一种区域访问控制的方法、系统、设备及可读存储介质转让专利
申请号 : CN202011203457.4
文献号 : CN112311800B
文献日 : 2023-04-07
发明人 : 余术强 , 范渊 , 杨勃
申请人 : 杭州安恒信息技术股份有限公司
摘要 :
本申请公开了一种区域访问控制的方法,包括:接收输入的配置文件,并对配置文件中的访问规则按照高位优先顺序进行排序;读取配置文件中的访问规则,并依据访问规则的读取顺序设置对应的拦截访问策略;执行拦截访问策略对访问流量进行区域访问控制。本申请通过利用预设排序算法对配置文件中的访问规则按照高位优先顺序进行排序,使得配置文件中小区域的访问规则排在前、大区域的访问规则排在后,小区域的访问规则因此具有更高的优先级,在面对区域覆盖且配置动作不一致的区域进行区域访问控制设置时,能够避免小区域的访问规则设置失败。本申请同时还提供了一种区域访问控制的系统、设备及可读存储介质,具有上述有益效果。
权利要求 :
1.一种区域访问控制的方法,其特征在于,包括:获取IP地址库文件,并对所述IP地址库文件进行解析,得到每个IP地址所属的物理区域,以及每个所述物理区域所拥有的公网IP地址段;
将每个所述物理区域所拥有的公网IP地址段输出;
接收输入的配置文件,并对所述配置文件中的访问规则按照高位优先顺序进行排序;
读取所述配置文件中的访问规则,并依据所述访问规则的读取顺序设置对应的拦截访问策略;
执行所述拦截访问策略对访问流量进行区域访问控制。
2.根据权利要求1所述的方法,其特征在于,执行所述拦截访问策略对访问流量进行区域访问控制,包括:依据所述拦截访问策略确定拦截IP地址和放行IP地址;
获取所述访问流量的IP地址,并对IP地址属于所述拦截IP地址的访问流量进行拦截,对IP地址属于所述放行IP地址的访问流量进行放行。
3.根据权利要求1所述的方法,其特征在于,在利用预设排序算法对所述配置文件中的访问规则按照高位优先顺序进行排序之前,还包括:接收输入的修改命令;
执行所述修改命令对所述配置文件中的访问规则进行修改。
4.一种区域访问控制的系统,其特征在于,包括:获取模块,用于获取IP地址库文件,并对所述IP地址库文件进行解析,得到每个IP地址所属的物理区域,以及每个所述物理区域所拥有的公网IP地址段;
输出模块,用于将每个所述物理区域所拥有的公网IP地址段输出;
第一接收模块,用于接收输入的配置文件,并对所述配置文件中的访问规则按照高位优先顺序进行排序;
设置模块,用于读取所述配置文件中的访问规则,并依据所述访问规则的读取顺序设置对应的拦截访问策略;
区域访问控制模块,用于执行所述拦截访问策略对访问流量进行区域访问控制。
5.根据权利要求4所述的系统,其特征在于,还包括:第二接收模块,用于接收输入的修改命令;
执行模块,用于执行所述修改命令对所述配置文件中的访问规则进行修改。
6.根据权利要求4所述的系统,其特征在于,所述区域访问控制模块包括:确定子模块,用于依据所述拦截访问策略确定拦截IP地址和放行IP地址;
获取子模块,用于获取所述访问流量的IP地址,并对IP地址属于所述拦截IP地址的访问流量进行拦截,对IP地址属于所述放行IP地址的访问流量进行放行。
7.一种区域访问控制设备,其特征在于,包括:存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至3任一项所述区域访问控制的方法的步骤。
8.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3任一项所述区域访问控制的方法的步骤。
说明书 :
一种区域访问控制的方法、系统、设备及可读存储介质
技术领域
[0001] 本申请涉及区域访问控制领域,特别涉及一种区域访问控制的方法、系统、设备及可读存储介质。
背景技术
[0002] 区域访问控制就是对IP归属地区域的流量进行阻断或放行的动作。如果用户不希望自己的网站或服务器被指定区域的人访问,则可在本地机器流量的入口部署区域访问控制系统,阻断该区域IP的来访流量,维护本地网络系统的安全。
[0003] 然而,现有技术存在一个配置优先级的问题,当区域有覆盖且动作不一致时,先设置的区域具有更高的优先级。由于有这个优先级的限制,导致在对区域有覆盖且配置动作不一致的区域进行区域访问控制设置的时候,存在着访问规则设置失败的情况。
[0004] 因此,如何避免出现区域访问控制时访问规则设置失败的情况是本领域技术人员目前需要解决的技术问题。
发明内容
[0005] 本申请的目的是提供一种区域访问控制的方法、系统、设备及可读存储介质,用于避免出现区域访问控制时规则设置失败的情况。
[0006] 为解决上述技术问题,本申请提供一种区域访问控制的方法,该方法包括:
[0007] 接收输入的配置文件,并对所述配置文件中的访问规则按照高位优先顺序进行排序;
[0008] 读取所述配置文件中的访问规则,并依据所述访问规则的读取顺序设置对应的拦截访问策略;
[0009] 执行所述拦截访问策略对访问流量进行区域访问控制。
[0010] 可选的,在接收输入的配置文件之前,还包括:
[0011] 获取IP地址库文件,并对所述IP地址库文件进行解析,得到每个IP地址所属的物理区域,以及每个所述物理区域所拥有的公网IP地址段;
[0012] 将每个所述物理区域所拥有的公网IP地址段输出。
[0013] 可选的,在利用预设排序算法对所述配置文件中的访问规则按照高位优先顺序进行排序之前,还包括:
[0014] 接收输入的修改命令;
[0015] 执行所述修改命令对所述配置文件中的访问规则进行修改。
[0016] 可选的,执行所述拦截访问策略对访问流量进行区域访问控制,包括:
[0017] 依据所述拦截访问策略确定拦截IP地址和放行IP地址;
[0018] 获取所述访问流量的IP地址,并对IP地址属于所述拦截IP地址的访问流量进行拦截,对IP地址属于所述放行IP地址的访问流量进行放行。
[0019] 本申请还提供一种区域访问控制的系统,该系统包括:
[0020] 第一接收模块,用于接收输入的配置文件,并对所述配置文件中的访问规则按照高位优先顺序进行排序;
[0021] 设置模块,用于读取所述配置文件中的访问规则,并依据所述访问规则的读取顺序设置对应的拦截访问策略;
[0022] 区域访问控制模块,用于执行所述拦截访问策略对访问流量进行区域访问控制。
[0023] 可选的,还包括:
[0024] 获取模块,用于获取IP地址库文件,并对所述IP地址库文件进行解析,得到每个IP地址所属的物理区域,以及每个所述物理区域所拥有的公网IP地址段;
[0025] 输出模块,用于将每个所述物理区域所拥有的公网IP地址段输出。
[0026] 可选的,还包括:
[0027] 第二接收模块,用于接收输入的修改命令;
[0028] 执行模块,用于执行所述修改命令对所述配置文件中的访问规则进行修改。
[0029] 可选的,所述区域访问控制模块包括:
[0030] 确定子模块,用于依据所述拦截访问策略确定拦截IP地址和放行IP地址;
[0031] 获取子模块,用于获取所述访问流量的IP地址,并对IP地址属于所述拦截IP地址的访问流量进行拦截,对IP地址属于所述放行IP地址的访问流量进行放行。
[0032] 本申请还提供一种区域访问控制设备,该区域访问控制设备包括:
[0033] 存储器,用于存储计算机程序;
[0034] 处理器,用于执行所述计算机程序时实现如上述任一项所述区域访问控制的方法的步骤。
[0035] 本申请还提供一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述任一项所述区域访问控制的方法的步骤。
[0036] 本申请所提供区域访问控制的方法,包括:接收输入的配置文件,并对配置文件中的访问规则按照高位优先顺序进行排序;读取配置文件中的访问规则,并依据访问规则的读取顺序设置对应的拦截访问策略;执行拦截访问策略对访问流量进行区域访问控制。
[0037] 本申请所提供的技术方案,通过在接收配置文件之后,利用预设排序算法对配置文件中的访问规则按照高位优先顺序进行排序,使得配置文件中小区域的访问规则排在前、大区域的访问规则排在后,小区域的访问规则因此具有更高的优先级,在面对区域覆盖且配置动作不一致的区域进行区域访问控制设置时,能够避免小区域的访问规则设置失败。本申请同时还提供了一种区域访问控制的系统、设备及可读存储介质,具有上述有益效果,在此不再赘述。
附图说明
[0038] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
[0039] 图1为本申请实施例所提供的一种区域访问控制的方法的流程图;
[0040] 图2为本申请实施例所提供的一种区域访问控制的系统的结构图;
[0041] 图3为本申请实施例所提供的一种区域访问控制设备的结构图。
具体实施方式
[0042] 本申请的核心是提供一种区域访问控制的方法、系统、设备及可读存储介质,用于避免出现区域访问控制时规则设置失败的情况。
[0043] 为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0044] 请参考图1,图1为本申请实施例所提供的一种区域访问控制的方法的流程图。
[0045] 其具体包括如下步骤:
[0046] S101:接收输入的配置文件,并对配置文件中的访问规则按照高位优先顺序进行排序;
[0047] 区域访问控制就是对IP归属地区域的流量进行阻断或放行的动作。如果用户不希望自己的网站或服务器被指定区域的人访问,则可在本地机器流量的入口部署区域访问控制系统,阻断该区域IP的来访流量,维护本地网络系统的安全。
[0048] 然而,现有技术存在一个配置优先级的问题,当区域有覆盖且动作不一致时,先设置的区域具有更高的优先级。例如,实际先设置了中国浙江放行,然后又设置了中国浙江杭州阻断时,实际对杭州区域的设置会已对先设置的浙江的动作为准,即所有来自杭州区域的流量都会被放行,相当于后设置的“中国浙江杭州阻断”这一条规则无法起到作用。由于有这个优先级的限制,导致在对区域有覆盖且配置动作不一致的区域进行区域访问控制设置的时候,存在着规则设置失败的情况;故本申请提供了一种的方法,用于解决上述问题。
[0049] 配置文件是一种计算机文件,该配置文件为用户或系统输入的,可以为计算机程序配置参数和初始设置,在一个具体实施例中,该配置文件中存有一个或多个访问规则,这些访问规则为一个或多个用户随机输入的,在配置文件中并不存在特定的顺序,可能出现大区域的访问规则排在前、小区域的访问规则排在后的情况,这就导致排在后的小区域访问规则无法起到作用,因此本步骤利用预设排序算法对配置文件中的按照高位优先顺序进行排序,使得配置文件中小区域的访问规则排在前、大区域的访问规则排在后,小区域的访问规则因此具有更高的优先级,在面对区域覆盖且配置动作不一致的区域进行区域访问控制设置时,能够避免小区域的访问规则设置失败。
[0050] 这里提到的访问规则即为访问流量需要遵守的规则,例如可以设置“China Zhejiang pass”字段实现中国浙江放行,通过设置“China Zhejiang_Hangzhou block”字段实现中国浙江杭州拦截。
[0051] 优选的,还可以通过输出每个物理区域所拥有的公网IP地址段的方式,以便用户设置满足业务需求的访问规则,即在接收输入的配置文件之前,还可以执行如下步骤:
[0052] 获取IP地址库文件,并对IP地址库文件进行解析,得到每个IP地址所属的物理区域,以及每个物理区域所拥有的公网IP地址段;
[0053] 将每个物理区域所拥有的公网IP地址段输出。
[0054] 在一个具体实施例中,对需要进行流量限制的区域进行区域访问控制的配置,所配置的区域范围精度不应小于IP地址库文件能够被解析出的最小区域精度,一般专业做IP地址库服务的商家所提供的免费IP地址库都可以精确到市,如果是收费版本的,这IP地址库的精度将更高,可以精确到区县。
[0055] 可选的,当用户设置的访问规则无法满足业务需求时,还可以通过修改配置文件的方式实现对配置规则的修改,以使修改后的访问规则能够满足业务需求,即在利用预设排序算法对配置文件中的访问规则按照高位优先顺序进行排序之前,还可以执行如下步骤:
[0056] 接收输入的修改命令;
[0057] 执行修改命令对配置文件中的访问规则进行修改。
[0058] 可选的,这里提到的预设排序算法具体可以为高位优先的字符串排序算法,字符串常见的排序算法有两种,分别是低位优先和高位优先,低位优先从右向左检查字符,高位优先从左向右检查字符。低位优先字符串排序要求待排序的字符串长度一致,然而很多时候字符串长度并不一致,低位优先排序并不适用,因此本申请选用高位优先的字符串排序算法。
[0059] 可选的,还可采用字符串排序算法中的三向字符串快速排序,基于这种算法,对配置的区域访问控制规则进行排序后,同样可以实现所配即所愿的效果。
[0060] S102:读取配置文件中的访问规则,并依据访问规则的读取顺序设置对应的拦截访问策略;
[0061] S103:执行拦截访问策略对访问流量进行区域访问控制。
[0062] 可选的,这里提到的执行拦截访问策略对访问流量进行区域访问控制,其具体可以通过执行如下步骤实现:
[0063] 依据拦截访问策略确定拦截IP地址和放行IP地址;
[0064] 获取访问流量的IP地址,并对IP地址属于拦截IP地址的访问流量进行拦截,对IP地址属于放行IP地址的访问流量进行放行。
[0065] 可选的,这里提到的执行拦截访问策略对访问流量进行区域访问控制,也可以通过设置对应的拦截放行脚本文件实现。
[0066] 基于上述技术方案,本申请所提供的一种区域访问控制的方法,通过在接收配置文件之后,利用预设排序算法对配置文件中的访问规则按照高位优先顺序进行排序,使得配置文件中小区域的访问规则排在前、大区域的访问规则排在后,小区域的访问规则因此具有更高的优先级,在面对区域覆盖且配置动作不一致的区域进行区域访问控制设置时,能够避免小区域的访问规则设置失败。
[0067] 请参考图2,图2为本申请实施例所提供的一种区域访问控制的系统的结构图。
[0068] 该系统可以包括:
[0069] 第一接收模块100,用于接收输入的配置文件,并对配置文件中的访问规则按照高位优先顺序进行排序;
[0070] 设置模块200,用于读取配置文件中的访问规则,并依据访问规则的读取顺序设置对应的拦截访问策略;
[0071] 区域访问控制模块300,用于执行拦截访问策略对访问流量进行区域访问控制。
[0072] 在上述实施例的基础上,在一个具体实施例中,该系统还可以包括:
[0073] 获取模块,用于获取IP地址库文件,并对IP地址库文件进行解析,得到每个IP地址所属的物理区域,以及每个物理区域所拥有的公网IP地址段;
[0074] 输出模块,用于将每个物理区域所拥有的公网IP地址段输出。
[0075] 在上述实施例的基础上,在一个具体实施例中,该系统还可以包括:
[0076] 第二接收模块,用于接收输入的修改命令;
[0077] 执行模块,用于执行修改命令对配置文件中的访问规则进行修改。
[0078] 在上述实施例的基础上,在一个具体实施例中,该系统区域访问控制模块300可以包括:
[0079] 确定子模块,用于依据拦截访问策略确定拦截IP地址和放行IP地址;
[0080] 获取子模块,用于获取访问流量的IP地址,并对IP地址属于拦截IP地址的访问流量进行拦截,对IP地址属于放行IP地址的访问流量进行放行。
[0081] 由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
[0082] 请参考图3,图3为本申请实施例所提供的一种区域访问控制设备的结构图。
[0083] 该区域访问控制设备400可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)422(例如,一个或一个以上处理器)和存储器432,一个或一个以上存储应用程序442或数据444的存储介质430(例如一个或一个以上海量存储设备)。其中,存储器432和存储介质430可以是短暂存储或持久存储。存储在存储介质430的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对装置中的一系列指令操作。更进一步地,处理器422可以设置为与存储介质430通信,在区域访问控制设备400上执行存储介质430中的一系列指令操作。
[0084] 区域访问控制设备400还可以包括一个或一个以上电源424,一个或一个以上有线或无线网络接口450,一个或一个以上输入输出接口458,和/或,一个或一个以上操作系统441,例如Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等等。
[0085] 上述图1所描述的区域访问控制的方法中的步骤由区域访问控制设备基于该图3所示的结构实现。
[0086] 所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0087] 在本申请所提供的几个实施例中,应该理解到,所揭露的装置、设备和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
[0088] 作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
[0089] 另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
[0090] 集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,功能调用装置,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read‑Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
[0091] 以上对本申请所提供的一种区域访问控制的方法、系统、设备及可读存储介质进行了详细介绍。本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
[0092] 还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。