CN113596033B - 访问控制方法及装置、设备、存储介质 - Google Patents
访问控制方法及装置、设备、存储介质 Download PDFInfo
- Publication number
- CN113596033B CN113596033B CN202110869833.1A CN202110869833A CN113596033B CN 113596033 B CN113596033 B CN 113596033B CN 202110869833 A CN202110869833 A CN 202110869833A CN 113596033 B CN113596033 B CN 113596033B
- Authority
- CN
- China
- Prior art keywords
- access
- port
- protocol address
- server
- port set
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请实施例公开了一种访问控制方法、装置、设备及存储介质,其中所述方法包括:接收客户端的网络请求;所述网络请求中包括所述客户端的源协议地址和待访问的目标端口标识;按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果;其中,所述访问控制策略包括基于预设的对外开放端口集合和/或预设的协议地址集合生成的包过滤规则;所述协议地址集合中所包括的协议地址能对所述服务器所在集群的所有端口访问,所述所有端口包括所述对外开放端口集合中的端口;基于所述校验结果,对所述网络请求进行访问控制。
Description
技术领域
本申请涉及计算机技术领域,涉及但不限定于访问控制方法及装置、设备、存储介质。
背景技术
在开源的集群管理框架中,常用的通信安全机制,只对指定的端口和国际互联协议地址(Internet Protocol,IP)进行开放访问。相关技术中使用传统的包过滤组件(iptables)链式规则,主机之间添加访问控制列表(Access Control List,ACL)规则。然而随着IP和端口数量的递增,规则显得繁杂,且在使用过程中中央处理器(CentralProcessing Unit,CPU)占用率高,影响通信的简便性,大大提升了用户的体验感。
发明内容
本申请实施例提供一种访问控制方法及装置、设备、存储介质。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供一种访问控制方法,所述方法包括:
接收客户端的网络请求;所述网络请求中包括所述客户端的源协议地址和待访问的目标端口标识;
按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果;其中,所述访问控制策略为所述服务器所在集群规定的访问请求者获得访问权限的规则,所述访问控制策略包括基于预设的对外开放端口集合和/或预设的协议地址集合生成的包过滤规则;
基于所述校验结果,对所述网络请求进行访问控制。
第二方面,本申请实施例提供一种访问控制装置,包括接收模块、校验模块和控制模块,其中:
所述接收模块,用于在接收客户端的网络请求;所述网络请求中包括所述客户端的源协议地址和待访问的目标端口标识;
所述校验模块,用于按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果;其中,所述访问控制策略为所述服务器所在集群规定的访问请求者获得访问权限的规则,所述访问控制策略包括基于预设的对外开放端口集合和/或预设的协议地址集合生成的包过滤规则;
所述控制模块,用于基于所述校验结果,对所述网络请求进行访问控制。
第三方面,本申请实施例提供一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述访问控制方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述访问控制方法中的步骤。
本申请实施例提供的技术方案带来的有益效果至少包括:
在本申请实施例中,首先,接收客户端的网络请求;所述网络请求中包括所述客户端的源协议地址和待访问的目标端口标识;然后,按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果;其中,所述访问控制策略为所述服务器所在集群规定的访问请求者获得访问权限的规则,所述访问控制策略包括基于预设的对外开放端口集合和/或预设的协议地址集合生成的包过滤规则;最后基于所述校验结果,对所述网络请求进行访问控制;如此,通过预先的对外开放端口集合设定端口白名单方案,避免误开端口导致攻击面增大,同时通预设的协议地址集合对集群内部IP采用白名单形式,可以访问所有端口,避免集群新开端口需要进行ACL维护更改。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图,其中:
图1为本申请实施例提供的访问控制方法***结构示意图;
图2为本申请实施例提供的访问控制方法的流程示意图;
图3为本申请实施例提供的访问控制方法的流程示意图;
图4为本申请实施例提供的访问控制方法的流程示意图;
图5为本申请实施例提供的访问控制方法的框架示意图;
图6为本申请实施例提供的访问控制方法的逻辑流程图;
图7为本申请实施例提供的访问控制装置的组成结构示意图;
图8为本申请实施例提供的电子设备的硬件实体示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。以下实施例用于说明本申请,但不用来限制本申请的范围。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在以下的描述中,涉及到“一些实施例”,其描述了所有可能实施例的子集,但是可以理解,“一些实施例”可以是所有可能实施例的相同子集或不同子集,并且可以在不冲突的情况下相互结合。
需要指出,本申请实施例所涉及的术语“第一\第二\第三”仅仅是是区别类似的对象,不代表针对对象的特定排序,可以理解地,“第一\第二\第三”在允许的情况下可以互换特定的顺序或先后次序,以使这里描述的本申请实施例能够以除了在这里图示或描述的以外的顺序实施。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请实施例所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
网络安全防护是一种网络安全技术,指致力于解决诸如如何有效进行介入控制,以及如何保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,***安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
分布式:将不同功能数据放到不能的机器上;将同一数据放到不同的服务器上(数据副本),服务器之间通过网络互通。(涉及到数据的一致局性问题)。
集群:就是用多个服务器来处理同一个功能或存储数据(数据备份),来提高对多用户请求的处理,防止一个服务器处理不过来。一般会通过反向代理(分发请求)来实现集群的功能,其中反向代理软件可以为nginx。
访问控制:对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。
数据加密防护:加密是防护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。
网络隔离防护:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。其他措施:其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。
分布式拒绝服务攻击(Distributed Denial of Service,DDOS)可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用,分布式拒绝服务攻击已经出现了很多次,导致很多的大型网站都出现了无法进行操作的情况,这样不仅仅会影响用户的正常使用,同时造成的经济损失也是非常巨大的。
ACL:是由一系列规则组成的集合,ACL通过这些规则对报文进行分类,从而使设备可以对不同类报文进行不同的处理。同时负责管理用户配置的所有规则,并提供报文匹配规则的算法。
IP集(ipset):是Linux内核内部的一个框架,为设置IP的管理工具,可以通过ipset实用程序进行管理。根据类型的不同,ipset集可以以某种方式存储IP地址、网络地址(网段)、传输控制协议(Transmission Control Protocol,TCP)/用户数据报协议(UserDatagram Protocol,UDP)端口号、媒体访问控制(Medium/Media Access Control,MAC)地址、接口名称(网卡名称)或它们的组合,以确保将条目与该集合匹配时的闪电速度。
iptables链作为Linux平台下的包过滤防火墙的组成部分,是用来设置、维护和检测Linux内核的IP包过滤规则的。可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则链表,对对应的包进行匹配:每条规则指定应当如何处理与之相匹配的包。
目前已有的集群管理框架通信安全机制,存在如下缺点:
1)传统TCP/UDP通信数据SSL(Secure Sockets Layer安全套接字协议)加密:存在安全防御弱点,只能一定程度保障数据安全,但如果通信处理程序存在漏洞,则仍然会被攻击,比如DDOS攻击;
2)传统网络隔离:方案复杂,客户端不易用,且有成本问题;例如使用虚拟网络、虚拟局域网(Virtual Local Area Network,VLAN)、独立通信的网口等隔离集群通信网络;
3)传统iptables链式规则:主机之间添加ACL规则,但是随着IP和端口的递增,规则显得繁杂,CPU占用高且影响性能;
4)互补式通信安全的机制采用的是黑名单机制,仅对黑名单的端口进行ACL管理,容易出现误开端口未被管理。
本申请实施例提供一种访问控制方法,本实施例的访问控制方法所实现的功能可以通过电子设备中的处理器调用程序代码来实现,当然程序代码可以保存在计算机可读存储介质中,可见,该电子设备至少包括处理器和计算机可读存储介质。图1为本申请实施例提供的访问控制方法的流程示意图,如图1所示,该方法至少包括以下步骤:
步骤S110,接收客户端的网络请求;
这里,所述网络请求中包括所述客户端的源协议地址(即访问源IP)和待访问的目标端口标识;其中客户端可以为终端用户或其他服务器。
所述目标端口标识可以为1至65535中的任意一个端口标识;所述协议地址可以为第四版网际协议(Internet Protocol version 4,IPv4)的地址,也可以为第六版网际协议(Internet Protocol version 6,IPv6)的地址。
示例地,服务器1接收到了用户请求与服务器2建立通信的请求,且服务器1与服务器2属于同一分布式集群,则上述请求中会携带服务器2的IPv4地址(192.168.0.1)或者IPv6地址(fe80::fcfc:feff:fe45:9109)。
步骤S120,按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果;
这里,所述访问控制策略为所述服务器所在集群规定的访问请求者获得访问权限的规则,所述访问控制策略包括基于预设的对外开放端口集合和/或预设的协议地址集合生成的包过滤规则(即iptables规则);所述协议地址集合中包括所述服务器所在集群的协议地址集和本机协议地址,所述协议地址集合中的协议地址能对所述服务器所在集群的所有端口访问。
需要说明的是,服务器所在集群的所有端口包括所述对外开放端口集合中的端口,还包括未对外开放的端口以及集群内部访问端口,也就是预设的协议地址集合相当于IP白名单。对外开放端口集合也就是存储了任意客户端均可以访问的端口的集合,相当于端口白名单。集群内部访问端口则为允许集群内的所有服务器互相访问的端口。
iptables规则是采取数据包过滤机制工作的,所以它会对请求的数据包的包头数据进行分析、并根据预先设定的规则进行匹配来决定是否可以进入、流出、流经主机。按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,也就是基于iptables规则,匹配出所述源协议地址和所述目标端口标识是否分别在对外开放端口集合和协议地址集合中,从而限制非法网络流量。
在一些实施方式中,基于iptables规则匹配出源协议地址在预设的协议地址集合中,判定该网络请求为正常访问请求;在另一些实施方式中,基于iptables规则匹配出目标端口标识对应的端口在预设的对外开放端口集合中,判定该网络请求为正常访问请求;在再一些实施方式中,基于iptables规则匹配出源协议地址在预设的协议地址集合中且目标端口标识对应的端口在预设的对外开放端口集合中,判定该网络请求为正常访问请求;在其他一些实施方式中,基于iptables规则确定出源协议地址不在预设的协议地址集合中且目标端口标识对应的端口不在预设的对外开放端口集合中,则判定该网络请求为异常访问请求。
在实施中,预先利用服务器中的ipset工具,创建ipset集合,然后根据配置文件以及增删ACL规则定义ipset集合中的内容,得到最终的对外开放端口集合和协议地址集合。根据最终的对外开放端口集合和协议地址集合,通过服务器的iptables规则设置访问控制策略,其中,在该iptables规则中调用对外开放端口集合和协议地址集合。
步骤S130,基于所述校验结果,对所述网络请求进行访问控制。
这里,通过匹配源协议地址是否在预设的协议地址集合中以及目标端口标识对应的端口是否在预设的对外开放端口集合中,去限制访问端口不在端口白名单或者访问IP不在白名单的网络流量,从而补充常规开源框架的安全防御弱点,保障数据安全。
在本申请实施例中,首先,接收客户端的网络请求;所述网络请求中包括所述客户端的源协议地址和待访问的目标端口标识;然后,按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果;其中,所述访问控制策略为所述服务器所在集群规定的访问请求者获得访问权限的规则,所述访问控制策略包括基于预设的对外开放端口集合和/或预设的协议地址集合生成的包过滤规则;如此,通过预先的对外开放端口集合设定端口白名单方案,避免误开端口导致攻击面增大,同时通预设的协议地址集合对集群内部IP采用白名单形式,可以访问所有端口,避免集群新开端口需要进行ACL维护更改。
图2为本申请实施例提供的访问控制方法的流程示意图,如图2所示,该方法至少包括以下步骤:
步骤S210,接收客户端的网络请求;
这里,所述网络请求中包括所述客户端的源协议地址(即访问源IP)和待访问的目标端口标识;其中客户端可以为终端用户或其他服务器。
步骤S220,若在所述对外开放端口集合中,存在与所述目标端口标识对应的目标访问端口,和/或,在所述协议地址集合中,存在所述源协议地址,确定所述网络请求为安全访问请求;
这里,在所述对外开放端口集合中,存在与所述目标端口标识对应的目标访问端口,说明目标访问端口在对外开放端口集合中,也就是该目标访问端口为任意服务器均可以访问的端口,客户端可以通过该目标访问端口访问服务器,服务器也可以通过该目标访问端口相应客户端的网络请求。
示例地,预设的对外开放端口集合A包括端口A1、端口A2……端口An;客户端需要访问服务器时,向服务器发送网络请求,并携带待访问的目标端口标识为A2,则该网络请求为安全访问请求,可以正常访问服务器。
这里,在所述协议地址集合中,存在所述源协议地址,说明服务器允许源协议地址能访问服务器所在集群所有的端口,从而该客户端可以通过该目标访问端口访问服务器,服务器也可以通过该目标访问端口相应客户端的网络请求。
步骤S230,在所述网络请求为安全访问请求的情况下,通过所述目标端口标识对应的目标网络端口响应所述网络请求;
步骤S240,若在所述对外开放端口集合中,未存在与所述目标端口标识对应的目标访问端口,且,在所述协议地址集合中,未存在所述源协议地址,确定所述网络请求为异常访问请求;
这里,在所述对外开放端口集合中无目标访问端口且所述源协议地址不在所述协议地址集合中,说明该客户端的访问请求为异常访问请求,也就是说该访问请求携带非法网络流量,需要进行限制。
步骤S250,在所述网络请求为异常访问请求的情况下,拒绝所述网络请求。
这里,服务器根据iptables规则判定网络请求为异常访问请求,则拒绝该客户端的网络请求,并限制对应的非法网络流量,从而补充常规开源框架的安全防御弱点,确保通信安全。
在本申请实施例中,在服务器接收到客户端的网络请求时,根据iptables规则过滤掉源访问地址不属于预设的协议地址集合且目标访问端口为非对外开放端口集合中的端口的非法网络流量。本申请实施例通过预先的对外开放端口集合设定端口白名单方案,避免误开端口导致攻击面增大,同时通预设的协议地址集合对集群内部IP采用白名单形式,可以访问所有端口,避免集群新开端口需要进行ACL维护更改,从而完成分布式互补式通信安全的机制设计。
图3为本申请实施例提供的访问控制方法的流程示意图,如图3所示,该方法至少包括以下步骤:
步骤S310,获取所述服务器的配置文件;
这里,所述配置文件包括默认文件和自定义文件;默认文件为***默认的配置文件,优先级较低;自定义文件为用户动态生成的配置文件,优先级较高。在这些配置文件中配置了服务器集群中可以访问所有端口的IP地址、端口号对应的名称以及端口名称是否启用ACL管理等。
在默认文件和自定义文件中对同一端口或IP地址的配置冲突时,优先以自定义文件中的数据为准;反之,在默认文件和自定义文件互不影响的情况下,合并两类配置文件中的数据,提供给上层调用程序。
步骤S320,确定所述默认文件配置的第一访问端口集合、所述自定义文件配置的第二访问端口集合和端口访问列表规则;
这里,所述第一访问端口集合和所述第二访问端口集合分别是默认文件中配置的和所述自定义文件中配置的,因此,第一访问端口集合中和第二访问端口集合中各端口的名称及访问属性可以相同也可以不相同。
端口访问列表规则即端口ACL规则,用于对第一访问端口集合、第二访问端口集合中的端口进行增加和删除,端口访问列表规则包括已经存在的端口ACL规则和期望的端口ACL规则。
步骤S330,基于所述端口访问列表规则,对所述第一访问端口集合和/或所述第二访问端口集合进行增删处理,得到所述对外开放端口集合。
这里,对于从配置文件中获取的端口经过如求交集、求并集、求差集等内部算法进行增删处理,得到最终的对外开放端口集合。在实施中,针对每一端口,比较已经存在的规则和配置文件中定义的是否一致,如有配置文件中新定义了某个端口则更新针对该端口的规则,该算法优化添加效率,运行更快。
在一些实施方式中,在所述第一访问端口集合与所述第二访问端口集合不一致的情况下,基于所述端口访问列表规则,对所述第一访问端口集合与所述第二访问端口集合中的所有访问端口进行增删处理,得到所述开放访问端口集合。这里,在第一访问端口集合与第二访问端口集合中的端口不一致的情况下,求取这两个集合中的端口并集,并通过端口访问列表规则限定最终的开放访问端口集合。
在另一些实施方式中,在所述第一访问端口集合与所述第二访问端口集合中存在同一端口的访问属性冲突的情况下,基于所述端口访问列表规则,对所述第二访问端口集合进行增删处理,得到所述开放访问端口集合。这里,在第一访问端口集合与第二访问端口集合中同一端口的访问属性冲突的情况下,以第二访问端口集合为基准,并通过端口访问列表规则限定最终的开放访问端口集合。
示例地,假设默认配置文件中设置端口22对外开放,而用户自定义的配置文件中,限定端口22封禁。显然,默认配置文件和自定义配置文件对于同一端口22的访问属性设置存在冲突,此时***以用户自定义的为准,确定该端口22封禁,不能增加至对外开放端口集合中。
在本申请实施例中,通过获取配置文件中配置的第一访问端口集合和第二访问端口集合,并按照端口ACL规则进行增删处理,限定最终的对外开放端口集合,从而可以基于设定的对外开放端口集合生成iptables规则,使得所有客户端均可访问该对外开放端口集合中的端口,有效避免开发人员误开端口导致攻击面增大。
图4为本申请实施例提供的访问控制方法的流程示意图,如图4所示,该方法至少包括以下步骤:
步骤S410,获取所述服务器的配置文件;
这里,所述配置文件包括默认文件和自定义文件,且配置文件中配置了服务器集群中可以访问所有端口的IP地址,也就是IP白名单。
步骤S420,基于所述配置文件,确定所述服务器中的协议地址白名单和地址访问列表规则;
这里,所述协议地址白名单(IP白名单)中包括默认可以访问所有端口的IP地址和动态生成的可以访问所有端口的IP地址。
所述地址访问列表规即IP ACL规则,包括已存在的IP ACL规则和期望的IP ACL规则,用于对IP地址进行增加或删除处理,以限定可以访问内部所有端口的IP集,即预设的协议地址集合。
步骤S430,获取所述服务器的所有网口的第一类协议地址和第二类协议地址;
这里,所述第一类协议地址为IPv4,例如192.168.0.1,所述第二类协议地址为IPv6,例如fe80::fcfc:feff:fe45:9109。可以通过服务的命令行中执行相关命令获取服务器的所有网口的第一类协议地址和第二类协议地址,或者,可以通过相关地址管理软件获取服务器的所有网口的第一类协议地址和第二类协议地址,本申请实施例对获取的方式不作限定。
值得注意的是,由于IPv4、IPv6的数据格式不同,因此将协议地址拆分为IPv4、IPv6分别处理,更易管理数据。
步骤S440,基于所述地址访问列表规则,对所述协议地址白名单、所述第一类协议地址和所述第二类协议地址进行增删处理,得到所述预设的协议地址集合。
这里,对于从配置文件中获取的协议地址白名单、以及获取的所有网口的IPv4、IPv6经过如求交集、求并集、求差集等内部算法进行增删处理,得到允许访问所有端口的IPv4集合和允许访问所有端口的IPv6集合,并将该IPv4集合和IPv6集合作为最终的对外开放端口集合。
在实施中,针对每一协议地址,比较已经存在的规则和配置文件中定义的是否一致,如有配置文件中新定义了某个协议地址则更新针对该协议地址的规则,该算法优化添加效率,运行更快。
在本申请实施例中,通过获取配置文件中配置的协议地址白名单以及服务器所有网口的IPv4、IPv6地址,并按照地址访问列表规则进行增删处理,限定最终的对外开放端口集合。这样,通过设定协议地址集合使集群内部协议地址均可访问所有端口,避免集群新开端口需要进行ACL维护更改,实现了分布式通信安全机制的优化。
下面结合一个具体实施例对上述访问控制方法进行说明,然而值得注意的是,该具体实施例仅是为了更好地说明本申请,并不构成对本申请的不当限定。
图5为本申请实施例提供的访问控制方法的框架示意图,如图5所示,服务器接收到外部的网络请求50,基于已生成的iptables规则51对该网络请求中的网络流量进行逻辑判断,若该网络请求50的源IP为外部来源IP 52,则只能访问预先配置的对外开放端口54;若该网络请求的源IP属于集群IP集以及本机IP 53,则该网络请求50即可以访问对外开放端口54,也可以访问非对外开放端口55或集群内部访问端口56。
图6为本申请实施例提供的访问控制方法的逻辑流程图,如图6所示,该方法包括以下步骤:
步骤S601,生成ipset集合;
这里,通过以下执行语句:
ipset create dmoc_service_port bitmap:port range 1-65535
ipset create dmoc_cluster_ip hash:ip
ipset create dmoc_cluster_ip_v6 hash:ip family inet6
生成dmoc_service_port(相当于对外开放端口集合)、dmoc_cluster_ip(相当于协议地址集合)、dmoc_cluster_ip_v6(相当于协议地址集合)三个ipset集合,分别用于存储对外访问的端口、允许访问所有端口的IPv4、允许访问所有端口的IPv6。值得注意的是,此处这三个集合是空的,需要用户自定义配置数据。
步骤S602,获取配置文件;
这里,服务器的配置文件包括***默认的配置文件和用户自定义的配置文件两种,其中,默认配置文件包括以下三个:
ip_default.json:默认可以访问所有端口的IP地址;
port_default.json:默认端口号对应的名称;
port_mgr_default.json:名称是否启用ACL管理;
用户自定义的配置文件包括以下三个:
ip.json:动态生成的可以访问所有端口的IP地址;
port_userdefined.json:用户定义端口号对应的名称
port_mgr_userdefined.json:用户定义的名称是否启用ACL管理
需要说明的是,不同配置文件采取合并的方式,设定默认配置文件的优先级低于自定义的配置文件的优先级。当冲突时优先以自定义的配置文件中的数据为准;当自定义的配置文件为新增时,则合并为一个文件。
步骤S603,获取本机所有网口的IP;
获取本机所有网口的IPv4、IPv6地址,以便于允许集群内部IP访问包括对外开放端口、非对外开放端口和集群内部访问端口的所有端口,保证内部通信正常。
步骤S604,基于ACL规则对获取的配置内容和IP进行增删处理,得到限定的ipset集合;
将步骤S502至S503获取的配置内容及IP经过算法计算,进行增删ACL规则,限制对外开放端口集合,可访问内部所有端口的IP集合dmoc_cluster_ip、dmoc_cluster_ip_v6,其中,删除和添加ACL规则的代码如下:
删除端口:ports_exist-ports_expect;
新增端口:ports_expect-ports_exist;
新增IP:fetch_inet(ips_expect-ips_exist);
删除IP:fetch_inet(ips_exist-ips_expect);
其中,ports_exist是指已存在的端口ACL规则;ports_expect是指期望的端口ACL规则(从配置文件中获取的);ips_expect是指期望的IP ACL规则(从配置文件获取);ips_exist是指已存在的IP ACL规则;fetch_inet是指把IP拆分为IPv4、IPv6分别处理。
本申请实施例中的算法可以为自定义的算法,采用的是集合的交集、并集、差集等计算而来。
步骤S605,更新IP列表,并将更新的IP存储至配置文件;
在配置文件中写入期望IP列表。对ACL规则更新完成后,需要将获取的最新的集群IP、集群VIP、本机所有IP,写入配置文件。配置文件用于备份获取的数据,避免集群服务器之间出现通信异常,导致ACL规则维护异常,从而保证***和ACL通信的稳定性。
步骤S606,基于限定后的ipset集合,生成iptables规则。
这里,针对不同类型的数据包流量,生成相应的iptables规则:
对于TCP流量的规则为:!match-set dmoc_service_port dst!match-set dmoc_cluster_ip src ctstate NEW reject-with icmp-host-unreachable
对于UDP流量的规则:!match-set dmoc_service_port dst!match-set dmoc_cluster_ip src reject-with icmp-host-unreachable
基于iptables规则可以就不同应用场景设置相应的访问控制策略,例如:在访问端口不在dmoc_service_port集合并且访问源IP不在dmoc_cluster_ip、dmoc_cluster_ip_v6集合的情况下,则拒绝该网络请求;在访问端口不在dmoc_service_port集合,并且访问源IP在dmoc_cluster_ip、dmoc_cluster_ip_v6集合中的情况下,则该网络请求访问成功;在访问端口在dmoc_service_port集合,并且访问源IP不在dmoc_cluster_ip、dmoc_cluster_ip_v6集合中的情况下,则该网络请求访问成功。这样,根据ipset和iptables的规则,优化集群新增开放端口,无需改动ACL,即可限制对应的非法网络流量。
值得注意的是,本申请实施例在获取之配置内容及本机所有网口的IP之后才生成iptables,维护程序健壮性,优化异常断电的无法访问情况。同时增加扩展性机制,更灵活;简化配置,更易维护。
本申请实施例的方案可与传统TCP/UDP通信数据SSL加密、使用隔离集群通信网络形成互补式通信安全机制,保障数据安全同时防御DDOS攻击,互不干扰,增加一层安全防护,同时适用于大多数开源集群分布式框架,可形成分布式环境的通信安全机制。
在本申请实施例中,基于分布式互补式通信安全的机制设计的优化,对外开放端口改为白名单形式,避免误开端口导致攻击面增大;同时基于分布式互补式通信安全的机制设计的优化,对集群内部IP采用白名单形式,可以访问所有端口,避免集群新开端口需要进行ACL维护更改;而且白名单方案灵活性设计,支持用户自定义。
基于前述的实施例,本申请实施例再提供一种访问控制装置,所述装置包括所包括的各模块、以及各模块所包括的各子模块及各单元,可以通过电子设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(Central Processing Unit,CPU)、微处理器(Micro Processing Unit,MPU)、数字信号处理器(Digital Signal Processor,DSP)或现场可编程门阵列(Field Programmable GateArray,FPGA)等。
图7为本申请实施例提供的访问控制装置的组成结构示意图,如图7所示,所述装置700包括接收模块710、校验模块720和控制模块730,其中:
所述接收模块710,用于在接收客户端的网络请求;所述网络请求中包括所述客户端的源协议地址和待访问的目标端口标识;
所述校验模块720,用于按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果;其中,所述访问控制策略为所述服务器所在集群规定的访问请求者获得访问权限的规则,所述访问控制策略包括基于预设的对外开放端口集合和/或预设的协议地址集合生成的包过滤规则;
所述控制模块730,用于基于所述校验结果,对所述网络请求进行访问控制。
在一些可能的实施例中,所述协议地址集合中所包括的协议地址能对所述集群的所有端口访问,所述所有端口包括所述对外开放端口集合中的端口,所述校验模块720还用于若在所述对外开放端口集合中,存在与所述目标端口标识对应的目标访问端口,和/或,在所述协议地址集合中,存在所述源协议地址,确定所述网络请求为安全访问请求;相应地,所述控制模块730还用于在所述网络请求为安全访问请求的情况下,通过所述目标端口标识对应的目标网络端口响应所述网络请求。
在一些可能的实施例中,所述校验模块720还用于若在所述对外开放端口集合中,未存在与所述目标端口标识对应的目标访问端口,且,在所述协议地址集合中,未存在所述源协议地址,确定所述网络请求为异常访问请求;相应地,所述控制模块730还用于在所述网络请求为异常访问请求的情况下,拒绝所述网络请求。
在一些可能的实施例中,所述装置700还包括第一获取模块、第一确定模块和第二模块,其中:所述第一获取模块,用于获取所述服务器的配置文件;其中,所述配置文件包括默认文件和自定义文件;所述第一确定模块,用于确定所述默认文件配置的第一访问端口集合、所述自定义文件配置的第二访问端口集合和端口访问列表规则;所述第二确定模块,用于基于所述端口访问列表规则,对所述第一访问端口集合和/或所述第二访问端口集合进行增删处理,得到所述对外开放端口集合。
在一些可能的实施例中,所述第二确定模块包括第一确定单元和第二确定单元,其中:所述第一确定单元,用于在所述第一访问端口集合与所述第二访问端口集合不一致的情况下,基于所述端口访问列表规则,对所述第一访问端口集合与所述第二访问端口集合中的所有访问端口进行增删处理,得到所述开放访问端口集合;所述第二确定单元,用于在所述第一访问端口集合与所述第二访问端口集合中存在同一端口的访问属性冲突的情况下,基于所述端口访问列表规则,对所述第二访问端口集合进行增删处理,得到所述开放访问端口集合。
在一些可能的实施例中,所述装置700还包括第二获取模块、第三确定模块、第三获取模块和第四确定模块,其中:所述第二获取模块,用于获取所述服务器的配置文件;所述第三确定模块,用于基于所述配置文件,确定所述服务器中的协议地址白名单和地址访问列表规则;所述第三获取模块,用于获取所述服务器的所有网口的第一类协议地址和第二类协议地址;所述第四确定模块,用于基于所述地址访问列表规则,对所述协议地址白名单、所述第一类协议地址和所述第二类协议地址进行增删处理,得到所述预设的协议地址集合。
在一些可能的实施例中,所述装置700还包括更新模块,用于将所述预设的协议地址集合中的协议地址列表写入所述配置文件,以更新所述配置文件。
这里需要指出的是:以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述访问控制方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得电子设备(可以是具有摄像头的智能手机、平板电脑等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述任一实施例中所述访问控制方法中的步骤。对应地,本申请实施例中,还提供了一种芯片,所述芯片包括可编程逻辑电路和/或程序指令,当所述芯片运行时,用于实现上述任一实施例中所述访问控制方法中的步骤。对应地,本申请实施例中,还提供了一种计算机程序产品,当该计算机程序产品被电子设备的处理器执行时,其用于实现上述任一实施例中所述访问控制方法中的步骤。
基于同一技术构思,本申请实施例提供一种电子设备,用于实施上述方法实施例记载的访问控制方法。图8为本申请实施例提供的电子设备的硬件实体示意图,如图8所示,所述电子设备800包括存储器810和处理器820,所述存储器810存储有可在处理器820上运行的计算机程序,所述处理器820执行所述程序时实现本申请实施例任一所述访问控制方法中的步骤。
存储器810配置为存储由处理器820可执行的指令和应用,还可以缓存待处理器820以及电子设备中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random Access Memory,RAM)实现。
处理器820执行程序时实现上述任一项的访问控制方法的步骤。处理器920通常控制电子设备800的总体操作。
上述处理器可以为特定用途集成电路(Application Specific IntegratedCircuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(Programmable LogicDevice,PLD)、现场可编程门阵列(Field Programmable Gate Array,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。可以理解地,实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。
上述计算机存储介质/存储器可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种电子设备,如移动电话、计算机、平板设备、个人数字助理等。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个***,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本申请实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得设备自动测试线执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种访问控制方法,其特征在于,应用于服务器,所述方法包括:
接收客户端的网络请求;所述网络请求中包括所述客户端的源协议地址和待访问的目标端口标识;
按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果;其中,所述访问控制策略为所述服务器所在集群规定的访问请求者获得访问权限的规则,所述访问控制策略包括基于预设的对外开放端口集合和/或预设的协议地址集合生成的包过滤规则;所述对外开放端口集合是根据端口访问列表规则和第一访问端口集合和/或第二访问端口集合获得的;所述第一访问端口集合是服务器的配置文件中的默认文件所配置的访问端口集合,所述第二访问端口集合是所述服务器的配置文件中的自定义文件所配置的访问端口集合;所述协议地址集合是根据所述服务器中的地址访问列表规则和协议地址白名单、以及所述服务器的所有网口的第一类协议地址和第二类协议地址获得的;
基于所述校验结果,对所述网络请求进行访问控制。
2.如权利要求1所述的方法,其特征在于,所述协议地址集合中所包括的协议地址能对所述集群的所有端口访问,所述所有端口包括所述对外开放端口集合中的端口,所述按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果,包括:
若在所述对外开放端口集合中,存在与所述目标端口标识对应的目标访问端口,和/或,在所述协议地址集合中,存在所述源协议地址,确定所述网络请求为安全访问请求;
相应地,所述基于所述校验结果,对所述网络请求进行访问控制,包括:在所述网络请求为安全访问请求的情况下,允许所述目标端口标识对应的目标网络端口响应所述网络请求。
3.如权利要求2所述的方法,其特征在于,所述按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果,包括:
若在所述对外开放端口集合中,未存在与所述目标端口标识对应的目标访问端口,且,在所述协议地址集合中,未存在所述源协议地址,确定所述网络请求为异常访问请求;
相应地,所述基于所述校验结果,对所述网络请求进行访问控制,包括:在所述网络请求为异常访问请求的情况下,拒绝所述网络请求。
4.如权利要求1至3任一项所述的方法,其特征在于,所述对外开放端口集合通过以下方式确定:
获取所述服务器的配置文件;其中,所述配置文件包括默认文件和自定义文件;
确定所述默认文件配置的第一访问端口集合、所述自定义文件配置的第二访问端口集合和端口访问列表规则;
基于所述端口访问列表规则,对所述第一访问端口集合和/或所述第二访问端口集合进行增删处理,得到所述对外开放端口集合。
5.如权利要求4所述的方法,其特征在于,所述基于所述端口访问列表规则,对所述第一访问端口集合和/或所述第二访问端口集合进行增删处理,得到所述对外开放端口集合,包括:
在所述第一访问端口集合与所述第二访问端口集合不一致的情况下,基于所述端口访问列表规则,对所述第一访问端口集合与所述第二访问端口集合中的所有访问端口进行增删处理,得到所述对外开放端口集合;
在所述第一访问端口集合与所述第二访问端口集合中存在同一端口的访问属性冲突的情况下,基于所述端口访问列表规则,对所述第二访问端口集合进行增删处理,得到所述对外开放端口集合。
6.如权利要求1至3任一项所述的方法,其特征在于,所述预设的协议地址集合通过以下方式确定:
获取所述服务器的配置文件;
基于所述配置文件,确定所述服务器中的协议地址白名单和地址访问列表规则;
获取所述服务器的所有网口的第一类协议地址和第二类协议地址;
基于所述地址访问列表规则,对所述协议地址白名单、所述第一类协议地址和所述第二类协议地址进行增删处理,得到所述预设的协议地址集合。
7.如权利要求4所述的方法,其特征在于,所述方法还包括:
将所述预设的协议地址集合中的协议地址列表写入所述配置文件,以更新所述配置文件。
8.一种访问控制装置,其特征在于,应用于服务器,所述装置包括接收模块、校验模块和控制模块,其中:
所述接收模块,用于在接收客户端的网络请求;所述网络请求中包括所述客户端的源协议地址和待访问的目标端口标识;
所述校验模块,用于按照预设的访问控制策略对所述源协议地址和所述目标端口标识进行校验,得到校验结果;其中,所述访问控制策略为所述服务器所在集群规定的访问请求者获得访问权限的规则,所述访问控制策略包括基于预设的对外开放端口集合和/或预设的协议地址集合生成的包过滤规则;所述对外开放端口集合是根据端口访问列表规则和第一访问端口集合和/或第二访问端口集合获得的;所述第一访问端口集合是服务器的配置文件中的默认文件所配置的访问端口集合,所述第二访问端口集合是所述服务器的配置文件中的自定义文件所配置的访问端口集合;所述协议地址集合是根据所述服务器中的地址访问列表规则和协议地址白名单、以及所述服务器的所有网口的第一类协议地址和第二类协议地址获得的;
所述控制模块,用于基于所述校验结果,对所述网络请求进行访问控制。
9.一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现权利要求1至7任一项所述方法中的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现权利要求1至7中任一项所述方法中的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110869833.1A CN113596033B (zh) | 2021-07-30 | 2021-07-30 | 访问控制方法及装置、设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110869833.1A CN113596033B (zh) | 2021-07-30 | 2021-07-30 | 访问控制方法及装置、设备、存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113596033A CN113596033A (zh) | 2021-11-02 |
| CN113596033B true CN113596033B (zh) | 2023-03-24 |
Family
ID=78252389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110869833.1A Active CN113596033B (zh) | 2021-07-30 | 2021-07-30 | 访问控制方法及装置、设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113596033B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114640545B (zh) * | 2022-05-09 | 2022-08-19 | 北京华顺信安科技有限公司 | 机器权限获取方法、装置、存储介质及电子设备 |
| CN114826775B (zh) * | 2022-06-01 | 2023-11-07 | 北京东土军悦科技有限公司 | 数据包的过滤规则生成方法及装置、***、设备和介质 |
| CN116188213B (zh) * | 2023-02-17 | 2023-12-01 | 江苏灵狐软件科技有限公司 | 一种综合性智慧校园管理平台 |
| CN116455660B (zh) * | 2023-05-04 | 2023-10-17 | 北京数美时代科技有限公司 | 页面访问请求的控制方法、***、存储介质和电子设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112448954A (zh) * | 2020-11-25 | 2021-03-05 | 中国人民解放军陆军工程大学 | 面向分布式访问控制策略的配置弱点分析方法和*** |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9197498B2 (en) * | 2012-08-31 | 2015-11-24 | Cisco Technology, Inc. | Method for automatically applying access control policies based on device types of networked computing devices |
| CN103905407A (zh) * | 2012-12-28 | 2014-07-02 | ***通信集团公司 | 一种防火墙访问控制策略的分析方法及装置 |
| CN106302371B (zh) * | 2015-06-12 | 2019-06-28 | 北京网御星云信息技术有限公司 | 一种基于用户业务***的防火墙控制方法和*** |
| CN107426168A (zh) * | 2017-05-23 | 2017-12-01 | 国网山东省电力公司电力科学研究院 | 一种网络安全访问处理方法及装置 |
| CN110290147A (zh) * | 2019-07-05 | 2019-09-27 | 上海中通吉网络技术有限公司 | 安全渗透防御方法、装置和设备 |
| CN110311929B (zh) * | 2019-08-01 | 2022-01-07 | 江苏芯盛智能科技有限公司 | 一种访问控制方法、装置及电子设备和存储介质 |
| CN110958262A (zh) * | 2019-12-15 | 2020-04-03 | 国网山东省电力公司电力科学研究院 | 电力行业泛在物联网安全防护网关***、方法及部署架构 |
| CN111355746B (zh) * | 2020-03-16 | 2022-08-05 | 深信服科技股份有限公司 | 一种通信方法、装置、设备及存储介质 |
-
2021
- 2021-07-30 CN CN202110869833.1A patent/CN113596033B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112448954A (zh) * | 2020-11-25 | 2021-03-05 | 中国人民解放军陆军工程大学 | 面向分布式访问控制策略的配置弱点分析方法和*** |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113596033A (zh) | 2021-11-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113596033B (zh) | 访问控制方法及装置、设备、存储介质 | |
| US11575712B2 (en) | Automated enforcement of security policies in cloud and hybrid infrastructure environments | |
| US10333988B2 (en) | Security mediation for dynamically programmable network | |
| US11218445B2 (en) | System and method for implementing a web application firewall as a customized service | |
| EP3192230B1 (en) | System and method for providing an integrated firewall for secure network communication in a multi-tenant environment | |
| US11044230B2 (en) | Dynamically opening ports for trusted application processes hosted in containers | |
| JP6994123B2 (ja) | コンテナネットワークのためのセキュリティ | |
| US20210314250A1 (en) | Auto re-segmentation to assign new applications in a microsegmented network | |
| US10484418B2 (en) | Systems and methods for updating security policies for network traffic | |
| CN111355746B (zh) | 一种通信方法、装置、设备及存储介质 | |
| CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
| US11509694B1 (en) | Methods and systems for network device reconfigurations | |
| KR102407136B1 (ko) | 컨트롤러 기반 네트워크 접속을 제어하기 위한 시스템 및 그에 관한 방법 | |
| US11063982B2 (en) | Object scope definition for enterprise security management tool | |
| CN114041132A (zh) | 执行环境和网守布置 | |
| US11381446B2 (en) | Automatic segment naming in microsegmentation | |
| US20230319115A1 (en) | Systems and methods for validating, maintaining, and visualizing security policies | |
| US20120324569A1 (en) | Rule compilation in a firewall | |
| CN113630381A (zh) | 一种基于分布式与人工智能的双工赋能网络攻防的方法及*** | |
| US20230179623A1 (en) | Breach path prediction and remediation | |
| US20230146669A1 (en) | Resource unit isolation for increased safety and security in cloud services |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |