[发明专利]一种基于仿真路径分析的访问控制基线检测方法及装置

说明书

本发明涉及一种基于仿真路径分析的访问控制基线检测方法及装置，其中方法包括以下步骤：基于模拟仿真环境，创建业务区域，并建立各业务区域之间的域间访问规则矩阵；遍历待测源域的所有地址到待测目的域的所有地址，进行路径仿真，得到所有存在通路的路径信息；从所述域间访问规则矩阵中获取所述待测源域与所述待测目的域之间的访问规则；根据所述访问规则判断所述路径信息中是否存在违规通路；根据所述违规通路定位违规防火墙以及对应的违规策略，实现控制基线检测。本发明具有检测效率高、准确率高的技术效果。

技术领域

本发明涉及访问控制基线检测技术领域，尤其涉及一种基于仿真路径分析的访问控制基线检测方法、装置及计算机存储介质。

背景技术

网络规划时，会按照不同的业务系统划分相应的业务区域，或者会根据组织机构或物理位置进行划分网络业务区域，为了加强各区域自身的安全防护，通常会在区域与区域之间通过防火墙的安全策略或路由交换设备的ACL策略进行互访的隔离或限制，从而形成业务域间的访问控制基线。

区域之间经过的防火墙或路由交换设备较多时，路径上每个设备都设置了相关策略影响两个区域之间的通路状态，可能会出现策略违规的情况，因此需要对访问控制基线进行检测维护。传统的检测方式为人工检测，首先人工找出源域到目的域之间经过的所有防火墙设备；然后逐一在防火墙上设备上进行违规测试的查询，有策略命中则为违规策略。

这种人工检测方式需要逐一分析各个网关设备配置的方式，人工关联比对多个防火墙或路由交换设备上的访问控制策略，效率极低，准确度也不高。

发明内容

有鉴于此，有必要提供一种基于仿真路径分析的访问控制基线检测方法及装置，用以解决人工检测效率低、准确率低的问题。

本发明提供一种基于仿真路径分析的访问控制基线检测方法，包括以下步骤：

基于模拟仿真环境，创建业务区域，并建立各业务区域之间的域间访问规则矩阵；

遍历待测源域的所有地址到待测目的域的所有地址，进行路径仿真，得到所有存在通路的路径信息；

从所述域间访问规则矩阵中获取所述待测源域与所述待测目的域之间的访问规则；

根据所述访问规则判断所述路径信息中是否存在违规通路；

根据所述违规通路定位违规防火墙以及对应的违规策略，实现控制基线检测。

进一步的，基于模拟仿真环境，创建业务区域，具体为：

录入业务区域的区域名称、区域包含的网段、对应的IP地址范围，实现业务区域的创建。

进一步的，基于模拟仿真环境，建立各业务区域之间的域间访问规则矩阵，具体包括：

创建每一所述业务区域与其它各业务区域之间的域间访问规则，得到所述域间访问规则矩阵。

进一步的，所述域间访问规则包括规则名称、规则相关的源地址、规则相关的目的地址、规则相关的服务端口或服务协议以及动作。

进一步的，所述域间访问规则为白名单规则或黑名单规则；

所述白名单规则包括所有不违规的通路名单，所述黑名单规则包括所有违规的通路名单。

进一步的，遍历待测源域的所有地址到待测目的域的所有地址，进行路径仿真，得到所有存在通路的路径信息，具体为：

叠加所述待测源域至所述待测目的域之间所有网络设备的安全策略，进行路径仿真，得到所有存在通路的路径信息。

进一步的，根据所述访问规则判断所述路径信息中是否存在违规通路，具体为：

筛选出所述路径信息中违背所述访问规则的通路，得到所述违规通路。