[发明专利]一种基于设备管理访问方式控制设备访问的方法

说明书

技术领域

本发明涉及一种基于设备管理访问方式控制设备访问的方法。 

背景技术

随着网络管理技术的不断成熟，管理设备的方式也呈现出多样化，常见的设备管理方式有：串口操作console、通过web访问方式（http）、vty（虚拟终端连接）以及其他网管软件，管理方式的多样化给终端的用户在访问及管理设备上带来了不少的便利。然而，也带来了不少安全隐患，设备访问的安全性问题随着这些多样化的访问方式，尤其需要引起我们的重视。 

传统的访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口的数据包，限制网络流量、提高网络性能，同时ACL也提供网络安全的基本手段：例如ACL允许主机A访问设备，而拒绝主机B访问。 

现有的ACL（访问控制列表），是在基于端口进行转发流量的时候进行控制，可以阻止或者允许某一网段的通信流量，是基于端口实现，而不能对设备的接入进行控制，即不能控制通过TELNET（远程登录，用于远程联接服务的标准协议或者实现此协议的软件）、SSH（Secure Shell，安全外壳协议）、WEB（网站）、SNMP（简单网络管理协议，Simple Network Management Protocol）等管理方式连接到设备。 

发明内容

本发明提供一种基于设备管理访问方式控制设备访问的方法，基于不同的设备访问方式，分别采用不同的规则进行限制或允许用户访问设备，能够更有效的控制对设备的访问，从而保证设备访问的安全性。 

为了达到上述目的，本发明提供一种基于设备管理访问方式控制设备访问的方法，该方法包含以下步骤： 

步骤1、根据不同的设备管理访问方式创建相对应的控制策略模板；

步骤2、在控制策略模板内添加访问规则；

步骤3、将控制策略模板与对应的设备管理访问方式关联；

步骤4、当用户或进程通过不同的设备管理访问方式访问设备时，与该设备管理访问方式绑定的控制策略模板，根据访问规则判断是否允许或者拒绝用户或进程访问设备。

所述的步骤2中，访问规则设置为允许或者拒绝不同网段的用户接入到设备。 

所述的步骤2中，所述的访问规则命令格式如下： 

rule规则命令 rule Id规则号 permit/deny允许或者拒绝 ip addressIP地址 ipmask子网掩码。

本发明基于不同的设备访问方式，分别采用不同的规则进行限制或允许用户访问设备，能够更有效的控制对设备的访问，从而保证设备访问的安全性。 

附图说明

图1是本发明的流程图。

具体实施方式

以下根据图1具体说明本发明的较佳实施例。 

如图1所示，本发明提供一种基于设备管理访问方式控制设备访问的方法，该方法包含以下步骤： 

步骤1、创建控制策略模板（简称为NMSACL）；

根据不同的设备管理访问方式创建相对应的控制策略模板；

例如：如果采用TELNET访问方式，则创建TELNET访问方式的控制策略模板，如果采用SSH访问方式，则创建SSH访问方式的控制策略模板，如果采用WEB访问方式，则创建WEB访问方式的控制策略模板，如果采用SNMP访问方式，则创建SNMP访问方式的控制策略模板；

本实施例中，创建控制策略模板可采用profile命令；

模板（profile）是本领域内创建控制策略模板所采取的比较流行的做法，目前本发明采用的是基于协议名称去创建模板，也可以扩充为基于协议号等其他协议特征进行模板的创建。

步骤2、在控制策略模板内添加访问规则； 

访问规则设置为允许或者拒绝不同网段的用户接入到设备；

规则命令格式如下：

rule（规则命令） rule Id（规则号） permit/deny（允许或者拒绝） ip address（IP地址） ipmask（子网掩码）；

例如：设置一条访问规则为拒绝2.2.2.2网段的主机访问设备，该访问规则设置为：rule 1 deny 2.2.2.2 255.255.255.0；

所述的访问规则可以根据ip和协议端口相关内容进行设置，并且访问规则所包含的内容可以根据实际需求进行扩充；

步骤3、将控制策略模板与对应的访问方式关联；