网关管理方法及装置与流程

本发明涉及通信领域，具体而言，涉及一种网关管理方法及装置。

背景技术：

对于企业的管理层来说，阻止员工在上班时间进行网络聊天、看在线电影、P2P下载、玩网络游戏和炒股等与工作无关的行为，不仅可以提高员工的工作效率，而且可以大幅度降低网络的负担，可谓是一举两得。在企业路由上实现上网行为管理功能，可以有效约束和规范员工的工作行为，提高工作效率，是行政管理的电子化辅助手段。

在相关技术中，认证使用Radius协议，过程较复杂；边缘采集控制单元增加了数据同步的工作，系统开销较大；分类信息基于统一资源定位器(Uniform Resoure Locator，简称为URL)信息、传输控制协议(Transmission Control Protocol，简称为TCP)端口、目的IP等，与基于应用的分类相比，不够直观，对维护人员的要求较高。

另外，在普通路由器的基础上，增加硬件模块，实现对上网行为的判断，从而达到对局域网内所有用户的上网行为进行控制的目的。增加硬件模块，导致设备成本增加，不适合对成本敏感的中小型企业。

针对相关技术中，对局域网内用户的上网行为进行控制的技术操作复杂，效率低，成本高问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明提供了一种网关管理方法及装置，以至少解决相关技术中对局域网内用户的上网行为进行控制的技术操作复杂，效率低，成本高问题。

根据本发明的一个方面，提供了一种网关管理方法，包括：

获取所述终端的上网报文，查找所述报文在所述五元组流表中是否有记录，其中，所述五元组流表是在查找到所述报文的预设管理策略的情况下，记录所述报文的预设管理策略生成的；

在所述报文在所述五元组流表中有记录的情况下，依据所述预设管理策略对所述报文进行处理。

进一步地，所述查找到所述报文对应的所述预设管理策略包括：

依据所述报文的特征信息，识别所述报文的业务应用；

依据所述特征信息和所述业务应用，查找所述报文对应的预设管理策略。

进一步地，所述报文的特征信息包括以下至少之一：

IP地址、端口号、域名。

进一步地，所述预设管理策略包括以下至少之一：

执行与所述应用业务对应的执行动作，所述执行动作包括以下之一：转发，阻断，限速；

在预设时间段内，执行与所述应用业务对应的所述执行动作。

进一步地，查找到所述报文对应的所述预设管理策略之前，所述方法包括：

获取所述终端接收的用户信息，对所述终端进行认证；

在认证通过的情况下，记录所述报文的IP地址到IP地址认证表，其中，所述IP地址认证表用于对所述IP地址的报文进行认证。

进一步地，在所述IP地址认证表的认证IP地址释放的情况下，在所述IP地址认证表上删除所述IP地址。

进一步地，在所述报文在所述五元组流表中没有记录的情况下，查找所述报文对应的预设管理策略；

在查找到所述报文的预设管理策略的情况下，记录所述报文的预设管理策略到五元组流表中。

进一步地，在所述报文在所述五元组流表中有指示上报所述报文的标志位的情况下，查找所述报文对应的预设管理策略；

在查找到所述报文的预设管理策略的情况下，记录所述报文的预设管理策略到五元组流表。

进一步地，在预设时间阈值内没有接收所述报文对应的数据流，则将所述五元组流表中所述报文的记录删除。

进一步地，所述五元组流表包括以下至少之一：

报文的源IP地址，报文的源端口，报文的目的IP地址，报文的目的端口，传输层协议，报文对应的预设管理策略的执行动作，是否上报报文的标志位。

根据本发明的另一个方面，还提供了一种网关管理装置，其特征在于，包括：

获取模块，用于获取所述终端的上网报文，查找所述报文在所述五元组流表中是否有记录，其中，所述五元组流表是在查找到所述报文的预设管理策略的情况下，记录所 述报文的预设管理策略生成的；

处理模块，用于在所述报文在所述五元组流表中有记录的情况下，依据所述预设管理策略对所述报文进行处理。

进一步地，所述装置还包括：

识别模块，用于依据所述报文的特征信息，识别所述报文的业务应用；

查找模块，用于依据所述特征信息和所述业务应用，查找所述报文对应的预设管理策略。

进一步地，所述装置还包括：

接收模块，用于获取所述终端接收的用户信息，对所述终端进行认证；

认证模块，用于在认证通过的情况下，记录所述报文的IP地址到IP地址认证表，其中，所述IP地址认证表用于对所述IP地址的报文进行认证。

进一步地，所述五元组流表包括以下至少之一：

报文的源IP地址，报文的源端口，报文的目的IP地址，报文的目的端口，传输层协议，报文对应的预设管理策略的执行动作，是否上报报文的标志位。

通过本发明，获取终端的上网报文，查找该报文对应的预设管理策略，在查找到该报文的预设管理策略的情况下，记录该报文的预设管理策略到五元组流表，再次获取该终端的上网报文，查找该报文在该五元组流表中是否有记录，在该报文在该五元组流表中有记录的情况下，依据该预设管理策略对该报文进行处理，解决了对局域网内用户的上网行为进行控制的技术操作复杂，效率低，成本高问题，实现了不需要增加设备，提高了效率，有效控制设备成本。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的一种网关管理方法的流程图；

图2是根据本发明实施例的一种网关管理装置的结构框图；

图3是根据本发明优选实施例的上网行为管理应用系统示意图；

图4是根据本发明优选实施例的上网行为管理构成原理方框图；

图5是根据本发明优选实施例的上网行为管理报文处理流程示意图；

图6是根据本发明优选实施例的管理员配置示意图；

图7是根据本发明优选实施例的策略查找流程示意图；

图8是根据本发明优选实施例的IP地址释放处理流程示意图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

在本实施例中提供了一种网关管理方法，图1是根据本发明实施例的一种网关管理方法的流程图，如图1所示，该流程包括如下步骤：

步骤S102，获取该终端的上网报文，查找该报文在该五元组流表中是否有记录，其中，该五元组流表是在查找到该报文的预设管理策略的情况下，记录该报文的预设管理策略生成的；

步骤S104，在该报文在该五元组流表中有记录的情况下，依据该预设管理策略对该报文进行处理。

通过上述步骤，获取终端的上网报文，查找该报文对应的预设管理策略，记录该报文的预设管理策略到五元组流表，对后续接收到的报文在该五元组流表中是否有记录，在该报文在该五元组流表中有记录的情况下，依据该预设管理策略对该报文进行处理，从而不需要每次都要对报文进行解析和记录，解决了对局域网内用户的上网行为进行控制的技术操作复杂，效率低，成本高问题，实现了不需要增加设备，提高了效率，有效控制设备成本。

在本实施例中，该查找到该报文对应的该预设管理策略包括：依据该报文的特征信息，识别该报文的业务应用；依据该特征信息和该业务应用，查找该报文对应的预设管理策略。其中，该报文的特征信息包括以下至少之一：IP地址、端口号、域名。

在本实施例中，该预设管理策略可以有多种方式，可以根据报文的应用业务，访问时间，报文源地址所属的用户组权限等等，制定不同的预设管理策略，例如，该预设管理策略包括以下至少之一：执行与该应用业务对应的执行动作，该执行动作包括以下之一：转发，阻断，限速；在预设时间段内，执行与该应用业务对应的该执行动作。

在本实施例中，获取该终端接收的用户信息，对该终端进行认证；在认证通过的情况下，记录该报文的IP地址到IP地址认证表，其中，该IP地址认证表用于对该IP地址的报文进行认证。

在本实施例中，在该IP地址认证表的认证IP地址释放的情况下，在该IP地址认证表上删除该IP地址。

在本实施例中，该五元组流表包括以下至少之一：报文的源IP地址，报文的源端 口，报文的目的IP地址，报文的目的端口，传输层协议，报文对应的预设管理策略的执行动作，是否上报报文的标志位。

在该报文在该五元组流表中没有记录的情况下，查找该报文对应的预设管理策略；在查找到该报文的预设管理策略的情况下，记录该报文的预设管理策略到五元组流表。在该报文在该五元组流表中有指示上报该报文的标志位的情况下，查找该报文对应的预设管理策略；在查找到该报文的预设管理策略的情况下，记录该报文的预设管理策略到五元组流表。

在预设时间阈值内没有接收该报文对应的数据流，则将该五元组流表中该报文的记录删除。

在本实施例中还提供了一种网关管理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图2是根据本发明实施例的一种网关管理装置的结构框图，如图2所示，该装置包括

获取模块22，用于获取该终端的上网报文，查找该报文在该五元组流表中是否有记录，其中，该五元组流表是在查找到该报文的预设管理策略的情况下，记录该报文的预设管理策略生成的；

处理模块24，用于在该报文在该五元组流表中有记录的情况下，依据该预设管理策略对该报文进行处理。

通过上述装置，获取终端的上网报文，查找该报文对应的预设管理策略，记录该报文的预设管理策略到五元组流表，对后续接收到的报文在该五元组流表中是否有记录，在该报文在该五元组流表中有记录的情况下，依据该预设管理策略对该报文进行处理，从而不需要每次都要对报文进行解析和记录，解决了对局域网内用户的上网行为进行控制的技术操作复杂，效率低，成本高问题，实现了不需要增加设备，提高了效率，有效控制设备成本。

在本实施例中，该装置还包括：

识别模块，用于依据该报文的特征信息，识别该报文的业务应用；

查找模块，用于依据该特征信息和该业务应用，查找该报文对应的预设管理策略。

在本实施例中，该装置还包括：

接收模块，用于获取该终端接收的用户信息，对该终端进行认证；

认证模块，用于在认证通过的情况下，记录该报文的IP地址到IP地址认证表，其中，该IP地址认证表用于对该IP地址的报文进行认证。

在本实施例中，该五元组流表包括以下至少之一：

报文的源IP地址，报文的源端口，报文的目的IP地址，报文的目的端口，传输层协议，报文对应的预设管理策略的执行动作，是否上报报文的标志位。

下面根据优选实施例和实施方式对本发明进行详细说明。

优选实施例1

本优选实施例提供了一种用户上网行为管理的实现方法，属于宽带接入通讯领域。特别是涉及中小型企业网关设备上的用户上网行为管理实现方法。

本优选实施例实现用户认证、应用控制(阻断或限速)等功能。能实现用户上网行为的精细控制，可创建用户组，对不同的用户组绑定不同的策略模板，控制互联网访问权限。策略模板基于用户上网行为的具体应用(如QQ、优酷视频、PPLIVE等)，时间段设置和用户分组结合起来，就可以指定出在什么时间段，对什么用户的何种上网行为作出限制的计划。本方法自带认证系统(web认证)，用户不需要安装客户端，接入网络的终端(计算机或手机)用户，必须通过认证才能与以太网(Internet)连接。方便网络管理员操作和维护。

本系统由策略库管理模块、深度报文解析模块、报文转发模块等组成。深度报文解析模块实现用户上网行为的判断，由软件实现，不需要增加硬件模块，可有效控制路由器成本，尤其适合对管理成本敏感的中小型企业。

本优选实施例所要解决的技术问题是：克服现有技术中缺少针对中小型企业网关实现用户上网行为管理功能的问题，提供一种在无源光纤网络(Passive Optical Network，简称为PON)上行中小型企业网关设备上实现高效率、易操作、低成本的用户上网行为管理方法。本优选实施例记录用户最近的上网行为，对于用户相同的上网行为可在报文转发模块处理完成，无需深度报文解析模块和策略库管理模块的参与，提高报文转发速率。本优选实施例自带web认证功能，用户终端不需要安装客户端，适合企业内网访问Internet的应用场景，上网行为基于具体的应用分类，且支持用户组配置，便于管理。本方法通过软件实现，不需要网关设备单独增加硬件模块，有效控制网关设备的成本。

本优选实施例所述上网行为管理系统包括以下模块：

A、策略库管理模块

B、深度报文解析模块

C、报文转发模块

其中，策略库管理模块包括配置子模块、数据库子模块和用户认证子模块。网络管理员通过企业网关的web配置界面操作，可实现对用户信息(包括用户名、密码、所属用户组等、禁用或激活状态)、用户组(包括用户组名、绑定的策略模板和时间模板等)、时间段模板(包括模板名称和起止时间)、策略模板(包括模板名称和某种或某类应用的策略动作)的配置，这些配置按照数据库的表结构保存在数据库中。策略模板包括应用(支持某种应用或某类应用，如QQ、迅雷下载、优酷视频、P2P类、视频类、游戏类等)和动作(转发、阻断、限速等)。具体配置方法是，把用户归类到用户组，用户组绑定策略模板和时间段模板，策略模板在对应的时间段内生效。

深度报文解析模块包括深度报文检测(Deep packet inspection,简称为DPI)引擎和特征库，实现对用户上网行为的解析。能够识别绝大多数常用的上网应用。基于该解析结果，查找策略库管理模块中数据库对应的策略配置，通知报文转发模块，实现对用户上网行为的阻断或者限速功能。

报文转发模块包括报文截获子模块、IP地址认证表、五元组流表。实现用户Inernet访问报文截取、IP地址认证记录、五元组流表记录等功能。IP地址认证表记录IP地址认证状态，如果认证通过，则进行五元组表的处理，如果未认证，则通知策略库管理模块的用户认证子模块进行认证。五元组流表主要记录报文源IP地址、源端口、目的IP地址、目的端口和传输层协议(即五元组)信息、策略动作、报文是否需要送深度报文解析模块的标志位等。认证通过后的报文，如果能够匹配五元组流表中某条记录的五元组信息，则可直接根据五元组流表中的策略动作进行转发，无需频繁送深度报文解析模块，除非时间段模板开始生效或开始失效，这种情况下，需要策略库管理模块通知五元组流表，把报文重新送深度报文解析模块，解析后查询策略库管理模块，再通知五元组流表执行当前策略动作。

优选实施例2

本优选实施例提供了一种中小型企业网关实现用户上网行为管理的方法，包括以下步骤：

第一步：用户通过企业网关，接入Internet。转发模块截获用户的Internet报文，查找IP地址认证表，如果该IP地址已认证，则进入下一步处理；如果该IP地址未认证，企业网关向用户终端推送web认证界面，用户输入用户名和密码进行验证。由策略库管理模块中的用户认证子模块对用户接入Internet的合法性进行检验。认证通过则在数据库中的用户信息中保存用户的IP地址，并记录IP地址认证表，进入下一步处理；认证未通过则丢弃该报文，禁止用户接入Internet。

第二步：查找五元组流表，如果有该报文记录且标记不需要送深度报文解析模块，则按照流表中的策略动作(转发、丢弃或限速等)执行，对该报文的上网行为管理操作结束；如果标记需要送深度报文解析模块或没有该报文的记录，则进入下一步处理。

第三步：报文送深度报文解析模块，提取报文内容中的特征信息，如IP地址、端口号、域名等，识别用户上网行为的业务应用。某些报文的特征可能经常变化，如qq应用，qq客户端版本不同，登陆服务器的地址不同，报文特征不同。深度报文解析模块要确保根据报文不断变化的特征信息，正确判断出用户的应用。所以其特征库版本需要不断更新，对上网应用的报文特征做到向后兼容。对于某些业务应用，可能需要多个报文才能识别出来。报文解析动作完成后，进入下一步处理。

第四步：根据报文解析结果，在策略库管理模块的数据库中查找该用户(源IP地址)的该应用(深度报文解析的结果，如QQ、迅雷下载、优酷视频等)在当前时刻的策略(转发、阻断或限速等)，并通知报文转发模块，进入下一步处理。

第五步：报文转发模块写五元组流表，记录报文五元组信息和策略动作等，并对报文执行策略动作。

第六步：如果用户的IP地址释放，则动态主机配置协议(Dynamic Host Configuration Protocol，简称为DHCP)模块通知报文转发模块，删除其IP地址认证表的条目，并通知数据库，删除用户信息中的IP地址。

在本优选实施例中，具有高效率、易操作、低成本的特点。高效率体现在，本优选实施例维护五元组流表，可减少报文深度解析过程，报文深度解析过程，比较耗费CPU资源，并增加报文处理的延时，所以五元组流表的存在可提高报文转发效率；只有一个记录用户信息和策略的数据库，即策略库管理模块中的数据库子模块，不存在多数据库间的数据同步问题，减少了系统开销。易操作体现在，用户终端不需要安装客户端，本优选实施例自带web认证功能，用户认证过程更为简便；支持用户、用户组两级权限管理，且业务分类基于具体的业务应用，更便于网络管理员操作；低成本体现在，本方法通过软件实现，不需要增加硬件模块，有效控制企业网关的成本。

优选实施例3

图3是根据本发明优选实施例的上网行为管理应用系统示意图，如图3所示，公司内部终端接入公司内网，由企业网关给用户终端动态分配IP地址。用户访问外网，需通过企业网关设备，上网行为管理完全由企业网关设备实现，用户终端不需要安装客户端。

图4是根据本发明优选实施例的上网行为管理构成原理方框图，图5是根据本发明优选实施例的上网行为管理报文处理流程示意图，如图4和图5所示，应用本优选实施例的具体实施流程如下：

报文转发模块截获用户上网报文后，查找IP地址认证表，判断该用户IP地址是否认证过，如果没有认证过，则进入认证流程。

认证在策略库管理模块完成，用户认证web页面输入的用户名和密码与数据库保存 的用户名和密码比较，认证通过后，在数据库的用户信息中保存用户IP地址，并写IP地址认证表；如果认证未通过，则丢弃截获的用户上网报文。

查找五元组流表，如果报文在五元组流表中有记录且不需要上送，则按照五元组流表中的策略动作转发；如果五元组流表中没有记录或需要上送，则报文送深度报文解析模块。

深度报文解析模块收到报文后，由DPI引擎和特征库解析出报文的应用、URL信息等。根据应用类型，在策略库管理模块查找当前的策略动作。

把报文的五元组信息、用户上网行为的应用、URL信息、策略动作等通知报文转发模块，写五元组流表，送深度报文解析模块的标志位设置成非真，并根据策略动作转发报文。五元组流表的老化通过定时器实现，如果一段时间后没有流到达，则该流记录从五元组流表中删除。

在策略库管理模块维护定时器，查询时间段模板是否生效，如果有用户组绑定的生效时间段模板改变，则通知报文转发模块的五元组流表，把报文上送标志位置为真。

图6是根据本发明优选实施例的管理员配置示意图，如图6所示，具体实施流程如下：

网络管理员通过web页面可配置或读取上网行为管理参数。配置方法是：用户加入到用户组，用户组绑定策略模板和对应的时间段模板。用户信息中的激活状态可由网络管理员操作激活或者禁用，IP地址支持多个，支持同一个用户在多个终端上登陆，IP地址和认证状态都是只读的。策略模板在与之对应的时间段模板时间内生效。

图7是根据本发明优选实施例的策略查找流程示意图，如图7所示，具体实施流程如下：

根据报文源IP地址和深度报文解析模块解析出的应用，查询数据库中用户组的用户信息，如果用户IP地址与报文的源IP地址相同，则查询用户所在用户组绑定的策略模板和时间段模板，获取当前时刻生效的策略模板，把策略模板中该应用的策略动作和报文的五元组信息写入五元组流表，并按照策略动作转发报文。

图8是根据本发明优选实施例的IP地址释放处理流程示意图，如图8所示，具体实施流程如下：

DHCP释放用户IP地址后，通知到上网行为管理模块，在IP地址认证表中删除该IP的记录，并在数据库中删除用户的IP地址。

优选实施例4

如某公司使用了应用本发明的网关设备，以该公司财务部门员工张三的上网行为为例，详细说明本优选实施例的实际应用过程。

公司规定，财务部门的员工在上班时间早上9点到下午5点期间不允许登陆优酷网站。公司的网络管理员给张三提供了接入Internet的账户zhangsan和密码zhangs，并把用户zhangsan添加到用户组finance department中，用户组finance department绑定策略模板p1和时间段模板t1。p1配置为阻止优酷，不配置的应用默认是允许的，t1配置为上班时间，即周一到周五的9点到17点。

张三的电脑通过网关获取内网IP地址192.168.1.10。张三上班后试图登陆优酷网站。根据请求报文中的源IP地址192.168.1.10，查找用户认证表。由于用户认证表中还没有张三客户端的记录，网关会向张三的电脑推送WEB认证页面，张三输入其账户zhangsan和密码zhangs后，数据库中记录的用户信息进行校验，校验通过后，在用户认证表中记录账户zhangsan对应IP地址192.168.1.10通过认证。并在数据库用户信息中记录，用户zhangsan对应IP地址192.168.1.10。

接下来根据请求报文中的五元组信息查找五元组流表，记录中没有找到报文五元组信息的匹配条目，需要送深度报文解析模块，通过对报文提取特征值分析，判断出该应用是优酷网站，再查找数据库，发现用户IP地址192.168.1.10在当前时刻是不允许登陆优酷的。于是系统把张三请求登陆优酷网站报文的五元组信息和阻止的动作写入五元组流表。根据五元组流表，优酷应用被阻断。

张三发现不能上优酷看视频，又试图登陆新浪网站。请求报文先查找认证表，发现IP地址192.168.1.10对应用户zhangsan已认证通过。再查找五元组流表，没有找到匹配的报文，再送深度报文解析模块，解析出是新浪网站后，再查数据库中用户IP地址192.168.1.10在当前时刻可以登陆新浪网站。把报文的五元组信息和允许通过的动作写入五元组流表，根据五元组流表，张三可以登陆新浪了。

在五元组流表条目老化前，张三再次登陆新浪网站，查找五元组流表时，找到匹配的记录，可直接转发报文，不需要再送深度报文解析模块解析报文并查找数据库的策略动作。因此可提高报文处理速度。

如果张三电脑不再使用IP地址192.168.1.10，而变为192.168.1.20，则之前在IP地址认证表中记录的账户zhangsan，IP地址192.168.1.10认证通过的条目被删除，同时数据库中用户zhangsan中的IP地址也被删除。张三再访问Internet时，需要重新进行用户认证。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

本发明的实施例还提供了一种存储介质。可选地，在本实施例中，上述存储介质可以被设置为存储用于执行上述实施例方法步骤的程序代码：

可选地，在本实施例中，上述存储介质可以包括但不限于：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

可选地，在本实施例中，处理器根据存储介质中已存储的程序代码执行上述实施例的方法。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。