[发明专利]基于轻量级分布式协同设备安全阻断方法、装置及设备

权利要求书

1.一种基于轻量级分布式协同设备安全阻断方法，其特征在于，该方法应用于局域网中新部署的阻断设备，所述阻断设备与数据中心网中新部署的阻断管理设备按照MQTT协议建立连接，同一局域网中的设备处于同一C类网段，该方法包括：

获得所述阻断管理设备发布的目标数据；所述目标数据对应的发布主题名topic为所述阻断设备的topic，所述目标数据包括目标IP地址和对所述目标IP地址执行的目标操作，所述目标操作为阻断或放行；所述阻断设备的IP地址与所述目标IP地址处于同一C类网段中；

若所述目标操作为阻断，则确定所述目标IP地址对应的第一MAC地址，依据所述目标IP地址和第一MAC地址生成ARP数据包；所述第一MAC地址与已获得的与所述目标IP地址对应的第二MAC地址不同、且与其他任一有效IP地址对应的MAC也不同；

在所述局域网中广播所述ARP数据包，以使局域网中收到所述ARP数据包的网络设备根据所述ARP数据包将ARP表中与所述目标IP地址对应的MAC地址更新为所述第一MAC地址。

2.根据权利要求1所述的方法，其特征在于，该方法之前进一步包括：

按照心跳发送间隔时间向所述阻断管理设备发送心跳数据；所述心跳数据中至少携带所述阻断设备的IP地址和所述阻断设备的topic，以使所述阻断管理设备建立所述阻断设备的IP地址与所述阻断设备的topic之间的对应关系，并在获得所述目标数据时基于建立的所述对应关系确定向所述阻断设备推送topic为所述阻断设备的topic的目标数据。

3.根据权利要求2所述的方法，其特征在于，所述心跳数据还携带：心跳数据发送时间戳和心跳发送间隔时间，以使所述阻断管理设备在监测到心跳数据发送时间戳之后的N个心跳发送间隔时间内未收到所述阻断设备发送的心跳数据时，发出告警信息；所述告警信息用于指示所述阻断设备离线，所述N大于等于1。

4.根据权利要求1所述的方法，其特征在于，所述生成ARP数据包进一步包括：将所述ARP数据包以及所述目标IP地址对应记录至阻断数据包列表；

所述在所述局域网中广播所述ARP数据包包括：

按照设定报文发送间隔在所述局域网中广播所述阻断数据包列表中的所述ARP数据包。

5.根据权利要求1所述的方法，其特征在于，该方法进一步包括：

将本地ARP表中与所述目标IP地址对应的MAC地址更新为所述第一MAC地址，以阻断所述阻断设备与所述目标IP地址对应的目标设备进行通信。

6.根据权利要求1所述的方法，其特征在于，若所述目标操作为放行，该方法进一步包括：

若阻断数据包列表中记录所述目标IP地址、以及与所述目标IP地址对应的ARP数据包，则删除所述目标IP地址、以及与所述目标IP地址对应的ARP数据包，以使所述局域网中网络设备与所述目标IP地址对应的目标设备恢复通信。

7.一种基于轻量级分布式协同设备安全阻断方法，其特征在于，该方法应用于数据中心网中新部署的阻断管理设备，所述阻断管理设备与所述数据中心网下各局域网中新部署的阻断设备按照MQTT协议建立连接，同一局域网中的设备处于同一C类网段，该方法包括：

获得目标数据，所述目标数据包括目标IP地址和对所述目标IP地址执行的目标操作，所述目标操作为阻断或放行；

从已获得的阻断设备数据信息中选择与所述目标数据匹配的匹配数据；所述阻断设备数据信息包括阻断设备IP地址和阻断设备主题名topic之间的对应关系，所述匹配数据中的阻断设备IP地址与所述目标IP地址处于同一C类网段中；

将所述目标数据推送至所述匹配数据中topic对应的目标阻断设备，所述目标阻断设备的topic与所述阻断设备的topic相同。