访问控制策略配置方法及电子设备技术

本申请提供一种访问控制策略配置方法及电子设备。该方法包括：第一电子设备获取目标网络的网络拓扑图；目标网络包括多个第二电子设备，网络拓扑图中的每个节点指示目标网络中的一个第二电子设备，节点间的连线指示对应第二电子设备间的通信关系；针对每个节点，第一电子设备基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息；第一电子设备向每个第二电子设备发送与其对应的节点的五元组信息；各第二电子设备接收到相应五元组信息后生成对应的访问控制策略。本申请能够快速完成网络中各电子设备的访问控制策略的配置，提高了访问控制策略配置的效率及正确率。配置的效率及正确率。配置的效率及正确率。

【技术实现步骤摘要】
访问控制策略配置方法及电子设备


[0001]本申请涉及通信网络安全
，具体涉及一种访问控制策略配置方法及电子设备。

技术介绍

[0002]对网络信息安全保护等级较高的信息化系统，需要对网络中的电子设备，例如服务器或终端，进行严格的五元组访问控制策略设置。
[0003]在设置点对点的电子设备间的访问控制策略时，传统的设置方式需要人工梳理各电子设备在通信关系中的设备信息（包括IP地址、传输协议及端口号等），进而根据梳理好的设备信息编写访问控制策略。然而在大型网络中，电子设备数量多，各电子设备间通信情况复杂，一台电子设备往往需要和上百个其他电子设备进行通信，相应的，一台电子设备需要设置上百条访问控制策略，人工梳理策略信息和手动配置访问控制策略的效率极低，耗费大量人力和时间，且人工配置容易出现配置错误，错误排查也会耗费大量人力和时间，影响信息化系统正常运行。

技术实现思路

[0004]有鉴于此，本申请实施例提供了一种访问控制策略配置方法及电子设备，以解决人工配置电子设备的访问控制策略的效率极低，耗费大量人力和时间的技术问题。
[0005]第一方面，本申请实施例提供了一种访问控制策略配置方法，应用于第一电子设备，该方法包括：获取目标网络的网络拓扑图；目标网络包括多个第二电子设备，第二电子设备为服务器或终端；网络拓扑图中的每个节点指示目标网络中的一个第二电子设备，每个节点的基本信息包括相应第二电子设备的设备信息，节点间的连线指示对应第二电子设备间的通信关系；针对每个节点，基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息；相连节点为网络拓扑图中与该节点相连的节点；向每个第二电子设备发送与其对应的节点的五元组信息，以使各第二电子设备根据相应五元组信息生成对应的访问控制策略。
[0006]在第一方面的一种可能的实施方式中，节点的基本信息包括第二电子设备的IP地址、端口号和传输协议；五元组信息包括源IP地址、源端口号、目标IP地址、目标端口号和通信协议；针对每个节点，基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息，包括：针对每个节点，执行以下步骤：针对该节点的每个相连节点，以该节点的IP地址为源IP地址、以该相连节点的IP地址为目标IP地址生成与该相连节点对应的第一五元组信息，以使该节点对应的第二电子设备根据相应第一五元组信息生成访问控制策略中的出站访问控制策略；以该节点的IP地址为目标IP地址、以该相连节点的IP地址为源IP地址生成与该相连节点对应的第二五元组信息，以使该节点对应的第二电子设备根据相应第二五元组信息生成访问控制策略中的入站访问控制策略。
[0007]在第一方面的一种可能的实施方式中，向每个第二电子设备发送与其对应的节点
的五元组信息，包括：根据所有节点的五元组信息构建五元组信息库，向每个第二电子设备发送五元组信息库，以使各第二电子设备在接收到五元组信息库后根据五元组信息库确定与其对应的节点的五元组信息。
[0008]在第一方面的一种可能的实施方式中，获取目标网络的网络拓扑图，包括：显示图形用户界面，图形用户界面包括节点列表区域，拓扑图构建区域和节点配置区域；响应用户在节点列表区域的第一输入操作，在节点列表区域显示关于各第二电子设备的对象；响应用户作用于节点列表区域中对象的拖拽操作，在拓扑图构建区域中显示对象；响应用户作用于拓扑图构建区域中对象间的连接操作，在拓扑图构建区域中显示对象间的连线；以拓扑图构建区域中的对象为节点，以拓扑图构建区域中对象间的连线为节点间的连线，构成目标网络的网络拓扑图；响应用户在节点配置区域的第二输入操作，在节点配置区域显示各对象相应第二电子设备的设备信息，作为节点的基本信息。
[0009]第二方面，本申请实施例提供了一种访问控制策略配置方法，应用于目标网络中的各第二电子设备，第二电子设备为服务器或终端，该方法包括：接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息；根据五元组信息生成对应的访问控制策略，以使在接收或发送数据包时，在数据包的匹配信息与访问控制策略匹配时执行接收或发送数据包。
[0010]在第二方面的一种可能的实施方式中，接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息，包括：接收第一电子设备发送的五元组信息库；从五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息。
[0011]在第二方面的一种可能的实施方式中，设备信息包括第二电子设备的IP地址、端口号和传输协议；五元组信息包括源IP地址、源端口号、目标IP地址、目标端口号和通信协议；从五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息，包括：将五元组信息库中源IP地址与该第二电子设备的IP地址相同的五元组信息作为第一候选信息，以及将五元组信息库中目标IP地址与该第二电子设备的IP地址相同的五元组信息作为第二候选信息；根据第一候选信息和第二候选信息构成对应的五元组信息。
[0012]在第二方面的一种可能的实施方式中，五元组信息包括第一五元组信息和第二五元组信息；访问控制策略包括出站访问控制策略和入站访问控制策略；根据五元组信息生成对应的访问控制策略，包括：根据第一五元组信息生成出站访问控制策略，以使在发送数据包时，在数据包的匹配信息与出站访问控制策略匹配时执行发送数据包；根据第二五元组信息生成入站访问控制策略，以使在接收数据包时，在数据包的匹配信息与入站访问控制策略匹配时执行接收数据包。
[0013]第三方面，本申请实施例提供了一种电子设备，该电子设备是第一电子设备，包括：获取模块，用于获取目标网络的网络拓扑图；目标网络包括多个第二电子设备，第二电子设备为服务器或终端；网络拓扑图中的每个节点指示目标网络中的一个第二电子设备，每个节点的基本信息包括相应第二电子设备的设备信息，节点间的连线指示对应第二电子设备间的通信关系。
[0014]第一生成模块，用于针对每个节点，基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息；相连节点为网络拓扑图中与该节点相
连的节点。
[0015]发送模块，用于向每个第二电子设备发送与其对应的节点的五元组信息，以使各第二电子设备根据相应五元组信息生成对应的访问控制策略。
[0016]第四方面，本申请实施例提供了一种电子设备，该电子设备是第二电子设备，包括：接收模块，用于接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息。
[0017]第二生成模块，用于根据五元组信息生成对应的访问控制策略，以使在接收或发送数据包时，在数据包的匹配信息与访问控制策略匹配时执行接收或发送数据包。
[0018]第五方面，本申请实施例提供了一种电子设备，包括存储器和处理器，存储器中存储有可在处理器上运行的计算机程序，处理器执行计算机程序时实现如第一方面任一项的访问控制策略配置方法。
[0019]第六方面，本申请实施例提供了一种电子设备，包括存储器和处本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种访问控制策略配置方法，其特征在于，应用于第一电子设备，所述方法包括：获取目标网络的网络拓扑图；所述目标网络包括多个第二电子设备，所述第二电子设备为服务器或终端；所述网络拓扑图中的每个节点指示所述目标网络中的一个第二电子设备，每个节点的基本信息包括相应第二电子设备的设备信息，所述节点间的连线指示对应第二电子设备间的通信关系；针对每个所述节点，基于所述网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息；所述相连节点为网络拓扑图中与该节点相连的节点；向每个第二电子设备发送与其对应的节点的五元组信息，以使所述各第二电子设备根据相应五元组信息生成对应的访问控制策略。2.根据权利要求1所述的访问控制策略配置方法，其特征在于，所述节点的基本信息包括第二电子设备的IP地址、端口号和传输协议；所述五元组信息包括源IP地址、源端口号、目标IP地址、目标端口号和通信协议；所述针对每个所述节点，基于所述网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息，包括：针对每个所述节点，执行以下步骤：针对该节点的每个相连节点，以该节点的IP地址为源IP地址、以该相连节点的IP地址为目标IP地址生成与该相连节点对应的第一五元组信息，以使该节点对应的第二电子设备根据相应第一五元组信息生成访问控制策略中的出站访问控制策略；以该节点的IP地址为目标IP地址、以该相连节点的IP地址为源IP地址生成与该相连节点对应的第二五元组信息，以使该节点对应的第二电子设备根据相应第二五元组信息生成访问控制策略中的入站访问控制策略。3.根据权利要求1所述的访问控制策略配置方法，其特征在于，所述向每个第二电子设备发送与其对应的节点的五元组信息，包括：根据所有所述节点的五元组信息构建五元组信息库，向每个第二电子设备发送所述五元组信息库，以使所述各第二电子设备在接收到所述五元组信息库后根据所述五元组信息库确定与其对应的节点的五元组信息。4.根据权利要求1所述的访问控制策略配置方法，其特征在于，所述获取目标网络的网络拓扑图，包括：显示图形用户界面，所述图形用户界面包括节点列表区域，拓扑图构建区域和节点配置区域；响应用户在所述节点列表区域的第一输入操作，在所述节点列表区域显示关于各第二电子设备的对象；响应用户作用于所述节点列表区域中所述对象的拖拽操作，在所述拓扑图构建区域中显示所述对象；响应用户作用于所述拓扑图构建区域中所述对象间的连接操作，在所述拓扑图构建区域中显示所述对象间的连线；以所述拓扑图构建区域中的对象为节点，以...

【专利技术属性】
技术研发人员：王志刚，周举，尹艳拴，刘士泽，左宝廷，黄金凡，
申请(专利权)人：河北纬坤电子科技有限公司，
类型：发明
国别省市：