防火墙策略分发方法、客户端、接入服务器及系统技术方案

技术编号:5139076 阅读:244 留言:0更新日期:2012-04-11 18:40
本发明专利技术公开了一种用于宽带接入协议的防火墙策略分发方法、客户端、接入服务器及系统。该防火墙策略分发方法包括:客户端向接入服务器发送接入协议报文,其中,接入协议报文中携带有防火墙策略配置请求信息;客户端接收接入服务器发送的响应于接入协议报文的响应报文,其中,响应报文中携带有与客户端的访问权限相对应的防火墙策略配置响应信息;客户端根据防火墙策略配置响应信息配置自身的防火墙规则。在本发明专利技术中,通过利用宽带接入协议的网络配置交互流程实现防火墙策略的分发,使得客户端动态地配置自身的防火墙规则。由于利用了现有的宽带接入协议,使得防火墙策略的分发非常方便,并且节省分发资源。

【技术实现步骤摘要】

本专利技术涉及通信领域,具体而言,涉及一种防火墙策略分发方法、客户端、接入服 务器及系统。
技术介绍
防火墙策略,一般是指按用户身份及其所归属的预定义域来限制用户对某些信息 项的访问或限制用户对某些控制功能的使用,以达到对用户网络访问控制的目的防火墙规 则。目前网络运维中对宽带接入客户端的访问控制的方案主要有以下两种1)通过 网管软件,利用 Tr069(广域网管理协议),SNMP(Simple Network Management Protocol, 简单网络管理协议)等网管协议进行手动配置各个不同级别,不同预定义域客户端的访问 控制列表2)单独架设防火墙策略分发服务器,接入客户端内置通道和服务器通信,获取防 火墙的信息,或者服务器推送防火墙策略。上述的两种方案都存在一些不足第一种方案比较费时费力,全程都需要人工操 作;第二种方案则需要额外资源消耗,如防火墙策略分发服务器,客户端软件必须建立内置 通道等。
技术实现思路
本专利技术的主要目的在于提供一种防火墙策略分发方法、客户端、接入服务器及系 统,以至少解决上述的防火墙策略分发不方便以及需要额外资源的问题。根据本专利技术的一个方面,提供了一种防火墙策略分发方法,包括客户端向接入服 务器发送接入协议报文,其中,接入协议报文中携带有防火墙策略配置请求信息;客户端接 收接入服务器发送的响应于接入协议报文的响应报文,其中,响应报文中携带有与客户端 的访问权限相对应的防火墙策略配置响应信息;客户端根据防火墙策略配置响应信息配置 自身的防火墙规则。根据本专利技术的另一方面,提供了一种防火墙策略分发客户端,包括第一发送模 块,用于向接入服务器发送接入协议报文,其中,接入协议报文中携带有防火墙策略配置请 求信息;第一接收模块,用于接收来自接入服务器的响应报文,其中响应报文中携带有与客 户端的访问权限相对应的防火墙策略配置响应信息;防火墙模块,用于根据防火墙策略配 置响应信息配置客户端的防火墙规则。根据本专利技术的又一方面,提供了一种防火墙策略分发接入服务器,包括第二接收 模块,用于接收来自客户端的接入协议报文,其中,所述接入协议报文中携带有防火墙策略 配置请求信息;第二发送模块,用于向客户端发送响应报文以响应接入协议报文,其中响应 报文中携带有与客户端的访问权限相对应的防火墙策略配置响应信息;权限模块,用于根 据接入协议报文中携带的客户端的信息确定客户端的访问权限,其中客户端的信息至少为 以下一种MAC(Media Access Control,媒体访问控制)地址信息、运营商代码Vendor ID、4用户分类代码User Classified ID。根据本专利技术的再一方面,提供了一种防火墙策略分发系统,包括客户端和接入服 务器,其中,客户端包括第一发送模块,用于向接入服务器发送接入协议报文,其中,接入 协议报文中携带有防火墙策略配置请求信息;第一接收模块,用于接收来自接入服务器的 响应报文;防火墙模块,用于根据防火墙策略配置响应信息配置客户端的防火墙规则。接 入服务器包括第二接收模块,用于接收来自客户端的接入协议报文;第二发送模块,用于 向客户端发送响应于接入协议报文的响应报文,其中响应报文中携带有与客户端访问权限 相对应的防火墙策略配置响应信息;权限模块,用于根据接入协议报文中所携带的客户端 的信息确定客户端的访问权限,其中客户端的信息至少包括以下一种MAC(Media Access Control,媒体访问控制)地址信息、运营商代码Vendor ID、用户分类代码User Classified ID。通过本专利技术,利用宽带接入协议的网络配置交互流程,接入服务器将与客户端的 权限相应的防火墙策略分发给客户端,使得客户端可以在宽带接入时,自动动态地配置自 身的防火墙规则。由于利用了现有的宽带接入协议,使得防火墙策略的分发非常方便,并且 节省分发资源。附图说明此处所说明的附图用来提供对本专利技术的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本专利技术,并不构成对本专利技术的不当限定。在附图中图1示出了本专利技术实施例的防火墙策略分发方法流程图;图2示出了本专利技术实施例的防火墙策略分发客户端结构框图;图3示出了本专利技术实施例的防火墙策略分发接入服务器结构框图;图4示出了本专利技术实施例的防火墙策略分发系统结构框图;图5示出了本专利技术实施例的DHCP协议的防火墙策略分发示意图;图6示出了本专利技术实施例的DHCP协议的防火墙选项的报文格式示意图;图7示出了本专利技术实施例的PPP协议的防火墙策略分发示意图;图8示出了本专利技术实施例的PPP IPCP Configuration Request数据报文格式示 意图;图9示出了本专利技术实施例的PPP IPCP Configuration NAK数据报文格式示意图; 以及图10示出了本专利技术实施例的PPP IPCP防火墙选项数据报文格式示意图。 具体实施例方式下文中将参考附图并结合实施例来详细说明本专利技术。需要说明的是,在不冲突的 情况下,本申请中的实施例及实施例中的特征可以相互组合。在TCP/IP网络中,每台主机若要能访问网络上的资源,首先必须进行网络接入, 执行基本的网络配置,诸如IP地址、子网掩码、网关、DNS(Domain Name System,域名系统) 服务器等这些参数的配置是必不可少,这些配置信息都在宽带接入协议报文中的option 选项中携带,例如,DHCP (Dynamic Host ConfigurationProtocol,动态主机配置协议)协议、PPP IPCP (Point to point protocol Internet Protocol Control Protocol,点对点协 议因特网协议控制协议)协议。在本专利技术的实施例中,防火墙策略信息将按一定格式封装 在这些接入协议的option选项中,在客户端网络接入时,接入服务器端通过宽带接入协议 自动将防火墙策略分发给不同级别,不同预定义域的用户,使得防火墙策略的分发更直接 和方便。图1示出了本专利技术实施例的防火墙策略分发方法流程图,如图1所示,包括步骤S102,客户端向接入服务器发送接入协议报文,其中,接入协议报文中携带有 防火墙策略配置请求信息。步骤S104,客户端接收接入服务器发送的响应于接入协议报文的响应报文,其中, 响应报文中携带有与客户端的访问权限相对应的防火墙策略配置响应信息。步骤S106,客户端根据防火墙策略配置响应信息配置自身的防火墙规则。在上述方法中,通过利用宽带接入协议的网络配置交互流程,接入服务器将与客 户端的权限相应的防火墙策略分发给客户端,使得客户端可以在宽带接入时,自动动态地 配置自身的防火墙规则。由于利用了现有的宽带接入协议,使得防火墙策略的分发非常方 便,并且节省分发资源。图2示出了本专利技术实施例的防火墙策略分发客户端结构框图,如图2所示,该客户 端100包括第一发送模块102、第一接收模块104和防火墙模块106。第一发送模块102 分别与第一接收模块104和防火墙模块106相连,第一发送模块102用于向接入服务器发 送接入协议报文,在所发送的接入协议报文中携带有防火墙策略配置请求信息;第一接收 模块104用于接收来自接入服务器的响应报文,其本文档来自技高网...

【技术保护点】

【技术特征摘要】
一种用于宽带接入协议的防火墙策略分发方法,其特征在于,包括客户端向接入服务器发送接入协议报文,其中,所述接入协议报文中携带有防火墙策略配置请求信息;所述客户端接收所述接入服务器发送的响应于所述接入协议报文的响应报文,其中,所述响应报文中携带有与所述客户端的访问权限相对应的防火墙策略配置响应信息;所述客户端根据所述防火墙策略配置响应信息配置自身的防火墙规则。2.根据权利要求1所述的防火墙策略分发方法,其特征在于,在所述客户端接收所述 接入服务器发送的响应于所述接入协议报文的响应报文之前,所述方法还包括所述接入服务器从所接收到的所述接入协议报文获取所述客户端的信息,并根据所述 客户端的信息确定所述客户端的访问权限,其中所述客户端的信息至少包括以下一种介 质访问控制地址MAC、运营商代码、用户分类代码;所述接入服务器将与所述客户端的访问权限相对应的防火墙策略配置响应信息封装 在所述响应报文中,并发送至所述客户端。3.根据权利要求2所述的防火墙策略分发方法,其特征在于,所述宽带接入协议为动 态主机配置协议DHCP。4.根据权利要求3所述的防火墙策略分发方法,其特征在于,所述接入协议报文为动 态主机配置协议发现报文或动态主机配置协议请求报文,所述防火墙策略配置请求信息封 装在所述DHCP发现报文或所述DHCP请求报文的选项中;所述响应报文为动态主机配置协 议提供报文或动态主机配置协议确定报文,所述防火墙策略配置响应信息封装在DHCP提 供报文或DHCP确认报文的选项中。5.根据权利要求3所述的防火墙策略分发方法,其特征在于,在所述客户端根据所述 防火墙策略配置响应信息配置自身的防火墙规则之后还包括在预定时间间隔内,所述客户端向所述接入服务器发送防火墙策略续租请求报文,其 中所述防火墙策略续租请求报文用于向所述接入服务器请求续租所述客服端的防火墙策 略;所述客户端接收所述接入服务器发送的响应于所述防火墙策略续租请求报文的防火 墙策略租约响应报文;所述客户端根据所述防火墙策略租约响应报文延长自身已配置的防火墙规则或使自 身已配置的防火墙规则失效。6.根据权利要求2所述的防火墙策略分发方法,其特征在于,所述宽带接入协议为点 对点协议PPP。7.根据权利要求6所述的防火墙策略分发方法...

【专利技术属性】
技术研发人员:万齐根
申请(专利权)人:中兴通讯股份有限公司
类型:发明
国别省市:94

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1