專利名稱:控制設備訪問的方法
技術領域:
本發(fā)明涉及通信領域,并且特別地,涉及一種控制設備訪問的方法。
背景技術:
寬帶接入設備通常為用戶提供帶外管理口,以便用戶通過簡單
網纟各管理十辦i義(Simple Network Management Protocol , SNMP )方式、
或者通過遠程登錄的方式進入嵌入式網管,并對設備實施管理。
然而,網絡的便利性也給設備帶來了不安全性,非授權用戶如 果獲耳又到了網元的IP地址,也可以遠程登錄設備管理接口并4曼入i殳 備。為了避免這類問題的發(fā)生,最常采用的防范方式就是設置用戶 名和密碼,沒有用戶名密碼的非授權用戶即使連接上了管理口也無 法進入設備。
此夕卜,為了限制用戶的帶外管理連接占用過多的系統(tǒng)網絡資源 (例如,套4妄字等),通常還會對遠程登錄的連接個lt加以限制。
然而,這種方式存在明顯的擊夾陷,即,有意或無意的非控^又者 通過若干個連接連上了系統(tǒng),雖然這些非授權者不能登入設備,但 卻已經達到了遠程登錄的最大連接個數,因此會導致合法用戶不能 及時連上設備,且不能正常地訪問系統(tǒng)。
針對該問題,目前的解決方案是采用訪問控制列表(Access Control List, ACL)技術。互聯(lián)網通常所說的訪問控制列表^支術是 使用包過濾技術讀取數據包的包頭中的信息,例如,源地址、目的 地址、源端口、目的端口等〗言息,并才艮據預先定義的^見則對包進^f亍 過濾或放行,以達到訪問控制的目的。目前,已經存在有許多支持 ACL功能的交換芯片,在使用時,管理員可通過將控制規(guī)則配置到 芯片上,之后由硬件來直接判定對數據包的處理方式(即,放行或 過濾)。
然而,如果采用這種方式的話,就需要購買相應的芯片,因此 實現成本4艮高,并且對于上述的主要是為了防止非4受4又訪問的應用 環(huán)境等這類并不復雜的場合來說,這種方式顯然是不適合的。
至今為止,尚未提出能夠有效、便捷地解決上述問題的技術方案。
發(fā)明內容
考慮到上述問題而做出本發(fā)明,為此,本發(fā)明的主要目的在于 提供一種控制設備訪問的方案。
根據本發(fā)明的實施例,提供了 一種控制設備訪問的方法。
該方法包括步驟S102,設定對設備管理口的ACL訪問規(guī)則, 以及對沒有命中ACL訪問規(guī)則的報文的處理規(guī)則;步驟S104,獲 取系統(tǒng)的工作參數,并結合工作參數判斷報文是否命中ACL訪問規(guī) 則;以及步驟S106,如果凈艮文未命中ACL訪問規(guī)則,貝'J根據處理 一見則進4亍處理;如果報文命中ACL訪問身見則,則才艮據ACL訪問規(guī) 則進4于相應的處理。 其中,在步驟S102與步驟S104之間,進一步包括判斷系統(tǒng) 是否使能管理ACL功能,如果未使能管理ACL功能,則允許所有 才艮文通過;否則執(zhí)4亍步艱《S104和步驟S106。
其中,ACL訪問規(guī)則包括以下至少之一 缺省ACL訪問規(guī)則 和配置ACL訪問^L則。
在這種情況下,在步驟S104中,可以進一步包括結合工作 參數,判斷報文是否命中缺省ACL訪問規(guī)則,如果命中缺省ACL 訪問規(guī)則,則根據缺省ACL訪問規(guī)則進行處理;結合工作參數,判 斷未命中缺省ACL訪問規(guī)則的報文是否命中配置ACL訪問規(guī)則, 如果命中配置ACL訪問規(guī)則,貝'J根據配置ACL訪問規(guī)則進行處理; 根據處理規(guī)則處理未命中缺省ACL訪問規(guī)則和配置ACL訪問規(guī)則 的才艮文。
并且,可在嵌入式網管用戶接口上,提供命令供管理員設置配 置ACLi方問身見則。
其中,在該方法中,處理規(guī)則為以下之一允許未命中缺省ACL 訪問規(guī)則和配置ACL訪問規(guī)則的報文通過,或拒絕未命中缺省ACL 訪問身見則和配置ACL訪問失見則的才艮文通過。
其中,在該方法中,缺省ACL訪問規(guī)則包括允許基本通訊的 才艮文通過,該類才艮文包括但不限于網間控制報文協(xié)議(Internet Control Messages Protocol, ICMP)凈艮文、;也i止解斗斤十辦i義(Address Resolution Protocol, ARP )幀。
此外,在該方法中,配置ACL訪問規(guī)則包括設定特定字段的 合法或非法信息,對包含合法信息的報文允許通過,或對包含非法 信息的報文拒絕通過,其中,特定字段包括但不限于源IP地址、 目的IP地址、IP協(xié)-漢類型、源端口 、目的端口 。
通過本發(fā)明的上述技術方案,能夠有效地控制報文的通行管理,
達到對接入設備管理接口的訪問控制的目的;并且能夠在相對簡單 的應用環(huán)境下,實現低成本的系統(tǒng)安全保證。
此處所說明的附圖用來^是供對本發(fā)明的進一步理解,構成本申 請的一部分,本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明,并 不構成對本發(fā)明的不當限定。在附圖中
圖1是4艮據本發(fā)明實施例的控制i殳備訪問的方法的流程圖;以
及
圖2是根據本發(fā)明實施例的控制設備訪問的方法的處理實例的 流程圖。
具體實施例方式
在本實施例中,提供了一種4空制i殳備i方問的方法。該方法不需 要采用昂貴的ACL芯片就可以有效地實現ACL的思想,降低實現 成本,并有效地達到訪問控制的目的。
如圖1所示,根據本實施例的控制設備訪問的方法包括步驟 S102,設定對設備管理口的ACL訪問規(guī)則,以及對沒有命中ACL 訪問規(guī)則的報文的處理規(guī)則;步驟S104,獲取系統(tǒng)的工作參數,并 結合工作參數判斷報文是否命中ACL訪問規(guī)則;以及步驟S106, 如果報文未命中ACL訪問規(guī)則,則根據處理規(guī)則進行處理;如果報 文命中ACL訪問規(guī)則,則根據ACL訪問規(guī)則進行相應的處理。
其中,在步艱《S102與步艱《S104之間,可以進一步包4舌判斷 系統(tǒng)是否使能管理ACL功能,如果未使能管理ACL功能,則允許 所有才艮文通過;否則執(zhí)4于步-驟S104和步艱《S106。
其中,ACL訪問規(guī)則包括以下至少之一缺省ACL訪問規(guī)則 和配置ACL訪問規(guī)則。
在這種情況下,在步驟S104中,可以進一步包括結合工作 參數,判斷報文是否命中缺省ACL訪問規(guī)則,如果命中缺省ACL 訪問規(guī)則,則根據缺省ACL訪問規(guī)則進行處理;結合工作參數,判 斷未命中擊夾省ACL訪問規(guī)則的才艮文是否命中配置ACL ^方問^見則, 如果命中配置ACL訪問^L則,貝'J根據配置ACL訪問規(guī)則進行處理; 以及4艮據處理規(guī)則處理未命中缺省ACL訪問規(guī)則和配置ACL訪問 規(guī)則的才艮文。
優(yōu)選地,可在嵌入式網管用戶接口上,提供命令供管理員設置 配置ACL"i方問身見則。
此外,在該方法中,處理力見則可以為以下之一允"i午未命中擊夾 省ACL訪問規(guī)則和配置ACL訪問規(guī)則的報文通過,或拒絕未命中 缺省ACL訪問規(guī)則和配置ACL訪問-見則的才艮文通過。
優(yōu)選地,缺省ACL訪問規(guī)則可以包括允許基本通訊的才艮文通 過,該類報文包括但不限于網間控制報文協(xié)議(ICMP)報文和地 址解析協(xié)i義(ARP)幀。
另夕卜,在該方法中,配置ACL訪問規(guī)則包括設定特定字段的 合法或非法信息,對包含合法信息的報文允許通過,或對包含非法 信息的報文拒絕通過,其中,特定字段包括但不限于源IP地址、 目的IP ;也址、IP十辦i義類型、源端口 、目的端口 。
在實際處理時,可將上述處理簡化為以下過程
A,設定若干對設備管理口的缺省ACL訪問規(guī)則,和/或在嵌 入式網管用戶接口上,提供命令供管理員配置定制的ACL訪問規(guī)則 (即,上述的配置ACL訪問規(guī)則);同時設定才艮文不匹配任何訪問 規(guī)則時的處理規(guī)則;
B,當管理口需要進行報文判定時,判斷系統(tǒng)是否使能管理ACL 功能,如果使能,則執(zhí)行步驟C和步驟D;否則允許報文通過。
C,管理口需要進行報文判定時,獲取系統(tǒng)當前工作參數;
D, 結合系統(tǒng)工作參數,逐條判斷報文是否命中缺省ACL訪問 規(guī)則,如是,則按缺省訪問規(guī)則處理;和/或結合系統(tǒng)工作參數,逐 條判斷報文是否命中定制的配置ACL訪問規(guī)則,如是,則按定制的 配置ACL i方問^見則處理;
E, 如果報文沒有命中以上任何ACL訪問規(guī)則(即,未命中缺 省ACL訪問規(guī)則和配置ACL訪問規(guī)則),則根據事先設定好的處理 規(guī)則允許報文通過或拒絕報文通過。
下面將結合具體實例描述根據本實施例的方法。
如圖2所示,沖艮據本實施例的方法可以包括如下步驟
步驟l,設定若干對設備管理口的缺省ACL訪問規(guī)則;這個步 驟的目的是為了才艮據系統(tǒng)的需求,固定一些在夬省的身見則,從而免去 管理員每次必須配置一些規(guī)則的麻煩,也避免了由于遺漏引起的配 置不完整而導致系統(tǒng)基本的通訊被阻塞;可選地,缺省ACL訪問規(guī) 則可以為ICMP才艮文、ARP幀可以通過(這才羊是寸呆i正有 一個基本
的檢測設備連通性的手段);并且,設定處理規(guī)則,對沒有在任何訪 問規(guī)則中被考慮到的報文均拒絕通過;
步驟2,根據實際情況定制(可由管理員定制)對設備管理口 的其它ACL訪問規(guī)則(即,上述的配置ACL訪問規(guī)則);在執(zhí)行該 步驟時,可以在嵌入式網管用戶接口上提供命令以供管理員配置該 ACL訪問》見則,并且該^L則可配置的字段包括源IP地址(包括 掩碼)、IP協(xié)議類型、源端口、以及目的端口等;其中,管理員可 以定制哪些IP為合法源IP,。那些為非法IP;可以i^問的月l務端口 是哪些(例如,只能使用TELNET服務而不能使用FTP服務等), 例:^,可以配置為以下^L則
deny source畫ip 10.40.1.1/32
deny source-ip any ip-prototol畫type TCP dest-port 21 permit source-ip 10.40.1.0/24
上述規(guī)則指定了 10.40.1.0/24這個網段的IP地址為授權IP地 址,10.40.1.1是非4受斥又IP地址;此夕卜,不允許對設備進4亍FTP訪 問(TCP 21號端口 );
步驟3,當管理口需要進行報文判定時,判斷系統(tǒng)是否使能管 理ACL功能;如果此管理ACL功能未使能,則允許才艮文通過;如 果管理ACL使能,則進入下一步驟;并且,可以通過嵌入式網管用 戶接口命令來開關是否使能;
步驟4,當管理口需要進行報文判定時,獲取系統(tǒng)當前工作參 數;需要了解設備的管理接口當前的局域網特性參數,例如,在以 太網中工作并且支持tagged (802.1q十辦i義才示簽)才艮文的處理的情況 下,需要獲取當前的標簽協(xié)議標識(Tag Protocol Identifier, TPID ) 等參數,以便比較報文時作為判斷報文格式的起止位置的依據之一;
步驟5,結合系統(tǒng)工作參數,逐條判斷報文是否命中缺省ACL 訪問規(guī)則,如果是,則按缺省ACL訪問規(guī)則處理,其中,根據缺省 ACL訪問規(guī)則中關心的字段內容,找到報文中相應的協(xié)議字段,判 斷是否與規(guī)則符合,如果符合,則按該缺省ACL訪問規(guī)則規(guī)定的動 作允許或者拒絕該^艮文;
并且,在該步驟中逐條比較缺省ACL訪問規(guī)則,直至所有缺省 ACL i方問井見則比4交完畢;
步驟6,結合系統(tǒng)工作參數,逐條判斷報文是否命中定制的訪 問規(guī)則,如果是,則按規(guī)則處理,其中,根據配置好的ACL訪問規(guī) 則中關心的字段內容,找到報文中相應的協(xié)議字段,判斷是否與規(guī) 則符合,如果符合,則按該配置ACL訪問規(guī)則規(guī)定的動作允許或者 拒絕該4艮文;
并且,在該步驟中,逐條比較配置ACL訪問規(guī)則,直至所有配 置ACL訪問失見則比4交完畢。
此外,在上述處理中,如果報文沒有命中任何規(guī)則,則按步驟 1中設定的處理規(guī)則拒絕該報文。至此,報文控制動作執(zhí)行完畢, 非授權訪問的報文會被拒絕,授權訪問的報文可以通過,控制訪問 的目的達到了。
綜上所述,本發(fā)明提供了 一種簡單實用的ACL訪問控制的實現 方式,該方法能夠有效地控制報文的通行管理,從而達到對接入設 備管理接口的訪問控制的目的;能夠在相對簡單的應用環(huán)境下,實
現低成本的系統(tǒng)安全保證。
以上所述僅為本發(fā)明的優(yōu)選實施例而已,并不用于限制本發(fā)明, 對于本領域的技術人員來說,本發(fā)明可以有各種更改和變化。凡在 本發(fā)明的精神和原則之內,所作的任何修改、等同替換、改進等, 均應包含在本發(fā)明的保護范圍之內。
權利要求
1.一種控制設備訪問的方法,其特征在于,包括步驟S102,設定對設備管理口的ACL訪問規(guī)則,以及對沒有命中所述ACL訪問規(guī)則的報文的處理規(guī)則;步驟S104,獲取系統(tǒng)的工作參數,并結合所述工作參數判斷報文是否命中所述ACL訪問規(guī)則;以及步驟S106,如果報文未命中所述ACL訪問規(guī)則,則根據所述處理規(guī)則進行處理;如果報文命中所述ACL訪問規(guī)則,則根據所述ACL訪問規(guī)則進行相應的處理。
2. 根據權利要求1所述的控制設備訪問的方法,其特征在于,在 所述步驟S102與所述步驟S104之間,進一步包括判斷所述 系統(tǒng)是否使能管理ACL功能,如果未使能所述管理ACL功能, 則允許所有報文通過;否則執(zhí)行所述步驟S104和所述步驟 S106。
3. 根據權利要求1或2所述的控制設備訪問的方法,其特征在于, 所述ACL訪問規(guī)則包括以下至少之一缺省ACL訪問規(guī)則和 配置ACL訪問規(guī)則。
4. 根據權利要求3所述的控制設備訪問的方法,其特征在于,在 所述步-驟S104中,進一步包4舌結合所述工作參數,判斷報文是否命中所述缺省ACL訪 問規(guī)則,如果命中所述缺省ACL訪問規(guī)則,則根據所述缺省 ACL訪問規(guī)則進行處理; 結合所述工作參數,判斷未命中所述缺省ACL訪問規(guī)則 的報文是否命中所述配置ACL訪問規(guī)則,如果命中所述配置 ACL訪問規(guī)則,則根據所述配置ACL訪問^見則進行處理;以 及根據所述處理規(guī)則處理未命中所述缺省ACL訪問規(guī)則和 所述配置ACL訪問規(guī)則的報文。
5. 根據權利要求3所述的控制設備訪問的方法,其特征在于,在 嵌入式網管用戶接口上,^是供命令供管理員i殳置所述配置ACL i方問規(guī)則。
6. 根據權利要求4所述的控制設備訪問的方法,其特征在于,所 述處理規(guī)則為以下之一允許未命中所述缺省ACL訪問規(guī)則 和所述配置ACL訪問規(guī)則的凈艮文通過,或拒絕未命中所述缺 省ACL訪問失見則和所述配置ACL訪問失見則的才艮文通過。
7. 根據權利要求4所述的控制設備訪問的方法,其特征在于,所 述缺省ACL訪問規(guī)則包括允許基本通訊的報文通過,所述 基本通訊的報文包括網間控制報文協(xié)議報文、地址解析協(xié)議幀。
8. 根據權利要求4所述的控制設備訪問的方法,其特征在于,所 述配置ACL訪問規(guī)則包括設定特定字段的合法或非法信息, 對包含合法信息的報文允許通過,或對包含非法信息的報文拒 絕通過,其中,所述特定字段包括源IP地址、目的IP地址、 IP十辦i義類型、源端口、目的端口。
全文摘要
本發(fā)明公開了一種控制設備訪問的方法,包括步驟S102,設定對設備管理口的ACL訪問規(guī)則,以及對沒有命中訪問規(guī)則的報文的處理規(guī)則;步驟S104,獲取系統(tǒng)的工作參數,并結合工作參數判斷報文是否命中ACL訪問規(guī)則;以及步驟S106,如果報文未命中ACL訪問規(guī)則,則根據處理規(guī)則進行處理;如果報文命中ACL訪問規(guī)則,則根據ACL訪問規(guī)則進行相應的處理。通過使用本發(fā)明,能夠有效地控制報文的通行管理,達到對接入設備管理接口的訪問控制的目的;并且能夠在相對簡單的應用環(huán)境下,實現低成本的系統(tǒng)安全保證。
文檔編號H04L29/06GK101115018SQ20071015413
公開日2008年1月30日 申請日期2007年9月17日 優(yōu)先權日2007年9月17日
發(fā)明者康傳珍 申請人:中興通訊股份有限公司