(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211478955.9 (22)申请日 2022.11.24 (71)申请人 河北纬坤电子科技有限公司 地址 050000 河北省石家庄市新石北路3 68 号金石工业园2号楼西204室 (72)发明人 王志刚　周举　尹艳拴　刘士泽　 左宝廷　黄金凡　 (74)专利代理 机构 河北国维致远知识产权代理 有限公司 13137 专利代理师 秦敏华 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0893(2022.01) H04L 41/12(2022.01) (54)发明名称 访问控制策略配 置方法及电子设备 (57)摘要 本申请提供一种访问控制策略配置方法及 电子设备。 该方法包括： 第一电子设备获取目标 网络的网络拓扑图； 目标网络包括多个第二电子 设备， 网络拓扑图中的每个节 点指示目标网络中 的一个第二电子设备， 节点间的连线指示对应第 二电子设备间的通信关系； 针对每个节点， 第一 电子设备基于网络拓扑图中该节点的基本信息 和该节点的相连节点的基本信息生成该节点的 五元组信息； 第一电子设备向每个第二电子设备 发送与其对应的节点的五元 组信息； 各第二电子 设备接收到相应五元组信息后生成对应的访问 控制策略。 本申请能够快速完成 网络中各电子设 备的访问控制策略的配置， 提高了访问控制策略 配置的效率及正确率。 权利要求书2页 说明书12页 附图4页 CN 115514586 A 2022.12.23 CN 115514586 A 1.一种访问控制策略配置方法， 其特 征在于， 应用于第一电子设备， 所述方法包括： 获取目标网络的网络拓扑图； 所述目标网络包括多个第二电子设备， 所述第二电子设 备为服务器 或终端； 所述网络拓扑图中的每个节 点指示所述目标网络中的一个第二电子设 备， 每个节点的基本信息包括相应第二电子设备 的设备信息， 所述节点间的连线指示对应 第二电子设备间的通信关系； 针对每个所述节点， 基于所述网络拓扑图中该节点的基本信 息和该节点的相连节点的 基本信息生成该节点的五元组信息； 所述相连节点 为网络拓扑图中与该节点相连的节点； 向每个第二电子设备发送与其对应的节点的五元组信 息， 以使所述各第 二电子设备根 据相应五元组信息生成对应的访问控制策略。 2.根据权利要求1所述的访问控制策略配置方法， 其特征在于， 所述节点的基本信 息包 括第二电子设备的IP地址、 端口号和传输协议； 所述五元组信息包括源IP地址、 源端口号、 目标IP地址、 目标端口号和通信协议； 所述针对每个所述节点， 基于所述网络拓扑图中该节点的基本信 息和该节点的相连节 点的基本信息生成该节点的五元组信息， 包括： 针对每个所述节点， 执 行以下步骤： 针对该节点的每个相连节点， 以该节点的IP地址为源IP地址、 以该相连节点的IP地址 为目标IP地址生成与该相连节点对应的第一 五元组信息， 以使 该节点对应的第二电子 设备 根据相应第一五元组信息生成访问控制策略中的出站访问控制策略； 以该节点的IP地址为目标IP地址、 以该相连节点的IP地址为源IP地址生成与该相连节 点对应的第二五元组信息， 以使 该节点对应的第二电子 设备根据相应第二五元组信息生成 访问控制策略中的入站访问控制策略。 3.根据权利要求1所述的访问控制策略配置方法， 其特征在于， 所述向每个第 二电子设 备发送与其对应的节点的五元组信息， 包括： 根据所有所述节点的五元组信 息构建五元组信 息库， 向每个第 二电子设备发送所述五 元组信息库， 以使所述各第二电子 设备在接收到所述 五元组信息库后根据所述五元组信息 库确定与其对应的节点的五元组信息 。 4.根据权利要求1所述的访问控制策略配置方法， 其特征在于， 所述获取目标网络的网 络拓扑图， 包括： 显示图形用户界面， 所述图形用户界面包括节点列表区域， 拓扑图构建区域和节点配 置区域； 响应用户在所述节点列表区域的第 一输入操作， 在所述节点列表区域显示关于各第 二 电子设备的对象； 响应用户作用于所述节点列表区域中所述对象的拖拽操作， 在所述拓扑图构建区域中 显示所述对 象； 响应用户作用于所述拓扑图构建区域中所述对 象间的连接操作， 在所述拓 扑图构建区域中显示所述对 象间的连线； 以所述拓扑图构建区域中的对 象为节点， 以所述 拓扑图构建区域中对象间的连线为节点间的连线， 构成目标网络的网络 拓扑图； 响应用户在所述节点配置区域的第 二输入操作， 在所述节点配置区域显示所述各对象 相应第二电子设备的设备信息， 作为节点的基本信息 。 5.一种访问控制策略配置方法， 其特征在于， 应用于目标网络 中的各第 二电子设备， 所权　利　要　求　书 1/2 页 2 CN 115514586 A 2述第二电子设备为 服务器或终端， 所述方法包括： 接收第一电子设备发送的与该第二电子设备对应的节点的五元组信息； 根据所述五元组信息生成对应的访 问控制策略， 以使在接收或发送数据包时， 在所述 数据包的匹配信息与所述访问控制策略匹配时执 行接收或发送所述数据包。 6.根据权利要求5所述的访问控制策略配置方法， 其特征在于， 所述接收第 一电子设备 发送的与该第二电子设备对应的节点的五元组信息， 包括： 接收第一电子设备发送的五元组信息库； 从所述五元组信息库中查找与该第二电子设备的设备信息对应的五元组信息 。 7.根据权利要求6所述的访问控制策略配置方法， 其特征在于， 所述设备信 息包括第 二 电子设备的IP地址、 端口号和传输协议； 所述五元组信息包括源IP地址、 源端口号、 目标IP 地址、 目标端口号和通信协议； 所述从所述五元组信 息库中查找与 该第二电子设备的设备信 息对应的五元组信 息， 包 括： 将所述五元组信息库中源IP地址与该第二电子设备的IP地址相同的五元组信息作为 第一候选信息， 以及将所述 五元组信息库中目标IP地址与该第二电子 设备的IP地址相同的 五元组信息作为第二 候选信息； 根据所述第一 候选信息和所述第二 候选信息构成对应的五元组信息 。 8.根据权利要求5所述的访问控制策略配置方法， 其特征在于， 所述五元组信 息包括第 一五元组信息和 第二五元组信息； 所述访问控制策略包括出站访问控制策略和入站访问控 制策略； 所述根据所述五元组信息生成对应的访问控制策略， 包括： 根据所述第一五元组信息生成出站访 问控制策略， 以使在发送数据包时， 在所述数据 包的匹配信息与所述出站访问控制策略匹配时执 行发送所述数据包； 根据所述第二五元组信息生成入站访 问控制策略， 以使在接收数据包时， 在所述数据 包的匹配信息与所述入站访问控制策略匹配时执 行接收所述数据包。 9.一种电子设备， 包括存储器和 处理器， 所述存储器中存储有可在所述处理器上运行 的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求1至4任一 项所述的访问控制策略配置方法。 10.一种电子设备， 包括存储器和处理器， 所述存储器中存储有可在所述处理器上运行 的计算机程序， 其特征在于， 所述处理器执行所述计算机程序时实现如权利要求5至8任一 项所述的访问控制策略配置方法。权　利　要　求　书 2/2 页 3 CN 115514586 A 3