CN113014427B - 网络管理方法和设备,及存储介质 - Google Patents

网络管理方法和设备,及存储介质 Download PDF

Info

Publication number
CN113014427B
CN113014427B CN202110199469.2A CN202110199469A CN113014427B CN 113014427 B CN113014427 B CN 113014427B CN 202110199469 A CN202110199469 A CN 202110199469A CN 113014427 B CN113014427 B CN 113014427B
Authority
CN
China
Prior art keywords
network
access
network management
management
managed
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110199469.2A
Other languages
English (en)
Other versions
CN113014427A (zh
Inventor
徐猛
彭李根
王小龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202110199469.2A priority Critical patent/CN113014427B/zh
Publication of CN113014427A publication Critical patent/CN113014427A/zh
Application granted granted Critical
Publication of CN113014427B publication Critical patent/CN113014427B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Abstract

本申请实施例公开了一种网络管理方法和设备,及存储介质,所述方法包括:获取待管理对象的标识信息;根据标识信息确定待管理对象对应的网络管理策略;其中,网络管理策略用于对外部互联网和内网的访问进行管理;向控制设备发送网络管理策略,以实现控制设备对待管理对象的控制管理。

Description

网络管理方法和设备,及存储介质
技术领域
本发明涉及终端设备上网和入网管理领域,尤其涉及一种网络管理方法和设备,及存储介质。
背景技术
随着办公网基础设施的变化以及办公设备的多样化,移动办公环境中,由于不安全上网导致的勒索病毒等安全事件频发,并且一旦内网出现中毒终端,该终端还会横向扩展,进而感染其他终端,引发连锁反应,给终端的管控和网络管理带来了新的挑战。
目前,相关技术常采用仅在用户网络出口处设置上网行为管理设备(AccessControl,AC),以实现内网终端设备合法合规上网的方案;或者,为了也能实现入网控制,同时购买两种产品并分别配置运维,以实现终端设备入网和上网各自独立管控。
然而,由于终端设备的入网和上网是一体且相关联的,相关技术中的网络运维管理方式复杂度高且效率低。
发明内容
有鉴于此,本发明实施例提供了一种网络管理方法和设备,及存储介质,降低了运维管理复杂度,提高了管理效率,进一步实现了终端设备上网和入网的有效统一管理。
本申请实施例的技术方案是这样实现的:
第一方面,本申请实施例提供了一种网络管理方法,所述方法包括:
获取待管理对象的标识信息;
根据所述标识信息确定所述待管理对象对应的网络管理策略;其中,所述网络管理策略用于对外部互联网和内网的访问进行管理;
向控制设备发送所述网络管理策略,以通过所述控制设备实现对所述待管理对象的控制管理。
第二方面,本申请实施例提供了一种网络管理设备,所述网络管理设备包括获取单元、确定单元以及发送单元,
所述获取单元,用于获取待管理对象的标识信息;
所述确定单元,用于根据所述标识信息确定所述待管理对象对应的网络管理策略;其中,所述网络管理策略用于对外部互联网和内网的访问进行管理;
所述发送单元,用于向控制设备发送所述网络管理策略,以通过所述控制设备实现对所述待管理对象的控制管理。
第三方面,本申请实施例提供了一种网络管理设备,所述网络管理设备包括处理器、存储有所述处理器可执行指令的存储器,当所述指令被所述处理器执行时,实现如上所述的网络管理方法。
第四方面,本申请实施例提供了一种计算机可读存储介质,其上存储有程序,应用于网络管理设备中,所述程序被处理器执行时,实现如上所述的网络管理方法。
本申请实施例提供了一种网络管理方法和设备,及存储介质,网络管理设备获取待管理对象的标识信息;根据标识信息确定待管理对象对应的网络管理策略;其中,网络管理策略用于对外部互联网和内网的访问进行管理;向控制设备发送网络管理策略,以通过控制设备实现对待管理对象的控制管理。也就是说,在本申请的实施例中,网络管理设备能够针对内网全部待管理对象,进行外部互联网访问管理策略和内网访问管理策略的统一配置,以实现入网和上网的统一管理,并将该网络管理策略下发至控制设备,以使该控制设备基于所述网络管理策略实现对待管理对象的控制管理。可见,在本申请中,终端设备的入网和上网不再需要分开在不同的产品上去配置运维,而是通过网络管理设备实现上网和入网的统一管理,在保证网络访问安全性的基础上降低了运维复杂度,进一步提高了管理效率。
附图说明
图1为本申请实施例提出的网络管理系统的组成结构示意图;
图2为本申请实施例提出的网络管理方法的实现流程示意图一;
图3为本申请实施例提出的网络管理方法的实现流程示意图二;
图4为本申请实施例提出的网络管理方法的实现流程示意图三;
图5为本申请实施例提出的网络管理系统的系统结构示意图一;
图6为本申请实施例提出的网络管理方法的实现流程示意图四;
图7为本申请实施例提出的网络管理系统的系统结构示意图二;
图8为本申请实施例提出的网络管理方法的实现流程示意图五;
图9为本申请实施例提出的网络管理系统的系统结构示意图三;
图10为本申请实施例提出的网络管理方法的实现流程示意图六;
图11为本申请实施例提出的网络管理方法的实现流程示意图七;
图12为本申请实施例提出的网络管理方法的实现流程示意图八;
图13为本申请实施例提出的网络管理方法的应用场景示意图;
图14为本申请实施例提出的探针初始化配置界面示意图;
图15为终端资产梳理可视化界面示意图一;
图16为终端资产梳理可视化界面示意图二;
图17为终端资产梳理可视化界面示意图三;
图18为本申请实施例提出的网络管理策略配置下发流程示意图;
图19为本申请实施例提出的探针系统管理界面示意图;
图20为本申请提出的网络管理设备的组成结构示意图一;
图21为本申请提出的网络管理设备的组成结构示意图二。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。可以理解的是,此处所描述的具体实施例仅用于解释相关申请,而非对该申请的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关申请相关的部分。
对本发明实施例进行进一步详细说明之前,对本发明实施例中涉及的名词和术语进行说明,本发明实施例中涉及的名词和术语适用于如下的解释。
1)内网:即局域网,是指在某一区域内由多台计算机互联成的计算机组。一般是方圆几千米以内。局域网可以实现文件管理、应用软件共享、打印机共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网是封闭型的,可以由办公室内的两台计算机组成,也可以由一个公司内的上千台计算机组成。
2)外网:即广域网,又称公网。是连接不同地区局域网或城域网计算机通信的远程网。通常跨接很大的物理范围,所覆盖的范围从几十公里到几千公里,它能连接多个地区、城市和国家,或横跨几个洲并能提供远距离通信,形成国际性的远程网络。广域网并不等同于互联网。
3)入网:允许终端设备接入内网,如企业的网络环境,并能跟其他终端进行通信。
4)出网(上网):允许终端设备访问外网,如互联网。
应理解,外网与内网的主要区别和联系包括以下几点:(a)在于互联网协议地址(Internet Protocol Address,IP)地址设置的区别;(b)内网电脑连接外网需要一个统一出口,可能被限制一些不必要的访问,而外网就不经路由器或交换机就可以上网的网络,可以直接被外界所访问到,无需经任何设备,直接连接电脑;(c)内网相对外网会多一层安全防火墙(外网路由),相对来说抵御来自外网的攻击能力会好一些;内网不足之处在于,可能会遭到来自内部的攻击;因为要共享带宽,相对网速可能会慢些(终端越多越慢);(d)内网的IP可以经常换,可以自己定义规则;而外网的IP一般都是固定的,你装好宽带的时候,你的IP就固定下来了。
随着办公网基础设施的变化以及办公设备(国产电脑、苹果电脑以及各种物联网设备)的多样化,移动办公环境中的网络管控复杂,进而不安全上网导致的勒索病毒等安全事件频发,给终端的管控和网络管理带来了新的挑战。
目前,相关技术常采用在用户网络出口处设置一台AC,以实现对内部终端合法合规上网的管控。但是,如果终端设备与互联网无数据交互,该AC便不能对其终端设备进行管控;也即是说,AC仅局限于终端上网时的管控。
进一步的,由于内网终端感染病毒之后,还会横向扩展,进而感染其他内网终端,引发连锁反应。因此,为了克服上述AC独立上网管控存在的缺陷,相关技术进一步提出了针对终端入网独立管控的产品,以避免中毒的终端感染内网其他正常的终端。
可见,若要实现终端入网和上网的管控,相关技术中通常需要购买两种产品,分别独立的管控终端上网和入网过程。由于终端入网和上网是一体且相关联的,相关技术中分开在不同的产品上配置的网络管理和运维方式,产品间无协作,缺乏全局视角,不仅配置信息不易被同步、出错机率高,而且运维管理复杂度高且效率低成本高。
鉴于此,如何实现终端设备统一高效的上网和入网管控,成为一个亟待解决的技术问题。
为了解决现有针对终端设备上网和入网管理所存在的问题,本申请实施例提供了一种网络管理方法和设备,存储介质,具体地,网络管理设备能够针对内网全部待管理对象,进行外部互联网访问管理策略和内网访问管理策略的统一配置,以实现入网和上网的统一管理,并将该网络管理策略下发至控制设备,以使该控制设备基于所述网络管理策略实现对待管理对象的控制管理。可见,在本申请中,终端设备的入网和上网不再需要分开在不同的产品上去配置运维,而是通过网络管理设备实现上网和入网的统一管理,在保证网络访问安全性的基础上降低了运维复杂度,进一步提高了管理效率。
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
应理解,在本申请的实施例中,“上网控制设备”指与核心交换机连接,设置于网络出口处的管理设备,至少能够实现终端上网的管控,例如AC;“入网控制设备”指位于上网控制设备与终端之间,采用旁路部署方式与接入/汇聚交换机连接的管理设备,至少能够实现终端入网的管控,例如准入客户端。
本申请一实施例提供了一种网络管理方法,可以应用于图1所示的网络管理系统100中,图1为本申请实施例提出的网络管理系统的组成结构示意图,如图1所示,网络管理系统100包括网络管理设备10、控制设备20以及待管理对象30。其中,网络管理设备10用于接收控制设备20上报的待管理对象的标识信息,并在根据标识信息对待管理对象配置对应的网络管理策略之后,向控制设备20下发网络管理策略;控制设备20连接在网络管理设备10和待管理对象30之间,用于采集待管理对象的标识信息,并将该标识信息上报给网络管理设备,以及接收网络管理设备下发的针对待管理对象的网络管理策略,进而基于该网络管理策略实现对待管理对象外部互联网访问和内网访问的控制管理。
图2为本申请实施例提出的网络管理方法的实现流程示意图一,具体应用于图1所示的网络管理设备10,如图2所示,在本申请的实施例中,网络管理设备执行网络管理的方法包括以下步骤:
步骤101、获取待管理对象的标识信息。
在本申请的实施例中,网络管理设备可以先获取待管理对象对应的标识信息。
应理解,在本申请的实施例中,网络管理设备可以为设置有可操作化显示屏幕以及具备数据处理能力的电子设备。不限定于个人计算机(Personal Computer,PC)、笔记本电脑、可移动终端以及其他可视化电子设备。
需要说明的是,在本申请的实施例中,为了便于运维配置,网络管理设备为一台电子设备。
需要说明的是,在本申请的实施例中,待管理对象指能够被网络管理设备进行入网和上网管控的对象,包括待管理设备和待管理用户。具体的,该待管理设备和待管理用户可以为处于同一内网中的终端设备和/或用户。
可选的,同一内网的终端或用户可以是处于相同局域网的终端或用户,某分公司办公设备和员工都可作为待管理对象;或者基于云服务器(如,阿里云)实现的内网互通条件下的终端或用户,例如总公司和分公司全部办公设备和员工都可作为待管理对象。
应理解,在本申请的实施例中,待管理设备可以为配置不同操作系统的PC、笔记本电脑以及可移动终端;或者媒体设备;或者物联网(The Internet of Things,IOT)设备。例如,办公环境中的电脑、打印机、投影仪以及进行电话会议的设备都属于待管理设备。
可以理解的是,网络管理设备在进行管控之前,需要先知道进行管控的目标都包括哪些,进而针对性的进行管控。因此,在本申请的实施例中,网络管理设备需要先获取待管理对象的标识信息。
具体的,该标识信息可以包括待管理设备的设备标识以及待管理用户的身份标识。其中,设备标识用于表征办公设备属于哪一类型电子设备或者属于哪一类工作区域,用户身份标识表征员工属于哪一个部门,哪一个员工级别。例如,某一电子设备对应的标识为PC-02,PC表征该电子设备为电脑,02表征其为办公区设备;某一员工的工牌号码S-03,S表示该员工属于研发部门,级别为普通员工级别。
进一步的,基于图1所示的网络管理系统,控制设备设置在待管理对象和网络管理设备之间,进而网络管理设备可以从控制设备接收待管理对象的标识信息。
需要说明的是,在本申请的实施例中,控制设备不限定于一台电子设备。可选的,控制设备也不限定于单一功能类型的电子设备。
可以理解的是,若进行标识信息的接收,需要先进行设备的授权,以及建立设备之间的连接。因此,在本申请的实施例中,网络管理设备在进行待管理对象标识信息的获取之前,网络管理设备可以先进行控制设备的授权处理,然后建立与控制设备建立通信连接。如建立TCP通道实现通信。
这里,控制设备的授权方式包括三种授权方式。(1)在线自动授权:如果控制设备联网,管理员登录授权平台输入订单号,自动获取到设备信息,设备自动访问授权中心可自动授权激活;(2)在线授权:联网设备可访问授权中心,但设备信息未导入授权中心,授权页面需要提示管理员到授权中心导入设备信息;(3)离线授权:如果控制设备不能联网,也就是离线设备,管理员登陆网络管理设备,按照离线授权激活指引把设备硬件信息导入授权中心,完成设备授权激活,同时把设备授权文件导出,在设备本地导入该文件,则设备变为授权激活状态,可以正常下一步使用。
具体的,图3为本申请实施例提出的网络管理方法的实现流程示意图二,如图3所示,网络管理设备获取待管理对象的标识信息之前,即步骤101之前,网络管理设备进行网络管理的方法还可以包括以下步骤:
步骤104、确定控制设备对应的初始化配置参数;其中,初始化配置参数包括连接配置信息、内网的业务监控网端以及工作模式;连接配置信息包括接口标识、网络协议IP地址、网关地址以及DNS服务器;工作模式为采集模式和认证模式中的任意一种。
步骤105、基于初始化配置参数与控制设备建立联通关系。
步骤106、基于联通关系启动控制设备,并对控制设备对应的连接状态信息进行显示处理。
具体的,在本申请的实施例中,网络管理设备可以先确定控制设备对应的初始化配置信息,以通过该初始化配置信息与控制设备之间建立联通关系,以在启动控制设备之后,对控制设备对应的连接状态信息进行显示。
可选的,上述初始化配置信息包括(1)连接配置信息,即接口标识、IP地址以、网关地址以及DNS服务器;(2)控制设备对内网进行监控的业务网段;(3)控制设备对应的工作模式,为采集模式和控制模式中的任意一种。另外,网络管理设备还可以设置连接密钥,以保证连接安全性。
其中,该接口标识对应的目标接口将作为网络管理设备与控制设备之间数据进行传输且同步的接口;网络管理设备与控制设备之间要进行数据通信,需要始终保持两个设备之间处于相同的IP地址和网关地址。
进一步的,在本申请的实施例中,网络管理设备在确定初始化配置信息之后,可以基于该初始化配置信息与控制设备进行握手配对,也就是建立联通关系,进而基于该联通关系启动该控制设备,并在显示界面对控制设备的连接状态信息进行显示,如,当前工作模式、CPU、内存、存储状态等等,以供用户查看,并在发现异常时进行异常排查检修。
进一步的,网络管理设备在基于上述初始化配置信息与控制设备建立连接之后,网络管理设备与控制设备之间便可以建立传输控制协议(Transmission ControlProtocol,TCP)通信隧道,以基于该通信隧道实现数据的实时双向通信,如接收控制设备发送的待管理对象的标识信息。
需要说明的是,在本申请的实施例中,网络管理设备建立与控制设备的连接之后,控制设备可以被初始化为采集模式,进一步的,控制设备工作在采集模式以对待管理对象的标识信息进行采集之后,网络管理设备便可接收控制设备发送的标识信息,即在建立通信连接之后便可实现待管理对象信息在网络管理设备上的同步。
进一步的,在本申请的实施例中,网络管理设备建立与控制设备的连接之后,网络管理设备还可以向控制设备发送携带目标配置参数的配置更改指令,以使控制设备基于该目标配置参数进行参数更新,即将原来的配置参数修改为目标配置参数。
可选的,在本申请的实施例,控制设备采用旁路部署模式。网络管理设备不限定于路由部署模式、网络桥接模式等多种不同的部署方式。
进一步的,在本申请的实施例中,网络管理设备在获取到待管理对象的标识信息之后,可以进一步根据该标识信息对待管理对象的网络管理策略进行确定。
步骤102、根据标识信息确定待管理对象对应的网络管理策略;其中,网络管理策略用于对外部互联网和内网的访问进行管理。
在本申请的实施例中,网络管理设备在获取到待管理对象的标识信息之后,网络管理设备可以基于该标识信息确定出待管理对象对应的网络管理策略。
需要说明的是,在本申请的实施例中,网络管理策略指能够针对待管理对象的外部互联网访问以及内网访问进行管理的策略。
具体的,该网络管理策略包括入网策略和上网策略;其中,入网策略用于对待管理对象的内网访问进行管控;上网策略用于对待管理对象的外部互联网访问进行管控。
应理解,网络设备可以基于管理人员在可视化管理操作界面进行的策略配置信息的输入以及配置信息的提交生成相应的网络管理策略。例如,管理人员通过网络管理平台显示界面进行信息的配置,之后管理人员点击提交按钮以提交配置信息,网络管理设备便会响应该配置信息的提交获取网络管理策略,并将该策略写入数据库进行保存。
综上所述,在本申请的实施例中,一台网络管理设备可以针对待管理对象统一配置针对外部互联网访问的上网策略,以及针对内网访问的入网策略,即实现了策略的统一配置。
需要说明的是,在本申请的实施例中,网络管理设备可以针对不同类别的设备和用户配置不同的网络管理策略,即区分化的配置管理策略。
具体的,图4为本申请实施例提出的网络管理方法的实现流程示意图三,如图4所示,网络管理设备根据标识信息确定待管理对象对应的网络管理策略的方法包括:
步骤102a、根据标识信息确定待管理对象对应的管理类别。
步骤102b、基于管理类别确定网络管理策略。
在本申请的实施例中,网络管理设备可以获取多个待管理对象的多个标识信息,基于上述多个标识信息先对多个待管理设备以及待管理用户进行类别划分处理。具体的,网路管理设备可以根据设备标识进行分类,以确定至少一个设备管理类别,同时,基于用户身份标识进行分类,以确定至少一个用户管理类别,或者,网路管理设备也可以根据设备标识和用户标识进行分类,以确定至少一个管理类别。
进一步的,在确定管理类别之后,管理人员可以在网络管理设备的操作管理界面针对不同管理类别进行不同策略配置信息的输入以及提交,之后网络管理设备可以响应该提交操作进一步为多个管理类别配置多个管理策略。
进一步的,在本申请的实施例中,网络管理设备可以获取目标待管理对象的标识信息,并基于该标识信息先确定其管理类别,进而根据该管理类别进行目标网络管理策略的确定。
可选的,在本申请的实施例中,网络管理策略不限定于认证策略、访问权限策略以及合规检查策略等;其中,认证策略用于待管理设备开机上网时的登录认证管理,访问权限策略用于进行内网业务访问时的权限管控,合规检查策略用于对设备是否安装杀毒软件,是否感染病毒进行管控。
在本申请的实施例中,网路管理策略不限定于上述三种策略,针对待管理设备和用户上网/入网过程的各种管控策略都属于上述网络管理策略。
具体的,网络管理设备针对不同设备管理类别和/或不同用户管理类别可配置不同的认证策略;同时,针对不同设备管理类别和/或不同用户管理类别可配置不同的访问权限策略;针对不同设备管理类别和/或不同用户管理类别可配置不同的合规检查策略。
需要说明的是,在本申请的实施例中,配置同一认证策略的待管理设备可能配置不同的访问权限策略;相应的,配置同一访问权限策略的待管理设备可能配置不同的合规检查策略。
例如,设备管理类别为打印机时可配置为局域网地址(Media Access ControlAddress,MAC)/IP免认证,设备管理类别为PC时可配置认证策略为密码认证、单点登录(Single Sign On,SSO)失败后密码认证中的任意一种。更详细的,配置同一密码认证策略的PC的设备管理类别属于办公区设备,访问权限策略配置为可访问公司内网业务,而访客区设备配置为限制访问公司内网业务。
进一步地,在本申请的实施例中,网络管理设备根据标识信息确定其对应的网络管理策略之后,且向控制设备下发该网络管理策略之后,网络管理设备可以先向控制设备发送切换指令,以将控制设备对应的工作模式由采集模式切换为控制模式,进而通过该控制模式以使控制设备通过网络管理策略对待管理设备和用户的控制管理。
进一步地,在本申请的实施例中,网络管理设备在根据标识信息确定出待管理对象对应的网络管理策略之后,可以进一步将该管理策略下发至控制设备。
步骤103、向控制设备发送网络管理策略,以通过控制设备实现对待管理对象的控制管理。
在本申请的实施例中,网络管理设备在根据标识信息确定出待管理对象对应的网络管理策略之后,网络管理设备可以进一步将该网络管理策略发送至控制设备,从而进一步实现控制设备对待管理对象的控制管理。
在本申请的实施例中,网络管理设备完成上网策略和入网策略的配置之后,便可将策略下发给控制设备,进而以使控制设备根据该网络管理策略实现对待管理对象的控制。
进一步地,控制设备获取到网络管理策略之后,由于控制设备是部署在终端侧的接入交换机和/或汇聚交换机处,即位于用户侧,控制设备可以通过交换机对待管理对象的流量数据进行采集,也就是将待管理对象的流量数据镜像至控制设备,进而控制设备便可基于该流量数据以及网络管理设备下发的管理策略对待管理对象进行控制管理。
例如,管理人员针对PC这一管理类别配置了认证策略为密码认证,在将该策略下发给控制设备之后,一旦PC开机上线,用户输入用户名和密码并点击提交之后,便会将PC产生的认证请求对应的流量数据镜像一份至控制设备,控制设备解析该流量数据,并基于密码认证策略中设定的认证条件和流量数据判断该用户是否满足认证条件,若不满足条件则未通过认证,不能访问网络。
具体的,该流量数据包括了用户名和密码、以及当前认证地址、认证请求类型,如果密码认证策略配置认证地址为192.168.02的流量、认证请求类型为http的流量为认证通过的流量,控制设备如果判定用户名和密码正确,且认证地址和认证请求类型都正确,那么终端可以正常访问网络,如基于302重定向这一暂时性转移进行地址重定向,由当前界面跳转至上网界面;否则未通过认证,则不能访问网络。
例如,管理人员针对PC这一管理类别配置了合规检查策略,在将该策略下发给控制设备之后,在上网过程中,PC产生的实时流量数据被镜像至控制设备,控制设备解析该流量数据,并基于合规检查策略中设定的阈值条件和流量数据判断该用户是否满足合法合规条件,若不满足条件则禁止与内网终端进行数据链接。
由于终端分配的带宽资源是有限的,该带宽能够承载的流量大小也是始终保持在一定范围内的,如果控制设备基于合规检查策略中的阈值条件判定当前终端带宽资源内承载的流量过大,超过阈值,那么便可确定该流量为异常流量,进一步的,控制设备按照合规检查策略中的异常流量处理方式对PC发出的所有数据连接进行拒绝控制,以避免其横向扩展,感染内网其他终端。
进一步的,在本申请的实施例中,控制设备在根据管理策略执行对待管理设备和用户的控制管理之后,可以将整个网络访问控制处理过程进行记录,并将该记录信息发送给网络管理设备,保存在网络管理设备对应的管理日志中。
可见,在本申请的实施例中,网络管理设备能够主动且统一化的针对全网终端及用户的上网和入网策略进行配置,并自动同步下发配置到控制设备进行生效,以使控制设备根据该策略有效实现对终端和用户外部互联网以及内网访问的控制管理,也就是说,运维管理人员只需要操作网络管理设备即可实现统一的网络管理,简化了运维复杂度,实现了网络访问的高效管理。
本申请实施例提供了一种网络管理方法,网络管理设备获取待管理对象的标识信息;根据所述标识信息确定所述待管理对象对应的网络管理策略;其中,所述网络管理策略用于对外部互联网和内网的访问进行管理;向控制设备发送所述网络管理策略,以实现所述控制设备对所述待管理对象的控制管理。也就是说,在本申请的实施例中,网络管理设备能够针对内网全部待管理对象,进行外部互联网访问管理策略和内网访问管理策略的统一配置,以实现入网和上网的统一管理,并将该网络管理策略下发至控制设备,以使该控制设备基于所述网络管理策略实现对待管理对象的控制管理。可见,在本申请中,终端设备的入网和上网不再需要分开在不同的产品上去配置运维,而是通过网络管理设备实现上网和入网的统一管理,在保证网络访问安全性的基础上降低了运维复杂度,进一步提高了管理效率。
基于上述实施例,在本申请的再一实施例中,图5为本申请实施例提出的网络管理系统的系统结构示意图一,如图5所示,使用上网控制设备作为网络管理设备,相应的,入网控制设备为控制设备,如图5所示,网络管理系统包括上网控制设备、入网控制设备、终端设备,以及完成终端设备与其他设备信息交换的交换机(接入/汇聚交换机和核心交换机)。其中,一台上网控制设备部署在网络出口处,与核心交换机连接,作为网络管理设备;入网控制设备采用旁路部署模式,与接入/汇聚交换机连接,入网控制设备与上网控制设备之间通过交换机进行通信。
图6为本申请实施例提出的网络管理方法的实现流程示意图四,应用于图5所示的网络系统结构,如图6所示,网络管理设备向控制设备发送网络管理策略的方法包括:
步骤103a1、向入网控制设备发送入网策略,以使入网控制设备基于入网策略对待管理对象进行内网的访问管理。
步骤103a2、通过上网策略对待管理对象进行外部互联网的访问管理。
需要说明的是,在本申请的实施例中,上网控制设备配置有可操作管理显示界面。
需要说明的是,在本申请的实施例中,在使用上网控制设备进行上网策略和入网策略的统一配置管理之前,先获取入网控制设备对应的上述连接配置信息,并基于该连接配置信息建立上网控制设备与入网控制设备的通信连接。
应理解,如果直接使用上网控制设备做网络管理设备,那么运维管理人员设计一台独立的网络管理设备,在本申请的实施例中,可在原有上网控制设备的基础上,在内网接入/汇聚交换机处旁路部署入网控制设备,并建立通信连接,同时基于原上网控制设备配置统一的运维管理界面,针对待管理对象的上网策略和入网策略进行配置。
进一步的,上网控制设备完成上网策略和入网策略的配置之后,可以将对应的入网策略下发至入网控制设备,以使入网控制设备基于入网策略实现对待管理设备和用户内网访问的控制管理。同时,上网控制设备依然基于上网策略实现对待管理设备和用户互联网访问的控制管理。
基于上述实施例,在本申请的再一实施例中,图7为本申请实施例提出的网络管理系统的系统结构示意图二,如图7所示,使用一台独立的电子设备作为网络管理设备,其不为上网控制设备也不为入网控制设备,如图7所示,网络管理系统包括网络管理设备、上网控制设备、入网控制设备、终端设备,以及完成终端设备与其他设备信息交换的交换机(接入/汇聚交换机和核心交换机)。其中,一台网络管理设备与核心交换机连接,上网控制设备部署在网络出口处,与核心交换机连接;入网控制设备采用旁路部署模式,与接入/汇聚交换机连接,入网控制设备与网络管理设备、上网控制设备与网络管理设备之间通过交换机进行通信。
图8为本申请实施例提出的网络管理方法的实现流程示意图五,应用于图7所示的网络系统结构,如图8所示,网络管理设备向控制设备发送网络管理策略的方法包括:
步骤103b1、向入网控制设备发送入网策略,以使入网控制设备基于入网策略对待管理对象进行内网的访问管理。
步骤103b2、向上网控制设备发送上网策略,以使上网控制设备基于上网策略对待管理对象进行外部互联网的访问管理。
需要说明的是,在本申请的实施例中,在使用网络管理设备进行上网策略和入网策略的统一配置管理之前,先分别获取上网控制设备和入网控制设备对应的上述连接配置信息,并基于该连接配置信息分别建立网络管理设备与上网控制设备的连接,以及网络管理设备与入网控制设备的通信连接。
应理解,如果使用不同于上网控制设备和入网控制设备的、独立的一台网络管理设备,在本申请的实施例中,可保持原有上网控制设备的部署模式,在内网接入/汇聚交换机处旁路部署入网控制设备,并分别建立通信连接,同时基于网络管理设备配置统一的运维管理界面,针对待管理对象的上网策略和入网策略进行配置。
进一步的,网络管理设备在完成上网策略和入网策略的配置之后,可以将对应的入网策略下发至入网控制设备,以使入网控制设备基于入网策略实现对待管理设备和用户内网访问的控制管理。同时,将对应的上网策略下发至上网控制设备,以使上网控制设备基于该上网策略实现对待管理设备和用户外部互联网访问的控制管理。
基于上述实施例,在本申请的再一实施例中,图9为本申请实施例提出的网络管理系统的系统结构示意图三,如图9所示,使用一台独立的电子设备作为网络管理设备,其不为上网控制设备也不为入网控制设备,如图7所示,网络管理系统包括网络管理设备、入网控制设备、终端设备,以及完成终端设备与其他设备信息交换的交换机(接入/汇聚交换机和核心交换机)。其中,一台网络管理设备与核心交换机连接,入网控制设备采用旁路部署模式,与接入/汇聚交换机连接,入网控制设备与网络管理设备通过交换机进行通信。
图10为本申请实施例提出的网络管理方法的实现流程示意图六,应用于图9所示的网络系统结构,如图10所示,网络管理设备向控制设备发送网络管理策略的方法包括:
步骤103c1、向入网控制设备发送入网策略和上网策略,以使入网控制设备基于上网策略对待管理对象进行外部互联网的访问管理;同时使入网控制设备基于入网策略对待管理对象进行内网的访问管理。
需要说明的是,在本申请的实施例中,在使用网络管理设备进行上网策略和入网策略的统一配置管理之前,先获取入网控制设备对应的上述连接配置信息,并基于该连接配置信息建立网络管理设备与入网控制设备的通信连接。
应理解,如果使用不同于上网控制设备和入网控制设备的、独立的一台网络管理设备,在本申请的实施例中,无原有上网控制设备,在内网接入/汇聚交换机处旁路部署入网控制设备,并建立通信连接,同时基于网络管理设备配置统一的运维管理界面,针对待管理对象的上网策略和入网策略进行配置。
进一步的,网络管理设备在完成上网策略和入网策略的配置之后,可以将对应的入网策略和上网策略全部下发至入网控制设备,以使入网控制设备不仅能够基于入网策略实现对待管理设备和用户内网访问的控制管理,且能够基于该上网策略实现对待管理设备和用户外部互联网访问的控制管理。
本申请实施例提供了一种网络管理方法,网络管理设备能够针对内网全部待管理对象,进行外部互联网访问管理策略和内网访问管理策略的统一配置,以实现入网和上网的统一管理,并将该网络管理策略下发至控制设备,以使该控制设备基于所述网络管理策略实现对待管理对象的控制管理。不再需要分开在不同的产品上去配置运维,而是通过网络管理设备实现上网和入网的统一管理,在保证网络访问安全性的基础上降低了运维复杂度,进一步提高了管理效率。
基于上述实施例,在本申请的再一实施例中,图11为本申请实施例提出的网络管理方法的实现流程示意图七,如图11所示,在本申请的实施例中,网络管理设备向控制设备发送网络管理策略之后,即步骤103之后,网络管理设备执行网络管理的方法还包括:
步骤107、接收策略更新指令;其中,策略更新指令携带更新规则。
步骤108、按照更新规则更新网络管理策略。
步骤109、对网络管理策略再次进行发送处理。
基于上述实施例,在本申请的再一实施例中,图12为本申请实施例提出的网络管理方法的实现流程示意图八,如图12所示,在本申请的实施例中,网络管理设备向控制设备发送网络管理策略之后,即步骤103之后,网络管理设备执行网络管理的方法还包括:
步骤110、接收控制设备发送的访问记录;其中,访问记录包括待管理对象对外部互联网和/或内网进行访问的历史信息。
步骤111、根据访问记录更新网络管理策略。
步骤112、对网络管理策略再次进行发送处理。
需要说明的是,在本申请的实施例中,网络管理设备可以随时进行管理策略的更新处理,并将该更新后的管理策略再次发送给控制设备,以实现网络管理策略的同步。
具体的,网络管理设备可以获取策略更新指令,并响应该策略更新指令中携带的新的策略配置信息进行网络管理策略的更新处理,得到更新后的网络管理策略。进而再次进行该网络管理策略的下发处理;其中,基于上述不同网络系统架构按照对应的方式进行入网策略和上网策略的下发。、
可选的,在本申请的实施例中,网络管理设备获取策略更新指令的方式可以为:网络管理设备可以基于管理人员在可视化操作管理界面进行的新的策略配置信息的输入以及提交之后,接收到策略更新指令。
可选的,在本申请的实施例中,网络管理设备可以接收控制设备发送的其网络访问控制处理过程对应的记录信息,并基于该记录信息主动生成策略更新指令;其中,该记录信息包括待管理设备和用户针对外部互联网和/或内网的访问信息。
进一步的,控制设备接收网络管理设备下发的更新后的网络管理策略之后,控制设备可以进一步基于更新后的网络管理策略实现针对待管理设备和用户的外部互联网访问和内网访问的控制管理。
本申请实施例提供了一种网络管理方法,网络管理设备能够针对内网全部待管理对象,进行外部互联网访问管理策略和内网访问管理策略的统一更新配置,以实现入网和上网的统一管理,降低了运维复杂度,进一步提高了管理效率。
下面结合具体应用场景对网络管理方法进行详细的说明。其中,在该应用场景执行网络管理方法的过程中,应用场景为办公场景,“AC”即上述上网控制设备,“探针”即上述入网控制设备。
具体的,图13为本申请实施例提出的网络管理方法的应用场景示意图,假定使用AC作为网络管理设备,对应的探针作为控制设备,如图1所示,网络管理系统包括AC、探针(探针1、探针2以及探针3)、各类终端(业务区设备、办公区设备以及访客区设备),以及完成终端与其他设备信息交换的交换机(接入/汇聚交换机和核心交换机)。其中,一台AC部署在网络出口处,与核心交换机连接,且该AC同时作为网络管理设备,即看作“AC控制台”。探针采用旁路部署模式,多个探针分别旁路部署在接入/汇聚交换机处,探针与AC控制台之间,探针与终端之间均通过交换机进行通信。
第一方面,在针对终端执行网络管理方法之前,技术人员需要先进行探针的授权和初始化配置,以使AC与探针建立通信连接。
(a)授权
详细的,探针的授权方式包括在线自动授权、自动授权以及离线授权三种方式。(1)探针采用在线自动授权方式时,客户上架探针之后,管理员先登入AC控制台,然后打开设备授权激活中心,并注册账号,随之输入探针对应的订单号,以获取探针对应的设备信息;进一步的,授权激活中心便可根据该设备信息自动激活授权。(2)探针采用在线授权方式时,探针处于联网状态,联网之后探针自动访问授权激活中心,此时探针对应的设备信息未导入授权激活中心,授权页面提示管理员到授权中心导入设备信息,当将设备信息导入至授权激活中心之后,授权激活中心便可根据该设备信息先进行自动激活授权,如果自动授权失败,管理员可点击授权按钮进行手动激活授权。(3)探针采用离线授权方式时,探针无法联网,也就是离线设备,管理员先登陆AC控制台,按照离线授权激活指引把探针硬件信息导入授权激活中心,完成探针授权激活,同时把探针授权文件导出,在探针本地导入该文件,则探针成功实现授权。
应理解,在本申请的实施中,如果探针未能成功授权,则不能进一步执行探针的初始化配置。
(b)初始化配置
进一步的,完成探针授权之后,在执行探针的初始化配置时,管理人员可以在探针端打开探针初始化配置页面,完善初始化配置信息内容。
具体包括:
(1)选择管理口,该管理口作为探针和AC控制台进行数据同步的接口,并配置静态IP地址和网关地址、选择旁路镜像口(探针与接入/汇聚交换机连接的接口,探针可通过该接口实现对终端相关信息的镜像)以及配置域名系统(Domain Name System,DNS)服务器。
示例性的,图13为本申请实施例提出的探针初始化配置界面示意图,如图4所示,管理口可配置为eth1,多个旁路镜像口可配置为eth2、eth3以及eth4。
(2)宣告探针监控的内网业务网段,选择探针工作模式;其中,探针工作模式包括采集模式和控制模式。
(3)配置连接AC控制台的地址和连接密钥,日志传输上行带宽。
(4)确认配置信息,并提交初始化配置。
探针初始化配置信息提交之后,弹出提交结果界面,提醒公司管理人员到AC控制台对应的“探针管理界面”配置用于与探针进行连接的配置信息,管理人员可以登陆AC控制台,进入对应的连接配置页面,并在完成信息配置之后,开启探针连接,进而实现探针与AC控制台的连接,连接之后AC控制台便可在系统管理页面展示探针连接状态信息。
第二方面,完成AC与探针的通信连接之后,探针默认为采集模式,获取全网终端和用户的相关信息,并进行梳理分类以及管理策略的配置。
(a)终端发现
连接到AC后,探针会自动收集到所有终端信息。如探针会自动倾听镜像包中的ARP、DHCP、DHCP中继报文,并将IP/MAC信息汇报给AC,保证终端资产识别的准确性与唯一性,此功能在AC与探针连接之后默认开启。同时,AC控制台开启跨三层获取mac地址,以从交换机获得终端的mac地址信息。采用此获取终端信息的方式将能大幅提升终端识别的准确度,帮助完成终端资产梳理和入网绑定,此时AC控制台中终端列表页面及入网用户列表页面所对应的MAC地址是正确的MAC地址而不是错误的MAC地址。
(b)终端资产梳理及策略配置
进一步的,终端和用户信息在AC控制台以列表形式呈现,管理人员可以看到所有终端,管理人员对终端类型、用户类型先进行分类梳理。如终端类型包括办公PC、媒体设备、打印机等;用户类型包括研发组、设计组、普通员工、高层领导等。
具体包括:
(1)直接过滤终端类型:直接过滤出打印机、摄像头等IOT设备,直接审批进行免认证入网。
(2)根据用户名来判断:如果有用户名,则此终端一定是访问过互联网经过认证了,此终端可以不用加入免认证列表。
(3)根据绑定状态来过滤。
其中,绑定状态包括已绑定和未绑定状态,管理人员会对部分终端加入用户绑定,绑定后绑定状态为已绑定。图15为终端资产梳理可视化界面示意图一,如图15所示,打印机这一终端类型的绑定状态为已绑定,智能电视这一终端类型的绑定状态为未绑定。
进一步的,针对IOT设备,管理人员在AC会点击子分类,譬如打印机,其绑定状态为未绑定,点击批量用户绑定,把打印机设备加入免认证。图16为终端资产梳理可视化界面示意图二,如图16所示,打印机这一终端类型的绑定状态为未绑定。另一方面,在打印机设备用户绑定后,界面则展示已绑定状态,如图17为终端资产梳理可视化界面示意图三,如图17所示,打印机这一终端类型的绑定状态为已绑定。
进一步的,AC针对IOT设备等进行统一入网审批逻辑为:选择单一设备进行入网审批(绑定mac免认证\绑定IP\mac免认证)、批量对设备进行入网审批(绑定mac免认证\绑定IP\mac免认证)以及加入免认证失败时给出提示。进而IOT等无法认证的设备审批后,下次上线将按照审批的备注标识进行上线,最近登录状态为认证上线的IP或MAC地址。
进一步的,管理人员还可以判断设备是否都有登录过:若登录过,说明有人登录,可以完成认证入网流程。反之若未登录,需要评估下该设备是否是业务相关设备,是否需要先免认证。
需要说明的是,后续新入网的IOT设备会无法联网,需要管理员在终端列表查看是否有最新的哑终端还没有进行用户绑定,及时审批入网
综上所述,AC控制台可以根据终端类型和用户类型配置网络管理策略。具体的,管理人员可以在AC控制台的策略配置界面针对各类型终端进行策略输入配置,并点击提交按钮,AC控制台便可基于管理人员的操作确定对应的网络管理策略。
例如,打印机、摄像头等IOT设备直接审批进行免认证入网;或者需要进行互联网访问的设备不能加入免认证上网;或者存储公司机密文件的终端和高层领导进行绑定,其设置为绑定状态,打印机不需要进行用户绑定,其绑定状态为未绑定;或者针对哑终端进行用户绑定和认证入网。
进一步的,AC控制台在完成全网终端和用户梳理,网络管理策略配置之后,可以将探针采集模式切换为控制模式,并在将网络管理策略下发探针之后,以使探针通过管理策略执行内网终端和用户的认证和访问控制管理。
第三方面,基于网络管理策略进行全网控制管理。
第一种场景,防止陌生用户与终端入网。AC控制台针对全网用户及终端配置密码认证策略,那么在将该策略下发至探针后,探针能够针对全网进行控制,所有的用户与终端都会要求需要认证,密码认证通过后才会入网。
具体包括:
(1)当认证选项为密码认证或者SSO失败后密码认证。
(2)此时以下用户/设备不需要走Portal弹窗密码认证逻辑:
绑定了MAC/IP的免认证逻辑。
全局排除中所命中的访问的IP或者源IP。
通过认证前权限放通指定访问的资源。
(3)全网进行控制后,所有的用户与终端都会要求需要认证。
(4)新入网的IOT设备会无法联网,需要管理员在终端列表查看是否有最新的哑终端还没有进行用户绑定,及时审批入网
(5)当存在用户访问无法入网的时候,管理员通过以下三种方式进行排障:
直通丢包日志查看最近认证丢包的情况。
通过排障中心,查看认证失败。
通过最近七天入网失败用户。
(6)基于排障结果,可以通过以下方式让用户暂时入网:将IP或者mac设置为免认证,或者加入全局排除直通,或者调整认证策略,推荐是通过7天入网失败用户(这个后期会融入到全网监控列表,类似临时入网一样评估入网失败的是否是未识别的IOT设备)。
第二种场景,访客不允许访问内网业务。AC控制台可以规划单独的网段给予访客使用,针对访客配置用户访问权限策略,那么在将该策略下发至探针后,探针能够针对访客进行用户上网权限控制,拒绝访客访问内网业务。
具体包括:
(1)管理人员已经规划了单独的网段给予访客使用,访客入网后,通过上网管理权限进行控制,此时可以基于角色组或者访客网端直接控制,拒绝其内网访问。
(2)访客与员工在同一个网段,此时如果还处于内网终端梳理阶段,上网认证策略中勾选内网访问不需要认证,临时上线。
第三种场景,只允许公司资产访问内网,不允许员工自带电脑访问内网。AC控制台可以对公司常用的终端设备进行标识为公司资产,针对员工使用个人设备配置设备访问权限策略,那么在将该策略下发至探针后,探针能够针对员工个人设备进行上网权限控制,只允许该设备访问内网部分资源,敏感资源不允许访问,防止敏感数据落地到个人设备上。
第四种场景,IOT只允许和IOT服务器进行访问。AC控制台可以对公司中的IOT设备,如摄像头配置服务器访问权限策略,那么在将该策略下发至探针后,探针控制该IOT的视频设备只能与对应的服务器通讯,其他的通讯都会拒绝,避免IOT设备被攻击以及攻击其他设备。
具体包括:
(1)创建自定义应用“视频服务器”,选择指定的服务器与端口。
(2)创建IOT管理策略,限定IOT的设备的访问权限:
允许访问内网视频服务器。
拒绝其他内网其他网段。
(3)应用对象选择,选择视频类型终端,确认策略后,可以直接在数据中心查看相关结果,此时IOT的视频设备只能与对应的服务器通讯,其他的通讯都会拒绝,避免IOT设备被攻击以及攻击其他设备。
第五种场景,禁止不合规终端的访问。AC控制台可以对全网设备配置合规检查策略,那么在将该策略下发至探针后,探针对全网设备进行控制,控制没有安装杀毒软件无法访问业务系统。
第六种场景,防止员工用户通过敏感协议与连接内部业务系统。具体包括:
(1)新增访问权限策略,选择应用控制,客户可以通过:搜索安全外壳协议(SecureShell,SSH),筛选出SSH协议或者通过点击左边的标签内部业务应用进行筛选出内部业务控制相关的应用。
(2)选择SSH,并动作拒绝。
(3)在指定访问的内网网段与相对应的用户与终端。
(4)完成配置,此时非IT管理员无法适用SSH来访问到任何内部业务系统。
本申请的AC控制台配置网络管理策略不限定于上述多种策略,此处不再一一赘述。
具体的,图18为本申请实施例提出的网络管理策略配置下发流程示意图,如图18所示,管理人员首先登录AC管理平台,通过操作网络产品界面设计(Website UserInterface,Web UI)界面,进行策略配置(如拒绝风险终端入网)并提交,之后网络管理策略会被写入策略配置库进行保存;同时,Web UI会通知AC管理平台的配置同步组件。进一步的,管理平台配置同步组件可以读取配置库中的网络管理策略,且通过TCP通信,AC管理平台将网络管理策略发送至探针上的配置同步组件;随之探针配置同步组件会把接收到网络管理策略写入配置库,并通知业务模块;探针的业务模块能够从配置库读取网络管理策略,以进一步进行生效,实现对待管理设备和用户的控制管理。
可见,管理人员只需要操作AC,探针全程不需要管理员去操作,从而简化了运维难度
进一步的,AC控制台可显示探针的连接状态信息。图19为本申请实施例提出的探针系统管理界面示意图,如图19所示,探针系统管理界面可实时显示探针工作模式、CPU、内存、存储状态以及最近1次同步时间。
一方面可以实现,当探针出现异常状态时,可在AC控制台查看异常状态原因,若需要进一步排查原因,点击探针异常信息界面显示的探针IP可以登录跳转到探针监控管理界面进行排障,探针监控管理界面保留详细的监控状态信息及部分排障工具,可进一步使用其对应的排障工具进行解除。另一方面也可以实现,管理员也可进行探针日志回传设置,即在开启外置日志中心,并配置外置日志中心的同步策略之后,将该日志可以回传到AC控制台。
进一步的,还可在AC控制台进行探针工作模式的切换,探针初始进行终端信息采集时使用采集模式,后续AC控制台接收探针上报的终端信息,对全网终端进行梳理清晰之后,且向控制台下发网络管理策略之前,可切换探针工作模式为控制模式,以使探针基于网络管理策略对终端入网进行管控。
更详细的,AC控制台还可实现探针排障。当公司员工遇到认证失败或无法上网等网络问题时,管理人员可以通过AC控制台定位问题原因,以不影响员工上网体验。
具体的,在上网认证失败情况下,公司管理人员可以登陆AC控制台认证故障排查界面进行原因查看,并进一步在上述探针监控管理界面利用排障工具进行故障排除;在员工无法上网情况下,公司管理人员可以登录AC控制台查看在线的员工列表,定位该员工是否在线,如果该员工确定不在线,公司管理人员可以登陆AC控制台上网故障排除页面进行原因查看,并进一步在上述探针监控管理界面利用排障工具进行故障排除。
需要说明的是,探针系统管理界面仅显示探针对应的运行状态信息,而探针监控管理界面可以包括在线员工列表、上网行为监控以及针对终端的合规检查状态。
进一步的,公司管理人员也可在AC控制台进行探针升级;其中,AC控制台将探针升级包自动下发至探针进行升级。
具体的,探针可以支持多种版本的升级包,例如规则库升级,AC控制台可以导入升级包/补丁包,并下发至探针升级,该规则库升级时,探针自动从AC控制台获取最新规则库升级,或者探针自动连接服务器完成升级过程。
详细的,AC控制台设置有探针升级包管理页面,运维员可以导入升级包,导入后下发探针进行升级;可以通过升级包名称后缀区分升级包类型。AC控制台在将升级包导入并下发到探针之后,AC控制台展示探针状态为“升级中”,探针升级中探针自动重启,重启过程不执行任何管理功能。探针升级后AC控制台展示升级成功或失败标识,升级失败给出失败原因便于排查,之后探针会再次重新进行升级。
本申请实施例提供了一种网络管理方法,AC作为网络管理设备,能够针对内网全部待管理对象,进行外部互联网访问管理策略和内网访问管理策略的统一配置,以实现入网和上网的统一管理,管理人员不需要单独操作探针,直接仅通过AC便可实现上网和入网的统一管理,在保证网络访问安全性的基础上降低了运维复杂度,进一步提高了管理效率。
基于上述实施例,在本申请的另一实施例中,图20为本申请提出的网络管理设备的组成结构示意图一,如图20示,本申请实施例提出的网络管理设备10可以包括获取单元11,确定单元12,发送单元13,管理单元14,接收单元15、更新单元16、建立单元17、启动单元18以及显示单元19。
所述获取单元11,用于获取待管理对象的标识信息;
所述确定单元12,用于根据所述标识信息确定所述待管理对象对应的网络管理策略;其中,所述网络管理策略用于对外部互联网和内网的访问进行管理;
所述发送单元13,用于向控制设备发送所述网络管理策略,以通过所述控制设备实现对所述待管理对象的控制管理。
进一步地,在本申请的实施例中,所述网络管理策略包括上网策略和入网策略;其中,所述上网策略用于对外部互联网的访问进行管理,所述入网策略用于对内网的访问进行管理。
进一步地,在本申请的实施例中,所述控制设备包括入网控制设备,所述获取单元11,用于接收所述入网控制设备发送的所述标识信息。
进一步地,在本申请的实施例中,所述发送单元13,具体用于向所述入网控制设备发送所述入网策略和所述上网策略,以使所述入网控制设备基于所述上网策略对所述待管理对象进行外部互联网的访问管理;同时使所述入网控制设备基于所述入网策略对所述待管理对象进行内网的访问管理。
进一步地,在本申请的实施例中,所述发送单元13,还具体用于向所述入网控制设备发送所述入网策略,以使所述入网控制设备基于所述入网策略对所述待管理对象进行内网的访问管理。
进一步地,在本申请的实施例中,所述管理单元14,用于通过所述上网策略对所述待管理对象进行外部互联网的访问管理。
进一步地,在本申请的实施例中,所述控制设备还包括上网控制设备,所述发送单元13,还具体用于向所述入网控制设备发送所述入网策略,以使所述入网控制设备基于所述入网策略对所述待管理对象进行内网的访问管理;以及向所述上网控制设备发送所述上网策略,以使所述上网控制设备基于所述上网策略对所述待管理对象进行外部互联网的访问管理。
进一步地,在本申请的实施例中,所述确定单元12,具体用于根据所述标识信息确定所述待管理对象对应的管理类别;以及基于所述管理类别确定所述网络管理策略。
进一步地,在本申请的实施例中,所述接收单元15,用于在向控制设备发送所述网络管理策略之后,接收策略更新指令;其中,所述策略更新指令携带更新规则。
进一步地,在本申请的实施例中,所述更新单元16,用于按照所述更新规则更新所述网络管理策略。
进一步地,在本申请的实施例中,所述发送单元13,还用于对所述网络管理策略再次进行发送处理。
进一步地,在本申请的实施例中,所述接收单元15,还用于在向控制设备发送所述网络管理策略之后,接收所述控制设备发送的访问记录;其中,所述访问记录包括所述待管理对象对外部互联网和/或内网进行访问的历史信息。
进一步地,在本申请的实施例中,所述更新单元16,用于根据所述访问记录更新所述网络管理策略。
进一步地,在本申请的实施例中,所述发送单元13,还用于对所述网络管理策略再次进行发送处理。
进一步地,在本申请的实施例中,所述入网控制设备为旁路部署模式;其中,所述入网控制设备与所述待管理对象对应的接入交换机或汇聚交换机连接。
进一步地,在本申请的实施例中,所述发送单元13,还用于在所述向控制设备发送所述网络管理策略之前,向所述控制设备发送切换指令;其中,所述切换指令用于指示所述控制设备切换至控制模式,所述控制模式用于使所述控制设备通过所述网络管理策略对所述待管理对象的控制管理。
进一步地,在本申请的实施例中,所述获取单元11,还用于在获取待管理对象的标识信息之前,确定所述控制设备对应的初始化配置参数;其中,所述初始化配置参数包括连接配置信息、内网的业务监控网端以及工作模式;所述连接配置信息包括接口标识、网络协议IP地址、网关地址以及DNS服务器;所述工作模式为采集模式和认证模式中的任意一种。
进一步地,在本申请的实施例中,所述建立单元17,用于基于所述初始化配置参数与所述控制设备建立联通关系。
进一步地,在本申请的实施例中,所述启动单元18,用于基于所述联通关系启动所述控制设备。
进一步地,在本申请的实施例中,所述显示单元19,用于对所述控制设备对应的连接状态信息进行显示处理。
进一步地,在本申请的实施例中,所述发送单元13,还用于向所述控制设备发送配置更改指令;其中,所述配置更改指令携带目标配置参数;所述配置更改指令用于指示所述控制设备基于所述目标配置参数进行参数更新。
在本申请的实施例中,进一步地,图21本申请提出的网络管理设备的组成结构示意图二,如图21示,本申请实施例提出的网络管理设备10还可以包括处理器110、存储有处理器110可执行指令的存储器111,进一步地,设备10还可以包括通信接口112,和用于连接处理器110、存储器111以及通信接口112的总线113。
在本申请的实施例中,上述处理器110可以为特定用途集成电路(ApplicationSpecific Integrated Circuit,ASIC)、数字信号处理器(Digital Signal Processor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(ProgRAMmable Logic Device,PLD)、现场可编程门阵列(Field ProgRAMmable GateArray,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。可以理解地,对于不同的设备,用于实现上述处理器功能的电子器件还可以为其它,本申请实施例不作具体限定。设备10还可以包括存储器111,该存储器111可以与处理器110连接,其中,存储器111用于存储可执行程序代码,该程序代码包括计算机操作指令,存储器111可能包含高速RAM存储器,也可能还包括非易失性存储器,例如,至少两个磁盘存储器。
在本申请的实施例中,总线113用于连接通信接口112、处理器110以及存储器111以及这些器件之间的相互通信。
在本申请的实施例中,存储器111,用于存储指令和数据。
进一步地,在本申请的实施例中,上述处理器110,用于获取待管理对象的标识信息;根据所述标识信息确定所述待管理对象对应的网络管理策略;其中,所述网络管理策略用于对外部互联网和内网的访问进行管理;向控制设备发送所述网络管理策略,以实现所述控制设备对所述待管理对象的控制管理。
在实际应用中,上述存储器111可以是易失性存储器(volatile memory),例如随机存取存储器(Random-Access Memory,RAM);或者非易失性存储器(non-volatilememory),例如只读存储器(Read-Only Memory,ROM),快闪存储器(flash memory),硬盘(Hard Disk Drive,HDD)或固态硬盘(Solid-State Drive,SSD);或者上述种类的存储器的组合,并向处理器110提供指令和数据。
另外,在本实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
集成的单元如果以软件功能模块的形式实现并非作为独立的产品进行销售或使用时,可以存储在一个计算机可读取存储介质中,基于这样的理解,本实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或processor(处理器)执行本实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例提供了一种网络管理设备,该网络管理设备获取待管理对象的标识信息;根据所述标识信息确定所述待管理对象对应的网络管理策略;其中,所述网络管理策略用于对外部互联网和内网的访问进行管理;向控制设备发送所述网络管理策略,以实现所述控制设备对所述待管理对象的控制管理。也就是说,在本申请的实施例中,网络管理设备能够针对内网全部待管理对象,进行外部互联网访问管理策略和内网访问管理策略的统一配置,以实现入网和上网的统一管理,并将该网络管理策略下发至控制设备,以使该控制设备基于所述网络管理策略实现对待管理对象的控制管理。可见,在本申请中,终端设备的入网和上网不再需要分开在不同的产品上去配置运维,而是通过网络管理设备实现上网和入网的统一管理,在保证网络访问安全性的基础上降低了运维复杂度,进一步提高了管理效率。
本申请实施例提供一种计算机可读存储介质,其上存储有程序,该程序被处理器执行时实现如上所述的网络管理方法。
具体来讲,本实施例中的一种网络管理方法对应的程序指令可以被存储在光盘,硬盘,U盘等存储介质上,当存储介质中的与一种网络管理方法对应的程序指令被一电子设备读取或被执行时,包括如下步骤:
获取待管理对象的标识信息;
根据所述标识信息确定所述待管理对象对应的网络管理策略;其中,所述网络管理策略用于对外部互联网和内网的访问进行管理;
向控制设备发送所述网络管理策略,以实现所述控制设备对所述待管理对象的控制管理。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的实现流程示意图和/或方框图来描述的。应理解可由计算机程序指令实现流程示意图和/或方框图中的每一流程和/或方框、以及实现流程示意图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在实现流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在实现流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在实现流程示意图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。

Claims (11)

1.一种网络管理方法,其特征在于,所述方法包括:
通过接收入网控制设备发送的标识信息获取待管理对象的标识信息;其中,控制设备包括所述入网控制设备;
根据所述标识信息确定所述待管理对象对应的网络管理策略;其中,所述网络管理策略用于对外部互联网和内网的访问进行管理,所述网络管理策略包括上网策略和入网策略;
向所述控制设备发送所述网络管理策略,以通过所述控制设备实现对所述待管理对象的控制管理,包括:
向所述入网控制设备发送所述入网策略和所述上网策略,以使所述入网控制设备基于所述上网策略对所述待管理对象进行外部互联网的访问管理;同时使所述入网控制设备基于所述入网策略对所述待管理对象进行内网的访问管理;
接收所述入网控制设备发送的访问记录;其中,所述访问记录包括所述待管理对象对所述外部互联网和/或所述内网进行访问的历史信息;
根据所述访问记录更新所述网络管理策略;
对所述网络管理策略再次进行发送处理。
2.根据权利要求1所述的方法,其特征在于,所述控制设备还包括上网控制设备,所述向所述控制设备发送所述网络管理策略,以通过所述控制设备实现对所述待管理对象的控制管理,包括:
向所述入网控制设备发送所述入网策略,以使所述入网控制设备基于所述入网策略对所述待管理对象进行内网的访问管理;
向所述上网控制设备发送所述上网策略,以使所述上网控制设备基于所述上网策略对所述待管理对象进行外部互联网的访问管理。
3.根据权利要求1所述的方法,其特征在于,所述根据所述标识信息确定所述待管理对象对应的网络管理策略,包括:
根据所述标识信息确定所述待管理对象对应的管理类别;
基于所述管理类别确定所述网络管理策略。
4.根据权利要求1所述的方法,其特征在于,所述向所述控制设备发送所述网络管理策略之后,所述方法还包括:
接收策略更新指令;其中,所述策略更新指令携带更新规则;
按照所述更新规则更新所述网络管理策略;
对所述网络管理策略再次进行发送处理。
5.根据权利要求1所述的方法,其特征在于,所述入网控制设备为旁路部署模式;其中,所述入网控制设备与所述待管理对象对应的接入交换机或汇聚交换机连接。
6.根据权利要求4所述的方法,其特征在于,所述向所述控制设备发送所述网络管理策略之前,所述方法还包括:
向所述控制设备发送切换指令;其中,所述切换指令用于指示所述控制设备切换至控制模式,所述控制模式用于使所述控制设备通过所述网络管理策略实现对所述待管理对象的控制管理。
7.根据权利要求1所述的方法,其特征在于,所述获取待管理对象的标识信息之前,所述方法还包括:
确定所述控制设备对应的初始化配置参数;其中,所述初始化配置参数包括连接配置信息、内网的业务监控网端以及工作模式;所述连接配置信息包括接口标识、网络协议IP地址、网关地址以及DNS服务器;所述工作模式为采集模式和认证模式中的任意一种;
基于所述初始化配置参数与所述控制设备建立联通关系;
基于所述联通关系启动所述控制设备,并对所述控制设备对应的连接状态信息进行显示处理。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
向所述控制设备发送配置更改指令;其中,所述配置更改指令携带目标配置参数;所述配置更改指令用于指示所述控制设备基于所述目标配置参数进行参数更新。
9.一种网络管理设备,其特征在于,所述网络管理设备包括获取单元、确定单元以及发送单元,
所述获取单元,用于通过接收入网控制设备发送的标识信息获取待管理对象的标识信息;
所述确定单元,用于根据所述标识信息确定所述待管理对象对应的网络管理策略;其中,所述网络管理策略用于对外部互联网和内网的访问进行管理,所述网络管理策略包括上网策略和入网策略;
所述发送单元,用于向入网控制设备发送所述入网策略和所述上网策略,以使所述入网控制设备基于所述上网策略对所述待管理对象进行外部互联网的访问管理;同时使所述入网控制设备基于所述入网策略对所述待管理对象进行内网的访问管理;
所述发送单元,还用于接收所述入网控制设备发送的访问记录;其中,所述访问记录包括所述待管理对象对所述外部互联网和/或所述内网进行访问的历史信息;根据所述访问记录更新所述网络管理策略;对所述网络管理策略再次进行发送处理。
10.一种网络管理设备,所述网络管理设备包括处理器、存储有所述处理器可执行指令的存储器,当所述指令被所述处理器执行时,实现如权利要求1-7任一项所述的方法。
11.一种计算机可读存储介质,其上存储有程序,应用于网络管理设备中,其特征在于,所述程序被处理器执行时,实现如权利要求1-7任一项所述的方法。
CN202110199469.2A 2021-02-22 2021-02-22 网络管理方法和设备,及存储介质 Active CN113014427B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110199469.2A CN113014427B (zh) 2021-02-22 2021-02-22 网络管理方法和设备,及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110199469.2A CN113014427B (zh) 2021-02-22 2021-02-22 网络管理方法和设备,及存储介质

Publications (2)

Publication Number Publication Date
CN113014427A CN113014427A (zh) 2021-06-22
CN113014427B true CN113014427B (zh) 2023-11-07

Family

ID=76406843

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110199469.2A Active CN113014427B (zh) 2021-02-22 2021-02-22 网络管理方法和设备,及存储介质

Country Status (1)

Country Link
CN (1) CN113014427B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113641384B (zh) * 2021-08-09 2024-04-09 杭州安恒信息技术股份有限公司 一种探针的升级管理方法、装置和系统
CN114615030B (zh) * 2022-02-27 2023-09-19 江苏欧软信息科技有限公司 一种基于工业互联网平台的身份认证方法和系统
CN114826822A (zh) * 2022-03-10 2022-07-29 河钢乐亭钢铁有限公司 一种钢铁企业多层网络安全架构方法
CN114900341B (zh) * 2022-04-24 2023-11-03 京东科技信息技术有限公司 混合云环境下的扫描探测方法、装置、系统、设备和介质
CN115150272B (zh) * 2022-06-30 2023-01-17 北京珞安科技有限责任公司 网络场景下设备入网管理方法
CN115589337B (zh) * 2022-11-29 2023-02-24 电子科大科园股份有限公司 网络连接方法与系统
CN115987701B (zh) * 2023-03-20 2023-06-02 深圳万物安全科技有限公司 接入设备的管理方法、装置、终端设备及介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260470A (ja) * 2003-02-25 2004-09-16 Nippon Telegr & Teleph Corp <Ntt> ポリシ制御装置
CN1716865A (zh) * 2004-06-14 2006-01-04 深圳市傲天通信有限公司 用户上网行为控制系统
CN101188557A (zh) * 2007-12-07 2008-05-28 杭州华三通信技术有限公司 管理用户上网行为的方法、客户端、服务器和系统
CN101588360A (zh) * 2009-07-03 2009-11-25 深圳市安络大成科技有限公司 内部网络安全管理的相关设备及方法
CN103179130A (zh) * 2013-04-06 2013-06-26 杭州盈高科技有限公司 一种信息系统内网安全统一管理平台及管理方法
CN108243413A (zh) * 2016-12-23 2018-07-03 中国铁路总公司 一种无线接入铁路信息网络的方法及系统
CN109302397A (zh) * 2018-10-12 2019-02-01 深信服科技股份有限公司 一种网络安全管理方法、平台和计算机可读存储介质
CN110213768A (zh) * 2019-06-03 2019-09-06 武汉思普崚技术有限公司 一种网络行为数据复用认证方法和系统
CN111327668A (zh) * 2019-09-25 2020-06-23 杭州海康威视系统技术有限公司 网络管理方法、装置、设备和存储介质
CN111355721A (zh) * 2020-02-25 2020-06-30 深信服科技股份有限公司 一种访问控制方法、装置、设备及系统和存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004260470A (ja) * 2003-02-25 2004-09-16 Nippon Telegr & Teleph Corp <Ntt> ポリシ制御装置
CN1716865A (zh) * 2004-06-14 2006-01-04 深圳市傲天通信有限公司 用户上网行为控制系统
CN101188557A (zh) * 2007-12-07 2008-05-28 杭州华三通信技术有限公司 管理用户上网行为的方法、客户端、服务器和系统
CN101588360A (zh) * 2009-07-03 2009-11-25 深圳市安络大成科技有限公司 内部网络安全管理的相关设备及方法
CN103179130A (zh) * 2013-04-06 2013-06-26 杭州盈高科技有限公司 一种信息系统内网安全统一管理平台及管理方法
CN108243413A (zh) * 2016-12-23 2018-07-03 中国铁路总公司 一种无线接入铁路信息网络的方法及系统
CN109302397A (zh) * 2018-10-12 2019-02-01 深信服科技股份有限公司 一种网络安全管理方法、平台和计算机可读存储介质
CN110213768A (zh) * 2019-06-03 2019-09-06 武汉思普崚技术有限公司 一种网络行为数据复用认证方法和系统
CN111327668A (zh) * 2019-09-25 2020-06-23 杭州海康威视系统技术有限公司 网络管理方法、装置、设备和存储介质
CN111355721A (zh) * 2020-02-25 2020-06-30 深信服科技股份有限公司 一种访问控制方法、装置、设备及系统和存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
浅析上网行为管理;陈骏;《福建电脑》;20160825(第08期);全文 *
网络统一管理 二级安全防护――贵州电网全面大规模部署深信服上网行为管理设备;深信服科技有限公司;《电力信息化》;20100915(第09期);全文 *

Also Published As

Publication number Publication date
CN113014427A (zh) 2021-06-22

Similar Documents

Publication Publication Date Title
CN113014427B (zh) 网络管理方法和设备,及存储介质
CN110611588B (zh) 一种网络创建方法、服务器、计算机可读存储介质和系统
EP3494682B1 (en) Security-on-demand architecture
US10009443B1 (en) Provisioning remote application servers on a service provider infrastructure as a service platform
US9258308B1 (en) Point to multi-point connections
US8132233B2 (en) Dynamic network access control method and apparatus
US7890658B2 (en) Dynamic address assignment for access control on DHCP networks
EP1379046B1 (en) A personal firewall with location detection
US20150229641A1 (en) Migration of a security policy of a virtual machine
US20160212012A1 (en) System and method of network functions virtualization of network services within and across clouds
CN108370368B (zh) 安全策略部署方法与装置
US20200162517A1 (en) Method and apparatus to have entitlement follow the end device in network
CN106487556B (zh) 业务功能sf的部署方法及装置
US10721209B2 (en) Timing management in a large firewall cluster
US20090049161A1 (en) Server management program in network system
US10778465B1 (en) Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud
JP2008160803A (ja) アクセス制御システム
US20120317287A1 (en) System and method for management of devices accessing a network infrastructure via unmanaged network elements
US11218370B2 (en) Method for applying a patch to a virtualized network function to be updated
JP3746782B2 (ja) ネットワークシステム
JP2023500274A (ja) 情報報告方法、データ処理方法、及び装置
KR102345261B1 (ko) 네트워크시스템 및 네트워크시스템에서 수행하는 내부망 및 외부망에 연결된 사용자단말에 대한 통합보안 방법
CN115658221A (zh) 状态检测方法、业务虚拟机、设备及介质
JP6359260B2 (ja) クラウド環境においてセキュアなクレジットカードシステムを実現するための情報処理システムおよびファイアウォール装置
CN111884837A (zh) 虚拟加密机的迁移方法、装置及计算机存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant