本公开提供了一种访问控制方法、装置、设备以及存储介质,涉及人工智能领域,具体涉及云计算、云存储、云网络和云数据库技术,可应用在智能云场景下。具体实现方案为:获取原始报文;确定原始报文的业务类型,其中,业务类型包括公网业务类型和专线业务类型;根据业务类型,确定与原始报文对应的目标防火墙规则;以及根据目标防火墙规则,对原始报文进行访问控制。制。制。
【技术实现步骤摘要】
访问控制方法、装置、设备以及存储介质
[0001]本公开涉及人工智能领域,具体涉及云计算、云存储、云网络和云数据库技术,可应用在智能云场景下。
技术介绍
[0002]随着网络技术不断深入发展,以DDoS(分布式拒绝服务攻击)为代表的网络安全威胁越来越具有攻击性,导致云网络面临的安全挑战持续升级,不断深化。如何应对这些网络安全威胁是亟需解决的问题。
技术实现思路
[0003]本公开提供了一种访问控制方法、装置、设备、存储介质以及程序产品。
[0004]根据本公开的一方面,提供了一种访问控制方法,包括:获取原始报文;确定所述原始报文的业务类型,其中,所述业务类型包括公网业务类型和专线业务类型;根据所述业务类型,确定与所述原始报文对应的目标防火墙规则;以及根据所述目标防火墙规则,对所述原始报文进行访问控制。
[0005]根据本公开的另一方面,提供了一种访问控制装置,包括:原始报文获取模块,用于获取原始报文;业务类型确定模块,用于确定所述原始报文的业务类型,其中,所述业务类型包括公网业务类型和专线业务类型;规则确定模块,用于根据所述业务类型,确定与所述原始报文对应的目标防火墙规则;以及控制模块,用于根据所述目标防火墙规则,对所述原始报文进行访问控制。
[0006]本公开的另一个方面提供了一种电子设备,包括:至少一个处理器;以及与所述至少一个处理器通信连接的存储器;其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本公开实施例所示的方法。
[0007]根据本公开实施例的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行本公开实施例所示的方法。
[0008]根据本公开实施例的另一方面,提供了一种计算机程序产品,包括计算机程序/指令,其特征在于,该计算机程序/指令被处理器执行时实现本公开实施例所示方法的步骤。
[0009]应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
[0010]附图用于更好地理解本方案,不构成对本公开的限定。其中:
[0011]图1是根据本公开实施例的访问控制方法和装置的系统架构示意图;
[0012]图2示意性示出了根据本公开的实施例的访问控制方法的流程图;
[0013]图3A示意性示出了根据本公开的实施例的确定原始报文的业务类型的方法的流
程图;
[0014]图3B示意性示出了根据本公开的实施例的确定原始报文的业务类型的示意图;
[0015]图4示意性示出了根据本公开的实施例的确定与原始报文对应的目标防火墙规则的方法的流程图;
[0016]图5示意性示出了根据本公开的实施例的根据目标防火墙规则,对原始报文进行访问控制的方法的流程图;
[0017]图6示意性示出了根据本公开另一实施例的访问控制方法的示意图;
[0018]图7A示意性示出了根据本公开另一实施例的访问控制方法的流程图;
[0019]图7B示意性示出了根据本公开另一实施例的访问控制方法的流程图;
[0020]图8示意性示出了根据本公开实施例的访问控制装置的框图;
[0021]图9示意性示出了可以用来实施本公开的实施例的示例电子设备的框图。
具体实施方式
[0022]以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
[0023]以下将结合图1对本公开提供的访问控制方法和装置的系统架构进行描述。
[0024]图1是根据本公开实施例的访问控制方法和装置的系统架构示意图。需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的
技术实现思路
,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
[0025]如图1所示,该系统架构100包括虚拟路由器(Virtual Router)110、,外网网关(EGW,External gateway)120、云防火墙(CFW,Cloud Firewall)130、虚拟交换机140和公网私网地址转换设备(NAT,Network Address Translation)150。
[0026]其中,虚拟路由器110可以对应于专线业务。虚拟路由器110可以用于将专线业务的报文转发至私网。虚拟路由器110例如可以包括基于Tofino的虚拟路由器(Tofino Virtual Router,TVR)。
[0027]外网网关120可以对应于公网业务。外网网关120可以用于将公网中的报文转发至私网。
[0028]云防火墙130可以用于对各种网络资产进行访问控制。其中,网络资产例如可以包括EIP(Elastic IP,弹性公网IP)、IPv6网关、NAT、VPC(虚拟机)等。示例性地,云防火墙130可以包括APS(Availability Protection System,可用性保护系统)、EIP、VPC、专线、VPC NAT、NAT GW(网关)等模块。其中,APS模块可以用于与APS交互。EIP模块可以用于对EIP进行防护。VPC模块可以用于提供VPC防护。专线模块可以用于对专线进行防护。VPC NAT模块可以用于提供VPC NAT防护。NAT GW模块可以用于提供NAT GW防护。
[0029]虚拟交换机140例如可以用于多个虚拟机之间的数据转发。
[0030]公网私网地址转换设备150可以用于将公网地址和私网地址进行转换。例如可以在私网节点和公网通信时,将私网节点的私网IP地址转换为公网IP地址。示例性地,公网私网地址转换设备150可以包括EGW、NAT
‑
EIP、NAT
‑
GW、NAT
‑
VPC等模块。其中,EGW模块可以用
于根据路径的哈希表,确定下一跳节点。NAT
‑
EIP可以用于为EIP提供公网私网地址转换服务。NAT
‑
GW可以用于为GW提供公网私网地址转换服务。NAT
‑
VPC可以用于为VPC提供公网私网地址转换服务。
[0031]在本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
[0032]在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
[0033]以下将结合图2对本公开提供的访问控制方法进行描述。...
【技术保护点】
【技术特征摘要】
1.一种访问控制方法,包括:获取原始报文;确定所述原始报文的业务类型,其中,所述业务类型包括公网业务类型和专线业务类型;根据所述业务类型,确定与所述原始报文对应的目标防火墙规则;以及根据所述目标防火墙规则,对所述原始报文进行访问控制。2.根据权利要求1所述的方法,其中,所述根据所述业务类型,确定与所述原始报文对应的目标防火墙规则,包括:在所述业务类型为专线业务类型的情况下,获取所述原始报文中的服务路径标识和业务功能索引;根据所述服务路径标识和业务功能索引,确定防火墙规则集合,其中,所述防火墙规则集合包括至少一个防火墙规则;以及确定所述防火墙规则集合中与所述原始报文匹配的防火墙规则,作为所述目标防火墙规则。3.根据权利要求1所述的方法,其中,所述根据所述业务类型,确定与所述原始报文对应的目标防火墙规则,包括:在所述业务类型为公网业务类型的情况下,获取所述原始报文中的规则集合索引;根据所述规则集合索引,确定防火墙规则集合,其中,所述防火墙规则集合包括至少一个防火墙规则;以及确定所述防火墙规则集合中与所述原始报文匹配的防火墙规则,作为所述目标防火墙规则。4.根据权利要求1所述的方法,其中,所述根据所述目标防火墙规则,对所述原始报文进行访问控制,包括:根据所述目标防火墙规则,确定与所述原始报文对应的处理动作和下一跳节点,其中,所述处理动作包括拒绝和允许;在所述处理动作为允许的情况下,将所述原始报文发送至与所述原始报文对应的下一跳节点;以及在所述处理动作为拒绝的情况下,根据所述原始报文生成阻断日志,并将所述阻断日志发送至与所述原始报文对应的下一跳节点。5.根据权利要求1所述的方法,还包括:接收来自攻击防御设备的攻击通知;其中,所述根据所述目标防火墙规则,对所述原始报文进行访问控制,包括:在接收到所述攻击通知的情况下,确定与所述原始报文对应的可用性保护系统;将所述原始报文发送至所述可用性保护系统,以便通过所述可用性保护系统对所述原始报文进行数据清洗,得到目标报文;接收来自所述可用性保护系统的目标报文;以及根据所述目标防火墙规则,将所述目标报文发送至与所述下一跳节点。6.根据权利要求1所述的方法,其中,所述根据所述目标防火墙规则,对所述原始报文
进行访问控制,包括:根据所述目标防火...
【专利技术属性】
技术研发人员:雷思源,彭蛟龙,周清志,周磊,李婉婷,
申请(专利权)人:北京百度网讯科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。