CN1725736A - 配置访问控制列表的方法及其应用 - Google Patents
配置访问控制列表的方法及其应用 Download PDFInfo
- Publication number
- CN1725736A CN1725736A CNA2005100805124A CN200510080512A CN1725736A CN 1725736 A CN1725736 A CN 1725736A CN A2005100805124 A CNA2005100805124 A CN A2005100805124A CN 200510080512 A CN200510080512 A CN 200510080512A CN 1725736 A CN1725736 A CN 1725736A
- Authority
- CN
- China
- Prior art keywords
- acl
- rule
- weights
- access control
- acl rule
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种配置访问控制列表的方法及其应用,所述方法包括步骤:设定访问控制列表ACL规则中各元素的权值,所述元素为ACL规则中包含的字段;根据各ACL规则包含的元素计算各项ACL规则的权值;根据各项ACL规则的权值将其配置到ACL中。利用本发明方法配置ACL,使ACL不仅可以针对五元组,而且还可以针对其他元素按照用户指定的顺序自动进行排序,并且使ACL具有较强的扩展性。根据配置的ACL过滤流入和流出网络设备接口的数据包,可以有效地提高报文过滤速度。
Description
技术领域
本发明涉及网络访问控制技术领域,具体涉及一种配置访问控制列表的方法及其应用。
背景技术
随着信息技术的迅猛发展,Internet(因特网)技术已经广泛渗透到各个领域。然而,由Internet(企业网)的发展而带来的网络系统的安全问题,正变得日益突出,受到越来越多的关注。同时也出现了多种网络安全技术,比如,防火墙技术,加密技术,虚拟专用网技术等。
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。网络上的数据都是以包为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址、目标地址、TCP/UDP(传输控制协议/用户数据报文协议)源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的安全站点,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术简单实用,实现成本较低,在应用环境比较简单的情况下能够以较小的代价在一定程度上保证系统的安全。
网络设备为了过滤数据包,需要配置一系列的匹配规则,以识别需要过滤的对象。在识别出特定的对象之后,才能根据预先设定的策略允许或禁止相应的数据包通过。ACL(访问控制列表)就是用来实现这些功能。
ACL按照内容可以分为基本ACL和扩展ACL等。其中,基本ACL只对源IP进行过滤,扩展ACL对五元组,即<源IP地址,目的IP地址,源端口号,目的端口号,协议号>进行过滤。ACL通过一系列的匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号等各种元素的组合。网络设备根据ACL中指定的规则来检测接收的数据包,从而决定是转发还是丢弃该数据包。
通常,采用“深度优先”的原则对ACL规则进行排序,即将指定数据包范围最小的规则排在最前面。这样,在对数据包进行过滤时,只要遇到第一个相匹配的规则便可立即返回,不需要再继续进行下一条规则的匹配。现有技术中大都采用人工排序方法配置ACL。当ACL规则数量增加时,这样的配置方式不仅需要大量的人工计算,以确定各规则的优先级,而且配置的ACL准确性及扩展性都较差。
发明内容
本发明的目的是提供一种配置访问控制列表的方法,以克服现有技术中通过人工进行ACL规则配置工作量大、扩展性差的缺点,方便ACL规则的配置,增强ACL的扩展性。
本发明的另一个目的是提供一种利用访问控制列表过滤报文的方法,对ACL规则的范围大小进行排序,提高报文过滤速度。
为此,本发明提供如下的技术方案:
一种配置访问控制列表的方法,所述方法包括步骤:
A、设定访问控制列表ACL规则中各元素的权值,所述元素为ACL规则中包含的字段;
B、根据各ACL规则包含的元素计算各项ACL规则的权值;
C、根据各项ACL规则的权值将其配置到ACL中。
所述方法还包括步骤:
增加新的ACL规则时,计算该项ACL规则的权值;
与已有的ACL规则的权值进行比较;
根据比较结果将所述新的ACL规则插入到ACL中。
所述步骤A包括:
A1、根据各元素的应用频度分配其权值大小;
A2、根据所述元素的嵌套层数分配对应的权差级数。
所述步骤A1具体为:对应用频度最高的元素分配最小的权值。
所述步骤A进一步包括:
分配各元素的权值及权差级数时,使最小权值的规则表示范围最小的规则。
可选地,所述规则的表示范围为ACL规则中记录的网络地址范围。
可选地,所述规则的表示范围为ACL规则中记录的网络地址范围及端口范围。
所述步骤C具体为:各项ACL规则按照权值由小到大排序。
所述元素具体为:
目的IP地址、和/或源IP地址、和/或差异服务编码点DSCP、和/或服务类型TOS、和/或目的媒体接入控制地址、和/或源媒体接入控制地址、和/或虚拟局域网标识、和/或IP协议号、和/或源端口号、和/或目的端口号。
一种利用访问控制列表过滤报文的方法,所述方法包括步骤:
(1)按以下方式由网络设备自动配置ACL:
设定ACL规则中各元素的权值,所述元素为ACL规则中包含的字段;
根据各ACL规则包含的元素计算各项ACL规则的权值;
根据各项ACL规则的权值将其配置到ACL中;
(2)根据配置的ACL过滤流入和流出网络设备接口的数据包。
由以上本发明提供的技术方案可以看出,本发明基于ACL规则中每类元素相应的权值,确定每条ACL规则的范围,然后根据该范围的大小和用户的需要对各规则由系统自动排序;当需要向ACL中增加新的规则时,根据该规则中各元素的权值,确定该规则的范围,与原有规则的范围相比较,即可容易地插入到ACL规则列表中。利用本发明,不仅省去了采用人工配置顺序的方法重新配置ACL规则顺序所需的大量工作,而且对于扩展的ACL,不仅可以针对五元组,即<源IP地址、目的IP地址、源端口号、目的端口号、协议号>,实现“深度优先”的排序,针对这些元素通过一系列的匹配条件对数据包进行过滤,而且还可根据实际需要,对其他可配置的元素,比如,DSCP(差异服务编码点)、fragment(分片)、precdence(优先级)、TOS(服务类型)等,实现“深度优先”的排序,针对这些元素通过一系列的匹配条件对数据包进行过滤。
附图说明
图1是本发明配置访问控制列表的方法的实现流程图;
图2是利用访问控制列表过滤报文的方法的实现流程图。
具体实施方式
本发明的核心在于在网络设备上通过对ACL(访问控制列表)的自动配置,实现对ACL规则表示范围大小的排序,从而使ACL配置简单、准确并易于扩展。具体配置时可以根据实际应用情况指定ACL规则中每类元素相应的权值,根据每项ACL规则包含的元素计算该规则的权值,根据该权值对所有ACL规则进行排序,这样即可得到一个按优先级顺序排列的ACL。这样,网络设备根据ACL对数据流进行过滤时,只要遇到第一个相匹配的规则即可返回,而不需再进行下一条规则的匹配。当需要对ACL进行扩展时,根据计算出的权值方便地插入一个或多个新的ACL规则,使ACL做到动态更新,而不影响网络设备上的正常业务,提高了对数据流的过滤速度。
本技术领域人员知道,访问控制列表是应用在路由器等网络设备接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝,或者需要定向转发等等。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。通过灵活地增加访问控制列表,ACL可以当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。在路由器的接口上配置访问控制列表后,可以对入站接口、出站接口及通过路由器中继的数据包进行安全检测。
访问控制列表主要有:标准ACL、扩展ACL和命名ACL,可以根据实际需要选用。
当需要阻止来自某一网络的所有通信流量,或者允许来自某一特定网络的所有通信流量,或者想要拒绝某一协议簇的所有通信流量时,可以使用标准访问控制列表来实现这一目标。标准访问控制列表检查路由的数据包的源地址,从而允许或拒绝基于网络、子网或主机的IP地址的所有通信流量通过路由器的出口。
使用扩展访问控制列表既检查数据包的源地址,也检查数据包的目的地址,还检查数据包的特定协议类型、端口号等。扩展访问控制列表更具有灵活性和可扩充性,即可以对同一地址允许使用某些协议通信流量通过,而拒绝使用其他协议的流量通过。
在标准与扩展访问控制列表中均要使用表号,而在命名访问控制列表中使用一个字母或数字组合的字符串来代替前面所使用的数字。使用命名访问控制列表可以用来删除某一条特定的控制条目,这样可以在使用过程中方便地进行修改。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和实施方式对本发明作进一步的详细说明。
现有配置ACL是基于“深度优先”的原则进行的,即按照范围由小到大的顺序排列各项ACL规则。表示范围的大小可以通过比较网络地址范围的通配符来确定,通配符越小,则规则的表示范围就越小。比如,129.102.1.10.0.0.0指定了一个网络地址:129.102.1.1,而129.102.1.1 0.0.255.255则指定了一个网段:129.102.1.1~129.102.255.255。显然前者在访问控制规则中排在前面。
配置ACL规则时所依据的具体标准为:
对于基本ACL规则,直接比较源地址通配符,通配符相同的则按照配置顺序确定ACL规则的顺序;
对于扩展ACL规则,首先比较源地址通配符,相同的再比较目的地址通配符,仍相同的则依次比较源端口号、目的端口号的范围,范围小的排在前面,如果端口号也相同,则按配置时间先后顺序确定ACL规则的顺序。
本发明配置ACL的方法同样是基于“深度优先”的原则进行的,即按照范围由小到大的顺序排列各项ACL规则。与现有技术所不同的是,本发明基于ACL规则的权值,实现“深度优先”的排序。
参照图1,图1示出了本发明方法的实现流程:
步骤101:设定访问控制列表ACL规则中各元素的权值,所述元素为ACL规则中包含的字段,比如,五元组,即<源IP地址、目的IP地址、源端口号、目的端口号、协议号>,以及其他可配置的元素,如dscp、fragment、precdence、tos。
可以按照以下原则分配各元素的权值:
1.根据各元素的应用频度分配其权值大小,对应用频度最高的元素分配最小的权值。
比如,对于五元组,即<源IP地址、目的IP地址、源端口号、目的端口号、协议号>,分配权值由小到大依次为:协议号、源IP地址、目的IP地址、源端口号、目的端口号;
再比如,对于网上使用较少的元素fragment,分配较大的权值。
2.根据元素的嵌套层数分配对应的权差级数。每一级的自身权差取决于对应层元素中的参数最大范围。
假设权值的计算公式如下:
一个节点的总权重=节点的所有元素的总权重-(一级权差*二级权差+二级权差*元素权重+一级权重*元素次权重-元素二级次权重);其中元素次权重为该元素所带的第一个参数值,元素二级次权重为该元素所带的第二个参数值。
比如,dscp存在一个元素二级次权重,那么其节点的总权重=节点的所有元素的总权重-(一级权差*二级权差+二级权差*元素权重(dscp)-元素二级次权重);fragment不存在元素次权重和元素二级次权重,那么其节点的总权重=节点的所有元素的总权重-(一级权差*二级权差+二级权差*元素fragment权重)。
3.各项ACL规则的权值由组成该规则的各元素的权值综合计算获得。
这样,根据分配的各元素的权值及权差级数,可以使最小权值的规则表示范围最小的规则,排序时在ACL中的位置越靠前。
比如,定义tos10的权值比tos0的权值大,所以在对等条件下匹配带tos0的报文比匹配带tos10的报文靠前。
另外,还需要使规则的组成元素越多,其权值越小,见上述权值计算公式的描述。
比如,带了fragment规则的权值比不带fragment规则的权值在对等条件下的权值要小,即匹配位置越靠前。
当然,还可以根据实际需要,设定更多的权值分配原则,在此不再一一列举。
根据上述原则,保证ACL规则在同等级别时实现“深度优先”的排序,即使最小权值的规则表示范围最小的规则,排序时在ACL中的位置越靠前。其中,规则的表示范围可以是ACL规则中记录的网络地址范围;也可以是ACL规则中记录的网络地址范围及端口范围;还可以是除此之外的其他元素的取值范围。
步骤102:根据各ACL规则包含的元素计算各项ACL规则的权值。
前面已经提到,各项ACL规则的权值由组成该规则的各元素的权值综合计算获得。
这样,本发明在应用时,只要指定了各元素的权值,即可由应用的网络设备,比如,交换机、路由器等,自动计算出各项ACL规则的权值。然后比较各ACL规则的权值,实现ACL规则的自动排序。
步骤103:根据各项ACL规则的权值将各ACL规则配置到ACL中。
当然,设定不同的权值分配原则时,根据权值对ACL规则的排序方式也有所不同。
比如,按照上述原则设定各元素的权值时,各项ACL规则需要按照权值由小到大排序。反之,则按照权值则由大到小进行排列。
ACL建立后,在使用过程中,可能需要增加或删除其中的某项规则。增加新的ACL规则时,根据其包含的各元素的权值,计算该ACL规则的权值,然后,与已有的ACL规则的权值进行比较,根据比较结果即可方便地将新的ACL规则插入到ACL中。需要删除原有ACL规则时,直接从ACL中删除该ACL规则即可。
可见,利用本发明,还可方便地实现ACL的扩展。
参照图2,图2是利用访问控制列表过滤报文的方法的实现流程:
步骤201:设定ACL规则中各元素的权值,所述元素为ACL规则中包含的字段;
步骤202:根据各ACL规则包含的元素计算各项ACL规则的权值;
步骤203:根据各项ACL规则的权值将其配置到ACL中;
步骤204:根据配置的ACL过滤流入和流出网络设备接口的数据包。
本发明有多种应用,比如,在IDS(入侵检测系统)与网络设备联动进行网络安全检测中,可以根据IDS检测到的异常数据流,自动生成对应的ACL。将生成的ACL应用到网络设备的所有接口或者需要检测的部分接口中,使通过该接口的数据包需要进行相应的匹配,然后决定被通过还是拒绝。使网络设备实现基于数据流的阻断,保证网络安全,同时不会影响其他数据报文的正常处理。
ACL由网络设备实时自动配置,动态扩展,可以有效地提高网络设备对数据流的过滤速度,提高网络性能及安全性。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (10)
1、一种配置访问控制列表的方法,其特征在于,所述方法包括步骤:
A、设定访问控制列表ACL规则中各元素的权值,所述元素为ACL规则中包含的字段;
B、根据各ACL规则包含的元素计算各项ACL规则的权值;
C、根据各项ACL规则的权值将其配置到ACL中。
2、根据权利要求1所述的配置访问控制列表的方法,其特征在于,所述方法还包括步骤:
增加新的ACL规则时,计算该项ACL规则的权值;
与已有的ACL规则的权值进行比较;
根据比较结果将所述新的ACL规则插入到ACL中。
3、根据权利要求1或2所述的配置访问控制列表的方法,其特征在于,所述步骤A包括:
A1、根据各元素的应用频度分配其权值大小;
A2、根据所述元素的嵌套层数分配对应的权差级数。
4、根据权利要求3所述的配置访问控制列表的方法,其特征在于,所述步骤A1具体为:对应用频度最高的元素分配最小的权值。
5、根据权利要求3所述的配置访问控制列表的方法,其特征在于,所述步骤A进一步包括:
分配各元素的权值及权差级数时,使最小权值的规则表示范围最小的规则。
6、根据权利要求5所述的配置访问控制列表的方法,其特征在于,所述规则的表示范围为ACL规则中记录的网络地址范围。
7、根据权利要求5所述的配置访问控制列表的方法,其特征在于,所述规则的表示范围为ACL规则中记录的网络地址范围及端口范围。
8、根据权利要求1或2所述的配置访问控制列表的方法,其特征在于,所述步骤C具体为:
各项ACL规则按照权值由小到大排序。
9、根据权利要求1或2所述的配置访问控制列表的方法,其特征在于,所述元素具体为:
目的IP地址、和/或源IP地址、和/或差异服务编码点DSCP、和/或服务类型TOS、和/或目的媒体接入控制地址、和/或源媒体接入控制地址、和/或虚拟局域网标识、和/或IP协议号、和/或源端口号、和/或目的端口号。
10、一种利用访问控制列表过滤报文的方法,所述方法包括步骤:
(1)按以下方式由网络设备自动配置ACL:
设定ACL规则中各元素的权值,所述元素为ACL规则中包含的字段;
根据各ACL规则包含的元素计算各项ACL规则的权值;
根据各项ACL规则的权值将其配置到ACL中;
(2)根据配置的ACL过滤流入和流出网络设备接口的数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005100805124A CN100393071C (zh) | 2005-06-30 | 2005-06-30 | 配置访问控制列表的方法及其应用 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2005100805124A CN100393071C (zh) | 2005-06-30 | 2005-06-30 | 配置访问控制列表的方法及其应用 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1725736A true CN1725736A (zh) | 2006-01-25 |
CN100393071C CN100393071C (zh) | 2008-06-04 |
Family
ID=35924986
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2005100805124A Expired - Fee Related CN100393071C (zh) | 2005-06-30 | 2005-06-30 | 配置访问控制列表的方法及其应用 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100393071C (zh) |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100471171C (zh) * | 2006-03-10 | 2009-03-18 | 四川南山之桥微电子有限公司 | 硬件建立tcp数据流连接的方法 |
CN101141304B (zh) * | 2007-09-18 | 2010-11-24 | 杭州华三通信技术有限公司 | Acl规则的管理方法和设备 |
CN101399747B (zh) * | 2007-09-27 | 2011-03-16 | 中兴通讯股份有限公司 | Acl配置实现方法 |
CN101465807B (zh) * | 2008-12-17 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种数据流控制方法和装置 |
CN101702726B (zh) * | 2009-11-13 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 用于ip包分类设备的五元组规则更新方法和装置 |
CN102857513A (zh) * | 2012-09-19 | 2013-01-02 | 北京星网锐捷网络技术有限公司 | 过滤表项安装方法、装置及网络设备 |
CN103200123A (zh) * | 2013-03-06 | 2013-07-10 | 深圳市新格林耐特通信技术有限公司 | 一种交换机端口安全控制方法 |
CN104601526A (zh) * | 2013-10-31 | 2015-05-06 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
CN104618140A (zh) * | 2014-12-26 | 2015-05-13 | 上海斐讯数据通信技术有限公司 | Acl表项插入排序方法 |
CN107896169A (zh) * | 2017-12-28 | 2018-04-10 | 杭州迪普科技股份有限公司 | 一种acl的管理方法及装置 |
EP3432540A1 (en) * | 2017-07-20 | 2019-01-23 | Thomson Licensing | Access control device and method |
CN110442586A (zh) * | 2019-07-03 | 2019-11-12 | 北京左江科技股份有限公司 | 一种基于分类优先级的五元组查询方法 |
CN110932995A (zh) * | 2019-11-07 | 2020-03-27 | 西安邮电大学 | 一种QoS队列调度实现方法 |
CN112311800A (zh) * | 2020-11-02 | 2021-02-02 | 杭州安恒信息技术股份有限公司 | 一种区域访问控制的方法、系统、设备及可读存储介质 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002118558A (ja) * | 2000-10-10 | 2002-04-19 | Sony Corp | 情報処理装置および方法、並びにプログラム格納媒体 |
US6877003B2 (en) * | 2001-05-31 | 2005-04-05 | Oracle International Corporation | Efficient collation element structure for handling large numbers of characters |
CN1414757A (zh) * | 2002-05-08 | 2003-04-30 | 华为技术有限公司 | 自动按序配置访问控制列表规则的方法及其应用 |
CN100417150C (zh) * | 2003-11-11 | 2008-09-03 | 中兴通讯股份有限公司 | 访问控制列表和安全策略数据库的方法 |
CN100364304C (zh) * | 2004-09-02 | 2008-01-23 | 上海交通大学 | 与以太网兼容的实时介质访问控制方法 |
-
2005
- 2005-06-30 CN CNB2005100805124A patent/CN100393071C/zh not_active Expired - Fee Related
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100471171C (zh) * | 2006-03-10 | 2009-03-18 | 四川南山之桥微电子有限公司 | 硬件建立tcp数据流连接的方法 |
CN101141304B (zh) * | 2007-09-18 | 2010-11-24 | 杭州华三通信技术有限公司 | Acl规则的管理方法和设备 |
CN101399747B (zh) * | 2007-09-27 | 2011-03-16 | 中兴通讯股份有限公司 | Acl配置实现方法 |
CN101465807B (zh) * | 2008-12-17 | 2011-07-20 | 成都市华为赛门铁克科技有限公司 | 一种数据流控制方法和装置 |
CN101702726B (zh) * | 2009-11-13 | 2012-06-27 | 曙光信息产业(北京)有限公司 | 用于ip包分类设备的五元组规则更新方法和装置 |
CN102857513A (zh) * | 2012-09-19 | 2013-01-02 | 北京星网锐捷网络技术有限公司 | 过滤表项安装方法、装置及网络设备 |
CN102857513B (zh) * | 2012-09-19 | 2015-03-11 | 北京星网锐捷网络技术有限公司 | 过滤表项安装方法、装置及网络设备 |
CN103200123B (zh) * | 2013-03-06 | 2016-01-20 | 深圳市新格林耐特通信技术有限公司 | 一种交换机端口安全控制方法 |
CN103200123A (zh) * | 2013-03-06 | 2013-07-10 | 深圳市新格林耐特通信技术有限公司 | 一种交换机端口安全控制方法 |
CN104601526A (zh) * | 2013-10-31 | 2015-05-06 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
CN104601526B (zh) * | 2013-10-31 | 2018-01-09 | 华为技术有限公司 | 一种冲突检测及解决的方法、装置 |
US10044759B2 (en) | 2013-10-31 | 2018-08-07 | Huawei Technologies Co., Ltd. | Conflict detection and resolution methods and apparatuses |
US10917437B2 (en) | 2013-10-31 | 2021-02-09 | Huawei Technologies Co., Ltd. | Conflict detection and resolution methods and apparatuses |
CN104618140A (zh) * | 2014-12-26 | 2015-05-13 | 上海斐讯数据通信技术有限公司 | Acl表项插入排序方法 |
EP3432540A1 (en) * | 2017-07-20 | 2019-01-23 | Thomson Licensing | Access control device and method |
CN107896169A (zh) * | 2017-12-28 | 2018-04-10 | 杭州迪普科技股份有限公司 | 一种acl的管理方法及装置 |
CN110442586A (zh) * | 2019-07-03 | 2019-11-12 | 北京左江科技股份有限公司 | 一种基于分类优先级的五元组查询方法 |
CN110932995A (zh) * | 2019-11-07 | 2020-03-27 | 西安邮电大学 | 一种QoS队列调度实现方法 |
CN112311800A (zh) * | 2020-11-02 | 2021-02-02 | 杭州安恒信息技术股份有限公司 | 一种区域访问控制的方法、系统、设备及可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN100393071C (zh) | 2008-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1725736A (zh) | 配置访问控制列表的方法及其应用 | |
CN101958903B (zh) | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 | |
CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
CN101399749B (zh) | 一种报文过滤的方法、系统和设备 | |
CN101834865B (zh) | 用于管理基于网络过滤器的策略的方法 | |
CN101330464B (zh) | 网络接口系统、数据包传输方法及计算机系统 | |
CN101404650B (zh) | 一种细分网络应用服务质量的方法和系统 | |
CN1655518A (zh) | 网络安全系统和方法 | |
CN1879388A (zh) | 双模式防火墙 | |
CN1725709A (zh) | 网络设备与入侵检测系统联动的方法 | |
CN1905555A (zh) | 基于ngn业务的防火墙控制系统及方法 | |
CN1640090A (zh) | 分布式服务拒绝攻击的安全的自动化的响应装置与方法 | |
CA2464784A1 (en) | Multi-layered firewall architecture | |
CN101552722A (zh) | 一种管理网络流量带宽的方法及装置 | |
WO2015121789A1 (en) | Denial of service prevention in a software defined network | |
CN102801738A (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
CN101834785B (zh) | 一种实现流过滤的方法和装置 | |
CN1905528A (zh) | 基于虚拟局域网的数据发送方法与装置 | |
CN106790309A (zh) | 一种应用于多协议安全网关系统的过滤模块及其应用 | |
CN102594834B (zh) | 网络攻击的防御方法及装置、网络设备 | |
CN105207997B (zh) | 一种防攻击的报文转发方法和系统 | |
CN110213214A (zh) | 一种攻击防护方法、系统、装置和存储介质 | |
CN1906905A (zh) | 拒绝服务攻击防御系统、拒绝服务攻击防御方法以及拒绝服务攻击防御程序 | |
CN106789892B (zh) | 一种云平台通用的防御分布式拒绝服务攻击的方法 | |
CN1878125A (zh) | 提高骨干网络安全性的实现方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base Patentee before: Huasan Communication Technology Co., Ltd. |
|
CP03 | Change of name, title or address | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20080604 Termination date: 20200630 |
|
CF01 | Termination of patent right due to non-payment of annual fee |