国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法及裝置的制造方法

      文檔序號:10515559閱讀:663來源:國知局
      企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法及裝置的制造方法
      【專利摘要】本發(fā)明提供了一種企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法及裝置,所述方法及裝置適用于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺,所述平臺與至少一臺網(wǎng)絡(luò)邊界設(shè)備連接,所述方法包括:從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目;針對各網(wǎng)絡(luò)邊界設(shè)備,獲取該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn);監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),根據(jù)監(jiān)控結(jié)果對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略進(jìn)行管控。采用本發(fā)明實施例提供的方法,實現(xiàn)了對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的條目的管控,從而實現(xiàn)了對企業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的目的。
      【專利說明】
      企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法及裝置
      技術(shù)領(lǐng)域
      [0001]本發(fā)明涉及網(wǎng)絡(luò)應(yīng)用技術(shù)領(lǐng)域,特別是一種企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法及裝置。
      【背景技術(shù)】
      [0002]信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求,為了保證企業(yè)內(nèi)部資源和重要信息的安全性,需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達(dá)到對訪問進(jìn)行控制的目的。訪問控制列表(Access Control List,簡稱ACL)可以過濾網(wǎng)絡(luò)中的流量,是控制訪問的一種網(wǎng)絡(luò)技術(shù)手段。
      [0003]配置ACL后,可以限制網(wǎng)絡(luò)流量,允許特定設(shè)備訪問,指定轉(zhuǎn)發(fā)特定端口數(shù)據(jù)包等。如可以配置ACL,禁止局域網(wǎng)內(nèi)的設(shè)備訪問外部公共網(wǎng)絡(luò),或者只能使用文件傳輸協(xié)議(File Transfer Protocol,簡稱FTP)服務(wù)。
      [0004]現(xiàn)有技術(shù)中,由于網(wǎng)絡(luò)設(shè)備的ACL容量有限,一旦超出限額,所有的網(wǎng)絡(luò)訪問控制策略將全部失效,進(jìn)而導(dǎo)致企業(yè)內(nèi)部資源的外泄。另外,關(guān)于ACL訪問控制的處理模式是由人工操作處理,采用人工操作管理的模式經(jīng)常出現(xiàn)網(wǎng)絡(luò)安全管理人員操作不當(dāng)引起的嚴(yán)格受限的權(quán)限放開,致使企業(yè)內(nèi)部資源外泄。因此,亟待提供一種監(jiān)控網(wǎng)絡(luò)設(shè)備ACL的技術(shù)方案。

      【發(fā)明內(nèi)容】

      [0005]鑒于上述問題,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法及裝置。
      [0006]基于本發(fā)明的一方面,提供了一種企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法,所述方法適用于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺,所述平臺與至少一臺網(wǎng)絡(luò)邊界設(shè)備連接,包括:
      [0007]從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目;
      [0008]針對各網(wǎng)絡(luò)邊界設(shè)備,獲取該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn);
      [0009]監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),根據(jù)監(jiān)控結(jié)果對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略進(jìn)行管控。
      [0010]可選地,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),包括:
      [0011]監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量是否超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量;或者
      [0012]監(jiān)控所述訪問控制策略的訪問權(quán)限內(nèi)容,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作。
      [0013]可選地,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作,包括:
      [0014]當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在冗余時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行合并操作。
      [0015]可選地,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作,包括:
      [0016]當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在不當(dāng)時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行刪除操作。
      [0017]可選地,還包括:
      [0018]監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量,針對該網(wǎng)絡(luò)邊界設(shè)備發(fā)起報警消息。
      [0019]可選地,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),還包括:
      [0020]當(dāng)所述網(wǎng)絡(luò)邊界設(shè)備中增加新的訪問控制策略的條目時,觸發(fā)監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn)的操作。
      [0021]可選地,從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目,包括:
      [0022]在所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺中建立中間命令轉(zhuǎn)化數(shù)據(jù)庫;
      [0023]從各網(wǎng)絡(luò)邊界設(shè)備獲取不同類型的訪問控制策略的條目時,利用中間命令轉(zhuǎn)化數(shù)據(jù)庫對各不同類型的訪問控制策略的條目進(jìn)行自適化處理,將其轉(zhuǎn)化為相同類型。
      [0024]可選地,所述方法還包括:
      [0025]由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令時,根據(jù)所述中間命令轉(zhuǎn)化數(shù)據(jù)庫將所述操作命令轉(zhuǎn)化為適應(yīng)于對應(yīng)網(wǎng)絡(luò)邊界設(shè)備的操作命令;
      [0026]將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備,由該網(wǎng)絡(luò)邊界設(shè)備執(zhí)行。
      [0027]可選地,由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令之后,將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備之前,所述方法還包括:
      [0028]觸發(fā)二次審核機(jī)制,由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成的、針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令發(fā)送至所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的第二重審核平臺;
      [0029]經(jīng)所述第二重審核平臺接收來自管理者的二次審核意見;
      [0030]依據(jù)所述二次審核意見確定是否將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備。
      [0031]可選地,所述網(wǎng)絡(luò)邊界設(shè)備包括下列至少之一:
      [0032]交換機(jī)、防火墻、路由器。
      [0033]基于本發(fā)明的另一個方面,還提供了一種網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控裝置,所述裝置適用于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺,所述平臺與至少一臺網(wǎng)絡(luò)邊界設(shè)備連接,所述裝置包括:
      [0034]第一獲取模塊,適于從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目;
      [0035]第二獲取模塊,適于針對各網(wǎng)絡(luò)邊界設(shè)備,獲取該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn);
      [0036]監(jiān)控模塊,適于監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),根據(jù)監(jiān)控結(jié)果對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略進(jìn)行管控。
      [0037]可選地,所述監(jiān)控模塊還適于:
      [0038]監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量是否超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量;或者
      [0039]監(jiān)控所述訪問控制策略的訪問權(quán)限內(nèi)容,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作。
      [0040]可選地,所述監(jiān)控模塊還適于:
      [0041]當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在冗余時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行合并操作。
      [0042]可選地,所述監(jiān)控模塊還適于:
      [0043]當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在不當(dāng)時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行刪除操作。
      [0044]可選地,還包括:
      [0045]警報模塊,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量,針對該網(wǎng)絡(luò)邊界設(shè)備發(fā)起報警消息。
      [0046]可選地,所述監(jiān)控模塊還適于:
      [0047]當(dāng)所述網(wǎng)絡(luò)邊界設(shè)備中增加新的訪問控制策略的條目時,觸發(fā)監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn)的操作。
      [0048]可選地,還包括:
      [0049]自適應(yīng)模塊,適于在所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺中建立中間命令轉(zhuǎn)化數(shù)據(jù)庫;
      [0050]從各網(wǎng)絡(luò)邊界設(shè)備獲取不同類型的訪問控制策略的條目時,利用中間命令轉(zhuǎn)化數(shù)據(jù)庫對各不同類型的訪問控制策略的條目進(jìn)行自適化處理,將其轉(zhuǎn)化為相同類型。
      [0051 ] 可選地,所述自適應(yīng)模塊還適于:
      [0052]由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令時,根據(jù)所述中間命令轉(zhuǎn)化數(shù)據(jù)庫將所述操作命令轉(zhuǎn)化為適應(yīng)于對應(yīng)網(wǎng)絡(luò)邊界設(shè)備的操作命令;
      [0053]將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備,由該網(wǎng)絡(luò)邊界設(shè)備執(zhí)行。
      [0054]可選地,所述裝置還包括:
      [0055]二次審核模塊,適于觸發(fā)二次審核機(jī)制,由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成的、針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令發(fā)送至所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的第二重審核平臺;
      [0056]經(jīng)所述第二重審核平臺接收來自管理者的二次審核意見;
      [0057]依據(jù)所述二次審核意見確定是否將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備。
      [0058]可選地,所述網(wǎng)絡(luò)邊界設(shè)備包括下列至少之一:
      [0059]交換機(jī)、防火墻、路由器。
      [0060]在本發(fā)明實施例中,網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn)是根據(jù)網(wǎng)絡(luò)邊界設(shè)備的特征(例如網(wǎng)絡(luò)邊界設(shè)備能夠支持的訪問控制策略的條目數(shù)、網(wǎng)絡(luò)邊界設(shè)備能夠支持的訪問控制策略的類別等)以及與網(wǎng)絡(luò)邊界設(shè)備相連的企業(yè)網(wǎng)絡(luò)預(yù)先設(shè)置的訪問控制策略進(jìn)行設(shè)定的,因此,本發(fā)明實施例中,在獲取指定網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn)之后,進(jìn)一步監(jiān)控從網(wǎng)絡(luò)邊界設(shè)備上獲取的訪問控制策略的條目是否滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),得到監(jiān)控結(jié)果,從而根據(jù)監(jiān)控結(jié)果實現(xiàn)了對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的條目的管控,若監(jiān)控結(jié)果滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),則能夠確定該網(wǎng)絡(luò)邊界設(shè)備目前的訪問控制策略是安全的,若監(jiān)控結(jié)果不滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制控制所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),則能夠確定該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略可能存在風(fēng)險。即,本發(fā)明實施例根據(jù)監(jiān)控結(jié)果判斷網(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目是否安全,若監(jiān)控結(jié)果未超出網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),首先證明網(wǎng)絡(luò)邊界設(shè)備本身的防護(hù)是安全的,進(jìn)一步證明與網(wǎng)絡(luò)邊界設(shè)備連接的企業(yè)網(wǎng)絡(luò)的安全性能也是具備一定防護(hù)能力的,能夠達(dá)到對企業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的目的。另外,網(wǎng)絡(luò)安全管理人員便于通過監(jiān)控結(jié)果掌握網(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目的安全情況,能夠?qū)W(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目有一個全面的了解,避免由于網(wǎng)絡(luò)邊界設(shè)備上的訪問控制策略的條目容量超額,或者人工操作不當(dāng)引起的嚴(yán)格受限的權(quán)限放開,致使企業(yè)內(nèi)部資源外泄的問題,提高了企業(yè)網(wǎng)絡(luò)的安全性。
      [0061]上述說明僅是本發(fā)明技術(shù)方案的概述,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說明書的內(nèi)容予以實施,并且為了讓本發(fā)明的上述和其它目的、特征和優(yōu)點(diǎn)能夠更明顯易懂,以下特舉本發(fā)明的【具體實施方式】。
      [0062]根據(jù)下文結(jié)合附圖對本發(fā)明具體實施例的詳細(xì)描述,本領(lǐng)域技術(shù)人員將會更加明了本發(fā)明的上述以及其他目的、優(yōu)點(diǎn)和特征。
      【附圖說明】
      [0063]通過閱讀下文優(yōu)選實施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對于本領(lǐng)域普通技術(shù)人員將變得清楚明了。附圖僅用于示出優(yōu)選實施方式的目的,而并不認(rèn)為是對本發(fā)明的限制。而且在整個附圖中,用相同的參考符號表示相同的部件。在附圖中:
      [0064]圖1示出了根據(jù)本發(fā)明一個實施例的企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法的處理流程圖;
      [0065]圖2示出了根據(jù)本發(fā)明一個實施例的企網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的示意圖;
      [0066]圖3示出了根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的可視化界面上顯示的可視化拓?fù)鋱D的示意圖;
      [0067]圖4示出了根據(jù)本發(fā)明一個實施例的企業(yè)網(wǎng)絡(luò)訪問權(quán)限的控制裝置的結(jié)構(gòu)示意圖;
      [0068]圖5示出了根據(jù)本發(fā)明一個實施例的企業(yè)網(wǎng)絡(luò)訪問權(quán)限的控制裝置的又一種結(jié)構(gòu)示意圖。
      【具體實施方式】
      [0069]下面將參照附圖更詳細(xì)地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應(yīng)當(dāng)理解,可以以各種形式實現(xiàn)本公開而不應(yīng)被這里闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員。
      [0070]為解決上述技術(shù)問題,本發(fā)明實施例提供了一種企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法,該方法適用于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺,該平臺與至少一臺網(wǎng)絡(luò)邊界設(shè)備連接,其中,網(wǎng)絡(luò)邊界設(shè)備包括交換機(jī)、防火墻、路由器等。圖1示出了根據(jù)本發(fā)明一個實施例的企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法的處理流程圖。參見圖1,該方法至少包括步驟S102至步驟S106。
      [0071]本發(fā)明實施例中,首先執(zhí)行步驟S102,從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目。
      [0072]然后,執(zhí)行步驟S104,針對各網(wǎng)絡(luò)邊界設(shè)備,獲取該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn)。
      [0073]最后,執(zhí)行步驟S106,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),根據(jù)監(jiān)控結(jié)果對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略進(jìn)行管控。
      [0074]在本發(fā)明實施例中,網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn)是根據(jù)網(wǎng)絡(luò)邊界設(shè)備的特征(例如網(wǎng)絡(luò)邊界設(shè)備能夠支持的訪問控制策略的條目數(shù)、網(wǎng)絡(luò)邊界設(shè)備能夠支持的訪問控制策略的類別等)以及與網(wǎng)絡(luò)邊界設(shè)備相連的企業(yè)網(wǎng)絡(luò)預(yù)先設(shè)置的訪問控制策略進(jìn)行設(shè)定的,因此,本發(fā)明實施例中,在獲取指定網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn)之后,進(jìn)一步監(jiān)控從網(wǎng)絡(luò)邊界設(shè)備上獲取的訪問控制策略的條目是否滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),得到監(jiān)控結(jié)果,從而根據(jù)監(jiān)控結(jié)果實現(xiàn)了對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的條目的管控,若監(jiān)控結(jié)果滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),則能夠確定該網(wǎng)絡(luò)邊界設(shè)備目前的訪問控制策略是安全的,若監(jiān)控結(jié)果不滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制控制所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),則能夠確定該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略可能存在風(fēng)險。即,本發(fā)明實施例根據(jù)監(jiān)控結(jié)果判斷網(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目是否安全,若監(jiān)控結(jié)果未超出網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),首先證明網(wǎng)絡(luò)邊界設(shè)備本身的防護(hù)是安全的,進(jìn)一步證明與網(wǎng)絡(luò)邊界設(shè)備連接的企業(yè)網(wǎng)絡(luò)的安全性能也是具備一定防護(hù)能力的,能夠達(dá)到對企業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的目的。另外,網(wǎng)絡(luò)安全管理人員便于通過監(jiān)控結(jié)果掌握網(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目的安全情況,能夠?qū)W(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目有一個全面的了解,避免由于網(wǎng)絡(luò)邊界設(shè)備上的訪問控制策略的條目容量超額,或者人工操作不當(dāng)引起的嚴(yán)格受限的權(quán)限放開,致使企業(yè)內(nèi)部資源外泄的問題,提高了企業(yè)網(wǎng)絡(luò)的安全性。
      [0075]現(xiàn)舉例對步驟S104中提及的網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn)進(jìn)行說明。例如,網(wǎng)絡(luò)邊界設(shè)備為路由器,且該路由器能夠支持100條訪問控制策略,那么,在實施時,若該路由器中所執(zhí)行的訪問控制策略已經(jīng)達(dá)到100條,此時再執(zhí)行第101條訪問控制策略時,因訪問控制策略數(shù)目超出路由器所能夠承載的容量,則會導(dǎo)致之前的100條訪問控制策略全部失效。
      [0076]再舉一個例子,例如,路由器所連接的企業(yè)網(wǎng)絡(luò)中規(guī)定訪問控制策略為允許對指定業(yè)務(wù)的存儲數(shù)據(jù)僅進(jìn)行讀操作,而此時路由器執(zhí)行了一條寫操作,且寫成功,那么這條訪問控制策略即超過了路由器所連接的企業(yè)網(wǎng)絡(luò)中規(guī)定的訪問控制策略,也會導(dǎo)致數(shù)據(jù)被篡改的不安全事件發(fā)生。
      [0077]上述提及的網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺具備對網(wǎng)絡(luò)安全策略進(jìn)行網(wǎng)絡(luò)安全評估的能力,并且,在一個優(yōu)選的實施例中,企業(yè)級用戶可以為網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺設(shè)置一個單獨(dú)的安全管理區(qū)域,該管理區(qū)域是從企業(yè)網(wǎng)絡(luò)中劃分出一個單獨(dú)的區(qū)域,僅用于進(jìn)行網(wǎng)絡(luò)安全策略的管理控制功能。這一單獨(dú)設(shè)置的方式能夠進(jìn)一步提高網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的安全性,網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺無須與其他業(yè)務(wù)同時競爭企業(yè)資源(包括企業(yè)網(wǎng)絡(luò)資源、時間資源等等),保證了網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的運(yùn)行速度和反應(yīng)能力,增加網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的魯棒性和健壯性。如圖2所示,該網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺可以部署在企業(yè)網(wǎng)絡(luò)的安全管理區(qū)域,以機(jī)架服務(wù)器的形式連接到管理域的核心交換上,用戶和管理員遠(yuǎn)程通過Web頁面進(jìn)行訪問,管理服務(wù)器同企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)數(shù)據(jù)中心(Internet DataCenter,簡稱IDC)核心網(wǎng)絡(luò)設(shè)備進(jìn)行配置和命令層次的交互,包括路由器、交換機(jī)和防火墻,對支持簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol,簡稱SNMP)、命令行終端和netconf協(xié)議的網(wǎng)絡(luò)設(shè)備適配支持。
      [0078]在部署網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺時,需要導(dǎo)入用戶信息進(jìn)行注冊和組織機(jī)構(gòu)業(yè)務(wù)流程關(guān)系,也可以同企業(yè)的輕量目錄訪問協(xié)議(Lightweight DirectoryAccess Protocol,簡稱LDAP)接口進(jìn)行集成,同時需要批量導(dǎo)入核心網(wǎng)絡(luò)設(shè)備的安全外殼協(xié)議(Secure Shell,簡稱SSH)登陸信息和SNMP讀取串,明確該網(wǎng)絡(luò)設(shè)備品牌用于自動化命令適配。
      [0079]網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺可以以硬件形式提供,可遠(yuǎn)程訪問Web頁面進(jìn)行管理,該產(chǎn)品由用戶登錄申請平臺、管理員平臺、管理服務(wù)器和流量采集器組成。
      [0080]用戶登錄申請平臺用于用戶和用戶上級的登錄,包括網(wǎng)絡(luò)訪問策略的申請、用戶申請記錄查看、用戶上級的確認(rèn)、用戶上級確認(rèn)記錄查看和用戶口令管理等。
      [0081]管理員平臺用于網(wǎng)絡(luò)安全管理員對網(wǎng)絡(luò)訪問控制策略的綜合管理,包括網(wǎng)絡(luò)設(shè)備ACL管理模塊,ACL狀態(tài)監(jiān)測,ACL信息查看和審批,虛擬局域網(wǎng)(Virtual Local AreaNetwork,簡稱VLAN)信息管理,用戶和權(quán)限管理、系統(tǒng)配置管理、審計日志管理等。
      [0082]管理服務(wù)器負(fù)責(zé)定期抓取核心網(wǎng)絡(luò)設(shè)備的配置信息,檢查網(wǎng)絡(luò)設(shè)備狀態(tài),網(wǎng)絡(luò)設(shè)備命令執(zhí)行的適配、網(wǎng)絡(luò)設(shè)備命令的自動生成和推送、ACL策略失效狀態(tài)監(jiān)測、ACL流量監(jiān)測和失效撤銷等。
      [0083]由于網(wǎng)絡(luò)邊界設(shè)備的容量是有限制的,一旦超出限額,則會導(dǎo)致所有網(wǎng)絡(luò)訪問控制策略失效。為了避免此類問題的發(fā)生,在本發(fā)明的一個優(yōu)選實施例中,步驟S104中監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),具體包括:監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量是否超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量。優(yōu)選地,當(dāng)網(wǎng)絡(luò)邊界設(shè)備中增加新的訪問控制策略的條目時(例如,網(wǎng)絡(luò)邊界設(shè)備中每增加一條新的訪問控制策略的條目時),觸發(fā)監(jiān)控從該網(wǎng)絡(luò)邊界設(shè)備中所獲取的、已更新的訪問控制策略的條目的數(shù)量是否超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量的操作,實時保證了網(wǎng)絡(luò)邊界設(shè)備能夠正常運(yùn)行,避免了網(wǎng)絡(luò)邊界設(shè)備的容量超額的問題。
      [0084]若監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量,則針對該網(wǎng)絡(luò)邊界設(shè)備發(fā)起報警消息。例如,某路由器所能夠承載的ACL策略的容量為100條,當(dāng)監(jiān)控到該路由器中ACL的條數(shù)為1I條時,則對該路由器發(fā)送報警消息。另外,針對網(wǎng)絡(luò)邊界設(shè)備發(fā)起報警信息的時機(jī)不僅僅局限于從網(wǎng)絡(luò)邊界設(shè)備獲取的訪問控制策略的條目的數(shù)量超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量,還可以設(shè)定為從網(wǎng)絡(luò)邊界設(shè)備獲取的訪問控制策略的條目的數(shù)量達(dá)到該網(wǎng)絡(luò)邊界設(shè)備所能承載的條目數(shù)量的一定比例時,對該網(wǎng)絡(luò)邊界設(shè)備進(jìn)行報警。例如,某交換機(jī)所能承載的ACL的容量是500條,當(dāng)監(jiān)控到該交換機(jī)中ACL的條數(shù)為其所能承載的ACL的容量的90%時,對該交換機(jī)發(fā)送報警信息。本發(fā)明實施例列舉的數(shù)字僅僅是作為示例進(jìn)行說明,對本發(fā)明并不造成任何限定。
      [0085]除對各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量進(jìn)行監(jiān)控外,在本發(fā)明的一個優(yōu)選實施例中,還需對各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容進(jìn)行監(jiān)控,即監(jiān)控訪問控制策略的訪問權(quán)限內(nèi)容,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作。優(yōu)選地,當(dāng)網(wǎng)絡(luò)邊界設(shè)備中增加新的訪問控制策略的條目時(例如,網(wǎng)絡(luò)邊界設(shè)備中每增加一條新的訪問控制策略的條目時),觸發(fā)對從該網(wǎng)絡(luò)邊界設(shè)備中獲取的、已更新的訪問控制策略的訪問權(quán)限內(nèi)容的監(jiān)控操作,實時保證了網(wǎng)絡(luò)邊界設(shè)備中的訪問控制策略的訪問權(quán)限內(nèi)容的安全性,避免了訪問控制策略的條目的內(nèi)容不當(dāng)導(dǎo)致企業(yè)內(nèi)部資源外泄的問題。其中,各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容至少包括:發(fā)起訪問的源IP地址、需要訪問的目的IP地址、目的端口、通信協(xié)議、訪問權(quán)限有效時間。
      [0086]若當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在冗余時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對該訪問控制策略的條目進(jìn)行合并操作。例如,對于同一申請終端的發(fā)起的兩次相同的訪問控制策略,則針對這兩個相同的訪問控制策略的條目的內(nèi)容進(jìn)行合并。
      [0087]若當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在不當(dāng)時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對訪問控制策略的條目進(jìn)行刪除操作。例如,獲取的訪問控制策略的條目的內(nèi)容中出現(xiàn)不允許訪問的目的IP地址,則刪除該訪問控制策略的條目的內(nèi)容;獲取的訪問控制策略的條目的內(nèi)容中出現(xiàn)僅允許特定設(shè)備進(jìn)行訪問的目的端口,則刪除該訪問控制策略的條目的內(nèi)容;獲取的訪問控制策略的條目的內(nèi)容中出現(xiàn)不符合要求的通信協(xié)議類型,則刪除該訪問控制策略的條目的內(nèi)容;獲取的訪問控制策略的條目的內(nèi)容中出現(xiàn)超過設(shè)定期限的權(quán)限有效時間,則刪除該訪問控制策略的條目的內(nèi)容,等等。
      [0088]上述提及的從某網(wǎng)絡(luò)邊界設(shè)備中所獲取的某一具體訪問控制策略的條目恰好超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量,或者從某網(wǎng)絡(luò)邊界設(shè)備中所獲取的某一訪問控制策略的條目的內(nèi)容存在不當(dāng),則將該具體訪問控制策略的條目視為不安全訪問控制策略。在本發(fā)明的一個優(yōu)選實施例中,當(dāng)網(wǎng)絡(luò)邊界設(shè)備中存在不安全訪問控制策略的條目時,網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺對其進(jìn)行攔截處理,避免了由于網(wǎng)絡(luò)邊界設(shè)備上的訪問控制策略的條目容量超額引起的該網(wǎng)絡(luò)邊界設(shè)備上所有訪問控制策略的條目失效的問題,以及避免了訪問控制策略的條目的內(nèi)容不當(dāng)導(dǎo)致企業(yè)內(nèi)部資源外泄的問題,保障了網(wǎng)絡(luò)邊界設(shè)備自身防護(hù)的安全性,進(jìn)而保障了與網(wǎng)絡(luò)邊界設(shè)備連接的企業(yè)網(wǎng)絡(luò)的安全性。
      [0089]本發(fā)明實施例中,在網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的可視化界面上顯示可視化拓?fù)鋱D,圖3示出了根據(jù)本發(fā)明一個實施例的網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的可視化界面上顯示的可視化拓?fù)鋱D的示意圖。參見圖3,該可視化拓?fù)鋱D能夠顯示網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺管轄的各網(wǎng)絡(luò)邊界設(shè)備的連通路徑。當(dāng)確定某網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量時,或者,當(dāng)確定從某網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在不當(dāng)時,在可視化拓?fù)鋱D中以特定標(biāo)識顯示該網(wǎng)絡(luò)邊界設(shè)備所在的節(jié)點(diǎn),和/或該網(wǎng)絡(luò)邊界設(shè)備對應(yīng)的連通路徑,具體地,對可視化拓?fù)鋱D上顯示的該網(wǎng)絡(luò)邊界設(shè)備和/或該網(wǎng)絡(luò)邊界設(shè)備對應(yīng)的連通路徑采用高亮、重新著色以及頻閃等方式進(jìn)行標(biāo)識。以圖3中的路由器I為例進(jìn)行說明,當(dāng)路由器I上的訪問控制策略的條目的數(shù)量超過其所能夠承載的條目數(shù)量,則圖3中示出的路由器I開始頻閃,并且與路由器I相關(guān)的連通路徑也開始頻閃。
      [0090]當(dāng)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺監(jiān)測到可視化拓?fù)鋱D上出現(xiàn)特定標(biāo)識時,對特定標(biāo)識對應(yīng)的該網(wǎng)絡(luò)邊界設(shè)備進(jìn)行后續(xù)處理操作,例如,攔截該網(wǎng)絡(luò)邊界設(shè)備上的超額的訪問控制策略的條目,刪除該網(wǎng)絡(luò)邊界設(shè)備上的存在不當(dāng)內(nèi)容的訪問控制策略的條目,保障了該網(wǎng)絡(luò)邊界設(shè)備自身的安全性,進(jìn)而保障了與該網(wǎng)絡(luò)邊界設(shè)備相連的企業(yè)網(wǎng)絡(luò)的安全性。
      [0091]由于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺不只是與一臺網(wǎng)絡(luò)連接設(shè)備連接,同時網(wǎng)絡(luò)連接設(shè)備的種類繁多,為了更加快速地對與網(wǎng)絡(luò)連接設(shè)備訪問控制策略管控平臺相連的多個網(wǎng)絡(luò)邊界設(shè)備訪問控制策略實現(xiàn)管控,在本發(fā)明的一個優(yōu)選實施例中,在網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺建立一個中間命令轉(zhuǎn)化數(shù)據(jù)庫。當(dāng)從不同類型的網(wǎng)絡(luò)邊界設(shè)備獲取到訪問控制策略的條目時,或者從網(wǎng)絡(luò)邊界設(shè)備獲取到不同類型的訪問控制策略的條目時,利用中間命令轉(zhuǎn)化數(shù)據(jù)庫對獲取到的不同類型的訪問控制策略的條目進(jìn)行自適化處理,使得不同類型的訪問控制策略的條目轉(zhuǎn)化為相同類型的訪問控制策略的條目。
      [0092]具體地,與網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺相連的網(wǎng)絡(luò)邊界設(shè)備有路由器、交換機(jī)、防火墻。從各網(wǎng)絡(luò)邊界設(shè)備上獲取的訪問控制策略的條目是以數(shù)據(jù)包的形式存在,由于路由器、交換機(jī)以及防火墻屬于不同類型的網(wǎng)絡(luò)邊界設(shè)備,進(jìn)而從路由器、交換機(jī)以及防火墻上獲取的訪問控制策略條目也是以不同格式的數(shù)據(jù)包存在。本發(fā)明實施例中,利用建立的中間命令轉(zhuǎn)化數(shù)據(jù)庫對從路由器、交換機(jī)以及防火墻上獲取的訪問控制策略條目以預(yù)設(shè)的格式分別對其進(jìn)行轉(zhuǎn)化,將從路由器、交換機(jī)以及防火墻上獲取的訪問控制策略條目轉(zhuǎn)化為具有同一格式的數(shù)據(jù)包。再例如,以路由器為例,路由器的生產(chǎn)廠家眾多,比如,騰達(dá)、華為、思科等,由于路由器的生產(chǎn)廠家不同,導(dǎo)致從不同生產(chǎn)廠家的路由器上獲取的訪問控制策略的條目的類型不同,此時,可以利用中間命令轉(zhuǎn)化數(shù)據(jù)庫對從不同生產(chǎn)廠家的路由器上獲取的不同類型的訪問控制策略的條目進(jìn)行自適化處理,將其轉(zhuǎn)化為具有同一格式的訪問控制策略的條目。
      [0093]由上述分析可知,中間命令轉(zhuǎn)化數(shù)據(jù)庫可以針對不同類型或型號的網(wǎng)絡(luò)邊界設(shè)備的訪問控制策略進(jìn)行轉(zhuǎn)化,將其轉(zhuǎn)化為具備同一格式的訪問控制策略的條目,對于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺而言,其后續(xù)所要處理的是同一格式的訪問控制策略的條目,而不是形形色色的多格式的訪問控制策略的條目,其處理所需的資源大大減少,提高了處理效率,降低處理過程中可能出現(xiàn)的意外風(fēng)險,保證處理過程中的安全性。
      [0094]本發(fā)明實施例中,在網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺對不同類型或型號的網(wǎng)絡(luò)邊界設(shè)備的訪問控制策略處理結(jié)束之后,由網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令。此時,網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令需要根據(jù)中間命令轉(zhuǎn)化數(shù)據(jù)庫將操作命令轉(zhuǎn)化為適應(yīng)于對應(yīng)網(wǎng)絡(luò)邊界設(shè)備的操作命令,然后將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備,由該網(wǎng)絡(luò)邊界設(shè)備執(zhí)行。對于網(wǎng)絡(luò)邊界設(shè)備而言,其各自所執(zhí)行的命令格式是不同的,因此,網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺需要將其生成的同一格式的操作命令再次轉(zhuǎn)化為與各網(wǎng)絡(luò)邊界設(shè)備相匹配的操作命令,使得各網(wǎng)絡(luò)邊界設(shè)備能夠識別出其所接收的操作命令,并執(zhí)行。
      [0095]因此,中間命令轉(zhuǎn)化數(shù)據(jù)庫在整個操作命令的處理過程中起到了兩個作用,首次是將不同類型的網(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目進(jìn)行統(tǒng)一格式化處理,其次是將生成的、針對不同類型的網(wǎng)絡(luò)邊界設(shè)備的同一格式的操作命令轉(zhuǎn)化為與各網(wǎng)絡(luò)邊界設(shè)備匹配的操作命令。這種自適應(yīng)的轉(zhuǎn)化方式使得網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺能夠適用于各種類型的網(wǎng)絡(luò)邊界設(shè)備,管轄范圍大大增加,而對于各種類型的網(wǎng)絡(luò)邊界設(shè)備,網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的管轄并不會造成其處理方式發(fā)生變動,保持原有的處理方式即可,節(jié)時省力,節(jié)省大量資源。
      [0096]在本發(fā)明的一個優(yōu)選實施例中,在網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺還建立第二重審核平臺。由網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令之后,將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備之前,還需觸發(fā)第二重審核平臺,第二重審核平臺用于審核由網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成的針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令,根據(jù)二次審核意見確定轉(zhuǎn)化后的操作命令的后續(xù)處理操作,通過對針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令的審核,保證了后續(xù)操作處理的安全性。具體地,管理者登錄第二重審核平臺,并根據(jù)預(yù)設(shè)的安全策略對針對各網(wǎng)絡(luò)邊界設(shè)備生成的操作命令進(jìn)行審核。若管理者的二次審核意見為針對各網(wǎng)絡(luò)邊界設(shè)備生成的操作命令符合預(yù)設(shè)的安全策略,則將針對各網(wǎng)絡(luò)邊界設(shè)備轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)的網(wǎng)絡(luò)邊界設(shè)備,若管理者的二次審核意見為針對各網(wǎng)絡(luò)邊界設(shè)備生成的操作命令不符合預(yù)設(shè)的安全策略,則拒絕將針對各網(wǎng)絡(luò)邊界設(shè)備轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)的網(wǎng)絡(luò)邊界設(shè)備。
      [0097]基于同一發(fā)明構(gòu)思,本發(fā)明實施例還提供了一種企業(yè)網(wǎng)絡(luò)訪問權(quán)限的控制裝置,該裝置適用于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺,該平臺與至少一臺網(wǎng)絡(luò)邊界設(shè)備連接,其中,網(wǎng)絡(luò)邊界設(shè)備至少包括:路由器、交換機(jī)、防火墻。圖4示出了根據(jù)本發(fā)明一個實施例的企業(yè)網(wǎng)絡(luò)訪問權(quán)限的控制裝置的結(jié)構(gòu)示意圖。參見圖4,該裝置至少包括:
      [0098]第一獲取模塊410,適于從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目;
      [0099]第二獲取模塊420,與第一獲取模塊410耦合,適于針對各網(wǎng)絡(luò)邊界設(shè)備,獲取該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn);
      [0100]監(jiān)控模塊430,與第二獲取模塊420耦合,適于監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),根據(jù)監(jiān)控結(jié)果對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略進(jìn)行管控。
      [0101]在本發(fā)明的一個優(yōu)選實施例中,監(jiān)控模塊430還適于:監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量是否超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量;或者監(jiān)控訪問控制策略的訪問權(quán)限內(nèi)容,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作。
      [0102]在本發(fā)明的一個優(yōu)選實施例中,監(jiān)控模塊430還適于:當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在冗余時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對訪問控制策略的條目進(jìn)行合并操作。
      [0103]在本發(fā)明的一個優(yōu)選實施例中,監(jiān)控模塊430還適于:當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在不當(dāng)時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對訪問控制策略的條目進(jìn)行刪除操作。
      [0104]在本發(fā)明的一個優(yōu)選實施例中,參見圖5,該裝置還包括:
      [0105]警報模塊440,與監(jiān)控模塊430耦合,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量,針對該網(wǎng)絡(luò)邊界設(shè)備發(fā)起報警消息。
      [0106]在本發(fā)明的一個優(yōu)選實施例中,參見圖5,該裝置還包括:
      [0107]自適應(yīng)模塊450,與第一獲取模塊410耦合,與適于在網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺中建立中間命令轉(zhuǎn)化數(shù)據(jù)庫;從各網(wǎng)絡(luò)邊界設(shè)備獲取不同類型的訪問控制策略的條目時,利用中間命令轉(zhuǎn)化數(shù)據(jù)庫對各不同類型的訪問控制策略的條目進(jìn)行自適化處理,將其轉(zhuǎn)化為相同類型。
      [0108]在本發(fā)明的一個優(yōu)選實施例中,自適應(yīng)模塊450還適于:由網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令時,根據(jù)中間命令轉(zhuǎn)化數(shù)據(jù)庫將操作命令轉(zhuǎn)化為適應(yīng)于對應(yīng)網(wǎng)絡(luò)邊界設(shè)備的操作命令;將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備,由該網(wǎng)絡(luò)邊界設(shè)備執(zhí)行。
      [0109 ]在本發(fā)明的一個優(yōu)選實施例中,參見圖5,該裝置還包括:
      [0110]二次審核模塊460,與自適應(yīng)模塊450耦合,適于觸發(fā)二次審核機(jī)制,由網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成的、針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令發(fā)送至網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的第二重審核平臺;經(jīng)第二重審核平臺接收來自管理者的二次審核意見;依據(jù)二次審核意見確定是否將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備。
      [0111]綜上,采用本發(fā)明實施例提供的企業(yè)網(wǎng)絡(luò)訪問權(quán)限的控制方法及裝置可以達(dá)到如下有益效果:
      [0112]在本發(fā)明實施例中,網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn)是根據(jù)網(wǎng)絡(luò)邊界設(shè)備的特征(例如網(wǎng)絡(luò)邊界設(shè)備能夠支持的訪問控制策略的條目數(shù)、網(wǎng)絡(luò)邊界設(shè)備能夠支持的訪問控制策略的類別等)以及與網(wǎng)絡(luò)邊界設(shè)備相連的企業(yè)網(wǎng)絡(luò)預(yù)先設(shè)置的訪問控制策略進(jìn)行設(shè)定的,因此,本發(fā)明實施例中,在獲取指定網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn)之后,進(jìn)一步監(jiān)控從網(wǎng)絡(luò)邊界設(shè)備上獲取的訪問控制策略的條目是否滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),得到監(jiān)控結(jié)果,從而根據(jù)監(jiān)控結(jié)果實現(xiàn)了對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的條目的管控,若監(jiān)控結(jié)果滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),則能夠確定該網(wǎng)絡(luò)邊界設(shè)備目前的訪問控制策略是安全的,若監(jiān)控結(jié)果不滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制控制所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),則能夠確定該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略可能存在風(fēng)險。即,本發(fā)明實施例根據(jù)監(jiān)控結(jié)果判斷網(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目是否安全,若監(jiān)控結(jié)果未超出網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn),首先證明網(wǎng)絡(luò)邊界設(shè)備本身的防護(hù)是安全的,進(jìn)一步證明與網(wǎng)絡(luò)邊界設(shè)備連接的企業(yè)網(wǎng)絡(luò)的安全性能也是具備一定防護(hù)能力的,能夠達(dá)到對企業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的目的。另外,網(wǎng)絡(luò)安全管理人員便于通過監(jiān)控結(jié)果掌握網(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目的安全情況,能夠?qū)W(wǎng)絡(luò)邊界設(shè)備的訪問控制策略的條目有一個全面的了解,避免由于網(wǎng)絡(luò)邊界設(shè)備上的訪問控制策略的條目容量超額,或者人工操作不當(dāng)引起的嚴(yán)格受限的權(quán)限放開,致使企業(yè)內(nèi)部資源外泄的問題,提高了企業(yè)網(wǎng)絡(luò)的安全性。
      [0113]在此處所提供的說明書中,說明了大量具體細(xì)節(jié)。然而,能夠理解,本發(fā)明的實施例可以在沒有這些具體細(xì)節(jié)的情況下實踐。在一些實例中,并未詳細(xì)示出公知的方法、結(jié)構(gòu)和技術(shù),以便不模糊對本說明書的理解。
      [0114]類似地,應(yīng)當(dāng)理解,為了精簡本公開并幫助理解各個發(fā)明方面中的一個或多個,在上面對本發(fā)明的示例性實施例的描述中,本發(fā)明的各個特征有時被一起分組到單個實施例、圖、或者對其的描述中。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個權(quán)利要求中所明確記載的特征更多的特征。更確切地說,如下面的權(quán)利要求書所反映的那樣,發(fā)明方面在于少于前面公開的單個實施例的所有特征。因此,遵循【具體實施方式】的權(quán)利要求書由此明確地并入該【具體實施方式】,其中每個權(quán)利要求本身都作為本發(fā)明的單獨(dú)實施例。
      [0115]本領(lǐng)域那些技術(shù)人員可以理解,可以對實施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們設(shè)置在與該實施例不同的一個或多個設(shè)備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外,可以采用任何組合對本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述,本說明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個特征可以由提供相同、等同或相似目的的替代特征來代替。
      [0116]此外,本領(lǐng)域的技術(shù)人員能夠理解,盡管在此所述的一些實施例包括其它實施例中所包括的某些特征而不是其它特征,但是不同實施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實施例。例如,在權(quán)利要求書中,所要求保護(hù)的實施例的任意之一都可以以任意的組合方式來使用。
      [0117]本發(fā)明的各個部件實施例可以以硬件實現(xiàn),或者以在一個或者多個處理器上運(yùn)行的軟件模塊實現(xiàn),或者以它們的組合實現(xiàn)。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解,可以在實踐中使用微處理器或者數(shù)字信號處理器(DSP)來實現(xiàn)根據(jù)本發(fā)明實施例的企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控裝置中的一些或者全部部件的一些或者全部功能。本發(fā)明還可以實現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如,計算機(jī)程序和計算機(jī)程序產(chǎn)品)。這樣的實現(xiàn)本發(fā)明的程序可以存儲在計算機(jī)可讀介質(zhì)上,或者可以具有一個或者多個信號的形式。這樣的信號可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號上提供,或者以任何其他形式提供。
      [0118]應(yīng)該注意的是上述實施例對本發(fā)明進(jìn)行說明而不是對本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計出替換實施例。在權(quán)利要求中,不應(yīng)將位于括號之間的任何參考符號構(gòu)造成對權(quán)利要求的限制。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟。位于元件之前的單詞“一”或“一個”不排除存在多個這樣的元件。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計算機(jī)來實現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個可以是通過同一個硬件項來具體體現(xiàn)。單詞第一、第二、以及第三等的使用不表示任何順序。可將這些單詞解釋為名稱。
      [0119]至此,本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識到,雖然本文已詳盡示出和描述了本發(fā)明的多個示例性實施例,但是,在不脫離本發(fā)明精神和范圍的情況下,仍可根據(jù)本發(fā)明公開的內(nèi)容直接確定或推導(dǎo)出符合本發(fā)明原理的許多其他變型或修改。因此,本發(fā)明的范圍應(yīng)被理解和認(rèn)定為覆蓋了所有這些其他變型或修改。
      [0120]基于本發(fā)明的一個方面,還提供了Al、一種企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法,所述方法適用于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺,所述平臺與至少一臺網(wǎng)絡(luò)邊界設(shè)備連接,所述方法包括:
      [0121]從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目;
      [0122]針對各網(wǎng)絡(luò)邊界設(shè)備,獲取該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn);
      [0123]監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),根據(jù)監(jiān)控結(jié)果對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略進(jìn)行管控。
      [0124]A2、根據(jù)Al所述的方法,其中,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),包括:
      [0125]監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量是否超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量;或者
      [0126]監(jiān)控所述訪問控制策略的訪問權(quán)限內(nèi)容,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作。
      [0127]A3、根據(jù)A2所述的方法,其中,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作,包括:
      [0128]當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在冗余時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行合并操作。
      [0129]A4、根據(jù)A2所述的方法,其中,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作,包括:
      [0130]當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在不當(dāng)時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行刪除操作。
      [0131 ] A5、根據(jù)A2所述的方法,其中,還包括:
      [0132]監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量,針對該網(wǎng)絡(luò)邊界設(shè)備發(fā)起報警消息。
      [0133]A6、根據(jù)A1-A5任一項所述的方法,其中,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),還包括:
      [0134]當(dāng)所述網(wǎng)絡(luò)邊界設(shè)備中增加新的訪問控制策略的條目時,觸發(fā)監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn)的操作。
      [0135]A7、根據(jù)A1-A6任一項所述的方法,其中,從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目,包括:
      [0136]在所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺中建立中間命令轉(zhuǎn)化數(shù)據(jù)庫;
      [0137]從各網(wǎng)絡(luò)邊界設(shè)備獲取不同類型的訪問控制策略的條目時,利用中間命令轉(zhuǎn)化數(shù)據(jù)庫對各不同類型的訪問控制策略的條目進(jìn)行自適化處理,將其轉(zhuǎn)化為相同類型。
      [0138]AS、根據(jù)A7所述的方法,其中,所述方法還包括:
      [0139]由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令時,根據(jù)所述中間命令轉(zhuǎn)化數(shù)據(jù)庫將所述操作命令轉(zhuǎn)化為適應(yīng)于對應(yīng)網(wǎng)絡(luò)邊界設(shè)備的操作命令;
      [0140]將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備,由該網(wǎng)絡(luò)邊界設(shè)備執(zhí)行。
      [0141]A9、根據(jù)AS所述的方法,其中,由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令之后,將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備之前,所述方法還包括:
      [0142]觸發(fā)二次審核機(jī)制,由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成的、針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令發(fā)送至所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的第二重審核平臺;
      [0143]經(jīng)所述第二重審核平臺接收來自管理者的二次審核意見;
      [0144]依據(jù)所述二次審核意見確定是否將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備。
      [0145]A10、根據(jù)A1-A9任一項所述的裝置,其中,所述網(wǎng)絡(luò)邊界設(shè)備包括下列至少之一:
      [0146]交換機(jī)、防火墻、路由器。
      [0147]基于本發(fā)明的另一個方面,還提供了B11、一種網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控裝置,所述裝置適用于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺,所述平臺與至少一臺網(wǎng)絡(luò)邊界設(shè)備連接,所述裝置包括:
      [0148]第一獲取模塊,適于從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目;
      [0149]第二獲取模塊,適于針對各網(wǎng)絡(luò)邊界設(shè)備,獲取該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn);
      [0150]監(jiān)控模塊,適于監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),根據(jù)監(jiān)控結(jié)果對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略進(jìn)行管控。
      [0151]B12、根據(jù)Bll所述的裝置,其中,所述監(jiān)控模塊還適于:
      [0152]監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量是否超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量;或者
      [0153]監(jiān)控所述訪問控制策略的訪問權(quán)限內(nèi)容,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作。
      [0154]B13、根據(jù)B12所述的裝置,其中,所述監(jiān)控模塊還適于:
      [0155]當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在冗余時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行合并操作。
      [0156]B14、根據(jù)B12所述的裝置,其中,所述監(jiān)控模塊還適于:
      [0157]當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在不當(dāng)時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行刪除操作。
      [0158]B15、根據(jù)B12所述的裝置,其中,還包括:
      [0159]警報模塊,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量,針對該網(wǎng)絡(luò)邊界設(shè)備發(fā)起報警消息。
      [0160]B16、根據(jù)B11-B15任一項所述的裝置,其中,所述監(jiān)控模塊還適于:
      [0161]當(dāng)所述網(wǎng)絡(luò)邊界設(shè)備中增加新的訪問控制策略的條目時,觸發(fā)監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn)的操作。
      [0162]B17、根據(jù)B11-B16任一項所述的裝置,其中,還包括:
      [0163]自適應(yīng)模塊,適于在所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺中建立中間命令轉(zhuǎn)化數(shù)據(jù)庫;
      [0164]從各網(wǎng)絡(luò)邊界設(shè)備獲取不同類型的訪問控制策略的條目時,利用中間命令轉(zhuǎn)化數(shù)據(jù)庫對各不同類型的訪問控制策略的條目進(jìn)行自適化處理,將其轉(zhuǎn)化為相同類型。
      [0165]B18、根據(jù)B17所述的裝置,其中,所述自適應(yīng)模塊還適于:
      [0166]由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令時,根據(jù)所述中間命令轉(zhuǎn)化數(shù)據(jù)庫將所述操作命令轉(zhuǎn)化為適應(yīng)于對應(yīng)網(wǎng)絡(luò)邊界設(shè)備的操作命令;
      [0167]將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備,由該網(wǎng)絡(luò)邊界設(shè)備執(zhí)行。
      [0168]B19、根據(jù)B18所述的裝置,其中,所述裝置還包括:
      [0169]二次審核模塊,適于觸發(fā)二次審核機(jī)制,由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成的、針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令發(fā)送至所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的第二重審核平臺;
      [0170]經(jīng)所述第二重審核平臺接收來自管理者的二次審核意見;
      [0171]依據(jù)所述二次審核意見確定是否將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備。
      [0172]B20、根據(jù)B11-B19任一項所述的裝置,其中,所述網(wǎng)絡(luò)邊界設(shè)備包括下列至少之
      [0173]交換機(jī)、防火墻、路由器。
      【主權(quán)項】
      1.一種企業(yè)網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控方法,所述方法適用于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺,所述平臺與至少一臺網(wǎng)絡(luò)邊界設(shè)備連接,所述方法包括: 從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目; 針對各網(wǎng)絡(luò)邊界設(shè)備,獲取該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn); 監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),根據(jù)監(jiān)控結(jié)果對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略進(jìn)行管控。2.根據(jù)權(quán)利要求1所述的方法,其中,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),包括: 監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量是否超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量;或者 監(jiān)控所述訪問控制策略的訪問權(quán)限內(nèi)容,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作。3.根據(jù)權(quán)利要求2所述的方法,其中,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作,包括: 當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在冗余時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行合并操作。4.根據(jù)權(quán)利要求2所述的方法,其中,確定從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容是否能夠根據(jù)內(nèi)容進(jìn)行整理操作,包括: 當(dāng)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容存在不當(dāng)時,確定能夠根據(jù)從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的內(nèi)容對所述訪問控制策略的條目進(jìn)行刪除操作。5.根據(jù)權(quán)利要求2所述的方法,其中,還包括: 監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目的數(shù)量超過該網(wǎng)絡(luò)邊界設(shè)備所能夠承載的條目數(shù)量,針對該網(wǎng)絡(luò)邊界設(shè)備發(fā)起報警消息。6.根據(jù)權(quán)利要求1-5任一項所述的方法,其中,監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),還包括: 當(dāng)所述網(wǎng)絡(luò)邊界設(shè)備中增加新的訪問控制策略的條目時,觸發(fā)監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn)的操作。7.根據(jù)權(quán)利要求1-6任一項所述的方法,其中,從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目,包括: 在所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺中建立中間命令轉(zhuǎn)化數(shù)據(jù)庫; 從各網(wǎng)絡(luò)邊界設(shè)備獲取不同類型的訪問控制策略的條目時,利用中間命令轉(zhuǎn)化數(shù)據(jù)庫對各不同類型的訪問控制策略的條目進(jìn)行自適化處理,將其轉(zhuǎn)化為相同類型。8.根據(jù)權(quán)利要求7所述的方法,其中,所述方法還包括: 由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令時,根據(jù)所述中間命令轉(zhuǎn)化數(shù)據(jù)庫將所述操作命令轉(zhuǎn)化為適應(yīng)于對應(yīng)網(wǎng)絡(luò)邊界設(shè)備的操作命令; 將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備,由該網(wǎng)絡(luò)邊界設(shè)備執(zhí)行。9.根據(jù)權(quán)利要求8所述的方法,其中,由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令之后,將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備之前,所述方法還包括: 觸發(fā)二次審核機(jī)制,由所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺生成的、針對各網(wǎng)絡(luò)邊界設(shè)備的操作命令發(fā)送至所述網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺的第二重審核平臺;經(jīng)所述第二重審核平臺接收來自管理者的二次審核意見; 依據(jù)所述二次審核意見確定是否將轉(zhuǎn)化后的操作命令發(fā)送至對應(yīng)網(wǎng)絡(luò)邊界設(shè)備。10.—種網(wǎng)絡(luò)邊界設(shè)備訪問控制策略的管控裝置,所述裝置適用于網(wǎng)絡(luò)邊界設(shè)備訪問控制策略管控平臺,所述平臺與至少一臺網(wǎng)絡(luò)邊界設(shè)備連接,所述裝置包括: 第一獲取模塊,適于從至少一臺網(wǎng)絡(luò)邊界設(shè)備中獲取訪問控制策略的條目; 第二獲取模塊,適于針對各網(wǎng)絡(luò)邊界設(shè)備,獲取該網(wǎng)絡(luò)邊界設(shè)備所支持的訪問控制策略的條目的設(shè)定標(biāo)準(zhǔn); 監(jiān)控模塊,適于監(jiān)控從各網(wǎng)絡(luò)邊界設(shè)備中所獲取的訪問控制策略的條目是否滿足所述該網(wǎng)絡(luò)邊界設(shè)備所支持的設(shè)定標(biāo)準(zhǔn),根據(jù)監(jiān)控結(jié)果對網(wǎng)絡(luò)邊界設(shè)備訪問控制策略進(jìn)行管控。
      【文檔編號】H04L12/24GK105871908SQ201610371621
      【公開日】2016年8月17日
      【申請日】2016年5月30日
      【發(fā)明人】張睿, 童文, 裴越峰, 江亞輝, 金迪穎, 劉小雄
      【申請人】北京琵琶行科技有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1