[发明专利]网关设备及由其执行的网络访问控制的可视化交互方法

说明书

技术领域

本发明涉及网络安全技术领域，更为具体地，涉及一种网关设备及由其执行的网络访问控制的可视化交互方法。

背景技术

可视化（Visualization）是利用计算机图形技术，将数据转换成图形、图像在屏幕上显示，并进行交互处理的方法和技术。在网络安全领域，多基于网络拓扑进行可视化的配置交互。在可视化的网络拓扑上进行配置，显然更直观、更符合用户的心理模型，可简化学习、易于操作。

图1为基于网络拓扑的可视化交互示意图。如图1所示，本地的分设于多个办公地点（Office311、Office421、Office417、Office321和DMZ）的网络终端通过共同的网关设备与外部Internet连通。作为本地网络与外界网络之间的一道防御系统，网关设备依照特定的规则，允许或是限制传输的数据通过，从而使企业内部（本地）局域网与Internet之间或者与其他外部网络互相隔离、限制网络互访，达到保护内部网络目的。DMZ（demilitarized zone，隔离区）

网络访问控制是网关设备最基本的功能之一，用于控制哪些主机可以访问哪些服务器，借助于预先设定的访问控制规则，在一定程度上描述了某些主机对网络资源的访问权限。

例如下面两条规则，1号规则是2号规则的子集：

序号  源IP               目的IP        服务    动作

1 192.168.1.100/32  →  10.1.1.100/32  HTTP    阻止

2 192.168.1.0/24    →  10.1.1.100/32  HTTP    允许

其中，序号表示该条规则在整个规则集中的顺序位置；源IP表示发送请求的客户机的IP地址；目的IP表示要访问的服务器的IP地址；动作表示在该条规则命中时，对当前访问请求所做的处理动作，其中，“阻止”表示不允许访问，“允许”表示可以访问。

上述两条规则表示，除了192.168.1.100这台客户机，192.168.1.0网段的其他所有客户机可以访问服务器10.1.1.100/32的HTTP服务。

网络数据包通过防火墙时需要顺序匹配所有访问控制规则，命中则不再继续向下匹配，所以，在配置访问控制规则时，需要考虑规则之间的相互关系。如果将上述两条规则的示例的顺序作如下的颠倒：

序号  源IP               目的IP        服务    动作

1 192.168.1.0/24    →  10.1.1.100/32  HTTP    允许

2 192.168.1.100/32  →  10.1.1.100/32  HTTP    阻止

则由于1号规则包含了2号规则，所以2号规则永远不会被命中。它们表示：192.168.1.0网段的所有客户机可以访问服务器10.1.1.100/32的HTTP服务。可见，规则顺序的调换会导致这些规则所限定的意义完全改变。上述示例仅涉及两条规则，而当规则数目达到100条时（这是实际网络环境中非常常见的），规则间的关系会更加复杂、不显而易见，从而变得极难维护。

针对现有技术中存在的上述由于访问控制规则数目较多而导致的维护难问题，亟需一种能够提高规则的可维护性的技术。

发明内容

鉴于上述问题，本发明的目的是提供一种在网络访问控制过程中能够提高规则的维护性的网关设备及由该网关设备执行的网络访问控制的可视化交互方法。

根据本发明的一个方面，提供了一种由网关设备执行的网络访问控制的可视化交互方法，包括：在接收到对所述网关设备上显示的网络拓扑结构中的第一设备实体的访问权限查询请求后，根据第一设备实体的IP地址，在所述网关设备中预先存储的所述网络拓扑结构的网络访问控制规则中查找与所述第一设备实体的IP地址对应的网络访问控制规则；根据所查找的网络访问控制规则，确定所述第一设备实体的访问权限；在所述网络拓扑结构中显示所述第一设备实体的访问权限；根据对所述第一设备实体的访问权限的修改请求而修改与被修改的访问权限对应的网络访问控制规则，以及在所述网络拓扑结构中显示根据修改后的网络访问控制规则确定的所述第一设备实体的访问权限，其中，所述网络拓扑结构在接收到所述访问权限查询请求之前建立，并且以单个设备实体为单位，将所述网络拓扑结构中的各个设备实体和所述网络访问控制规则分别对应。

根据本发明的另一方面，提供了一种网关设备，包括：