CN114500058A - 网络访问控制方法、系统、设备和介质 - Google Patents
网络访问控制方法、系统、设备和介质 Download PDFInfo
- Publication number
- CN114500058A CN114500058A CN202210107230.2A CN202210107230A CN114500058A CN 114500058 A CN114500058 A CN 114500058A CN 202210107230 A CN202210107230 A CN 202210107230A CN 114500058 A CN114500058 A CN 114500058A
- Authority
- CN
- China
- Prior art keywords
- source
- firewall
- routing table
- rule
- firewall rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000009471 action Effects 0.000 claims abstract description 30
- 230000015654 memory Effects 0.000 claims description 25
- 238000005516 engineering process Methods 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 230000000717 retained effect Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/54—Organization of routing tables
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络技术领域,特别涉及网络访问控制方法、系统、设备和介质。方法包括:获取负载均衡实例信息;确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;基于该第二防火墙规则的源IP网段生成路由表,在该路由表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作;接收数据;查询该路由表并执行相应的路由表动作。解决防火墙软件性能不高的技术问题。
Description
技术领域
本发明涉及网络技术领域,特别涉及网络访问控制方法、系统、设备和介质。
背景技术
防火墙是网络中常见的安全防护技术,可以有效地过滤外部的非法攻击流量保证业务的正常工作。通常,防火墙需要在多个维度设置防护规则,例如,需要给予IP(InternetProtocol,网际互连协议)类型和协议类型设置精确匹配;需要给予端口设置端口范围设置匹配;需要基于源IP地址设置最长掩码匹配。这样,由于需要匹配的规则多且严格,导致的防火墙软件性能都不高,无法满足快速发展的网络需求。
发明内容
本发明的目的在于提供网络访问控制方法、系统、设备和介质,解决防火墙软件性能不高的技术问题。
本发明的实施方式公开了一种网络访问控制方法,用于电子设备,该方法包括:
获取负载均衡实例信息;
确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;
在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;
基于该第二防火墙规则的源IP网段生成路由表,在该路由表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作;
接收数据;
查询该路由表并执行相应的路由表动作。
可选地,在第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则,还包括:
该第一防火墙规则的协议为UDP或者TCP的情况下,确定该第一防火墙规则中,与负载均衡实例信息中的UDP或者TCP的端口信息匹配的第三防火墙规则;
在该第三防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则。
可选地,路由表使用最长掩码匹配。
本发明的实施方式公开了一种网络访问控制系统,该系统包括:
获取模块,用于获取负载均衡实例信息;
第一确定模块,用于确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;
第二确定模块,用于在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;
路由表生成模块,用于基于该第二防火墙规则的源IP网段生成路由表,在该路由表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作;
接收模块,用于接收数据;
路由表执行模块,查询该路由表并执行相应的路由表动作。
本发明的实施方式公开了一种网络访问控制设备,该设备包括存储有计算机可执行指令的存储器和处理器,当该指令被该处理器执行时,使得该设备实施任一根据本发明的实施方式的网络访问控制方法。
本发明的实施方式公开了一种计算机存储介质,在该计算机存储介质上存储有指令,当该指令在计算机上运行时,使得该计算机执行任一根据本发明的实施方式的网络访问控制方法。
本发明实施方式与现有技术相比,主要区别及其效果在于:
在本发明中,确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;基于该第二防火墙规则的源IP网段生成路由表,在该路由表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作。由于负载均衡实例不会为与其负载均衡策略中IP类型、协议类型、端口信息不匹配的请求服务,因此可以筛选掉防火墙中与负载均衡中IP类型、协议类型、端口信息不匹配的防火墙规则。并且IP网段之间的关系只可能是包含或者不相交。这样,对于任意两个防火墙规则a和b,假设规则a的优先级高于规则b的优先级,则包括以下三种情况:情况1:规则a的源IP网段包含规则b的源IP网段,则可以丢弃规则b;情况2:规则a的源IP网段与规则b的源IP网段不相交,则保留两个规则;情况3:规则b的源IP网段包含规则a的源IP网段,但不相等,则保留两个规则。因此,对于低优先级规则,如果有高优先级规则的IP网段包含了该低优先级规则的IP网段,则丢弃该低优先级规则,否则保留。简化防火墙规则,提高防火墙性能。并且基于路由表实现防火墙规则,只需要根据报文的源IP查询防火墙路由表即可,进一步提高防火墙性能。
在本发明中,路由表使用最长掩码匹配。对于任意两个防火墙规则a和b,假设规则a的优先级高于规则b中优先级,如果规则b的源IP网段包含规则a的源IP网段,但不相等,则保留两个规则,这种情况下规则a中的掩码长度是大于规则b中的掩码长度的,所以路由表可以基于掩码长度判断优先级。
附图说明
图1A示出根据本申请的实施例的防火墙和负载均衡的示意图。
图1B示出根据本申请的实施例的在负载均衡场景中实现防火墙的示意图。
图2示出根据本申请的实施例的网络访问控制方法的流程图。
图3示出根据本申请的实施例的网络访问控制方法的步骤图。
图4示出根据本申请的实施例的网络访问控制系统的框图。
图5示出根据本申请的实施例的网络访问控制设备的框图。
具体实施方式
下面结合具体实施例和附图对本申请做进一步说明。可以理解的是,此处描述的具体实施例仅仅是为了解释本申请,而非对本申请的限定。此外,为了便于描述,附图中仅示出了与本申请相关的部分而非全部的结构或过程。应注意的是,在本说明书中,相似的标号和字母在下面的附图中表示类似项。
应当理解的是,虽然在本文中可能使用了术语“第一”、“第二”等等来描述各个特征,但是这些特征不应当受这些术语限制。使用这些术语仅仅是为了进行区分,而不能理解为指示或暗示相对重要性。举例来说,在不背离示例性实施例的范围的情况下,第一特征可以被称为第二特征,并且类似地第二特征可以被称为第一特征。
在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本实施例中的具体含义。
本申请的说明性实施例包括但不限于网络访问控制方法、系统、设备和介质。
将使用本领域技术人员通常采用的术语来描述说明性实施例的各个方面,以将他们工作的实质传达给本领域其他技术人员。然而,对于本领域技术人员来说,使用部分所描述的特征来施行一些替代性实施例是显而易见的。出于解释的目的,阐述了具体的数字和配置,以便对说明性实施例进行更加透彻的理解。然而,对于本领域技术人员来说显而易见的是,可以在没有具体细节的情况下实施替代实施例。在一些其他情况下,本文省略或简化了一些众所周知的特征,以避免使本申请的说明性实施例模糊不清。
此外,各种操作将以最有助于理解说明性实施例的方式被描述为多个彼此分离的操作;然而,描述的顺序不应被解释为暗示这些操作必须依赖描述的顺序,许多操作可以被并行地、并发地或者同时实施。此外,各项操作的顺序也可以被重新安排。当所描述的操作完成时,所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、函数、规程、子例程、子程序等等。
说明书中对“一个实施例”、“实施例”、“说明性实施例”等的引用表示所描述的实施例可以包括特定特征、结构或性质,但是每个实施例也可能或不是必需包括特定的特征、结构或性质。而且,这些短语不一定是针对同一实施例。此外,当结合具体实施例描述特定特征,本领域技术人员的知识能够影响到这些特征与其他实施例的结合,无论这些实施例是否被明确描述。
除非上下文另有规定,否则术语“包含”、“具有”和“包括”是同义词。短语“A和/或B”表示“(A)、(B)或(A和B)”。
如本文所使用的,术语“模块”可以指代,作为其中的一部分,或者包括:用于运行一个或多个软件或固件程序的存储器(共享、专用或组)、专用集成电路(ASIC)、电子电路和/或处理器(共享、专用或组)、组合逻辑电路、和/或提供所述功能的其他合适组件。
在附图中,可能以特定布置和/或顺序示出了一些结构或方法特征。然而,应当理解的是,这样的特定布置和/或排序不是必需的。而是,在一些实施例中,这些特征可以以不同于说明性附图中所示的方式和/或顺序来进行说明。另外,特定附图中所包含得结构或方法特征并不意味着所有实施例都需要包含这样的特征,在一些实施例中,可以不包含这些特征或者可以与将这些特征与其他特征进行组合。
为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请的实施方式作进一步地详细描述。
图1A示出根据本申请的实施例的防火墙和负载均衡的示意图。
随着互联网的发展,网络服务提供方的业务流量越来越大,并且业务逻辑也越来越复杂,单台机器的性能问题以及单点问题凸显了出来。因此,在各种网络服务场景(例如,云服务、网站、应用、数据库或其他服务)中,负载均衡被广泛的地应用,来将工作负载分布到多个服务器以实现性能的水平扩展以及避免单点故障等功能,提高性能和可靠性。另一方面,在各种网络服务场景中,防火墙也是常用的安全防护技术,可以有效的过滤外部的非法攻击流量保证业务的正常工作。
如图1A所示,作为示例性的网络服务场景,外部流向先通过防火墙101,然后通过负载均衡器102分配到后端服务103中的后端服务器103a、103b、103c……。其中,防火墙101和负载均衡器102可以是运行在一个或多个硬件设备上的软件,例如,防火墙软件101和负载均衡器软件102可以运行在同一个服务器100中。或者,防火墙101和负载均衡器102也可以是单独的硬件设备,例如,防火墙101是具有防火墙功能的电子设备101,负载均衡器102是具有负载均衡功能的电子设备102。这里的服务器可以是,例如,独立的物理服务器或者是多个服务器组成的服务器集群或分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器,但并不局限于此。
在防火墙101已有一个或多个防火墙规则的情况下,防火墙101接收从外部来的流量,然后将接收到的数据(例如,数据包或报文)的信息与该一个或多个防火墙规则进行匹配,将能够匹配的数据发送给负载均衡器102,不能够匹配的数据则丢弃。负载均衡器102根据其负载均衡策略,将从防火墙101接收到的数据分配发送给后端服务103中的后端服务器103a、103b、103c……。然而,如背景技术中所述的原因,目前防火墙软件性能都不高,针对该技术问题,本申请的实施例提供了一种网络访问控制方法,该方法用于电子设备,能够在负载均衡场景中实现防火墙。
图2示出根据本申请的实施例的网络访问控制方法的流程图,下面结合图1A和图2对该方法200进行描述,该方法200包括:
步骤202,获取负载均衡实例信息;例如,防火墙101或其他软件/硬件设备从负载均衡器102获取负载均衡实例信息,该负载均衡实例信息包括,例如,该负载均衡实例为协议类型为TCP(Transmission Control Protocol,传输控制协议)、IP类型为A类和B类的请求服务。
步骤204,确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;例如,防火墙101中的一个或多个防火墙规则包括:规则1,允许协议类型为TCP、IP类型为A类、源IP为属于源IP网段S1的报文通过,优先级为一;规则2,允许协议类型为NetBEUI(NetBios Enhanced User Interface,NetBios增强用户接口)和IP类型为A类、源IP为属于源IP网段S2的报文通过,优先级为二;规则3,允许协议类型为TCP、IP类型为B类、源IP为属于源IP网段S3的报文通过,优先级为三。则,防火墙101或其他软件/硬件设备确定这些规则中的规则1和规则3与负载均衡器102中的该负载均衡实例信息中的IP类型和协议类型匹配,作为第一防火墙规则。
步骤206,在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则。由于IP网段之间的关系只可能是包含或者不相交。这样,对于任意两个防火墙规则a和b,假设规则a的优先级高于规则b的优先级,包括以下三种情况:情况1:规则a的源IP网段包含规则b的源IP网段,则可以丢弃规则b,也因此不会存在比较规则a和规则b的优先级的情况;情况2:规则a的源IP网段与规则b的源IP网段不相交,则保留两个规则,由于一个源IP不可能同时在不相交的两个网段中,所以不存在比较规则a和规则b的优先级的情况;情况3:规则b的源IP网段包含规则a的源IP网段,但不相等,则保留两个规则,当有报文的源IP同时在规则a的源IP网段和规则b的源IP网段中时,采用优先级更高的规则a来处理该报文。推广到任意两个以上的防火墙规则的情况,也就是说,对于低优先级规则,如果有高优先级规则的IP网段包含了该低优先级规则的IP网段,则丢弃该低优先级规则,否则保留。例如,防火墙101或其他软件/硬件设备确定第一防火墙规则是规则1和规则3,其中,规则1的优先级高于规则3的优先级。如果规则1的源IP网段S1包含规则3的源IP网段S3,则丢弃规则3,只保留规则1作为第二防火墙规则,而如果S1不包含S3(即,S1和S3不相交,或S3包含S1),则保留规则1和规则3作为第二防火墙规则。
应当理解的是,虽然示例中第一防火墙规则和第二防火墙规则具有特定的数量,但是实际上可以是任意数量。
其中,关于IP网段之间的关系只可能是包含或者不相交的证明如下:
如果两个网段存在相交,则必有IP属于网段1或网段2,记这样的IP为IP1。如果网段1的掩码N<=网段2的掩码M,则由于IP1属于网段2所以IP1的前M个bit位和网段2中所有IP一致,而因为N<=M,所以IP1的前N个bit位也和网段2中所有IP一致,所以网段2中所有IP属于网段1,所以网段1包含网段2,同理可以证明网段1的掩码N大于网段2的掩码M情况下,网段2包含网段1。
步骤208,基于该第二防火墙规则的源IP网段生成路由表,在该路由表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作。例如,规则1和规则3为第二防火墙规则的情况下,防火墙101或其他软件/硬件设备根据源IP网段S1和源IP网段S3生成源IP路由表(防火墙路由表)。在该路由表中,源IP网段S1对应的路由表动作为规则1的动作,源IP网段S3对应的路由表动作为规则3的动作。根据前文描述,多个第二防火墙规则的源IP网段之间只有不相交或包含关系,其中,如果是不相交关系,则不存在比较优先级的情况。如果是包含关系,则一定是优先级低的规则的源IP网段(相应的掩码小)包含优先级高的规则的源IP网段(相应的掩码大),在有报文的源IP同时在多个源IP网段中时,选择源IP网段的掩码最大的规则。即,路由表只需进行最长掩码匹配就能将报文匹配到优先级较高的规则的动作,例如,对于源IP同时在源IP网段S1和源IP网段S3中的报文,上述路由表只需进行最长掩码匹配,就能将报文匹配到源IP网段S1对应的优先级较高的规则1的动作。
在生成上述防火墙路由表之后,如图1B所示,负载均衡器102可以直接接收报文,报文在负载均衡器102中匹配到负载均衡实例后,负载均衡器102只需要查询根据该负载均衡实例生成的防火墙路由表即可实现原防火墙101的功能。方法200还包括:
步骤210,接收数据;例如,负载均衡器102接收匹配到负载均衡实例的报文。
步骤212,查询该路由表并执行相应的路由表动作。例如,负载均衡器102根据报文的源IP,查询上述路由表,对于源IP同时在源IP网段S1和源IP网段S3中的报文,上述路由表进行最长掩码匹配,查询到规则1的动作。例如,如果规则1的动作是不丢弃报文,则负载均衡器102将该报文放行到对应的负载均衡实例中进行负载均衡;如果规则1的动作是丢弃报文,则负载均衡器102丢弃该报文。
在本申请中,由于负载均衡实例不会为与其负载均衡策略中IP类型、协议类型不匹配的请求服务,因此可以筛选掉防火墙中与负载均衡中IP类型、协议类型不匹配的防火墙规则,并对筛选后的规则根据优先级进行覆盖,打平优先级,简化防火墙规则,提高防火墙性能。
根据本申请的一些实施例,确定匹配的防火墙规则中优先级最高的防火墙规则的源IP还包括:
该匹配的防火墙规则的协议为UDP(User Datagram Protocol,用户数据包协议)或者TCP的情况下,确定该匹配的防火墙规则中,与该负载均衡实例信息中的UDP或者TCP的端口信息匹配的优先级最高的防火墙规则的源IP。
在本申请中,进一步筛选掉防火墙中与UDP或者TCP的端口信息不匹配的防火墙规则,简化防火墙规则,提高防火墙性能。
在本申请中,由于负载均衡实例不会为与其负载均衡策略中IP类型、协议类型、端口信息不匹配的请求服务,因此可以筛选掉防火墙中与负载均衡中IP类型、协议类型、端口信息不匹配的防火墙规则。并且IP网段之间的关系只可能是包含或者不相交。对于低优先级规则,如果有高优先级规则的IP网段包含了该低优先级规则的IP网段,则丢弃该低优先级规则,否则保留。简化防火墙规则,提高防火墙性能。并且基于路由表实现防火墙规则,只需要根据报文的源IP查询防火墙路由表即可,进一步提高防火墙性能。
在本申请中,路由表使用最长掩码匹配。对于任意两个防火墙规则a和b,假设规则a的优先级高于规则b的优先级,如果规则b的源IP网段包含规则a的源IP网段,但不相等,则保留两个规则,这种情况下规则a中的掩码长度是大于规则b中的掩码长度的,所以路由表可以基于掩码长度判断优先级。
根据本申请的一些实施例,如图3所示,网络访问控制方法200还包括:
步骤302,第一防火墙规则的协议为UDP或者TCP的情况下,确定该第一防火墙规则中,与负载均衡实例信息中的UDP或者TCP的端口信息匹配的第三防火墙规则;
步骤304,在该第三防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则。
图4示出根据本申请的实施例的网络访问控制系统的框图,该系统400包括:
获取模块402,用于获取负载均衡实例信息;
第一确定模块404,用于确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;
第二确定模块406,用于在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;
路由表生成模块408,用于基于该第二防火墙规则的源IP网段生成路由表,在该路由表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作;
接收模块410,用于接收数据;
路由表执行模块412,查询该路由表并执行相应的路由表动作。
第一实施方式是与本实施方式相对应的方法实施方式,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
现在参考图5,所示为根据本申请的一个实施例网络访问控制设备500的框图。设备500可以包括一个或多个处理器502,与处理器502中的至少一个连接的系统控制逻辑508,与系统控制逻辑508连接的系统内存504,与系统控制逻辑508连接的非易失性存储器(NVM)506,以及与系统控制逻辑508连接的网络接口510。
处理器502可以包括一个或多个单核或多核处理器。处理器502可以包括通用处理器和专用处理器(例如,图形处理器,应用处理器,基带处理器等)的任何组合。在本文的实施例中,处理器502可以被配置为执行根据如图2-3所示的各种实施例的一个或多个实施例。
在一些实施例中,系统控制逻辑508可以包括任意合适的接口控制器,以向处理器502中的至少一个和/或与系统控制逻辑508通信的任意合适的设备或组件提供任意合适的接口。
在一些实施例中,系统控制逻辑508可以包括一个或多个存储器控制器,以提供连接到系统内存504的接口。系统内存504可以用于加载以及存储数据和/或指令。在一些实施例中设备500的内存504可以包括任意合适的易失性存储器,例如合适的动态随机存取存储器(DRAM)。
NVM/存储器506可以包括用于存储数据和/或指令的一个或多个有形的、非暂时性的计算机可读介质。在一些实施例中,NVM/存储器506可以包括闪存等任意合适的非易失性存储器和/或任意合适的非易失性存储设备,例如HDD(Hard Disk Drive,硬盘驱动器),CD(Compact Disc,光盘)驱动器,DVD(Digital Versatile Disc,数字通用光盘)驱动器中的至少一个。
NVM/存储器506可以包括安装在设备500的装置上的一部分存储资源,或者它可以由设备访问,但不一定是设备的一部分。例如,可以经由网络接口510通过网络访问NVM/存储506。
特别地,系统内存504和NVM/存储器506可以分别包括:指令520的暂时副本和永久副本。指令520可以包括:由处理器502中的至少一个执行时导致设备500实施如图2-3所示的方法的指令。在一些实施例中,指令520、硬件、固件和/或其软件组件可另外地/替代地置于系统控制逻辑508,网络接口510和/或处理器502中。
网络接口510可以包括收发器,用于为设备500提供无线电接口,进而通过一个或多个网络与任意其他合适的设备(如前端模块,天线等)进行通信。在一些实施例中,网络接口510可以集成于设备500的其他组件。例如,网络接口510可以集成于处理器502的,系统内存504,NVM/存储器506,和具有指令的固件设备(未示出)中的至少一种,当处理器502中的至少一个执行所述指令时,设备500实现图2-3所示的各种实施例的一个或多个实施例。通信模块
网络接口510可以进一步包括任意合适的硬件和/或固件,以提供多输入多输出无线电接口。例如,网络接口510可以是网络适配器,无线网络适配器,电话调制解调器和/或无线调制解调器。
在一个实施例中,处理器502中的至少一个可以与用于系统控制逻辑508的一个或多个控制器的逻辑封装在一起,以形成系统封装(SiP)。在一个实施例中,处理器502中的至少一个可以与用于系统控制逻辑508的一个或多个控制器的逻辑集成在同一管芯上,以形成片上系统(SoC)。
设备500可以进一步包括:输入/输出(I/O)设备512。I/O设备512可以包括用户界面,使得用户能够与设备500进行交互;外围组件接口的设计使得外围组件也能够与设备500交互。在一些实施例中,设备500还包括传感器,用于确定与设备500相关的环境条件和位置信息的至少一种。
在一些实施例中,用户界面可包括但不限于显示器(例如,液晶显示器,触摸屏显示器等),扬声器,麦克风,一个或多个相机(例如,静止图像照相机和/或摄像机),手电筒(例如,发光二极管闪光灯)和键盘。
在一些实施例中,外围组件接口可以包括但不限于非易失性存储器端口、音频插孔和电源接口。
在一些实施例中,传感器可包括但不限于陀螺仪传感器,加速度计,近程传感器,环境光线传感器和定位单元。定位单元还可以是网络接口510的一部分或与网络接口510交互,以与定位网络的组件(例如,全球定位系统(GPS)卫星)进行通信。
可以理解的是,本发明实施例示意的结构并不构成对网络访问控制设备500的具体限定。在本申请另一些实施例中,网络访问控制设备500可以包括比图示更多或更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件,软件或软件和硬件的组合实现。
可将程序代码应用于输入指令,以执行本文描述的各功能并生成输出信息。可以按已知方式将输出信息应用于一个或多个输出设备。为了本申请的目的,处理系统包括具有诸如例如数字信号处理器(DSP)、微控制器、专用集成电路(ASIC)或微处理器之类的处理器的任何系统。
程序代码可以用高级程序化语言或面向对象的编程语言来实现,以便与处理系统通信。在需要时,也可用汇编语言或机器语言来实现程序代码。事实上,本文中描述的机制不限于任何特定编程语言的范围。在任一情形下,该语言可以是编译语言或解释语言。
至少一个实施例的一个或多个方面可以由存储在计算机可读存储介质上的表示性指令来实现,指令表示处理器中的各种逻辑,指令在被机器读取时使得该机器制作用于执行本文所述的技术的逻辑。被称为“IP核”的这些表示可以被存储在有形的计算机可读存储介质上,并被提供给多个客户或生产设施以加载到实际制造该逻辑或处理器的制造机器中。
根据本申请的一些实施例,公开了一种计算机存储介质,在该计算机存储介质上存储有指令,当该指令在计算机上运行时,使得该计算机执行如本申请任一实施例的网络访问控制方法。
第一实施方式是与本实施方式相对应的方法实施方式,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
根据本申请的一些实施例,公开了一种计算机程序产品,包括计算机程序/指令,该计算机程序/指令被处理器执行时实现如本申请任一实施例的网络访问控制方法的步骤。
第一实施方式是与本实施方式相对应的方法实施方式,本实施方式可与第一实施方式互相配合实施。第一实施方式中提到的相关技术细节在本实施方式中依然有效,为了减少重复,这里不再赘述。相应地,本实施方式中提到的相关技术细节也可应用在第一实施方式中。
本申请中的实施方式通过简化防火墙规则,解决防火墙性能不高的技术问题。
在一些情况下,所公开的实施例可以以硬件、固件、软件或其任何组合形式来实现。所公开的实施例还可以以承载或储存在一个或多个瞬态或非瞬态的机器可读(例如,计算机可读)存储介质上的指令或程序形式实现,其可以由一个或多个处理器等读取和执行。当指令或程序被机器运行时,机器可以执行前述的各种方法。例如,指令可以通过网络或其他计算机可读介质分发。因此,机器可读介质可以包括但不限于,用于以机器(例如,计算机)可读的形式存储或传输信息的任何机制,例如,软盘,光盘,光盘只读存储器(CD-ROMs),磁光盘,只读存储器(ROM),随机存取存储器(RAM),可擦除可编程只读存储器(EPROM),电子式可清除程序化只读存储器(EEPROM),磁卡或光卡,或者用于通过电、光、声或其他形式信号(例如,载波、红外信号、数字信号等)传输网络信息的闪存或有形的机器可读存储器。因此,机器可读介质包括任何形式的适合于存储或传输电子指令或机器(例如,计算机)可读信息的机器可读介质。
上面结合附图对本申请的实施例做了详细说明,但本申请技术方案的使用不仅仅局限于本专利实施例中提及的各种应用,各种结构和变型都可以参考本申请技术方案轻易地实施,以达到本文中提及的各种有益效果。在本领域普通技术人员所具备的知识范围内,在不脱离本申请宗旨的前提下做出的各种变化,均应归属于本申请专利涵盖范围。
Claims (6)
1.一种网络访问控制方法,用于电子设备,其特征在于,所述方法包括:
获取负载均衡实例信息;
确定与所述负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;
在所述第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;
基于所述第二防火墙规则的源IP网段生成路由表,在所述路由表中,源IP网段对应的路由表动作为所述源IP网段对应的所述第二防火墙规则的动作;
接收数据;
查询所述路由表并执行相应的路由表动作。
2.根据权利要求1所述的方法,其特征在于,所述在所述第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则,还包括:
所述第一防火墙规则的协议为UDP或者TCP的情况下,确定所述第一防火墙规则中,与所述负载均衡实例信息中的UDP或者TCP的端口信息匹配的第三防火墙规则;
在所述第三防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则。
3.根据权利要求1所述的方法,其特征在于,所述路由表使用最长掩码匹配。
4.一种网络访问控制系统,其特征在于,所述系统包括:
获取模块,用于获取负载均衡实例信息;
第一确定模块,用于确定与所述负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;
第二确定模块,用于在所述第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;
路由表生成模块,用于基于所述第二防火墙规则的源IP网段生成路由表,在所述路由表中,源IP网段对应的路由表动作为所述源IP网段对应的所述第二防火墙规则的动作;
接收模块,用于接收数据;
路由表执行模块,查询所述路由表并执行相应的路由表动作。
5.一种网络访问控制设备,其特征在于,所述设备包括存储有计算机可执行指令的存储器和处理器,当所述指令被所述处理器执行时,使得所述设备实施根据权利要求1-3中任一项所述的网络访问控制方法。
6.一种计算机存储介质,其特征在于,在所述计算机存储介质上存储有指令,当所述指令在计算机上运行时,使得所述计算机执行根据权利要求1-3中任一项所述的网络访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210107230.2A CN114500058B (zh) | 2022-01-28 | 网络访问控制方法、系统、设备和介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210107230.2A CN114500058B (zh) | 2022-01-28 | 网络访问控制方法、系统、设备和介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114500058A true CN114500058A (zh) | 2022-05-13 |
| CN114500058B CN114500058B (zh) | 2024-07-12 |
Family
ID=
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050276262A1 (en) * | 2004-06-15 | 2005-12-15 | Sun Microsystems, Inc. | Rule set conflict resolution |
| US20060230442A1 (en) * | 2005-04-08 | 2006-10-12 | Yang James H | Method and apparatus for reducing firewall rules |
| KR20090079629A (ko) * | 2008-01-18 | 2009-07-22 | 한남대학교 산학협력단 | 네트워크상에서의 방화벽 기반 부하분산 시스템 |
| US20150237013A1 (en) * | 2014-02-20 | 2015-08-20 | Nicira, Inc. | Specifying point of enforcement in a firewall rule |
| US20150326532A1 (en) * | 2014-05-06 | 2015-11-12 | At&T Intellectual Property I, L.P. | Methods and apparatus to provide a distributed firewall in a network |
| CN106534257A (zh) * | 2016-09-29 | 2017-03-22 | 国家电网公司 | 一种多层次集群式架构的多源安全日志采集系统及方法 |
| CN109660548A (zh) * | 2018-12-28 | 2019-04-19 | 北京奇安信科技有限公司 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
| CN109743197A (zh) * | 2018-12-24 | 2019-05-10 | 中信百信银行股份有限公司 | 一种基于优先级配置的防火墙部署系统和方法 |
| CN111447203A (zh) * | 2020-03-24 | 2020-07-24 | 江苏易安联网络技术有限公司 | 一种安全策略编排方法 |
| CN111598722A (zh) * | 2020-05-18 | 2020-08-28 | 黎小波 | 一种基于云计算实现电力大数据布局和信息共享方法 |
| US20200344171A1 (en) * | 2019-04-23 | 2020-10-29 | Hewlett Packard Enterprise Development Lp | Verifying intents in stateful networks using atomic address objects |
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050276262A1 (en) * | 2004-06-15 | 2005-12-15 | Sun Microsystems, Inc. | Rule set conflict resolution |
| US20060230442A1 (en) * | 2005-04-08 | 2006-10-12 | Yang James H | Method and apparatus for reducing firewall rules |
| KR20090079629A (ko) * | 2008-01-18 | 2009-07-22 | 한남대학교 산학협력단 | 네트워크상에서의 방화벽 기반 부하분산 시스템 |
| US20150237013A1 (en) * | 2014-02-20 | 2015-08-20 | Nicira, Inc. | Specifying point of enforcement in a firewall rule |
| US20150326532A1 (en) * | 2014-05-06 | 2015-11-12 | At&T Intellectual Property I, L.P. | Methods and apparatus to provide a distributed firewall in a network |
| CN106534257A (zh) * | 2016-09-29 | 2017-03-22 | 国家电网公司 | 一种多层次集群式架构的多源安全日志采集系统及方法 |
| CN109743197A (zh) * | 2018-12-24 | 2019-05-10 | 中信百信银行股份有限公司 | 一种基于优先级配置的防火墙部署系统和方法 |
| CN109660548A (zh) * | 2018-12-28 | 2019-04-19 | 北京奇安信科技有限公司 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
| US20200344171A1 (en) * | 2019-04-23 | 2020-10-29 | Hewlett Packard Enterprise Development Lp | Verifying intents in stateful networks using atomic address objects |
| CN111447203A (zh) * | 2020-03-24 | 2020-07-24 | 江苏易安联网络技术有限公司 | 一种安全策略编排方法 |
| CN111598722A (zh) * | 2020-05-18 | 2020-08-28 | 黎小波 | 一种基于云计算实现电力大数据布局和信息共享方法 |
Non-Patent Citations (3)
| Title |
|---|
| K. SALAH: "Analytical Model for Elastic Scaling of Cloud-Based Firewalls", 《IEEE TRANSACTIONS ON NETWORK AND SERVICE MANAGEMENT》 * |
| 熊琅钰: "基于Nginx的高性能WAF的设计与实现", 《万方数据知识服务平台》 * |
| 胡启芳: "LVS集群技术在防火墙系统中的研究与应用", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11962501B2 (en) | Extensible control plane for network management in a virtual infrastructure environment | |
| US11765057B2 (en) | Systems and methods for performing end-to-end link-layer and IP-layer health checks between a host machine and a network virtualization device | |
| US11258667B2 (en) | Network management method and related device | |
| US10171362B1 (en) | System and method for minimizing disruption from failed service nodes | |
| CN114025021B (zh) | 一种跨Kubernetes集群的通信方法、系统、介质和电子设备 | |
| CN114422367B (zh) | 报文处理方法及装置 | |
| US20140122572A1 (en) | Enterprise service bus routing system | |
| US11777897B2 (en) | Cloud infrastructure resources for connecting a service provider private network to a customer private network | |
| CN111600812B (zh) | 一种报文的处理方法、处理装置、可读介质和系统 | |
| CN113676564B (zh) | 数据传输方法、装置及存储介质 | |
| US11966781B2 (en) | System and method for implementing a standalone application module | |
| CN107249038A (zh) | 业务数据转发方法及系统 | |
| US20220263754A1 (en) | Packet flow in a cloud infrastructure based on cached and non-cached configuration information | |
| US20230396579A1 (en) | Cloud infrastructure resources for connecting a service provider private network to a customer private network | |
| CN114500058A (zh) | 网络访问控制方法、系统、设备和介质 | |
| CN114500058B (zh) | 网络访问控制方法、系统、设备和介质 | |
| CN116389599A (zh) | 网关服务请求的处理、云原生网关系统的管理方法及装置 | |
| US20220200962A1 (en) | Method and system for providing an enterprise software distribution platform | |
| CN111800340B (zh) | 数据包转发方法和装置 | |
| Baldi et al. | A network function modeling approach for performance estimation | |
| US10904082B1 (en) | Velocity prediction for network devices | |
| CN117453380B (zh) | 集群的容器组调度方法、系统以及计算机设备 | |
| US20240056495A1 (en) | 5g service based architecture (sba) communication based on machine learning | |
| CN117692255B (zh) | 动态扩展aaa服务的方法、装置及电子设备 | |
| US20240195781A1 (en) | Systems and methods for cloud resolving and internet path finding |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant |