CN114500028A - 网络访问控制方法、装置、计算机设备 - Google Patents
网络访问控制方法、装置、计算机设备 Download PDFInfo
- Publication number
- CN114500028A CN114500028A CN202210073377.4A CN202210073377A CN114500028A CN 114500028 A CN114500028 A CN 114500028A CN 202210073377 A CN202210073377 A CN 202210073377A CN 114500028 A CN114500028 A CN 114500028A
- Authority
- CN
- China
- Prior art keywords
- data packet
- identification information
- access control
- terminal
- network access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 230000009471 action Effects 0.000 claims abstract description 102
- 238000004590 computer program Methods 0.000 claims description 13
- 239000000284 extract Substances 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 14
- 239000010410 layer Substances 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 229920006706 PC-C Polymers 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 2
- 239000002355 dual-layer Substances 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 1
- 230000001939 inductive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种网络访问控制方法、装置、计算机设备,涉及网络安全技术领域,用于提高网络访问的安全性。方法主要包括:接收专用设备发送的IPv6数据包,所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包;从所述IPv6数据包中提取规则标识信息;查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容;所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;若存在与所述规则标识信息对应的网络动作内容,则根据所述网络动作内容进行网络访问控制。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种网络访问控制方法、装置、计算机设备及存储介质。
背景技术
目前,防火墙是实现网络访问控制的一种常用方式,根据其位于协议栈的位置可分为网络层防火墙和应用层防火墙,网络层防火墙利用封包的多种属性进行过滤(IP、端口、协议等),应用层防火墙依据封包所属的应用程序进行过滤,理论上可以完全阻隔未知应用程序的数据流进到受保护的机器;防火墙可以部署在路由器上实现对内/外网的网络访问控制,也可以部署在单个PC上实现对PC的网络访问控制。
但是,诸多防火墙的规则难以统一的进行维护和管理,规则是否活跃也难以进行判断。同时,作为硬件防火墙,在流量较大的情况下常出现防火强性能不足的情况。
发明内容
本申请实施例提供一种网络访问控制方法、装置、计算机设备及存储介质,用于提高网络访问的安全性。
本发明实施例提供一种网络访问控制方法,所述方法包括:
接收专用设备发送的IPv6数据包,所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包;
从所述IPv6数据包中提取规则标识信息;
查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容;所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;
若存在与所述规则标识信息对应的网络动作内容,则根据所述网络动作内容进行网络访问控制。
本发明实施例提供另一种网络访问控制方法,所述方法包括:
获取第一终端对应的IPv6数据包,所述第一终端为数据发送方;
从所述IPv6数据包中确定对应的第二终端;所述第二终端为数据接收方;
将所述IPv6数据包发送给所述第二终端,使得所述第二终端从本地的网络访问控制规则列表中获取与所述IPv6数据包中的规则标识信息对应的网络动作内容,根据所述网络动作内容进行网络访问控制;
其中,所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系。
本发明实施例提供一种终端,所述终端包括:
接收模块,用于接收专用设备发送的IPv6数据包,所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包;
提取模块,用于从所述IPv6数据包中提取规则标识信息;
查询模块,用于查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容;所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;
控制模块,用于若存在与所述规则标识信息对应的网络动作内容,则根据所述网络动作内容进行网络访问控制。
本发明实施例提供一种专用设备,所述专用设备包括:
获取模块,用于获取第一终端对应的IPv6数据包,所述第一终端为数据发送方;
提取模块,用于从所述IPv6数据包中确定对应的第二终端;所述第二终端为数据接收方;
发送模块,用于将所述IPv6数据包发送给所述第二终端,使得所述第二终端从本地的网络访问控制规则列表中获取与所述IPv6数据包中的规则标识信息对应的网络动作内容,根据所述网络动作内容进行网络访问控制;其中,所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系。
一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述网络访问控制方法。
一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述网络访问控制方法。
本发明提供一种网络访问控制方法、装置、计算机设备及存储介质,接收专用设备发送的IPv6数据包,该IPv6数据包是专用设备根据网络访问控制规则库验证通过的数据包;从IPv6数据包中提取规则标识信息;查询本地的网络访问控制规则列表中是否存在与规则标识信息对应的网络动作内容;该网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;若存在与规则标识信息对应的网络动作内容,则根据网络动作内容进行网络访问控制。即本发明在分别在专用设备和终端侧对接收到的数据包进行验证,然后基于规则标识信息对应的网络动作内容,进行网络访问控制,从而通过本发明实现了对流量的严格访问控制,进而提高了网络访问的安全性。
附图说明
图1为本申请提供的一种网络访问控制方法流程图;
图1a为本申请提供的一种内外网通信拓扑图;
图2为本申请提供的另一种网络访问控制方法流程图;
图3为本申请提供的又一种网络访问控制方法流程图;
图4为本申请提供的一种终端的结构示意图;
图5为本申请提供的一种专用设备的结构示意图
图6为本申请提供的计算机设备的一示意图。
具体实施方式
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本申请实施例的技术方案做详细的说明,应当理解本申请实施例以及实施例中的具体特征是对本申请实施例技术方案的详细的说明,而不是对本申请技术方案的限定,在不冲突的情况下,本申请实施例以及实施例中的技术特征可以相互组合。
请参阅图1,本发明实施例提供的一种网络访问控制方法,本实施例以终端与专用设备的交互进行说明,本实施例中的终端为数据接收方,该方法具体包括步骤S101-步骤S105:
步骤S101,专用设备向终端发送IPv6数据包。
在本发明提供的一个实施例中,在数据发送方为外网终端时,本实施例中的终端接收专用设备发送的IPv6数据包,IPv6数据包是专用设备根据外网发送的IPv4数据包生成的;或在数据发送方为内网终端时,本实施例中的终端接收专用设备发送的IPv6数据包,该IPv6数据包是由内网终端发送给专用设备的。其中,专用设备具体可以在交换机、路由器或终端等设备上实现,也可以为一个专有设备,用于实现网络的访问控制,本实施例不做具体限定。
具体的,在数据发送方为外网终端时,外网终端直接向专用设备发送IPv4数据包,专用设备在收到IPv4数据包后,获取IPv4数据包中的数据信息,然后查找网络访问控制规则列表中是否存在与数据信息对应的规则标识信息;若存在与数据信息对应的规则标识信息,则将IPv4数据包转换为对应的IPv6数据包,并将规则标识信息写入到IPv6数据包中;若不存在与数据信息对应的规则标识信息,则直接丢弃IPv4数据包。其中,该数据信息可以包括:发起IP、目的IP、发起端口、目的端口、发起网段、目的网段、传输层协议、应用层协议、发起方登录的用户、发起的应用等内容,本实施例不做具体的限定。
需要说明的是,本实施例中的网络访问控制规则列表中除了记录有规则标识信息、匹配内容、网络动作内容之外,还记录各规则标识信息对应的优先级,该优先级表示规则的优先级,规则根据优先级可以确定执行的网络动作内容。其中,规则标识信息可以记录在IPv6数据包的预置位置中,如将规则标识信息记录在目的地址的前96bit,另规则标识信息可是随机生成,也可以是预先设置数值,如该规则标识信息可以为1、2、3…N;动作执行内容具体可以为允许通讯、禁止通讯、重定向数据包到特定主机、告警并丢弃、告警并重定向等。
其中,网络访问控制规则列表中的匹配内容可以为发起IP、目的IP、发起端口、目的端口、发起网段、目的网段分别对应的具体数据范围,以及具体的传输层协议、应用层协议、发起方登录的用户、发起的应用,本实施例不做具体限定。本实施例在从数据包中提取到数据信息之后,将数据信息与网络访问控制规则列表中的匹配内容进行匹配,若存在匹配的数据,则获取匹配内容对应的规则标识信息,以便于将规则标识信息写入到IPv6数据包中,或根据规则标识信息确定对应的网络动作内容。
需要说明的是,本实施例中数据信息与匹配内容,可以是完全匹配,也可以是模糊匹配,若存在数据内容与网络访问控制规则列表中多项匹配内容匹配成功,则根据匹配内容对应的优先级确定对应的网络动作内容。例如,获取的数据信息与匹配内容1和匹配内容2都匹配成功,则获取匹配内容1和匹配内容2分别对应的优先级,若匹配内容1的优先级高于匹配内容2的优先级,则执行匹配内容1对应的网络动作内容。
具体的,在数据发送方为内网终端时,内网终端向专用设备发送的IPv6数据包,该IPv6数据包是由内网终端发送给专用设备的。即内网终端获取待发送IPv4数据包中的数据信息,然后查找网络访问控制规则列表中是否存在与数据信息对应的规则标识信息;若存在与数据信息对应的规则标识信息,且规则标识信息对应的执行动作内容为允许通讯,则将IPv4数据包转换为对应的IPv6数据包,并将规则标识信息写入到IPv6数据包中;若不存在与数据信息对应的规则标识信息,则丢弃该IPv4数据包。
如图1a所示,本实施例中终端对应的网络访问控制规则列表,以及专用设备对应的网络访问控制规则列表是由访问控制规则库统一制定的,并由其进行统一下发到对应的终端或专用设备。为实现访问控制,在内网中每台设备(终端或专用设备)保存一张网络访问控制规则列表(Access Control List,ACL),该ACL使用白名单机制,通过对数据信息(用户标识、端口、数据流方向、协议和应用程序等)进行限定,设定能够访问设备的数据流。每台设备的ACL来源于网内的访问控制规则库,该规则库可以存放在单台主机上,也可以存放在分布式集群上。访问控制规则库通过区分与每台设备相关的访问规则,将规则同步到每台设备,即每台设备只拥有预期将与其发生交互关系的规则列表。默认情况下,任何设备之间均使用告警并丢弃规则,这保证了强流量透明化和强白名单保护。特别的,结合终端和专用设备中的网络访问控制表对访问进行控制,若数据包未被适当的规则标记,则数据包将被丢弃。
图1a所示,需要进行防御的终端为内网PC-A、内网PC-B、内网PC-C,以及专用设备为交换机和路由器,即内网PC-A、内网PC-B、内网PC-C,交换机和路由器上都可对应有访问控制规则列表,通过对应的访问控制规则列表对内网的网络访问进行控制,从而提高内网的网络访问的安全性。
需要说明的是,内网PC-A、内网PC-B、内网PC-C,交换机和路由器对应的访问控制规则列表中的内容可以是相同的,也可以是不同的。即在不同情况下,可以根据内网各设备的指定需求,制定相关的网络访问控制规则列表。
步骤S102,终端接收专用设备发送的IPv6数据包。
其中,所述IPv6数据包是专用设备根据网络访问控制规则库验证通过的数据包。
步骤S103,终端从IPv6数据包中提取规则标识信息。
在本实施例中,终端或专用设备将IPv4数据包转换为对应的IPv6数据包,是利用IPv6地址128bit的特点,将原32bit的IPv4地址封装在IPv6地址的尾部,剩余的96bit封装访问控制库中的规则标识信息;IPv6报头的其他部分按照IPv4报头进行填写。终端或专用设备在接收到IPv6数据包之后,通过通信控制模块的解包对IPv6地址进行拆分,获取规则标识信息和原始IPv4地址。具体的,本实施例中的规则标识信息可以封装预置位置,如将规则标识信息封装在IPv6报头的源IP或目的IP中,本实施例对此不做具体限定。
本实施例结合封装的IPv6数据包的依据,从IPv6数据包中的预置位置提取规则标识信息,即若规则标识信息封装在IPv6报头的源IP,则该预置位置为Pv6报头的源IP;若规则标识信息封装在IPv6报头的源IP,则该预置位置为Pv6报头的目的IP,本实施例不对规则标识信息在IPv6数据包中的存储位置进行具体限定。
步骤S104,终端查询本地的网络访问控制规则列表中是否存在与规则标识信息对应的网络动作内容。
步骤S105,若存在与规则标识信息对应的网络动作内容,则终端根据网络动作内容进行网络访问控制。
其中,终端本地的网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系。具体的,终端在提取到IPv6数据包中的规则标识信息之后,在本地的网络访问控制规则列表中查找是否存在对应的规则标识信息,若存在对应的规则标识信息,则根据该规则标识信息对应的网络动作内容,进行相应的网络控制。例如,若网络动作内容为允许通讯,则接收该IPv6数据包,并进行相应的处理;若网络动作内容为拒绝通讯,则丢弃该IPv6数据包。
如图1a所示,假如内网终端B向A发送数据包:A在接收到B发送的数据包之后,首先检测是否是IPv6数据包;若是,则对数据包进行解包,解析出规则标识信息;若不是,则直接告警并丢弃。终端A在解析出规则标识信息之后,根据规则标识信息查询本机中的网络访问控制规则列表;若找到对应的规则标识信息,则根据规则标识信息对应的网络动作内容执行对数据包的动作;若未找到对应的规则标识信息,可定义将未知流量引导至蜜罐网络诱导环境中,或重定向到特定的网关设备上,从而实现QoS、限速等目的。A在向B发送数据包时,先将原始IPv4数据包会被更改成IPv6数据包的格式,然后再发送给B;B在接收到A的数据包时也会执行同样的操作,判断是否通过A发送的数据包。
假设外网终端D向内网终端C发送数据包:D向C发送的数据包首先达到内网的路由器,D向C发送的数据包格式为IPv4格式的数据包而非IPv6格式的数据包,路由器通过查询本地的ACL确定D的数据包能否通过;若通过,则将D发送的数据包替换成IPv6的格式,并为其填写规则标识信息,将其转发交换机,再由交换机转发给C;若不能通过,则直接告警并丢弃;C在接收到封装后的IPv6数据包之后,同样需要解包获取规则标识信息,在本地ACL查询是否存在对应的规则标识信息,以判断是否通过D的数据包。路由器和终端的双重强化了本实施例中的白名单机制特点,以进一步提高网络访问的安全性。
另外,C向D发送数据包的过程与D向C的过程类似,C将数据包封装为IPv6格式,经由交换机的转发到达路由器,路由器同样先查验规则标识信息,对能通过的数据包进行解包,还原为IPv4格式,再转发出去。
在本发明提供的一个可选实施例中,在查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容之后,还可以包括:若不存在与所述规则标识信息对应的网络动作内容,从所述IPv6数据包中提取数据信息;根据所述数据信息更改预置设备及蜜罐的配置信息,以将所述IPv6数据包在所述蜜罐中执行;根据蜜罐对所述IPv6数据包的执行结果,确定所述规则标识信息对应的网络动作内容,然后根据确定的规则标识信息对应的网络动作内容,更新网络访问控制规则列表中对应的内容。若不存在与所述规则标识信息对应的网络动作内容,从所述IPv6数据包中提取数据信息;根据所述数据信息更改预置设备的配置信息,以将所述IPv6数据包引流至公网。
例如,内网设备X(终端或网关)需要对接收到的IPv6数据包进行引流。对于引流至蜜罐,内网设备X对IPv6数据包的Ethernet Header、IPv6 Header、传输层报头进行更改,将其中的目的Mac、目的IP、端口变更为蜜罐的信息,源IP、端口、Mac变更为内网设备X的信息;蜜罐接收到内网设备X发来的数据包后,对其进行检测,根据检测结果构造IPv6格式的反馈数据包,其中目的地址前96bit的规则标识信息对应蜜罐的检测结果;内网设备X收到蜜罐发来的反馈数据包,根据规则标识信息决定对数据包采取的动作。
引流至其他公网出口:内网设备X对IPv6数据包的Ethernet Header、IPv6Header、传输层报头进行更改,将其中目的Mac、目的IP、端口变更为公网的信息,源IP、端口、Mac变更为内网设备X的信息;至此引流至公网出口的过程结束。
本发明提供一种网络访问控制方法,在终端为数据接收方时,接收专用设备发送的IPv6数据包,该IPv6数据包是专用设备根据网络访问控制规则库验证通过的数据包;从IPv6数据包中提取规则标识信息;查询本地的网络访问控制规则列表中是否存在与规则标识信息对应的网络动作内容;该网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;若存在与规则标识信息对应的网络动作内容,则根据网络动作内容进行网络访问控制。即本发明在分别在专用设备和终端侧对接收到的数据包进行验证,然后基于规则标识信息对应的网络动作内容,进行网络访问控制,从而通过本发明实现了对流量的严格访问控制,进而提高了网络访问的安全性。
请参阅图2,本发明实施例提供的另一种网络访问控制方法,本实施例以终端与专用设备的交互进行说明,本实施例中的终端为数据发送方,该方法具体包括步骤S201-步骤S206:
步骤S201,终端确定待发送的IPv4数据包以及IPv6数据包中的数据信息。
其中,本实施例中的终端可以为外网的终端,也可以为内网的终端。若为外网终端,则终端需要发送的为IPv4数据包;若为内网终端,则终端需要发送的IPv6数据包。
步骤S202,终端查找本地的网络访问控制规则列表中是否存在与数据信息对应的规则标识信息和网络动作内容。
具体的,若为内网终端,终端首先需要将其对应的IPv4数据包转换为IPv6数据包,即内网终端获取待发送IPv4数据包中的数据信息,然后查找网络访问控制规则列表中是否存在与数据信息对应的规则标识信息;若存在与数据信息对应的规则标识信息,且规则标识信息对应的执行动作内容为允许通讯,则将IPv4数据包转换为对应的IPv6数据包,并将规则标识信息写入到IPv6数据包中;若不存在与数据信息对应的规则标识信息,则丢弃该IPv4数据包。
步骤S203,若存在,且网络动作内容为允许通信,则终端将IPv4数据包转换为对应的IPv6数据包,并将规则标识信息写入到IPv6数据包中。
步骤S204,终端向专用设备发送IPv6数据包。
步骤S205,专用设备从接收的IPv6数据包提取规则标识信息以及对应的数据接收方信息,并根据网络访问控制规则列表确定并执行规则标识信息对应的网络动作。
步骤S206,若网络动作内容为允许通信,则专用设备将接收的IPv6数据包发送给与数据接收方信息对应的数据接收方。
本发明提供一种网络访问控制方法,内网终端在发送数据之前,需要通过其本地的网络访问控制规则列表进行检测,确定是否允许进行通信;若允许通信,则将IPv6数据包发送给专用设备,然后专用设备从接收的IPv6数据包提取规则标识信息以及对应的数据接收方信息,并根据网络访问控制规则列表确定并执行规则标识信息对应的网络动作。即本实施通过双层检测机制确定内网终端是否允许进行网络访问,也就是说对于内网终端发出的数据包,需要经过内网终端和专用设备分别基于对应的网络访问控制规则列表进行检测,以此实现对流量的严格访问控制。
请参阅图3,本发明实施例提供的另一种网络访问控制方法,实施例以终端与专用设备的交互进行说明,该方法具体包括步骤S301-步骤S306:
步骤S301,第一终端向专用设备发送IPv6数据包或IPv4数据包。
其中,所述第一终端为数据发送方。若第一终端为外网终端,则第一终端直接向专用设备发送IPv4数据包;若第一终端为内网终端,则第一终端需要将对应的IPv4数据包转为IPv6数据包,该IPv6数据包中包括对应的规则标识信息,且该规则标识信息对应的网络动作内容为允许通讯。
步骤S302,专用设备接收第一终端发送的IPv6数据包或IPv4数据包。
步骤S303,专用设备从IPv6数据包中确定对应的第二终端。
其中,所述第二终端为数据接收方。若第一终端为外网终端,专用设备接收第一终端发送的IPv4数据包;获取所述IPv4数据包中的数据信息;查找所述网络访问控制规则列表中是否存在与所述数据信息对应的规则标识信息;若存在与所述数据信息对应的规则标识信息,则将所述IPv4数据包转换为对应的IPv6数据包,并将所述规则标识信息写入到所述IPv6数据包中;若不存在与所述数据信息对应的规则标识信息,则丢弃所述IPv4数据包。
若第一终端为内网终端,则专用设备从接收的IPv6数据包中提取规则标识信息,然后查找本地的网络访问控制规则列表中是否存在对应的规则标识信息,若存在对应的规则标识信息,则根据该规则标识信息对应的网络动作内容进行相应的网络控制,如该网络控制内容为允许通信,则将接收的IPv6数据包发送对应的数据接收方(第二终端);若不存在对应的规则标识信息,则可直接丢弃该IPv6数据包。
步骤S304,专用设备将IPv6数据包发送给第二终端。
步骤S305,第二终端从本地的网络访问控制规则列表中获取与IPv6数据包中的规则标识信息对应的网络动作内容,根据网络动作内容进行网络访问控制。
其中,所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系。
在本实施例中,通过双层检测机制确定内网终端是否允许进行网络访问,也就是说对于内网终端接收到的数据包,需要依次经过专用设备和内网终端基于对应的网络访问控制规则列表进行检测,以此实现对流量的严格访问控制。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种终端,该终端与上述实施例中网络访问控制方法一一对应。如图4所示,所述终端各功能模块详细说明如下:
接收模块41,用于接收专用设备发送的IPv6数据包,所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包;
提取模块42,用于从所述IPv6数据包中提取规则标识信息;
查询模块43,用于查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容;所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;
控制模块44,用于若存在与所述规则标识信息对应的网络动作内容,则根据所述网络动作内容进行网络访问控制。
在一个可选实施例中,接收模块41,具体用于:
若所述终端对应的数据发送方为外网终端,所述IPv6数据包是所述专用设备根据所述外网发送的IPv4数据包生成的;
若所述终端对应的数据发送方为内网终端,所述IPv6数据包是由所述内网终端发送给所述专用设备的。
在一个可选实施例中,所述终端还包括:
发送模块45,用于在所述终端为数据发送方时,向所述专用设备发送IPv6数据包,使得所述专用设备从接收的IPv6数据包提取规则标识信息以及对应的数据接收方信息,并根据网络访问控制规则列表确定并执行所述规则标识信息对应的网络动作。
在一个可选实施例中,确定模块46和转换模块47;
确定模块46,用于确定待发送的IPv4数据包以及所述IPv4数据包中的数据信息;
查询模块43,还用于查找本地的网络访问控制规则列表中是否存在与所述数据信息对应的规则标识信息和网络动作内容;
转换模块47,用于若存在,且所述网络动作内容为允许通信,则将所述IPv4数据包转换为对应的IPv6数据包,并将所述规则标识信息写入到所述IPv6数据包中。
在一个可选实施例中,确定模块46,具体用于:
若不存在与所述规则标识信息对应的网络动作内容,从所述IPv6数据包中提取数据信息;
根据所述数据信息更改预置设备及蜜罐的配置信息,以将所述IPv6数据包在所述蜜罐中执行;
根据蜜罐对所述IPv6数据包的执行结果,确定所述规则标识信息对应的网络动作内容。
在一个可选实施例中,确定模块46,具体用于:
若不存在与所述规则标识信息对应的网络动作内容,从所述IPv6数据包中提取数据信息;
根据所述数据信息更改预置设备的配置信息,以将所述IPv6数据包引流至公网。
关于终端的具体限定可以参见上文中对于网络访问控制方法的限定,在此不再赘述。上述设备中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一实施例中,提供一种专用设备,该专用设备与上述实施例中网络访问控制方法一一对应。如图5所示,所述专用设备各功能模块详细说明如下:
获取模块51,用于获取第一终端对应的IPv6数据包,所述第一终端为数据发送方;
提取模块52,用于从所述IPv6数据包中确定对应的第二终端;所述第二终端为数据接收方;
发送模块53,用于将所述IPv6数据包发送给所述第二终端,使得所述第二终端从本地的网络访问控制规则列表中获取与所述IPv6数据包中的规则标识信息对应的网络动作内容,根据所述网络动作内容进行网络访问控制;其中,所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系。
在一个可选实施例中,获取模块51,具体用于:
接收第一终端发送的IPv4数据包;获取所述IPv4数据包中的数据信息;
查找所述网络访问控制规则列表中是否存在与所述数据信息对应的规则标识信息;
若存在与所述数据信息对应的规则标识信息,则将所述IPv4数据包转换为对应的IPv6数据包,并将所述规则标识信息写入到所述IPv6数据包中;
若不存在与所述数据信息对应的规则标识信息,则丢弃所述IPv4数据包。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图6所示。该计算机设备包括通过系统总线连接的处理器、存储器、网络接口和数据库。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络访问控制方法。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现以下步骤:
接收专用设备发送的IPv6数据包,所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包;
从所述IPv6数据包中提取规则标识信息;
查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容;所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;
若存在与所述规则标识信息对应的网络动作内容,则根据所述网络动作内容进行网络访问控制。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现以下步骤:
接收专用设备发送的IPv6数据包,所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包;
从所述IPv6数据包中提取规则标识信息;
查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容;所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;
若存在与所述规则标识信息对应的网络动作内容,则根据所述网络动作内容进行网络访问控制。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (12)
1.一种网络访问控制方法,其特征在于,所述方法应用于终端,所述方法包括:
接收专用设备发送的IPv6数据包,所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包;
从所述IPv6数据包中提取规则标识信息;
查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容;所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;
若存在与所述规则标识信息对应的网络动作内容,则根据所述网络动作内容进行网络访问控制。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述终端对应的数据发送方为外网终端,所述IPv6数据包是所述专用设备根据所述外网发送的IPv4数据包生成的;
若所述终端对应的数据发送方为内网终端,所述IPv6数据包是由所述内网终端发送给所述专用设备的。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向所述专用设备发送IPv6数据包,使得所述专用设备从接收的IPv6数据包提取规则标识信息以及对应的数据接收方信息,并根据网络访问控制规则列表确定并执行所述规则标识信息对应的网络动作。
4.根据权利要求3所述的方法,其特征在于,在向所述专用设备发送IPv6数据之前,所述方法还包括:
确定待发送的IPv4数据包以及所述IPv4数据包中的数据信息;
查找本地的网络访问控制规则列表中是否存在与所述数据信息对应的规则标识信息和网络动作内容;
若存在,且所述网络动作内容为允许通信,则将所述IPv4数据包转换为对应的IPv6数据包,并将所述规则标识信息写入到所述IPv6数据包中。
5.根据权利要求1所述的方法,其特征在于,在查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容之后,所述方法还包括:
若不存在与所述规则标识信息对应的网络动作内容,从所述IPv6数据包中提取数据信息;
根据所述数据信息更改预置设备及蜜罐的配置信息,以将所述IPv6数据包在所述蜜罐中执行;
根据蜜罐对所述IPv6数据包的执行结果,确定所述规则标识信息对应的网络动作内容。
6.根据权利要求1所述的方法,其特征在于,在查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容之后,所述方法还包括:
若不存在与所述规则标识信息对应的网络动作内容,从所述IPv6数据包中提取数据信息;
根据所述数据信息更改预置设备的配置信息,以将所述IPv6数据包引流至公网。
7.一种网络访问控制方法,其特征在于,所述方法应用于专用设备,所述方法包括:
获取第一终端对应的IPv6数据包,所述第一终端为数据发送方;
从所述IPv6数据包中确定对应的第二终端;所述第二终端为数据接收方;
将所述IPv6数据包发送给所述第二终端,使得所述第二终端从本地的网络访问控制规则列表中获取与所述IPv6数据包中的规则标识信息对应的网络动作内容,根据所述网络动作内容进行网络访问控制;
其中,所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系。
8.根据权利要求7所述的方法,其特征在于,若所述第一终端为外网设备,所述获取第一终端对应的IPv6数据包,包括:
接收第一终端发送的IPv4数据包;获取所述IPv4数据包中的数据信息;
查找所述网络访问控制规则列表中是否存在与所述数据信息对应的规则标识信息;
若存在与所述数据信息对应的规则标识信息,则将所述IPv4数据包转换为对应的IPv6数据包,并将所述规则标识信息写入到所述IPv6数据包中;
若不存在与所述数据信息对应的规则标识信息,则丢弃所述IPv4数据包。
9.一种终端,其特征在于,所述终端包括:
接收模块,用于接收专用设备发送的IPv6数据包,所述IPv6数据包是所述专用设备根据网络访问控制规则库验证通过的数据包;
提取模块,用于从所述IPv6数据包中提取规则标识信息;
查询模块,用于查询本地的网络访问控制规则列表中是否存在与所述规则标识信息对应的网络动作内容;所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系;
控制模块,用于若存在与所述规则标识信息对应的网络动作内容,则根据所述网络动作内容进行网络访问控制。
10.一种专用设备,其特征在于,所述专用设备包括:
获取模块,用于获取第一终端对应的IPv6数据包,所述第一终端为数据发送方;
提取模块,用于从所述IPv6数据包中确定对应的第二终端;所述第二终端为数据接收方;
发送模块,用于将所述IPv6数据包发送给所述第二终端,使得所述第二终端从本地的网络访问控制规则列表中获取与所述IPv6数据包中的规则标识信息对应的网络动作内容,根据所述网络动作内容进行网络访问控制;其中,所述网络访问控制规则列表中存储有规则标识信息与网络动作内容的对应关系。
11.一种计算机设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至8任一项所述的网络访问控制方法。
12.一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至8任一项的网络访问控制方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210073377.4A CN114500028A (zh) | 2022-01-21 | 2022-01-21 | 网络访问控制方法、装置、计算机设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210073377.4A CN114500028A (zh) | 2022-01-21 | 2022-01-21 | 网络访问控制方法、装置、计算机设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114500028A true CN114500028A (zh) | 2022-05-13 |
Family
ID=81472274
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210073377.4A Pending CN114500028A (zh) | 2022-01-21 | 2022-01-21 | 网络访问控制方法、装置、计算机设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114500028A (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015103919A1 (zh) * | 2014-01-13 | 2015-07-16 | 华为技术有限公司 | 一种资源分配方法、控制器及系统 |
CN111030970A (zh) * | 2019-03-21 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
CN112383647A (zh) * | 2020-11-30 | 2021-02-19 | 安徽信息工程学院 | 一种基于space6和双栈技术的网络系统 |
CN113163024A (zh) * | 2021-03-12 | 2021-07-23 | 网宿科技股份有限公司 | 报文处理方法、服务器及存储介质 |
-
2022
- 2022-01-21 CN CN202210073377.4A patent/CN114500028A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2015103919A1 (zh) * | 2014-01-13 | 2015-07-16 | 华为技术有限公司 | 一种资源分配方法、控制器及系统 |
CN111030970A (zh) * | 2019-03-21 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种分布式访问控制方法、装置及存储设备 |
CN112383647A (zh) * | 2020-11-30 | 2021-02-19 | 安徽信息工程学院 | 一种基于space6和双栈技术的网络系统 |
CN113163024A (zh) * | 2021-03-12 | 2021-07-23 | 网宿科技股份有限公司 | 报文处理方法、服务器及存储介质 |
Non-Patent Citations (1)
Title |
---|
夏士雄: "《IPv6》", 电子科技大学出版社, pages: 52 * |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10230627B2 (en) | Service path allocation method, router and service execution entity | |
US10148573B2 (en) | Packet processing method, node, and system | |
CN109194660B (zh) | 移动终端的入网方法和装置 | |
WO2016192396A1 (en) | Exchanging application metadata for application context aware service insertion in service function chain | |
CN113132342B (zh) | 方法、网络装置、隧道入口点装置及存储介质 | |
EP3125476B1 (en) | Service function chaining processing method and device | |
US8320249B2 (en) | Method and system for controlling network access on a per-flow basis | |
JP2006319973A (ja) | プロトコル汎用の傍受用ネットワーク装置 | |
JP2020017809A (ja) | 通信装置及び通信システム | |
JP6662136B2 (ja) | 中継装置、通信システム、中継方法及び中継プログラム | |
US7593397B2 (en) | Method for securing communication in a local area network switch | |
US10454882B2 (en) | DHCP in layer-3 overlay with anycast address support and network address transparency | |
CN110381025B (zh) | 一种软件定义防火墙系统的实现方法 | |
WO2012130523A1 (en) | A method for providing a firewall rule and a corresponding system | |
CN116762320A (zh) | 用于支持设备及其动态策略更新的基于流量流的映射缓存刷新 | |
WO2011082584A1 (zh) | 数据报文分类处理的实现方法、网络及终端 | |
CN111030970B (zh) | 一种分布式访问控制方法、装置及存储设备 | |
CN114500028A (zh) | 网络访问控制方法、装置、计算机设备 | |
US9954767B2 (en) | Internet control message protocol for completing a secondary protocol transaction | |
US11838197B2 (en) | Methods and system for securing a SDN controller from denial of service attack | |
CN112994928B (zh) | 一种虚拟机的管理方法、装置及系统 | |
US11606719B2 (en) | Application identification and path selection at a wireless access point for local network traffic breakout | |
CN108989271B (zh) | 一种家庭网关端口防攻击的方法和装置 | |
JP2018064228A (ja) | パケット制御装置 | |
CN106067864B (zh) | 一种报文处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |