技術領域

本發明涉及通信領域，并且特別地，涉及一種控制設備訪問的方法。

背景技術

寬帶接入設備通常為用戶提供帶外管理口，以便用戶通過簡單網絡管理協議(Simple?Network?Management?Protocol，SNMP)方式、或者通過遠程登錄的方式進入嵌入式網管，并對設備實施管理。

然而，網絡的便利性也給設備帶來了不安全性，非授權用戶如果獲取到了網元的IP地址，也可以遠程登錄設備管理接口并侵入設備。為了避免這類問題的發生，最常采用的防范方式就是設置用戶名和密碼，沒有用戶名密碼的非授權用戶即使連接上了管理口也無法進入設備。

此外，為了限制用戶的帶外管理連接占用過多的系統網絡資源(例如，套接字等)，通常還會對遠程登錄的連接個數加以限制。

然而，這種方式存在明顯的缺陷，即，有意或無意的非授權者通過若干個連接連上了系統，雖然這些非授權者不能登入設備，但卻已經達到了遠程登錄的最大連接個數，因此會導致合法用戶不能及時連上設備，且不能正常地訪問系統。

針對該問題，目前的解決方案是采用訪問控制列表(AccessControl?List，ACL)技術。互聯網通常所說的訪問控制列表技術是使用包過濾技術讀取數據包的包頭中的信息，例如，源地址、目的地址、源端口、目的端口等信息，并根據預先定義的規則對包進行過濾或放行，以達到訪問控制的目的。目前，已經存在有許多支持ACL功能的交換芯片，在使用時，管理員可通過將控制規則配置到芯片上，之后由硬件來直接判定對數據包的處理方式(即，放行或過濾)。

然而，如果采用這種方式的話，就需要購買相應的芯片，因此實現成本很高，并且對于上述的主要是為了防止非授權訪問的應用環境等這類并不復雜的場合來說，這種方式顯然是不適合的。

至今為止，尚未提出能夠有效、便捷地解決上述問題的技術方案。

發明內容

考慮到上述問題而做出本發明，為此，本發明的主要目的在于提供一種控制設備訪問的方案。

根據本發明的實施例，提供了一種控制設備訪問的方法。

該方法包括：步驟S102，設定對設備管理口的ACL訪問規則，以及對沒有命中ACL訪問規則的報文的處理規則；步驟S104，獲取系統的工作參數，并結合工作參數判斷報文是否命中ACL訪問規則；以及步驟S106，如果報文未命中ACL訪問規則，則根據處理規則進行處理；如果報文命中ACL訪問規則，則根據ACL訪問規則進行相應的處理。

其中，在步驟S102與步驟S104之間，進一步包括：判斷系統是否使能管理ACL功能，如果未使能管理ACL功能，則允許所有報文通過；否則執行步驟S104和步驟S106。

其中，ACL訪問規則包括以下至少之一：缺省ACL訪問規則和配置ACL訪問規則。

在這種情況下，在步驟S104中，可以進一步包括：結合工作參數，判斷報文是否命中缺省ACL訪問規則，如果命中缺省ACL訪問規則，則根據缺省ACL訪問規則進行處理；結合工作參數，判斷未命中缺省ACL訪問規則的報文是否命中配置ACL訪問規則，如果命中配置ACL訪問規則，則根據配置ACL訪問規則進行處理；根據處理規則處理未命中缺省ACL訪問規則和配置ACL訪問規則的報文。

并且，可在嵌入式網管用戶接口上，提供命令供管理員設置配置ACL訪問規則。

其中，在該方法中，處理規則為以下之一：允許未命中缺省ACL訪問規則和配置ACL訪問規則的報文通過，或拒絕未命中缺省ACL訪問規則和配置ACL訪問規則的報文通過。

其中，在該方法中，缺省ACL訪問規則包括：允許基本通訊的報文通過，該類報文包括但不限于：網間控制報文協議(InternetControl?Messages?Protocol，ICMP)報文、地址解析協議(AddressResolution?Protocol，ARP)幀。

此外，在該方法中，配置ACL訪問規則包括：設定特定字段的合法或非法信息，對包含合法信息的報文允許通過，或對包含非法信息的報文拒絕通過，其中，特定字段包括但不限于：源IP地址、目的IP地址、IP協議類型、源端口、目的端口。

通過本發明的上述技術方案，能夠有效地控制報文的通行管理，達到對接入設備管理接口的訪問控制的目的；并且能夠在相對簡單的應用環境下，實現低成本的系統安全保證。

附圖說明