[发明专利]黑名单管理方法和装置

说明书

技术领域

本发明涉及通信领域，更具体而言，涉及一种黑名单管理方法和装置。

背景技术

在通信产品中，黑名单是根据报文的源IP地址和其它特征信息进行过滤的一种方式。黑名单最主要的一个特色是可以自动添加(动态生成)和删除(定时老化)其中定义的表项，这是大多数通信产品都具有的功能。该功能一方面通过管理模块来获取需要新增的黑名单表项信息，然后管理模块再将该信息传给信息模块，最后信息模块进行添加处理；另一方面，管理模块向信息模块传递信息之前，首先对已有的黑名单表项进行检查，若发现存在已老化的表项，则通知信息模块删除这些表项。除此之外，黑名单管理装置还可以根据需要随时手动配置、修改和删除。

图1示出了内网用户通过具有防火墙功能的路由器介入Internet的组网示意图。内网由以下设备(但不限于以下设备)组成：主机PC1、PC2、交换机和路由器R1(具有防火墙功能)。内网用户PC1和PC2通过设备(如交换机)连接到路由器R1的接口1，从接口2可以连接到外部Internet。在路由器R1上应用的主要功能(但不限于以下功能)有：防火墙、黑名单、区域检测、网络地址转换NAT和访问控制列表ACL，开启防火墙功能是实现黑名单和区域检测功能的前提条件，黑名单可以根据网络实际情况和配置需要对报文进行过滤，并将具有攻击性或病毒源的报文信息加入黑名单表项，检测区域根据某一报文的到达频度或头部特征信息来辨识其是否具有攻击性或病毒源的报文，并将具有攻击性或病毒源的报文信息传给黑名单管理装置，网络地址转换功能使得内网用户与Internet用户互访时将私网IP地址与公网IP地址互换，访问控制列表功能主要应用于上述网络地址转换功能。接口1上的主要配置(但不限于以下配置)有：绑定到区域A和设置入方向的网络地址转换属性；接口2上的主要配置(但不限于以下配置)有：绑定到区域B和设置出方向的网络地址转换属性。

然而，这些黑名单管理在模块之间采用实时通信接口进行自动添加和删除，以及进行手动配置、修改和删除时，存在实时性不高的问题。

发明内容

本发明旨在提供一种黑名单管理方法和装置，能够解决上述相关技术中黑名单管理实时性不高的问题。

在本发明的实施例中，提供了一种黑名单管理方法，包括以下步骤：对路由器配置黑名单条件；路由器转发报文时从中获取满足加入黑名单条件的特征信息；根据特征信息对黑名单进行管理。

优选的，配置黑名单条件具体包括：在路由器上配置不可信区域；以及在不可信区域上配置黑名单条件。

优选的，在路由器上配置不可信区域具体包括：将路由器连接外网的接口和非安全的接口加入到不可信区域中。

优选的，特征信息包括报文的源IP地址。显然还可以是报文的内容涉及敏感关键词，或者类似的其他信息都可以构成特征信息。

优选的，根据特征信息对黑名单进行管理具体包括：根据特征信息对黑名单进行查找，将已老化的表项删除，将特征信息作为新表项加入黑名单。

优选的，根据特征信息对黑名单进行管理具体包括：根据特征信息对黑名单进行查找，将已老化的表项删除；与黑名单进行匹配，未匹配到特征信息时，将特征信息作为新表项加入黑名单；或者匹配到特征信息时，删除匹配的表项。

优选的，还包括：在路由器上开启防火墙选项，用于选择是否启动对黑名单的管理。

优选的，还包括：周期性地删除黑名单中的老化表项。

优选的，还包括：对黑名单中的表项设置老化时间，当表项的存活超出老化时间时，则设置表项为老化表项。

上述的黑名单管理方法避免了多个模块之间的复杂通信，所以提高了通信黑名单管理的实时性。

在本发明的实施例中，还提供了一种黑名单管理装置，包括：配置模块，用于对路由器配置黑名单条件；转发模块，用于路由器转发报文时从中获取满足加入黑名单条件的特征信息；管理模块，用于根据特征信息对黑名单进行管理。

上述的黑名单管理装置避免了多个模块之间的复杂通信，所以提高了通信黑名单管理的实时性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1示出了内网用户通过具有防火墙功能的路由器介入Internet的组网示意图；

图2示出了根据本发明实施例的黑名单管理方法的流程图；

图3示出了根据本发明实施例的黑名单自动管理流程示意图；

图4示出了根据本发明实施例的黑名单手动管理流程示意图；