需要说明的是,本实施例中的电子设备在具体实现时可以为服务器,也可以为PC机,还可以为其他设备,只要其结构中包括如图6所示的处理器610、通信接口620、存储器630和通信总线640,其中处理器610,通信接口620,存储器630通过通信总线640完成相互间的通信,且处理器610可以调用存储器630中的逻辑指令以执行上述方法即可。本实施例不对电子设备的具体实现形式进行限定。
此外,上述的存储器630中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
进一步地,本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态;监听到端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备。
另一方面,本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的传输方法,例如包括:基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态;监听到端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (7)
1.一种云网络端口安全防护方法,其特征在于,包括:
基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态;
监听到节点端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备;包括以下三种情况:
当第一端口当前为信任端口,所述第一端口从开启状态转变为关闭状态,且在叶节点粘性MAC的保活时间内从关闭状态重新转变为开启状态时,维持所述第一端口为信任端口,与所述第一端口所对应的接入设备的信息予以保留;将新接入所述第一端口的接入设备的信息与所述第一端口所对应的接入设备的信息进行比较,根据比较结果确定新接入所述第一端口的接入设备为予以准入的合法接入设备或予以拒绝的非法接入设备;
当第二端口当前为信任端口,所述第二端口从开启状态转变为关闭状态,且处于关闭状态的持续时间超出了叶节点粘性MAC的保活时间时,将所述第二端口的信任状态由信任端口转变为非信任端口,删除与所述第二端口所对应的接入设备的信息;当所述第二端口从关闭状态转变为开启状态时,获取接入第二端口的接入设备的信息,根据所述接入第二端口的接入设备的信息的完整与否,确定接入所述第二端口的接入设备为予以准入的合法接入设备或予以拒绝的非法接入设备;
当第三端口当前为非信任端口,且所述第三端口为空置端口,所述第三端口从关闭状态转变为开启状态时,获取接入第三端口的接入设备的信息,根据所述接入第三端口的接入设备的信息的完整与否,确定接入第三端口的接入设备为予以准入的合法接入设备或予以拒绝的非法接入设备;
其中,所述接入设备的信息包括接入设备的通用唯一识别码、与接入设备连接的叶节点组的端口、与接入设备连接的带外管理节点的端口、接入设备的MAC地址以及与接入设备连接的带外管理节点的IP地址;所述端口的信任状态用于描述端口为信任端口或非信任端口。
2.根据权利要求1所述的云网络端口安全防护方法,其特征在于,还包括:
获取接入云网络的接入设备的信息;进一步包括:
获取云网络全量叶节点组中端口与相应带外管理节点端口之间的对应关系;
获取云网络全量接入设备的MAC地址信息;
获取云网络全量接入设备的通用唯一识别码信息;
获取全球网络设备MAC地址和所属厂商的对应关系表;
根据所述云网络全量叶节点组中端口与相应带外管理节点端口之间的对应关系、云网络全量接入设备的MAC地址信息、云网络全量接入设备的通用唯一识别码信息,以及全球网络设备MAC地址和所属厂商的对应关系表,得到接入云网络的接入设备的信息。
3.根据权利要求1所述的云网络端口安全防护方法,其特征在于,还包括:
根据端口的信任状态在端口上实现数据访问控制。
4.根据权利要求3所述的云网络端口安全防护方法,其特征在于,所述根据端口的信任状态在端口上实现数据访问控制包括:
对于信任端口,使能叶节点交换机端口的粘性MAC功能,将MAC地址绑定于信任端口中,且放行所述信任端口至云网络的流量传输;
对于非信任端口,禁止所述非信任端口至云网络的流量传输,仅允许包括ARP和RARP在内的信息通过。
5.一种云网络端口安全防护装置,其特征在于,包括:
端口信任状态确定模块,用于基于接入云网络的接入设备的信息,确定云网络中的端口的信任状态;
设备接入防护模块,用于监听到节点端口的开启或关闭状态发生变化,根据监听到的端口状态变化情况以及端口当前信任状态,结合接入设备的信息,拒绝非法接入设备或准入合法接入设备;包括以下三种情况:
当第一端口当前为信任端口,所述第一端口从开启状态转变为关闭状态,且在叶节点粘性MAC的保活时间内从关闭状态重新转变为开启状态时,维持所述第一端口为信任端口,与所述第一端口所对应的接入设备的信息予以保留;将新接入所述第一端口的接入设备的信息与所述第一端口所对应的接入设备的信息进行比较,根据比较结果确定新接入所述第一端口的接入设备为予以准入的合法接入设备或予以拒绝的非法接入设备;
当第二端口当前为信任端口,所述第二端口从开启状态转变为关闭状态,且处于关闭状态的持续时间超出了叶节点粘性MAC的保活时间时,将所述第二端口的信任状态由信任端口转变为非信任端口,删除与所述第二端口所对应的接入设备的信息;当所述第二端口从关闭状态转变为开启状态时,获取接入第二端口的接入设备的信息,根据所述接入第二端口的接入设备的信息的完整与否,确定接入所述第二端口的接入设备为予以准入的合法接入设备或予以拒绝的非法接入设备;
当第三端口当前为非信任端口,且所述第三端口为空置端口,所述第三端口从关闭状态转变为开启状态时,获取接入第三端口的接入设备的信息,根据所述接入第三端口的接入设备的信息的完整与否,确定接入第三端口的接入设备为予以准入的合法接入设备或予以拒绝的非法接入设备;
其中,所述接入设备的信息包括接入设备的通用唯一识别码、与接入设备连接的叶节点组的端口、与接入设备连接的带外管理节点的端口、接入设备的MAC地址以及与接入设备连接的带外管理节点的IP地址;所述端口的信任状态用于描述端口为信任端口或非信任端口。
6.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至4任一项所述云网络端口安全防护方法的步骤。
7.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述云网络端口安全防护方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010152431.5A CN111343193B (zh) | 2020-03-06 | 2020-03-06 | 云网络端口安全防护方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010152431.5A CN111343193B (zh) | 2020-03-06 | 2020-03-06 | 云网络端口安全防护方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111343193A CN111343193A (zh) | 2020-06-26 |
| CN111343193B true CN111343193B (zh) | 2022-06-07 |
Family
ID=71187928
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010152431.5A Active CN111343193B (zh) | 2020-03-06 | 2020-03-06 | 云网络端口安全防护方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111343193B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115842655A (zh) * | 2022-11-10 | 2023-03-24 | 合芯科技有限公司 | 防止非法设备接入方法、装置、系统及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN201298918Y (zh) * | 2008-12-04 | 2009-08-26 | 中国移动通信集团广西有限公司 | 网络接入控制系统及设备 |
| CN103929376A (zh) * | 2014-04-30 | 2014-07-16 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
| CN105024949A (zh) * | 2014-04-28 | 2015-11-04 | 国网山西省电力公司电力科学研究院 | 端口自动绑定方法及系统 |
| CN105245386A (zh) * | 2015-10-26 | 2016-01-13 | 上海华讯网络系统有限公司 | 服务器连接关系的自动定位方法和系统 |
| CN105577618A (zh) * | 2014-10-15 | 2016-05-11 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN209881803U (zh) * | 2019-04-25 | 2019-12-31 | 中国移动通信集团湖南有限公司 | 一种端口状态检测设备及网络系统 |
| CN110839007A (zh) * | 2018-08-17 | 2020-02-25 | 中国移动通信有限公司研究院 | 一种云网络安全处理方法、设备和计算机存储介质 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101378358B (zh) * | 2008-09-19 | 2010-12-15 | 成都市华为赛门铁克科技有限公司 | 一种实现安全接入控制的方法及系统、服务器 |
| US10122829B2 (en) * | 2008-11-12 | 2018-11-06 | Teloip Inc. | System and method for providing a control plane for quality of service |
| US8862705B2 (en) * | 2009-07-30 | 2014-10-14 | Calix, Inc. | Secure DHCP processing for layer two access networks |
| US9100298B2 (en) * | 2011-05-23 | 2015-08-04 | Cisco Technology, Inc. | Host visibility as a network service |
| CN112291079B (zh) * | 2017-03-28 | 2021-10-26 | 华为技术有限公司 | 一种网络业务配置方法及网络管理设备 |
-
2020
- 2020-03-06 CN CN202010152431.5A patent/CN111343193B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101179583A (zh) * | 2007-12-17 | 2008-05-14 | 杭州华三通信技术有限公司 | 一种防止用户假冒上网的方法及设备 |
| CN201298918Y (zh) * | 2008-12-04 | 2009-08-26 | 中国移动通信集团广西有限公司 | 网络接入控制系统及设备 |
| CN105024949A (zh) * | 2014-04-28 | 2015-11-04 | 国网山西省电力公司电力科学研究院 | 端口自动绑定方法及系统 |
| CN103929376A (zh) * | 2014-04-30 | 2014-07-16 | 尹志超 | 一种基于交换机端口管理的终端准入控制方法 |
| CN105577618A (zh) * | 2014-10-15 | 2016-05-11 | 中兴通讯股份有限公司 | 认证方法及装置 |
| CN105245386A (zh) * | 2015-10-26 | 2016-01-13 | 上海华讯网络系统有限公司 | 服务器连接关系的自动定位方法和系统 |
| CN110839007A (zh) * | 2018-08-17 | 2020-02-25 | 中国移动通信有限公司研究院 | 一种云网络安全处理方法、设备和计算机存储介质 |
| CN209881803U (zh) * | 2019-04-25 | 2019-12-31 | 中国移动通信集团湖南有限公司 | 一种端口状态检测设备及网络系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111343193A (zh) | 2020-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7414391B2 (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
| CN111092869B (zh) | 终端接入办公网络安全管控方法及认证服务器 | |
| CN101512510A (zh) | 基于定义和应用网络管理意图提供网络管理的方法和系统 | |
| CN104158767B (zh) | 一种网络准入装置及方法 | |
| CN106452955B (zh) | 一种异常网络连接的检测方法及系统 | |
| CN105847300B (zh) | 企业网络边界设备拓扑结构的可视化方法及装置 | |
| CN109284140B (zh) | 配置方法及相关设备 | |
| CN108712369B (zh) | 一种工业控制网多属性约束访问控制决策系统和方法 | |
| CN113794276A (zh) | 一种基于人工智能的配电网终端安全行为监测系统及方法 | |
| CN107104958A (zh) | 管理私有云设备的方法、私有云和公有云设备及存储装置 | |
| CN116055254A (zh) | 一种安全可信网关系统、控制方法、介质、设备及终端 | |
| CN111343193B (zh) | 云网络端口安全防护方法、装置、电子设备及存储介质 | |
| CN109617918B (zh) | 一种安全运维网关及其运维方法 | |
| CN105391720A (zh) | 用户终端登录方法及装置 | |
| US8477747B1 (en) | Automatic capture of wireless endpoints for connection enforcement | |
| WO2024057557A1 (ja) | 診断装置及び診断方法 | |
| CN103744992B (zh) | 一种用于访问计算机文件内容的控制方法及系统 | |
| GB2568145A (en) | Poisoning protection for process control switches | |
| US20230262095A1 (en) | Management of the security of a communicating object | |
| CN114244571B (zh) | 基于数据流分析的非法外联监测方法、装置、计算机设备 | |
| CN108306892A (zh) | 一种基于TrustZone的请求响应方法及系统 | |
| CN106100889A (zh) | 一种snmp协议安全的增强方法及装置 | |
| CN116783871A (zh) | 远程系统以及远程连接方法 | |
| CN112468500A (zh) | 一种基于多维度数据动态变化场景的风险处理方法及系统 | |
| CN117880995A (zh) | 安全态势感知方法、平台、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |