专利名称::一种端点准入防御中的报文控制方法及接入设备的制作方法
技术领域:
:本发明属于数据通信
技术领域:
,尤其涉及一种端点准入防御(EndpointAdmissionDefense,EAD)中的报文控制方法及接入设备。技术背景EAD的基本功能是通过安全客户端、安全联动设备(如交换机、路由器)、安全策略服务器以及防病毒服务器、补丁服务器的联动实现的,其基本原理如图1所示(1)用户终端试图接入网络时,首先通过安全客户端由安全联动设备(接入设备)和安全策略服务器配合进行用户身份认证,非法用户将被拒绝接入网络;(2)安全策略服务器对合法用户下发安全策略,并要求合法用户进行安全状态认证;(3)安全客户端对合法用户的补丁版本、病毒库版本等进行检测,并将安全策略^f企查的结果上报安全策略服务器;(4)安全策略服务器根据检查结果控制用户的访问权限安全状态不合格的用户将被安全联动设备隔离到隔离区,进入隔离区的用户只能访问指定的资源,例如,补丁服务器、病毒服务器、内部的FTP服务器等(通过在接入端口下发隔离访问控制列表(AccessControlList,ACL)来控制),并通过访问这些指定的资源来进行系统的修复和补丁、病毒库的升级,直到安全状态合格;联动设备提供基于身份的网络服务,此时,用户能够访问大部分网络资源(通过通过在接入端口下发安全ACL来控制)。从EAD的主要功能和基本原理可以看出,EAD将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联威胁的整体防御能力。当前EAD的实现方式,可以对用户做到精细化的管理和控制,但其缺点也比较明显对接入设备的ACL资源占用的比较多。因为当前的EAD方案下发隔离ACL或安全ACL时,是基于用户下发的,如果隔离ACL有5条规则,那么每个用户要占用5条,如果有IOO个用户上线,那么对接入设备的ACL资源消耗就是5x100=500条规则。而接入设备的硬件芯片所能支持的ACL资源有限,在每个用户都需要接入设备下发多条ACL时,其能够接入的用户数将大大减少。
发明内容本发明所要解决的技术问题是提供一种端点准入防御中的报文控制方法及接入设备,以减少对接入设备ACL资源的消耗,进而增加接入设备对用户终端的接入能力。为解决上述技术问题,本发明提供技术方案如下一种端点准入防御中的报文控制方法,包括如下步骤分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN;在上行接口配置隔离类ACL和安全类ACL,所述隔离类ACL的匹配规则为判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;对于在上行接口匹配所述隔离类ACL或者所迷安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。上述的报文控制方法,其中,还包括对于在接入端口接收到的处于隔离状态的用户的本地才艮文,丟弃该本地报文。上述的报文控制方法,其中,还包括对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。上述的报文控制方法,其中,还包括对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,丟弃该本地报文。上述的报文控制方法,其中,还包括对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为安全VLAN后转发到上行接口。上述的报文控制方法,其中,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则还将该报文送至其他的接入端口进行转发。一种端点准入防御中的接入设备,包括VLAN配置模块,用于分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN;ACL配置模块,用于在上行接口配置隔离类访问控制列表ACL和安全类ACL,所述隔离类ACL的匹配规则为判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;对应关系建立模块,用于建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;VLAN切换模块,用于对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;ACL处理模块,用于对于在上行接口匹配所述隔离类ACL或者所述安全类ACX的上行才艮文,将该上行4艮文的VLAN切换为原始VLAN后进行转发。上述的接入设备,其中,还包括第一本地报文处理模块,用于对于在接入端口接收到的处于隔离状态的用户的本地报文,丢弃该本地报文。上述的接入设备,其中,所迷VLAN切换模块还用于,对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。上述的接入设备,其中,还包括第二本地报文处理模块,用于对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,丟弃该本地报文。上述的接入设备,其中,所述VLAN切换模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或发到上行接口。上述的接入设备,其中,所述第二本地报文处理模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则将该报文送至其他的接入端口进行转发。与现有技术在接入端口针对每个用户动态下发多条ACL相比,本发明是在上行接口针对隔离VLAN和安全VLAN,静态下发隔离类ACL和安全类ACL,如此,能够节省接入设备的ACL资源,进而增加接入设备对用户终端的接入能力。图1为端点准入防御的基本原理示意图;图2为本发明实施例的端点准入防御中的报文控制方法流程图;图3为本发明实施例一的端点准入防御中的接入设备的结构示意图;图4为本发明实施例二的端点准入防御中的接入设备的结构示意图。具体实施方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明进行详细描述。本发明的关键在于,在接入设备中配置隔离VLAN和安全VLAN,并通过在上行接口针对VLAN下发隔离类ACL或者安全类ACL,来定义隔离区域和安全区域;用户报文转发时,根据用户状态对报文的VLAN进行切换,并在上行接口去匹配基于VLAN的ACL。图2为本发明实施例的端点准入防御中的报文控制方法流程图,该方法应用于EAD中的接入设备(即,安全联动设备)中,包括如下步骤步骤201:分别在接入端口和上行接口配置两个虛拟局域网(VLAN):隔离VLAN和安全VLAN;为接口配置VLAN后,接口就能够接收来自该VLAN的报文,并能够发送报文到该VLAN。本发明中,接入端口是指接入设备的用户侧端口,用户通过接入端口接入到接入设备,并通过接入设备与外部网络进行通信,或者通过接入设备与内网中的其他用户进行通信。上行接口是指接入设备的网络侧接口,用户访问外部网络的报文(上行报文)均通过该上行接口转发出去。本发明中,还将用户通口都是接入设备的接入端口。步骤202:在上行"l矣口配置隔离类ACL和安全类ACL;在接入设备的上行接口,配置基于隔离VLAN的隔离类ACL,该ACL定义隔离区域,仅允许该VLAN访问特定的有限资源;并在该上行接口配置基于安全VLAN的安全类ACL,定义该VLAN可以访问的安全区域。其中,所述隔离类ACL的匹配规则为判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;与所述隔离类ACL关联的处理策略为对于匹配的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。所述安全类ACL的匹配规则为判断报文的VLAN是否为安全VLAN,以及,才艮文的目的地址是否为允许的目的地址;与所述安全类ACL关联的处理策略为对于匹配的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。步骤203:建立用户信息与用户状态的对应关系;其中,所述用户信息包括用户VLAN、用户地址(例如,MAC地址)和用户接入端口;所述用户状态包括隔离状态和安全状态。未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态。EAD认证包括身^分认证和安全状态认证。用户终端试图接入网络时,首先进行身份认证,例如,进行基于802.1x的身份认证如果用户名或者密码错误,不能通过802.1x认证,判定该用户非法,非法用户将被拒绝接入;如果用户名和密码正确,则判定该用户合法。合法用户将被要求进行安全状态认证安全策略服务器检查用户的补丁版本、病毒库版本等是否合格,如果检查不通过,则该用户未通过安全状态认证,在对应关系中增加一个表项,表项中对应的用户状态为隔离状态;如果通过安全状态认证,则在对应关系中增加一个表项,表项中对应的用户状态为安全状态。当然,如果对应关系中已经有某个用户的表项,则还可以基于认证结果对该表项中的用户状态进行更新。例如,在接入设备中建立如下的对应关系表<table>tableseeoriginaldocumentpage10</column></row><table>步骤204:对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;在接入端口接收到用户的报文后,先判断该报文是否需要从上行接口转发,若是,则确定该报文为上行报文。对于上行报文,根据报文的源地址(例如,MAC地址)从所述对应关系中查找用户状态,如果该用户为隔离状态,则将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;如果该用户为安全状态,则将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口。步骤205:对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的在上行接口对用户的上行报文进行ACL的匹配。具体地,是将上行报文的VLAN与ACL中的VLAN进行比较,将报文的目的地址与ACL中的目的地址进行比较,如果上行报文的VLAN与某条ACL中的VLAN相同,并且该上行报文的目的地址与该条ALC中的目的地址相同,则说明该上行报文与该条ACL匹配。在上行才艮文与某条ACL匹配时,才丸行与之关联的处理策略,即将该上行l良文的VLAN切换为原始VLAN后进行转发。以上描述的是针对上行报文的处理,为进一步提高EAD系统的安全性,本发明实施例还对本地报文的处理进行了改进和优化,处理原则是只有通过安全认证的两个用户终端才能直接互访。具体如下(1)对于在接入端口接收到的处于隔离状态的用户的本地报文,直接丟弃该本i也纟艮文。(2)对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。(3)对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,直接丟弃该本地报文。(4)对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,则将该才艮文的原始VLAN切换为安全VLAN后转发到上行接口。(5)对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则将该报文送至其他的接入端口进行转发,并将该报文的原始VLAN切换为安全VLAN后转发到上行接口,。以下对实现上述方法的接入设备进行描述。参照图3,本发明实施例一的端点准入防御中的接入设备,包括VLAN配置模块、ACL配置模块、对应关系建立模块、VLAN切换模块和ACL处理模块。VLAN配置模块,用于分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN。ACL配置模块,用于在上行接口配置隔离类访问控制列表ACL和安全类ACL。在接入设备的上行接口,配置基于隔离VLAN的隔离类ACL,该ACL定义隔离区域,仅允许该VLAN访问特定的有限资源;并在该上行接口配置基于安全VLAN的安全类ACL,定义该VLAN可以访问的安全区域。其中,所述隔离类ACL的匹配规则为判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;与所述隔离类ACL关联的处理策略为对于匹配的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。所述安全类ACL的匹配规则为判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;与所述安全类ACL关联的处理策略为对于匹配的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。对应关系建立模块,用于建立用户信息与用户状态的对应关系。其中,所述用户信息包括用户VLAN、用户地址(例如,MAC地址)和用户接入端口;所述用户状态包括隔离状态和安全状态。未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态。VLAN切换模块,用于对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口。在接入端口接收到用户的报文后,先判断该报文是否需要从上行接口转发,若是,则确定该报文为上行报文。对于上行报文,根据报文的源地址(例如,MAC地址)从所述对应关系中查找用户状态,如果该用户为隔离状态,则将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;如果该用户为安全状态,则将该上行报文的原始VLAN切换为安全VLAN后转发到上行纟妻口。ACL处理模块,用于对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。在上行接口对用户的上行报文进行ACL的匹配。具体地,是将上行报文的VLAN与ACL中的VLAN进行比较,将报文的目的地址与ACL中的目的地址进行比较,如果上行报文的VLAN与某条ACL中的VLAN相同,并且该上行报文的目的地址与该条ALC中的目的地址相同,则说明该上行报文与该条ACL匹配。在上行报文与某条ACL匹配时,执行与之关联的处理策略,即参照图4,本发明实施例二的端点准入防御中的接入设备,包括VLAN配置模块、ACL配置模块、对应关系建立模块、VLAN切换模块、ACL处理模块、第一本地报文处理模块和第二本地报文处理模块。VLAN配置模块,用于分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN;ACL配置模块,用于在上行接口配置隔离类访问控制列表ACL和安全类ACL,所述隔离类ACL的匹配规则为判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;对应关系建立;^莫块,用于建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;VLAN切换模块,用于对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;ACL处理模块,用于对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发;第一本地报文处理模块,用于对于在接入端口接收到的处于隔离状态的用户的本地^良文,丢弃该本地报文;所述VLAN切换模块还用于,对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口;第二本地报文处理模块,用于对于在接入端口接收到的处于安全状态的用则将该本地报文送至对应的接入端口进行转发,否则,丢弃该本地报文;所述VLAN切换模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为安全VLAN后转发到上行接口。所述第二本地报文处理模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则将该报文送至其他的接入端口进行转发。与现有技术在接入端口针对每个用户动态下发多条ACL相比,本发明是在上行接口针对隔离VLAN和安全VLAN,静态下发隔离类ACL和安全类ACL,如此,能够节省接入设备的ACL资源,进而增加接入设备对用户终端的接入能力。最后应当说明的是,以上实施例仅用以说明本发明的技术方案而非限制,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神范围,其均应涵盖在本发明的权利要求范围当中。权利要求1.一种端点准入防御中的报文控制方法,其特征在于,包括如下步骤分别在接入端口和上行接口配置两个虚拟局域网VLAN隔离VLAN和安全VLAN;在上行接口配置隔离类访问控制列表ACL和安全类ACL,所述隔离类ACL的匹配规则为判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。2.如权利要求1所述的报文控制方法,其特征在于,还包括对于在接入端口接收到的处于隔离状态的用户的本地报文,丢弃该本地报文。3.如权利要求1或2所述的报文控制方法,其特征在于,还包括对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。4.如权利要求1所述的报文控制方法,其特征在于,还包括对于在接入端口接收到的处于安全状态的用户的本地报文,判断该报文的目的地址对应的用户是否处于安全状态,若是,则将该本地报文送至对应的接入端口进行转发,否则,丢弃该本地报文。5.如权利要求1或4所述的报文控制方法,其特征在于,还包括对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为安全VLAN后转发到上行接口。6.如权利要求5所述的报文控制方法,其特征在于对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则还将该报文送至其他的接入端口进行转发。7.—种端点准入防御中的接入设备,其特征在于,包括VLAN配置模块,用于分别在接入端口和上行接口配置两个VLAN:隔离VLAN和安全VLAN;ACL配置模块,用于在上行接口配置隔离类访问控制列表ACL和安全类ACL,所述隔离类ACL的匹配规则为判断报文的VLAN是否为隔离VLAN,以及,报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为判断报文的VLAN是否为安全VLAN,以及,报文的目的地址是否为允许的目的地址;对应关系建立模块,用于建立用户信息与用户状态的对应关系,其中,未通过安全状态认证的用户为隔离状态,通过安全状态认证的用户为安全状态;VLAN切换模块,用于对于在接入端口接收到的处于隔离状态的用户的上行报文,将该上行报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的处于安全状态的用户的上行报文,将该上行报文的原始VLAN切换为安全VLAN后转发到上行接口;ACL处理模块,用于对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该上行报文的VLAN切换为原始VLAN后进行转发。8.如权利要求7所述的接入设备,其特征在于,还包括第一本地报文处理模块,用于对于在接入端口接收到的处于隔离状态的用户的本地报文,丢弃该本地报文。9.如权利要求7或8所述的接入设备,其特征在于所述VLAN切换模块还用于,对于在接入端口接收到的处于隔离状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,则将该报文的原始VLAN切换为隔离VLAN后转发到上行接口。10.如权利要求7所述的接入设备,其特征在于,还包括第二本地报文处理模块,用于对于在接入端口接收到的处于安全状态的用则将该本地才艮文送至对应的接入端口进行转发,否则,丟弃该本地报文。11.如权利要求7或IO所述的接入设备,其特征在于所述VLAN切换模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为未知地址,或者,目的地址为广播地址,12.如权利要求11所述的接入设备,其特征在于所述第二本地报文处理模块还用于,对于在接入端口接收到的处于安全状态的用户的报文,如果该报文的目的地址为广播地址,则将该报文送至其他的接入端口进行转发。全文摘要本发明提供一种端点准入防御中的报文控制方法及接入设备。方法包括在接入端口和上行接口配置隔离VLAN和安全VLAN;在上行接口配置隔离类ACL和安全类ACL;建立用户信息与用户状态的对应关系;对于在接入端口接收到的隔离状态用户的上行报文,将该报文的原始VLAN切换为隔离VLAN后转发到上行接口;对于在接入端口接收到的安全状态用户的上行报文,将该报文的原始VLAN切换为安全VLAN后转发到上行接口;对于在上行接口匹配所述隔离类ACL或者所述安全类ACL的上行报文,将该报文的VLAN切换为原始VLAN后进行转发。依照本发明,能够减少对接入设备ACL资源的消耗,进而增加接入设备对用户终端的接入能力。文档编号H04L12/56GK101631078SQ20091009172公开日2010年1月20日申请日期2009年8月24日优先权日2009年8月24日发明者王君菠申请人:杭州华三通信技术有限公司