CN114978563A - 一种封堵ip地址的方法及装置 - Google Patents
一种封堵ip地址的方法及装置 Download PDFInfo
- Publication number
- CN114978563A CN114978563A CN202110220962.8A CN202110220962A CN114978563A CN 114978563 A CN114978563 A CN 114978563A CN 202110220962 A CN202110220962 A CN 202110220962A CN 114978563 A CN114978563 A CN 114978563A
- Authority
- CN
- China
- Prior art keywords
- address
- blocking
- flow
- bng
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000000903 blocking effect Effects 0.000 title claims abstract description 121
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000002159 abnormal effect Effects 0.000 claims abstract description 39
- 238000004590 computer program Methods 0.000 claims description 10
- 230000006399 behavior Effects 0.000 claims description 6
- 230000006872 improvement Effects 0.000 abstract description 5
- 230000009467 reduction Effects 0.000 abstract description 5
- 238000004891 communication Methods 0.000 description 9
- 230000007547 defect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 239000010410 layer Substances 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 239000012792 core layer Substances 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种封堵IP地址的方法及装置,该方法包括:确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;根据所述子接口,对所述BNG部署流量封堵策略;基于所述流量封堵策略,对异常流量IP地址执行封堵和/或解封堵操作。该方法实现对产生异常流量的IP地址的快速定位以及高效的封堵和/或解封堵,从而达到降本增效。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种封堵IP地址的方法及装置。
背景技术
目前对于产生异常流量的IP地址的处理手段是在安全监测系统检测到产生异常流量的IP地址且确定归属省之后,需要省网络运维人员快速通知地市人员确定该IP地址是否归属本地市,如果归属本地市,则需要本地市运维人员通过人工方式,在出口路由器上配置空路由或是在归属BNG设备上关闭子接口等操作,实现产生异常流量的IP地址的流量封堵。
现有方案的缺陷如下:在收到攻击IP地址信息后,运营商省公司统一传达信息给各个地市需要时间沟通,而且地市运维人员定位产生异常流量的IP地址用户归属时间长,需要人工逐一登陆核心层设备、汇聚层设备搜索路由下一跳信息,最终确定归属并定位到网关BNG设备,耗时长、效率低。
发明内容
本发明提供一种自动封堵IP地址的方法及装置,用以解决现有技术中封堵IP地址耗时长和效率低的缺陷,实现对产生异常流量的IP地址的快速定位以及高效的封堵和/或解封堵,从而达到降本增效。
本发明提供一种封堵IP地址的方法,包括:
确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;根据所述子接口,对所述BNG部署流量封堵策略;
基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作。
在一个实施例中,所述对所述IP地址执行封堵和/或解封堵操作包括:
基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址添加不允许访问的控制规则。
在一个实施例中,所述对所述IP地址执行封堵和/或解封堵操作包括:
基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址删除不允许访问的控制规则。
在一个实施例中,所述对所述BNG部署流量封堵策略包括:
在所述BNG不存在流量封堵策略的情况下,为所述BNG创建所述流量封堵策略;
所述创建所述流量封堵策略包括:
为所述BNG创建流分类与流行为;并且
在所述流分类下新增所述ACL。
在一个实施例中,所述确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口包括;
通过骨干路由器BR确定所述IP地址对应的归属地;
通过所述归属地的出口路由器,获取所述IP地址对应的路由下一跳信息;
根据所述路由下一跳信息确定所述IP地址对应的所述BNG的子接口。
在一个实施例中,所述确定所述IP地址对应的归属地包括:
基于边界网关协议BGP属性,根据所述IP地址对应的路由信息确定所述归属地的自治系统AS号码;
根据所述AS号码确定所述IP地址和所述归属地。
本发明还提供一种封堵IP地址的装置,包括:
确定单元:用于确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;
策略单元:用于根据所述子接口,对所述BNG部署流量封堵策略;
执行单元:用于基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作。
在一个实施例中,所述策略单元,还用于基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址添加不允许访问的控制规则。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述封堵IP地址的方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述封堵IP地址的方法的步骤。
本发明提供的一种封堵IP地址的方法及装置,通过确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;根据所述子接口,对所述BNG部署流量封堵策略;基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作,实现对产生异常流量的IP地址的快速定位以及高效的封堵和/或解封堵,从而达到降本增效。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的封堵IP地址的方法的流程示意图;
图2是本发明提供的封堵IP地址的装置的结构示意图;
图3是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1是本发明提供的封堵IP地址的方法的流程示意图。参照图1,本发明提供的封堵IP地址的方法包括:
步骤110、确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;
步骤120、根据所述子接口,对所述BNG部署流量封堵策略;
步骤130、基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作。
本发明提供的封堵IP地址的方法的执行主体为IP网络系统,可以是一个小区,一个城镇,一个城市或者一个省等范围内的计算机通信网,本发明不作具体限定。
下面以一个省范围内的IP网执行本发明提供的封堵IP地址的方法为例,详细说明本发明的技术方案。
需要说明的是,IP地址(Internet Protocol Address,互联网协议地址)是一种统一的地址格式,通过对IP地址的管理,网络管理员可以及时了解网络中IP地址的接入情况以及利用率,以便于进一步规划网络。其中,互联网协议为计算机网络相互连接进行通信而设计的协议。BNG(Broadband Network Gateway,宽带网络网关)位于网络的边缘,是宽带接入网与骨干网之间的桥梁,提供宽带接入服务,实现多种业务的汇聚与转发,满足不同用户对传输容量和带宽利用率的要求。
封堵IP地址是指通过使用网络技术使某IP地址丧失与其它IP通讯的功能,对于互联网络来说,指无法上网、无法与外界通讯。这通常是网络服务提供商用于针对网络中非法用户或非法攻击行为的一种操作方式。
具体地,在步骤110中,首先确定产生异常流量的IP地址的归属BNG设备。其中,产生异常流量的IP地址可以是一个,也可以多个,对应的归属BNG设备可以是一个,也可以是多个。
在步骤120中,进一步确认归属BNG设备中上述IP地址所对应的子接口信息,汇总上述IP地址、归属BNG设备以及子接口信息。根据汇总信息对归属BNG设备进行批量的策略部署。
在步骤130中,登录BNG设备,识别BNG设备中的流量封堵策略。基于流量封堵策略,对BNG设备发送操作指令,对产生异常流量的IP地址进行封堵操作和/或解封堵操作。其中,一个BNG设备可能存在一个或多个产生异常流量的IP地址,一个BNG设备上可以进行封堵操作或解封堵操作,也可以同时执行封堵操作和解封堵操作。
本发明提供的封堵IP地址的方法,通过确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;根据所述子接口,对所述BNG部署流量封堵策略;基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作,实现对产生异常流量的IP地址的快速定位以及高效的封堵和/或解封堵,从而达到降本增效。
在一个实施例中,所述对所述IP地址执行封堵和/或解封堵操作包括:
基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址添加不允许访问的控制规则。
需要说明的是,ACL(Access Control Lists,访问控制列表)是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。
具体的,基于流量封堵策略,归属BNG设备接收封堵操作命令,则在产生异常流量的IP地址对应的子接口下,通过流量封堵策略查到流分类下匹配的访问控制列表ACL,通过在ACL下对IP地址添加不允许访问的控制规则,完成IP地址的封堵。其中,可以批量对IP地址添加不允许访问的控制规则。封堵操作完成后,输出封堵操作记录信息。
进一步地,在一个实施例中,所述对所述BNG部署流量封堵策略包括:
基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址删除不允许访问的控制规则。
具体的,基于流量封堵策略,归属BNG设备接收解封堵操作命令,则在产生异常流量的IP地址对应的子接口下,通过流量封堵策略查到流分类下匹配的访问控制列表ACL,在ACL下对IP地址添加不允许访问的控制规则,完成IP地址的解封堵。其中,可以对IP地址批量删除不允许访问的控制规则。解封堵操作完成后,输出解封堵操作记录信息。
本发明提供的封堵IP地址的方法,通过与BNG设备信息交互,基于流量封堵策略,在子接口下对IP地址进行访问控制列表修改,快速实现近源封堵及解封堵任务,并通过输出操作记录信息供后续安全审计。
在一个实施例中,所述对所述BNG部署流量封堵策略包括:
在所述BNG不存在流量封堵策略的情况下,为所述BNG创建所述流量封堵策略;所述创建所述流量封堵策略包括:为所述BNG创建流分类与流行为;并且在所述流分类下新增所述ACL。
需要说明的是,流量封堵策略(Traffic Policy)分为以下3部分:
(1)流分类(Classifier)模板:定义流量类型。一个Classifier可以配置一条或多条if-match语句,if-match语句中可以引用ACL规则。不同的Classifier模板可以应用相同的ACL规则。一个ACL规则可以配置一个或多个Rule语句;
(2)流动作(Behavior)模板:指用于定义针对该类流量可实施的流动作。一个Behavior可以定义一个或多个动作。
(3)流量封堵策略(Traffic Policy)模板:将流分类Classifier和流动作Behavior关联,成为一个Classifier&Behavior对。当Traffic Policy模板设置完毕之后,需要将Traffic Policy模板应用到接口上才能使策略生效。
在一个具体的实施例中,确定归属BNG设备以及IP地址对应的子接口信息之后,汇总所有归属BNG设备以及子接口信息,如下表所示:
以BNG设备A为例,登陆BNG设备A,识别设备A是否有封堵的流量策略;
如果不存在封堵的流量封堵策略,则自动创建流量封堵策略;
如果存在封堵的流量策略,则与BNG设备A实现信息交互,控制完成产生异常流量的IP地址的封堵和/或解封堵操作;
如果是封堵命令,则在产生异常流量的IP地址对应的子接口下,通过流策略查到流分类下匹配的访问控制列表ACL,在ACL下对产生异常流量的IP地址(1.1.1.2和1.1.1.3)进行批量添加不允许访问的控制规则;
如果是解封堵命令,则在产生异常流量的IP地址对应的子接口下,对流分类下匹配的访问控制列表ACL删除产生异常流量的IP地址(1.1.1.2和1.1.1.3)不允许访问的控制规则。
输出封堵和/或解封的操作记录信息。
在一个实施例中,所述确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口包括;
通过骨干路由器BR确定所述IP地址对应的归属地;通过所述归属地的出口路由器,获取所述IP地址对应的路由下一跳信息;根据所述路由下一跳信息确定所述IP地址对应的所述BNG的子接口。
需要说明的是,BR(Backbone Router,骨干路由器)是指至少有一个接口是和骨干区域相连的路由器。路由器是网络数据的中转机构,路由器的两侧是两个不同的网络。当终端要发送数据到路由器网络以外的地方时,就需要发给路由下一跳信息,实际上是要发给下一个网关。
具体地,自动登录省网BR设备,确定产生异常流量的IP地址,进一步确认IP地址的路由归属地信息;分别登录到归属地的出口路由器,并进一步根据异常流量IP路由下一跳信息,最终寻径到归属BNG设备,确认所在子接口信息。
本发明提供的封堵IP地址的方法,通过对IP地址在线登录设备自动寻径的方案,避免了利用资料信息查询定位不准确的弊端,同时基于路由信息下一跳以及BGP路由属性的识别,快速判断归属地市,批量、高效修改设备封堵策略。
在一个实施例中,所述确定所述IP地址对应的归属地包括:
基于边界网关协议BGP属性,根据所述IP地址对应的路由信息确定所述归属地的自治系统AS号码;根据所述AS号码确定所述IP地址和所述归属地。
需要说明的是,AS(Autonomous System,自治系统)指使用统一内部路由协议的一组网络。如果成员单位的网络路由器采用BGP(Border Gateway Protocol,边界网关协议),就可以申请AS号码,每个自治系统的AS号码均是唯一的。一般如果该单位的网络规模比较大或者将来会发展成较大规模的网络,而且有多个出口,建议建立成一个自治系统,这样就需要AS号码标识独立的自治系统。如果网络规模较小,或者规模较为固定,而且只有一个出口,可采用静态路由或其它路由协议,这样就不需要AS号码。在同一个自治系统内,使用相同内部路由协议,自治系统间使用外部路由协议(通常是BGP协议)。BGP(Border GatewayProtocol,边界网关协议)用于自治系统AS之间动态交换路由信息的路由协议。
具体地,通过查看每条路由信息的BGP属性,确认IP地址对应的路由信息是否存在省内地市的AS号。如果存在本省内归属地市AS号,则记录该IP地址和归属地市;如果不存在本省内归属地市AS号,输出无需封堵的操作记录信息。
本发明提供的封堵IP地址的方法,通过对IP地址在线登录设备自动寻径的方案,避免了利用资料信息查询定位不准确的弊端,同时基于路由信息下一跳以及BGP路由属性的识别,快速判断归属地市,批量、高效修改设备封堵策略。
本发明还提供一种封堵IP地址的装置,该装置与上文描述的封堵IP地址的方法可相互对应参照。
图2为本发明提供的封堵IP地址的装置的结构示意图,如图2所示,该装置包括:
确定单元210:用于确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;
策略单元220:用于根据所述子接口,对所述BNG部署流量封堵策略;
执行单元230:用于基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作。
本发明提供的封堵IP地址的装置,通过确定单元210确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;策略单元220根据所述子接口,对所述BNG部署流量封堵策略;基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作,利用自动化手段处理产生异常流量的IP地址,实现对产生异常流量的IP地址的快速定位以及高效的封堵和/或解封堵,从而达到降本增效。
在一个实施例中,所述策略单元具体用于:
基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址添加不允许访问的控制规则。
在一个实施例中,所述策略单元还具体用于:
基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址删除不允许访问的控制规则。
在一个实施例中,所述确定单元具体用于:
通过骨干路由器BR确定所述IP地址对应的归属地;
通过所述归属地的出口路由器,获取所述IP地址对应的路由下一跳信息;
根据所述路由下一跳信息确定所述IP地址对应的所述BNG的子接口。
在一个实施例中,所述确定单元还具体用于:
基于边界网关协议BGP属性,根据所述IP地址对应的路由信息确定所述归属地的自治系统AS号码;
根据所述AS号码确定所述IP地址和所述归属地。
图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括:处理器(processor)310、通信接口(communication Interface)320、存储器(memory)330和通信总线(bus)340,其中,处理器310,通信接口320,存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令,以执行封堵IP地址的方法,例如包括:
确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;根据所述子接口,对所述BNG部署流量封堵策略;
基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作。
此外,上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的封堵IP地址的方法,例如包括:
确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;根据所述子接口,对所述BNG部署流量封堵策略;
基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法实施例提供的封堵IP地址方法,例如包括:
确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;根据所述子接口,对所述BNG部署流量封堵策略;
基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种封堵IP地址的方法,其特征在于,包括:
确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;
根据所述子接口,对所述BNG部署流量封堵策略;
基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作。
2.根据权利要求1所述的方法,其特征在于,所述对所述IP地址执行封堵和/或解封堵操作包括:
基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址添加不允许访问的控制规则。
3.根据权利要求1所述的方法,其特征在于,所述对所述IP地址执行封堵和/或解封堵操作包括:
基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址删除不允许访问的控制规则。
4.根据权利要求1所述的方法,其特征在于,所述对所述BNG部署流量封堵策略包括:
在所述BNG不存在流量封堵策略的情况下,为所述BNG创建所述流量封堵策略;
所述创建所述流量封堵策略包括:
为所述BNG创建流分类与流行为;并且
在所述流分类下新增所述ACL。
5.根据权利要求1所述的方法,其特征在于,所述确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口包括;
通过骨干路由器BR确定所述IP地址对应的归属地;
通过所述归属地的出口路由器,获取所述IP地址对应的路由下一跳信息;
根据所述路由下一跳信息确定所述IP地址对应的所述BNG的子接口。
6.根据权利要求5所述的方法,其特征在于,所述确定所述IP地址对应的归属地包括:
基于边界网关协议BGP属性,根据所述IP地址对应的路由信息确定所述归属地的自治系统AS号码;
根据所述AS号码确定所述IP地址和所述归属地。
7.一种封堵IP地址的装置,其特征在于,包括:
确定单元:用于确定产生异常流量的IP地址对应的宽带网络网关BNG的子接口;
策略单元:用于根据所述子接口,对所述BNG部署流量封堵策略;
执行单元:用于基于所述流量封堵策略,对所述IP地址执行封堵和/或解封堵操作。
8.根据权利要求7所述的装置,其特征在于,所述策略单元,还用于基于所述流量封堵策略查询所述子接口下的访问控制列表ACL,在所述ACL下对所述IP地址添加不允许访问的控制规则。
9.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述封堵IP地址方法的步骤。
10.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述封堵IP地址方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110220962.8A CN114978563B (zh) | 2021-02-26 | 2021-02-26 | 一种封堵ip地址的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110220962.8A CN114978563B (zh) | 2021-02-26 | 2021-02-26 | 一种封堵ip地址的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114978563A true CN114978563A (zh) | 2022-08-30 |
| CN114978563B CN114978563B (zh) | 2024-05-24 |
Family
ID=82974145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110220962.8A Active CN114978563B (zh) | 2021-02-26 | 2021-02-26 | 一种封堵ip地址的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978563B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277251A (zh) * | 2022-09-23 | 2022-11-01 | 浙江鹏信信息科技股份有限公司 | 基于frr软件路由集群的ip封堵方法、系统及介质 |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1394041A (zh) * | 2001-06-26 | 2003-01-29 | 华为技术有限公司 | 一种因特网服务提供者安全防护的实现方法 |
| US20080127338A1 (en) * | 2006-09-26 | 2008-05-29 | Korea Information Security Agency | System and method for preventing malicious code spread using web technology |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN101436995A (zh) * | 2008-12-04 | 2009-05-20 | 中国移动通信集团广东有限公司 | 一种基于bgp虚拟下一跳的ip地址快速封堵的方法 |
| CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
| CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
| CN103036733A (zh) * | 2011-10-09 | 2013-04-10 | 上海城际互通通信有限公司 | 非常规网络接入行为的监测系统及监测方法 |
| CN103561133A (zh) * | 2013-11-19 | 2014-02-05 | 中国科学院计算机网络信息中心 | 一种ip地址归属信息索引方法及快速查询方法 |
| CN105099917A (zh) * | 2014-05-08 | 2015-11-25 | 华为技术有限公司 | 业务报文的转发方法和装置 |
| CN106254152A (zh) * | 2016-09-19 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种流量控制策略处理方法和装置 |
| US20170202003A1 (en) * | 2016-01-07 | 2017-07-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Conveying use of exception reporting to core network nodes |
| CN107493272A (zh) * | 2017-08-01 | 2017-12-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置和系统 |
| US20180077182A1 (en) * | 2016-09-13 | 2018-03-15 | Cisco Technology, Inc. | Learning internal ranges from network traffic data to augment anomaly detection systems |
| CN107959681A (zh) * | 2017-12-06 | 2018-04-24 | 中盈优创资讯科技有限公司 | Ip网络端到端的访问路径确定方法及装置 |
| CN108270688A (zh) * | 2016-12-31 | 2018-07-10 | 中国移动通信集团江西有限公司 | 互联网出口流量均衡控制的实现方法及系统 |
| CN110830469A (zh) * | 2019-11-05 | 2020-02-21 | 中国人民解放军战略支援部队信息工程大学 | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 |
| CN110868402A (zh) * | 2019-10-29 | 2020-03-06 | 中盈优创资讯科技有限公司 | Ip地址封堵、解封堵方法及装置 |
-
2021
- 2021-02-26 CN CN202110220962.8A patent/CN114978563B/zh active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1394041A (zh) * | 2001-06-26 | 2003-01-29 | 华为技术有限公司 | 一种因特网服务提供者安全防护的实现方法 |
| US20080127338A1 (en) * | 2006-09-26 | 2008-05-29 | Korea Information Security Agency | System and method for preventing malicious code spread using web technology |
| CN101431449A (zh) * | 2008-11-04 | 2009-05-13 | 中国科学院计算技术研究所 | 一种网络流量清洗系统 |
| CN101436995A (zh) * | 2008-12-04 | 2009-05-20 | 中国移动通信集团广东有限公司 | 一种基于bgp虚拟下一跳的ip地址快速封堵的方法 |
| CN102143143A (zh) * | 2010-10-15 | 2011-08-03 | 华为数字技术有限公司 | 一种网络攻击的防护方法、装置及路由器 |
| CN102130800A (zh) * | 2011-04-01 | 2011-07-20 | 苏州赛特斯网络科技有限公司 | 基于数据流行为分析的网络访问异常检测装置及方法 |
| CN103036733A (zh) * | 2011-10-09 | 2013-04-10 | 上海城际互通通信有限公司 | 非常规网络接入行为的监测系统及监测方法 |
| CN103561133A (zh) * | 2013-11-19 | 2014-02-05 | 中国科学院计算机网络信息中心 | 一种ip地址归属信息索引方法及快速查询方法 |
| CN105099917A (zh) * | 2014-05-08 | 2015-11-25 | 华为技术有限公司 | 业务报文的转发方法和装置 |
| US20170202003A1 (en) * | 2016-01-07 | 2017-07-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Conveying use of exception reporting to core network nodes |
| US20180077182A1 (en) * | 2016-09-13 | 2018-03-15 | Cisco Technology, Inc. | Learning internal ranges from network traffic data to augment anomaly detection systems |
| CN106254152A (zh) * | 2016-09-19 | 2016-12-21 | 杭州华三通信技术有限公司 | 一种流量控制策略处理方法和装置 |
| CN108270688A (zh) * | 2016-12-31 | 2018-07-10 | 中国移动通信集团江西有限公司 | 互联网出口流量均衡控制的实现方法及系统 |
| CN107493272A (zh) * | 2017-08-01 | 2017-12-19 | 杭州迪普科技股份有限公司 | 一种流量清洗方法、装置和系统 |
| CN107959681A (zh) * | 2017-12-06 | 2018-04-24 | 中盈优创资讯科技有限公司 | Ip网络端到端的访问路径确定方法及装置 |
| CN110868402A (zh) * | 2019-10-29 | 2020-03-06 | 中盈优创资讯科技有限公司 | Ip地址封堵、解封堵方法及装置 |
| CN110830469A (zh) * | 2019-11-05 | 2020-02-21 | 中国人民解放军战略支援部队信息工程大学 | 基于SDN和BGP流程规范的DDoS攻击防护系统及方法 |
Non-Patent Citations (3)
| Title |
|---|
| 凌力;: "CRNET骨干网的流量异常检测和过滤", 铁道勘测与设计, no. 03 * |
| 王琪强;尚春雷;殷正伟;杨念祖;: "网络攻击行为的自动封堵与压制系统方案简述", 网络安全技术与应用, no. 05 * |
| 黄伟强;聂瑞华;: "网络异常IP自动截断设计与实现", 华南师范大学学报(自然科学版), no. 03 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115277251A (zh) * | 2022-09-23 | 2022-11-01 | 浙江鹏信信息科技股份有限公司 | 基于frr软件路由集群的ip封堵方法、系统及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114978563B (zh) | 2024-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102025535B (zh) | 虚拟机管理方法、装置及网络设备 | |
| CN102291455B (zh) | 分布式集群处理系统及其报文处理方法 | |
| US7826393B2 (en) | Management computer and computer system for setting port configuration information | |
| US20110082936A1 (en) | Method, apparatus and system for transmission of captured network traffic through a stacked topology of network captured traffic distribution devices | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| CN103650436A (zh) | 业务路径分配方法、路由器和业务执行实体 | |
| EP3200399B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| CN112272145B (zh) | 一种报文处理方法、装置、设备及机器可读存储介质 | |
| EP3200398B1 (en) | Automated mirroring and remote switch port analyzer (rspan)/encapsulated remote switch port analyzer (erspan) functions using fabric attach (fa) signaling | |
| US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
| RU2602333C2 (ru) | Сетевая система, способ обработки пакетов и носитель записи | |
| CN111064750A (zh) | 一种数据中心的网络报文控制方法和装置 | |
| CN101141396B (zh) | 报文处理方法和网络设备 | |
| CN105637806A (zh) | 网络拓扑确定方法和装置、集中式网络状态信息存储设备 | |
| JP2001249866A (ja) | ファイアウォール機能を分散させたネットワーク、ファイアウォール分散機能を有するファイアウォールサーバ、及びファイアウォール機能を有するエッジノード | |
| CN108234305A (zh) | 一种跨机框链路冗余保护的控制方法及设备 | |
| CN114978563A (zh) | 一种封堵ip地址的方法及装置 | |
| CN116545665A (zh) | 一种安全引流方法、系统、设备及介质 | |
| CN108768861B (zh) | 一种发送业务报文的方法及装置 | |
| JP7156310B2 (ja) | 通信装置、通信システム、通信制御方法、プログラム | |
| CN106254252A (zh) | 一种Flow spec路由的下发方法和装置 | |
| CN112994942B (zh) | 一种sdn控制方法及装置 | |
| CN112968879B (zh) | 一种实现防火墙管理的方法及设备 | |
| KR102412933B1 (ko) | 소프트웨어 정의 네트워크 기반 망 분리 서비스를 제공하는 시스템 및 방법 | |
| CN112751701B (zh) | 用于管理网络装置的系统、方法及计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |