[发明专利]一种网络安全检测方法及装置

说明书

本申请提供一种网络安全检测方法及装置，可包括网络连通性发现组件获取所述指定防火墙上配置的访问控制策略；依据获取到的访问控制策略，生成针对网络节点单向连通性的有向图；将生成的有向图转换为无向图；所述无向图包括多个顶点和多个连通的两个顶点之间的无向边；确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通，如果是，则确定存在网络安全风险。使用本申请提供的方法，可以发现网络安全系统中潜在的风险，实现网络安全检测。

技术领域

本申请涉及计算机通信领域，尤其涉及一种网络安全检测方法及装置。

背景技术

DMZ(DeMilitarized Zone，非军事化区)，也被称为隔离区，是为了解决安装防火墙后，外部网络的访问用户不能访问内部网络服务器而设立的一个非安全系统与安全系统之间的缓冲区。在这个缓冲区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。通过这样一个DMZ区域，更加有效地保护了内部网络。因为这种网络部署，比起一般的防火墙方案，对来自外部的攻击者又多了一道安全关卡。

在目前常见的网络安全体系中，通常会设置多台防火墙构成DMZ区来防御来自外网的安全威胁。

例如，如图1所示，在图1所示的网络安全体系中，设置了防火墙1和防火墙2，防火墙1与外网相连，防火墙2与内网终端和内网服务器相连，防火墙1和防火墙2共同构成DMZ区。

在该网络安全体系中，通常配置有4组访问控制策略：

1、防火墙1允许外网访问DMZ区；

2、防火墙2允许DMZ区访问内网服务器；

3、防火墙2允许内网终端访问内网服务器；

4、防火墙2禁止DMZ区访问内网终端。

根据上述访问控制策略1和访问控制策略4，表面上来自外网的攻击无法传递到内网终端。但是由于规则2的作用，使得来自于外网的黑客可以通过DMZ区访问到内网服务器，而由于规则3的作用，使得内网终端可以访问内网服务器。因此来自外网的攻击可以通过服务器间接传递到内网终端，影响内网安全。

此外，随着网络规模的不断扩大，内网服务器和内网终端的数量、以及防火墙的访问控制策略的数量也急剧的上升，使得网络中可能存在间接连通外网和内网终端的安全漏洞的数量也大幅度增加，大大影响了内网的网络安全。

发明内容

有鉴于此，本申请提供一种网络安全检测方法及装置，用以实现网络安全检测，确定网络风险加固点。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种网络安全检测方法，所述方法应用于连接指定防火墙的网络连通性发现组件，包括：

获取所述指定防火墙上配置的访问控制策略；所述访问控制策略记录了多个网络节点，以及任意两个单向连通的网络节点的访问方向；

依据获取到的访问控制策略，生成针对网络节点单向连通性的有向图；所述有向图包括多个顶点，以及多个单向连通的两个顶点之间的有向边；所述多个顶点与所述访问控制策略记录的网络节点一一对应；所述单向连通的两个顶点之间的有向边，指示访问控制策略记录的与这两个顶点对应的两个网络节点之间的访问方向；

将生成的有向图转换为无向图；所述无向图包括多个顶点和多条无向边；所述无向图中的各顶点与所述有向图中的各顶点一一对应，所述无向图中的各无向边与所述有向图中的各有向边一一对应，所述无向边指示该无向边上的两个顶点对应的网络节点连通；

确定所述无向图中的对应外网网络节点的顶点与对应内网终端节点的顶点是否通过无向边连通，如果是，则确定存在网络安全风险。