專利名稱:一種網(wǎng)絡(luò)連接刪除方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信,特別涉及基于ACL(訪問控制規(guī)則)連接的刪除方法。
背景技術(shù):
為了保證網(wǎng)絡(luò)通訊的安全,在網(wǎng)絡(luò)安全設(shè)備中,通常都要維護(hù)網(wǎng)絡(luò)通訊連接,有多少條通訊正在進(jìn)行就需要維護(hù)多少連接。而連接的建立都要先通過ACL檢查,通過檢查后的連接會建立連接表,該連接后續(xù)的數(shù)據(jù)包就不再經(jīng)過ACL檢查,而是直接查找連接表,如果能命中,而且通過連接表的檢查,該數(shù)據(jù)包可以通過。一條ACL可以有多條連接與其對應(yīng)。沒有通過ACL檢查的數(shù)據(jù)包,就不能建立連接,后續(xù)數(shù)據(jù)包也就不能通過,可見ACL對網(wǎng)絡(luò)安全至關(guān)重要。
如果在通訊的過程中,某條ACL被刪除,繼續(xù)保留基于該規(guī)則建立起來的連接是不安全的,這可能會成為攻擊的漏洞。那么我們就需要在刪除ACL的同時(shí)將其所對應(yīng)的連接刪除,以確保網(wǎng)絡(luò)安全。然而要?jiǎng)h除連接有以下技術(shù)困難1.如何確定連接對應(yīng)的ACL是否還存在?2.當(dāng)連接數(shù)量很巨大時(shí)(比如有100萬條連接同時(shí)存在時(shí))如何保證刪除的效率?3.當(dāng)有多條ACL被刪除時(shí),如何確保刪除效率?目前的網(wǎng)絡(luò)安全設(shè)備往往沒有在ACL規(guī)則刪除以后將對應(yīng)的連接刪除,或者刪除效率很低,在ACL刪除后很長時(shí)間才能將對應(yīng)的連接全部刪除干凈,而在有多條ACL同時(shí)刪除的時(shí)候效率會低到難以忍受的程度。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題,就是針對現(xiàn)有技術(shù)不能在ACL刪除后及時(shí)刪除其對應(yīng)連接的缺點(diǎn),提供一種在刪除ACL的同時(shí)高效刪除其對應(yīng)連接的方法。
本發(fā)明解決所述技術(shù)問題,采用的技術(shù)方案是,一種網(wǎng)絡(luò)連接刪除方法,包括如下步驟a.對連接所依據(jù)的ACL進(jìn)行標(biāo)識;b.建立ACL標(biāo)識列表;c.ACL刪除時(shí),將對應(yīng)連接的ACL標(biāo)識置為有效;d.對ACL標(biāo)識為有效的連接進(jìn)行刪除。
本發(fā)明的有益效果是,有效的防止了因?yàn)锳CL刪除而由不能刪除,或不能快速刪除對應(yīng)連接而留下的安全漏洞,確保了網(wǎng)絡(luò)安全。
具體實(shí)施例方式
下面結(jié)合實(shí)施例,詳細(xì)描述本發(fā)明的技術(shù)方案。
本發(fā)明的技術(shù)方案是,一種網(wǎng)絡(luò)連接刪除方法,包括如下步驟a.對連接所依據(jù)的ACL進(jìn)行標(biāo)識;b.建立ACL標(biāo)識列表;c.ACL刪除時(shí),將對應(yīng)連接的ACL標(biāo)識置為有效;d.對ACL標(biāo)識為有效的連接進(jìn)行刪除;進(jìn)一步的是步驟a中,所述ACL標(biāo)識記錄在連接表中;如此,步驟b中,所述ACL標(biāo)識列表通過連接表索引得到;具體的是,步驟d分為如下3步d1.對ACL標(biāo)識列表建立輪尋機(jī)制;d2.從任意位置開始,對ACL標(biāo)識列表進(jìn)行輪尋;d3.對輪尋到的ACL標(biāo)識為有效的連接進(jìn)行刪除;并且在步驟d3完成后,返回步驟c;優(yōu)選的是,上述網(wǎng)絡(luò)連接刪除方法通過硬件完成。
本發(fā)明為每條ACL規(guī)則分配唯一的標(biāo)識,在根據(jù)ACL規(guī)則建立連接時(shí),將這一唯一表示也寫入連接表,這樣根據(jù)連接表就可以知道該連接是基于哪條ACL規(guī)則建立的。
建立ACL標(biāo)識表,該表可以直接用ACL標(biāo)識索引,該表初始化都置為無效,當(dāng)有ACL規(guī)則被刪除時(shí),對應(yīng)的ACL標(biāo)識就置為有效,索引到有效表項(xiàng)則表示該ACL規(guī)則對應(yīng)的連接需要?jiǎng)h除。
對連接表建立輪尋機(jī)制,從連接表的某位置開始輪尋,到把所有連接表項(xiàng)輪尋完為一個(gè)輪尋周期。根據(jù)輪尋到的連接表項(xiàng),得到該連接表的ACL標(biāo)識,用ACL標(biāo)識直接索引ACL標(biāo)識表,如果有效則刪除該連接。
一個(gè)輪尋周期完成以后,所有需要?jiǎng)h除的連接都已刪除,這時(shí)需要將ACL標(biāo)識表重新初始化,同時(shí)設(shè)置一個(gè)此輪刪除以完成的標(biāo)識,為下一輪連接刪除作準(zhǔn)備。
本發(fā)明建立了連接表和ACL規(guī)則之間的對應(yīng)關(guān)系,利用這一對應(yīng)關(guān)系和ACL標(biāo)識表可以成批的刪除需要?jiǎng)h除的連接。這樣,如果有多條ACL規(guī)則被同時(shí)刪除,就可以將ACL標(biāo)識表對應(yīng)的多個(gè)標(biāo)識設(shè)置為有效,利用一次輪尋就可以刪除多條ACL規(guī)則對應(yīng)的連接,大大提高了刪除效率。該方法可以用軟件或硬件實(shí)現(xiàn),如果采用硬件的實(shí)現(xiàn)方式,刪除的速度和效率更高。該方法有效的防止了因?yàn)锳CL刪除而由不能刪除,或不能快速刪除對應(yīng)連接而留下的安全漏洞,確保了網(wǎng)絡(luò)安全。
實(shí)施例表1
表1示出了本例的連接表項(xiàng)對應(yīng)關(guān)系。第1欄為連接所依據(jù)的ACL標(biāo)識,序號為1、2、3、4、5的連接,其對應(yīng)的ACL規(guī)則分別表示為A、B、C、D、E。第2欄為ACL標(biāo)識列表,表中示出了ACL規(guī)則B和D的標(biāo)識為1(有效),表示其對應(yīng)的ACL被刪除;其余的ACL規(guī)則標(biāo)識為0(無效),表示其對應(yīng)的ACL未被刪除。第3欄為刪除后的連接表,表中示出了ACL標(biāo)識為有效的連接已被刪除,即序號為2和4的連接被刪除,這樣,前5項(xiàng)連接中,只剩下了3項(xiàng)。
權(quán)利要求
1.一種網(wǎng)絡(luò)連接刪除方法,包括如下步驟a.對連接所依據(jù)的ACL進(jìn)行標(biāo)識;b.建立ACL標(biāo)識列表;c.ACL刪除時(shí),將對應(yīng)連接的ACL標(biāo)識置為有效;d.對ACL標(biāo)識為有效的連接進(jìn)行刪除。
2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)連接刪除方法,其特征在于步驟a中,所述ACL標(biāo)識記錄在連接表中。
3.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)連接刪除方法,其特征在于步驟b中,所述ACL標(biāo)識列表通過連接表索引得到。
4.根據(jù)權(quán)利要求1、2或3所述的網(wǎng)絡(luò)連接刪除方法,其特征在于步驟d為d1.對ACL標(biāo)識列表建立輪尋機(jī)制;d2.從任意位置開始,對ACL標(biāo)識列表進(jìn)行輪尋;d3.對輪尋到的ACL標(biāo)識為有效的連接進(jìn)行刪除。
5.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)連接刪除方法,其特征在于步驟d3完成后,返回步驟c。
6.根據(jù)權(quán)利要求4所述的網(wǎng)絡(luò)連接刪除方法,其特征在于所述網(wǎng)絡(luò)連接刪除方法通過硬件完成。
7.根據(jù)權(quán)利要求1、2、3或5所述的網(wǎng)絡(luò)連接刪除方法,其特征在于所述網(wǎng)絡(luò)連接刪除方法通過硬件完成。
全文摘要
本發(fā)明涉及網(wǎng)絡(luò)通信,特別涉及基于ACL(訪問控制規(guī)則)連接的刪除方法。本發(fā)明解決了現(xiàn)有技術(shù)不能在ACL刪除后及時(shí)刪除其對應(yīng)連接的問題,提供一種在刪除ACL的同時(shí)高效刪除其對應(yīng)連接的方法。本發(fā)明采用的技術(shù)方案是,一種網(wǎng)絡(luò)連接刪除方法,包括如下步驟a.對連接所依據(jù)的ACL進(jìn)行標(biāo)識;b.建立ACL標(biāo)識列表;c.ACL刪除時(shí),將對應(yīng)連接的ACL標(biāo)識置為有效;d.對ACL標(biāo)識為有效的連接進(jìn)行刪除。本發(fā)明的有益效果是,有效的防止了因?yàn)锳CL刪除而由不能刪除,或不能快速刪除對應(yīng)連接而留下的安全漏洞,確保了網(wǎng)絡(luò)安全。
文檔編號H04L29/06GK1829229SQ20061002055
公開日2006年9月6日 申請日期2006年3月24日 優(yōu)先權(quán)日2006年3月24日
發(fā)明者游游, 趙承志 申請人:四川南山之橋微電子有限公司