本發明實施例提供了一種基于網關的信息資產的發現方法，該方法包括：在進行網絡報文轉發的過程中，對接收到的網絡報文進行服務類型識別，得到網絡報文所要請求的網絡服務類型；對所述網絡報文進行網絡地址分析，得到所述網絡報文所要請求的目標設備的目標網絡地址；基于所述網絡服務類型和所述網絡地址，判斷網絡服務類型與網絡地址的映射關系表中是否存在與該網絡服務類型和網絡地址相同的映射記錄；基于判斷結果，執行響應于判斷結果的操作。本發明實施例的基于網關型設備對流經的網絡報文進行網絡服務識別和網絡地址分析，自動發現當前網絡中的各種資產的變化，不需要增加額外的設備，在原來的網絡架構上即可實現自動發現網絡資產的目的。

技術領域

本發明涉及網絡資產管理技術領域，尤其涉及一種基于網關的信息資產的發現方法和系統。

背景技術

網關是網絡通信中的一個術語，它通常代表用于不同網絡之間的隔離和互通的網絡設備。這類設備往往被設置在網絡的邊界，例如一個公司的寬帶出口，一個學校的外網出口，等等。

網關在網絡中的作用是非常重要的，保證內外網絡的互通是它的一個基本功能，而在此之上，網關還需要對內外網進行有效的隔離和防護，保障內部網絡的安全可控?；诎踩煽氐男枨?，衍生出一系列的網關型網絡安全設備，如防火墻、上網行為管理系統、UTM等。

網絡安全設備通常需要針對不同的網絡資產(如WEB服務器，郵件服務器、代碼服務器、數據庫等)進行不同的安全防護，以滿足業務和管理的需要。每個網絡資產一般會對應一個或者多個網絡地址，網絡安全設備通過這些網絡地址來區分各種網絡資產。

現有的網關型安全設備中，網絡管理員需要人工統計所有的網絡資產，并在網絡安全設備上進行相關的各種防護配置。每當網絡資產發生變化的時候(例如新增網絡資產、網絡資產的網絡地址發生變化等)，網絡管理員都需要修改相關的配置。

具體實現的技術方案有很多種不同的形式，但本質上來說，都是通過手動配置，建立起網絡地址與資產類型的對應關系，并將這種關系應用到安全防護的配置中去。

現有實現方法中，資產的發現需要由管理員手動完成。網絡中添加了新的網絡資產時，管理員必須知道這些變化，并在網關上進行相關的配置。當一個網絡規模較大的時候，網絡的用戶很多，每個用戶都可能增加或者減少網絡中的資產；原有的資產可能由于業務需求的變化，提供新的網絡服務，從而使得其網絡資產類型發生變化。這些網絡資產的變化(增加、減少、改變類型等)都需要網絡管理員及時進行響應。這種方式存在兩方面的問題。

缺點一：網絡管理員很難知曉所有的網絡資產變化情況，從而無法依據網絡資產的變化進行相應的防護調整。

缺點二：即使網絡管理員能夠知曉這些網絡資產的變化情況，也需要花費大量的時間進行相關的配置，無法做到自動化處理。

發明內容

本發明實施例的目的是提供一種基于網關的信息資產的發現方法和系統，能夠自動發現網絡中各種資產信息的變化(增加、減少、改變資產類型)，提高資產信息的識別效率。

根據本發明實施例的一個方面提供了一種基于網關的信息資產的發現方法，應用于網關設備，所述網關設備設置在內網與外網之間，所述方法包括：在進行網絡報文轉發的過程中，對接收到的網絡報文進行服務類型識別，得到所述網絡報文所要請求的網絡服務類型；對所述網絡報文進行網絡地址分析，得到所述網絡報文所要請求的目標設備的目標網絡地址；基于所述網絡服務類型和所述網絡地址，判斷網絡服務類型與網絡地址的映射關系表中是否存在與該網絡服務類型和網絡地址相同的映射記錄；基于判斷結果，執行響應于判斷結果的操作。

其中，基于判斷結果，執行響應于判斷結果的操作的步驟包括：當判斷結果為映射關系表中存在與該網絡服務類型和網絡地址不相同的映射記錄時，基于該網絡服務類型和網絡地址，生成該網絡服務類型與該目標網絡地址的新映射記錄。