一种分布式终端准入控制方法和装置与流程

本申请涉及监控数据传输领域，特别涉及一种分布式终端准入控制方法和装置。
背景技术：
：：随着IP(InternetProtocol，网络互联协议)视频监控业务的发展，客户对视频监控系统的安全防护日益重视。通常入侵者首先会使用漏洞扫描工具对目标设备进行端口扫描，端口扫描一般向目标设备的各个知名端口及部分常用服务端口范围连接消息，根据接收到的消息回应类型判断设备是否在使用该端口，然后通过分析提供服务端口漏洞，进一步发起入侵攻击。现有技术中提出了基于控制规则的防御解决方案，使监控系统具备一定的自防御功能，将业务端口自动隐藏，系统中任何前端设备对系统内某设备的业务管理等访问需求，都需要经过控制规则的过滤，通过视频管理服务网服务器预先集中授权，才允许客户端等设备访问目标设备的业务端口，整个系统形成一个闭环的安全业务环境，可以有效消除安全隐患。具体的，在现有技术中，视频管理服务器默认开放针对前端设备的“注册端口”及针对客户端的“登录端口”，只有在终端设备注册成功后，才允许该前段设备的“IP地址”访问视频管理服务器的其他业务端口。控制规则可用iptables下发或业务级代码控制等方式实现，具体说明如下。如图1所示，为现有技术中的一种监控系统的应用场景示意图。在初始状态下，视频管理服务器中生效的控制规则为：本设备目的端口源设备控制行为5060、80所有允许“源设备”访问“本设备目的端口”在IPC1注册成功之后，视频管理服务器记录IPC1的掩码，将自身生效的控制规则变更为允许IPC1访问本设备所有端口，具体如下：相应的，业务服务器记录IPC1的掩码，其所生效的控制规则变更为允许IPC1和视频管理服务器访问本设备所有端口，具体如下：申请人在实现本申请的过程中发现，上述现有的处理方案至少存在如下的问题：视频监控系统中前端设备数量众多，相应的，视频管理服务器等设备中需配置的规则也随之增多，而服务器设备本身支持的过滤规则数量有限，一般都只支持1000条规则，当前端设备的数量超过服务器设备支持的最大规则数量时，会导致服务器设备无法提供正常业务服务。技术实现要素：本申请实施例提供一种分布式终端准入控制方法和装置，通过在分布式监控系统的各交换机中分别设置对应的基于业务类型的控制规则，使各交换机分别根据相应的控制规则，针对自身所连接的前端设备进行业务级的接入控制，实现终端接入的精确控制，避免大量设置控制规则给服务器设备所带来的存储负担。为了达到上述技术目的，本申请提出了一种分布式终端准入控制方法，应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中，前端设备通过交换机接入所述分布式监控系统，所述交换机中配置控制规则，所述方法具体包括：当所述交换机所连接的前端设备启动新的业务时，所述交换机根据所述管理服务器发送的控制规则更新指示对自身所配置的控制规则进行更新，其中，所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息；所述交换机判断接收到的自身所连接的前端设备所发送的所述新的业务的报文的转发信息是否符合更新后的所述控制规则；如果符合，所述交换机将所述业务报文转发给相对应的接口，如果不符合，所述交换机丢弃所述业务报文。优选的，所述交换机中所配置的控制规则的初始内容为：在接收到自身所连接的前端设备所发送的报文中，只允许将注册报文转发给所述管理服务器，其余报文均进行丢弃。优选的，所述交换机所连接的前端设备启动新的业务操作之前，还包括：当交换机所配置的控制规则为初始内容时，所述交换机识别所接收到的自身所连接的前端设备所发送的报文是否为注册报文；如果识别结果为是，所述交换机将自身的网络地址信息，以及自身与所述前端设备相连接的端口信息添加到所述报文中，并将所述报文转发给所述管理服务器，以使所述管理服务器对所述前端设备进行注册，并在注册成功后，保存所述交换机的网络地址信息和所述端口信息；当所述交换机接收到所述管理服务器返回的注册确认指示时，将所述注册确认指示发送给所述前端设备。优选的所述控制规则更新指示的处理过程，具体为：当所述交换机所连接的前端设备启动新的业务时，所述管理服务器确定在所述新的业务中，允许所述前端设备接入的设备的端口；所述管理服务器生成以所述前端设备的网络地址信息作为源地址信息，以所述允许所述前端设备接入的设备的网络地址信息作为目的地址信息，以所述允许所述前端设备接入的设备端口的端口信息作为目的端口信息的控制规则项；所述管理服务器根据所述前端设备所对应的交换机的网络地址信息，向所述交换机发送携带了所述控制规则项的控制规则更新指示，以使所述交换机对自身控制规则中与所述前端设备相连接的端口相对应的内容进行更新。优选的，所述方法还包括：当所述交换机所连接的前端设备结束业务时，所述交换机根据所述管理服务器发送的控制规则删除指示，在自身所配置的控制规则中，将与被结束的业务相对应的控制规则内容进行删除。另一方面，本申请实施例还提出了一种交换机，应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中，前端设备通过交换机接入所述分布式监控系统，所述交换机中配置控制规则，所述交换机具体包括：通信模块，用于与所述交换机所连接的前端设备，以及所述管理服务器进行通信；管理模块，用于在所述交换机所连接的前端设备启动新的业务时，根据所述通信模块所接收到的所述管理服务器发送的控制规则更新指示对所述交换机当前所配置的控制规则进行更新，其中，所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息；判断模块，用于判断所述通信模块所接收到的所述交换机所连接的前端设备所发送的所述新的业务的报文的转发信息，是否符合所述管理模块更新后的所述控制规则；处理模块，用于在所述判断模块的判断结果为符合时，通知通信模块将所述业务报文转发给相对应的接口，或，在所述判断模块的判断结果为不符合时，丢弃所述业务报文。优选的，所述交换机中所配置的控制规则的初始内容为：在接收到自身所连接的前端设备所发送的报文中，只允许将注册报文转发给所述管理服务器，其余报文均进行丢弃。优选的，所述判断模块，还用于当所述交换机所配置的控制规则为初始内容时，识别所述通信模块所接收到的自身所连接的前端设备所发送的报文是否为注册报文；所述通信模块，还用于在所述判断模块的识别结果为是时，将所述交换机的网络地址信息，以及所述交换机与所述前端设备相连接的端口信息添加到所述报文中，并将所述报文转发给所述管理服务器，以使所述管理服务器对所述前端设备进行注册，并在注册成功后，保存所述交换机的网络地址信息和所述端口信息，并且，在接收到所述管理服务器返回的注册确认指示时，将所述注册确认指示发送给所述前端设备。优选的，所述控制规则更新指示的处理过程，具体为：当所述交换机所连接的前端设备启动新的业务时，所述管理服务器确定在所述新的业务中，允许所述前端设备接入的设备的端口；所述管理服务器生成以所述前端设备的网络地址信息作为源地址信息，以所述允许所述前端设备接入的设备的网络地址信息作为目的地址信息，以所述允许所述前端设备接入的设备端口的端口信息作为目的端口信息的控制规则项；所述管理服务器根据所述前端设备所对应的交换机的网络地址信息，向所述交换机发送携带了所述控制规则项的控制规则更新指示，以使所述交换机对自身控制规则中与所述前端设备相连接的端口相对应的内容进行更新。优选的，所述管理模块，还用于当所述交换机所连接的前端设备结束业务时，根据所述通信模块所接收到的所述管理服务器发送的控制规则删除指示，在所述交换机所配置的控制规则中，将与被结束的业务相对应的控制规则内容进行删除。与现有技术相比，本申请实施例所提出的技术方案的有益技术效果包括：本申请实施例公开了一种分布式终端准入控制方法和装置，该方法在分布式监控系统的各交换机中分别设置对应的基于业务类型的控制规则，并且基于前端设备的业务类型变化对相应的控制规则进行更新，从而，使各交换机分别根据相应的控制规则，针对自身所连接的前端设备进行业务级的接入控制，对符合控制规则的报文进行正常转发，而对不符合控制规则的报文则进行丢弃，实现终端接入的精确控制，并使各交换机中的控制规则基于前端设备的业务类型变化进行及时更新，避免大量设置控制规则给服务器设备所带来的存储负担。附图说明为了更清楚地说明本申请的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为现有技术中的一种监控系统的应用场景示意图；图2为本申请实施例所提出的一种分布式终端准入控制方法的流程示意图；图3为本申请实施例所提出的一种分布式监控系统的组网结构示意图；图4为本申请实施例所提出的一种具体应用场景下的分布式终端准入控制方法的流程示意图；图5为本申请实施例提出的一种具体场景下，IPC1进行多种业务处理的应用场景的示意图；图6为本申请实施例所提出的一种具体应用场景下的视频管理服务器向多个交换机配置控制规则(前述的白名单)的场景示意图；图7为本申请实施例所提出的一种交换机的结构示意图。具体实施方式正如本申请
背景技术：
：所陈述的，现有的技术中将控制规则设置与服务器上，相应的过滤操作都需要由服务器来处理，增加了服务器的处理负担，而且，随着前端设备的增多，服务器中需要配置的控制规则的数量也大幅增长，不仅加重了服务器进行规则筛选的处理量，而且，由于服务器本身存储规则的数量限制，一旦前端数量需要的规则过多，则会导致一些控制规则无法配置到服务器上，导致控制策略无法实现。本申请的发明人希望通过本申请所提供的方法，在分布式监控系统的各交换机中分别设置对应的基于业务类型的控制规则，并且基于前端设备的业务类型变化对相应的控制规则进行更新，一方面，通过在交换机中配置处理规则，将服务器的过滤处理负担分散给各交换机来处理，另一方面，基于前端设备的业务类型变化，由管理服务器进行控制规则的修改调整，保证了接入控制的精确执行和及时调整。如图2所示，为本申请实施例所提出的一种分布式终端准入控制方法的流程示意图，该方法应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中，前端设备通过交换机接入所述分布式监控系统，所述交换机中配置控制规则。具体的，该方法包括：步骤S201、当所述交换机所连接的前端设备启动新的业务时，所述交换机根据所述管理服务器发送的控制规则更新指示对自身所配置的控制规则进行更新。其中，所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息。本步骤的处理是控制规则的更新过程，即由于前端设备的业务类型变化(启动了新的业务)，导致控制规则针对性的进行更新。由于前端设备启动新的业务之后，可能会与新的网络侧设备，或者新的接口产生报文交互，因此，需要对相应的控制规则内容进行调整。需要进一步说明的是，在进行调整之前，所述交换机中所配置的控制规则的初始内容为：在接收到自身所连接的前端设备所发送的报文中，只允许将注册报文转发给所述管理服务器，其余报文均进行丢弃。根据该初始内容，在没有合法验证到注册的前端设备之前，交换机只允许对注册报文的转发，因为前端设备注册到管理服务器之前，除了注册之外，是不可能有合法的业务交互的，通过这样的控制规则，可以避免非法的报文传输给管理服务器，也就避免了
背景技术：
：中所述的漏洞问题。相应的，在本步骤之前，进一步包括了前端设备的注册过程，具体说明如下：当交换机所配置的控制规则为初始内容时，所述交换机识别所接收到的自身所连接的前端设备所发送的报文是否为注册报文。如果判断结果为否，则直接丢弃，而如果识别结果为是，所述交换机将自身的网络地址信息，以及自身与所述前端设备相连接的端口信息添加到所述报文中，并将所述报文转发给所述管理服务器。通过该注册报文，所述管理服务器对相应的前端设备进行注册，并在注册成功后，保存注册报文中所携带的交换机的网络地址信息和端口信息，以便用于后续的控制规则交互。当所述交换机接收到所述管理服务器返回的注册确认指示时，将所述注册确认指示发送给所述前端设备。至此，前端设备的注册过程完成，管理服务器侧对该前端设备的业务类型进行控制，前端设备需要进行新的业务启动时，需要向管理服务器进行请求，相应的，管理服务器在确认该业务可以启动时，也就及时的了解到了前端设备中业务类型的最新变化，相应的，也会触发管理规则的调整过程。具体的，在相应的管理规则调整过程中，前述的控制规则更新指示的具体处理过程如下：所述控制规则更新指示的处理过程，具体为：如前所述，管理服务器侧对该前端设备的业务类型进行控制，当所述交换机所连接的前端设备启动新的业务时，管理服务器也就确定了在所述新的业务中，允许该前端设备接入的设备，以及允许该前端设备接入的设备端口。基于以上处理，管理服务器及时的了解到了前端设备中业务类型的最新变化，因此，触发相应的控制规则调整过程。首先，所述管理服务器生成以所述前端设备的网络地址信息作为源地址信息，以所述允许所述前端设备接入的设备的网络地址信息作为目的地址信息，以所述允许所述前端设备接入的设备端口的端口信息作为目的端口信息的控制规则项。其中，前端设备的网络地址信息通过注册报文或者当前的业务调整请求可以获取，允许所述前端设备接入的设备的网络地址信息，以及允许所述前端设备接入的设备端口的端口信息可以根据前述的步骤来确定。然后，所述管理服务器根据所述前端设备所对应的交换机的网络地址信息，向所述交换机发送携带了所述控制规则项的控制规则更新指示，以使所述交换机对自身控制规则中与所述前端设备相连接的端口相对应的内容进行更新。其中，前端设备所对应的交换机的网络地址信息，以及与所述前端设备相连接的端口的信息是交换机添加到注册报文后发送给管理服务器的。通过上述的处理过程，交换机对自身配置的控制规则完成了针对前端设备的新业务的调整。步骤S202、所述交换机判断接收到的自身所连接的前端设备所发送的所述新的业务的报文的转发信息是否符合更新后的所述控制规则。本步骤即为交换机按照更新后的控制规则对前端设备发送的报文进行接入控制。如果符合，执行步骤S203；如果不符合，执行步骤S204。步骤S203、所述交换机将所述业务报文转发给相对应的接口。步骤S204、所述交换机丢弃所述业务报文。需要进一步说明的是，上述的处理过程是针对新增业务的控制规则调整，但在具体的应用场景中，同样存在前端设备释放现有业务的情况，在这样的情况下，需要将被释放业务所对应的控制规则进行删除，具体过程如下：如前所述，管理服务器侧对该前端设备的业务类型进行控制，当所述交换机所连接的前端设备结束业务时，管理服务器也就确定了在被释放的业务中允许该前端设备接入的设备，以及允许该前端设备接入的设备端口，对于这样的允许权限，在释放业务时，也同样需要删除。基于以上处理，管理服务器及时的了解到了前端设备中业务类型的最新变化，因此，所述交换机根据所述管理服务器发送的控制规则删除指示，在自身所配置的控制规则中，将与被结束的业务相对应的控制规则内容进行删除。通过这样的删除处理，保证了控制规则根据前端设备的业务类型变化而进行及时的调整，同时，及时删除无用的控制规则，也避免了非法报文通过这些控制规则所产生的漏洞进行转发，维护了监控系统的安全。与现有技术相比，本申请实施例所提出的技术方案的有益技术效果包括：本申请实施例公开了一种分布式终端准入控制方法和装置，该方法在分布式监控系统的各交换机中分别设置对应的基于业务类型的控制规则，并且基于前端设备的业务类型变化对相应的控制规则进行更新，从而，使各交换机分别根据相应的控制规则，针对自身所连接的前端设备进行业务级的接入控制，对符合控制规则的报文进行正常转发，而对不符合控制规则的报文则进行丢弃，实现终端接入的精确控制，并使各交换机中的控制规则基于前端设备的业务类型变化进行及时更新，避免大量设置控制规则给服务器设备所带来的存储负担。下面将结合本申请中的附图，对本申请中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。下面，以图3所示的分布式监控系统的组网结构为例，对分布式监控系统中交换机通过控制规则进行前端设备接入控制的情况进行说明。在该分布式监控系统中，视频管理服务器(IP地址192.168.1.11)作为管理服务器，通过交换机SW4(IP地址192.168.1.1)，分布式的连接了三个交换机：SW1(IP地址192.168.2.1)，SW2(IP地址192.168.3.1)，SW3(IP地址192.168.4.1)，IPC1(IP地址192.168.2.22)通过端口Ethernet0/1接入SW1，IPC2(IP地址192.168.3.23)通过端口Ethernet0/2接入SW2，IPC3(IP地址192.168.4.24)通过端口Ethernet0/3接入SW3。视频管理服务器的注册端口为5061。在本实施例中，控制规则具体以ACL规则为例进行说明，在实际的应用场景中，其他格式的控制规则同样可以应用于本申请实施例所提出的技术方案中，这样的变化并不会影响本申请的保护范围。如图4所示，为本申请实施例所提出的一种具体应用场景下的分布式终端准入控制方法的流程示意图，该方法具体包括：步骤S401、初始化各交换机上的ACL规则。在初始状态下，或者说在交换机缺省安全接入的前端设备的情况下，ACL规则只允许注册报文通过。该情况下的ACL规则同样由视频管理服务器配置或激活，如前所述，视频管理服务器接收前端设备的国标注册端口为UDP端口5061。相应的，以交换机SW1为例，初始情况下，SW1中所配置的ACL规则的内容具体如下：即端口Ethernet0/1应用3001规则，允许任何来源的注册报文发送给5061端口。SW2和SW3与SW1配置方法相同，在此不再重复。步骤S402、交换机收到前端设备的注册报文。同样以SW1为例进行说明。IPC1向SW1发送注册报文，目的IP为视频管理服务器的IP地址，目的端口为5061，34010600001320000001为IPC1的国标设备编码。则相应的注册报文的内容示例具体如下：SW1从Ethernet0/1端口接收到IPC1发送的上述报文，通过分析报文字段发现关键字REGISTER，确认为注册报文。步骤S403、交换机在注册报文中附上自身的IP地址和局部端口号(交换机物理端口)之后，向视频管理服务器进行转发。SW1在上述的注册报文中附上自身的IP地址和局部端口号(交换机物理端口)，具体如以下的加粗和下划线字体所示。在对注册报文修改完成之后，SW1将修改后的报文根据报文目的IP发往视频管理服务器。步骤S404、视频管理服务器收到该注册报文后，进行鉴权。视频管理服务器根据已添加的设备信息进行注册报文的鉴权，确认该注册报文所对应的前端设备是否为合法设备。如果鉴权成功，则执行步骤S405。如果鉴权失败，则拒绝该前端设备的注册请求，对于此过程不是本申请所关心的内容，在此不再赘述。步骤S405、视频管理服务器从注册报文中提取交换机所添加的信息(即上述的SWIP和SWPORT信息)，获取IPC1的接入交换机地址和物理端口。步骤S406、视频管理服务器通过SW1发送注册成功消息响应至IPC1。至此，视频管理服务器完成了前端设备IPC的注册过程。在此之后，IPC启动每项业务时，都会执行步骤S407。步骤S407、前端设备向视频管理服务器发起新业务请求。步骤S408、基于该新业务请求，视频管理服务器对前端设备进行授权响应。步骤S409、视频管理服务器向交换机发送控制规则更新指示。视频管理服务器根据前端设备新的业务的授权变化情况，会向交换机下发ACL规则，指示对应的接入交换机对相应的控制规则进行更新，即在前端设备的接入端口上放开相关业务权限的白名单列表，如IP和端口列表。基于更新后的控制规则，匹配白名单列表(报文源IP地址、源端口、目的IP地址、目的端口)的报文将被交换机允许通过，其他报文则丢弃。在具体的应用场景中，视频管理服务器下发ACL规则的方式具体可以为通过SNMP报文或telnet方式发送，也可以根据需要选择其他方式进行发送，这样的变化并不会影响本申请的保护范围。步骤S410、交换机根据接收到的ACL规则对本地配置的控制规则进行调整。下面，分别基于不同的业务类型，对控制规则的具体调整过程进行举例说明如下，为方便描述和对比，同样以SW1上的控制规则为例进行说明。当IPC1启动升级业务时，视频管理服务器确定IPC1需访问视频管理服务器的21端口(固定分配)，因此，下发相应的ACL规则，SW1中的控制规则调整结果如下：即端口Ethernet0/1应用3002规则，允许任何来源的注册报文发送给5061端口，允许IPC1发送的报文发送给视频管理服务器(IP为192.168.1.11)的Web端口80，ftp端口21。当IPC1启动UDP或tcp实况业务时，视频管理服务器确定IPC1需访问MS(媒体转发服务器)的10000、10001、10002端口，因此，下发相应的ACL规则，SW1中的控制规则调整结果如下：即端口Ethernet0/1应用3002规则，允许任何来源的注册报文发送给5061端口，允许IPC1发送的报文发送给视频管理服务器(IP为192.168.1.11)的Web端口80，ftp端口21，允许IPC1发送的报文发送给媒体转发服务器(IP为192.168.1.21)的UDP和TCP端口10000、10001、10002。当配置IPC1存储时，视频管理服务器确定IPC1需访问存储设备的3260端口(固定端口)，因此，下发相应的ACL规则，SW1中的控制规则调整结果如下：即端口Ethernet0/1应用3002规则，允许任何来源的注册报文发送给5061端口，允许IPC1发送的报文发送给视频管理服务器(IP为192.168.1.11)的Web端口80，ftp端口21，允许IPC1发送的报文发送给媒体转发服务器(IP为192.168.1.21)的UDP和TCP端口10000、10001、10002，允许IPC1发送的报文发送给存储设备(IP为192.168.1.31)的TCP端口3260。进一步的，基于上述的ACL规则，本实施例给出业务释放场景下的ACL规则调整方式。如果IPC1此时释放实况业务，则下发配置删除实况业务白名单：即端口Ethernet0/1应用3002规则，允许任何来源的注册报文发送给5061端口，允许IPC1发送的报文发送给视频管理服务器(IP为192.168.1.11)的Web端口80，ftp端口21，允许IPC1发送的报文发送给存储设备(IP为192.168.1.31)的TCP端口3260。步骤S411、基于上述更新后的ACL规则，交换机对接收到的报文进行过滤。如图5所示，为本申请实施例提出的一种具体场景下，IPC1进行多种业务处理的应用场景的示意图。交换机SW1根据以上规则对IPC1的报文进行匹配过滤，允许IPC1访问白名单列表中的端口和设备，丢弃不符合白名单的报文。上述说明过程是以SW1为例进行说明，而在具体的应用场景中，各前端设备可以通过不同的交换机接入，视频管理服务器下发白名单规则到多个安全准入交换机，实现分布式的业务级准入。如图6所示，为本申请实施例所提出的一种具体应用场景下的视频管理服务器向多个交换机配置控制规则(前述的白名单)的场景示意图。如图6所示，IPC2发起注册后，SW2修改注册报文附加SW2的IP地址和IPC2接入端口Ethernet0/2，IPC3发起注册后，SW3修改注册报文附加SW2的IP地址和IPC2接入端口Ethernet0/3，视频管理服务器注册鉴权通过后，每次启动IPC新业务时，下发相应的IPC2白名单至SW2，下发相应的IPC3白名单至SW3。SW2和SW3新增配置相应ACL规则。具体的处理过程参照前述说明。具体的，交换机SW2配置的ACL规则的示例如下：即端口Ethernet0/2应用3002规则，允许任何来源的注册报文发送给5061端口，允许IPC2发送的报文发送给视频管理服务器(IP为192.168.1.11)的Web端口80，ftp端口21，允许IPC2发送的报文发送给媒体转发服务器(IP为192.168.1.21)的UDP和TCP端口10000、10001、10002，允许IPC2发送的报文发送给存储设备(IP为192.168.1.31)的TCP端口3260。交换机SW3配置的ACL规则如下：即端口Ethernet0/3应用3002规则，允许任何来源的注册报文发送给5061端口，允许IPC3发送的报文发送给视频管理服务器(IP为192.168.1.11)的Web端口80，ftp端口21，允许IPC3发送的报文发送给媒体转发服务器(IP为192.168.1.21)的UDP和TCP端口10000、10001、10002，允许IPC3发送的报文发送给存储设备(IP为192.168.1.31)的TCP端口3260。与现有技术相比，本申请实施例所提出的技术方案的有益技术效果包括：本申请实施例公开了一种分布式终端准入控制方法和装置，该方法在分布式监控系统的各交换机中分别设置对应的基于业务类型的控制规则，并且基于前端设备的业务类型变化对相应的控制规则进行更新，从而，使各交换机分别根据相应的控制规则，针对自身所连接的前端设备进行业务级的接入控制，对符合控制规则的报文进行正常转发，而对不符合控制规则的报文则进行丢弃，实现终端接入的精确控制，并使各交换机中的控制规则基于前端设备的业务类型变化进行及时更新，避免大量设置控制规则给服务器设备所带来的存储负担。为更清楚地说明本申请前述实施例提供的方案，基于与上述方法同样的发明构思，本申请实施例还提出了一种交换机，其结构示意图如图7所示。该交换机应用于至少包括管理服务器、多个交换机和前端设备的分布式监控系统中，前端设备通过交换机接入所述分布式监控系统，所述交换机中配置控制规则，所述交换机具体包括：通信模块71，用于与所述交换机所连接的前端设备，以及所述管理服务器进行通信；管理模块72，用于在所述交换机所连接的前端设备启动新的业务时，根据所述通信模块71所接收到的所述管理服务器发送的控制规则更新指示对所述交换机当前所配置的控制规则进行更新，其中，所述控制规则更新指示中包括所述管理服务器对所述前端设备执行所述新的业务时所开放的接入权限信息；判断模块73，用于判断所述通信模块71所接收到的所述交换机所连接的前端设备所发送的所述新的业务的报文的转发信息，是否符合所述管理模块72更新后的所述控制规则；处理模块74，用于在所述判断模块73的判断结果为符合时，通知通信模块71将所述业务报文转发给相对应的接口，或，在所述判断模块73的判断结果为不符合时，丢弃所述业务报文。优选的，所述交换机中所配置的控制规则的初始内容为：在接收到自身所连接的前端设备所发送的报文中，只允许将注册报文转发给所述管理服务器，其余报文均进行丢弃。优选的，所述判断模块73，还用于当所述交换机所配置的控制规则为初始内容时，识别所述通信模块71所接收到的自身所连接的前端设备所发送的报文是否为注册报文；所述通信模块71，还用于在所述判断模块73的识别结果为是时，将所述交换机的网络地址信息，以及所述交换机与所述前端设备相连接的端口信息添加到所述报文中，并将所述报文转发给所述管理服务器，以使所述管理服务器对所述前端设备进行注册，并在注册成功后，保存所述交换机的网络地址信息和所述端口信息，并且，在接收到所述管理服务器返回的注册确认指示时，将所述注册确认指示发送给所述前端设备。优选的，所述控制规则更新指示的处理过程，具体为：当所述交换机所连接的前端设备启动新的业务时，所述管理服务器确定在所述新的业务中，允许所述前端设备接入的设备的端口；所述管理服务器生成以所述前端设备的网络地址信息作为源地址信息，以所述允许所述前端设备接入的设备的网络地址信息作为目的地址信息，以所述允许所述前端设备接入的设备端口的端口信息作为目的端口信息的控制规则项；所述管理服务器根据所述前端设备所对应的交换机的网络地址信息，向所述交换机发送携带了所述控制规则项的控制规则更新指示，以使所述交换机对自身控制规则中与所述前端设备相连接的端口相对应的内容进行更新。优选的，所述管理模块72，还用于当所述交换机所连接的前端设备结束业务时，根据所述通信模块71所接收到的所述管理服务器发送的控制规则删除指示，在所述交换机所配置的控制规则中，将与被结束的业务相对应的控制规则内容进行删除。与现有技术相比，本申请实施例所提出的技术方案的有益技术效果包括：本申请实施例公开了一种分布式终端准入控制方法和装置，该方法在分布式监控系统的各交换机中分别设置对应的基于业务类型的控制规则，并且基于前端设备的业务类型变化对相应的控制规则进行更新，从而，使各交换机分别根据相应的控制规则，针对自身所连接的前端设备进行业务级的接入控制，对符合控制规则的报文进行正常转发，而对不符合控制规则的报文则进行丢弃，实现终端接入的精确控制，并使各交换机中的控制规则基于前端设备的业务类型变化进行及时更新，避免大量设置控制规则给服务器设备所带来的存储负担。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，本发明实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或网络侧设备等)执行本发明实施例各个实施场景所述的方法。本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本发明实施例所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述，不代表实施场景的优劣。以上公开的仅为本发明实施例的几个具体实施场景，但是，本发明实施例并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明实施例的业务限制范围。当前第1页1 2 3 当前第1页1 2 3