本发明专利技术适用于信息安全领域,提供了一种网络安全组的访问控制方法和装置,该方法包括:在同一人机交互界面中显示系统中的所有网络安全组;检测用户在该人机交互界面中的鼠标拖动操作;建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系。本发明专利技术提供的网络安全组的访问控制方法可以使用户可以从全局出发,快速、准确、高效的建立各网络安全组之间的访问控制关系,提高了网络安全组之间的访问控制效率。
【技术实现步骤摘要】
本专利技术属于信息安全领域,尤其涉及一种安全组的访问控制方法和安全计算机。
技术介绍
在云计算的基础服务(IaaS)中,可以动态地加入和删除虚拟机实例,这样在安全性方面,给防火墙的配置和更改带来了极大的管理复杂性和效率方面的影响。并且,传统的防火墙方法是不够达到电信级的可靠性和精细化运营的目标的,为此Amazon提出了网络安全组(Security Group, SG)的概念,网络安全组为虚拟机定义了防火墙规则,这些规则确定了哪些网络流量可以进入虚拟机,同时新的防火墙规则可以动态的添加到网络安全组中,以增强正在运行中的虚拟机或将来启动的虚拟机的安全性。请参阅图1,是现有技术提供的网络安全组在云计算中的实际运用的示意图。其中包括3个网络安全组,分别为:web server group (网页服务器组)、app server group (第三方应用程序服务器组)和db server group (数据库服务器组)。其中web server group中均为web server (网页服务器),app server group均为app server (第三方应用程序服务器),db server group中均为db server (数据库服务器)。上述网络安全组之间的访问控制方法如下:开放web server 的 tcp80 端口给所有 IP (0.0.0.0);app server 允许 web server 发起的访问,db server 允许 app server 发起的访问。而要实现上述网络安全组之间的如上访问控制,则需要预先设置上述网络安全组之间的上述访问控制规则。其中访问控制规则包括组间访问控制和IP授权控制。其中组间访问控制包括访问、被访和互访。其中访问是指网络安全组访问其他网络安全组的权限,被访是指其他网络安全组访问该网络安全组的权限,互访是指两个或以上网络安全组之间相互访问的权限。现有技术提供了一种网络安全组之间的访问控制方法,简述如下:当需要为一个网络安全组(如SGl)添加一个组间访问控制时,要先从网络安全组列表中逐个的查找到该网络安全组SG1,然后输入对方网络安全组的用户标识(用户ID),并输入对方网络安全组的标识(如SG2),这样才能建立网络安全组SG2对网络安全组SGl的组间访问控制关系。这种访问控制方法无法从全局概览各网络安全组间之间的访问关系,而且这种方法只能以某网络安全组为中心,添加其他网络安全组访问该网络安全组的规则,当存在大量网络安全组和大量组间访问规则时,单向操作配置效率低,无法快速建立各网络安全组之间的互访关系。如SGl和SG2要建立互访关系,则需要先站在SGl的角度,把SG2添加进来,然后重新站在SG2的角度,把SGl添加进来。这种网络安全组的访问控制方法将严重影响网络安全组之间的访问控制效率
技术实现思路
本专利技术实施例提供一种网络安全组的访问控制方法和装置,旨在解决网络安全组的访问控制效率低的问题。第一方面,提供了一种网络安全组的访问控制方法,所述方法包括:在同一人机交互界面中显示系统中的所有网络安全组;检测用户在该人机交互界面中的鼠标拖动操作;建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。在第一方面的第一种可能的实现方式中,所述建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系具体包括:跟随所述鼠标拖动操作生成连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形。结合第一方面的第一种可能的实现方式,在第一方面的第二种可能的实现方式中,所述连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形包括带箭头的连接线,所述带箭头的连接线包括单箭头连接线和双箭头连接线,所述单箭头连接线表示网络安全组之间的访问或者被访关系,所述双箭头连接线表示网络安全组之间的互访关系。在第一方面的第三种可能的实现方式中,所述建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系具体包括:确定所述鼠标拖动操作的起始位置对应的网络安全组的网段;在所述鼠标拖动操作的结束位置对应的网络安全组中的每个虚拟机中增加允许所述鼠标拖动操作的起始位置对应的网络安全组的网段访问所述虚拟机的规则。在第一方面的第四种可能的实现方式中,所述方法还包括:采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系。结合第一方面的第四种可能的实现方式,在第一方面的第五种可能的实现方式中,所述采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系具体包括:在拓扑图中,用网络安全组的唯一标识和连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形来展示网络安全组之间的访问控制关系,对存在交叉访问控制关系的多个网络安全组以簇的方式聚集。在第一方面的第六种可能的实现方式中,在所述检测用户在该人机交互界面中的鼠标拖动操作之前,所述方法还包括:创建或者选择网络安全组;过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组。在第一方面的第七种可能的实现方式中,所述方法还包括:接收用户通过人机交互界面输入的访问控制关系的删除指令,依据该删除指令,删除该删除指令指定的网络安全组之间的访问控制关系;其中用户输入通过人机交互界面输入的访问控制关系的删除指令的方式为:用户选择拓扑图中的用于标识网络安全组之间的访问、被访或者互访关系的图形上点击右键来输入访问控制关系的删除指令,所述访问控制关系的删除指令指定的网络安全组即为所述用于标识网络安全组之间的访问、被访或者互访关系的图形连接的网络安全组。在第一方面的第八种可能的实现方式中,所述方法还包括:接收用户针对选择的网络安全组输入的IP授权访问添加指令,所述IP授权访问添加指令包括IP范围,起始端口和结束端口 ;为选择的网络安全组中的每个虚拟机增加允许所述IP范围内的起始端口和结束端口内的网段访问所述虚拟机的规则。第二方面,提供一种安全计算机,所述装置包括:安全组显示单元,用于在同一人机交互界面中显示系统中的所有网络安全组;操作检测单元,用于检测用户在该人机交互界面中的鼠标拖动操作;访问控制单元,用于建立该鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。在第二方面的第一种可能的实现方式中,所述访问控制单元具体用于跟随所述鼠标拖动操作生成连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形。在第二方面的第二种可能的实现方式中,所述访问控制单元包括:网段获取模块,用于确定所述鼠标拖动操作的起始位置对应的网络安全组的网段;规则添加模块,用于在所述鼠标拖动操作的结束位置对应的网络安全组中的每个虚拟机中增加允许所述鼠标拖动操作的起始位置对应的网络安全组的网段访问所述虚拟机的规则。在第二方面的第三种可能的实现方式中,所述装置还包括:拓扑展示单元,用于采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系。在第二方面的第四种可能的实现方式中,所述拓扑展示单元具体用于在拓扑图中,用网络安全组的唯一标识和连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图本文档来自技高网...
【技术保护点】
一种网络安全组的访问控制方法,其特征在于,所述方法包括:在同一人机交互界面中显示系统中的所有网络安全组;检测用户在所述人机交互界面中的鼠标拖动操作;建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。
【技术特征摘要】
1.一种网络安全组的访问控制方法,其特征在于,所述方法包括: 在同一人机交互界面中显示系统中的所有网络安全组; 检测用户在所述人机交互界面中的鼠标拖动操作; 建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系。2.如权利要求1所述的网络安全组的访问控制方法,其特征在于,所述建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问控制关系具体包括: 跟随所述鼠标拖动操作生成连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形。3.如权利要求2所述网络安全组的访问控制方法,其特征在于,所述连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形包括带箭头的连接线,所述带箭头的连接线包括单箭头连接线和双箭头连接线,所述单箭头连接线表示网络安全组之间的访问或者被访关系,所述双箭头连接线表示网络安全组之间的互访关系。4.如权利要求1所述的网络安全组的访问控制方法,其特征在于,所述建立所述鼠标拖动操作的起始位置对应的网络安全组对结束位置对应的网络安全组的访问关系具体包括: 确定所述鼠标拖动操作的起始位置对应的网络安全组的网段; 在所述鼠标拖动操作的结束位置对应的网络安全组中的每个虚拟机中增加允许所述鼠标拖动操作的起始位置对应的网络安全组的网段访问所述虚拟机的规则。5.如权利要求1所述的网络安全组的访问控制方法,其特征在于,所述方法还包括: 采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系。6.如权利要求5所述的网络安全组的访问控制方法,其特征在于,所述采用拓扑图的方式展示系统中各网络安全组之间的访问控制关系具体包括: 在拓扑图中,用网络安全组的唯一标识和连接于网络安全组之间的用于标识网络安全组之间的访问、被访或者互访关系的图形来展示网络安全组之间的访问控制关系,对存在交叉访问控制关系的多个网络安全组以簇的方式聚集。7.如权利要求1所述的网络安全组的访问控制方法,其特征在于,在所述检测用户在该人机交互界面中的鼠标拖动操作之前,所述方法还包括: 创建或者选择网络安全组; 过滤出需要与创建或者选择的网络安全组建立访问控制关系的其他网络安全组。8.如权利要求1所述的网络安全组的访问控制方法,其特征在于,所述方法还包括: 接收用户通过人机交互界面输入的访问控制关系的删除指令,依据该删除指令,删除该删除指令指定的网络安全组之间的访问控制关系; 其中用户输入通过人机交互界面输入的访问控制关系的删除指令的方式为:用户选择拓扑图中的用于标识网络安全组之间的访问、被访或者互访关系的图形上点击右键来输入访问控制关系的删除指令,所述访问控制关系的删除指令指定的网络安全组即为所述用于标识网络安全组之间的访问、被访或者互访关系的图形连接的网络安全组。9.如权利要求1所述的方法,其特征在于,所述方法还包括:接收用户针对选择的网络安...
【专利技术属性】
技术研发人员:潘健敏,李礼,
申请(专利权)人:华为技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。