【技术实现步骤摘要】
【国外来华专利技术】动态创建访问控制列表的方法和系统相关申请及优先权本专利申请要求于2016年3月21日提交的美国专利申请No.15/075,458的优先权。该优先权申请的公开通过引用被完全并入本文。
技术介绍
在网络中,网络设备(如路由器,交换机和防火墙)利用访问控制列表(ACL)来许可和限制数据流进和流出网络接口。ACL指定哪些用户或系统过程可以被授予对对象的访问权限,以及对给定对象允许的操作。当在接口上配置ACL时,网络设备会分析经过该接口的数据,将该数据与ACL中描述的标准进行比较,并且许可数据流或者禁止该数据流。通常可以将ACL配置为,通过限制用户和设备对非期望的地址和/或端口的访问和非期望的地址和/或端口对用户和设备的访问来控制入站和出站流量。具体来说,尽管其他设备可以过滤数据包,但是一般在路由器接口处,ACL通过控制路由数据包是被转发还是被阻挡来过滤网络流量。ACL标准可以是流量的源地址或流量的目的地地址、目标端口,或协议或这些中的一些组合。一般地,互联网协议(IP)地址充当在基于IP的网络上的源设备的标识符。传统的访问控制系统使用手动维护的和/或配置的ACL。但是,考虑到大...
【技术保护点】
1.一种用于动态创建网络访问控制列表的方法,其特征在于,包括:由处理器:接收对访问控制列表(ACL)的请求;和响应于接收对所述ACL的所述请求:从第一数据源接收多个资源描述,其中所述多个资源描述中的每一个与网络中的多个计算设备相关联,并且其中每个资源描述包括以下中的一个或多个:与计算设备的互联网协议(IP)定义相对应的信息,与所述计算设备的期望的访问相对应的信息,以及与所述计算设备的被许可的访问相对应的信息,从第二数据源,接收用于所述网络的策略执行点(PEP)图,以及使用所述多个资源描述和所述PEP图来生成所述ACL,其中所述ACL包括用于控制通过所述网络的PEP的网络流量...
【技术特征摘要】
【国外来华专利技术】2016.03.21 US 15/075,4581.一种用于动态创建网络访问控制列表的方法,其特征在于,包括:由处理器:接收对访问控制列表(ACL)的请求;和响应于接收对所述ACL的所述请求:从第一数据源接收多个资源描述,其中所述多个资源描述中的每一个与网络中的多个计算设备相关联,并且其中每个资源描述包括以下中的一个或多个:与计算设备的互联网协议(IP)定义相对应的信息,与所述计算设备的期望的访问相对应的信息,以及与所述计算设备的被许可的访问相对应的信息,从第二数据源,接收用于所述网络的策略执行点(PEP)图,以及使用所述多个资源描述和所述PEP图来生成所述ACL,其中所述ACL包括用于控制通过所述网络的PEP的网络流量的至少一个策略,其中所述网络包括一个或多个PEP。2.根据权利要求1所述的方法,其特征在于,接收对所述ACL的所述请求包括,从以下中的一个或多个接收所述请求:所述网络的PEP,其中所述PEP从所述网络中的所述多个计算设备的一个或多个端口接收通信并将所述通信发送到所述多个计算设备的所述一个或多个端口;所述网络中的计算设备;或与用户相关联的计算设备。3.根据权利要求2所述的方法,其特征在于,接收对所述ACL的所述请求包括,响应于在所述PEP处从第一计算设备接收将被递送到第二计算设备的数据包,从所述网络的所述PEP接收所述请求。4.根据权利要求3所述的方法,其特征在于,还包括:在所述PEP,接收所述ACL;在所述PEP,解析所述ACL,以确定所述至少一个策略是否允许将所述数据包递送到所述第二计算设备;以及在所述PEP,使用所述解析的结果来决定是否阻挡或递送所述数据包到所述第二计算设备,并且作为响应,阻挡或递送所述数据包。5.根据权利要求1所述的方法,其特征在于,使用所述多个资源描述和所述策略执行点图来生成所述ACL包括:识别所述网络的所述计算设备之间的多个路径,其中所述多个路径中的每一个包括在所述PEP图上的至少一个PEP;使用所述资源描述来放弃所述多个路径的子集,以生成PEP向量;以及使用所述策略执行点向量来生成ACL。6.根据权利要求5所述的方法,其特征在于,使用所述资源描述放弃所述多个路径的子集包括,针对所述多个路径中的每一个:为所述多个路径中的每一个识别源计算设备;为所述多个路径中的每一个识别目的地计算设备;使用与所述源计算设备的期望的访问相对应的信息和与所述目的地计算设备的被许可的访问相对应的信息,来确定网络流量在路径上是否被允许;以及如果网络流量不被允许,则放弃所述路径。7.根据权利要求1所述的方法,其特征在于,对应于所述计算设备的所述IP定义的所述信息包括对数据源的查询,所述查询针对以下中的一个或多个:所述计算设备的IP地址、域名或MAC地址。8.根据权利要求1所述的方法,其特征在于,与所述计算设备的期望的访问相对应的所述信息包括以下中的一个或多个:所述计算装置希望连接的一个或多个目的地计算设备的识别信息;所述计算设备希望连接的所述一个或多个目的地计算设备的一个或多个服务的识别信息;与所述一个或多个服务相对应的被许可的协议信息;或与所述一个或多个服务相对应的被许可的端口信息。9.根据权利要求1所述的方法,其特征在于,对应于所述计算设备的被许可的访问的所述信息包括以下中的一个或多个:由所述计算设备提供的一个或多个服务的识别信息;所述计算设备授予访问许可的一个或多个源计算设备的识别信息;对应于所述一个或多个所提供的服务的被许可的协议信息;对应于所述一个或多个提供的服务的被许可的端口信息;或对于所述一个或多个提供的服务中的每一个的时限。10.根据权利要求3所述的方法,其特征在于,对所述ACL的请求还包括,来自所述数据包的信息,并且其中,来自所述数据包的所述信息包括以下中的一个或多个:源计算设备的IP地址;目的地计算设备的IP地址;MAC地址;时间戳;PEP的标识符;协议信息;源计算设备端口信息;或目的地计算设备端口信息。11.一种用于动态创建网络访问控制列表的系统,其特征在于,包括:多个计算设备;网络多个点策略执行点(PEP);经由所述网络与所述多个计算设备通信的处理器;以及包含编程指令的计算机可读介质,所述编程指令被配置为当由所...
【专利技术属性】
技术研发人员:维嘉斯拉夫·克利莫瓦,丹尼尔·沃森,
申请(专利权)人:谷歌有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。