本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域，尤其涉及安全域結(jié)構(gòu)檢查方法及裝置。
背景技術(shù)：
：隨著網(wǎng)絡(luò)技術(shù)及信息技術(shù)的不斷發(fā)展，出現(xiàn)了越來越多的大型網(wǎng)絡(luò)系統(tǒng)。由于網(wǎng)絡(luò)系統(tǒng)通常包含數(shù)量繁多類型多樣的網(wǎng)絡(luò)設(shè)備，不同的網(wǎng)絡(luò)設(shè)備的安全防護需求也不相同，為簡化網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)安全防護的復(fù)雜度，技術(shù)人員通常會根據(jù)網(wǎng)絡(luò)設(shè)備的安全防護需求將網(wǎng)絡(luò)系統(tǒng)劃分為若干個安全域，并采用不同的訪問規(guī)則限制不同安全域中網(wǎng)絡(luò)設(shè)備的訪問權(quán)限。在實際使用中，技術(shù)人員常常需要對網(wǎng)絡(luò)系統(tǒng)進行結(jié)構(gòu)調(diào)整，例如，在網(wǎng)絡(luò)系統(tǒng)中添加新的網(wǎng)絡(luò)設(shè)備、將網(wǎng)絡(luò)系統(tǒng)中某個網(wǎng)絡(luò)設(shè)備下線或者調(diào)整網(wǎng)絡(luò)系統(tǒng)中某個網(wǎng)絡(luò)設(shè)備的功能等。由于在網(wǎng)絡(luò)系統(tǒng)進行結(jié)構(gòu)調(diào)整后，網(wǎng)絡(luò)設(shè)備應(yīng)當(dāng)所屬的安全域也可能會隨之發(fā)生變化，因此還需要技術(shù)人員根據(jù)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)調(diào)整，重新確定各個安全域所包含的設(shè)備，并對所含網(wǎng)絡(luò)設(shè)備發(fā)生變化對安全域進行訪問規(guī)則調(diào)整。當(dāng)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)調(diào)整規(guī)模較大，涉及網(wǎng)絡(luò)設(shè)備數(shù)量較多時，技術(shù)人員很容易將網(wǎng)絡(luò)設(shè)備劃入錯誤安全域。將網(wǎng)絡(luò)設(shè)備劃入錯誤安全域，會導(dǎo)致網(wǎng)絡(luò)設(shè)備適用錯誤的訪問規(guī)則，降低網(wǎng)絡(luò)系統(tǒng)的安全性。因此在對網(wǎng)絡(luò)系統(tǒng)進行結(jié)構(gòu)調(diào)整后，需要對網(wǎng)絡(luò)系統(tǒng)進行安全域結(jié)構(gòu)檢查，得到描繪安全域結(jié)構(gòu)的相關(guān)信息，其中，描繪安全域結(jié)構(gòu)的相關(guān)信息包括不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備信息、各個安全域的出口設(shè)備信息等。但是現(xiàn)有技術(shù)中，對網(wǎng)絡(luò)系統(tǒng)進行安全域結(jié)構(gòu)檢查需要技術(shù)人員人工完成，依靠人工難以保證描繪安全域結(jié)構(gòu)的相關(guān)信息及時更新、內(nèi)容準(zhǔn)確。因此，亟需一種安全域結(jié)構(gòu)檢查方法，準(zhǔn)確高效的完成網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。技術(shù)實現(xiàn)要素：本發(fā)明實施例提供了安全域結(jié)構(gòu)檢查方法及裝置，可以準(zhǔn)確高效的完成網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。第一方面，本發(fā)明實施例提供了一種安全域結(jié)構(gòu)檢查方法，該方法包括：從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息；根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑；根據(jù)所述連接路 徑完成對所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。結(jié)合第一方面在第一方面第一種可能的實現(xiàn)方式中，所述從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息包括：與所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備建立網(wǎng)絡(luò)連接；根據(jù)所述網(wǎng)絡(luò)設(shè)備的設(shè)備類型，從所述網(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息。結(jié)合第一方面第一種可能的實現(xiàn)方式，在第一方面第二種可能的實現(xiàn)方式中，所述從所述網(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息包括：當(dāng)所述網(wǎng)絡(luò)設(shè)備為路由交換設(shè)備時，獲取所述網(wǎng)絡(luò)設(shè)備的地址解析協(xié)議ARP信息及路由ROUTE信息；或者，當(dāng)所述網(wǎng)絡(luò)設(shè)備為防火墻設(shè)備時，獲取所述網(wǎng)絡(luò)設(shè)備的ARP信息及ROUTE信息；或者，當(dāng)所述網(wǎng)絡(luò)設(shè)備為主機時，獲取所述網(wǎng)絡(luò)設(shè)備的ARP信息。結(jié)合第一方面第二種可能的實現(xiàn)方式，在第一方面第三種可能的實現(xiàn)方式中，所述根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑包括：根據(jù)所述ARP信息，確定所述網(wǎng)絡(luò)設(shè)備之間的直連路徑；根據(jù)所述ROUTE信息，確定所述網(wǎng)絡(luò)設(shè)備之間的路由路徑。結(jié)合第一方面或第一方面第一至三種可能的實現(xiàn)方式其中任意一種，在第一方面第四種可能的實現(xiàn)方式中，根據(jù)所述連接路徑完成對所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查包括：從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑；根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。結(jié)合第一方面第四種可能的實現(xiàn)方式，在第一方面第五種可能的實現(xiàn)方式中，所述從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑包括：獲取預(yù)設(shè)的安全域訪問規(guī)則；篩選出違反所述安全域訪問規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑。結(jié)合第一方面或第一方面第一至三種可能的實現(xiàn)方式其中任意一種，在第一方面第六種可能的實現(xiàn)方式中，根據(jù)所述連接路徑完成對所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查包括：根據(jù)符合安全域訪問規(guī)則所述連接路徑中的直連路徑及路由路徑確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)中各個安全域的實際出口設(shè)備；從所述實際出口設(shè)備中篩選出不符合預(yù)設(shè)安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。第二方面，本發(fā)明實施例還提供了一種安全域結(jié)構(gòu)檢查裝置，所述裝置包括：采集單元，用于從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息；確定單元，用于根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑；檢查單元，用于根據(jù)所述連接路徑完成所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域 結(jié)構(gòu)檢查。結(jié)合第二方面，在第二方面第一種可能的實現(xiàn)方式中，所述檢查單元包括：違規(guī)路徑篩選子單元，用于從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑；違規(guī)設(shè)備定位子單元，用于根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。結(jié)合第二方面，在第二方面第二種可能的實現(xiàn)方式中，所述檢查單元包括：出口設(shè)備定位子單元，用于根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個安全域的實際出口設(shè)備；違規(guī)設(shè)備篩選子單元，從所述實際出口設(shè)備中篩選出不符合預(yù)設(shè)安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。本發(fā)明實施例中，從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息；根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑；根據(jù)所述連接路徑完成對所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。采用本發(fā)明實施例所提供的安全域結(jié)構(gòu)檢查方法及裝置，可以自動確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑，進而根據(jù)所述連接路徑完成對所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查，從而可以準(zhǔn)確高效的自動完成網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查，得到描繪安全域結(jié)構(gòu)的相關(guān)信息。附圖說明為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對實施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡單地介紹，顯而易見地，對于本領(lǐng)域普通技術(shù)人員而言，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。圖1為本發(fā)明安全域結(jié)構(gòu)檢查方法一個實施例的流程圖；圖2為本發(fā)明安全域結(jié)構(gòu)檢查裝置一個實施例的結(jié)構(gòu)示意圖。具體實施方式下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術(shù)方案進行清楚、完整的描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。參見圖1，為本發(fā)明安全域結(jié)構(gòu)檢查方法一個實施例的流程圖，該方法包括如下步驟：步驟101，從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息。檢測裝置首先確定需要檢測的目標(biāo)網(wǎng)絡(luò)系統(tǒng)，在所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)確定之后，可以分別與所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)中每一個網(wǎng)絡(luò)設(shè)備建立網(wǎng)絡(luò)連接，并確定所述網(wǎng)絡(luò)設(shè)備的設(shè)備類型；再從所述網(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息。例如，在所述網(wǎng)絡(luò)設(shè)備為路由交換設(shè)備時，檢測裝置可以建立與該路由交換設(shè)備的網(wǎng)絡(luò)連接，然后從該路由設(shè)備獲取該路由設(shè)備的地址解析協(xié)議(AddressResolutionProtocol，簡稱ARP)、路由信息(ROUTE)、物理地址(MediumAccessControl，簡稱MAC)、接口(Interface)、心跳信息(Heartbeat，簡稱HA)等信息；在所述網(wǎng)絡(luò)設(shè)備為防火墻設(shè)備時，檢測裝置則可以建立與該防火墻設(shè)備的網(wǎng)絡(luò)連接，然后從該防火墻設(shè)備獲取該路由設(shè)備的ARP、MAC、ROUTE、Interface、HA等信息；在所述網(wǎng)絡(luò)為主機時，檢測裝置則可以建立與該主機的網(wǎng)絡(luò)連接，然后從獲取該主機的IP、MAC、ARP等信息。由于檢測裝置從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中各個網(wǎng)絡(luò)設(shè)備獲取到的網(wǎng)絡(luò)結(jié)構(gòu)信息通常為文本等非結(jié)構(gòu)化信息。為便于后續(xù)處理，還可以對所述網(wǎng)絡(luò)結(jié)構(gòu)信息進行處理得到結(jié)構(gòu)化的所述網(wǎng)絡(luò)結(jié)構(gòu)信息。例如，在檢測裝置從網(wǎng)絡(luò)設(shè)備獲取到的ARP信息通常為文本格式。為便于處理，可以對文本格式的ARP信息進行結(jié)構(gòu)化處理，得到對應(yīng)的ARP信息表。其中，ARP信息表的結(jié)構(gòu)及內(nèi)容可以如表1所示表1主機名稱IP地址MAC地址A192.168.38.1000-AA-00-62-D2-02B192.168.38.1100-BB-00-62-C2-02C192.168.38.1200-CC-00-62-C2-02D192.168.38.1300-DD-00-62-C2-02E192.168.38.1400-EE-00-62-C2-0同樣的，為便于處理，也可以對MAC信息進行結(jié)構(gòu)化處理，得到MAC信息表。MAC信息表的結(jié)構(gòu)及內(nèi)容如表2所示。表2由于目標(biāo)網(wǎng)絡(luò)系統(tǒng)中各個設(shè)備的網(wǎng)絡(luò)結(jié)構(gòu)信息可能都在不斷發(fā)生變化中，為避免網(wǎng)絡(luò)結(jié)構(gòu)信息采集不同步造成后續(xù)處理過程中出現(xiàn)問題，檢測裝置可以首先與目標(biāo)網(wǎng)絡(luò)系統(tǒng)中的每一個網(wǎng)絡(luò)設(shè)備建立網(wǎng)絡(luò)連接，然后采用并發(fā)模式同步從每一個所述網(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息。檢測裝置從各個網(wǎng)絡(luò)設(shè)備獲取網(wǎng)絡(luò)結(jié)構(gòu)信息的具體方式可以參見前述，在此就不再贅述。步驟102，根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑。在目標(biāo)網(wǎng)絡(luò)系統(tǒng)中，不同網(wǎng)絡(luò)設(shè)備之間的訪問方式可以有多種，但是不論網(wǎng)絡(luò)設(shè)備之間的訪問方式有多少種，都可以歸納為兩類，一類是設(shè)備之間直接訪問，另一類是設(shè)備之間通過路由進行訪問。因此不同網(wǎng)絡(luò)設(shè)備之間的連接路徑也可以歸納為兩種，一種是直連路徑，另一種是路由路徑。其中，直連路徑可以根據(jù)經(jīng)獲取到的ARP信息確定，路由路徑則可以根據(jù)路由信息來確定。具體來說，由于ARP信息可以反映該網(wǎng)絡(luò)設(shè)備與其他網(wǎng)絡(luò)設(shè)備之間直接通信的情況，因此根據(jù)ARP信息可以確定設(shè)備之間的直連路徑。例如，當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備的ARP信息中包含第二網(wǎng)絡(luò)設(shè)備的IP及MAC，并且第二網(wǎng)絡(luò)設(shè)備的ARP信息中包含第一網(wǎng)絡(luò)設(shè)備的IP及MAC時，說明第一網(wǎng)絡(luò)設(shè)備和第二網(wǎng)絡(luò)設(shè)備之間曾經(jīng)進行過直接數(shù)據(jù)傳輸，即第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間可以互相訪問，也即第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在直連路徑。根據(jù)所述MAC信息表還可以確定第一網(wǎng)絡(luò)設(shè)備通過哪一個端口與第二網(wǎng)絡(luò)設(shè)備的哪一個端口相連等。同樣的，由于ROUTE信息可以反映網(wǎng)絡(luò)設(shè)備之間通過路由進行通信的情況，因此可以根據(jù)ROUTE信息確定設(shè)備之間的路由路徑。例如，當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備的路由信息中包含將第二網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包轉(zhuǎn)發(fā)給第三網(wǎng)絡(luò)設(shè)備，并將第三網(wǎng)絡(luò)設(shè)備發(fā)送的數(shù)據(jù)包轉(zhuǎn)發(fā)給第二網(wǎng)絡(luò)設(shè)備時，說明第二網(wǎng)絡(luò)設(shè)備與第三網(wǎng)絡(luò)設(shè)備之間存在一個以第一網(wǎng)絡(luò)設(shè)備為路由的路由路徑。由于在目標(biāo)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)較為復(fù)雜時，兩個網(wǎng)絡(luò)設(shè)備之間可能會存在多條連接路徑。因此需要根據(jù)網(wǎng)絡(luò)設(shè)備所屬虛擬局域網(wǎng)(VirtualLocalAreaNetwork，簡稱VLAN)、Interface、HA信息等確定兩個網(wǎng)絡(luò)設(shè)備之間所有的網(wǎng)絡(luò)路徑。例如，當(dāng)存在HA信息時，說明兩個網(wǎng)絡(luò)設(shè)備之間至少存在兩條連接路徑，由于不同的路徑需要使用不同的Interface，因此可以根據(jù)Interface確定兩個網(wǎng)絡(luò)設(shè)備之間的所有連接路徑。步驟103，根據(jù)所述連接路徑完成對所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查。在目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑確定之后，檢測設(shè)備可以根據(jù)這些連接路徑完成網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查，得到描述安全域結(jié)構(gòu)的相關(guān)信息。根據(jù)所需相關(guān)信息的類型不同，檢測裝置可以采用不同的方式完成目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查?？蛇x的，檢測設(shè)備可以首先從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑，然后根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。其中，在篩選違規(guī)連接路徑時，檢測裝置可以首先獲取預(yù)先已經(jīng)設(shè)定的安全域訪問規(guī)則，然后篩選出違反所述安全域訪問規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑。根據(jù)實際需求不同，安全域訪問規(guī)則也可以各不相同。例如，當(dāng)目標(biāo)網(wǎng)絡(luò)系統(tǒng)被劃分為互聯(lián)網(wǎng)接口區(qū)、核心交換區(qū)及核心生產(chǎn)區(qū)三個安全域時，安全域訪問規(guī)則可以包括：同一安全域內(nèi)的網(wǎng)絡(luò)設(shè)備之間可以互相訪問；互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備不允許直接訪問核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備；核心交換區(qū)的網(wǎng)絡(luò)設(shè)備允許訪問核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備；互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備允許訪問核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備。當(dāng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑及安全域訪問規(guī)則都已經(jīng)確定之后，由于各個網(wǎng)絡(luò)設(shè)備應(yīng)屬的安全域已經(jīng)預(yù)先確定，因此檢測裝置可以逐一分析各個網(wǎng)絡(luò)設(shè)備之間的連接路徑是否符合安全域訪問規(guī)則。例如，當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在直連路徑時，如果第一網(wǎng)絡(luò)設(shè)備及第二網(wǎng)絡(luò)設(shè)備均為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備，則該直連路徑不為違規(guī)路徑；如果第一網(wǎng)絡(luò)設(shè)備為核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備，第二網(wǎng)絡(luò)設(shè)備為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備，則該直連路徑為違規(guī)路徑。同樣的，當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在路由連路徑時，如果第一網(wǎng)絡(luò)設(shè)備及第二網(wǎng)絡(luò)設(shè)備均為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備，則該直連路徑不為違規(guī)路徑；如果第一網(wǎng)絡(luò)設(shè)備為核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備，第二網(wǎng)絡(luò)設(shè)備為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備，則該直連路徑為違規(guī)路徑。其中第一網(wǎng)絡(luò)設(shè)備及第二網(wǎng)絡(luò)設(shè)備所屬的安全域是指根據(jù)預(yù)先劃分，第一網(wǎng)絡(luò)設(shè)備及第二網(wǎng)絡(luò)設(shè)備應(yīng)屬的安全域。在篩選出違規(guī)連接路徑后，可以認(rèn)定違規(guī)連接路徑所涉及到的網(wǎng)絡(luò)設(shè)備均為不符合 安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。例如，當(dāng)某直連路徑為違規(guī)連接路徑時，可以確定該直連路徑兩端的網(wǎng)絡(luò)設(shè)備即為不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。又如，當(dāng)某路由路徑為違規(guī)連接路徑時，可以確定該路由路徑所包含的所有網(wǎng)絡(luò)設(shè)備均為不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。為進一步定位不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備，檢測出劃入錯誤安全域的網(wǎng)絡(luò)設(shè)備。檢測裝置還可以對所有違規(guī)訪問路徑進行分析，當(dāng)多個違規(guī)訪問路徑均涉及某個網(wǎng)絡(luò)設(shè)備時，可以確定該網(wǎng)絡(luò)設(shè)備即為劃入錯誤安全域的網(wǎng)絡(luò)設(shè)備。檢測設(shè)備也可以首先確定網(wǎng)絡(luò)設(shè)備之間的直連路徑及路由路徑，然后根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個安全域的實際出口設(shè)備，再從所述實際出口設(shè)備中篩選出不符合預(yù)設(shè)安全域訪問規(guī)則的出口設(shè)備，不符合預(yù)設(shè)安全域訪問規(guī)則的出口設(shè)備即為不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備，而包含不符合預(yù)設(shè)安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備的連接路徑則為不符合安全域訪問規(guī)則的違規(guī)路徑。例如，在第一網(wǎng)絡(luò)設(shè)備為核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備，第二網(wǎng)絡(luò)設(shè)備為核心交換區(qū)的網(wǎng)絡(luò)設(shè)備時，如果第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在直連路徑，那么可以認(rèn)為第一網(wǎng)絡(luò)設(shè)備為核心生成區(qū)的實際出口設(shè)備，第二網(wǎng)絡(luò)設(shè)備為核心交換區(qū)的實際出口設(shè)備。如果第一網(wǎng)設(shè)備為預(yù)設(shè)的核心生產(chǎn)區(qū)出口設(shè)備，那么第一網(wǎng)絡(luò)設(shè)備為符合預(yù)設(shè)安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備；如果第一網(wǎng)絡(luò)設(shè)備不為核心生產(chǎn)區(qū)的出口設(shè)備，那么第一網(wǎng)絡(luò)設(shè)備即為不符合預(yù)設(shè)安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。同樣的，如果第二網(wǎng)設(shè)備為預(yù)設(shè)的核心交換區(qū)出口設(shè)備，那么第二網(wǎng)絡(luò)設(shè)備為符合預(yù)設(shè)安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備；如果第二網(wǎng)絡(luò)設(shè)備不為核心交換區(qū)的出口設(shè)備，那么第二網(wǎng)絡(luò)設(shè)備即為不符合預(yù)設(shè)安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。又如，當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備為核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備，第二網(wǎng)絡(luò)設(shè)備為互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備時，可以認(rèn)為第一網(wǎng)絡(luò)設(shè)備為核心生成區(qū)的實際出口設(shè)備，第二網(wǎng)絡(luò)設(shè)備為互聯(lián)網(wǎng)接口區(qū)的實際出口設(shè)備。由于根據(jù)預(yù)設(shè)訪問規(guī)則，互聯(lián)網(wǎng)接口區(qū)的網(wǎng)絡(luò)設(shè)備不允許直接訪問核心生產(chǎn)區(qū)的網(wǎng)絡(luò)設(shè)備，因此如果第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備之間存在直連路徑，那么可以認(rèn)為第一網(wǎng)絡(luò)設(shè)備與第二網(wǎng)絡(luò)設(shè)備均為不符合預(yù)設(shè)安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。在本實施例中，從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息；根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑；從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑；根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。采用本實施例，可以檢測出網(wǎng) 絡(luò)設(shè)備之間不符合安全域訪問規(guī)則的違規(guī)訪問路徑，進而根據(jù)違規(guī)連接路徑確定不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備，從而可以滿足檢測出不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備的技術(shù)需求。參見圖2，為本發(fā)明安全域結(jié)構(gòu)檢查裝置一個實施例的結(jié)構(gòu)示意圖。如圖2所示，該裝置可以包括：采集單元201，確定單元202及檢查單元203。其中，采集單元201，用于從目標(biāo)網(wǎng)絡(luò)系統(tǒng)中采集用于反映目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備之間連通狀況的網(wǎng)絡(luò)結(jié)構(gòu)信息；確定單元202，用于根據(jù)所述網(wǎng)絡(luò)結(jié)構(gòu)信息確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個網(wǎng)絡(luò)設(shè)備之間的連接路徑；檢查單元203，用于根據(jù)所述連接路徑完成所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全域結(jié)構(gòu)檢查?？蛇x的，所述采集單元201包括：連接建立子單元，用于與所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)中網(wǎng)絡(luò)設(shè)備建立網(wǎng)絡(luò)連接；類型確定子單元，用于確定所述網(wǎng)絡(luò)設(shè)備的設(shè)備類型；信息獲取子單元，用于從所述網(wǎng)絡(luò)設(shè)備獲取與所述設(shè)備類型相對應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)信息。其中，所述信息獲取子單元，用于在所述網(wǎng)絡(luò)設(shè)備為路由交換設(shè)備時，獲取所述網(wǎng)絡(luò)設(shè)備的地址解析協(xié)議ARP信息及路由ROUTE信息；或者，用于在所述網(wǎng)絡(luò)設(shè)備為防火墻設(shè)備時，獲取所述網(wǎng)絡(luò)設(shè)備的ARP信息及ROUTE信息；或者，用于當(dāng)所述網(wǎng)絡(luò)設(shè)備為主機時，獲取所述網(wǎng)絡(luò)設(shè)備的ARP信息。可選的，所述確定單元202包括：直連路徑確定子單元，用于根據(jù)所述ARP信息，確定所述網(wǎng)絡(luò)設(shè)備之間的直連路徑；路由路徑確定子單元，用于根據(jù)所述ROUTE信息，確定所述網(wǎng)絡(luò)設(shè)備之間的路由路徑。可選的，所述檢查單元203包括：違規(guī)路徑篩選子單元，用于從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑；違規(guī)設(shè)備定位子單元，用于根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。其中，所述違規(guī)路徑篩選子單元，可以用于獲取預(yù)設(shè)的安全域訪問規(guī)則；并篩選出違反所述安全域訪問規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑?？蛇x的，所述檢查單元203包括：出口設(shè)備定位子單元，用于根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標(biāo)網(wǎng)絡(luò)系統(tǒng)各個安全域的實際出口設(shè)備；違規(guī)設(shè)備篩選子單元，從所述實際出口設(shè)備中篩選出不符合預(yù)設(shè)安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備。從上述實施例可以看出，安全域結(jié)構(gòu)檢查裝置可以檢測出網(wǎng)絡(luò)設(shè)備之間不符合安全域訪問規(guī)則的違規(guī)訪問路徑，進而根據(jù)違規(guī)連接路徑確定不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備，從而可以滿足檢測出不符合安全域訪問規(guī)則的網(wǎng)絡(luò)設(shè)備的技術(shù)需求。本領(lǐng)域的技術(shù)人員可以清楚地了解到本發(fā)明實施例中的技術(shù)可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)?；谶@樣的理解，本發(fā)明實施例中的技術(shù)方案本質(zhì)上或者說對現(xiàn)有技術(shù)做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品可以存儲在存儲介質(zhì)中，如ROM/RAM、磁碟、光盤等，包括若干指令用以使得一臺計算機網(wǎng)絡(luò)設(shè)備(可以是個人計算機，服務(wù)器，或者網(wǎng)絡(luò)設(shè)備等)執(zhí)行本發(fā)明各個實施例或者實施例的某些部分所述的方法。本說明書中的各個實施例均采用遞進的方式描述，各個實施例之間相同相似的部分互相參見即可，每個實施例重點說明的都是與其他實施例的不同之處。尤其，對于裝置實施例而言，由于其基本相似于方法實施例，所以描述的比較簡單，相關(guān)之處參見方法實施例的部分說明即可。以上所述的本發(fā)明實施方式，并不構(gòu)成對本發(fā)明保護范圍的限定。任何在本發(fā)明的精神和原則之內(nèi)所作的修改、等同替換和改進等，均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。當(dāng)前第1頁1 2 3