[实用新型]一种全局的网络访问控制装置和网络设备

说明书

技术领域

本实用新型实施例涉及一种全局的网络访问控制装置和网络设备，属于数据通信技术领域。

背景技术

随着网络通信技术的发展，以太网已经广泛地应用于我们的生活中，网络为我们的工作、生活提供了极大的便利，尤其是一些大中型企业网的应用，极大的方便了企业内部用户之间、内部用户与外部用户之间的信息交互。

但是，高度的互联互通也产生了信息资源的安全问题。在企业网络中，如果用户接入网络的以太网交换机未能提供相应的访问控制策略，那么就会很容易的被不法分子利用，盗取机密资料或者发起恶意攻击等。

为了实现对报文的访问控制，首先要配置一些规则来规定什么特征的数据包可以通过，什么特征的数据包不可以通过，这样的规则表项称为访问控制表项(Access Control Entry，简称ACE)，多条规则的集合称为访问控制列表(Access Control List，简称ACL)。

每一条ACE由三部分组成：规则(Rule)，掩码(Mask)，行为(Action)。规则是由事先定义好的一系列匹配字段和对应的字段值组成的，这些字段包括源/目的介质访问控制(Media Access Control，简称MAC)地址信息，源/目的因特网协议(Internet Protocol，简称IP)地址信息，承载的协议类型等。掩码是和规则中的匹配字段一一对应的，它表明了字段中那些位(bit)需要关注，那些位(bit)可以不关注。而行为就是满足控制规则的报文应该实施的策略，有通过(Permit)和拒绝(Deny)两种行为。

例如ACE1：Permit ip 192.168.1.2 any

在ACE1中，匹配字段为源和目的IP地址信息，但是由于掩码的作用，我们只关注源IP地址信息(为192.168.1.2)，而不关注目标IP地址信息(为any)；行为为permit。上述访问控制表项表明：允许源IP地址为192.168.1.2的任何报文通过。

鉴于网络安全的需要，现有的以太网接入交换机均提供了多种网络安全机制。最普遍的就是基于端口的访问控制，即在每个端口上配置一系列的访问规则，对报文进行过滤。但是这种方案在网络用户接入端口不固定，且可能经常发生变动的场景下并不适合。在这样的场景中，我们可能只需要让和交换机连接的某几个用户可以访问即可，而不关注交换机连接用户的是哪一个端口。这时候基于端口的访问控制在配置上就显得繁琐复杂、不够灵活。如当某网络用户连接交换机的端口发生变化时，还需要对配置进行及时修改，不然就导致用户访问网络异常。即使使用特殊配置勉强实现功能需求，如在每个端口上都配置放行所有用户报文的访问控制表项，则会极大的浪费硬件资源。

实用新型内容

本实用新型实施例的目的是提供一种全局的网络访问控制装置和网络设备，对用户进行整体的访问控制，解决了基于端口对用户进行控制时，用户连接的端口发生变化时导致网络异常的问题。

为了实现上述目的，本实用新型实施例提供了一种全局的网络访问控制装置，包括访问控制规则设置单元、绑定单元和过滤单元；

所述访问控制规则设置单元用于设置全局的访问控制规则；

所述绑定单元用于将所述访问控制规则关联到需要进行访问控制的网络设备；

所述过滤单元用于根据所述访问控制规则对接收的报文进行过滤。

为了实现上述目的，本实用新型实施例还提供了一种网络设备，所述网络设备包括上述装置。

本实用新型实施例通过设置全局的访问控制规则，并将所述访问控制规则关联到需要进行访问控制的网络设备，而不是绑定到网络设备的某个端口，可以实现对用户进行整体的访问控制，解决了基于端口对用户进行控制时，用户连接的端口发生变化时导致网络异常的问题。

附图说明

图1为本实用新型一种全局的网络访问控制装置实施例示意图

图2为本实用新型实施例的系统拓朴结构示意图

图3为本实用新型一种网络设备实施例示意图

具体实施方式

本实用新型实施例的目的是提供一种全局的网络访问控制装置和网络设备，对用户进行整体的访问控制，解决了基于端口对用户进行控制时，用户连接的端口发生变化时导致网络异常的问题。

下面结合附图对本实用新型进行具体的说明。

图1给出了本实用新型一种全局的网络访问控制装置实施例示意图，所述装置包括访问控制规则设置单元M1、绑定单元M2和过滤单元M3；

所述网络访问控制装置具体的可以位于进行网络访问控制的网络设备中，例如位于交换机中。