本发明涉及网络安全,具体而言,涉及一种基于sdn的网络边界访问控制方法及装置。
背景技术:
1、网络边界访问控制是一种网络安全技术,用于控制和管理网络上设备的访问权限。其基本原则是对连接到网络的设备进行身份验证,并根据其符合预定安全策略的程度,决定是否允许该设备接入网络以及获取何种程度的访问权限。网络边界访问控制通常涉及以下几个方面:
2、身份验证:通过对设备进行身份验证,确保只有经过授权的用户或设备可以连接到网络。
3、设备合规性检查:检查设备是否符合安全策略要求,例如是否安装了最新的防病毒软件、是否进行了必要的操作系统更新等。
4、网络访问权限控制:根据设备的身份和合规性,决定其在网络中能够访问的资源和服务范围。
5、网络策略调整:根据网络环境和用户使用需求,对应调整设置合适的网络访问控制策略,提高网络安全性。
6、通过网络边界访问控制,组织可以更好地管理和保护其网络资源,防止未经授权的设备接入网络导致的安全威胁。这种技术可以帮助组织提高网络安全性,确保网络内部通信和数据传输的安全可靠。
7、然而随着互联网技术的不断发展,网络环境越来越复杂的同时,用户的安全访问需求也在不断地提高,同时不同的用户针对不同的业务场景,也提出了更多个性化的使用需求。在传统的网络边界访问控制方法中,受限于设备性能和配置复杂度,并不能很好的满足上述的使用需求,在进行网络策略调整时,通常需要在各个网络设备上进行配置修改,反应速度较慢,且操作不方便。
8、因此,如何提供一种能够更好地适应复杂的网络环境和需求变化的网络边界访问控制方法,以提高网络管理效率和安全性,是目前亟待解决的问题。
技术实现思路
1、为了改善上述问题,本发明提供了一种基于sdn的网络边界访问控制方法及装置。
2、本发明实施例的第一方面,提供了一种基于sdn的网络边界访问控制方法,所述方法包括:
3、通过sdn控制器获取目标网络的整体状态信息,所述整体状态信息包括网络整体流量、网络整体性能以及累计安全事件数量中的至少一个;
4、将整体状态信息与预设的动态策略调整条件进行对比;
5、如果满足条件,则通过sdn控制器分别获取所述目标网络中各个网络设备的设备状态信息和当前所使用的访问控制策略;所述设备状态信息包括设备流量、设备网络性能以及设备安全事件数量;
6、根据所述整体状态信息中具体满足所述动态策略调整条件的信息类型,确定使得该整体状态信息类型满足所述动态策略调整条件的一个或多个网络设备;
7、针对所确定的一个或多个网络设备,以使该整体状态信息类型不满足所述动态策略调整条件为目标,生成新的访问控制策略;
8、所述确定使得该信息类型满足所述动态策略调整条件的一个或多个网络设备的步骤,具体包括:
9、获取每个网络设备的设备状态信息中的该整体状态信息类型对应类型的状态数据;其中,设备流量对应网络整体流量,设备网络性能对应网络整体性能,设备安全事件数量对应累计安全事件数量;
10、按照状态数据的数值大小对网络设备进行排序;
11、分别将每个网络设备的状态数据与该网络设备预设的正常状态数据范围进行对比;
12、按顺序确定超出正常状态数据范围的网络设备,直到数量达到预设要求或者遍历所有网络设备。
13、可选地,所述生成新的访问控制策略的步骤,具体包括:
14、依次计算所确定的网络设备在当前所使用的访问控制策略的基础上,超出正常状态数据范围的状态数据的理论可变范围;
15、按照预设的使用优先度对所确定的网络设备按从低到高的顺序排序;
16、按照排序对理论可变范围的数值进行累加,直到该数值能够使得该整体状态信息类型不满足所述动态策略调整条件;
17、对参与累加的网络设备生成新的访问控制策略,所生成的新的访问控制策略理论效果为使得参与累加的网络设备的状态数据发生理论可变范围的数值变化。
18、可选地,所述对参与累加的网络设备生成新的访问控制策略步骤,具体包括:
19、确定导致每个参与累加的网络设备的状态数据超出正常状态数据范围的具体原因;所述具体原因包括网络设备运行状态参数、网络设备流量类型、流量来源目标中的一个或者多个;
20、基于具体原因以及理论可变范围的数值,确定新的访问控制策略的匹配条件和动作内容。
21、可选地,所述方法还包括:
22、将新的访问控制策略直接下发到对应的网络设备。
23、可选地,如果所述目标网络进行了网络切片,判断是否存在执行与新的访问控制策略相同访问控制策略的网络切片;
24、如果存在,将网络设备划分到执行与新的访问控制策略相同访问控制策略的网络切片中。
25、可选地,所述方法还包括:
26、如果不存在,将新的访问控制策略相同的网络设备划分到同一网络切片中。
27、可选地,所述方法包括:
28、在生成新的访问控制策略后,按照预设的时间间隔再次进行整体状态信息与动态策略调整条件的对比,判断是否满足条件;
29、如果满足条件,则进一步判断再次满足条件的具体原因;
30、根据具体原因采取相应的应对措施。
31、可选地,所述根据具体原因采取相应的应对措施的步骤,具体包括:
32、如果具体原因为新的访问控制策略未成功下发到网络设备,则再次进行新的访问控制策的下发;
33、如果具体原因为新的访问控制策略执行未达到预期效果,则切换生成新的访问控制策略的生成逻辑,重新生成新的访问控制策略;
34、如果具体原因为出现新的满足所述动态策略调整条件的信息类型,则继续生成新的访问控制策略。
35、本发明实施例的第二方面,提供了一种基于sdn的网络边界访问控制装置,所述装置包括:
36、整体状态获取单元,用于通过sdn控制器获取目标网络的整体状态信息,所述整体状态信息包括网络整体流量、网络整体性能以及累计安全事件数量中的至少一个;
37、条件对比单元,用于将整体状态信息与预设的动态策略调整条件进行对比;
38、设备状态获取单元,用于如果满足条件,则通过sdn控制器分别获取所述目标网络中各个网络设备的设备状态信息和当前所使用的访问控制策略;所述设备状态信息包括设备流量、设备网络性能以及设备安全事件数量;
39、网络设备确定单元,用于根据所述整体状态信息中具体满足所述动态策略调整条件的信息类型,确定使得该整体状态信息类型满足所述动态策略调整条件的一个或多个网络设备;
40、控制策略生成单元,用于针对所确定的一个或多个网络设备,以使该整体状态信息类型不满足所述动态策略调整条件为目标,生成新的访问控制策略;
41、所述网络设备确定单元具体用于:
42、获取每个网络设备的设备状态信息中的该整体状态信息类型对应类型的状态数据;其中,设备流量对应网络整体流量,设备网络性能对应网络整体性能,设备安全事件数量对应累计安全事件数量;
43、按照状态数据的数值大小对网络设备进行排序;
44、分别将每个网络设备的状态数据与该网络设备预设的正常状态数据范围进行对比;
45、按顺序确定超出正常状态数据范围的网络设备,直到数量达到预设要求或者遍历所有网络设备。
46、本发明的有益效果为:
47、本发明提供了一种基于sdn的网络边界访问控制方法及装置,能够通过集中的sdn控制器来实现监控整个网络的状态并快速做出调整。基于sdn的动态网络策略调整方法更加灵活,可以根据实时网络流量、安全事件等信息快速做出变化,实现网络策略的即时调整。同时基于sdn技术所具有的较高的可编程性,可以以此对网络设备的行为策略进行灵活控制和定制化调整,以满足不同业务场景的具体需求。
1.一种基于sdn的网络边界访问控制方法,其特征在于,所述方法包括:
2.根据权利要求1所述的基于sdn的网络边界访问控制方法,其特征在于,所述生成新的访问控制策略的步骤,具体包括:
3.根据权利要求2所述的基于sdn的网络边界访问控制方法,其特征在于,所述对参与累加的网络设备生成新的访问控制策略步骤,具体包括:
4.根据权利要求1-3中任一所述的基于sdn的网络边界访问控制方法,其特征在于,所述方法还包括:
5.根据权利要求1-3中任一所述的基于sdn的网络边界访问控制方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的基于sdn的网络边界访问控制方法,其特征在于,所述方法还包括:
7.根据权利要求1中所述的基于sdn的网络边界访问控制方法,其特征在于,所述方法包括:
8.根据权利要求7中所述的基于sdn的网络边界访问控制方法,其特征在于,所述根据具体原因采取相应的应对措施的步骤,具体包括:
9.一种基于sdn的网络边界访问控制装置,其特征在于,所述装置包括:
