[发明专利]一种网络隔离方法、装置、电子设备及存储介质

权利要求书

1.一种网络隔离方法，其特征在于，包括：

监听并挂起主机发起的网络访问请求，获取所述网络访问 请求的数据包信息；所述数据包信息包括网络五元组和目标信息，所述目标信息不同于所述网络五元组；

确定服务器响应对网络环境策略图的构建操作生成的所述网络环境的至少一条策略信息，所述策略信息包括条件信息和动作信息；

检测所述至少一条策略信息中是否存在条件信息被所述数据包信息命中的目标策略信息；

如果所述至少一条策略信息中存在条件信息被所述数据包信息命中的目标策略信息，根据所述目标策略信息的动作信息控制所述网络访问请求的流转状态；

所述监听并挂起主机发起的网络访问请求，获取所述网络请求的数据包信息，包括：

利用响应主机进程发起操作在所述进程内存中植入的hook模块，所述hook模块用于控制进程的网络访问，监听所述进程发起的网络访问请求，挂起所述网络访问请求，并获取所述网络访问请求的数据包信息；

或者，

根据在主机操作系统内核中植入的hook模块，监听所述主机的进程发起的网络访问请求，挂起所述网络访问请求，并获取所述网络访问请求的数据包信息；

所述服务器响应对网络环境策略图的构建操作生成所述网络环境的至少一条策略信息，包括：

所述服务器响应用户利用策略图构建组件提供的元件执行策略图构建操作所构建的策略图，所述策略图与网络环境的业务需求有关；

根据所述策略图表征的访问关系生成所述网络环境的原始策略信息；所述访问关系包括网络区域之间的访问关系、网络区域中各主机之间的访问关系、主机和进程之间的访问关系，以及进程账户和资源之间的访问关系中的任意一项或多项；

对所述网络环境的原始策略信息进行解析得到满足访问控制策略语法规则的所述网络环境的至少一条策略信息。

2.根据权利要求1所述的方法，其特征在于，还包括：

监控所述网络环境的网络环境变化信息和主机功能变化信息；

基于所述网络环境变化信息和主机功能变化信息更新所述网络环境的至少一条策略信息。

3.根据权利要求1所述的方法，其特征在于，所述确定所述至少一条策略信息中是否存在条件信息被所述数据包信息命中的目标策略信息，包括：

确定所述至少一条策略信息中是否存在条件信息与所述数据包信息相同的策略信息；

如果所述至少一条策略信息中存在条件信息与所述数据包信息相同的策略信息，将所述至少一条策略信息中条件信息与所述数据包信息相同的策略信息确定为目标策略信息；

如果所述至少一条策略信息中不存在条件信息与所述数据包信息相同的策略信息，确定所述至少一条策略信息中不存在条件信息被所述数据包信息命中的目标策略信息。

4.根据权利要求1所述的方法，其特征在于，所述根据所述目标策略信息的动作信息控制所述网络访问请求的流转状态，包括：

获取所述目标策略信息中的动作信息，所述动作信息指示阻断网络访问请求/允许网络访问请求；

将所述动作信息返回至所述hook模块，由所述hook模块根据所述动作信息控制所述网络访问请求的流转状态。

5.根据权利要求1所述的方法，其特征在于，所述目标信息指示发起所述网络访问请求的进程、发起所述进程的进程账户、所述进程所属应用和所述主机中的任意一项或多项。