专利名称:网络设备及其访问控制方法
技术领域:
本发明涉及通信领域,尤其涉及一种网络设备及其访问控制方法。
背景技术:
访问控制列表(ACCESS CONTROL LIST,简称为ACL)使用数据包过滤技术,在网络设备上读取第三层及第四层数据包头中的信息,诸如源地址、目的地址、源端口、目的端口等,根据预先定义好的规则对数据包进行过滤,从而达到访问控制的目的。初期,只有路由器支持该技术,近些年来三层交换机也可以支持该技术,目前部分二层交换机(包括接入设备)也开始提供对访问控制列表的支持。
访问控制列表分为很多种,在不同场合可以应用不同种类的访问控制列表。其中,最简单的就是标准访问控制列表,标准访问控制列表是通过使用互联网络协议(INTERNETPROTOCOL,简称IP)数据包中的源IP地址进行过滤。由于访问控制列表功能是使用数据包过滤技术来实现的,过滤的依据是第三层和第四层数据包头中的部分信息,对于允许通过的IP数据包,则会按照正常的处理流程进行处理。对于不满足过滤条件的IP数据包,则进行丢弃处理。
在以太网的应用中,地址解析协议不是三层协议,也不是封装在IP数据包格式中的。因此当特定源IP地址的IP数据包被过滤丢弃时,携带该IP地址的地址解析协议数据帧因为不是IP数据包,所以不能被过滤,因此可能会被网络设备进行处理或者转发,从而会对网络和网络设备造成影响。
当一台网络设备B的IP地址被网络设备A的访问控制列表模块定义为拒绝接受和处理时,网络设备B所发送出来的IP数据包会被网络设备A丢弃。但如果网络设备B发送的“请求本网络设备的MAC地址”的地址解析协议(ADDRESS RESOLUTIONPROTOCOL,简称为ARP)数据帧传送到网络设备A,由于网络设备A对地址解析协议数据帧没有过滤功能,该地址解析协议数据帧就会被网络设备A的地址解析协议数据帧处理模块处理,并返回正确的地址解析协议响应帧。这样网络设备B便可以学习到网络设备A的MAC地址。网络设备B能够利用网络设备A的MAC地址发起恶意攻击。另一方面,如果网络设备B恶意发送地址解析协议请求帧,网络设备A都要一一进行处理,也会大大降低网络设备A处理其他报文和其他功能的处理能力,严重时还会造成网络设备A运行的不正常,造成更为严重的后果。
由于通常的访问控制列表功能只对IP数据包进行过滤处理,对封装在以太网数据帧中的地址解析协议数据帧没有过滤,从而可能导致网络设备的处理能力降低,甚至存在网络设备被恶意攻击的可能。
因此,必须采用一种方法,使得配置了访问控制列表功能的网络设备不但能够过滤IP数据包,还应该能够处理和该IP地址相关的地址解析协议数据帧,减少对网络设备的影响,防止非法设备通过地址解析协议数据帧对网络设备进行恶意攻击,提高安全性和可靠性。
发明内容
针对以上问题,本发明提供了一种网络设备和用于网络设备的访问控制方法,具有访问控制列表功能,防止非法设备通过地址解析协议数据帧对网络设备进行恶意攻击,提高安全性和可靠性。
该网络设备包括地址解析协议数据帧过滤模块,用于根据网络设备接收到的地址解析协议数据帧中的标识信息查找访问控制列表,并且根据标识信息在访问控制列表中对应的状态,对地址解析协议数据帧进行过滤。
该网络设备还包括地址解析协议数据帧检验模块,用于在地址解析协议数据帧过滤模块对地址解析协议数据帧进行过滤之前,对地址解析协议数据帧的合法性和正确性进行检验;以及地址解析协议数据帧处理模块,用于对地址解析协议数据帧过滤模块允许处理的地址解析协议数据帧进行处理。
地址解析协议数据帧过滤模块包括标识信息获取单元,用于从接收到的地址解析协议数据帧获取标识信息;标识信息查找单元,用于在访问控制列表中查找所获取的标识信息是否存在;标识信息状态查找单元,在访问控制列表中存在标识信息的情况下,在访问控制列表中查找标识信息对应的状态;以及地址解析协议数据帧过滤单元,根据标识信息对应的状态对地址解析协议数据帧进行过滤。
标识信息对应的状态为允许,指示地址解析协议数据帧处理模块对地址解析协议数据帧进行处理;以及标识信息对应的状态为拒绝,指示丢弃地址解析协议数据帧。
其中,在标识信息在访问控制列表中不存在的情况下,丢弃地址解析协议数据帧。标识信息包括IP地址和MAC地址中的至少一个。
根据本发明的用于网络设备的访问控制方法,包括地址解析协议数据帧过滤模块根据网络设备接收到的地址解析协议数据帧中的标识信息查找访问控制列表,并且根据标识信息在访问控制列表中对应的状态,对地址解析协议数据帧进行过滤。
访问控制方法还包括在对地址解析协议数据帧进行过滤之前,地址解析协议数据帧检验模块对地址解析协议数据帧进行合法性和正确性检验;以及在对地址解析协议数据帧进行过滤之后,地址解析协议数据帧处理模块对地址解析协议数据帧过滤模块允许处理的地址解析协议数据帧进行处理。
其中,对地址解析协议数据帧进行过滤的过程包括以下步骤步骤S304-2,通过标识信息获取单元获取网络设备接收到的地址解析协议数据帧中的标识信息;以及步骤S304-4,通过标识信息查找模块在访问控制列表中查找所获取的标识信息是否存在,在标识信息不存在的情况下,丢弃地址解析协议数据帧;步骤S304-6,在访问控制列表中存在标识信息的情况下,标识信息状态查找单元在访问控制列表中查找标识信息对应的状态;以及步骤S304-8,根据标识信息对应的状态对地址解析协议数据帧进行过滤。
其中,标识信息对应的状态为允许,指示对地址解析协议数据帧进行处理;标识信息对应的状态为拒绝,指示丢弃地址解析协议数据帧。
上述标识信息包括IP地址和MAC地址中的至少一个。
本发明采用基于IP的访问控制列表功能和地址解析协议相关联的方法对地址解析协议数据帧进行过滤,避免了含有非法IP的地址解析协议数据帧占用网络设备太多的资源的问题,也可以避免非法的设备获取到网络设备的MAC(媒体控制子层)地址,提高网络设备的安全性。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中图1是根据本发明的网络设备的结构示意图;图2是根据本发明的地址解析协议数据帧过滤模块的结构示意图;图3是根据本发明的访问控制方法的流程图;图4是根据本发明的访问控制方法中对地址解析协议数据帧进行过滤的过程的流程图;以及图5是根据本发明的实施例的对地址解析协议数据帧进行处理的流程图。
具体实施例方式
以下将描述根据本发明的具体实施例。
图1是根据本发明的网络设备的结构示意图。如图1所示,根据本发明的网络设备具有基于IP的访问控制列表功能,该网络设备包括地址解析协议数据帧过滤模块104,用于根据网络设备接收到的地址解析协议数据帧中的标识信息查找访问控制列表,并且根据标识信息在访问控制列表中对应的状态,对地址解析协议数据帧进行过滤。该网络设备还包括地址解析协议数据帧检验模块102,用于在地址解析协议数据帧过滤模块对地址解析协议数据帧进行过滤之前,对地址解析协议数据帧的合法性和正确性进行检验;以及地址解析协议数据帧处理模块106,用于对地址解析协议数据帧过滤模块允许处理的地址解析协议数据帧进行处理。
图2是根据本发明的地址解析协议数据帧过滤模块的结构示意图。如图2所示,地址解析协议数据帧过滤模块包括标识信息获取单元104-2,用于从接收到的地址解析协议数据帧获取标识信息;标识信息查找单元104-4,用于在访问控制列表中查找所获取的标识信息是否存在;标识信息状态查找单元104-6,在访问控制列表中存在标识信息的情况下,在访问控制列表中查找标识信息对应的状态;以及地址解析协议数据帧过滤单元104-8,根据标识信息对应的状态对地址解析协议数据帧进行过滤。
标识信息对应的状态为允许,指示地址解析协议数据帧处理模块对地址解析协议数据帧进行处理;以及标识信息对应的状态为拒绝,丢弃地址解析协议数据帧。
在标识信息在访问控制列表中不存在的情况下,丢弃地址解析协议数据帧。
其中,标识信息包括IP地址和MAC地址中的至少一个。
图3是根据本发明的访问控制方法的流程图。如图3所示,根据本发明的访问控制方法包括以下步骤步骤S304,地址解析协议数据帧过滤模块根据网络设备接收到的地址解析协议数据帧中的标识信息查找访问控制列表,并且根据标识信息在访问控制列表中对应的状态,对地址解析协议数据帧进行过滤。
该访问控制方法还包括步骤S302,在对地址解析协议数据帧进行过滤之前,地址解析协议数据帧检验模块对地址解析协议数据帧进行合法性和正确性检验;步骤S306在对地址解析协议数据帧进行过滤之后,地址解析协议数据帧处理模块对地址解析协议数据帧过滤模块允许处理的地址解析协议数据帧进行处理。
图4是根据本发明的访问控制方法中对地址解析协议数据帧进行过滤的过程的流程图。如图4所示,步骤S304包括以下步骤步骤S304-2,通过标识信息获取单元获取网络设备接收到的地址解析协议数据帧中的标识信息;以及步骤S304-4,通过标识信息查找模块在访问控制列表中查找所获取的标识信息是否存在,在标识信息不存在的情况下,丢弃地址解析协议数据帧;步骤S304-6,在访问控制列表中存在标识信息的情况下,标识信息状态查找单元在访问控制列表中查找标识信息对应的状态;以及步骤S304-8,根据标识信息对应的状态对地址解析协议数据帧进行过滤。
其中,标识信息对应的状态为允许,指示对地址解析协议数据帧进行处理;标识信息对应的状态为拒绝,指示丢弃地址解析协议数据帧。标识信息包括IP地址和MAC地址中的至少一个。
本发明能够使得配置了访问控制列表功能的网络设备,不但能够过滤IP数据报文,还应该能够过滤和该IP相关联的地址访问协议数据帧,减少非法IP设备对网络设备的影响,便于实施本发明。
图5是根据本发明的实施例的对地址解析协议数据帧进行处理的流程图。如图5所示,接收到的地址解析协议数据帧并获取其中的源IP地址。通常的地址解析协议数据帧的处理流程是地址解析协议模块的输入函数获取到网络设备从网络接收到的地址解析协议数据帧后,进行地址解析协议数据帧的后续处理。在实现本方法时,需要在地址解析协议模块的输入函数中,增加代码进行地址解析协议数据帧与访问控制列表相关联的处理。该代码应该添加在地址解析协议模块的输入函数的对地址解析协议数据帧合法性和正确性检查部分的后面,而对该地址解析协议数据帧进行正常处理流程的代码之前。
对地址解析协议数据帧进行处理的流程包括以下步骤步骤S502,在该代码中,首先从地址解析协议数据帧的源IP地址字段,获取源IP地址。例如该地址解析协议数据帧中源IP地址是192.168.1.2,则本步骤可以获取到该IP地址。其中,地址解析协议中定义了地址解析协议数据包的帧格式,指明了源IP地址在数据帧中的位置,包括源IP地址所在的首字节和IP地址占用的字节数。
步骤S504,根据源IP地址查找访问控制列表。在访问控制列块中,必须提供查询接口函数,输入参数是IP地址,输出参数是查询结果允许或者拒绝。在具体的代码实现中,可以使用特定的数值进行表示。
访问控制列表查询接口函数的功能描述如下根据传入的IP地址,查找存放访问控制列表项的数据结构,与数据结构中源IP地址字段进行对比;如果匹配,则再判断该项状态是允许还是拒绝,然后返回该值。如果没有匹配,则默认为拒绝,返回表示拒绝的数值。这样做的目的是为了保证网络设备的安全性。
举例说明一般的访问控制列表项中包含的内容必须有源IP地址,行为状态。在本例中假设存在两条访问控制列表项源IP地址 行为状态192.168.2.3permit192.168.1.2deny查询函数会根据传入的IP地址192.168.1.2和访问控制列表中的源IP地址进行匹配,发现和最后一条的源IP地址相同。然后会判断该项的行为状态字段,发现为deny,则返回拒绝的数值。
步骤S506,判断是否该IP地址是被允许处理的IP地址。根据查询接口函数的返回值,判断该IP地址是合法的可以被允许处理的地址,还是非法的不允许处理的地址。
根据返回值判断是否处理地址解析协议数据帧。步骤S508,如果不是被允许处理的地址,则丢弃该地址解析协议数据帧,不作处理。
根据查询结果,如果是非法的需要拒绝的IP地址,则表明该地址解析协议数据帧是不能处理的,需要释放该地址解析协议数据帧所占用的系统资源,不作任何响应。从地址解析协议模块的输入函数中退出,不再执行后面的处理流程。
步骤S510,如果是被允许处理的地址,则按照正常的地址解析协议数据帧的处理流程进行处理。
如果是允许处理的IP地址,则新增的代码不对收到的该地址解析协议数据帧作任何处理,直接交给地址解析协议模块的输入函数进行处理后续处理。
如果接收到地址解析协议请求数据帧,则判断该数据帧中的目的IP地址是否是本设备的IP地址。如果目的IP地址是本设备的IP地址,则发送一个地址解析协议应答数据帧,在该数据帧中的源MAC地址字段填入本设备的MAC地址,如果目的IP地址不是本设备的IP地址,则不对该数据帧进行响应,丢弃该数据帧,并且释放该数据帧占用的所有资源。
如果发送端接收到地址解析协议应答数据帧,则获取该数据帧中携带的源IP地址和源MAC地址,并释放该数据帧所占用的所有资源。
因此,本发明采用基于IP的访问控制列表功能和地址解析协议相关联的方法对地址解析协议数据帧进行过滤,避免了含有非法IP的地址解析协议数据帧占用网络设备太多的资源的问题。也可以避免非法的设备获取到网络设备的MAC(媒体控制子层)地址,提高网络设备的安全性。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种网络设备,具有访问控制列表功能,其特征在于包括地址解析协议数据帧过滤模块,用于根据所述网络设备接收到的地址解析协议数据帧中的标识信息查找访问控制列表,并且根据所述标识信息在所述访问控制列表中对应的状态,对所述地址解析协议数据帧进行过滤。
2.根据权利要求1所述的网络设备,其特征在于还包括地址解析协议数据帧检验模块,用于在所述地址解析协议数据帧过滤模块对所述地址解析协议数据帧进行过滤之前,对所述地址解析协议数据帧的合法性和正确性进行检验。
3.根据权利要求1所述的网络设备,其特征在于还包括地址解析协议数据帧处理模块,用于对所述地址解析协议数据帧过滤模块允许处理的地址解析协议数据帧进行处理。
4.根据权利要求1所述的网络设备,其特征在于,所述地址解析协议数据帧过滤模块包括标识信息获取单元,用于从接收到的地址解析协议数据帧获取所述标识信息;标识信息查找单元,用于在所述访问控制列表中查找所获取的标识信息是否存在;标识信息状态查找单元,在所述访问控制列表中存在所述标识信息的情况下,在所述访问控制列表中查找所述标识信息对应的状态;以及地址解析协议数据帧过滤单元,根据所述标识信息对应的状态对所述地址解析协议数据帧进行过滤。
5.根据权利要求4所述的网络设备,其特征在于所述标识信息对应的状态为允许,指示所述地址解析协议数据帧处理模块对所述地址解析协议数据帧进行处理;以及所述标识信息对应的状态为拒绝,指示丢弃所述地址解析协议数据帧。
6.根据权利要求4所述的网络设备,其特征在于,在所述标识信息在所述访问控制列表中不存在的情况下,丢弃所述地址解析协议数据帧。
7.根据权利要求1至6中任一项所述的网络设备,其特征在于,所述标识信息包括IP地址和MAC地址中的至少一个。
8.一种用于网络设备的访问控制方法,其特征在于,所述方法包括地址解析协议数据帧过滤模块根据所述网络设备接收到的地址解析协议数据帧中的标识信息查找访问控制列表,并且根据所述标识信息在所述访问控制列表中对应的状态,对所述地址解析协议数据帧进行过滤。
9.根据权利要求8所述的访问控制方法,其特征在于,所述访问控制方法还包括在对所述地址解析协议数据帧进行过滤之前,地址解析协议数据帧检验模块对所述地址解析协议数据帧进行合法性和正确性检验。
10.根据权利要求8所述的访问控制方法,其特征在于,所述访问控制方法还包括在对所述地址解析协议数据帧进行过滤之后,地址解析协议数据帧处理模块对所述地址解析协议数据帧过滤模块允许处理的地址解析协议数据帧进行处理。
11.根据权利要求8所述的访问控制方法,其特征在于,对所述地址解析协议数据帧进行过滤的过程包括以下步骤步骤S304-2,通过标识信息获取单元获取所述网络设备接收到的地址解析协议数据帧中的标识信息;以及步骤S304-4,通过标识信息查找模块在所述访问控制列表中查找所获取的标识信息是否存在,在所述标识信息不存在的情况下,丢弃所述地址解析协议数据帧;步骤S304-6,在所述访问控制列表中存在所述标识信息的情况下,标识信息状态查找单元在所述访问控制列表中查找所述标识信息对应的状态;以及步骤S304-8,根据所述标识信息对应的状态对所述地址解析协议数据帧进行过滤。
12.根据权利要求11所述的访问控制方法,其特征在于所述标识信息对应的状态为允许,指示对所述地址解析协议数据帧进行处理;所述标识信息对应的状态为拒绝,指示丢弃所述地址解析协议数据帧。
13.根据权利要求8至12中所述的访问控制方法,其特征在于,所述标识信息包括IP地址和MAC地址中的至少一个。
全文摘要
本发明提供了一种网络设备和访问控制方法,该网络设备包括地址解析协议数据帧过滤模块,用于根据网络设备接收到的地址解析协议数据帧中的标识信息查找访问控制列表,并且根据标识信息在访问控制列表中对应的状态,对地址解析协议数据帧进行过滤。该设备还包括地址解析协议数据帧检验模块,用于在地址解析协议数据帧过滤模块对地址解析协议数据帧进行过滤之前,对地址解析协议数据帧的合法性和正确性进行检查;地址解析协议数据帧处理模块,用于对地址解析协议数据帧过滤模块允许处理的地址解析协议数据帧进行处理。通过本发明,可以防止非法设备通过地址解析协议数据帧对网络设备进行恶意攻击,提高安全性和可靠性。
文档编号H04L29/06GK101056306SQ20061007268
公开日2007年10月17日 申请日期2006年4月11日 优先权日2006年4月11日
发明者王峰 申请人:中兴通讯股份有限公司