一种网络微隔离方法、装置、设备及存储介质与流程

本发明涉及网络通信，特别涉及一种网络微隔离方法、装置、设备及存储介质。

背景技术：

1、当前对终端设备进行网络隔离的方案主要有以下两种：

2、一是基于vlan技术（virtual local area network，虚拟局域网）进行网络隔离，其通过对企业内部不同部门划分不同的vlan，或者根据终端的mac地址、用户名来分配不同的vlan，并且设置vlan间不能路由，将不同部门或终端的网络进行隔离。然而这种方式需要网络中有支持vlan技术的交换机或者三层路由设备，当需要隔离的终端越多，那么网络中的vlan标签会很多；此外，整网可能包含了其它多种厂商的网络设备，那么就需要配置好各厂商网络设备的vlan，增加了沟通配置的成本；并且，若网络中的vlan分配设置异常，导致终端隔离失败，需要排查的设备多，增加排查的成本。

3、二是基于acl技术（access control lists，访问控制列表，一种基于包过滤的访问控制技术）进行网络隔离，其根据源ip、目的ip、端口等方式，为企业内部的将企业内部不同部门、终端配置好acl，将不同部门或终端的网络进行隔离。然而这种方式需要有支持配置acl的网络设备，导致设备成本较高，且acl配置一般是根据源ip、目的ip、源mac、目的mac、协议来进行网络隔离，如果是根据终端接入时使用的用户名做隔离，那么该acl方案不可行；当网络环境中存在多个厂商的网络设备，各厂商的设备都可能支持配置acl，那么需要排查的设备多，增加了排查的成本。

4、因此，上述技术问题亟待本领域技术人员解决。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种网络微隔离方法、装置、设备及存储介质，能够根据包染色配置规则对数据包进行染色处理的方式以实现终端设备之间的微隔离，可适用于所有网络设备，减少了设备成本，也不依赖三层路由和交换机。其具体方案如下：

2、本技术的第一方面提供了一种网络微隔离方法，应用于与目的终端设备建立连接的目的网络接入点，包括：

3、接收与源终端设备建立连接的源网络接入点转发的目标数据包；

4、若所述目标数据包为基于传输控制协议的数据包，且所述目标数据包的头部存在预设的包染色类型值，则对所述包染色类型值进行解析以得到相应的解析后包染色信息；

5、接收所述网络控制器发送的包染色配置规则，若所述解析后包染色信息与所述包染色配置规则匹配成功，则丢弃所述目标数据包。

6、可选的，所述包染色类型值为所述源网络接入点在判定所述目标数据包的特征信息与从网络控制器中获取的包染色配置规则匹配成功后，对所述目标数据包进行染色处理后添加的值。

7、可选的，所述网络控制器与所述目的网络接入点和所述源网络接入点分别建立有隧道连接，所述隧道连接用于将所述网络控制器发送的包染色配置规则传输至所述目的网络接入点和所述源网络接入点。

8、可选的，所述包染色配置规则为用户基于所述网络控制器的前端页面设置的规则；所述包染色配置规则中包括基于预设微隔离要求计算得到的第一摘要值，用于在所述目标数据包的特征信息与所述包染色配置规则匹配成功后，将所述包染色类型值的内容设置为所述第一摘要值。

9、可选的，所述目标数据包的特征信息为利用目标摘要算法对所述目标数据包的包信息进行计算得到的第二摘要值；所述包信息为传输协议、源ip地址、目的ip地址、源mac地址、目的mac地址、终端用户名中的任意一种或几种信息；

10、相应的，所述目标数据包的特征信息与所述包染色配置规则匹配成功的条件为所述第一摘要值与所述第二摘要值相等。

11、可选的，若所述目标数据包不为基于传输控制协议的数据包，或所述目标数据包的头部不存在预设的包染色类型值，则将所述目标数据包转发至所述目的终端设备 。

12、可选的，网络接入点为无线接入点或有线接入点，所述将所述目标数据包转发至所述目的终端设备 ，包括：

13、若所述源网络接入点和所述目的网络接入点为无线接入点，则将所述目标数据包转发至无线网卡，以便所述无线网卡将所述目标数据包转换为无线信号后再发送至所述目的终端设备 ；

14、若所述源网络接入点和所述目的网络接入点为有线接入点，则将所述目标数据包通过有线网卡发送至所述目的终端设备 。

15、本技术的第二方面提供了一种网络微隔离方法，应用于源网络接入点，所述源网络接入点与源终端设备建立连接，所述方法包括：

16、接收源终端设备发送的目标数据包；

17、若所述目标数据包为基于传输控制协议的数据包，且所述目标数据包的特征信息与从网络控制器中获取的包染色配置规则匹配成功，则对所述目标数据包进行染色处理以在所述目标数据包的头部添加预设的包染色类型值；

18、将染色后的所述目标数据包转发至与目的终端设备连接的目的网络接入点处理。

19、可选的，所述将染色后的所述目标数据包转发至与目的终端设备建立连接的目的网络接入点处理，包括：

20、将染色后的所述目标数据包通过有线网卡转发至与目的终端设备连接的目的网络接入点处理。

21、可选的，若所述目标数据包不为基于传输控制协议的数据包，或，若特征信息与所述包染色配置规则匹配失败，则直接将所述目标数据包转发至与所述目的终端设备连接的目的网络接入点。

22、可选的，若所述源网络接入点和所述目的网络接入点为无线接入点，则所述目标数据包为所述源网络接入点中的无线网卡将所述源终端设备发送至目的终端设备的无线信号转换为数据帧后得到的数据包。

23、本技术的第三方面提供了一种网络微隔离装置，应用于目的网络接入点，所述目的网络接入点与目的终端设备建立连接，所述装置包括：

24、第一接收模块，用于接收与源终端设备建立连接的源网络接入点转发的目标数据包；

25、解析模块，用于若所述目标数据包为基于传输控制协议的数据包，且所述目标数据包的头部存在预设的包染色类型值，则对所述包染色类型值进行解析以得到相应的解析后包染色信息；

26、丢包模块，用于接收所述网络控制器发送的包染色配置规则，若所述解析后包染色信息与所述包染色配置规则匹配成功，则丢弃所述目标数据包。

27、本技术的第四方面提供了一种网络微隔离装置，应用于源网络接入点，所述源网络接入点与源终端设备建立连接，所述装置包括：

28、第二接收模块，用于接收源终端设备发送的目标数据包；

29、染色模块，用于若所述目标数据包为基于传输控制协议的数据包，且所述目标数据包的特征信息与从网络控制器中获取的包染色配置规则匹配成功，则对所述目标数据包进行染色处理以在所述目标数据包的头部添加预设的包染色类型值；

30、数据包转发模块，用于将染色后的所述目标数据包转发至与目的终端设备连接的目的网络接入点处理。

31、本技术的第五方面提供了一种电子设备，所述电子设备包括处理器和存储器；其中所述存储器用于存储计算机程序，所述计算机程序由所述处理器加载并执行以实现前述网络微隔离方法。

32、本技术的第六方面提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现前述网络微隔离方法。

33、本技术中，目的网络接入点先接收与源终端设备建立连接的源网络接入点转发的目标数据包；若所述目标数据包为基于传输控制协议的数据包，且所述目标数据包的头部存在预设的包染色类型值，则对所述包染色类型值进行解析以得到相应的解析后包染色信息；接收所述网络控制器发送的包染色配置规则，若所述解析后包染色信息与所述包染色配置规则匹配成功，则丢弃所述目标数据包。可见，本技术中的目的网络接入点与目的终端设备建立连接，目的网络接入点在获取到与源终端设备建立连接的源网络接入点转发的目标数据包后，需要判断该目标数据包是否为基于传输控制协议的数据包，以及判断目标数据包的头部是否存在预设的包染色类型值。若目标数据包为基于传输控制协议的数据包，且目标数据包的头部存在预设的包染色类型值，则对包染色类型值进行解析以得到相应的解析后包染色信息。进一步的，若解析后包染色信息与当前从网络控制器获取到的包染色配置规则匹配成功，则丢弃目标数据包，从而实现目的终端设备与源终端设备微隔离。其中，包染色配置规则可适用于所有网络设备，减少了设备成本，且本方案不依赖三层路由和交换机，减少了网络设备数量。