一種基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法
【專利摘要】一種基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法,基于不同的設(shè)備訪問(wèn)方式,分別采用不同的規(guī)則進(jìn)行限制或允許用戶訪問(wèn)設(shè)備,能夠更有效的控制對(duì)設(shè)備的訪問(wèn),從而保證設(shè)備訪問(wèn)的安全性。
【專利說(shuō)明】一種基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法
【技術(shù)領(lǐng)域】
[0001 ] 本發(fā)明涉及一種基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法。
【背景技術(shù)】
[0002]隨著網(wǎng)絡(luò)管理技術(shù)的不斷成熟,管理設(shè)備的方式也呈現(xiàn)出多樣化,常見(jiàn)的設(shè)備管理方式有:串口操作console、通過(guò)web訪問(wèn)方式(http)、vty (虛擬終端連接)以及其他網(wǎng)管軟件,管理方式的多樣化給終端的用戶在訪問(wèn)及管理設(shè)備上帶來(lái)了不少的便利。然而,也帶來(lái)了不少安全隱患,設(shè)備訪問(wèn)的安全性問(wèn)題隨著這些多樣化的訪問(wèn)方式,尤其需要引起我們的重視。
[0003]傳統(tǒng)的訪問(wèn)控制列表(Access Control List, ACL)是路由器和交換機(jī)接口的指令列表,用來(lái)控制端口的數(shù)據(jù)包,限制網(wǎng)絡(luò)流量、提高網(wǎng)絡(luò)性能,同時(shí)ACL也提供網(wǎng)絡(luò)安全的基本手段:例如ACL允許主機(jī)A訪問(wèn)設(shè)備,而拒絕主機(jī)B訪問(wèn)。
[0004]現(xiàn)有的ACLa方問(wèn)控制列表),是在基于端口進(jìn)行轉(zhuǎn)發(fā)流量的時(shí)候進(jìn)行控制,可以阻止或者允許某一網(wǎng)段的通信流量,是基于端口實(shí)現(xiàn),而不能對(duì)設(shè)備的接入進(jìn)行控制,即不能控制通過(guò)TELNET (遠(yuǎn)程登錄,用于遠(yuǎn)程聯(lián)接服務(wù)的標(biāo)準(zhǔn)協(xié)議或者實(shí)現(xiàn)此協(xié)議的軟件)、SSH(Secure Shell,安全外殼協(xié)議)、WEB (網(wǎng)站)、SNMP (簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議,Simple NetworkManagement Protocol)等管理方式連接到設(shè)備。
【發(fā)明內(nèi)容】
[0005]本發(fā)明提供一種基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法,基于不同的設(shè)備訪問(wèn)方式,分別采用不同的規(guī)則進(jìn)行限制或允許用戶訪問(wèn)設(shè)備,能夠更有效的控制對(duì)設(shè)備的訪問(wèn),從而保證設(shè)備訪問(wèn)的安全性。
[0006]為了達(dá)到上述目的,本發(fā)明提供一種基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法,該方法包含以下步驟:
步驟1、根據(jù)不同的設(shè)備管理訪問(wèn)方式創(chuàng)建相對(duì)應(yīng)的控制策略模板;
步驟2、在控制策略模板內(nèi)添加訪問(wèn)規(guī)則;
步驟3、將控制策略模板與對(duì)應(yīng)的設(shè)備管理訪問(wèn)方式關(guān)聯(lián);
步驟4、當(dāng)用戶或進(jìn)程通過(guò)不同的設(shè)備管理訪問(wèn)方式訪問(wèn)設(shè)備時(shí),與該設(shè)備管理訪問(wèn)方式綁定的控制策略模板,根據(jù)訪問(wèn)規(guī)則判斷是否允許或者拒絕用戶或進(jìn)程訪問(wèn)設(shè)備。
[0007]所述的步驟2中,訪問(wèn)規(guī)則設(shè)置為允許或者拒絕不同網(wǎng)段的用戶接入到設(shè)備。
[0008]所述的步驟2中,所述的訪問(wèn)規(guī)則命令格式如下:
rule規(guī)則命令rule Id規(guī)則號(hào)permit/deny允許或者拒絕ip addressIP地址ipmask子網(wǎng)掩碼。
[0009]本發(fā)明基于不同的設(shè)備訪問(wèn)方式,分別采用不同的規(guī)則進(jìn)行限制或允許用戶訪問(wèn)設(shè)備,能夠更有效的控制對(duì)設(shè)備的訪問(wèn),從而保證設(shè)備訪問(wèn)的安全性?!緦@綀D】
【附圖說(shuō)明】
[0010]圖1是本發(fā)明的流程圖。
【具體實(shí)施方式】
[0011]以下根據(jù)圖1具體說(shuō)明本發(fā)明的較佳實(shí)施例。
如圖1所示,本發(fā)明提供一種基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法,該方法包含以下步驟:
步驟1、創(chuàng)建控制策略模板(簡(jiǎn)稱為匪SACL);
根據(jù)不同的設(shè)備管理訪問(wèn)方式創(chuàng)建相對(duì)應(yīng)的控制策略模板;
例如:如果采用TELNET訪問(wèn)方式,則創(chuàng)建TELNET訪問(wèn)方式的控制策略模板,如果采用SSH訪問(wèn)方式,則創(chuàng)建SSH訪問(wèn)方式的控制策略模板,如果采用WEB訪問(wèn)方式,則創(chuàng)建WEB訪問(wèn)方式的控制策略模板,如果采用SNMP訪問(wèn)方式,則創(chuàng)建SNMP訪問(wèn)方式的控制策略模板;本實(shí)施例中,創(chuàng)建控制策略模板可采用profile命令;
模板(profile)是本領(lǐng)域內(nèi)創(chuàng)建控制策略模板所采取的比較流行的做法,目前本發(fā)明采用的是基于協(xié)議名稱去創(chuàng)建模板,也可以擴(kuò)充為基于協(xié)議號(hào)等其他協(xié)議特征進(jìn)行模板的創(chuàng)建。
[0012]步驟2、在控制策略模板內(nèi)添加訪問(wèn)規(guī)則;
訪問(wèn)規(guī)則設(shè)置為允許或者拒絕不同網(wǎng)段的用戶接入到設(shè)備;
規(guī)則命令格式如下:
rule (規(guī)則命令)rule Id (規(guī)則號(hào))permit/deny (允許或者拒絕)ip address (IP地址)ipmask (子網(wǎng)掩碼);
例如:設(shè)置一條訪問(wèn)規(guī)則為拒絕2.2.2.2網(wǎng)段的主機(jī)訪問(wèn)設(shè)備,該訪問(wèn)規(guī)則設(shè)置為:rule I deny 2.2.2.2 255.255.255.0 ;
所述的訪問(wèn)規(guī)則可以根據(jù)ip和協(xié)議端口相關(guān)內(nèi)容進(jìn)行設(shè)置,并且訪問(wèn)規(guī)則所包含的內(nèi)容可以根據(jù)實(shí)際需求進(jìn)行擴(kuò)充;
步驟3、將控制策略模板與對(duì)應(yīng)的訪問(wèn)方式關(guān)聯(lián);
步驟4、用戶或進(jìn)程通過(guò)不同的設(shè)備管理訪問(wèn)方式訪問(wèn)設(shè)備,與該設(shè)備管理訪問(wèn)方式綁定的控制策略模板,根據(jù)訪問(wèn)規(guī)則判斷是否允許或者拒絕用戶或進(jìn)程訪問(wèn)設(shè)備。
[0013]本發(fā)明可以通過(guò)多種設(shè)備管理訪問(wèn)方式訪問(wèn)并控制設(shè)備,并保證多種管理方式在訪問(wèn)設(shè)備時(shí)的安全性問(wèn)題。
[0014]盡管本發(fā)明的內(nèi)容已經(jīng)通過(guò)上述優(yōu)選實(shí)施例作了詳細(xì)介紹,但應(yīng)當(dāng)認(rèn)識(shí)到上述的描述不應(yīng)被認(rèn)為是對(duì)本發(fā)明的限制。在本領(lǐng)域技術(shù)人員閱讀了上述內(nèi)容后,對(duì)于本發(fā)明的多種修改和替代都將是顯而易見(jiàn)的。因此,本發(fā)明的保護(hù)范圍應(yīng)由所附的權(quán)利要求來(lái)限定。
【權(quán)利要求】
1.一種基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法,其特征在于,該方法包含以下步驟: 步驟1、根據(jù)不同的設(shè)備管理訪問(wèn)方式創(chuàng)建相對(duì)應(yīng)的控制策略模板; 步驟2、在控制策略模板內(nèi)添加訪問(wèn)規(guī)則; 步驟3、將控制策略模板與對(duì)應(yīng)的設(shè)備管理訪問(wèn)方式關(guān)聯(lián); 步驟4、當(dāng)用戶或進(jìn)程通過(guò)不同的設(shè)備管理訪問(wèn)方式訪問(wèn)設(shè)備時(shí),與該設(shè)備管理訪問(wèn)方式綁定的控制策略模板,根據(jù)訪問(wèn)規(guī)則判斷是否允許或者拒絕用戶或進(jìn)程訪問(wèn)設(shè)備。
2.如權(quán)利要求1所述的基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法,其特征在于,所述的步驟2中,訪問(wèn)規(guī)則設(shè)置為允許或者拒絕不同網(wǎng)段的用戶接入到設(shè)備。
3.如權(quán)利要求2所述的基于設(shè)備管理訪問(wèn)方式控制設(shè)備訪問(wèn)的方法,其特征在于,所述的步驟2中,所述的訪問(wèn)規(guī)則命令格式如下: rule規(guī)則命令rule Id規(guī)則號(hào)permit/deny允許或者拒絕ip addressIP地址ipmask子網(wǎng)掩碼。
【文檔編號(hào)】H04L12/24GK103795568SQ201410029716
【公開(kāi)日】2014年5月14日 申請(qǐng)日期:2014年1月23日 優(yōu)先權(quán)日:2014年1月23日
【發(fā)明者】鄧懲, 方剛, 李梅勇 申請(qǐng)人:上海斐訊數(shù)據(jù)通信技術(shù)有限公司