[发明专利]安全策略配置方法及其装置

说明书

技术领域

本发明关于通信网络的安全技术，特别关于一种安全策略配置方法及其装置。

背景技术

随着互联网技术的发展以及个人PC的普及，网络上需要传送的信息量大大增加，一方面给用户带来极大的方便，另一方面又存在大量的问题，如大量的网络黑客、层出不穷的计算机网络病毒等，这些问题都是每个计算机网络的管理者以及众多网络设备厂商共同面临的重大课题。

目前，为解决上述问题，网络设备中出现了大量的安全控制功能，如常见的访问控制列表(ACL：Access Control List)、802.1x认证、端口安全、GSN等网络安全方案，它们都能够解决网络特定的一类或是几类问题。

例如，ACL：用于对接入用户数据流进行过滤，只允许用户访问若干服务器资源、不允许用户访问若干服务器资源、丢弃用户发出的带计算机病毒特征的数据流等。

802.1x认证：用于控制接入用户，确保接入网络均是合法用户。

端口安全：用于防御地址表溢出攻击、用于控制接入用户IP数据的合法性。

GSN：用于控制接入用户数据流策略，如只允许访问特定网络资源，不允许用户特定网络资源。

目前，对于实现多种安全功能的网络设备，每个安全功能需要独自占用一个硬件引擎才能实现多种安全功能同时应用。其中，该硬件引擎为安全功能处理引擎，基于报文数据内容识别，用于允许转发或过滤带特定特征的报文的硬件处理器，也称之为策略引擎。

例如，当实现N个安全功能时，该硬件引擎对应为N个。通常情况下，上述硬件引擎1至N中的每个硬件引擎所对应的策略可为多个，例如，如图1A所示，每个硬件引擎配置的策略可为策略1、策略2、……、策略i，上述策略预先配置，且以列表的形式储存。其中，每条策略可由规则与行为构成，如图1B所示，例如，策略1由规则1和行为1构成，策略i由规则i和行为i构成。其中，策略中的规则由报文的域与域的数据构成；行为用于配置报文命中规则时分配的转发行为，包括：允许转发(forward)，不允许转发(drop)，分配Qos行为(assign Qos)等用于控制报文转发的规则，根据实际需要可有多种不同行为。

例如，策略1：域与域的数据：源MAC地址且数据内容为00D0-F800-0001、目的MAC地址FFFF-FFFF-FFFF；行为：drop。该策略1表示：MAC地址为00D0-F800-0001的网卡(网络设备)发送出来的所有二层广播报文均命中，报文进行丢弃。这里只关心源MAC域与目的MAC域中的数据，其它所不关心的域均可以认为是any，即可以为任意数据。

策略2，域与域的数据：源MAC地址且数据内容为00D0-F800-0001、目的MAC地址FFFF-FFFF-FFFF，以太网类型为0x0806；行为：forward。该策略2表示：MAC地址为00D0-F800-0001的网卡(网络设备)发送出来的ARP广播报文均命中，报文允许转发。

以下以实现ACL和802.1X安全功能的交换机为例对相关技术进行说明。

例如，1)安全ACL配置：

permit any host 192.168.1.1；

deny any any。

表示：只允许任意源IP的用户PC访问目的IP为192.168.1.1的用户PC。

2)802.1X用户授权

在源IP为192.168.5.1、源MAC为0000.0000.0001的通过认证后会生成如下安全策略：

源IP为192.168.5.1，源MAC为0000.0000.0001的用户可以通过；

其它所有IP数据流不允许通过。

由上述可知，用户将上述两个策略同时应用一个端口，目的在于采用802.1x安全应用控制接入的用户的IP与MAC的关系，同时应用安全ACL控制端口下所有用户只允许访问服务器192.168.1.1。

基于上述传统的硬件引擎应用方案，要实现上述应用，最少需要两个硬件引擎来支持，其中一个硬件引擎用于ACL安全应用，另一个硬件引擎用于802.1X安全应用。

如图2所示，网管人员对ACL安全应用中2条策略进行配置，即通过输入单元(未示出)输入该策略，通过软件的数据转换后，转换为2条硬件引擎策略格式，通过PCI等总线接口写入该硬件引擎1所对应的策略表1；同理，将802.1X IP授权的两个策略写入硬件引擎2对应的策略表2。