本發(fā)明涉及通信領(lǐng)域,具體而言,涉及一種數(shù)據(jù)流的轉(zhuǎn)發(fā)方法及裝置。
背景技術(shù):目前,相關(guān)技術(shù)中的防火墻策略或者訪問控制列表(AccessControlList,簡稱為ACL)可以根據(jù)數(shù)據(jù)流中的下層屬性來判斷是否允許數(shù)據(jù)流通過。通常情況下,防火墻策略所依據(jù)的下層屬性可以包括但不限于以下至少之一:源地址、源端口、目的地址、目的端口、協(xié)議號(hào)、應(yīng)用類型。而入接口和出接口往往也會(huì)成為防火墻策略所依據(jù)屬性的一部分。隨著科學(xué)技術(shù)日新月異的發(fā)展,國內(nèi)外廠商已經(jīng)將更多的考慮因素融入到防火墻策略當(dāng)中。例如:一些廠商引入了安全域的概念,即利用入接口安全域或者出接口安全域來判斷是否允許數(shù)據(jù)流通過;而一些廠商在現(xiàn)有的防火墻策略的基礎(chǔ)上,逐步引入了基于用戶的訪問控制或者基于角色的訪問控制(RoleBaseAccessControl,簡稱為RBAC)的概念;還有一些廠商在現(xiàn)有的防火墻策略的基礎(chǔ)上,引入了認(rèn)證組的概念,首先將檢測(cè)到的數(shù)據(jù)流與防火墻策略所依據(jù)的下層屬性(包括:源地址、源端口、目的地址、目的端口以及協(xié)議號(hào))相匹配,其次通過匹配認(rèn)證確定該數(shù)據(jù)流所歸屬的分組,然后采用第一匹配原則判斷是否允許該數(shù)據(jù)流通過。下面結(jié)合兩個(gè)具體的應(yīng)用實(shí)例對(duì)相關(guān)技術(shù)中所采用的防火墻策略做進(jìn)一步的描述。實(shí)例一表1是根據(jù)相關(guān)技術(shù)的基于用戶訪問控制的防火墻策略實(shí)例一。如表1所示,假設(shè)在A公司的安全網(wǎng)關(guān)上具備防火墻和安全套接層(SecureSocketsLayer,簡稱為SSL)虛擬專用網(wǎng)(VirtualPrivateNetwork,簡稱為VPN)的雙重功能。當(dāng)用戶從公網(wǎng)上通過SSLVPN接入時(shí),公司內(nèi)部系統(tǒng)會(huì)為該用戶發(fā)送的流量賦予一個(gè)SSL角色,而對(duì)于那些遠(yuǎn)程接入的工程師(Engineers),公司內(nèi)部系統(tǒng)將為此類用戶賦予另一個(gè)Engineer角色。此外,公司內(nèi)網(wǎng)存在兩種個(gè)人計(jì)算機(jī)(PC):一種是專門供工程師使用的,其地址組為EngIPs;而另一種是除工程師以外的其他人使用的,其地址組為Other-IPs。另外,公司還有三個(gè)服務(wù)器:電郵服務(wù)器(EmailServer)、內(nèi)部服務(wù)器(IntranetServer),研發(fā)用服務(wù)器(EngServer)。表1組源地址源端口目的地址目的端口協(xié)議動(dòng)作SSLAnyAnyIntranet_ServerAnyAny不允許EngineerAnyAnyEng_ServerAnyAny允許AnyEng_IPsAnyAnyAnyAny允許AnyAnyAnyEmail_ServerAnyAny允許根據(jù)上述表1可以看出,遠(yuǎn)程接入用戶不許訪問IntranetServer,工程師無論是采取遠(yuǎn)程接入的方式還是內(nèi)部訪問的方式都可以訪問EngServer,工程師在內(nèi)網(wǎng)的PC可以訪問內(nèi)網(wǎng)中全部服務(wù)器,其他人無論是采取遠(yuǎn)程接入的方式還是內(nèi)部訪問的方式都可以訪問EmailServer去查閱Email。由此可見,在該應(yīng)用實(shí)例中,分別對(duì)通過SSL接入的用戶以及Engineering群組的用戶進(jìn)行了特殊地控制。然而,該應(yīng)用實(shí)例存在的缺陷在于:同一個(gè)用戶如果由于特定原因而影響其安全狀態(tài)時(shí),用戶所訪問的系統(tǒng)可能需要給予該用戶多種不同的訪問權(quán)限。而特定原因往往又是多方面的,例如:用戶當(dāng)前使用的設(shè)備的安全狀態(tài)、用戶使用了非正常應(yīng)用、用戶的異常舉動(dòng)。在考慮到安全訪問因素和用戶私有信息的前提下,雖然可以不斷創(chuàng)建新的角色,例如:假設(shè)有N個(gè)用戶或者用戶組,M個(gè)安全因素狀態(tài),由此需要產(chǎn)生M×N個(gè)角色,但是不斷創(chuàng)建的新角色給公司內(nèi)部系統(tǒng)的管理帶來了極大地不便,同時(shí)也增加了管理的成本。而從另外一個(gè)角度考慮,網(wǎng)絡(luò)管理員如果希望對(duì)發(fā)起訪問的用戶進(jìn)行可視化管理,實(shí)時(shí)掌握每個(gè)用戶的安全策略均會(huì)受到哪些因素的影響,為此需要有個(gè)直觀的呈現(xiàn)。而在用戶發(fā)起訪問時(shí),由于用戶的角色在不斷的轉(zhuǎn)化,對(duì)于可視化管理的渴求也將淹沒在用戶角色的不斷演變中。實(shí)例二網(wǎng)絡(luò)準(zhǔn)入控制(NetworkAccessControl,簡稱為NAC)技術(shù)是一種在接入時(shí)的安全準(zhǔn)入技術(shù)。該項(xiàng)技術(shù)常應(yīng)用于交換機(jī)上。在用戶通過PC接入網(wǎng)絡(luò)時(shí),交換機(jī)將會(huì)檢測(cè)PC上的病毒防護(hù)軟件的升級(jí)版本、當(dāng)前可用補(bǔ)丁、瀏覽器設(shè)置限定以及有效的個(gè)人防火墻。該P(yáng)C只有在通過交換機(jī)的一系列檢測(cè)后,才被允許接入網(wǎng)絡(luò)。而如果PC沒有達(dá)到上述各項(xiàng)要求,則交換機(jī)不允許其接入網(wǎng)絡(luò)。在特定情況下,PC還會(huì)被劃分到一個(gè)虛擬局域網(wǎng)(VirtualLocalAreaNetwork,簡稱為VLAN)進(jìn)行在線修復(fù)。然而,該應(yīng)用實(shí)例存在的缺陷在于:NAC的安全檢測(cè)以PC設(shè)備自身的安全狀態(tài)為依據(jù)。在網(wǎng)絡(luò)安全設(shè)備中,網(wǎng)絡(luò)攻擊或者異常行為的識(shí)別是通過網(wǎng)絡(luò)中的數(shù)據(jù)流量實(shí)現(xiàn)的,而無法根據(jù)用戶自身的綜合風(fēng)險(xiǎn)評(píng)估來實(shí)現(xiàn)防火墻策略的調(diào)整。
技術(shù)實(shí)現(xiàn)要素:本發(fā)明提供了一種數(shù)據(jù)流的轉(zhuǎn)發(fā)方法及裝置,以至少解決相關(guān)技術(shù)中的防火墻策略缺乏對(duì)數(shù)據(jù)流的健康度進(jìn)行評(píng)估的問題。根據(jù)本發(fā)明的一個(gè)方面,提供了一種數(shù)據(jù)流的轉(zhuǎn)發(fā)方法。根據(jù)本發(fā)明的數(shù)據(jù)流的轉(zhuǎn)發(fā)方法包括:根據(jù)接收到的數(shù)據(jù)流的一個(gè)或多個(gè)標(biāo)識(shí)信息的第一健康度獲取數(shù)據(jù)流的第二健康度,其中,第一健康度和第二健康度均與發(fā)送數(shù)據(jù)流的用戶和/或用戶設(shè)備的訪問權(quán)限相關(guān)聯(lián);采用防火墻策略屬性集合確定是否對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā),其中,防火墻策略屬性集合包括:第二健康度。優(yōu)選地,根據(jù)一個(gè)或多個(gè)標(biāo)識(shí)信息的第一健康度獲取數(shù)據(jù)流的第二健康度包括:從當(dāng)前的健康度評(píng)估數(shù)據(jù)庫中查找一個(gè)或多個(gè)標(biāo)識(shí)信息以及與每個(gè)標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別;選取最差健康級(jí)別確定第二健康度,其中,健康級(jí)別與訪問權(quán)限呈線性相關(guān)。優(yōu)選地,在從健康度評(píng)估數(shù)據(jù)庫中查找一個(gè)或多個(gè)標(biāo)識(shí)信息以及與每個(gè)標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別之前,還包括:分別對(duì)一個(gè)或多個(gè)標(biāo)識(shí)信息中的每個(gè)標(biāo)識(shí)信息進(jìn)行健康評(píng)分;根據(jù)健康評(píng)分結(jié)果所歸屬的區(qū)間獲取與該區(qū)間對(duì)應(yīng)的健康級(jí)別;將每個(gè)標(biāo)識(shí)信息以及與該標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別保存在健康度評(píng)估數(shù)據(jù)庫中。優(yōu)選地,采用防火墻策略屬性集合確定是否對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā)包括:根據(jù)第二健康度從防火墻策略表中查找與數(shù)據(jù)流對(duì)應(yīng)的一條或多條防火墻策略記錄;采用防火墻策略屬性集合中除第二健康度之外的其他屬性對(duì)一條或多條防火墻策略記錄逐條進(jìn)行匹配;如果匹配成功,則按照與數(shù)據(jù)流匹配的防火墻策略記錄對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā);如果匹配失敗,則阻斷數(shù)據(jù)流。優(yōu)選地,防火墻策略屬性集合還包括以下至少之一:數(shù)據(jù)流的因特網(wǎng)協(xié)議IP五元組信息;發(fā)送數(shù)據(jù)流的源端口或源安全域;接收數(shù)據(jù)流的目的端口或目的安全域;發(fā)送數(shù)據(jù)流的用戶信息或用戶組信息或用戶角色信息。優(yōu)選地,標(biāo)識(shí)信息包括以下至少之一:數(shù)據(jù)流的源IP地址和/或目的IP地址;數(shù)據(jù)流的源IP地址和/或目的IP地址所歸屬的分組;與數(shù)據(jù)流對(duì)應(yīng)的應(yīng)用程序;發(fā)送數(shù)據(jù)流的用戶信息或用戶組信息或用戶角色信息;發(fā)送數(shù)據(jù)流的源端口或源安全域;接收數(shù)據(jù)流的目的端口或目的安全域。根據(jù)本發(fā)明的另一方面,提供了一種數(shù)據(jù)流的轉(zhuǎn)發(fā)裝置。根據(jù)本發(fā)明的數(shù)據(jù)流的轉(zhuǎn)發(fā)裝置包括:獲取模塊,用于根據(jù)接收到的數(shù)據(jù)流的一個(gè)或多個(gè)標(biāo)識(shí)信息的第一健康度獲取數(shù)據(jù)流的第二健康度,其中,第一健康度和第二健康度均與發(fā)送數(shù)據(jù)流的用戶和/或用戶設(shè)備的訪問權(quán)限相關(guān)聯(lián);確定模塊,用于采用防火墻策略屬性集合確定是否對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā),其中,防火墻策略屬性集合包括:第二健康度。優(yōu)選地,獲取模塊包括:第一查找單元,用于從當(dāng)前的健康度評(píng)估數(shù)據(jù)庫中查找一個(gè)或多個(gè)標(biāo)識(shí)信息以及與每個(gè)標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別;選取單元,用于選取最差健康級(jí)別確定第二健康度,其中,健康級(jí)別與訪問權(quán)限呈線性相關(guān)。優(yōu)選地,獲取模塊還包括:評(píng)分單元,用于分別對(duì)一個(gè)或多個(gè)標(biāo)識(shí)信息中的每個(gè)標(biāo)識(shí)信息進(jìn)行健康評(píng)分;獲取單元,用于根據(jù)健康評(píng)分結(jié)果所歸屬的區(qū)間獲取與該區(qū)間對(duì)應(yīng)的健康級(jí)別;存儲(chǔ)單元,用于將每個(gè)標(biāo)識(shí)信息以及與該標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別保存在健康度評(píng)估數(shù)據(jù)庫中。優(yōu)選地,確定模塊包括:第二查找單元,用于根據(jù)第二健康度從防火墻策略表中查找與數(shù)據(jù)流對(duì)應(yīng)的一條或多條防火墻策略記錄;匹配單元,用于采用防火墻策略屬性集合中除第二健康度之外的其他屬性對(duì)一條或多條防火墻策略記錄逐條進(jìn)行匹配;處理單元,用于在匹配單元匹配成功時(shí),按照與數(shù)據(jù)流匹配的防火墻策略記錄對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā);在匹配單元匹配失敗時(shí),則阻斷數(shù)據(jù)流。通過本發(fā)明,采用根據(jù)接收到的數(shù)據(jù)流的一個(gè)或多個(gè)標(biāo)識(shí)信息的第一健康度獲取數(shù)據(jù)流的第二健康度,第一健康度和第二健康度均與發(fā)送數(shù)據(jù)流的用戶和/或用戶設(shè)備的訪問權(quán)限相關(guān)聯(lián);采用防火墻策略屬性集合確定是否對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā),該防火墻策略屬性集合包括:第二健康度,由于在防火墻策略屬性集合中增加了對(duì)數(shù)據(jù)流健康度的評(píng)估,因此解決了相關(guān)技術(shù)中的防火墻策略缺乏對(duì)數(shù)據(jù)流的健康度進(jìn)行評(píng)估的問題,進(jìn)而提高了防火墻對(duì)網(wǎng)絡(luò)攻擊或者異常行為的識(shí)別能力,降低管理成本。附圖說明此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解,構(gòu)成本申請(qǐng)的一部分,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定。在附圖中:圖1是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)流的轉(zhuǎn)發(fā)方法的流程圖;圖2是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)流的轉(zhuǎn)發(fā)裝置的結(jié)構(gòu)框圖;圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的數(shù)據(jù)流的轉(zhuǎn)發(fā)裝置的結(jié)構(gòu)框圖。具體實(shí)施方式下文中將參考附圖并結(jié)合實(shí)施例來詳細(xì)說明本發(fā)明。需要說明的是,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互組合。在以下描述中,除非另外指明,否則將參考由一個(gè)或多個(gè)計(jì)算機(jī)執(zhí)行的動(dòng)作和操作的符號(hào)表示來描述本申請(qǐng)的各實(shí)施例。其中,計(jì)算機(jī)包括個(gè)人計(jì)算機(jī)、服務(wù)器、移動(dòng)終端等各種產(chǎn)品,使用了CPU、單片機(jī)、DSP等具有處理芯片的設(shè)備均可以稱為計(jì)算機(jī)。由此,可以理解,有時(shí)被稱為計(jì)算機(jī)執(zhí)行的這類動(dòng)作和操作包括計(jì)算機(jī)的處理單元對(duì)以結(jié)構(gòu)化形式表示數(shù)據(jù)的電信號(hào)的操縱。這一操縱轉(zhuǎn)換了數(shù)據(jù)或在計(jì)算機(jī)的存儲(chǔ)器系統(tǒng)中的位置上維護(hù)它,這以本領(lǐng)域的技術(shù)人員都理解的方式重配置或改變了計(jì)算機(jī)的操作。維護(hù)數(shù)據(jù)的數(shù)據(jù)結(jié)構(gòu)是具有數(shù)據(jù)的格式所定義的特定屬性的存儲(chǔ)器的物理位置。然而,盡管在上述上下文中描述本發(fā)明,但它并不意味著限制性的,如本領(lǐng)域的技術(shù)人員所理解的,后文所描述的動(dòng)作和操作的各方面也可用硬件來實(shí)現(xiàn)。轉(zhuǎn)向附圖,其中相同的參考標(biāo)號(hào)指代相同的元素,本申請(qǐng)的原理被示為在一個(gè)合適的計(jì)算環(huán)境中實(shí)現(xiàn)。以下描述基于所述的本申請(qǐng)的實(shí)施例,并且不應(yīng)認(rèn)為是關(guān)于此處未明確描述的替換實(shí)施例而限制本申請(qǐng)。以下實(shí)施例可以應(yīng)用到計(jì)算機(jī)中,例如應(yīng)用到PC中。也可以應(yīng)用到目前采用了智能操作系統(tǒng)中的移動(dòng)終端中,并且并不限于此。對(duì)于計(jì)算機(jī)或移動(dòng)終端的操作系統(tǒng)并沒有特殊要求,只要能夠檢測(cè)接觸、確定該接觸是否與預(yù)定規(guī)則相符合,以及根據(jù)該接觸的屬性實(shí)現(xiàn)相應(yīng)功能即可。圖1是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)流的轉(zhuǎn)發(fā)方法的流程圖。如圖1所示,該方法可以包括以下處理步驟:步驟S102:根據(jù)接收到的數(shù)據(jù)流的一個(gè)或多個(gè)標(biāo)識(shí)信息的第一健康度獲取數(shù)據(jù)流的第二健康度,其中,第一健康度和第二健康度均與發(fā)送數(shù)據(jù)流的用戶和/或用戶設(shè)備的訪問權(quán)限相關(guān)聯(lián);步驟S104:采用防火墻策略屬性集合確定是否對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā),其中,防火墻策略屬性集合包括:第二健康度。相關(guān)技術(shù)中,防火墻策略缺乏對(duì)數(shù)據(jù)流的健康度進(jìn)行評(píng)估。采用如圖1所示的方法,采用根據(jù)接收到的數(shù)據(jù)流的一個(gè)或多個(gè)標(biāo)識(shí)信息的第一健康度獲取數(shù)據(jù)流的第二健康度,第一健康度和第二健康度均與發(fā)送數(shù)據(jù)流的用戶和/或用戶設(shè)備的訪問權(quán)限相關(guān)聯(lián);采用防火墻策略屬性集合確定是否對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā),該防火墻策略屬性集合包括:第二健康度,由于在防火墻策略屬性集合中增加了對(duì)數(shù)據(jù)流健康度的評(píng)估,因此解決了相關(guān)技術(shù)中的防火墻策略缺乏對(duì)數(shù)據(jù)流的健康度進(jìn)行評(píng)估的問題,進(jìn)而提高了防火墻對(duì)網(wǎng)絡(luò)攻擊或者異常行為的識(shí)別能力,降低管理成本。在優(yōu)選實(shí)施過程中,上述防火墻策略屬性集合還可以包括但不限于以下至少之一:(1)數(shù)據(jù)流的因特網(wǎng)協(xié)議IP五元組信息;(2)發(fā)送數(shù)據(jù)流的源端口或源安全域;(3)接收數(shù)據(jù)流的目的端口或目的安全域;(4)發(fā)送數(shù)據(jù)流的用戶信息或用戶組信息或用戶角色信息。在優(yōu)選實(shí)施過程中,上述標(biāo)識(shí)信息可以包括但不限于以下至少之一:(1)數(shù)據(jù)流的源IP地址和/或目的IP地址;(2)數(shù)據(jù)流的源IP地址和/或目的IP地址所歸屬的分組;(3)與數(shù)據(jù)流對(duì)應(yīng)的應(yīng)用程序;(4)發(fā)送數(shù)據(jù)流的用戶信息或用戶組信息或用戶角色信息;(5)發(fā)送數(shù)據(jù)流的源端口或源安全域;(6)接收數(shù)據(jù)流的目的端口或目的安全域。在優(yōu)選實(shí)施例中,可以建立健康度評(píng)估數(shù)據(jù)庫,其中,該健康度評(píng)估數(shù)據(jù)庫評(píng)估的對(duì)象為數(shù)據(jù)流的一個(gè)或多個(gè)標(biāo)識(shí)信息,具體可以包括但不限于以下至少之一:數(shù)據(jù)流的源IP地址和/或目的IP地址、數(shù)據(jù)流的源IP地址和/或目的IP地址所歸屬的分組、發(fā)送數(shù)據(jù)流的用戶信息或用戶組信息或用戶角色信息、與數(shù)據(jù)流對(duì)應(yīng)的應(yīng)用程序(一個(gè)或多個(gè)IP地址以及端口)、發(fā)送數(shù)據(jù)流的源端口或源安全域、接收數(shù)據(jù)流的目的端口或目的安全域。健康度評(píng)估數(shù)據(jù)庫中的各個(gè)對(duì)象可以周期性地進(jìn)行更新。優(yōu)選地,在步驟S102中,根據(jù)一個(gè)或多個(gè)標(biāo)識(shí)信息的第一健康度獲取數(shù)據(jù)流的第二健康度可以包括以下步驟:步驟S1:從當(dāng)前的健康度評(píng)估數(shù)據(jù)庫中查找一個(gè)或多個(gè)標(biāo)識(shí)信息以及與每個(gè)標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別;步驟S2:選取最差健康級(jí)別確定第二健康度,其中,健康級(jí)別與訪問權(quán)限呈線性相關(guān)。在優(yōu)選實(shí)施例中,健康級(jí)別與訪問權(quán)限可以呈線性相關(guān),即假設(shè)健康級(jí)別為x,訪問權(quán)限為y,則y=kx或者y=-kx,其中,k為正整數(shù)。以y=kx為例,健康度可以分為N個(gè)等級(jí),其中,可以包括:1級(jí)代表健康狀態(tài),N級(jí)代表不健康狀態(tài),2…N―1級(jí)代表不同程度的亞健康狀態(tài)。由此可以得出,健康級(jí)別越高,訪問權(quán)限越低。因此,N級(jí)為最差健康級(jí)別。假設(shè)防火墻當(dāng)前接收到的數(shù)據(jù)流Mj有k個(gè)標(biāo)識(shí)信息是上述健康度評(píng)估數(shù)據(jù)庫的評(píng)估對(duì)象,其分別為:Mj1、Mj2…Mjk,每個(gè)評(píng)估對(duì)象(標(biāo)識(shí)信息)對(duì)應(yīng)的健康級(jí)別分別為:Health(Mj1)、Health(Mj2)…Health(Mjk),由此可以得到如下計(jì)算公式:Health(Mj)=Max(Health(Mj1)、Health(Mj2)、…、Health(Mjk))即該數(shù)據(jù)流的健康度是由上述各個(gè)對(duì)象中健康級(jí)別最高(即最差健康級(jí)別)的對(duì)象所決定的。優(yōu)選地,在步驟S1,從健康度評(píng)估數(shù)據(jù)庫中查找一個(gè)或多個(gè)標(biāo)識(shí)信息以及與每個(gè)標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別之前,還可以包括以下操作:步驟S3:分別對(duì)一個(gè)或多個(gè)標(biāo)識(shí)信息中的每個(gè)標(biāo)識(shí)信息進(jìn)行健康評(píng)分;步驟S4:根據(jù)健康評(píng)分結(jié)果所歸屬的區(qū)間獲取與該區(qū)間對(duì)應(yīng)的健康級(jí)別;步驟S5:將每個(gè)標(biāo)識(shí)信息以及與該標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別保存在健康度評(píng)估數(shù)據(jù)庫中。在優(yōu)選實(shí)施例中,可以設(shè)置健康評(píng)分,即不同區(qū)間的健康評(píng)分可以與不同級(jí)別的健康度建立映射關(guān)系。例如:假設(shè)當(dāng)前的健康度評(píng)估分為3個(gè)級(jí)別,即1級(jí)代表健康狀態(tài)、2級(jí)代表亞健康狀態(tài)、3級(jí)代表不健康狀態(tài);同時(shí)還設(shè)立了評(píng)分機(jī)制,以0―100的評(píng)分標(biāo)準(zhǔn)為例,可以將其劃分為3個(gè)區(qū)間并分別與不同的健康度建立映射關(guān)系,即80―100對(duì)應(yīng)健康狀態(tài)、20―79對(duì)應(yīng)亞健康狀態(tài)、0―19對(duì)應(yīng)不健康狀態(tài)。由此可見,評(píng)分標(biāo)準(zhǔn)可以作為一種粒度更加細(xì)化的健康評(píng)估的可視化手段。需要說明的是,上述評(píng)分方式僅是本發(fā)明提供的一種優(yōu)選實(shí)施方式而并非構(gòu)成對(duì)本發(fā)明的限定,只要能夠確保每個(gè)數(shù)據(jù)流的健康度是由其各個(gè)標(biāo)識(shí)信息中健康度最差(即健康級(jí)別最高)的標(biāo)識(shí)信息所決定的評(píng)分方式均可以被本發(fā)明所采用。優(yōu)選地,在步驟S104中,采用防火墻策略屬性集合確定是否對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā)可以包括以下步驟:步驟S6:根據(jù)第二健康度從防火墻策略表中查找與數(shù)據(jù)流對(duì)應(yīng)的一條或多條防火墻策略記錄;步驟S7:采用防火墻策略屬性集合中除第二健康度之外的其他屬性對(duì)一條或多條防火墻策略記錄逐條進(jìn)行匹配;步驟S8:如果匹配成功,則按照與數(shù)據(jù)流匹配的防火墻策略記錄對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā);如果匹配失敗,則阻斷數(shù)據(jù)流。防火墻通常以“鏈表數(shù)組”的形式組織與管理流,該“鏈表數(shù)組”通常又被稱為“流表”。以傳輸控制協(xié)議(TransferControlProtocol,簡稱為TCP)報(bào)文為例,防火墻通??梢圆捎肐P五元組(源IP地址、目的IP地址、源端口、目的端口以及IP協(xié)議號(hào))對(duì)TCP流進(jìn)行標(biāo)識(shí)。每當(dāng)接收到TCP報(bào)文時(shí),防火墻便會(huì)對(duì)該TCP報(bào)文進(jìn)行解析,然后從報(bào)頭提取出源IP地址、目的IP地址、源端口、目的端口以及IP協(xié)議號(hào),并將五元組經(jīng)過哈希(HASH)運(yùn)算,從而得到HASH運(yùn)算的結(jié)果,作為“流表”的索引。在“流表”的索引值為上述HASH運(yùn)算結(jié)果的位置處是一條“流”記錄鏈表,換言之,該鏈表的每個(gè)節(jié)點(diǎn)便是一個(gè)“流”記錄,而每個(gè)“流”的五元組的HASH運(yùn)算結(jié)果都與上述HASH運(yùn)算結(jié)果相同。防火墻可以將該TCP報(bào)文的五元組與鏈表上的每個(gè)節(jié)點(diǎn)所記錄的五元組逐個(gè)進(jìn)行匹配,如果能夠匹配,表示該報(bào)文所歸屬的“流”已經(jīng)存在;否則,防火墻在確定該TCP報(bào)文符合創(chuàng)建新連接的條件后,將創(chuàng)建一個(gè)“流”,添加到在“流表”的索引值為上述HASH運(yùn)算結(jié)果位置處的“流”鏈表上,以記錄該報(bào)文所歸屬連接的上下文環(huán)境。為此,防火墻需要重新創(chuàng)建一個(gè)“流”記錄的報(bào)文,通常稱之為“首報(bào)文”。當(dāng)然,在將上述TCP報(bào)文與防火墻策略進(jìn)行匹配的過程中,除了采用上述IP五元組(源IP地址、目的IP地址、源端口、目的端口以及IP協(xié)議號(hào))之外,還可以采用以下一項(xiàng)或多項(xiàng)策略所依據(jù)的下層屬性進(jìn)行綜合匹配:(1)源接口或源安全域;(2)目的接口或目的安全域;(3)用戶或用戶組或角色。作為本發(fā)明的一個(gè)優(yōu)選實(shí)施例,本發(fā)明所提供的技術(shù)方案在現(xiàn)有的防火墻策略所依據(jù)的下層屬性集合的基礎(chǔ)上,還可以加入健康度屬性做進(jìn)一步地匹配。在該優(yōu)選實(shí)施例中,首先,針對(duì)接收到的數(shù)據(jù)流從上述健康度評(píng)估數(shù)據(jù)庫中查找與該數(shù)據(jù)流對(duì)應(yīng)的全部對(duì)象,例如:該數(shù)據(jù)流屬于用戶T1、應(yīng)用T2、其中攜帶的源IP地址和/或目的IP地址屬于IP組T3;然后,因?yàn)樵摂?shù)據(jù)流的健康度是由上述各個(gè)對(duì)象中健康度最差(即健康級(jí)別最高)的對(duì)象所決定的,為此,可以采用如下公式計(jì)算該數(shù)據(jù)流S的健康度結(jié)果:Health(S)=Max(Health(T1),Health(T2),Health(T3))。由此可見,本發(fā)明所提供的防火墻策略所依據(jù)的下層屬性可以包括但不限于以下至少之一:(1)健康度(包括:N個(gè)健康級(jí)別);(2)IP五元組(源IP地址、目的IP地址、源端口、目的端口以及IP協(xié)議號(hào));(3)源接口或源安全域;(4)目的接口或目的安全域;(5)用戶或用戶組或角色;(6)動(dòng)作,其中,可以包括以下之一:允許、拒絕、限流、連接數(shù)限制。如果上述健康度評(píng)估數(shù)據(jù)庫中的一個(gè)或多個(gè)對(duì)象的健康級(jí)別發(fā)生變化,那么在流表中與發(fā)生變化的一個(gè)或多個(gè)對(duì)象相關(guān)的流記錄則需要重新進(jìn)行策略匹配。需要說明的是,在防火墻中設(shè)置的流表主要是用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行快速轉(zhuǎn)發(fā)。如果當(dāng)前接收的數(shù)據(jù)流在流表中無法找到與之匹配的流記錄時(shí),那么則需要利用防火墻策略表進(jìn)行查找以決定是否建立相應(yīng)的流記錄進(jìn)而插入流表。而當(dāng)在防火墻策略表中查找與接收到的數(shù)據(jù)流相對(duì)應(yīng)的防火墻策略記錄時(shí),既可以采用先對(duì)健康度信息進(jìn)行匹配,然后再對(duì)其他屬性信息(例如:IP五元組信息)進(jìn)行匹配;當(dāng)然還可以采用同時(shí)對(duì)多種屬性信息進(jìn)行匹配。下面結(jié)合表2和表3所示的優(yōu)選實(shí)施方式對(duì)上述優(yōu)選實(shí)施過程做進(jìn)一步的描述。表2是根據(jù)本發(fā)明優(yōu)選實(shí)施例的健康度評(píng)估對(duì)象與健康度對(duì)照表。如表2所示,在當(dāng)前網(wǎng)絡(luò)中存在4臺(tái)PC(分別為PC1、PC2、PC3和PC4),以健康度評(píng)估對(duì)象是IP地址為例(即數(shù)據(jù)流的源IP地址標(biāo)識(shí)信息),PC1的源IP地址是10.0.0.1,PC2的源IP地址是10.0.0.2,PC3的源IP地址是10.0.0.3,PC4的源IP地址是10.0.0.4。根據(jù)動(dòng)態(tài)健康度檢測(cè)結(jié)果:源IP地址是10.0.0.1的PC1和源IP地址是10.0.0.4的PC4為健康狀態(tài),源IP地址是10.0.0.2的PC2為亞健康狀態(tài),源IP地址是10.0.0.3的PC3為不健康狀態(tài)。表2對(duì)象(源IP地址)健康度10.0.0.1健康10.0.0.2亞健康10.0.0.3不健康10.0.0.4健康表3是根據(jù)本發(fā)明優(yōu)選實(shí)施例的基于表2的防火墻策略信息表。如表3所示,防火墻策略如下:表3健康狀態(tài)用戶/組源地址源端口目的地址目的端口協(xié)議動(dòng)作不健康A(chǔ)nyAnyAnyInternetAnyAny允許不健康A(chǔ)nyAnyAnyAnyAnyAny不允許健康FinanceAnyAnyERP_SvrAnyAny允許健康,亞健康A(chǔ)nyAnyAnyEmail_SvrAnyAny允許由表3可以看出,處于不健康狀態(tài)的PC3只允許訪問互聯(lián)網(wǎng),而不允許訪問其他服務(wù)器;處于亞健康狀態(tài)的PC2只能訪問EmailServer;處于健康狀態(tài)的PC1和PC4可以訪問EmailServer,而Finance用戶組則可以訪問ERPServer。由此可見,上述4臺(tái)PC可以根據(jù)彼此的健康度而獲得不同的訪問權(quán)限。當(dāng)網(wǎng)絡(luò)中的攻擊檢測(cè)或者發(fā)生其他影響健康度評(píng)分/健康狀態(tài)的檢測(cè)引起PC健康度發(fā)生變化時(shí),相應(yīng)地,PC會(huì)因?yàn)榻】刀鹊母淖兌毁x予新的訪問權(quán)限。圖2是根據(jù)本發(fā)明實(shí)施例的數(shù)據(jù)流的轉(zhuǎn)發(fā)裝置的結(jié)構(gòu)框圖。如圖2所示,該數(shù)據(jù)流的轉(zhuǎn)發(fā)裝置可以包括:獲取模塊10,用于根據(jù)接收到的數(shù)據(jù)流的一個(gè)或多個(gè)標(biāo)識(shí)信息的第一健康度獲取數(shù)據(jù)流的第二健康度,其中,第一健康度和第二健康度均與發(fā)送數(shù)據(jù)流的用戶和/或用戶設(shè)備的訪問權(quán)限相關(guān)聯(lián);確定模塊20,用于采用防火墻策略屬性集合確定是否對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā),其中,防火墻策略屬性集合包括:第二健康度。采用如圖2所示的裝置,解決了相關(guān)技術(shù)中的防火墻策略缺乏對(duì)數(shù)據(jù)流的健康度進(jìn)行評(píng)估的問題,進(jìn)而提高了防火墻對(duì)網(wǎng)絡(luò)攻擊或者異常行為的識(shí)別能力,降低管理成本。優(yōu)選地,如圖3所示,獲取模塊10可以包括:第一查找單元100,用于從當(dāng)前的健康度評(píng)估數(shù)據(jù)庫中查找一個(gè)或多個(gè)標(biāo)識(shí)信息以及與每個(gè)標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別;選取單元102,用于選取最差健康級(jí)別確定第二健康度,其中,健康級(jí)別與訪問權(quán)限呈線性相關(guān)。優(yōu)選地,如圖3所示,獲取模塊10還可以包括:評(píng)分單元104,用于分別對(duì)一個(gè)或多個(gè)標(biāo)識(shí)信息中的每個(gè)標(biāo)識(shí)信息進(jìn)行健康評(píng)分;獲取單元106,用于根據(jù)健康評(píng)分結(jié)果所歸屬的區(qū)間獲取與該區(qū)間對(duì)應(yīng)的健康級(jí)別;存儲(chǔ)單元108,用于將每個(gè)標(biāo)識(shí)信息以及與該標(biāo)識(shí)信息對(duì)應(yīng)的健康級(jí)別保存在健康度評(píng)估數(shù)據(jù)庫中。優(yōu)選地,如圖3所示,確定模塊20可以包括:第二查找單元200,用于根據(jù)第二健康度從防火墻策略表中查找與數(shù)據(jù)流對(duì)應(yīng)的一條或多條防火墻策略記錄;匹配單元202,用于采用防火墻策略屬性集合中除第二健康度之外的其他屬性對(duì)一條或多條防火墻策略記錄逐條進(jìn)行匹配;處理單元204,用于在匹配單元匹配成功時(shí),按照與數(shù)據(jù)流匹配的防火墻策略記錄對(duì)數(shù)據(jù)流進(jìn)行轉(zhuǎn)發(fā);在匹配單元匹配失敗時(shí),則阻斷數(shù)據(jù)流。從以上的描述中,可以看出,上述實(shí)施例實(shí)現(xiàn)了如下技術(shù)效果(需要說明的是這些效果是某些優(yōu)選實(shí)施例可以達(dá)到的效果):本發(fā)明所提供的技術(shù)方案可以支持基于健康度的訪問控制,對(duì)不同風(fēng)險(xiǎn)的流量可以采取不同的控制方式。此外,安全控制方式還可以隨著風(fēng)險(xiǎn)的變化而進(jìn)行動(dòng)態(tài)調(diào)整。健康度作為風(fēng)險(xiǎn)的總體評(píng)估,可以有效地將風(fēng)險(xiǎn)評(píng)估過程與基于風(fēng)險(xiǎn)的控制相分離,可以動(dòng)態(tài)地增加或減少風(fēng)險(xiǎn)評(píng)估的項(xiàng)目而不影響防火墻策略的配置,從而提高了系統(tǒng)管理的易用性。新增健康度/安全狀態(tài)的控制的防火墻策略可以保持原有的防火墻策略的自然序列以及第一匹配原則,實(shí)現(xiàn)與現(xiàn)有防火墻策略相互兼容。顯然,本領(lǐng)域的技術(shù)人員應(yīng)該明白,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn),它們可以集中在單個(gè)的計(jì)算裝置上,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn),從而,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行,并且在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟,或者將它們分別制作成各個(gè)集成電路模塊,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)。這樣,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。以上所述僅為本發(fā)明的優(yōu)選實(shí)施例而已,并不用于限制本發(fā)明,對(duì)于本領(lǐng)域的技術(shù)人員來說,本發(fā)明可以有各種更改和變化。凡在本發(fā)明的精神和原則之內(nèi),所作的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。