本發明實施例公開一種分布式訪問控制方法、裝置及存儲設備，用以解決諸多防火墻的規則難以統一維護管理以及硬件防火墻在流量較大的情況下出現性能不足的問題。該方法包括：接收數據包；解析所述數據包，獲取源MAC；根據所述數據包的源MAC地址前24位查詢本設備的訪問控制規則列表；若查詢到對應的規則，則根據規則執行對所述數據包的動作；若未查詢到對應的規則，將所述數據包引流至蜜罐網絡誘導環境中，或重定向到特定網關設備。

技術領域

本發明實施例涉及計算機網絡安全領域，尤其涉及一種分布式訪問控制方法、裝置及存儲設備。

背景技術

目前，防火墻是實現訪問控制的一種常用方式，根據其位于協議棧的位置可分為網絡層防火墻和應用層防火墻，網絡層防火墻利用封包的多種屬性進行過濾(IP、端口、MAC地址、協議等)，應用層防火墻依據封包所屬的應用程序進行過濾，理論上可以完全阻隔未知應用程序的數據流進到受保護的設備。防火墻可以部署在路由器上實現對內/外網的訪問控制，也可以部署在單個PC上，實現對PC的訪問控制。

但諸多防火墻的規則難以統一維護和管理，規則是否活躍也難以進行判斷；同時，對于硬件防火墻來說，在流量較大的情況下常出現防火墻性能不足的情況。

發明內容

基于上述存在的問題，本發明實施例提供一種分布式訪問控制方法、裝置及存儲設備，用以解決諸多防火墻的規則難以統一維護管理以及硬件防火墻在流量較大的情況下出現性能不足的問題。本發明實施例公開一種分布式訪問控制方法，包括：

接收數據包；解析所述數據包，獲取源MAC；根據所述數據包的源MAC地址前24位查詢本設備的訪問控制規則列表；若查詢到對應的規則，則根據規則執行對所述數據包的動作；若未查詢到對應的規則，將所述數據包引流至蜜罐網絡誘導環境中，或重定向到特定網關設備。

進一步地，根據所述數據包的源MAC地址前24位查詢本設備的訪問控制規則列表，還包括：若查詢到非對應的規則，則所述數據包將被丟棄。

進一步地，所述訪問控制規則列表采用白名單機制。

進一步地，所述訪問控制規則列表中每條規則的格式為規則ID、優先級、匹配內容、動作內容；規則ID：映射數據包源MAC前24位；優先級：表示規則的優先級；匹配內容包括：發起IP、目的IP、發起端口、目的端口、發起網段、目的網段、傳輸層協議、應用層協議、發起方登錄的用戶、發起的應用；動作內容包括：允許通訊、禁止通訊、重定向數據包到特定網關設備、告警并丟棄、告警并重定向。

進一步地，每臺設備只擁有預期與本設備發生交互關系的訪問控制規則列表，且每臺設備的訪問控制規則列表均存儲在訪問控制規則庫中，所述規則庫存放內網單臺設備上或者存放在分布式集群上。

進一步地，所述訪問控制規則庫不斷進行更新，還包括：通知內網所有設備同步更新訪問控制規則列表；或者識別所述訪問控制規則列表更新所影響的內網設備，主動將更新后的訪問控制規則列表推送給被影響的的內網設備。

進一步地，所述訪問控制規則列表中還包含臨時申請規則，所述臨時申請規則在限定條件下自動生效，并在給定時間后自動失效。

進一步地，將所述數據包引流至蜜罐網絡誘導環境中，具體為：內網設備將所述數據包地目的Mac、目的IP、端口變更為蜜罐網絡誘導環境的信息，源IP、端口、Mac變更為內網設備的信息；蜜罐網絡誘導環境接收到更改后的數據包，對該數據包進行檢測，根據檢測結果反饋數據包的源MAC；內網設備收到蜜罐發送的反饋數據包，根據源MAC映射的規則ID決定對所述數據包采取的動作。

進一步地，將所述數據包重定向到特定網關設備，具體為：內網設備將數據包的目的Mac、目的IP、端口變更為特定網關設備的信息，源IP、端口、Mac變更為內網設備的信息；將所述數據包重定向到特定網關設備。