[发明专利]一种访问控制策略处理方法、系统和设备

说明书

本发明提供了一种访问控制策略处理方法、系统和设备。所述方法包括请求节点向网络控制器发送访问控制校验请求；当所述网络控制器的本地数据库中不存在所述五元组信息与metadata信息的映射关系时，所述网络控制器向安全控制器发送所述访问控制校验请求；所述安全控制器根据所述访问控制校验请求对所述网络控制器进行metadata信息应答，并由所述网络控制器将应答消息转发至所述请求节点；所述请求节点下发转发表项，并当流量命中转发表时，转发设置metadata的请求节点报文；防火墙节点对所述设置metadata的请求节点报文进行访问控制校验，将校验通过的流量放行。以此方式，实现对报文的访问控制校验，大大减少了流量处理的复杂度，提高了系统的性能。

技术领域

本发明的实施例一般涉及流量访问控制领域，并且更具体地，涉及一种访问控制策略处理方法、系统和设备。

背景技术

在IP网络中，为了防止非法流量入侵，都会在边界或者域内部署防火墙设备，对流量进行访问控制校验，允许正常的流量通行，对非法流量进行拒绝处理，以保障正常的业务。

目前网络中，都是将流量牵引至防火墙设备或者其他的安全设备，对流量进行访问控制校验。现有方法是在安全设备中配置安全策略，安全策略一般包含流量的五元组信息(原地址、原端口、目的地址，目的端口以及协议)以及动作，若流量与安全策略匹配，并且动作是允许，才能对该流量进行放行，无法与安全策略的五元组匹配的流量或者安全策略的动作为拒绝都会进行丢弃处理，以保障正常的访问业务。

现有安全设备对访问控制是按照包来校验的，即每个报文都需要提取出五元组信息，并与安全策略进行一一匹配。安全设备中的安全策略比较多，而且随着设备的使用周期，策略会越来越多，设备的性能也会越来越低。在本发明中，只有首包需要进行与安全策略的匹配，后续报文根据metadata就可以直接进行访问控制校验，大大提升了处理的性能和效率。

发明内容

根据本发明的实施例，提供了一种访问控制策略处理方案。

在本发明的第一方面，提供了一种访问控制策略处理方法。该方法包括：

请求节点向网络控制器发送访问控制校验请求；所述访问控制校验请求包括流量的五元组信息和SR Policy标识信息；

当所述网络控制器的本地数据库中不存在所述五元组信息与metadata信息的映射关系时，所述网络控制器向安全控制器发送所述访问控制校验请求；

所述安全控制器根据所述访问控制校验请求对所述网络控制器进行metadata信息应答，并由所述网络控制器将应答消息转发至所述请求节点；

所述请求节点下发转发表项，并当流量命中转发表时，转发设置metadata的请求节点报文；

防火墙节点对所述设置metadata的请求节点报文进行访问控制校验，将校验通过的流量放行。

进一步地，如果所述网络控制器的本地数据库中存在所述五元组信息与所述访问控制校验请求的映射关系，则应答所述五元组信息对应的所述访问控制校验请求中对应的metadata信息给所述请求节点。

进一步地，所述安全控制器根据所述访问控制校验请求对所述网络控制器进行metadata信息应答，包括：

所述安全控制器根据防火墙节点上的安全控制策略，判断所述五元组信息所标识的流量是否合法；如果合法，则根据所述五元组信息匹配策略的策略标识，从策略与metadata关系表查找对应的metadata信息，更新转发表项，并向所述网络控制器应答所述metadata信息；否则，则向所述网络控制器应答drop消息。

进一步地，所述根据所述五元组信息匹配策略的策略标识，从策略与metadata关系表查找对应的metadata信息，包括：