企業(yè)網(wǎng)絡(luò)訪問控制方法及裝置的制造方法
【專利摘要】本發(fā)明提供了一種企業(yè)網(wǎng)絡(luò)訪問控制方法及裝置�����。該方法包括:在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�;若監(jiān)測(cè)到所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化,則獲取監(jiān)測(cè)結(jié)果��,所述監(jiān)測(cè)結(jié)果包括網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化情況��;基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析�,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常;根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制��。本發(fā)明實(shí)施例實(shí)現(xiàn)了實(shí)時(shí)掌控企業(yè)網(wǎng)絡(luò)邊界防護(hù)狀況以及對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的目的����。
【專利說(shuō)明】
企業(yè)網(wǎng)絡(luò)訪問控制方法及裝置
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及網(wǎng)絡(luò)應(yīng)用技術(shù)領(lǐng)域��,特別是一種企業(yè)網(wǎng)絡(luò)訪問控制方法及裝置��。
【背景技術(shù)】
[0002]信息點(diǎn)間通信和內(nèi)外網(wǎng)絡(luò)的通信是企業(yè)網(wǎng)絡(luò)中必不可少的業(yè)務(wù)需求��,為了保障業(yè)務(wù)數(shù)據(jù)在網(wǎng)絡(luò)傳輸交換過程中不被非法獲取與篡改����,相應(yīng)的網(wǎng)絡(luò)信息安全防護(hù)措施已在不同層面進(jìn)行了部署���。
[0003]相關(guān)技術(shù)中����,大多數(shù)的業(yè)務(wù)專網(wǎng)對(duì)于網(wǎng)絡(luò)的訪問控制幾乎都集中在網(wǎng)絡(luò)的出入關(guān)口����,而對(duì)網(wǎng)絡(luò)內(nèi)部結(jié)構(gòu)和接入邊界卻沒有施行必要的監(jiān)測(cè)與管理���。因此��,亟待解決這一技術(shù)問題��。
【發(fā)明內(nèi)容】
[0004]鑒于上述問題����,提出了本發(fā)明以便提供一種克服上述問題或者至少部分地解決上述問題的企業(yè)網(wǎng)絡(luò)訪問控制方法及相應(yīng)的裝置。
[0005]依據(jù)本發(fā)明的一方面����,提供了一種企業(yè)網(wǎng)絡(luò)訪問控制方法,包括:
[0006]在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化���;
[0007]若監(jiān)測(cè)到所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化����,則獲取監(jiān)測(cè)結(jié)果�����,所述監(jiān)測(cè)結(jié)果包括網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化情況���;
[0008]基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析���,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常;
[0009]根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制�����。
[0010]可選地,所述獲取監(jiān)測(cè)結(jié)果���,包括:所述企業(yè)網(wǎng)絡(luò)外部將監(jiān)測(cè)結(jié)果發(fā)送至所述企業(yè)網(wǎng)絡(luò)內(nèi)部�����,在所述企業(yè)網(wǎng)絡(luò)內(nèi)部獲取所述監(jiān)測(cè)結(jié)果���;
[0011]所述基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析,包括:在所述企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析�����。
[0012]可選地�,所述企業(yè)網(wǎng)絡(luò)內(nèi)部包括具備根據(jù)網(wǎng)絡(luò)安全策略進(jìn)行網(wǎng)絡(luò)安全評(píng)估能力的網(wǎng)絡(luò)安全管理平臺(tái)。
[0013]可選地����,所述在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化,包括:
[0014]在企業(yè)網(wǎng)絡(luò)外部對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備上報(bào)的訪問端口的信息進(jìn)行監(jiān)測(cè)����,以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化���;
[0015]或者����,
[0016]在企業(yè)網(wǎng)絡(luò)外部主動(dòng)獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口的信息,以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化���。
[0017]可選地�����,所述訪問端口的信息包括下列至少之一:
[0018]訪問端口對(duì)應(yīng)的域名信息�、訪問端口對(duì)應(yīng)的IP列表�����、訪問端口對(duì)應(yīng)的服務(wù)信息�、訪問端口對(duì)應(yīng)的漏洞。
[0019]可選地���,所述在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�����,包括:
[0020]在企業(yè)網(wǎng)絡(luò)外部實(shí)時(shí)或定期獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備中記載的路由信息;
[0021]根據(jù)所述路由信息確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口����;
[0022]掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口,判斷所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化����。
[0023]可選地,所述掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口�,包括:
[0024]根據(jù)安全需要設(shè)置的掃描頻率對(duì)確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描。
[0025]可選地��,所述掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口��,包括:
[0026]確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量�;
[0027]根據(jù)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量啟用對(duì)應(yīng)的預(yù)設(shè)數(shù)量的掃描線程;
[0028]利用所述預(yù)設(shè)數(shù)量的掃描線程對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描�����。
[0029]可選地����,所述預(yù)設(shè)網(wǎng)絡(luò)安全策略具有不同層級(jí)的權(quán)限;
[0030]所述基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析�����,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常����,包括:
[0031]在預(yù)設(shè)網(wǎng)絡(luò)安全策略中查找到訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略,確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第一權(quán)限���;
[0032]根據(jù)所述監(jiān)測(cè)結(jié)果確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第二權(quán)限���;
[0033]比對(duì)所述第一權(quán)限和所述第二權(quán)限,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常��。
[0034]可選地�����,所述比對(duì)所述第一權(quán)限和所述第二權(quán)限�,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常,包括:
[0035]若比對(duì)一致��,則確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常�����;
[0036]若比對(duì)不一致,則確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常�����。
[0037]可選地�,所述根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制,包括:
[0038]若確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常���,則生成所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常的提示信息�。
[0039]可選地����,所述根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制,包括:
[0040]若確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常���,則判斷是否更改訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略�����;
[0041]若否����,則關(guān)閉所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口��。
[0042]可選地,所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括直接面向所述企業(yè)網(wǎng)絡(luò)的各個(gè)終端��,提供網(wǎng)絡(luò)接入服務(wù)的設(shè)備�。
[0043]可選地�,所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括下列至少之一:
[0044]路由器、交換機(jī)�、防火墻。
[0045]依據(jù)本發(fā)明的另一方面��,還提供了一種企業(yè)網(wǎng)絡(luò)訪問控制裝置�,包括:
[0046]監(jiān)測(cè)模塊,適于在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�;
[0047]獲取模塊,適于若所述監(jiān)測(cè)模塊監(jiān)測(cè)到所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化�����,則獲取監(jiān)測(cè)結(jié)果��,所述監(jiān)測(cè)結(jié)果包括網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化情況�����;
[0048]分析模塊�,適于基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析��,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�;
[0049]訪問控制模塊�����,適于根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制��。
[0050]可選地�����,所述獲取模塊�,還適于所述企業(yè)網(wǎng)絡(luò)外部將監(jiān)測(cè)結(jié)果發(fā)送至所述企業(yè)網(wǎng)絡(luò)內(nèi)部,在所述企業(yè)網(wǎng)絡(luò)內(nèi)部獲取所述監(jiān)測(cè)結(jié)果���;
[0051]所述分析模塊�����,還適于在所述企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析�。
[0052]可選地����,所述企業(yè)網(wǎng)絡(luò)內(nèi)部包括具備根據(jù)網(wǎng)絡(luò)安全策略進(jìn)行網(wǎng)絡(luò)安全評(píng)估能力的網(wǎng)絡(luò)安全管理平臺(tái)。
[0053]可選地�����,所述監(jiān)測(cè)模塊還適于:
[0054]在企業(yè)網(wǎng)絡(luò)外部對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備上報(bào)的訪問端口的信息進(jìn)行監(jiān)測(cè)����,以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�;
[0055]或者�,
[0056]在企業(yè)網(wǎng)絡(luò)外部主動(dòng)獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口的信息�,以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化。
[0057]可選地�����,所述訪問端口的信息包括下列至少之一:
[0058]訪問端口對(duì)應(yīng)的域名信息��、訪問端口對(duì)應(yīng)的IP列表、訪問端口對(duì)應(yīng)的服務(wù)信息�、訪問端口對(duì)應(yīng)的漏洞����。
[0059]可選地����,所述監(jiān)測(cè)模塊還適于:
[0060]在企業(yè)網(wǎng)絡(luò)外部實(shí)時(shí)或定期獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備中記載的路由信息;
[0061]根據(jù)所述路由信息確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口;
[0062]掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口�,判斷所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�����。
[0063]可選地,所述監(jiān)測(cè)模塊還適于:
[0064]根據(jù)安全需要設(shè)置的掃描頻率對(duì)確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描。
[0065]可選地��,所述監(jiān)測(cè)模塊還適于:
[0066]確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量;
[0067]根據(jù)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量啟用對(duì)應(yīng)的預(yù)設(shè)數(shù)量的掃描線程���;
[0068]利用所述預(yù)設(shè)數(shù)量的掃描線程對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描。
[0069]可選地�����,所述預(yù)設(shè)網(wǎng)絡(luò)安全策略具有不同層級(jí)的權(quán)限���,所述分析模塊還適于:
[0070]在預(yù)設(shè)網(wǎng)絡(luò)安全策略中查找到訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略���,確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第一權(quán)限�;
[0071]根據(jù)所述監(jiān)測(cè)結(jié)果確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第二權(quán)限�;
[0072]比對(duì)所述第一權(quán)限和所述第二權(quán)限,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常����。
[0073]可選地,所述分析模塊還適于:
[0074]若比對(duì)一致����,則確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常��;
[0075]若比對(duì)不一致�����,則確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常�。
[0076]可選地,所述訪問控制模塊還適于:
[0077]若確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常�,則生成所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常的提示信息。
[0078]可選地��,所述訪問控制模塊還適于:
[0079]若確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常,則判斷是否更改訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略���;
[0080]若否��,則關(guān)閉所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口��。
[0081]可選地��,所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括直接面向所述企業(yè)網(wǎng)絡(luò)的各個(gè)終端����,提供網(wǎng)絡(luò)接入服務(wù)的設(shè)備��。
[0082]可選地�����,所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括下列至少之一:
[0083]路由器���、交換機(jī)���、防火墻。
[0084]本發(fā)明實(shí)施例在企業(yè)網(wǎng)絡(luò)外部對(duì)企業(yè)網(wǎng)絡(luò)中的各個(gè)網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行監(jiān)測(cè)���,當(dāng)監(jiān)測(cè)到網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化時(shí)����,獲取包含訪問端口變化情況的監(jiān)測(cè)結(jié)果,并基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析��,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�,進(jìn)而根據(jù)分析結(jié)果對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制。由此可見��,本發(fā)明實(shí)施例實(shí)現(xiàn)了對(duì)企業(yè)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)和邊界設(shè)備的監(jiān)測(cè)與管理�����,并能夠根據(jù)邊界設(shè)備的訪問端口的變化情況對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制��,從而能夠?qū)崿F(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的目的�。
[0085]進(jìn)一步�,本發(fā)明實(shí)施例能夠基于企業(yè)網(wǎng)絡(luò)外部和企業(yè)網(wǎng)絡(luò)內(nèi)部結(jié)合的機(jī)制,通過在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�,在監(jiān)測(cè)到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化時(shí),將監(jiān)測(cè)結(jié)果發(fā)送至企業(yè)網(wǎng)絡(luò)內(nèi)部�����,在企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�,進(jìn)而根據(jù)分析結(jié)果對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制,由此實(shí)現(xiàn)了對(duì)企業(yè)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)和邊界設(shè)備的監(jiān)測(cè)與管理��。
[0086]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述�����,為了能夠更清楚了解本發(fā)明的技術(shù)手段����,而可依照說(shuō)明書的內(nèi)容予以實(shí)施,并且為了讓本發(fā)明的上述和其它目的��、特征和優(yōu)點(diǎn)能夠更明顯易懂�����,以下特舉本發(fā)明的【具體實(shí)施方式】�����。
[0087]根據(jù)下文結(jié)合附圖對(duì)本發(fā)明具體實(shí)施例的詳細(xì)描述�����,本領(lǐng)域技術(shù)人員將會(huì)更加明了本發(fā)明的上述以及其他目的、優(yōu)點(diǎn)和特征�。
【附圖說(shuō)明】
[0088]通過閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了�。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制�����。而且在整個(gè)附圖中��,用相同的參考符號(hào)表示相同的部件���。在附圖中:
[0089]圖1示出了根據(jù)本發(fā)明一實(shí)施例的企業(yè)網(wǎng)絡(luò)訪問控制方法的流程圖�����;
[0090]圖2示出了根據(jù)本發(fā)明一實(shí)施例的在企業(yè)網(wǎng)絡(luò)中部署網(wǎng)絡(luò)安全管理平臺(tái)的示意圖���;
[0091]圖3示出了根據(jù)本發(fā)明另一實(shí)施例的企業(yè)網(wǎng)絡(luò)訪問控制方法的流程圖����;
[0092]圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的企業(yè)網(wǎng)絡(luò)訪問控制裝置的結(jié)構(gòu)示意圖;以及
[0093]圖5示出了根據(jù)本發(fā)明另一個(gè)實(shí)施例的企業(yè)網(wǎng)絡(luò)訪問控制裝置的結(jié)構(gòu)示意圖�。
【具體實(shí)施方式】
[0094]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例��。雖然附圖中顯示了本公開的示例性實(shí)施例�����,然而應(yīng)當(dāng)理解����,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制���。相反��,提供這些實(shí)施例是為了能夠更透徹地理解本公開�,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員����。
[0095]為解決上述技術(shù)問題,本發(fā)明實(shí)施例提供了一種企業(yè)網(wǎng)絡(luò)訪問控制方法�。圖1示出了根據(jù)本發(fā)明一實(shí)施例的企業(yè)網(wǎng)絡(luò)訪問控制方法的流程圖。如圖1所示�,該方法至少包括以下步驟S102至步驟S108:
[0096]步驟S102,在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化��;
[0097]步驟S104�����,若監(jiān)測(cè)到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化,則獲取監(jiān)測(cè)結(jié)果��,所述監(jiān)測(cè)結(jié)果包括網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化情況���;
[0098]步驟S106��,基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析���,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常;
[0099]步驟S108���,根據(jù)分析結(jié)果對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制���。
[0100]本發(fā)明實(shí)施例在企業(yè)網(wǎng)絡(luò)外部對(duì)企業(yè)網(wǎng)絡(luò)中的各個(gè)網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行監(jiān)測(cè),當(dāng)監(jiān)測(cè)到網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化時(shí)�����,獲取包含訪問端口變化情況的監(jiān)測(cè)結(jié)果��,并基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析����,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常,進(jìn)而根據(jù)分析結(jié)果對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制�。由此可見,本發(fā)明實(shí)施例實(shí)現(xiàn)了對(duì)企業(yè)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)和邊界設(shè)備的監(jiān)測(cè)與管理�,并能夠根據(jù)邊界設(shè)備的訪問端口的變化情況對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制,從而能夠?qū)崿F(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的目的�����。
[0101]上文步驟S102提及的網(wǎng)絡(luò)邊界設(shè)備包括直接面向企業(yè)網(wǎng)絡(luò)的各個(gè)終端����,提供網(wǎng)絡(luò)接入服務(wù)的設(shè)備,可以是路由器�����、交換機(jī)�����、防火墻等設(shè)備���。這里�,路由器是一種計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備,它通過選擇數(shù)據(jù)的傳輸路徑�,能夠?qū)?shù)據(jù)打包通過一個(gè)個(gè)網(wǎng)絡(luò)傳送至目的地,這個(gè)過程稱為路由�����。路由器用于連接多個(gè)邏輯上分開的網(wǎng)絡(luò)�,路由工作在OSI (Open SystemInterconnect1n,開放式系統(tǒng)互聯(lián))模型的第三層���,即網(wǎng)絡(luò)層��。路由器是連接因特網(wǎng)中各局域網(wǎng)�����、廣域網(wǎng)的設(shè)備�����,它會(huì)根據(jù)信道的情況自動(dòng)選擇和設(shè)定路由�,以最佳路徑��,按前后順序發(fā)送信號(hào)。路由器和交換機(jī)之間的主要區(qū)別是交換機(jī)發(fā)生在OSI參考模型數(shù)據(jù)鏈路層���,而路由發(fā)生在網(wǎng)絡(luò)層,這一區(qū)別決定了路由器和交換機(jī)在移動(dòng)信息的過程中需使用不同的控制信息�����,所以兩者實(shí)現(xiàn)各自功能的方式是不同的����。此外,防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成����、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障��,是一種獲取安全性方法的形象說(shuō)法����,它是一種計(jì)算機(jī)硬件和軟件的結(jié)合,使網(wǎng)絡(luò)與網(wǎng)絡(luò)之間建立起一個(gè)安全網(wǎng)關(guān)����,從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受非法用戶的侵入,防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具��、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成�����,防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件�,該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火墻。
[0102]在本發(fā)明的可選實(shí)施例中��,能夠基于企業(yè)網(wǎng)絡(luò)外部和企業(yè)網(wǎng)絡(luò)內(nèi)部結(jié)合的機(jī)制�,通過在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化,在監(jiān)測(cè)到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化時(shí)����,企業(yè)網(wǎng)絡(luò)外部將監(jiān)測(cè)結(jié)果發(fā)送至企業(yè)網(wǎng)絡(luò)內(nèi)部,在企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析��,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�,進(jìn)而根據(jù)分析結(jié)果對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制,由此通過線上(即���,企業(yè)網(wǎng)絡(luò)外部)監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口�����,以及線下(即��,企業(yè)網(wǎng)絡(luò)內(nèi)部)分析監(jiān)測(cè)結(jié)果的方式��,實(shí)現(xiàn)了對(duì)企業(yè)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)和邊界設(shè)備的監(jiān)測(cè)與管理���。
[0103]在本發(fā)明的另一可選實(shí)施例中,企業(yè)網(wǎng)絡(luò)內(nèi)部包括具備根據(jù)網(wǎng)絡(luò)安全策略進(jìn)行網(wǎng)絡(luò)安全評(píng)估能力的網(wǎng)絡(luò)安全管理平臺(tái)����。如圖2所示,網(wǎng)絡(luò)安全管理平臺(tái)可以部署在企業(yè)網(wǎng)絡(luò)的安全管理域���,以機(jī)架服務(wù)器的形式連接到管理域的核心交換上�,用戶和管理員遠(yuǎn)程通過Web頁(yè)面進(jìn)行訪問��,管理服務(wù)器同企業(yè)網(wǎng)絡(luò)和IDC(Internet Data Center��,互聯(lián)網(wǎng)數(shù)據(jù)中心)核心網(wǎng)絡(luò)設(shè)備進(jìn)行配置和命令層次的交互���,包括路由器����、交換機(jī)和防火墻,對(duì)支持SNMP(Simple Network Management Protocol�����,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)��、命令行終端和netconf■協(xié)議的網(wǎng)絡(luò)設(shè)備適配支持�����。
[0104]在部署網(wǎng)絡(luò)安全管理平臺(tái)時(shí)�,需要導(dǎo)入用戶信息進(jìn)行注冊(cè)和組織機(jī)構(gòu)業(yè)務(wù)流程關(guān)系,也可以同企業(yè)的LDAP(Lightweight Directory Access Protocol�����,輕量目錄訪問協(xié)議)接口進(jìn)行集成����,同時(shí)需要批量導(dǎo)入核心網(wǎng)絡(luò)設(shè)備的SSH(SeCUre Shell,安全殼協(xié)議)登陸信息和SNMP讀取串�����,明確該網(wǎng)絡(luò)設(shè)備品牌用于自動(dòng)化命令適配����。
[0105]網(wǎng)絡(luò)安全管理平臺(tái)可以以硬件形式提供��,可遠(yuǎn)程訪問Web頁(yè)面進(jìn)行管理��,該產(chǎn)品由用戶登錄申請(qǐng)平臺(tái)���、管理員平臺(tái)、管理服務(wù)器和流量采集器組成���。
[0106]用戶登錄申請(qǐng)平臺(tái)用于用戶和用戶上級(jí)的登錄����,包括網(wǎng)絡(luò)訪問策略的申請(qǐng)����、用戶申請(qǐng)記錄查看����、用戶上級(jí)的確認(rèn)、用戶上級(jí)確認(rèn)記錄查看和用戶口令管理等�����。
[0107]管理員平臺(tái)用于網(wǎng)絡(luò)安全管理員對(duì)網(wǎng)絡(luò)訪問控制策略的綜合管理,包括網(wǎng)絡(luò)設(shè)備ACL(Access Control List���,訪問控制列表)管理模塊�,ACL狀態(tài)監(jiān)測(cè)����,ACL信息查看和審批,VLAN(VirtuaI Local Area Network����,虛擬局域網(wǎng))信息管理,用戶和權(quán)限管理�����、系統(tǒng)配置管理�、審計(jì)日志管理等。
[0108]管理服務(wù)器負(fù)責(zé)定期抓取核心網(wǎng)絡(luò)設(shè)備的配置信息���,檢查網(wǎng)絡(luò)設(shè)備狀態(tài)���,網(wǎng)絡(luò)設(shè)備命令執(zhí)行的適配、網(wǎng)絡(luò)設(shè)備命令的自動(dòng)生成和推送����、ACL策略失效狀態(tài)監(jiān)測(cè)���、ACL流量監(jiān)測(cè)和失效撤銷等。
[0109]步驟S102在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�,本發(fā)明實(shí)施例提供了多種可選的方案。在一種可選的方案中�,可以在企業(yè)網(wǎng)絡(luò)外部對(duì)企業(yè)網(wǎng)絡(luò)的各網(wǎng)絡(luò)邊界設(shè)備上報(bào)的訪問端口的信息進(jìn)行監(jiān)測(cè),以確定企業(yè)網(wǎng)絡(luò)的各網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化���。在另一可選的方案中�,可以在企業(yè)網(wǎng)絡(luò)外部主動(dòng)獲取各網(wǎng)絡(luò)邊界設(shè)備的訪問端口的信息�,以確定企業(yè)網(wǎng)絡(luò)的各網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化。這里�,訪問端口的信息可以是訪問端口對(duì)應(yīng)的域名信息���、訪問端口對(duì)應(yīng)的IP列表��、訪問端口對(duì)應(yīng)的服務(wù)信息�、訪問端口對(duì)應(yīng)的漏洞等���,本發(fā)明對(duì)此不作限制���。在本發(fā)明實(shí)施例中����,以訪問端口的信息為訪問端口對(duì)應(yīng)的域名信息為例�����,端口的信息發(fā)生變化��,如網(wǎng)絡(luò)初始設(shè)計(jì)階段��,網(wǎng)絡(luò)邊界設(shè)備A上的訪問端口 I對(duì)應(yīng)域名1��、域名2���,在建設(shè)維護(hù)階段���,當(dāng)監(jiān)測(cè)到網(wǎng)絡(luò)邊界設(shè)備A上的訪問端口 I對(duì)應(yīng)域名1�、域名3時(shí)����,認(rèn)為訪問端口的信息發(fā)生變化,則認(rèn)為該訪問端口發(fā)生變化��。又如,以訪問端口的信息為訪問端口對(duì)應(yīng)的服務(wù)信息為例�,在網(wǎng)絡(luò)初始設(shè)計(jì)階段,網(wǎng)絡(luò)邊界設(shè)備B上的訪問端口 2對(duì)應(yīng)服務(wù)1��、服務(wù)2和服務(wù)3�,在建設(shè)維護(hù)階段��,當(dāng)監(jiān)測(cè)至綱絡(luò)邊界設(shè)備B上的訪問端口2對(duì)應(yīng)服務(wù)1���、服務(wù)2、服務(wù)3和服務(wù)4時(shí)����,認(rèn)為訪問端口的信息發(fā)生變化,則認(rèn)為該訪問端口發(fā)生變化�����。也就是說(shuō)���,當(dāng)監(jiān)測(cè)到當(dāng)前的訪問端口的信息與初始的訪問端口的信息不同時(shí),認(rèn)為訪問端口的信息發(fā)生變化,則認(rèn)為該訪問端口發(fā)生變化���。
[0110]在又一可選的方案中���,步驟S102在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�,可以實(shí)施為在企業(yè)網(wǎng)絡(luò)外部實(shí)時(shí)或定期獲取企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備中記載的路由信息��,隨后根據(jù)路由信息確定企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口��,之后掃描確定的企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口����,判斷企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化。這里��,路由信息可以包括指向特定網(wǎng)絡(luò)地址的路徑信息,包括特定網(wǎng)絡(luò)地址對(duì)應(yīng)網(wǎng)絡(luò)設(shè)備的端口號(hào)���,從而可以根據(jù)端口號(hào)對(duì)相應(yīng)的端口進(jìn)行掃描��。在有些情況下����,還可以記錄有路徑的路由度量值�。路由信息可以存儲(chǔ)在路由表中��,路由表中含有網(wǎng)絡(luò)周邊的拓?fù)湫畔?����,路由表建立的主要目?biāo)是為了實(shí)現(xiàn)路由協(xié)議和靜態(tài)路由選擇。另外��,掃描訪問端口可以是掃描獲取訪問端口的信息�,根據(jù)訪問端口的信息判斷該訪問端口是否發(fā)生變化,訪問端口的信息內(nèi)容可以參見前文所述���,此處不再贅述�。
[0111]進(jìn)一步地�����,在掃描確定的企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口時(shí)�,可以根據(jù)安全需要設(shè)置的掃描頻率對(duì)確定的企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描。例如����,根據(jù)安全需求可以設(shè)置每60分鐘掃描一次���、每15分鐘掃描一次或者實(shí)時(shí)掃描等。
[0112]在本發(fā)明的另一實(shí)施例中���,在對(duì)訪問端口進(jìn)行掃描時(shí),通過指定掃描起始地址�,獲得與該節(jié)點(diǎn)相連的其他節(jié)點(diǎn)的運(yùn)行信息,使用廣度優(yōu)先算法依次遍歷網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)��,這種全網(wǎng)單線程掃描方法常常用在網(wǎng)絡(luò)規(guī)模較小����、結(jié)構(gòu)較為簡(jiǎn)單的情況下。對(duì)于規(guī)模較大的企業(yè)網(wǎng)絡(luò)�����,考慮到掃描過程中大部分時(shí)間都浪費(fèi)在等待設(shè)備準(zhǔn)備數(shù)據(jù)的階段����,為了能合理利用這段空閑時(shí)間,在更短的時(shí)間內(nèi)盡快完成對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)的掃描分析��,實(shí)際過程中常常根據(jù)子網(wǎng)劃分使用多個(gè)掃描起始地址的子網(wǎng)多線程掃描的方法���。即�����,確定企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量�����,根據(jù)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量啟用對(duì)應(yīng)的預(yù)設(shè)數(shù)量的掃描線程����,進(jìn)而利用預(yù)設(shè)數(shù)量的掃描線程對(duì)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描。
[0113]進(jìn)一步地�����,步驟S104中當(dāng)監(jiān)測(cè)到企業(yè)網(wǎng)絡(luò)的各網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化時(shí)�,可以獲取監(jiān)測(cè)結(jié)果,并進(jìn)行后續(xù)的分析步驟���;當(dāng)監(jiān)測(cè)到企業(yè)網(wǎng)絡(luò)的各網(wǎng)絡(luò)邊界設(shè)備的訪問端口未發(fā)生變化時(shí)��,可以不執(zhí)行任何操作�,也可以生成安全提示信息進(jìn)行安全提示�����。
[0114]在本發(fā)明的另一實(shí)施例中,步驟S106基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析�����,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�����,本發(fā)明實(shí)施例提供了一種可選的方案���,在該方案中,預(yù)設(shè)網(wǎng)絡(luò)安全策略具有不同層級(jí)的權(quán)限���,則可以在預(yù)設(shè)網(wǎng)絡(luò)安全策略中查找到訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略���,確定網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第一權(quán)限,該第一權(quán)限為該訪問端口預(yù)設(shè)的權(quán)限����。根據(jù)監(jiān)測(cè)結(jié)果確定網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第二權(quán)限,該第二權(quán)限為該訪問端口發(fā)生變化后對(duì)應(yīng)的權(quán)限�����。隨后,比對(duì)第一權(quán)限和第二權(quán)限����,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常。進(jìn)一步地���,若比對(duì)一致���,則確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常;若比對(duì)不一致,則確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常�����。舉例來(lái)說(shuō)��,在網(wǎng)絡(luò)初始設(shè)計(jì)階段�,網(wǎng)絡(luò)邊界設(shè)備A上的訪問端口 I的權(quán)限為一般用戶權(quán)限,在建設(shè)維護(hù)階段����,網(wǎng)絡(luò)邊界設(shè)備A上的訪問端口 I的權(quán)限變高了。根據(jù)網(wǎng)絡(luò)安全策略,如果網(wǎng)絡(luò)邊界設(shè)備A上的訪問端口 I的權(quán)限變高是允許的�����,則可以確定訪問端口 I未出現(xiàn)異常;而如果網(wǎng)絡(luò)邊界設(shè)備A上的訪問端口 I的權(quán)限變高是不允許的��,則可以確定訪問端口 I出現(xiàn)異常���。因此���,在實(shí)際應(yīng)用中,需要結(jié)合企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全策略����,判斷訪問端口的變化是否會(huì)導(dǎo)致網(wǎng)絡(luò)異常����,影響整個(gè)企業(yè)網(wǎng)絡(luò)的安全。
[0115]進(jìn)一步地�����,若確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常��,則生成網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常的提示信息。若確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常�����,則判斷是否更改訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略;若否��,則關(guān)閉網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口����,以保證整個(gè)企業(yè)網(wǎng)絡(luò)的安全;若是,則進(jìn)一步基于更改后的網(wǎng)絡(luò)安全策略分析發(fā)生變化的訪問端口是否出現(xiàn)異常�����,即�,可以執(zhí)行步驟S106進(jìn)行分析,可以采用前文提供的分析方案����,此處不再贅述。
[0116]在本發(fā)明的可選實(shí)施例中�����,還可以根據(jù)網(wǎng)絡(luò)邊界設(shè)備的訪問控制列表ACL信息�����,確定網(wǎng)絡(luò)邊界設(shè)備的數(shù)據(jù)包過濾規(guī)則,數(shù)據(jù)包過濾規(guī)則允許或拒絕特定的數(shù)據(jù)包通過��。進(jìn)而�����,根據(jù)數(shù)據(jù)包過濾規(guī)則確定網(wǎng)絡(luò)邊界設(shè)備的連通路徑���,對(duì)網(wǎng)絡(luò)邊界設(shè)備的連通路徑進(jìn)行可視化展示����,生成企業(yè)網(wǎng)絡(luò)邊界設(shè)備拓?fù)浣Y(jié)構(gòu)圖�,有助于網(wǎng)絡(luò)管理員實(shí)時(shí)掌控企業(yè)網(wǎng)絡(luò)邊界設(shè)備的防護(hù)狀況,并能夠?qū)崟r(shí)對(duì)網(wǎng)絡(luò)運(yùn)行的狀態(tài)和網(wǎng)絡(luò)結(jié)構(gòu)有一個(gè)全面的了解��。
[0117]下面通過一具體實(shí)施例來(lái)詳細(xì)介紹本發(fā)明的企業(yè)網(wǎng)絡(luò)訪問控制方法的實(shí)現(xiàn)過程�����。圖3示出了根據(jù)本發(fā)明另一實(shí)施例的企業(yè)網(wǎng)絡(luò)訪問控制方法的流程圖���。如圖3所示,該方法至少包括以下步驟S302至步驟S318。
[0118]步驟S302����,定位企業(yè)網(wǎng)絡(luò)中的多個(gè)網(wǎng)絡(luò)邊界設(shè)備,其中�����,各網(wǎng)絡(luò)邊界設(shè)備能夠提供多層級(jí)權(quán)限的網(wǎng)絡(luò)接入服務(wù)�。
[0119]在該步驟中,各網(wǎng)絡(luò)邊界設(shè)備能夠提供多層級(jí)權(quán)限的網(wǎng)絡(luò)接入服務(wù)��,可以如路由器�、交換機(jī)、防火墻等設(shè)備����。
[0120]步驟S304,在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)各網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�����,若是�,則繼續(xù)執(zhí)行步驟S306;若否,則繼續(xù)執(zhí)行步驟S308�。
[0121]在該步驟中�����,可以在企業(yè)網(wǎng)絡(luò)外部對(duì)企業(yè)網(wǎng)絡(luò)的各網(wǎng)絡(luò)邊界設(shè)備上報(bào)的訪問端口的信息進(jìn)行監(jiān)測(cè)�����,以確定企業(yè)網(wǎng)絡(luò)的各網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化��?;蛘?��,也可以在企業(yè)網(wǎng)絡(luò)外部主動(dòng)獲取各網(wǎng)絡(luò)邊界設(shè)備的訪問端口的信息����,以確定企業(yè)網(wǎng)絡(luò)的各網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化���。這里�,訪問端口的信息可以是訪問端口對(duì)應(yīng)的域名信息�����、訪問端口對(duì)應(yīng)的IP列表�、訪問端口對(duì)應(yīng)的服務(wù)信息、訪問端口對(duì)應(yīng)的漏洞等��,本發(fā)明對(duì)此不作限制�����。
[0122]此外�,在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化,可以在企業(yè)網(wǎng)絡(luò)外部實(shí)時(shí)或定期獲取企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備中記載的路由信息�����,隨后根據(jù)路由信息確定企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口�,之后掃描確定的企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口,判斷企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化��。這里���,可以根據(jù)安全需要設(shè)置的掃描頻率對(duì)確定的企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描�����。例如����,根據(jù)安全需求可以設(shè)置每60分鐘掃描一次、每15分鐘掃描一次或者實(shí)時(shí)掃描等��。
[0123]在對(duì)訪問端口進(jìn)行掃描時(shí)�����,通過指定掃描起始地址����,獲得與該節(jié)點(diǎn)相連的其他節(jié)點(diǎn)的運(yùn)行信息,使用廣度優(yōu)先算法依次遍歷網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)�����,這種全網(wǎng)單線程掃描方法常常用在網(wǎng)絡(luò)規(guī)模較小�、結(jié)構(gòu)較為簡(jiǎn)單的情況下。對(duì)于規(guī)模較大的企業(yè)網(wǎng)絡(luò)�,考慮到掃描過程中大部分時(shí)間都浪費(fèi)在等待設(shè)備準(zhǔn)備數(shù)據(jù)的階段,為了能合理利用這段空閑時(shí)間��,在更短的時(shí)間內(nèi)盡快完成對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)的掃描分析����,實(shí)際過程中常常根據(jù)子網(wǎng)劃分使用多個(gè)掃描起始地址的子網(wǎng)多線程掃描的方法。即,確定企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量���,根據(jù)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量啟用對(duì)應(yīng)的預(yù)設(shè)數(shù)量的掃描線程,進(jìn)而利用預(yù)設(shè)數(shù)量的掃描線程對(duì)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描��。
[0124]步驟S306��,企業(yè)網(wǎng)絡(luò)外部將監(jiān)測(cè)結(jié)果發(fā)送至企業(yè)網(wǎng)絡(luò)內(nèi)部����,繼續(xù)執(zhí)行步驟S310。
[0125]在該步驟中���,企業(yè)網(wǎng)絡(luò)內(nèi)部包括具備根據(jù)網(wǎng)絡(luò)安全策略進(jìn)行網(wǎng)絡(luò)安全評(píng)估能力的網(wǎng)絡(luò)安全管理平臺(tái)���,其在企業(yè)網(wǎng)絡(luò)中的部署可以參見圖2所示。
[0126]步驟S308��,生成提示信息進(jìn)行安全提示�����。
[0127]步驟S310����,在企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析��,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�,若否�����,則繼續(xù)執(zhí)行步驟S312;若是�,則繼續(xù)執(zhí)行步驟S314o
[0128]在該步驟中,預(yù)設(shè)網(wǎng)絡(luò)安全策略具有不同層級(jí)的權(quán)限����,則可以在預(yù)設(shè)網(wǎng)絡(luò)安全策略中查找到訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略,確定網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第一權(quán)限�����,該第一權(quán)限為該訪問端口預(yù)設(shè)的權(quán)限����。根據(jù)監(jiān)測(cè)結(jié)果確定網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第二權(quán)限,該第二權(quán)限為該訪問端口發(fā)生變化后對(duì)應(yīng)的權(quán)限���。隨后����,比對(duì)第一權(quán)限和第二權(quán)限,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常����。進(jìn)一步地,若比對(duì)一致�,則確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常;若比對(duì)不一致�����,則確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常����。
[0129]步驟S312,生成網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常的提示信息����。
[0130]步驟S314,判斷是否更改訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略����,若是,則繼續(xù)執(zhí)行步驟S316;若否����,則繼續(xù)執(zhí)行步驟S318����。
[0131]步驟S316�,基于更改后的網(wǎng)絡(luò)安全策略分析發(fā)生變化的訪問端口是否出現(xiàn)異常,若否����,則返回執(zhí)行步驟S312;若是,則返回執(zhí)行步驟S314����。
[0132]步驟S318,關(guān)閉網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口�����,以保證整個(gè)企業(yè)網(wǎng)絡(luò)的安全���。
[0133]本發(fā)明實(shí)施例通過線上(S卩���,企業(yè)網(wǎng)絡(luò)外部)對(duì)各網(wǎng)絡(luò)邊界設(shè)備的多層級(jí)權(quán)限的開通和使用情況進(jìn)行監(jiān)測(cè),并將監(jiān)測(cè)結(jié)果發(fā)送至線下(即����,企業(yè)網(wǎng)絡(luò)內(nèi)部)的網(wǎng)絡(luò)安全管理平臺(tái)進(jìn)行分析����,基于分析結(jié)果實(shí)現(xiàn)實(shí)時(shí)掌控企業(yè)網(wǎng)絡(luò)邊界防護(hù)狀況的目的����,同時(shí)基于分析結(jié)果進(jìn)行安全防護(hù)處理,實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的目的��。
[0134]需要說(shuō)明的是����,在實(shí)際應(yīng)用中��,上述所有可選實(shí)施方式可以采用結(jié)合的方式任意組合�,形成本發(fā)明的可選實(shí)施例,在此不再一一贅述�。
[0135]基于上文各個(gè)實(shí)施例提供的基于企業(yè)網(wǎng)絡(luò)訪問控制方法,基于同一發(fā)明構(gòu)思����,本發(fā)明實(shí)施例還提供了一種企業(yè)網(wǎng)絡(luò)訪問控制裝置。圖4示出了根據(jù)本發(fā)明一個(gè)實(shí)施例的企業(yè)網(wǎng)絡(luò)訪問控制裝置的結(jié)構(gòu)示意圖���。如圖4所示�����,該裝置至少可以包括監(jiān)測(cè)模塊410����、獲取模塊420、分析模塊430以及訪問控制模塊440�����。
[0136]現(xiàn)介紹本發(fā)明實(shí)施例的企業(yè)網(wǎng)絡(luò)訪問控制裝置的各組成或器件的功能以及各部分間的連接關(guān)系:
[0137]監(jiān)測(cè)模塊410�����,適于在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�����;
[0138]獲取模塊420����,與監(jiān)測(cè)模塊410相耦合,適于若監(jiān)測(cè)模塊410監(jiān)測(cè)到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化����,則獲取監(jiān)測(cè)結(jié)果���,監(jiān)測(cè)結(jié)果包括網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化情況;
[0139]分析模塊430�����,與獲取模塊420相耦合���,適于基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析�,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�;
[0140]訪問控制模塊440,與分析模塊430相耦合�����,適于根據(jù)分析結(jié)果對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制��。
[0141]在本發(fā)明一實(shí)施例中�����,能夠基于企業(yè)網(wǎng)絡(luò)外部和企業(yè)網(wǎng)絡(luò)內(nèi)部結(jié)合的機(jī)制對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行訪問控制�,如圖5所示,圖4展示的獲取模塊420����,還適于企業(yè)網(wǎng)絡(luò)外部將監(jiān)測(cè)結(jié)果發(fā)送至企業(yè)網(wǎng)絡(luò)內(nèi)部,在企業(yè)網(wǎng)絡(luò)內(nèi)部獲取監(jiān)測(cè)結(jié)果����;以及,圖4展示的分析模塊430����,還適于在企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析。
[0142]在本發(fā)明一實(shí)施例中���,企業(yè)網(wǎng)絡(luò)內(nèi)部包括具備根據(jù)網(wǎng)絡(luò)安全策略進(jìn)行網(wǎng)絡(luò)安全評(píng)估能力的網(wǎng)絡(luò)安全管理平臺(tái)�����。如圖2所示�����,網(wǎng)絡(luò)安全管理平臺(tái)可以部署在企業(yè)網(wǎng)絡(luò)的安全管理域����,以機(jī)架服務(wù)器的形式連接到管理域的核心交換上,用戶和管理員遠(yuǎn)程通過Web頁(yè)面進(jìn)行訪問����,管理服務(wù)器同企業(yè)網(wǎng)絡(luò)和IDC(Internet Data Center,互聯(lián)網(wǎng)數(shù)據(jù)中心)核心網(wǎng)絡(luò)設(shè)備進(jìn)行配置和命令層次的交互����,包括路由器、交換機(jī)和防火墻�,對(duì)支持SNMP(SimpleNetwork Management Protocol,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議)��、命令行終端和netconf協(xié)議的網(wǎng)絡(luò)設(shè)備適配支持�。
[0143]在本發(fā)明一實(shí)施例中,監(jiān)測(cè)模塊410還適于:
[0144]在企業(yè)網(wǎng)絡(luò)外部對(duì)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備上報(bào)的訪問端口的信息進(jìn)行監(jiān)測(cè)�,以確定企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化;
[0145]或者����,
[0146]在企業(yè)網(wǎng)絡(luò)外部主動(dòng)獲取企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口的信息�,以確定企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化。
[0147]在本發(fā)明一實(shí)施例中����,訪問端口的信息包括下列至少之一:
[0148]訪問端口對(duì)應(yīng)的域名信息�����、訪問端口對(duì)應(yīng)的IP列表���、訪問端口對(duì)應(yīng)的服務(wù)信息、訪問端口對(duì)應(yīng)的漏洞��。
[0149]在本發(fā)明一實(shí)施例中���,監(jiān)測(cè)模塊410還適于:
[0150]在企業(yè)網(wǎng)絡(luò)外部實(shí)時(shí)或定期獲取企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備中記載的路由信息���;
[0151]根據(jù)路由信息確定企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口;
[0152]掃描確定的企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口���,判斷企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化��。
[0153]在本發(fā)明一實(shí)施例中���,監(jiān)測(cè)模塊410還適于:
[0154]根據(jù)安全需要設(shè)置的掃描頻率對(duì)確定的企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描。
[0155]在本發(fā)明一實(shí)施例中����,監(jiān)測(cè)模塊410還適于:
[0156]確定企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量�;
[0157]根據(jù)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量啟用對(duì)應(yīng)的預(yù)設(shè)數(shù)量的掃描線程�;
[0158]利用預(yù)設(shè)數(shù)量的掃描線程對(duì)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描。
[0159]在本發(fā)明一實(shí)施例中�����,預(yù)設(shè)網(wǎng)絡(luò)安全策略具有不同層級(jí)的權(quán)限���,分析模塊430還適于:
[0160]在預(yù)設(shè)網(wǎng)絡(luò)安全策略中查找到訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略�����,確定網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第一權(quán)限�;
[0161]根據(jù)監(jiān)測(cè)結(jié)果確定網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第二權(quán)限��;
[0162]比對(duì)第一權(quán)限和第二權(quán)限���,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常��。
[0163]在本發(fā)明一實(shí)施例中��,分析模塊430還適于:
[0164]若比對(duì)一致,則確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常�����;
[0165]若比對(duì)不一致,則確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常��。
[0166]在本發(fā)明一實(shí)施例中����,訪問控制模塊440還適于:
[0167]若確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常,則生成網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常的提示信息�����。
[0168]在本發(fā)明一實(shí)施例中�,訪問控制模塊440還適于:
[0169]若確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常,則判斷是否更改訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略��;
[0170]若否���,則關(guān)閉網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口��。
[0171]在本發(fā)明一實(shí)施例中�,企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括直接面向企業(yè)網(wǎng)絡(luò)的各個(gè)終端����,提供網(wǎng)絡(luò)接入服務(wù)的設(shè)備����。
[0172]在本發(fā)明一實(shí)施例中�����,企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括下列至少之一:
[0173]路由器����、交換機(jī)、防火墻�����。
[0174]根據(jù)上述任意一個(gè)優(yōu)選實(shí)施例或多個(gè)優(yōu)選實(shí)施例的組合���,本發(fā)明實(shí)施例能夠達(dá)到如下有益效果:
[0175]本發(fā)明實(shí)施例在企業(yè)網(wǎng)絡(luò)外部對(duì)企業(yè)網(wǎng)絡(luò)中的各個(gè)網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行監(jiān)測(cè)�,當(dāng)監(jiān)測(cè)到網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化時(shí)��,獲取包含訪問端口變化情況的監(jiān)測(cè)結(jié)果����,并基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析����,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常���,進(jìn)而根據(jù)分析結(jié)果對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制。由此可見�����,本發(fā)明實(shí)施例實(shí)現(xiàn)了對(duì)企業(yè)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)和邊界設(shè)備的監(jiān)測(cè)與管理���,并能夠根據(jù)邊界設(shè)備的訪問端口的變化情況對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制����,從而能夠?qū)崿F(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行安全防護(hù)的目的�����。
[0176]進(jìn)一步����,本發(fā)明實(shí)施例能夠基于企業(yè)網(wǎng)絡(luò)外部和企業(yè)網(wǎng)絡(luò)內(nèi)部結(jié)合的機(jī)制,通過在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化���,在監(jiān)測(cè)到企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化時(shí)�,將監(jiān)測(cè)結(jié)果發(fā)送至企業(yè)網(wǎng)絡(luò)內(nèi)部,在企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)監(jiān)測(cè)結(jié)果進(jìn)行分析����,確定網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常,進(jìn)而根據(jù)分析結(jié)果對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制��,由此實(shí)現(xiàn)了對(duì)企業(yè)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)和邊界設(shè)備的監(jiān)測(cè)與管理����。
[0177]在此處所提供的說(shuō)明書中,說(shuō)明了大量具體細(xì)節(jié)���。然而�����,能夠理解�����,本發(fā)明的實(shí)施例可以在沒有這些具體細(xì)節(jié)的情況下實(shí)踐�。在一些實(shí)例中����,并未詳細(xì)示出公知的方法����、結(jié)構(gòu)和技術(shù)��,以便不模糊對(duì)本說(shuō)明書的理解�����。
[0178]類似地��,應(yīng)當(dāng)理解�,為了精簡(jiǎn)本公開并幫助理解各個(gè)發(fā)明方面中的一個(gè)或多個(gè)��,在上面對(duì)本發(fā)明的示例性實(shí)施例的描述中�����,本發(fā)明的各個(gè)特征有時(shí)被一起分組到單個(gè)實(shí)施例���、圖��、或者對(duì)其的描述中�。然而,并不應(yīng)將該公開的方法解釋成反映如下意圖:即所要求保護(hù)的本發(fā)明要求比在每個(gè)權(quán)利要求中所明確記載的特征更多的特征���。更確切地說(shuō)�,如下面的權(quán)利要求書所反映的那樣�,發(fā)明方面在于少于前面公開的單個(gè)實(shí)施例的所有特征。因此�����,遵循【具體實(shí)施方式】的權(quán)利要求書由此明確地并入該【具體實(shí)施方式】���,其中每個(gè)權(quán)利要求本身都作為本發(fā)明的單獨(dú)實(shí)施例�����。
[0179]本領(lǐng)域那些技術(shù)人員可以理解���,可以對(duì)實(shí)施例中的設(shè)備中的模塊進(jìn)行自適應(yīng)性地改變并且把它們?cè)O(shè)置在與該實(shí)施例不同的一個(gè)或多個(gè)設(shè)備中?���?梢园褜?shí)施例中的模塊或單元或組件組合成一個(gè)模塊或單元或組件,以及此外可以把它們分成多個(gè)子模塊或子單元或子組件�。除了這樣的特征和/或過程或者單元中的至少一些是相互排斥之外����,可以采用任何組合對(duì)本說(shuō)明書(包括伴隨的權(quán)利要求����、摘要和附圖)中公開的所有特征以及如此公開的任何方法或者設(shè)備的所有過程或單元進(jìn)行組合。除非另外明確陳述����,本說(shuō)明書(包括伴隨的權(quán)利要求、摘要和附圖)中公開的每個(gè)特征可以由提供相同�����、等同或相似目的的替代特征來(lái)代替��。
[0180]此外�,本領(lǐng)域的技術(shù)人員能夠理解��,盡管在此所述的一些實(shí)施例包括其它實(shí)施例中所包括的某些特征而不是其它特征��,但是不同實(shí)施例的特征的組合意味著處于本發(fā)明的范圍之內(nèi)并且形成不同的實(shí)施例���。例如���,在權(quán)利要求書中��,所要求保護(hù)的實(shí)施例的任意之一都可以以任意的組合方式來(lái)使用�����。
[0181]本發(fā)明的各個(gè)部件實(shí)施例可以以硬件實(shí)現(xiàn)���,或者以在一個(gè)或者多個(gè)處理器上運(yùn)行的軟件模塊實(shí)現(xiàn),或者以它們的組合實(shí)現(xiàn)���。本領(lǐng)域的技術(shù)人員應(yīng)當(dāng)理解�����,可以在實(shí)踐中使用微處理器或者數(shù)字信號(hào)處理器(DSP)來(lái)實(shí)現(xiàn)根據(jù)本發(fā)明實(shí)施例的企業(yè)網(wǎng)絡(luò)訪問控制裝置中的一些或者全部部件的一些或者全部功能�����。本發(fā)明還可以實(shí)現(xiàn)為用于執(zhí)行這里所描述的方法的一部分或者全部的設(shè)備或者裝置程序(例如���,計(jì)算機(jī)程序和計(jì)算機(jī)程序產(chǎn)品)。這樣的實(shí)現(xiàn)本發(fā)明的程序可以存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上,或者可以具有一個(gè)或者多個(gè)信號(hào)的形式����。這樣的信號(hào)可以從因特網(wǎng)網(wǎng)站上下載得到,或者在載體信號(hào)上提供��,或者以任何其他形式提供����。
[0182]應(yīng)該注意的是上述實(shí)施例對(duì)本發(fā)明進(jìn)行說(shuō)明而不是對(duì)本發(fā)明進(jìn)行限制,并且本領(lǐng)域技術(shù)人員在不脫離所附權(quán)利要求的范圍的情況下可設(shè)計(jì)出替換實(shí)施例����。在權(quán)利要求中,不應(yīng)將位于括號(hào)之間的任何參考符號(hào)構(gòu)造成對(duì)權(quán)利要求的限制����。單詞“包含”不排除存在未列在權(quán)利要求中的元件或步驟�����。位于元件之前的單詞“一”或“一個(gè)”不排除存在多個(gè)這樣的元件����。本發(fā)明可以借助于包括有若干不同元件的硬件以及借助于適當(dāng)編程的計(jì)算機(jī)來(lái)實(shí)現(xiàn)。在列舉了若干裝置的單元權(quán)利要求中,這些裝置中的若干個(gè)可以是通過同一個(gè)硬件項(xiàng)來(lái)具體體現(xiàn)����。單詞第一、第二���、以及第三等的使用不表示任何順序�?�?蓪⑦@些單詞解釋為名稱�����。
[0183]至此�����,本領(lǐng)域技術(shù)人員應(yīng)認(rèn)識(shí)到�����,雖然本文已詳盡示出和描述了本發(fā)明的多個(gè)示例性實(shí)施例�����,但是,在不脫離本發(fā)明精神和范圍的情況下���,仍可根據(jù)本發(fā)明公開的內(nèi)容直接確定或推導(dǎo)出符合本發(fā)明原理的許多其他變型或修改��。因此����,本發(fā)明的范圍應(yīng)被理解和認(rèn)定為覆蓋了所有這些其他變型或修改���。
[0184]本發(fā)明實(shí)施例的一方面公開了 Al�����、一種企業(yè)網(wǎng)絡(luò)訪問控制方法���,包括:
[0185]在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化;
[0186]若監(jiān)測(cè)到所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化��,則獲取監(jiān)測(cè)結(jié)果�����,所述監(jiān)測(cè)結(jié)果包括網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化情況��;
[0187]基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析�,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常;
[0188]根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制�。
[0189]A2、根據(jù)Al所述的方法�,其中,
[0190]所述獲取監(jiān)測(cè)結(jié)果���,包括:所述企業(yè)網(wǎng)絡(luò)外部將監(jiān)測(cè)結(jié)果發(fā)送至所述企業(yè)網(wǎng)絡(luò)內(nèi)部���,在所述企業(yè)網(wǎng)絡(luò)內(nèi)部獲取所述監(jiān)測(cè)結(jié)果;
[0191]所述基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析���,包括:在所述企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析�。
[0192]A3����、根據(jù)A2所述的方法,其中��,所述企業(yè)網(wǎng)絡(luò)內(nèi)部包括具備根據(jù)網(wǎng)絡(luò)安全策略進(jìn)行網(wǎng)絡(luò)安全評(píng)估能力的網(wǎng)絡(luò)安全管理平臺(tái)��。
[0193]A4��、根據(jù)A1-A3任一項(xiàng)所述的方法,其中��,所述在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化��,包括:
[0194]在企業(yè)網(wǎng)絡(luò)外部對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備上報(bào)的訪問端口的信息進(jìn)行監(jiān)測(cè)���,以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化����;
[0195]或者����,
[0196]在企業(yè)網(wǎng)絡(luò)外部主動(dòng)獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口的信息,以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化����。
[0197]A5、根據(jù)A4所述的方法�,其中,所述訪問端口的信息包括下列至少之一:
[0198]訪問端口對(duì)應(yīng)的域名信息��、訪問端口對(duì)應(yīng)的IP列表��、訪問端口對(duì)應(yīng)的服務(wù)信息�����、訪問端口對(duì)應(yīng)的漏洞�����。
[0199]A6�����、根據(jù)A1-A5任一項(xiàng)所述的方法��,其中��,所述在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化���,包括:
[0200]在企業(yè)網(wǎng)絡(luò)外部實(shí)時(shí)或定期獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備中記載的路由信息���;
[0201]根據(jù)所述路由信息確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口;
[0202]掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口���,判斷所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化��。
[0203]A7�����、根據(jù)A6所述的方法����,其中,所述掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口��,包括:
[0204]根據(jù)安全需要設(shè)置的掃描頻率對(duì)確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描���。
[0205]AS�����、根據(jù)A6或A7所述的方法�,其中����,所述掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口,包括:
[0206]確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量�����;
[0207]根據(jù)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量啟用對(duì)應(yīng)的預(yù)設(shè)數(shù)量的掃描線程����;
[0208]利用所述預(yù)設(shè)數(shù)量的掃描線程對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描�。
[0209]A9��、根據(jù)A1-A8任一項(xiàng)所述的方法��,其中����,
[0210]所述預(yù)設(shè)網(wǎng)絡(luò)安全策略具有不同層級(jí)的權(quán)限��;
[0211]所述基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析��,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常����,包括:
[0212]在預(yù)設(shè)網(wǎng)絡(luò)安全策略中查找到訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略,確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第一權(quán)限�;
[0213]根據(jù)所述監(jiān)測(cè)結(jié)果確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第二權(quán)限;
[0214]比對(duì)所述第一權(quán)限和所述第二權(quán)限�����,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�����。
[0215]A10、根據(jù)A9所述的方法��,其中�����,所述比對(duì)所述第一權(quán)限和所述第二權(quán)限���,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常���,包括:
[0216]若比對(duì)一致,則確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常�����;
[0217]若比對(duì)不一致����,則確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常。
[0218]All�����、根據(jù)AlO所述的方法,其中�����,所述根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制�,包括:
[0219]若確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常,則生成所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常的提示信息���。
[0220]A12、根據(jù)AlO所述的方法�,其中,所述根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制���,包括:
[0221]若確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常�,則判斷是否更改訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略�����;
[0222]若否�����,則關(guān)閉所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口。
[0223]A13����、根據(jù)A1-A12任一項(xiàng)所述的方法,其中����,所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括直接面向所述企業(yè)網(wǎng)絡(luò)的各個(gè)終端,提供網(wǎng)絡(luò)接入服務(wù)的設(shè)備����。
[0224]A14、根據(jù)A13所述的方法����,其中,所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括下列至少之
[0225]路由器����、交換機(jī)、防火墻�。
[0226]本發(fā)明實(shí)施例的另一方面還公開了B15、一種企業(yè)網(wǎng)絡(luò)訪問控制裝置�,包括:
[0227]監(jiān)測(cè)模塊,適于在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化��;
[0228]獲取模塊,適于若所述監(jiān)測(cè)模塊監(jiān)測(cè)到所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化����,則獲取監(jiān)測(cè)結(jié)果�����,所述監(jiān)測(cè)結(jié)果包括網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化情況�����;
[0229]分析模塊�,適于基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析�����,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常����;
[0230]訪問控制模塊,適于根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制�����。
[0231]B16、根據(jù)B15所述的裝置����,其中,
[0232]所述獲取模塊�,還適于所述企業(yè)網(wǎng)絡(luò)外部將監(jiān)測(cè)結(jié)果發(fā)送至所述企業(yè)網(wǎng)絡(luò)內(nèi)部,在所述企業(yè)網(wǎng)絡(luò)內(nèi)部獲取所述監(jiān)測(cè)結(jié)果�;
[0233]所述分析模塊,還適于在所述企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析��。
[0234]B17�、根據(jù)B16所述的裝置,其中���,所述企業(yè)網(wǎng)絡(luò)內(nèi)部包括具備根據(jù)網(wǎng)絡(luò)安全策略進(jìn)行網(wǎng)絡(luò)安全評(píng)估能力的網(wǎng)絡(luò)安全管理平臺(tái)��。
[0235]B18����、根據(jù)B15-B17任一項(xiàng)所述的裝置����,其中,所述監(jiān)測(cè)模塊還適于:
[0236]在企業(yè)網(wǎng)絡(luò)外部對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備上報(bào)的訪問端口的信息進(jìn)行監(jiān)測(cè)�����,以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化;
[0237]或者����,
[0238]在企業(yè)網(wǎng)絡(luò)外部主動(dòng)獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口的信息,以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化���。
[0239]B19�����、根據(jù)B18所述的裝置�����,其中��,所述訪問端口的信息包括下列至少之一:
[0240]訪問端口對(duì)應(yīng)的域名信息、訪問端口對(duì)應(yīng)的IP列表����、訪問端口對(duì)應(yīng)的服務(wù)信息、訪問端口對(duì)應(yīng)的漏洞�����。
[0241]B20、根據(jù)B15-B19任一項(xiàng)所述的裝置�����,其中����,所述監(jiān)測(cè)模塊還適于:
[0242]在企業(yè)網(wǎng)絡(luò)外部實(shí)時(shí)或定期獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備中記載的路由信息;
[0243]根據(jù)所述路由信息確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口;
[0244]掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口��,判斷所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化��。
[0245]B21�、根據(jù)B20所述的裝置,其中��,所述監(jiān)測(cè)模塊還適于:
[0246]根據(jù)安全需要設(shè)置的掃描頻率對(duì)確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描�����。
[0247]B22����、根據(jù)B20或B21所述的裝置��,其中��,所述監(jiān)測(cè)模塊還適于:
[0248]確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量��;
[0249]根據(jù)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量啟用對(duì)應(yīng)的預(yù)設(shè)數(shù)量的掃描線程�����;
[0250]利用所述預(yù)設(shè)數(shù)量的掃描線程對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描�����。
[0251]B23����、根據(jù)B15-B22任一項(xiàng)所述的裝置�,其中,所述預(yù)設(shè)網(wǎng)絡(luò)安全策略具有不同層級(jí)的權(quán)限�����,所述分析模塊還適于:
[0252]在預(yù)設(shè)網(wǎng)絡(luò)安全策略中查找到訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略�����,確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第一權(quán)限�;
[0253]根據(jù)所述監(jiān)測(cè)結(jié)果確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第二權(quán)限;
[0254]比對(duì)所述第一權(quán)限和所述第二權(quán)限�����,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常����。
[0255]B24、根據(jù)B23所述的裝置����,其中,所述分析模塊還適于:
[0256]若比對(duì)一致��,則確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常���;
[0257]若比對(duì)不一致�,則確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常�。
[0258]B25、根據(jù)B24所述的裝置�,其中,所述訪問控制模塊還適于:
[0259]若確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常�����,則生成所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化未出現(xiàn)異常的提示信息。
[0260]B26�����、根據(jù)B24所述的裝置�����,其中�,所述訪問控制模塊還適于:
[0261]若確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化出現(xiàn)異常,則判斷是否更改訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略�;
[0262]若否,則關(guān)閉所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口��。
[0263]B27����、根據(jù)B15-B26任一項(xiàng)所述的裝置,其中�,所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括直接面向所述企業(yè)網(wǎng)絡(luò)的各個(gè)終端,提供網(wǎng)絡(luò)接入服務(wù)的設(shè)備���。
[0264]B28�����、根據(jù)B27所述的裝置�,其中���,所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備包括下列至少之
[0265]路由器��、交換機(jī)�、防火墻��。
【主權(quán)項(xiàng)】
1.一種企業(yè)網(wǎng)絡(luò)訪問控制方法����,包括: 在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化; 若監(jiān)測(cè)到所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化�,則獲取監(jiān)測(cè)結(jié)果,所述監(jiān)測(cè)結(jié)果包括網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化情況�; 基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�����; 根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制。2.根據(jù)權(quán)利要求1所述的方法�,其中, 所述獲取監(jiān)測(cè)結(jié)果���,包括:所述企業(yè)網(wǎng)絡(luò)外部將監(jiān)測(cè)結(jié)果發(fā)送至所述企業(yè)網(wǎng)絡(luò)內(nèi)部��,在所述企業(yè)網(wǎng)絡(luò)內(nèi)部獲取所述監(jiān)測(cè)結(jié)果�; 所述基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析��,包括:在所述企業(yè)網(wǎng)絡(luò)內(nèi)部基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析�。3.根據(jù)權(quán)利要求2所述的方法,其中���,所述企業(yè)網(wǎng)絡(luò)內(nèi)部包括具備根據(jù)網(wǎng)絡(luò)安全策略進(jìn)行網(wǎng)絡(luò)安全評(píng)估能力的網(wǎng)絡(luò)安全管理平臺(tái)���。4.根據(jù)權(quán)利要求1-3任一項(xiàng)所述的方法,其中�����,所述在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化�����,包括: 在企業(yè)網(wǎng)絡(luò)外部對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備上報(bào)的訪問端口的信息進(jìn)行監(jiān)測(cè),以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化��; 或者��, 在企業(yè)網(wǎng)絡(luò)外部主動(dòng)獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口的信息���,以確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化。5.根據(jù)權(quán)利要求4所述的方法�����,其中�����,所述訪問端口的信息包括下列至少之一:訪問端口對(duì)應(yīng)的域名信息����、訪問端口對(duì)應(yīng)的IP列表、訪問端口對(duì)應(yīng)的服務(wù)信息�、訪問端口對(duì)應(yīng)的漏洞。6.根據(jù)權(quán)利要求1-5任一項(xiàng)所述的方法��,其中�����,所述在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化,包括: 在企業(yè)網(wǎng)絡(luò)外部實(shí)時(shí)或定期獲取所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備中記載的路由信息�; 根據(jù)所述路由信息確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口; 掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口����,判斷所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化。7.根據(jù)權(quán)利要求6所述的方法����,其中,所述掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口����,包括: 根據(jù)安全需要設(shè)置的掃描頻率對(duì)確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描。8.根據(jù)權(quán)利要求6或7所述的方法�����,其中��,所述掃描確定的所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口���,包括: 確定所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量��; 根據(jù)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備所在子網(wǎng)的數(shù)量啟用對(duì)應(yīng)的預(yù)設(shè)數(shù)量的掃描線程�����; 利用所述預(yù)設(shè)數(shù)量的掃描線程對(duì)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口進(jìn)行掃描��。9.根據(jù)權(quán)利要求1-8任一項(xiàng)所述的方法�����,其中��, 所述預(yù)設(shè)網(wǎng)絡(luò)安全策略具有不同層級(jí)的權(quán)限���; 所述基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常���,包括: 在預(yù)設(shè)網(wǎng)絡(luò)安全策略中查找到訪問端口發(fā)生變化的網(wǎng)絡(luò)邊界設(shè)備對(duì)應(yīng)的網(wǎng)絡(luò)安全策略�,確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第一權(quán)限�; 根據(jù)所述監(jiān)測(cè)結(jié)果確定所述網(wǎng)絡(luò)邊界設(shè)備發(fā)生變化的訪問端口對(duì)應(yīng)的第二權(quán)限; 比對(duì)所述第一權(quán)限和所述第二權(quán)限�,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常。10.—種企業(yè)網(wǎng)絡(luò)訪問控制裝置�,包括: 監(jiān)測(cè)模塊���,適于在企業(yè)網(wǎng)絡(luò)外部監(jiān)測(cè)所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口是否發(fā)生變化; 獲取模塊���,適于若所述監(jiān)測(cè)模塊監(jiān)測(cè)到所述企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)邊界設(shè)備的訪問端口發(fā)生變化����,則獲取監(jiān)測(cè)結(jié)果����,所述監(jiān)測(cè)結(jié)果包括網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化情況; 分析模塊�,適于基于預(yù)設(shè)網(wǎng)絡(luò)安全策略對(duì)所述監(jiān)測(cè)結(jié)果進(jìn)行分析,確定所述網(wǎng)絡(luò)邊界設(shè)備的訪問端口變化是否異常�����; 訪問控制模塊�����,適于根據(jù)分析結(jié)果對(duì)所述企業(yè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)訪問控制�����。
【文檔編號(hào)】H04L29/06GK106060040SQ201610371825
【公開日】2016年10月26日
【申請(qǐng)日】2016年5月30日
【發(fā)明人】張睿, 童文, 裴越峰, 江亞輝, 金迪穎, 劉小雄
【申請(qǐng)人】北京琵琶行科技有限公司