專利名稱:網絡地址轉換方法及實現訪問控制列表的方法
技術領域:
本發明涉及網絡安全技術,尤其涉及一種網絡地址轉換方法及實現訪問控制列表的方法。
背景技術:
現今,伴隨著計算機和通訊技術的高速發展,網絡的開放性、互連性、共享性程度的擴大,企業越來越依賴信息和網絡技術來支持其在全球市場中的迅速成長和擴大。但隨之而來的威脅也越來越多,如黑客攻擊、惡意代碼、蠕蟲病毒。為此,很多企業根據核心數據庫和系統運營的需要,逐步部署了防火墻、防病毒等安全產品,并配備了相應的安全策略及網絡安全管理設備。
網絡地址轉換(Network Address Transform,NAT)是指在一個網絡內部,根據需要可以隨意自定義IP地址,而不需要經過申請。在網絡內部,各計算機間通過內部的IP地址進行通訊。而當內部的計算機要與外部internet網絡進行通訊時,具有NAT功能的設備(比如路由器)負責將其內部的IP地址轉換為合法的IP地址(即經過申請的IP地址)進行通信。NAT的目的是一個企業申請的合法Internet IP地址很少,而內部網絡用戶很多。可以通過NAT功能實現多個用戶同時公用一個合法IP與外部Internet進行通信。通過這種設置將企業內部網與外部internet網絡隔開,能防止非法外部用戶對企業內部網絡的訪問及攻擊。
目前,在實現NAT時,具有NAT功能的設備收到一個IP包會先用網絡內部IP地址和端口號為索引去查找是否已經有對應的網絡內部地址與網絡外部公用的合法IP地址轉換信息,如果沒有該信息,具有NAT功能的設備會生成網絡內部IP地址和端口號與網絡外部IP地址和端口號的地址轉換信息對應關系,后續有以相同的網絡內部IP地址和端口號標識的數據包時,就可以按照這個記錄的地址轉換信息進行網絡內部IP地址和端口號與網絡外部標準IP地址和端口號的轉換。
訪問控制列表(Access Control List,ACL)是一種機制,可以控制和過濾通過路由器的不同接口去往不同方向的信息流。這種機制允許用戶使用訪問表來管理信息流,以制定公司內部網絡的相關策略。這些策略可以描述安全功能,并且反映流量的優先級別。例如,某個組織可能希望允許或拒絕Internet對內部Web服務器的訪問,或者允許內部局域網上一個或多個工作站能夠將數據流發到廣域網上。網絡中的節點資源節點和用戶節點兩大類,其中資源節點提供服務或數據,用戶節點訪問資源節點所提供的服務與數據。ACL的主要功能就是一方面保護資源節點,阻止非法用戶對資源節點的訪問,另一方面限制特定的用戶節點所能具備的訪問權限。
目前,ACL使用包過濾技術,在路由器上讀取第三層及第四層包頭中的信息如源地址、目的地址、源端口、目的端口等,根據預先定義好的規則對包進行過濾,從而達到訪問控制的目的。一種ACL技術是利用五元組(源IP、源端口,目的IP、目的端口、協議號)進行索引查找相應的訪問動作,該技術生成訪問控制表項的過程與NAT相似,也是在路由器收到一個IP包后查詢訪問控制表進行匹配,如果訪問控制表中沒有對應的表項,路由器利用該報文的五元組生成與用戶訪問動作的對應關系表項,添加進訪問控制表中,后續數據包就按照該對應關系進行相應的訪問動作。
現有技術通過快速轉換緩存存儲NAT和ACL的轉換表項,存在以下缺點首先,只能查看當前正在使用的表項,不能知道NAT及ACL轉換的歷史信息,也不能知道用戶的上下線時間;其次,快速緩存僅存儲當前正在使用的表項,在使用完后刪除,當網絡遭到攻擊用戶又已經下線時,無法準確判斷攻擊來源及攻擊時間長短。
發明內容
本發明解決的技術問題是提供一種網絡地址轉換方法和實現訪問控制列表的方法,以實現能夠記錄NAT及ACL轉換的歷史信息,查看用戶上下線時間,當網絡遭到攻擊用戶下線時仍然能夠準確判斷攻擊來源及攻擊時間長短,并且實現的工作量小,既簡單又方便。
為解決上述問題,本發明的一種網絡地址轉換方法,包括以下步驟A.當接收到用戶數據包后,判斷是否存在所述用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,如果判斷結果為是,則執行步驟C,否則執行步驟B;B.生成該用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,并進行日志記錄;C.根據所述用戶數據包對應的網絡地址轉換信息對該用戶數據包進行網絡地址轉換。
其中,步驟B中進行日志記錄具體包括B1.采集日志信息;B2.將所述采集的日志信息寫入日志緩存。
其中,所述步驟B2之后還包括B3.判斷日志緩存的存儲空間是否已滿,若判斷結果為是,則將所述日志緩存的日志信息保存到外置存儲設備,然后將所述日志緩存清空,然后執行步驟C;否則,直接執行步驟C。
其中,步驟B3中將所述日志緩存的日志信息保存到外置存儲設備為將所述日志緩存的日志信息保存到硬盤的文件中;或將所述日志緩存的日志信息保存到網管中心;或將所述日志緩存的日志信息用文件傳輸協議客戶端的方式上傳到文件傳輸協議服務器上;或將所述日志緩存的日志信息以用戶數據報協議或者傳輸控制協議報文的方式發送到服務器上備份。
其中,所述日志記錄包括有用戶的上下線時間、用戶在局域網內部的私有IP地址、用戶在局域網外部的公共IP地址、用戶在局域網內部的端口號以及用戶在局域網外部的端口號。
其中,步驟B中進行日志記錄之前還包括判斷是否要進行日志記錄,若判斷結果為是,則進行日志記錄,否則直接執行步驟C。
相應地,本發明公開的一種實現訪問控制列表的方法,該方法包括以下步驟a.當接收到用戶數據包后,判斷是否存在所述用戶數據包進行訪問控制列表對應的訪問控制列表信息,如果判斷結果為是,則執行步驟c,否則執行步驟b;b.生成該用戶數據包進行訪問控制列表對應的訪問控制列表信息,并進行日志記錄;
c.根據所述用戶數據包對應的訪問控制列表信息對所述用戶數據包進行訪問控制列表。
其中,步驟b中進行日志記錄具體包括b1.采集日志信息;b2.將所述采集的日志信息寫入日志緩存。
其中,所述步驟b2之后還包括b3.判斷日志緩存的存儲空間是否已滿,若判斷結果為是,則將所述日志緩存的日志信息保存到外置存儲設備,將所述日志緩存清空,然后執行步驟c;否則,直接執行步驟c。
其中,步驟b3中將所述將日志緩存的日志信息保存到外置存儲設備為將所述日志緩存的日志信息保存到硬盤的文件中;或將所述日志緩存的日志信息保存到網管中心;或將所述日志緩存的日志信息用文件傳輸協議客戶端的方式上傳到文件傳輸協議服務器上;或將所述日志緩存的日志信息以用戶數據包協議或者傳輸控制協議報文的方式發送到服務器上備份。
其中,所述日志記錄包括有用戶的上下線時間、用戶源IP地址、用戶目的IP地址,用戶源端口號、用戶目的端口號及協議號、用戶訪問過的IP地址、協議類型。
其中,步驟b中進行日志記錄之前還包括判斷是否要進行日志記錄,若判斷結果為是,則進行日志記錄,否則直接執行步驟c。
與現有技術相比,本發明具有以下有益效果
本發明在網絡地址轉換或訪問控制列表過程中增加日志記錄,通過日志可查看對應的用戶網絡地址轉換或訪問控制列表的歷史信息,以及查看用戶的上下線時間。當網絡遭到攻擊用戶又已經下線時,通過日志可準確判斷攻擊來源及攻擊時間長短。本發明不僅可使用緩存進行日志保存,還可將緩存的日志信息轉發到外置存儲設備保存,大大降低成本、減少工作量,既快捷又方便。
圖1是是現有技術網絡地址轉換方法的流程示意圖;圖2是現有技術實現訪問控制列表的方法的流程示意圖;圖3是本發明網絡地址轉換方法的一種實施例的流程示意圖;圖4是本發明網絡地址轉換設備的一種實施例的結構示意圖;圖5是本發明實現訪問控制列表的方法的一種實施例的流程示意圖;圖6是本發明實現訪問控制列表的設備的一種實施例的結構示意圖。
具體實施例方式
下面將結合附圖對本發明作進一步詳細描述。
參考圖3,該圖是本發明提供的網絡地址轉換方法的一種實施例的流程示意圖。本實施例提供的網絡地址轉換方法用于實現企業內部自定義的地址與外部網絡公共地址間的轉換。
根據本實施例,可采用一個網絡地址轉換表項,用來緩存當前用戶的網絡地址轉換所需的網絡地址轉換信息,該網絡地址轉換信息在本實施例里為用戶在網絡內部對應的源IP地址+端口號與用戶在網絡外部對應的公共IP地址+端口號間的對應關系,在具體實施中該網絡地址轉換信息還可以為用戶在網絡內部對應的源IP地址與用戶在網絡外部對應的公共IP地址間的對應關系及其他可用于建立用戶在網絡內部與外部通信關系的地址轉換信息表項。在具體實施中,該網絡地址轉換表項可采用快速緩存方式進行更新,當前用戶網絡地址轉換完成后,即將該用戶對應的網絡地址轉換信息刪除,具體流程如下在步驟10,首先,接收用戶數據包;然后進入步驟11,提取用戶數據包中與該用戶數據包進行網絡地址轉換對應的信息,所述用戶數據包中與該用戶數據包進行網絡地址轉換對應的信息一般為用戶在網絡內部對應的源IP地址+端口號,也可以只是網絡內部對應的源IP地址,這里不再贅述。
當提取到數據包中與該用戶數據包進行網絡地址轉換對應的信息后,執行步驟12,判斷該提取出來的信息對應的網絡地址轉換信息是否已經存儲在當前網絡地址轉換表項里,如果判斷結果為是則執行步驟14,即按照網絡地址轉換規則進行網絡地址轉換,將數據包中網絡地址信息轉換為網絡外部公共IP地址+端口號,如果判斷結果為否,則執行步驟13。
步驟13與現有技術一樣,即刷新網絡地址轉換表項,根據用戶數據包中與網絡地址轉換對應的源IP地址+端口號信息生成該用戶數據包進行網絡地址轉換對應的網絡地址轉換信息。
步驟15-19為本實施例進行日志記錄并將該記錄轉發到外置存儲設備進行保存的過程,該過程可以在本實施例中與步驟13同步進行,即在生成該用戶數據包進行網絡地址轉換對應的網絡地址轉換信息的同時進行日志記錄。在具體實施中也可以先生成用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,然后再進行日志記錄,詳細流程如下首先執行步驟15,判斷是否要進行日志記錄,該判斷是否要進行日志記錄的規則可由用戶自行設定,如果判斷結果為不進行日志記錄,則執行步驟14,如果判斷結果為要進行日志記錄,則執行步驟16,即采集日志信息,然后執行步驟17,即將采集的日志信息寫入日志緩存,本發明提供的日志可用于查看各個用戶上網情況,了解網上流量信息,對網絡不法行為進行追查等,具體進行日志包括以下幾部分首先,記錄用戶數據包進行網絡地址轉換的過程信息,以便必要時進行追蹤;其次,記錄用戶的上網記錄,即用戶的上下線時間、互聯網協議(InternetProtocal,IP)地址、媒質訪問控制(Media Access Control,MAC)地址、永久虛電路(Permanent Virtual Circiut,PVC)等信息進行保存;再次,用戶的上網記錄,即對用戶所訪問過的IP地址、協議類型、端口號等也進行記錄保存,方便以后追蹤。
在步驟18,判斷日志緩存的存儲空間是否已滿,如果判斷結果為是則執行步驟19,如果判斷結果為否則執行步驟14。
在步驟19中,將日志緩存中的日志信息轉發到外置存儲設備保存,具體實現時,所述的外置存儲設備可以為網絡硬盤、文件服務器、網管中心服務器等,而將所述緩存的日志信息保存到外置存儲設備的方法可以為1)將所述日志信息保存到硬盤的文件中;2)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息保存到網管中心;3)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息用FTP CLIENT的方式,上傳到某臺FTP SERVER上;4)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息以UDP或者TCP報文的方式發送到服務器上備份。
在具體實施時,本發明網絡地址轉換的方法中也可以不包括步驟15,或者不包括步驟18、19,或者三者均不包括,根據具體情況而定,這里不再贅述。
參考圖4,該圖是本發明提供的網絡地址轉換設備的一種實施例的結構示意圖。該網絡地址轉換設備包括有信息提取單元30、地址轉換檢測單元31、地址轉換存儲單元32、地址轉換執行單元33及日志記錄單元34。
具體的,當接收到數據包時,信息提取單元30按照規定提取用戶數據包中與該用戶數據包進行網絡地址轉換對應的信息。
地址轉換存儲單元32,與地址轉換檢測單元31及地址轉換執行單元33分別相連,用于存儲用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,本實施例中即存儲當前用戶對應的網絡地址轉換表項。該單元采用快速緩存的方式讀取用戶對應的網絡地址轉換信息,當使用完成后立即刪除,然后生成新的用戶對應的網絡地址轉換表項。
地址轉換執行單元33,與地址轉換存儲單元32相連,用于根據地址轉換存儲單元32存儲的網絡地址轉換信息(本實施例中即當前用戶網絡地址轉換表項)執行對用戶數據包進行網絡地址轉換。
地址檢測單元31,與信息提取單元30及地址轉換存儲單元32相連,根據信息提取單元30提取到的信息及地址轉換存儲單元32中存儲的當前網絡地址轉換表項,判斷是否存在該用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,如果判斷結果為是,則觸發地址轉換執行單元33執行對用戶數據包的網絡地址轉換,如果判斷結果為否,則生成該用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,并由日志記錄單元34進行日志記錄,將該網絡地址轉換信息存儲到地址轉換存儲單元32。
需要說明的,本發明的關鍵在于網絡地址轉換設備中增加了日志記錄單元34,該單元用于根據地址檢測單元31的判斷結果進行日志記錄,即當地址轉換檢測單元檢測結果為是時進行日志記錄。其中,一種具體實現,所述日志記錄單元具體包括以下單元第一判斷處理單元344、日志信息獲取單元342、日志緩存單元343、第二判斷處理單元341以及日志存儲轉發單元345。
當地址檢測單元31判斷結果為否時,第二判斷處理單元341進一步判斷是否要進行日志記錄,判斷規則由用戶自行設定。如果判斷結果為否,觸發地址轉換執行單元33執行網絡地址轉換,如果判斷結果為是,觸發日志信息采集單元342采集日志信息。
日志信息采集單元342一方面可從地址轉換存儲單元32處采集與對用戶進行網絡地址轉換對應的過程信息,該過程信息包括用戶進行網絡地址轉換對應的網絡地址轉換信息,另一方面也可獲取用戶其他需作日志記錄的信息,例如,獲取的日志信息具體可包括以下幾部分首先,記錄對用戶數據包進行網絡地址轉換對應的過程信息,以便必要時進行追蹤;其次,記錄用戶的上網記錄,即用戶的上下線時間、互聯網協議(InternetProtocal,簡稱“IP”)地址、媒質訪問控制(Media Access Control,簡稱“MAC”)地址、永久虛電路(Permanent Virtual Circiut,簡稱“PVC”)等信息進行保存;再次,用戶的上網記錄,即對用戶所訪問過的IP地址、協議類型、端口號等也進行記錄保存,方便以后追蹤。
而日志緩存單元343,則將日志信息采集單元342采集的日志信息進行緩存。
另外,本實施例中還包括第二判斷處理單元344,用于判斷日志緩存單元343的存儲空間是否已滿,如果判斷結果為否,則觸發地址轉換執行單元33執行網絡地址轉換,如果判斷結果為是,觸發日志存儲轉發單元345,然后清空日志緩存單元343。
實際中,本發明所述日志記錄單元還可包括
第一判斷處理單元344,所述第一判斷處理單元344與所述地址轉換存儲單元32相連,用于判斷是否要進行日志記錄,并在判斷結果為是時指示啟動日志記錄。
本實施例中日志存儲轉發單元345,用于將日志緩存單元343中緩存的日志信息轉發到外置存儲設備。具體實現時,所述的外置存儲設備可以為網絡硬盤、文件服務器、網管中心服務器等。參考前述說明,將所述緩存的日志信息保存到外置存儲設備的方法可以為1)將所述日志信息保存到硬盤的文件中;2)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息保存到網管中心;3)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息用文件傳輸協議(File Transfe Protocol,FTP)客戶端的方式,上傳到某臺文件傳輸協議服務器上;4)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息以用戶數據包協議(User Datagram Protocol,UDP)或者傳輸控制協議(Transmission Control Protocol,TCP)報文的方式發送到服務器上備份。
需要說明的,本發明的網絡地址轉換設備可以不包括第二判斷處理單元341、第一判斷處理單元344、日志存儲轉發單元345或者三者均不包括。本發明的網絡地址轉換設備中日志緩存單元343,第二判斷處理單元341及日志存儲轉發單元可以用一個該網絡地址轉換設備內置的存儲器代替。
另外,在具體實施時本發明的網絡地址轉換設備可以應用在路由器、交換機等設備中。
參考圖5,該圖是本發明提供的實現訪問控制列表方法的一種實施例的流程示意圖。
本實施例提供了一個訪問控制列表表項,用來緩存當前用戶訪問控制列表信息,該訪問控制列表信息在本實施例里為用戶五元組(源IP、源端口,目的IP、目的端口、協議號)與訪問動作的對應關系,在具體實施中該訪問控制列表信息還可以為用戶其他標識信息與訪問動作的對應關系。在具體實施中,該訪問控制列表表項采用快速緩存方式進行更新,對當前用戶訪問控制完成后,即將該用戶對應的訪問控制列表信息刪除,具體包括以下流程在步驟20,首先,接收用戶數據包;然后進入步驟21,按照規定提取用戶數據包中與該用戶數據包進行訪問控制列表對應的信息。該規定為根據用戶數據包對應的五元組確定對應的訪問動作,該提取信息主要為用戶數據包對應的五元組(源IP、源端口,目的IP、目的端口、協議號)信息。
當提取到用戶數據包中與該用戶數據包進行訪問控制列表對應的信息后,執行步驟22,判斷該提取的信息對應的該用戶數據包進行訪問控制列表對應的訪問控制列表信息是否已包括在當前訪問控制列表表項中,如果判斷結果為是,則執行步驟24,即按照訪問控制列表規則進行對該用戶數據包進行訪問控制,如果判斷結果為否,則執行步驟23。
步驟23,刷新訪問控制列表表項,與現有技術一樣,主要是根據用戶數據包中與訪問控制列表對應的五元組信息生成該用戶數據包進行訪問控制列表對應的訪問控制列表信息。
步驟25-29為本實施例進行日志記錄并將該記錄轉發到外置存儲設備進行保存的完整過程該過程可以在本實施例中與步驟23同步進行,即在生成該用戶數據包進行訪問控制列表對應的訪問控制列表信息的同時進行日志記錄。在具體實施中也可以先生成用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,然后再進行日志記錄,詳細流程如下首先在步驟25判斷是否要進行日志記錄,該判斷規則可由用戶自行設定,如果判斷結果為不進行日志記錄,則執行步驟24,如果判斷結果為要進行日志記錄,則執行步驟26,即采集日志信息,然后執行步驟27,即將采集到的日志信息寫入日志緩存,本實施例中記錄的日志可用以查看各個用戶上網情況,了解網上流量信息,對網絡不法行為進行追查等,具體包括以下幾部分首先,記錄用戶數據包進行訪問控制列表的過程信息,以便必要時進行追蹤;其次,記錄用戶的上網記錄,即用戶的上下線時間、互聯網協議(InternetProtocal,IP)地址、介質訪問控制(Media Access Control,MAC)地址、永久虛電路(Permanent Virtual Circiut,PVC)等信息;再次,用戶的上網記錄,即對用戶所訪問過的IP地址、協議類型、端口號等信息,方便以后追蹤。
在步驟28,判斷日志緩存的存儲空間是否已滿,如果是則執行步驟29,如果不是則執行步驟24。
在步驟29中,將日志緩存中的日志信息轉發到外置存儲設備保存,參考前述說明,具體實現時,所述的外置存儲設備可以為網絡硬盤、文件服務器、網管中心服務器等。其中,將所述緩存的日志信息保存到外置存儲設備的方法可以為1)將所述日志信息保存到硬盤的文件中;2)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息保存到網管中心;3)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息用FTP CLIENT的方式,上傳到某臺FTP SERVER上;4)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息以UDP或者TCP報文的方式發送到服務器上備份。
步驟24,進行訪問控制列表控制,由于與現有技術一樣,這里不再贅述。
需要說明的,在具體實施時,本發明訪問控制列表的方法中也可以不包括步驟25,或者不包括步驟28、29,或者都三者均不包括。
參考圖6,該圖是本發明提供的訪問控制列表設備的一種實施例的結構示意圖。該訪問控制列表的實現設備包括有信息提取單元40、訪問控制列表檢測單元41、訪問控制列表存儲單元42、訪問控制列表執行單元43及日志記錄單元44。其中,日志記錄單元進一步包括有第一判斷處理單元444、日志信息采集單元442、日志緩存單元443,第二判斷處理單元441及日志存儲轉發單元445。
具體的,當接收到用戶數據包時,信息提取單元40按照規定提取該用戶數據包中與該用戶數據包進行訪問控制列表對應的信息。
訪問控制列表存儲單元42,與訪問控制列表檢測單元41及訪問控制列表執行單元43分別相連,用于存儲當前用戶進行訪問控制列表對應的訪問控制列表信息。該單元采用快速緩存的方式讀取用戶對應的訪問控制列表信息,當使用完成后立即刪除,然后生成新的用戶對應的訪問控制列表表項。
訪問控制列表執行單元43,與訪問控制列表存儲單元42相連,用于根據訪問控制列表存儲單元42存儲的用戶進行訪問控制列表對應的該用戶訪問控制列表表項執行對用戶的訪問控制。
訪問控制列表檢測單元41,與信息提取單元40及訪問控制列表存儲單元42相連,根據信息提取單元40提取到的信息及訪問控制列表存儲單元42中存儲的訪問控制列表信息,判斷是否存在用戶數據包進行訪問控制列表對應的訪問控制列表信息,如果判斷結果為是則觸發訪問控制列表執行單元43執行對用戶數據包進行對應的訪問控制列表控制,如果判斷結果為否,則觸發訪問控制列表存儲單元42生成該用戶數據包進行訪問控制列表對應的訪問控制列表信息,并由日志記錄單元44進行日志記錄。
同樣的,本發明的關鍵點在訪問控制列表設備中增加日志記錄單元44,該單元用于根據訪問控制列表檢測單元41的判斷結果進行日志記錄,即當訪問控制列表檢測單元41判斷結果為是時進行日志記錄。該單元具體包括以下單元第一判斷處理單元444、日志信息采集單元442、日志緩存單元443、第二判斷處理單元441及日志存儲轉發單元445。
當訪問控制列表檢測單元41判斷結果為否時,第二判斷處理單元441進一步判斷是否要進行日志記錄,判斷規則由用戶自行設定;如果判斷結果為否,則觸發訪問控制列表執行單元43執行對該用戶數據包進行對應的訪問控制列表控制,如果判斷結果為是,則觸發日志信息采集單元442采集日志信息日志信息采集單元442一方面從訪問控制存儲單元42采集該用戶數據包進行訪問控制列表對應的過程信息,另一方面采集用戶其他信息作日志記錄,獲取的日志信息具體包括以下幾部分首先,記錄對用戶數據包進行訪問控制列表對應的過程信息,以便必要時進行追蹤;其次,記錄用戶的上網記錄,即用戶的上下線時間、互聯網協議(InternetProtocal,IP)地址、介質訪問控制(Media Access Control,MAC)地址、永久虛電路(Permanent Virtual Circiut,PVC)等信息;再次,用戶的上網記錄,即對用戶所訪問過的IP地址、協議類型、端口號等信息,方便以后追蹤。
日志緩存單元443,用于緩存日志信息采集單元442采集的日志信息。
第一判斷處理單元444,用于判斷日志緩存單元443的存儲空間是否已滿,如果判斷結果為否,觸發訪問控制執行單元43執行對數據報的訪問控制,如果判斷結果為是,觸發日志存儲轉發單元445轉發日志緩存單元443的日志信息到外置存儲設備,然后清空日志緩存單元443。
日志存儲轉發單元445,用于將日志緩存單元443中緩存的日志信息轉發到外置存儲設備。其中,所述的外置存儲設備可以為網絡硬盤、文件服務器、網管中心服務器等。其中,將所述緩存的日志信息保存到外置存儲設備的方法可以為1)將所述日志信息保存到硬盤的文件中;2)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息保存到網管中心;3)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息用FTP CLIENT的方式,上傳到某臺FTP SERVER上;4)將所述緩存的日志信息保存到外置存儲設備的方法為將所述日志信息以UDP或者TCP報文的方式發送到服務器上備份。
在具體實施中,本發明的訪問控制列表設備可以不包括第一判斷處理單元444、第二判斷處理單元441以及日志存儲轉發單元445,或者三者均不包括。而所述的日志緩存單元443、第二判斷處理單元441及日志存儲轉發單元可以用一個網絡地址轉換設備內置的存儲器代替。
另外,在具體實施時本發明的網絡地址轉換設備可以應用在路由器、交換機等設備中。
以上所述,僅為本發明較佳的具體實施方式
,但本發明的保護范圍并不局限于此,任何熟悉本技術領域的技術人員在本發明揭露的技術范圍內,可輕易想到的變化或替換,都應涵蓋在本發明的保護范圍之內。因此,本發明的保護范圍應該以權利要求書的保護范圍為準。
權利要求
1.一種網絡地址轉換方法,其特征在于,包括以下步驟A.當接收到用戶數據包后,判斷是否存在所述用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,如果判斷結果為是,則執行步驟C,否則執行步驟B;B.生成該用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,并進行日志記錄;C.根據所述用戶數據包對應的網絡地址轉換信息對該用戶數據包進行網絡地址轉換。
2.如權利要求1所述的網絡地址轉換方法,其特征在于,步驟B中進行日志記錄具體包括B1.采集日志信息;B2.將所述采集的日志信息寫入日志緩存。
3.如權利要求2所述的網絡地址轉換方法,其特征在于,所述步驟B2之后還包括B3.判斷日志緩存的存儲空間是否已滿,若判斷結果為是,則將所述日志緩存的日志信息保存到外置存儲設備,然后將所述日志緩存清空,然后執行步驟C;否則,直接執行步驟C。
4.如權利要求3所述的網絡地址轉換方法,其特征在于,步驟B3中將所述日志緩存的日志信息保存到外置存儲設備為將所述日志緩存的日志信息保存到硬盤的文件中;或將所述日志緩存的日志信息保存到網管中心;或將所述日志緩存的日志信息用文件傳輸協議客戶端的方式上傳到文件傳輸協議服務器上;或將所述日志緩存的日志信息以用戶數據報協議或者傳輸控制協議報文的方式發送到服務器上備份。
5.如權利要求1所述的網絡地址轉換方法,其特征在于,所述日志記錄包括有用戶的上下線時間、用戶在局域網內部的私有IP地址、用戶在局域網外部的公共IP地址、用戶在局域網內部的端口號以及用戶在局域網外部的端口號。
6.如權利要求1-5中任一所述的網絡地址轉換方法,其特征在于,步驟B中進行日志記錄之前還包括判斷是否要進行日志記錄,若判斷結果為是,則進行日志記錄,否則直接執行步驟C。
7.一種實現訪問控制列表的方法,其特征在于,包括以下步驟a.當接收到用戶數據包后,判斷是否存在所述用戶數據包進行訪問控制列表對應的訪問控制列表信息,如果判斷結果為是,則執行步驟c,否則執行步驟b;b.生成該用戶數據包進行訪問控制列表對應的訪問控制列表信息,并進行日志記錄;c.根據所述用戶數據包對應的訪問控制列表信息對所述用戶數據包進行訪問控制列表。
8.如權利要求7所述的實現訪問控制列表的方法,其特征在于,步驟b中進行日志記錄具體包括b1.采集日志信息;b2.將所述采集的日志信息寫入日志緩存。
9.如權利要求8所述的實現訪問控制列表的方法,其特征在于,所述步驟b2之后還包括b3.判斷日志緩存的存儲空間是否已滿,若判斷結果為是,則將所述日志緩存的日志信息保存到外置存儲設備,將所述日志緩存清空,然后執行步驟c;否則,直接執行步驟c。
10.如權利要求9所述的實現訪問控制列表的方法,其特征在于,步驟b3中將所述將日志緩存的日志信息保存到外置存儲設備為將所述日志緩存的日志信息保存到硬盤的文件中;或將所述日志緩存的日志信息保存到網管中心;或將所述日志緩存的日志信息用文件傳輸協議客戶端的方式上傳到文件傳輸協議服務器上;或將所述日志緩存的日志信息以用戶數據包協議或者傳輸控制協議報文的方式發送到服務器上備份。
11.如權利要求7所述的實現訪問控制列表的方法,其特征在于,所述日志記錄包括有用戶的上下線時間、用戶源IP地址、用戶目的IP地址,用戶源端口號、用戶目的端口號及協議號、用戶訪問過的IP地址、協議類型。
12.如權利要求7-11中任一項所述的實現訪問控制列表的方法,其特征在于,步驟b中進行日志記錄之前還包括判斷是否要進行日志記錄,若判斷結果為是,則進行日志記錄,否則直接執行步驟c。
全文摘要
本發明公開了網絡地址轉換和訪問控制列表的方法,其中網絡地址轉換方法主要包括A.當接收到用戶數據包后,判斷是否存在所述用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,如果判斷結果為是,則執行步驟C,否則執行步驟B;B.生成該用戶數據包進行網絡地址轉換對應的網絡地址轉換信息,并進行日志記錄;C.根據所述用戶數據包對應的網絡地址轉換信息對該用戶數據包進行網絡地址轉換。本發明通過在網絡地址轉換和訪問控制列表過程中增加日志記錄,通過日志可查看用戶的網絡地址轉換和訪問控制列表的歷史信息,以及查看用戶的上下線時間,當網絡遭到攻擊用戶又已經下線時,能準確判斷攻擊來源及攻擊時間長短。
文檔編號H04Q11/00GK101079798SQ20061003565
公開日2007年11月28日 申請日期2006年5月26日 優先權日2006年5月26日
發明者查敏 申請人:華為技術有限公司