[发明专利]访问控制列表配置方法及装置

说明书

技术领域

本发明涉及网络通信技术，尤其涉及访问控制列表(ACL，Access ControlList)配置方法及装置。

背景技术

互联网以及各种网络应用的普及在大幅提高企业生产经营效率的同时，也带来了诸多负面影响，如数据安全隐患，这使得网络安全保护成为网络管理中的重要课题。ACL是网络安全保护中的一项重要策略，其使用包过滤技术对符合规则的报文进行过滤，实现网络中的各种访问控制。比如，在公司网络的接入点设备上配置ACL，对用户可访问的网络域进行控制，使得该公司员工可以自由访问公司内部网络，但禁止访问公司财务网和外部网络。

对于存在多个设备需要进行ACL配置的网络环境，如果这些设备的ACL配置完全相同，则ACL管理系统可以采用批量下发的方式对这些设备进行统一配置，配置内容包括：ACL定义、ACL规则配置、时间范围配置和包过滤配置等。但是，如果这些设备的ACL配置不尽相同，则需要网络管理员对各个设备逐一单独进行ACL配置。比如，参见图1所示应用ACL的网络结构示意图，一个公司在北京、杭州都设有分支结构，由于这两个分支机构的网络配置必然存在很大差异，因此，为了保证该公司A员工在上述两个分支机构都能够正常访问其权限范围内的网络资源，就需要网络管理员在上述两个分支机构的接入点上分别配置不同的ACL，操作起来较为不便，配置灵活性较差。另外，由于不同接入点上配置的ACL不同，无法进行统一管理，因此，当A员工的访问权限发生改变时，又需要网络管理员分别对这两个接入点的ACL配置单独进行修改，这给使用上带来了极大的不便。

发明内容

有鉴于此，本发明的主要目的在于提供一种ACL配置方法及装置，提高ACL配置的灵活性。

为达到上述目的，本发明提供的技术方案如下：

一种访问控制列表ACL配置方法，将ACL资源分成ACL基本信息和对应不同应用场景的规则集，该方法包括：将包括ACL基本信息和所有规则集的ACL资源统一下发给需要进行ACL配置的各个设备，并在下发时指定所述各个设备与规则集的对应关系；以供所述设备收到下发的ACL资源后，根据指定的对应关系确定与自身对应的规则集，并根据收到的ACL基本信息及与自身对应的规则集进行ACL配置。

该方法进一步包括：在ACL资源发生变化或者发现设备上的ACL配置被更改后，向所述设备重新下发ACL资源。

该方法进一步包括：将所述设备上的既定ACL配置同步到ACL资源中。

所述ACL资源中包括至少两个规则集。

所述ACL基本信息包括ACL号、ACL类型、步长和/或规则匹配顺序。

所述规则集包括ACL规则信息和/或规则所使用的时间范围信息。

一种ACL配置装置，与需要进行ACL配置的设备相连，该装置包括：资源接收单元和ACL配置单元，其中，

资源接收单元，用于接收下发的ACL资源，并将收到的ACL资源转发给ACL配置单元，所述ACL资源包括ACL基本信息和所有规则集，并且还指定了需要进行ACL配置的各个设备与规则集的对应关系；

ACL配置单元，用于接收资源接收单元发来的ACL资源，根据指定的对应关系确定与自身相连的设备相对应的规则集，并根据收到的ACL基本信息及对应的规则集对与自身相连的设备进行ACL配置。

该装置设置在接入点设备或接入交换机中。

一种ACL管理系统，包括：资源存储单元和资源下发单元，其中，

资源存储单元，用于存储包括ACL基本信息和对应不同应用场景的规则集的ACL资源；

资源下发单元，用于将资源存储单元中存储的包括ACL基本信息和所有规则集的ACL资源统一下发给需要进行ACL配置的各个设备，并在下发时指定所述各个设备与规则集的对应关系。

所述资源下发单元进一步用于，在ACL资源发生变化或者发现设备上的ACL配置被更改后，向所述设备重新下发ACL资源。

所述资源下发单元进一步用于，将设备上的既定ACL配置同步到资源存储单元中的ACL资源中。

所述ACL资源中包括至少两个规则集。

所述ACL基本信息包括ACL号、ACL类型、步长和/或规则匹配顺序。

所述规则集包括ACL规则信息和/或规则所使用的时间范围信息。