【技术实现步骤摘要】
本专利技术涉及一种安全策略访问控制实现方法,尤其涉及一种基于vpp的安全策略访问控制实现方法。
技术介绍
1、普通acl(access control list)是一种常见的网络安全控制机制,用于管理和过滤数据包的传输,它在网络设备上进行配置和应用,如路由器混合交换机等。要实现普通acl,首先是为了明确哪些流量需要进行过滤和控制,需要提前确定过滤规则,根据实际需求,定义规则来限定特定的源ip地址、目标ip地址、协议类型和端口号等,这些规则将决定对网络流量的具体处理方式;其次,通过命令行界面或其他管理接口登录到相应的网络设备,并进入设备的配置模式,能够对设备进行配置和管理操作;紧接着,创建acl对象,为acl对象命名,并指定它是用于输入流量还是输出流量的过滤,能够使acl对象与特定的流量方向相关联;在acl对象中,需要逐条定义具体的过滤规则,每条规则包括匹配条件和对应的操作,匹配条件可以基于源ip地址、目标ip地址、协议类型、端口号等信息进行设置,操作可以是允许通过、拒绝或重定向流量,通过灵活配置acl规则,可以实现对特定流量的精确控制;将acl对象应用到特定的接口或vlan上,决定哪些流量将受到acl规则的影响,通过将acl应用到适当的位置,确保规则对所需的流量生效,并对网络进行有效的流量管理;在完成acl规则的配置后,检查配置的准确性,并保存所做的更改,确保acl规则能够正确地应用于网络设备,并按预期进行工作;最后,对acl规则进行测试,验证其是否是按预期工作,同时监控acl日志,及时发现和解决与acl相关的任何问题,以确保网
技术实现思路
1、为了解决上述技术所存在的不足之处,本专利技术提供了一种基于vpp的安全策略访问控制实现方法。
2、为了解决以上技术问题,本专利技术采用的技术方案是:一种基于vpp的安全策略访问控制实现方法,包括以下步骤:
3、步骤s1:vpp中的防火墙检测流量并提取流量属性;
4、步骤s2:防火墙将流量属性分别与各个安全策略的条件进行匹配;若安全策略的所有条件均匹配,则成功匹配安全策略;若安全策略的任一条件不匹配,则匹配下一条安全策略;若所有安全策略均不能匹配,则防火墙执行缺省安全策略的动作;
5、步骤s3:若流量成功匹配一条安全策略,防火墙将执行该安全策略的动作;若执行该安全策略的动作为禁止,防火墙将阻断此流量;若执行该安全策略的动作为允许,防火墙判断是否引用了安全配置文件;安全配置文件包括反病毒、入侵防御、url过滤、文件过滤和内容过滤;
6、步骤s4:若防火墙没有引用安全配置文件,则允许该流量通过;若防火墙引用了安全配置文件,则防火墙将对流量进行内容安全的一体化检测,根据检测结果执行安全配置文件的动作。
7、进一步地,步骤s1中流量属性包括vlan id、源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、源端口、目的端口、协议类型、应用、url分类和时间段。
8、进一步地,步骤s1中防火墙进行流量捕获、流量分类、流量过滤、流量监控的过程提取流量属性。
9、进一步地,步骤s2中安全策略的条件包括源ip地址、目的ip地址、源端口、目的端口、协议类型、用户/组、时间、应用类型、url分类、文件类型和内容。
10、进一步地,步骤s2中防火墙将流量属性与安全策略的条件进行匹配,具体步骤如下:
11、s21:防火墙捕获网络流量,网络流量包括源ip地址、目标ip地址、源端口、目标端口、协议类型;
12、s22:防火墙将捕获到的流量按照不同的属性进行分类;
13、s23:防火墙根据预先定义的安全策略对捕获到的流量进行匹配;
14、s24:防火墙根据匹配结果执行相应的安全策略;
15、s25:防火墙记录匹配结果和执行的安全策略,进行审计和监控。
16、进一步地,步骤s2中缺省安全策略动作根据组织的安全需求和策略进行调整;缺省安全策略动作包括允许、禁止、丢弃和重定向,默认动作为禁止。
17、进一步地,步骤s3中根据检查安全策略中的关键字、检查安全策略的规则和检查安全策略的配置文件的方式判断是否引用了安全配置文件。
18、进一步地,步骤s3中安全策略的动作为禁止,防火墙将丢弃报文,同时向报文的发送端和响应端发送反馈报文。
19、进一步地,根据报文类型的不同,发送的反馈报文不同;对于tcp报文,防火墙向tcp连接的客户端或服务器发送tcp reset报文,或者向tcp连接的客户端和服务器发送tcpreset报文;对于udp/icmp报文,向客户端发送icmp不可达报文,当发送端或响应端收到阻断报文时,应用层能够快速结束会话并让用户了解请求被阻断。
20、进一步地,步骤s4中的一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测;若任一安全配置文件阻断流量,则防火墙将阻断流量;若所有安全配置文件均允许流量转发,则防火墙允许流量通过。
21、本专利技术公开了一种基于vpp的安全策略访问控制实现方法,通过vpp中的防火墙,对流量进行检测并提取,与安全策略的条件进行匹配,而后判断是否引用安全策略配置文件的方式,实现基于vpp的安全策略访问控制方法。防火墙的所用内容安全功能都可以通过安全策略引用安全配置文件实现,真正做到配置一体化,降低配置难度;基于vpp的防火墙功能,经过安全策略的条件阻断流量的方式实现对流量的控制,进而实现反病毒、入侵防御、url过滤、文件过滤、内容过滤的应用行为控制的作用。
本文档来自技高网...【技术保护点】
1.一种基于vpp的安全策略访问控制实现方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于vpp的安全策略访问控制实现方法,其特征在于:所述步骤S1中流量属性包括VLAN ID、源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、源端口、目的端口、协议类型、应用、URL分类和时间段。
3.根据权利要求2所述的一种基于vpp的安全策略访问控制实现方法,其特征在于:所述步骤S1中防火墙进行流量捕获、流量分类、流量过滤、流量监控的过程提取流量属性。
4.根据权利要求1所述的一种基于vpp的安全策略访问控制实现方法,其特征在于:所述步骤S2中安全策略的条件包括源IP地址、目的IP地址、源端口、目的端口、协议类型、用户/组、时间、应用类型、URL分类、文件类型和内容。
5.根据权利要求4所述的一种基于vpp的安全策略访问控制实现方法,其特征在于:所述步骤S2中防火墙将流量属性与安全策略的条件进行匹配,具体步骤如下:
6.根据权利要求5所述的一种基于vpp的安全策略访问控制实现方式,其特征在于:所述步骤S2
7.根据权利要求1所述的一种基于vpp的安全策略访问控制实现方式,其特征在于:所述步骤S3中根据检测安全策略中的关键字、检查安全策略的规则和检查安全策略的配置文件的方式判断是否引用了安全配置文件。
8.根据权利要求7所述的一种基于vpp的安全策略访问控制实现方式,其特征在于:所述步骤S3中安全策略的动作为禁止,防火墙将丢弃报文,同时向报文的发送端和响应端发送反馈报文。
9.根据权利要求8所述的一种基于vpp的安全策略访问控制实现方式,其特征在于:根据所述报文类型的不同,发送的反馈报文不同;对于TCP报文,防火墙向TCP连接的客户端或服务器发送TCP reset报文,或者向TCP连接的客户端和服务器发送TCP reset报文;对于UDP/ICMP报文,向客户端发送ICMP不可达报文,当发送端或响应端收到阻断报文时,应用层能够快速结束会话并让用户了解请求被阻断。
10.根据权利要求9所述的一种基于vpp的安全策略访问控制实现方式,其特征在于:所述步骤S4中的一体化检测是指根据安全配置文件的条件对流量的内容进行一次检测;若任一安全配置文件阻断流量,则防火墙将阻断流量;若所有安全配置文件均允许流量转发,则防火墙允许流量通过。
...【技术特征摘要】
1.一种基于vpp的安全策略访问控制实现方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于vpp的安全策略访问控制实现方法,其特征在于:所述步骤s1中流量属性包括vlan id、源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、源端口、目的端口、协议类型、应用、url分类和时间段。
3.根据权利要求2所述的一种基于vpp的安全策略访问控制实现方法,其特征在于:所述步骤s1中防火墙进行流量捕获、流量分类、流量过滤、流量监控的过程提取流量属性。
4.根据权利要求1所述的一种基于vpp的安全策略访问控制实现方法,其特征在于:所述步骤s2中安全策略的条件包括源ip地址、目的ip地址、源端口、目的端口、协议类型、用户/组、时间、应用类型、url分类、文件类型和内容。
5.根据权利要求4所述的一种基于vpp的安全策略访问控制实现方法,其特征在于:所述步骤s2中防火墙将流量属性与安全策略的条件进行匹配,具体步骤如下:
6.根据权利要求5所述的一种基于vpp的安全策略访问控制实现方式,其特征在于:所述步骤s2中缺省安全策略动作根据组织的安全需求和策略进行调整;缺省安全策略动作包括允许、禁止、丢弃和重定向,默认...
【专利技术属性】
技术研发人员:巩家祺,董晟,张芊,陶跃,
申请(专利权)人:上海叠念信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。