本技术涉及网络安全,具体涉及一种安全域的识别方法和装置。
背景技术:
1、数据中心是全球协作的特定设备网络,用于传递、加速、展示、计算、存储数据信息。安全域(security zone)为同一网络系统中一组具有相同安全保护需求和相同安全访问控制策略的网络。在一个数据中心中,通常会根据业务的功能特性和安全要求等划分不同的安全域,不同的安全域之间通过防火墙实现隔离。为了便于运维和管理,需要对数据中心的安全域进行识别。
2、现有的安全域识别方法主要依赖人工:在现有的网络安全管理平台或网络监控平台中,先根据网络设备的名称、网络设备所在的区域、业务功能等确定数据中心的网络设备物理连接拓扑数据,然后再由网络运维人员根据网络设备物理连接拓扑数据和数据中心中各防火墙的配置进行安全域的人工识别。
3、但是,现有的方案难以摆脱对网络运维人员的依赖,效率低下,且安全域识别的准确性不高。
技术实现思路
1、本技术实施例提供一种安全域的识别方法和装置,用以解决现有的方案难以摆脱对网络运维人员的依赖,效率低下,且安全域识别的准确性不高的技术问题。
2、第一方面,本技术实施例提供一种安全域的识别方法,包括:获取数据中心的网络边界设备;获取防火墙的路由信息和配置信息;基于路由信息和配置信息,生成防火墙对应的路由路径树;基于路由路径树和网络边界设备,识别数据中心的安全域;安全域为数据中心中一组具有相同安全保护需求和相同安全访问控制策略的网络,安全域的网络边界为防火墙或网络边界设备。
3、在一个实施例中,基于路由信息和配置信息,生成防火墙对应的路由路径树,包括:基于路由信息和配置信息,对防火墙的安全域方向进行分类,确定防火墙的所有安全域方向;安全域方向包括可信任区域方向、不信任区域方向和非军事区域方向;对防火墙的每一安全域方向上的下一跳路由地址进行遍历,确定防火墙在每一安全域方向上的每一跳路由地址;基于防火墙在每一安全域方向上的每一跳路由地址,生成防火墙对应的路由路径树。
4、在一个实施例中,数据中心包括多个防火墙,防火墙包括内层防火墙和外层防火墙,内层防火墙为数据中心的核心域的网络边界,外层防火墙不是数据中心的核心域的网络边界,核心域为数据中心中一组用于处理核心业务的网络;基于路由路径树和网络边界设备,识别数据中心的安全域,包括:基于内层防火墙对应的路由路径树,确定内层防火墙在非可信任区域方向上的每一跳路由地址;非可信任区域方向包括不信任区域方向和非军事区域方向;基于外层防火墙对应的路由路径树,确定外层防火墙在非不信任区域方向上的每一跳路由地址;非不信任区域方向包括可信任区域方向和非军事区域方向;若内层防火墙在非可信任区域方向上的所有路由地址和外层防火墙在非不信任区域方向上的所有路由地址中存在相同的路由地址,且相同的路由地址不是防火墙接口路由地址,则确定内层防火墙和外层防火墙之间存在安全域。
5、在一个实施例中,数据中心包括核心域,核心域为数据中心中一组用于处理核心业务的网络;基于路由路径树和网络边界设备,识别数据中心的安全域,包括:基于防火墙对应的路由路径树,确定防火墙在非可信任区域方向上的每一跳路由地址;非可信任区域方向包括不信任区域方向和非军事区域方向;若防火墙在非可信任区域方向上的每一跳路由地址中存在网络边界设备的路由地址,且不存在防火墙接口路由地址,则确定网络边界设备和防火墙之间存在安全域。
6、在一个实施例中,数据中心包括核心域,核心域为数据中心中一组用于处理核心业务的网络;基于路由路径树和网络边界设备,识别数据中心的安全域,还包括:获取数据中心的网络边界设备的路由地址;基于防火墙对应的路由路径树,确定防火墙在非可信任区域方向上的每一跳路由地址;非可信任区域方向包括不信任区域方向和非军事区域方向;若网络边界设备的路由地址与防火墙在非可信任区域方向上的每一跳路由地址均不同,则确定网络边界设备和核心域之间存在安全域。
7、在一个实施例中,防火墙还包括区域内防火墙,区域内防火墙为设置于内层防火墙与外层防火墙之间的安全域内的防火墙;基于路由路径树和网络边界设备,识别数据中心的安全域,包括:基于区域内防火墙对应的路由路径树,确定区域内防火墙在每一安全域方向上的每一跳路由地址;基于区域内防火墙在每一安全域方向上的每一跳路由地址,识别区域内防火墙的所属安全域和子安全域;子安全域为内层防火墙与外层防火墙之间的安全域内的一组网络,子安全域的网络边界为区域内防火墙。
8、在一个实施例中,数据中心包括业务系统和多个防火墙,防火墙包括内层防火墙,内层防火墙为数据中心的核心域的网络边界,核心域为数据中心中一组用于处理核心业务的网络;基于路由路径树和网络边界设备,识别数据中心的安全域,包括:基于内层防火墙对应的路由路径树,确定内层防火墙在非可信任区域方向上的每一跳路由地址;非可信任区域方向包括不信任区域方向和非军事区域方向;若内层防火墙在非可信任区域方向上的所有路由地址中存在业务系统的接口路由地址,则确定内层防火墙和业务系统之间存在安全域。
9、在一个实施例中,数据中心包括多个防火墙,防火墙包括内层防火墙、外层防火墙和区域内防火墙,内层防火墙为数据中心的核心域的网络边界,外层防火墙不是数据中心的核心域的网络边界,区域内防火墙为设置于内层防火墙与外层防火墙之间的安全域内的防火墙,核心域为数据中心中一组用于处理核心业务的网络;基于路由路径树和网络边界设备,识别数据中心的安全域之前,包括:基于每一防火墙对应的路由路径树,确定每一防火墙的类型;基于每一防火墙对应的路由路径树,确定每一防火墙的类型,包括:若基于防火墙对应的路由路径树,确定防火墙在可信任区域方向上的所有路由地址中不存在防火墙接口路由地址,则确定防火墙为内层防火墙;若基于防火墙对应的路由路径树,确定防火墙在可信任区域方向上的所有路由地址中存在防火墙接口路由地址,且防火墙接口路由地址为另一防火墙在可信任区域方向上的路由地址,则确定防火墙为内层防火墙;若基于防火墙对应的路由路径树,确定防火墙在不可信任区域方向上的所有路由地址中不存在其他防火墙的防火墙接口路由地址,且防火墙在不可信任区域方向上的所有路由地址中存在网络边界设备的路由地址,则确定防火墙为外层防火墙;若基于防火墙对应的路由路径树,确定防火墙不是内层防火墙或外层防火墙,则确定防火墙为区域内防火墙。
10、在一个实施例中,基于路由路径树和网络边界设备,识别数据中心的安全域之后,还包括:基于每一防火墙对应的路由路径树、所有网络边界设备以及所有安全域,生成数据中心对应的安全域架构图。
11、第二方面,本技术实施例提供一种安全域的识别装置,包括:第一获取模块,用于获取数据中心的网络边界设备;第二获取模块,用于获取防火墙的路由信息和配置信息;生成模块,用于基于路由信息和配置信息,生成防火墙对应的路由路径树;识别模块,用于基于路由路径树和网络边界设备,识别数据中心的安全域;安全域为数据中心中一组具有相同安全保护需求和相同安全访问控制策略的网络,安全域的网络边界为防火墙或网络边界设备。
12、本技术实施例提供的安全域的识别方法和装置,获取数据中心的网络边界设备;获取防火墙的路由信息和配置信息;基于路由信息和配置信息,生成防火墙对应的路由路径树;基于路由路径树和网络边界设备,识别数据中心的安全域;安全域为数据中心中一组具有相同安全保护需求和相同安全访问控制策略的网络,安全域的网络边界为防火墙或网络边界设备。通过上述方式,先根据路由信息和配置信息生成防火墙对应的路由路径树,再根据路由路径树和网络边界设备,识别数据中心的安全域,无需网络运维人员进行安全域的人工识别,摆脱了对网络运维人员的依赖,效率高且安全域识别的准确性高。
1.一种安全域的识别方法,其特征在于,包括:
2.根据权利要求1所述的安全域的识别方法,其特征在于,所述基于所述路由信息和所述配置信息,生成所述防火墙对应的路由路径树,包括:
3.根据权利要求2所述的安全域的识别方法,其特征在于,所述数据中心包括多个防火墙,所述防火墙包括内层防火墙和外层防火墙,所述内层防火墙为所述数据中心的核心域的网络边界,所述外层防火墙不是所述数据中心的核心域的网络边界,所述核心域为所述数据中心中一组用于处理核心业务的网络;
4.根据权利要求2所述的安全域的识别方法,其特征在于,所述数据中心包括核心域,所述核心域为所述数据中心中一组用于处理核心业务的网络;
5.根据权利要求2所述的安全域的识别方法,其特征在于,所述数据中心包括核心域,所述核心域为所述数据中心中一组用于处理核心业务的网络;
6.根据权利要求3所述的安全域的识别方法,其特征在于,所述防火墙还包括区域内防火墙,所述区域内防火墙为设置于所述内层防火墙与所述外层防火墙之间的安全域内的防火墙;
7.根据权利要求2所述的安全域的识别方法,其特征在于,所述数据中心包括业务系统和多个防火墙,所述防火墙包括内层防火墙,所述内层防火墙为所述数据中心的核心域的网络边界,所述核心域为所述数据中心中一组用于处理核心业务的网络;
8.根据权利要求2所述的安全域的识别方法,其特征在于,所述数据中心包括多个防火墙,所述防火墙包括内层防火墙、外层防火墙和区域内防火墙,所述内层防火墙为所述数据中心的核心域的网络边界,所述外层防火墙不是所述数据中心的核心域的网络边界,所述区域内防火墙为设置于所述内层防火墙与所述外层防火墙之间的安全域内的防火墙,所述核心域为所述数据中心中一组用于处理核心业务的网络;
9.根据权利要求2所述的安全域的识别方法,其特征在于,所述基于所述路由路径树和所述网络边界设备,识别所述数据中心的安全域之后,还包括:
10.一种安全域的识别装置,其特征在于,包括:
