【技术实现步骤摘要】
本专利技术涉及网络访问控制,具体为一种基于国产化服务器的网络访问控制方法及系统。
技术介绍
1、目前国产化替代是国家信息话发展中不可阻挡的步伐,但在目前的国产化服务器操作系统中,已有的网络控制方法要么是通过网络层设备进行控制,该方法控制粒度较粗,控制强度较低,对同网段设备间的网络访问很难进行控制。
2、另外一种就是基于操作系统防火墙进行的主机层网络访问控制,该网络访问控制粒度较细,控制强夺较大,能够基于单个主机进行有效访问控制,但该方法依赖于iptable防火墙或者firewalld防火墙组件,对第三方依赖较强,而且难以做到统一管控和统一策略,在大范围的网络中很难进行有效的管理和配置。
3、目前现有的国产服务器操作系统防火墙配置往往要通过命令模式进行配置,无图形化操作界面,对配置者技术要求较高,运维难度较大。
技术实现思路
1、鉴于上述存在的问题,提出了本专利技术。
2、因此,本专利技术解决的技术问题是:已有的网络控制方法存在控制粒度较粗、控制强度较低、对第三方依赖较强、难以做到统一管控和统一策略等问题。
3、为解决上述技术问题,本专利技术提供如下技术方案:一种基于国产化服务器的网络访问控制方法,包括:获取第一对象的第一数据;对第一数据进行状态检测,生成第一结果;获取访问控制策略表,并与所述第一数据进行对比形成第二结果。
4、作为本专利技术所述的基于国产化服务器的网络访问控制方法的一种优选方案,其中:所述获取第一对象的第一
5、作为本专利技术所述的基于国产化服务器的网络访问控制方法的一种优选方案,其中:所述对第一数据进行状态检测包括,通过状态检测获取第一数据的第一状态,根据第一状态生成第一结果。
6、作为本专利技术所述的基于国产化服务器的网络访问控制方法的一种优选方案,其中:所述对第一数据进行状态检测,生成第一结果之后,还包括,根据所述第一结果进行评估;预设第一区间和第二区间与第一结果进行比对,决定动作的触发;所述动作包括第一动作以及第二动作;所述触发包括,当第一结果属于第一区间时,执行第一动作;当第一结果属于第二区间时,执行第二动作。
7、作为本专利技术所述的基于国产化服务器的网络访问控制方法的一种优选方案,其中:所述获取策略表之前,还包括,管理系统制定网络访问控制策略,根据网络访问控制策略生成访问控制策略表,将访问控制策略表同步至第一对象。
8、作为本专利技术所述的基于国产化服务器的网络访问控制方法的一种优选方案,其中:所述第一数据包括但不限于通过netfilter架构的钩子获取数据包,从数据包中提取五元组信息作为特征数据;所述状态检测包括但不限于hash计算,通过状态检测判断报文是否属于现有连接,生成第一结果。
9、作为本专利技术所述的基于国产化服务器的网络访问控制方法的一种优选方案,其中:所述生成第一结果包括,当报文属于已有连接时直接放行;当报文不属于已有连接时,将报文的五元组信息与访问控制策略表中存储的规则逐条匹配来决定能否通过;若是允许通过的报文,则在连接链与hash表中创建一个新的连接信息,用于后续的检测使用。
10、一种采用本专利技术任一所述方法的基于国产化服务器的网络访问控制系统,其中:数据采集模块、检测模块以及控制模块;所述数据采集模块用于采集第一对象的数据包,从数据包中提取特征数据作为第一数据;所述检测模块用于根据第一数据检测报文是否属于现有连接,并生成第一结果;所述控制模块用于将第一数据与访问控制策略表进行对比,形成第二结果。
11、一种计算机设备,包括:存储器和处理器;所述存储器存储有计算机程序,包括:所述处理器执行所述计算机程序时实现本专利技术中任一项所述的方法的步骤。
12、一种计算机可读存储介质,其上存储有计算机程序,包括:所述计算机程序被处理器执行时实现本专利技术中任一项所述的方法的步骤。
13、本专利技术的有益效果:本专利技术方法在主机侧进行网络访问控制,可以实现细粒度的网络方框控制能力;通过网络驱动监测实现网络控制,控制力度强;不依赖于iptable、firewalld等主机防护墙模块,自主可控性高;c/s架构应用,可实现网络告警统一展示、网络策略统一管控;流量可视化,支持展示流量详情,包括目的终端信息、源终端信息、网络流量类型、处置方式和次数、最近访问时间。
本文档来自技高网...【技术保护点】
1.一种基于国产化服务器的网络访问控制方法,其特征在于,包括:
2.如权利要求1所述的基于国产化服务器的网络访问控制方法,其特征在于:所述获取第一对象的第一数据之前,还包括,
3.如权利要求2所述的基于国产化服务器的网络访问控制方法,其特征在于:所述对第一数据进行状态检测包括,通过状态检测获取第一数据的第一状态,根据第一状态生成第一结果。
4.如权利要求3所述的基于国产化服务器的网络访问控制方法,其特征在于:所述对第一数据进行状态检测,生成第一结果之后,还包括,
5.如权利要求4所述的基于国产化服务器的网络访问控制方法,其特征在于:所述获取策略表之前,还包括,
6.如权利要求1所述的基于国产化服务器的网络访问控制方法,其特征在于:所述第一数据包括但不限于通过Netfilter架构的钩子获取数据包,从数据包中提取五元组信息作为特征数据;
7.如权利要求6所述的基于国产化服务器的网络访问控制方法,其特征在于:所述生成第一结果包括,当报文属于已有连接时直接放行;
8.一种采用如权利要求1~7任一方法所述
9.一种计算机设备,包括:存储器和处理器;所述存储器存储有计算机程序,其特征在于:所述处理器执行所述计算机程序时实现如权利要求1-7任一所述的基于国产化服务器的网络访问控制方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现如权利要求1-7任一所述的基于国产化服务器的网络访问控制方法的步骤。
...【技术特征摘要】
1.一种基于国产化服务器的网络访问控制方法,其特征在于,包括:
2.如权利要求1所述的基于国产化服务器的网络访问控制方法,其特征在于:所述获取第一对象的第一数据之前,还包括,
3.如权利要求2所述的基于国产化服务器的网络访问控制方法,其特征在于:所述对第一数据进行状态检测包括,通过状态检测获取第一数据的第一状态,根据第一状态生成第一结果。
4.如权利要求3所述的基于国产化服务器的网络访问控制方法,其特征在于:所述对第一数据进行状态检测,生成第一结果之后,还包括,
5.如权利要求4所述的基于国产化服务器的网络访问控制方法,其特征在于:所述获取策略表之前,还包括,
6.如权利要求1所述的基于国产化服务器的网络访问控制方法,其特征在于:所述第一数据包括...
【专利技术属性】
技术研发人员:钟掖,龙玉江,卫薇,甘润东,李洵,张光益,班秋成,王杰峰,何熙,朱显峰,陈利民,
申请(专利权)人:贵州电网有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。