具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。另外需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
正如背景技术所言,相关技术中的访问控制通常是针对单一的网络层、传输层或应用层进行单层的访问控制,无法适配多层混合的访问控制的应用场景。并且,对于应用层的单层访问控制,需要记录大量的应用层协议状态,无法实现高效的访问控制。
有鉴于此,本公开提供一种访问控制方法,以基于多层协议进行混合访问控制,并基于域名对应用层进行访问控制,实现无状态的高效访问控制。
图1是根据本公开一示例性实施例示出的一种访问控制方法的流程图。参照图1,该访问控制方法包括:
步骤101,获取数据包,并解析数据包得到数据包携带的位于应用层之上的至少一个网络层级对应的层级特征。
步骤102,根据层级特征在连接跟踪表匹配数据包对应的连接条目。该连接跟踪表用于通过连接条目记录数据包对应的网络连接的访问控制状态。
步骤103,若在连接跟踪表中未匹配到数据包对应的连接条目,则基于层级特征,在连接跟踪表中建立新的连接条目。
步骤104,解析数据包的应用层数据,得到数据包的域名。
步骤105,基于域名、层级特征以及第一访问控制规则,确定对数据包的第一控制操作。其中,第一访问控制规则为针对多个网络层级的多层访问控制规则。
步骤106,基于第一控制操作配置新的连接条目对应的访问控制信息,并从连接跟踪表获取该访问控制信息,对数据包进行访问控制。
通过上述方式,若在连接跟踪表中未匹配到连接条目,则可以基于包括域名在内的多个层级特征以及第一访问控制规则,确定对数据包的第一控制操作,然后基于第一控制操作确定连接跟踪表中新的连接条目对应的访问控制信息,并从连接跟踪表中获取该访问控制信息,对数据包进行访问控制。由此,可以基于多个网络层级提取的特征信息,通过与具体应用层协议无关的无状态的机制,进行多层网络信息混合访问控制。其中,无状态主要体现在应用层的访问控制,无需记录大量的应用层协议状态,可以通过域名匹配进行访问控制,从而实现对于网络多层次的高效访问控制。
为了使得本领域技术人员更加理解本公开提供的访问控制方法,下面对上述各步骤进行详细举例说明。
首先应当理解的是,本公开实施例提供的访问控制方法可以通过设置作为可选的功能。当接收到用户用于开启该访问控制功能的信息时,则执行针对获取到的数据包执行本公开提供的访问控制方法,以确定放行(即通过)或丢弃数据包。若没有接收到用户用于开启该访问控制功能的信息或者接收到用户用于关闭该访问控制功能的信息时,则直接放行获取到的数据包,不执行本公开提供的访问控制方法。
示例地,本公开可以对多种场景的网络出口流量进行多层协议的混合无状态访问控制。例如,企业VPN(Virtual Private Network,虚拟专用网络)访问内网的访问控制、或企业内部用户访问外网的访问控制、以及组网内网关流量出口的访问控制等场景。相应地,数据包可以是各种场景下的流量数据包。比如,对于企业VPN访问内网的访问控制场景,数据包可以是内网接收到的VPN数据包。
在可能的方式中,解析数据包携带的位于得到数据包应用层之上的至少一个网络层级对应的层级特征可以是:先解析数据包的网络层协议,若网络层协议为预设网络层协议,则解析数据包的网络层头部数据,得到数据包对应的IP信息和传输层协议,若传输层协议为预设传输层协议,则解析数据包的传输层头部数据,得到数据包对应的端口信息。由此,可以通过解析应用层之上的传输层和网络层得到对应的层级特征进行后续步骤。
当然,在其他可能的方式中,也可以解析数据包的传输层得到对应的层级特征进行后续步骤,或者也可以解析数据包的网络层得到对应的层级特征进行后续步骤。也即是说,解析应用层之上的至少一个网络层级可以是应用层之上的任意其他网络层级,本公开实施例对此不作限定。
示例地,预设网络层协议可以是IPv4协议或IPv6协议,预设传输层协议可以是UDP或TCP,本公开实施例对此不作限定。例如,首先判断网络层协议是否为IPv4或IPv6,若网络层协议为IPv4或IPv6,则解析数据包的网络层头部数据,得到源IP、目的IP和传输层的协议类型。之后,可以判断传输层协议,若传输层协议为UDP或TCP,则解析数据包的传输层头部数据,得到UDP端口信息或TCP端口信息。
在可能的方式中,若数据包的网络层协议不是预设网络层协议或者数据包的传输层协议不是预设传输层协议,则可以基于第三访问控制规则确定对数据包的第三控制操作,其中,第三访问控制规则包括针对网络层和传输层的双层访问控制规则。然后,基于第三控制操作对数据包进行访问控制。
比如,数据包的网络层协议不是IPv4或IPv6,或者数据包的传输层协议不是UDP或TCP,则基于第三访问控制规则确定对数据包的第三控制操作。其中,第三访问控制规则包括针对网络层和传输层的双层访问控制规则,比如,第三访问控制规则包括ip-ip类型的规则和object-ip类型的规则。其中,ip-ip类型的规则为通用的防火墙匹配规则,可以对源IP、目的IP、源端口、目的端口和协议类型中的至少一者进行访问控制。object-ip类型的规则可以对指定分组的IP、端口和协议类型中的至少一者进行访问控制。本公开实施例对于第三访问控制规则的具体内容不作限定,可以根据实际情况设定。
基于第三访问控制规则确定对数据包的第三控制操作后,可以基于该第三控制操作对数据包进行访问控制。由此,本公开实施例可以提供基于第一访问控制规则和第三访问控制规则的不同访问控制方式,适配不同场景下的多层混合访问控制。
在可能的方式中,在解析得到应用层之上至少一个网络层级对应的层级特征后,还可以基于该层级特征确定数据包的IP是否与目标终端所处的对等网络的IP一致,其中目标终端为获取数据包的终端,若数据包的IP与对等网络的IP一致,则放行数据包。由此,可以在连接跟踪表进行条目匹配之前,根据实际需求放行特殊IP数据包,满足不同场景下的访问控制需求。
示例地,连接跟踪表用于通过连接条目记录数据包对应的网络连接的访问控制信息。首先,可以通过解析到的层级特征,比如IP地址、TCP端口等信息在连接跟踪表中匹配连接条目,若匹配到连接条目,则基于该连接条目对应的访问控制信息对数据包进行访问控制。若没有匹配到连接条目,则基于IP地址、TCP端口等层级特征建立新的连接条目,此时该新的连接条目的访问控制信息为空。然后可以基于后续解析到的域名、层级特征和第一访问控制规则进行规则匹配后确定对应的访问控制操作,再通过该访问控制操作配置该新的连接条目的访问控制信息进行访问控制。
在实际应用中,可以通过连接条目的条目状态表示对应的访问控制信息。参照图2,连接条目的条目状态可以包括stateInit、statePending、stateHttp和stateAction。其中,stateInit表示连接跟踪表条目初始状态,即未建立网络连接对应的连接条目,statePending表示已建立连接条目,但该条目没有对应的访问控制操作,stateHttp表示设置http/https标识,后续判断该标识已设置,可直接用于域名特征提取以进行后续的访问控制。stateAction表示已经匹配到规则集,并基于规则中的访问控制操作放行或丢弃数据包,非首包查询该标识即可获取到对应的访问控制操作进行访问控制。
继续参照图2,事件firstPacket表示数据包首包,在连接跟踪表中未查到任何条目,事件httpPacket表示HTTP数据包或HTTPS数据包到来,需要设置连接跟踪表条目的HTTP或HTTPS协议标识,事件notMatchAnyRules表示未匹配到任何规则,事件matchHttpRules表示匹配到HTTP或HTTPS数据包的域名规则,事件matchNotHttpRules表示匹配到非HTTP或HTTPS数据包的规则,事件ageing表示定时删除无用连接跟踪表条目。
应当理解的是,为防止内存无限增长,本公开实施例通过设置连接跟踪表的老化时间和相应的逻辑,去定时删除一段时间内没有用的网络连接所对应的连接条目。另外还可以使用哈希表来高效的匹配数据包行为。
在得到数据包的层级特征后,可以基于该网络层特征和传输层特征建立五元组或三元组,从而基于该五元组或三元组匹配连接跟踪表是否有可匹配的连接条目。比如,可以建立包括源IP、目的IP、源端口、目的端口和协议类型的五元组或者可以建立包括源IP、目的IP和协议类型的三元组在连接跟踪表中进行条目匹配。
若在连接跟踪表中未匹配到数据包对应的连接条目,则可以基于网络层特征和传输层特征,在连接跟踪表中建立新的连接条目。并且,参照图2所示的条目状态,在建立新的连接条目后,可以将该新的连接条目的状态更新为pending,表明该连接条目刚建立且没有对应的访问控制操作。
在建立新的连接条目后,可以解析数据包的应用层数据,以得到数据包的域名。应当理解的是,对于HTTP连接或HTTPS连接,无法确定哪个数据包携带有域名信息,因此可以判断是否能够解析到域名。若能够解析到域名,则可以基于该域名、之前解析到的层级特征以及第一访问控制规则,确定对数据包的第一控制操作,然后基于该第一控制操作确定新的连接条目对应的访问控制信息,并从连接跟踪表中获取该新的连接条目对应的访问控制信息,对数据包进行访问控制。在其他可能的情况下,若无法解析到域名,则可以直接放行数据包,直到解析出域名后,基于该域名、之前解析到的之前解析到的层级特征以及第一访问控制规则进行访问控制。
由此,可以通过统一机制对不同层次的协议进行访问控制,灵活适配多层网络控制的应用场景。
示例地,第一访问控制规则可以包括ip-ip类型的规则、object-ip类型的规则和object-url类型的规则。其中,ip-ip类型的规则为通用的防火墙匹配规则,可以对源IP、目的IP、源端口、目的端口和协议类型中的至少一者进行访问控制。object-ip类型的规则可以对指定分组的IP、端口和协议类型中的至少一者进行访问控制。object-url类型的规则可以对不同指定分组进行域名的访问控制。本公开实施例对于第一访问控制规则的具体内容不作限定,可以根据实际情况设定。
在可能的方式中,若在连接跟踪表中匹配到数据包对应的连接条目,则可以基于数据包对应的连接条目的访问控制信息,对数据包进行访问控制。
应当理解的是,若在连接跟踪表中匹配到数据包对应的连接条目,则说明连接跟踪表中记录有该数据包对应的网络连接的访问控制信息,由于同属于一个网络连接,则可以基于之前记录的、该网络连接对应的数据包的访问控制信息对本次获取的数据包进行访问控制。由此,无需每个数据都基于第一访问控制规则进行规则匹配,可以提升访问控制效率。
在可能的方式中,解析数据包的应用层数据可以是:先确定连接跟踪表的应用层标识是否设置为预设连接标识,若连接跟踪表的应用层标识未设置为预设连接标识,则当数据包的应用层协议为预设应用层协议时,解析数据包的应用层数据。
示例地,预设连接标识可以是预设应用层协议对应的协议标识,比如预设应用层协议可以是HTTP协议或HTTPS协议,则预设连接标识可以是HTTP标识或HTTPS标识,本公开实施例对此不作限定。
应当理解的是,若未在连接跟踪表中匹配到连接条目,且连接跟踪表的应用层标识不是预设连接标识,则说明数据包为连接首包,可以进一步判断该数据包的应用层协议是否为预设应用层协议。然后当数据包的应用层协议为预设应用层协议时,解析数据包的应用层数据。同时,还可以更新连接跟踪表的应用层标识为预设连接标识。由此,后续可以基于该应用层标识确定同一网络连接下的数据包的应用层协议为预设应用层协议,从而直接尝试对该数据包进行域名解析,并基于解析到的域名进行访问控制,无需记录大量的应用层协议状态,可以实现高效的访问控制。
在可能的方式中,确定连接跟踪表的应用层标识是否设置为预设连接标识可以是:基于层级特征确定数据包的IP是否在预设IP池中,其中预设IP池用于记录允许通过的IP信息。若数据包的IP在预设IP池中,则基于层级特征确定数据包的传输层协议是否为传输控制协议。若数据包的传输层协议为传输控制协议,则确定连接跟踪表的应用层标识是否设置为预设连接标识。
示例地,在确定连接跟踪表的应用层标识是否设置为预设连接标识之前,可以先基于解析到的网络层特征确定数据包的IP是否在预设IP池中,并基于解析到的传输层特征确定数据包的传输层协议是否为传输控制协议。若数据包的IP在预设IP池中且传输层协议为传输控制协议,则进一步确定连接跟踪表的应用层标识是否设置为预设连接标识。若数据包的IP不在预设IP池中或数据包的传输层协议不是传输控制协议,则可以基于第三访问控制规则对数据包进行访问控制。由此,可以适配多种场景下的混合访问控制。
在可能的方式中,若连接跟踪表的应用层标识未设置为预设连接标识,且数据包的应用层协议不是预设应用层协议,则基于第二访问控制规则确定对数据包的第二控制操作,然后基于第二控制操作对数据包进行访问控制。
示例地,第二访问控制规则为针对位于应用层之上至少一个网络层级的访问控制规则。比如,第二访问控制规则可以包括ip-ip类型的规则和object-ip类型的规则。其中,ip-ip类型的规则为通用的防火墙匹配规则,可以对源IP、目的IP、源端口、目的端口和协议类型中的至少一者进行访问控制。object-ip类型的规则可以对指定分组的IP、端口和协议类型中的至少一者进行访问控制。另外应当理解的是,第二访问控制规则可以与第三访问控制规则相同,也可以不同,本公开实施例对此不作限定。
例如,预设应用层协议为HTTP协议或HTTPS协议,若应用层标识未设置为预设连接标识,则说明数据包为连接首包,同时若数据包的应用层协议不是预设应用层协议,则说明该数据包为非HTTP数据首包或非HTTPS数据首包。在此基础上,可以根据指定规则或默认规则决定是否放行该数据包,即根据第二访问控制规则对该数据包进行访问控制。由此,可以实现基于第一访问控制规则、第二访问控制规则和第三访问控制规则的多种规则匹配方式,适配不同场景下的多层混合访问控制。
在可能的方式中,若连接跟踪表的应用层标识设置为预设连接标识,且解析数据包的应用层数据无法得到数据包的域名,则放行数据包,
例如,预设连接标识为HTTP标识或HTTPS标识,若连接跟踪表的应用层标识设置为预设连接标识,则说明该数据包为非连接首包,并且该数据包是HTTP数据包或HTTPS数据包。在此种情况下,可以直接尝试解析数据包的域名。若解析得到域名,则基于域名、之前解析到的层级特征(比如网络层特征和传输层特征)以及第一访问控制规则进行访问控制。另外,由于无法确定该网络连接下的哪个数据包携带有域名信息,若无法解析得到域名,则可以直接放行该数据包,便于后续解析域名。然后在解析到域名后,同样基于域名、之前解析到的层级特征(比如网络层特征和传输层特征)以及第一访问控制规则进行访问控制。
也即是说,在数据包为HTTP数据包或HTTPS数据包的情况下,针对数据首包,即连接跟踪表的应用层标识未设置为预设连接标识的情况,可以当数据包的应用层协议为预设应用层协议时,更新连接跟踪表的应用层标识为预设连接标识。之后,针对非数据包首包,判断连接跟踪表的应用层标识为预设连接标识,则可以当无法解析到域名时,直接放行数据包,便于后续解析到域名进行域名规则匹配。
下面基于图2所示的条目状态通过另一示例性实施例对本公开提供的访问控制方法进行说明。参照图3,该访问控制方法包括:
步骤301,确定是否开启访问控制功能,若是,则进入步骤302,否则进入步骤303。
步骤302,网络层协议类型判断,若为IPv4或IPv6,则进入步骤304,若为其他类型协议,则进入步骤305。
步骤303,放行数据包。
步骤304,解析获取源IP、目的IP和传输层协议类型。
步骤305,基于第二访问控制规则对数据包进行访问控制。其中,第二访问控制规则为针对网络层和传输层的双层访问控制规则。
步骤306,确定数据包的源IP和目的IP是否为对等IP。即确定数据包的IP是否与目标终端所处的对等网络的IP一致,该目标终端为获取数据包的终端。若是,则进入步骤303,否则进入步骤307。
步骤307,传输层协议判断,若为UDP或TCP,则进入步骤308,否则步骤305。
步骤308,解析获取TCP端口或UDP端口。
步骤309,是否匹配到连接跟踪表条目,若匹配到,则进入步骤310,否则进入步骤311。
步骤310,获取匹配到的连接跟踪表条目的访问控制信息,并进入步骤320。
步骤311,建立新的连接条目,并置位pending。
步骤312,是否在预设IP池中,若是,则进入步骤313,否则进入步骤305。
步骤313,是否为TCP协议,若是,则将进入步骤314,否则进入步骤305。
步骤314,连接跟踪表的应用层标识是否为HTTP或HTTPS标识,若是,则进入步骤315,否则进入步骤316。
步骤315,是否解析到HTTP或HTTPS域名,若是,则进入步骤317,否则进入步骤303。
步骤316,是否为HTTP或HTTPS协议,若是,则进入步骤318,否则进入步骤305。
步骤317,基于域名、网络层特征、传输层特征、以及第一访问控制规则确定对数据包的访问控制操作,并进入步骤320。
步骤318,更新连接跟踪表的应用层标识为HTTP或HTTPS标识,并进入步骤315。
步骤319,基于该访问控制操作确定新的连接条目对应的访问控制信息,进入步骤320。
步骤320,根据获取到的访问控制信息对数据包进行访问控制。
上述各步骤的具体实施方式已在上文进行详细举例说明,这里不再赘述。另外应当理解的是,对于上述方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本公开并不受上文所描述的动作顺序的限制。其次,本领域技术人员也应该知悉,上文所描述的实施例属于优选实施例,所涉及的步骤并不一定是本公开所必须的。
通过上述方式,可以基于网络层、传输层、应用层等多层提取的特征信息,通过与具体应用层协议无关的无状态的统一机制同时对不同层次的协议进行访问控制,实现了多层网络信息的混合访问控制。其中,无状态主要体现在应用层的访问控制,无需记录大量的应用层协议状态,可以通过域名匹配进行访问控制,从而实现对于网络多层次的高效访问控制。
基于同一构思,本公开还提供一种访问控制装置,该装置可以通过软件、硬件或者两者结合的方式成为电子设备(比如网关设备)的部分或全部。参照图4,该访问控制装置400包括:
获取模块401,用于获取数据包,并解析所述数据包得到所述数据包携带的位于应用层之上的至少一个网络层级对应的层级特征;
匹配模块402,用于根据所述层级特征在连接跟踪表匹配所述数据包对应的连接条目,所述连接跟踪表用于通过连接条目记录所述数据包对应的网络连接的访问控制状态;
第一处理模块403,用于在所述连接跟踪表中未匹配到所述数据包对应的连接条目时,基于所述层级特征,在所述连接跟踪表中建立新的连接条目;
解析模块404,用于解析所述数据包的应用层数据,得到所述数据包的域名;
第二处理模块405,用于基于所述域名、所述层级特征以及第一访问控制规则,确定对所述数据包的第一控制操作,其中,所述第一访问控制规则为针对多个网络层级的多层访问控制规则;
访问控制模块406,用于基于所述第一控制操作配置所述新的连接条目对应的访问控制信息,并从连接跟踪表获取该访问控制信息,对所述数据包进行访问控制。
可选地,所述解析模块404用于:
确定所述连接跟踪表的应用层标识是否设置为预设连接标识,当所述连接跟踪表的应用层标识未设置为所述预设连接标识,且所述数据包的应用层协议为预设应用层协议时,解析所述数据包的应用层数据。
可选地,所述装置400还包括第三处理模块,所述第三处理模块用于:
当所述数据包的应用层协议不是所述预设应用层协议时,基于第二访问控制规则确定对所述数据包的第二控制操作,以及基于所述第二控制操作对所述数据包进行访问控制,其中,所述第二访问控制规则为针对位于所述应用层之上至少一个网络层级的访问控制规则。
可选地,所述解析模块404用于:
基于所述网络层特征确定所述数据包的IP是否在预设IP池中,所述预设IP池用于记录允许通过的IP信息;
当所述数据包的IP在所述预设IP池中时,基于所述传输层特征确定所述数据包的传输层协议是否为传输控制协议;
当所述数据包的传输层协议为传输控制协议时,确定所述连接跟踪表的应用层标识是否设置为预设连接标识。
可选地,所述装置400还包括第四处理模块,所述第四处理模块用于:
当所述连接跟踪表的应用层标识设置为所述预设连接标识,且解析所述数据包的应用层数据无法得到所述数据包的域名时,放行所述数据包。
可选地,所述装置400还包括第五处理模块,所述第五处理模块用于:
基于所述网络层特征确定所述数据包的IP是否与目标终端所处的对等网络的IP一致,当所述数据包的IP与所述对等网络的IP一致时,放行所述数据包,其中所述目标终端为获取所述数据包的终端。
可选地,所述装置400还包括第六处理模块,所述第六处理模块用于:
当所述数据包的网络层协议不是所述预设网络层协议或者所述数据包的传输层协议不是所述预设传输层协议时,基于第三访问控制规则确定对所述数据包的第三控制操作,以及基于所述第三控制操作对所述数据包进行访问控制,其中,所述第三访问控制规则包括针对网络层和传输层的双层访问控制规则。
关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
基于同一构思,本公开还提供一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理装置执行时实现上述任一访问控制方法的步骤。
基于同一构思,本公开还提供一种电子设备,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现上述任一访问控制方法的步骤。
下面参考图5,其示出了适于用来实现本公开实施例的电子设备500的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图5示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图5所示,电子设备500可以包括处理装置(例如中央处理器、图形处理器等)501,其可以根据存储在只读存储器(ROM)502中的程序或者从存储装置508加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和处理。在RAM 503中,还存储有电子设备500操作所需的各种程序和数据。处理装置501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
通常,以下装置可以连接至I/O接口505:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置506;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置507;包括例如磁带、硬盘等的存储装置508;以及通信装置509。通信装置509可以允许电子设备500与其他设备进行无线或有线通信以交换数据。虽然图5示出了具有各种装置的电子设备500,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置509从网络上被下载和安装,或者从存储装置508被安装,或者从ROM 502被安装。在该计算机程序被处理装置501执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,可以利用诸如HTTP(HyperText Transfer Protocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:获取数据包,并解析所述数据包得到所述数据包携带的位于应用层之上的至少一个网络层级对应的层级特征;根据所述层级特征在连接跟踪表匹配所述数据包对应的连接条目,所述连接跟踪表用于通过连接条目记录所述数据包对应的网络连接的访问控制信息;若在所述连接跟踪表中未匹配到所述数据包对应的连接条目,则基于所述层级特征,在所述连接跟踪表中建立新的连接条目;解析所述数据包的应用层数据,以得到所述数据包的域名;基于所述域名、所述层级特征以及第一访问控制规则,确定对所述数据包的第一控制操作,其中,所述第一访问控制规则为针对多个网络层级的多层访问控制规则;基于所述第一控制操作配置所述新的连接条目对应的访问控制信息,并从连接跟踪表获取所述访问控制信息,对所述数据包进行访问控制。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块的名称在某种情况下并不构成对该模块本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
根据本公开的一个或多个实施例,示例1提供了一种访问控制方法,所述方法包括:
获取数据包,并解析所述数据包得到所述数据包携带的位于应用层之上的至少一个网络层级对应的层级特征;
根据所述层级特征在连接跟踪表匹配所述数据包对应的连接条目,所述连接跟踪表用于通过连接条目记录所述数据包对应的网络连接的访问控制信息;
若在所述连接跟踪表中未匹配到所述数据包对应的连接条目,则基于所述网络层特征和所述传输层特征,在所述连接跟踪表中建立新的连接条目;
解析所述数据包的应用层数据,以得到所述数据包的域名;
基于所述域名、所述层级特征以及第一访问控制规则,确定对所述数据包的第一控制操作,其中,所述第一访问控制规则为针对多个网络层级的多层访问控制规则;
基于所述第一控制操作确定所述新的连接条目对应的访问控制信息,并从连接跟踪表获取所述访问控制信息,对所述数据包进行访问控制。
根据本公开的一个或多个实施例,示例2提供了示例1的方法,所述解析所述数据包的应用层数据,包括:
确定所述连接跟踪表的应用层标识是否设置为预设连接标识;
若所述连接跟踪表的应用层标识未设置为所述预设连接标识,则当所述数据包的应用层协议为预设应用层协议时,解析所述数据包的应用层数据。
根据本公开的一个或多个实施例,示例3提供了示例2的方法,所述方法还包括:
当所述数据包的应用层协议不是所述预设应用层协议时,基于第二访问控制规则确定对所述数据包的第二控制操作,其中,所述第二访问控制规则为针对位于所述应用层之上至少一个网络层级的访问控制规则;
基于所述第二控制操作对所述数据包进行访问控制。
根据本公开的一个或多个实施例,示例4提供了示例2的方法,所述确定所述连接跟踪表的应用层标识是否设置为预设连接标识,包括:
基于所述网络层特征确定所述数据包的IP是否在预设IP池中,所述预设IP池用于记录允许通过的IP信息;
若所述数据包的IP在所述预设IP池中,则基于所述传输层特征确定所述数据包的传输层协议是否为传输控制协议;
若所述数据包的传输层协议为传输控制协议,则确定所述连接跟踪表的应用层标识是否设置为预设连接标识。
根据本公开的一个或多个实施例,示例5提供了示例2的方法,所述方法还包括:
若所述连接跟踪表的应用层标识设置为所述预设连接标识,且解析所述数据包的应用层数据无法得到所述数据包的域名,则放行所述数据包。
根据本公开的一个或多个实施例,示例6提供了示例1-5任一所述的方法,还包括:
基于所述网络层特征确定所述数据包的IP是否与目标终端所处的对等网络的IP一致,其中所述目标终端为获取所述数据包的终端;
若所述数据包的IP与所述对等网络的IP一致,则放行所述数据包。
根据本公开的一个或多个实施例,示例7提供了示例1-5任一所述的方法,还包括:
若所述数据包的网络层协议不是所述预设网络层协议或者所述数据包的传输层协议不是所述预设传输层协议,则基于第三访问控制规则确定对所述数据包的第三控制操作,其中,所述第三访问控制规则包括针对网络层和传输层的双层访问控制规则;
基于所述第三控制操作对所述数据包进行访问控制。
根据本公开的一个或多个实施例,示例8提供了一种访问控制装置,所述装置包括:
获取模块,用于获取数据包,并解析所述数据包得到所述数据包携带的位于应用层之上的至少一个网络层级对应的层级特征;
第一解析模块,用于根据所述层级特征在连接跟踪表匹配所述数据包对应的连接条目,所述连接跟踪表用于通过连接条目记录所述数据包对应的网络连接的访问控制信息;
第一处理模块,用于当在所述连接跟踪表中未匹配到所述数据包对应的连接条目时,基于所述层级特征,在所述连接跟踪表中建立新的连接条目;
第二解析模块,用于解析所述数据包的应用层数据,得到所述数据包的域名;
第二处理模块,用于基于所述域名、所述层级特征以及第一访问控制规则,确定对所述数据包的第一控制操作,其中,所述第一访问控制规则为针对多个网络层级的多层访问控制规则;
访问控制模块,用于基于所述第一控制操作配置所述新的连接条目对应的访问控制信息,并从连接跟踪表获取所述访问控制信息,对所述数据包进行访问控制。
根据本公开的一个或多个实施例,示例9提供了一种非临时性计算机可读存储介质,其上存储有计算机程序,该程序被处理装置执行时实现示例1-7中任一项所述方法的步骤。
根据本公开的一个或多个实施例,示例10提供了一种电子设备,包括:
存储装置,其上存储有计算机程序;
处理装置,用于执行所述存储装置中的所述计算机程序,以实现示例1-7中任一项所述方法的步骤。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。