专利名称:一种网络安全组的访问控制方法和安全计算机的制作方法
技术领域:
本发明属于信息安全领域,尤其涉及一种安全组的访问控制方法和安全计算机。
背景技术:
在云计算的基础服务(IaaS)中,可以动态地加入和删除虚拟机实例,这样在安全性方面,给防火墙的配置和更改带来了极大的管理复杂性和效率方面的影响。并且,传统的防火墙方法是不够达到电信级的可靠性和精细化运营的目标的,为此Amazon提出了网络安全组(Security Group, SG)的概念,网络安全组为虚拟机定义了防火墙规则,这些规则确定了哪些网络流量可以进入虚拟机,同时新的防火墙规则可以动态的添加到网络安全组中,以增强正在运行中的虚拟机或将来启动的虚拟机的安全性。请参阅图1,是现有技术提供的网络安全组在云计算中的实际运用的示意图。其中包括3个网络安全组,分别为:web server group (网页服务器组)、app server group (第三方应用程序服务器组)和db server group (数据库服务器组)。其中web server group中均为web server (网页服务器),app server group均为app server (第三方应用程序服务器),db server group中均为db server (数据库服务器)。上述网络安全组之间的访问控制方法如下:开放web server 的 tcp80 端口给所有 IP (0.0.0.0);app server 允许 web server 发起的访问,db server 允许 app server 发起的访问。而要实现上述网络安全组之间的如上访问控制,则需要预先设置上述网络安全组之间的上述访问控制规则。其中访问控制规则包括组间访问控制和IP授权控制。其中组间访问控制包括访问、被访和互访。其中访问是指网络安全组访问其他网络安全组的权限,被访是指其他网络安全组访问该网络安全组的权限,互访是指两个或以上网络安全组之间相互访问的权限。现有技术提供了一种网络安全组之间的访问控制方法,简述如下:当需要为一个网络安全组(如SGl)添加一个组间访问控制时,要先从网络安全组列表中逐个的查找到该网络安全组SG1,然后输入对方网络安全组的用户标识(用户ID),并输入对方网络安全组的标识(如SG2),这样才能建立网络安全组SG2对网络安全组SGl的组间访问控制关系。这种访问控制方法无法从全局概览各网络安全组间之间的访问关系,而且这种方法只能以某网络安全组为中心,添加其他网络安全组访问该网络安全组的规则,当存在大量网络安全组和大量组间访问规则时,单向操作配置效率低,无法快速建立各网络安全组之间的互访关系。如SGl和SG2要建立互访关系,则需要先站在SGl的角度,把SG2添加进来,然后重新站在SG2的角度,把SGl添加进来。这种网络安全组的访问控制方法将严重影响网络安全组之间的访问控制效率
发明内容
本发明实施例提供一种网络安全组的访问控制方法和装置,旨在解决网络安全组的访问控制效率低的问题。第一方面,提供了一种网络安全组的访问控制方法,所述方法包括:在同一人机交互界面中显示系统中的所有网络安全组;检测用户在该人机交互界面中的鼠标拖动操作;建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。在第一方面的第一种可能的实现方式中,所述建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系具体包括:跟随所述鼠标拖动操作生成连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形。结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形包括带箭头的连接线,所述带箭头的连接线包括单箭头连接线和双箭头连接线,所述单箭头连接线表示网络安全组之间的访问或者被访关系,所述双箭头连接线表示网络安全组之间的互访关系。在第一方面的第三种可能的实现方式中,所述建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系具体包括:确定所述鼠标拖动操作的起始位置对应的网络安全组的网段;在所述鼠标拖动操作的结束位置对应的网络安全组中的每个虚拟机中增加允许所述鼠标拖动操作的起始位置对应的网络安全组的网段访问所述虚拟机的规则。在第一方面的第四种可能的实现方式中,所述方法还包括:采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系。结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,所述采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系具体包括:在拓扑图中,用网络安全组的唯一标识和连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形来展示网络安全组之间的访问控制关系,对存在交叉访问控制关系的多个网络安全组以簇的方式聚集。在第一方面的第六种可能的实现方式中,在所述检测用户在该人机交互界面中的鼠标拖动操作之前,所述方法还包括:创建或者选择网络安全组;过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组。在第一方面的第七种可能的实现方式中,所述方法还包括:接收用户通过人机交互界面输入的访问控制关系的删除指令,依据该删除指令,删除该删除指令指定的网络安全组之间的访问控制关系;其中用户输入通过人机交互界面输入的访问控制关系的删除指令的方式为:用户选择拓扑图中的用于标识网络安全组之间的访问、被访或者互访关系的图形上点击右键来输入访问控制关系的删除指令,所述访问控制关系的删除指令指定的网络安全组即为所述用于标识网络安全组之间的访问、被访或者互访关系的图形连接的网络安全组。
在第一方面的第八种可能的实现方式中,所述方法还包括:接收用户针对选择的网络安全组输入的IP授权访问添加指令,所述IP授权访问添加指令包括IP范围,起始端口和结束端口 ;为选择的网络安全组中的每个虚拟机增加允许所述IP范围内的起始端口和结束端口内的网段访问所述虚拟机的规则。第二方面,提供一种安全计算机,所述装置包括:安全组显示单元,用于在同一人机交互界面中显示系统中的所有网络安全组;操作检测单元,用于检测用户在该人机交互界面中的鼠标拖动操作;访问控制单元,用于建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。在第二方面的第一种可能的实现方式中,所述访问控制单元具体用于跟随所述鼠标拖动操作生成连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形。在第二方面的第二种可能的实现方式中,所述访问控制单元包括:网段获取模块,用于确定所述鼠标拖动操作的起始位置对应的网络安全组的网段;规则添加模块,用于在所述鼠标拖动操作的结束位置对应的网络安全组中的每个虚拟机中增加允许所述鼠标拖动操作的起始位置对应的网络安全组的网段访问所述虚拟机的规则。在第二方面的第三种可能的实现方式中,所述装置还包括:拓扑展示单元,用于采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系。在第二方面的第四种可能的实现方式中,所述拓扑展示单元具体用于在拓扑图中,用网络安全组的唯一标识和连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形来展示网络安全组之间的访问控制关系,对存在交叉访问控制关系的多个网络安全组以簇的方式聚集。在第二方面的第五种可能的实现方式中,所述装置还包括:安全组创建单元,用于接收安全组创建指令,依据所述安全组创建指令创建新的网络安全组;安全组过滤单元,用于过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组。在第二方面的第六种可能的实现方式中,所述装置还包括:安全组创建单元,用于接收安全组创建指令,依据所述安全组创建指令创建新的网络安全组;安全组过滤单元,用于过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组。在第二方面的第七种可能的实现方式中,所述装置还包括:IP授权单元,用于接收用户针对选择的网络安全组输入的IP授权访问添加指令,所述IP授权访问添加指令包括IP范围,起始端口和结束端口,为选择的网络安全组中的每个虚拟机增加允许所述IP范围内的起始端口和结束端口内的网段访问所述虚拟机的规则。在本发明实施例中,通过在同一人机交互界面中输出系统中的所有网络安全组,检测用户在该人机交互界面中的鼠标拖动操作,建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系,并为建立的网络安全组之间的访问关系添加IP授权访问,从而使得用户可以从全局出发,快速、准确、高效的建立各网络安全组之间的访问控制关系,提高了网络安全组之间的访问控制效率。
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是现有技术提供的网络安全组在云计算中的实际运用的示意图;图2是本发明实施例提供的网络安全组的访问控制方法的实现流程图;图3是本发明实施例提供的跟随该鼠标拖动操作生成的用于指示用户建立的网络安全组之间的访问关系的示意图;图4是本发明实施例提供的为建立的网络安全组之间的访问关系添加IP授权访问的示意图;图5是本发明另一实施例提供的网络安全组的访问控制方法的实现流程图;图6是本发明实施例提供的通过拓扑图的方式展示系统中各网络安全组之间的访问控制关系的示意图;图7是本发明实施例提供的通过安全组列表窗显示所有网络安全组的详细信息的示例图;图8是本发明实施例提供的安全计算机的结构框图;图9是本发明实施例提供的安全计算机的硬件结构图。
具体实施例方式为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。在本发明实施例中,在同一人机交互界面中输出系统中的所有网络安全组,检测用户在该人机交互界面中的鼠标拖动操作,建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系,从而使得用户可以从全局出发,快速、准确、高效的建立各网络安全组之间的访问控制关系,提高了网络安全组之间的访问控制效率。为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。图2示出了本发明实施例提供的网络安全组的访问控制方法的实现流程,详述如下:S201,在同一人机交互界面中显示系统中的所有网络安全组。在本实施例中,通过在同一人机交互界面中显示系统中的所有网络安全组,从而用户可以从全局查看系统中的所有安全组。在显示所有网络安全组时,可以显示该网络安全组的名称、唯一标识或者图标等能唯一标识各网络安全组的信息。S202,检测用户在该人机交互界面中的鼠标拖动操作,建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。在本实施例中,在同一人机交互界面中显示系统中的所有网络安全组后,如果用户需要建立各网络安全组之间的访问控制关系,则用户可以通过鼠标拖动的方式进行。具体过程如下:用户用鼠标点击该人机交互界面中的一个网络安全组SGl后,向需要与该网络安全组建立访问控制关系的另一网络安全组SG2拖动鼠标,在鼠标到达SG2时,松开鼠标,此时,检测用户在人机交互界面中的从网络安全组SGl到网络安全组SG2的鼠标拖动操作,确定该鼠标拖动操作的起始位置对应的网络安全组,即为SG1,以及该鼠标拖动操作的结束位置对应的网络安全组,即为SG2。在确定好用户在人机交互界面的鼠标拖动操作的起始位置对应的网络安全组和鼠标拖动操作的结束位置对应的网络安全组后,即可建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系,即建立该鼠标拖动操作的起始位置对应的网络安全组可以访问结束位置对应的网络安全组。而为了使用户可以直观的看到建立的该访问控制关系,可以跟随该鼠标拖动操作生成连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形。其中连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形包括但不限于带箭头的连接线。其中带箭头的连接线包括单箭头连接线和双箭头连接线。其中单箭头连接线表示网络安全组之间的访问或者被访关系。双箭头连接线表示网络安全组之间的互访关系。如生成连接该鼠标拖动操作的起始位置对应的网络安全组和结束位置对应的网络安全组之间的带箭头的连线,且箭头指向该鼠标拖动操作的结束位置对应的网络安全组,从而用于指示用户建立的该访问关系为该鼠标拖动操作的起始位置对应的网络安全组可以访问结束位置对应的网络安全组。请参阅图3,为本发明实施例提供的跟随该鼠标拖动操作生成的用于指示用户建立的网络安全组之间的访问控制关系的示意图,但不以该示意图为限。在图3中,用户通过点击网络安全组SG6并拖动鼠标至网络安全组SG3后松开鼠标,即可建立网络安全组SG6访问网络安全组SG3的访问关系;通过先点击网络安全组SG3并拖动鼠标至网络安全组SG4后松开鼠标,再点击网络安全组SG4并拖动鼠标至网络安全组SG3后松开鼠标,即可建立网络安全组SG3和网络安全组SG4之间互访关系。其中建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系的具体过程如下:
Al、确定该鼠标拖动操作的起始位置对应的网络安全组的网段;A2、在该鼠标拖动操作的结束位置对应的网络安全组中的每个虚拟机中增加允许该鼠标拖动操作的起始位置对应的网络安全组的网段访问该虚拟机的规则。在本实施例中,通过在同一人机交互界面中输出系统中的所有网络安全组,并检测用户在该人机交互界面中的鼠标拖动操作,即可使得用户可以从全局出发,即使在存在大量网络安全组的情况下,也可以快速、准确、高效的建立各网络安全组之间的访问控制关系,包括访问、被访和/或互访控制关系,提高了网络安全组之间的访问控制效率。在本发明另一实施例中,该方法还包括下述步骤:为网络安全组添加IP授权访问。为网络安全组添加IP授权访问的具体过程如下:B1、选择需要添加IP授权访问的网络安全组。B2、接收用户针对选择的网络安全组输入的IP授权访问添加指令。其中IP授权访问添加指令中包括IP范围,还包括传输层协议、起始端口和结束端口等。其中IP范围是指可允许访问的IP地址的范围。起始端口和结束端口是指可允许访问的IP地址范围内的可允许访问的端口范围。其中用户输入IP授权访问添加指令的具体方式可以采用现有技术提供的任意一种方式。B3、为用户选择的网络完全组中的每个虚拟机中增加允许该IP范围内的起始端口和结束端口内的网段访问该虚拟机的规则。请参阅图4,为本发明实施例提供的为网络安全组添加IP授权访问的示意图,但不以该示意图为限。图5示出了本发明另一实施例提供的网络安全组的访问控制方法的实现流程,其中S501至S502与图2所示的S201至S202相同,在此不再赘述,本实施例还包括下述步骤,详述如下:S503、采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系。其中采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系的具体过程如下:在拓扑图中,用网络安全组的唯一标识和连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形等来展示网络安全组之间的访问控制关系,对存在交叉访问控制关系的多个网络安全组以簇的方式聚集。其中网络安全组的唯一标识能唯一标识各网络安全组,该网络安全组的唯一标识包括但不限于网络安全组的名称、图标、标识等,也可以为网络安全组的名称、图标、标识的任意组合。其中可标识网络安全组之间的访问、被访或者互访关系的标识包括但不限于带箭头的连接线等。其中带箭头的连接线包括单箭头连接线和双箭头连接线。其中单箭头连接线用于表示网络安全组之间的访问或者被访关系,箭头指向的网络安全组为被访的网络安全组。双箭头连接线用于表示网络安全组之间的互访关系。请参阅图6,为本发明实施例提供的通过拓扑图的方式展示系统中各网络安全组之间的访问控制关系的示意图,但不以该示意图为限。通过图6,用户可以直观的看到系统中各网络安全组之间的访问控制关系,且通过对存在交叉访问控制关系的多个网络安全组以簇的方式聚集,从而用户可以更为直观的看到多个网络安全组之间的访问控制关系。在本实施例中,通过采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系,并对存在交叉访问控制关系的多个网络安全组以簇的方式聚集,从而使得用户可以从全局直观的获知系统中各网络安全组之间的访问控制关系。在本发明另一实施中,为了使用户更为方便的查看网络安全组之间的访问控制关系,该方法还包括下述步骤:通过设置于该人机交互界面中的切换开关接收切换指令,依据该切换指令显示所有网络安全组之间的访问控制关系,或者显示选中网络安全组的访问控制关系。为了便于理解,举例说明如下:当该切换指令指示显示所有网络安全组之间的访问控制关系时,则通过该人机交互界面以拓扑图的方式输出系统中存在的所有网络安全组之间的访问控制关系,以便用户从全局查看整个系统中的网络安全组之间的访问控制关系;当该切换指令指示显示选中网络安全组的访问控制关系时,则通过该人机交互界面以拓扑图的方式输出系统中存在的选中网络安全组的访问控制关系(其中包括该网络安全组的访问、被访和互访的访问控制关系),以便用户可以单独查看其重点关注的网络安全组的访问控制关系。在本发明另一实施例中,为了便于用户查看网络安全组的更详细的信息,该方法还包括下述步骤:通过设置于该人机交互界面中的安全组列表窗接收安全组详情显示指令,依据该安全组详情显示指令通过安全组列表窗显示系统中存在的所有网络安全组的详细信息。其中网络安全组的详细信息包括但不限于网络安全组的标识、网络安全组的所属用户等。请参阅图7,为本发明实施例提供的通过安全组列表窗显示所有网络安全组的详细信息的示例图,但不以该示例图为限。在本发明另一实施例中,在检测用户在该人机交互界面中的鼠标拖动操作之前,该方法还包括下述步骤:Cl、创建或者选择网络安全组。其中创建网络安全组的具体过程可以如下:用户在用于输出网络安全组的人机交互界面中通过点击右键的方式发出创建指令,在接收到该创建指令后,输出网络安全组创建窗口,通过该网络安全组创建窗口接收用户输入的待创建的网络安全组的配置信息,并依据该配置信息创建一个新的网络安全组。其中选择网络安全组的具体方式可以为通过左键点击输出的网络安全组,即可选择该网络安全组。C2、过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组。其中过滤条件包括但不限于网络安全组的所属用户等,或者用户预先自定义的其他过滤条件,如:其中过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组的具体过程如下:当过滤条件为网络安全组的所属用户时,则获取创建或者选择的网络安全组的所属用户,过滤出所属用户为创建或者选择的网络安全组的所属用户的其他网络安全组。在本发明另一实施例中,也可以按照所属用户对网络安全组进行排序显示,以便于用户选择网络完全组。在本实施例中,可以根据需要随时创建新的网络安全组,当需要建立用户选择的已创建的网络安全组与其他安全组之间的访问控制关系时,为了避免用户从大量网络安全组中进行选择,可以先自定义过滤条件,再依据该过滤条件过滤出需要与用户选择的网络安全组建立访问控制关系的网络安全组,这样,可以减少用户在创建网络安全组之间的访问控制关系时的操作复杂性,并降低创建网络安全组之间的访问控制关系时的时耗。在本发明另一实施例中,该方法还包括下述步骤:接收用户通过人机交互界面输入的访问控制关系的删除指令,依据该删除指令,删除该删除指令指定的网络安全组之间的访问控制关系。其中用户输入通过人机交互界面输入的访问控制关系的删除指令的方式如下:用户选择拓扑图中的用于标识网络安全组之间的访问、被访或者互访关系的图形上点击右键来输入访问控制关系的删除指令,该访问控制关系的删除指令指定的网络安全组即为该用于标识网络安全组之间的访问、被访或者互访关系的图形连接的网络安全组。当用于标识网络安全组之间的访问、被访或者互访关系的图形为带箭头的连线时,则用户在带箭头的连线上点击右键输入删除指令,即可删除该带箭头的连线连接的网络安全组之间的访问控制关系。可以理解,用户输入访问控制关系的删除指令的方式不以上述举例说明为限,还可以为其他很多种方式,如可以在人机交互界面中设置一删除按钮,用户选择用于标识网络安全组之间的访问、被访或者互访关系的图形后,点击该删除按钮,即可输入访问控制关系的删除指令。其中,依据该删除指令,删除该删除指令指定的网络安全组之间的访问控制关系的具体过程举例说明如下:假设需要删除的是网络安全组SGl可访问网络安全组SG2的访问控制关系时,则用户在拓扑图中选择从SGl指向SG2的箭头,以输入访问控制关系的删除指令,在检测到用户输入的访问控制关系的删除指令后,在网络安全组SG2中的每个虚拟机中删除允许网络安全组SGl的网段访问该虚拟机的规则,同时在拓扑图中删除从SGl指向SG2的箭头。在本实施例中,通过在拓扑图中选择用于标识网络安全组之间的访问、被访或者互访关系的图形的方式输入删除指令,即可快速、准确、高效的对已建立的网络安全组之间的访问控制关系进行删除,便捷的调整现有的网络安全组之间的访问控制关系,从而可以极大的提高工作效率。图8示出了本发明实施例提供的安全计算机的结构,为了便于说明仅示出了与本发明实施例相关的部分。该安全计算机可以用于云计算服务器,可以是运行于云计算服务器内的软件单元、硬件单元或者软硬件相结合的单元,也可以作为独立的挂件集成到云计算服务器中或者运行于云计算服务器的应用系统中,其中:安全组显示单元I在同一人机交互界面中显示系统中的所有网络安全组。在显示所有网络安全组时,可以显示该网络安全组的名称、唯一标识或者图标等能用于唯一标识各网络安全组的信息。操作检测单元2检测用户在该人机交互界面中的鼠标拖动操作。访问控制单元3建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。在本实施例中,为了使用户可以直观的看到建立的该访问控制关系,访问控制单元3具体用于跟随该鼠标拖动操作生成连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形。其中连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形包括但不限于带箭头的连线。带箭头的连接线包括单箭头连接线和双箭头连接线,所述单箭头连接线表示网络安全组之间的访问或者被访关系,所述双箭头连接线表示网络安全组之间的互访关系。其中访问控制单元3包括网段获取模块31和规则添加模块32。其中:网段获取模块31确定该鼠标拖动操作的起始位置对应的网络安全组的网段。规则添加模块32在该鼠标拖动操作的结束位置对应的网络安全组中的每个虚拟机增加允许该鼠标拖动操作的起始位置对应的网络安全组的网段访问该虚拟机的规则。在本发明另一实施例中,该装置还包括IP授权单元4。该IP授权单元4为网络安全组添加IP授权访问。该IP授权单元4具体用于接收用户针对选择的网络安全组输入的IP授权访问添加指令,所述IP授权访问添加指令包括IP范围,起始端口和结束端口,为选择的网络安全组中的每个虚拟机增加允许所述IP范围内的起始端口和结束端口内的网段访问所述虚拟机的规则。在本发明另一实施例中,该装置还包括拓扑展示单元5。该拓扑展示单元5采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系。该拓扑展示单元5具体用于在拓扑图中,用网络安全组的唯一标识和连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形等来展示网络安全组之间的访问控制关系,对存在交叉访问控制关系的多个网络安全组以簇的方式聚集。其中网络安全组的唯一标识能唯一标识各网络安全组,该网络安全组的唯一标识包括但不限于网络安全组的名称、图标、标识等,也可以为网络安全组的名称、图标、标识的任意组合。其中连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的标识包括但不限于带箭头的连接线等。其中带箭头的连接线包括单箭头连接线和双箭头连接线。其中单箭头连接线用于表示网络安全组之间的访问或者被访关系,箭头指向的网络安全组为被访的网络安全组。双箭头连接线用于表示网络安全组之间的互访关系。在本发明另一实施中,为了使用户更为方便的查看网络安全组之间的访问控制关系,该装置还包括展示切换单元6。该展示切换单元6通过设置于该人机交互界面中的切换开关接收切换指令,依据该切换指令显示所有网络安全组之间的访问控制关系,或者显示选中网络安全组的访问控制关系。当该切换指令指示显示所有网络安全组之间的访问控制关系时,则通过该人机交互界面以拓扑图的方式输出系统中存在的所有网络安全组之间的访问控制关系,以便用户从全局查看整个系统中的网络安全组之间的访问控制关系;
当该切换指令指示显示选中网络安全组的访问控制关系时,则通过该人机交互界面以拓扑图的方式输出系统中存在的选中网络安全组的访问控制关系(其中包括该网络安全组的访问、被访和互访的访问控制关系),以便用户可以单独查看其重点关注的网络安全组的访问控制关系。在本发明另一实施例中,为了便于用户查看网络安全组的更详细的信息,该装置还包括详情显示单元7。该详情显示单元7通过设置于该人机交互界面中的安全组列表窗接收安全组详情显示指令,依据该安全组详情显示指令通过安全组列表窗显示系统中存在的所有网络安全组的详细信息。其中网络安全组的详细信息包括但不限于网络安全组的标识、网络安全组的所属用户等。在本发明另一实施例中,该装置还包括安全组创建单元8和安全组过滤单元9。其中:安全组创建单元8接收安全组创建指令,依据安全组创建指令创建新的网络安全组。其中创建网络安全组的具体过程可以如下:用户在用于输出网络安全组的人机交互界面中通过点击右键的方式发出创建指令,在接收到该创建指令后,输出网络安全组创建窗口,通过该网络安全组创建窗口接收用户输入的待创建的网络安全组的配置信息,并依据该配置信息创建一个新的网络安全组。安全组过滤单元9过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组。其中过滤条件包括但不限于网络安全组的所属用户等,或者用户预先自定义的其他过滤条件。其中过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组的具体过程如下:当过滤条件为网络安全组的所属用户时,则获取创建或者选择的网络安全组的所属用户,过滤出所属用户为创建或者选择的网络安全组的所属用户的其他网络安全组。在本发明另一实施例中,该装置还包括访问关系删除单元10接收用户通过人机交互界面输入的访问控制关系的删除指令,依据该删除指令,删除该删除指令指定的网络安全组之间的访问控制关系。其中用户输入通过人机交互界面输入的访问控制关系的删除指令的方式如下:用户选择拓扑图中的用于标识网络安全组之间的访问、被访或者互访关系的图形上点击右键来输入访问控制关系的删除指令,该访问控制关系的删除指令指定的网络安全组即为该用于标识网络安全组之间的访问、被访或者互访关系的图形连接的网络安全组。当用于标识网络安全组之间的访问、被访或者互访关系的图形为带箭头的连线时,则用户在带箭头的连线上点击右键输入删除指令,即可删除该带箭头的连线连接的网络安全组之间的访问控制关系。可以理解,用户输入访问控制关系的删除指令的方式不以上述举例说明为限,还可以为其他很多种方式,如可以在人机交互界面中设置一删除按钮,用户选择用于标识网络安全组之间的访问、被访或者互访关系的图形后,点击该删除按钮,即可输入访问控制关系的删除指令。上述实施例中描述的功能单元或者模块可以用来实施上述图2-图7的方法。值得注意的是,上述装置所包括的各个单元只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。本领域普通技术人员可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以在存储于一计算机可读取存储介质中,所述的存储介质,如R0M/RAM、磁盘、光盘等。请参考图9,本发明实施例提供了一种安全计算机700的示意图。安全计算机700可能是包含计算能力的主机服务器,或者是个人计算机PC,或者是可携带的便携式计算机或终端等等,本发明具体实施例并不对计算节点的具体实现做限定。安全计算机700包括:处理器(processor)710,存储器(memory) 720,总线 730。处理器710,存储器720通过总线730完成相互间的通信。处理器710,用于执行程序722。具体地,程序722可以包括程序代码,所述程序代码包括计算机操作指令。处理器710可能是一个中央处理器CPU,或者是特定集成电路ASIC (ApplicationSpecific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。存储器700,用于存放程序722。存储器720可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。程序722具体可以包括:安全组显示单元1,用于在同一人机交互界面中显示系统中的所有网络安全组;操作检测单元2,用于检测用户在所述人机交互界面中的鼠标拖动操作;访问控制单元3,用于建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系。程序722中各单元的具体实现参见图8所示实施例中的相应单元,在此不赘述。在本发明实施例中,在同一人机交互界面中输出系统中的所有网络安全组,检测用户在该人机交互界面中的鼠标拖动操作,建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系,并为建立的网络安全组之间的访问关系添加IP授权访问,从而使得用户可以从全局出发,快速、准确、高效的建立各网络安全组之间的访问控制关系,提高了网络安全组之间的访问控制效率。通过采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系,并对存在交叉访问控制关系的多个网络安全组以簇的方式聚集,从而使得用户可以从全局直观的获知系统中各网络安全组之间的访问控制关系。通过依据过滤条件过滤出需要与用户选择或者创建的网络安全组之间建立访问控制关系的网络安全组,从而可以减少用户在创建网络安全组之间的访问控制关系时的操作复杂性,并降低创建网络安全组之间的访问控制关系时的时耗。通过在拓扑图中选择用于标识网络安全组之间的访问、被访或者互访关系的图形的方式输入删除指令,即可快速、准确、高效的对已建立的网络安全组之间的访问控制关系进行删除,便捷的调整现有的网络安全组之间的访问控制关系,从而可以极大的提高工作效率。以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种网络安全组的访问控制方法,其特征在于,所述方法包括: 在同一人机交互界面中显示系统中的所有网络安全组; 检测用户在所述人机交互界面中的鼠标拖动操作; 建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。
2.如权利要求1所述的网络安全组的访问控制方法,其特征在于,所述建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系具体包括: 跟随所述鼠标拖动操作生成连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形。
3.如权利要求2所述网络安全组的访问控制方法,其特征在于,所述连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形包括带箭头的连接线,所述带箭头的连接线包括单箭头连接线和双箭头连接线,所述单箭头连接线表示网络安全组之间的访问或者被访关系,所述双箭头连接线表示网络安全组之间的互访关系。
4.如权利要求1所述的网络安全组的访问控制方法,其特征在于,所述建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系具体包括: 确定所述鼠标拖动操作的起始位置对应的网络安全组的网段; 在所述鼠标拖动操作的结束位置对应的网络安全组中的每个虚拟机中增加允许所述鼠标拖动操作的起始位置对应的网络安全组的网段访问所述虚拟机的规则。
5.如权利要求1所述的网络安全组的访问控制方法,其特征在于,所述方法还包括: 采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系。
6.如权利要求5所述的网络安全组的访问控制方法,其特征在于,所述采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系具体包括: 在拓扑图中,用网络安全组的唯一标识和连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形来展示网络安全组之间的访问控制关系,对存在交叉访问控制关系的多个网络安全组以簇的方式聚集。
7.如权利要求1所述的网络安全组的访问控制方法,其特征在于,在所述检测用户在该人机交互界面中的鼠标拖动操作之前,所述方法还包括: 创建或者选择网络安全组; 过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组。
8.如权利要求1所述的网络安全组的访问控制方法,其特征在于,所述方法还包括: 接收用户通过人机交互界面输入的访问控制关系的删除指令,依据该删除指令,删除该删除指令指定的网络安全组之间的访问控制关系; 其中用户输入通过人机交互界面输入的访问控制关系的删除指令的方式为:用户选择拓扑图中的用于标识网络安全组之间的访问、被访或者互访关系的图形上点击右键来输入访问控制关系的删除指令,所述访问控制关系的删除指令指定的网络安全组即为所述用于标识网络安全组之间的访问、被访或者互访关系的图形连接的网络安全组。
9.如权利要求1所述的方法,其特征在于,所述方法还包括:接收用户针对选择的网络安全组输入的IP授权访问添加指令,所述IP授权访问添加指令包括IP范围,起始端口和结束端口 ; 为选择的网络安全组中的每个虚拟机增加允许所述IP范围内的起始端口和结束端口内的网段访问所述虚拟机的规则。
10.一种安全计算机,其特征在于,所述装置包括: 安全组显示单元,用于在同一人机交互界面中显示系统中的所有网络安全组; 操作检测单元,用于检测用户在所述人机交互界面中的鼠标拖动操作; 访问控制单元,用于建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。
11.如权利要求10所述的安全计算机,其特征在于,所述访问控制单元具体用于跟随所述鼠标拖动操作生成连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形。
12.如权利要求10所述的安全计算机,其特征在于,所述访问控制单元包括: 网段获取模块,用于确定所述鼠标拖动操作的起始位置对应的网络安全组的网段; 规则添加模块,用于在所述鼠标拖动操作的结束位置对应的网络安全组中的每个虚拟机中增加允许所述鼠标拖动操作的起始位置对应的网络安全组的网段访问所述虚拟机的规则。
13.如权利要求10所述的安全计算机,其特征在于,所述装置还包括: 拓扑展示单元,用于采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系。
14.如权利要求13所述的安全计算机,其特征在于,所述拓扑展示单元具体用于在拓扑图中,用网络安全组的唯一标识和连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形来展示网络安全组之间的访问控制关系,对存在交叉访问控制关系的多个网络安全组以簇的方式聚集。
15.如权利要求10所述的安全计算机,其特征在于,所述装置还包括: 安全组创建单元,用于接收安全组创建指令,依据所述安全组创建指令创建新的网络安全组; 安全组过滤单元,用于过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组。
16.如权利要求10所述的安全计算机,其特征在于,所述装置还包括: 访问关系删除单元,用于接收用户通过人机交互界面输入的访问控制关系的删除指令,依据该删除指令,删除该删除指令指定的网络安全组之间的访问控制关系; 其中用户输入通过人机交互界面输入的访问控制关系的删除指令的方式为:用户选择拓扑图中的用于标识网络安全组之间的访问、被访或者互访关系的图形上点击右键来输入访问控制关系的删除指令,所述访问控制关系的删除指令指定的网络安全组即为所述用于标识网络安全组之间的访问、被访或者互访关系的图形连接的网络安全组。
17.如权利要求10所述的安全计算机,其特征在于,所述装置还包括: IP授权单元,用于接收用户针对选择的网络安全组输入的IP授权访问添加指令,所述IP授权访问添加指令包括IP范围,起始端口和结束端口,为选择的网络安全组中的每个虚拟机增加允许所 述IP范围内的起始端口和结束端口内的网段访问所述虚拟机的规则。
全文摘要
本发明适用于信息安全领域,提供了一种网络安全组的访问控制方法和装置,该方法包括在同一人机交互界面中显示系统中的所有网络安全组;检测用户在该人机交互界面中的鼠标拖动操作;建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系。本发明提供的网络安全组的访问控制方法可以使用户可以从全局出发,快速、准确、高效的建立各网络安全组之间的访问控制关系,提高了网络安全组之间的访问控制效率。
文档编号G06F21/36GK103164647SQ20131006639
公开日2013年6月19日 申请日期2013年2月28日 优先权日2013年2月28日
发明者潘健敏, 李礼 申请人:华为技术有限公司