基于SD-WAN组网安全管理方法、系统、设备及介质与流程

本发明涉及网络安全的，尤其是涉及基于sd-wan组网安全管理方法、系统、设备及介质。

背景技术：

1、在高速互联网的发展下，万物互联、it上云成为了目前网络发展的趋势，企业传统的组网方式采用的是专线组网的方式，无法很好地适应互联网的高速发展环境，因此新网络技术sd-wan应运而生，成为企业创新和变更的重要趋势。

2、sd-wan技术，即软件定义的广域网，是将sdn技术应用到广域网场景中，在企业的局域网上部署一个中心控制服务器，将中心控制服务器与企业的多个设备进行互联，为企业提供了一个可控的企业组网，便于企业对网络设备的统一管理，但是，现有将sd-wan应用到企业组网构建中，实现将企业内所用网络设备互联起来，也将企业的外部网络与内部网络实现互联，同时使企业的网络安全风险增大，例如，企业的内网设备容易遭受外网的病毒攻击，企业的内部网络设备已经实现互联，网络病毒容易在企业内网传播，导致公司组网的网络信息安全传输风险增大，企业的网络安全性较差，因此，存在一定的改进空间。

技术实现思路

1、为了有效防止企业内部网络遭受病毒入侵，提高企业网络的安全性，本技术提供基于sd-wan组网安全管理方法、系统、设备及介质。

2、本技术的上述发明目的一是通过以下技术方案得以实现的：

3、一种基于sd-wan组网安全管理方法，应用于企业网络中的中心服务器，所述基于sd-wan组网安全管理方法包括步骤：

4、在预创建的中心服务器中设置网络安全知识库，将所述网络安全知识库与预设的cpe网关设备通信连接；

5、获取所述cpe网关设备采集的网络设备传输的信息数据，对所述信息数据进行解压分析以得到数据特征；

6、将所述数据特征输入至网络安全知识库进行安全识别，以判断所述信息数据是否为危险信息数据；

7、若所述信息数据为危险信息数据，基于所述数据特征获取数据来源地址信息，根据所述数据来源地址信息封锁对应的cpe网关设备；

8、基于所述危险信息数据触发生成安全报警指令，并将所述安全报警指令传输至监控终端。

9、通过采用上述技术方案，在企业网络结构中预先构建的中心服务器内设置一个网络安全知识库，并将该网络安全知识库与企业网络结构中每个cpe网关设备通信连接，通过网络安全知识库对cpe网关设备中的信息数据进行安全监测，企业网络中的设备在进行信息传输时，会先将信息传输至该设备对应的cpe网关设备内，对cpe网关设备内的信息数据进行解压分析，得到信息数据的数据特征，将数据特征输入至网络安全知识库中，进行安全识别，根据安全识别结果判断该信息数据是否为危险信息数据，当确认为危险信息数据后，根据该信息数据的数据特征获取到数据来源地址信息，将该危险信息数据的源头设备中的cpe网关设备进行封锁，能够防止与该cpe网关设备相互联的其他cpe网关设备受到感染，进而有效防止整个企业网络系统不受危险信息数据攻击，提高了企业网络的安全性，同时在识别出具有危险信息数据后，触发生成安全报警指令，并输出至监控终端，便于企业的网络安全管理部门第一时间掌握企业网络的安全情况，进而便于企业的网络安全管理部门做出保护措施，进一步提高企业网络的整体安全性。

10、本技术在一较佳示例中可以进一步配置为：所述在预创建的中心服务器中设置网络安全知识库，将所述网络安全知识库与预设的cpe网关设备通信连接，具体包括：

11、获取所述cpe网关设备发出的匹配指令，基于所述匹配指令生成cpe网关设备的配置信息；

12、将所述配置信息传输至cpe网关设备，根据所述配置信息构建所述网络安全知识库与cpe网关设备的通信隧道。

13、通过采用上述技术方案，在中心服务器内构建了网络安全知识库后，cpe网关设备发出与网络安全知识库进行连接的匹配指令，中心服务器接收到匹配指令后生成配置信息至cpe网关设备，实现自动配置cpe网关设备的配置信息，cpe网关设备根据配置信息后使其对应的网络设备自动与中心服务器的网络安全知识库通信连接起来，使企业的网络设备能够实现自动完成信息配置，零部署上线，减少了企业网络的建设周期，进而有效降低企业网络的建设成本。

14、本技术在一较佳示例中可以进一步配置为：所述将所述数据特征输入至网络安全知识库进行安全识别，以判断所述信息数据是否为危险信息数据，具体包括：

15、在所述网络安全知识库内获取危险信息数据信息，基于所述危险信息数据信息获取危险信息数据特征信息集；

16、将所述数据特征与危险信息数据特征信息集进行相似度比较，得到数据相似度值，基于所述数据相似度值确定数据危险度等级，判断所述数据危险度等级是否满足危险信息数据的范围，基于所述判断结果确定所述信息数据是否为危险信息数据。

17、通过采用上述技术方案，通过构建的网络安全知识库中获取危险信息数据信息情况，在危险信息数据信息中得到危险信息数据的特征信息集，将信息数据中的的数据特征与危险信息数据特征信息集进行相似度计算，得到一个数据相似度值，基于数据相似度值确定数据危险度的等级，其中数据危险度等级具体为安全、轻危险、中危险和严重危险四个等级，通过数据危险度的等级程度判断信息数据是否为危险信息数据，实现危险信息数据判断功能。

18、本技术在一较佳示例中可以进一步配置为：所述将所述数据特征输入至网络安全知识库进行安全识别，以判断所述信息数据是否为危险信息数据之后，还包括：

19、当所述信息数据并不是危险信息数据时，对所述信息数据进行加密处理，得到加密信息数据；

20、将所述加密信息数据传输至其他网络设备的cpe网关设备。

21、通过采用上述技术方案，当对信息数据进行检测过后，确认不是危险信息数据后，对待进行传输的信息数据进行加密处理，得到加密信息数据，在信息数据在不同网络设备传输之前对信息数据进行加密处理，能够有效防止企业网络的信息数据泄露，增强了企业网络安全运维能力。

22、本技术在一较佳示例中可以进一步配置为：所述当所述信息数据并不是危险信息数据时，对所述信息数据进行加密处理，得到加密信息数据，具体包括：

23、将所述信息数据拆分为n个数据包，在预设的密钥管理库内获取加密密钥，利用所述加密密钥对所述数据包进行加密封装得到n个加密数据包，n≥1，n为整数；

24、将所述加密数据包根据预设的加密排序算法进行乱序整理，得到加密信息数据。

25、通过采用上述技术方案，将待进行传输的信息数据拆分成n个数据包，根据预先构建的密钥管理库内获取到对该数据包进行加密处理的加密密钥，通过加密密钥对n个数据包进行加密封装，得到相对应的加密数据包，在利用预设的加密排序算法将n个加密数据包的排序打乱，基于乱序的n个数据包形成加密信息数据，实现对信息数据进行加密功能，进而能够使信息数据在企业网络内进行传输的时候防止信息泄露，提高企业网络的信息数据传输的安全性。

26、本技术在一较佳示例中可以进一步配置为：所述若所述信息数据为危险信息数据，基于所述数据特征获取数据来源地址信息，根据所述数据来源地址信息封锁对应的cpe网关设备之后，还包括：

27、将所述危险信息数据传输至信息数据销毁终端，对所述危险信息数据进行销毁丢弃；

28、基于所述危险信息数据获取危险类型信息，将所述危险类型信息发送至企业网络设备。

29、通过采用上述技术方案，在检测出信息数据为危险信息数据后，将该危险信息数据发送至信息数据销毁终端，通过信息数据销毁终端对危险信息数据进行销毁丢弃，能够有效防止危险信息数据在企业网络内进行传播，并通过发现的危险信息数据获取到该信息数据的危险类型信息，并将该危险类型信息发送至企业网络内的其他网络设备，有利于其他网络设备的防火墙更新记录该危险类型信息，能够有效防止其他网络设备遭受同类型的危险信息数据破环。

30、本技术的上述发明目的二是通过以下技术方案得以实现的：

31、一种基于sd-wan组网安全管理装置，所述基于sd-wan组网安全管理装置包括：

32、网络安全知识库模块，用于在预创建的中心服务器中设置网络安全知识库，将所述网络安全知识库与预设的cpe网关设备通信连接；

33、信息数据分析模块，用于获取所述cpe网关设备采集的网络设备传输的信息数据，对所述信息数据进行解压分析以得到数据特征；

34、危险信息数据判断模块，用于将所述数据特征输入至网络安全知识库进行安全识别，以判断所述信息数据是否为危险信息数据；

35、设备封锁模块，用于若所述信息数据为危险信息数据，基于所述数据特征获取数据来源地址信息，根据所述数据来源地址信息封锁对应的cpe网关设备；

36、安全报警模块，用于基于所述危险信息数据触发生成安全报警指令，并将所述安全报警指令传输至监控终端；

37、设备信息配置模块，用于获取所述cpe网关设备发出的匹配指令，基于所述匹配指令生成cpe网关设备的配置信息，将所述配置信息传输至cpe网关设备，根据所述配置信息构建所述网络安全知识库与cpe网关设备的通信隧道；

38、信息数据加密模块，用于当所述信息数据并不是危险信息数据时，对所述信息数据进行加密处理，得到加密信息数据，将所述加密信息数据传输至其他网络设备的cpe网关设备。

39、通过采用上述技术方案，在企业网络结构中预先构建的中心服务器内设置一个网络安全知识库，并将该网络安全知识库与企业网络结构中每个cpe网关设备通信连接，通过网络安全知识库对cpe网关设备中的信息数据进行安全监测，企业网络中的设备在进行信息传输时，会先将信息传输至该设备对应的cpe网关设备内，对cpe网关设备内的信息数据进行解压分析，得到信息数据的数据特征，将数据特征输入至网络安全知识库中，进行安全识别，根据安全识别结果判断该信息数据是否为危险信息数据，当确认为危险信息数据后，根据该信息数据的数据特征获取到数据来源地址信息，将该危险信息数据的源头设备中的cpe网关设备进行封锁，能够防止与该cpe网关设备相互联的其他cpe网关设备受到感染，进而有效防止整个企业网络系统不受危险信息数据攻击，提高了企业网络的安全性，同时在识别出具有危险信息数据后，触发生成安全报警指令，并输出至监控终端，便于企业的网络安全管理部门第一时间掌握企业网络的安全情况，进而便于企业的网络安全管理部门做出保护措施，进一步提高企业网络的整体安全性。

40、本技术的上述目的三是通过以下技术方案得以实现的：

41、一种计算机设备，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述基于sd-wan组网安全管理方法的步骤。

42、本技术的上述目的四是通过以下技术方案得以实现的：

43、一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述基于sd-wan组网安全管理方法的步骤。

44、综上所述，本技术包括以下至少一种有益技术效果：

45、1、在企业网络结构中预先构建的中心服务器内设置一个网络安全知识库，并将该网络安全知识库与企业网络结构中每个cpe网关设备通信连接，通过网络安全知识库对cpe网关设备中的信息数据进行安全监测，有效防止整个企业网络系统不受危险信息数据攻击，提高了企业网络的安全性，同时在识别出具有危险信息数据后，触发生成安全报警指令，并输出至监控终端，便于企业的网络安全管理部门第一时间掌握企业网络的安全情况，进而便于企业的网络安全管理部门做出保护措施，进一步提高企业网络的整体安全性；

46、2、在中心服务器内构建了网络安全知识库后，cpe网关设备发出与网络安全知识库进行连接的匹配指令，中心服务器接收到匹配指令后生成配置信息至cpe网关设备，实现自动配置cpe网关设备的配置信息，cpe网关设备根据配置信息后使其对应的网络设备自动与中心服务器的网络安全知识库通信连接起来，使企业的网络设备能够实现自动完成信息配置，零部署上线，减少了企业网络的建设周期，进而有效降低企业网络的建设成本；

47、3、当对信息数据进行检测过后，确认不是危险信息数据后，对待进行传输的信息数据进行加密处理，得到加密信息数据，在信息数据在不同网络设备传输之前对信息数据进行加密处理，能够有效防止企业网络的信息数据泄露，增强了企业网络安全运维能力；

48、4、在检测出信息数据为危险信息数据后，将该危险信息数据发送至信息数据销毁终端，通过信息数据销毁终端对危险信息数据进行销毁丢弃，能够有效防止危险信息数据在企业网络内进行传播，并通过发现的危险信息数据获取到该信息数据的危险类型信息，并将该危险类型信息发送至企业网络内的其他网络设备，有利于其他网络设备的防火墙更新记录该危险类型信息，能够有效防止其他网络设备遭受同类型的危险信息数据破环。