一种网络拓扑的构建方法、装置、设备、存储介质
技术领域
本申请涉及计算机技术,涉及但不限于一种网络拓扑的构建方法、装置、设备、存储介质。
背景技术
相关技术方案中,主要通过发送网络包探测网络中存在的物理主机和虚拟主机,并自动构建出可视化的网络拓扑。
然而由于上述技术方案中,无法区分物理主机和虚拟主机,也无法区分物理网络和虚拟网络,导致生成的网络拓扑不准确,从而无法反映真实的全局网络拓扑。
发明内容
有鉴于此,本申请实施例提供一种网络拓扑的构建方法、装置、设备、存储介质。
第一方面,本申请实施例提供一种网络拓扑的构建方法,所述方法包括:获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图。
第二方面,本申请实施例提供一种网络拓扑的构建装置,包括:第一获取模块,用于获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;第二获取模块,用于获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;生成模块,用于根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图。
第三方面,本申请实施例提供一种计算机设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请实施例任一所述网络拓扑的构建方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本申请实施例任一所述网络拓扑的构建方法中的步骤。
本申请实施例中,通过获取根据录入的物理资产的属性信息生成的物理网络拓扑图,以及部署的虚拟网络拓扑图,并根据物理网络拓扑图和虚拟网络拓扑图生成全局网络拓扑图,从而能够使得构建的全局网络拓扑图更加真实可靠,提高了全局网络拓扑构建的准确性。
附图说明
图1为本申请实施例一种网络拓扑构建的方法的流程示意图;
图2为本申请实施例一种集成安全平台的资产录入界面的示意图;
图3为本申请实施例一种集成安全平台的安全架构界面的示意图;
图4为本申请实施例一种物理网络拓扑图的示意图;
图5为本申请实施例一种全局网络拓扑图的示意图;
图6为本申请实施例一种探测物理资产的网络连通性的方法示意图;
图7为本申请实施例一种物理资产的状态信息的显示方法的示意图;
图8为本申请实施例一种物理资产的上行流量信息和下行流量信息的显示方法示意图;
图9为本申请实施例一种网络拓扑的构建装置的组成结构示意图;
图10为本申请实施例计算机设备的一种硬件实体示意图。
具体实施方式
下面结合附图和实施例对本申请的技术方案进一步详细阐述。
图1为本申请实施例提供的网络拓扑的构建方法的实现流程示意图,如图1所示,该方法包括:
步骤102:获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;
其中,所述物理资产可以是网络设备,网络设备是连接到网络中的物理实体,所述物理资产按类型可以包括服务器、集线器、交换机、路由器、防火墙、工作站和网关等;物理网络拓扑图可以是由物理资产和通信介质构成的网络结构图。
本申请实施例提供的方法可以以程序代码的形式在计算机设备上执行,在实现的时候,该程序代码可以呈现出一些显示界面,例如,参见图2,显示界面可以包括资产录入界面200。所述物理资产的属性信息是在计算机设备的资产录入界面200中录入的信息;所述计算机设备用于负责安全、网络运维管理、日志管理等至少之一,所述计算机设备在实现时可以是集成安全平台或其他的的服务器或服务器集群等,所述集成安全平台可以是XSec(X-security,集成-安全)集成安全平台,该平台提供易于集成的入口,便于安全产品以软、硬件的方式整合,为用户的业务系统以达成安全效果为目的,提供易于获取的安全能力,不局限于单纯的整合,以平台视角提供统一的运维管理、日志管理等平台级工具。
所述属性信息可以是物理资产的名称、接口IP(Internet Protocol Address,网际协议地址)、类型、描述、重要等级、图标和SNMP(Simple Network Management Protocol,简单网络管理协议)信息等,所述SNMP信息可以包括SNMP的版本、端口和团体名等。
在一个示例中,集成安全平台的操作人员(即用户)可在名称输入框201中输入所要添加的物理资产的名称,在接口IP输入框202中输入所要添加的物理资产的接口的IP地址,在类型选择框2031至2034中选择所要添加的物理资产的类型是“交换机”、“路由器”、“服务器”和“集线器hub”中的哪一种,在重要等级选择框2051和2052中选择所要添加的物理资产的重要等级是“普通”还是“核心”。
可选地,集成安全平台的操作人员还可以在描述框204中输入对所述添加的物理资产的相关描述,在SNMP信息输入框2071至2073中分别选择SNMP的版本信息(例如V2、V3等),端口号(例如161等),以及输入SNMP的团体名;需要说明的是,如果所要添加的物理资产的类型为交换机,则图标框2061中可对应显示交换机的图标,集成安全平台的操作人员可以通过点击图标绘制/选择标识2062,对交换机的图标进行重新绘制,或者从多种交换机的图标中选择出一种图标,作为所要添加的交换机的图标。
另外,集成安全平台的操作人员可以通过点击“测试连通性”控件208,触发集成安全平台对操作人员输入的接口IP、SNMP信息等的正确性和完整性等进行验证,并显示验证结果。
在验证结果为验证未通过的情况下,操作人员可以根据集成安全平台显示的提示信息(如接口IP输入框202右侧的叹号),对对应输入框或选择框中的内容进行修改,或者直接点击“取消”控件210,取消已填写的所述物理资产的属性信息。
在验证结果为验证通过的情况下,操作人员可以点击“确定”控件209,按照相同的方法进行其他物理资产的属性信息的录入,并在所有物理资产录入完毕后,点击“资产录入已完成”控件(图2中未显示),触发集成安全平台由当前的资产录入界面200跳转至如图3所示的安全架构界面300,所述安全架构界面300中显示操作人员添加的所有物理资产;一方面,操作人员可以根据所述物理资产之间的实际网络连接情况,手动在物理资产之间添加连线;另一方面,集成安全平台可以根据获取到的物理资产之间的实际网络连接情况,自动在物理资产之间添加连线,所述连线用于表示所述物理资产之间的网线。
另外,在所述连线由操作人员手动添加完毕后,操作人员可点击“连线添加已完成”控件(图3中未显示),触发集成安全平台生成如图4所示的物理资产402至物理资产415的物理网络拓扑图,或者,在所述连线由集成安全平台自动添加完毕后,自动触发集成安全平台生成如图4所示的物理资产402至物理资产415的物理网络拓扑图,其中,物理资产402、404、407、408、411和412可以为交换机,物理资产403、409和410可以为防火墙,物理资产405、406、413至415可以为服务器。
步骤104:获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;
其中,所述虚拟网络拓扑图可以是在集成安全平台上部署的,所述网络服务安全组件用于对物理资产的业务威胁进行防范和响应,可以包括下一代防火墙、交换机、数据库安全审计、SSL VPN(Secure Sockets Layer Virtual Private Network,采用安全套接字协议实现远程接入的新型虚拟专用网络技术)、EDR(Endpoint Detection&Response,端点检测与响应)、运维安全管理、上网行为管理、应用负载和日志审计等。
所述网络安全服务组件可以是集成安全平台自身生成的组件,也可以是第三方平台生成后上传至集成安全平台的组件,还可以是用户自行上传至集成安全平台的组件;所述虚拟网络拓扑图上的虚拟网络节点上设置的网络安全服务组件不同,对于所述物理资产的业务威胁进行防范和响应的等级不同。
所述集成安全平台可以提供多个不同等级的网络安全服务组件套餐供用户选择,例如,所述网络安全服务组件套餐可以包括二级等级保护套餐和三级等级保护套餐,所述二级等级保护套餐中包括的网络安全服务组件可以有下一代防火墙、上网行为管理、主机安全、运维安全管理、日志审核和数据库审核,所述三级等级保护套餐中包括的网络安全服务组件可以有下一代防火墙、上网行为管理、SSL VPN、运维安全管理、日志审核、数据库审计、应用负载、基线核查和主机安全。
所述集成安全平台还可以供用户自定义等级保护套餐,用户可从集成安全平台提供的多种网络安全服务组件中选择一部分网络安全服务组件,生成自定义等级保护套餐。
通过提供多个不同等级的网络安全服务组件套餐或让用户自定义等级保护套餐,不仅能够使用户根据需要更便捷地选择合适的网络安全服务组件套餐,还可以供用户自定义等级保护套餐,从而更灵活地向用户提供针对性的等级保护套餐。
步骤106:根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图。
其中,参见图5,所述集成安全平台可以用于创建网络安全服务组件之间的虚拟网络拓扑图,并将物理资产之间的物理网络拓扑图通过图5所示的引流口501结合到虚拟网络拓扑图中,生成全局网络拓扑图;引流口501以上的服务器区域的下一代防火墙519、对外发布区域的SSL VPN518和交换机517,以及运维管理区域的下一代防火墙520、交换机521、EDR522和数据库安全审计523以及路由器516为所述虚拟网络拓扑图上的每一虚拟网络节点上设置的网络安全组件,引流口501以下的物理资产502至515组成的部分为物理网络拓扑图,根据物理网络拓扑图和网络安全组件,生成如图5所示的全局网络拓扑图。
在本申请实施例中,通过获取根据录入的物理资产的属性信息生成的物理网络拓扑图,以及部署的虚拟网络拓扑图,并根据物理网络拓扑图和虚拟网络拓扑图生成全局网络拓扑图,从而能够使得构建的全局网络拓扑图更加真实可靠,提高了全局网络拓扑构建的准确性。
本申请实施例再提供一种网络拓扑的构建方法,所述方法可以包括步骤202至步骤212:
步骤202:获取资产录入界面录入的至少一个物理资产的属性信息;
其中,所述资产录入界面可以是集成安全平台上的界面。
步骤204:获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;
步骤206:获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;
步骤208:根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图;
步骤210:根据每一所述物理资产的属性信息,探测每一所述物理资产的网络连通性,得到对应物理资产的状态信息;
其中,所述网络连通性用于表征所述物理资产的网络连接是否正常,即所述物理资产在所述网络中是否可达;所述状态信息可以包括所述物理资产的上线离线信息、资源利用率信息、异常信息、网络接口的状态信息和网络接口的流量信息等,所述网络接口的状态信息可以是所述网络接口是否连接到其他物理资产对应的网络接口,所述网络接口的流量信息可以包括所述网络接口的上行流量信息和下行流量信息等。
步骤212:在所述全局网络拓扑图上显示每一所述物理资产的状态信息。
在一个示例中,集成安全平台获取到资产录入界面录入的实际的物理资产的属性信息后,自动将集成安全平台上生成的物理网络拓扑图与实际的物理资产相关联,通过探测实际的物理资产的连通性,得到实际的物理资产的状态信息,并可以将所述状态信息显示在全局网络拓扑图中对应的物理资产上。
在本申请实施例中,通过在全局网络拓扑图中显示物理资产的状态信息,从而能够在物理资产存在异常时,更直观高效地对物理资产的故障进行解决,也能够更及时地掌握物理资产的相关状态。
本申请实施例再提供一种网络拓扑的构建方法,所述方法可以包括步骤302至步骤314:
步骤302:获取资产录入界面录入的至少一个物理资产的属性信息;
步骤304:获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;
步骤306:获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;
步骤308:根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图;
步骤310:根据每一所述物理资产的属性信息,采用ping工具探测每一所述物理资产的网络连通性,得到对应物理资产的第一状态信息;
其中,ping工具是一种网络诊断工具,ping工具可以包括ping和fping,fping是一个类似ping的程序,与ping不同的是可以同时指定多个要ping的目标,主要是向特定的目的主机发送ICMP(Internet Control Message Protocol,因特网报文控制协议)Echo(回声)请求报文,测试目的站是否可达及了解其有关状态,所述第一状态信息至少包括上线离线信息,可通过ICMP Echo请求报文的时延判断目的站是否可达及其上线离线信息,在ICMPEcho请求报文的时延小于特定的时延阈值的情况下,可确定目的站可达,并且目的站处于上线状态,在ICMP Echo请求报文的时延不小于特定的时延阈值的情况下,可确定目的站不可达,并且目的站处于离线状态。
步骤312:根据每一所述物理资产的属性信息,采用SNMP工具探测每一所述物理资产的网络连通性,得到对应物理资产的第二状态信息。
其中,SNMP工具是专门设计用于在IP管理网络节点(如服务器、工作站、路由器、交换机及集线器等)的一种标准协议,它是一种应用层协议,SNMP使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长,通过SNMP接收随机消息(及事件报告)网络管理系统获知网络出现问题,所述第二状态信息至少包括资源利用率信息、异常信息和网络接口的流量信息。
在本申请实施例的步骤310和步骤312中,通过ping工具和SNMP工具,不仅可以得到物理资产的上线离线信息,还可以得到物理资产的资源利用率信息、异常信息和网络接口的流量信息,从而提高了得到的状态信息的丰富性。
步骤314:在所述全局网络拓扑图上显示每一所述物理资产的第一状态信息和第二状态信息。
在本申请实施例中,通过ping工具和SNMP工具探测物理资产的网络连通性,得到物理资产的状态信息,从而能够使得探测到的状态信息更准确。
本申请实施例再提供一种网络拓扑的构建方法,所述方法可以包括步骤402至步骤414:
步骤402:获取资产录入界面录入的至少一个物理资产的属性信息;
步骤404:获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;
步骤406:获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;
步骤408:根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图;
步骤410:根据每一所述物理资产的属性信息,探测每一所述物理资产的网络连通性,得到对应物理资产的状态信息,所述状态信息包括上线离线信息;
步骤412:在所述物理资产的上线离线信息表征所述物理资产处于上线状态的情况下,将所述物理资产显示为第一颜色;
步骤414:在所述物理资产的上线离线信息表征所述物理资产处于离线状态的情况下,将所述物理资产显示为第二颜色;其中,所述第一颜色和所述第二颜色为不同的颜色。
在一个示例中,第一颜色可以是蓝色,第二颜色可以是灰色,可以在物理资产处于上线状态的情况下,将全局网络拓扑图中所述物理资产的图标显示为蓝色,在物理资产处理离线状态的情况下,将全局网络拓扑图中所述物理资产的图标显示为灰色。
在本申请实施例中,通过根据物理资产的上线离线信息,确定物理资产显示的颜色,从而能够更直观地根据物理资产的颜色,判断物理资产的上线离线信息。
本申请实施例再提供一种网络拓扑的构建方法,所述方法可以包括步骤502至步骤512:
步骤502:获取资产录入界面录入的至少一个物理资产的属性信息;
步骤504:获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;
步骤506:获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;
步骤508:根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图;
步骤510:根据每一所述物理资产的属性信息,探测每一所述物理资产的网络连通性,得到对应物理资产的状态信息;
步骤512:在所述物理资产的状态信息包括物理资产的资源利用率信息的情况下,在所述物理资产的资源利用率显示区域内显示所述物理资产的资源利用率信息。
其中,参见图3,所述资源利用率信息包括CPU(central processing unit,中央处理器)利用率、内存利用率和磁盘利用率等,可以在所述物理资产的资源利用率显示区域301内实时更新物理资产的资源利用率。
在本申请实施例中,通过将物理资产的资源利用率信息显示在物理资产的资源利用率显示区域,从而能够供用户更便捷地查看资源利用率信息,并在资源利用率信息异常时,及时对物理资产进行排障。
本申请实施例再提供一种网络拓扑的构建方法,所述方法可以包括步骤602至步骤612:
步骤602:获取资产录入界面录入的至少一个物理资产的属性信息;
步骤604:获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;
步骤606:获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;
步骤608:根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图;
步骤610:根据每一所述物理资产的属性信息,探测每一所述物理资产的网络连通性,得到对应物理资产的状态信息;
步骤612:在所述物理资产的状态信息包括物理资产的网络接口的流量信息,且所述流量信息包括上行流量信息和下行流量信息的情况下,在所述物理资产的流量显示区域内显示所述物理资产的上行流量信息和下行流量信息。
其中,所述流量信息可以是单位时间内从一个物理资产的网络接口到达另一个物理资产的网络接口的数据量,某一物理资产的上行流量信息可以是单位时间内从该物理资产的网络接口发送至另一物理资产的网络接口的数据量,对应地,该物理资产的下行流量信息可以是单位时间内该物理资产的网络接口接收的来自另一物理资产的网络接口的数据量。流量显示区域可以包括如图7所示的流量总览区域和如图8所示的流量线详情区域,在流量总览区域可以显示多个物理资产之间的数据流量交互情况,在流量线详情区域,不难看出,物理资产之间的数据交互实际上是物理资产对应的网络接口之间的数据交互,用户可了解到物理资产具体使用自身的哪一网络接口与其他物理资产进行交互;另外,用户可通过点击如图8所示的“总览”控件801和“流量线详情”控件802,实现流量显示方式的切换。
参见图7,可以在多个物理资产之间的连线上显示对应物理资产之间交互的数据量,例如,物理资产711的流量显示区域可以是物理资产711和物理资产709之间的连线区域,也可以是物理资产711和物理资产715之间的连线区域。
参见图8,流量信息可以是一秒内从物理资产AD_01的网络接口ethernet_5到达物理资产Switch_5的网络接口veth69b0319的数据量895比特,还可以是一秒内从物理资产SSwitch_5的网络接口veth69b0319到达物理资产AD_01的网络接口ethernet_5的数据量157比特,流量的单位为bps(比特/秒)或者kbps(千比特/秒),一个物理资产的上行流量数据可以是该物理资产的网络接口每秒向其他物理资产的网络接口发送的数据量,例如ethernet_5网络接口的上行流量数据是895比特/秒,veth69b0319网络接口的上行流量数据是157比特/秒;一个物理资产的下行流量数据可以是该物理资产的网络接口每秒接收其他物理资产的网络接口发送的数据;例如ethernet_5网络接口的下行流量数据是157比特/秒,veth69b0319网络接口的上行流量数据是895比特/秒。
另外,参见图3,在所述物理资产的状态信息包括物理资产的网络接口的状态信息的情况下,在所述物理资产的网络接口状态(网口状态)显示区域302内显示所述网络接口的状态信息。
在一个示例中,参见图8,假设某个物理资产对应的网络接口为ethernet_5,在该网络接口没有与其他物理资产的网络接口连接的情况下,网口状态显示区域302中的ethernet_5的状态显示为“ethernet_5连接到:无”;在该网络接口与名称为Switch_5的物理资产的网络接口veth69b0319连接的情况下,网口状态显示区域302中的ethernet_5的状态显示为“ethernet_5连接到:veth69b0319”。
在本申请实施例中,通过在物理资产的流量显示区域显示物理资产的流量信息,从而能够更直观地反映物理资产所处网络的网络性能情况,以及物理资产与其他物理资产之间的数据交互情况。
本申请实施例再提供一种网络拓扑的构建方法,所述方法可以包括步骤702至步骤716:
步骤702:获取资产录入界面录入的至少一个物理资产的属性信息;
步骤704:获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;
步骤706:获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;
步骤708:根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图;
步骤710:根据每一所述物理资产的属性信息,探测每一所述物理资产的网络连通性,得到对应物理资产的状态信息;
步骤712:在所述物理资产的状态信息包括物理资产的异常信息的情况下,在所述物理资产的特定位置显示告警标识信息;
其中,所述异常信息包括硬件异常信息、行为异常信息,所述硬件异常信息包括CPU温度过高、电源告警等,所述行为异常信息包括用户异常操作行为,未授权的外设接入以及病毒入侵日志等;所述特定位置可以是物理资产的左上角、右上角、左下角等位置;所述告警标识信息可以是物理资产右上角的叹号,还可以是物理资产左上角的告警弹窗等。
步骤714:将所述告警标识信息链接至所述异常信息;
步骤716:在所述告警标识信息被触发的情况下,展示所述异常信息。
在一个示例中,参见图7,物理资产704的图标的右上方显示圆圈加叹号,用户点击该圆圈加叹号,在物理资产704的右上方展示物理资产704对应的异常信息“CPU温度过高”。
在本申请实施例中,通过在物理资产的特定位置显示物理资产的告警标识信息,并通过将告警标识信息链接至物理资产的异常信息,从而既能够保证状态信息的显示界面的清爽性,又能够保证异常信息查看的便捷性。
本申请实施例再提供一种网络拓扑的构建方法,所述方法可以包括步骤802至步骤814:
步骤802:获取资产录入界面录入的至少一个物理资产的属性信息;
步骤804:响应于在安全架构界面对至少一个物理资产中的多个物理资产进行的触发操作,将所述多个物理资产确定为目标物理资产;
其中,参见图3,所述安全架构界面300为集成安全平台上的界面,所述触发操作可以是拖拽操作,还可以是点击操作等;在一个示例中,用户可点击安全架构界面300的用户资源中的服务器,触发集成安全平台显示服务器列表303,所述服务器列表303中包含用户提前录入的类型为服务器的多个物理资产,用户可以在服务器列表303的接口IP或名称输入栏通过输入服务器的接口IP或名称来查找目标服务器DELL_Server_04,也可以通过服务器列表303展示的多个服务器图标下方的服务器名称确定要查找的目标服务器,用户可以将选择的目标服务器拖拽至安全架构界面的编辑区域304,触发集成安全平台将用户选择的目标服务器确定为目标物理资产,同理,集成安全平台可将用户分别从路由器列表、交换机列表、hub列表中选择的目标路由器、目标交换机和目标hub确定为目标物理资产。
步骤806:获取所述目标物理资产中至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;
步骤808:获取集成安全平台上部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;
步骤810:根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图;
步骤812:根据目标物理资产中每一所述物理资产的属性信息,探测所述物理资产的网络连通性,得到对应物理资产的状态信息。
步骤814:在所述全局网络拓扑图上显示每一所述物理资产的状态信息。
在本申请实施例中,通过将物理资产列表中的部分物理资产拖入安全架构界面的编辑区域,仅生成部分物理资产的物理网络拓扑图,探测部分物理资产的网络连通性,而不根据所有录入的物理资产生成物理网络拓扑图,从而能够根据用户自身需要,更加灵活地调整构成物理网络拓扑图的物理资产。
当前网络拓扑可视化构建的方案,主要是通过发送网络包探测网络中存在的物理和虚拟主机,并自动构建出可视化的网络拓扑;然而上述技术方案,无法区分物理主机和虚拟主机,也无法区分物理网络和虚拟网络,生成的网络拓扑不准确,也无法反应出真实的全局网络拓扑。
集成安全平台的安全架构,原本只是平台创建的虚拟组件(网络安全服务组件)之间的虚拟网络拓扑,本申请实施例提出一种自动探测结合手动调整的方法,将物理主机结合到安全架构中,成为全局安全架构,即将物理网络拓扑图结合到虚拟网络拓扑图中,生成真实可靠的全局网络拓扑图,所述方法可以包括步骤901至步骤904:
步骤901:录入物理资产snmp信息;
参见图2,客户在集成安全平台的资产录入界面200录入其希望接入全局网络拓扑的主机(物理资产)snmp信息,其中,所述snmp信息包括snmp的版本、端口和团体名等;除此之外,客户还录入物理资产的名称、接口IP和类型等信息。
集成安全平台可以是XSec集成安全平台,以集成化的能力交付平台级的安全能力,通过XSec集成平台提供的承载环境将安全能力应用化并实现安全能力的管理、日志的接口化。通过应用集成模块、安全编排模块将安全能力以服务化的方式部署于XSec集成平台之上,同时提供了面向安全事件管理与安全运维的安全管理统一入口以及全量的安全日志汇集、分析功能,进而满足安全资源整合、服务化后对减少安全运维工作量、提升安全防护效果的需求。
步骤902:在集成安全平台的安全架构界面生效物理资产,持续探测已生效的物理资产的网络连通性;
参见图3,将物理资产拖入安全架构界面300的编辑区域304以使物理资产生效,持续探测已生效的物理资产网络连通性,对于在资产录入界面录入、而没有拖入安全结构界面的物理资产,可以不用探测其物理资产的网络连通性。可通过ping工具和SNMP工具探测物理主机(物理资产)的网络连通性。
ping工具是基于ICMP协议的网络应用程序,主要用于探测目的网络地址是否可达及了解其有关状态,ping工具可以包括ping和fping;SNMP工具是专门设计用于在IP网络管理网络节点(服务器、工作站、路由器、交换机及HUBS(多端口转发器)等)的一种标准协议,它是一种应用层协议。SNMP使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过SNMP接收随机消息(及事件报告)网络管理系统获知网络出现问题。
在一个实施例中,参见图6,步骤902中“通过ping工具和SNMP工具探测物理主机(物理资产)的网络连通性”可以包括步骤9021至步骤9023:
步骤9021:fping探测物理主机ip,记录icmp时延;
步骤9022:在fping探测失败的情况下,继续进行snmp探测;
物理主机在禁用ping工具的情况下,会导致fping探测失败,需要继续使用snmp进行探测。
步骤9023:snmp探测成功,提取网口状态(网络接口的状态)和流量以及物理资产的标识sysObjectID,记录到数据库;
步骤903:在安全架构界面,根据用户实际网络情况,手动连接主机与主机之间的网线,生成如图4所示的物理网络拓扑图;
步骤904:将物理网络拓扑图与集成安全平台生成的虚拟网络拓扑图整合,生成全局网络拓扑图;
参见图5,引流口501以上为平台自动生成的虚拟网络拓扑图,引流口501以下为手动调整的物理网络拓扑图,至此,客户全局网络拓扑可视化构建完成。需要说明的是,可在集成安全平台的前端展示后台采集到的物理资产的流量信息,参见图7,可以在全局网络拓扑图中进行流量总览,以查看全局网络拓扑图中物理资产的流量信息,参见图8,可以进行流量详情的查看,以确定进行物理资产之间进行交互的具体网络接口等。
本申请实施例中,利用ping和snmp协议探测并收集物理主机网络信息,在平台自身的虚拟组件安全架构,添加物理主机,通过自动探测结合手动调整的半自动化方式,以打通虚拟安全架构和物理网络拓扑,构建出真实可靠的可视化的全局网络拓扑。
基于前述的实施例,本申请实施例提供一种网络拓扑的构建装置,该装置包括所包括的各单元、以及各单元所包括的各模块,可以通过计算机设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)或现场可编程门阵列(FPGA)等。
图9为本申请实施例网络拓扑的构建装置的组成结构示意图,如图9所示,所述装置900包括第一获取模块901、第二获取模块902、生成模块903,其中:
第一获取模块901,用于获取至少一个物理资产之间的物理网络拓扑图;所述物理网络拓扑图是根据录入的至少一个物理资产的属性信息而生成的;第二获取模块902,用于获取部署的虚拟网络拓扑图,所述虚拟网络拓扑图上的每一虚拟网络节点上设置有网络安全服务组件;生成模块903,用于根据所述物理网络拓扑图和所述网络安全服务组件,生成全局网络拓扑图。
在一些实施例中,所述装置还包括:第三获取模块,用于获取资产录入界面录入的至少一个物理资产的属性信息;探测模块,用于根据每一所述物理资产的属性信息,探测每一所述物理资产的网络连通性,得到对应物理资产的状态信息;显示模块,用于在所述全局网络拓扑图上显示每一所述物理资产的状态信息。
在一些实施例中,所述物理资产的状态信息包括第一状态信息和第二状态信息;所述探测模块包括第一探测单元,用于根据每一所述物理资产的属性信息,采用ping工具探测每一所述物理资产的网络连通性,得到对应物理资产的第一状态信息;第二探测单元,用于根据每一所述物理资产的属性信息,采用SNMP工具探测每一所述物理资产的网络连通性,得到对应物理资产的第二状态信息。
在一些实施例中,所述第一状态信息至少包括上线离线信息;所述第二状态信息至少包括以下之一:资源利用率信息、异常信息和网络接口的流量信息。
在一些实施例中,所述显示模块包括第一显示单元,用于在所述物理资产的上线离线信息表征所述物理资产处于上线状态的情况下,将所述物理资产显示为第一颜色;在所述物理资产的上线离线信息表征所述物理资产处于离线状态的情况下,将所述物理资产显示为第二颜色;其中,所述第一颜色和所述第二颜色为不同的颜色;第二显示单元,用于在所述物理资产的状态信息包括物理资产的资源利用率信息的情况下,在所述物理资产的资源利用率显示区域内显示所述物理资产的资源利用率信息;第三显示单元,用于在所述物理资产的状态信息包括物理资产的网络接口的流量信息,且所述流量信息包括上行流量信息和下行流量信息的情况下,在所述物理资产的流量显示区域内显示所述物理资产的上行流量信息和下行流量信息。
在一些实施例中,所述显示模块,包括第四显示单元,用于在所述物理资产的状态信息包括物理资产的异常信息的情况下,在所述物理资产的特定位置显示告警标识信息;将所述告警标识信息链接至所述异常信息;在所述告警标识信息被触发的情况下,展示所述异常信息。
在一些实施例中,所述装置还包括:确定模块,用于响应于在安全架构界面对至少一个物理资产中的多个物理资产进行的触发操作,将所述多个物理资产确定为目标物理资产;
对应地,所述探测模块,包括第三探测单元,用于根据目标物理资产中每一所述物理资产的属性信息,探测所述物理资产的网络连通性,得到对应物理资产的状态信息。
以上装置实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的网络拓扑的构建方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得计算机设备(可以是手机、台式机、服务器、集成安全平台等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ReadOnly Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
对应地,本申请实施例提供一种计算机设备,图10为本申请实施例计算机设备的一种硬件实体示意图,如图10所示,该计算机设备1000的硬件实体包括:包括存储器1001和处理器1002,所述存储器1001存储有可在处理器1002上运行的计算机程序,所述处理器1002执行所述程序时实现上述实施例中提供的网络拓扑的构建方法中的步骤。
存储器1001配置为存储由处理器1002可执行的指令和应用,还可以缓存待处理器1002以及计算机设备1000中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random AccessMemory,RAM)实现。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的网络拓扑的构建方法中的步骤。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请存储介质和设备实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得计算机设备执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
