访问控制策略配置方法及电子设备转让专利
申请号 : CN202211478955.9
文献号 : CN115514586B
文献日 : 2023-03-21
发明人 : 王志刚 , 周举 , 尹艳拴 , 刘士泽 , 左宝廷 , 黄金凡
申请人 : 河北纬坤电子科技有限公司
摘要 :
本申请提供一种访问控制策略配置方法及电子设备。该方法包括:第一电子设备获取目标网络的网络拓扑图;目标网络包括多个第二电子设备,网络拓扑图中的每个节点指示目标网络中的一个第二电子设备,节点间的连线指示对应第二电子设备间的通信关系;针对每个节点,第一电子设备基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息;第一电子设备向每个第二电子设备发送与其对应的节点的五元组信息;各第二电子设备接收到相应五元组信息后生成对应的访问控制策略。本申请能够快速完成网络中各电子设备的访问控制策略的配置,提高了访问控制策略配置的效率及正确率。
权利要求 :
1.一种访问控制策略配置方法,其特征在于,应用于第一电子设备,所述方法包括:获取目标网络的网络拓扑图;所述目标网络包括多个第二电子设备,所述第二电子设备为服务器或终端;所述网络拓扑图中的每个节点指示所述目标网络中的一个第二电子设备,每个节点的基本信息包括相应第二电子设备的设备信息,所述节点间的连线指示对应第二电子设备间的通信关系;所述节点的基本信息包括第二电子设备的IP地址、端口号和传输协议;
针对每个所述节点,基于所述网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息;所述相连节点为网络拓扑图中与该节点相连的节点;
向每个第二电子设备发送与其对应的节点的五元组信息,以使所述各第二电子设备根据相应五元组信息生成对应的访问控制策略。
2.根据权利要求1所述的访问控制策略配置方法,其特征在于,所述五元组信息包括源IP地址、源端口号、目标IP地址、目标端口号和通信协议;
所述针对每个所述节点,基于所述网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息,包括:针对每个所述节点,执行以下步骤:
针对该节点的每个相连节点,以该节点的IP地址为源IP地址、以该相连节点的IP地址为目标IP地址生成与该相连节点对应的第一五元组信息,以使该节点对应的第二电子设备根据相应第一五元组信息生成访问控制策略中的出站访问控制策略;
以该节点的IP地址为目标IP地址、以该相连节点的IP地址为源IP地址生成与该相连节点对应的第二五元组信息,以使该节点对应的第二电子设备根据相应第二五元组信息生成访问控制策略中的入站访问控制策略。
3.根据权利要求1所述的访问控制策略配置方法,其特征在于,所述向每个第二电子设备发送与其对应的节点的五元组信息,包括:根据所有所述节点的五元组信息构建五元组信息库,向每个第二电子设备发送所述五元组信息库,以使所述各第二电子设备在接收到所述五元组信息库后根据所述五元组信息库确定与其对应的节点的五元组信息。
4.根据权利要求1所述的访问控制策略配置方法,其特征在于,所述获取目标网络的网络拓扑图,包括:显示图形用户界面,所述图形用户界面包括节点列表区域,拓扑图构建区域和节点配置区域;
响应用户在所述节点列表区域的第一输入操作,在所述节点列表区域显示关于各第二电子设备的对象;
响应用户作用于所述节点列表区域中所述对象的拖拽操作,在所述拓扑图构建区域中显示所述对象;响应用户作用于所述拓扑图构建区域中所述对象间的连接操作,在所述拓扑图构建区域中显示所述对象间的连线;以所述拓扑图构建区域中的对象为节点,以所述拓扑图构建区域中对象间的连线为节点间的连线,构成目标网络的网络拓扑图;
响应用户在所述节点配置区域的第二输入操作,在所述节点配置区域显示所述各对象相应第二电子设备的设备信息,作为节点的基本信息。
5.一种访问控制策略配置方法,其特征在于,应用于目标网络中的各第二电子设备,所述第二电子设备为服务器或终端,所述方法包括:接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息;所述五元组信息由所述第一电子设备针对网络拓扑图中的每个节点,基于所述网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成;所述相连节点为网络拓扑图中与该节点相连的节点;所述网络拓扑图中的每个节点指示所述目标网络中的一个第二电子设备,每个节点的基本信息包括相应第二电子设备的设备信息,所述节点间的连线指示对应第二电子设备间的通信关系;所述节点的基本信息包括第二电子设备的IP地址、端口号和传输协议;
根据所述五元组信息生成对应的访问控制策略,以使在接收或发送数据包时,在所述数据包的匹配信息与所述访问控制策略匹配时执行接收或发送所述数据包。
6.根据权利要求5所述的访问控制策略配置方法,其特征在于,所述接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息,包括:接收第一电子设备发送的五元组信息库;
从所述五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息。
7.根据权利要求6所述的访问控制策略配置方法,其特征在于,所述设备信息包括第二电子设备的IP地址、端口号和传输协议;所述五元组信息包括源IP地址、源端口号、目标IP地址、目标端口号和通信协议;
所述从所述五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息,包括:将所述五元组信息库中源IP地址与该第二电子设备的IP地址相同的五元组信息作为第一候选信息,以及将所述五元组信息库中目标IP地址与该第二电子设备的IP地址相同的五元组信息作为第二候选信息;
根据所述第一候选信息和所述第二候选信息构成对应的五元组信息。
8.根据权利要求5所述的访问控制策略配置方法,其特征在于,所述五元组信息包括第一五元组信息和第二五元组信息;所述访问控制策略包括出站访问控制策略和入站访问控制策略;
所述根据所述五元组信息生成对应的访问控制策略,包括:
根据所述第一五元组信息生成出站访问控制策略,以使在发送数据包时,在所述数据包的匹配信息与所述出站访问控制策略匹配时执行发送所述数据包;
根据所述第二五元组信息生成入站访问控制策略,以使在接收数据包时,在所述数据包的匹配信息与所述入站访问控制策略匹配时执行接收所述数据包。
9.一种电子设备,包括存储器和处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至4任一项所述的访问控制策略配置方法。
10.一种电子设备,包括存储器和处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求5至8任一项所述的访问控制策略配置方法。
说明书 :
访问控制策略配置方法及电子设备
技术领域
[0001] 本申请涉及通信网络安全技术领域,具体涉及一种访问控制策略配置方法及电子设备。
背景技术
[0002] 对网络信息安全保护等级较高的信息化系统,需要对网络中的电子设备,例如服务器或终端,进行严格的五元组访问控制策略设置。
[0003] 在设置点对点的电子设备间的访问控制策略时,传统的设置方式需要人工梳理各电子设备在通信关系中的设备信息(包括IP地址、传输协议及端口号等),进而根据梳理好的设备信息编写访问控制策略。然而在大型网络中,电子设备数量多,各电子设备间通信情况复杂,一台电子设备往往需要和上百个其他电子设备进行通信,相应的,一台电子设备需要设置上百条访问控制策略,人工梳理策略信息和手动配置访问控制策略的效率极低,耗费大量人力和时间,且人工配置容易出现配置错误,错误排查也会耗费大量人力和时间,影响信息化系统正常运行。
发明内容
[0004] 有鉴于此,本申请实施例提供了一种访问控制策略配置方法及电子设备,以解决人工配置电子设备的访问控制策略的效率极低,耗费大量人力和时间的技术问题。
[0005] 第一方面,本申请实施例提供了一种访问控制策略配置方法,应用于第一电子设备,该方法包括:获取目标网络的网络拓扑图;目标网络包括多个第二电子设备,第二电子设备为服务器或终端;网络拓扑图中的每个节点指示目标网络中的一个第二电子设备,每个节点的基本信息包括相应第二电子设备的设备信息,节点间的连线指示对应第二电子设备间的通信关系;针对每个节点,基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息;相连节点为网络拓扑图中与该节点相连的节点;向每个第二电子设备发送与其对应的节点的五元组信息,以使各第二电子设备根据相应五元组信息生成对应的访问控制策略。
[0006] 在第一方面的一种可能的实施方式中,节点的基本信息包括第二电子设备的IP地址、端口号和传输协议;五元组信息包括源IP地址、源端口号、目标IP地址、目标端口号和通信协议;针对每个节点,基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息,包括:针对每个节点,执行以下步骤:针对该节点的每个相连节点,以该节点的IP地址为源IP地址、以该相连节点的IP地址为目标IP地址生成与该相连节点对应的第一五元组信息,以使该节点对应的第二电子设备根据相应第一五元组信息生成访问控制策略中的出站访问控制策略;以该节点的IP地址为目标IP地址、以该相连节点的IP地址为源IP地址生成与该相连节点对应的第二五元组信息,以使该节点对应的第二电子设备根据相应第二五元组信息生成访问控制策略中的入站访问控制策略。
[0007] 在第一方面的一种可能的实施方式中,向每个第二电子设备发送与其对应的节点的五元组信息,包括:根据所有节点的五元组信息构建五元组信息库,向每个第二电子设备发送五元组信息库,以使各第二电子设备在接收到五元组信息库后根据五元组信息库确定与其对应的节点的五元组信息。
[0008] 在第一方面的一种可能的实施方式中,获取目标网络的网络拓扑图,包括:显示图形用户界面,图形用户界面包括节点列表区域,拓扑图构建区域和节点配置区域;响应用户在节点列表区域的第一输入操作,在节点列表区域显示关于各第二电子设备的对象;响应用户作用于节点列表区域中对象的拖拽操作,在拓扑图构建区域中显示对象;响应用户作用于拓扑图构建区域中对象间的连接操作,在拓扑图构建区域中显示对象间的连线;以拓扑图构建区域中的对象为节点,以拓扑图构建区域中对象间的连线为节点间的连线,构成目标网络的网络拓扑图;响应用户在节点配置区域的第二输入操作,在节点配置区域显示各对象相应第二电子设备的设备信息,作为节点的基本信息。
[0009] 第二方面,本申请实施例提供了一种访问控制策略配置方法,应用于目标网络中的各第二电子设备,第二电子设备为服务器或终端,该方法包括:接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息;根据五元组信息生成对应的访问控制策略,以使在接收或发送数据包时,在数据包的匹配信息与访问控制策略匹配时执行接收或发送数据包。
[0010] 在第二方面的一种可能的实施方式中,接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息,包括:接收第一电子设备发送的五元组信息库;从五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息。
[0011] 在第二方面的一种可能的实施方式中,设备信息包括第二电子设备的IP地址、端口号和传输协议;五元组信息包括源IP地址、源端口号、目标IP地址、目标端口号和通信协议;从五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息,包括:将五元组信息库中源IP地址与该第二电子设备的IP地址相同的五元组信息作为第一候选信息,以及将五元组信息库中目标IP地址与该第二电子设备的IP地址相同的五元组信息作为第二候选信息;根据第一候选信息和第二候选信息构成对应的五元组信息。
[0012] 在第二方面的一种可能的实施方式中,五元组信息包括第一五元组信息和第二五元组信息;访问控制策略包括出站访问控制策略和入站访问控制策略;根据五元组信息生成对应的访问控制策略,包括:根据第一五元组信息生成出站访问控制策略,以使在发送数据包时,在数据包的匹配信息与出站访问控制策略匹配时执行发送数据包;根据第二五元组信息生成入站访问控制策略,以使在接收数据包时,在数据包的匹配信息与入站访问控制策略匹配时执行接收数据包。
[0013] 第三方面,本申请实施例提供了一种电子设备,该电子设备是第一电子设备,包括:
[0014] 获取模块,用于获取目标网络的网络拓扑图;目标网络包括多个第二电子设备,第二电子设备为服务器或终端;网络拓扑图中的每个节点指示目标网络中的一个第二电子设备,每个节点的基本信息包括相应第二电子设备的设备信息,节点间的连线指示对应第二电子设备间的通信关系。
[0015] 第一生成模块,用于针对每个节点,基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息;相连节点为网络拓扑图中与该节点相连的节点。
[0016] 发送模块,用于向每个第二电子设备发送与其对应的节点的五元组信息,以使各第二电子设备根据相应五元组信息生成对应的访问控制策略。
[0017] 第四方面,本申请实施例提供了一种电子设备,该电子设备是第二电子设备,包括:
[0018] 接收模块,用于接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息。
[0019] 第二生成模块,用于根据五元组信息生成对应的访问控制策略,以使在接收或发送数据包时,在数据包的匹配信息与访问控制策略匹配时执行接收或发送数据包。
[0020] 第五方面,本申请实施例提供了一种电子设备,包括存储器和处理器,存储器中存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现如第一方面任一项的访问控制策略配置方法。
[0021] 第六方面,本申请实施例提供了一种电子设备,包括存储器和处理器,存储器中存储有可在处理器上运行的计算机程序,处理器执行计算机程序时实现如第二方面任一项的访问控制策略配置方法。
[0022] 第七方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如第一方面任一项的访问控制策略配置方法。
[0023] 第八方面,本申请实施例提供了一种计算机可读存储介质,计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时实现如第二方面任一项的访问控制策略配置方法。
[0024] 第九方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在电子设备上运行时,使得电子设备执行上述第一方面中任一项的访问控制策略配置方法。
[0025] 第十方面,本申请实施例提供了一种计算机程序产品,当计算机程序产品在电子设备上运行时,使得电子设备执行上述第二方面中任一项的访问控制策略配置方法。
[0026] 可以理解的是,上述第三方面至第十方面的有益效果可以参见上述第一方面或第二方面中的相关描述,在此不再赘述。
[0027] 本申请实施例提供的访问控制策略配置方法及电子设备,通过第一电子设备获取目标网络的网络拓扑图,并针对网络拓扑图中的每个节点,第一电子设备基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息,并向每个第二电子设备发送与该第二电子设备对应的节点的五元组信息,各第二电子设备接收到相应五元组信息后生成对应的访问控制策略,能够快速完成网络中各电子设备的访问控制策略的配置,提高了访问控制策略配置的效率及正确率。
[0028] 应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书。
附图说明
[0029] 为了更清楚地说明本申请实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0030] 图1是本申请一实施例提供的应用场景示意图;
[0031] 图2是本申请一实施例提供的访问控制策略配置方法的流程示意图;
[0032] 图3是本申请一实施例提供的图形用户界面的界面示意图;
[0033] 图4是本申请一实施例提供的五元组信息的示意图;
[0034] 图5是本申请又一实施例提供的访问控制策略配置方法的流程示意图;
[0035] 图6是本申请一实施例提供的电子设备的结构示意图;
[0036] 图7是本申请又一实施例提供的电子设备的结构示意图;
[0037] 图8是本申请再一实施例提供的电子设备的结构示意图;
[0038] 图9是本申请另一实施例提供的电子设备的结构示意图。
具体实施方式
[0039] 下面结合具体实施例对本申请进行更清楚的说明。以下实施例将有助于本领域的技术人员进一步理解本申请的作用,但不以任何形式限制本申请。应当指出的是,对本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进。这些都属于本申请的保护范围。
[0040] 应当理解,当在本申请说明书和所附权利要求书中使用时,术语“包括”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
[0041] 还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
[0042] 在本申请说明书和所附权利要求书的描述中,术语“第一”、“第二”、“第三”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
[0043] 在本申请说明书中描述的参考“一个实施例”或“一些实施例”等意味着在本申请的一个或多个实施例中包括结合该实施例描述的特定特征、结构或特点。由此,在本说明书中的不同之处出现的语句“在一个实施例中”、“在一些实施例中”、“在其他一些实施例中”、“在另外一些实施例中”等不是必然都参考相同的实施例,而是意味着“一个或多个但不是所有的实施例”,除非是以其他方式另外特别强调。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
[0044] 此外,本申请实施例中提到的“多个”应当被解释为两个或两个以上。
[0045] 图1是本申请一实施例提供的应用场景示意图,该图1所示的应用场景中包括第一电子设备1和目标网络2,该目标网络2中包括多个第二电子设备3,该第二电子设备3为服务器或终端。
[0046] 在实际应用场景中,如图1所示,第一电子设备1获取目标网络2的网络拓扑图,其中,网络拓扑图中的每个节点指示目标网络2中的一个第二电子设备3,节点间的连线指示对应第二电子设备3间的通信关系,基于该网络拓扑图中节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息,并向每个第二电子设备3发送与该第二电子设备3对应的节点的五元组信息。
[0047] 各第二电子设备3接收到第一电子设备1发送的相应五元组信息后,根据该相应五元组信息生成对应的访问控制策略,以在接收数据包时,在数据包的匹配信息与访问控制策略匹配时执行接收数据包,以及在发送数据包时,在数据包的匹配信息与访问控制策略匹配时执行发送数据包。
[0048] 图2是本申请一实施例提供的访问控制策略配置方法的流程示意图。本申请实施例中方法的执行主体为图1中的第一电子设备。如图2所示,本申请实施例中的方法,可以包括:
[0049] 步骤101、获取目标网络的网络拓扑图。
[0050] 其中,目标网络包括多个第二电子设备,第二电子设备为服务器或终端。网络拓扑图中的每个节点指示目标网络中的一个第二电子设备,每个节点的基本信息包括相应第二电子设备的设备信息,节点间的连线指示对应第二电子设备间的通信关系。
[0051] 可选的,设备信息包括第二电子设备的IP地址、端口号和传输协议。
[0052] 在一种可能的实施方式中,可以通过响应用户在第一电子设备的图形用户界面的输入操作获取目标网络的网络拓扑图。具体来说,步骤101中,具体可以包括:
[0053] 显示图形用户界面。图形用户界面包括节点列表区域,拓扑图构建区域和节点配置区域。
[0054] 响应用户在节点列表区域的第一输入操作,在节点列表区域显示关于各第二电子设备的对象。
[0055] 响应用户作用于节点列表区域中对象的拖拽操作,在拓扑图构建区域中显示该对象;响应用户作用于拓扑图构建区域中对象间的连接操作,在拓扑图构建区域中显示对象间的连线;以拓扑图构建区域中的对象为节点,以拓扑图构建区域中对象间的连线为节点间的连线,构成目标网络的网络拓扑图。
[0056] 响应用户在节点配置区域的第二输入操作,在节点配置区域显示各对象相应第二电子设备的设备信息,作为节点的基本信息。
[0057] 图形用户界面的界面示意图如图3所示。示例性的,用户在图形用户界面的节点列表区域输入目标网络中各第二电子设备的设备名称后,例如输入服务器A、服务器B、服务器C、终端A、终端B、终端C等,在节点列表区域显示各设备名称对应的对象。用户将节点列表区域的对象拖拽至拓扑图构建区域后,在拓扑图构建区域显示相应的对象,用户基于第二电子设备的通信关系,通过连接操作,例如先后双击两个对象,将拓扑图构建区域中的对象进行连接,在相应对象间显示连线,以表示该两个对象间的连接关系。用户在节点配置区域输入各第二电子设备的设备信息后,例如对于服务器A,输入IP地址为10.10.2.1,端口号为82,传输协议为TCP,在节点配置区域显示相应的设备信息。
[0058] 其中,以拓扑图构建区域中的对象为节点,以拓扑图构建区域中对象间的连线为节点间的连线,构成目标网络的网络拓扑图,节点配置区域的设备信息为对应的节点的基本信息。
[0059] 步骤102、针对每个节点,基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息。
[0060] 其中,相连节点为网络拓扑图中与该节点相连的节点,该相连节点为至少一个。节点的基本信息包括第二电子设备的IP地址、端口号和传输协议。五元组信息包括源IP地址、源端口号、目标IP地址、目标端口号和通信协议。
[0061] 在一种可能的实施方式中,步骤102中,具体可以包括:
[0062] 针对每个节点,执行以下步骤:
[0063] S1、针对该节点的每个相连节点,以该节点的IP地址为源IP地址、以该相连节点的IP地址为目标IP地址生成与该相连节点对应的第一五元组信息,以使该节点对应的第二电子设备根据相应第一五元组信息生成访问控制策略中的出站访问控制策略。
[0064] S2、以该节点的IP地址为目标IP地址、以该相连节点的IP地址为源IP地址生成与该相连节点对应的第二五元组信息,以使该节点对应的第二电子设备根据相应第二五元组信息生成访问控制策略中的入站访问控制策略。
[0065] 示例性的,节点对应的第二电子设备可以接收数据和发送数据(为便于描述,以下简称为节点接收数据和发送数据),当节点发送数据时,定义此时节点为“源”,当节点接收数据时,定义此时节点为“目标”。因此,在每个节点与其对应的每个相连节点间,当该节点为“源”时,其相连节点为“目标”,此时以该节点的IP地址为源IP地址、以该相连节点的IP地址为目标IP地址生成第一五元组信息;当该节点为“目标”时,其相连节点为“源”,此时以该节点的IP地址为目标IP地址、以该相连节点的IP地址为源IP地址生成第二五元组信息。
[0066] 可选的,五元组信息中,源端口号、目标端口号和通信协议由该节点和相连节点的身份来确定。具体来说,每个节点对应的第二电子设备的身份可以为服务端和客户端,即每个节点的身份可以为服务端和客户端,当节点为服务端时,其接收数据和发送数据的端口是固定的,即为端口号对应的端口,当节点为客户端时,其接收数据和发送数据的端口可以为其端口中的任一端口。
[0067] 在每个节点和其对应的每个相连节点间,该节点和其相连节点的身份为固定的,例如,确定该节点的身份为服务端,则其相连节点的身份为客户端,此时以该节点的IP地址为源IP地址、以该节点的端口号为源端口号、以该相连节点的IP地址为目标IP地址、以该节点的传输协议为通信协议生成第一五元组信息,此时目标端口号可以为该相连节点的任一端口,以该节点的IP地址为目标IP地址、以该节点的端口号为目标端口号、以该相连节点的IP地址为源IP地址、以该节点的传输协议为通信协议生成第二五元组信息,此时源端口号可以为该相连节点的任一端口。
[0068] 再例如,确定该节点的身份为客户端,则其相连节点的身份为服务端,此时以该节点的IP地址为源IP地址、以该相连节点的IP地址为目标IP地址、以该相连节点的端口号为目标端口号、以该相连节点的传输协议为通信协议生成第一五元组信息,此时源端口号可以为该节点的任一端口,以该节点的IP地址为目标IP地址、以该相连节点的IP地址为源IP地址、以该相连节点的端口号为源端口号、以该相连节点的传输协议为通信协议生成第二五元组信息,此时目标端口号可以为该节点的任一端口。
[0069] 可选的,步骤101中响应用户作用于拓扑图构建区域中对象间的连接操作,在拓扑图构建区域中显示对象间的连线的步骤中,该连线可以为带有箭头的连线,其中箭头指向的对象为服务端,即箭头指向的节点为服务端。其中,连接操作可以为先后双击两个对象,后双击的对象为箭头的指向,即为服务端。
[0070] 相应的,在获取目标网络的网络拓扑图时,可以根据该网络拓扑图中节点间的连线的箭头指向确定节点与相连节点的身份,具体来说,箭头指向的节点为服务端,箭头末端对应的节点为客户端。
[0071] 五元组信息的示意图如图4所示。参照图4,在节点服务器A(IP地址为10.10.2.1、端口号为82、传输协议为TCP)和其相连节点服务器B(IP地址为10.10.2.2、端口号为81、传输协议为UDP)的通信关系中,节点服务器A的身份为服务端,其相连节点服务器B的身份为客户端。在节点服务器A和其相连节点服务器C(IP地址为10.10.2.3、端口号为87、传输协议为UDP)的通信关系中,节点服务器A的身份为客户端,其相连节点服务器C的身份为服务端。
[0072] 步骤103、向每个第二电子设备发送与其对应的节点的五元组信息,以使各第二电子设备根据相应五元组信息生成对应的访问控制策略。
[0073] 各第二电子设备在接收到第一电子设备发送的与其对应的节点的五元组信息后,根据该五元组信息生成对应的访问控制策略,以使在接收或发送数据包时,在数据包的匹配信息与访问控制策略匹配时执行接收或发送数据包。
[0074] 在一种可能的实施方式中,步骤103中,具体可以包括:根据所有节点的五元组信息构建五元组信息库,向每个第二电子设备发送五元组信息库,以使各第二电子设备在接收到五元组信息库后根据五元组信息库确定与其对应的节点的五元组信息。
[0075] 可选的,基于网络拓扑图中所有节点的五元组信息构建五元组信息库,并将五元组信息库分别发送给每个第二电子设备。
[0076] 示例性的,各第二电子设备接收第一电子设备发送的五元组信息库后,从五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息,具体来说,各第二电子设备接收第一电子设备发送的五元组信息库后,各第二电子设备将五元组信息库中源IP地址与其IP地址相同的五元组信息作为第一候选信息,以及将五元组信息库中目标IP地址与其IP地址相同的五元组信息作为第二候选信息,并根据第一候选信息和第二候选信息构成对应的五元组信息。
[0077] 由前述实施例可知,五元组信息包括第一五元组信息和第二五元组信息,各第二电子设备在确定对应的五元组信息后,根据五元组信息中的第一五元组信息生成出站访问控制策略,以使在发送数据包时,在数据包的匹配信息与出站访问控制策略匹配时执行发送数据包。根据第二五元组信息生成入站访问控制策略,以使在接收数据包时,在数据包的匹配信息与入站访问控制策略匹配时执行接收数据包。
[0078] 在实际应用中,各第二电子设备在生成对应的访问控制策略之后,将上述访问控制策略配置在各自的操作系统内部防火墙的访问控制列表中。以使各第二电子设备检测到数据包出站,即第二电子设备发送数据时,在该数据包的匹配信息与访问控制列表中的出站访问控制策略匹配时,再执行发送该数据包;各第二电子设备检测到数据包人站,即第二电子设备接收数据时,在该数据包的匹配信息与访问控制列表中的入站访问控制策略匹配时,再执行接收该数据包,降低数据非法入侵的风险。
[0079] 本申请实施例提供的一种访问控制策略配置方法,通过第一电子设备获取目标网络的网络拓扑图,并针对网络拓扑图中的每个节点,第一电子设备基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息,并向每个第二电子设备发送与该第二电子设备对应的节点的五元组信息,各第二电子设备接收到相应五元组信息后生成对应的访问控制策略,能够快速完成网络中各电子设备的访问控制策略的配置,提高了访问控制策略配置的效率及正确率。
[0080] 图5是本申请又一实施例提供的访问控制策略配置方法的流程示意图。本申请实施例中方法的执行主体为图1中的第二电子设备。如图5所示,本申请实施例中的方法,可以包括:
[0081] 步骤201、接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息。
[0082] 步骤202、根据五元组信息生成对应的访问控制策略,以使在接收或发送数据包时,在数据包的匹配信息与访问控制策略匹配时执行接收或发送数据包。
[0083] 在一种可能的实施方式中,步骤201中,具体可以包括:
[0084] S21、接收第一电子设备发送的五元组信息库。
[0085] S22、从五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息。
[0086] 可选的,设备信息包括第二电子设备的IP地址、端口号和传输协议。五元组信息包括源IP地址、源端口号、目标IP地址、目标端口号和通信协议。从五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息,具体可以包括:将五元组信息库中源IP地址与该第二电子设备的IP地址相同的五元组信息作为第一候选信息,以及将五元组信息库中目标IP地址与该第二电子设备的IP地址相同的五元组信息作为第二候选信息;根据第一候选信息和第二候选信息构成对应的五元组信息。
[0087] 在一种可能的实施方式中,五元组信息包括第一五元组信息和第二五元组信息,访问控制策略包括出站访问控制策略和入站访问控制策略,步骤202中,具体可以包括:
[0088] S31、根据第一五元组信息生成出站访问控制策略,以使在发送数据包时,在数据包的匹配信息与出站访问控制策略匹配时执行发送数据包。
[0089] S32、根据第二五元组信息生成入站访问控制策略,以使在接收数据包时,在数据包的匹配信息与入站访问控制策略匹配时执行接收数据包。
[0090] 在一种可能的实施方式中,还可以监测各节点对应第二电子设备上配置的访问控制策略是否生效。具体来说,S32之后,上述访问控制策略配置方法,还可以包括:
[0091] 根据接收到的五元组信息,身份为客户端的第二电子设备,按照预设频率向该第二电子设备的相连第二电子设备发送测试数据包。
[0092] 若接收到该相连第二电子设备返回的应答数据包,则确定该第二电子设备与该相连第二电子设备间无通信问题。
[0093] 若在预设时间内未接收到该相连第二电子设备返回的应答数据包,则确定该第二电子设备与该相连第二电子设备间存在通信问题,重新根据对应的五元组信息生成对应的访问控制策略。
[0094] 其中,相连第二电子设备为与第二电子设备具有通信关系的第二电子设备,即相连第二电子设备对应的节点为第二电子设备对应的节点的相连节点。
[0095] 可选的,针对每个第二电子设备,对于不同的相连第二电子设备,该第二电子设备的身份不同。针对每个相连电子设备,若该相连电子设备对应的五元组信息中,源端口号为该第二电子设备的端口号,或目标端口号为该第二电子设备的端口号,则确定该第二电子设备的身份为服务端,否则,确定该第二电子设备的身份为客户端。
[0096] 示例性的,若确定该第二电子设备与该相连第二电子设备间存在通信问题,则重新根据对应的五元组信息生成对应的访问控制策略,并将该对应的访问控制策略配置在该第二电子设备的操作系统内部防火墙的访问控制列表中。
[0097] 通过定时监测各节点对应第二电子设备上配置的访问控制策略是否生效,并在访问控制策略未生效时重新根据对应的五元组信息生成对应的访问控制策略,可以避免各第二电子设备间无法正常通信的情况。
[0098] 本实施例中,各第二电子设备接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息后,根据五元组信息生成对应的访问控制策略,以使在接收或发送数据包时,在数据包的匹配信息与访问控制策略匹配时执行接收或发送数据包。
[0099] 本申请实施例的具体实现过程可参见图2所示实施例的具体描述,在此不再赘述。
[0100] 应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
[0101] 图6是本申请一实施例提供的电子设备的结构示意图。如图6所示,本实施例提供的电子设备是第一电子设备,可以包括:获取模块601、第一生成模块602和发送模块603。
[0102] 其中,获取模块601,用于获取目标网络的网络拓扑图;目标网络包括多个第二电子设备,第二电子设备为服务器或终端;网络拓扑图中的每个节点指示目标网络中的一个第二电子设备,每个节点的基本信息包括相应第二电子设备的设备信息,节点间的连线指示对应第二电子设备间的通信关系。
[0103] 第一生成模块602,用于针对每个节点,基于网络拓扑图中该节点的基本信息和该节点的相连节点的基本信息生成该节点的五元组信息;相连节点为网络拓扑图中与该节点相连的节点。
[0104] 发送模块603,用于向每个第二电子设备发送与其对应的节点的五元组信息,以使各第二电子设备根据相应五元组信息生成对应的访问控制策略。
[0105] 可选的,第一生成模块602具体用于:针对每个节点,执行以下步骤:针对该节点的每个相连节点,以该节点的IP地址为源IP地址、以该相连节点的IP地址为目标IP地址生成与该相连节点对应的第一五元组信息,以使该节点对应的第二电子设备根据相应第一五元组信息生成访问控制策略中的出站访问控制策略;以该节点的IP地址为目标IP地址、以该相连节点的IP地址为源IP地址生成与该相连节点对应的第二五元组信息,以使该节点对应的第二电子设备根据相应第二五元组信息生成访问控制策略中的入站访问控制策略。
[0106] 可选的,发送模块603具体用于:根据所有节点的五元组信息构建五元组信息库,向每个第二电子设备发送五元组信息库,以使各第二电子设备在接收到五元组信息库后根据五元组信息库确定与其对应的节点的五元组信息。
[0107] 可选的,获取模块601具体用于:显示图形用户界面,图形用户界面包括节点列表区域,拓扑图构建区域和节点配置区域;响应用户在节点列表区域的第一输入操作,在节点列表区域显示关于各第二电子设备的对象;响应用户作用于节点列表区域中对象的拖拽操作,在拓扑图构建区域中显示对象;响应用户作用于拓扑图构建区域中对象间的连接操作,在拓扑图构建区域中显示对象间的连线;以拓扑图构建区域中的对象为节点,以拓扑图构建区域中对象间的连线为节点间的连线,构成目标网络的网络拓扑图;响应用户在节点配置区域的第二输入操作,在节点配置区域显示各对象相应第二电子设备的设备信息,作为节点的基本信息。
[0108] 图7是本申请又一实施例提供的电子设备的结构示意图。如图7所示,本实施例提供的电子设备是第二电子设备,可以包括:接收模块701和第二生成模块702。
[0109] 其中,接收模块701,用于接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息。
[0110] 第二生成模块702,用于根据五元组信息生成对应的访问控制策略,以使在接收或发送数据包时,在数据包的匹配信息与访问控制策略匹配时执行接收或发送数据包。
[0111] 可选的,接收模块701具体用于:接收第一电子设备发送的五元组信息库;从五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息。
[0112] 可选的,接收模块701还具体用于:将五元组信息库中源IP地址与该第二电子设备的IP地址相同的五元组信息作为第一候选信息,以及将五元组信息库中目标IP地址与该第二电子设备的IP地址相同的五元组信息作为第二候选信息;根据第一候选信息和第二候选信息构成对应的五元组信息。
[0113] 可选的,第二生成模块702具体用于:根据第一五元组信息生成出站访问控制策略,以使在发送数据包时,在数据包的匹配信息与出站访问控制策略匹配时执行发送数据包;根据第二五元组信息生成入站访问控制策略,以使在接收数据包时,在数据包的匹配信息与入站访问控制策略匹配时执行接收数据包。
[0114] 需要说明的是,上述装置/单元之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
[0115] 图8是本申请再一实施例提供的电子设备的结构示意图。如图8所示,该实施例的电子设备800包括:处理器810、存储器820,上述存储器820中存储有可在处理器810上运行的计算机程序821。处理器810执行计算机程序821时实现上述任意各个方法实施例中的步骤,例如图2所示的步骤101至103。或者,处理器810执行计算机程序821时实现上述各装置实施例中各模块/单元的功能,例如图6所示模块601至603的功能。
[0116] 图9是本申请另一实施例提供的电子设备的结构示意图。如图9所示,该实施例的电子设备900包括:处理器910、存储器920,上述存储器920中存储有可在处理器910上运行的计算机程序921。处理器910执行计算机程序921时实现上述任意各个方法实施例中的步骤,例如图5所示的步骤201至202。或者,处理器910执行计算机程序921时实现上述各装置实施例中各模块/单元的功能,例如图7所示模块701至702的功能。
[0117] 示例性的,计算机程序可以被分割成一个或多个模块/单元,一个或者多个模块/单元被存储在存储器中,并由处理器执行,以完成本申请。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述计算机程序在电子设备中的执行过程。
[0118] 本领域技术人员可以理解,图8和图9仅仅是电子设备的示例,并不构成对电子设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如输入输出设备、网络接入设备、总线等。
[0119] 处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器 (Digital Signal Processor,DSP)、专用集成电路 (Application Specific Integrated Circuit,ASIC)、现成可编程门阵列 (Field‑Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
[0120] 存储器可以是电子设备的内部存储单元,例如电子设备的硬盘或内存,也可以是电子设备的外部存储设备,例如电子设备上配备的插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。上述存储器还可以既包括电子设备的内部存储单元也包括外部存储设备。上述存储器用于存储计算机程序以及电子设备所需的其他程序和数据。存储器还可以用于暂时地存储已经输出或者将要输出的数据。
[0121] 所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。实施例中的各功能单元、模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中,上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。另外,各功能单元、模块的具体名称也只是为了便于相互区分,并不用于限制本申请的保护范围。上述系统中单元、模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0122] 在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
[0123] 本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
[0124] 在本发明所提供的实施例中,应该理解到,所揭露的装置/电子设备和方法,可以通过其它的方式实现。例如,以上所描述的装置/电子设备实施例仅仅是示意性的,例如,所述模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通讯连接可以是通过一些接口,装置或单元的间接耦合或通讯连接,可以是电性,机械或其它的形式。
[0125] 所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
[0126] 所述集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read‑Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
[0127] 以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。