国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種鏡像和訪問(wèn)控制列表功能生效順序的優(yōu)化方法

      文檔序號(hào):7687816閱讀:273來(lái)源:國(guó)知局
      專利名稱:一種鏡像和訪問(wèn)控制列表功能生效順序的優(yōu)化方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù),更具體的說(shuō),涉及一種對(duì)i^^lUi控設(shè)備接口的數(shù)據(jù)包進(jìn)行鏡像和ACL ( Access Control List,訪問(wèn)控制列表) 處理順序的優(yōu)化方法。
      背景技術(shù)
      互聯(lián)網(wǎng)的高速發(fā)展帶來(lái)了便利,同時(shí)也產(chǎn)生了例如網(wǎng)絡(luò)攻擊、病毒 等很多問(wèn)題。為了解決此類問(wèn)題,網(wǎng)絡(luò)管理者需要對(duì)經(jīng)過(guò)網(wǎng)絡(luò)設(shè)備的數(shù) 據(jù)進(jìn)行分析。但是由于設(shè)備本身一般不具備本地分析數(shù)據(jù)包的能力,所 以需要將數(shù)據(jù)通過(guò)一定的方式發(fā)送到另外一個(gè)分析平臺(tái)上進(jìn)行處理,針 對(duì)這個(gè)需求,產(chǎn)生了鏡像功能。鏡像功能可以將一個(gè)或多個(gè)需要被鏡像的端口的流量復(fù)制到指定 的目的端口,這個(gè)端口也稱為監(jiān)控端口, 一般可以連接網(wǎng)絡(luò)管理平臺(tái)等 監(jiān)控設(shè)備。監(jiān)控平臺(tái)通過(guò)鏡像得到了這些數(shù)據(jù),就可以進(jìn)行網(wǎng)絡(luò)流量的 分析和監(jiān)管,也可以在設(shè)備受到攻擊的時(shí)候分析攻擊特征并制定應(yīng)對(duì)方 案。鏡像是獨(dú)立于數(shù)據(jù)轉(zhuǎn)發(fā)之外的行為,不會(huì)影響正常的流量轉(zhuǎn)發(fā)。鏡像往往是應(yīng)用在接口上的,在這個(gè)過(guò)程中,不可避免的會(huì)和同樣 應(yīng)用在接口上的其它功能產(chǎn)生沖突,如ACL、URPF( Unicast Reverse Path Forwarding,單播反向路徑查找)、QoS (Quality of Service,月l務(wù)質(zhì)量) 等。其中,與ACL的沖突最為明顯。ACL功能應(yīng)用在接口上時(shí),能夠?qū)?jīng)過(guò)接口的數(shù)據(jù)包進(jìn)行篩選,將 不需要轉(zhuǎn)發(fā)的報(bào)文直接丟棄。當(dāng)ACL和鏡像同時(shí)應(yīng)用到一個(gè)接口上時(shí), 就必須為這兩個(gè)功能設(shè)置一個(gè)生效的先后順序。目前的做法一般是首先3對(duì)數(shù)據(jù)包進(jìn)行ACL處理,然后再進(jìn)行鏡像處理。這H故的原因在于, 如果這個(gè)數(shù)據(jù)包不需要被轉(zhuǎn)發(fā),那么直接丟棄掉即可,自然也不需要被 鏡像。但是這種情況會(huì)產(chǎn)生一個(gè)問(wèn)題,即當(dāng)攻擊發(fā)生時(shí),攻擊才艮文可能 因?yàn)椴辉谠试S轉(zhuǎn)發(fā)的范圍內(nèi)而被丟棄,不會(huì)再被鏡像,這樣一來(lái),接收 報(bào)文的接口帶寬被占據(jù)了 ,但網(wǎng)絡(luò)管理員無(wú)法在監(jiān)控設(shè)備上收到攻擊報(bào) 文,也就無(wú)法針對(duì)攻擊行為進(jìn)行下一步的動(dòng)作。如果取消接口上的ACL 配置,數(shù)據(jù)包確實(shí)能夠被鏡像,但是這樣一來(lái),對(duì)設(shè)備的攻擊行為也就 無(wú)法防御。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問(wèn)^l:提供一種鏡像和ACL功能生效順序 的優(yōu)化方法,使得網(wǎng)絡(luò)管理員可以根據(jù)情況對(duì)鏡像和ACL生效順序進(jìn) 行選擇。本發(fā)明的目的是通過(guò)以下技術(shù)方案實(shí)現(xiàn)的 一種鏡像和ACL功能生效順序的優(yōu)化方法,包括A、 設(shè)置順序選擇模塊;B、 所述順序選擇模塊設(shè)置鏡像和ACL功能的生效順序;C、 根據(jù)所設(shè)置的生效順序?qū)?shù)據(jù)包執(zhí)行相應(yīng)的操作。其中,所述步驟B進(jìn)一步包括若不需要對(duì)數(shù)據(jù)包中的攻擊包進(jìn)行 分析,則設(shè)置ACL功能先生效、鏡像功能后生效;若需要對(duì)數(shù)據(jù)包中 的攻擊包進(jìn)行分析,則設(shè)置鏡像功能先生效、ACL功能后生效。其中,所述步驟C進(jìn)一步包括若所設(shè)置的生效順序?yàn)橄華CL功 能后鏡像功能,則先對(duì)數(shù)據(jù)包進(jìn)行ACL篩選,再對(duì)所篩選過(guò)的數(shù)據(jù)包 鏡像,最后轉(zhuǎn)發(fā)該數(shù)據(jù)包;若所設(shè)置的生效順序?yàn)橄如R像功能后ACL功能,則先對(duì)數(shù)據(jù)包鏡像,再對(duì)數(shù)據(jù)包進(jìn)行ACL '歸選,最后轉(zhuǎn)發(fā)篩選 后的數(shù)據(jù)包。其中,所述順序選擇模塊設(shè)置在被監(jiān)控設(shè)備的接口的轉(zhuǎn)發(fā)層面。 本發(fā)明具有以下有益效果本發(fā)明通過(guò)在接口設(shè)置順序選擇模塊,該模塊由網(wǎng)絡(luò)管理員進(jìn)行維 護(hù),在不需要對(duì)攻擊包進(jìn)行分析時(shí),選擇先進(jìn)行ACL篩選再對(duì)篩選過(guò) 的數(shù)據(jù)包鏡像;在需要對(duì)供給包進(jìn)行分析時(shí),選擇先對(duì)數(shù)據(jù)包鏡像再進(jìn) 行ACL篩選,這樣保證了在數(shù)據(jù)正常轉(zhuǎn)發(fā)情況下設(shè)備免受攻擊,同時(shí) 也不會(huì)影響網(wǎng)絡(luò)管理員對(duì)攻擊報(bào)文進(jìn)行分析。


      圖l是本發(fā)明應(yīng)用過(guò)程中的網(wǎng)絡(luò)示意圖; 圖2是本發(fā)明的功能結(jié)構(gòu)示意圖;圖3是本發(fā)明中鏡像和ACL的兩個(gè)不同的生效順序流程。
      具體實(shí)施方式
      本發(fā)明對(duì)接口上鏡像功能和ACL功能的生效順序進(jìn)行優(yōu)化,或者 說(shuō)在不同的情況下進(jìn)行選擇,做到在數(shù)據(jù)正常轉(zhuǎn)發(fā)情況下設(shè)備免受攻 擊,同時(shí)也不會(huì)影響網(wǎng)絡(luò)管理員對(duì)攻擊報(bào)文進(jìn)行分析。主要原理為一、 在正常情況下,即不需要對(duì)攻擊包進(jìn)行分析的時(shí)候,仍然以傳 統(tǒng)的處理順序?yàn)闇?zhǔn)先進(jìn)行ACL篩選,再對(duì)篩選過(guò)的數(shù)據(jù)包鏡^f象。這 種處理方法往往發(fā)生在無(wú)攻擊行為或攻擊行為比較弱,對(duì)網(wǎng)絡(luò)造成的影 響比較小,僅僅拒絕掉就已經(jīng)足夠了的情況。這樣做的目的是減少鏡像 數(shù)據(jù)量,P爭(zhēng)低系統(tǒng)壓力。二、 當(dāng)網(wǎng)絡(luò)受到攻擊的時(shí)候,接口上的處理流程更改為首先對(duì)翁:據(jù) 包進(jìn)行鏡像,之后不直接轉(zhuǎn)發(fā)所有收到的數(shù)據(jù)包,而是進(jìn)行ACL處理,將不需要轉(zhuǎn)發(fā)的數(shù)據(jù)包丟棄,包括被懷疑有攻擊行為的數(shù)據(jù)包。 下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步的描述。 首先用圖l對(duì)本發(fā)明所涉及的網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)作簡(jiǎn)單說(shuō)明。圖l是一個(gè)典型的鏡像功能應(yīng)用示意圖,發(fā)往Internet的流量從流量源發(fā)出,中 間經(jīng)過(guò)的設(shè)備都可以成為被監(jiān)控設(shè)備。監(jiān)控終端在收集到經(jīng)過(guò)凈tt控設(shè) 備的流量之后進(jìn)行分析。圖2描述了本發(fā)明的功能結(jié)構(gòu)。首先由順序選擇才莫塊對(duì)當(dāng)前轉(zhuǎn)發(fā)層 面的功能生效順序進(jìn)行設(shè)置,該過(guò)程由網(wǎng)絡(luò)管理員根據(jù)實(shí)際需要完成。 當(dāng)設(shè)備運(yùn)轉(zhuǎn)正常時(shí),管理員可以選擇將ACL的生效流程安排在鏡像之 前,讓不需要轉(zhuǎn)發(fā)的數(shù)據(jù)包不被鏡像,做到合理利用系統(tǒng)資源;當(dāng)網(wǎng)絡(luò) 遭受攻擊,管理員希望知道是什么樣的數(shù)據(jù)包從接口進(jìn)入時(shí),可以將生 效順序改變?yōu)槭紫冗M(jìn)行鏡像,然后實(shí)現(xiàn)ACL,這樣可以保證需要鏡像的 數(shù)據(jù)包不會(huì)因?yàn)锳CL無(wú)法鏡像。對(duì)網(wǎng)絡(luò)的攻擊包,不論是攻擊^S!i控設(shè)備的,還是經(jīng)過(guò)^t^控i殳備 攻擊其它設(shè)備或終端的,都會(huì)經(jīng)過(guò)被監(jiān)控的接口,如果單純采用ACL拒絕掉數(shù)據(jù)包,確實(shí)可以避免攻擊成功,但是對(duì)于# :控的接口來(lái)說(shuō),大量的數(shù)據(jù)包仍然會(huì)占據(jù)帶寬,只是沒(méi)有被轉(zhuǎn)發(fā)或者上送CPU處理而已。在這種情況下,就需要進(jìn)一步對(duì)攻擊數(shù)據(jù)包進(jìn)行分析,找到攻擊者,有時(shí)候還需要找到攻擊所針對(duì)的端口號(hào)等信息,所以需要在ACL處理 之前鏡像。圖3是對(duì)數(shù)據(jù)包進(jìn)入接口以后,轉(zhuǎn)發(fā)層面對(duì)其處理的流程圖,具體 過(guò)程和圖2是對(duì)應(yīng)的,下面分步驟說(shuō)明。步驟301,接口在收到數(shù)據(jù)包之后,首先通過(guò)"順序選擇模塊"決 定鏡像和ACL之間的生效順序,如果ACL優(yōu)先生效,則進(jìn)入步驟303, 如果是鏡像功能優(yōu)先,則進(jìn)入步驟302;步驟302,經(jīng)過(guò)順序選#^莫塊決定首先進(jìn)4于鏡<象處理之后,數(shù)據(jù)包 凈皮發(fā)送至"鏡^^莫塊"處理。鏡像本身的策略由設(shè)備配置決定,這一點(diǎn) 不做改動(dòng),也不會(huì)影響其它不需要鏡像的數(shù)據(jù)包的正常轉(zhuǎn)發(fā)。鏡像處理 結(jié)束后,所有的數(shù)據(jù)包再進(jìn)入"ACL模塊",由ACL規(guī)則決定可以被 轉(zhuǎn)發(fā)的數(shù)據(jù)包; ;步驟303,如果ACL流程優(yōu)先被選擇,那么就按照ACL的規(guī)則首 先對(duì)進(jìn)入接口的所有數(shù)據(jù)包進(jìn)行過(guò)濾,之后,對(duì)過(guò)濾后剩余的數(shù)據(jù)包再 匹配鏡像條件,如果其中有需要被鏡像的數(shù)據(jù)包,則作鏡像操作。經(jīng)過(guò)以上步驟的處理,網(wǎng)絡(luò)管理員可以自由的根據(jù)實(shí)際需要對(duì)凈 控設(shè)備的接口流量進(jìn)行分析,從而更加有效的保證網(wǎng)絡(luò)安全。以上所述僅為本發(fā)明的較佳實(shí)施例而已,并不用以限制本發(fā)明,凡 在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等,均應(yīng) 包含在本發(fā)明的保護(hù)范圍之內(nèi)。
      權(quán)利要求
      1、一種鏡像和訪問(wèn)控制列表功能生效順序的優(yōu)化方法,其特征在于,包括A、設(shè)置順序選擇模塊;B、所述順序選擇模塊設(shè)置鏡像和訪問(wèn)控制列表功能的生效順序;C、根據(jù)所設(shè)置的生效順序?qū)?shù)據(jù)包執(zhí)行相應(yīng)的操作。
      2、 如權(quán)利要求1所述的鏡像和訪問(wèn)控制列表功能生效順序的優(yōu) 化方法,其特征在于,步驟B進(jìn)一步包括若不需要對(duì)數(shù)據(jù)包中的 攻擊包進(jìn)行分析,則設(shè)置訪問(wèn)控制列表功能先生效、鏡像功能后生效; 若需要對(duì)數(shù)據(jù)包中的攻擊包進(jìn)行分析,則設(shè)置鏡像功能先生效、訪問(wèn) 控制列表功能后生效。
      3、 如權(quán)利要求2所述的鏡像和訪問(wèn)控制列表功能生效順序的優(yōu) 化方法,其特征在于,步驟C進(jìn)一步包括若所設(shè)置的生效順序?yàn)?先訪問(wèn)控制列表功能后鏡像功能,則先對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制列表篩 選,再對(duì)所篩選過(guò)的數(shù)據(jù)包鏡像處理,最后轉(zhuǎn)發(fā)該數(shù)據(jù)包;若所設(shè)置 的生效順序?yàn)橄如R像功能后訪問(wèn)控制列表功能,則先對(duì)數(shù)據(jù)包鏡像處 理,再對(duì)數(shù)據(jù)包進(jìn)行訪問(wèn)控制列表篩選,最后轉(zhuǎn)發(fā)篩選后的數(shù)據(jù)包。
      4、 如權(quán)利要求1所述的鏡像和訪問(wèn)控制列表功能生效順序的優(yōu) 化方法,其特征在于,所述順序選擇模塊設(shè)置在被監(jiān)控設(shè)備的接口的 轉(zhuǎn)發(fā)層面。
      全文摘要
      本發(fā)明公開(kāi)了一種鏡像和訪問(wèn)控制列表功能生效順序的優(yōu)化方法,包括A.設(shè)置順序選擇模塊;B.所述順序選擇模塊設(shè)置鏡像和訪問(wèn)控制列表功能的生效順序;C.根據(jù)所設(shè)置的生效順序?qū)?shù)據(jù)包執(zhí)行相應(yīng)的操作。本發(fā)明通過(guò)在接口設(shè)置順序選擇模塊,該模塊由網(wǎng)絡(luò)管理員進(jìn)行維護(hù),在不需要對(duì)攻擊包進(jìn)行分析時(shí),選擇先進(jìn)行ACL篩選再對(duì)篩選過(guò)的數(shù)據(jù)包鏡像;在需要對(duì)供給包進(jìn)行分析時(shí),選擇先對(duì)數(shù)據(jù)包鏡像再進(jìn)行ACL篩選,這樣保證了在數(shù)據(jù)正常轉(zhuǎn)發(fā)情況下設(shè)備免受攻擊,同時(shí)也不會(huì)影響網(wǎng)絡(luò)管理員對(duì)攻擊報(bào)文進(jìn)行分析。
      文檔編號(hào)H04L29/06GK101247397SQ200810065508
      公開(kāi)日2008年8月20日 申請(qǐng)日期2008年3月7日 優(yōu)先權(quán)日2008年3月7日
      發(fā)明者揚(yáng) 楊 申請(qǐng)人:中興通訊股份有限公司
      網(wǎng)友詢問(wèn)留言 已有0條留言
      • 還沒(méi)有人留言評(píng)論。精彩留言會(huì)獲得點(diǎn)贊!
      1