本申請實施例提供的一種網絡隔離方法、裝置、電子設備及存儲介質，由用于實現網絡隔離功能的客戶端和用于為客戶端提供技術支持的服務器實現網絡隔離功能，網絡環境中的主機上安裝客戶端，客戶端可以監聽其所屬主機發起的網絡訪問請求，獲取該網絡訪問請求中的數據包信息(數據包信息包括網絡五元組和目標信息，目標信息不同于網絡五元組)，進而基于利用網絡環境策略圖自動構建的至少一條策略信息對數據包信息進行判斷以確定網絡訪問請求的流轉狀態。基于此，本申請在提供適用于虛擬化網絡環境和物理網絡環境的網絡隔離方法的基礎上，降低了人工成本、提高了網絡隔離效率及網絡隔離的全面性。

技術領域

本發明涉及網絡通信技術領域，更具體地說，涉及一種網絡隔離方法、裝置、電子設備及存儲介質。

背景技術

網絡流量通常被劃分為東西向流量和南北向流量，東西向流量是內部網絡環境中主機之間的訪問流量，南北向流量是內網進出外網的流量。當前傳統網絡環境中實現東西向流量的網絡隔離的方案大致有如下幾種：

方案一，基于物理網絡交換機隔離方案，該方案通過調整物理機的網絡拓撲結構，將需要隔離的物理機掛載在同一套網絡交換機下，通過網絡交換機的訪問控制策略和內網的其他機器隔離。方案二，基于虛擬網絡交換機隔離方案，該方案通過使用虛擬化和隧道技術，利用SDN(Software?Defined?Network，軟件定義網絡)技術將訪問控制策略下發到宿主機的虛擬交換機上，實現虛擬機的網絡隔離。方案三，基于操作系統的網絡過濾模塊或防火墻服務實現網絡隔離的方案，該方案利用操作系統原生的防火墻技術(Windows系統的WFAS和Linux的IPTables)實現網絡隔離，主要用途是主機的網絡防護和軟件防火墻。

方案一，不僅網絡交換機能夠掛載的機器的數量有限，網絡隔離效率低；而且網絡交換機用于存儲訪問控制策略的空間有限，策略數量受限；并且，網絡交換機一般需要專業網絡運維人員進行訪問控制策略的維護，人工成本高、容易出錯。方案二，僅適用于虛擬化網絡環境，不適用于物理網絡環境。并且，不論方案一、方案二還是方案三，均存在由于訪問控制策略配置在網絡交換設備上，只能做到根據五元組完成網絡隔離，網絡隔離不全面、防護效果不理想。

發明內容

有鑒于此，本申請提供一種網絡隔離方法、裝置、電子設備及存儲介質，以在提供適用于虛擬化網絡環境和物理網絡環境的網絡隔離方法的基礎上，降低人工成本、提高網絡隔離效率及網絡隔離的全面性。技術方案如下：

一種網絡隔離方法，包括：

監聽并掛起主機發起的網絡訪問請求，獲取所述網絡請求的數據包信息；所述數據包信息包括網絡五元組和目標信息，所述目標信息不同于所述網絡五元組；

確定服務器響應對網絡環境策略圖的構建操作生成的所述網絡環境的至少一條策略信息，所述策略信息包括條件信息和動作信息；

檢測所述至少一條策略信息中是否存在條件信息被所述數據包信息命中的目標策略信息；

如果所述至少一條策略信息中存在條件信息被所述數據包信息命中的目標策略信息，根據所述目標策略信息的動作信息控制所述網絡訪問請求的流轉狀態。

優選的，所述監聽并掛起主機發起的網絡訪問請求，獲取所述網絡請求的數據包信息，包括：

利用響應主機進程發起操作在所述進程內存中植入的hook模塊，監聽所述進程發起的網絡訪問請求，掛起所述網絡訪問請求，并獲取所述網絡訪問請求的數據包信息；

或者，

根據在主機操作系統內核中植入的hook模塊，監聽所述主機的進程發起的網絡訪問請求，掛起所述網絡訪問請求，并獲取所述網絡訪問請求的數據包信息。

優選的，所述服務器響應對網絡環境策略圖的構建操作生成所述網絡環境的至少一條策略信息，包括：