CN113438245A - 一种信息更新、报文安全性检测方法及装置 - Google Patents
一种信息更新、报文安全性检测方法及装置 Download PDFInfo
- Publication number
- CN113438245A CN113438245A CN202110725545.9A CN202110725545A CN113438245A CN 113438245 A CN113438245 A CN 113438245A CN 202110725545 A CN202110725545 A CN 202110725545A CN 113438245 A CN113438245 A CN 113438245A
- Authority
- CN
- China
- Prior art keywords
- interface
- flow classification
- table entry
- acl
- entry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种信息更新、报文安全性检测方法及装置,涉及网络技术领域,应用于网络设备,上述网络设备包括第一接口,第一接口配置有第一SAVA安全表项,上述方法包括:确定是否存在记录有第一接口的标识和第一接口对应的流分类标识的第一ACL表项。若不存在第一ACL表项,则为第一接口分配第一流分类标识,并生成第一ACL表项,路由表中查找与第一源地址匹配的第一路由表项,将第一路由表项记录的流分类标识更新为第一流分类标识。若存在第一ACL表项,则在路由表中查找与第一源地址匹配的第二路由表项,将第二路由表项记录的流分类标识更新为第一ACL表项中记录的流分类标识。应用本发明实施例提供的方案可以降低存储ACL表项占用的存储空间。
Description
技术领域
本发明涉及网络技术领域,特别是涉及一种信息更新、报文安全性检测方法及装置。
背景技术
网络设备可能会接收到来自攻击设备的不安全报文,从而给网络设备带来安全隐患。为了保证网络设备安全,网络设备可以支持SAVA(Source Address ValidationArchitecture,域内地址合法性检测)协议。这种情况下,网络设备可以获得SAVA安全表项,并针对每一SAVA安全表项生成一个ACL(Access Control Lists,访问控制列表)表项。这样网络设备接收到报文后,先基于上述ACL表项对报文进行安全性检测,通过安全性检测后,再对报文进行转发等后续处理。
其中,SAVA安全表项中记录有安全设备的地址、用于接收安全设备所发送报文的第一接口的标识。SAVA安全表项对应的ACL表项用于指示:放行从第一接口接收的安全设备发送的报文。安全设备是指不具有攻击性的设备。
但是由于安全设备往往较多,网络设备获得的SAVA安全表项也较多,进而导致所生成的ACL表项较多,存储ACL表项占用的存储空间较多。
发明内容
本发明实施例的目的在于提供一种信息更新、报文安全性检测方法及装置,以降低存储ACL表项占用的存储空间。具体技术方案如下:
第一方面,本发明实施例提供了一种信息更新方法,应用于网络设备,所述网络设备包括第一接口,所述第一接口配置有第一SAVA安全表项,所述第一SAVA安全表项中记录有:能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识,所述方法包括:
确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项;
若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
本发明的一个实施例中,所述网络设备还包括:第二接口;
所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前,还包括:
判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项;
若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识;
若不存在所述第二SAVA安全表项,则执行所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项的步骤。
本发明的一个实施例中,在所述为所述第一接口分配第一流分类标识之后,所述方法还包括:
生成记录有所述第一接口的标识与所述第一流分类标识的接口表项;
所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项,包括:
判断是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的接口表项,若存在,则确定存在第一ACL表项。
第二方面,本发明实施例提供了一种报文安全性检测方法,应用于网络设备,所述网络设备包括第一接口,所述方法包括:
通过所述第一接口,接收数据报文,所述数据报文包括源地址;
根据所述源地址,在所述网络设备存储的路由表中,查找与所述源地址匹配的路由表项;
确定与所述第一接口对应的目标ACL表项,所述目标ACL表项中记录所述第一接口的标识和所述第一接口对应的流分类标识;
判断所述路由表项中记录的流分类标识与所述目标ACL表项中记录的流分类标识是否相同;
若为是,则确定所述数据报文通过安全性检测。
本发明的一个实施例中,所述第一接口配置有第一SAVA安全表项,所述第一SAVA安全表项中记录有:能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识,所述方法还包括:
确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项;
若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
本发明的一个实施例中,所述网络设备还包括:第二接口;
所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前,还包括:
判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项;
若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识;
若不存在所述第二SAVA安全表项,则执行所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项的步骤。
第三方面,本发明实施例提供了一种信息更新装置,应用于网络设备,所述网络设备包括第一接口,所述第一接口配置有第一SAVA安全表项,所述第一SAVA安全表项中记录有:能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识,所述装置包括:
第一表项确定模块,用于确定是否存在记录有第一接口和所述第一接口对应的流分类标识的第一ACL表项;
第一表项生成模块,用于若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
第一表项更新模块,用于若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
本发明的一个实施例中,所述网络设备还包括:第二接口,所述装置还包括:
第一表项判断模块,用于判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项,若不存在所述第二SAVA安全表项,则触发执行所述第一表项确定模块;
第二表项生成模块,用于若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
第二表项更新模块,用于若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识。
本发明的一个实施例中,所述装置还包括:
接口表项生成模块,用于生成记录有所述第一接口的标识与所述第一流分类标识的接口表项;
所述第一表项确定模块,具体用于:
判断是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的接口表项,若存在,则确定存在第一ACL表项。
第四方面,本发明实施例提供了一种报文安全性检测装置,应用于网络设备,所述网络设备包括第一接口,所述装置包括:
报文接收模块,用于通过所述第一接口,接收数据报文,所述数据报文包括源地址;
表项查找模块,用于根据所述源地址,在所述网络设备存储的路由表中,查找与所述源地址匹配的路由表项;
目标表项确定模块,用于确定与所述第一接口对应的目标ACL表项,所述目标ACL表项中记录所述第一接口的标识和所述第一接口对应的流分类标识;
标识判断模块,用于判断所述路由表项中记录的流分类标识与所述目标ACL表项中记录的流分类标识是否相同;
检测结果确定模块,用于若所述标识判断模块的判断结果为是,则确定所述数据报文通过安全性检测。
本发明的一个实施例中,所述第一接口配置有第一SAVA安全表项,所述第一SAVA安全表项中记录有:能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识,所述装置还包括:
第二表项确定模块,用于确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项;
第三表项生成模块,用于若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
第三表项更新模块,用于若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
本发明的一个实施例中,所述网络设备还包括:第二接口,所述装置还包括:
第二表项判断模块,用于判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项,若不存在所述第二SAVA安全表项,则触发执行所述第二表项确定模块;
第四表项生成模块,用于若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
第四表项更新模块,用于若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识。
第五方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现第一方面或第二方面任一所述的方法步骤。
第六方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现第一方面或第二方面任一所述的方法步骤。
第七方面,本发明实施例还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面或第二方面任一所述的方法步骤。
本发明实施例有益效果:
本发明实施例提供了一种应用于网络设备的信息更新方法,上述网络设备包括第一接口,第一接口配置有第一SAVA安全表项,第一SAVA安全表项中记录有:能够被第一接口放行的报文的第一源地址以及第一接口的标识。网络设备确定是否存在记录有第一接口的标识和第一接口对应的流分类标识的第一ACL表项,若不存在,则为第一接口分配未分配过的第一流分类标识,生成第一ACL表项,并根据第一源地址,在网络设备存储的路由表中,查找与第一源地址匹配的第一路由表项,将第一路由表项记录的流分类标识更新为第一流分类标识。若存在,则在路由表中查找与第一源地址匹配的第二路由表项,将第二路由表项记录的流分类标识更新为第一ACL表项记录的流分类标识。
由以上可见,本发明实施例中若不存在第一接口对应的第一ACL表项,则为第一接口生成一条第一ACL表项,每一接口对应一条ACL表项,所生成的ACL表项的数量与网络设备的接口数量一致,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,因此通过本发明实施例提供的方案生成的ACL表项的数量较少,可以降低存储ACL表项占用的存储空间。并且,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第一ACL表项中记录的流分类标识是否相同,便可以确定第一接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的第一种信息更新方法的流程示意图;
图2为本发明实施例提供的第一种应用场景示意图;
图3为本发明实施例提供的第二种信息更新方法的流程示意图;
图4为本发明实施例提供的第二种应用场景示意图;
图5为本发明实施例提供的第三种信息更新方法的流程示意图;
图6为本发明实施例提供的一种报文安全性检测方法的流程示意图;
图7为本发明实施例提供的第一种信息更新装置的结构示意图;
图8为本发明实施例提供的第二种信息更新装置的结构示意图;
图9为本发明实施例提供的一种报文安全性检测装置的结构示意图;
图10为本发明实施例提供的一种电子设备的结构示意图;
图11为本发明实施例提供的另一种电子设备的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员基于本申请所获得的所有其他实施例,都属于本发明保护的范围。
由于现有技术中存储ACL表项占用的存储空间较多,为了解决这一问题,本发明实施例提供了一种信息更新、报文安全性检测方法及装置。
本发明实施例提供了一种信息更新方法,应用于网络设备,上述网络设备包括第一接口,上述第一接口配置有第一SAVA安全表项,上述第一SAVA安全表项中记录有:能够被上述第一接口放行的报文的第一源地址以及上述第一接口的标识,上述方法包括:
确定是否存在记录有第一接口的标识和上述第一接口对应的流分类标识的第一ACL表项;
若不存在上述第一ACL表项,则为上述第一接口分配第一流分类标识,并生成上述第一ACL表项,根据上述第一源地址,在上述网络设备存储的路由表中,查找与上述第一源地址匹配的第一路由表项,将上述第一路由表项记录的流分类标识更新为上述第一流分类标识;
若存在上述第一ACL表项,则在上述路由表中,查找与上述第一源地址匹配的第二路由表项,将上述第二路由表项记录的流分类标识更新为上述第一ACL表项中记录的流分类标识。
由以上可见,本发明实施例中若不存在第一接口对应的第一ACL表项,则为第一接口生成一条第一ACL表项,每一接口对应一条ACL表项,所生成的ACL表项的数量与网络设备的接口数量一致,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,因此通过本发明实施例提供的方案生成的ACL表项的数量较少,可以降低存储ACL表项占用的存储空间。并且,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第一ACL表项中记录的流分类标识是否相同,便可以确定第一接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
参见图1,为本发明实施例提供的第一种信息更新方法的流程示意图,应用于网络设备,上述网络设备包括第一接口,上述第一接口配置有第一SAVA安全表项,上述第一SAVA安全表项中记录有:能够被上述第一接口放行的报文的第一源地址以及上述第一接口的标识,上述方法包括以下步骤S101-S103。
具体的,上述网络设备可以为交换机、路由器等设备。
另外,上述第一SAVA安全表项可以是静态SAVA安全表项,即为人工配置的预设的SAVA安全表项。
上述第一SAVA安全表项也可以是动态SAVA安全表项。具体的,可以在网络设备的第一接口处设置使能SAVA协议,并在终端处同样使能SAVA协议,则若上述终端需要向上述网络设备的第一接口发送报文,则可以预先向上述第一接口发送访问请求,上述网络设备可以基于SAVA协议确定是否允许上述终端发送的报文通过上述接口,若确定为是,则可以将上述终端确定为安全设备,并动态的生成一个第一SAVA安全表项,记录上述终端的地址与第一接口的标识,标识上述终端发送的报文能够被第一接口放行。
参见图2,为本发明实施例提供的第一种应用场景示意图。
具体的,图中的sw1为上述网络设备,图中的access为一个终端,由图可见上述access与上述sw1的接口1相连。若sw1中存在包含access的地址2000::/64与接口1的标识的SAVA安全表项,则表示地址为2000::/64的access为安全设备,接口1可以放行上述access发送的报文。
S101:确定是否存在记录有第一接口的标识和上述第一接口对应的流分类标识的第一ACL表项。
具体的,不同接口对应不同的流分类标识,每一条ACL表项中均记录有接口的标识与接口对应的流分类标识,用于表示一条报文安全性检测规则,其中,ACL表项所对应的报文安全性检测规则表示:能够匹配ACL表项中记录的流分类标识的报文能够被ACL表项中记录的接口的标识所表示的接口放行。
例如,参见图2,针对接口1的ACL表项中记录有接口1的标识以及流分类标识“100”,则表示能够匹配流分类标识“100”的报文能够被接口1放行。
本发明的一个实施例中,可以基于上述第一接口的标识查找网络设备存储的ACL表项中是否存在存储有上述第一接口的标识的ACL表项,若存在,则确定存在第一ACL表项,并且将所查找到的ACL表项确定为第一ACL表项。
若不存在上述第一ACL表项,则说明还未为第一接口配置ACL表项,因此可以执行步骤S102为第一接口生成ACL表项,若存在上述第一ACL表项,则说明已经为第一接口配置了ACL表项,不需要再为第一接口生成ACL表项,可以执行步骤S103。
上述第一ACL表项可以是通过本发明实施例提供的方案在先前生成的,也可以是人工预先设定的。
S102:为上述第一接口分配第一流分类标识,并生成上述第一ACL表项,根据上述第一源地址,在网络设备存储的路由表中,查找与上述第一源地址匹配的第一路由表项,将第一路由表项记录的流分类标识更新为上述第一流分类标识。
具体的,上述网络设备可以从流分类标识库中为第一接口分配未分配过的第一流分类标识,以保证上述第一接口对应的第一流分类标识与其他接口对应的流分类标识不同,上述第一流分类标识可以未分配过的流分类标识中的任意一个、最小的一个或最大的一个等。
此外,也可以预先为各个接口设置对应的流分类标识,各个接口对应的流分类标识不同,则可以将预设的、第一接口对应的流分类标识作为第一流分类标识。
另外,所生成的第一ACL表项中记录有第一接口的标识与第一流分类标识。
再者,本发明的一个实施例中可以在路由表中查找所记录的源地址为上述第一源地址的路由表项,作为上述第一路由表项。由于网络设备存储的各路由表项中原本便包含用于记录流分类标识的流分类标识字段,因此可以直接将第一路由表项中上述流分类标识字段记录的流分类标识更新为上述第一流分类标识。
网络设备存储的各路由表项中流分类标识字段的默认值可以为空,也可以为某一固定取值,则为与默认值进行区分,为上述第一接口分配的第一流分类标识需要与上述默认值不同。
S103:在上述路由表中,查找与上述第一源地址匹配的第二路由表项,将上述第二路由表项记录的流分类标识更新为上述第一ACL表项中记录的流分类标识。
具体的,由于已存在上述第一ACL表项,因此可以直接在上述路由表中查找记录的源地址为第一源地址的第二路由表项,并将第二路由表项记录的流分类标识更新为上述第一ACL表项中记录的流分类标识。以存储上述第一源地址与流分类标识之间的对应关系。
由以上可见,本发明实施例中若不存在第一接口对应的第一ACL表项,则为第一接口生成一条第一ACL表项,每一接口对应一条ACL表项,所生成的ACL表项的数量与网络设备的接口数量一致,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,因此通过本发明实施例提供的方案生成的ACL表项的数量较少,可以降低存储ACL表项占用的存储空间。并且,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第一ACL表项中记录的流分类标识是否相同,便可以确定第一接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
另外,现有技术中还可以为安全设备的地址设置不同的地址标签tag,例如,为同一网段中的地址设置同一tag。上述ACL表项可以记录有tag与接口的标识,指示匹配所记录的tag的报文可以被所记录的标识表示的接口放行,网络设备在接收到报文后可以确定报文的源地址对应的tag,确定上述tag和接收报文的接口对应的ACL表项中记录的tag是否匹配,从而确定报文是否能够被上述接口放行。但路由表中本身不存在用于记录tag的字段,因此若采用上述方式对报文进行安全性检测,则需要单独创建用于记录tag与地址之间对应关系的数据表。而本发明实施例中直接复用了路由表中本身存在的流分类标识字段,不需要单独创建一个用于记录流分类标识与地址之间对应关系的数据表,可以节省网络设备的存储空间。并且,由于若采用tag进行报文安全性检测,为不同的地址分配的tag的规则可能与网络设备的接口无关,也就是同一接口允许放行的报文对应的tag可能不同,所以可能需要为同一接口设置多个对应不同tag的ACL表项。但本发明实施例只需要为每一接口设置一个ACL表项,本发明实施例存储ACL表项占用的存储空间较少。再者,部分SAVA协议不支持使用tag,本发明实施例在使用不同SAVA协议进行报文安全性检测的场景中均可以使用。
参见图3,为本发明实施例提供的第二种信息更新方法的流程示意图,与前述图1所示的实施例相比,上述网络设备还包含第二接口,上述第二接口的数量可以为一个或多个,在上述步骤S101之前还包括以下步骤S104。
S104:判断是否存在记录有上述第一源地址,且配置于上述第二接口的第二SAVA安全表项。
其中,配置于第二接口的第二SAVA安全表项中记录有第二接口的标识。
具体的,可以在第一SAVA安全表项之外的其他SAVA安全表项中查找记录有的第一源地址的SAVA安全表项,若查找到的SAVA安全表项中记录的接口的标识与第一接口的标识不同,则将查找到的SAVA安全表项确定为第二SAVA安全表项。上述第二SAVA安全表项可以为一个或多个。
上述第一SAVA安全表项与第二SAVA安全表项中记录的源地址均为第一源地址,但记录的接口的标识不同,分别为第一接口的标识与第二接口的标识,所以表示源地址为第一源地址的报文可以被网络设备的第一接口和第二接口放行。
参见图4,为本发明实施例提供的第二种应用场景的示意图。
由图可见,图中的sw1为上述网络设备,图中的access为一个终端,由图可见上述access与上述sw1的接口1与接口3均相连。若sw1中存在包含access的地址2000::/64与接口1的标识的第一SAVA安全表项,以及包含地址2000::/64与接口3的标识的第二SAVA安全表项,则地址为2000::/64的access发送的报文,可以被接口1与接口3放行。
本发明的另一个实施例中,若确定上述网络设备中既存储有第一SAVA安全表项又存储有第二SAVA安全表项,则可以将第一SAVA安全表项与第二SAVA安全表项合并,得到记录有第一SAVA安全表项中记录的源地址、第一接口的标识以及第二接口的标识的SAVA安全表项。
另外,若确定存在上述第二SAVA安全表项,则可以说明源地址为上述第一源地址的报文可以被多个接口放行,可以单独为上述多个接口共同配置一条ACL表项,以控制上述多个接口放行源地址为第一源地址的报文,则可以执行步骤S105-S106,若确定不存在上述第二SAVA安全表项,则可以按照图1所示的实施例执行步骤S101。
S105:若不存在满足预设的匹配条件的第二ACL表项,则为上述第一接口和第二接口分配同一个第二流分类标识,并生成上述第二ACL表项,根据上述第一源地址,在上述网络设备存储的路由表中,查找与上述第一源地址匹配的第三路由表项,将上述第三路由表项记录的流分类标识更新为上述第二流分类标识。
其中,上述匹配条件为:ACL表项记录有上述第一接口的标识、第二接口的标识、上述第一接口和上述第二接口对应的同一个流分类标识。
本发明的一个实施例中,可以查找网络设备存储的ACL表项中是否存在既记录有第一接口的标识,又记录有第二接口的标识,且记录有流分类标识的表项,若未查找到,则确定不存在第二ACL表项,可以生成上述第二ACL表项,执行步骤S105。若查找到,则可以将查找到的ACL表项确定为第二ACL表项,确定存在上述第二ACL表项,不需要重复生成第二ACL表项,执行步骤S106。
具体的,分配第二流分类标识的方法与前述分配第一流分类标识的方法相似,本发明实施例对此不再赘述。
上述第二流分类标识为上述第一接口与第二接口共同对应的一个流分类标识,除上述第二流分类标识之外,上述第一接口还可以自身单独对应一个流分类标识,也就是自身单独对应一条ACL表项。上述第一接口也可以与第二接口之外的其他接口共同对应一个流分类标识,也就是上述第一接口也可以与其他接口共同对应一条ACL表项。同样的,第二接口也可以自身单独对应一个流分类标识,也就是第二接口自身单独对应一条ACL表项,还可以与其他接口共同对应一个流分类标识,也就是第二接口与其他接口共同对应一条ACL表项。
不同ACL表项对应的接口不同,彼此之间并不冲突。
另外,可以在网络设备存储的路由表中查找所记录的源地址为上述第一源地址的路由表项,作为第三路由表项,将第三路由表项记录的流分类标识更新为第二流分类标识。
本发明的一个实施例中,可以生成记录有第一源地址与第二流分类标识的ACL表项作为第二ACL表项,以表示匹配上述第二流分类标识的报文可以被第一接口与第二接口中的任意一个放行。
S106:若存在满足预设的匹配条件的第二ACL表项,则根据上述第一源地址,在上述网络设备存储的路由表中,查找与上述第一源地址匹配的第四路由表项,将上述第四路由表项记录的流分类标识更新为上述第二ACL表项中记录的流分类标识。
具体的,若存在第二ACL表项,不需要重新为第一接口和第二接口共同生成一条第二ACL表项,可以直接在上述路由表中查找所记录的源地址为第一源地址的第四路由表项记录的流分类标识更新为上述第二ACL表项中记录的流分类标识。
由以上可见,若既存在第一SAVA安全表项又存在第二SAVA安全表项,则表示一个安全设备与网络设备的多个接口相连,且上述安全设备发送的、源地址为上述安全设备的地址的报文可以被网络设备的多个接口放行。本发明实施例可以为第一接口和第二接口共同分配一个第二流分类标识,并生成一条包含第一接口的标识、第二接口的标识以及第二流分类标识的第二ACL表项,上述第二ACL表项便可以表示匹配第二流分类标识的报文既可以被第一接口放行又可以被第二接口放行,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,存储上述ACL表项占用的存储空间较少。另外,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第二ACL表项中记录的流分类标识是否相同,便可以确定第一接口和第二接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
参见图5,为本发明实施例提供的第三种信息更新方法的流程示意图,与前述图1所示的实施例相比,在上述步骤S102之后还包括:
S107:生成记录有上述第一接口的标识与上述第一流分类标识的接口表项。
具体的,上述接口表项是接口表中的表项,上述接口表可以是哈希表或树表等形式的数据表。
为第一接口分配了第一流分类标识之后可以生成记录有第一接口的标识与第一流分类标识的接口表项,以通过上述接口表项记录上述第一接口与第一流分类标识之间的对应关系。并且由于上述S107是在S102生成第一ACL表项之后执行的,因此生成记录有上述第一接口的标识的接口表项,表示已生成了上述第一接口对应的第一ACL表项。
此外,上述接口表项中还可以记录有引用计数,表示该接口表项所记录的接口的标识在SAVA安全表项中出现的次数,也就是上述接口能够放行引用计数种不同源地址的报文。
另外,与前述图1所示的实施例相比,上述步骤S101可以通过以下步骤S101A实现。
S101A:判断是否存在记录有第一接口的标识和上述第一接口对应的流分类标识的接口表项。
若存在,则确定存在第一ACL表项,则可以执行步骤S103,否则,确定不存在第一ACL表项,则可以执行步骤S102。
本发明的一个实施例中,可以在网络设备存储的接口表项中查找记录有第一接口的标识的接口表项,若能够查找到,则确定存在第一ACL表项。
由以上可见,上述接口表项中记录有接口的标识与接口对应的流分类标识,因此获得第一SAVA安全表项后,可以基于第一SAVA安全表项中记录的第一接口的标识,查找接口表项便可以确定是否已经为上述第一接口分配了流分类标识,进而确定是否存在第一ACL表项。根据上述接口表项可以较为便捷的确定是否有第一ACL表项存在。
参见图6,为本发明实施例提供的一种报文安全性检测方法的流程示意图,应用于网络设备,上述网络设备包含第一接口,上述方法包括以下步骤S601-S605。
具体的,上述第一接口可以为上述网络设备的任一接口。
S601:通过上述第一接口,接收数据报文。
其中,上述数据报文包括源地址,上述源地址记录于上述数据报文的报文头中。
S602:根据上述源地址,在上述网络设备存储的路由表中,查找与上述源地址匹配的路由表项。
具体的,可以在上述网络设备存储的路由表中,查找所记录的源地址为上述数据报文的源地址的路由表项,作为与上述源地址匹配的路由表项。
S603:确定与上述第一接口对应的目标ACL表项。
其中,上述目标ACL表项中记录上述第一接口的标识和上述第一接口对应的流分类标识。
具体的,可以在上述网络设备存储的ACL表项中查找存储有上述第一接口的标识的ACL表项,作为上述目标ACL表项。
若查找不到,说明上述网络设备未配置对应上述接口的ACL表项,上述网络设备难以对该接口接收的报文进行安全性检测,因此可以结束本发明实施例的流程,暂停对上述报文进行安全性检测。
若确定存在上述目标ACL表项,则可以继续执行步骤S604。
S604:判断上述路由表项中记录的流分类标识与上述目标ACL表项中记录的流分类标识是否相同。
具体的,若上述路由表项中记录的流分类标识与目标ACL表项中记录的流分类标识相同,则可以确定上述数据报文对应的流分类标识与目标ACL表项中记录的流分类标识相匹配,则可以确定上述数据报文通过安全性检测。
若不同,则确定上述数据报文未通过安全性检测,可以删除上述数据报文。
S605:确定上述数据报文通过安全性检测。
由以上可见,本发明实施例可以基于流分类标识对数据报文进行安全性检测,上述流分类标识存储于路由表项中,因此可以直接基于数据报文的源地址,从路由表项中确定数据报文对应的流分类标识,再确定数据报文对应的流分类标识与接收数据报文的第一接口对应的目标ACL表项中记录的流分类标识是否相同,便可以确定数据报文是否通过安全性检测。因此网络设备中仅需要存储路由表项与ACL表项便可以完成安全性检测,报文安全性检测的过程较为简单。并且网络设备中本身便存储有路由表项,因此通过本发明实施例提供的方案进行报文安全性检测总体占用的存储空间较小。
本发明的一个实施例中,上述第一接口配置有第一SAVA安全表项,上述第一SAVA安全表项中记录有:能够被上述第一接口放行的报文的第一源地址以及上述第一接口的标识,则上述报文安全性检测方法还包括以下步骤,以生成第一接口对应的第一ACL表项并更新路由表项中记录的流分类标识。
确定是否存在记录有第一接口的标识和上述第一接口对应的流分类标识的第一ACL表项。
若不存在上述第一ACL表项,则为上述第一接口分配第一流分类标识,并生成上述第一ACL表项,根据上述第一源地址,在上述网络设备存储的路由表中,查找与上述第一源地址匹配的第一路由表项,将上述第一路由表项记录的流分类标识更新为上述第一流分类标识。
若存在上述第一ACL表项,则在上述路由表中,查找与上述第一源地址匹配的第二路由表项,将上述第二路由表项记录的流分类标识更新为上述第一ACL表项中记录的流分类标识。
具体的,上述生成第一接口对应的第一ACL表项并更新路由表项中记录的流分类标识的方法与前述图1所示的实施例相似,本发明实施例对此不再赘述。
由以上可见,本发明实施例中若不存在第一接口对应的第一ACL表项,则为第一接口生成一条第一ACL表项,每一接口对应一条ACL表项,所生成的ACL表项的数量与网络设备的接口数量一致,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,因此通过本发明实施例提供的方案生成的ACL表项的数量较少,可以降低存储ACL表项占用的存储空间。并且,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第一ACL表项中记录的流分类标识是否相同,便可以确定第一接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
本发明的另一个实施例中,上述网络设备还包括第二接口,上述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前,还包括:
判断是否存在记录有上述第一源地址,且配置于上述第二接口的第二SAVA安全表项。
若存在上述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为上述第一接口和第二接口分配同一个第二流分类标识,并生成上述第二ACL表项,根据上述第一源地址,在上述网络设备存储的路由表中,查找与上述第一源地址匹配的第三路由表项,将上述第三路由表项记录的流分类标识更新为上述第二流分类标识。
其中,上述匹配条件为:ACL表项记录有上述第一接口的标识、第二接口的标识、上述第一接口和上述第二接口对应的同一个流分类标识。
若存在上述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据上述第一源地址,在上述网络设备存储的路由表中,查找与上述第一源地址匹配的第四路由表项,将上述第四路由表项记录的流分类标识更新为上述第二ACL表项中记录的流分类标识。
若不存在上述第二SAVA安全表项,则执行上述确定是否存在记录有第一接口的标识和上述第一接口对应的流分类标识的第一ACL表项的步骤。
具体的,为第一接口与第二接口共同生成第二ACL表项并更新路由表项中记录的流分类标识的方法与前述图3所示的实施例相近,本发明实施例对此不再赘述。
由以上可见,若既存在第一SAVA安全表项又存在第二SAVA安全表项,则表示一个安全设备与网络设备的多个接口相连,且上述安全设备发送的、源地址为上述安全设备的地址的报文可以被网络设备的多个接口放行。本发明实施例可以为第一接口和第二接口共同分配一个第二流分类标识,并生成一条包含第一接口的标识、第二接口的标识以及第二流分类标识的第二ACL表项,上述第二ACL表项便可以表示匹配第二流分类标识的报文既可以被第一接口放行又可以被第二接口放行,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,存储上述ACL表项占用的存储空间较少。另外,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第二ACL表项中记录的流分类标识是否相同,便可以确定第一接口和第二接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
与前述信息更新方法相对应,本发明实施例还提供了一种信息更新装置。参见图7,为本发明实施例提供的第一种信息更新装置的结构示意图,应用于网络设备,上述网络设备包括第一接口,上述第一接口配置有第一SAVA安全表项,上述第一SAVA安全表项中记录有:能够被上述第一接口放行的报文的第一源地址以及上述第一接口的标识,上述装置包括:
第一表项确定模块701,用于确定是否存在记录有第一接口和所述第一接口对应的流分类标识的第一ACL表项;
第一表项生成模块702,用于若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
第一表项更新模块703,用于若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
由以上可见,本发明实施例中若不存在第一接口对应的第一ACL表项,则为第一接口生成一条第一ACL表项,每一接口对应一条ACL表项,所生成的ACL表项的数量与网络设备的接口数量一致,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,因此通过本发明实施例提供的方案生成的ACL表项的数量较少,可以降低存储ACL表项占用的存储空间。并且,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第一ACL表项中记录的流分类标识是否相同,便可以确定第一接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
参见图8,为本发明实施例提供的第二种信息更新装置的结构示意图,与前述图7所示的实施例相比,上述网络设备还包括:第二接口,上述装置还包括:
第一表项判断模块704,用于判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项,若不存在所述第二SAVA安全表项,则触发执行所述第一表项确定模块701;
第二表项生成模块705,用于若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
第二表项更新模块706,用于若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识。
由以上可见,若既存在第一SAVA安全表项又存在第二SAVA安全表项,则表示一个安全设备与网络设备的多个接口相连,且上述安全设备发送的、源地址为上述安全设备的地址的报文可以被网络设备的多个接口放行。本发明实施例可以为第一接口和第二接口共同分配一个第二流分类标识,并生成一条包含第一接口的标识、第二接口的标识以及第二流分类标识的第二ACL表项,上述第二ACL表项便可以表示匹配第二流分类标识的报文既可以被第一接口放行又可以被第二接口放行,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,存储上述ACL表项占用的存储空间较少。另外,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第二ACL表项中记录的流分类标识是否相同,便可以确定第一接口和第二接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
本发明的一个实施例中,所述装置还包括:
接口表项生成模块,用于生成记录有所述第一接口的标识与所述第一流分类标识的接口表项;
所述第一表项确定模块701,具体用于:
判断是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的接口表项,若存在,则确定存在第一ACL表项。
由以上可见,上述接口表项中记录有接口的标识与接口对应的流分类标识,因此获得第一SAVA安全表项后,可以基于第一SAVA安全表项中记录的第一接口的标识,查找接口表项便可以确定是否已经为上述第一接口分配了流分类标识,进而确定是否存在第一ACL表项。根据上述接口表项可以较为便捷的确定是否有第一ACL表项存在。
与前述报文安全性检测方法相对应,本发明实施例还提供了一种报文安全性检测装置。
参见图9,为本发明实施例提供的一种报文安全性检测装置的结构示意图,应用于网络设备,上述网络设备包括第一接口,上述装置包括:
报文接收模块901,用于通过所述第一接口,接收数据报文,所述数据报文包括源地址;
表项查找模块902,用于根据所述源地址,在所述网络设备存储的路由表中,查找与所述源地址匹配的路由表项;
目标表项确定模块903,用于确定与所述第一接口对应的目标ACL表项,所述目标ACL表项中记录所述第一接口的标识和所述第一接口对应的流分类标识;
标识判断模块904,用于判断所述路由表项中记录的流分类标识与所述目标ACL表项中记录的流分类标识是否相同;
检测结果确定模块905,用于若所述标识判断模块的判断结果为是,则确定所述数据报文通过安全性检测。
由以上可见,本发明实施例可以基于流分类标识对数据报文进行安全性检测,上述流分类标识存储于路由表项中,因此可以直接基于数据报文的源地址,从路由表项中确定数据报文对应的流分类标识,再确定数据报文对应的流分类标识与接收数据报文的第一接口对应的目标ACL表项中记录的流分类标识是否相同,便可以确定数据报文是否通过安全性检测。因此网络设备中仅需要存储路由表项与ACL表项便可以完成安全性检测,报文安全性检测的过程较为简单。并且网络设备中本身便存储有路由表项,因此通过本发明实施例提供的方案进行报文安全性检测总体占用的存储空间较小。
本发明的一个实施例中,所述第一接口配置有第一SAVA安全表项,所述第一SAVA安全表项中记录有:能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识,所述装置还包括:
第二表项确定模块,用于确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项;
第三表项生成模块,用于若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
第三表项更新模块,用于若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
由以上可见,本发明实施例中若不存在第一接口对应的第一ACL表项,则为第一接口生成一条第一ACL表项,每一接口对应一条ACL表项,所生成的ACL表项的数量与网络设备的接口数量一致,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,因此通过本发明实施例提供的方案生成的ACL表项的数量较少,可以降低存储ACL表项占用的存储空间。并且,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第一ACL表项中记录的流分类标识是否相同,便可以确定第一接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
本发明的一个实施例中,所述网络设备还包括:第二接口,所述装置还包括:
第二表项判断模块,用于判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项,若不存在所述第二SAVA安全表项,则触发执行所述第二表项确定模块;
第四表项生成模块,用于若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
第四表项更新模块,用于若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识。
由以上可见,若既存在第一SAVA安全表项又存在第二SAVA安全表项,则表示一个安全设备与网络设备的多个接口相连,且上述安全设备发送的、源地址为上述安全设备的地址的报文可以被网络设备的多个接口放行。本发明实施例可以为第一接口和第二接口共同分配一个第二流分类标识,并生成一条包含第一接口的标识、第二接口的标识以及第二流分类标识的第二ACL表项,上述第二ACL表项便可以表示匹配第二流分类标识的报文既可以被第一接口放行又可以被第二接口放行,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,存储上述ACL表项占用的存储空间较少。另外,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第二ACL表项中记录的流分类标识是否相同,便可以确定第一接口和第二接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
本发明实施例还提供了一种电子设备,如图10所示,包括处理器1001、通信接口1002、存储器1003和通信总线1004,其中,处理器1001,通信接口1002,存储器1003通过通信总线1004完成相互间的通信,
存储器1003,用于存放计算机程序;
处理器1001,用于执行存储器1003上所存放的程序时,实现上述信息更新方法任一所述的方法步骤。
应用本发明实施例提供的电子设备进行信息更新时,本发明实施例中若不存在第一接口对应的第一ACL表项,则为第一接口生成一条第一ACL表项,每一接口对应一条ACL表项,所生成的ACL表项的数量与网络设备的接口数量一致,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,因此通过本发明实施例提供的方案生成的ACL表项的数量较少,可以降低存储ACL表项占用的存储空间。并且,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第一ACL表项中记录的流分类标识是否相同,便可以确定第一接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
本发明实施例还提供了另一种电子设备,如图11所示,包括处理器1101、通信接口1102、存储器1103和通信总线1104,其中,处理器1101,通信接口1102,存储器1103通过通信总线1104完成相互间的通信,
存储器1103,用于存放计算机程序;
处理器1101,用于执行存储器1103上所存放的程序时,实现上述报文安全性检测方法任一所述的方法步骤。
应用本发明实施例提供的电子设备进行报文安全性检测时,本发明实施例可以基于流分类标识对数据报文进行安全性检测,上述流分类标识存储于路由表项中,因此可以直接基于数据报文的源地址,从路由表项中确定数据报文对应的流分类标识,再确定数据报文对应的流分类标识与接收数据报文的第一接口对应的目标ACL表项中记录的流分类标识是否相同,便可以确定数据报文是否通过安全性检测。因此网络设备中仅需要存储路由表项与ACL表项便可以完成安全性检测,报文安全性检测的过程较为简单。并且网络设备中本身便存储有路由表项,因此通过本发明实施例提供的方案进行报文安全性检测总体占用的存储空间较小。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选的,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(Network Processor,NP)等;还可以是数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一信息更新方法的步骤。
执行本发明实施例提供的计算机可读存储介质中存储的计算机程序进行信息更新时,本发明实施例中若不存在第一接口对应的第一ACL表项,则为第一接口生成一条第一ACL表项,每一接口对应一条ACL表项,所生成的ACL表项的数量与网络设备的接口数量一致,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,因此通过本发明实施例提供的方案生成的ACL表项的数量较少,可以降低存储ACL表项占用的存储空间。并且,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第一ACL表项中记录的流分类标识是否相同,便可以确定第一接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
在本发明提供的又一实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一报文安全性检测方法的步骤。
执行本发明实施例提供的计算机可读存储介质中存储的计算机程序进行报文安全性检测时,本发明实施例可以基于流分类标识对数据报文进行安全性检测,上述流分类标识存储于路由表项中,因此可以直接基于数据报文的源地址,从路由表项中确定数据报文对应的流分类标识,再确定数据报文对应的流分类标识与接收数据报文的第一接口对应的目标ACL表项中记录的流分类标识是否相同,便可以确定数据报文是否通过安全性检测。因此网络设备中仅需要存储路由表项与ACL表项便可以完成安全性检测,报文安全性检测的过程较为简单。并且网络设备中本身便存储有路由表项,因此通过本发明实施例提供的方案进行报文安全性检测总体占用的存储空间较小。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一信息更新方法。
执行本发明实施例提供的计算机程序进行信息更新时,本发明实施例中若不存在第一接口对应的第一ACL表项,则为第一接口生成一条第一ACL表项,每一接口对应一条ACL表项,所生成的ACL表项的数量与网络设备的接口数量一致,与网络中包含的安全设备的数量相比,网络设备的接口数量明显较少,因此通过本发明实施例提供的方案生成的ACL表项的数量较少,可以降低存储ACL表项占用的存储空间。并且,与第一源地址匹配的路由表项中记录有流分类标识,因此根据路由表项可以确定报文对应的流分类标识,再确定报文对应的流分类标识与第一ACL表项中记录的流分类标识是否相同,便可以确定第一接口是否可以放行上述报文,从而完成报文安全性检测。因此本发明实施例在降低ACL表项占用的网络设备的存储空间的同时,可以保证报文安全性检测能够正常执行。
在本发明提供的又一实施例中,还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述实施例中任一报文安全性检测方法。
执行本发明实施例提供的计算机程序进行报文安全性检测时,本发明实施例可以基于流分类标识对数据报文进行安全性检测,上述流分类标识存储于路由表项中,因此可以直接基于数据报文的源地址,从路由表项中确定数据报文对应的流分类标识,再确定数据报文对应的流分类标识与接收数据报文的第一接口对应的目标ACL表项中记录的流分类标识是否相同,便可以确定数据报文是否通过安全性检测。因此网络设备中仅需要存储路由表项与ACL表项便可以完成安全性检测,报文安全性检测的过程较为简单。并且网络设备中本身便存储有路由表项,因此通过本发明实施例提供的方案进行报文安全性检测总体占用的存储空间较小。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、电子设备、计算机可读存储介质和计算机程序产品而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
以上所述仅为本发明的较佳实施例,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。
Claims (12)
1.一种信息更新方法,其特征在于,应用于网络设备,所述网络设备包括第一接口,所述第一接口配置有第一域内地址合法性检测SAVA安全表项,所述第一SAVA安全表项中记录有:能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识,所述方法包括:
确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一访问控制技术ACL表项;
若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
2.根据权利要求1所述的方法,其特征在于,所述网络设备还包括:第二接口;
所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前,还包括:
判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项;
若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识;
若不存在所述第二SAVA安全表项,则执行所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项的步骤。
3.根据权利要求1或2所述的方法,其特征在于,在所述为所述第一接口分配第一流分类标识之后,所述方法还包括:
生成记录有所述第一接口的标识与所述第一流分类标识的接口表项;
所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项,包括:
判断是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的接口表项,若存在,则确定存在第一ACL表项。
4.一种报文安全性检测方法,其特征在于,应用于网络设备,所述网络设备包括第一接口,所述方法包括:
通过所述第一接口,接收数据报文,所述数据报文包括源地址;
根据所述源地址,在所述网络设备存储的路由表中,查找与所述源地址匹配的路由表项;
确定与所述第一接口对应的目标ACL表项,所述目标ACL表项中记录所述第一接口的标识和所述第一接口对应的流分类标识;
判断所述路由表项中记录的流分类标识与所述目标ACL表项中记录的流分类标识是否相同;
若为是,则确定所述数据报文通过安全性检测。
5.根据权利要求4所述的方法,其特征在于,所述第一接口配置有第一SAVA安全表项,所述第一SAVA安全表项中记录有:能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识,所述方法还包括:
确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项;
若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
6.根据权利要求5所述的方法,其特征在于,所述网络设备还包括:第二接口;
所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项之前,还包括:
判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项;
若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识;
若不存在所述第二SAVA安全表项,则执行所述确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项的步骤。
7.一种信息更新装置,其特征在于,应用于网络设备,所述网络设备包括第一接口,所述第一接口配置有第一SAVA安全表项,所述第一SAVA安全表项中记录有:能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识,所述装置包括:
第一表项确定模块,用于确定是否存在记录有第一接口和所述第一接口对应的流分类标识的第一ACL表项;
第一表项生成模块,用于若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
第一表项更新模块,用于若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
8.根据权利要求7所述的装置,其特征在于,所述网络设备还包括:第二接口,所述装置还包括:
第一表项判断模块,用于判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项,若不存在所述第二SAVA安全表项,则触发执行所述第一表项确定模块;
第二表项生成模块,用于若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
第二表项更新模块,用于若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识。
9.根据权利要求7或8所述的装置,其特征在于,所述装置还包括:
接口表项生成模块,用于生成记录有所述第一接口的标识与所述第一流分类标识的接口表项;
所述第一表项确定模块,具体用于:
判断是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的接口表项,若存在,则确定存在第一ACL表项。
10.一种报文安全性检测装置,其特征在于,应用于网络设备,所述网络设备包括第一接口,所述装置包括:
报文接收模块,用于通过所述第一接口,接收数据报文,所述数据报文包括源地址;
表项查找模块,用于根据所述源地址,在所述网络设备存储的路由表中,查找与所述源地址匹配的路由表项;
目标表项确定模块,用于确定与所述第一接口对应的目标ACL表项,所述目标ACL表项中记录所述第一接口的标识和所述第一接口对应的流分类标识;
标识判断模块,用于判断所述路由表项中记录的流分类标识与所述目标ACL表项中记录的流分类标识是否相同;
检测结果确定模块,用于若所述标识判断模块的判断结果为是,则确定所述数据报文通过安全性检测。
11.根据权利要求10所述的装置,其特征在于,所述第一接口配置有第一SAVA安全表项,所述第一SAVA安全表项中记录有:能够被所述第一接口放行的报文的第一源地址以及所述第一接口的标识,所述装置还包括:
第二表项确定模块,用于确定是否存在记录有第一接口的标识和所述第一接口对应的流分类标识的第一ACL表项;
第三表项生成模块,用于若不存在所述第一ACL表项,则为所述第一接口分配第一流分类标识,并生成所述第一ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第一路由表项,将所述第一路由表项记录的流分类标识更新为所述第一流分类标识;
第三表项更新模块,用于若存在所述第一ACL表项,则在所述路由表中,查找与所述第一源地址匹配的第二路由表项,将所述第二路由表项记录的流分类标识更新为所述第一ACL表项中记录的流分类标识。
12.根据权利要求11所述的装置,其特征在于,所述网络设备还包括:第二接口,所述装置还包括:
第二表项判断模块,用于判断是否存在记录有所述第一源地址,且配置于所述第二接口的第二SAVA安全表项,若不存在所述第二SAVA安全表项,则触发执行所述第二表项确定模块;
第四表项生成模块,用于若存在所述第二SAVA安全表项、且不存在满足预设的匹配条件的第二ACL表项,则为所述第一接口和第二接口分配同一个第二流分类标识,并生成所述第二ACL表项,根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第三路由表项,将所述第三路由表项记录的流分类标识更新为所述第二流分类标识;
其中,所述匹配条件为:ACL表项记录有所述第一接口的标识、第二接口的标识、所述第一接口和所述第二接口对应的同一个流分类标识;
第四表项更新模块,用于若存在所述第二SAVA安全表项、且存在满足预设的匹配条件的第二ACL表项,则根据所述第一源地址,在所述网络设备存储的路由表中,查找与所述第一源地址匹配的第四路由表项,将所述第四路由表项记录的流分类标识更新为所述第二ACL表项中记录的流分类标识。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110725545.9A CN113438245B (zh) | 2021-06-29 | 2021-06-29 | 一种信息更新、报文安全性检测方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110725545.9A CN113438245B (zh) | 2021-06-29 | 2021-06-29 | 一种信息更新、报文安全性检测方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113438245A true CN113438245A (zh) | 2021-09-24 |
CN113438245B CN113438245B (zh) | 2023-04-07 |
Family
ID=77757787
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110725545.9A Active CN113438245B (zh) | 2021-06-29 | 2021-06-29 | 一种信息更新、报文安全性检测方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113438245B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115022225A (zh) * | 2022-05-31 | 2022-09-06 | 东风电驱动系统有限公司 | 报文转发方法、装置、设备及可读存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090154348A1 (en) * | 2007-12-18 | 2009-06-18 | Greg Newman | Method for configuring ACLS on network device based on flow information |
CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
CN107786497A (zh) * | 2016-08-25 | 2018-03-09 | 华为技术有限公司 | 生成acl表的方法和装置 |
CN111131045A (zh) * | 2019-12-04 | 2020-05-08 | 杭州迪普科技股份有限公司 | 报文转发方法和网络设备 |
CN111200611A (zh) * | 2020-01-06 | 2020-05-26 | 清华大学 | 基于边界接口等价类的域内源地址验证方法及装置 |
CN112187740A (zh) * | 2020-09-14 | 2021-01-05 | 锐捷网络股份有限公司 | 一种网络接入控制方法、装置、电子设备及存储介质 |
CN112468415A (zh) * | 2020-10-21 | 2021-03-09 | 浪潮思科网络科技有限公司 | 一种协议报文处理方法、装置、设备及介质 |
CN112866208A (zh) * | 2020-12-31 | 2021-05-28 | 迈普通信技术股份有限公司 | 表项配置方法、报文处理方法、装置、设备及存储介质 |
-
2021
- 2021-06-29 CN CN202110725545.9A patent/CN113438245B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090154348A1 (en) * | 2007-12-18 | 2009-06-18 | Greg Newman | Method for configuring ACLS on network device based on flow information |
CN107786497A (zh) * | 2016-08-25 | 2018-03-09 | 华为技术有限公司 | 生成acl表的方法和装置 |
US20190190828A1 (en) * | 2016-08-25 | 2019-06-20 | Huawei Technologies Co., Ltd. | Method and apparatus for generating acl table |
CN106911724A (zh) * | 2017-04-27 | 2017-06-30 | 杭州迪普科技股份有限公司 | 一种报文处理方法及装置 |
CN111131045A (zh) * | 2019-12-04 | 2020-05-08 | 杭州迪普科技股份有限公司 | 报文转发方法和网络设备 |
CN111200611A (zh) * | 2020-01-06 | 2020-05-26 | 清华大学 | 基于边界接口等价类的域内源地址验证方法及装置 |
CN112187740A (zh) * | 2020-09-14 | 2021-01-05 | 锐捷网络股份有限公司 | 一种网络接入控制方法、装置、电子设备及存储介质 |
CN112468415A (zh) * | 2020-10-21 | 2021-03-09 | 浪潮思科网络科技有限公司 | 一种协议报文处理方法、装置、设备及介质 |
CN112866208A (zh) * | 2020-12-31 | 2021-05-28 | 迈普通信技术股份有限公司 | 表项配置方法、报文处理方法、装置、设备及存储介质 |
Non-Patent Citations (2)
Title |
---|
J. WU等: "A Source Address Validation Architecture (SAVA) Testbed and Deployment Experience", 《IETF RFC5210》 * |
李大周: "利用路由器ACL功能保障局域网安全", 《电脑知识与技术》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115022225A (zh) * | 2022-05-31 | 2022-09-06 | 东风电驱动系统有限公司 | 报文转发方法、装置、设备及可读存储介质 |
CN115022225B (zh) * | 2022-05-31 | 2023-11-10 | 东风电驱动系统有限公司 | 报文转发方法、装置、设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113438245B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR20100015953A (ko) | 전자메일 메시지들의 식별 및 상관 | |
CN112468364B (zh) | Cip资产的探测方法、装置、计算机设备及可读存储介质 | |
CN113079097A (zh) | 一种报文处理方法及装置 | |
CN108460271B (zh) | 终端识别方法及装置 | |
CN111382206B (zh) | 一种数据存储方法及装置 | |
CN114610951A (zh) | 数据处理方法、装置、电子设备及可读存储介质 | |
CN112202633B (zh) | 区块链网络的测试方法、装置、电子设备及可读存储介质 | |
CN113438245B (zh) | 一种信息更新、报文安全性检测方法及装置 | |
CN111953558A (zh) | 敏感信息的监控方法、装置、电子设备及存储介质 | |
CN114390044B (zh) | 一种文件上传方法、系统、设备及存储介质 | |
CN109600254B (zh) | 全链路日志的生成方法及相关系统 | |
CN114401319A (zh) | 一种请求处理方法、装置、服务器及存储介质 | |
KR101846778B1 (ko) | Id 확인 서비스 방법 및 이를 적용한 m2m 시스템 | |
CN113765988A (zh) | 信息处理方法、装置、电子设备及存储介质 | |
CN106796644B (zh) | 访问控制系统及访问控制方法 | |
KR20150139546A (ko) | 탈착가능형 저장 디바이스 아이덴티티 및 구성 정보 | |
CN110955460A (zh) | 一种服务进程启动方法、装置、电子设备和存储介质 | |
CN114257545B (zh) | 一种报文转发方法及装置 | |
CN113347239A (zh) | 通信请求处理方法、装置、系统、电子设备及存储介质 | |
CN114827158A (zh) | 一种配置信息的加载方法、系统及服务器 | |
CN112256820A (zh) | 一种文档定位方法及装置 | |
CN115865839B (zh) | Acl管理方法、装置、通信设备及存储介质 | |
US10200242B2 (en) | System and method to replicate server configurations across systems using sticky attributions | |
CN112035174B (zh) | 运行web服务的方法、装置及计算机存储介质 | |
US11687476B2 (en) | Management apparatus, management system, management method, and non-transitory computer readable medium |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |