[发明专利]一种单向访问控制的实现方法和设备

说明书

技术领域

本发明涉及网络管理技术，特别涉及一种单向访问控制的实现方法和设备。

背景技术

为了解决大型跨地域企业中不同部门之间既需要隔离又需要部分终端或者服务器互访的需求，现有技术提出了多协议标记交换(MPLS：Multi-Protocol Label Switching)虚拟私有网络(VPN：Virtual Private Network)技术，即将不同部门规划在不同VPN中，可实现各部门之间的相互隔离；并独立规划出一个共享VPN，将各个部门中用于进行协同合作业务的服务器放置在共享VPN中，之后，使共享VPN与部门VPN的路由互相引入，通过各个部门VPN和共享VPN的通信可以实现各部门之间的互访。如此，即可实现企业中不同部门之间既需要隔离又需要互访的需求。

如图1所示，假设企业中存在部门1和部门2，为了实现部门1和部门2之间的相互隔离，则使部门1和部门2分别处于两个不同的VPN即VPN1和VPN2中；与此同时，为了满足两个部门之间的互访需求，则规划出一个不同于VPN1和VPN2的共享VPN，将两个部门中进行协同合作业务的服务器放置在共享VPN中，并将共享VPN与各个部门VPN的路由互相引入，这样，就实现了各个部门之间既隔离又可互访的需求。

但是，从上面的图1可以看出，共享VPN内的业务服务器在网络层面上可以访问到所有部门VPN中的终端，如果这些业务服务器被恶意木马控制，将成为攻击者的跳板，这给企业的信息安全带来比较大的安全风险。

为了解决上述安全风险，现有技术提供了一种单向访问控制方法，如图2所示，该方法主要包括：在MPLS骨干网上的与部门VPN连接的骨干网边缘路由器(PE)侧旁挂硬件防火墙，并在该硬件防火墙上手工设置共享VPN所对应的所有前缀信息，这里，前缀信息具体可为共享VPN所包含的所有网段地址；在业务运行过程中，PE采用策略路由或者静态路由的方式将部门VPN和共享VPN之间交互的数据报文牵引到硬件防火墙，该硬件防火墙收到数据报文时，判断该数据报文的类型为主动请求报文还是针对已记录的请求报文对应的应答报文，如果是请求报文，则当该请求报文携带的前缀信息存在于预先配置的前缀信息中时，拒绝该数据报文转发；如果是应答报文，则允许该数据报文转发。可以看出，现有的单向访问控制方法主要是通过控制共享VPN内的服务器仅仅对外提供服务而无法主动对外发起访问来解决上述安全风险的。

但是，现有技术中的单向访问控制方法需要在与部门VPN连接的PE上手工配置共享VPN所对应的前缀信息，比如共享VPN包含的所有网段地址，显然在共享VPN存在大量网段地址的情况下配置会十分复杂。并且，当共享VPN的网络地址发生变化时还需要重新在该PE进行配置或修改，不能很好的适应网络的发展。

发明内容

本发明提供了一种单向访问控制的实现方法和设备，以便于在解决信息安全风险时简化配置和适应网络的发展。

一种单向访问控制的实现方法，该方法应用于包含第一虚拟私有网络VPN和第二VPN的网络中，所述第一VPN的安全级别大于第二VPN；预先在连接第一VPN的骨干网边缘路由设备PE上配置应用层状态检测ASPF功能，并指定至少一个用于标识第二VPN路由的团体属性值作为受控路由的团体属性值；该方法包括以下步骤：

所述PE学习路由信息，当学习到的路由信息包含指定团体属性值时，自动存储该路由信息包含的前缀信息；

所述PE接收到数据报文时，如果当前使能了所述ASPF功能，则根据接收的数据报文携带的信息和已存储的前缀信息对所述数据报文进行转发控制。

一种PE，连接第一VPN，包括：ASPF模块、路由模块和转发模块，其中，

所述路由模块学习路由信息，当学习到的路由信息包含指定的团体属性值时，下发该路由信息包含的前缀信息给转发模块；所述团体属性值用于标识作为受控路由的第二VPN路由；所述第一VPN的安全级别大于第二VPN的安全级别；

所述转发模块接收并存储所述路由模块下发的前缀信息；并在接收到数据报文时，判断接收的数据报文携带的信息是否存在于已存储的前缀信息中，如果是，发送单向访问控制通知给所述ASPF模块；

所述ASPF模块被配置了ASPF功能，在接收到所述单向访问控制通知时，如果使能了已配置的ASPF功能，则根据所述数据报文携带的信息和所述转发模块已存储的前缀信息对所述数据报文进行转发控制。