本發(fā)明涉及網(wǎng)絡安全領域，尤其涉及安全域結構檢查方法及裝置。
背景技術：
：隨著網(wǎng)絡技術及信息技術的不斷發(fā)展，出現(xiàn)了越來越多的大型網(wǎng)絡系統(tǒng)。由于網(wǎng)絡系統(tǒng)通常包含數(shù)量繁多類型多樣的網(wǎng)絡設備，不同的網(wǎng)絡設備的安全防護需求也不相同，為簡化網(wǎng)絡系統(tǒng)網(wǎng)絡安全防護的復雜度，技術人員通常會根據(jù)網(wǎng)絡設備的安全防護需求將網(wǎng)絡系統(tǒng)劃分為若干個安全域，并采用不同的訪問規(guī)則限制不同安全域中網(wǎng)絡設備的訪問權限。在實際使用中，技術人員常常需要對網(wǎng)絡系統(tǒng)進行結構調整，例如，在網(wǎng)絡系統(tǒng)中添加新的網(wǎng)絡設備、將網(wǎng)絡系統(tǒng)中某個網(wǎng)絡設備下線或者調整網(wǎng)絡系統(tǒng)中某個網(wǎng)絡設備的功能等。由于在網(wǎng)絡系統(tǒng)進行結構調整后，網(wǎng)絡設備應當所屬的安全域也可能會隨之發(fā)生變化，因此還需要技術人員根據(jù)網(wǎng)絡系統(tǒng)的結構調整，重新確定各個安全域所包含的設備，并對所含網(wǎng)絡設備發(fā)生變化對安全域進行訪問規(guī)則調整。當網(wǎng)絡系統(tǒng)的結構調整規(guī)模較大，涉及網(wǎng)絡設備數(shù)量較多時，技術人員很容易將網(wǎng)絡設備劃入錯誤安全域。將網(wǎng)絡設備劃入錯誤安全域，會導致網(wǎng)絡設備適用錯誤的訪問規(guī)則，降低網(wǎng)絡系統(tǒng)的安全性。因此在對網(wǎng)絡系統(tǒng)進行結構調整后，需要對網(wǎng)絡系統(tǒng)進行安全域結構檢查，得到描繪安全域結構的相關信息，其中，描繪安全域結構的相關信息包括不符合安全域訪問規(guī)則的網(wǎng)絡設備信息、各個安全域的出口設備信息等。但是現(xiàn)有技術中，對網(wǎng)絡系統(tǒng)進行安全域結構檢查需要技術人員人工完成，依靠人工難以保證描繪安全域結構的相關信息及時更新、內容準確。因此，亟需一種安全域結構檢查方法，準確高效的完成網(wǎng)絡系統(tǒng)的安全域結構檢查。技術實現(xiàn)要素：本發(fā)明實施例提供了安全域結構檢查方法及裝置，可以準確高效的完成網(wǎng)絡系統(tǒng)的安全域結構檢查。第一方面，本發(fā)明實施例提供了一種安全域結構檢查方法，該方法包括：從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息；根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑；根據(jù)所述連接路 徑完成對所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查。結合第一方面在第一方面第一種可能的實現(xiàn)方式中，所述從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息包括：與所述目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備建立網(wǎng)絡連接；根據(jù)所述網(wǎng)絡設備的設備類型，從所述網(wǎng)絡設備獲取與所述設備類型相對應的網(wǎng)絡結構信息。結合第一方面第一種可能的實現(xiàn)方式，在第一方面第二種可能的實現(xiàn)方式中，所述從所述網(wǎng)絡設備獲取與所述設備類型相對應的網(wǎng)絡結構信息包括：當所述網(wǎng)絡設備為路由交換設備時，獲取所述網(wǎng)絡設備的地址解析協(xié)議ARP信息及路由ROUTE信息；或者，當所述網(wǎng)絡設備為防火墻設備時，獲取所述網(wǎng)絡設備的ARP信息及ROUTE信息；或者，當所述網(wǎng)絡設備為主機時，獲取所述網(wǎng)絡設備的ARP信息。結合第一方面第二種可能的實現(xiàn)方式，在第一方面第三種可能的實現(xiàn)方式中，所述根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑包括：根據(jù)所述ARP信息，確定所述網(wǎng)絡設備之間的直連路徑；根據(jù)所述ROUTE信息，確定所述網(wǎng)絡設備之間的路由路徑。結合第一方面或第一方面第一至三種可能的實現(xiàn)方式其中任意一種，在第一方面第四種可能的實現(xiàn)方式中，根據(jù)所述連接路徑完成對所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查包括：從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑；根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡設備。結合第一方面第四種可能的實現(xiàn)方式，在第一方面第五種可能的實現(xiàn)方式中，所述從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑包括：獲取預設的安全域訪問規(guī)則；篩選出違反所述安全域訪問規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑。結合第一方面或第一方面第一至三種可能的實現(xiàn)方式其中任意一種，在第一方面第六種可能的實現(xiàn)方式中，根據(jù)所述連接路徑完成對所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查包括：根據(jù)符合安全域訪問規(guī)則所述連接路徑中的直連路徑及路由路徑確定所述目標網(wǎng)絡系統(tǒng)中各個安全域的實際出口設備；從所述實際出口設備中篩選出不符合預設安全域訪問規(guī)則的網(wǎng)絡設備。第二方面，本發(fā)明實施例還提供了一種安全域結構檢查裝置，所述裝置包括：采集單元，用于從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息；確定單元，用于根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑；檢查單元，用于根據(jù)所述連接路徑完成所述目標網(wǎng)絡系統(tǒng)的安全域 結構檢查。結合第二方面，在第二方面第一種可能的實現(xiàn)方式中，所述檢查單元包括：違規(guī)路徑篩選子單元，用于從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑；違規(guī)設備定位子單元，用于根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡設備。結合第二方面，在第二方面第二種可能的實現(xiàn)方式中，所述檢查單元包括：出口設備定位子單元，用于根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標網(wǎng)絡系統(tǒng)各個安全域的實際出口設備；違規(guī)設備篩選子單元，從所述實際出口設備中篩選出不符合預設安全域訪問規(guī)則的網(wǎng)絡設備。本發(fā)明實施例中，從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息；根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑；根據(jù)所述連接路徑完成對所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查。采用本發(fā)明實施例所提供的安全域結構檢查方法及裝置，可以自動確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑，進而根據(jù)所述連接路徑完成對所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查，從而可以準確高效的自動完成網(wǎng)絡系統(tǒng)的安全域結構檢查，得到描繪安全域結構的相關信息。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，對于本領域普通技術人員而言，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明安全域結構檢查方法一個實施例的流程圖；圖2為本發(fā)明安全域結構檢查裝置一個實施例的結構示意圖。具體實施方式下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整的描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例。基于本發(fā)明中的實施例，本領域普通技術人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。參見圖1，為本發(fā)明安全域結構檢查方法一個實施例的流程圖，該方法包括如下步驟：步驟101，從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息。檢測裝置首先確定需要檢測的目標網(wǎng)絡系統(tǒng)，在所述目標網(wǎng)絡系統(tǒng)確定之后，可以分別與所述目標網(wǎng)絡系統(tǒng)中每一個網(wǎng)絡設備建立網(wǎng)絡連接，并確定所述網(wǎng)絡設備的設備類型；再從所述網(wǎng)絡設備獲取與所述設備類型相對應的網(wǎng)絡結構信息。例如，在所述網(wǎng)絡設備為路由交換設備時，檢測裝置可以建立與該路由交換設備的網(wǎng)絡連接，然后從該路由設備獲取該路由設備的地址解析協(xié)議(AddressResolutionProtocol，簡稱ARP)、路由信息(ROUTE)、物理地址(MediumAccessControl，簡稱MAC)、接口(Interface)、心跳信息(Heartbeat，簡稱HA)等信息；在所述網(wǎng)絡設備為防火墻設備時，檢測裝置則可以建立與該防火墻設備的網(wǎng)絡連接，然后從該防火墻設備獲取該路由設備的ARP、MAC、ROUTE、Interface、HA等信息；在所述網(wǎng)絡為主機時，檢測裝置則可以建立與該主機的網(wǎng)絡連接，然后從獲取該主機的IP、MAC、ARP等信息。由于檢測裝置從目標網(wǎng)絡系統(tǒng)中各個網(wǎng)絡設備獲取到的網(wǎng)絡結構信息通常為文本等非結構化信息。為便于后續(xù)處理，還可以對所述網(wǎng)絡結構信息進行處理得到結構化的所述網(wǎng)絡結構信息。例如，在檢測裝置從網(wǎng)絡設備獲取到的ARP信息通常為文本格式。為便于處理，可以對文本格式的ARP信息進行結構化處理，得到對應的ARP信息表。其中，ARP信息表的結構及內容可以如表1所示表1主機名稱IP地址MAC地址A192.168.38.1000-AA-00-62-D2-02B192.168.38.1100-BB-00-62-C2-02C192.168.38.1200-CC-00-62-C2-02D192.168.38.1300-DD-00-62-C2-02E192.168.38.1400-EE-00-62-C2-0同樣的，為便于處理，也可以對MAC信息進行結構化處理，得到MAC信息表。MAC信息表的結構及內容如表2所示。表2由于目標網(wǎng)絡系統(tǒng)中各個設備的網(wǎng)絡結構信息可能都在不斷發(fā)生變化中，為避免網(wǎng)絡結構信息采集不同步造成后續(xù)處理過程中出現(xiàn)問題，檢測裝置可以首先與目標網(wǎng)絡系統(tǒng)中的每一個網(wǎng)絡設備建立網(wǎng)絡連接，然后采用并發(fā)模式同步從每一個所述網(wǎng)絡設備獲取與所述設備類型相對應的網(wǎng)絡結構信息。檢測裝置從各個網(wǎng)絡設備獲取網(wǎng)絡結構信息的具體方式可以參見前述，在此就不再贅述。步驟102，根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑。在目標網(wǎng)絡系統(tǒng)中，不同網(wǎng)絡設備之間的訪問方式可以有多種，但是不論網(wǎng)絡設備之間的訪問方式有多少種，都可以歸納為兩類，一類是設備之間直接訪問，另一類是設備之間通過路由進行訪問。因此不同網(wǎng)絡設備之間的連接路徑也可以歸納為兩種，一種是直連路徑，另一種是路由路徑。其中，直連路徑可以根據(jù)經(jīng)獲取到的ARP信息確定，路由路徑則可以根據(jù)路由信息來確定。具體來說，由于ARP信息可以反映該網(wǎng)絡設備與其他網(wǎng)絡設備之間直接通信的情況，因此根據(jù)ARP信息可以確定設備之間的直連路徑。例如，當?shù)谝痪W(wǎng)絡設備的ARP信息中包含第二網(wǎng)絡設備的IP及MAC，并且第二網(wǎng)絡設備的ARP信息中包含第一網(wǎng)絡設備的IP及MAC時，說明第一網(wǎng)絡設備和第二網(wǎng)絡設備之間曾經(jīng)進行過直接數(shù)據(jù)傳輸，即第一網(wǎng)絡設備與第二網(wǎng)絡設備之間可以互相訪問，也即第一網(wǎng)絡設備與第二網(wǎng)絡設備之間存在直連路徑。根據(jù)所述MAC信息表還可以確定第一網(wǎng)絡設備通過哪一個端口與第二網(wǎng)絡設備的哪一個端口相連等。同樣的，由于ROUTE信息可以反映網(wǎng)絡設備之間通過路由進行通信的情況，因此可以根據(jù)ROUTE信息確定設備之間的路由路徑。例如，當?shù)谝痪W(wǎng)絡設備的路由信息中包含將第二網(wǎng)絡設備的數(shù)據(jù)包轉發(fā)給第三網(wǎng)絡設備，并將第三網(wǎng)絡設備發(fā)送的數(shù)據(jù)包轉發(fā)給第二網(wǎng)絡設備時，說明第二網(wǎng)絡設備與第三網(wǎng)絡設備之間存在一個以第一網(wǎng)絡設備為路由的路由路徑。由于在目標網(wǎng)絡系統(tǒng)結構較為復雜時，兩個網(wǎng)絡設備之間可能會存在多條連接路徑。因此需要根據(jù)網(wǎng)絡設備所屬虛擬局域網(wǎng)(VirtualLocalAreaNetwork，簡稱VLAN)、Interface、HA信息等確定兩個網(wǎng)絡設備之間所有的網(wǎng)絡路徑。例如，當存在HA信息時，說明兩個網(wǎng)絡設備之間至少存在兩條連接路徑，由于不同的路徑需要使用不同的Interface，因此可以根據(jù)Interface確定兩個網(wǎng)絡設備之間的所有連接路徑。步驟103，根據(jù)所述連接路徑完成對所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查。在目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑確定之后，檢測設備可以根據(jù)這些連接路徑完成網(wǎng)絡系統(tǒng)的安全域結構檢查，得到描述安全域結構的相關信息。根據(jù)所需相關信息的類型不同，檢測裝置可以采用不同的方式完成目標網(wǎng)絡系統(tǒng)的安全域結構檢查?？蛇x的，檢測設備可以首先從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑，然后根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡設備。其中，在篩選違規(guī)連接路徑時，檢測裝置可以首先獲取預先已經(jīng)設定的安全域訪問規(guī)則，然后篩選出違反所述安全域訪問規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑。根據(jù)實際需求不同，安全域訪問規(guī)則也可以各不相同。例如，當目標網(wǎng)絡系統(tǒng)被劃分為互聯(lián)網(wǎng)接口區(qū)、核心交換區(qū)及核心生產區(qū)三個安全域時，安全域訪問規(guī)則可以包括：同一安全域內的網(wǎng)絡設備之間可以互相訪問；互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡設備不允許直接訪問核心生產區(qū)的網(wǎng)絡設備；核心交換區(qū)的網(wǎng)絡設備允許訪問核心生產區(qū)的網(wǎng)絡設備；互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡設備允許訪問核心生產區(qū)的網(wǎng)絡設備。當各個網(wǎng)絡設備之間的連接路徑及安全域訪問規(guī)則都已經(jīng)確定之后，由于各個網(wǎng)絡設備應屬的安全域已經(jīng)預先確定，因此檢測裝置可以逐一分析各個網(wǎng)絡設備之間的連接路徑是否符合安全域訪問規(guī)則。例如，當?shù)谝痪W(wǎng)絡設備與第二網(wǎng)絡設備之間存在直連路徑時，如果第一網(wǎng)絡設備及第二網(wǎng)絡設備均為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡設備，則該直連路徑不為違規(guī)路徑；如果第一網(wǎng)絡設備為核心生產區(qū)的網(wǎng)絡設備，第二網(wǎng)絡設備為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡設備，則該直連路徑為違規(guī)路徑。同樣的，當?shù)谝痪W(wǎng)絡設備與第二網(wǎng)絡設備之間存在路由連路徑時，如果第一網(wǎng)絡設備及第二網(wǎng)絡設備均為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡設備，則該直連路徑不為違規(guī)路徑；如果第一網(wǎng)絡設備為核心生產區(qū)的網(wǎng)絡設備，第二網(wǎng)絡設備為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡設備，則該直連路徑為違規(guī)路徑。其中第一網(wǎng)絡設備及第二網(wǎng)絡設備所屬的安全域是指根據(jù)預先劃分，第一網(wǎng)絡設備及第二網(wǎng)絡設備應屬的安全域。在篩選出違規(guī)連接路徑后，可以認定違規(guī)連接路徑所涉及到的網(wǎng)絡設備均為不符合 安全域訪問規(guī)則的網(wǎng)絡設備。例如，當某直連路徑為違規(guī)連接路徑時，可以確定該直連路徑兩端的網(wǎng)絡設備即為不符合安全域訪問規(guī)則的網(wǎng)絡設備。又如，當某路由路徑為違規(guī)連接路徑時，可以確定該路由路徑所包含的所有網(wǎng)絡設備均為不符合安全域訪問規(guī)則的網(wǎng)絡設備。為進一步定位不符合安全域訪問規(guī)則的網(wǎng)絡設備，檢測出劃入錯誤安全域的網(wǎng)絡設備。檢測裝置還可以對所有違規(guī)訪問路徑進行分析，當多個違規(guī)訪問路徑均涉及某個網(wǎng)絡設備時，可以確定該網(wǎng)絡設備即為劃入錯誤安全域的網(wǎng)絡設備。檢測設備也可以首先確定網(wǎng)絡設備之間的直連路徑及路由路徑，然后根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標網(wǎng)絡系統(tǒng)各個安全域的實際出口設備，再從所述實際出口設備中篩選出不符合預設安全域訪問規(guī)則的出口設備，不符合預設安全域訪問規(guī)則的出口設備即為不符合安全域訪問規(guī)則的網(wǎng)絡設備，而包含不符合預設安全域訪問規(guī)則的網(wǎng)絡設備的連接路徑則為不符合安全域訪問規(guī)則的違規(guī)路徑。例如，在第一網(wǎng)絡設備為核心生產區(qū)的網(wǎng)絡設備，第二網(wǎng)絡設備為核心交換區(qū)的網(wǎng)絡設備時，如果第一網(wǎng)絡設備與第二網(wǎng)絡設備之間存在直連路徑，那么可以認為第一網(wǎng)絡設備為核心生成區(qū)的實際出口設備，第二網(wǎng)絡設備為核心交換區(qū)的實際出口設備。如果第一網(wǎng)設備為預設的核心生產區(qū)出口設備，那么第一網(wǎng)絡設備為符合預設安全域訪問規(guī)則的網(wǎng)絡設備；如果第一網(wǎng)絡設備不為核心生產區(qū)的出口設備，那么第一網(wǎng)絡設備即為不符合預設安全域訪問規(guī)則的網(wǎng)絡設備。同樣的，如果第二網(wǎng)設備為預設的核心交換區(qū)出口設備，那么第二網(wǎng)絡設備為符合預設安全域訪問規(guī)則的網(wǎng)絡設備；如果第二網(wǎng)絡設備不為核心交換區(qū)的出口設備，那么第二網(wǎng)絡設備即為不符合預設安全域訪問規(guī)則的網(wǎng)絡設備。又如，當?shù)谝痪W(wǎng)絡設備為核心生產區(qū)的網(wǎng)絡設備，第二網(wǎng)絡設備為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡設備時，可以認為第一網(wǎng)絡設備為核心生成區(qū)的實際出口設備，第二網(wǎng)絡設備為互聯(lián)網(wǎng)接口區(qū)的實際出口設備。由于根據(jù)預設訪問規(guī)則，互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡設備不允許直接訪問核心生產區(qū)的網(wǎng)絡設備，因此如果第一網(wǎng)絡設備與第二網(wǎng)絡設備之間存在直連路徑，那么可以認為第一網(wǎng)絡設備與第二網(wǎng)絡設備均為不符合預設安全域訪問規(guī)則的網(wǎng)絡設備。在本實施例中，從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息；根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑；從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑；根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡設備。采用本實施例，可以檢測出網(wǎng) 絡設備之間不符合安全域訪問規(guī)則的違規(guī)訪問路徑，進而根據(jù)違規(guī)連接路徑確定不符合安全域訪問規(guī)則的網(wǎng)絡設備，從而可以滿足檢測出不符合安全域訪問規(guī)則的網(wǎng)絡設備的技術需求。參見圖2，為本發(fā)明安全域結構檢查裝置一個實施例的結構示意圖。如圖2所示，該裝置可以包括：采集單元201，確定單元202及檢查單元203。其中，采集單元201，用于從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息；確定單元202，用于根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑；檢查單元203，用于根據(jù)所述連接路徑完成所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查?？蛇x的，所述采集單元201包括：連接建立子單元，用于與所述目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備建立網(wǎng)絡連接；類型確定子單元，用于確定所述網(wǎng)絡設備的設備類型；信息獲取子單元，用于從所述網(wǎng)絡設備獲取與所述設備類型相對應的網(wǎng)絡結構信息。其中，所述信息獲取子單元，用于在所述網(wǎng)絡設備為路由交換設備時，獲取所述網(wǎng)絡設備的地址解析協(xié)議ARP信息及路由ROUTE信息；或者，用于在所述網(wǎng)絡設備為防火墻設備時，獲取所述網(wǎng)絡設備的ARP信息及ROUTE信息；或者，用于當所述網(wǎng)絡設備為主機時，獲取所述網(wǎng)絡設備的ARP信息?？蛇x的，所述確定單元202包括：直連路徑確定子單元，用于根據(jù)所述ARP信息，確定所述網(wǎng)絡設備之間的直連路徑；路由路徑確定子單元，用于根據(jù)所述ROUTE信息，確定所述網(wǎng)絡設備之間的路由路徑?？蛇x的，所述檢查單元203包括：違規(guī)路徑篩選子單元，用于從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑；違規(guī)設備定位子單元，用于根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡設備。其中，所述違規(guī)路徑篩選子單元，可以用于獲取預設的安全域訪問規(guī)則；并篩選出違反所述安全域訪問規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑?？蛇x的，所述檢查單元203包括：出口設備定位子單元，用于根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標網(wǎng)絡系統(tǒng)各個安全域的實際出口設備；違規(guī)設備篩選子單元，從所述實際出口設備中篩選出不符合預設安全域訪問規(guī)則的網(wǎng)絡設備。從上述實施例可以看出，安全域結構檢查裝置可以檢測出網(wǎng)絡設備之間不符合安全域訪問規(guī)則的違規(guī)訪問路徑，進而根據(jù)違規(guī)連接路徑確定不符合安全域訪問規(guī)則的網(wǎng)絡設備，從而可以滿足檢測出不符合安全域訪問規(guī)則的網(wǎng)絡設備的技術需求。本領域的技術人員可以清楚地了解到本發(fā)明實施例中的技術可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)?；谶@樣的理解，本發(fā)明實施例中的技術方案本質上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產品的形式體現(xiàn)出來，該計算機軟件產品可以存儲在存儲介質中，如ROM/RAM、磁碟、光盤等，包括若干指令用以使得一臺計算機網(wǎng)絡設備(可以是個人計算機，服務器，或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于裝置實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關之處參見方法實施例的部分說明即可。以上所述的本發(fā)明實施方式，并不構成對本發(fā)明保護范圍的限定。任何在本發(fā)明的精神和原則之內所作的修改、等同替換和改進等，均應包含在本發(fā)明的保護范圍之內。當前第1頁1 2 3