[发明专利]一种网络安全设备拓扑管理方法及系统

说明书

本申请公开了一种网络安全设备拓扑管理方法及系统，其涉及网络安全技术领域，该方法包括如下步骤：基于多个子网端、多个外网端和多个防火墙构建网络拓扑结构；获取目标子网端的访问指令，并基于所述访问指令生成配置有目标防火墙的访问路径；基于所述网络拓扑结构对所述访问路径进行搜索，并判断所述访问路径是否为通路；若所述访问路径不为通路，则获取所述目标子网端的访问权限，并基于所述访问权限调整所述目标防火墙的安全策略配置；若所述访问路径为通路，则建立所述访问指令对应的目标外网端和所述目标子网端之间的网络连接。本申请具有调整防火墙安全策略较为容易的优点。

技术领域

本申请涉及网络安全技术领域，尤其是涉及一种网络安全设备拓扑管理方法及系统。

背景技术

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

因此在网络数据的传输过程中，除了需要路由器和交换机来保障数据流量的流通，还需要配置防火墙来保障数据的安全。在相关技术中，若采用了大量的路由器和交换机构建大型的网络拓扑环境时，同时也需要采用大量的防火墙进行隔离、防御，对每组防火墙的配置则是根据特定的网络业务进行配置的。

针对上述中的相关技术，发明人认为存在有以下缺陷：当网络业务进行调整时，先要根据网络业务寻找到特定的网络路径，再通过网络路径定位相关的防火墙，再手动对相关防火墙的安全策略进行调整，若进行调整的网络业务较多时，需要逐个对相关防火墙进行查找并调整，较为麻烦。

发明内容

为了改善调整多个防火墙时较为麻烦的缺陷，本申请提供一种网络安全设备拓扑管理方法及系统。

第一方面，本申请提供一种网络安全设备拓扑管理方法，包括如下步骤：

基于多个子网端、多个外网端和多个防火墙构建网络拓扑结构；

获取用户所操作的目标子网端的访问指令，并基于所述访问指令生成配置有目标防火墙的访问路径；

基于所述目标防火墙的安全策略配置对所述访问路径进行分析得到分析结果，并根据所述分析结果判断所述访问路径是否为通路；

若所述访问路径不为通路，则获取所述目标子网端的访问权限，并基于所述访问权限调整所述安全策略配置；

若所述访问路径为通路，则建立所述访问指令对应的外网端和所述目标子网端之间的网络连接。

通过采用上述技术方案，根据用户操作的目标子网端所发出的访问指令在网络拓扑结构中生成相应的访问路径，而访问路径中配置有保障数据安全的目标防火墙，再根据目标防火墙的安全策略配置可以分析判断对应的访问路径是否为通路，若不为通路则根据目标子网端的访问权限相应的调整目标防火墙的安全策略配置，若为通路则可以直接建立外网端与目标子网端之间的连接。由于访问指令所附带的网络业务可能各不相同，因此当访问指令发生改变时，相应的防火墙将会根据发出访问指令的目标子网端的访问权限自动调整安全策略配置，从而可以减少手动修改防火墙的繁琐操作。

可选的，基于所述访问指令生成配置有目标防火墙的访问路径包括如下步骤：

分析所述访问指令得到指令信息，所述指令信息包括源地址信息和目的地址信息；

基于所述源地址信息在所述网络拓扑结构中筛选出若干备选防火墙；

基于所述目的地址信息分别对所有备选防火墙的子网信息进行检索，判断所述备选防火墙是否包含与所述目的地址信息对应的目标子网信息；

若所述备选防火墙未包含所述目标子网信息，则重新进行检索判断；