CN104717182A - 网络防火墙的安全策略部署方法和装置 - Google Patents
网络防火墙的安全策略部署方法和装置 Download PDFInfo
- Publication number
- CN104717182A CN104717182A CN201310684430.5A CN201310684430A CN104717182A CN 104717182 A CN104717182 A CN 104717182A CN 201310684430 A CN201310684430 A CN 201310684430A CN 104717182 A CN104717182 A CN 104717182A
- Authority
- CN
- China
- Prior art keywords
- business unit
- security strategy
- level
- network firewall
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种网络防火墙的安全策略部署方法和装置,所述安全策略包括至少两个业务单元,所述安全策略部署方法包括:按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及对所述网络防火墙部署所述策略变化部分。根据本发明实施例的安全策略部署方法,能够有效降低安全策略部署所需的时间以及部署过程中的风险,从而保证了网络运维的稳定性。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种网络防火墙的安全策略部署方法和装置。
背景技术
目前,防火墙已经在企业网络中广泛应用。并且,一般来说,防火墙的访问控制策略(以下又称为防火墙策略或安全策略)的变化很频繁,以能够尽量实时地满足企业对网络信息安全的需求。
在现有技术中,通常以先删除、再部署的方式来进行防火墙策略的修改。具言之,当要修改某个网络设备的防火墙策略时,通常先将已部署该网络设备的原防火墙策略删除,再将新防火墙策略部署至该网络设备,以使得该网络设备能够基于新防火墙策略进行网络访问控制。
这种方式不仅耗时较长,而且风险较高。
发明内容
技术问题
有鉴于此,本发明要解决的技术问题是,如何尽量降低安全策略部署所需的时间以及部署过程中的风险。
解决方案
为了解决上述技术问题,根据本发明的一实施例,提供了一种网络防火墙的安全策略部署方法,所述安全策略包括至少两个业务单元,包括:按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及对所述网络防火墙部署所述策略变化部分。
对于上述安全策略部署方法,在一种可能的实现方式中,按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,包括以下至少一种情况:若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元;若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较,并重复上述处理;对所述网络防火墙部署所述策略变化部分,包括以下至少一种情况:对所述网络防火墙部署所述新增业务单元;将所述删除业务单元从所述网络防火墙删除;修改所述变化业务单元的业务代码。
对于上述安全策略部署方法,在一种可能的实现方式中,对所述网络防火墙部署所述新增业务单元,包括以下至少一种情况:若所述新增业务单元没有被上一层级的业务单元引用,则将所述新增业务单元写入所述网络防火墙;若所述新增业务单元被上一层级的业务单元引用,则将所述新增业务单元写入所述原安全策略,然后将所述上一层级的业务单元与所述新增业务单元的引用关系写入所述原安全策略;或者,将所述删除业务单元从所述网络防火墙删除,包括以下至少一种情况:若所述删除业务单元没有被上一层级的业务单元引用,则将被所述删除业务单元引用的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除;若所述删除业务单元被上一层级的业务单元引用,则将所述上一层级的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除。
对于上述安全策略部署方法,在一种可能的实现方式中,按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分之前,还包括:根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值;以及加载所述原安全策略的CRC值,其中,所述新安全策略的CRC值包括所述新安全策略的所有业务单元的CRC值,所述原安全策略的CRC值包括所述原安全策略的所有业务单元的CRC值;按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,包括以下至少一种情况:若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元;若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但CRC值有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较,并重复上述处理。
对于上述安全策略部署方法,在一种可能的实现方式中,根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值,包括:按所述业务单元的层级逐层计算所述新安全策略的业务单元的CRC值,并且某一层级的业务单元的CRC值包括该业务单元引用的下一层级的业务单元的CRC值。
为了解决上述技术问题,根据本发明的一实施例,提供了一种网络防火墙的安全策略部署装置,所述安全策略包括至少两个业务单元,包括:比较模块,用于按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及部署模块,与所述比较模块连接,用于对所述网络防火墙部署所述策略变化部分。
对于上述安全策略部署装置,在一种可能的实现方式中,所述比较模块包括:第一比较器,用于比较所述新安全策略在某一层级包括的业务单元的类型与所述原安全策略在该层级包括的业务单元的类型是否相同,并且若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元,若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;第二比较器,与所述第一比较器连接,用于将所述新安全策略在某一层级的业务单元与所述原安全策略在该层级的相同类型的业务单元的业务代码进行比较,并且若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元输出至所述第一比较器进行比较;所述部署模块被配置为执行以下至少一种操作:对所述网络防火墙部署所述新增业务单元;将所述删除业务单元从所述网络防火墙删除;修改所述变化业务单元的业务代码。
对于上述安全策略部署装置,在一种可能的实现方式中,还包括判断模块,所述判断模块与所述比较模块以及所述部署模块连接,用于判断所述新增业务单元以及所述删除业务单元是否被上一层级的业务单元引用;并且,所述部署模块被配置为执行以下至少一种操作:若所述新增业务单元没有被上一层级的业务单元引用,将所述新增业务单元写入所述网络防火墙;若所述新增业务单元被上一层级的业务单元引用,将所述新增业务单元写入所述原安全策略,然后将所述上一层级的业务单元与所述新增业务单元的引用关系写入所述原安全策略;若所述删除业务单元没有被上一层级的业务单元引用,将被所述删除业务单元引用的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除;若所述删除业务单元被上一层级的业务单元引用,将所述上一层级的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除。
对于上述安全策略部署装置,在一种可能的实现方式中,还包括:计算模块,与所述比较模块连接,用于根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值;以及加载模块,与所述计算模块连接,用于加载所述原安全策略的CRC值,其中,所述新安全策略的CRC值包括所述新安全策略的所有业务单元的CRC值,所述原安全策略的CRC值包括所述原安全策略的所有业务单元的CRC值;所述第二比较器具体被配置为,将所述新安全策略在某一层级的业务单元与所述原安全策略在该层级的相同类型的业务单元的CRC值进行比较,并且若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但CRC值有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元输出至所述第一比较器进行比较。
对于上述安全策略部署装置,在一种可能的实现方式中,所述计算模块具体被配置为:按所述业务单元的层级逐层计算所述新安全策略的业务单元的CRC值,并且某一层级的业务单元的CRC值包括该业务单元引用的下一层级的业务单元的CRC值。
有益效果
通过首先确定网络防火墙中原安全策略的变化部分,然后仅针对所述变化部分进行部署,本发明的网络防火墙的安全策略部署方法,能够有效降低安全策略部署所需的时间以及部署过程中的风险。
根据下面参考附图对示例性实施例的详细说明,本发明的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本发明的示例性实施例、特征和方面,并且用于解释本发明的原理。
图1示出本发明实施例的网络防火墙的安全策略的数据模型;
图2示出根据本发明一实施例的网络防火墙的安全策略部署方法的流程图;
图3示出根据本发明一实施例的确定策略变化部分的方法的流程图;
图4a示出根据本发明一实施例的对网络防火墙部署新增业务单元的流程图;
图4b示出根据本发明一实施例的将删除业务单元从网络防火墙删除的流程图;
图5示出根据本发明又一实施例的网络防火墙的安全策略部署方法的流程图;
图6示出根据本发明一实施例的确定变化业务单元的流程图;
图7示出根据本发明一实施例的网络防火墙的安全策略部署方法的流程示意图;
图8示出根据本发明一实施例的网络防火墙的安全策略部署装置的结构框图;
图9示出根据本发明另一实施例的网络防火墙的安全策略部署装置的结构框图;
图10示出根据本发明另一实施例的网络防火墙的安全策略部署装置的结构框图;
图11示出根据本发明又一实施例的网络防火墙的安全策略部署装置的结构框图。
具体实施方式
以下将参考附图详细说明本发明的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本发明,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本发明同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本发明的主旨。
实施例1
本发明实施例的网络防火墙的安全策略的数据模型如图1所示,安全策略secpolicy包括至少两个业务单元,图1所示的每个结点均为一个业务单元。除了顶层的结点安全策略secpolicy,访问控制策略、IPS策略以及应用控制策略等结点为公共资源策略业务单元,也可以被其他安全策略引用。以业务单元fwpolicy(访问控制策略)、业务单元ipspolicy(IPS策略)、业务单元signature-set(签名集)、业务单元signature(覆盖签名)、业务单元address-set(地址集)、业务单元service-set(服务集)为例,构建业务单元模型可以包括以下两个方面。
第一方面、定义业务单元的实现类,也就是将业务单元与实现该业务单元的业务代码对应,所述业务代码主要用于表示该业务单元的具体内容,例如:
<mapping>
<item id="ipspolicy">com.hs.vsm.secservice.service.feature.ips.IPSPolicy</item>
<item id="signature-set">com.hs.vsm.secservice.service.feature.ips.SignatureSet</item>
<item id="signature">com.hs.vsm.secservice.service.feature.ips.Signature</item>
<item id="fwpolicy">com.hs.vsm.secservice.service.feature.fwpolicy.FirewallPolicy</item>
</mapping>
第二方面、定义业务单元的依赖关系,也就是业务单元之间的引用关系:
<mapping>
<item id="secpolicy">ipspolicy</item>
<item id="secpolicy">fwpolicy</item>
<item id="ipspolicy">signature-set</item>
<item id="ipspolicy">signature</item>
<item id="fwpolicy">address-set</item>
<item id="fwpolicy">service-set</item>
<mapping>
图2示出根据本发明一实施例的网络防火墙的安全策略部署方法的流程图。如图2所示,该安全策略部署方法主要包括:
步骤S210、按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及
步骤S220、对所述网络防火墙部署所述策略变化部分。
这样通过首先确定网络防火墙中原安全策略的变化部分,然后仅针对所述变化部分进行部署,本实施例的网络防火墙的安全策略部署方法,能够有效降低安全策略部署所需的时间以及部署过程中的风险,从而保证了网络运维的稳定性。
实施例2
图3示出根据本发明一实施例的确定策略变化部分的方法的流程图,也就是实施例1中步骤S210的具体实现流程图,如图3所示,在一种可能的实现方式中,在某一层级,步骤S210可以具体包括:
步骤S310、判断所述新安全策略是否包括所述原安全策略所不包括的类型的业务单元;
步骤S320、在步骤S310的判断结果为是的情况下,将该业务单元记录为新增业务单元;
步骤S330、在步骤S310的判断结果为否的情况下,判断所述原安全策略是否包括所述新安全策略所不包括的类型的业务单元;
步骤S340、在步骤S330的判断结果为是的情况下,将该业务单元记录为删除业务单元;
步骤S350、在步骤S330的判断结果为否的情况下,判断新安全策略是否包括与原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元;具体地,可以通过将新安全策略的业务单元的业务代码与原安全策略的业务单元的业务代码逐一比较,以确定业务代码是否有变化,也可以按照预定规则仅比较部分业务代码比如仅比较奇数位的业务代码或者仅比较业务代码的开头部分与结尾部分;
步骤S360、在步骤S350的判断结果为是的情况下,判断该业务单元是否引用了下一层级的业务单元;
步骤S370、在步骤S360的判断结果为否的情况下,将该业务单元记录为变化业务单元。
需要说明的是,在步骤S350的判断结果为否的情况下,说明在该层级没有策略变化部分,无需再进行下一层级的业务单元的比较。在步骤S360的判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较,并重复上述处理。
也就是说,按照业务单元的层级关系逐层比较以确定策略变化部分,首先从策略的最高层级业务单元比较,其中,所述最高层级业务单元没有被业务单元引用。如果新安全策略包括原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元;如果原安全策略包括新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;如果所述原安全策略与所述新安全策略在最高层级的业务单元的业务代码一致,则可以判断本次策略没有发生变化,因此本次部署跳过,不用处理。如果不一致,则按照上述处理比较所述新安全策略在下一层级的业务单元与所述原安全策略在所述下一层级的业务单元,直至所述下一层级的业务单元没有再引用业务单元为止,将业务代码不一致的业务单元记录为变化业务单元。
这样,通过按照业务单元的层级关系从高到低逐层比较,如果新安全策略与原安全策略在某一层级的业务单元的业务代码一致,则无需进行下一层级的比较,本实施例能够提高确定策略变化部分的效率,避免不必要的计算,从而进一步减少了部署安全策略过程所需的时间。
实施例3
图4a和图4b示出根据本发明一实施例的对所述网络防火墙部署策略变化部分的方法的流程图,也就是实施例1中步骤S220的具体实现流程图。
在一种可能的实现方式中,在某一层级,步骤S220可以具体包括三个方面:对所述网络防火墙部署所述新增业务单元、将所述删除业务单元从所述网络防火墙删除,修改所述变化业务单元的业务代码。
具体地,如图4a所示,对所述网络防火墙部署所述新增业务单元,包括:
步骤S410、判断所述新增业务单元是否被上一层级的业务单元引用;
步骤S420、在步骤S410的判断结果为否的情况下,也就是说,所述新增业务单元为所述网络防火墙中新增的安全策略,将所述新增业务单元写入所述网络防火墙,即按照实施例1所述的业务单元模型在所述网络防火墙中构建新安全策略;
步骤S430、在步骤S410的判断结果为是的情况下,也就是说,所述新增业务单元为所述网络防火墙中原安全策略新增的业务单元,将所述新增业务单元写入所述原安全策略,并将所述上一层级的业务单元与所述新增业务单元的引用关系写入所述原安全策略。
如图4b所示,将所述删除业务单元从所述网络防火墙删除,包括:
步骤S411、判断所述删除业务单元是否被上一层级的业务单元引用;
步骤S422、在步骤S411的判断结果为否的情况下,也就是说,所述删除业务单元为所述网络防火墙中需要删除的安全策略,将被所述删除业务单元引用的业务单元与所述删除业务单元之间的引用关系从所述网络防火墙中的原安全策略中删除;
步骤S433、在步骤S411的判断结果为是的情况下,也就是说,所述删除业务单元为所述网络防火墙的原安全策略中需要删除的业务单元,将所述上一层级的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除。
在网络防火墙的原安全策略中修改所述变化业务单元的业务代码,可以通过Java反射,找到差异的参数,并通过命令行模板感知哪些命令行发生了变化,然后将所述命令行替换为所述变化业务单元相应的命令行。
本实施例仅部署网络防火墙中策略变化的部分,也就是说,仅对发生变化的安全策略进行下发,未变化的安全策略保持不变,这样可以减少网络防火墙中安全策略的不必要变动,因此能够有效降低安全策略部署过程中的风险,提高了网络运维的稳定性。
另外,在需要删除网络防火墙中某安全策略的时候,仅将所述安全策略与所述安全策略引用的安全策略之间的对应关系删除,或者将所述安全策略与引用所述安全策略的安全策略之间的对应关系删除,能够实现因网络或其他原因导致策略下发失败后,继续在上次失败处增量下发策略,无需重新下发,提高了策略下发效率。
实施例4
本实施例的网络防火墙的安全策略的数据模型仍可以参考如图1所示,与上述实施例不同的是,本实施例通过比较新安全策略与原安全策略的CRC(Cyclical Redundancy Check,循环冗余码校验)值,来确定策略变化部分。
CRC是利用除法及余数的原理来作错误侦测(Error Detecting)的。实际应用时,发送装置计算出CRC值并随数据一同发送给接收装置,接收装置对收到的数据重新计算CRC并与收到的CRC相比较,若两个CRC值不同,则说明数据通讯出现错误。不同字符串计算出的CRC是不一样的,基于这个原理,可以将长字符串或对象计算出CRC值进行比较,可以大大提高比较效率。
具体地,如图5所示,图5中标号与图2相同的组件具有相同的功能,为简明起见,省略对这些组件的详细说明。图5示出的网络防火墙的安全策略部署方法的流程图与图2的主要区别在于,在一种可能的实现方式中,实施例1中步骤S210之前,还包括:
步骤S510、根据所述业务单元的业务代码计算所述新安全策略的CRC值,具体地,按所述业务单元的层级逐层计算所述新安全策略的业务单元的CRC值,并且某一层级的业务单元的CRC值包括该业务单元引用的下一层级的业务单元的CRC值;以及
步骤S520、加载所述原安全策略的CRC值,其中,所述新安全策略的CRC值包括所述新安全策略的所有业务单元的CRC值,所述原安全策略的CRC值包括所述原安全策略的所有业务单元的CRC值。
本实施例的步骤S210的具体实现步骤可以参考图3以及实施例2所述,不同的是,如图6所示,本实施例的判断变化业务单元的步骤包括:步骤S610、判断新安全策略是否包括与原安全策略中的业务单元相比类型相同、但CRC值有变化的业务单元;以及在步骤S610的判断结果为是的情况下,执行步骤S360、并在步骤S360的判断结果为否的情况下执行步骤S370,在步骤S610的判断结果为否的情况下,说明在该层级没有策略变化部分,无需再进行下一层级的业务单元的比较。
图7为本实施例的安全策略部署方法的流程示意图,如图7所示,部署准备过程即为步骤S510和步骤S520,其中,网管数据为所述新安全策略,历史部署数据为所述原安全策略。增量比较过程即为步骤S210,其中,增量比较过程中确定变化业务单元的步骤采用图6所示的流程图。
从图7中可以看出,计算业务单元的CRC值的过程也就是数据准备过程是从底层往上层进行的,而增量比较过程是从上层往底层进行的。这是由于计算某一层级的业务单元的CRC值需要所述业务单元引用的下一层级的业务单元的CRC值,而在增量比较过程中,如果在某一层级,原安全策略与新安全策略的业务单元的CRC值一致,则无需比较下一层级的业务单元的CRC值,避免了不必要的计算。
这样,本实施例通过在业务单元比较时引入CRC的处理方式,将业务单元的内容通过反射的方法组合成一个字符串,转化成一个long型的数值,能够提高比较的速度,从而能够进一步减少部署安全策略过程所需的时间。
本实施例的步骤S220的具体实现步骤可以参考图4a、图4b以及实施例3所述,并能够实现与实施例3相同的有益效果。
实施例5
图8示出根据本发明一实施例的网络防火墙的安全策略部署装置的结构框图,如图8所述,该装置包括:比较模块810以及部署模块820。其中,比较模块810用于按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;部署模块820与比较模块810连接,用于对所述网络防火墙部署所述策略变化部分。
在一种可能的实现方式中,所述安全策略包括至少两个业务单元。本发明实施例的网络防火墙的安全策略的数据模型可以参考图1以及实施例1的相关描述。
在一种可能的实现方式中,如图9所示,比较模块810包括第一比较器811和第二比较器812。其中,第一比较器811用于比较所述新安全策略在某一层级包括的业务单元的类型与所述原安全策略在该层级包括的业务单元的类型是否相同,并且若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元,若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;第二比较器812与第一比较器811连接,用于将所述新安全策略在某一层级的业务单元与所述原安全策略在该层级的相同类型的业务单元的业务代码进行比较,并且若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元输出至第一比较器811进行比较。比较模块810的具体实现机制可以参考实施例2以及图3所述。
在一种可能的实现方式中,部署模块820被配置为:对所述网络防火墙部署所述新增业务单元;将所述删除业务单元从所述网络防火墙删除;修改所述变化业务单元的业务代码。
在一种可能的实现方式中,如图10所示,该装置还包括判断模块830。判断模块830与比较模块810以及部署模块820连接,用于判断所述新增业务单元以及所述删除业务单元是否被上一层级的业务单元引用;并且,部署模块820被配置为:若所述新增业务单元没有被上一层级的业务单元引用,将所述新增业务单元写入所述网络防火墙;若所述新增业务单元被上一层级的业务单元引用,将所述新增业务单元写入所述原安全策略,然后将所述上一层级的业务单元与所述新增业务单元的引用关系写入所述原安全策略;以及若所述删除业务单元没有被上一层级的业务单元引用,将被所述删除业务单元引用的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除;若所述删除业务单元被上一层级的业务单元引用,将所述上一层级的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除。判断模块830以及部署模块820的具体实现机制可以参考实施例3以及图4a和图4b所述。
在一种可能的实现方式中,如图10所示,该装置还包括计算模块840以及加载模块850。其中,计算模块840与比较模块810连接,用于根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值;加载模块850与比较模块810连接,用于加载所述原安全策略的CRC值,其中,所述新安全策略的CRC值包括所述新安全策略的所有业务单元的CRC值,所述原安全策略的CRC值包括所述原安全策略的所有业务单元的CRC值;第二比较器812具体被配置为,将所述新安全策略在某一层级的业务单元与所述原安全策略在该层级的相同类型的业务单元的CRC值进行比较,并且若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但CRC值有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元输出至第一比较器811进行比较。
在一种可能的实现方式中,计算模块840具体被配置为:按所述业务单元的层级逐层计算所述新安全策略的业务单元的CRC值,并且某一层级的业务单元的CRC值包括该业务单元引用的下一层级的业务单元的CRC值。计算模块840以及加载模块850的具体实现机制可以参考实施例4以及图5至图7所述。
本实施例首先通过比较模块确定网络防火墙中原安全策略的变化部分,然后通过部署模块仅部署网络防火墙中策略变化的部分,也就是说,仅对发生变化的安全策略进行下发,未变化的安全策略保持不变,这样可以减少网络防火墙中安全策略的不必要变动,因此能够有效降低安全策略的部署过程对网络设备正常业务的影响,提高了网络运维的稳定性。
另外,在业务单元比较时,通过计算模块计算业务单元的CRC值,将业务单元的内容通过反射的方法组合成一个字符串,转化成一个long型的数值,能够提高比较的速度,从而能够进一步减少部署安全策略过程所需的时间。
实施例6
图11为本发明又一实施例的网络防火墙的安全策略部署装置的结构框图。所述安全策略部署装置1100可以是具备计算能力的主机服务器、个人计算机PC、或者可携带的便携式计算机或终端等。本发明具体实施例并不对计算节点的具体实现做限定。
所述安全策略部署装置1100包括处理器(processor)1110、通信接口(Communications Interface)1120、存储器(memory)1130和总线1140。其中,处理器1110、通信接口1120、以及存储器1130通过总线1140完成相互间的通信。
通信接口1120用于与网元通信,其中网元包括例如虚拟机管理中心、共享存储等。
处理器1110用于执行程序。处理器1110可能是一个中央处理器CPU,或者是专用集成电路ASIC(Application Specific Integrated Circuit),或者是被配置成实施本发明实施例的一个或多个集成电路。
存储器1130用于存储文件。存储器1130可能包含高速RAM容器,也可能还包括非易失性容器(non-volatile memory),例如至少一个磁盘容器。存储器1130也可以是容器阵列。存储器1130还可能被分块,并且所述块可按一定的规则组合成虚拟卷。
在一种可能的实施方式中,上述程序可为包括计算机操作指令的程序代码。处理器1110通过运行该程序,具体可用于:按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及对所述网络防火墙部署所述策略变化部分。
在一种可能的实施方式中,按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,包括以下至少一种情况:若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元;若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较,并重复上述处理;对所述网络防火墙部署所述策略变化部分,包括以下至少一种情况:对所述网络防火墙部署所述新增业务单元;将所述删除业务单元从所述网络防火墙删除;修改所述变化业务单元的业务代码。
在一种可能的实施方式中,对所述网络防火墙部署所述新增业务单元,包括以下至少一种情况:若所述新增业务单元没有被上一层级的业务单元引用,则将所述新增业务单元写入所述网络防火墙;若所述新增业务单元被上一层级的业务单元引用,则将所述新增业务单元写入所述原安全策略,然后将所述上一层级的业务单元与所述新增业务单元的引用关系写入所述原安全策略;或者,将所述删除业务单元从所述网络防火墙删除,包括以下至少一种情况:若所述删除业务单元没有被上一层级的业务单元引用,则将被所述删除业务单元引用的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除;若所述删除业务单元被上一层级的业务单元引用,则将所述上一层级的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除。
在一种可能的实施方式中,按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分之前,还包括:根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值;以及加载所述原安全策略的CRC值,其中,所述新安全策略的CRC值包括所述新安全策略的所有业务单元的CRC值,所述原安全策略的CRC值包括所述原安全策略的所有业务单元的CRC值;按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,包括以下至少一种情况:若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元;若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但CRC值有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较,并重复上述处理。
在一种可能的实施方式中,根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值,包括:按所述业务单元的层级逐层计算所述新安全策略的业务单元的CRC值,并且某一层级的业务单元的CRC值包括该业务单元引用的下一层级的业务单元的CRC值。
根据本实施例的安全策略部署装置,与实施例5所述的安全策略部署装置所解释的类似,本领域人员应能理解,前述的可能的实现方式均可应用于本实施例并能获得相同的有益效果,这里不再赘述。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
Claims (10)
1.一种网络防火墙的安全策略部署方法,其特征在于,所述安全策略包括至少两个业务单元,包括:
按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及
对所述网络防火墙部署所述策略变化部分。
2.根据权利要求1所述的安全策略部署方法,其特征在于,
按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,包括以下至少一种情况:
若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元;
若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;
若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较,并重复上述处理;
对所述网络防火墙部署所述策略变化部分,包括以下至少一种情况:
对所述网络防火墙部署所述新增业务单元;
将所述删除业务单元从所述网络防火墙删除;
修改所述变化业务单元的业务代码。
3.根据权利要求2所述的安全策略部署方法,其特征在于,
对所述网络防火墙部署所述新增业务单元,包括以下至少一种情况:
若所述新增业务单元没有被上一层级的业务单元引用,则将所述新增业务单元写入所述网络防火墙;
若所述新增业务单元被上一层级的业务单元引用,则将所述新增业务单元写入所述原安全策略,然后将所述上一层级的业务单元与所述新增业务单元的引用关系写入所述原安全策略;
或者,将所述删除业务单元从所述网络防火墙删除,包括以下至少一种情况:
若所述删除业务单元没有被上一层级的业务单元引用,则将被所述删除业务单元引用的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除;
若所述删除业务单元被上一层级的业务单元引用,则将所述上一层级的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除。
4.根据权利要求1至3中任一项所述的安全策略部署方法,其特征在于,按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分之前,还包括:
根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值;以及
加载所述原安全策略的CRC值,其中,所述新安全策略的CRC值包括所述新安全策略的所有业务单元的CRC值,所述原安全策略的CRC值包括所述原安全策略的所有业务单元的CRC值;
按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,包括以下至少一种情况:
若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元;
若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;
若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但CRC值有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元进行比较,并重复上述处理。
5.根据权利要求4所述的安全策略部署方法,其特征在于,根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值,包括:
按所述业务单元的层级逐层计算所述新安全策略的业务单元的CRC值,并且某一层级的业务单元的CRC值包括该业务单元引用的下一层级的业务单元的CRC值。
6.一种网络防火墙的安全策略部署装置,其特征在于,所述安全策略包括至少两个业务单元,包括:
比较模块,用于按所述业务单元的层级和属性将待部署到网络防火墙的新安全策略与所述网络防火墙已部署的原安全策略进行比较,以确定策略变化部分,其中所述业务单元的属性包括类型和业务代码,所述业务单元的层级表示所述业务单元之间的引用关系;以及
部署模块,与所述比较模块连接,用于对所述网络防火墙部署所述策略变化部分。
7.根据权利要求6所述的安全策略部署装置,其特征在于,
所述比较模块包括:
第一比较器,用于比较所述新安全策略在某一层级包括的业务单元的类型与所述原安全策略在该层级包括的业务单元的类型是否相同,并且若在某一层级,所述新安全策略包括所述原安全策略所不包括的类型的业务单元,则将该业务单元记录为新增业务单元,若在某一层级,所述原安全策略包括所述新安全策略所不包括的类型的业务单元,则将该业务单元记录为删除业务单元;
第二比较器,与所述第一比较器连接,用于将所述新安全策略在某一层级的业务单元与所述原安全策略在该层级的相同类型的业务单元的业务代码进行比较,并且若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但业务代码有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元输出至所述第一比较器进行比较;
所述部署模块被配置为执行以下至少一种操作:
对所述网络防火墙部署所述新增业务单元;
将所述删除业务单元从所述网络防火墙删除;
修改所述变化业务单元的业务代码。
8.根据权利要求7所述的安全策略部署装置,其特征在于,还包括判断模块,
所述判断模块与所述比较模块以及所述部署模块连接,用于判断所述新增业务单元以及所述删除业务单元是否被上一层级的业务单元引用;
并且,所述部署模块被配置为执行以下至少一种操作:
若所述新增业务单元没有被上一层级的业务单元引用,将所述新增业务单元写入所述网络防火墙;
若所述新增业务单元被上一层级的业务单元引用,将所述新增业务单元写入所述原安全策略,然后将所述上一层级的业务单元与所述新增业务单元的引用关系写入所述原安全策略;
若所述删除业务单元没有被上一层级的业务单元引用,将被所述删除业务单元引用的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除;
若所述删除业务单元被上一层级的业务单元引用,将所述上一层级的业务单元与所述删除业务单元之间的引用关系从所述原安全策略中删除。
9.根据权利要求7或8所述的安全策略部署装置,其特征在于,还包括:
计算模块,与所述比较模块连接,用于根据所述业务单元的业务代码计算所述新安全策略的循环冗余码校验CRC值;以及
加载模块,与所述比较模块连接,用于加载所述原安全策略的CRC值,其中,所述新安全策略的CRC值包括所述新安全策略的所有业务单元的CRC值,所述原安全策略的CRC值包括所述原安全策略的所有业务单元的CRC值;
所述第二比较器具体被配置为,将所述新安全策略在某一层级的业务单元与所述原安全策略在该层级的相同类型的业务单元的CRC值进行比较,并且若在某一层级,所述新安全策略包括与所述原安全策略中的业务单元相比类型相同、但CRC值有变化的业务单元,则判断该业务单元是否引用了下一层级的业务单元,并在所述判断结果为否的情况下,将该业务单元记录为变化业务单元,以及在所述判断结果为是的情况下,将所述新安全策略在所述下一层级的业务单元与所述原安全策略在所述下一层级的业务单元输出至所述第一比较器进行比较。
10.根据权利要求9所述的安全策略部署装置,其特征在于,所述计算模块具体被配置为:
按所述业务单元的层级逐层计算所述新安全策略的业务单元的CRC值,并且某一层级的业务单元的CRC值包括该业务单元引用的下一层级的业务单元的CRC值。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310684430.5A CN104717182B (zh) | 2013-12-12 | 2013-12-12 | 网络防火墙的安全策略部署方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310684430.5A CN104717182B (zh) | 2013-12-12 | 2013-12-12 | 网络防火墙的安全策略部署方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104717182A true CN104717182A (zh) | 2015-06-17 |
| CN104717182B CN104717182B (zh) | 2018-03-09 |
Family
ID=53416156
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310684430.5A Active CN104717182B (zh) | 2013-12-12 | 2013-12-12 | 网络防火墙的安全策略部署方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104717182B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| CN110224878A (zh) * | 2019-06-28 | 2019-09-10 | 北京金山云网络技术有限公司 | 网关配置更新方法、装置和服务器 |
| CN110247933A (zh) * | 2019-07-08 | 2019-09-17 | 中国工商银行股份有限公司 | 实现防火墙策略的方法和装置 |
| CN110430206A (zh) * | 2019-08-13 | 2019-11-08 | 上海新炬网络技术有限公司 | 基于脚本模板化生成配置防火墙安全策略的方法 |
| CN111541563A (zh) * | 2020-04-17 | 2020-08-14 | 成都千立网络科技有限公司 | 有序生效配置的系统及方法 |
| CN112910824A (zh) * | 2019-11-19 | 2021-06-04 | 苏州至赛信息科技有限公司 | 网络安全策略配置方法、装置、计算机设备和存储介质 |
| CN114285657A (zh) * | 2021-12-28 | 2022-04-05 | 中国工商银行股份有限公司 | 防火墙安全策略变更验证方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030167410A1 (en) * | 2002-03-01 | 2003-09-04 | Rigstad Peter M. | System for providing firewall to a communication device and method and device of same |
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、系统和设备 |
| CN101714997A (zh) * | 2010-01-15 | 2010-05-26 | 中国工商银行股份有限公司 | 防火墙策略生成方法、装置及系统 |
| CN101977217A (zh) * | 2010-10-15 | 2011-02-16 | 中兴通讯股份有限公司 | Widget更新方法、系统、Widget客户端及Widget服务器 |
-
2013
- 2013-12-12 CN CN201310684430.5A patent/CN104717182B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030167410A1 (en) * | 2002-03-01 | 2003-09-04 | Rigstad Peter M. | System for providing firewall to a communication device and method and device of same |
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、系统和设备 |
| CN101714997A (zh) * | 2010-01-15 | 2010-05-26 | 中国工商银行股份有限公司 | 防火墙策略生成方法、装置及系统 |
| CN101977217A (zh) * | 2010-10-15 | 2011-02-16 | 中兴通讯股份有限公司 | Widget更新方法、系统、Widget客户端及Widget服务器 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| CN107948205B (zh) * | 2017-12-31 | 2020-10-27 | 中国移动通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| CN110224878A (zh) * | 2019-06-28 | 2019-09-10 | 北京金山云网络技术有限公司 | 网关配置更新方法、装置和服务器 |
| WO2020259533A1 (zh) * | 2019-06-28 | 2020-12-30 | 北京金山云网络技术有限公司 | 网关配置更新方法、装置和电子设备 |
| CN110247933A (zh) * | 2019-07-08 | 2019-09-17 | 中国工商银行股份有限公司 | 实现防火墙策略的方法和装置 |
| CN110247933B (zh) * | 2019-07-08 | 2022-01-04 | 中国工商银行股份有限公司 | 实现防火墙策略的方法和装置 |
| CN110430206A (zh) * | 2019-08-13 | 2019-11-08 | 上海新炬网络技术有限公司 | 基于脚本模板化生成配置防火墙安全策略的方法 |
| CN112910824A (zh) * | 2019-11-19 | 2021-06-04 | 苏州至赛信息科技有限公司 | 网络安全策略配置方法、装置、计算机设备和存储介质 |
| CN111541563A (zh) * | 2020-04-17 | 2020-08-14 | 成都千立网络科技有限公司 | 有序生效配置的系统及方法 |
| CN114285657A (zh) * | 2021-12-28 | 2022-04-05 | 中国工商银行股份有限公司 | 防火墙安全策略变更验证方法及装置 |
| CN114285657B (zh) * | 2021-12-28 | 2024-05-17 | 中国工商银行股份有限公司 | 防火墙安全策略变更验证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104717182B (zh) | 2018-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104717182A (zh) | 网络防火墙的安全策略部署方法和装置 | |
| AU2012209157B2 (en) | Formatting data by example | |
| CN105786405A (zh) | 一种在线升级方法、装置及系统 | |
| US10656934B2 (en) | Efficient software testing | |
| CN108270626A (zh) | 一种升级服务器固件的方法、装置、设备及可读存储介质 | |
| CN115495025B (zh) | 一种管理异常存储块的方法和装置 | |
| CN111338786A (zh) | 云平台资源的配额管理方法、装置和计算机设备 | |
| CN107133856A (zh) | 风险订单的控制方法和装置 | |
| CN107832446A (zh) | 一种配置项信息的搜索方法及计算设备 | |
| CN113806300A (zh) | 数据存储方法、系统、装置、设备及存储介质 | |
| US20170249304A1 (en) | File system quota versioning | |
| CN112748862A (zh) | 用于管理盘的方法、电子设备和计算机程序产品 | |
| US9021479B2 (en) | Enforcing machine deployment zoning rules in an automatic provisioning environment | |
| CN108306780B (zh) | 一种基于云环境的虚拟机通信质量自优化的系统和方法 | |
| CN117762886A (zh) | 一种资源共享方法、系统、设备及存储介质 | |
| CN105824279A (zh) | 机房监控系统构建灵活有效cmdb的方法 | |
| CN112597210A (zh) | 一种数据汇总方法、装置、设备和存储介质 | |
| CN104598554A (zh) | 网页页面加载方法及装置 | |
| US20190332484A1 (en) | Method, device and program product for reducing data recovery time of storage system | |
| CN109542672A (zh) | 用于回收快照存储空间中的存储块的方法和装置 | |
| CN109241110A (zh) | 订单管理方法及系统、电子设备、存储介质 | |
| CN115550363A (zh) | 节点分级管理方法、装置及电子设备 | |
| CN114416885A (zh) | 基于drbd的数据同步方法、装置、计算机设备及存储介质 | |
| CN113076086A (zh) | 元数据管理系统和使用其对模型对象进行建模的方法 | |
| US20220342570A1 (en) | Method, electronic device and computer program product for managing disk |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |