发明名称 |
一种端点准入防御中的报文控制方法及接入设备 |
摘要 |
本发明提供一种端点准入防御中的报文控制方法及接入设备。所述方法包括如下步骤:在出端口上下发隔离类ACL和安全类ACL;在入端口上为未通过安全状态认证的用户终端下发第一类型ACL,为通过安全状态认证的用户终端下发第二类型ACL;对在入端口接收到的匹配第一类型ACL的上行报文设置第一标记后转发到出端口,对在入端口接收到的匹配第二类型ACL的上行报文设置第二标记后转发到出端口;在出端口对匹配所述隔离类ACL或者所述安全类ACL的上行报文进行转发。依照本发明,能够减少接入设备下发ACL的数量,进而能够增加接入设备对用户终端的接入能力。 |
申请公布号 |
CN101631121B |
申请公布日期 |
2011.12.28 |
申请号 |
CN200910091725.5 |
申请日期 |
2009.08.24 |
申请人 |
杭州华三通信技术有限公司 |
发明人 |
史计达 |
分类号 |
H04L29/06(2006.01)I |
主分类号 |
H04L29/06(2006.01)I |
代理机构 |
北京银龙知识产权代理有限公司 11243 |
代理人 |
张敬强 |
主权项 |
一种端点准入防御中的报文控制方法,其特征在于,包括如下步骤:在出端口上下发隔离类访问控制列表ACL和安全类ACL,所述隔离类ACL的匹配规则为:判断上行报文是否携带第一标记,以及,该上行报文的目的地址是否为允许的目的地址;所述安全类ACL的匹配规则为:判断上行报文是否携带第二标记,以及,该上行报文的目的地址是否为允许的目的地址;在入端口上为未通过安全状态认证的用户终端下发第一类型ACL,为通过安全状态认证的用户终端下发第二类型ACL,所述第一类型ACL和第二类型ACL的匹配规则为:判断上行报文的源地址是否为允许的源地址;对在入端口接收到的匹配第一类型ACL的上行报文设置第一标记后转发到出端口,对在入端口接收到的匹配第二类型ACL的上行报文设置第二标记后转发到出端口;在出端口对匹配所述隔离类ACL或者所述安全类ACL的上行报文进行转发。 |
地址 |
310053 浙江省杭州市高新技术产业开发区之江科技工业园六和路310号华为杭州生产基地 |