[发明专利]一种网络隔离方法、装置、电子设备及存储介质

说明书

本申请实施例提供的一种网络隔离方法、装置、电子设备及存储介质，由用于实现网络隔离功能的客户端和用于为客户端提供技术支持的服务器实现网络隔离功能，网络环境中的主机上安装客户端，客户端可以监听其所属主机发起的网络访问请求，获取该网络访问请求中的数据包信息(数据包信息包括网络五元组和目标信息，目标信息不同于网络五元组)，进而基于利用网络环境策略图自动构建的至少一条策略信息对数据包信息进行判断以确定网络访问请求的流转状态。基于此，本申请在提供适用于虚拟化网络环境和物理网络环境的网络隔离方法的基础上，降低了人工成本、提高了网络隔离效率及网络隔离的全面性。

技术领域

本发明涉及网络通信技术领域，更具体地说，涉及一种网络隔离方法、装置、电子设备及存储介质。

背景技术

网络流量通常被划分为东西向流量和南北向流量，东西向流量是内部网络环境中主机之间的访问流量，南北向流量是内网进出外网的流量。当前传统网络环境中实现东西向流量的网络隔离的方案大致有如下几种：

方案一，基于物理网络交换机隔离方案，该方案通过调整物理机的网络拓扑结构，将需要隔离的物理机挂载在同一套网络交换机下，通过网络交换机的访问控制策略和内网的其他机器隔离。方案二，基于虚拟网络交换机隔离方案，该方案通过使用虚拟化和隧道技术，利用SDN(Software Defined Network，软件定义网络)技术将访问控制策略下发到宿主机的虚拟交换机上，实现虚拟机的网络隔离。方案三，基于操作系统的网络过滤模块或防火墙服务实现网络隔离的方案，该方案利用操作系统原生的防火墙技术(Windows系统的WFAS和Linux的IPTables)实现网络隔离，主要用途是主机的网络防护和软件防火墙。

方案一，不仅网络交换机能够挂载的机器的数量有限，网络隔离效率低；而且网络交换机用于存储访问控制策略的空间有限，策略数量受限；并且，网络交换机一般需要专业网络运维人员进行访问控制策略的维护，人工成本高、容易出错。方案二，仅适用于虚拟化网络环境，不适用于物理网络环境。并且，不论方案一、方案二还是方案三，均存在由于访问控制策略配置在网络交换设备上，只能做到根据五元组完成网络隔离，网络隔离不全面、防护效果不理想。

发明内容

有鉴于此，本申请提供一种网络隔离方法、装置、电子设备及存储介质，以在提供适用于虚拟化网络环境和物理网络环境的网络隔离方法的基础上，降低人工成本、提高网络隔离效率及网络隔离的全面性。技术方案如下：

一种网络隔离方法，包括：

监听并挂起主机发起的网络访问请求，获取所述网络请求的数据包信息；所述数据包信息包括网络五元组和目标信息，所述目标信息不同于所述网络五元组；

确定服务器响应对网络环境策略图的构建操作生成的所述网络环境的至少一条策略信息，所述策略信息包括条件信息和动作信息；

检测所述至少一条策略信息中是否存在条件信息被所述数据包信息命中的目标策略信息；

如果所述至少一条策略信息中存在条件信息被所述数据包信息命中的目标策略信息，根据所述目标策略信息的动作信息控制所述网络访问请求的流转状态。

优选的，所述监听并挂起主机发起的网络访问请求，获取所述网络请求的数据包信息，包括：

利用响应主机进程发起操作在所述进程内存中植入的hook模块，监听所述进程发起的网络访问请求，挂起所述网络访问请求，并获取所述网络访问请求的数据包信息；

或者，

根据在主机操作系统内核中植入的hook模块，监听所述主机的进程发起的网络访问请求，挂起所述网络访问请求，并获取所述网络访问请求的数据包信息。

优选的，所述服务器响应对网络环境策略图的构建操作生成所述网络环境的至少一条策略信息，包括：