安全域结构检查方法及装置与流程

本发明涉及网络安全领域，尤其涉及安全域结构检查方法及装置。
背景技术：
：随着网络技术及信息技术的不断发展，出现了越来越多的大型网络系统。由于网络系统通常包含数量繁多类型多样的网络设备，不同的网络设备的安全防护需求也不相同，为简化网络系统网络安全防护的复杂度，技术人员通常会根据网络设备的安全防护需求将网络系统划分为若干个安全域，并采用不同的访问规则限制不同安全域中网络设备的访问权限。在实际使用中，技术人员常常需要对网络系统进行结构调整，例如，在网络系统中添加新的网络设备、将网络系统中某个网络设备下线或者调整网络系统中某个网络设备的功能等。由于在网络系统进行结构调整后，网络设备应当所属的安全域也可能会随之发生变化，因此还需要技术人员根据网络系统的结构调整，重新确定各个安全域所包含的设备，并对所含网络设备发生变化对安全域进行访问规则调整。当网络系统的结构调整规模较大，涉及网络设备数量较多时，技术人员很容易将网络设备划入错误安全域。将网络设备划入错误安全域，会导致网络设备适用错误的访问规则，降低网络系统的安全性。因此在对网络系统进行结构调整后，需要对网络系统进行安全域结构检查，得到描绘安全域结构的相关信息，其中，描绘安全域结构的相关信息包括不符合安全域访问规则的网络设备信息、各个安全域的出口设备信息等。但是现有技术中，对网络系统进行安全域结构检查需要技术人员人工完成，依靠人工难以保证描绘安全域结构的相关信息及时更新、内容准确。因此，亟需一种安全域结构检查方法，准确高效的完成网络系统的安全域结构检查。技术实现要素：本发明实施例提供了安全域结构检查方法及装置，可以准确高效的完成网络系统的安全域结构检查。第一方面，本发明实施例提供了一种安全域结构检查方法，该方法包括：从目标网络系统中采集用于反映目标网络系统中网络设备之间连通状况的网络结构信息；根据所述网络结构信息确定所述目标网络系统各个网络设备之间的连接路径；根据所述连接路 径完成对所述目标网络系统的安全域结构检查。结合第一方面在第一方面第一种可能的实现方式中，所述从目标网络系统中采集用于反映目标网络系统中网络设备之间连通状况的网络结构信息包括：与所述目标网络系统中网络设备建立网络连接；根据所述网络设备的设备类型，从所述网络设备获取与所述设备类型相对应的网络结构信息。结合第一方面第一种可能的实现方式，在第一方面第二种可能的实现方式中，所述从所述网络设备获取与所述设备类型相对应的网络结构信息包括：当所述网络设备为路由交换设备时，获取所述网络设备的地址解析协议ARP信息及路由ROUTE信息；或者，当所述网络设备为防火墙设备时，获取所述网络设备的ARP信息及ROUTE信息；或者，当所述网络设备为主机时，获取所述网络设备的ARP信息。结合第一方面第二种可能的实现方式，在第一方面第三种可能的实现方式中，所述根据所述网络结构信息确定所述目标网络系统各个网络设备之间的连接路径包括：根据所述ARP信息，确定所述网络设备之间的直连路径；根据所述ROUTE信息，确定所述网络设备之间的路由路径。结合第一方面或第一方面第一至三种可能的实现方式其中任意一种，在第一方面第四种可能的实现方式中，根据所述连接路径完成对所述目标网络系统的安全域结构检查包括：从所述连接路径中筛选出不符合安全域访问规则的违规连接路径；根据所述违规连接路径定位不符合安全域访问规则的网络设备。结合第一方面第四种可能的实现方式，在第一方面第五种可能的实现方式中，所述从所述连接路径中筛选出不符合安全域访问规则的违规连接路径包括：获取预设的安全域访问规则；筛选出违反所述安全域访问规则的违规直连路径及违规路由路径。结合第一方面或第一方面第一至三种可能的实现方式其中任意一种，在第一方面第六种可能的实现方式中，根据所述连接路径完成对所述目标网络系统的安全域结构检查包括：根据符合安全域访问规则所述连接路径中的直连路径及路由路径确定所述目标网络系统中各个安全域的实际出口设备；从所述实际出口设备中筛选出不符合预设安全域访问规则的网络设备。第二方面，本发明实施例还提供了一种安全域结构检查装置，所述装置包括：采集单元，用于从目标网络系统中采集用于反映目标网络系统中网络设备之间连通状况的网络结构信息；确定单元，用于根据所述网络结构信息确定所述目标网络系统各个网络设备之间的连接路径；检查单元，用于根据所述连接路径完成所述目标网络系统的安全域 结构检查。结合第二方面，在第二方面第一种可能的实现方式中，所述检查单元包括：违规路径筛选子单元，用于从所述连接路径中筛选出不符合安全域访问规则的违规连接路径；违规设备定位子单元，用于根据所述违规连接路径定位不符合安全域访问规则的网络设备。结合第二方面，在第二方面第二种可能的实现方式中，所述检查单元包括：出口设备定位子单元，用于根据所述连接路径中的直连路径及路由路径确定所述目标网络系统各个安全域的实际出口设备；违规设备筛选子单元，从所述实际出口设备中筛选出不符合预设安全域访问规则的网络设备。本发明实施例中，从目标网络系统中采集用于反映目标网络系统中网络设备之间连通状况的网络结构信息；根据所述网络结构信息确定所述目标网络系统各个网络设备之间的连接路径；根据所述连接路径完成对所述目标网络系统的安全域结构检查。采用本发明实施例所提供的安全域结构检查方法及装置，可以自动确定所述目标网络系统各个网络设备之间的连接路径，进而根据所述连接路径完成对所述目标网络系统的安全域结构检查，从而可以准确高效的自动完成网络系统的安全域结构检查，得到描绘安全域结构的相关信息。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本发明安全域结构检查方法一个实施例的流程图；图2为本发明安全域结构检查装置一个实施例的结构示意图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。参见图1，为本发明安全域结构检查方法一个实施例的流程图，该方法包括如下步骤：步骤101，从目标网络系统中采集用于反映目标网络系统中网络设备之间连通状况的网络结构信息。检测装置首先确定需要检测的目标网络系统，在所述目标网络系统确定之后，可以分别与所述目标网络系统中每一个网络设备建立网络连接，并确定所述网络设备的设备类型；再从所述网络设备获取与所述设备类型相对应的网络结构信息。例如，在所述网络设备为路由交换设备时，检测装置可以建立与该路由交换设备的网络连接，然后从该路由设备获取该路由设备的地址解析协议(AddressResolutionProtocol，简称ARP)、路由信息(ROUTE)、物理地址(MediumAccessControl，简称MAC)、接口(Interface)、心跳信息(Heartbeat，简称HA)等信息；在所述网络设备为防火墙设备时，检测装置则可以建立与该防火墙设备的网络连接，然后从该防火墙设备获取该路由设备的ARP、MAC、ROUTE、Interface、HA等信息；在所述网络为主机时，检测装置则可以建立与该主机的网络连接，然后从获取该主机的IP、MAC、ARP等信息。由于检测装置从目标网络系统中各个网络设备获取到的网络结构信息通常为文本等非结构化信息。为便于后续处理，还可以对所述网络结构信息进行处理得到结构化的所述网络结构信息。例如，在检测装置从网络设备获取到的ARP信息通常为文本格式。为便于处理，可以对文本格式的ARP信息进行结构化处理，得到对应的ARP信息表。其中，ARP信息表的结构及内容可以如表1所示表1主机名称IP地址MAC地址A192.168.38.1000-AA-00-62-D2-02B192.168.38.1100-BB-00-62-C2-02C192.168.38.1200-CC-00-62-C2-02D192.168.38.1300-DD-00-62-C2-02E192.168.38.1400-EE-00-62-C2-0同样的，为便于处理，也可以对MAC信息进行结构化处理，得到MAC信息表。MAC信息表的结构及内容如表2所示。表2由于目标网络系统中各个设备的网络结构信息可能都在不断发生变化中，为避免网络结构信息采集不同步造成后续处理过程中出现问题，检测装置可以首先与目标网络系统中的每一个网络设备建立网络连接，然后采用并发模式同步从每一个所述网络设备获取与所述设备类型相对应的网络结构信息。检测装置从各个网络设备获取网络结构信息的具体方式可以参见前述，在此就不再赘述。步骤102，根据所述网络结构信息确定所述目标网络系统各个网络设备之间的连接路径。在目标网络系统中，不同网络设备之间的访问方式可以有多种，但是不论网络设备之间的访问方式有多少种，都可以归纳为两类，一类是设备之间直接访问，另一类是设备之间通过路由进行访问。因此不同网络设备之间的连接路径也可以归纳为两种，一种是直连路径，另一种是路由路径。其中，直连路径可以根据经获取到的ARP信息确定，路由路径则可以根据路由信息来确定。具体来说，由于ARP信息可以反映该网络设备与其他网络设备之间直接通信的情况，因此根据ARP信息可以确定设备之间的直连路径。例如，当第一网络设备的ARP信息中包含第二网络设备的IP及MAC，并且第二网络设备的ARP信息中包含第一网络设备的IP及MAC时，说明第一网络设备和第二网络设备之间曾经进行过直接数据传输，即第一网络设备与第二网络设备之间可以互相访问，也即第一网络设备与第二网络设备之间存在直连路径。根据所述MAC信息表还可以确定第一网络设备通过哪一个端口与第二网络设备的哪一个端口相连等。同样的，由于ROUTE信息可以反映网络设备之间通过路由进行通信的情况，因此可以根据ROUTE信息确定设备之间的路由路径。例如，当第一网络设备的路由信息中包含将第二网络设备的数据包转发给第三网络设备，并将第三网络设备发送的数据包转发给第二网络设备时，说明第二网络设备与第三网络设备之间存在一个以第一网络设备为路由的路由路径。由于在目标网络系统结构较为复杂时，两个网络设备之间可能会存在多条连接路径。因此需要根据网络设备所属虚拟局域网(VirtualLocalAreaNetwork，简称VLAN)、Interface、HA信息等确定两个网络设备之间所有的网络路径。例如，当存在HA信息时，说明两个网络设备之间至少存在两条连接路径，由于不同的路径需要使用不同的Interface，因此可以根据Interface确定两个网络设备之间的所有连接路径。步骤103，根据所述连接路径完成对所述目标网络系统的安全域结构检查。在目标网络系统各个网络设备之间的连接路径确定之后，检测设备可以根据这些连接路径完成网络系统的安全域结构检查，得到描述安全域结构的相关信息。根据所需相关信息的类型不同，检测装置可以采用不同的方式完成目标网络系统的安全域结构检查。可选的，检测设备可以首先从所述连接路径中筛选出不符合安全域访问规则的违规连接路径，然后根据所述违规连接路径定位不符合安全域访问规则的网络设备。其中，在筛选违规连接路径时，检测装置可以首先获取预先已经设定的安全域访问规则，然后筛选出违反所述安全域访问规则的违规直连路径及违规路由路径。根据实际需求不同，安全域访问规则也可以各不相同。例如，当目标网络系统被划分为互联网接口区、核心交换区及核心生产区三个安全域时，安全域访问规则可以包括：同一安全域内的网络设备之间可以互相访问；互联网接口区的网络设备不允许直接访问核心生产区的网络设备；核心交换区的网络设备允许访问核心生产区的网络设备；互联网接口区的网络设备允许访问核心生产区的网络设备。当各个网络设备之间的连接路径及安全域访问规则都已经确定之后，由于各个网络设备应属的安全域已经预先确定，因此检测装置可以逐一分析各个网络设备之间的连接路径是否符合安全域访问规则。例如，当第一网络设备与第二网络设备之间存在直连路径时，如果第一网络设备及第二网络设备均为互联网接口区的网络设备，则该直连路径不为违规路径；如果第一网络设备为核心生产区的网络设备，第二网络设备为互联网接口区的网络设备，则该直连路径为违规路径。同样的，当第一网络设备与第二网络设备之间存在路由连路径时，如果第一网络设备及第二网络设备均为互联网接口区的网络设备，则该直连路径不为违规路径；如果第一网络设备为核心生产区的网络设备，第二网络设备为互联网接口区的网络设备，则该直连路径为违规路径。其中第一网络设备及第二网络设备所属的安全域是指根据预先划分，第一网络设备及第二网络设备应属的安全域。在筛选出违规连接路径后，可以认定违规连接路径所涉及到的网络设备均为不符合 安全域访问规则的网络设备。例如，当某直连路径为违规连接路径时，可以确定该直连路径两端的网络设备即为不符合安全域访问规则的网络设备。又如，当某路由路径为违规连接路径时，可以确定该路由路径所包含的所有网络设备均为不符合安全域访问规则的网络设备。为进一步定位不符合安全域访问规则的网络设备，检测出划入错误安全域的网络设备。检测装置还可以对所有违规访问路径进行分析，当多个违规访问路径均涉及某个网络设备时，可以确定该网络设备即为划入错误安全域的网络设备。检测设备也可以首先确定网络设备之间的直连路径及路由路径，然后根据所述连接路径中的直连路径及路由路径确定所述目标网络系统各个安全域的实际出口设备，再从所述实际出口设备中筛选出不符合预设安全域访问规则的出口设备，不符合预设安全域访问规则的出口设备即为不符合安全域访问规则的网络设备，而包含不符合预设安全域访问规则的网络设备的连接路径则为不符合安全域访问规则的违规路径。例如，在第一网络设备为核心生产区的网络设备，第二网络设备为核心交换区的网络设备时，如果第一网络设备与第二网络设备之间存在直连路径，那么可以认为第一网络设备为核心生成区的实际出口设备，第二网络设备为核心交换区的实际出口设备。如果第一网设备为预设的核心生产区出口设备，那么第一网络设备为符合预设安全域访问规则的网络设备；如果第一网络设备不为核心生产区的出口设备，那么第一网络设备即为不符合预设安全域访问规则的网络设备。同样的，如果第二网设备为预设的核心交换区出口设备，那么第二网络设备为符合预设安全域访问规则的网络设备；如果第二网络设备不为核心交换区的出口设备，那么第二网络设备即为不符合预设安全域访问规则的网络设备。又如，当第一网络设备为核心生产区的网络设备，第二网络设备为互联网接口区的网络设备时，可以认为第一网络设备为核心生成区的实际出口设备，第二网络设备为互联网接口区的实际出口设备。由于根据预设访问规则，互联网接口区的网络设备不允许直接访问核心生产区的网络设备，因此如果第一网络设备与第二网络设备之间存在直连路径，那么可以认为第一网络设备与第二网络设备均为不符合预设安全域访问规则的网络设备。在本实施例中，从目标网络系统中采集用于反映目标网络系统中网络设备之间连通状况的网络结构信息；根据所述网络结构信息确定所述目标网络系统各个网络设备之间的连接路径；从所述连接路径中筛选出不符合安全域访问规则的违规连接路径；根据所述违规连接路径定位不符合安全域访问规则的网络设备。采用本实施例，可以检测出网 络设备之间不符合安全域访问规则的违规访问路径，进而根据违规连接路径确定不符合安全域访问规则的网络设备，从而可以满足检测出不符合安全域访问规则的网络设备的技术需求。参见图2，为本发明安全域结构检查装置一个实施例的结构示意图。如图2所示，该装置可以包括：采集单元201，确定单元202及检查单元203。其中，采集单元201，用于从目标网络系统中采集用于反映目标网络系统中网络设备之间连通状况的网络结构信息；确定单元202，用于根据所述网络结构信息确定所述目标网络系统各个网络设备之间的连接路径；检查单元203，用于根据所述连接路径完成所述目标网络系统的安全域结构检查。可选的，所述采集单元201包括：连接建立子单元，用于与所述目标网络系统中网络设备建立网络连接；类型确定子单元，用于确定所述网络设备的设备类型；信息获取子单元，用于从所述网络设备获取与所述设备类型相对应的网络结构信息。其中，所述信息获取子单元，用于在所述网络设备为路由交换设备时，获取所述网络设备的地址解析协议ARP信息及路由ROUTE信息；或者，用于在所述网络设备为防火墙设备时，获取所述网络设备的ARP信息及ROUTE信息；或者，用于当所述网络设备为主机时，获取所述网络设备的ARP信息。可选的，所述确定单元202包括：直连路径确定子单元，用于根据所述ARP信息，确定所述网络设备之间的直连路径；路由路径确定子单元，用于根据所述ROUTE信息，确定所述网络设备之间的路由路径。可选的，所述检查单元203包括：违规路径筛选子单元，用于从所述连接路径中筛选出不符合安全域访问规则的违规连接路径；违规设备定位子单元，用于根据所述违规连接路径定位不符合安全域访问规则的网络设备。其中，所述违规路径筛选子单元，可以用于获取预设的安全域访问规则；并筛选出违反所述安全域访问规则的违规直连路径及违规路由路径。可选的，所述检查单元203包括：出口设备定位子单元，用于根据所述连接路径中的直连路径及路由路径确定所述目标网络系统各个安全域的实际出口设备；违规设备筛选子单元，从所述实际出口设备中筛选出不符合预设安全域访问规则的网络设备。从上述实施例可以看出，安全域结构检查装置可以检测出网络设备之间不符合安全域访问规则的违规访问路径，进而根据违规连接路径确定不符合安全域访问规则的网络设备，从而可以满足检测出不符合安全域访问规则的网络设备的技术需求。本领域的技术人员可以清楚地了解到本发明实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机网络设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。以上所述的本发明实施方式，并不构成对本发明保护范围的限定。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明的保护范围之内。当前第1页1 2 3