具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请实施例提供了一种安全策略的下发方法，可以应用于局域网中的网络设备。该局域网中还可以包含访问控制设备(比如防火墙)、DHCP(DynamicHostConfigurationProtocol，动态主机配置协议)服务器、日志存储服务器和用户终端。如图1所示，为本申请实施例提供的一种网络系统的示意图。其中，网络设备可以分别与访问控制设备、DHCP服务器和日志存储服务器连接，访问控制设备可以通过接入设备与用户终端连接，以使用户终端通过访问控制设备访问互联网。

下面将结合具体实施方式，对本申请实施例提供的安全策略的下发方法进行详细的说明，如图2示，具体步骤如下：

步骤201，获取各用户的网络日志和预先存储的用户权限列表。

本申请实施例中，技术人员可以预先配置用户权限列表，该用户权限列表可以包含各用户的账户信息和权限信息的对应关系(即第一对应关系)。权限信息可以包括目的网络地址和处理动作。其中，目的网络地址可以为IP(Internet Protocol，互联网协议)地址、MAC(Media Access Control，媒体访问控制)地址等。处理动作可以是访问控制设备对通信报文的处理动作。如果安全策略中的处理动作为“放行”，则访问控制设备放行命中该安全策略的通信报文，以使用户访问目的网络地址对应的网络资源。如果安全策略中的处理动作为“丢弃”，则访问控制设备丢弃命中该安全策略的通信报文，以阻止该用户访问该网络资源。在一个示例中，用户权限列表包含的内容可以为<用户-目的IP地址-处理动作>。

在一种实现方式中，技术人员可以将用户权限列表存储在数据库中，则网络设备可以从数据库中获取该用户权限列表。另外，网络设备还可以获取网络中各用户的网络日志。该网络日志可以为系统登录日志或DHCP日志。当网络日志为系统登录日志时，网络设备可以从日志存储服务器中获取网络日志。当网络日志为DHCP日志时，网络设备可以从DHCP服务器中获取网络日志。

需要说明的，对于粗粒度的访问控制，安全策略中可以仅包含源网络地址、目的网络地址和处理动作，此时，用户权限列表中仅需包含<用户-目的网络地址-处理动作>。对于细粒度的访问控制，安全策略中可以还可以包含源端口、目的端口和通信协议中的一种或多种，相应的，用户权限列表中也需要包含上述信息中的一种或多种。在一个示例中，用户权限列表包含的内容可以为<用户-源端口-目的IP地址-目的端口-处理动作>。

步骤202，根据各用户的网络日志获取各用户的账户信息和源网络地址的第二对应关系。

本申请实施例中，网络设备获取到各用户的网络日志后，可以对网络日志进行解析，以便根据网络日志获取各用户的账户信息、以及每个账户信息对应的源网络地址。网络设备可以对应存储账户信息和源网络地址，以建立账户信息和源网络地址的对应关系(即第二对应关系)，该第二对应关系可称为用户网络列表。其中，源网络地址可以为源IP地址。

可选的，针对不同类型的网络日志，获取账户信息和源网络地址的对应关系的过程是不同的，本申请提供了几种示例，具体如下。

示例一、网络日志为系统登录日志。相应的，获取各用户的账户信息和源网络地址的第二对应关系的处理过程包括以下步骤。

步骤一、从各用户对应的系统登录日志中，提取登录账户的账户信息和源网络地址。

本申请实施例中，用户通过用户终端访问局域网时，用户可以使用个人账号通过局域网的准入系统或者远程VPN系统进行登录，同时，用户终端会发送DHCP发现消息。DHCP发现消息中携带有用户终端标识。其中，用户终端标识可以为用户终端的MAC地址或主机标识等。如果用户登录成功，则DHCP服务器会根据预先存储的地址分配策略，为用户终端分配IP地址，并向用户终端返回DHCP响应消息，该DHCP响应消息中携带有DHCP服务器分配给终端的IP地址和DHCP服务器的IP地址。用户终端则会以该IP地址为源IP地址接入局域网，上述过程可称为用户的上线过程。局域网中的日志存储服务器则可以针对该用户的上线过程进行日志记录，得到系统登录日志。系统登录日志中包含用户登录的账户信息(比如账号或用户ID等)、以及DHCP服务器为该用户终端分配的IP地址。

网络设备可以获取各用户的系统登录日志。针对每个用户，可以对该用户的系统登录日志进行解析，获取该用户所登录账户的账户信息、以及源网络地址。

步骤二、对应存储提取出的账户信息和源网络地址，得到第二对应关系。

本申请实施例中，针对每个用户，网络设备获取到该用户对应的账户信息和源网络地址后，可以对应存储提取出的账户信息和源网络地址，以建立账户信息和源网络地址的对应关系(即第二对应关系)。

示例二、网络日志为DHCP日志，相应的，获取各用户的账户信息和源网络地址的第二对应关系的处理过程包括以下步骤。

步骤一、从DHCP日志中获取用户终端标识和源网络地址的第三对应关系。

本申请实施例中，DHCP服务器也会记录本设备的日志(即DHCP日志)。基于示例一的用户的上线过程，DHCP日志中可以记录有用户终端标识和源网络地址的对应关系。网络设备可以从DHCP服务器中获取DHCP日志，进而从该DHCP日志中提取用户终端标识和源网络地址，然后对应存储用户终端标识和源网络地址，以建立用户终端标识和源网络地址的对应关系(即第三对应关系)。

步骤二、针对每个用户终端标识，在预先存储的用户终端标识和账户信息的对应关系和第三对应关系中，确定与该用户终端标识对应的第二账户信息和第二源网络地址。

本申请实施例中，由于每个用户使用的用户终端通常是固定的，例如，在某企业网中，各员工会使用固定的电脑。因此，可以预先配置用户终端标识和账户信息的对应关系，并存储在网络设备中。针对每个用户终端标识，网络设备可以在预先存储的用户终端标识和账户信息的对应关系中，确定与该用户终端标识对应的账户信息(为了便于区分，可称为第二账户信息)，并且，可以从上述第三对应关系中，确定与该用户终端标识对应的源网络地址(为了便于区分，可称为第二源网络地址)。

步骤三、对应存储第二账户信息和第二源网络地址，得到第二对应关系。

本申请实施例中，针对每个用户终端标识，网络设备获取到与该用户终端标识对应的第二账户信息和第二源网络地址后，可以对应存储该第二账户信息和该第二源网络地址，以建立账户信息和源网络地址的对应关系(即第二对应关系)。

步骤203，基于第一对应关系和第二对应关系中，与同一账户信息对应的源网络地址和权限信息，生成安全策略。

本申请实施例中，网络设备可以对用户权限列表和用户网络列表进行关联分析，从而得到安全策略。在一种实现方式中，网络设备可以在第一对应关系和第二对应关系中，确定与同一账户信息对应的源网络地址和权限信息，然后生成包含该源网络地址和该权限信息的安全策略。

可选的，步骤203的具体处理过程可以为：针对每个账户信息，从第一对应关系中获取与该账户信息对应的第一目的网络地址和第一处理动作、并从第二对应关系中获取与该账户信息对应的第一源网络地址；生成包含第一源网络地址、第一目的网络地址和第一处理动作的安全策略。

本申请实施例中，针对用户权限列表包含的每个账户信息，网络设备可以获取该账户信息在用户权限列表对应的第一权限信息(即第一目的网络地址和第一处理动作)，并且，可以在用户网络列表中，查找是否存在该账户信息对应的源网络地址(即第一源网络地址)。如果存在，则生成包含第一源网络地址、第一目的网络地址和第一处理动作的安全策略。如果未查找到该账户信息对应的第一源网络地址，则不生成安全策略。可选的，网络设备也可以先确定用户权限列表和用户网络列表中共同包含的账户信息，然后生成这些账户信息对应的安全策略。

在一个示例中，用户权限列表的内容如表一所示、用户网络列表如表二所示。

表一

表二

则根据表一和表二生成的安全策略如表三所示。

表三

步骤204，将生成的安全策略发送给访问控制设备，以使访问控制设备根据安全策略对各用户进行访问控制。

本申请实施例中，网络设备生成安全策略后，可以存储安全策略与账户信息的对应关系，并且，可以将生成的安全策略发送给访问控制设备。访问控制设备则可以接收并存储安全策略。后续，当访问控制设备接收到通信报文后，可以从通信报文中提取源网络地址和目的网络地址，并将提取出的网络地址与各安全策略进行匹配，以确定该通信报文命中的安全策略，进而根据命中的安全策略中的处理动作，对该通信报文进行处理，从而实现对用户的访问控制。例如，如果该安全策略中的处理动作为“放行”，则访问控制设备放行命中该安全策略的通信报文，以使用户访问目的网络地址对应的网络资源；如果安全策略中的处理动作为“丢弃”，则访问控制设备丢弃命中该安全策略的通信报文，以阻止该用户访问该网络资源。

可选的，安全策略的下发方式可以是多种多样的，本实施例提供了两种可行的实现方式，具体如下。

方式一、通过与访问控制设备对应的应用程序接口API接口，将生成的安全策略发送给访问控制设备。

本申请实施例中，网络设备与访问控制设备之间可以设置有API(ApplicationProgramming Interface,应用程序接口)，网络设备与访问控制设备之间可以通过API接口进行通信。基于此，网络设备可以通过API接口，将生成的安全策略发送给访问控制设备。

方式二、将生成的安全策略以远程命令的方式发送给访问控制设备。

本申请实施例中，如果网络设备与访问控制设备之间未设置有API，则网络设备可以模拟技术人员远程登录访问控制设备，然后，以远程命令的方式，将生成的安全策略发送给访问控制设备。

可选的，当网络设备检测到用户权限列表或用户网络列表发生更新时，可以实时更新安全策略，具体的过程为：当检测到目标账户信息对应的权限信息更新时，将目标账户信息对应的安全策略中的源网络地址，修改为更新后的权限信息，并重新下发该安全策略。以及，当检测到目标账户信息对应的源网络地址更新时，将目标账户信息对应的安全策略中的源网络地址，修改为更新后的源网络地址，并重新下发该安全策略。

本申请实施例中，技术人员可以修改数据库中某一账户信息(可称为目标账户信息)对应的权限信息(目的网络地址或处理动作)。例如，某用户的权限升级后，对目的地址A的资源的权限由不可访问变成可访问，则技术人员可以将数据库中的安全策略<目标账户信息-目的地址A-丢弃>修改为<目标账户信息-目的地址A-放行>。当修改完成后，数据库可以将目标账户信息以及修改后的权限信息发送给网络设备。网络设备则可以在本地存储的安全策略中，查找目标账户信息对应的安全策略(可称为目标安全策略)，然后将目标安全策略中的权限信息，修改为更新后的权限信息，并将更新后的安全策略重新下发给访问控制策略。可选的，在另一种实现方式中，网络设备也可以主动查询数据库是否有修改，如果有，则根据修改后的数据更新安全策略。

同理，由于用户终端的IP地址是动态分配的，具有预设的有效时长。当该IP地址过期后，DHCP服务器会重新为该用户终端分配IP地址。此时，日志存储服务器中会更新系统登录日志，更新后的系统登录日志中包含目标账户信息和新分配的IP地址(即源网络地址)。日志存储服务器可以将目标账户信息和新分配的源网络地址发送给网络设备。网络设备则会将目标账户信息对应的安全策略中的源网络地址，修改为更新后的源网络地址，并将更新后的安全策略重新下发给访问控制策略。可选的，在另一种实现方式中，网络设备也可以主动查询目标账户信息对应的系统登录日志是否更新，如果有更新，则根据更新后的源网络地址更新安全策略。

本申请实施例中，网络设备可以获取各用户的网络日志和预先存储的用户权限列表，用户权限列表包含各用户的账户信息和权限信息的第一对应关系，权限信息包括目的网络地址和处理动作。然后，根据各用户的网络日志获取各用户的账户信息和源网络地址的第二对应关系，进而基于第一对应关系和第二对应关系中，与同一账户信息对应的源网络地址和权限信息，生成安全策略，将生成的安全策略发送给访问控制设备，以使访问控制设备根据安全策略对各用户进行访问控制。通过本方案，网络设备可以自动生成安全策略并下发给访问控制设备，无需技术人员在各访问控制设备中手动配置安全策略，提高了配置安全策略的效率。并且，由于本方案中，是基于用户权限列表和用户网络列表生成安全策略，可以应用于当前使用的基于安全策略进行识别的防火墙设备，无需部署具有更多功能(比如应用层识别功能、网关功能)的下一代防火墙，从而降低了布网成本。另外，网络设备还可以检测用户的IP地址或权限信息是否发生变化，如果发生变化，可以重新生成安全策略并下发，无需技术人员重新配置，从而节省了人力成本。

图3为本申请实施例提供的一种安全策略的下发方法的示例的流程图，如图3所示，

步骤301，获取各用户的网络日志。

步骤302，获取预先存储的用户权限列表。

其中，用户权限列表包含各用户的账户信息和权限信息的第一对应关系，权限信息包括目的IP地址和处理动作。

步骤303，解析各用户的网络日志，得到各用户的账户信息和源IP地址的第二对应关系。

步骤304，针对每个账户信息，从第一对应关系中获取与该账户信息对应的第一目的IP地址和第一处理动作、并从第二对应关系中获取与该账户信息对应的第一源IP地址。

步骤305，生成包含第一源IP地址、第一目的IP地址和第一处理动作的安全策略。

步骤306，将安全策略发送给访问控制设备，以使访问控制设备根据安全策略对各用户进行访问控制。

基于相同的技术构思，本申请实施例还提供了一种安全策略的下发装置，如图4所示，该装置包括：

第一获取模块410，用于获取各用户的网络日志和预先存储的用户权限列表，用户权限列表包含各用户的账户信息和权限信息的第一对应关系，权限信息包括目的网络地址和处理动作；

第二获取模块420，用于根据各用户的网络日志获取各用户的账户信息和源网络地址的第二对应关系；

生成模块430，用于基于第一对应关系和第二对应关系中，与同一账户信息对应的源网络地址和权限信息，生成安全策略；

发送模块440，用于将生成的安全策略发送给访问控制设备，以使访问控制设备根据安全策略对各用户进行访问控制。

可选的，生成模块430，具体用于：

针对每个账户信息，从第一对应关系中获取与该账户信息对应的第一目的网络地址和第一处理动作、并从第二对应关系中获取与该账户信息对应的第一源网络地址；

生成包含第一源网络地址、第一目的网络地址和第一处理动作的安全策略。

可选的，网络日志为系统登录日志；

第二获取模块420，具体用于：

从各用户对应的系统登录日志中，提取登录账户的账户信息和源网络地址，并对应存储提取出的账户信息和源网络地址，得到第二对应关系。

可选的，网络日志为动态主机配置协议DHCP日志；

第二获取模块420，具体用于：

从DHCP日志中获取用户终端标识和源网络地址的第三对应关系；

针对每个用户终端标识，在预先存储的用户终端标识和账户信息的对应关系和第三对应关系中，确定与该用户终端标识对应的第二账户信息和第二源网络地址；

对应存储第二账户信息和第二源网络地址，得到第二对应关系。

可选的，发送模块440，具体用于：

通过与访问控制设备对应的应用程序接口API接口，将生成的安全策略发送给访问控制设备；或者，

将生成的安全策略以远程命令的方式发送给访问控制设备。

本申请实施例中，网络设备可以获取各用户的网络日志和预先存储的用户权限列表，用户权限列表包含各用户的账户信息和权限信息的第一对应关系，权限信息包括目的网络地址和处理动作。然后，根据各用户的网络日志获取各用户的账户信息和源网络地址的第二对应关系，进而基于第一对应关系和第二对应关系中，与同一账户信息对应的源网络地址和权限信息，生成安全策略，将生成的安全策略发送给访问控制设备，以使访问控制设备根据安全策略对各用户进行访问控制。通过本方案，网络设备可以自动生成安全策略并下发给访问控制设备，无需技术人员在各访问控制设备中手动配置安全策略，提高了配置安全策略的效率。

基于相同的技术构思，本发明实施例还提供了一种网络设备，如图5所示，包括处理器501、通信接口502、存储器503和通信总线504，其中，处理器501，通信接口502，存储器503通过通信总线504完成相互间的通信，

存储器503，用于存放计算机程序；

处理器501，用于执行存储器503上所存放的程序时，实现如下步骤：

获取各用户的网络日志和预先存储的用户权限列表，所述用户权限列表包含所述各用户的账户信息和权限信息的第一对应关系，所述权限信息包括目的网络地址和处理动作；

根据所述各用户的网络日志获取所述各用户的账户信息和源网络地址的第二对应关系；

基于所述第一对应关系和所述第二对应关系中，与同一账户信息对应的源网络地址和权限信息，生成安全策略；

将生成的安全策略发送给访问控制设备，以使所述访问控制设备根据所述安全策略对所述各用户进行访问控制。

可选的，所述基于所述第一对应关系和所述第二对应关系中，与同一账户信息对应的源网络地址和权限信息，生成安全策略，包括：

针对每个账户信息，从所述第一对应关系中获取与该账户信息对应的第一目的网络地址和第一处理动作、并从所述第二对应关系中获取与该账户信息对应的第一源网络地址；

生成包含所述第一源网络地址、所述第一目的网络地址和所述第一处理动作的安全策略。

可选的，所述网络日志为系统登录日志；

所述根据所述各用户的网络日志获取所述各用户的账户信息和源网络地址的第二对应关系，包括：

从所述各用户对应的系统登录日志中，提取登录账户的账户信息和源网络地址，并对应存储提取出的账户信息和源网络地址，得到第二对应关系。

可选的，所述网络日志为动态主机配置协议DHCP日志；

所述根据所述各用户的网络日志获取所述各用户的账户信息和源网络地址的第二对应关系，包括：

从所述DHCP日志中获取用户终端标识和源网络地址的第三对应关系；

针对每个用户终端标识，在预先存储的用户终端标识和账户信息的对应关系和所述第三对应关系中，确定与该用户终端标识对应的第二账户信息和第二源网络地址；

对应存储所述第二账户信息和所述第二源网络地址，得到第二对应关系。

可选的，所述将生成的安全策略发送给访问控制设备，包括：

通过与访问控制设备对应的应用程序接口API接口，将生成的安全策略发送给访问控制设备；或者，

将生成的安全策略以远程命令的方式发送给访问控制设备。

上述网络设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述网络设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在本发明提供的又一实施例中，还提供了一种计算机可读存储介质，该计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一安全策略的下发方法的步骤。

在本发明提供的又一实施例中，还提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述实施例中任一安全策略的下发方法。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅是本申请的具体实施方式，使本领域技术人员能够理解或实现本申请。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。