1.一種安全域結構檢查方法,其特征在于,所述方法包括:
從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息;
根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑;
根據(jù)所述連接路徑完成對所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查。
2.如權利要求1所述的方法,其特征在于,從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息包括:
與所述目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備建立網(wǎng)絡連接;
根據(jù)所述網(wǎng)絡設備的設備類型,從所述網(wǎng)絡設備獲取與所述設備類型相對應的網(wǎng)絡結構信息。
3.如權利要求2所述的方法,其特征在于,從所述網(wǎng)絡設備獲取與所述設備類型相對應的網(wǎng)絡結構信息包括:
當所述網(wǎng)絡設備為路由交換設備時,獲取所述網(wǎng)絡設備的地址解析協(xié)議ARP信息及路由ROUTE信息;或者,
當所述網(wǎng)絡設備為防火墻設備時,獲取所述網(wǎng)絡設備的ARP信息及ROUTE信息;或者,
當所述網(wǎng)絡設備為主機時,獲取所述網(wǎng)絡設備的ARP信息。
4.如權利要求3所述的方法,其特征在于,根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑包括:
根據(jù)所述ARP信息,確定所述網(wǎng)絡設備之間的直連路徑;
根據(jù)所述ROUTE信息,確定所述網(wǎng)絡設備之間的路由路徑。
5.如權利要求1至4任一項所述的方法,其特征在于,根據(jù)所述連接路徑完成對所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查包括:
從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑;
根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡設備。
6.如權利要求5所述的方法,其特征在于,從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑包括:
獲取預設的安全域訪問規(guī)則;
篩選出違反所述安全域訪問規(guī)則的違規(guī)直連路徑及違規(guī)路由路徑。
7.如權利要求1至4任一項所述的方法,其特征在于,根據(jù)所述連接路徑完成對所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查包括:
根據(jù)符合安全域訪問規(guī)則所述連接路徑中的直連路徑及路由路徑確定所述目標網(wǎng)絡系統(tǒng)中各個安全域的實際出口設備;
從所述實際出口設備中篩選出不符合預設安全域訪問規(guī)則的網(wǎng)絡設備。
8.一種安全域結構檢查裝置,其特征在于,所述裝置包括:
采集單元,用于從目標網(wǎng)絡系統(tǒng)中采集用于反映目標網(wǎng)絡系統(tǒng)中網(wǎng)絡設備之間連通狀況的網(wǎng)絡結構信息;
確定單元,用于根據(jù)所述網(wǎng)絡結構信息確定所述目標網(wǎng)絡系統(tǒng)各個網(wǎng)絡設備之間的連接路徑;
檢查單元,用于根據(jù)所述連接路徑完成所述目標網(wǎng)絡系統(tǒng)的安全域結構檢查。
9.如權利要求8所述的裝置,其特征在于,所述檢查單元包括:
違規(guī)路徑篩選子單元,用于從所述連接路徑中篩選出不符合安全域訪問規(guī)則的違規(guī)連接路徑;
違規(guī)設備定位子單元,用于根據(jù)所述違規(guī)連接路徑定位不符合安全域訪問規(guī)則的網(wǎng)絡設備。
10.如權利要求8所述的裝置,其特征在于,所述檢查單元包括:
出口設備定位子單元,用于根據(jù)所述連接路徑中的直連路徑及路由路徑確定所述目標網(wǎng)絡系統(tǒng)各個安全域的實際出口設備;
違規(guī)設備篩選子單元,從所述實際出口設備中篩選出不符合預設安全域訪問規(guī)則的網(wǎng)絡設備。