CN101662425B - 一种检测访问控制列表生效的方法和装置 - Google Patents

一种检测访问控制列表生效的方法和装置 Download PDF

Info

Publication number
CN101662425B
CN101662425B CN2009100929619A CN200910092961A CN101662425B CN 101662425 B CN101662425 B CN 101662425B CN 2009100929619 A CN2009100929619 A CN 2009100929619A CN 200910092961 A CN200910092961 A CN 200910092961A CN 101662425 B CN101662425 B CN 101662425B
Authority
CN
China
Prior art keywords
counter
acl rule
count value
acl
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN2009100929619A
Other languages
English (en)
Other versions
CN101662425A (zh
Inventor
高峰
李江卫
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN2009100929619A priority Critical patent/CN101662425B/zh
Publication of CN101662425A publication Critical patent/CN101662425A/zh
Priority to PCT/CN2010/076326 priority patent/WO2011032456A1/zh
Priority to US13/395,229 priority patent/US20120174209A1/en
Priority to EP10816660.4A priority patent/EP2466816B1/en
Priority to BR112012006123A priority patent/BR112012006123A2/pt
Application granted granted Critical
Publication of CN101662425B publication Critical patent/CN101662425B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/74Admission control; Resource allocation measures in reaction to resource unavailability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/02Protocol performance
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/28Timers or timing mechanisms used in protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明公开了一种检测访问控制列表生效的方法,通过在每次执行访问控制列表(ACL)规则的动作部分时,按照挂接方式,启动挂接在这条ACL规则上的计数器,计数器按照预先设定的计数方式进行计数,通过读取计数器内存储的计数值,根据是否有计数值判断这条ACL规则是否生效;本发明同时还公开了一种检测访问控制列表生效的装置,能够实现在判断ACL规则是否生效时,既不增加网络负载,又不冲击设备中央处理器(CPU)的安全;此外,利用查看计数值来判断ACL规则是否生效的方法较为简单,能够加快网络故障的定位速度。

Description

一种检测访问控制列表生效的方法和装置
技术领域
本发明涉及业务接入访问控制管理技术,尤指一种检测访问控制列表生效的方法和装置。
背景技术
现今网络发展速度惊人,网络安全问题也表现的比较突出,对于承载着各种网络业务的网络设备(包括路由器、交换机等)拥有一个自身安全保护措施显得尤为重要,访问控制列表就是一个很好的帮手。
访问控制列表(ACL,Access Control List)的功能是过滤通过网络设备的特定数据包。ACL通过一系列匹配条件对数据包进行分类,这些条件可以是数据包的源地址、目的地址、端口号,交换机根据ACL中指定的条件来检测数据包,从而决定是转发还是丢弃该数据包。
ACL包括端口ACL、全局ACL、VLAN-ACL。端口ACL是一种为设备上不同端口配置不同的ACL动作,实现对各个端口的不同控制;全局ACL给用户提供一种整个设备上所有端口都会生效的ACL配置机制;VLAN-ACL即基于虚拟局域网(VLAN)的ACL,用户通过对VLAN配置ACL动作,从而实现对VLAN内所有端口的访问控制。
ACL既然是在网络设备中充当“防火墙”角色的,那么它是否能够正常工作,如何判断ACL是否正常工作就成为了一个关键问题。
一般ACL中的一条ACL规则包含两个比较重要的部分:匹配规则部分(Qualify)和动作部分(Action)。
例如我们需要配置一条ACL规则是要在端口A上丢弃源IP地址是10.1.1.1的数据包,那么这条规则的
Qualify=端口A+源IP 10.1.1.1
Action=丢弃
当这条ACL规则配置到端口A上,正常情况满足Qualify条件的数据包应该就会被丢弃掉了,但是网络设备往往不是像我们想象的这么简单,有时这样的报文还是会被正常转发而不会丢弃,那我们需要通过某种措施来判断是不是ACL规则没有生效,还是ACL规则虽然生效了,但是被其他流程影响导致了报文的转发。
这样判断ACL规则是否生效就是一个必须要解决的问题。
目前做了一些尝试,例如:
一种方式是可以通过修改这条ACL规则的Action,让它做一个端口镜像动作,把数据流镜像到某一个其他的物理端口,这样如果在镜像的物理端口能抓到这样的数据流,那么说明这个ACL规则是能够正常匹配的、即ACL规则是生效的,如果镜像的物理端口抓不到这样的数据流,就说明这个ACL规则没有被匹配到、即ACL规则没有生效。
另一种方式是可以尝试把ACL规则的动作部分改为将匹配ACL规则的数据流拷贝到设备自身中央处理器(CPU)、即把Action改成copy to cpu,这样如果数据流能正常匹配ACL规则的话,CPU就能收到该数据流,通过一个CPU自身的调试方式就可以看到该数据流,表示ACL规则是生效的;如果没有匹配ACL规则,那么该数据流在CPU上是看不到的,也就表示ACL规则没有生效。
这两种方式只是是早期诊断ACL规则是否生效的方式,这两种方式虽然能满足要求,但是都比较繁琐,第一种需要借助其他端口,如果网络设备的所有端口被用完了,这种方式就无法实施了,而且端口镜像会增加网络设备的负载,在现网设备上是不建议使用的;第二种方式更是危险,设备的CPU是用来处理协议报文、维持设备状态的,如果有大量的数据报文被强行的抓到CPU,很有可能会导致整个设备都工作异常。
发明内容
有鉴于此,本发明的主要目的在于提供一种检测访问控制列表生效的方法和装置,有效判断ACL规则是否生效。
为达到上述目的,本发明的技术方案是这样实现的:
本发明提供的一种检测访问控制列表生效的方法,该方法包括:
在每次执行ACL规则的动作部分时,按照挂接方式,启动挂接在这条ACL规则上的计数器;
计数器按照预先设定的计数方式进行计数,并存储计数值;
读取计数器内存储的计数值,如果有计数值,则确定这条ACL规则生效;反之,则确定这条ACL规则没有生效;
在读取计数器内存储的计数值之后,对计数器的计数值清0。
上述方案中,所述挂接方式具体为将启动计数器作为一条ACL规则中动作部分里的一个动作的方式,或者是通过检测一条ACL规则中动作部分的结果来启动计数器的方式。
上述方案中,所述计数方式为报文个数计数方式或报文字节数计数方式,其中,
上述方案中,所述报文个数计数方式为计数器在每次被启动时计数值自动加1;
上述方案中,所述报文字节数计数方式为计数器在每次被启动时计数值加上此次符合这条ACL规则的报文的字节数。
上述方案中,所述计数器为预先在设备本身的计数器资源池中申请的,具体为静态申请方式申请或动态申请方式申请,其中,
上述方案中,所述静态申请方式申请具体为:为设备中的每条ACL规则各申请一个计数器,包括为每条空的ACL规则申请一个计数器;
上述方案中,所述动态申请方式申请具体为:为设备中需要检测的每条ACL规则各申请一个计数器。
本发明提供的一种检测访问控制列表生效的装置,该装置包括:启动模块、计数器、读取模块;其中,
启动模块,用于在每次执行一条ACL规则的动作部分时,按照挂接方式,启动挂接在这条ACL规则上的计数器;
计数器,用于按照预先设定的计数方式进行计数,并存储计数值;
读取模块,用于读取挂接在一条ACL规则上的计数器内存储的计数值,如果有计数值,则确定这条ACL规则生效,反之,则确定这条ACL规则没有生效;还用于在读取计数器内存储的计数值之后,对计数器的计数值清0。
本发明提供的一种检测访问控制列表生效的方法和装置,通过预先在设备本身的计数器资源池中申请计数器,将计数器按照一定的挂接方式挂接在ACL规则上;在每次执行ACL规则的动作部分时,按照挂接方式,启动挂接在这条ACL规则上的计数器,计数器按照预先设定的计数方式进行计数,通过读取计数器内存储的计数值,根据是否有计数值判断这条ACL规则是否生效,从而实现在判断ACL规则是否生效时,既不增加网络负载,又不冲击设备CPU的安全;此外,利用查看计数值来判断ACL规则是否生效的方法较为简单,能够加快网络故障的定位速度。
附图说明
图1为本发明实现检测访问控制列表生效的方法的流程示意图;
图2为本发明实现检测访问控制列表生效的装置的结构示意图。
具体实施方式
本发明的基本思想是:通过预先在设备本身的计数器资源池中申请计数器,将计数器按照一定的挂接方式挂接在ACL规则上;在每次执行ACL规则的动作部分时,按照挂接方式,启动挂接在这条ACL规则上的计数器,计数器按照预先设定的计数方式进行计数,通过读取计数器内存储的计数值,根据是否有计数值判断这条ACL规则是否生效。
其中,所述预先在设备本身的计数器资源池中申请计数器具体有两种方式:
一是为设备中的每条ACL规则各申请一个计数器,包括为每条空的ACL规则申请一个计数器,此方式为静态申请方式,这种方式会占用设备计数器资源,但在为某条空的ACL规则设置新的ACL规则时,就不需要再申请计数器了;
二是为设备中需要检测的每条ACL规则各申请一个计数器,此方式为动态申请方式,这种方式占用设备资源较少,但在设置新的需要检测的ACL规则时,需要对每条新的需要检测的ACL规则进行计数器的申请。
所述挂接方式具体为:将启动计数器作为一条ACL规则中动作部分里的一个动作的方式,或者是通过检测一条ACL规则中动作部分的结果等途径来启动计数器的方式。
所述计数方式包括报文个数计数方式和报文字节数计数方式等。
下面通过附图及具体实施例对本发明再做进一步的详细说明。
本发明实现一种检测访问控制列表生效的方法,预先在设备本身的计数器资源池中申请计数器,将计数器挂接在ACL规则上,如图1所示,该方法包括以下几个步骤:
步骤101:在每次执行一条ACL规则的动作部分时,按照挂接方式,启动挂接在这条ACL规则上的计数器,按照预先设定的计数方式进行计数,并将计数值进行存储;
具体的,如果计数器挂接在一条ACL规则上的挂接方式采用将启动计数器作为ACL规则中动作部分里的一个动作的方式,则在每次执行一条ACL规则的动作部分时,在这条ACL规则的动作部分里启动计数器,计数器按照预先设定的计数方式进行计数;如果计数器挂接在一条ACL规则上的挂接方式采用通过检测这条ACL规则中动作部分的结果来启动计数器的方式,则在每次执行这条ACL规则的动作部分时,检测这条ACL规则中动作部分的结果,当检测到时启动计数器,计数器按照预先设定的计数方式进行计数,并将计数值进行存储;当没有检测到时,则不启动计数器。
本步骤中,当预先设定的计数方式为报文个数计数方式时,计数器在每次被启动时计数值自动加1;当预先设定的计数方式为报文字节数计数方式时,计数器在每次被启动时计数值加上此次符合这条ACL规则的报文的字节数。
步骤102:读取计数器内存储的计数值,根据是否有计数值判断这条ACL规则是否生效;
具体的,在需要判断一条ACL规则是否生效时,可以读取挂接在这条ACL规则上的计数器内存储的计数值,如果有计数值,则确定这条ACL规则生效,反之,则确定这条ACL规则没有生效;
在本步骤中,所述读取挂接在这条ACL规则上的计数器内存储的计数值同时,进一步可以对计数器清0,防止计数器计数超过最大值。
基于上述方法,本发明实现一种检测访问控制列表生效的装置,如图2所示,该装置包括:启动模块21、计数器22、读取模块23;其中,
启动模块21,用于在每次执行一条ACL规则的动作部分时,按照挂接方式,启动挂接在这条ACL规则上的计数器22;
具体的,如果挂接方式采用将启动计数器22作为ACL规则中动作部分里的一个动作的方式,则在每次执行一条ACL规则的动作部分时,在这条ACL规则的动作部分里触发启动模块21启动计数器22;如果挂接方式采用通过检测这条ACL规则中动作部分的结果来启动计数器22的方式,则在每次执行这条ACL规则的动作部分时,启动模块21检测这条ACL规则中动作部分的结果,当检测到时启动计数器22;当启动模21块没有检测到时,则不启动计数器22;
计数器22,用于按照预先设定的计数方式进行计数,并存储计数值;
具体的,当预先设定的计数方式为报文个数计数方式时,计数器22在每次被启动模块21启动时计数值自动加1;当预先设定的计数方式为报文字节数计数方式时,计数器22在每次被启动模块21启动时计数值加上此次符合这条ACL规则的报文的字节数;
读取模块23,用于读取挂接在一条ACL规则上的计数器22内存储的计数值,如果有计数值,则确定这条ACL规则生效,反之,则确定这条ACL规则没有生效;
进一步的,所述读取模块23还用于在读取计数器22内存储的计数值之后,对计数器22的计数值清0。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种检测访问控制列表生效的方法,其特征在于,该方法包括:
在每次执行访问控制列表ACL规则的动作部分时,按照挂接方式,启动挂接在这条ACL规则上的计数器;
计数器按照预先设定的计数方式进行计数,并存储计数值;
读取计数器内存储的计数值,如果有计数值,则确定这条ACL规则生效;反之,则确定这条ACL规则没有生效;
在读取计数器内存储的计数值之后,对计数器的计数值清0。
2.根据权利要求1所述的方法,其特征在于,所述挂接方式具体为将启动计数器作为一条ACL规则中动作部分里的一个动作的方式,或者是通过检测一条ACL规则中动作部分的结果来启动计数器的方式。
3.根据权利要求1或2所述的方法,其特征在于,所述计数方式为报文个数计数方式或报文字节数计数方式,其中,
所述报文个数计数方式为计数器在每次被启动时计数值自动加1;
所述报文字节数计数方式为计数器在每次被启动时计数值加上此次符合这条ACL规则的报文的字节数。
4.根据权利要求1或2所述的方法,其特征在于,所述计数器为预先在设备本身的计数器资源池中申请的,具体为静态申请方式申请或动态申请方式申请,其中,
所述静态申请方式申请具体为:为设备中的每条ACL规则各申请一个计数器,包括为每条空的ACL规则申请一个计数器;
所述动态申请方式申请具体为:为设备中需要检测的每条ACL规则各申请一个计数器。
5.一种检测访问控制列表生效的装置,其特征在于,该装置包括:启动模块、计数器、读取模块;其中,
启动模块,用于在每次执行一条ACL规则的动作部分时,按照挂接方式,启动挂接在这条ACL规则上的计数器;
计数器,用于按照预先设定的计数方式进行计数,并存储计数值;
读取模块,用于读取挂接在一条ACL规则上的计数器内存储的计数值,如果有计数值,则确定这条ACL规则生效,反之,则确定这条ACL规则没有生效;还用于在读取计数器内存储的计数值之后,对计数器的计数值清0。
CN2009100929619A 2009-09-17 2009-09-17 一种检测访问控制列表生效的方法和装置 Expired - Fee Related CN101662425B (zh)

Priority Applications (5)

Application Number Priority Date Filing Date Title
CN2009100929619A CN101662425B (zh) 2009-09-17 2009-09-17 一种检测访问控制列表生效的方法和装置
PCT/CN2010/076326 WO2011032456A1 (zh) 2009-09-17 2010-08-25 一种检测访问控制列表生效的方法和装置
US13/395,229 US20120174209A1 (en) 2009-09-17 2010-08-25 Method and Device for Detecting Validation of Access Control List
EP10816660.4A EP2466816B1 (en) 2009-09-17 2010-08-25 Method and device for detecting validation of an access control list
BR112012006123A BR112012006123A2 (pt) 2009-09-17 2010-08-25 método e dispositivo para detecção da validação da lista de controle de acesso.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009100929619A CN101662425B (zh) 2009-09-17 2009-09-17 一种检测访问控制列表生效的方法和装置

Publications (2)

Publication Number Publication Date
CN101662425A CN101662425A (zh) 2010-03-03
CN101662425B true CN101662425B (zh) 2012-07-04

Family

ID=41790225

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009100929619A Expired - Fee Related CN101662425B (zh) 2009-09-17 2009-09-17 一种检测访问控制列表生效的方法和装置

Country Status (5)

Country Link
US (1) US20120174209A1 (zh)
EP (1) EP2466816B1 (zh)
CN (1) CN101662425B (zh)
BR (1) BR112012006123A2 (zh)
WO (1) WO2011032456A1 (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101662425B (zh) * 2009-09-17 2012-07-04 中兴通讯股份有限公司 一种检测访问控制列表生效的方法和装置
CN103001828A (zh) * 2012-12-04 2013-03-27 北京星网锐捷网络技术有限公司 基于数据流的报文统计方法和装置、网络设备
CN106302306B (zh) * 2015-05-11 2020-06-05 中兴通讯股份有限公司 一种基于访问控制列表acl的流量统计方法及装置
CN107508836B (zh) * 2017-09-27 2019-11-12 杭州迪普科技股份有限公司 一种acl规则下发的方法及装置
CN113328973B (zh) * 2020-02-28 2022-09-23 华为技术有限公司 一种检测访问控制列表acl规则无效的方法和装置
US12229291B1 (en) 2021-01-12 2025-02-18 Pure Storage, Inc. Management of access control in a storage system
CN117353960A (zh) * 2022-06-29 2024-01-05 中兴通讯股份有限公司 Acl规则处理方法、装置及存储介质
CN115529262A (zh) * 2022-09-16 2022-12-27 杭州云合智网技术有限公司 一种sai thrift中acl命中确认方法、装置、设备及介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1627696A (zh) * 2003-12-12 2005-06-15 华为技术有限公司 一种网络处理器转发故障的诊断方法
CN1878082A (zh) * 2005-06-09 2006-12-13 杭州华为三康技术有限公司 网络攻击的防护方法
CN101079798A (zh) * 2006-05-26 2007-11-28 华为技术有限公司 网络地址转换方法及实现访问控制列表的方法
CN101426014A (zh) * 2008-12-02 2009-05-06 中兴通讯股份有限公司 防止组播源攻击的方法及系统

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6701432B1 (en) * 1999-04-01 2004-03-02 Netscreen Technologies, Inc. Firewall including local bus
US7324514B1 (en) * 2000-01-14 2008-01-29 Cisco Technology, Inc. Implementing access control lists using a balanced hash table of access control list binary comparison trees
FR2844415B1 (fr) * 2002-09-05 2005-02-11 At & T Corp Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes
US7292531B1 (en) * 2002-12-31 2007-11-06 Packeteer, Inc. Methods, apparatuses and systems facilitating analysis of the performance of network traffic classification configurations
US7436770B2 (en) * 2004-01-21 2008-10-14 Alcatel Lucent Metering packet flows for limiting effects of denial of service attacks
US7916691B2 (en) * 2004-10-05 2011-03-29 Telefonaktiebolaget L M Ericsson (Publ) Arrangement and method relating to service provisioning control
CN100349445C (zh) * 2005-03-08 2007-11-14 华为技术有限公司 下一代网络中实现代理请求模式资源预留的方法和系统
CN100466600C (zh) * 2005-03-08 2009-03-04 华为技术有限公司 下一代网络中实现接入配置模式资源预留的方法
US7665128B2 (en) * 2005-04-08 2010-02-16 At&T Corp. Method and apparatus for reducing firewall rules
US7668969B1 (en) * 2005-04-27 2010-02-23 Extreme Networks, Inc. Rule structure for performing network switch functions
US7389377B2 (en) * 2005-06-22 2008-06-17 Netlogic Microsystems, Inc. Access control list processor
US8321437B2 (en) * 2005-12-29 2012-11-27 Nextlabs, Inc. Detecting behavioral patterns and anomalies using activity profiles
EP2116005A1 (en) * 2007-01-31 2009-11-11 Tufin Software Technologies Ltd. System and method for auditing a security policy
CN100583829C (zh) * 2007-03-20 2010-01-20 华为技术有限公司 访问控制列表规则生效的方法及装置
US8140666B2 (en) * 2007-03-29 2012-03-20 International Business Machines Corporation Method and apparatus for network distribution and provisioning of applications across multiple domains
US20090125470A1 (en) * 2007-11-09 2009-05-14 Juniper Networks, Inc. System and Method for Managing Access Control Lists
CN101247397A (zh) * 2008-03-07 2008-08-20 中兴通讯股份有限公司 一种镜像和访问控制列表功能生效顺序的优化方法
CN101364947A (zh) * 2008-09-08 2009-02-11 中兴通讯股份有限公司 一种访问控制列表规则匹配方法及系统
CN101662425B (zh) * 2009-09-17 2012-07-04 中兴通讯股份有限公司 一种检测访问控制列表生效的方法和装置
DE112010004284T5 (de) * 2009-11-06 2013-01-24 International Business Machines Corporation Verfahren und System zum Verwalten von Sicherheitsobjekten

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1627696A (zh) * 2003-12-12 2005-06-15 华为技术有限公司 一种网络处理器转发故障的诊断方法
CN1878082A (zh) * 2005-06-09 2006-12-13 杭州华为三康技术有限公司 网络攻击的防护方法
CN101079798A (zh) * 2006-05-26 2007-11-28 华为技术有限公司 网络地址转换方法及实现访问控制列表的方法
CN101426014A (zh) * 2008-12-02 2009-05-06 中兴通讯股份有限公司 防止组播源攻击的方法及系统

Also Published As

Publication number Publication date
CN101662425A (zh) 2010-03-03
EP2466816A4 (en) 2014-03-19
US20120174209A1 (en) 2012-07-05
WO2011032456A1 (zh) 2011-03-24
EP2466816B1 (en) 2015-05-27
BR112012006123A2 (pt) 2016-06-21
EP2466816A1 (en) 2012-06-20

Similar Documents

Publication Publication Date Title
CN101662425B (zh) 一种检测访问控制列表生效的方法和装置
Chen et al. Slowing down internet worms
CN101505219B (zh) 一种防御拒绝服务攻击的方法和防护装置
JP5781616B2 (ja) 脆弱性対策装置、および脆弱性対策方法
TW200828072A (en) Spam control systems and methods
CN104917653A (zh) 基于云平台的虚拟化流量监控方法及装置
WO2014150059A1 (en) Supporting programmability for arbitrary events in a software defined networking environment
US9521154B2 (en) Detecting suspicious network activity using flow sampling
CN105791248A (zh) 网络攻击分析方法和装置
EP3266174B1 (en) Uplink port oversubscription determination
CN104702560A (zh) 一种防止报文攻击方法及装置
WO2014161205A1 (zh) 一种网络拥塞处理方法、系统及装置
CN105939321B (zh) 一种dns攻击检测方法及装置
JP4994323B2 (ja) 中継装置
JP4694578B2 (ja) コンピュータネットワークをパケットフラッド(flood)から保護するための方法及びシステム
CN101001249A (zh) 一种防igmp报文攻击的方法和装置
CN102223261A (zh) 一种针对报文进行采样的方法及装置
CN108989275A (zh) 一种攻击防范方法和装置
JP2016010089A (ja) トラフィック監視システム
CN106790020B (zh) 一种基于攻击范式的互联网异常行为检测方法与系统
CN102255749B (zh) 一种引发网络设备故障的异常报文捕获方法及装置
CN100364280C (zh) 一种下发安全策略的方法
CN113556345B (zh) 一种报文处理方法、装置、设备及介质
US7668969B1 (en) Rule structure for performing network switch functions
CN106209784B (zh) 一种数据过滤方法和装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20120704

Termination date: 20200917