企业网络边界设备拓扑结构的可视化方法及装置的制造方法

企业网络边界设备拓扑结构的可视化方法及装置的制造方法
【专利摘要】本发明提供了一种企业网络边界设备拓扑结构的可视化方法及装置，该方法包括：获取企业网络的至少一个网络边界设备的访问控制列表ACL信息；根据获取到的网络边界设备的ACL信息，确定网络边界设备的数据包过滤规则，数据包过滤规则允许或拒绝特定的数据包通过；根据数据包过滤规则确定网络边界设备的连通路径，对网络边界设备的连通路径进行可视化展示，生成企业网络边界设备拓扑结构图。本发明实施例可以提高各网络边界设备的安全性，使得任意设备间的拓扑关系的变化可以被及时获知，有助于网络管理员实时掌控企业网络边界设备的防护状况，并能够实时对网络运行的状态和网络结构有一个全面的了解。
【专利说明】
企业网络边界设备拓扑结构的可视化方法及装置
技术领域
[0001]本发明涉及网络应用技术领域，特别是一种企业网络边界设备拓扑结构的可视化方法及装置。
【背景技术】
[0002]信息点间通信和内外网络的通信是企业网络中必不可少的业务需求，为了保障业务数据在网络传输交换过程中不被非法获取与篡改，相应的网络信息安全防护措施已在不同层面进行了部署。
[0003]相关技术中，大多数的业务专网对于网络的访问控制几乎都集中在网络的出入关口，而对网络内部结构和接入边界却没有施行必要的监测与管理。这种只注重网关出入防护的安全策略虽然配置了大量的防火墙、多重安全网关和网闸等网络安全设备，却无法对网络运行的状态和网络结构的变化有一个全面的了解，而且对来自于网络接入边界甚至是网络内部的非法访问常常束手无策。
[0004]因此，亟待提供解决上述问题的技术方案。

【发明内容】

[0005]鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的企业网络边界设备拓扑结构的可视化方法及装置。
[0006]依据本发明的一个方面，提供了一种企业网络边界设备拓扑结构的可视化方法，包括:
[0007]获取所述企业网络的至少一个网络边界设备的访问控制列表ACL信息；
[0008]根据获取到的所述网络边界设备的ACL信息，确定所述网络边界设备的数据包过滤规则，所述数据包过滤规则允许或拒绝特定的数据包通过；
[0009]根据所述数据包过滤规则确定所述网络边界设备的连通路径，对所述网络边界设备的连通路径进行可视化展示，生成所述企业网络边界设备拓扑结构图。
[0010]可选地，所述方法还包括:
[0011]在所述企业网络外部对所述企业网络边界设备的可访问端口进行检测；
[0012]获取检测到的所述企业网络边界设备对外可访问端口；
[0013]基于所述网络边界设备的连通路径和所述对外可访问端口生成所述企业网络边界设备拓扑结构图。
[0014]可选地，所述方法还包括:
[0015]获取所述网络边界设备的路由表信息；
[0016]基于所述网络边界设备的连通路径、所述对外可访问端口以及所述路由表信息生成所述企业网络边界设备拓扑结构图。
[0017]可选地，在生成所述企业网络边界设备拓扑结构图之后，所述方法还包括:
[0018]监控所述网络边界设备的ACL信息是否发生变化；
[0019]若监控到所述网络边界设备的ACL信息发生变化，则基于变化后的ACL信息确定所述网络边界设备的变化后的数据包过滤规则；
[0020]根据所述变化后的数据包过滤规则确定所述网络边界设备的变化后的连通路径；[0021 ]获取所述网络边界设备的变化前的连通路径；
[0022]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整。
[0023]可选地，监控所述网络边界设备的ACL信息是否发生变化，包括:
[0024]按照指定周期获取所述网络边界设备的ACL信息；
[0025]比对本次获取的所述网络边界设备的ACL信息和上一次获取的网络边界设备的ACLf目息；
[0026]根据比对结果确定所述网络边界设备的ACL信息是否发生变化。
[0027]可选地，基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整，包括:
[0028]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待新增的连通路径；
[0029]将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中，以调整所述企业网络边界设备拓扑结构图。
[0030]可选地，所述方法还包括:
[0031]在将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中之后，在所述企业网络边界设备拓扑结构图中对新增后的连通路径进行标识。
[0032]可选地，基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整，包括:
[0033]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待减少的连通路径；
[0034]在所述企业网络边界设备拓扑结构图中删除所述待减少的连通路径，以调整所述企业网络边界设备拓扑结构图。
[0035]可选地，在生成所述企业网络边界设备拓扑结构图之后，所述方法还包括:
[0036]接收从源地址访问目标地址的路径查询请求；
[0037]响应所述路径查询请求，确定所述企业网络边界设备拓扑结构图中所述路径查询请求对应的一条或多条连通路径；
[0038]在所述企业网络边界设备拓扑结构图中突出标识所述一条或多条连通路径。
[0039]可选地，当所述路径查询请求对应多条连通路径时，在所述企业网络边界设备拓扑结构图中突出标识所述一条或多条连通路径，包括:
[0040]根据预设策略从所述多条连通路径中优选一条连通路径；
[0041]在所述企业网络边界设备拓扑结构图中突出标识优选的一条连通路径。
[0042]可选地，在生成所述企业网络边界设备拓扑结构图之后，所述方法还包括:
[0043]从待校验的访问控制列表所包括的多条ACL策略中选取一ACL策略；
[0044]将选取的所述ACL策略与组成所述企业网络边界设备拓扑结构图的连通路径进行匹配，以查找所述所述企业网络边界设备拓扑结构图中是否存在与选取的所述ACL策略对应的连通路径，得到相应的查找结果；
[0045]根据所述查找结果确定所述ACL策略是否配置成功。
[0046]可选地，若所述ACL策略为拒绝源地址访问目标地址，根据所述查找结果确定所述ACL策略是否配置成功，包括:
[0047]当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略配置成功；
[0048]当所述查找结果为查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略未配置成功。
[0049]可选地，若所述ACL策略为授权源地址访问目标地址，根据所述查找结果确定所述ACL策略是否配置成功，包括:
[0050]当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略未配置成功；
[0051]当所述查找结果为查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略配置成功。
[0052]可选地，当确定所述ACL策略未配置成功之后，所述方法还包括:
[0053]发起所述ACL策略未配置成功的告警提示。
[0054]可选地，所述网络边界设备包括下列至少之一:交换机、路由器、防火墙。
[0055]依据本发明的另一方面，还提供了一种企业网络边界设备拓扑结构的可视化装置，包括:
[0056]ACL信息获取模块，适于获取所述企业网络的至少一个网络边界设备的访问控制列表ACL信息；
[0057]数据包过滤规则确定模块，适于根据获取到的所述网络边界设备的ACL信息，确定所述网络边界设备的数据包过滤规则，所述数据包过滤规则允许或拒绝特定的数据包通过；
[0058]拓扑结构图生成模块，适于根据所述数据包过滤规则确定所述网络边界设备的连通路径，对所述网络边界设备的连通路径进行可视化展示，生成所述企业网络边界设备拓扑结构图。
[0059]可选地，所述拓扑结构图生成模块还适于:
[0060]在所述企业网络外部对所述企业网络边界设备的可访问端口进行检测；
[0061]获取检测到的所述企业网络边界设备对外可访问端口；
[0062]基于所述网络边界设备的连通路径和所述对外可访问端口生成所述企业网络边界设备拓扑结构图。
[0063]可选地，所述拓扑结构图生成模块还适于:
[0064]获取所述网络边界设备的路由表信息；
[0065]基于所述网络边界设备的连通路径、所述对外可访问端口以及所述路由表信息生成所述企业网络边界设备拓扑结构图。
[0066]可选地，所述装置还包括:
[0067]拓扑结构图调整模块，适于监控所述网络边界设备的ACL信息是否发生变化;若监控到所述网络边界设备的ACL信息发生变化，则基于变化后的ACL信息确定所述网络边界设备的变化后的数据包过滤规则;根据所述变化后的数据包过滤规则确定所述网络边界设备的变化后的连通路径;获取所述网络边界设备的变化前的连通路径;基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整。
[0068]可选地，所述拓扑结构图调整模块还适于:
[0069]按照指定周期获取所述网络边界设备的ACL信息；
[0070]比对本次获取的所述网络边界设备的ACL信息和上一次获取的网络边界设备的ACLf目息；
[0071 ]根据比对结果确定所述网络边界设备的ACL信息是否发生变化。
[0072]可选地，所述拓扑结构图调整模块还适于:
[0073]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待新增的连通路径；
[0074]将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中，以调整所述企业网络边界设备拓扑结构图。
[0075]可选地，所述拓扑结构图调整模块还适于:
[0076]在将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中之后，在所述企业网络边界设备拓扑结构图中对新增后的连通路径进行标识。
[0077]可选地，所述拓扑结构图调整模块还适于:
[0078]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待减少的连通路径；
[0079]在所述企业网络边界设备拓扑结构图中删除所述待减少的连通路径，以调整所述企业网络边界设备拓扑结构图。
[0080]可选地，所述装置还包括:
[0081 ]路径标识模块，适于接收从源地址访问目标地址的路径查询请求；响应所述路径查询请求，确定所述企业网络边界设备拓扑结构图中所述路径查询请求对应的一条或多条连通路径;在所述企业网络边界设备拓扑结构图中突出标识所述一条或多条连通路径。
[0082]可选地，所述路径标识模块还适于:
[0083]当所述路径查询请求对应多条连通路径时，根据预设策略从所述多条连通路径中优选一条连通路径;在所述企业网络边界设备拓扑结构图中突出标识优选的一条连通路径。
[0084]可选地，所述装置还包括:
[0085]ACL策略校验模块，适于从待校验的访问控制列表所包括的多条ACL策略中选取一ACL策略;将选取的所述ACL策略与组成所述企业网络边界设备拓扑结构图的连通路径进行匹配，以查找所述所述企业网络边界设备拓扑结构图中是否存在与选取的所述ACL策略对应的连通路径，得到相应的查找结果;根据所述查找结果确定所述ACL策略是否配置成功。
[0086]可选地，所述ACL策略校验模块还适于:
[0087]若所述ACL策略为拒绝源地址访问目标地址，当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略配置成功；当所述查找结果为查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略未配置成功。
[0088]可选地，所述ACL策略校验模块还适于:
[0089]若所述ACL策略为授权源地址访问目标地址，当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略未配置成功；
[0090]当所述查找结果为查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略配置成功。
[0091]可选地，所述装置还包括:
[0092]告警模块，适于当所述ACL策略校验模块确定所述ACL策略未配置成功之后，发起所述ACL策略未配置成功的告警提示。
[0093 ] 可选地，所述网络边界设备包括下列至少之一:交换机、路由器、防火墙。
[0094]在本发明实施例中，首先，获取企业网络的至少一个网络边界设备的访问控制列表ACL信息。然后，根据获取到的网络边界设备的ACL信息，确定网络边界设备的数据包过滤规则，数据包过滤规则允许或拒绝特定的数据包通过。最后，根据数据包过滤规则确定网络边界设备的连通路径，对网络边界设备的连通路径进行可视化展示，生成企业网络边界设备拓扑结构图。由此可见，本发明实施例通过利用网络边界设备的ACL信息确定出网络边界设备的连通路径，并对确定出的各连通路径进行展示，以利用展示出的连通路径生成企业网络边界设备拓扑结构图，从而实现企业网络全局安全态势的可视化展示。可视化拓扑结构图可以实时显示网络边界设备的网络路径以及各设备之间的拓扑关系，并且当网络边界设备之间的拓扑关系产生变化时，可以实时显示该变化。从而提高了各网络边界设备的安全性，使得任意设备间的拓扑关系的变化可以被及时获知，有助于网络管理员实时掌控企业网络边界设备的防护状况，并能够实时对网络运行的状态和网络结构有一个全面的了解。
[0095]进一步地，通过动态监测网络边界设备的ACL信息的变化，可以及时根据ACL信息的变化确定变化后的数据包过滤规则，进而确定网络边界设备变化后的连通路径，并对企业网络边界设备拓扑结构图进行相应的调整，进一步提高了网络边界设备的安全性能，从而有效保证了各网络边界设备的正常工作与运行。
[0096]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
[0097]根据下文结合附图对本发明具体实施例的详细描述，本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
【附图说明】
[0098]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0099]图1a示出了根据本发明一个实施例的企业网络边界设备拓扑结构的可视化方法的流程示意图；
[0100]图1b示出了根据本发明一实施例的在企业网络中部署网络安全管理平台的示意图；
[0101]图2示出了根据本发明另一个实施例的企业网络边界设备拓扑结构的可视化方法的流程示意图；
[0102]图3示出了根据本发明一个实施例的各网络边界设备的拓扑结构图；
[0103]图4示出了根据图3所示实施例的拓扑结构图进行相应调整后的拓扑结构图；
[0104]图5示出了根据图3所示实施例的拓扑结构图进行相应调整后的拓扑结构图；
[0105]图6示出了根据本发明一个实施例的企业网络边界设备拓扑结构的可视化装置的结构示意图；以及
[0106]图7示出了根据本发明另一个实施例的企业网络边界设备拓扑结构的可视化装置的结构示意图。
【具体实施方式】
[0107]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0108]为解决上述技术问题，本发明实施例提供了一种企业网络边界设备拓扑结构的可视化方法。图1a示出了根据本发明一个实施例的企业网络边界设备拓扑结构的可视化方法的流程示意图。参见图la，该方法至少包括步骤S102至步骤S106。
[0109]步骤S102，获取企业网络的至少一个网络边界设备的访问控制列表ACL信息。
[0110]在该步骤中提及的网络边界设备可以包括交换机、路由器、防火墙等设备。这里，路由器是一种计算机网络设备，它通过选择数据的传输路径，能够将数据打包通过一个个网络传送至目的地，这个过程称为路由。路由器用于连接多个逻辑上分开的网络，路由工作在0SI(0pen System Interconnect1n，开放式系统互联)模型的第三层，S卩网络层。路由器是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号。路由器和交换机之间的主要区别是交换机发生在OSI参考模型数据链路层，而路由发生在网络层，这一区别决定了路由器和交换机在移动信息的过程中需使用不同的控制信息，所以两者实现各自功能的方式是不同的。此外，防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使网络与网络之间建立起一个安全网关，从而保护内部网络免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件，该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
[0111]进一步，该步骤中，访问控制列表(Access Control List，ACL)是接口的指令列表，用来控制路由器和交换机的端口进出的数据包。ACL可以过滤网络中的流量，是控制访问的一种网络技术手段，例如，ACL可以根据数据包的协议，指定数据包的优先级。
[0112]步骤S104，根据获取到的网络边界设备的ACL信息，确定网络边界设备的数据包过滤规则，数据包过滤规则允许或拒绝特定的数据包通过。
[0113]在该步骤中，数据包过滤规则是用于对通过网络边界设备进出的数据包进行检查的规则，以阻止那些不符合数据包过滤规则的数据包的传输，允许符合数据包过滤规则的数据包的通过。
[0114]在本发明一可选实施例中，数据包过滤规则可以依据数据包的类型，例如，路由器仅允许“.exe”类型的数据包通过，而拒绝其他类型的数据包则不可以通过。或者，数据包过滤规则还可以依据数据包的源IP地址，例如，防火墙仅允许来自源IP地址为“10.0.0.100/255.255.255.255”的网络的数据包通过，拒绝来自其他IP地址的数据包通过。又如，防火墙拒绝源地址为 “10.0.0.100/255.255.255.255”，目的 IP地址为 “10.0.0.101/255.255.255.255”的数据包通过，允许来自其他源IP地址，到达其他目的IP地址的数据包通过。
[0115]步骤S106，根据数据包过滤规则确定网络边界设备的连通路径，对网络边界设备的连通路径进行可视化展示，生成企业网络边界设备拓扑结构图。
[0116]本发明实施例提供的企业网络边界设备拓扑结构的可视化方法，可以应用于网络安全管理平台中，该网络安全管理平台具备根据网络安全策略进行网络安全评估能力。如图1b所示，网络安全管理平台可以部署在企业网络的安全管理域，以机架服务器的形式连接到管理域的核心交换上，用户和管理员远程通过Web页面进行访问，管理服务器同企业网络和IDC( Internet Data Center，互联网数据中心)核心网络设备进行配置和命令层次的交互，包括路由器、交换机和防火墙，对支持SNMP(Simple Network Management Protocol,简单网络管理协议)、命令行终端和netconf协议的网络设备适配支持。
[0117]在部署网络安全管理平台时，需要导入用户信息进行注册和组织机构业务流程关系，也可以同企业的LDAP(Lightweight Directory Access Protocol，轻量目录访问协议)接口进行集成，同时需要批量导入核心网络设备的SSH(SeCUre Shell，安全壳协议)登陆信息和SNMP读取串，明确该网络设备品牌用于自动化命令适配。
[0118]网络安全管理平台可以以硬件形式提供，可远程访问Web页面进行管理，该产品由用户登录申请平台、管理员平台、管理服务器和流量采集器组成。
[0119]用户登录申请平台用于用户和用户上级的登录，包括网络访问策略的申请、用户申请记录查看、用户上级的确认、用户上级确认记录查看和用户口令管理等。
[0120]管理员平台用于网络安全管理员对网络访问控制策略的综合管理，包括网络设备ACL管理模块，ACL状态监测，ACL信息查看和审批，VLAN(Virtual Local Area Network，虚拟局域网)信息管理，用户和权限管理、系统配置管理、审计日志管理等。
[0121]管理服务器负责定期抓取核心网络设备的配置信息，检查网络设备状态，网络设备命令执行的适配、网络设备命令的自动生成和推送、ACL策略失效状态监测、ACL流量监测和失效撤销等。
[0122]参照上文步骤S106，在本发明一实施例中，生成企业网络边界设备拓扑结构图，还可以基于网络边界设备的连通路径和对外可访问端口生成企业网络边界设备拓扑结构图。在获取对外可访问端口时，首先，在企业网络外部检测企业网络边界设备的可访问端口，然后，获取检测到的企业网络边界设备对外可访问端口。进而基于网络边界设备的连通路径和对外可访问端口生成企业网络边界设备拓扑结构图。例如，对外访问端口可以是网络边界设备的串行接口、以太网接口等物理接口，也可以是虚拟终端接口等逻辑接口。以网络边界设备是路由器为例，在使用访问控制列表时，把预先定义好的访问控制列表放置在路由器的接口上，依据数据包过滤规则对接口上进方向或者出方向的数据包进行过滤。依据访问控制列表中的ACL控制信息确定出的数据包过滤规则只能过滤经过路由器的数据包，而对于路由器自身产生的数据包不起作用。
[0123]参照上文步骤S106，在本发明另一实施例中，生成企业网络边界设备拓扑结构图，还可以基于网络边界设备的连通路径、对外可访问端口以及路由表信息生成企业网络边界设备拓扑结构图。对于网络边界设备的连通路径和对外可访问端口的获取方式，上文已进行了相应的介绍，此处不再进行赘述。另外，在生成企业网络边界设备拓扑结构图之前还需获取网络边界设备的路由表信息。路由表信息指的是，各网络边界设备的工作路径的相关配置信息，如网络边界设备的ACL的相关配置信息、VLAN信息以及接口信息等。
[0124]在本发明实施例中，首先，获取企业网络的至少一个网络边界设备的访问控制列表ACL信息。然后，根据获取到的网络边界设备的ACL信息，确定网络边界设备的数据包过滤规则，数据包过滤规则允许或拒绝特定的数据包通过。最后，根据数据包过滤规则确定网络边界设备的连通路径，对网络边界设备的连通路径进行可视化展示，生成企业网络边界设备拓扑结构图。由此可见，本发明通过利用网络边界设备的ACL信息确定出网络边界设备的连通路径，并对确定出的各连通路径进行展示，以利用展示出的连通路径生成企业网络边界设备拓扑结构图，从而实现企业网络全局安全态势的可视化展示。可视化拓扑结构图可以实时显示网络边界设备的网络路径以及各设备之间的拓扑关系，并且当网络边界设备之间的拓扑关系产生变化时，可以实时显示该变化。从而提高了各网络边界设备的安全性，使得任意设备间的拓扑关系的变化可以被及时获知，有助于网络管理员实时掌控企业网络边界设备的防护状况，并能够实时对网络运行的状态和网络结构有一个全面的了解。
[0125]本发明实施例还提供了另一种企业网络边界设备拓扑结构的可视化方法。图2示出了根据本发明另一个实施例的企业网络边界设备拓扑结构的可视化方法的流程示意图。参见图2，该方法至少包括步骤S202至步骤S216。
[0126]步骤S202，获取企业网络的至少一个网络边界设备的访问控制列表ACL信息。
[0127]步骤S204，根据获取到的网络边界设备的ACL信息，确定网络边界设备的数据包过滤规则，数据包过滤规则允许或拒绝特定的数据包通过。
[0128]步骤S206，根据数据包过滤规则确定网络边界设备的连通路径，对网络边界设备的连通路径进行可视化展示，生成企业网络边界设备拓扑结构图。
[0129]步骤S208，监控网络边界设备的ACL信息是否发生变化。
[0130]步骤S210，若监控到网络边界设备的ACL信息发生变化，则基于变化后的ACL信息确定网络边界设备的变化后的数据包过滤规则。
[0131]步骤S212，根据变化后的数据包过滤规则确定网络边界设备的变化后的连通路径。
[0132]步骤S214，获取网络边界设备的变化前的连通路径。
[0133]步骤S216，基于网络边界设备的变化前的连通路径和网络边界设备的变化后的连通路径，对企业网络边界设备拓扑结构图进行调整。
[0134]在上述步骤S208中，监控网络边界设备的ACL信息是否发生变化，可以是按照指定周期(例如，指定周期为10分钟，即每隔10分钟获取一次网络边界设备的ACL信息)获取网络边界设备的ACL信息，并将本次获取的网络边界设备的ACL信息和上一次获取的网络边界设备的ACL信息进行对比，进而根据比对结果确定网络边界设备的ACL信息是否发生变化。例如，若本次获取的各网络边界设备的ACL信息与上一次获取的各网络边界设备的ACL信息比对一致，则确定各网络边界设备中的ACL信息没有发生变化;若本次获取的各网络边界设备中的ACL信息与上一次获取的各网络边界设备的ACL信息比对不一致，则至少有一个网络边界设备的ACL信息产生了变化。通过对网络边界设备的ACL信息的监控，可以及时根据ACL信息烦人变化来更新数据包过滤规则，进而对网络边界设备的连通路径进行相应的调整。
[0135]或者，在本发明另一实施例中，由各个网络边界设备实时上报该设备变化后的ACL信息。当网络安全管理平台接收到任一网络边界设备实时上报的变化后的ACL信息时，则确定该网络边界设备中的ACL信息发生变化。
[0136]上文步骤S216提及的，基于网络边界设备的变化前的连通路径和网络边界设备的变化后的连通路径，对企业网络边界设备拓扑结构图进行调整。网络边界设备的连通路径产生变化的情况可以包括新增连通路径、减少连通路径。
[0137]当网络边界设备的连通路径的变化为新增连通路径时，首先基于网络边界设备的变化前的连通路径和网络边界设备的变化后的连通路径，确定待新增的连通路径，然后，将待新增的连通路径组合到企业网络边界设备拓扑结构图中，调整企业网络边界设备拓扑结构图。在本发明一可选实施例中，当待新增的连通路径组合到企业网络边界设备拓扑结构图中之后，可以在企业网络边界设备拓扑结构图中对新增后的连通路径进行标识。例如，对新增后的连通路径进行标识可以采用着重号、亮色以及改变所显示的连通路径的颜色等方式来标识一条或多条连通路径。
[0138]在本发明一可选实施例中，以新增连通路径为例，参见图3，图3示出了根据本发明一个实施例的各网络边界设备的拓扑结构图。若访问控制列表中防火墙I和路由器3的ACL信息产生变化，则产生变化的ACL信息所对应的连通路径也随之发生了相应的改变。参见图4，图4为根据待新增的连通路径，调整图3所示的拓扑结构图之后的拓扑结构图。若连通路径的变化为在防火墙I和路由器3之间新增一条连通路径，S卩IP地址为10.0.0.12/30的位置处的连通路径，此时，可以将待新增的连通路径组合到图3所示的拓扑结构图中，并调整可视化拓扑结构图。
[0139]当网络边界设备的连通路径的变化为减少连通路径时，首先，基于网络边界设备的变化前的连通路径和网络边界设备的变化后的连通路径，确定待减少的连通路径，然后，在企业网络边界设备拓扑结构图中删除待减少的连通路径，以调整企业网络边界设备拓扑结构图。
[0140]在本发明一可选实施例中，以减少连通路径为例，参见图3，若访问控制列表中防火墙I和交换机I的ACL信息产生变化，则产生变化的ACL信息所对应的连通路径也随之发生了相应的改变。参见图5，图5为根据待减少的连通路径，调整图3所示的拓扑结构图之后的拓扑结构图。若连通路径的变化为减少防火墙I和交换机I之间的连通路径，即减少IP地址为10.0.0.0/30的连通路径，此时，从图3所示的拓扑结构图中去除待减少的连通路径，并调整可视化拓扑结构图。
[0141]在上文步骤S206生成企业网络边界设备拓扑结构图之后，或者在步骤S216对企业网络边界设备拓扑结构图进行调整之后，在本发明一实施例中，网络安全管理平台还可以接收从源地址访问目标地址的路径查询请求，并响应该路径查询请求，确定企业网络边界设备拓扑结构图中路径查询请求对应的一条或多条连通路径，确定连通路径之后，在企业网络边界设备拓扑结构图中突出标识所确定的一条或多条连通路径。例如，突出标识一条或多条连通路径可以采用着重号、亮色以及改变显示的路径颜色等方式来进行标识。
[0142]在本发明一可选实施例中，当路径查询请求对应多条连通路径时，可以根据预设策略从多条连通路径中优选一条连通路径，并在企业网络边界设备拓扑结构图中突出标识优选的一条连通路径。预设策略可以是依据网络本身的全带宽、剩余带宽、传输速度以及网络控制权限等参数进行预设的。例如，当路径查询请求对应多条连通路径时，可以根据网络的传输速度从多条连通路径中选择一条传输速度最快的连通路径作为优选的连通路径，进而在可视化拓扑结构图中突出标识该条传输速度最快的连通路径。
[0143]在上文步骤S206生成企业网络边界设备拓扑结构图之后，或者在步骤S216对企业网络边界设备拓扑结构图进行调整之后，在本发明一实施例中，网络安全管理平台还可以从待校验的访问控制列表所包括的多条ACL策略中选取一 ACL策略，然后，将选取的ACL策略与组成企业网络边界设备拓扑结构图的连通路径进行匹配，以查找企业网络边界设备拓扑结构图中是否存在与选取的ACL策略对应的连通路径，并得到相应的查找结果，进而，根据查找结果确定ACL策略是否配置成功。
[0144]在本发明一实施例中，当查找结果为未查找到与选取的ACL策略对应的连通路径，则确定ACL策略配置成功；当查找结果为查找到与选取的ACL策略对应的连通路径，则确定ACL策略未配置成功。
[0145]现以选取的ACL策略为拒绝源地址访问目标地址为例进行说明。
[0146]当选取的一条ACL策略为拒绝源地址访问目标地址时，若从可视化拓扑结构图中未查找到与选取的ACL策略对应的连通路径，则确定ACL策略配置成功;若从可视化拓扑结构图中查找到与选取的ACL策略对应的连通路径，则确定ACL策略未配置成功。
[0147]例如，当网络边界设备包括有多个端口时，各网络边界设备之间可以采用多个端口进行数据通信。例如，路由器可以利用自身的端口 1、端口2和端口3分别与交换机的端口 I进行数据通信。当从访问控制列表中选取的一条ACL策略为拒绝路由器的端口 I与交换机的端口 I进行数据通信时，并且通过在可视化拓扑结构图进行查找后，也未发现与该条ACL策略相对应的连通路径，则可以确定该条ACL策略与可视化拓扑结构图相对应。但是，此时若没有其他的ACL策略拒绝路由器的端口2和端口3与交换机的端口 I进数据通信，那么路由器的端口 2和端口 3仍然可以与交换机的端口 I进行正常的数据通信。
[0148]在本发明另一实施例中，当查找结果为未查找到与选取的ACL策略对应的连通路径，则确定ACL策略未配置成功；当查找结果为查找到与选取的ACL策略对应的连通路径，则确定ACL策略配置成功。
[0149]现以选取的ACL策略为授权源地址访问目标地址为例进行说明。
[0150]当选取的一条ACL策略为授权源地址访问目标地址时，若从可视化拓扑结构图中未查找到与选取的ACL策略对应的连通路径，则确定ACL策略未配置成功;若从可视化拓扑结构图中查找到与选取的ACL策略对应的连通路径，则确定ACL策略配置成功。
[0151 ] 例如，当网络边界设备包括有多个端口时，各网络边界设备之间可以采用多个端口进行数据通信。例如，在路由器中包括有多个端口，且路由器可以分别利用本身的端口 1、端口 2和端口3与交换机的端口 I和端口 2进行数据通信。当从访问控制列表中选取的一条ACL策略为授权路由器的端口 I与交换机的端口 I进行数据通信时，并且通过在可视化拓扑结构图进行查找后，未发现与该条ACL策略相对应的连通路径，则可以确定该条ACL策略与可视化拓扑结构图不一致，此时至少可以实现路由器的端口 I与交换机的端口 I进行数据通信。同时，若从访问控制列表中选取的另一条ACL策略为拒绝路由器的端口 I与交换机的端口2进行数据通信，那么路由器的端口 I就只能通过交换机的端口 I与交换机进行正常的数据通信。
[0152]在本发明一可选实施例中，当确定ACL策略未配置成功时，还可以向网络安全管理平台发起ACL策略未配置成功的告警提示，以提示网络管理员访问控制列表中的ACL策略与该ACL策略在可视化拓扑结构图中对应的路径不匹配。可选地，告警提示可以采用语音提不、文字提不等方式进彳丁告警提不。
[0153]综上，通过动态监测网络边界设备的ACL信息的变化，可以及时根据ACL信息的变化确定变化后的数据包过滤规则，进而确定网络边界设备变化后的连通路径，并对企业网络边界设备拓扑结构图进行相应的调整，进一步提高了网络边界设备的安全性能，从而有效保证了各网络边界设备的正常工作与运行。
[0154]基于同一发明构思，本发明实施例还提供了一种企业网络边界设备拓扑结构的可视化装置。图6示出了根据本发明一个实施例的企业网络边界设备拓扑结构的可视化装置600的结构示意图。参见图6，该装置至少可以包括:ACL信息获取模块610、数据包过滤规则确定模块620以及拓扑结构图生成模块630。
[0155]现介绍本发明实施例的企业网络边界设备拓扑结构的可视化装置600的各组成或器件的功能以及各部分间的连接关系:
[0156]ACL信息获取模块610，适于获取企业网络的至少一个网络边界设备的访问控制列表ACL信息；
[0157]在该模块中，网络边界设备包括下列至少之一:交换机、路由器、防火墙。
[0158]数据包过滤规则确定模块620，与ACL信息获取模块610耦合，适于根据获取到的网络边界设备的ACL信息，确定网络边界设备的数据包过滤规则，数据包过滤规则允许或拒绝特定的数据包通过；
[0159]拓扑结构图生成模块630，与数据包过滤规则确定模块620耦合，适于根据数据包过滤规则确定网络边界设备的连通路径，对网络边界设备的连通路径进行可视化展示，生成企业网络边界设备拓扑结构图。
[0160]在本发明一实施例中，拓扑结构图生成模块630还适于，在企业网络外部对企业网络边界设备的可访问端口进行检测，并获取检测到的企业网络边界设备对外可访问端口，进而基于网络边界设备的连通路径和对外可访问端口生成企业网络边界设备拓扑结构图。
[0161]在本发明一实施例中，拓扑结构图生成模块630还适于，获取网络边界设备的路由表信息，并基于网络边界设备的连通路径、对外可访问端口以及路由表信息生成企业网络边界设备拓扑结构图。
[0162]本发明实施例还提供了另一种企业网络边界设备拓扑结构的可视化装置。图7示出了根据本发明另一个实施例的企业网络边界设备拓扑结构的可视化装置600的结构示意图。参见图7，该装置除了包括图6中所示的各模块之外，还可以包括:拓扑结构图调整模块640、路径标识模块650、ACL策略校验模块660以及告警模块670。
[0163]拓扑结构图调整模块640，与拓扑结构图生成模块630耦合，适于监控网络边界设备的ACL信息是否发生变化;若监控到网络边界设备的ACL信息发生变化，则基于变化后的ACL信息确定网络边界设备的变化后的数据包过滤规则;根据变化后的数据包过滤规则确定网络边界设备的变化后的连通路径;获取网络边界设备的变化前的连通路径;基于网络边界设备的变化前的连通路径和网络边界设备的变化后的连通路径，对企业网络边界设备拓扑结构图进行调整。
[0164]路径标识模块650，与拓扑结构图生成模块630和拓扑结构图调整模块640耦合，适于接收从源地址访问目标地址的路径查询请求；响应路径查询请求，确定企业网络边界设备拓扑结构图中路径查询请求对应的一条或多条连通路径;在企业网络边界设备拓扑结构图中突出标识一条或多条连通路径。
[0165]ACL策略校验模块660，与拓扑结构图生成模块630和拓扑结构图调整模块640耦合，适于从待校验的访问控制列表所包括的多条ACL策略中选取一 ACL策略;将选取的ACL策略与组成企业网络边界设备拓扑结构图的连通路径进行匹配，以查找企业网络边界设备拓扑结构图中是否存在与选取的ACL策略对应的连通路径，得到相应的查找结果;根据查找结果确定ACL策略是否配置成功。
[0166]告警模块670，与ACL策略校验模块660耦合，适于当ACL策略校验模块660确定ACL策略未配置成功之后，发起ACL策略未配置成功的告警提示。
[0167]在本发明一实施例中，拓扑结构图调整模块640还适于，首先，按照指定周期获取网络边界设备的ACL信息。然后，比对本次获取的网络边界设备的ACL信息和上一次获取的网络边界设备的ACL信息。最后，根据比对结果确定网络边界设备的ACL信息是否发生变化。
[0168]在本发明一实施例中，拓扑结构图调整模块640还适于，基于网络边界设备的变化前的连通路径和网络边界设备的变化后的连通路径，确定待新增的连通路径。然后，将待新增的连通路径组合到企业网络边界设备拓扑结构图中，以调整企业网络边界设备拓扑结构图。
[0169]在本发明一实施例中，拓扑结构图调整模块640还适于，在将待新增的连通路径组合到企业网络边界设备拓扑结构图中之后，在企业网络边界设备拓扑结构图中对待新增的连通路径进行标识。
[0170]在本发明一实施例中，拓扑结构图调整模块640还适于，基于网络边界设备的变化前的连通路径和网络边界设备的变化后的连通路径，确定待减少的连通路径，然后，在企业网络边界设备拓扑结构图中删除待减少的连通路径，以调整企业网络边界设备拓扑结构图。
[0171]在本发明一实施例中，路径标识模块650还适于，当路径查询请求对应多条连通路径时，根据预设策略从多条连通路径中优选一条连通路径;在企业网络边界设备拓扑结构图中突出标识优选的一条连通路径。
[0172]在本发明一实施例中，ACL策略校验模块660还适于，若ACL策略为拒绝源地址访问目标地址，当查找结果为未查找到与选取的ACL策略对应的连通路径，则确定ACL策略配置成功;当查找结果为查找到与选取的ACL策略对应的连通路径，则确定ACL策略未配置成功。
[0173]在本发明一实施例中，ACL策略校验模块660还适于，若ACL策略为授权源地址访问目标地址，当查找结果为未查找到与选取的ACL策略对应的连通路径，则确定ACL策略未配置成功;当查找结果为查找到与选取的ACL策略对应的连通路径，则确定ACL策略配置成功。
[0174]根据上述任意一个优选实施例或多个优选实施例的组合，本发明实施例能够达到如下有益效果:
[0175]在本发明实施例中，首先，获取企业网络的至少一个网络边界设备的访问控制列表ACL信息。然后，根据获取到的网络边界设备的ACL信息，确定网络边界设备的数据包过滤规则，数据包过滤规则允许或拒绝特定的数据包通过。最后，根据数据包过滤规则确定网络边界设备的连通路径，对网络边界设备的连通路径进行可视化展示，生成企业网络边界设备拓扑结构图。由此可见，本发明通过利用网络边界设备的ACL信息确定出网络边界设备的连通路径，并对确定出的各连通路径进行展示，以利用展示出的连通路径生成企业网络边界设备拓扑结构图，从而实现企业网络全局安全态势的可视化展示。可视化拓扑结构图可以实时显示网络边界设备的网络路径以及各设备之间的拓扑关系，并且当网络边界设备之间的拓扑关系产生变化时，可以实时显示该变化。从而提高了各网络边界设备的安全性，使得任意设备间的拓扑关系的变化可以被及时获知，有助于网络管理员实时掌控企业网络边界设备的防护状况，并能够实时对网络运行的状态和网络结构有一个全面的了解。
[0176]进一步地，通过动态监测网络边界设备的ACL信息的变化，可以及时根据ACL信息的变化确定变化后的数据包过滤规则，进而确定网络边界设备变化后的连通路径，并对企业网络边界设备拓扑结构图进行相应的调整，进一步提高了网络边界设备的安全性能，从而有效保证了各网络边界设备的正常工作与运行。
[0177]在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
[0178]类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】，其中每个权利要求本身都作为本发明的单独实施例。
[0179]本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0180]此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0181]本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的企业网络边界设备拓扑结构的可视化装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。
[0182]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0183]至此，本领域技术人员应认识到，虽然本文已详尽示出和描述了本发明的多个示例性实施例，但是，在不脱离本发明精神和范围的情况下，仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此，本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
[0184]本发明实施例还提供了Al、一种企业网络边界设备拓扑结构的可视化方法，包括:
[0185]获取所述企业网络的至少一个网络边界设备的访问控制列表ACL信息；
[0186]根据获取到的所述网络边界设备的ACL信息，确定所述网络边界设备的数据包过滤规则，所述数据包过滤规则允许或拒绝特定的数据包通过；
[0187]根据所述数据包过滤规则确定所述网络边界设备的连通路径，对所述网络边界设备的连通路径进行可视化展示，生成所述企业网络边界设备拓扑结构图。
[0188]A2、根据Al所述的方法，其中，还包括:
[0189]在所述企业网络外部对所述企业网络边界设备的可访问端口进行检测；
[0190]获取检测到的所述企业网络边界设备对外可访问端口；
[0191]基于所述网络边界设备的连通路径和所述对外可访问端口生成所述企业网络边界设备拓扑结构图。
[0192]A3、根据A2所述的方法，其中，还包括:
[0193]获取所述网络边界设备的路由表信息；
[0194]基于所述网络边界设备的连通路径、所述对外可访问端口以及所述路由表信息生成所述企业网络边界设备拓扑结构图。
[0195]A4、根据A1-A3中任一项所述的方法，其中，在生成所述企业网络边界设备拓扑结构图之后，所述方法还包括:
[0196]监控所述网络边界设备的ACL信息是否发生变化；
[0197]若监控到所述网络边界设备的ACL信息发生变化，则基于变化后的ACL信息确定所述网络边界设备的变化后的数据包过滤规则；
[0198]根据所述变化后的数据包过滤规则确定所述网络边界设备的变化后的连通路径；
[0199]获取所述网络边界设备的变化前的连通路径；
[0200]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整。
[0201]A5、根据A4所述的方法，其中，监控所述网络边界设备的ACL信息是否发生变化，包括:
[0202]按照指定周期获取所述网络边界设备的ACL信息；
[0203]比对本次获取的所述网络边界设备的ACL信息和上一次获取的网络边界设备的ACLf目息；
[0204]根据比对结果确定所述网络边界设备的ACL信息是否发生变化。
[0205]A6、根据A4或A5所述的方法，其中，基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整，包括:
[0206]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待新增的连通路径；
[0207]将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中，以调整所述企业网络边界设备拓扑结构图。
[0208]A7、根据A6所述的方法，其中，还包括:
[0209]在将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中之后，在所述企业网络边界设备拓扑结构图中对新增后的连通路径进行标识。
[0210]AS、根据A4或A5所述的方法，其中，基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整，包括:
[0211]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待减少的连通路径；
[0212]在所述企业网络边界设备拓扑结构图中删除所述待减少的连通路径，以调整所述企业网络边界设备拓扑结构图。
[0213]A9、根据A1-A8中任一项所述的方法，其中，在生成所述企业网络边界设备拓扑结构图之后，所述方法还包括:
[0214]接收从源地址访问目标地址的路径查询请求；
[0215]响应所述路径查询请求，确定所述企业网络边界设备拓扑结构图中所述路径查询请求对应的一条或多条连通路径；
[0216]在所述企业网络边界设备拓扑结构图中突出标识所述一条或多条连通路径。
[0217]A10、根据A9所述的方法，其中，当所述路径查询请求对应多条连通路径时，在所述企业网络边界设备拓扑结构图中突出标识所述一条或多条连通路径，包括:
[0218]根据预设策略从所述多条连通路径中优选一条连通路径；
[0219]在所述企业网络边界设备拓扑结构图中突出标识优选的一条连通路径。
[0220]AU、根据Al-AlO中任一项所述的方法，其中，在生成所述企业网络边界设备拓扑结构图之后，所述方法还包括:
[0221]从待校验的访问控制列表所包括的多条ACL策略中选取一ACL策略；
[0222]将选取的所述ACL策略与组成所述企业网络边界设备拓扑结构图的连通路径进行匹配，以查找所述所述企业网络边界设备拓扑结构图中是否存在与选取的所述ACL策略对应的连通路径，得到相应的查找结果；
[0223]根据所述查找结果确定所述ACL策略是否配置成功。
[0224]A12、根据All所述的方法，其中，若所述ACL策略为拒绝源地址访问目标地址，根据所述查找结果确定所述ACL策略是否配置成功，包括:
[0225]当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略配置成功；
[0226]当所述查找结果为查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略未配置成功。
[0227]A13、根据All所述的方法，其中，若所述ACL策略为授权源地址访问目标地址，根据所述查找结果确定所述ACL策略是否配置成功，包括:
[0228]当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略未配置成功；
[0229]当所述查找结果为查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略配置成功。
[0230]A14、根据A12或A13所述的方法，其中，当确定所述ACL策略未配置成功之后，所述方法还包括:
[0231]发起所述ACL策略未配置成功的告警提示。
[0232]A15、根据A1-A14中任一项所述的方法，其中，所述网络边界设备包括下列至少之一:交换机、路由器、防火墙。
[0233]B16、一种企业网络边界设备拓扑结构的可视化装置，包括:
[0234]ACL信息获取模块，适于获取所述企业网络的至少一个网络边界设备的访问控制列表ACL信息；
[0235]数据包过滤规则确定模块，适于根据获取到的所述网络边界设备的ACL信息，确定所述网络边界设备的数据包过滤规则，所述数据包过滤规则允许或拒绝特定的数据包通过；
[0236]拓扑结构图生成模块，适于根据所述数据包过滤规则确定所述网络边界设备的连通路径，对所述网络边界设备的连通路径进行可视化展示，生成所述企业网络边界设备拓扑结构图。
[0237]B17、根据B16所述的装置，其中，所述拓扑结构图生成模块还适于:
[0238]在所述企业网络外部对所述企业网络边界设备的可访问端口进行检测；
[0239]获取检测到的所述企业网络边界设备对外可访问端口；
[0240]基于所述网络边界设备的连通路径和所述对外可访问端口生成所述企业网络边界设备拓扑结构图。
[0241]B18、根据B17所述的装置，其中，所述拓扑结构图生成模块还适于:
[0242]获取所述网络边界设备的路由表信息；
[0243]基于所述网络边界设备的连通路径、所述对外可访问端口以及所述路由表信息生成所述企业网络边界设备拓扑结构图。
[0244]B19、根据B16-B18中任一项所述的装置，其中，还包括:
[0245]拓扑结构图调整模块，适于监控所述网络边界设备的ACL信息是否发生变化;若监控到所述网络边界设备的ACL信息发生变化，则基于变化后的ACL信息确定所述网络边界设备的变化后的数据包过滤规则;根据所述变化后的数据包过滤规则确定所述网络边界设备的变化后的连通路径;获取所述网络边界设备的变化前的连通路径;基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整。
[0246]B20、根据B19所述的装置，其中，所述拓扑结构图调整模块还适于:
[0247]按照指定周期获取所述网络边界设备的ACL信息；
[0248]比对本次获取的所述网络边界设备的ACL信息和上一次获取的网络边界设备的ACLf目息；
[0249]根据比对结果确定所述网络边界设备的ACL信息是否发生变化。
[0250]B21、根据B19或B20所述的装置，其中，所述拓扑结构图调整模块还适于:
[0251]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待新增的连通路径；
[0252]将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中，以调整所述企业网络边界设备拓扑结构图。
[0253]B22、根据B21所述的装置，其中，所述拓扑结构图调整模块还适于:
[0254]在将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中之后，在所述企业网络边界设备拓扑结构图中对新增后的连通路径进行标识。
[0255]B23、根据B19或20所述的装置，其中，所述拓扑结构图调整模块还适于:
[0256]基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待减少的连通路径；
[0257]在所述企业网络边界设备拓扑结构图中删除所述待减少的连通路径，以调整所述企业网络边界设备拓扑结构图。
[0258]B24、根据B23所述的装置，其中，还包括:
[0259]路径标识模块，适于接收从源地址访问目标地址的路径查询请求；响应所述路径查询请求，确定所述企业网络边界设备拓扑结构图中所述路径查询请求对应的一条或多条连通路径;在所述企业网络边界设备拓扑结构图中突出标识所述一条或多条连通路径。
[0260]B25、根据B24所述的装置，其中，所述路径标识模块还适于:
[0261 ]当所述路径查询请求对应多条连通路径时，根据预设策略从所述多条连通路径中优选一条连通路径;在所述企业网络边界设备拓扑结构图中突出标识优选的一条连通路径。
[0262]B26、根据B16-B25中任一项所述的装置，其中，还包括:
[0263]ACL策略校验模块，适于从待校验的访问控制列表所包括的多条ACL策略中选取一ACL策略;将选取的所述ACL策略与组成所述企业网络边界设备拓扑结构图的连通路径进行匹配，以查找所述所述企业网络边界设备拓扑结构图中是否存在与选取的所述ACL策略对应的连通路径，得到相应的查找结果;根据所述查找结果确定所述ACL策略是否配置成功。
[0264]B27、根据B26所述的装置，其中，所述ACL策略校验模块还适于:
[0265]若所述ACL策略为拒绝源地址访问目标地址，当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略配置成功；当所述查找结果为查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略未配置成功。
[0266]B28、根据B26所述的装置，其中，所述ACL策略校验模块还适于:
[0267]若所述ACL策略为授权源地址访问目标地址，当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略未配置成功；
[0268]当所述查找结果为查找到与选取的所述ACL策略对应的连通路径，则确定所述ACL策略配置成功。
[0269]B29、根据B27或B28所述的装置，其中，还包括:
[0270]告警模块，适于当所述ACL策略校验模块确定所述ACL策略未配置成功之后，发起所述ACL策略未配置成功的告警提示。
[0271]B30、根据B16-B29中任一项所述的装置，其中，所述网络边界设备包括下列至少之一:交换机、路由器、防火墙。
【主权项】
1.一种企业网络边界设备拓扑结构的可视化方法，包括: 获取所述企业网络的至少一个网络边界设备的访问控制列表ACL信息； 根据获取到的所述网络边界设备的ACL信息，确定所述网络边界设备的数据包过滤规则，所述数据包过滤规则允许或拒绝特定的数据包通过； 根据所述数据包过滤规则确定所述网络边界设备的连通路径，对所述网络边界设备的连通路径进行可视化展示，生成所述企业网络边界设备拓扑结构图。2.根据权利要求1所述的方法，其中，还包括: 在所述企业网络外部对所述企业网络边界设备的可访问端口进行检测； 获取检测到的所述企业网络边界设备对外可访问端口； 基于所述网络边界设备的连通路径和所述对外可访问端口生成所述企业网络边界设备拓扑结构图。3.根据权利要求2所述的方法，其中，还包括: 获取所述网络边界设备的路由表信息； 基于所述网络边界设备的连通路径、所述对外可访问端口以及所述路由表信息生成所述企业网络边界设备拓扑结构图。4.根据权利要求1-3中任一项所述的方法，其中，在生成所述企业网络边界设备拓扑结构图之后，所述方法还包括: 监控所述网络边界设备的ACL信息是否发生变化； 若监控到所述网络边界设备的ACL信息发生变化，则基于变化后的ACL信息确定所述网络边界设备的变化后的数据包过滤规则； 根据所述变化后的数据包过滤规则确定所述网络边界设备的变化后的连通路径； 获取所述网络边界设备的变化前的连通路径； 基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整。5.根据权利要求4所述的方法，其中，监控所述网络边界设备的ACL信息是否发生变化，包括: 按照指定周期获取所述网络边界设备的ACL信息； 比对本次获取的所述网络边界设备的ACL信息和上一次获取的网络边界设备的ACL信息; 根据比对结果确定所述网络边界设备的ACL信息是否发生变化。6.根据权利要求4或5所述的方法，其中，基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整，包括: 基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待新增的连通路径； 将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中，以调整所述企业网络边界设备拓扑结构图。7.根据权利要求6所述的方法，其中，还包括: 在将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中之后，在所述企业网络边界设备拓扑结构图中对新增后的连通路径进行标识。8.根据权利要求4或5所述的方法，其中，基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，对所述企业网络边界设备拓扑结构图进行调整，包括: 基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径，确定待减少的连通路径； 在所述企业网络边界设备拓扑结构图中删除所述待减少的连通路径，以调整所述企业网络边界设备拓扑结构图。9.根据权利要求1-8中任一项所述的方法，其中，在生成所述企业网络边界设备拓扑结构图之后，所述方法还包括: 接收从源地址访问目标地址的路径查询请求； 响应所述路径查询请求，确定所述企业网络边界设备拓扑结构图中所述路径查询请求对应的一条或多条连通路径； 在所述企业网络边界设备拓扑结构图中突出标识所述一条或多条连通路径。10.—种企业网络边界设备拓扑结构的可视化装置，包括: ACL信息获取模块，适于获取所述企业网络的至少一个网络边界设备的访问控制列表ACLf目息； 数据包过滤规则确定模块，适于根据获取到的所述网络边界设备的ACL信息，确定所述网络边界设备的数据包过滤规则，所述数据包过滤规则允许或拒绝特定的数据包通过； 拓扑结构图生成模块，适于根据所述数据包过滤规则确定所述网络边界设备的连通路径，对所述网络边界设备的连通路径进行可视化展示，生成所述企业网络边界设备拓扑结构图。
【文档编号】H04L12/759GK105847300SQ201610371630
【公开日】2016年8月10日
【申请日】2016年5月30日
【发明人】张睿, 童文, 裴越峰, 江亚辉, 金迪颖, 刘小雄
【申请人】北京琵琶行科技有限公司