一种网络安全设备拓扑管理方法及系统技术方案

本申请公开了一种网络安全设备拓扑管理方法及系统，其涉及网络安全技术领域，该方法包括如下步骤：基于多个子网端、多个外网端和多个防火墙构建网络拓扑结构；获取目标子网端的访问指令，并基于所述访问指令生成配置有目标防火墙的访问路径；基于所述网络拓扑结构对所述访问路径进行搜索，并判断所述访问路径是否为通路；若所述访问路径不为通路，则获取所述目标子网端的访问权限，并基于所述访问权限调整所述目标防火墙的安全策略配置；若所述访问路径为通路，则建立所述访问指令对应的目标外网端和所述目标子网端之间的网络连接。本申请具有调整防火墙安全策略较为容易的优点。请具有调整防火墙安全策略较为容易的优点。请具有调整防火墙安全策略较为容易的优点。

【技术实现步骤摘要】
一种网络安全设备拓扑管理方法及系统


[0001]本申请涉及网络安全
，尤其是涉及一种网络安全设备拓扑管理方法及系统。

技术介绍

[0002]防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。
[0003]因此在网络数据的传输过程中，除了需要路由器和交换机来保障数据流量的流通，还需要配置防火墙来保障数据的安全。在相关技术中，若采用了大量的路由器和交换机构建大型的网络拓扑环境时，同时也需要采用大量的防火墙进行隔离、防御，对每组防火墙的配置则是根据特定的网络业务进行配置的。
[0004]针对上述中的相关技术，专利技术人认为存在有以下缺陷：当网络业务进行调整时，先要根据网络业务寻找到特定的网络路径，再通过网络路径定位相关的防火墙，再手动对相关防火墙的安全策略进行调整，若进行调整的网络业务较多时，需要逐个对相关防火墙进行查找并调整，较为麻烦。

技术实现思路

[0005]为了改善调整多个防火墙时较为麻烦的缺陷，本申请提供一种网络安全设备拓扑管理方法及系统。
[0006]第一方面，本申请提供一种网络安全设备拓扑管理方法，包括如下步骤：基于多个子网端、多个外网端和多个防火墙构建网络拓扑结构；获取用户所操作的目标子网端的访问指令，并基于所述访问指令生成配置有目标防火墙的访问路径；基于所述目标防火墙的安全策略配置对所述访问路径进行分析得到分析结果，并根据所述分析结果判断所述访问路径是否为通路；若所述访问路径不为通路，则获取所述目标子网端的访问权限，并基于所述访问权限调整所述安全策略配置；若所述访问路径为通路，则建立所述访问指令对应的外网端和所述目标子网端之间的网络连接。
[0007]通过采用上述技术方案，根据用户操作的目标子网端所发出的访问指令在网络拓扑结构中生成相应的访问路径，而访问路径中配置有保障数据安全的目标防火墙，再根据目标防火墙的安全策略配置可以分析判断对应的访问路径是否为通路，若不为通路则根据目标子网端的访问权限相应的调整目标防火墙的安全策略配置，若为通路则可以直接建立外网端与目标子网端之间的连接。由于访问指令所附带的网络业务可能各不相同，因此当
访问指令发生改变时，相应的防火墙将会根据发出访问指令的目标子网端的访问权限自动调整安全策略配置，从而可以减少手动修改防火墙的繁琐操作。
[0008]可选的，基于所述访问指令生成配置有目标防火墙的访问路径包括如下步骤：分析所述访问指令得到指令信息，所述指令信息包括源地址信息和目的地址信息；基于所述源地址信息在所述网络拓扑结构中筛选出若干备选防火墙；基于所述目的地址信息分别对所有备选防火墙的子网信息进行检索，判断所述备选防火墙是否包含与所述目的地址信息对应的目标子网信息；若所述备选防火墙未包含所述目标子网信息，则重新进行检索判断；若所述备选防火墙包含所述目标子网信息，则定义对应的备选防火墙为目标防火墙，并基于所述目标防火墙生成若干目标路径；对所有目标路径进行筛选，筛选出最优目标路径作为访问路径。
[0009]通过采用上述技术方案，通过对访问指令的分析，可以分析得到发出访问指令的子网端的源地址信息和访问指令所请求访问的目的地址信息，由于在网络拓扑结构中，与发出访问指令的子网端连接的防火墙可能有多个，因此可以根据源地址信息在网络拓扑结构中对所有防火墙进行筛选，将包含源地址信息的防火墙筛选出来作为备选防火墙，其中也可能有多个备选防火墙包含目的地址信息对应的目标子网信息，因此需要对备选防火墙进行进一步筛选，最终筛选出包含目标子网信息的备选防火墙作为目标防火墙，并根据目标防火墙生成目标路径，再通过对目标路径进行优化筛选，筛选出最优的目标路径作为访问路径，从而便于数据的传输和路径的管理。
[0010]可选的，对所有目标路径进行筛选，筛选出最优目标路径作为访问路径包括如下步骤：分别获取所有目标防火墙的实时信息，所述实时信息包括防火墙时延和实时丢包率；判断所述防火墙时延是否超过预设的时延阈值；若所述防火墙时延超过预设的时延阈值，则将对应的目标防火墙所对应的目标路径定义为备选目标路径；若所述防火墙时延未超过预设的时延阈值，则将对应的目标防火墙所对应的目标路径定义为 优质目标路径；基于所述实时丢包率对所述 优质目标路径作进一步筛选以筛选出最优目标路径作为访问路径。
[0011]通过采用上述技术方案，由于每个目标路径中均配置有目标防火墙，而各个目标防火墙的初始配置和实时状态可能各不相同，因此可以通过对目标防火墙的实时信息进行分析以完成对目标防火墙的筛选，具体可以通过获取所有目标防火墙的防火墙时延以进行筛选，防火墙时延和实时丢包率都可以体现防火墙的在吞吐量较大时的效率，根据吞吐量等基础指标预设时延阈值，再将防火墙时延与时延阈值进行比对，超出阈值的目标防火墙所对应的目标路径作为备选目标路径，根据目标防火墙的实时丢包率，对未超出阈值的目标防火墙所对应的目标路径作进一步筛选，从而将最优的目标路径筛选出来作为访问路径。
[0012]可选的，基于所述实时丢包率对所述 优质目标路径作进一步筛选以筛选出最优目标路径作为访问路径包括如下步骤：判断所有 优质目标路径中目标防火墙的所述实时丢包率是否超过预设的丢包率阈值；若所述实时丢包率超过预设的丢包率阈值，则排除对应的目标防火墙所对应的 优质目标路径；若所述实时丢包率未超过预设的丢包率阈值，则将对应的目标防火墙所对应的 优质目标路径定义为最优目标路径，并将所述最优目标路径作为访问路径。
[0013]通过采用上述技术方案，预先设置丢包率阈值对目标防火墙进行筛选，通过将丢包率阈值与所有目标防火墙的实时丢包率进行比对，将超出丢包率阈值的目标防火墙所对应的 优质目标路径全部排除，而未超出丢包率阈值的目标防火墙所对应的目标路径作为访问路径，此时筛选出的访问路径中的防火墙在时延和丢包率的表现上都较为优秀。
[0014]可选的，所述访问权限包括高访问权限、中访问权限和低访问权限，所述基于所述访问权限调整所述安全策略配置包括如下步骤：验证所述目标防火墙的安全等级；判断所述目标子网端的访问权限；若所述目标子网端的访问权限为所述高访问权限，则将所述安全策略配置调整至允许通过状态；若所述目标子网端的访问权限为所述中访问权限或所述低访问权限，则根据所述安全等级调整所述安全策略配置。
[0015]通过采用上述技术方案，先判断发出访问指令的目标子网端的访问权限，若目标子网端的访问权限为最高权限的高访问权限时，则该目标子网端为重要子网端，目标防火墙自动将安全策略配置调整至允许通过状态；若目标子网端的访问权限为中、低访问权限时，则需要根据目标防火墙的安全等级进行相应的安全策略配置的调整。
[0016]可选的，验证所述目标防火墙的安全等级包括如下步骤：获取所述目标防火墙的历史策略配置；基于所述历史本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网络安全设备拓扑管理方法，其特征在于，包括如下步骤：基于多个子网端、多个外网端和多个防火墙构建网络拓扑结构；获取目标子网端的访问指令，并基于所述访问指令生成配置有目标防火墙的访问路径；基于所述目标防火墙的安全策略配置对所述访问路径进行分析得到分析结果，并根据所述分析结果判断所述访问路径是否为通路；若所述访问路径不为通路，则获取所述目标子网端的访问权限，并基于所述访问权限调整所述安全策略配置；若所述访问路径为通路，则建立所述访问指令对应的外网端和所述目标子网端之间的网络连接。2.根据权利要求1所述的一种网络安全设备拓扑管理方法，其特征在于，所述基于所述访问指令生成配置有目标防火墙的访问路径包括如下步骤：分析所述访问指令得到指令信息，所述指令信息包括源地址信息和目的地址信息；基于所述源地址信息在所述网络拓扑结构中筛选出若干备选防火墙；基于所述目的地址信息分别对所有备选防火墙的子网信息进行检索，判断所述备选防火墙是否包含与所述目的地址信息对应的目标子网信息；若所述备选防火墙未包含所述目标子网信息，则重新进行检索判断；若所述备选防火墙包含所述目标子网信息，则定义对应的备选防火墙为目标防火墙，并基于所述目标防火墙生成若干目标路径；对所有目标路径进行筛选，筛选出最优目标路径作为访问路径。3.根据权利要求2所述的一种网络安全设备拓扑管理方法，其特征在于，所述对所有目标路径进行筛选，筛选出最优目标路径作为访问路径包括如下步骤：分别获取所有目标防火墙的实时信息，所述实时信息包括防火墙时延和实时丢包率；判断所述防火墙时延是否超过预设的时延阈值；若所述防火墙时延超过预设的时延阈值，则将对应的目标防火墙所对应的目标路径定义为备选目标路径；若所述防火墙时延未超过预设的时延阈值，则将对应的目标防火墙所对应的目标路径定义为 优质目标路径；基于所述实时丢包率对所述 优质目标路径作进一步筛选以筛选出最优目标路径作为访问路径。4.根据权利要求3所述的一种网络安全设备拓扑管理方法，其特征在于，基于所述实时丢包率对所述 优质目标路径作进一步筛选以筛选出最优目标路径作为访问路径包括如下步骤：判断所...

【专利技术属性】
技术研发人员：王亚森，汪洋，
申请(专利权)人：北京天融信科技有限公司北京天融信软件有限公司，
类型：发明
国别省市：