一种基于VLAN构造的访问控制方法技术

本发明专利技术公开了一种基于VLAN构造的访问控制方法，包括以下步骤：S1.进行安全区划分，将整体网络分为若干安全区，同时为安全区分配交换机设备；S2.在一个交换机设备上，建立物理端口或VLAN的逻辑接口的过滤条件；S3.改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构；S4.进行系统设定，划分若干系统。本发明专利技术的方法仅仅改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构，实现了等效的访问控制要求，数据包不需要绕行特定的过滤接口，允许互访的端口能够直接互访，不受中间冗余链路切换、通讯设备冗余切换的影响，减少了对网络带宽资源的占用和网络成本。成本。成本。

【技术实现步骤摘要】
一种基于VLAN构造的访问控制方法


[0001]本专利技术属于网络安全防护
，具体涉及一种基于VLAN构造的访问控制方法。

技术介绍

[0002]传统网络中，VLAN、VxLAN、基本上用作为按租客、安全区、组织单元、业务、系统进行隔离保护，当隔离的保护区之间需要访问控制时，由于用户已经采用VLAN来隔离保护，往往需要通过三层路由等技术接通网络，然后再采用ACL(访问控制列表)来阻断隔离保护区之间不必要的通讯。
[0003]ACL访问控制技术是一种交换机、路由器、内网防火墙都采用的进出规则命令访问控制技术。即通过标准或扩展的ACL命令，在通讯设备端口阻断不允许的通讯，其判断依据主要是是源IP、目标IP、源Mac、目标Mac、TCP/UDP/ICMP(传输和控制协议)五元素检测。其中阻断某种传输和控制协议来防护的应用较少。因此实际上主要采用的是源和目标作为访问控制的判断依据，即指定和限制跨安全区访问对象。
[0004]现有技术缺陷和不足：当使用ACL访问控制时，目前无法解决的技术问题：
[0005]1)网络物理拓扑架构中，一般分为接入层、汇聚层、核心路由层。经常可能需要使用单臂路由来对各隔离VLAN进行访问控制，此时，由于源地址和目标地址在检测口的同一侧。ACL无法处理。
[0006]2)大量使用网络路由或生成树等技术，网络成网格化状态。ACL命令针对于某个通讯端口编写的。数据通路有时非常不可思议。需检测和阻断所有数据流可能的多条通路和方向。选择防御物理位置变得困难。特别是跨多个物理安全区的访问控制。而采用ACL在每个网络交通要道上针对多种业务、系统进行检测阻断。似乎难以实现。
[0007]3)对于实时性要求搞得数据，ACL命令条数太多时，检测有一定的延时会影响通讯，而且，一般交换机和路由器为了保证数据传输时延，限制ACL命令条数。
[0008]4)恶意程序和不法人员可以通过更改IP或采用网内可以规避检测的IP突破访问控制的限定。
[0009]综上所述，我们提出一种基于VLAN构造的访问控制方法。

技术实现思路

[0010]本专利技术的目的在于提供一种基于VLAN构造的访问控制方法，以解决上述
技术介绍
中提出的问题。
[0011]为实现上述目的，本专利技术提供如下技术方案：一种基于VLAN构造的访问控制方法，包括以下步骤：
[0012]S1.进行安全区划分，将整体网络分为若干安全区，同时为安全区分配交换机设备；
[0013]S2.在一个交换机设备上，建立物理端口或VLAN的逻辑接口的过滤条件；
[0014]S3.改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构；
[0015]S4.进行系统设定，划分若干系统；
[0016]S5.按系统和安全区建立隔离组，同组内成员能够给互相访问，不同组成员不能够互相访问；
[0017]S6.建立跨系统、安全区的访问控制组，使不同隔离组的成员之间能够互相访问；
[0018]S7.对每台交换机设备的访问组端口进行IP绑定。
[0019]优选的，所述S3中还包括对网络和网络逻辑拓扑进行整体规划，具体为：将各安全区、业务、系统等按访问控制的不同访问功能和属性，划分成多个用于访问控制的VLAN，使安全区、业务、系统内所有VLAN间能够互访，安全区中每个VLAN与其它安全区中对应的VLAN按访问控制要求形成新的可互访VLAN组，即访问控制VLAN组。
[0020]优选的，所述S7之后还包括在多个安全区/业务/系统间建立指定的访问对象，并建立不同安全区之间源和目标的阻断和互通的访问可控制的关系，具体为：建立IP的访问控制关系和建立端口的访问控制关系。
[0021]优选的，所述S4中的系统包括安全区管理单元、系统管理单元、隔离组管理单元、访问管理单元、端口IP绑定单元。
[0022]优选的，所述安全区管理单元用于根据地理位置或实际区域，划分安全区，将设备分配至指定安全区。
[0023]优选的，所述系统管理单元用于根据实际部门分配，创建对应的系统。
[0024]优选的，所述隔离组管理单元用于根据安全区和系统的对应关系，管理和分配隔离组，使得同一个隔离组的成员可以互相访问，不同隔离组之间的成员不能访问，完成访问隔离。
[0025]优选的，所述访问管理单元用于根据配置的隔离组，设置跨隔离组访问的端口成员，完成访问控制。
[0026]优选的，所述端口IP绑定单元用于配置隔离组成员的端口IP绑定，仅允许绑定的IP进行通信，其他的IP无法通信。
[0027]与现有技术相比，本专利技术的有益效果是：
[0028](1)本专利技术中的方法提供了在二层链路的SDN来实现安全区访问控制，而不仅仅是提供隔离网络功能，相对于需要采用路由网关贯通VLAN，再用ACL列表来实现边界的访问控制；网络VLAN标识不会丢失，安全区/业务/系统仍拥有专属的一组VLAN隔离标签。
[0029](2)传统的方法可自动根据用户企业的业务系统和云架构自动程序定义逻辑拓扑，同时在复杂网格化的冗余网络中，企业IP数据包可能借用不同的通路通讯，采用物理端口的ACL，需要在所有可能的路径上进行访问控制防护，而本专利技术中的方法不需要考虑实际的防御位置网络交换机就可以自动根据VLAN标识进行有效隔离防御。
[0030](3)本专利技术的方法中企业采用二层计算机网络，即使是单台交换机小型控制系统到企业私有云都可以实现可靠的业务数据隔离和访问控制，避免了二层VLAN隔离保护需通过三层路由和ACL实现访问控制通讯，VLAN标识会被丢弃，在路由IP层无系统隔离标识完全互通的环境下，有大量IP可以互访和攻击，仅仅靠ACL来隔离工作量巨大。
[0031](4)当用户对汇聚层、接入层进行VLAN隔离后，采用单臂路由贯通VLAN，在设置ACL时，发现源地址和目标地址在物理端口的同一侧，原理上无法通过进出规则来编写ACL边界
访问控制，而本专利技术不需要单臂路由就可以在汇聚层和接入层进行访问控制，故没有此弊端。
[0032](5)由于VLAN是由交换机标定的，网络病毒能够更改其发出的数据包内容，但无法更改交换机内的标定数据包，因此不可能规避网络对其访问控制的限制。
[0033](6)用户原安全区、业务和系统隔离保护区往往可能用一个VLAN作为隔离标识，现在可能由多个能够互访的专属VLAN组成了安全区、业务和系统，其隔离保护功能等效于原一个VLAN，但增加了一个或多个访问控制的功能的VLAN标识，使具有类似VLAN功能的逻辑拓扑技术也适用于该技术实现访问控制。
附图说明
[0034]图1为本专利技术的流程图。
具体实施方式
[0035]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于VLAN构造的访问控制方法，其特征在于：包括以下步骤：S1.进行安全区划分，将整体网络分为若干安全区，同时为安全区分配交换机设备；S2.在一个交换机设备上，建立物理端口或VLAN的逻辑接口的过滤条件；S3.改变交换机接入端口的VLAN本身的TAG属性和PVID分配等逻辑拓扑结构；S4.进行系统设定，划分若干系统；S5.按系统和安全区建立隔离组，同组内成员能够给互相访问，不同组成员不能够互相访问；S6.建立跨系统、安全区的访问控制组，使不同隔离组的成员之间能够互相访问；S7.对每台交换机设备的访问组端口进行IP绑定。2.根据权利要求1所述的一种基于VLAN构造的访问控制方法，其特征在于：所述S3中还包括对网络和网络逻辑拓扑进行整体规划，具体为：将各安全区、业务、系统等按访问控制的不同访问功能和属性，划分成多个用于访问控制的VLAN，使安全区、业务、系统内所有VLAN间能够互访，安全区中每个VLAN与其它安全区中对应的VLAN按访问控制要求形成新的可互访VLAN组，即访问控制VLAN组。3.根据权利要求1所述的一种基于VLAN构造的访问控制方法，其特征在于：所述S7之后还包括在多个安全区/业务/系统间建立指定的访问对象，并建立不同安全区之间源和目标的阻断和互通...

【专利技术属性】
技术研发人员：方健，
申请(专利权)人：上海自恒信息科技有限公司，
类型：发明
国别省市：