CN1412996A - 网络设备中基于接口的网络访问控制方法 - Google Patents
网络设备中基于接口的网络访问控制方法 Download PDFInfo
- Publication number
- CN1412996A CN1412996A CN 02117106 CN02117106A CN1412996A CN 1412996 A CN1412996 A CN 1412996A CN 02117106 CN02117106 CN 02117106 CN 02117106 A CN02117106 A CN 02117106A CN 1412996 A CN1412996 A CN 1412996A
- Authority
- CN
- China
- Prior art keywords
- interface
- network equipment
- network
- packet
- access control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种网络设备中基于接口的网络访问控制方法,包括:首先,为网络设备的转发接口建立基于接口的访问规则,如路由器的转发接口,访问规则中分别配置了网络设备入接口的可访问性;然后,获取通过该转发接口的数据包进入网络设备时所经过的入接口的信息;最后,将接口信息与该转发接口所配置的各个入接口可访问性的访问规则相匹配,确定数据包的可访问性。本发明可对通过网络设备不同入接口接入的不同网络进行分别控制管理,实现了在IP地址相同的情况下依然可以对具有不同网络访问权限的网络用户分别进行网络访问控制,有效地防止了部分网络用户恶意通过伪装IP地址改变自己的访问权限,提高了网络访问控制的可靠性。
Description
技术领域
本发明涉及一种网络访问控制技术,尤其涉及一种网络设备中基于接口的网络访问控制方法。
背景技术
网络访问控制技术通常作用于被保护区域的入口处,保护内部网络免遭外来者的攻击或访问。网络访问控制的最基本的功能就是监控并过滤流过自身的数据包,即“包过滤”,从而达到访问控制的目的。
为了实现包过滤,首先要配置一些规则来规定什么样的数据包被过滤掉、什么样的数据包可以通过,这些规则称为访问控制列表(ACL);接下来把配置好的规则应用于特定的接口上;最后启动网络访问控制功能。这样,用户就在相应接口配置了网络访问控制功能。
每一条ACL规则由若干条“允许/禁止(permit/deny)”语句组成,ACL规则作为对数据包的区分标准。ACL按内容可分为:仅根据源地址匹配数据包的标准访问控制列表(Standard ACL);根据源/目的地址、源/目的端口号、承载的协议类型等匹配数据包的扩展访问控制列表(Extended ACL)。网络设备的每个接口可以分别配置两条标准的ACL规则或扩展的ACL规则,分别用来对进入该接口和从该接口转发的数据包进行包过滤。
现有的访问控制列表只是规定了数据包的源/目的地址、源/目的端口号、承载的协议类型等信息,所以应用了该访问控制列表对数据包的访问进行控制也只能根据这有限的信息实现。如图1所示:网络1到网络n分别通过路由器的接入接口Input 1到Input n接入到路由器,然后从同一个转发接口Output:1转发出去访问到共享区域。划分成的不同网络,如:网络1、网络2..网络n,通常是代表不同访问权限的用户群,所以在不同的时候可能就需要对各个网络释放不同的权限。而在实际情况中,不能排除部分网络用户为了改变自己的访问权限,将自己的IP地址伪装为某一个访问权限较宽的IP地址,这时,若采用现有的技术仅根据数据包的源/目的地址、源/目的端口号、承载的协议类型等信息来控制不同网络的用户,已经无法实现对该恶意用户进行相应的网络访问控制。
发明内容
本发明的目的是提供一种网络设备中基于接口的网络访问控制方法,在IP地址相同的情况下依然可以对具有不同网络访问权限的网络用户分别进行网络访问控制。
本发明的目的是这样实现的:网络设备中基于接口的网络访问控制方法,包括:
(1)为网络设备的转发接口建立基于接口的访问规则,访问规则中配置了网络设备入接口相对该转发接口的访问规则;
(2)获取通过该转发接口的数据包进入网络设备时所经过的入接口的接口信息;
(3)将接口信息与该转发接口所配置的网络设备入接口的访问规则相匹配,确定数据包的可访问性。
所述的步骤(1)包括:
(11)根据需要确定通过从各个入接口进入网络设备的数据包是否可以通过相应的转发接口转发出去;
(12)将上述规则通过基于接口的访问控制列表建立并应用于相应的接口。
所述的步骤(2)包括:
(21)数据包经网络设备相应入接口进入网络设备;
(22)将该入接口的接口信息加载至数据包的数据结构中;
(23)数据包经过网络设备的转发接口时调用上述接口信息。
所述的步骤(3)包括:
(31)将该入接口的接口信息与该转发接口所配置的访问规则相匹配,判断数据包是否可以通过该转发接口转发,如果可以,执行步骤(32),否则,执行步骤(33);
(32)将数据包通过该转发接口转发;
(33)将数据包丢弃。
所述的配置网络设备入接口相对该转发接口的访问规则包括:配置基于接口的访问控制规则和该规则的有效时间段。
所述的配置网络设备入接口相对该接口的访问规则包括:配置基于接口的访问控制规则、该规则的有效时间段和是否对相应的数据包做日志。
由上述技术方案可以看出,本发明在现有的网络访问控制技术基础上又增加了基于接口的网络访问控制规则,使进入网络设备的数据包可以根据其进入时所经过接口的接口信息,进一步确定其网络可访问性,从而可对通过网络设备不同接口接入的不同网络进行分别控制管理。本发明实现了在IP地址相同的情况下依然可以对具有不同网络访问权限的网络用户分别进行网络访问控制,有效地防止了部分网络用户恶意通过伪装IP地址来改变自己的访问权限,从而大大提高了网络访问控制的可靠性。
附图说明
图1为网络设备应用于网络中的示意图;
图2为基于接口的网络访问控制方法的流程图。
具体实施方式
本发明所述的网络设备中基于接口的网络访问控制方法,是在网络设备的转发接口处设置一种基于接口的访问控制规则,对通过该转发接口的数据包根据该数据包进入网络设备时经过的入接口信息进行访问权限的控制。本发明的具体实施方式如下,参见图2:
首先,为网络设备的转发接口建立基于接口的访问控制规则,如路由器的转发接口,见步骤1,访问控制规则中分别配置了网络设备中各个入接口的可访问性,根据需要可以配置网络设备部分入接口的可访问性,也可以配置所有入接口的可访问性,可访问性是指由各个入接口进入网络设备的数据包是否可以通过该转发接口转发。
访问控制规则通过基于接口的访问控制列表的形式配置于网络设备中相应的接口上,通过该转发接口的数据包均需遵守为该转发接口配置的基于接口的访问控制列表中的访问控制规则。
所述的基于接口的访问控制列表具体通过下述命令进行配置:access-list access-list-number{deny|permit}interface{interface-name|any}[log][time-range time-range-name]
其中:“access-list”为建立访问控制列表命令;“access-list-number”为指定访问控制列表序号,对于基于接口的访问控制列表的序号为1000至1199间数字;“{deny|permit}”为指定可访问性为禁止或允许,“Deny”为丢弃符合条件的数据包,“Permit”通过符合条件的数据包;“interface{interface-name|any}”用于指定数据包进入网络设备所经过的接口名或指定为所有接口,即指定允许或禁止从名字为“interface-name”的入接口或从任意入接口“any”进入网络设备的数据包的转发;“log”为可选参数,是否对符合条件的数据包做日志,日志内容包括ACL规则的序号,数据包通过或被丢弃,数据包的数目;“time-range time-range-name”指定这条ACL规则在该时间段内有效。
网络设备的用户除了可以为每个接口配置一条标准的或扩展的ACL外,同时还可以增加配置一条基于接口的ACL。用户通过下述配置命令:
ip access-group{access-list-number|name}{in|out}
no ip access-group{access-list-number|name}{in|out}即可将相应访问控制列表的访问控制规则应用到相应的转发接口上。其中:“no”表示删除相应的设置,即令相应访问控制列表的访问控制规则对该转发接口无效;“access-list-number”为ACL规则的序号,在1-199之间表示标准或者扩展的ACL规则;1000-1999表示基于接口过滤的ACL规则;“name”ACL规则的名字,字符串;“in”表示该访问控制规则控制从接口收上来的数据包;“out”表示该访问控制规则控制从接口转发的数据包,基于接口的ACL规则,即序号为1000到1999的ACL规则,只能用参数“out”。
然后,获取通过该转发接口的数据包进入网络设备时所经过的入接口的接口信息,见步骤2。获取数据包进入网络设备时经过的入接口的接口信息是通过以下过程实现的:当数据包经网络设备的相应入接口进入网络设备时,将该入接口的接口信息加载到数据包的数据结构中,当数据包经过网络设备的转发接口时则调用上述接口信息。
最后,将所调用的接口信息与该转发接口所配置的各个入接口的可访问性的访问规则相匹配,确定数据包的可访问性,包括:
将获取入接口的接口信息与步骤1所配置的各个入接口的可访问性的访问规则相匹配,判断数据包是否可以通过该转发接口转发,见步骤3;如果可以,将数据包通过该转发接口转发,见步骤4;否则,将该数据包丢弃,见步骤5。
通过上述过程,用户便可以实现对通过同一网络设备不同入接口接入网络的不同网络群体进行分级管理。
例如,用户应用的路由器有三个接口,分别是:Serial3/0/0、Serial4/0/0、Ethernet6/0/0,若需要在接口Ethernet6/0/0的OUT方向上应用下述访问控制规则:允许从接口Serial3/0/0进入的数据包通过该转发接口转发,拒绝从接口Serial4/0/0进入的数据包从该接口转发,具体配置命令如下:
Access-list 1000 permit interface serial3/0/0
Access-list 1000 permit interface serial3/0/0
Ip access-group 1000 out通过上述相应的配置命令即可将相应的基于接口的访问控制规则配置到路由器的Ethernet6/0/0接口上,并对通过该接口的数据包按照该访问控制规则进行网络访问控制。
Claims (6)
1、一种网络设备中基于接口的网络访问控制方法,包括:
(1)为网络设备的转发接口建立基于接口的访问规则,访问规则中配置了网络设备入接口相对该转发接口的访问规则;
(2)获取通过该转发接口的数据包进入网络设备时所经过的入接口的接口信息;
(3)将接口信息与该转发接口所配置的网络设备入接口的访问规则相匹配,确定数据包的可访问性。
2、根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征在于所述的步骤(1)包括:
(11)根据需要确定通过从入接口进入网络设备的数据包是否可以通过相应的转发接口转发出去;
(12)将上述规则通过基于接口的访问控制列表建立并应用于相应的接口。
3、根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征在于所述的步骤(2)包括:
(21)数据包经网络设备相应入接口进入网络设备;
(22)将该入接口的接口信息加载至数据包的数据结构中;
(23)数据包经过网络设备的转发接口时调用上述接口信息。
4、根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征所述的步骤(3)包括:
(31)将该入接口的接口信息与该转发接口所配置的访问规则相匹配,判断数据包是否可以通过该转发接口转发,如果可以,执行步骤(32),否则,执行步骤(33);
(32)将数据包通过该转发接口转发;
(33)将数据包丢弃。
5、根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征在于所述的配置网络设备入接口相对该转发接口的访问规则包括:配置基于接口的访问控制规则和该规则的有效时间段。
6、根据权利要求1所述的网络设备中基于接口的网络访问控制方法,其特征在于所述的配置网络设备入接口相对该接口的访问规则包括:配置基于接口的访问控制规则、该规则的有效时间段和是否对相应的数据包做日志。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021171068A CN1190054C (zh) | 2002-04-15 | 2002-04-15 | 网络设备中基于接口的网络访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB021171068A CN1190054C (zh) | 2002-04-15 | 2002-04-15 | 网络设备中基于接口的网络访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1412996A true CN1412996A (zh) | 2003-04-23 |
| CN1190054C CN1190054C (zh) | 2005-02-16 |
Family
ID=4744338
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB021171068A Expired - Lifetime CN1190054C (zh) | 2002-04-15 | 2002-04-15 | 网络设备中基于接口的网络访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1190054C (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1326426C (zh) * | 2003-05-30 | 2007-07-11 | 日本电气株式会社 | 漫游服务使能系统和方法 |
| CN100366026C (zh) * | 2003-07-06 | 2008-01-30 | 华为技术有限公司 | 一种在路由设备中实现报文转发控制的方法 |
| CN101170514B (zh) * | 2007-12-04 | 2010-06-02 | 华为技术有限公司 | 实现接入电路接口间访问控制的方法和装置 |
| CN101193127B (zh) * | 2007-11-28 | 2010-06-09 | 中兴通讯股份有限公司 | 一种间接获取数据包输入接口信息的方法及装置 |
| CN103152361A (zh) * | 2013-03-26 | 2013-06-12 | 华为技术有限公司 | 访问控制方法及设备、系统 |
| CN107995188A (zh) * | 2017-11-30 | 2018-05-04 | 杭州迪普科技股份有限公司 | 一种实现测试仪器与被测设备数据传输的装置及方法 |
-
2002
- 2002-04-15 CN CNB021171068A patent/CN1190054C/zh not_active Expired - Lifetime
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1326426C (zh) * | 2003-05-30 | 2007-07-11 | 日本电气株式会社 | 漫游服务使能系统和方法 |
| CN100366026C (zh) * | 2003-07-06 | 2008-01-30 | 华为技术有限公司 | 一种在路由设备中实现报文转发控制的方法 |
| CN101193127B (zh) * | 2007-11-28 | 2010-06-09 | 中兴通讯股份有限公司 | 一种间接获取数据包输入接口信息的方法及装置 |
| CN101170514B (zh) * | 2007-12-04 | 2010-06-02 | 华为技术有限公司 | 实现接入电路接口间访问控制的方法和装置 |
| CN103152361A (zh) * | 2013-03-26 | 2013-06-12 | 华为技术有限公司 | 访问控制方法及设备、系统 |
| WO2014154040A1 (zh) * | 2013-03-26 | 2014-10-02 | 华为技术有限公司 | 访问控制方法及设备、系统 |
| CN103152361B (zh) * | 2013-03-26 | 2015-12-02 | 华为技术有限公司 | 访问控制方法及设备、系统 |
| CN107995188A (zh) * | 2017-11-30 | 2018-05-04 | 杭州迪普科技股份有限公司 | 一种实现测试仪器与被测设备数据传输的装置及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1190054C (zh) | 2005-02-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP0909074B1 (en) | Methods and apparatus for a computer network firewall with multiple domain support | |
| JP3459183B2 (ja) | パケット検証方法 | |
| JP3568850B2 (ja) | データパケットフィルタの動作方法 | |
| EP0986229B1 (en) | Method and system for monitoring and controlling network access | |
| US20070089165A1 (en) | Method and System for Network Security Control | |
| CN101022343B (zh) | 网络入侵检测/抵御系统及方法 | |
| US20110219444A1 (en) | Dynamically adaptive network firewalls and method, system and computer program product implementing same | |
| EP0909072A2 (en) | Methods and apparatus for a computer network firewall with stateful packet filtering | |
| CN1893375A (zh) | 用于检测和减轻分布式拒绝服务攻击的系统和方法 | |
| CN1575462A (zh) | 在第2层装置中实现第3层/第7层防火墙的方法和设备 | |
| JP2002532967A (ja) | 電話用セキュリティーシステム | |
| CA2543204A1 (en) | System and method for traffic analysis | |
| RU2402881C2 (ru) | Способ и средство управления потоками данных защищенных распределенных информационных систем в сети шифрованной связи | |
| JP4120415B2 (ja) | トラフィック制御計算装置 | |
| CN101448264A (zh) | 接入用户的访问控制方法和系统 | |
| CN106130962A (zh) | 一种报文处理方法和装置 | |
| CN1949741A (zh) | 一种处理跨越不同防火墙间数据流的方法 | |
| CN101494639A (zh) | 一种分组通信系统中防止攻击的方法及装置 | |
| CN1190054C (zh) | 网络设备中基于接口的网络访问控制方法 | |
| CN1820452A (zh) | 检测并防止网络上的蠕虫流量 | |
| EP1952604B1 (en) | Method, apparatus and computer program for access control | |
| RU2373656C2 (ru) | Посредник по предоставлению содержимого и обеспечению защиты в системе мобильной связи | |
| CN1992595A (zh) | 在计算机网络中检测不良企图的数据的终端机与相关方法 | |
| CN101115018A (zh) | 控制设备访问的方法 | |
| CN100337222C (zh) | 一种防火墙系统及其访问限制方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20050216 |
|
| CX01 | Expiry of patent term |