CN115695173A - 网络安全例外接入方法、装置、设备、介质和程序产品 - Google Patents
网络安全例外接入方法、装置、设备、介质和程序产品 Download PDFInfo
- Publication number
- CN115695173A CN115695173A CN202210904732.8A CN202210904732A CN115695173A CN 115695173 A CN115695173 A CN 115695173A CN 202210904732 A CN202210904732 A CN 202210904732A CN 115695173 A CN115695173 A CN 115695173A
- Authority
- CN
- China
- Prior art keywords
- port
- information
- switch
- exception
- configuration information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000004458 analytical method Methods 0.000 claims abstract description 31
- 238000004590 computer program Methods 0.000 claims description 22
- 238000012550 audit Methods 0.000 claims description 9
- 230000000007 visual effect Effects 0.000 claims description 6
- 238000000605 extraction Methods 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 17
- 230000008569 process Effects 0.000 abstract description 7
- 238000010586 diagram Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000013500 data storage Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 238000012800 visualization Methods 0.000 description 2
- OKTJSMMVPCPJKN-UHFFFAOYSA-N Carbon Chemical compound [C] OKTJSMMVPCPJKN-UHFFFAOYSA-N 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 229910021389 graphene Inorganic materials 0.000 description 1
- 238000012905 input function Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011895 specific detection Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本申请涉及信息安全技术领域,可用于金融领域,提供了一种网络安全例外接入方法、装置、设备、介质和程序产品。本申请能够提升网络安全例外接入信息的处理效率,以及网络安全例外接入信息的处理过程中的数据一致性。该方法包括:获取当前网络中的若干交换机对应的逻辑地址;根据所述逻辑地址,获取各所述交换机对应的交换机配置文件;根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息;将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。
Description
技术领域
本申请涉及信息安全技术领域,特别是涉及一种网络安全例外接入方法、装置、设备、介质和程序产品。
背景技术
随着信息安全技术的发展,越来越多的技术人员选择通过在设备中安装安全准入控制软件的方式,实现针对接入网络的各类型设备的实时管理。然而,由于部分设备,例如可联网的打印机设备,仅安装有简单的操作系统,并不具备安装安全准入控制软件的实际条件,只能通过绑定设备的物理地址等措施来确保该类设备能够合法接入网络。
目前,通常采用例外接入信息表格的形式,统一管理上述类型设备产生的网络安全额外接入信息,但由于该表格需要人工进行维护与更新,难以确保表格数据与当前网络接入配置的数据一致性。
发明内容
基于此,有必要针对上述技术问题,提供一种网络安全例外接入方法、装置、设备、介质和程序产品。
第一方面,本申请提供了一种网络安全例外接入方法。所述方法包括:
获取当前网络中的若干交换机对应的逻辑地址;
根据所述逻辑地址,获取各所述交换机对应的交换机配置文件;
根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息;
将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。
在其中一个实施例中,根据网络例外接入规则,确定例外接入申请信息是否通过审核;若所述例外接入申请信息通过审核,则根据所述例外接入申请信息对应的设备端口信息,调整所述当前网络中的例外接入配置,并更新所述网络例外接入信息库中的记录。
在其中一个实施例中,根据当前网络中的端口配置信息与所述例外接入申请信息的比对结果,确定所述例外接入申请信息对应的目标交换机的逻辑地址及所述目标交换机的端口号;根据所述例外接入申请信息中的终端物理地址,生成所述例外接入申请信息对应的交换机配置更新指令;根据所述逻辑地址及所述端口号,将所述交换机配置更新指令部署至所述目标交换机;采用预设存储格式,将所述例外接入申请信息、所述逻辑地址及所述端口号,存储至所述网络例外接入信息库。
在其中一个实施例中,根据各所述端口配置信息,确定各所述端口配置信息对应的交换机端口是否为例外端口;若任一所述端口配置信息对应的交换机端口为例外端口,则将该端口配置信息中的终端物理地址与所述网络接入例外信息库中的相应信息进行匹配;若所述匹配结果为匹配成功,则将所述例外端口信息对应的交换机端口标记为合法例外端口;若所述匹配结果为匹配失败,则将所述例外端口信息对应的交换机端口标记为非法例外端口。
在其中一个实施例中,若任一所述端口配置信息中的准入控制关键字为空,则确定所述端口配置信息对应的交换机端口为例外端口;若任一所述端口配置信息中的准入控制关键字不为空,且所述端口配置信息与所述网络接入例外信息库中的记录内容不相符,则确定所述端口配置信息对应的交换机端口为非法例外端口;若任一所述端口配置信息中的准入控制关键字不为空,且所述端口配置信息与所述网络接入例外信息库中的记录内容相符,则确定所述端口配置信息对应的交换机端口为准入端口。
在其中一个实施例中,根据各所述非法例外端口对应的端口配置信息,确定所述非法例外端口对应的交换机的逻辑地址及所述交换机的端口号;根据所述逻辑地址及所述端口号,生成相应的标准准入配置脚本;运行所述标准准入配置脚本,关闭所述端口配置信息对应的交换机端口。
在其中一个实施例中,根据所述标准准入配置脚本的运行结果,生成端口配置情况展示指令;响应于所述端口配置情况展示指令,通过可视化页面向用户展示当前网络中的端口配置情况。
第二方面,本申请还提供了一种网络安全例外接入装置。所述装置包括:
交换机地址获取模块,用于获取当前网络中的若干交换机对应的逻辑地址;
交换机配置文件获取模块,用于根据所述逻辑地址,获取各所述交换机对应的交换机配置文件;
端口配置信息提取模块,用于根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息;
端口配置信息匹配模块,用于将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。
第三方面,本申请还提供了一种计算机设备。所述计算机设备包括存储器和处理器,所述存储器存储有计算机程序,所述处理器执行所述计算机程序时实现以下步骤:
获取当前网络中的若干交换机对应的逻辑地址;根据所述逻辑地址,获取各所述交换机对应的交换机配置文件;根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息;将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。
第四方面,本申请还提供了一种计算机可读存储介质。所述计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现以下步骤:
获取当前网络中的若干交换机对应的逻辑地址;根据所述逻辑地址,获取各所述交换机对应的交换机配置文件;根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息;将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。
第五方面,本申请还提供了一种计算机程序产品。所述计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现以下步骤:
获取当前网络中的若干交换机对应的逻辑地址;根据所述逻辑地址,获取各所述交换机对应的交换机配置文件;根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息;将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。
上述网络安全例外接入方法、装置、计算机设备、存储介质和计算机程序产品,首先,获取当前网络中的若干交换机对应的逻辑地址。然后,根据所述逻辑地址,获取各所述交换机对应的交换机配置文件。接着,根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息。最后,将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。该方案通过根据通过审批的安全例外申请信息,调整当前网络中的例外接入配置,并更新网络例外接入信息库中的记录,实现了针对当前网络中的非法交换机端口的及时关闭,不仅提升了针对当前网络中的例外接入设备信息进行处理的实际效率,切实保证了网络安全例外接入信息处理过程的数据完整性,还有效确保了网络例外接入信息库中的记录与当前网络接入配置的数据一致性。
附图说明
图1为一个实施例中网络安全例外接入方法的流程示意图;
图2为一个实施例中处理例外接入申请信息的具体方式的流程示意图;
图3为一个实施例中根据例外接入申请信息调整当前网络接入配置的具体方式的流程示意图;
图4为一个实施例中确定各端口配置信息对应的交换机端口为例外端口之后的具体处理方式的流程示意图;
图5为一个实施例中确定端口配置信息对应的交换机端口所属类型的具体方式的流程示意图;
图6为一个实施例中根据各非法例外端口对应的端口配置信息关闭相应交换机端口的具体方式的流程示意图;
图7为一个实施例中通过可视化页面向用户展示当前网络中的端口配置情况的具体方式的流程示意图;
图8为一个实施例中网络安全例外接入装置的结构框图;
图9为一个实施例中计算机设备的内部结构图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请实施例提供的网络安全例外接入方法,可以应用于服务器执行。其中,数据存储系统可以存储服务器需要处理的数据;数据存储系统可以集成在服务器上,也可以放在云上或其他网络服务器上;服务器可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一个实施例中,如图1所示,提供了一种网络安全例外接入方法,以该方法应用于服务器为例进行说明,包括以下步骤:
步骤S101,获取当前网络中的若干交换机对应的逻辑地址。
本步骤中,获取当前网络中的若干交换机对应的逻辑地址,可以基于某种特定的检测周期或时间规律进行;若干交换机对应的逻辑地址,是指若干交换机对应的可用于登录相应交换机的逻辑地址(IP地址)。
步骤S102,根据逻辑地址,获取各交换机对应的交换机配置文件。
本步骤中,根据逻辑地址,获取各交换机对应的交换机配置文件的具体方式,可以是根据交换机的逻辑地址,登录至相应交换机,并使用命令行将该交换机对应的交换机配置文件拷贝至目标存储目录中;目标存储目录,可以是目标服务器目录,该目录用于存储当前网络中的若干交换机对应的交换机配置文件;在实际应用中,交换机配置文件的实际存储位置可根据实际需求进行变更与调整。
步骤S103,根据预设关键词解析各交换机配置文件,得到解析结果,从解析结果中提取出端口配置信息;端口配置信息包括用于连接终端设备的交换机所对应的信息。
本步骤中,根据预设关键词解析各交换机配置文件,得到解析结果的具体方式,可以是根据预设关键词,分别针对各交换机配置文件进行解析,从而得到各交换机对应的交换机配置文件的解析结果;从解析结果中提取出端口配置信息的具体方式,可以是首先将关键词interface后的交换机端口号,作为该交换机对应的端口号字段,将关键词description后的信息,作为该交换机对应的端口描述字段,将关键词switchport及dot1x后的信息,作为该交换机对应的端口下配置信息,接着根据关键词switchport mode后信息内容的不同,将各交换机对应的端口划分为两种类型,即用于连接网络设备的端口以及用于连接终端设备的端口,最后提取用于终端设备的交换机所对应的信息,作为用于进行后续处理的端口配置信息;从解析结果中提取出端口配置信息之后,可以根据特定的数据存储格式,例如,交换机的逻辑地址(IP地址)、交换机的端口号、交换机的端口连接信息点、交换机端口准入控制关键字、交换机端口安全例外关键字以及端口绑定的物理地址(MAC地址)信息,将从解析结果中提取出的端口配置信息进行存储。
步骤S104,将各端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据匹配结果关闭相应端口配置信息对应的交换机端口。
本步骤中,将各端口配置信息与网络接入例外信息库中的记录进行匹配的具体方式,可以是确认各端口配置信息与网络接入例外信息库中的记录是否一致;上述匹配结果,可以用于表征本次匹配是否成功,即各端口配置信息与网络接入例外信息库中的记录是否一致;若匹配成功,则保持当前网络的设备连接状态;若匹配失败,则关闭匹配失败的端口配置信息对应的交换机在当前网络中的连接。
上述网络安全例外接入方法,首先,获取当前网络中的若干交换机对应的逻辑地址。然后,根据逻辑地址,获取各交换机对应的交换机配置文件。接着,根据预设关键词解析各交换机配置文件,得到解析结果,从解析结果中提取出端口配置信息;端口配置信息包括用于连接终端设备的交换机所对应的信息。最后,将各端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据匹配结果关闭相应端口配置信息对应的交换机端口。该方案通过根据通过审批的安全例外申请信息,调整当前网络中的例外接入配置,并更新网络例外接入信息库中的记录,实现了针对当前网络中的非法交换机端口的及时关闭,不仅提升了针对当前网络中的例外接入设备信息进行处理的实际效率,切实保证了网络安全例外接入信息处理过程的数据完整性,还有效确保了网络例外接入信息库中的记录与当前网络接入配置的数据一致性。
对于处理例外接入申请信息的具体方式,在一个实施例中,如图2所示,上述方法还包括以下步骤:
步骤S201,根据网络例外接入规则,确定例外接入申请信息是否通过审核。
本步骤中,在实际应用中,网络例外接入规则可以根据当前网络的安全例外接入实际需求,如网络带宽、例外设备接入上限、可例外接入的设备类型等,进行确定;根据网络例外接入规则,确定例外接入申请信息是否通过审核,是指确定例外接入申请信息是否符合网络例外接入规则;若任一例外接入申请信息符合网络例外接入规则,则该例外接入申请信息通过审核;若任一例外接入申请信息不符合网络例外接入规则,则该例外接入申请信息未通过审核;当任一例外接入申请信息不符合网络例外接入规则、未通过审核时,可以通过任意通知方式,将该例外接入申请信息未通过审核的信息通知申请信息的发出方;同一发出方发出的例外接入申请信息的数量,可以是单条或多条;例外接入申请信息的录入方式,可以是通过任意具有信息输入功能的界面进行录入,或将包含例外接入申请信息的Excel文件内容进行导入处理。
在一些示例中,例外接入申请信息,可以是由申请信息的发出方逐条录入的;例外接入申请信息的具体内容,可以是申请信息的发出方的相关信息、申请信息发出原因以及具有安全例外网络接入需求的设备相关信息,例如,发出方名称、发出方所属位置、申请原因、例外终端部署的所属位置信息、例外终端连接的信息点、例外终端类型、例外终端用途、例外终端物理地址(MAC地址)以及例外接入截止时间等信息;在一些实际应用中,前述申请信息的具体内容,可以根据实际需求进行调整,例如,将发出方名称改为申请人名称、将发出方所属位置改为申请人所在科室等。
步骤S202,若例外接入申请信息通过审核,则根据例外接入申请信息对应的设备端口信息,调整当前网络中的例外接入配置,并更新网络例外接入信息库中的记录。
本步骤中,若例外接入申请信息未通过审核,则保持当前网络中的设备接入配置方式;若例外接入申请信息通过审核,则根据例外接入申请信息对应的设备端口信息,调整当前网络中的例外接入配置,并更新网络例外接入信息库中的记录;更新网络例外接入信息库中的记录的具体方式,可以是根据例外接入申请信息,在网络例外接入信息库中添加新的记录信息。
本实施例通过根据通过审核的例外接入申请信息,调整当前网络中的例外接入配置,并更新网络例外接入信息库中的记录的方式,不仅提高了网络安全例外接入信息的处理效率,还有效保障了网络例外接入信息库中的记录与当前网络接入配置的数据一致性。
对于根据例外接入申请信息调整当前网络接入配置的具体方式,在一个实施例中,如图3所示,上述步骤S202具体包括以下步骤:
步骤S301,根据当前网络中的端口配置信息与例外接入申请信息的比对结果,确定例外接入申请信息对应的目标交换机的逻辑地址及目标交换机的端口号。
本步骤中,将当前网络中的端口配置信息与例外接入申请信息进行比对的具体方式,可以是将当前网络中各交换机对应的端口描述字段,与例外接入申请信息中的例外终端部署的房间号及连接的信息点进行比对;前述端口描述字段的具体内容,可以包括交换机端口连接的信息点信息,例如,交换机端口连接的房间号和工位的信息点编号;从当前网络中的端口配置信息与例外接入申请信息的比对结果中,可以提取出例外接入申请信息对应的目标交换机(即用于连接例外终端设备的交换机)的逻辑地址以及端口号。
步骤S302,根据例外接入申请信息中的终端物理地址,生成例外接入申请信息对应的交换机配置更新指令。
本步骤中,例外接入申请信息中的终端物理地址,是指例外接入申请信息中的例外终端对应的物理地址(MAC地址);根据例外接入申请信息中的终端物理地址,生成例外接入申请信息对应的交换机配置更新指令的具体方式,可以是根据例外接入申请信息中的终端物理地址,生成例外接入申请信息对应的用于更新交换机配置的配置信息;例外接入申请信息对应的交换机配置更新指令的具体表现形式,可以是如下形式:
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address c4b8.b44f.4676(即例外申请中的例外终端对应的MAC地址)。
步骤S303,根据逻辑地址及端口号,将交换机配置更新指令部署至目标交换机。
本步骤中,根据逻辑地址及端口号,将交换机配置更新指令部署至目标交换机,是指根据逻辑地址及端口号,登录至相应交换机,并通过命令行完成将上述交换机配置更新指令部署至目标交换机的操作;前述命令行的具体表现形式,可以是如下形式:
Conf t
Interface G0/31
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address c4b8.b44f.4676(即例外申请中的例外终端对应的MAC地址)
End。
步骤S304,采用预设存储格式,将例外接入申请信息、逻辑地址及端口号,存储至网络例外接入信息库。
本步骤中,在实际应用中,可以根据网络例外接入信息库的实际存储需求,调整预设存储格式;将例外接入申请信息、逻辑地址及端口号,存储至网络例外接入信息库的具体方式,可以是在例外接入申请信息中加入用于连接例外终端设备的交换机的逻辑地址及端口号,并采用预设存储格式,将添加额外信息后的例外接入申请信息存储至网络例外接入信息库。
在一些示例中,预设存储格式,可以是键值对的形式,在实际应用中,可以将例外终端设备对应的物理地址(MAC地址),作为各条记录的键,将申请人、申请人所在部室、申请原因、例外终端连接的信息点、例外终端类型、例外终端用途、例外接入截止时间、例外终端连接的交换机的逻辑地址(IP地址)、例外终端连接的交换机端口号等其他例外接入信息,作为各条记录的值。
本实施例通过根据当前网络中的端口配置信息与例外接入申请信息的比对结果,调整当前网络中的相应交换机的配置,并更新网络例外接入信息库中的记录的方式,不仅实现了根据例外接入申请信息,自动化调整相应交换机的配置,还有效提高了例外接入申请信息处理效率,以及例外接入申请信息处理过程的数据完整性,进而保障了网络例外接入信息库中的记录与当前网络接入配置的数据一致性。
对于确定各端口配置信息对应的交换机端口为例外端口之后的具体处理方式,在一个实施例中,如图4所示,上述步骤S104具体包括以下步骤:
步骤S401,根据各端口配置信息,确定各端口配置信息对应的交换机端口是否为例外端口。
本步骤中,根据各端口配置信息,确定各端口配置信息对应的交换机端口是否为例外端口的具体方式,可以是根据各端口配置信息中的某一字段内容,确定各端口配置信息对应的交换机端口是否为例外端口。
步骤S402,若任一端口配置信息对应的交换机端口为例外端口,则将该端口配置信息中的终端物理地址与网络接入例外信息库中的相应信息进行匹配。
本步骤中,若任一端口配置信息对应的交换机端口为例外端口,则将该端口配置信息中的终端物理地址与网络接入例外信息库中的相应信息进行匹配,是指将各例外端口对应的端口配置信息中的终端物理地址与网络接入例外信息库中的相应信息进行匹配,以确认各例外端口对应的端口配置信息中的终端物理地址与网络接入例外信息库中的相应信息是否一致。
步骤S403,若匹配结果为匹配成功,则将例外端口信息对应的交换机端口标记为合法例外端口。
本步骤中,若匹配结果为匹配成功,将例外端口信息对应的交换机端口标记为合法例外端口,是指将对应的端口配置信息中的终端物理地址与网络接入例外信息库中的相应信息匹配成功的例外端口,标记为合法例外端口。
在一些示例中,若当前网络中的各个交换机对应的端口配置信息均比对完成,则可以通过页面展示的形式,向网络运营维护人员展示相应端口配置信息的匹配成功结果。
步骤S404,若匹配结果为匹配失败,则将例外端口信息对应的交换机端口标记为非法例外端口。
本步骤中,若匹配结果为匹配失败,则将例外端口信息对应的交换机端口标记为非法例外端口,是指将对应的端口配置信息中的终端物理地址与网络接入例外信息库中的相应信息匹配失败的例外端口,标记为非法例外端口。
在一些示例中,若当前网络中的各个交换机对应的端口配置信息均比对完成,则可以通过页面展示的形式,向网络运营维护人员展示相应端口配置信息的匹配失败结果;相应端口配置信息的匹配失败结果,还可以通过csv文件格式进行导出。
本实施例通过将例外端口对应的端口配置信息中的终端物理地址与网络接入例外信息库中的相应信息进行匹配的方式,不仅提高了在当前网络的接入设备中进行非法例外端口查找的效率,还有效提升了网络安全例外接入信息的处理过程的数据准确性。
对于确定端口配置信息对应的交换机端口所属类型的具体方式,在一个实施例中,如图5所示,上述步骤S401具体包括以下步骤:
步骤S501,若任一端口配置信息中的准入控制关键字为空,则确定端口配置信息对应的交换机端口为例外端口。
本步骤中,若任一端口配置信息中的准入控制关键字为空,则确定端口配置信息对应的交换机端口为例外端口之后,可执行上述步骤S402,将该端口配置信息中的终端物理地址与网络接入例外信息库中的相应信息进行匹配,并根据匹配的结果确定需要进行的后续操作。
在一些示例中,若任一端口配置信息中的准入控制关键字为空,且端口配置信息对应的端口绑定的例外终端的物理地址(MAC地址)也为空,则确定端口配置信息对应的交换机端口为非法例外端口;若任一端口配置信息中的准入控制关键字为空,且端口配置信息对应的端口绑定的例外终端的物理地址(MAC地址)不为空,则确定端口配置信息对应的交换机端口为例外端口。
步骤S502,若任一端口配置信息中的准入控制关键字不为空,且端口配置信息与网络接入例外信息库中的记录内容不相符,则确定端口配置信息对应的交换机端口为非法例外端口。
本步骤中,若任一端口配置信息中的准入控制关键字不为空,且端口配置信息与网络接入例外信息库中的记录内容不相符,则确定端口配置信息对应的交换机端口为非法例外端口之后,可通过执行后续步骤S601至S603,关闭当前网络中的各非法例外端口;端口配置信息与网络接入例外信息库中的记录内容不相符的具体表现形式,可以是端口配置信息中的交换机端口存在绑定终端的物理地址,但该物理地址与例外信息库中的记录内容不一致,或该物理地址不在例外信息库中的记录内容之中。
在一些示例中,确定端口配置信息对应的交换机端口为非法例外端口的具体方式,还可以是确定端口配置信息对应的端口下未包含dot1x字段的三个标准配置语句。
步骤S503,若任一端口配置信息中的准入控制关键字不为空,且端口配置信息与网络接入例外信息库中的记录内容相符,则确定端口配置信息对应的交换机端口为准入端口。
本步骤中,若任一端口配置信息中的准入控制关键字不为空,且端口配置信息与网络接入例外信息库中的记录内容相符,则确定端口配置信息对应的交换机端口为准入端口之后,可以保持当前网络中的相应交换机的网络连接状态不变。
本实施例通过根据各端口配置信息的具体内容,确定各端口配置信息对应的交换机端口类型的方式,实现了针对当前网络中的例外接入终端对应的交换机端口类型的自动化识别,进而提高了在当前网络的接入设备中进行非法例外端口查找的实际工作效率。
对于根据各非法例外端口对应的端口配置信息关闭相应交换机端口的具体方式,在一个实施例中,如图6所示,上述方法还包括以下步骤:
步骤S601,根据各非法例外端口对应的端口配置信息,确定非法例外端口对应的交换机的逻辑地址及交换机的端口号。
本步骤中,根据各非法例外端口对应的端口配置信息,确定非法例外端口对应的交换机的逻辑地址及交换机的端口号的具体方式,可以是根据各非法例外端口对应的端口配置信息中的交换机的逻辑地址字段,确定需要登录的交换机,并根据非法例外端口对应的端口配置信息中的端口号字段,确定需要进行配置的交换机端口。
步骤S602,根据逻辑地址及端口号,生成相应的标准准入配置脚本。
本步骤中,根据逻辑地址及端口号,生成相应的标准准入配置脚本的具体表现形式,可以是如下标准准入配置脚本的形式:
Conf t
interface*
dot1x pae authenticator
dot1x port-control auto
dot1x timeout quiet-period 30。
步骤S603,运行标准准入配置脚本,关闭上述端口配置信息对应的交换机端口。
本步骤中,运行标准准入配置脚本,关闭上述端口配置信息对应的交换机端口的具体方式,可以是运行上述形式的标准准入配置脚本,以达成关闭上述端口配置信息对应的交换机端口的实际目的。
在一些示例中,通过运行标准准入配置脚本,完成了关闭非法端口配置信息对应的交换机端口的操作之后,可以通过页面展示的形式,将当前网络中的非法端口关闭情况向网络运营维护人员展示。
本实施例通过根据逻辑地址及端口号,生成用于关闭非法端口配置信息对应的交换机端口的标准准入配置脚本的方式,不仅实现了及时关闭当前网络中的非法交换机端口,还有效提升了网络安全例外接入信息的处理效率。
对于通过可视化页面向用户展示当前网络中的端口配置情况的具体方式,在一个实施例中,如图7所示,上述方法还包括以下步骤:
步骤S701,根据标准准入配置脚本的运行结果,生成端口配置情况展示指令。
本步骤中,标准准入配置脚本的运行结果,可以用于表征上述端口配置信息对应的交换机端口的关闭情况;交换机端口的关闭情况,可以包括交换机端口关闭成功以及交换机端口关闭失败;端口配置情况展示指令,可以是根据上述端口配置信息对应的交换机端口的关闭情况,生成的端口配置情况展示指令。
步骤S702,响应于端口配置情况展示指令,通过可视化页面向用户展示当前网络中的端口配置情况。
本步骤中,通过可视化页面向用户展示当前网络中的端口配置情况,是指通过可视化页面,向运营维护人员或其他用户展示,当前网络中的非法例外端口的关闭情况;非法例外端口,是指非法例外交换机端口。
应该理解的是,虽然如上所述的各实施例所涉及的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且,如上所述的各实施例所涉及的流程图中的至少一部分步骤可以包括多个步骤或者多个阶段,这些步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤中的步骤或者阶段的至少一部分轮流或者交替地执行。
基于同样的发明构思,本申请实施例还提供了一种用于实现上述所涉及的网络安全例外接入方法的网络安全例外接入装置。该装置所提供的解决问题的实现方案与上述方法中所记载的实现方案相似,故下面所提供的一个或多个网络安全例外接入装置实施例中的具体限定可以参见上文中对于网络安全例外接入方法的限定,在此不再赘述。
在一个实施例中,如图8所示,提供了一种网络安全例外接入装置,该装置800包括:
交换机地址获取模块801,用于获取当前网络中的若干交换机对应的逻辑地址;
交换机配置文件获取模块802,用于根据所述逻辑地址,获取各所述交换机对应的交换机配置文件;
端口配置信息提取模块803,用于根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息;
端口配置信息匹配模块804,用于将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。
在一个实施例中,上述装置800还包括:申请信息获取模块,用于根据网络例外接入规则,确定例外接入申请信息是否通过审核;若所述例外接入申请信息通过审核,则根据所述例外接入申请信息对应的设备端口信息,调整所述当前网络中的例外接入配置,并更新所述网络例外接入信息库中的记录。
在一个实施例中,申请信息获取模块,具体用于根据当前网络中的端口配置信息与所述例外接入申请信息的比对结果,确定所述例外接入申请信息对应的目标交换机的逻辑地址及所述目标交换机的端口号;根据所述例外接入申请信息中的终端物理地址,生成所述例外接入申请信息对应的交换机配置更新指令;根据所述逻辑地址及所述端口号,将所述交换机配置更新指令部署至所述目标交换机;采用预设存储格式,将所述例外接入申请信息、所述逻辑地址及所述端口号,存储至所述网络例外接入信息库。
在一个实施例中,端口配置信息匹配模块804,具体用于根据各所述端口配置信息,确定各所述端口配置信息对应的交换机端口是否为例外端口;若任一所述端口配置信息对应的交换机端口为例外端口,则将该端口配置信息中的终端物理地址与所述网络接入例外信息库中的相应信息进行匹配;若所述匹配结果为匹配成功,则将所述例外端口信息对应的交换机端口标记为合法例外端口;若所述匹配结果为匹配失败,则将所述例外端口信息对应的交换机端口标记为非法例外端口。
在一个实施例中,端口配置信息匹配模块804,还用于若任一所述端口配置信息中的准入控制关键字为空,则确定所述端口配置信息对应的交换机端口为例外端口;若任一所述端口配置信息中的准入控制关键字不为空,且所述端口配置信息与所述网络接入例外信息库中的记录内容不相符,则确定所述端口配置信息对应的交换机端口为非法例外端口;若任一所述端口配置信息中的准入控制关键字不为空,且所述端口配置信息与所述网络接入例外信息库中的记录内容相符,则确定所述端口配置信息对应的交换机端口为准入端口。
在一个实施例中,端口配置信息匹配模块804,还用于根据各所述非法例外端口对应的端口配置信息,确定所述非法例外端口对应的交换机的逻辑地址及所述交换机的端口号;根据所述逻辑地址及所述端口号,生成相应的标准准入配置脚本;运行所述标准准入配置脚本,关闭所述端口配置信息对应的交换机端口。
在一个实施例中,端口配置信息匹配模块804,还用于根据所述标准准入配置脚本的运行结果,生成端口配置情况展示指令;响应于所述端口配置情况展示指令,通过可视化页面向用户展示当前网络中的端口配置情况。
上述网络安全例外接入装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
需要说明的是,本申请网络安全例外接入方法和装置可用于金融领域的网络安全例外接入中,也可用于除金融领域之外的任意领域,本申请网络安全例外接入方法和装置的应用领域不做限定。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是服务器,其内部结构图可以如图9所示。该计算机设备包括通过系统总线连接的处理器、存储器和网络接口。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质和内存储器。该非易失性存储介质存储有操作系统、计算机程序和数据库。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的数据库用于存储网络安全例外信息等数据。该计算机设备的网络接口用于与外部的终端通过网络连接通信。该计算机程序被处理器执行时以实现一种网络安全例外接入方法。
本领域技术人员可以理解,图9中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,还提供了一种计算机设备,包括存储器和处理器,存储器中存储有计算机程序,该处理器执行计算机程序时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
在一个实施例中,提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述各方法实施例中的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory,ROM)、磁带、软盘、闪存、光存储器、高密度嵌入式非易失性存储器、阻变存储器(ReRAM)、磁变存储器(Magnetoresistive Random Access Memory,MRAM)、铁电存储器(Ferroelectric Random Access Memory,FRAM)、相变存储器(Phase Change Memory,PCM)、石墨烯存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器等。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic RandomAccess Memory,DRAM)等。本申请所提供的各实施例中所涉及的数据库可包括关系型数据库和非关系型数据库中至少一种。非关系型数据库可包括基于区块链的分布式数据库等,不限于此。本申请所提供的各实施例中所涉及的处理器可为通用处理器、中央处理器、图形处理器、数字信号处理器、可编程逻辑器、基于量子计算的数据处理逻辑器等,不限于此。
需要说明的是,本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等),均为经用户授权或者经过各方充分授权的信息和数据。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (11)
1.一种网络安全例外接入方法,其特征在于,所述方法包括:
获取当前网络中的若干交换机对应的逻辑地址;
根据所述逻辑地址,获取各所述交换机对应的交换机配置文件;
根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息;
将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括步骤:
根据网络例外接入规则,确定例外接入申请信息是否通过审核;
若所述例外接入申请信息通过审核,则根据所述例外接入申请信息对应的设备端口信息,调整所述当前网络中的例外接入配置,并更新所述网络例外接入信息库中的记录。
3.根据权利要求2所述的方法,其特征在于,所述调整所述当前网络中的例外接入配置,并更新所述网络例外接入信息库中的记录,包括:
根据当前网络中的端口配置信息与所述例外接入申请信息的比对结果,确定所述例外接入申请信息对应的目标交换机的逻辑地址及所述目标交换机的端口号;
根据所述例外接入申请信息中的终端物理地址,生成所述例外接入申请信息对应的交换机配置更新指令;
根据所述逻辑地址及所述端口号,将所述交换机配置更新指令部署至所述目标交换机;
采用预设存储格式,将所述例外接入申请信息、所述逻辑地址及所述端口号,存储至所述网络例外接入信息库。
4.根据权利要求1所述的方法,其特征在于,所述将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口,包括:
根据各所述端口配置信息,确定各所述端口配置信息对应的交换机端口是否为例外端口;
若任一所述端口配置信息对应的交换机端口为例外端口,则将该端口配置信息中的终端物理地址与所述网络接入例外信息库中的相应信息进行匹配;
若所述匹配结果为匹配成功,则将所述例外端口信息对应的交换机端口标记为合法例外端口;
若所述匹配结果为匹配失败,则将所述例外端口信息对应的交换机端口标记为非法例外端口。
5.根据权利要求4所述的方法,其特征在于,所述根据各所述端口配置信息,确定各所述端口配置信息对应的交换机端口是否为例外端口,包括:
若任一所述端口配置信息中的准入控制关键字为空,则确定所述端口配置信息对应的交换机端口为例外端口;
若任一所述端口配置信息中的准入控制关键字不为空,且所述端口配置信息与所述网络接入例外信息库中的记录内容不相符,则确定所述端口配置信息对应的交换机端口为非法例外端口;
若任一所述端口配置信息中的准入控制关键字不为空,且所述端口配置信息与所述网络接入例外信息库中的记录内容相符,则确定所述端口配置信息对应的交换机端口为准入端口。
6.根据权利要求4所述的方法,其特征在于,所述方法还包括步骤:
根据各所述非法例外端口对应的端口配置信息,确定所述非法例外端口对应的交换机的逻辑地址及所述交换机的端口号;
根据所述逻辑地址及所述端口号,生成相应的标准准入配置脚本;
运行所述标准准入配置脚本,关闭所述端口配置信息对应的交换机端口。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括步骤:
根据所述标准准入配置脚本的运行结果,生成端口配置情况展示指令;
响应于所述端口配置情况展示指令,通过可视化页面向用户展示当前网络中的端口配置情况。
8.一种网络安全例外接入装置,其特征在于,所述装置包括:
交换机地址获取模块,用于获取当前网络中的若干交换机对应的逻辑地址;
交换机配置文件获取模块,用于根据所述逻辑地址,获取各所述交换机对应的交换机配置文件;
端口配置信息提取模块,用于根据预设关键词解析各所述交换机配置文件,得到解析结果,从所述解析结果中提取出端口配置信息;所述端口配置信息包括用于连接终端设备的交换机所对应的信息;
端口配置信息匹配模块,用于将各所述端口配置信息与网络接入例外信息库中的记录进行匹配,得到匹配结果,根据所述匹配结果关闭相应端口配置信息对应的交换机端口。
9.一种计算机设备,包括存储器和处理器,所述存储器存储有计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至7中任一项所述的方法的步骤。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
11.一种计算机程序产品,包括计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210904732.8A CN115695173A (zh) | 2022-07-29 | 2022-07-29 | 网络安全例外接入方法、装置、设备、介质和程序产品 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210904732.8A CN115695173A (zh) | 2022-07-29 | 2022-07-29 | 网络安全例外接入方法、装置、设备、介质和程序产品 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115695173A true CN115695173A (zh) | 2023-02-03 |
Family
ID=85060913
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210904732.8A Pending CN115695173A (zh) | 2022-07-29 | 2022-07-29 | 网络安全例外接入方法、装置、设备、介质和程序产品 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115695173A (zh) |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511379A (zh) * | 2020-11-17 | 2021-03-16 | 中信银行股份有限公司 | 一种网络准入配置检查方法和装置 |
-
2022
- 2022-07-29 CN CN202210904732.8A patent/CN115695173A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112511379A (zh) * | 2020-11-17 | 2021-03-16 | 中信银行股份有限公司 | 一种网络准入配置检查方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 张才俊;: "交换机端口安全策略在网络中的应用实例", 科技资讯, no. 31, 3 November 2009 (2009-11-03) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11182366B2 (en) | Comparing data stores using hash sums on disparate parallel systems | |
| CN112395157A (zh) | 审计日志的获取方法、装置、计算机设备和存储介质 | |
| US11868339B2 (en) | Blockchain based distributed file systems | |
| CN115348171A (zh) | 网络设备的访问控制列表管理方法、装置、设备和介质 | |
| CN115658794B (zh) | 数据查询方法、装置、计算机设备和存储介质 | |
| CN115827691A (zh) | 批量处理结果验证方法、装置、计算机设备、存储介质 | |
| CN115695173A (zh) | 网络安全例外接入方法、装置、设备、介质和程序产品 | |
| CN115858322A (zh) | 日志数据处理方法、装置和计算机设备 | |
| CN115061726A (zh) | 脚本文件批量处理方法、装置、设备、介质和程序产品 | |
| WO2019242112A1 (zh) | 审计字段信息获取方法、装置、计算机设备和存储介质 | |
| CN112862449A (zh) | 结构化工单生成方法、装置、计算机设备和存储介质 | |
| CN112711608B (zh) | 数据展示方法、装置、计算机可读存储介质和计算机设备 | |
| CN117033172A (zh) | 测试数据处理方法、装置、设备、存储介质和程序产品 | |
| CN117271352A (zh) | 数据处理方法、装置、计算机设备及存储介质 | |
| CN117349131A (zh) | 系统错误信息的显示方法、装置和计算机设备 | |
| CN116975072A (zh) | 数据处理方法、装置、计算机设备和存储介质 | |
| CN116881164A (zh) | 金融信息系统中测试数据的校验修正方法、装置和设备 | |
| CN118250070A (zh) | 页面登录方法、装置、计算机设备、存储介质和程序产品 | |
| CN116880927A (zh) | 规则管理方法、装置、计算机设备和存储介质 | |
| CN117453781A (zh) | 数据存储方法、装置、设备、存储介质和程序产品 | |
| CN115905340A (zh) | 用户画像验证方法、装置、计算机设备和存储介质 | |
| CN115629958A (zh) | 一种针对不同业务接口的通用字段级自动校验方法和装置 | |
| CN118113595A (zh) | 测试用例生成方法、装置、计算机设备和存储介质 | |
| CN117076476A (zh) | 对象信息处理方法、装置、计算机设备和存储介质 | |
| CN117290350A (zh) | 数据同步方法、装置、计算机设备、存储介质和程序产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |