专利名称:一种报文的访问控制方法及一种网络设备的制作方法
技术领域:
本发明涉及网络通信技术领域,具体涉及一种报文的访问控制方法及一种网络设备。
背景技术:
现代企业的分工越来越细,各部门各司其职,同时信息安全意识不断增强,于是IT系统的安全部署越来越严格,如何更好地进行报文的访问控制变得十分重要。
目前主要通过在路由器中配置基于IP地址的访问控制列表ACL进行报文的访问控制,路由器检测流经本设备的报文内容,一旦某个报文匹配其中的一条ACL表项,则执行与该表项相关联的执行动作。
例如某企业出于信息安全考虑,禁止其实验室区和办公室区之间相互访问(通过ACL表限制)以防止机密信息泄露。但是为了节约资源,只在办公区放置一台打印机,让各个实验室共用,于是必须在相关路由路由器上增加一条基于上述打印机IP地址的ACL表项,以允许各个实验室的主机能访问办公区的打印机。
设备的放置位置可能常常改变,比如由于某种原因该打印机搬了个位置,不得不换一个IP地址,于是就必须请IT部门修改所有相关路由器上的ACL表项(原有ACL表项配置中的IP地址已不适用),否则各实验室就无法使用该办公区的打印机。但是,IT部门修改路由器的配置却不是说修改就可以修改的,如果需要修改的设备比较多,则会更加麻烦。可见,这种报文的访问控制方法灵活性较低。
发明内容
本发明的目的在于提供一种访问控制的方法及一种网络设备,以解决现有通过配置基于IP地址的ACL进行报文访问控制,灵活性较低的技术问题。
为解决上述技术问题,本发明的目的是通过以下技术方案实现的,一种报文的访问控制方法,配置基于名称的控制列表和具有所述名称与IP地址动态对应关系的关联列表;所述控制列表从关联列表中获知与其名称对应的最新IP地址;根据所述控制列表对流经报文进行处理。
优选的,所述关联列表中名称与IP地址动态对应关系的具体实现是,根据名称服务器提供的信息,及时更新所述关联列表中的IP地址。
优选的,向名称服务器查询所述名称对应的最新IP地址;根据名称服务器回复的应答信息,及时更新所述关联列表中的IP地址。
优选的,监听名称服务器向发起方回复的名称查询应答;根据监听到的名称查询应答信息,及时更新所述关联列表中的IP地址。
优选的,所述控制列表为访问控制列表ACL。
优选的,所述名称服务器为微软因特网名字服务器WINS或域名服务器DNS。
一种网络设备,包括基于名称配置的控制列表单元,以及记载所述名称和IP地址动态对应关系的关联列表单元,所述控制列表单元通过关联列表单元获知与其名称对应的最新IP地址;以及处理单元,用以根据所述控制列表单元对流经报文进行处理。
优选的,还包括动态信息获取单元,用以获取名称服务器提供的名称与最新IP地址对应关系;以及更新单元,用于根据动态信息获取单元提供的信息,及时更新所述关联列表单元中的IP地址。
优选的,所述动态信息获取单元包括所查询子单元,用以向名称服务器查询所述名称对应的最新IP地址,并接收名称服务器的回复信息。
优选的,所述信息获取单元包括监听子单元,用以监听名称服务器向发起方回复的名称查询应答信息。
优选的,所述控制列表单元为访问控制列表ACL单元。
优选的,所述名称服务器为微软因特网名字服务器WINS或域名服务器DNS。
以上技术方案可以看出,在本发明中,配置具有名称与IP地址动态对应关系的关联列表,使得基于名称的控制列表能够从所述关联列表中获知与其名称对应的最新IP地址;当被访问设备IP地址发生变换时,控制列表也能够准确获知其最新IP信息,进而可以根据这种控制列表对流经报文进行正确处理。由于被访问设备的名称通常是固定不变的,在设备进行位置更换后只是其IP地址变化,这种情况下采用本发明技术方案,可以不用IT部门对控制列表进行修改,即可继续正确完成报文的访问控制,增强了报文的访问控制灵活性。
图1为本发明技术方案的应用环境组网示意图;图2为本发明公开的报文访问控制方法实施例流程图;图3为本发明公开的网络设备实施例结构示意图。
具体实施例方式
本发明的核心思想是基于名称配置控制列表,所述控制列表可以通过一个具有动态对应关系的关联表获知与其名称对应的最新IP地址,进而根据所述控制列表对报文进行正确处理,从而实现当被访问设备IP地址发生变化时,无需改变根据配置列表就可完成正确访问的目的。
请参阅图1,其为本发明技术方案的应用环境组网示意图。所述组网示意图中包括路由器、位于所述路由器两侧的被限主机和客户机、以及微软因特网名字服务器WINS(Windows Internet Name Service)。其中,客户机14可以视为发起访问的一方,比如背景技术中谈到的实验室主机;被限主机11为被访问的一方,比如背景技术中谈到的办公区的打印机。所述客户机14和被限主机11通过路由器13进行报文转发,即客户机14访问被限主机的报文通过路由器13进行访问控制处理。微软因特网名字服务器WINS可以通过被限主机11即时报告等方式,获知被限主机11的名字与最新IP地址信息。
请参阅图2,其为本发明公开的报文访问控制方法实施例流程图。为叙述更清楚,结合图1所示的组网方案进行介绍。
步骤210配置基于名字的ACL访问控制列表和具有所述名字与IP地址动态对应关系的关联列表。
结合图1所示组网图,在路由器中保存有一张基于名字配置的ACL表。所述ACL表和现有ACL表的区别之一在于,并不是基于IP地址配置,而是基于名字予以配置。对于其他基本功能和现有ACL表相同,相信本领域技术人员在本发明提启示下,依据公知技术可以实现,不再赘述。
另外,在路由器中还配置保存了一张具有名字与IP地址对应关系的关联表,例如表1所示表1
从上述直观的表1可以看出,在关联表中保存了名字和IP地址的对应关系,即一个名字对应于一个IP地址。名字相当于被限主机11的代号,IP地址是计算机能够识别的被限主机11的机器代码,对于用户而言通常只需关注被限主机11的名称,而不知道其IP地址,通常一个主机的名称是保持固定不变的,但IP地址会随着位置搬移或人为改动而变化。所述关联表中名字和IP地址的对应关系是动态对应关系,换而言之,如果被限主机11由于某种原因IP地址发生了变化,那么它在关联表中原有名称对应的IP地址也会随之变化,即关联表中保存着与名称对应的最新IP地址信息。
关联表中名字与IP地址的动态对应关系可以通过下述两种方式实现(1)路由器13向WINS服务器12查询被限主机11对应的最新IP地址;然后根据WINS服务器12回复的应答信息,及时更新所述关联列表中的IP地址。
具体而言,路由器13可以周期性的为ACL表中涉及的名字向WINS服务器12查询名字解析,即查询ACL表中涉及到的名字对应的最新IP地址。查询周期可由用户使用命令行进行配置(如130个小时)。优选的,可以为关联列表中的每个表项都设置老化机制,如老化时间为查询周期的3倍(如390小时),进而如果一个名字与IP地址的关联表项在390小时内一直未得到更新,则被删除;如果在这段时间内有更新,则恢复初始值,然后随着时间推移继续老化。当然,除了周期性查询之外,还可以采用其他方式进行不定期查询,例如当报文转发失败(被限主机11的IP地址错误)时向WINS服务器12进行名字解析。将上述周期性查询和不定期查询两种方式相结合使用也是不错的方案,这样可以弥补周期性查询的不足之处,因为有可能出现被限主机11在两次查询的间隔期间发生IP地址变化。
(2)路由器13监听WINS服务器12向客户机14回复的名称查询应答;然后根据监听到的名称查询应答信息,及时更新所述关联列表中的IP地址。采用这种实施方式需要满足WINS服务器12和客户机14在路由器13不同侧的条件,换而言之,客户机14和WINS服务器12之间进行报文交互时需要经过路由器13转发。
具体而言,当客户机14要访问被限制的主机11时,它会向WINS服务器12查询被限制主机11的名字所对应的IP地址,路由器13只需要监听来自WINS服务器12的应答信息即可,然后从中提取主机名字与IP地址的对应关系,及时的更新自己的关联表。例如,监听源IP地址为WINS服务器12,源端口号为137,目的IP地址为客户机14,目的端口号为137的UDP报文。可见,通过路由器13关注WINS服务器12和客户机14之间的报文交互,可以更为及时的获取最新IP地址信息。
上述(1)和(2)中提供的两种具体实施方式
中的任意一种都可以实现关联表中名字与IP地址之间的动态对应,因此在实际中可以根据实际需要以及具体环境予以选择。例如,如果WINS服务器12和客户机14在同一网段,他们之间的报文交互不经过路由器13的情况,就可以只选择(1)中的实施方案;如果被限主机11的IP地址变动较为频繁,选择(1)中所述方案则需要将查询周期设置的非常短,于是路由器13会频繁向WINS服务器12进行名字解析,导致消耗较多的网络资源,那么就可以优选(2)中描述的技术方案。当然,最佳的实现方案是将(1)和(2)一起使用,进一步确保关联表中的IP地址为最新信息。
步骤220所述访问控制列表ACL从关联列表中获知与其名字对应的最新IP地址。
由于ACL中的名字字符串和关联表中的名字字符串是相同的,而关联表中的名字字符串还对应着IP地址,因此可以通过指针或数组等方式,将ACL表中的名字字符串指到关联表中对应的IP地址,即ACL从关联列表中可以获知与其名称对应的IP地址。由于关联列表是动态的,其保存的IP地址是最新IP地址,因此ACL通过所述关联列表获知的IP地址也始终是最新IP地址。具体的指针或数组等实现方式,可以参考现有列表中涉及的技术。
步骤230根据所述ACL访问控制列表对流经报文进行处理。
具体而言,路由器13检测流经本设备的报文内容,一旦某个报文匹配ACL表中的一条表项,则执行与该条表项相关联的执行动作,对该报文作相应的处理,如转发、丢弃、上送网管处理以及重定向到其他出口等。需要说明,虽然ACL基于名字配置,报文中的目的地址是以IP封装,但是基于名字的ACL可以从关联表中获知对应的IP地址,对流经报文进行规则匹配时,ACL表中名字字段相当于被替换为对应的IP地址,如果未能找到对应的IP地址,则默认为不存在该ACL表项,因此路由器可以和现有技术一样根据ACL中描述的内容对流经报文进行处理。
由于上文描述的仅是本发明技术方案的一个具体实施例,在该实施例中的多个技术特征还有其他等同方案,下面针对其中重要的几点进行说明。
首先,本发明技术方案中的WINS服务器可以替换为域名服务器DNS,相应的,ACL表基于域名进行配置,关联列表中保存有域名和IP地址的动态对应关系。当然,也不仅仅限于上述提到的这两种名称服务器,对于其他类似能够提供名称和IP地址对应关系的网络设备均可应用于本发明技术方案,例如一定情况下的关守。
其次,本发明技术方案中的路由器可以替换为具有三层交换功能的交换机或其他具有等同功能的网络设备。
第三,上述实施例中虽然列举的是ACL访问控制列表,但实际应用中本发明技术方案适合于所有名称不变而IP地址可能发生变化的任何涉及IP地址的表项。
第四,在上述实施例中,关于关联列表中名称和IP地址动态对应关系的实现方法,公开了名称服务器提供信息的具体方式。但在实际应用中并仅限于此,对于其他可以提供名字和IP地址动态对应关系的方法,也可以应用于本发明技术方案。例如,H.323语音类协议中,两个端点建立呼叫连接时允许端点以别名的形式出现,进而呼叫主动方通过关守解析被叫方的别名对应的IP地址。可见,在一定应用环境下,本发明技术方案也可以通过关守提供的信息实现关联列表中名称与IP地址之间的动态对应关系,当然,此时的关守也可以视为一种名称服务器。
本发明还公开了一种网络设备,请参看图3所示的本发明网络设备实施例结构示意图。需要说明,对于网络设备内部描述是对现有网络设备设计方案上的逻辑划分,这样的划分只是为了对阐述本发明本质的辅助,对于本处没有描述逻辑功能的单元可以参考现有网络设备的设计方案。所述网络设备包括控制列表单元31、关联列表单元32、处理单元33、更新单元34以及动态信息获取单元35。以下结合网络设备的工作原理,进一步介绍其内部结构。
控制列表单元31(如ACL)是基于名称进行配置的;关联列表单元31中保存有上述名称和IP地址的动态对应关系;而且所述控制列表单元可以通过关联列表单元获知与其名称对应的最新IP地址,具体而言,控制列表单元31中的名字字段可以通过指针或数组等方式关联到关联列表中相同名字对应的IP地址。因此,当所述网络设备根据控制列表单元31通过处理单元33对流经报文进行规则匹配时,控制列表中的名字字段相当于被替换为关联列表单元32中对应的IP地址,处理单元33可以参照现有技术,根据控制列表中描述的内容对流经报文进行处理。由于关联列表单元32中的名字和IP地址是动态对应关系,即随时更新,因此对于那些名称不变而IP地址变化的被访设备而言,控制列表31中的名称对应的是最新IP地址。
能够实现关联列表单元31中名称和IP地址动态对应关系的方式有多种,优选的,通过更新单元34以及包括查询子单元351和监听子单元352的动态信息获取单元35予以实现。具体而言,网络设备通过查询子单元351向名称服务器(如WINS或DNS)周期性或非周期性(如转发失败时)查询所述名称对应的最新IP地址,并接收名称服务器的回复信息,然后根据回复的信息,通过更新单元34对关联列表单元32中的IP地址进行及时更新。
此外,还通过监听子单元352监听名称服务器向发起访问方回复的名称查询应答信息。这中情况需要满足名称服务器和发起访问的一方在网络设备不同侧的条件,换而言之,发起访问方和名称服务器之间进行报文交互时需要通过本发明网络设备。
由此可见,通过查询子单元351和监听子单元352都可以获得名称和IP地址对应关系的更新信息,因此在动态信息获取单元35中配置其中任意一个子单元即可实现本发明技术方案。优选的,将查询子单元351和监听子单元352结合使用效果更好,因为如果单独使用查询子单元351,可能会出现被访问方的IP地址在两次主动查询间隔期间发生变更的情况;如果单独使用监听子单元352,可能会发生监听失败或错误的情况。可见,将两者结合在一起使用能够相互弥补对方的不足。
以上对本发明所提供的一种报文的访问控制方法及一种网络设备进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
权利要求
1.一种报文的访问控制方法,其特征在于,配置基于名称的控制列表和具有所述名称与IP地址动态对应关系的关联列表;所述控制列表从关联列表中获知与其名称对应的最新IP地址;根据所述控制列表对流经报文进行处理。
2.如权利要求1所述的访问控制方法,其特征在于,所述关联列表中名称与IP地址动态对应关系的具体实现是,根据名称服务器提供的信息,及时更新所述关联列表中的IP地址。
3.如权利要求2所述的访问控制方法,其特征在于,向名称服务器查询所述名称对应的最新IP地址;根据名称服务器回复的应答信息,及时更新所述关联列表中的IP地址。
4.如权利要求2或3所述的访问控制方法,其特征在于,监听名称服务器向发起方回复的名称查询应答;根据监听到的名称查询应答信息,及时更新所述关联列表中的IP地址。
5.如权利要求1至3中任意一项所述的访问控制方法,其特征在于,所述控制列表为访问控制列表ACL。
6.如权利要求1至3中任意一项所述的访问控制方法,其特征在于,所述名称服务器为微软因特网名字服务器WINS或域名服务器DNS。
7.一种网络设备,其特征在于包括,基于名称配置的控制列表单元,以及记载所述名称和IP地址动态对应关系的关联列表单元,所述控制列表单元通过关联列表单元获知与其名称对应的最新IP地址;以及处理单元,用以根据所述控制列表单元对流经报文进行处理。
8.如权利要求7所述的网络设备,其特征在于还包括,动态信息获取单元,用以获取名称服务器提供的名称与最新IP地址对应关系;以及更新单元,用于根据动态信息获取单元提供的信息,及时更新所述关联列表单元中的IP地址。
9.如权利要求8所述的网络设备,其特征在于,所述动态信息获取单元包括所查询子单元,用以向名称服务器查询所述名称对应的最新IP地址,并接收名称服务器的回复信息。
10.如权利要求8或9所述的网络设备,其特征在于,所述动态信息获取单元包括监听子单元,用以监听名称服务器向发起方回复的名称查询应答信息。
11.如权利要求7至9中任意一项所述的网络设备,其特征在于,所述控制列表单元为访问控制列表ACL单元。
12.如权利要求7至9中任意一项所述的网络设备,其特征在于,所述名称服务器为微软因特网名字服务器WINS或域名服务器DNS。
全文摘要
本发明公开了一种报文的访问控制方法,配置基于名称的控制列表和具有所述名称与IP地址动态对应关系的关联列表;所述控制列表从关联列表中获知与其名称对应的最新IP地址;然后根据所述控制列表对流经报文进行处理。通过本发明公开的访问控制方法,对于名称一般不发生变化,而IP地址发生变化的设备访问时,不需要修改已经配置好的控制列表,从而提高了访问控制的灵活性。
文档编号H04L12/28GK1852263SQ200610080639
公开日2006年10月25日 申请日期2006年5月23日 优先权日2006年5月23日
发明者周迪 申请人:杭州华为三康技术有限公司