企业网络边界设备访问控制策略的管控方法及装置的制造方法
【专利摘要】本发明提供了一种企业网络边界设备访问控制策略的管控方法及装置,所述方法及装置适用于网络边界设备访问控制策略管控平台,所述平台与至少一台网络边界设备连接,所述方法包括:从至少一台网络边界设备中获取访问控制策略的条目;针对各网络边界设备,获取该网络边界设备所支持的访问控制策略的条目的设定标准;监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,根据监控结果对网络边界设备访问控制策略进行管控。采用本发明实施例提供的方法,实现了对网络边界设备访问控制策略的条目的管控,从而实现了对企业网络进行安全防护的目的。
【专利说明】
企业网络边界设备访问控制策略的管控方法及装置
技术领域
[0001]本发明涉及网络应用技术领域,特别是一种企业网络边界设备访问控制策略的管控方法及装置。
【背景技术】
[0002]信息点间通信和内外网络的通信是企业网络中必不可少的业务需求,为了保证企业内部资源和重要信息的安全性,需要通过安全策略来保障非授权用户只能访问特定的网络资源,从而达到对访问进行控制的目的。访问控制列表(Access Control List,简称ACL)可以过滤网络中的流量,是控制访问的一种网络技术手段。
[0003]配置ACL后,可以限制网络流量,允许特定设备访问,指定转发特定端口数据包等。如可以配置ACL,禁止局域网内的设备访问外部公共网络,或者只能使用文件传输协议(File Transfer Protocol,简称FTP)服务。
[0004]现有技术中,由于网络设备的ACL容量有限,一旦超出限额,所有的网络访问控制策略将全部失效,进而导致企业内部资源的外泄。另外,关于ACL访问控制的处理模式是由人工操作处理,采用人工操作管理的模式经常出现网络安全管理人员操作不当引起的严格受限的权限放开,致使企业内部资源外泄。因此,亟待提供一种监控网络设备ACL的技术方案。
【发明内容】
[0005]鉴于上述问题,提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的企业网络边界设备访问控制策略的管控方法及装置。
[0006]基于本发明的一方面,提供了一种企业网络边界设备访问控制策略的管控方法,所述方法适用于网络边界设备访问控制策略管控平台,所述平台与至少一台网络边界设备连接,包括:
[0007]从至少一台网络边界设备中获取访问控制策略的条目;
[0008]针对各网络边界设备,获取该网络边界设备所支持的访问控制策略的条目的设定标准;
[0009]监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,根据监控结果对网络边界设备访问控制策略进行管控。
[0010]可选地,监控从各网络边界设备中所获取的访问控制策略的条目是否满足该网络边界设备所支持的设定标准,包括:
[0011]监控从各网络边界设备中所获取的访问控制策略的条目的数量是否超过该网络边界设备所能够承载的条目数量;或者
[0012]监控所述访问控制策略的访问权限内容,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作。
[0013]可选地,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作,包括:
[0014]当从各网络边界设备中所获取的访问控制策略的条目的内容存在冗余时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行合并操作。
[0015]可选地,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作,包括:
[0016]当从各网络边界设备中所获取的访问控制策略的条目的内容存在不当时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行删除操作。
[0017]可选地,还包括:
[0018]监控从各网络边界设备中所获取的访问控制策略的条目的数量超过该网络边界设备所能够承载的条目数量,针对该网络边界设备发起报警消息。
[0019]可选地,监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,还包括:
[0020]当所述网络边界设备中增加新的访问控制策略的条目时,触发监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准的操作。
[0021]可选地,从至少一台网络边界设备中获取访问控制策略的条目,包括:
[0022]在所述网络边界设备访问控制策略管控平台中建立中间命令转化数据库;
[0023]从各网络边界设备获取不同类型的访问控制策略的条目时,利用中间命令转化数据库对各不同类型的访问控制策略的条目进行自适化处理,将其转化为相同类型。
[0024]可选地,所述方法还包括:
[0025]由所述网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令时,根据所述中间命令转化数据库将所述操作命令转化为适应于对应网络边界设备的操作命令;
[0026]将转化后的操作命令发送至对应网络边界设备,由该网络边界设备执行。
[0027]可选地,由所述网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令之后,将转化后的操作命令发送至对应网络边界设备之前,所述方法还包括:
[0028]触发二次审核机制,由所述网络边界设备访问控制策略管控平台生成的、针对各网络边界设备的操作命令发送至所述网络边界设备访问控制策略管控平台的第二重审核平台;
[0029]经所述第二重审核平台接收来自管理者的二次审核意见;
[0030]依据所述二次审核意见确定是否将转化后的操作命令发送至对应网络边界设备。
[0031]可选地,所述网络边界设备包括下列至少之一:
[0032]交换机、防火墙、路由器。
[0033]基于本发明的另一个方面,还提供了一种网络边界设备访问控制策略的管控装置,所述装置适用于网络边界设备访问控制策略管控平台,所述平台与至少一台网络边界设备连接,所述装置包括:
[0034]第一获取模块,适于从至少一台网络边界设备中获取访问控制策略的条目;
[0035]第二获取模块,适于针对各网络边界设备,获取该网络边界设备所支持的访问控制策略的条目的设定标准;
[0036]监控模块,适于监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,根据监控结果对网络边界设备访问控制策略进行管控。
[0037]可选地,所述监控模块还适于:
[0038]监控从各网络边界设备中所获取的访问控制策略的条目的数量是否超过该网络边界设备所能够承载的条目数量;或者
[0039]监控所述访问控制策略的访问权限内容,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作。
[0040]可选地,所述监控模块还适于:
[0041]当从各网络边界设备中所获取的访问控制策略的条目的内容存在冗余时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行合并操作。
[0042]可选地,所述监控模块还适于:
[0043]当从各网络边界设备中所获取的访问控制策略的条目的内容存在不当时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行删除操作。
[0044]可选地,还包括:
[0045]警报模块,监控从各网络边界设备中所获取的访问控制策略的条目的数量超过该网络边界设备所能够承载的条目数量,针对该网络边界设备发起报警消息。
[0046]可选地,所述监控模块还适于:
[0047]当所述网络边界设备中增加新的访问控制策略的条目时,触发监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准的操作。
[0048]可选地,还包括:
[0049]自适应模块,适于在所述网络边界设备访问控制策略管控平台中建立中间命令转化数据库;
[0050]从各网络边界设备获取不同类型的访问控制策略的条目时,利用中间命令转化数据库对各不同类型的访问控制策略的条目进行自适化处理,将其转化为相同类型。
[0051 ] 可选地,所述自适应模块还适于:
[0052]由所述网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令时,根据所述中间命令转化数据库将所述操作命令转化为适应于对应网络边界设备的操作命令;
[0053]将转化后的操作命令发送至对应网络边界设备,由该网络边界设备执行。
[0054]可选地,所述装置还包括:
[0055]二次审核模块,适于触发二次审核机制,由所述网络边界设备访问控制策略管控平台生成的、针对各网络边界设备的操作命令发送至所述网络边界设备访问控制策略管控平台的第二重审核平台;
[0056]经所述第二重审核平台接收来自管理者的二次审核意见;
[0057]依据所述二次审核意见确定是否将转化后的操作命令发送至对应网络边界设备。
[0058]可选地,所述网络边界设备包括下列至少之一:
[0059]交换机、防火墙、路由器。
[0060]在本发明实施例中,网络边界设备所支持的访问控制策略的条目的设定标准是根据网络边界设备的特征(例如网络边界设备能够支持的访问控制策略的条目数、网络边界设备能够支持的访问控制策略的类别等)以及与网络边界设备相连的企业网络预先设置的访问控制策略进行设定的,因此,本发明实施例中,在获取指定网络边界设备所支持的访问控制策略的条目的设定标准之后,进一步监控从网络边界设备上获取的访问控制策略的条目是否满足该网络边界设备所支持的访问控制策略的条目的设定标准,得到监控结果,从而根据监控结果实现了对网络边界设备访问控制策略的条目的管控,若监控结果满足该网络边界设备所支持的访问控制策略的条目的设定标准,则能够确定该网络边界设备目前的访问控制策略是安全的,若监控结果不满足该网络边界设备所支持的访问控制控制所支持的访问控制策略的条目的设定标准,则能够确定该网络边界设备所支持的访问控制策略可能存在风险。即,本发明实施例根据监控结果判断网络边界设备的访问控制策略的条目是否安全,若监控结果未超出网络边界设备所支持的访问控制策略的条目的设定标准,首先证明网络边界设备本身的防护是安全的,进一步证明与网络边界设备连接的企业网络的安全性能也是具备一定防护能力的,能够达到对企业网络进行安全防护的目的。另外,网络安全管理人员便于通过监控结果掌握网络边界设备的访问控制策略的条目的安全情况,能够对网络边界设备的访问控制策略的条目有一个全面的了解,避免由于网络边界设备上的访问控制策略的条目容量超额,或者人工操作不当引起的严格受限的权限放开,致使企业内部资源外泄的问题,提高了企业网络的安全性。
[0061]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
[0062]根据下文结合附图对本发明具体实施例的详细描述,本领域技术人员将会更加明了本发明的上述以及其他目的、优点和特征。
【附图说明】
[0063]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0064]图1示出了根据本发明一个实施例的企业网络边界设备访问控制策略的管控方法的处理流程图;
[0065]图2示出了根据本发明一个实施例的企网络边界设备访问控制策略管控平台的示意图;
[0066]图3示出了根据本发明一个实施例的网络边界设备访问控制策略管控平台的可视化界面上显示的可视化拓扑图的示意图;
[0067]图4示出了根据本发明一个实施例的企业网络访问权限的控制装置的结构示意图;
[0068]图5示出了根据本发明一个实施例的企业网络访问权限的控制装置的又一种结构示意图。
【具体实施方式】
[0069]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0070]为解决上述技术问题,本发明实施例提供了一种企业网络边界设备访问控制策略的管控方法,该方法适用于网络边界设备访问控制策略管控平台,该平台与至少一台网络边界设备连接,其中,网络边界设备包括交换机、防火墙、路由器等。图1示出了根据本发明一个实施例的企业网络边界设备访问控制策略的管控方法的处理流程图。参见图1,该方法至少包括步骤S102至步骤S106。
[0071]本发明实施例中,首先执行步骤S102,从至少一台网络边界设备中获取访问控制策略的条目。
[0072]然后,执行步骤S104,针对各网络边界设备,获取该网络边界设备所支持的访问控制策略的条目的设定标准。
[0073]最后,执行步骤S106,监控从各网络边界设备中所获取的访问控制策略的条目是否满足该网络边界设备所支持的设定标准,根据监控结果对网络边界设备访问控制策略进行管控。
[0074]在本发明实施例中,网络边界设备所支持的访问控制策略的条目的设定标准是根据网络边界设备的特征(例如网络边界设备能够支持的访问控制策略的条目数、网络边界设备能够支持的访问控制策略的类别等)以及与网络边界设备相连的企业网络预先设置的访问控制策略进行设定的,因此,本发明实施例中,在获取指定网络边界设备所支持的访问控制策略的条目的设定标准之后,进一步监控从网络边界设备上获取的访问控制策略的条目是否满足该网络边界设备所支持的访问控制策略的条目的设定标准,得到监控结果,从而根据监控结果实现了对网络边界设备访问控制策略的条目的管控,若监控结果满足该网络边界设备所支持的访问控制策略的条目的设定标准,则能够确定该网络边界设备目前的访问控制策略是安全的,若监控结果不满足该网络边界设备所支持的访问控制控制所支持的访问控制策略的条目的设定标准,则能够确定该网络边界设备所支持的访问控制策略可能存在风险。即,本发明实施例根据监控结果判断网络边界设备的访问控制策略的条目是否安全,若监控结果未超出网络边界设备所支持的访问控制策略的条目的设定标准,首先证明网络边界设备本身的防护是安全的,进一步证明与网络边界设备连接的企业网络的安全性能也是具备一定防护能力的,能够达到对企业网络进行安全防护的目的。另外,网络安全管理人员便于通过监控结果掌握网络边界设备的访问控制策略的条目的安全情况,能够对网络边界设备的访问控制策略的条目有一个全面的了解,避免由于网络边界设备上的访问控制策略的条目容量超额,或者人工操作不当引起的严格受限的权限放开,致使企业内部资源外泄的问题,提高了企业网络的安全性。
[0075]现举例对步骤S104中提及的网络边界设备所支持的访问控制策略的条目的设定标准进行说明。例如,网络边界设备为路由器,且该路由器能够支持100条访问控制策略,那么,在实施时,若该路由器中所执行的访问控制策略已经达到100条,此时再执行第101条访问控制策略时,因访问控制策略数目超出路由器所能够承载的容量,则会导致之前的100条访问控制策略全部失效。
[0076]再举一个例子,例如,路由器所连接的企业网络中规定访问控制策略为允许对指定业务的存储数据仅进行读操作,而此时路由器执行了一条写操作,且写成功,那么这条访问控制策略即超过了路由器所连接的企业网络中规定的访问控制策略,也会导致数据被篡改的不安全事件发生。
[0077]上述提及的网络边界设备访问控制策略管控平台具备对网络安全策略进行网络安全评估的能力,并且,在一个优选的实施例中,企业级用户可以为网络边界设备访问控制策略管控平台设置一个单独的安全管理区域,该管理区域是从企业网络中划分出一个单独的区域,仅用于进行网络安全策略的管理控制功能。这一单独设置的方式能够进一步提高网络边界设备访问控制策略管控平台的安全性,网络边界设备访问控制策略管控平台无须与其他业务同时竞争企业资源(包括企业网络资源、时间资源等等),保证了网络边界设备访问控制策略管控平台的运行速度和反应能力,增加网络边界设备访问控制策略管控平台的鲁棒性和健壮性。如图2所示,该网络边界设备访问控制策略管控平台可以部署在企业网络的安全管理区域,以机架服务器的形式连接到管理域的核心交换上,用户和管理员远程通过Web页面进行访问,管理服务器同企业网络和互联网数据中心(Internet DataCenter,简称IDC)核心网络设备进行配置和命令层次的交互,包括路由器、交换机和防火墙,对支持简单网络管理协议(Simple Network Management Protocol,简称SNMP)、命令行终端和netconf协议的网络设备适配支持。
[0078]在部署网络边界设备访问控制策略管控平台时,需要导入用户信息进行注册和组织机构业务流程关系,也可以同企业的轻量目录访问协议(Lightweight DirectoryAccess Protocol,简称LDAP)接口进行集成,同时需要批量导入核心网络设备的安全外壳协议(Secure Shell,简称SSH)登陆信息和SNMP读取串,明确该网络设备品牌用于自动化命令适配。
[0079]网络边界设备访问控制策略管控平台可以以硬件形式提供,可远程访问Web页面进行管理,该产品由用户登录申请平台、管理员平台、管理服务器和流量采集器组成。
[0080]用户登录申请平台用于用户和用户上级的登录,包括网络访问策略的申请、用户申请记录查看、用户上级的确认、用户上级确认记录查看和用户口令管理等。
[0081]管理员平台用于网络安全管理员对网络访问控制策略的综合管理,包括网络设备ACL管理模块,ACL状态监测,ACL信息查看和审批,虚拟局域网(Virtual Local AreaNetwork,简称VLAN)信息管理,用户和权限管理、系统配置管理、审计日志管理等。
[0082]管理服务器负责定期抓取核心网络设备的配置信息,检查网络设备状态,网络设备命令执行的适配、网络设备命令的自动生成和推送、ACL策略失效状态监测、ACL流量监测和失效撤销等。
[0083]由于网络边界设备的容量是有限制的,一旦超出限额,则会导致所有网络访问控制策略失效。为了避免此类问题的发生,在本发明的一个优选实施例中,步骤S104中监控从各网络边界设备中所获取的访问控制策略的条目是否满足该网络边界设备所支持的设定标准,具体包括:监控从各网络边界设备中所获取的访问控制策略的条目的数量是否超过该网络边界设备所能够承载的条目数量。优选地,当网络边界设备中增加新的访问控制策略的条目时(例如,网络边界设备中每增加一条新的访问控制策略的条目时),触发监控从该网络边界设备中所获取的、已更新的访问控制策略的条目的数量是否超过该网络边界设备所能够承载的条目数量的操作,实时保证了网络边界设备能够正常运行,避免了网络边界设备的容量超额的问题。
[0084]若监控从各网络边界设备中所获取的访问控制策略的条目的数量超过该网络边界设备所能够承载的条目数量,则针对该网络边界设备发起报警消息。例如,某路由器所能够承载的ACL策略的容量为100条,当监控到该路由器中ACL的条数为1I条时,则对该路由器发送报警消息。另外,针对网络边界设备发起报警信息的时机不仅仅局限于从网络边界设备获取的访问控制策略的条目的数量超过该网络边界设备所能够承载的条目数量,还可以设定为从网络边界设备获取的访问控制策略的条目的数量达到该网络边界设备所能承载的条目数量的一定比例时,对该网络边界设备进行报警。例如,某交换机所能承载的ACL的容量是500条,当监控到该交换机中ACL的条数为其所能承载的ACL的容量的90%时,对该交换机发送报警信息。本发明实施例列举的数字仅仅是作为示例进行说明,对本发明并不造成任何限定。
[0085]除对各网络边界设备中所获取的访问控制策略的条目的数量进行监控外,在本发明的一个优选实施例中,还需对各网络边界设备中所获取的访问控制策略的条目的内容进行监控,即监控访问控制策略的访问权限内容,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作。优选地,当网络边界设备中增加新的访问控制策略的条目时(例如,网络边界设备中每增加一条新的访问控制策略的条目时),触发对从该网络边界设备中获取的、已更新的访问控制策略的访问权限内容的监控操作,实时保证了网络边界设备中的访问控制策略的访问权限内容的安全性,避免了访问控制策略的条目的内容不当导致企业内部资源外泄的问题。其中,各网络边界设备中所获取的访问控制策略的条目的内容至少包括:发起访问的源IP地址、需要访问的目的IP地址、目的端口、通信协议、访问权限有效时间。
[0086]若当从各网络边界设备中所获取的访问控制策略的条目的内容存在冗余时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对该访问控制策略的条目进行合并操作。例如,对于同一申请终端的发起的两次相同的访问控制策略,则针对这两个相同的访问控制策略的条目的内容进行合并。
[0087]若当从各网络边界设备中所获取的访问控制策略的条目的内容存在不当时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对访问控制策略的条目进行删除操作。例如,获取的访问控制策略的条目的内容中出现不允许访问的目的IP地址,则删除该访问控制策略的条目的内容;获取的访问控制策略的条目的内容中出现仅允许特定设备进行访问的目的端口,则删除该访问控制策略的条目的内容;获取的访问控制策略的条目的内容中出现不符合要求的通信协议类型,则删除该访问控制策略的条目的内容;获取的访问控制策略的条目的内容中出现超过设定期限的权限有效时间,则删除该访问控制策略的条目的内容,等等。
[0088]上述提及的从某网络边界设备中所获取的某一具体访问控制策略的条目恰好超过该网络边界设备所能够承载的条目数量,或者从某网络边界设备中所获取的某一访问控制策略的条目的内容存在不当,则将该具体访问控制策略的条目视为不安全访问控制策略。在本发明的一个优选实施例中,当网络边界设备中存在不安全访问控制策略的条目时,网络边界设备访问控制策略管控平台对其进行拦截处理,避免了由于网络边界设备上的访问控制策略的条目容量超额引起的该网络边界设备上所有访问控制策略的条目失效的问题,以及避免了访问控制策略的条目的内容不当导致企业内部资源外泄的问题,保障了网络边界设备自身防护的安全性,进而保障了与网络边界设备连接的企业网络的安全性。
[0089]本发明实施例中,在网络边界设备访问控制策略管控平台的可视化界面上显示可视化拓扑图,图3示出了根据本发明一个实施例的网络边界设备访问控制策略管控平台的可视化界面上显示的可视化拓扑图的示意图。参见图3,该可视化拓扑图能够显示网络边界设备访问控制策略管控平台管辖的各网络边界设备的连通路径。当确定某网络边界设备中所获取的访问控制策略的条目的数量超过该网络边界设备所能够承载的条目数量时,或者,当确定从某网络边界设备中所获取的访问控制策略的条目的内容存在不当时,在可视化拓扑图中以特定标识显示该网络边界设备所在的节点,和/或该网络边界设备对应的连通路径,具体地,对可视化拓扑图上显示的该网络边界设备和/或该网络边界设备对应的连通路径采用高亮、重新着色以及频闪等方式进行标识。以图3中的路由器I为例进行说明,当路由器I上的访问控制策略的条目的数量超过其所能够承载的条目数量,则图3中示出的路由器I开始频闪,并且与路由器I相关的连通路径也开始频闪。
[0090]当网络边界设备访问控制策略管控平台监测到可视化拓扑图上出现特定标识时,对特定标识对应的该网络边界设备进行后续处理操作,例如,拦截该网络边界设备上的超额的访问控制策略的条目,删除该网络边界设备上的存在不当内容的访问控制策略的条目,保障了该网络边界设备自身的安全性,进而保障了与该网络边界设备相连的企业网络的安全性。
[0091]由于网络边界设备访问控制策略管控平台不只是与一台网络连接设备连接,同时网络连接设备的种类繁多,为了更加快速地对与网络连接设备访问控制策略管控平台相连的多个网络边界设备访问控制策略实现管控,在本发明的一个优选实施例中,在网络边界设备访问控制策略管控平台建立一个中间命令转化数据库。当从不同类型的网络边界设备获取到访问控制策略的条目时,或者从网络边界设备获取到不同类型的访问控制策略的条目时,利用中间命令转化数据库对获取到的不同类型的访问控制策略的条目进行自适化处理,使得不同类型的访问控制策略的条目转化为相同类型的访问控制策略的条目。
[0092]具体地,与网络边界设备访问控制策略管控平台相连的网络边界设备有路由器、交换机、防火墙。从各网络边界设备上获取的访问控制策略的条目是以数据包的形式存在,由于路由器、交换机以及防火墙属于不同类型的网络边界设备,进而从路由器、交换机以及防火墙上获取的访问控制策略条目也是以不同格式的数据包存在。本发明实施例中,利用建立的中间命令转化数据库对从路由器、交换机以及防火墙上获取的访问控制策略条目以预设的格式分别对其进行转化,将从路由器、交换机以及防火墙上获取的访问控制策略条目转化为具有同一格式的数据包。再例如,以路由器为例,路由器的生产厂家众多,比如,腾达、华为、思科等,由于路由器的生产厂家不同,导致从不同生产厂家的路由器上获取的访问控制策略的条目的类型不同,此时,可以利用中间命令转化数据库对从不同生产厂家的路由器上获取的不同类型的访问控制策略的条目进行自适化处理,将其转化为具有同一格式的访问控制策略的条目。
[0093]由上述分析可知,中间命令转化数据库可以针对不同类型或型号的网络边界设备的访问控制策略进行转化,将其转化为具备同一格式的访问控制策略的条目,对于网络边界设备访问控制策略管控平台而言,其后续所要处理的是同一格式的访问控制策略的条目,而不是形形色色的多格式的访问控制策略的条目,其处理所需的资源大大减少,提高了处理效率,降低处理过程中可能出现的意外风险,保证处理过程中的安全性。
[0094]本发明实施例中,在网络边界设备访问控制策略管控平台对不同类型或型号的网络边界设备的访问控制策略处理结束之后,由网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令。此时,网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令需要根据中间命令转化数据库将操作命令转化为适应于对应网络边界设备的操作命令,然后将转化后的操作命令发送至对应网络边界设备,由该网络边界设备执行。对于网络边界设备而言,其各自所执行的命令格式是不同的,因此,网络边界设备访问控制策略管控平台需要将其生成的同一格式的操作命令再次转化为与各网络边界设备相匹配的操作命令,使得各网络边界设备能够识别出其所接收的操作命令,并执行。
[0095]因此,中间命令转化数据库在整个操作命令的处理过程中起到了两个作用,首次是将不同类型的网络边界设备的访问控制策略的条目进行统一格式化处理,其次是将生成的、针对不同类型的网络边界设备的同一格式的操作命令转化为与各网络边界设备匹配的操作命令。这种自适应的转化方式使得网络边界设备访问控制策略管控平台能够适用于各种类型的网络边界设备,管辖范围大大增加,而对于各种类型的网络边界设备,网络边界设备访问控制策略管控平台的管辖并不会造成其处理方式发生变动,保持原有的处理方式即可,节时省力,节省大量资源。
[0096]在本发明的一个优选实施例中,在网络边界设备访问控制策略管控平台还建立第二重审核平台。由网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令之后,将转化后的操作命令发送至对应网络边界设备之前,还需触发第二重审核平台,第二重审核平台用于审核由网络边界设备访问控制策略管控平台生成的针对各网络边界设备的操作命令,根据二次审核意见确定转化后的操作命令的后续处理操作,通过对针对各网络边界设备的操作命令的审核,保证了后续操作处理的安全性。具体地,管理者登录第二重审核平台,并根据预设的安全策略对针对各网络边界设备生成的操作命令进行审核。若管理者的二次审核意见为针对各网络边界设备生成的操作命令符合预设的安全策略,则将针对各网络边界设备转化后的操作命令发送至对应的网络边界设备,若管理者的二次审核意见为针对各网络边界设备生成的操作命令不符合预设的安全策略,则拒绝将针对各网络边界设备转化后的操作命令发送至对应的网络边界设备。
[0097]基于同一发明构思,本发明实施例还提供了一种企业网络访问权限的控制装置,该装置适用于网络边界设备访问控制策略管控平台,该平台与至少一台网络边界设备连接,其中,网络边界设备至少包括:路由器、交换机、防火墙。图4示出了根据本发明一个实施例的企业网络访问权限的控制装置的结构示意图。参见图4,该装置至少包括:
[0098]第一获取模块410,适于从至少一台网络边界设备中获取访问控制策略的条目;
[0099]第二获取模块420,与第一获取模块410耦合,适于针对各网络边界设备,获取该网络边界设备所支持的访问控制策略的条目的设定标准;
[0100]监控模块430,与第二获取模块420耦合,适于监控从各网络边界设备中所获取的访问控制策略的条目是否满足该网络边界设备所支持的设定标准,根据监控结果对网络边界设备访问控制策略进行管控。
[0101]在本发明的一个优选实施例中,监控模块430还适于:监控从各网络边界设备中所获取的访问控制策略的条目的数量是否超过该网络边界设备所能够承载的条目数量;或者监控访问控制策略的访问权限内容,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作。
[0102]在本发明的一个优选实施例中,监控模块430还适于:当从各网络边界设备中所获取的访问控制策略的条目的内容存在冗余时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对访问控制策略的条目进行合并操作。
[0103]在本发明的一个优选实施例中,监控模块430还适于:当从各网络边界设备中所获取的访问控制策略的条目的内容存在不当时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对访问控制策略的条目进行删除操作。
[0104]在本发明的一个优选实施例中,参见图5,该装置还包括:
[0105]警报模块440,与监控模块430耦合,监控从各网络边界设备中所获取的访问控制策略的条目的数量超过该网络边界设备所能够承载的条目数量,针对该网络边界设备发起报警消息。
[0106]在本发明的一个优选实施例中,参见图5,该装置还包括:
[0107]自适应模块450,与第一获取模块410耦合,与适于在网络边界设备访问控制策略管控平台中建立中间命令转化数据库;从各网络边界设备获取不同类型的访问控制策略的条目时,利用中间命令转化数据库对各不同类型的访问控制策略的条目进行自适化处理,将其转化为相同类型。
[0108]在本发明的一个优选实施例中,自适应模块450还适于:由网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令时,根据中间命令转化数据库将操作命令转化为适应于对应网络边界设备的操作命令;将转化后的操作命令发送至对应网络边界设备,由该网络边界设备执行。
[0109 ]在本发明的一个优选实施例中,参见图5,该装置还包括:
[0110]二次审核模块460,与自适应模块450耦合,适于触发二次审核机制,由网络边界设备访问控制策略管控平台生成的、针对各网络边界设备的操作命令发送至网络边界设备访问控制策略管控平台的第二重审核平台;经第二重审核平台接收来自管理者的二次审核意见;依据二次审核意见确定是否将转化后的操作命令发送至对应网络边界设备。
[0111]综上,采用本发明实施例提供的企业网络访问权限的控制方法及装置可以达到如下有益效果:
[0112]在本发明实施例中,网络边界设备所支持的访问控制策略的条目的设定标准是根据网络边界设备的特征(例如网络边界设备能够支持的访问控制策略的条目数、网络边界设备能够支持的访问控制策略的类别等)以及与网络边界设备相连的企业网络预先设置的访问控制策略进行设定的,因此,本发明实施例中,在获取指定网络边界设备所支持的访问控制策略的条目的设定标准之后,进一步监控从网络边界设备上获取的访问控制策略的条目是否满足该网络边界设备所支持的访问控制策略的条目的设定标准,得到监控结果,从而根据监控结果实现了对网络边界设备访问控制策略的条目的管控,若监控结果满足该网络边界设备所支持的访问控制策略的条目的设定标准,则能够确定该网络边界设备目前的访问控制策略是安全的,若监控结果不满足该网络边界设备所支持的访问控制控制所支持的访问控制策略的条目的设定标准,则能够确定该网络边界设备所支持的访问控制策略可能存在风险。即,本发明实施例根据监控结果判断网络边界设备的访问控制策略的条目是否安全,若监控结果未超出网络边界设备所支持的访问控制策略的条目的设定标准,首先证明网络边界设备本身的防护是安全的,进一步证明与网络边界设备连接的企业网络的安全性能也是具备一定防护能力的,能够达到对企业网络进行安全防护的目的。另外,网络安全管理人员便于通过监控结果掌握网络边界设备的访问控制策略的条目的安全情况,能够对网络边界设备的访问控制策略的条目有一个全面的了解,避免由于网络边界设备上的访问控制策略的条目容量超额,或者人工操作不当引起的严格受限的权限放开,致使企业内部资源外泄的问题,提高了企业网络的安全性。
[0113]在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
[0114]类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】,其中每个权利要求本身都作为本发明的单独实施例。
[0115]本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0116]此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0117]本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的企业网络边界设备访问控制策略的管控装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
[0118]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0119]至此,本领域技术人员应认识到,虽然本文已详尽示出和描述了本发明的多个示例性实施例,但是,在不脱离本发明精神和范围的情况下,仍可根据本发明公开的内容直接确定或推导出符合本发明原理的许多其他变型或修改。因此,本发明的范围应被理解和认定为覆盖了所有这些其他变型或修改。
[0120]基于本发明的一个方面,还提供了Al、一种企业网络边界设备访问控制策略的管控方法,所述方法适用于网络边界设备访问控制策略管控平台,所述平台与至少一台网络边界设备连接,所述方法包括:
[0121]从至少一台网络边界设备中获取访问控制策略的条目;
[0122]针对各网络边界设备,获取该网络边界设备所支持的访问控制策略的条目的设定标准;
[0123]监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,根据监控结果对网络边界设备访问控制策略进行管控。
[0124]A2、根据Al所述的方法,其中,监控从各网络边界设备中所获取的访问控制策略的条目是否满足该网络边界设备所支持的设定标准,包括:
[0125]监控从各网络边界设备中所获取的访问控制策略的条目的数量是否超过该网络边界设备所能够承载的条目数量;或者
[0126]监控所述访问控制策略的访问权限内容,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作。
[0127]A3、根据A2所述的方法,其中,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作,包括:
[0128]当从各网络边界设备中所获取的访问控制策略的条目的内容存在冗余时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行合并操作。
[0129]A4、根据A2所述的方法,其中,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作,包括:
[0130]当从各网络边界设备中所获取的访问控制策略的条目的内容存在不当时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行删除操作。
[0131 ] A5、根据A2所述的方法,其中,还包括:
[0132]监控从各网络边界设备中所获取的访问控制策略的条目的数量超过该网络边界设备所能够承载的条目数量,针对该网络边界设备发起报警消息。
[0133]A6、根据A1-A5任一项所述的方法,其中,监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,还包括:
[0134]当所述网络边界设备中增加新的访问控制策略的条目时,触发监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准的操作。
[0135]A7、根据A1-A6任一项所述的方法,其中,从至少一台网络边界设备中获取访问控制策略的条目,包括:
[0136]在所述网络边界设备访问控制策略管控平台中建立中间命令转化数据库;
[0137]从各网络边界设备获取不同类型的访问控制策略的条目时,利用中间命令转化数据库对各不同类型的访问控制策略的条目进行自适化处理,将其转化为相同类型。
[0138]AS、根据A7所述的方法,其中,所述方法还包括:
[0139]由所述网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令时,根据所述中间命令转化数据库将所述操作命令转化为适应于对应网络边界设备的操作命令;
[0140]将转化后的操作命令发送至对应网络边界设备,由该网络边界设备执行。
[0141]A9、根据AS所述的方法,其中,由所述网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令之后,将转化后的操作命令发送至对应网络边界设备之前,所述方法还包括:
[0142]触发二次审核机制,由所述网络边界设备访问控制策略管控平台生成的、针对各网络边界设备的操作命令发送至所述网络边界设备访问控制策略管控平台的第二重审核平台;
[0143]经所述第二重审核平台接收来自管理者的二次审核意见;
[0144]依据所述二次审核意见确定是否将转化后的操作命令发送至对应网络边界设备。
[0145]A10、根据A1-A9任一项所述的装置,其中,所述网络边界设备包括下列至少之一:
[0146]交换机、防火墙、路由器。
[0147]基于本发明的另一个方面,还提供了B11、一种网络边界设备访问控制策略的管控装置,所述装置适用于网络边界设备访问控制策略管控平台,所述平台与至少一台网络边界设备连接,所述装置包括:
[0148]第一获取模块,适于从至少一台网络边界设备中获取访问控制策略的条目;
[0149]第二获取模块,适于针对各网络边界设备,获取该网络边界设备所支持的访问控制策略的条目的设定标准;
[0150]监控模块,适于监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,根据监控结果对网络边界设备访问控制策略进行管控。
[0151]B12、根据Bll所述的装置,其中,所述监控模块还适于:
[0152]监控从各网络边界设备中所获取的访问控制策略的条目的数量是否超过该网络边界设备所能够承载的条目数量;或者
[0153]监控所述访问控制策略的访问权限内容,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作。
[0154]B13、根据B12所述的装置,其中,所述监控模块还适于:
[0155]当从各网络边界设备中所获取的访问控制策略的条目的内容存在冗余时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行合并操作。
[0156]B14、根据B12所述的装置,其中,所述监控模块还适于:
[0157]当从各网络边界设备中所获取的访问控制策略的条目的内容存在不当时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行删除操作。
[0158]B15、根据B12所述的装置,其中,还包括:
[0159]警报模块,监控从各网络边界设备中所获取的访问控制策略的条目的数量超过该网络边界设备所能够承载的条目数量,针对该网络边界设备发起报警消息。
[0160]B16、根据B11-B15任一项所述的装置,其中,所述监控模块还适于:
[0161]当所述网络边界设备中增加新的访问控制策略的条目时,触发监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准的操作。
[0162]B17、根据B11-B16任一项所述的装置,其中,还包括:
[0163]自适应模块,适于在所述网络边界设备访问控制策略管控平台中建立中间命令转化数据库;
[0164]从各网络边界设备获取不同类型的访问控制策略的条目时,利用中间命令转化数据库对各不同类型的访问控制策略的条目进行自适化处理,将其转化为相同类型。
[0165]B18、根据B17所述的装置,其中,所述自适应模块还适于:
[0166]由所述网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令时,根据所述中间命令转化数据库将所述操作命令转化为适应于对应网络边界设备的操作命令;
[0167]将转化后的操作命令发送至对应网络边界设备,由该网络边界设备执行。
[0168]B19、根据B18所述的装置,其中,所述装置还包括:
[0169]二次审核模块,适于触发二次审核机制,由所述网络边界设备访问控制策略管控平台生成的、针对各网络边界设备的操作命令发送至所述网络边界设备访问控制策略管控平台的第二重审核平台;
[0170]经所述第二重审核平台接收来自管理者的二次审核意见;
[0171]依据所述二次审核意见确定是否将转化后的操作命令发送至对应网络边界设备。
[0172]B20、根据B11-B19任一项所述的装置,其中,所述网络边界设备包括下列至少之
[0173]交换机、防火墙、路由器。
【主权项】
1.一种企业网络边界设备访问控制策略的管控方法,所述方法适用于网络边界设备访问控制策略管控平台,所述平台与至少一台网络边界设备连接,所述方法包括: 从至少一台网络边界设备中获取访问控制策略的条目; 针对各网络边界设备,获取该网络边界设备所支持的访问控制策略的条目的设定标准; 监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,根据监控结果对网络边界设备访问控制策略进行管控。2.根据权利要求1所述的方法,其中,监控从各网络边界设备中所获取的访问控制策略的条目是否满足该网络边界设备所支持的设定标准,包括: 监控从各网络边界设备中所获取的访问控制策略的条目的数量是否超过该网络边界设备所能够承载的条目数量;或者 监控所述访问控制策略的访问权限内容,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作。3.根据权利要求2所述的方法,其中,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作,包括: 当从各网络边界设备中所获取的访问控制策略的条目的内容存在冗余时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行合并操作。4.根据权利要求2所述的方法,其中,确定从各网络边界设备中所获取的访问控制策略的条目的内容是否能够根据内容进行整理操作,包括: 当从各网络边界设备中所获取的访问控制策略的条目的内容存在不当时,确定能够根据从各网络边界设备中所获取的访问控制策略的条目的内容对所述访问控制策略的条目进行删除操作。5.根据权利要求2所述的方法,其中,还包括: 监控从各网络边界设备中所获取的访问控制策略的条目的数量超过该网络边界设备所能够承载的条目数量,针对该网络边界设备发起报警消息。6.根据权利要求1-5任一项所述的方法,其中,监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,还包括: 当所述网络边界设备中增加新的访问控制策略的条目时,触发监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准的操作。7.根据权利要求1-6任一项所述的方法,其中,从至少一台网络边界设备中获取访问控制策略的条目,包括: 在所述网络边界设备访问控制策略管控平台中建立中间命令转化数据库; 从各网络边界设备获取不同类型的访问控制策略的条目时,利用中间命令转化数据库对各不同类型的访问控制策略的条目进行自适化处理,将其转化为相同类型。8.根据权利要求7所述的方法,其中,所述方法还包括: 由所述网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令时,根据所述中间命令转化数据库将所述操作命令转化为适应于对应网络边界设备的操作命令; 将转化后的操作命令发送至对应网络边界设备,由该网络边界设备执行。9.根据权利要求8所述的方法,其中,由所述网络边界设备访问控制策略管控平台生成针对各网络边界设备的操作命令之后,将转化后的操作命令发送至对应网络边界设备之前,所述方法还包括: 触发二次审核机制,由所述网络边界设备访问控制策略管控平台生成的、针对各网络边界设备的操作命令发送至所述网络边界设备访问控制策略管控平台的第二重审核平台;经所述第二重审核平台接收来自管理者的二次审核意见; 依据所述二次审核意见确定是否将转化后的操作命令发送至对应网络边界设备。10.—种网络边界设备访问控制策略的管控装置,所述装置适用于网络边界设备访问控制策略管控平台,所述平台与至少一台网络边界设备连接,所述装置包括: 第一获取模块,适于从至少一台网络边界设备中获取访问控制策略的条目; 第二获取模块,适于针对各网络边界设备,获取该网络边界设备所支持的访问控制策略的条目的设定标准; 监控模块,适于监控从各网络边界设备中所获取的访问控制策略的条目是否满足所述该网络边界设备所支持的设定标准,根据监控结果对网络边界设备访问控制策略进行管控。
【文档编号】H04L12/24GK105871908SQ201610371621
【公开日】2016年8月17日
【申请日】2016年5月30日
【发明人】张睿, 童文, 裴越峰, 江亚辉, 金迪颖, 刘小雄
【申请人】北京琵琶行科技有限公司