冗余访问控制列表acl规则文件检测方法和装置的制造方法
【专利摘要】本申请公开了一种冗余ACL规则文件检测方法,解决了现有冗余ACL规则文件检测可靠性差的问题。该检测方法包括:获取ACL规则文件;提取ACL规则文件中的网络地址信息或端口信息;判断网络地址信息或端口信息是否符合预设条件;若是,判定ACL规则文件为冗余ACL规则文件。本申请实施例还提供一种应用上述检测方法的检测装置。本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:在获取ACL规则文件时,能够自动将其中的网络地址信息或端口信息与预设条件进行比对,从而快速、可靠的判断出该ACL规则文件是否为冗余ACL规则文件,便于后续删除冗余ACL规则文件。
【专利说明】
冗余访问控制列表ACL规则文件检测方法和装置
技术领域
[0001]本申请涉及网络通信技术领域,尤其涉及一种冗余ACL规则文件检测方法和装置。
【背景技术】
[0002]随着网络通信技术的快速发展,企业网络之间的通信需求越来越多,如何保证网络资源不被非法操作也愈发受到业内重视。
[0003]当前,业内多采用配置访问控制列表(Access Control List,ACL)规则文件的方法来保证网络资源的安全,其过程具体包括:针对网络资源配置一系列ACL规则文件,用以标识需过滤的数据包特征,从而明确用户对网络资源的操作权限;将ACL规则文件应用于通信设备端口,实现仅有授权的用户才能操作网络资源。然而,当用户对网络资源的操作业务停止或下线以后,该业务对应的ACL规则文件成为冗余ACL规则文件,若未及时删除该冗余ACL规则文件,则会造成ACL规则文件所需的存储空间越来越大,甚至,会将网络资源在不可知的状态下暴露至外网,造成安全隐患。
[0004]现有技术中,通过人工申报的方式来判定冗余ACL规则文件,即当用户对网络资源的操作业务停止或下线以后,该用户主动向网络管理人员申报相应的ACL规则文件已成为冗余ACL规则文件,进而由网络管理人员来删除该冗余ACL规则文件,避免冗余ACL规则文件的数量不断累积来占用存储空间。
[0005]然而,该现有技术中,通过人工申报来判定冗余ACL规则文件的方式过于依赖用户的个人素质,但由于用户网络安全意识参差不齐且行为可控性较差,若在操作业务停止或下线时,用户没有及时通知网络管理人员,则冗余ACL规则文件会在不可知的情况下始终存在,造成ACL规则文件存储空间的浪费和安全隐患。
[0006]综上,现有技术中的冗余ACL规则文件检测方法存在着可靠性差的问题。
【发明内容】
[0007]本申请实施例提供一种冗余ACL规则文件检测方法和装置,解决了现有技术中冗余ACL规则文件检测可靠性差的问题。
[0008]本申请实施例还提供一种冗余访问控制列表ACL规则文件的检测方法,其中,该检测方法包括:
[0009]获取ACL规则文件;
[0010]提取所述ACL规则文件中的网络地址信息或端口信息,所述网络地址信息包括源网络地址和目的网络地址,所述端口信息包括源端口和目的端口 ;
[0011]判断所述网络地址信息或端口信息是否符合预设条件;
[0012]若是,判定所述ACL规则文件为冗余ACL规则文件。
[0013]本申请实施例还提供一种冗余ACL规则文件的检测装置,其中,该检测装置包括:
[0014]文件获取模块,用于获取ACL规则文件;
[0015]信息提取模块,用于提取所述ACL规则文件中的网络地址信息或端口信息,所述网络地址信息包括源网络地址和目的网络地址,所述端口信息包括源端口和目的端口 ;
[0016]判断模块,用于判断所述网络地址信息或端口信息是否符合预设条件;
[0017]操作模块,用于在所述网络地址信息或端口信息符合预设条件,判定所述ACL规则文件为冗余ACL规则文件。
[0018]本申请实施例采用的上述至少一个技术方案能够达到以下有益效果:
[0019]本申请实施例中,在获取ACL规则文件时,能够自动将其中的网络地址信息或端口信息与预设条件进行比对,从而快速、可靠的判断出该ACL规则文件是否为冗余ACL规则文件,便于后续删除冗余ACL规则文件。
【附图说明】
[0020]此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
[0021]图1为本申请第一实施例提供的冗余ACL检测方法的过程。
[0022]图2为本申请第二实施例提供的冗余ACL检测方法的过程。
[0023]图3为本申请第三实施例提供的冗余ACL检测方法的过程。
[0024]图4为本申请第四实施例提供的冗余ACL检测方法的过程。
[0025]图5为本申请第五实施例提供的冗余ACL检测方法的过程。
[0026]图6为本申请实施例提供的冗余ACL检测装置的结构示意图。
【具体实施方式】
[0027]为使本申请的目的、技术方案和优点更加清楚,下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0028]现有通过人工申报方式来判定冗余ACL规则文件的过程中,存在着可靠性差的问题,本申请实施例提供一种解决前述问题的冗余ACL规则文件的检测方法,便于后续精确、及时地删除冗余ACL规则文件。以下结合附图详细描述本方法。
[0029]图1为本申请第一实施例中冗余ACL规则文件检测方法的过程,其包括如下步骤:
[0030]S20、获取ACL规则文件。
[0031]为便于对ACL规则文件进行管理,业内通常将针对某个文件系统的ACL规则文件全部存储在一个ACL规则文件中心,该ACL规则文件中心位于该文件系统所在的本地服务器或者可远程访问的服务器之中,在此不做赘述。
[0032]本申请实施例中,从ACL规则文件中心抽取一条ACL规则文件,通过后续步骤判断该ACL规则文件是否为冗余ACL规则文件。
[0033]S40a、提取ACL规则文件中的网络地址信息。
[0034]以类型做区分,ACL规则文件目前可分为:标准访问控制列表和扩展访问控制列表。
[0035]在其为标准访问控制列表时,ACL规则文件包括网络地址信息,通过对网络地址信息进行配置,从而过滤特定网络地址的数据包,以明确用户对网络资源的操作权限;在其为扩展访问控制列表时,ACL规则文件除了前述网络地址信息,还包括如下信息:端口信息以及动作信息,相对于标准访问控制列表,扩展访问控制列表还可通过配置端口信息以及动作信息来调整用户对网络资源的操作权限。
[0036]本申请实施例中,网络地址信息包括源网络地址和目的网络地址,ACL规则文件所针对的网络环境是基于互联网协议,源网络地址为用户执行操作行为过程中所用设备的互联网协议IP地址,目的网络地址为前述操作行为所针对的、同时也是ACL规则文件所应用的网络资源所在的IP地址。
[0037]当然,若ACL规则文件所针对的网络环境是基于自建局域网,源网络地址和目的网络地址可为用户自定义类型,在此不做赘述。
[0038]S60a、判断网络地址信息是否符合预设条件,预设条件包括:源网络地址或目的网络地址无法访问,若是,执行步骤S82 ;若否,执行步骤S84。
[0039]当前,业内已有多种方式能够实现判定源网络地址和目的网络地址是否能够访问,例如通过网络诊断工具Ping、网络扫描工具ZMap、Nmap来扫描源网络地址和目的网络地址,均可以确定源网络地址和目的网络地址是否能够访问。
[0040]以调用Ping来诊断目的网络地址为例,若给目的网络地址发送一个数据包后,但返回信息为数据包传输失败,则可说明目的网络地址无法访问。
[0041]S82、判定ACL规则文件为冗余ACL规则文件。
[0042]S84、判定ACL规则文件为正常ACL规则文件。
[0043]若源网络地址无法访问,则表明用户执行操作行为所使用的设备并未联网,用户通过该设备自然无法操作位于目的网络地址的资源;同理,若目的网络地址无法访问,则表明目的资源未联网,用户自然无法操作目的资源。
[0044]综上,源网络地址或目的网络地址无法访问时,对应的ACL规则文件并未能实质性限定用户对目的资源的操作行为,因而将其定义为冗余ACL规则文件。
[0045]通过重复执行本申请实施例所提供的冗余ACL规则文件的检测方法,能够将ACL规则文件中心内的ACL规则文件进行逐一排查,快速、可靠的判断出ACL规则文件是冗余还是正常ACL规则文件。
[0046]后续,保留正常ACL规则文件,删除冗余ACL规则文件,提高了 ACL规则文件中心所占存储空间的利用率,有效的保护了网络资源的安全。
[0047]图2为本申请第二实施例中冗余ACL规则文件检测方法的过程,与前述实施例相比,区别在于,检测方法包括如下步骤。
[0048]S40b、提取ACL规则文件中的端口信息。
[0049]本申请实施例中,ACL规则文件为扩展ACL规则文件,端口信息包括源端口和目的端口,源端口为用户执行操作行为过程中所用设备中用来发送数据包的端口,目的端口为前述操作行为所针对的网络资源所在设备中用于接收数据包的端口。
[0050]S60b、判断端口信息是否符合预设条件,预设条件包括:源端口或目的端口为关闭状态,若是,执行步骤S82 ;若否,执行步骤S84。
[0051]当前,业内也有多种方式能够实现判定源端口和目的端口是否为关闭状态。例如,对源端口或目的端口发送测试数据包,若是有数据包返回,表明该端口处于打开状态,反之则表明其处于关闭状态。
[0052]以通过ACL规则文件来规范用户网页浏览的权限为例,若端口号为80的源端口和目的端口为关闭状态,用户根本无法完成网页浏览操作,则该ACL规则文件并未能实质性限定用户对目的资源的操作行为,因此将其定义为冗余ACL规则文件。
[0053]图3为本申请第三实施例中冗余ACL规则文件检测方法的过程,与前述实施例相比,区别在于,检测方法包括如下步骤。
[0054]S40c、提取ACL规则文件中的网络地址信息。
[0055]S60c、判断网络地址信息是否符合预设条件,预设条件包括:源网络地址或目的网络地址在预设时间范围内无流量,若是,执行步骤S82 ;若否,执行步骤S84。
[0056]当前,业内同样有多种方式能够实现判定源网络地址或目的网络地址在预设时间范围内是否有流量。例如,通过查看这两个网络地址所使用路由器的日志文件,或者直接查看这两个网络地址所在服务器内的流量日志,根据源网络地址或目的网络地址,从其中筛选出在预设时间范围内、与这两个网络地址相关的日志数据,即可判断出源网络地址或目的网络地址在预设时间范围内是否有流量。
[0057]以通过ACL规则文件来规范临时用户仅能在预设时间范围内访问内网资源为例,若源网络地址或目的网络地址在近期均无流量,可判定通过该ACL规则文件来规范的临时访问行为已经结束,则该ACL规则文件已经无存在意义,因此将其定义为冗余ACL规则文件。
[0058]图4为本申请第四实施例中冗余ACL规则文件检测方法的过程,与前述实施例相比,区别在于,检测方法包括如下步骤。
[0059]S40a、提取ACL规则文件中的网络地址信息。
[0060]S40b、提取ACL规则文件中的端口信息。
[0061]S60a、判断网络地址信息是否符合预设条件,预设条件包括:源网络地址或目的网络地址无法访问,若是,执行步骤S82 ;若否,执行步骤S60b。
[0062]S60b、判断端口信息是否符合预设条件,预设条件包括:源端口或目的端口为关闭状态,若是,执行步骤S82 ;若否,执行步骤S60c。
[0063]S60c、判断网络地址信息是否符合预设条件,预设条件包括:源网络地址或目的网络地址在预设时间范围内无流量,若是,执行步骤S82 ;若否,执行步骤S84。
[0064]本申请实施例中,通过依次执行步骤S60a、S60b及S60c来判断ACL规则文件是否为冗余ACL规则文件,提高了冗余ACL规则文件的判定精度。
[0065]值得注意的是,本申请实施例中,步骤S60a、S60b及S60c的次序并不限于上述顺序,也可根据检测效率需求仅执行其中2个步骤,例如S60a和S60b,在此不做赘述。
[0066]图5为本申请第五实施例中冗余ACL规则文件检测方法的过程,与前述第一实施例相比,区别在于,检测方法还包括位于步骤S20和步骤S60a之间的如下步骤。
[0067]S52、提取所述ACL规则文件中的动作信息。
[0068]ACL规则文件中动作信息包括有允许和禁止两种;动作信息为允许时,允许特定用户对应用该ACL规则文件的网络资源的操作行为;反之,动作信息为禁止时,禁止特定用户对应用该ACL规则文件的网络资源的操作行为。
[0069]S54、判断所述动作信息是否为允许,若是,执行步骤S56,若否,执行步骤S84。
[0070]S56、使得所述预设条件还包括:源网络地址和目的网络地址分属于预设外网和预设内网。
[0071]预设内网可指公司自建内网或公司自建内网中某个网段,预设外网则泛指预设内网之外的网段;源网络地址和目的网络地址分属于预设外网和预设内网,即源网段地址可属于预设外网或预设内网中一个,目的网段则为预设外网和预设内网中另一个,在此不做赘述。
[0072]本申请实施例中,通过自建网络地址数据库来存储所有预设内网和预设外网的网段参数,基于该数据库能够识别出:源网络地址和目的网络地址属于预设外网还是预设内网。
[0073]在动作信息为允许,源网络地址和目的网络地址分属于预设外网和预设内网时,表明该则ACL规则文件用于限定:特定用户被允许对跨网的网络资源进行操作。
[0074]由于跨网资源的操作行为是造成网络资源安全隐患的高危行为,这类ACL规则文件若形成冗余ACL规则文件,则会形成较大安全隐患。通过对前述实施例中冗余ACL规则文件中进一步筛选,得出具有安全隐患的冗余ACL规则文件,后续率先删除该类高危的冗余ACL规则文件。
[0075]当然,前述步骤S52至S56还可位于本申请第二、第三或第四实施例中,其位于与本实施例中基本一致,在此不做赘述。
[0076]图6为本申请实施例提供的冗余ACL规则文件检测装置的机构示意图,本申请实施例所提供的冗余ACL规则文件的检测装置是基于以上冗余ACL规则文件检测方法,故该装置的具体细节可参照以上检测方法,本文不再予以赘述。
[0077]前述检测装置,包括:
[0078]文件获取模块20,用于获取ACL规则文件;
[0079]信息提取模块40,用于提取所述ACL规则文件中的网络地址信息或端口信息,所述网络地址信息包括源网络地址和目的网络地址,所述端口信息包括源端口和目的端口 ;
[0080]判断模块60,用于判断所述网络地址信息或端口信息是否符合预设条件;
[0081]操作模块80,用于在所述网络地址信息或端口信息符合预设条件,判定所述ACL规则文件为冗余ACL规则文件。
[0082]本申请实施例中,预设条件包括:所述源网络地址或目的网络地址无法访问。
[0083]本申请实施例中,预设条件包括:所述源端口或目的端口为关闭状态。
[0084]本申请实施例中,预设条件包括:所述源端口或目的端口在预设时间范围内无流量。
[0085]本申请实施例中,检测装置还包括条件更新模块,用于:
[0086]提取所述ACL规则文件中的动作信息;
[0087]判断所述动作信息是否为允许;
[0088]若是,所述预设条件还包括:所述源网络地址和目的网络地址分属于预设外网和预设内网。
[0089]本申请实施例提供的冗余ACL规则文件检测装置,在获取ACL规则文件时,能够自动将其中的网络地址信息或端口信息与预设条件进行比对,从而快速、可靠的判断出该ACL规则文件是否为冗余ACL规则文件,便于后续删除冗余ACL规则文件。
[0090]本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0091]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0092]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0093]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0094]在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
[0095]内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
[0096]计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
[0097]还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
[0098]本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0099]以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
【主权项】
1.一种冗余访问控制列表ACL规则文件的检测方法,其特征在于,包括: 获取ACL规则文件; 提取所述ACL规则文件中的网络地址信息或端口信息,所述网络地址信息包括源网络地址和目的网络地址,所述端口信息包括源端口和目的端口 ; 判断所述网络地址信息或端口信息是否符合预设条件; 若是,判定所述ACL规则文件为冗余ACL规则文件。2.如权利要求1所述的检测方法,其特征在于,所述预设条件包括:所述源网络地址或目的网络地址无法访问。3.如权利要求1所述的检测方法,其特征在于,所述预设条件包括:所述源端口或目的端口为关闭状态。4.如权利要求1所述的检测方法,其特征在于,所述预设条件包括:所述源网络地址或目的网络地址在预设时间范围内无流量。5.如权利要求1所述的检测方法,其特征在于,所述预设条件包括:所述源网络地址或目的网络地址无法访问、且所述源端口或目的端口为关闭状态、且所述源网络地址或目的网络地址在预设时间范围内无流量。6.如权利要求2至5中任一项所述的检测方法,其特征在于,获取ACL规则文件之后,判断所述网络地址信息或端口信息是否符合预设条件之前,所述方法还包括: 提取所述ACL规则文件中的动作信息; 判断所述动作信息是否为允许; 若是,所述预设条件还包括:所述源网络地址和目的网络地址分属于预设外网和预设内网。7.一种冗余ACL规则文件的检测装置,其特征在于,包括: 文件获取模块,用于获取ACL规则文件; 信息提取模块,用于提取所述ACL规则文件中的网络地址信息或端口信息,所述网络地址信息包括源网络地址和目的网络地址,所述端口信息包括源端口和目的端口 ; 判断模块,用于判断所述网络地址信息或端口信息是否符合预设条件; 操作模块,用于在所述网络地址信息或端口信息符合预设条件,判定所述ACL规则文件为冗余ACL规则文件。8.如权利要求7所述的检测装置,其特征在于,所述预设条件包括:所述源网络地址或目的网络地址无法访问。9.如权利要求7所述的检测装置,其特征在于,所述预设条件包括:所述源端口或目的端口为关闭状态。10.如权利要求7所述的检测装置,其特征在于,所述预设条件包括:所述源网络地址或目的网络地址在预设时间范围内无流量。11.如权利要求7所述的检测装置,其特征在于,所述预设条件包括:所述源网络地址或目的网络地址无法访问、且所述源端口或目的端口为关闭状态、且所述源网络地址或目的网络地址在预设时间范围内无流量。12.如权利要求8至11中任一项所述的检测装置,其特征在于,所述检测装置还包括条件更新模块,用于: 提取所述ACL规则文件中的动作信息; 判断所述动作信息是否为允许; 若是,所述预设条件还包括:所述源网络地址和目的网络地址分属于预设外网和预设内网。
【文档编号】H04L12/24GK106034054SQ201510117653
【公开日】2016年10月19日
【申请日】2015年3月17日
【发明人】朱波, 郭锐, 陈发贵, 刘兴旺
【申请人】阿里巴巴集团控股有限公司