一种封堵IP地址的方法及装置与流程

一种封堵ip地址的方法及装置
技术领域
1.本发明涉及通信技术领域，尤其涉及一种封堵ip地址的方法及装置。


背景技术：

2.目前对于产生异常流量的ip地址的处理手段是在安全监测系统检测到产生异常流量的ip地址且确定归属省之后，需要省网络运维人员快速通知地市人员确定该ip地址是否归属本地市，如果归属本地市，则需要本地市运维人员通过人工方式，在出口路由器上配置空路由或是在归属bng设备上关闭子接口等操作，实现产生异常流量的ip地址的流量封堵。
3.现有方案的缺陷如下：在收到攻击ip地址信息后，运营商省公司统一传达信息给各个地市需要时间沟通，而且地市运维人员定位产生异常流量的ip地址用户归属时间长，需要人工逐一登陆核心层设备、汇聚层设备搜索路由下一跳信息，最终确定归属并定位到网关bng设备，耗时长、效率低。


技术实现要素：

4.本发明提供一种自动封堵ip地址的方法及装置，用以解决现有技术中封堵ip地址耗时长和效率低的缺陷，实现对产生异常流量的ip地址的快速定位以及高效的封堵和/或解封堵，从而达到降本增效。
5.本发明提供一种封堵ip地址的方法，包括：
6.确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；根据所述子接口，对所述bng部署流量封堵策略；
7.基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作。
8.在一个实施例中，所述对所述ip地址执行封堵和/或解封堵操作包括：
9.基于所述流量封堵策略查询所述子接口下的访问控制列表acl，在所述acl下对所述ip地址添加不允许访问的控制规则。
10.在一个实施例中，所述对所述ip地址执行封堵和/或解封堵操作包括：
11.基于所述流量封堵策略查询所述子接口下的访问控制列表acl，在所述acl下对所述ip地址删除不允许访问的控制规则。
12.在一个实施例中，所述对所述bng部署流量封堵策略包括：
13.在所述bng不存在流量封堵策略的情况下，为所述bng创建所述流量封堵策略；
14.所述创建所述流量封堵策略包括：
15.为所述bng创建流分类与流行为；并且
16.在所述流分类下新增所述acl。
17.在一个实施例中，所述确定产生异常流量的ip地址对应的宽带网络网关bng的子接口包括；
18.通过骨干路由器br确定所述ip地址对应的归属地；
19.通过所述归属地的出口路由器，获取所述ip地址对应的路由下一跳信息；
20.根据所述路由下一跳信息确定所述ip地址对应的所述bng的子接口。
21.在一个实施例中，所述确定所述ip地址对应的归属地包括：
22.基于边界网关协议bgp属性，根据所述ip地址对应的路由信息确定所述归属地的自治系统as号码；
23.根据所述as号码确定所述ip地址和所述归属地。
24.本发明还提供一种封堵ip地址的装置，包括：
25.确定单元：用于确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；
26.策略单元：用于根据所述子接口，对所述bng部署流量封堵策略；
27.执行单元：用于基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作。
28.在一个实施例中，所述策略单元，还用于基于所述流量封堵策略查询所述子接口下的访问控制列表acl，在所述acl下对所述ip地址添加不允许访问的控制规则。
29.本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述封堵ip地址的方法的步骤。
30.本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述封堵ip地址的方法的步骤。
31.本发明提供的一种封堵ip地址的方法及装置，通过确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；根据所述子接口，对所述bng部署流量封堵策略；基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作，实现对产生异常流量的ip地址的快速定位以及高效的封堵和/或解封堵，从而达到降本增效。
附图说明
32.为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
33.图1是本发明提供的封堵ip地址的方法的流程示意图；
34.图2是本发明提供的封堵ip地址的装置的结构示意图；
35.图3是本发明提供的电子设备的结构示意图。
具体实施方式
36.为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
37.图1是本发明提供的封堵ip地址的方法的流程示意图。参照图1，本发明提供的封堵ip地址的方法包括：
38.步骤110、确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；
39.步骤120、根据所述子接口，对所述bng部署流量封堵策略；
40.步骤130、基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作。
41.本发明提供的封堵ip地址的方法的执行主体为ip网络系统，可以是一个小区，一个城镇，一个城市或者一个省等范围内的计算机通信网，本发明不作具体限定。
42.下面以一个省范围内的ip网执行本发明提供的封堵ip地址的方法为例，详细说明本发明的技术方案。
43.需要说明的是，ip地址(internet protocol address，互联网协议地址)是一种统一的地址格式，通过对ip地址的管理，网络管理员可以及时了解网络中ip地址的接入情况以及利用率，以便于进一步规划网络。其中，互联网协议为计算机网络相互连接进行通信而设计的协议。bng(broadband network gateway，宽带网络网关)位于网络的边缘，是宽带接入网与骨干网之间的桥梁，提供宽带接入服务，实现多种业务的汇聚与转发，满足不同用户对传输容量和带宽利用率的要求。
44.封堵ip地址是指通过使用网络技术使某ip地址丧失与其它ip通讯的功能，对于互联网络来说，指无法上网、无法与外界通讯。这通常是网络服务提供商用于针对网络中非法用户或非法攻击行为的一种操作方式。
45.具体地，在步骤110中，首先确定产生异常流量的ip地址的归属bng设备。其中，产生异常流量的ip地址可以是一个，也可以多个，对应的归属bng设备可以是一个，也可以是多个。
46.在步骤120中，进一步确认归属bng设备中上述ip地址所对应的子接口信息，汇总上述ip地址、归属bng设备以及子接口信息。根据汇总信息对归属bng设备进行批量的策略部署。
47.在步骤130中，登录bng设备，识别bng设备中的流量封堵策略。基于流量封堵策略，对bng设备发送操作指令，对产生异常流量的ip地址进行封堵操作和/或解封堵操作。其中，一个bng设备可能存在一个或多个产生异常流量的ip地址，一个bng设备上可以进行封堵操作或解封堵操作，也可以同时执行封堵操作和解封堵操作。
48.本发明提供的封堵ip地址的方法，通过确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；根据所述子接口，对所述bng部署流量封堵策略；基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作，实现对产生异常流量的ip地址的快速定位以及高效的封堵和/或解封堵，从而达到降本增效。
49.在一个实施例中，所述对所述ip地址执行封堵和/或解封堵操作包括：
50.基于所述流量封堵策略查询所述子接口下的访问控制列表acl，在所述acl下对所述ip地址添加不允许访问的控制规则。
51.需要说明的是，acl(access control lists，访问控制列表)是一种基于包过滤的访问控制技术，它可以根据设定的条件对接口上的数据包进行过滤，允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机，借助于访问控制列表，可以有效地控制用户对网络的访问，从而最大程度地保障网络安全。
52.具体的，基于流量封堵策略，归属bng设备接收封堵操作命令，则在产生异常流量的ip地址对应的子接口下，通过流量封堵策略查到流分类下匹配的访问控制列表acl，通过
在acl下对ip地址添加不允许访问的控制规则，完成ip地址的封堵。其中，可以批量对ip地址添加不允许访问的控制规则。封堵操作完成后，输出封堵操作记录信息。
53.进一步地，在一个实施例中，所述对所述bng部署流量封堵策略包括：
54.基于所述流量封堵策略查询所述子接口下的访问控制列表acl，在所述acl下对所述ip地址删除不允许访问的控制规则。
55.具体的，基于流量封堵策略，归属bng设备接收解封堵操作命令，则在产生异常流量的ip地址对应的子接口下，通过流量封堵策略查到流分类下匹配的访问控制列表acl，在acl下对ip地址添加不允许访问的控制规则，完成ip地址的解封堵。其中，可以对ip地址批量删除不允许访问的控制规则。解封堵操作完成后，输出解封堵操作记录信息。
56.本发明提供的封堵ip地址的方法，通过与bng设备信息交互，基于流量封堵策略，在子接口下对ip地址进行访问控制列表修改，快速实现近源封堵及解封堵任务，并通过输出操作记录信息供后续安全审计。
57.在一个实施例中，所述对所述bng部署流量封堵策略包括：
58.在所述bng不存在流量封堵策略的情况下，为所述bng创建所述流量封堵策略；所述创建所述流量封堵策略包括：为所述bng创建流分类与流行为；并且在所述流分类下新增所述acl。
59.需要说明的是，流量封堵策略(traffic policy)分为以下3部分：
60.(1)流分类(classifier)模板：定义流量类型。一个classifier可以配置一条或多条if-match语句，if-match语句中可以引用acl规则。不同的classifier模板可以应用相同的acl规则。一个acl规则可以配置一个或多个rule语句；
61.(2)流动作(behavior)模板：指用于定义针对该类流量可实施的流动作。一个behavior可以定义一个或多个动作。
62.(3)流量封堵策略(traffic policy)模板：将流分类classifier和流动作behavior关联，成为一个classifier&behavior对。当traffic policy模板设置完毕之后，需要将traffic policy模板应用到接口上才能使策略生效。
63.在一个具体的实施例中，确定归属bng设备以及ip地址对应的子接口信息之后，汇总所有归属bng设备以及子接口信息，如下表所示：
[0064][0065]
以bng设备a为例，登陆bng设备a，识别设备a是否有封堵的流量策略；
[0066]
如果不存在封堵的流量封堵策略，则自动创建流量封堵策略；
[0067]
如果存在封堵的流量策略，则与bng设备a实现信息交互，控制完成产生异常流量的ip地址的封堵和/或解封堵操作；
[0068]
如果是封堵命令，则在产生异常流量的ip地址对应的子接口下，通过流策略查到
流分类下匹配的访问控制列表acl，在acl下对产生异常流量的ip地址(1.1.1.2和1.1.1.3)进行批量添加不允许访问的控制规则；
[0069]
如果是解封堵命令，则在产生异常流量的ip地址对应的子接口下，对流分类下匹配的访问控制列表acl删除产生异常流量的ip地址(1.1.1.2和1.1.1.3)不允许访问的控制规则。
[0070]
输出封堵和/或解封的操作记录信息。
[0071]
在一个实施例中，所述确定产生异常流量的ip地址对应的宽带网络网关bng的子接口包括；
[0072]
通过骨干路由器br确定所述ip地址对应的归属地；通过所述归属地的出口路由器，获取所述ip地址对应的路由下一跳信息；根据所述路由下一跳信息确定所述ip地址对应的所述bng的子接口。
[0073]
需要说明的是，br(backbone router，骨干路由器)是指至少有一个接口是和骨干区域相连的路由器。路由器是网络数据的中转机构，路由器的两侧是两个不同的网络。当终端要发送数据到路由器网络以外的地方时，就需要发给路由下一跳信息，实际上是要发给下一个网关。
[0074]
具体地，自动登录省网br设备，确定产生异常流量的ip地址，进一步确认ip地址的路由归属地信息；分别登录到归属地的出口路由器，并进一步根据异常流量ip路由下一跳信息，最终寻径到归属bng设备，确认所在子接口信息。
[0075]
本发明提供的封堵ip地址的方法，通过对ip地址在线登录设备自动寻径的方案，避免了利用资料信息查询定位不准确的弊端，同时基于路由信息下一跳以及bgp路由属性的识别，快速判断归属地市，批量、高效修改设备封堵策略。
[0076]
在一个实施例中，所述确定所述ip地址对应的归属地包括：
[0077]
基于边界网关协议bgp属性，根据所述ip地址对应的路由信息确定所述归属地的自治系统as号码；根据所述as号码确定所述ip地址和所述归属地。
[0078]
需要说明的是，as(autonomous system，自治系统)指使用统一内部路由协议的一组网络。如果成员单位的网络路由器采用bgp(border gateway protocol，边界网关协议)，就可以申请as号码，每个自治系统的as号码均是唯一的。一般如果该单位的网络规模比较大或者将来会发展成较大规模的网络，而且有多个出口，建议建立成一个自治系统，这样就需要as号码标识独立的自治系统。如果网络规模较小，或者规模较为固定，而且只有一个出口，可采用静态路由或其它路由协议，这样就不需要as号码。在同一个自治系统内，使用相同内部路由协议，自治系统间使用外部路由协议(通常是bgp协议)。bgp(border gateway protocol，边界网关协议)用于自治系统as之间动态交换路由信息的路由协议。
[0079]
具体地，通过查看每条路由信息的bgp属性，确认ip地址对应的路由信息是否存在省内地市的as号。如果存在本省内归属地市as号，则记录该ip地址和归属地市；如果不存在本省内归属地市as号，输出无需封堵的操作记录信息。
[0080]
本发明提供的封堵ip地址的方法，通过对ip地址在线登录设备自动寻径的方案，避免了利用资料信息查询定位不准确的弊端，同时基于路由信息下一跳以及bgp路由属性的识别，快速判断归属地市，批量、高效修改设备封堵策略。
[0081]
本发明还提供一种封堵ip地址的装置，该装置与上文描述的封堵ip地址的方法可
相互对应参照。
[0082]
图2为本发明提供的封堵ip地址的装置的结构示意图，如图2所示，该装置包括：
[0083]
确定单元210：用于确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；
[0084]
策略单元220：用于根据所述子接口，对所述bng部署流量封堵策略；
[0085]
执行单元230：用于基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作。
[0086]
本发明提供的封堵ip地址的装置，通过确定单元210确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；策略单元220根据所述子接口，对所述bng部署流量封堵策略；基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作，利用自动化手段处理产生异常流量的ip地址，实现对产生异常流量的ip地址的快速定位以及高效的封堵和/或解封堵，从而达到降本增效。
[0087]
在一个实施例中，所述策略单元具体用于：
[0088]
基于所述流量封堵策略查询所述子接口下的访问控制列表acl，在所述acl下对所述ip地址添加不允许访问的控制规则。
[0089]
在一个实施例中，所述策略单元还具体用于：
[0090]
基于所述流量封堵策略查询所述子接口下的访问控制列表acl，在所述acl下对所述ip地址删除不允许访问的控制规则。
[0091]
在一个实施例中，所述确定单元具体用于：
[0092]
通过骨干路由器br确定所述ip地址对应的归属地；
[0093]
通过所述归属地的出口路由器，获取所述ip地址对应的路由下一跳信息；
[0094]
根据所述路由下一跳信息确定所述ip地址对应的所述bng的子接口。
[0095]
在一个实施例中，所述确定单元还具体用于：
[0096]
基于边界网关协议bgp属性，根据所述ip地址对应的路由信息确定所述归属地的自治系统as号码；
[0097]
根据所述as号码确定所述ip地址和所述归属地。
[0098]
图3示例了一种电子设备的实体结构示意图，如图3所示，该电子设备可以包括：处理器(processor)310、通信接口(communication interface)320、存储器(memory)330和通信总线(bus)340，其中，处理器310，通信接口320，存储器330通过通信总线340完成相互间的通信。处理器310可以调用存储器330中的逻辑指令，以执行封堵ip地址的方法，例如包括：
[0099]
确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；根据所述子接口，对所述bng部署流量封堵策略；
[0100]
基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作。
[0101]
此外，上述的存储器330中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施
例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0102]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的封堵ip地址的方法，例如包括：
[0103]
确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；根据所述子接口，对所述bng部署流量封堵策略；
[0104]
基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作。
[0105]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法实施例提供的封堵ip地址方法，例如包括：
[0106]
确定产生异常流量的ip地址对应的宽带网络网关bng的子接口；根据所述子接口，对所述bng部署流量封堵策略；
[0107]
基于所述流量封堵策略，对所述ip地址执行封堵和/或解封堵操作。
[0108]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0109]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0110]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。