[发明专利]网络设备的报文访问控制方法及系统

说明书

技术领域

本发明涉及通信网技术，尤其涉及一种网络设备的报文访问控制方法及系统。

背景技术

访问控制是网络安全防范和保护的核心策略之一，通过对于输入/输出的报文执行访问控制列表(Access Control List，简称ACL)匹配，来决定是否允许或禁止该报文的通过，从而保证网络设备不被有威胁的报文攻击，以及保证网络资源不被非法使用和访问。

ACL技术被广泛应用在路由器、防火墙等网络设备上，其工作原理如下：

A1、创建ACL；其中，ACL的每一条指令都包括匹配规则和处理策略两部分，通过匹配规则识别需要过滤的对象，并根据预先设定的处理策略执行放行或者丢弃处理；具体的，匹配规则可以仅仅是报文的源IP地址(基本ACL)，可以是报文的五元组信息即<源IP地址、目的IP地址、源端口号、目的端口号、协议号>(扩展ACL)，也可以是包括报文的源IP地址、目的IP地址、IP承载的协议类型、协议的特征(例如：TCP或者UDP的源端口、目的端口，TCP标记，ICMP协议的消息类型、消息码等)等信息在内的任意组合；

A2、在需要的接口上应用指定的ACL指令，并指明应用在出接口方向或入接口方向，即ACL匹配分为入接口ACL匹配和出接口ACL匹配；

A3、当接口收到报文时，按照匹配规则提取报文的源、目的IP地址、协议、协议特征等信息执行入接口ACL匹配，如果能命中则根据指令中设定的处理策略放行或者丢弃报文；

A4、当接口发送经过业务处理的报文时，同样按照匹配规则提取报文的源、目的IP地址、协议、协议特征等信息执行出接口ACL匹配，如果能命中则根据指令中设定的处理策略放行或者丢弃报文。

在应用了ACL技术之后，网络设备对报文的访问控制过程如下：

B1、首先要根据接收报文的接口上所应用的ACL指令，对报文执行入接口ACL匹配，对于匹配成功的报文，根据设定的处理策略丢弃或者执行后续的业务处理；

B2、将执行业务处理后的报文交给指定的发送接口；

B3、根据该发送报文的接口上所应用的ACL指令，对报文执行出接口ACL匹配，对于匹配成功的报文，根据设定的处理策略丢弃或者进行转发。

可以看出，网络设备对于每一个报文，无论其在出接口ACL匹配之后是否被丢弃，都要先行执行业务处理，这无疑消耗了网络设备的系统资源，降低了网络设备的处理效率。

此外，现有技术中网络设备一般是通过CPU进行ACL匹配处理，造成CPU负载很大，会对整个设备的处理能力造成影响。

发明内容

本发明的实施例旨在提供一种能够提高网络设备处理效率的报文访问控制方案。

为实现上述目的，本发明的实施例提供了一种网络设备的报文访问控制方法，对于入接口ACL匹配的处理策略为允许且未开启网络地址转换NAT功能的输入报文，执行以下步骤：

S1、查找该输入报文的出接口信息，根据在相应出接口上所应用的ACL指令，对该输入报文执行出接口ACL匹配；

S2、对于匹配的处理策略为允许的输入报文执行业务处理，并将业务处理完成后获得的输出报文直接通过相应出接口转发。

本发明的实施例还提供了一种网络设备的报文访问控制系统，包括业务处理单元和接口，还包括：

与各接口连接的NAT功能识别单元，用于识别相应接口接收的输入报文是否开启网络地址转换NAT功能；

与各接口以及所述NAT功能识别单元连接的入接口ACL匹配单元，用于根据相应入接口上所应用的ACL指令，对该接口接收的输入报文执行入接口ACL匹配；以及，根据该NAT功能识别单元发送的识别结果，触发业务处理单元对入接口ACL匹配的处理策略为允许且开启NAT功能的输入报文进行处理，触发出接口ACL匹配单元对入接口ACL匹配的处理策略为允许且未开启NAT功能的输入报文进行处理；

与该入接口ACL匹配单元以及业务处理单元连接的出接口ACL匹配单元，用于接受该入接口ACL匹配单元的触发，查找输入报文的出接口信息，根据在相应出接口上所应用的ACL指令对该输入报文执行出接口ACL匹配，以及，触发该业务处理单元对出接口ACL匹配的处理策略为允许的输入报文进行处理，并丢弃匹配的处理策略为禁止的输入报文；