本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域,尤其涉及安全域結(jié)構(gòu)檢查方法及裝置。
背景技術(shù):
:隨著網(wǎng)絡(luò)技術(shù)及信息技術(shù)的不斷發(fā)展,出現(xiàn)了越來(lái)越多的大型網(wǎng)絡(luò)系統(tǒng)。由于網(wǎng)絡(luò)系統(tǒng)通常包含數(shù)量繁多類型多樣的網(wǎng)絡(luò)設(shè)備,不同的網(wǎng)絡(luò)設(shè)備的安全防護(hù)需求也不相同,為簡(jiǎn)化網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全防護(hù)的復(fù)雜度,技術(shù)人員通常會(huì)根據(jù)網(wǎng)絡(luò)設(shè)備的安全防護(hù)需求將網(wǎng)絡(luò)系統(tǒng)劃分為若干個(gè)安全域,并采用不同的訪問(wèn)規(guī)則限制不同安全域中網(wǎng)絡(luò)設(shè)備的訪問(wèn)權(quán)限。在實(shí)際使用中,技術(shù)人員常常需要對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行結(jié)構(gòu)調(diào)整,例如,在網(wǎng)絡(luò)系統(tǒng)中添加新的網(wǎng)絡(luò)設(shè)備、將網(wǎng)絡(luò)系統(tǒng)中某個(gè)網(wǎng)絡(luò)設(shè)備下線或者調(diào)整網(wǎng)絡(luò)系統(tǒng)中某個(gè)網(wǎng)絡(luò)設(shè)備的功能等。由于在網(wǎng)絡(luò)系統(tǒng)進(jìn)行結(jié)構(gòu)調(diào)整后,網(wǎng)絡(luò)設(shè)備應(yīng)當(dāng)所屬的安全域也可能會(huì)隨之發(fā)生變化,因此還需要技術(shù)人員根據(jù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)調(diào)整,重新確定各個(gè)安全域所包含的設(shè)備,并對(duì)所含網(wǎng)絡(luò)設(shè)備發(fā)生變化對(duì)安全域進(jìn)行訪問(wèn)規(guī)則調(diào)整。當(dāng)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)調(diào)整規(guī)模較大,涉及網(wǎng)絡(luò)設(shè)備數(shù)量較多時(shí),技術(shù)人員很容易將網(wǎng)絡(luò)設(shè)備劃入錯(cuò)誤安全域。將網(wǎng)絡(luò)設(shè)備劃入錯(cuò)誤安全域,會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備適用錯(cuò)誤的訪問(wèn)規(guī)則,降低網(wǎng)絡(luò)系統(tǒng)的安全性。因此在對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行結(jié)構(gòu)調(diào)整后,需要對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全域結(jié)構(gòu)檢查,得到描繪安全域結(jié)構(gòu)的相關(guān)信息,其中,描繪安全域結(jié)構(gòu)的相關(guān)信息包括不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備信息、各個(gè)安全域的出口設(shè)備信息等。但是現(xiàn)有技術(shù)中,對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全域結(jié)構(gòu)檢查需要技術(shù)人員人工完成,依靠人工難以保證描繪安全域結(jié)構(gòu)的相關(guān)信息及時(shí)更新、內(nèi)容準(zhǔn)確。因此,亟需一種安全域結(jié)構(gòu)檢查方法,準(zhǔn)確高效的完成網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。技術(shù)實(shí)現(xiàn)要素:本發(fā)明實(shí)施例提供了安全域結(jié)構(gòu)檢查方法及裝置,可以準(zhǔn)確高效的完成網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。第一方面,本發(fā)明實(shí)施例提供了一種安全域結(jié)構(gòu)檢查方法,該方法包括:從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息;根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑;根據(jù)所述連接路 徑完成對(duì)所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。結(jié)合第一方面在第一方面第一種可能的實(shí)現(xiàn)方式中,所述從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息包括:與所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備建立網(wǎng)絡(luò)連接;根據(jù)所述網(wǎng)絡(luò)設(shè)備的設(shè)備類型,從所述網(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對(duì)應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息。結(jié)合第一方面第一種可能的實(shí)現(xiàn)方式,在第一方面第二種可能的實(shí)現(xiàn)方式中,所述從所述網(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對(duì)應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息包括:當(dāng)所述網(wǎng)絡(luò)設(shè)備為路由交換設(shè)備時(shí),獲取所述網(wǎng)絡(luò)設(shè)備的地址解析協(xié)議ARP信息及路由ROUTE信息;或者,當(dāng)所述網(wǎng)絡(luò)設(shè)備為防火墻設(shè)備時(shí),獲取所述網(wǎng)絡(luò)設(shè)備的ARP信息及ROUTE信息;或者,當(dāng)所述網(wǎng)絡(luò)設(shè)備為主機(jī)時(shí),獲取所述網(wǎng)絡(luò)設(shè)備的ARP信息。結(jié)合第一方面第二種可能的實(shí)現(xiàn)方式,在第一方面第三種可能的實(shí)現(xiàn)方式中,所述根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑包括:根據(jù)所述ARP信息,確定所述網(wǎng)絡(luò)設(shè)備之間的直連路徑;根據(jù)所述ROUTE信息,確定所述網(wǎng)絡(luò)設(shè)備之間的路由路徑。結(jié)合第一方面或第一方面第一至三種可能的實(shí)現(xiàn)方式其中任意一種,在第一方面第四種可能的實(shí)現(xiàn)方式中,根據(jù)所述連接路徑完成對(duì)所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查包括:從所述連接路徑中篩選出不符合安全域訪問(wèn)規(guī)則的違規(guī)連接路徑;根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。結(jié)合第一方面第四種可能的實(shí)現(xiàn)方式,在第一方面第五種可能的實(shí)現(xiàn)方式中,所述從所述連接路徑中篩選出不符合安全域訪問(wèn)規(guī)則的違規(guī)連接路徑包括:獲取預(yù)設(shè)的安全域訪問(wèn)規(guī)則;篩選出違反所述安全域訪問(wèn)規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑。結(jié)合第一方面或第一方面第一至三種可能的實(shí)現(xiàn)方式其中任意一種,在第一方面第六種可能的實(shí)現(xiàn)方式中,根據(jù)所述連接路徑完成對(duì)所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查包括:根據(jù)符合安全域訪問(wèn)規(guī)則所述連接路徑中的直連路徑及路由路徑確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)中各個(gè)安全域的實(shí)際出口設(shè)備;從所述實(shí)際出口設(shè)備中篩選出不符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。第二方面,本發(fā)明實(shí)施例還提供了一種安全域結(jié)構(gòu)檢查裝置,所述裝置包括:采集單元,用于從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息;確定單元,用于根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑;檢查單元,用于根據(jù)所述連接路徑完成所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域 結(jié)構(gòu)檢查。結(jié)合第二方面,在第二方面第一種可能的實(shí)現(xiàn)方式中,所述檢查單元包括:違規(guī)路徑篩選子單元,用于從所述連接路徑中篩選出不符合安全域訪問(wèn)規(guī)則的違規(guī)連接路徑;違規(guī)設(shè)備定位子單元,用于根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。結(jié)合第二方面,在第二方面第二種可能的實(shí)現(xiàn)方式中,所述檢查單元包括:出口設(shè)備定位子單元,用于根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)安全域的實(shí)際出口設(shè)備;違規(guī)設(shè)備篩選子單元,從所述實(shí)際出口設(shè)備中篩選出不符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。本發(fā)明實(shí)施例中,從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息;根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑;根據(jù)所述連接路徑完成對(duì)所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。采用本發(fā)明實(shí)施例所提供的安全域結(jié)構(gòu)檢查方法及裝置,可以自動(dòng)確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑,進(jìn)而根據(jù)所述連接路徑完成對(duì)所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查,從而可以準(zhǔn)確高效的自動(dòng)完成網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查,得到描繪安全域結(jié)構(gòu)的相關(guān)信息。附圖說(shuō)明為了更清楚地說(shuō)明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案,下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹,顯而易見(jiàn)地,對(duì)于本領(lǐng)域普通技術(shù)人員而言,在不付出創(chuàng)造性勞動(dòng)性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明安全域結(jié)構(gòu)檢查方法一個(gè)實(shí)施例的流程圖;圖2為本發(fā)明安全域結(jié)構(gòu)檢查裝置一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。具體實(shí)施方式下面將結(jié)合本發(fā)明實(shí)施例中的附圖,對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整的描述,顯然,所描述的實(shí)施例僅僅是本發(fā)明一部分實(shí)施例,而不是全部的實(shí)施例?;诒景l(fā)明中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒(méi)有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例,都屬于本發(fā)明保護(hù)的范圍。參見(jiàn)圖1,為本發(fā)明安全域結(jié)構(gòu)檢查方法一個(gè)實(shí)施例的流程圖,該方法包括如下步驟:步驟101,從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息。檢測(cè)裝置首先確定需要檢測(cè)的目標(biāo)網(wǎng)絡(luò)系統(tǒng),在所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)確定之后,可以分別與所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)中每一個(gè)網(wǎng)絡(luò)設(shè)備建立網(wǎng)絡(luò)連接,并確定所述網(wǎng)絡(luò)設(shè)備的設(shè)備類型;再?gòu)乃鼍W(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對(duì)應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息。例如,在所述網(wǎng)絡(luò)設(shè)備為路由交換設(shè)備時(shí),檢測(cè)裝置可以建立與該路由交換設(shè)備的網(wǎng)絡(luò)連接,然后從該路由設(shè)備獲取該路由設(shè)備的地址解析協(xié)議(AddressResolutionProtocol,簡(jiǎn)稱ARP)、路由信息(ROUTE)、物理地址(MediumAccessControl,簡(jiǎn)稱MAC)、接口(Interface)、心跳信息(Heartbeat,簡(jiǎn)稱HA)等信息;在所述網(wǎng)絡(luò)設(shè)備為防火墻設(shè)備時(shí),檢測(cè)裝置則可以建立與該防火墻設(shè)備的網(wǎng)絡(luò)連接,然后從該防火墻設(shè)備獲取該路由設(shè)備的ARP、MAC、ROUTE、Interface、HA等信息;在所述網(wǎng)絡(luò)為主機(jī)時(shí),檢測(cè)裝置則可以建立與該主機(jī)的網(wǎng)絡(luò)連接,然后從獲取該主機(jī)的IP、MAC、ARP等信息。由于檢測(cè)裝置從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中各個(gè)網(wǎng)絡(luò)設(shè)備獲取到的網(wǎng)絡(luò)結(jié)構(gòu)信息通常為文本等非結(jié)構(gòu)化信息。為便于后續(xù)處理,還可以對(duì)所述網(wǎng)絡(luò)結(jié)構(gòu)信息進(jìn)行處理得到結(jié)構(gòu)化的所述網(wǎng)絡(luò)結(jié)構(gòu)信息。例如,在檢測(cè)裝置從網(wǎng)絡(luò)設(shè)備獲取到的ARP信息通常為文本格式。為便于處理,可以對(duì)文本格式的ARP信息進(jìn)行結(jié)構(gòu)化處理,得到對(duì)應(yīng)的ARP信息表。其中,ARP信息表的結(jié)構(gòu)及內(nèi)容可以如表1所示表1主機(jī)名稱IP地址MAC地址A192.168.38.1000-AA-00-62-D2-02B192.168.38.1100-BB-00-62-C2-02C192.168.38.1200-CC-00-62-C2-02D192.168.38.1300-DD-00-62-C2-02E192.168.38.1400-EE-00-62-C2-0同樣的,為便于處理,也可以對(duì)MAC信息進(jìn)行結(jié)構(gòu)化處理,得到MAC信息表。MAC信息表的結(jié)構(gòu)及內(nèi)容如表2所示。表2由于目標(biāo)網(wǎng)絡(luò)系統(tǒng)中各個(gè)設(shè)備的網(wǎng)絡(luò)結(jié)構(gòu)信息可能都在不斷發(fā)生變化中,為避免網(wǎng)絡(luò)結(jié)構(gòu)信息采集不同步造成后續(xù)處理過(guò)程中出現(xiàn)問(wèn)題,檢測(cè)裝置可以首先與目標(biāo)網(wǎng)絡(luò)系統(tǒng)中的每一個(gè)網(wǎng)絡(luò)設(shè)備建立網(wǎng)絡(luò)連接,然后采用并發(fā)模式同步從每一個(gè)所述網(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對(duì)應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息。檢測(cè)裝置從各個(gè)網(wǎng)絡(luò)設(shè)備獲取網(wǎng)絡(luò)結(jié)構(gòu)信息的具體方式可以參見(jiàn)前述,在此就不再贅述。步驟102,根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑。在目標(biāo)網(wǎng)絡(luò)系統(tǒng)中,不同網(wǎng)絡(luò)設(shè)備之間的訪問(wèn)方式可以有多種,但是不論網(wǎng)絡(luò)設(shè)備之間的訪問(wèn)方式有多少種,都可以歸納為兩類,一類是設(shè)備之間直接訪問(wèn),另一類是設(shè)備之間通過(guò)路由進(jìn)行訪問(wèn)。因此不同網(wǎng)絡(luò)設(shè)備之間的連接路徑也可以歸納為兩種,一種是直連路徑,另一種是路由路徑。其中,直連路徑可以根據(jù)經(jīng)獲取到的ARP信息確定,路由路徑則可以根據(jù)路由信息來(lái)確定。具體來(lái)說(shuō),由于ARP信息可以反映該網(wǎng)絡(luò)設(shè)備與其他網(wǎng)絡(luò)設(shè)備之間直接通信的情況,因此根據(jù)ARP信息可以確定設(shè)備之間的直連路徑。例如,當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備的ARP信息中包含第二網(wǎng)絡(luò)設(shè)備的IP及MAC,并且第二網(wǎng)絡(luò)設(shè)備的ARP信息中包含第一網(wǎng)絡(luò)設(shè)備的IP及MAC時(shí),說(shuō)明第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備之間曾經(jīng)進(jìn)行過(guò)直接數(shù)據(jù)傳輸,即第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間可以互相訪問(wèn),也即第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在直連路徑。根據(jù)所述MAC信息表還可以確定第一網(wǎng)絡(luò)設(shè)備通過(guò)哪一個(gè)端口與第二網(wǎng)絡(luò)設(shè)備的哪一個(gè)端口相連等。同樣的,由于ROUTE信息可以反映網(wǎng)絡(luò)設(shè)備之間通過(guò)路由進(jìn)行通信的情況,因此可以根據(jù)ROUTE信息確定設(shè)備之間的路由路徑。例如,當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備的路由信息中包含將第二網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)給第三網(wǎng)絡(luò)設(shè)備,并將第三網(wǎng)絡(luò)設(shè)備發(fā)送的數(shù)據(jù)包轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備時(shí),說(shuō)明第二網(wǎng)絡(luò)設(shè)備與第三網(wǎng)絡(luò)設(shè)備之間存在一個(gè)以第一網(wǎng)絡(luò)設(shè)備為路由的路由路徑。由于在目標(biāo)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)較為復(fù)雜時(shí),兩個(gè)網(wǎng)絡(luò)設(shè)備之間可能會(huì)存在多條連接路徑。因此需要根據(jù)網(wǎng)絡(luò)設(shè)備所屬虛擬局域網(wǎng)(VirtualLocalAreaNetwork,簡(jiǎn)稱VLAN)、Interface、HA信息等確定兩個(gè)網(wǎng)絡(luò)設(shè)備之間所有的網(wǎng)絡(luò)路徑。例如,當(dāng)存在HA信息時(shí),說(shuō)明兩個(gè)網(wǎng)絡(luò)設(shè)備之間至少存在兩條連接路徑,由于不同的路徑需要使用不同的Interface,因此可以根據(jù)Interface確定兩個(gè)網(wǎng)絡(luò)設(shè)備之間的所有連接路徑。步驟103,根據(jù)所述連接路徑完成對(duì)所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。在目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑確定之后,檢測(cè)設(shè)備可以根據(jù)這些連接路徑完成網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查,得到描述安全域結(jié)構(gòu)的相關(guān)信息。根據(jù)所需相關(guān)信息的類型不同,檢測(cè)裝置可以采用不同的方式完成目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查??蛇x的,檢測(cè)設(shè)備可以首先從所述連接路徑中篩選出不符合安全域訪問(wèn)規(guī)則的違規(guī)連接路徑,然后根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。其中,在篩選違規(guī)連接路徑時(shí),檢測(cè)裝置可以首先獲取預(yù)先已經(jīng)設(shè)定的安全域訪問(wèn)規(guī)則,然后篩選出違反所述安全域訪問(wèn)規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑。根據(jù)實(shí)際需求不同,安全域訪問(wèn)規(guī)則也可以各不相同。例如,當(dāng)目標(biāo)網(wǎng)絡(luò)系統(tǒng)被劃分為互聯(lián)網(wǎng)接口區(qū)、核心交換區(qū)及核心生產(chǎn)區(qū)三個(gè)安全域時(shí),安全域訪問(wèn)規(guī)則可以包括:同一安全域內(nèi)的網(wǎng)絡(luò)設(shè)備之間可以互相訪問(wèn);互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備不允許直接訪問(wèn)核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備;核心交換區(qū)的網(wǎng)絡(luò)設(shè)備允許訪問(wèn)核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備;互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備允許訪問(wèn)核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備。當(dāng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑及安全域訪問(wèn)規(guī)則都已經(jīng)確定之后,由于各個(gè)網(wǎng)絡(luò)設(shè)備應(yīng)屬的安全域已經(jīng)預(yù)先確定,因此檢測(cè)裝置可以逐一分析各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑是否符合安全域訪問(wèn)規(guī)則。例如,當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在直連路徑時(shí),如果第一網(wǎng)絡(luò)設(shè)備及第二網(wǎng)絡(luò)設(shè)備均為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備,則該直連路徑不為違規(guī)路徑;如果第一網(wǎng)絡(luò)設(shè)備為核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備,第二網(wǎng)絡(luò)設(shè)備為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備,則該直連路徑為違規(guī)路徑。同樣的,當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在路由連路徑時(shí),如果第一網(wǎng)絡(luò)設(shè)備及第二網(wǎng)絡(luò)設(shè)備均為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備,則該直連路徑不為違規(guī)路徑;如果第一網(wǎng)絡(luò)設(shè)備為核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備,第二網(wǎng)絡(luò)設(shè)備為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備,則該直連路徑為違規(guī)路徑。其中第一網(wǎng)絡(luò)設(shè)備及第二網(wǎng)絡(luò)設(shè)備所屬的安全域是指根據(jù)預(yù)先劃分,第一網(wǎng)絡(luò)設(shè)備及第二網(wǎng)絡(luò)設(shè)備應(yīng)屬的安全域。在篩選出違規(guī)連接路徑后,可以認(rèn)定違規(guī)連接路徑所涉及到的網(wǎng)絡(luò)設(shè)備均為不符合 安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。例如,當(dāng)某直連路徑為違規(guī)連接路徑時(shí),可以確定該直連路徑兩端的網(wǎng)絡(luò)設(shè)備即為不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。又如,當(dāng)某路由路徑為違規(guī)連接路徑時(shí),可以確定該路由路徑所包含的所有網(wǎng)絡(luò)設(shè)備均為不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。為進(jìn)一步定位不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備,檢測(cè)出劃入錯(cuò)誤安全域的網(wǎng)絡(luò)設(shè)備。檢測(cè)裝置還可以對(duì)所有違規(guī)訪問(wèn)路徑進(jìn)行分析,當(dāng)多個(gè)違規(guī)訪問(wèn)路徑均涉及某個(gè)網(wǎng)絡(luò)設(shè)備時(shí),可以確定該網(wǎng)絡(luò)設(shè)備即為劃入錯(cuò)誤安全域的網(wǎng)絡(luò)設(shè)備。檢測(cè)設(shè)備也可以首先確定網(wǎng)絡(luò)設(shè)備之間的直連路徑及路由路徑,然后根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)安全域的實(shí)際出口設(shè)備,再?gòu)乃鰧?shí)際出口設(shè)備中篩選出不符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的出口設(shè)備,不符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的出口設(shè)備即為不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備,而包含不符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備的連接路徑則為不符合安全域訪問(wèn)規(guī)則的違規(guī)路徑。例如,在第一網(wǎng)絡(luò)設(shè)備為核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備,第二網(wǎng)絡(luò)設(shè)備為核心交換區(qū)的網(wǎng)絡(luò)設(shè)備時(shí),如果第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在直連路徑,那么可以認(rèn)為第一網(wǎng)絡(luò)設(shè)備為核心生成區(qū)的實(shí)際出口設(shè)備,第二網(wǎng)絡(luò)設(shè)備為核心交換區(qū)的實(shí)際出口設(shè)備。如果第一網(wǎng)設(shè)備為預(yù)設(shè)的核心生產(chǎn)區(qū)出口設(shè)備,那么第一網(wǎng)絡(luò)設(shè)備為符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備;如果第一網(wǎng)絡(luò)設(shè)備不為核心生產(chǎn)區(qū)的出口設(shè)備,那么第一網(wǎng)絡(luò)設(shè)備即為不符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。同樣的,如果第二網(wǎng)設(shè)備為預(yù)設(shè)的核心交換區(qū)出口設(shè)備,那么第二網(wǎng)絡(luò)設(shè)備為符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備;如果第二網(wǎng)絡(luò)設(shè)備不為核心交換區(qū)的出口設(shè)備,那么第二網(wǎng)絡(luò)設(shè)備即為不符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。又如,當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備為核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備,第二網(wǎng)絡(luò)設(shè)備為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備時(shí),可以認(rèn)為第一網(wǎng)絡(luò)設(shè)備為核心生成區(qū)的實(shí)際出口設(shè)備,第二網(wǎng)絡(luò)設(shè)備為互聯(lián)網(wǎng)接口區(qū)的實(shí)際出口設(shè)備。由于根據(jù)預(yù)設(shè)訪問(wèn)規(guī)則,互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備不允許直接訪問(wèn)核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備,因此如果第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在直連路徑,那么可以認(rèn)為第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備均為不符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。在本實(shí)施例中,從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息;根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑;從所述連接路徑中篩選出不符合安全域訪問(wèn)規(guī)則的違規(guī)連接路徑;根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。采用本實(shí)施例,可以檢測(cè)出網(wǎng) 絡(luò)設(shè)備之間不符合安全域訪問(wèn)規(guī)則的違規(guī)訪問(wèn)路徑,進(jìn)而根據(jù)違規(guī)連接路徑確定不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備,從而可以滿足檢測(cè)出不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備的技術(shù)需求。參見(jiàn)圖2,為本發(fā)明安全域結(jié)構(gòu)檢查裝置一個(gè)實(shí)施例的結(jié)構(gòu)示意圖。如圖2所示,該裝置可以包括:采集單元201,確定單元202及檢查單元203。其中,采集單元201,用于從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息;確定單元202,用于根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)網(wǎng)絡(luò)設(shè)備之間的連接路徑;檢查單元203,用于根據(jù)所述連接路徑完成所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查??蛇x的,所述采集單元201包括:連接建立子單元,用于與所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備建立網(wǎng)絡(luò)連接;類型確定子單元,用于確定所述網(wǎng)絡(luò)設(shè)備的設(shè)備類型;信息獲取子單元,用于從所述網(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對(duì)應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息。其中,所述信息獲取子單元,用于在所述網(wǎng)絡(luò)設(shè)備為路由交換設(shè)備時(shí),獲取所述網(wǎng)絡(luò)設(shè)備的地址解析協(xié)議ARP信息及路由ROUTE信息;或者,用于在所述網(wǎng)絡(luò)設(shè)備為防火墻設(shè)備時(shí),獲取所述網(wǎng)絡(luò)設(shè)備的ARP信息及ROUTE信息;或者,用于當(dāng)所述網(wǎng)絡(luò)設(shè)備為主機(jī)時(shí),獲取所述網(wǎng)絡(luò)設(shè)備的ARP信息??蛇x的,所述確定單元202包括:直連路徑確定子單元,用于根據(jù)所述ARP信息,確定所述網(wǎng)絡(luò)設(shè)備之間的直連路徑;路由路徑確定子單元,用于根據(jù)所述ROUTE信息,確定所述網(wǎng)絡(luò)設(shè)備之間的路由路徑??蛇x的,所述檢查單元203包括:違規(guī)路徑篩選子單元,用于從所述連接路徑中篩選出不符合安全域訪問(wèn)規(guī)則的違規(guī)連接路徑;違規(guī)設(shè)備定位子單元,用于根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。其中,所述違規(guī)路徑篩選子單元,可以用于獲取預(yù)設(shè)的安全域訪問(wèn)規(guī)則;并篩選出違反所述安全域訪問(wèn)規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑??蛇x的,所述檢查單元203包括:出口設(shè)備定位子單元,用于根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個(gè)安全域的實(shí)際出口設(shè)備;違規(guī)設(shè)備篩選子單元,從所述實(shí)際出口設(shè)備中篩選出不符合預(yù)設(shè)安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備。從上述實(shí)施例可以看出,安全域結(jié)構(gòu)檢查裝置可以檢測(cè)出網(wǎng)絡(luò)設(shè)備之間不符合安全域訪問(wèn)規(guī)則的違規(guī)訪問(wèn)路徑,進(jìn)而根據(jù)違規(guī)連接路徑確定不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備,從而可以滿足檢測(cè)出不符合安全域訪問(wèn)規(guī)則的網(wǎng)絡(luò)設(shè)備的技術(shù)需求。本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明實(shí)施例中的技術(shù)可借助軟件加必需的通用硬件平臺(tái)的方式來(lái)實(shí)現(xiàn)?;谶@樣的理解,本發(fā)明實(shí)施例中的技術(shù)方案本質(zhì)上或者說(shuō)對(duì)現(xiàn)有技術(shù)做出貢獻(xiàn)的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來(lái),該計(jì)算機(jī)軟件產(chǎn)品可以存儲(chǔ)在存儲(chǔ)介質(zhì)中,如ROM/RAM、磁碟、光盤等,包括若干指令用以使得一臺(tái)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備(可以是個(gè)人計(jì)算機(jī),服務(wù)器,或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個(gè)實(shí)施例或者實(shí)施例的某些部分所述的方法。本說(shuō)明書中的各個(gè)實(shí)施例均采用遞進(jìn)的方式描述,各個(gè)實(shí)施例之間相同相似的部分互相參見(jiàn)即可,每個(gè)實(shí)施例重點(diǎn)說(shuō)明的都是與其他實(shí)施例的不同之處。尤其,對(duì)于裝置實(shí)施例而言,由于其基本相似于方法實(shí)施例,所以描述的比較簡(jiǎn)單,相關(guān)之處參見(jiàn)方法實(shí)施例的部分說(shuō)明即可。以上所述的本發(fā)明實(shí)施方式,并不構(gòu)成對(duì)本發(fā)明保護(hù)范圍的限定。任何在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。當(dāng)前第1頁(yè)1 2 3