CN116743566B - 网络准入方法、装置及计算机存储介质 - Google Patents

网络准入方法、装置及计算机存储介质 Download PDF

Info

Publication number
CN116743566B
CN116743566B CN202310892206.9A CN202310892206A CN116743566B CN 116743566 B CN116743566 B CN 116743566B CN 202310892206 A CN202310892206 A CN 202310892206A CN 116743566 B CN116743566 B CN 116743566B
Authority
CN
China
Prior art keywords
target
network
script
network port
port
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310892206.9A
Other languages
English (en)
Other versions
CN116743566A (zh
Inventor
牛旭龙
李高隆
李振海
何文宾
辛梅
胡永娣
何春明
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Daoyou Technology Co ltd
Original Assignee
Beijing Daoyou Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Daoyou Technology Co ltd filed Critical Beijing Daoyou Technology Co ltd
Priority to CN202310892206.9A priority Critical patent/CN116743566B/zh
Publication of CN116743566A publication Critical patent/CN116743566A/zh
Application granted granted Critical
Publication of CN116743566B publication Critical patent/CN116743566B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0876Aspects of the degree of configuration automation
    • H04L41/0886Fully automatic configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0889Techniques to speed-up the configuration process
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Automation & Control Theory (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供了一种网络准入方法、装置及计算机存储介质,其中,网络准入方法包括:获取待进行网络准入设置的目标网络端口的信息;根据目标网络端口的信息,确定堡垒机中设置的、与目标网络端口对应的目标脚本任务;并基于目标脚本任务,从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本;通过堡垒机登录目标网络端口所在的目标网络设备,并按照目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。本方案无需用户登录网络设备对网络端口进行人工配置,不要求用户熟练掌握网络设备的网络端口开通准入或禁用的配置命令,提升了运维工作效率,且降低网络端口维护成本。

Description

网络准入方法、装置及计算机存储介质
技术领域
本申请实施例涉及网络安全技术领域,尤其涉及一种网络准入方法、装置及计算机存储介质。
背景技术
铁路的网络管理是保障铁路安全运输和高效运作的重要环节。在日常网络运行状态下,网络设备中未使用的网络端口的配置状态通常是禁用状态,其它设备即使连接该网络端口也是无法接入该网络设备的。因此,当网络中需要增加其它设备,或需要进行业务环境扩容时,则需要将该网络端口调整为准入状态,即开通网络准入,才能够使其它设备接入该网络端口,进而接入其所在的网络设备。
目前,开通网络准入的方式通常是网络的维护人员人工登录网络设备,对需要开通网络准入的网络端口进行人工配置。该方式对维护人员的专业技术要求较高,要求维护人员熟悉所维护的网络和网络设备,熟练掌握网络设备的网络端口开通准入或禁用的配置命令,导致网络准入的开通效率低,网络端口维护成本高的问题。
发明内容
有鉴于此,本申请实施例提供一种网络准入方法、装置及计算机存储介质,以至少部分解决上述问题。
根据本申请实施例的第一方面,提供了一种网络准入方法,包括:获取待进行网络准入设置的目标网络端口的信息;根据目标网络端口的信息,确定堡垒机中设置的、与目标网络端口对应的目标脚本任务;并基于目标脚本任务,从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本,目标脚本库中包括与不同网络端口对应的多个脚本;通过堡垒机登录目标网络设备,并按照目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。
根据本申请实施例的第二方面,提供了一种网络准入装置,包括信息获取模块、脚本任务确定模块、脚本确定模块和脚本执行模块,其中,信息获取模块用于获取待进行网络准入设置的目标网络端口的信息;脚本任务确定模块用于根据目标网络端口的信息,确定堡垒机中设置的、与目标网络端口对应的目标脚本任务;脚本确定模块用于基于目标脚本任务,从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本,目标脚本库中包括与不同网络设备厂商对应的多个脚本,不同网络设备厂商对应多个网络端口;脚本执行模块用于通过堡垒机登录目标网络设备,并按照目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。
根据本申请实施例的第三方面,提供了一种电子设备,包括:处理器、存储器、通信接口和通信总线,处理器、存储器和通信接口通过通信总线完成相互间的通信;存储器用于存放至少一条可执行指令,可执行指令使处理器执行本申请各实施例的方法对应的操作。
根据本申请实施例的第四方面,提供了一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请各实施例的方法。
根据本申请实施例提供的网络准入方案,获取待进行网络准入设置的目标网络端口的信息;根据目标网络端口的信息,确定堡垒机中设置的、与目标网络端口对应的目标脚本任务;并基于目标脚本任务,从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本;通过堡垒机登录目标网络端口所在的目标网络设备,并按照目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。本方案通过设置目标脚本任务调用堡垒机的登录功能,在登录的目标网络设备上执行目标脚本库中对目标网络端口进行网络准入操作的目标脚本,无需用户逐个登录网络设备并对网络端口进行人工配置,不要求用户熟练掌握网络设备的网络端口开通准入或禁用的配置命令,而是通过执行目标脚本完成目标网络端口的自动配置,提升了运维工作效率,且降低网络端口维护成本。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1示出了本申请示例性实施例的网络准入方法的应用场景示意图;
图2为本申请示例性实施例的一种网络准入方法的流程示意图;
图3为本申请示例性实施例的另一种网络准入方法的流程示意图;
图4为本申请示例性实施例的另一种网络准入方法的流程示意图;
图5A为本申请示例性实施例的添加脚本任务界面的示意图;
图5B为本申请示例性实施例的添加脚本界面的示意图;
图6为本申请示例性实施例的网络准入装置的结构框图;
图7为本申请示例性实施例的电子设备的结构示意图。
具体实施方式
为了使本领域的人员更好地理解本申请实施例中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是本申请实施例一部分实施例,而不是全部的实施例。基于本申请实施例中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请实施例保护的范围。
为了便于说明和理解,在对本申请实施例的一种网络准入方法进行说明之前,对本实施例方法的应用场景进行简略说明如下:
图1示出了本申请示例性实施例的网络准入方法的应用场景示意图,如图1所示,该网络准入方法可以应用于铁路信号***,该***可以包括堡垒机102和多个网络设备104,网络设备104可以包括路由器、交换机等。堡垒机102和多个网络设备104通信连接。堡垒机102通过执行本申请实施例的网络准入方法,以实现对多个网络设备104中的网络端口的设置,如,进行网络准入的开通或禁用,等等。
下面结合本申请实施例附图进一步说明本申请实施例具体实现。
本申请实施例提供了一种网络准入方法,以下通过多个实施例进行说明。
图2为本申请示例性实施例的一种网络准入方法的流程示意图,如图所示,本实施例主要包括以下步骤:
S202、获取待进行网络准入设置的目标网络端口的信息。
网络准入是一种通过web方式对企业内部网络进行安全管理的技术手段,以强化网络管理人员对计算机终端从准入-注册-监控-修复的全周期的安全管理。网络准入设置可以包括开通和禁用。网络端口是指物理意义上的端口,比如交换机、路由器中用于连接其他设备的端口,如RJ-45端口、SC端口等等。目标网络端口的信息可以包括但不限于目标网络端口的地址、名称、目标网络端口所在的网络设备的名称、网络设备厂商,网络设备的类型、登录协议等;网络设备的类型可以包括但不限于路由器、交换机、终端设备等;登录协议可以包括但不限于SSH(Secure SHell,安全外壳协议)、telnet(远程终端协议),等等。
目标网络端口的信息可以通过多种方式获得,在一种可选实现方式中,获取待进行网络准入设置的目标网络端口的信息可以实现为:响应于网络安全监控平台发送的网络准入告警信号,接收网络安全监控平台通过用于访问堡垒机的网络准入应用程序接口发送的目标网络端口的信息。
示例性地,网络安全监控平台可以是铁路信号***中的网络安全监控平台,例如统一安全管理中心平台,网络安全监控平台可以通过网络准入API(Application ProgramInterface,应用程序接口)访问堡垒机。当网络安全监控平台发现有网络设备的端口产生非授权接入时,会在网络安全监控平台产生告警信息,告警信息可以包括网络端口的地址信息、名称信息、网络端口所在的网络设备的名称、网络设备的厂商等中的一种或多种。用户可以通过甄别,确定接入的网络端口是否为计划内需要开通网络准入的网络端口,若是,意味着可对允许其接入,则可将该网络端口作为目标网络端口,网络安全监控平台将发送网络准入告警信号和目标网络端口的信息至堡垒机,堡垒机响应于该网络准入告警信号,接收网络安全监控平台通过网络准入API接口发送的目标网络端口的信息。其中,网络准入API接口可以由堡垒机提供。另外,用户也可以直接从网络安全监控平台管理的网络设备中选择需要进行网络准入操作的一个或多个网络端口,再将这些网络端口的信息通过网络准入API接口批量发送给堡垒机,以实现对网络接口的网络准入操作。
本实现方式中,其他网络安全监控平台可以通过网络准入应用程序接口,将非授权接入的网络端口中需要进行网络准入设置的目标网络端口的信息,直接发送至堡垒机,以利用堡垒机进行目标网络端口的网络准入设置。由此,通过堡垒机向外提供的网络接入接口,使得其它网络设备在通过堡垒机进行网络端口的设置,既方便了通过堡垒机对铁路网络中的端口接入进行统一管理和设置,也无需在其它设备中进行用于网络接入的配置或设置,从整体上降低了铁路网络的网络准入成本,且通过堡垒机的接入对用户是透明的,也大大降低了用户的操作和配置负担,使得运维操作简单高效,用户体验更好。
在另一种可选实现方式中,获取待进行网络准入设置的目标网络端口的信息可以实现为:响应于用户在堡垒机的网络准入控制界面的输入操作,接收输入信息,并基于输入信息获取用户通过网络准入控制界面输入的目标网络端口的信息。
示例性地,堡垒机还提供网络准入控制界面,并且,在该网络准入控制界面中设置有信息输入区域,用户可以在该区域输入需要进行网络准入开通或禁用的目标网络端口的相关信息,例如目标网络端口的地址、名称,目标网络端口的地址可以是IP地址、MAC地址等,堡垒机响应于用户在堡垒机的网络准入控制界面的输入操作,接收用户输入的网络端口的信息,并以此作为用户通过网络准入控制界面输入的目标网络端口的信息。
本实现方式中,堡垒机对外提供网络准入控制界面,用户可以直接通过堡垒机的网络准入控制界面输入需要进行网络准入设置的目标网络端口的信息,以利用堡垒机进行目标网络端口的网络准入设置,使得网络准入效率更高。
但不限于此,通过其它方式接入堡垒机,以将目标网络端口的信息发送给堡垒机的方式也同样适用于本申请实施例的方案。
S204、根据目标网络端口的信息,确定堡垒机中设置的、与目标网络端口对应的目标脚本任务。
堡垒机是通过在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录用户对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。堡垒机中包括脚本任务设置功能,包括添加脚本任务、删除脚本任务、修改脚本任务等,脚本任务是用于完成对某一网络端口进行网络准入设置的代码序列,可被调用执行,在该代码序列中,可选地,可以指定需要登录的网络设备、调用的脚本以及执行方式等。此外,还可指定对堡垒机的功能调用,如对堡垒机登录目标网络端口的功能调用,等等。例如,参照图5A所示的添加脚本任务界面的示意图,添加脚本任务界面可以包括网络端口指定区域、任务使用对象选择区域、目标脚本选择区域、执行策略选择区域以及启用确定区域,其中,网络端口指定区域用于输入该脚本任务对应的网络端口的信息,例如名称;任务使用对象选择区域用于选定使用脚本的目标对象(图5A中的目标资产),目标对象可以是堡垒机管理的全部网络设备,也可以从全部网络设备中自定义选择部分网络设备,也可以是堡垒机本机;目标脚本选择区域用于从脚本库中选择与网络端口对应的脚本或自定义编辑脚本(图5A中的“Shell脚本”和“选择脚本模板”),若选择自定义编辑脚本,可以将编辑后的脚本保存至目标脚本库中;执行策略选择区域用于选择手动执行或定时执行该脚本任务(图5A中的“执行策略”);启用确定区域用于选择该脚本任务启用或停用(图5A中的“是否启用”)。通过添加脚本任务界面可以在堡垒机中设置对应不同的网络端口的脚本任务,在获取目标网络端口的信息后,根据目标网络端口的信息从堡垒机中查询与目标网络端口对应的目标脚本任务。
S206、基于目标脚本任务,从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本。
其中,目标脚本库中包括与不同网络设备厂商对应的多个脚本,其中,每个网络设备厂商对应多个网络端口。不同的脚本用于对不同的网络端口进行网络准入操作,多个脚本可以是预先针对不同网络设备厂商编写的,每个网络设备厂商对应的脚本可以应用于该网络设备厂商生产的不同型号的所有网络设备的所有网络端口,也可以是通过堡垒机中的添加脚本界面,根据实际使用需要新增的,本实施例对此不进行限制,参照图5B所示的添加脚本界面的示意图用户可以在添加脚本界面中增加用于对不同网络端口进行网络准入设置的脚本,例如可以添加脚本名称、脚本内容等。
示例性地,根据目标网络端口的信息从堡垒机中确定与目标网络端口对应的目标脚本任务,根据目标脚本任务从预设的目标脚本库中查询目标脚本,并调用该目标脚本。其中,目标脚本中包含有对目标网络端口进行网络准入操作的具体过程描述,该具体过程可通过一系列网络准入操作指令实现。
S208、通过堡垒机登录目标网络端口所在的目标网络设备,并按照目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。
示例性地,通过堡垒机的登录功能,可实现自动登录到目标网络设备,将目标脚本在目标网络设备中执行,按照目标脚本中的网络准入操作指令,对目标网络设备的目标网络端口进行网络准入操作。
需要说明的是,在实际应用中,不仅限于对目标网络端口进行网络准入操作,其它类似操作,如关闭目标网络端口的操作,或者,修改目标网络端口的属性信息的操作,等,也可通过相应的脚本、脚本任务,并借助于堡垒机的自动登录功能,参照本实施例的上述描述实现。
本实施例中,获取待进行网络准入设置的目标网络端口的信息;根据目标网络端口的信息,确定堡垒机中设置的、与目标网络端口对应的目标脚本任务;并基于目标脚本任务,从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本,目标脚本库中包括与不同网络设备厂商对应的多个脚本,不同网络设备厂商对应多个网络端口;通过堡垒机登录目标网络端口所在的目标网络设备,并按照目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。通过设置目标脚本任务调用堡垒机的登录功能,在登录的目标网络设备上执行目标脚本库中与目标网络端口对应的目标脚本,无需用户逐个登录网络设备并对网络端口进行人工配置,不要求用户熟练掌握网络设备的网络端口开通准入或禁用的配置命令,而是通过执行目标脚本完成目标网络端口的自动配置,提升了运维工作效率,且降低网络端口维护成本。
图3为本申请示例性实施例的另一种网络准入方法的流程示意图。如图所示,本实施例主要示出了上述实施例的步骤S208的具体实施方案,本实施例主要包括以下步骤:
S302、获取待进行网络准入设置的目标网络端口的信息。
S304、根据目标网络端口的信息,确定堡垒机中设置的、与目标网络端口对应的目标脚本任务。
S306、基于目标脚本任务,从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本。
其中,目标脚本库中包括与不同网络设备厂商对应的多个脚本,其中,不同网络设备厂商对应多个网络端口。
需要说明的是,本实施例的步骤S302至步骤S306可以参照上述步骤S202至S206的具体实施方式进行实施,在此不进行赘述。
S308、通过目标脚本任务调用堡垒机的登录任务,以进行堡垒机对目标网络端口所在目标网络设备的直接登录。
示例性地,可基于目标脚本任务调用堡垒机的登录任务,使堡垒机可以直接登录目标网络端口所在的目标网络设备。因堡垒机具有较高的安全性,可直接登录目标网络设备,无需额外的信息和操作,极大地方便了本方案的实现,在保证登录安全性的同时,还大大降低了方案实现成本。
S310、在确定成功登录目标网络设备后,通过目标脚本任务执行目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。
在一种可选实现方式中,通过脚本任务执行目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作可以实现为:在通过目标脚本任务执行目标脚本中的网络准入操作指令的过程中,接收网络设备针对网络准入操作指令的反馈信息;通过展示界面展示反馈信息,并接收基于展示的反馈信息与目标网络设备进行交互的交互操作;基于交互操作结果和网络准入操作指令,对目标网络端口进行网络准入操作。
示例性地,在目标网络设备中执行目标脚本中的网络准入操作指令的过程中,接收目标网络设备针对网络准入操作指令的反馈信息,反馈信息可以对目标脚本的执行进行反馈,该反馈可能有一次或多次。可以通过堡垒机的展示界面展示该反馈信息,例如执行结果,或者是执行该条指令需要输入相关参数或进行选择操作等,并接收基于展示的反馈信息与目标网络设备进行交互的交互操作,交互操作例如用户输入相关参数或进行选择操作。再根据交互操作的结果和网络准入操作指令,对目标网络端口进行网络准入操作。
本实现方式中,通过在执行目标脚本中的网络准入操作指令的过程中,获取网络设备针对网络准入操作指令的反馈信息,再通过展示界面进行展示,可以根据反馈信息与目标网络设备进行交互,再基于交互操作结果和网络准入操作指令,对目标网络端口进行网络准入操作。实现对脚本执行过程的可视化,便于监控和跟踪脚本的执行情况,若执行出错,以便及时进行处理。
本实施例中,通过目标脚本任务调用堡垒机的登录任务,以进行堡垒机对目标网络端口所在目标网络设备的直接登录。在确定成功登录目标网络设备后,通过目标脚本任务执行目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。利用目标脚本任务调用堡垒机的登录任务,从而直接登录需要进行网络准入设置的目标网络设备,无需人工逐个登录网络设备进行逐个配置,降低网络准入设置的用户的工作复杂度,提高网络准入设置的效率。
图4为本申请示例性实施例的另一种网络准入方法的流程示意图。如图所示,本实施例主要示出了上述实施例的步骤S206的其他实施方案,本实施例主要包括以下步骤:
S402、获取待进行网络准入设置的目标网络端口的信息。
S404、根据目标网络端口的信息,确定堡垒机中设置的、与目标网络端口对应的目标脚本任务。
S406、基于目标脚本任务,从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本。
其中,目标脚本库中包括与不同网络端口对应的多个脚本。
需要说明的是,本实施例的步骤S402至步骤S406可以参照上述步骤S202至S206的具体实施方式进行实施,在此不进行赘述。
S408、若从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本失败,则根据目标网络端口所在的目标网络设备的类型信息,确定相似脚本。
示例性地,若未从预设的目标脚本库中匹配到目标网络端口的目标脚本,即匹配失败,则根据目标网络端口所在的目标网络设备的类型信息,其中,目标网络设备的类型信息可以包括目标网络设备的设备类型和网络设备厂商,网络设备的类型可以包括但不限于路由器、交换机、终端设备等。从目标脚本库中查询与目标网络设备的类型信息所指示的类型相同或相似的网络设备中的网络端口的脚本,将该脚本确定为相似脚本。
在一种可选实现方式中,根据目标网络端口所在的目标网络设备的类型信息,确定相似脚本,包括:根据目标网络端口所在的目标网络设备的类型信息,确定堡垒机中是否存在与类型信息所指示的类型相同或相似的失效脚本;若存在,则将失效脚本确定为相似脚本。
示例性地,根据目标网络端口所在的目标网络设备的类型信息,从堡垒机中查找是否存在与目标网络设备的类型信息所指示的类型相同或相似的失效脚本,类型相同的失效脚本可以指与目标网络设备的设备类型和网络设备厂商均相同的网络设备对应的失效脚本,类型相似的失效脚本可以指与目标网络设备的设备类型和网络设备厂商之一相同的网络设备对应的失效脚本,失效脚本可以是历史删除脚本,若存在,则将该失效脚本确定为相似脚本。
本实现方式中,通过从失效脚本中查询与目标网络端口所在的目标网络设备的类型相同或相似的脚本以确定相似脚本,相似脚本的查询范围更全面,能够提升相似脚本的获取率。进而提升目标脚本的生成效率。
在另一种实现方式中,根据目标网络端口所在的目标网络设备的类型信息,确定相似脚本,包括:根据目标网络端口的类型信息,确定堡垒机中是否存在与类型信息所指示的类型相同或相似的失效脚本;若存在,则将失效脚本确定为相似脚本。
示例性地,目标网络端口的类型信息可以包括目标网络端口的端口号、所属网络设备的信息,所属网络设备的信息包括设备类型和网络设备厂商,其中,网络设备的类型可以包括但不限于路由器、交换机、终端设备等。根据端口号可以将网络端口分类,例如公认端口(端口号为0至1023)、注册端口(端口号为1024至49151)、动态和/或私有端口(端口号为49152至65535)等。
在另一种方式中,网络端口的端口号还可以是例如FastEthernet0、FastEthernet2、FastEthernet 0/1、FastEthernet 0/2、GigabitEthernet0/1、GigabitEthernet0/24等。使用目标脚本对目标网络设备中的上述一示例性网络端口进行网络准入操作,过程如下:
1、堡垒机登录目标网络设备成功后,目标网络设备的界面出现以下示例文字提示:
Switch>
2、进入特权模式
Switch>en
Switch#
3、进入目标端口配置模式,执行目标脚本
Switch#configterminal
Switch(config)#
4、进入fastethernet 0/1端口(此目标端口的端口号是目标脚本中的变量参数)
Switch#conftSwitch(config)#interfacefastethernet 0/1
5、关闭端口操作
Switch(config-if)#shut down
开启端口操作
Switch(config-if)#no shut down
6、退出配置
Switch(config-if)#exit
根据目标网络端口的类型信息,从堡垒机中查找是否存在与目标网络端口的类型信息所指示的类型相同或相似的失效脚本,类型相同的失效脚本可以指与目标网络端口的端口号相同的网络端口对应的失效脚本,类型相似的失效脚本可以指与目标网络端口的端口号属于同一类的网络端口对应的失效脚本。或者,类型相同的失效脚本可以指与目标网络端口所属的网络设备的设备类型和网络设备厂商均相同的网络端口对应的失效脚本,类型相似的失效脚本可以指与目标网络端口所属的网络设备的设备类型和网络设备厂商之一相同的网络端口对应的失效脚本,失效脚本可以是历史删除脚本,若存在,则将该失效脚本确定为相似脚本。
本实现方式中,通过从失效脚本中查询与目标网络端口的类型相同或相似的脚本以确定相似脚本,相似脚本的查询范围更全面,能够提升相似脚本的获取率。进而提升目标脚本的生成效率。
在一种可选实现方式中,根据目标网络端口的类型信息,确定相似脚本,包括:根据目标网络端口的类型信息,确定是否存在与类型信息所指示的类型相同或相似的其它网络端口;若存在,则将其它网络端口对应的脚本确定为相似脚本;或者,根据目标网络端口的类型信息和目标网络设备的类型信息,确定是否存在相同或相似的网络设备和/或网络端口;若存在,则将相同或相似的网络设备和/或网络端口对应的脚本确定为相似脚本。
示例性地,根据目标网络端口的类型信息,在堡垒机中查询是否存在与目标网络端口的类型信息所指示的类型相同或相似的其它网络端口,类型相同的网络端口可以指与目标网络端口的端口号相同的网络端口,类型相似的网络端口可以指与目标网络端口的端口号属于同一类的网络端口;若存在,则将该其它网络端口对应的脚本确定为相似脚本。也可以根据目标网络端口的类型信息和目标网络设备的类型信息,确定是否存在相同或相似的网络设备和网络端口,或者确定是否存在相同或相似的网络设备和网络端口中的至少一个,其中,类型相同的网络设备可以指与目标网络设备的设备类型和厂商均相同的网络设备,类型相似的网络设备可以指与目标网络设备的设备类型和厂商之一相同的网络设备;若存在,则将相同或相似的网络设备和/或网络端口对应的脚本确定为相似脚本。
本实现方式中,通过确定与目标网络端口的类型信息所指示的类型相同或相似的网络设备和/或网络端口,进而将该网络端口或网络设备对应的脚本作为相似脚本。而非只有查询到相同或相似的网络端口对应的脚本才能确定相似脚本,可以从多方面获取相似脚本,相似脚本的查询范围更全面,能够提升相似脚本的获取率。
S410、基于相似脚本和目标网络端口的信息,生成用于对目标网络端口进行网络准入操作的目标脚本。
示例性地,确定相似脚本中的网络端口的信息对应的参数位置,将相应位置的参数替换为目标网络端口的信息对应的脚本参数,生成用于对目标网络端口进行网络准入操作的目标脚本。
S412、通过堡垒机登录目标网络设备,并按照目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。
需要说明的是,本实施例的步骤S412可以参照上述步骤S208的具体实施方式进行实施,在此不进行赘述。
本实施例中,当需要对一个目标网络设备的目标网络端口进行网络准入设置,若从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本失败,则根据目标网络端口所在的目标网络设备的类型信息,确定相似脚本,再利用相似脚本和目标网络端口的信息,生成用于对目标网络端口进行网络准入操作的目标脚本。避免由于目标脚本库中不存在可以对目标网络端口进行网络准入操作的目标脚本,导致网络准入设置失败。且无需重新编写目标脚本,提高网络准入设置的效率。
图6为本申请示例性实施例的网络准入装置的结构框图。
如图所示,本实施例的网络准入装置600,包括信息获取模块602、脚本任务确定模块604、脚本确定模块606和脚本执行模块608。
其中,信息获取模块602用于获取待进行网络准入设置的目标网络端口的信息;脚本任务确定模块604用于根据目标网络端口的信息,确定堡垒机中设置的、与目标网络端口对应的目标脚本任务;脚本确定模块606用于基于目标脚本任务,从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本,目标脚本库中包括与不同网络设备厂商对应的多个脚本,不同网络设备厂商对应多个网络端口;脚本执行模块608用于通过堡垒机登录目标网络端口所在的目标网络设备,并按照目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。
在一种可选实现方式中,脚本执行模块608还用于:通过目标脚本任务调用堡垒机的登录任务,以进行堡垒机对目标网络端口所在目标网络设备的直接登录;在确定成功登录目标网络设备后,通过目标脚本任务执行目标脚本中的网络准入操作指令,对目标网络端口进行网络准入操作。
在一种可选实现方式中,脚本执行模块608还用于:在通过目标脚本任务执行目标脚本中的网络准入操作指令的过程中,接收目标网络设备针对网络准入操作指令的反馈信息;通过展示界面展示反馈信息,并接收基于展示的反馈信息与目标网络设备进行交互的交互操作;基于交互操作的结果和网络准入操作指令,对目标网络端口进行网络准入操作。
在一种可选实现方式中,信息获取模块602还用于:响应于网络安全监控平台发送的网络准入告警信号,接收网络安全监控平台通过用于访问堡垒机的网络准入应用程序接口发送的目标网络端口的信息。
在一种可选实现方式中,信息获取模块602还用于:响应于用户在堡垒机的网络准入控制界面的输入操作,接收输入信息,并基于输入信息获取用户通过网络准入控制界面输入的目标网络端口的信息。
在一种可选实现方式中,该装置还包括脚本生成模块,用于:若从预设的目标脚本库中匹配用于对目标网络端口进行网络准入操作的目标脚本失败,则根据目标网络端口所在的目标网络设备的类型信息,确定相似脚本;基于相似脚本和目标网络端口的信息,生成用于对目标网络端口进行网络准入操作的目标脚本。
在一种可选实现方式中,脚本生成模块还用于:根据目标网络端口所在的目标网络设备的类型信息,确定堡垒机中是否存在与类型信息所指示的类型相同或相似的失效脚本;若存在,则将失效脚本确定为相似脚本。
此外,本申请实施例的网络准入装置600还可用于实现前述各网络准入方法实施例中的其他步骤,并具有相应的方法步骤实施例的有益效果,在此不再赘述。
参照图7,示出了根据本发明的另一实施例的电子设备的结构示意图,本发明具体实施例并不对电子设备的具体实现做限定。
如图7所示,该电子设备可以包括:处理器(processor)701、存储器(memory)703、以及通信总线704、通信接口(Communications Interface)705。
其中:
处理器701、存储器703以及通信接口705、通过通信总线704完成相互间的通信。
通信接口705,用于与其它电子设备(例如上述方法实施例中的网络设备)或服务器或目标网络进行通信和交互。
处理器701,用于执行程序702,具体可以执行上述实施例中任一项方法的步骤。
具体地,程序702可以包括程序代码,该程序代码包括计算机操作指令。
处理器701可能是中央处理器CPU,或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit),或者是被配置成实施本申请实施例的一个或多个集成电路。智能设备包括的一个或多个处理器,可以是同一类型的处理器,如一个或多个CPU;也可以是不同类型的处理器,如一个或多个CPU以及一个或多个ASIC。
存储器703,用于存放程序702。存储器703可能包含高速RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。
程序702具体可以用于使得处理器701执行以实现实施例中所描述任一项方法的步骤。程序702中各步骤的具体实现可以参见上述步骤中任一项方法所执行的步骤和单元中对应的描述,在此不赘述。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和模块的具体工作过程,可以参考前述方法实施例中的对应过程描述。
本申请示例性实施例还提供一种计算机存储介质,其上存储有计算机程序,该程序被处理器执行时实现本申请各实施例的方法。可选地,还可存储有脚本库。
上述根据本发明实施例的方法可在硬件、固件中实现,或者被实现为可存储在记录介质(诸如CD ROM、RAM、软盘、硬盘或磁光盘)中的软件或计算机代码,或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器可读介质中并将被存储在本地记录介质中的计算机代码,从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件(诸如ASIC或FPGA)的记录介质上的这样的软件处理。可以理解,计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件(例如,RAM、ROM、闪存等),当所述软件或计算机代码被计算机、处理器或硬件访问且执行时,实现在此描述的方法。此外,当通用计算机访问用于实现在此示出的方法的代码时,代码的执行将通用计算机转换为用于执行在此示出的方法的专用计算机。
至此,已经对本发明的特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作可以按照不同的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序,以实现期望的结果。在某些实施方式中,多任务处理和并行处理可以是有利的。
在本发明的描述中,术语“第一”、“第二”仅用于方便描述不同的部件或名称,而不能理解为指示或暗示顺序关系、相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。
除非另有定义,本文所使用的所有的技术和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同。本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在于限制本发明。
需要说明的是,虽然结合附图对本发明的具体实施例进行了详细地描述,但不应理解为对本发明的保护范围的限定。在权利要求书所描述的范围内,本领域技术人员不经创造性劳动即可做出的各种修改和变形仍属于本发明的保护范围。
本发明实施例的示例旨在简明地说明本发明实施例的技术特点,使得本领域技术人员能够直观了解本发明实施例的技术特点,并不作为本发明实施例的不当限定。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种网络准入方法,其特征在于,包括:
获取待进行网络准入设置的目标网络端口的信息;
根据所述目标网络端口的信息,确定堡垒机中设置的、与所述目标网络端口对应的目标脚本任务;
基于所述目标脚本任务,从预设的目标脚本库中匹配用于对所述目标网络端口进行网络准入操作的目标脚本,所述目标脚本库中包括与不同网络设备厂商对应的多个脚本,所述不同网络设备厂商对应多个网络端口;
若从所述预设的目标脚本库中匹配用于对所述目标网络端口进行网络准入操作的目标脚本失败,则根据所述目标网络端口所在的目标网络设备的类型信息,确定所述堡垒机中是否存在与所述类型信息所指示的类型相同或相似的失效脚本;若存在,则将所述失效脚本确定为相似脚本;
基于所述相似脚本和所述目标网络端口的信息,生成用于对所述目标网络端口进行网络准入操作的目标脚本;
通过所述堡垒机登录所述目标网络端口所在的所述目标网络设备,并按照所述目标脚本中的网络准入操作指令,对所述目标网络端口进行网络准入操作。
2.根据权利要求1所述的方法,其特征在于,所述通过所述堡垒机登录所述目标网络端口所在的目标网络设备,并按照所述目标脚本中的网络准入操作指令,对所述目标网络端口进行网络准入操作,包括:
通过所述目标脚本任务调用所述堡垒机的登录任务,以进行所述堡垒机对所述目标网络端口所在目标网络设备的直接登录;
在确定成功登录所述目标网络设备后,通过所述目标脚本任务执行所述目标脚本中的网络准入操作指令,对所述目标网络端口进行网络准入操作。
3.根据权利要求2所述的方法,其特征在于,所述通过所述目标脚本任务执行所述目标脚本中的网络准入操作指令,对所述目标网络端口进行网络准入操作,包括:
在通过所述目标脚本任务执行所述目标脚本中的网络准入操作指令的过程中,接收所述目标网络设备针对所述网络准入操作指令的反馈信息;
通过展示界面展示所述反馈信息,并接收基于展示的所述反馈信息与所述目标网络设备进行交互的交互操作;
基于交互操作的结果和所述网络准入操作指令,对所述目标网络端口进行网络准入操作。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述获取待进行网络准入设置的目标网络端口的信息,包括:
响应于网络安全监控平台发送的网络准入告警信号,接收所述网络安全监控平台通过用于访问所述堡垒机的网络准入应用程序接口发送的目标网络端口的信息。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述获取待进行网络准入设置的目标网络端口的信息,包括:
响应于用户在所述堡垒机的网络准入控制界面的输入操作,接收输入信息,并基于所述输入信息获取用户通过所述网络准入控制界面输入的所述目标网络端口的信息。
6.一种网络准入装置,其特征在于,包括:
信息获取模块,用于获取待进行网络准入设置的目标网络端口的信息;
脚本任务确定模块,用于根据所述目标网络端口的信息,确定堡垒机中设置的、与所述目标网络端口对应的目标脚本任务;
脚本确定模块,用于基于所述目标脚本任务,从预设的目标脚本库中匹配用于对所述目标网络端口进行网络准入操作的目标脚本,所述目标脚本库中包括与不同网络设备厂商对应的多个脚本,不同网络设备厂商对应多个网络端口;
脚本生成模块,用于若从预设的目标脚本库中匹配用于对所述目标网络端口进行网络准入操作的目标脚本失败,则根据所述目标网络端口所在的目标网络设备的类型信息,确定所述堡垒机中是否存在与所述类型信息所指示的类型相同或相似的失效脚本;若存在,则将所述失效脚本确定为相似脚本;基于所述相似脚本和所述目标网络端口的信息,生成用于对所述目标网络端口进行网络准入操作的目标脚本;
脚本执行模块,用于通过所述堡垒机登录所述目标网络端口所在的目标网络设备,并按照所述目标脚本中的网络准入操作指令,对所述目标网络端口进行网络准入操作。
7.一种计算机存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-5中任一所述的方法。
8.一种电子设备,其特征在于,包括:处理器、存储器、通信接口和通信总线,所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信;所述存储器用于存放至少一条可执行指令,所述可执行指令使所述处理器执行如权利要求1-5中任一所述的方法对应的操作。
CN202310892206.9A 2023-07-19 2023-07-19 网络准入方法、装置及计算机存储介质 Active CN116743566B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310892206.9A CN116743566B (zh) 2023-07-19 2023-07-19 网络准入方法、装置及计算机存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310892206.9A CN116743566B (zh) 2023-07-19 2023-07-19 网络准入方法、装置及计算机存储介质

Publications (2)

Publication Number Publication Date
CN116743566A CN116743566A (zh) 2023-09-12
CN116743566B true CN116743566B (zh) 2023-12-19

Family

ID=87918732

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310892206.9A Active CN116743566B (zh) 2023-07-19 2023-07-19 网络准入方法、装置及计算机存储介质

Country Status (1)

Country Link
CN (1) CN116743566B (zh)

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6256635B1 (en) * 1998-05-08 2001-07-03 Apple Computer, Inc. Method and apparatus for configuring a computer using scripting
CN106161096A (zh) * 2016-07-15 2016-11-23 北京奇虎科技有限公司 端口配置方法及装置
CN109284354A (zh) * 2018-09-11 2019-01-29 平安科技(深圳)有限公司 脚本搜索方法、装置、计算机设备及存储介质
CN111464350A (zh) * 2020-03-31 2020-07-28 润联软件***(深圳)有限公司 一种管理异构品牌网络设备的方法及***
CN112491586A (zh) * 2020-11-05 2021-03-12 中国建设银行股份有限公司 网络设备驱动方法、装置、存储介质及计算机设备
CN112527379A (zh) * 2020-12-01 2021-03-19 深圳市证通电子股份有限公司 基于Guacamole的堡垒机应用运维方法、装置、设备及介质
CN113079164A (zh) * 2021-04-02 2021-07-06 江苏保旺达软件技术有限公司 堡垒机资源的远程控制方法、装置、存储介质及终端设备
CN113347046A (zh) * 2021-07-08 2021-09-03 中国建设银行股份有限公司 网络接入方法及装置
CN114039851A (zh) * 2021-10-29 2022-02-11 中国农业银行股份有限公司河北省分行 一种通信设备运维自动化方法
CN116232875A (zh) * 2023-05-09 2023-06-06 北京拓普丰联信息科技股份有限公司 一种远程办公方法、装置、设备和介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6256635B1 (en) * 1998-05-08 2001-07-03 Apple Computer, Inc. Method and apparatus for configuring a computer using scripting
CN106161096A (zh) * 2016-07-15 2016-11-23 北京奇虎科技有限公司 端口配置方法及装置
CN109284354A (zh) * 2018-09-11 2019-01-29 平安科技(深圳)有限公司 脚本搜索方法、装置、计算机设备及存储介质
CN111464350A (zh) * 2020-03-31 2020-07-28 润联软件***(深圳)有限公司 一种管理异构品牌网络设备的方法及***
CN112491586A (zh) * 2020-11-05 2021-03-12 中国建设银行股份有限公司 网络设备驱动方法、装置、存储介质及计算机设备
CN112527379A (zh) * 2020-12-01 2021-03-19 深圳市证通电子股份有限公司 基于Guacamole的堡垒机应用运维方法、装置、设备及介质
CN113079164A (zh) * 2021-04-02 2021-07-06 江苏保旺达软件技术有限公司 堡垒机资源的远程控制方法、装置、存储介质及终端设备
CN113347046A (zh) * 2021-07-08 2021-09-03 中国建设银行股份有限公司 网络接入方法及装置
CN114039851A (zh) * 2021-10-29 2022-02-11 中国农业银行股份有限公司河北省分行 一种通信设备运维自动化方法
CN116232875A (zh) * 2023-05-09 2023-06-06 北京拓普丰联信息科技股份有限公司 一种远程办公方法、装置、设备和介质

Also Published As

Publication number Publication date
CN116743566A (zh) 2023-09-12

Similar Documents

Publication Publication Date Title
US20040078787A1 (en) System and method for troubleshooting, maintaining and repairing network devices
WO2018006789A1 (zh) 一种参数校验方法和装置、以及网管服务器和计算机存储介质
US6349306B1 (en) Method and apparatus for configuration management in communications networks
CN109284140B (zh) 配置方法及相关设备
CN109547502A (zh) 防火墙acl管理方法及装置
CN111726333A (zh) 安全配置的核查方法与***
US20050234683A1 (en) Method and apparatus for automatic verification of a machine-readable map of networked devices
CN112291075A (zh) 网络故障定位方法、装置、计算机设备及存储介质
CN111355740A (zh) 一种快速便捷检测防火墙配置的方法
CN116743566B (zh) 网络准入方法、装置及计算机存储介质
CN105391566B (zh) 一种动态的网络设备配置比对的方法及装置
CN110278123B (zh) 检查方法、装置、电子设备及可读存储介质
CN112615831A (zh) 一种基于工业互联网的漏洞扫描平台、方法、设备及介质
US7096350B2 (en) Method and system for verifying resource configuration
CN114490746B (zh) 一种设备测试方法、装置、待测试设备及存储介质
CN114780281A (zh) 一种服务器硬件错误日志记录方法、装置、设备、介质
CN111343193B (zh) 云网络端口安全防护方法、装置、电子设备及存储介质
CN112003726B (zh) 一种快速部署Beegfs管理服务节点高可用的配置方法
CN109600242A (zh) 用于家电配网的管理方法、家电、客户端及***
Cisco CWSI Version 1.1 on AIX Release Note
Cisco CWSI Version 1.1 on AIX Release Note
Cisco CWSI Version 1.1 on AIX Release Note
Cisco CWSI Version 1.1 on AIX Release Note
US20050234682A1 (en) Method and apparatus for verification of a map of wiring and attributes for networked devices
Cisco CWSI Version 1.1 on AIX Release Note

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant