本发明专利技术提供了一种企业网络边界设备拓扑结构的可视化方法及装置,该方法包括:获取企业网络的至少一个网络边界设备的访问控制列表ACL信息;根据获取到的网络边界设备的ACL信息,确定网络边界设备的数据包过滤规则,数据包过滤规则允许或拒绝特定的数据包通过;根据数据包过滤规则确定网络边界设备的连通路径,对网络边界设备的连通路径进行可视化展示,生成企业网络边界设备拓扑结构图。本发明专利技术实施例可以提高各网络边界设备的安全性,使得任意设备间的拓扑关系的变化可以被及时获知,有助于网络管理员实时掌控企业网络边界设备的防护状况,并能够实时对网络运行的状态和网络结构有一个全面的了解。
【技术实现步骤摘要】
本专利技术涉及网络应用
,特别是一种企业网络边界设备拓扑结构的可视化方法及装置。
技术介绍
信息点间通信和内外网络的通信是企业网络中必不可少的业务需求,为了保障业务数据在网络传输交换过程中不被非法获取与篡改,相应的网络信息安全防护措施已在不同层面进行了部署。相关技术中,大多数的业务专网对于网络的访问控制几乎都集中在网络的出入关口,而对网络内部结构和接入边界却没有施行必要的监测与管理。这种只注重网关出入防护的安全策略虽然配置了大量的防火墙、多重安全网关和网闸等网络安全设备,却无法对网络运行的状态和网络结构的变化有一个全面的了解,而且对来自于网络接入边界甚至是网络内部的非法访问常常束手无策。因此,亟待提供解决上述问题的技术方案。
技术实现思路
鉴于上述问题,提出了本专利技术以便提供一种克服上述问题或者至少部分地解决上述问题的企业网络边界设备拓扑结构的可视化方法及装置。依据本专利技术的一个方面,提供了一种企业网络边界设备拓扑结构的可视化方法,包括:获取所述企业网络的至少一个网络边界设备的访问控制列表ACL信息;根据获取到的所述网络边界设备的ACL信息,确定所述网络边界设备的数据包过滤规则,所述数据包过滤规则允许或拒绝特定的数据包通过;根据所述数据包过滤规则确定所述网络边界设备的连通路径,对所述网络边界设备的连通路径进行可视化展示,生成所述企业网络边界设备拓扑结构图。可选地,所述方法还包括:在所述企业网络外部对所述企业网络边界设备的可访问端口进行检测;获取检测到的所述企业网络边界设备对外可访问端口;基于所述网络边界设备的连通路径和所述对外可访问端口生成所述企业网络边界设备拓扑结构图。可选地,所述方法还包括:获取所述网络边界设备的路由表信息;基于所述网络边界设备的连通路径、所述对外可访问端口以及所述路由表信息生成所述企业网络边界设备拓扑结构图。可选地,在生成所述企业网络边界设备拓扑结构图之后,所述方法还包括:监控所述网络边界设备的ACL信息是否发生变化;若监控到所述网络边界设备的ACL信息发生变化,则基于变化后的ACL信息确定所述网络边界设备的变化后的数据包过滤规则;根据所述变化后的数据包过滤规则确定所述网络边界设备的变化后的连通路径;获取所述网络边界设备的变化前的连通路径;基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径,对所述企业网络边界设备拓扑结构图进行调整。可选地,监控所述网络边界设备的ACL信息是否发生变化,包括:按照指定周期获取所述网络边界设备的ACL信息;比对本次获取的所述网络边界设备的ACL信息和上一次获取的网络边界设备的ACL信息;根据比对结果确定所述网络边界设备的ACL信息是否发生变化。可选地,基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径,对所述企业网络边界设备拓扑结构图进行调整,包括:基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径,确定待新增的连通路径;将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中,以调整所述企业网络边界设备拓扑结构图。可选地,所述方法还包括:在将所述待新增的连通路径组合到所述企业网络边界设备拓扑结构图中之后,在所述企业网络边界设备拓扑结构图中对新增后的连通路径进行标识。可选地,基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径,对所述企业网络边界设备拓扑结构图进行调整,包括:基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径,确定待减少的连通路径;在所述企业网络边界设备拓扑结构图中删除所述待减少的连通路径,以调整所述企业网络边界设备拓扑结构图。可选地,在生成所述企业网络边界设备拓扑结构图之后,所述方法还包括:接收从源地址访问目标地址的路径查询请求;响应所述路径查询请求,确定所述企业网络边界设备拓扑结构图中所述路径查询请求对应的一条或多条连通路径;在所述企业网络边界设备拓扑结构图中突出标识所述一条或多条连通路径。可选地,当所述路径查询请求对应多条连通路径时,在所述企业网络边界设备拓扑结构图中突出标识所述一条或多条连通路径,包括:根据预设策略从所述多条连通路径中优选一条连通路径;在所述企业网络边界设备拓扑结构图中突出标识优选的一条连通路径。可选地,在生成所述企业网络边界设备拓扑结构图之后,所述方法还包括:从待校验的访问控制列表所包括的多条ACL策略中选取一ACL策略;将选取的所述ACL策略与组成所述企业网络边界设备拓扑结构图的连通路径进行匹配,以查找所述所述企业网络边界设备拓扑结构图中是否存在与选取的所述ACL策略对应的连通路径,得到相应的查找结果;根据所述查找结果确定所述ACL策略是否配置成功。可选地,若所述ACL策略为拒绝源地址访问目标地址,根据所述查找结果确定所述ACL策略是否配置成功,包括:当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径,则确定所述ACL策略配置成功;当所述查找结果为查找到与选取的所述ACL策略对应的连通路径,则确定所述ACL策略未配置成功。可选地,若所述ACL策略为授权源地址访问目标地址,根据所述查找结果确定所述ACL策略是否配置成功,包括:当所述查找结果为未查找到与选取的所述ACL策略对应的连通路径,则确定所述ACL策略未配置成功;当所述查找结果为查找到与选取的所述ACL策略对应的连通路径,则确定所述ACL策略配置成功。可选地,当确定所述ACL策略未配置成功之后,所述方法还包括:发起所述ACL策略未配置成功的告警提示。可选地,所述网络边界设备包括下列至少之一:交换机、路由器、防火墙。依据本专利技术的另一方面,还提供了一种企业网络边界设备拓扑结构的可视化装置,包括:ACL信息获取模块,适于获取所述企业网络的至少一个网络边界设备的访问控制列表ACL信息;数据包过滤规则确定模块,适于根据获取到的所述网络边界设备的ACL信息,确定所述网络边界设备的数据包过滤规则,所述数据包过滤规则允许或拒绝特定的数据包通过;拓扑结构图生成模块,适于根据所述数据包过滤规则确定所述网络边界设备的连通路径,对所述网络边界设备的连通路径进行可视化展示,生成所述企业网络边界设备拓扑结构图。可选地,所述拓扑结构图生成模块还适于:在所述企业网络外部对所述企业网络边界设备的可访问端口进行检测;获取检测到的所述企业网络边界设备对外可访问端口;基于所述网络边界设备的连通路径和所述对外可访问端口生成所述企业网络边界设备拓扑结构图。可选地,所述拓扑结构图生成模块还适于:获取所述网络边界设备的路由表信息;基于所述网络边界设备的连通路径、所述对外可访问端口以及所述路由表信息生成所述企业网络边界设备拓扑结构图。可选地,所述装置还包括:拓扑结构图调整模块,适于监控所述网络边界设备的ACL信息是否发生变化;若监控到所述网络边界设备的ACL信息发生变化,则基于变化后的ACL信息确定所述网络边界设备的变化后的数据包过滤规则;根据所述变化后的数据包过滤规则确定所述网络边界设备的变化后的连通路径;获取所述网络边界设备的变化前的连通路径;基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径,对所述企业网络边界设备拓扑结构图进行调整。本文档来自技高网...
【技术保护点】
一种企业网络边界设备拓扑结构的可视化方法,包括:获取所述企业网络的至少一个网络边界设备的访问控制列表ACL信息;根据获取到的所述网络边界设备的ACL信息,确定所述网络边界设备的数据包过滤规则,所述数据包过滤规则允许或拒绝特定的数据包通过;根据所述数据包过滤规则确定所述网络边界设备的连通路径,对所述网络边界设备的连通路径进行可视化展示,生成所述企业网络边界设备拓扑结构图。
【技术特征摘要】
1.一种企业网络边界设备拓扑结构的可视化方法,包括:获取所述企业网络的至少一个网络边界设备的访问控制列表ACL信息;根据获取到的所述网络边界设备的ACL信息,确定所述网络边界设备的数据包过滤规则,所述数据包过滤规则允许或拒绝特定的数据包通过;根据所述数据包过滤规则确定所述网络边界设备的连通路径,对所述网络边界设备的连通路径进行可视化展示,生成所述企业网络边界设备拓扑结构图。2.根据权利要求1所述的方法,其中,还包括:在所述企业网络外部对所述企业网络边界设备的可访问端口进行检测;获取检测到的所述企业网络边界设备对外可访问端口;基于所述网络边界设备的连通路径和所述对外可访问端口生成所述企业网络边界设备拓扑结构图。3.根据权利要求2所述的方法,其中,还包括:获取所述网络边界设备的路由表信息;基于所述网络边界设备的连通路径、所述对外可访问端口以及所述路由表信息生成所述企业网络边界设备拓扑结构图。4.根据权利要求1-3中任一项所述的方法,其中,在生成所述企业网络边界设备拓扑结构图之后,所述方法还包括:监控所述网络边界设备的ACL信息是否发生变化;若监控到所述网络边界设备的ACL信息发生变化,则基于变化后的ACL信息确定所述网络边界设备的变化后的数据包过滤规则;根据所述变化后的数据包过滤规则确定所述网络边界设备的变化后的连通路径;获取所述网络边界设备的变化前的连通路径;基于所述网络边界设备的变化前的连通路径和所述网络边界设备的变化后的连通路径,对所述企业网络边界设备拓扑结构图进行调整。5.根据权利要求4所述的方法,其中,监控所述网络边界设备的ACL信息是否发生变化,包括:按照指定周期获取所述网络边界设备的ACL信息;比对本次获取的所述网络边界设备的ACL信息和上一次获取的网络边界设备的ACL信息;根据比对结果确定所述网络边界设备的ACL信息是否发生变化。6.根据权利要求4或5所述的方法,其中,基于所...
【专利技术属性】
技术研发人员:张睿,童文,裴越峰,江亚辉,金迪颖,刘小雄,
申请(专利权)人:北京琵琶行科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。