本发明专利技术涉及网络技术领域,特别涉及网络访问控制方法、系统、设备和介质。方法包括:获取负载均衡实例信息;确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;基于该第二防火墙规则的源IP网段生成路由表,在该路由表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作;接收数据;查询该路由表并执行相应的路由表动作。解决防火墙软件性能不高的技术问题。题。题。
【技术实现步骤摘要】
网络访问控制方法、系统、设备和介质
[0001]本专利技术涉及网络
,特别涉及网络访问控制方法、系统、设备和介质。
技术介绍
[0002]防火墙是网络中常见的安全防护技术,可以有效地过滤外部的非法攻击流量保证业务的正常工作。通常,防火墙需要在多个维度设置防护规则,例如,需要给予IP(Internet Protocol,网际互连协议)类型和协议类型设置精确匹配;需要给予端口设置端口范围设置匹配;需要基于源IP地址设置最长掩码匹配。这样,由于需要匹配的规则多且严格,导致的防火墙软件性能都不高,无法满足快速发展的网络需求。
技术实现思路
[0003]本专利技术的目的在于提供网络访问控制方法、系统、设备和介质,解决防火墙软件性能不高的技术问题。
[0004]本专利技术的实施方式公开了一种网络访问控制方法,用于电子设备,该方法包括:
[0005]获取负载均衡实例信息;
[0006]确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;
[0007]在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;
[0008]基于该第二防火墙规则的源IP网段生成路由表,在该路由表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作;
[0009]接收数据;
[0010]查询该路由表并执行相应的路由表动作。
[0011]可选地,在第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则,还包括:
[0012]该第一防火墙规则的协议为UDP或者TCP的情况下,确定该第一防火墙规则中,与负载均衡实例信息中的UDP或者TCP的端口信息匹配的第三防火墙规则;
[0013]在该第三防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则。
[0014]可选地,路由表使用最长掩码匹配。
[0015]本专利技术的实施方式公开了一种网络访问控制系统,该系统包括:
[0016]获取模块,用于获取负载均衡实例信息;
[0017]第一确定模块,用于确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;
[0018]第二确定模块,用于在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;
[0019]路由表生成模块,用于基于该第二防火墙规则的源IP网段生成路由表,在该路由
表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作;
[0020]接收模块,用于接收数据;
[0021]路由表执行模块,查询该路由表并执行相应的路由表动作。
[0022]本专利技术的实施方式公开了一种网络访问控制设备,该设备包括存储有计算机可执行指令的存储器和处理器,当该指令被该处理器执行时,使得该设备实施任一根据本专利技术的实施方式的网络访问控制方法。
[0023]本专利技术的实施方式公开了一种计算机存储介质,在该计算机存储介质上存储有指令,当该指令在计算机上运行时,使得该计算机执行任一根据本专利技术的实施方式的网络访问控制方法。
[0024]本专利技术实施方式与现有技术相比,主要区别及其效果在于:
[0025]在本专利技术中,确定与该负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;在该第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;基于该第二防火墙规则的源IP网段生成路由表,在该路由表中,源IP网段对应的路由表动作为该源IP网段对应的第二防火墙规则的动作。由于负载均衡实例不会为与其负载均衡策略中IP类型、协议类型、端口信息不匹配的请求服务,因此可以筛选掉防火墙中与负载均衡中IP类型、协议类型、端口信息不匹配的防火墙规则。并且IP网段之间的关系只可能是包含或者不相交。这样,对于任意两个防火墙规则a和b,假设规则a的优先级高于规则b的优先级,则包括以下三种情况:情况1:规则a的源IP网段包含规则b的源IP网段,则可以丢弃规则b;情况2:规则a的源IP网段与规则b的源IP网段不相交,则保留两个规则;情况3:规则b的源IP网段包含规则a的源IP网段,但不相等,则保留两个规则。因此,对于低优先级规则,如果有高优先级规则的IP网段包含了该低优先级规则的IP网段,则丢弃该低优先级规则,否则保留。简化防火墙规则,提高防火墙性能。并且基于路由表实现防火墙规则,只需要根据报文的源IP查询防火墙路由表即可,进一步提高防火墙性能。
[0026]在本专利技术中,路由表使用最长掩码匹配。对于任意两个防火墙规则a和b,假设规则a的优先级高于规则b中优先级,如果规则b的源IP网段包含规则a的源IP网段,但不相等,则保留两个规则,这种情况下规则a中的掩码长度是大于规则b中的掩码长度的,所以路由表可以基于掩码长度判断优先级。
附图说明
[0027]图1A示出根据本申请的实施例的防火墙和负载均衡的示意图。
[0028]图1B示出根据本申请的实施例的在负载均衡场景中实现防火墙的示意图。
[0029]图2示出根据本申请的实施例的网络访问控制方法的流程图。
[0030]图3示出根据本申请的实施例的网络访问控制方法的步骤图。
[0031]图4示出根据本申请的实施例的网络访问控制系统的框图。
[0032]图5示出根据本申请的实施例的网络访问控制设备的框图。
具体实施方式
[0033]下面结合具体实施例和附图对本申请做进一步说明。可以理解的是,此处描述的具体实施例仅仅是为了解释本申请,而非对本申请的限定。此外,为了便于描述,附图中仅
示出了与本申请相关的部分而非全部的结构或过程。应注意的是,在本说明书中,相似的标号和字母在下面的附图中表示类似项。
[0034]应当理解的是,虽然在本文中可能使用了术语“第一”、“第二”等等来描述各个特征,但是这些特征不应当受这些术语限制。使用这些术语仅仅是为了进行区分,而不能理解为指示或暗示相对重要性。举例来说,在不背离示例性实施例的范围的情况下,第一特征可以被称为第二特征,并且类似地第二特征可以被称为第一特征。
[0035]在本申请的描述中,还需要说明的是,除非另有明确的规定和限定,术语“设置”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本实施例中的具体含义。
[0036]本申请的说明性实施例包括但不限于网络访问控制方法、系统、设备和介质。
[0037]将使用本领域技术人员通常采用的术语来描述说明性实施例的各个方面,以将他们工作的实质传达给本领域其他技术人员。然而,对于本领域技术人员来说,使用部本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种网络访问控制方法,用于电子设备,其特征在于,所述方法包括:获取负载均衡实例信息;确定与所述负载均衡实例信息中的IP类型和协议类型匹配的第一防火墙规则;在所述第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则;基于所述第二防火墙规则的源IP网段生成路由表,在所述路由表中,源IP网段对应的路由表动作为所述源IP网段对应的所述第二防火墙规则的动作;接收数据;查询所述路由表并执行相应的路由表动作。2.根据权利要求1所述的方法,其特征在于,所述在所述第一防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则,还包括:所述第一防火墙规则的协议为UDP或者TCP的情况下,确定所述第一防火墙规则中,与所述负载均衡实例信息中的UDP或者TCP的端口信息匹配的第三防火墙规则;在所述第三防火墙规则中,确定源IP网段未被较高优先级的防火墙规则的源IP网段包含的第二防火墙规则。3.根据权利要求1所述的方法,其特征在于,所述路由表使用最长掩码匹配。4.一种网络访问控...
【专利技术属性】
技术研发人员:步宏伟,吴泽彬,
申请(专利权)人:优刻得科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。