CN105100109B - 一种部署安全访问控制策略的方法及装置 - Google Patents

一种部署安全访问控制策略的方法及装置 Download PDF

Info

Publication number
CN105100109B
CN105100109B CN201510510681.0A CN201510510681A CN105100109B CN 105100109 B CN105100109 B CN 105100109B CN 201510510681 A CN201510510681 A CN 201510510681A CN 105100109 B CN105100109 B CN 105100109B
Authority
CN
China
Prior art keywords
application
template
access control
virtual machine
control strategy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201510510681.0A
Other languages
English (en)
Other versions
CN105100109A (zh
Inventor
刘春亮
贾海青
孙斗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Cloud Computing Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN201510510681.0A priority Critical patent/CN105100109B/zh
Publication of CN105100109A publication Critical patent/CN105100109A/zh
Priority to PCT/CN2016/073810 priority patent/WO2017028513A1/zh
Priority to US15/899,233 priority patent/US11570148B2/en
Application granted granted Critical
Publication of CN105100109B publication Critical patent/CN105100109B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/084Configuration by using pre-existing information, e.g. using templates or copying from other elements
    • H04L41/0843Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0896Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities
    • H04L41/0897Bandwidth or capacity management, i.e. automatically increasing or decreasing capacities by horizontal or vertical scaling of resources, or by migrating entities, e.g. virtual resources or entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]

Abstract

本发明涉及网络安全领域,特别是涉及一种部署安全访问控制策略的方法及装置,用以解决现有技术中由于安全访问控制策略配置需要手动完成,使配置工作繁重、费时,且存在人为配置错误的可能性的问题。该方法为:云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应应用模板的安全模板;云管理平台通知虚拟化平台根据应用模板为应用中的每一个应用组件创建对应的虚拟机,并获取虚拟化平台创建的每一个虚拟机的IP地址;云管理平台根据每一个虚拟机的IP地址,采用安全模板生成对应应用的一组安全访问控制策略;云管理平台下发一组安全访问控制策略至对应的防火墙。因此,实现了安全访问控制策略的自动部署。

Description

一种部署安全访问控制策略的方法及装置
技术领域
本发明涉及网络安全领域,特别是涉及一种部署安全访问控制策略的方法及装置。
背景技术
防火墙是一种用来加强网络之间的访问控制,防止外部网络用户以非法手段进入内部网络,访问内部网络资源的网络安全系统。它对两个或多个网络之间传输的数据包按照一定的安全访问策略来实施检查,以决定网络之间的通信是否被允许。
在实际应用过程中,数据中心网络通常利用防火墙实现若干个安全域的划分。其中,安全域是一个逻辑区域,区域内有相同或者相近的安全保护需求,并且同一安全域内部发生数据流动的安全风险较小,而安全域之间,由于安全等级不同,通常是默认禁止访问的。但是,由于安全域之间存在不可避免的交互,因此就需要对安全区域之间的安全访问控制策略进行配置,以实现允许安全域之间的正常访问。
参阅图1所示,为数据中心网络的划分和各部分访问关系的示意图,其中,以一般web应用的应用组件架构为例进行说明,一个典型的web应用,包括网页服务器(WebServer)、应用服务器(App Server)和数据库服务器(DB Server)三层架构。具体的,WebServer向网页浏览器(Web Browser)开放网页(Web)服务端口,即Web Browser可以访问WebServer的资源,App Server向Web Server开放应用(App)服务端口,即Web Server可以访问App Server的资源,DB Server向App Server开放数据库(Database,DB)的服务端口,即AppServer可以访问DB Server的资源,DB只允许本应用内的App Server,而不能允许其他AppServer对其进行访问,参阅图2所示,App Server1不能访问DB Server2中的DB。因此,需要针对每个应用组件设置安全访问控制策略。
目前,在数据中心网络部署时,所有安全访问控制策略均需要手动设置。用户首先在云管理平台上部署应用,即创建应用组件和对应的虚拟机,然后获取应用中每个应用组件对应虚拟机的IP地址,最后根据获取到的各个虚拟机的IP地址,在防火墙中设置对应每个应用组件的安全访问控制策略。现有技术中,在防火墙上设置安全访问控制策略需要管理员手动完成,因此,配置工作比较繁重且配置过程比较费时,且存在人为配置错误的可能性。
发明内容
本发明实施例提供一种部署安全访问控制策略的方法及装置,用以解决现有技术中存在的由于安全访问控制策略配置需要手动完成,造成配置工作繁重、费时,且存在人为配置错误的可能性的问题。
本发明实施例提供的具体技术方案如下:
第一方面,本发明实施例提供一种部署安全访问控制策略的方法,包括:
云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板;
云管理平台通知虚拟化平台根据所述应用模板为所述应用中的每一个应用组件创建对应的虚拟机,并获取所述虚拟化平台创建的每一个虚拟机的IP地址;
云管理平台根据所述每一个虚拟机的IP地址,采用所述安全模板生成对应所述应用的一组安全访问控制策略;
云管理平台下发所述一组安全访问控制策略至对应的防火墙。
结合第一方面,在第一方面的第一种可能的实现方式中,在云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之前,还包括:
云管理平台根据预设的应用组件配置参数生成至少一个应用模板;
云管理平台根据预设的安全参数,针对所述任意一个应用模板生成对应的安全模板,其中,所述安全模板至少包括一条安全访问控制策略模板。
结合第一方面,或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之后,还包括:
云管理平台根据所述创建应用指令中携带的安全配置信息,对已确定的所述安全模板进行修改,并将修改完成的安全模板作为创建所述应用对应的安全模板。
结合第一方面,或以上第一方面的任何一种可能的实现方式,在第三种可能的实现方式中,所述方法还包括:
当所述云管理平台根据所述创建应用指令中携带的所述应用的弹性策略,确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向扩展条件时,通知虚拟化平台新添加一个第一类型应用组件对应的虚拟机,获取新添加的应用组件对应虚拟机的IP地址;
所述云管理平台确定所述第一类型应用组件存在对应的安全访问控制策略时,根据所述新添加的应用组件对应虚拟机的IP地址,采用所述安全模板中对应所述第一类型应用组件的安全访问控制策略模板为所述新添加的应用组件生成一条安全访问控制策略;
云管理平台下发为所述新添加的应用组件配置对应的安全访问控制策略至对应的防火墙;
其中,所述横向扩展条件是指所述应用中的第一类型应用组件的预设参数达到第一阈值时,新添加一个第一类型应用组件。
结合第一方面,或以上第一方面的任何一种可能的实现方式,在第四种可能的实现方式中,所述方法还包括:
当所述云管理平台根据所述创建应用指令中携带的所述应用的弹性策略,确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向收缩条件时,通知虚拟化平台删除任意一个第一类型应用组件对应的虚拟机;
所述云管理平台确定所述任意一个第一类型应用组件存在对应的安全访问控制策略时,通知所述防火墙删除所述任意一个第一类型应用组件对应的安全访问控制策略;
其中,所述横向收缩条件是指当所述应用中的第一类型应用组件的预设参数低于第二阈值时,删除任意一个第一类型应用组件。
结合第一方面,或以上第一方面的任何一种可能的实现方式,在第五种可能的实现方式中,云管理平台下发所述一组安全访问控制策略至对应的防火墙之后,还包括:
当所述云管理平台根据应用迁移指令确定所述应用所在网络环境发生变化时,通知所述虚拟化平台根据所述应用模板为所述应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址;
所述云管理平台将所述应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的所述新虚拟机中,并
删除所述应用中每一个应用组件对应的原虚拟机,以及通知所述防火墙删除原来为所述应用配置的一组安全访问控制策略;
云管理平台根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述安全模板生成一组新安全访问控制策略;
云管理平台下发所述一组新安全访问控制策略至对应的防火墙。
第二方面,本发明实施例提供一种部署安全访问控制策略的方法,包括:
当云管理平台根据应用迁移指令确定应用所在网络环境发生变化时,通知虚拟化平台根据所述应用对应的应用模板为所述应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址;
所述云管理平台将所述应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的所述新虚拟机中,并
删除所述应用中每一个应用组件对应的原虚拟机,以及通知防火墙删除原来为所述应用配置的一组安全访问控制策略;
云管理平台根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述应用对应的安全模板生成一组新安全访问控制策略;
云管理平台下发所述一组新安全访问控制策略至对应的防火墙。
结合第二方面,在第二方面的第一种可能的实现方式中,当云管理平台根据应用迁移指令确定应用所在网络环境发生变化时,还包括:
云管理平台根据所述应用迁移指令中携带的安全配置信息,对所述应用对应的安全模板进行修改,并采用修改完成的安全模板作为所述应用对应的安全模板。
第三方面,本发明实施例提供一种部署安全访问控制策略的装置,包括:
确定单元,用于根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板;
创建单元,用于通知虚拟化平台根据所述确定单元确定的所述应用模板为所述应用中的每一个应用组件创建对应的虚拟机,并获取所述虚拟化平台创建的每一个虚拟机的IP地址;
生成单元,用于根据所述创建单元获取的所述每一个虚拟机的IP地址,采用所述确定单元确定的所述安全模板生成对应所述应用的一组安全访问控制策略;
下发单元,用于下发所述生成单元生成的所述一组安全访问控制策略至对应的防火墙。
结合第三方面,在第三方面的第一种可能的实现方式中,在所述确定单元根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之前,还包括:
模板生成单元,用于根据预设的应用组件配置参数生成至少一个应用模板;
以及根据预设的安全参数,针对所述任意一个应用模板生成对应的安全模板,其中,所述安全模板至少包括一条安全访问控制策略模板。
结合第三方面,或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,在所述确定单元根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之后,还包括:
模板修改单元,用于根据所述创建应用指令中携带的安全配置信息,对已确定的所述安全模板进行修改,并将修改完成的安全模板作为创建所述应用对应的安全模板。
结合第一方面,或以上第一方面的任何一种可能的实现方式,在第三种可能的实现方式中,所述装置还包括:
扩展单元,用于当所述根据所述创建应用指令中携带的所述应用的弹性策略,确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向扩展条件时,通知虚拟化平台新添加一个第一类型应用组件对应的虚拟机,获取新添加的应用组件对应虚拟机的IP地址;
以及确定所述第一类型应用组件存在对应的安全访问控制策略时,根据所述新添加的应用组件对应虚拟机的IP地址,采用所述安全模板中对应所述第一类型应用组件的安全访问控制策略模板为所述新添加的应用组件生成一条安全访问控制策略;
下发为所述新添加的应用组件配置对应的安全访问控制策略至对应的防火墙;
其中,所述横向扩展条件是指所述应用中的第一类型应用组件的预设参数达到第一阈值时,新添加一个第一类型应用组件。
结合第一方面,或以上第一方面的任何一种可能的实现方式,在第四种可能的实现方式中,所述装置还包括:
收缩单元,用于当根据所述创建应用指令中携带的所述应用的弹性策略,确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向收缩条件时,通知虚拟化平台删除任意一个第一类型应用组件对应的虚拟机;
以及确定所述任意一个第一类型应用组件存在对应的安全访问控制策略时,通知所述防火墙删除所述任意一个第一类型应用组件对应的安全访问控制策略;
其中,所述横向收缩条件是指当所述应用中的第一类型应用组件的预设参数低于第二阈值时,删除任意一个第一类型应用组件。
结合第一方面,或以上第一方面的任何一种可能的实现方式,在第五种可能的实现方式中,所述下发单元下发所述生成单元生成的所述一组安全访问控制策略至对应的防火墙之后,还包括迁移单元;
所述迁移单元,包括:
创建模块,用于当根据应用迁移指令确定所述应用所在网络环境发生变化时,通知所述虚拟化平台根据所述应用模板为所述应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址;
同步模块,用于将所述应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的所述新虚拟机中,并;
删除模块,用于删除所述应用中每一个应用组件对应的原虚拟机,以及通知所述防火墙删除原来为所述应用配置的一组安全访问控制策略;
生成模块,用于根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述安全模板生成一组新安全访问控制策略;
下发模块,用于下发所述一组新安全访问控制策略至对应的防火墙。
第四方面,本发明实施例提供部署安全访问控制策略的装置,包括:
创建单元,用于当根据应用迁移指令确定应用所在网络环境发生变化时,通知虚拟化平台根据所述应用对应的应用模板为所述应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址;
同步单元,用于将所述应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的所述新虚拟机中,并
删除单元,用于删除所述应用中每一个应用组件对应的原虚拟机,以及通知防火墙删除原来为所述应用配置的一组安全访问控制策略;
生成单元,用于根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述应用对应的安全模板生成一组新安全访问控制策略;
下发单元,用于下发所述一组新安全访问控制策略至对应的防火墙。
结合第四方面,在第四方面的第一种可能的实现方式中,,当根据应用迁移指令确定应用所在网络环境发生变化时,还包括:
模板修改单元,用于根据所述应用迁移指令中携带的安全配置信息,对所述应用对应的安全模板进行修改,并采用修改完成的安全模板作为所述应用对应的安全模板。
本发明有益效果如下:
云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应应用模板的安全模板。由于在应用部署中采用了预先配置的应用模板以及对应应用模板的安全模板,因此极大提高了应用部署的效率。云管理平台通知虚拟化平台根据应用模板为应用中的每一个应用组件创建对应的虚拟机,并获取虚拟化平台创建的每一个虚拟机的IP地址。云管理平台根据每一个虚拟机的IP地址,采用安全模板生成对应应用的一组安全访问控制策略。这里,在应用对应的虚拟机创建成功后,自动获取每一个虚拟机的IP地址,根据安全模板自动生成安全访问控制策略,无需人工介入,极大地简化了安全访问控制策略的配置过程。最后,云管理平台下发一组安全访问控制策略至对应的防火墙。因此,采用本发明提供的方法将安全访问控制策略的配置集成到应用部署的自动化流程中,降低安全访问控制策略部署的复杂度,加快应用部署速度,实现安全访问控制策略的自动部署。此外,当满足某一应用的预设的弹性策略时,云管理平台可以自动完成该应用对应的安全访问控制策略调整。当任一应用迁移时,云管理平台可以自动完成该应用对应的安全访问控制策略重置。因此,云管理平台可以实现对应用安全访问控制策略的有效管理和监控,保证网络访问安全。
附图说明
图1为本发明背景技术中数据中心网络的划分和各部分访问关系的示意图;
图2为本发明背景技术中数据中心网络中各部分访问关系的示意图;
图3为本发明实施例中部署安全访问控制策略的概述流程图;
图4为本发明实施例中生成安全访问控制策略的示意图;
图5为本发明实施例中部署安全访问控制策略的具体流程图;
图6为本发明实施例中云管理平台为迁移应用重置安全访问控制策略的具体流程图;
图7为本发明实施例中在应用迁移时部署安全访问控制策略的概述流程图;
图8为本发明实施例中部署安全访问控制策略的装置结构示意图;
图9为本发明实施例中迁移单元的结构示意图;
图10为本发明实施例中应用迁移时部署安全访问控制策略的装置结构示意图;
图11为本发明实施例中部署安全访问控制策略的设备结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供一种部署安全访问控制策略的方法及装置,用以解决现有技术中存在的由于安全访问控制策略配置需要手动完成,造成配置工作繁重、费时,且存在人为配置错误的可能性的问题。其中,方法和装置是基于同一发明构思的,由于方法及装置解决问题的原理相似,因此装置与方法的实施可以相互参见,重复之处不再赘述。
目前,在数据中心网络部署时,整个系统主要由云管理平台,虚拟化平台和防火墙三部分构成。其中,用户首先在云管理平台上部署需要创建的应用,然后在虚拟化平台上创建该应用的应用组件对应的虚拟机,最后根据获取的该应用中每个应用组件对应虚拟机的IP地址生成安全访问控制策略,并在防火墙中设置对应每个应用组件的安全访问控制策略。
由此可见,应用包含多个应用组件,每个应用组件对应一个或多个虚拟机,针对每个应用组件对应虚拟机的IP地址生成一条安全访问控制策略,可见,上述为每个IP地址生成的安全访问控制策略都是为该应用配置的。
本发明提供了一种针对任一应用自动生成并部署相应安全访问应用策略的方法及装置。
下面结合附图对本发明优选的实施方式进行详细说明。
参阅图3所示,图3为本发明实施例中部署安全访问控制策略的概述流程图,本发明中部署安全访问控制策略的具体过程为:
步骤300:云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应该应用模板的安全模板。
其中,用户可以根据自身需要向云管理平台发出创建应用指令,其中,创建应用指令可以包括针对需要创建的应用的各种参数,例如,应用组件的类型及对应的数量,虚拟机对应安装的软件、某一应用组件对应的端口号、虚拟机规格、虚拟机的网络信息、安全访问控制策略配置信息等。
具体的,每个应用组件实现特定的功能,各个应用组件协调合作共同构成一个完整的应用程序,每一个应用组件对应一个虚拟机。
在云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应该应用模板的安全模板之前,还包括建立创建应用所需的应用模板以及对应的安全模板。
具体的,云管理平台根据预设的应用组件配置参数生成至少一个应用模板。
例如,管理员根据预设的应用组件配置参数生成一个包括三个应用组件的应用模板,其中,三个应用组件分别为web服务器、App服务器以及DB服务器。
进一步地,云管理平台根据预设的安全参数,针对任意一个应用模板生成对应的安全模板,其中,安全模板至少包括一条安全访问控制策略模板。
例如,针对一个应用模板A,该应用模板A中包括三个应用组件,其中,三个应用组件分别为web服务器、App服务器以及DB服务器。
应用模板A设置对应的安全模板,如表1所示。
表1
其中,表1中包括三条安全访问控制策略模板,每条安全访问控制策略模板均是根据预设的安全参数进行设置。
如表1所示,以第一条安全访问控制策略模板为例,源安全域为App服务器,目的安全域为DB服务器,源端口的端口号为any(任意),目的端口的端口号为1521,协议为http,策略为允许,而集群监听地址此项不填,其他描述内容可根据需要填写,完成安全访问控制策略模板的配置。待后续获取DB服务器的IP地址填入集群监听地址,完成本条安全访问控制策略并同生成的其他安全访问控制策略一起下发至对应的防火墙。因此,根据预设的安全参数先生成安全访问控制策略模板,极大地提高了部署安全访问控制策略的效率。
上述应用模板以及与应用模板对应的安全模板的配置过程,需要通过管理员登录云管理平台来完成。
此外,云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应该应用模板的安全模板之后,管理员可以根据创建应用指令中携带的安全配置信息在云管理平台上对已确定的安全模板进行修改,并将修改完成的安全模板作为创建该应用对应的安全模板。
表2
例如,如表1所示,DB服务器对应的目的端口号为1521,此时根据用户1的创建应用指令中携带的安全配置信息,DB服务器对应的目的端口号为3306,修改安全模板中DB服务器对应的目的端口号,如表2所示,将修改后的安全模板作为最终的安全模板。
又例如,假设应用模板A中包括三个应用组件,其中,三个应用组件分别为web服务器、App服务器以及DB服务器,而应用模板A对应的安全模板A中只包括两条安全访问控制策略模板。此时,根据用户2的创建应用指令中携带的安全配置信息,添加一条安全访问控制策略模板,并将修改后的安全模板作为最终的安全模板。
步骤310:云管理平台通知虚拟化平台根据该应用模板为该应用中的每一个应用组件创建对应的虚拟机,并获取虚拟化平台创建的每一个虚拟机的IP地址。
具体的,云管理平台可以为创建的一个或多个虚拟机指定IP地址。
或者,虚拟机通过DHCP协议从DHCP服务器获取各自的IP地址,云管理平台再从虚拟机获取DHCP服务器为各个虚拟机分配的IP地址。
步骤320:云管理平台根据所述每一个虚拟机的IP地址,采用该安全模板生成对应所述应用的一组安全访问控制策略。
参阅图4所示,为每条安全访问控制策略模板确定对应的虚拟机,并根据已获得的每一个虚拟机的IP地址,采用该应用对应的安全模板生成对应该应用的一组安全访问控制策略。
图4中,DB服务器对应虚拟机1(VM1),App服务器对应虚拟机2(VM2),确定每个应用组件对应的虚拟机可以在配置应用模板对应的安全模板时完成,此时,根据获得的每一个虚拟机的IP地址,直接采用对应的安全访问控制策略模板,例如,填入表1中对应的集群监听地址项中,生成一组安全访问控制策略。
步骤330:云管理平台下发该组安全访问控制策略至对应的防火墙。
防火墙根据收集到的针对该应用的一组安全访问控制策略对该应用进行安全访问控制。
例如,针对表1中第一行所示,集群监听地址中填入DB服务器对应虚拟机的IP地址,生成一条安全访问控制策略,并将该条安全访问控制策略连同其它安全访问控制策略一起下发至对应的防火墙。因此,当App服务器需要访问DB服务器时,根据表1中第一行所生成的安全访问控制策略,DB服务器可以为App服务器开放1521端口进行访问,而不能通过其它端口进行访问。
此外,针对任一应用还包括以下至少两种需要调整安全访问控制策略的情况。
调整安全访问控制策略可以发生的应用创建的过程中,也可以是在应用创建完成后,应用使用的过程中。
下面以应用A为例,具体说明应用A需要调整安全访问控制策略的情况:
第一种情况:
当云管理平台根据创建应用指令中携带的应用A的弹性策略,确定应用A中包括的第一类型应用组件满足弹性策略中的横向扩展条件时,通知虚拟化平台新添加一个第一类型应用组件对应的虚拟机,获取新添加的应用组件对应虚拟机的IP地址。
具体的,这里的第一类型应用组件可以为Web Server、App Server或DB Server中的任一种。弹性策略中包含至少一种类型应用组件的弹性策略。此外,这里的横向弹性策略一般是指当第一类型应用组件的访问量达到第一阈值时,新添加一个第一类型应用组件。因为,第一类型应用组件的访问量增加导致第一类型应用组件的性能不足,此时需要新增一个第一类型应用组件来满足使用需求。
云管理平台确定第一类型应用组件存在对应的安全访问控制策略时,根据为新添加的应用组件对应虚拟机的IP地址,采用安全模板中对应第一类型应用组件的安全访问控制策略模板为新添加的应用组件生成一条安全访问控制策略。
云管理平台下发为新添加的应用组件配置对应的安全访问控制策略至对应的防火墙。
其中,横向扩展条件是指应用中的第一类型应用组件的预设参数达到第一阈值时,新添加一个第一类型应用组件。
第二种情况:
当云管理平台根据创建应用指令中携带的应用A的弹性策略,确定应用A中包括的第一类型应用组件满足弹性策略中的横向收缩条件时,通知虚拟化平台删除任意一个第一类型应用组件对应的虚拟机。
云管理平台确定任意一个第一类型应用组件存在对应的安全访问控制策略时,通知防火墙删除任意一个第一类型应用组件对应的安全访问控制策略。
其中,横向收缩条件是指当应用中的第一类型应用组件的预设参数低于第二阈值时,删除任意一个第一类型应用组件。
现有技术中,当某一应用所处的网络环境出现变化时,例如,应用迁移等情况,防火墙中的安全访问控制策略不能及时做出相应的调整,需要手动对迁移后应用的安全访问控制策略进行调整,具有较长的时延,进而可能造成一定的安全问题。
在本发明中,在云管理平台调用防火墙接口,下发该组安全访问控制策略至对应的防火墙之后,若云管理平台确定某一应用所在网络环境发生变化,可以对该应用的安全访问控制策略进行及时的调整。
下面仍以应用A为例说明应用A迁移时,应用A的安全访问控制策略重置过程。
当云管理平台根据应用迁移指令确定应用A所在网络环境发生变化时,通知虚拟化平台接口根据应用模板为应用A中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址。
这里获取每一个新虚拟机的IP地址的方法与上述提到的获取虚拟机IP地址的方法相同。
云管理平台将应用A中的每一个应用组件对应的原虚拟机中的数据同步至对应的新虚拟机中,并删除应用A中每一个应用组件对应的原虚拟机,以及通知防火墙删除原来为应用A配置的一组安全访问控制策略。
云管理平台根据每一个应用组件对应的新虚拟机的IP地址,采用安全模板生成一组新安全访问控制策略。
云管理平台调用防火墙接口,下发一组新安全访问控制策略至对应的防火墙。
须知,这里的新安全访问控制策略下发至的对应防火墙可能与原防火墙相同,也可能与原防火墙不同,防火墙是否相同可以根据应用迁移指令确定。
在现有技术下,在应用迁移时,该应用的安全访问控制策略不能实现及时调整,需要手动完成,而采用了本发明提供的方法,云管理平台可以及时地调整安全访问控制策略,实现对应用安全访问的有效控制。
下面结合具体的实施例对本发明的方法进行详细说明。
实施例1:
参阅图5所示,为部署安全访问控制策略的具体流程图:
步骤501:用户确定创建应用所需的应用模板以及对应的安全模板,并根据确认结果生成创建应用指令,并通过客户端向云管理平台发送创建应用指令。
步骤502:云管理平台根据创建应用指令以及确定的应用模板,调用虚拟化平台接口,创建应用中的虚拟机VM,并为每一个创建的VM设置IP地址,或采用DHCP为每一个创建的虚拟机分配IP地址。
步骤503:虚拟化平台向云管理平台发送确认指示,指示VM创建成功,并返回每一个VM的IP地址。
步骤504:云管理平台根据获取的每个VM的IP地址,采用安全模板生成一组安全访问控制策略。
步骤505:云管理平台调用防火墙接口,下发该组安全访问控制策略至对应的防火墙。
步骤506:防火墙向云管理平台返回安全访问控制策略配置成功消息。
步骤507:云管理平台向用户返回应用建立成功消息。
实施例2:
参阅图6所示,为应用迁移时,云管理平台为迁移应用重置安全访问控制策略的具体流程图:
步骤601:用户选择需要迁移的应用,选择该应用需要迁移至的目的网络及目的防火墙,并根据选择结果生成应用迁移命令,用户通过客户端向云管理平台发送送应用迁移命令。
其中,目的网络一般是指另一个网段,网段变化后有可能是在另一个防火墙。
步骤602:云管理平台调用虚拟化平台接口,采用应用模板为应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址,以及将应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的新虚拟机中。
步骤603:云管理平台调用虚拟化平台接口,删除应用中每一个应用组件对应的原虚拟机。
步骤604:云管理平台调用防火墙接口删除原来为应用配置的一组安全访问控制策略。
步骤605:云管理平台获取每一个新虚拟机的IP地址,采用安全模板生成一组新的安全访问控制策略。
步骤606:云管理平台调用防火墙接口在目的防火墙配置一组新的安全访问控制策略。
步骤607:防火墙向云管理平台返回安全访问控制策略配置成功消息。
步骤608:云管理平台向用户返回应用迁移成功的消息。
参阅图7所示,图7为本发明实施例中在应用迁移时部署安全访问控制策略的概述流程图,具体过程为:
步骤700:当云管理平台根据应用迁移指令确定应用所在网络环境发生变化时,通知虚拟化平台根据应用对应的应用模板为应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址。
步骤710:云管理平台将应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的新虚拟机中。
步骤720:云管理平台删除应用中每一个应用组件对应的原虚拟机,以及通知防火墙删除原来为应用配置的一组安全访问控制策略。
步骤730:云管理平台根据每一个应用组件对应的新虚拟机的IP地址,采用应用对应的安全模板生成一组新安全访问控制策略。
步骤740:云管理平台下发一组新安全访问控制策略至对应的防火墙。
此处在应用迁移时部署安全访问控制策略的方法与上述提到的应用迁移和实施例2可以互相参照。
这里的应用及对应的安全访问控制策略可以是采用应用步骤300至步骤330的方法生成,也可以是采用人工方法生成应用及对应的安全访问控制策略,这里只是列举以上两种情况,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。
可选的,当云管理平台根据应用迁移指令确定应用所在网络环境发生变化时,还包括:
云管理平台根据应用迁移指令中携带的安全配置信息,对应用对应的安全模板进行修改,并采用修改完成的安全模板作为应用对应的安全模板。
参阅图8所示,部署安全访问控制策略的装置,包括:
确定单元81,用于根据创建应用指令确定所需创建的应用采用的应用模板,以及对应应用模板的安全模板。
创建单元82,用于通知虚拟化平台根据确定单元确定的应用模板为应用中的每一个应用组件创建对应的虚拟机,并获取虚拟化平台创建的每一个虚拟机的IP地址。
生成单元83,用于根据创建单元获取的每一个虚拟机的IP地址,采用确定单元确定的安全模板生成对应应用的一组安全访问控制策略。
下发单元84,用于下发生成单元生成的一组安全访问控制策略至对应的防火墙。
可选的,在确定单元81根据创建应用指令确定所需创建的应用采用的应用模板,以及对应应用模板的安全模板之前,还包括:
模板生成单元85,用于根据预设的应用组件配置参数生成至少一个应用模板。
以及根据预设的安全参数,针对任意一个应用模板生成对应的安全模板,其中,安全模板至少包括一条安全访问控制策略模板。
可选的,在确定单元81根据创建应用指令确定所需创建的应用采用的应用模板,以及对应应用模板的安全模板之后,还包括:
模板修改单元86,用于根据创建应用指令中携带的安全配置信息,对已确定的安全模板进行修改,并将修改完成的安全模板作为创建应用对应的安全模板。
可选的,装置还包括:
扩展单元87,用于当根据创建应用指令中携带的应用的弹性策略,确定应用中包括的第一类型应用组件满足弹性策略中的横向扩展条件时,通知虚拟化平台新添加一个第一类型应用组件对应的虚拟机,获取新添加的应用组件对应虚拟机的IP地址。
以及确定第一类型应用组件存在对应的安全访问控制策略时,根据新添加的应用组件对应虚拟机的IP地址,采用安全模板中对应第一类型应用组件的安全访问控制策略模板为新添加的应用组件生成一条安全访问控制策略。
下发为新添加的应用组件配置对应的安全访问控制策略至对应的防火墙。
其中,横向扩展条件是指应用中的第一类型应用组件的预设参数达到第一阈值时,新添加一个第一类型应用组件。
可选的,装置还包括:
收缩单元88,用于当根据创建应用指令中携带的应用的弹性策略,确定应用中包括的第一类型应用组件满足弹性策略中的横向收缩条件时,通知虚拟化平台删除任意一个第一类型应用组件对应的虚拟机。
以及确定任意一个第一类型应用组件存在对应的安全访问控制策略时,通知防火墙删除任意一个第一类型应用组件对应的安全访问控制策略。
其中,横向收缩条件是指当应用中的第一类型应用组件的预设参数低于第二阈值时,删除任意一个第一类型应用组件。
可选的,下发单元下发生成单元生成的一组安全访问控制策略至对应的防火墙之后,还包括:迁移单元89。
参阅图9所述,迁移单元89,包括:
创建模块91,用于当根据应用迁移指令确定应用所在网络环境发生变化时,通知虚拟化平台根据应用模板为应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址。
同步模块92,用于将应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的新虚拟机中。
删除模块93,用于删除应用中每一个应用组件对应的原虚拟机,以及通知防火墙删除原来为应用配置的一组安全访问控制策略。
生成模块94,用于根据每一个应用组件对应的新虚拟机的IP地址,采用安全模板生成一组新安全访问控制策略。
下发模块95,用于下发一组新安全访问控制策略至对应的防火墙。
参阅图10所示,部署安全访问控制策略的装置,包括:
创建单元1001,用于当根据应用迁移指令确定应用所在网络环境发生变化时,通知虚拟化平台根据应用对应的应用模板为应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址。
同步单元1002,用于将应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的新虚拟机中。
删除单元1003,用于删除应用中每一个应用组件对应的原虚拟机,以及通知防火墙删除原来为应用配置的一组安全访问控制策略。
生成单元1004,用于根据每一个应用组件对应的新虚拟机的IP地址,采用应用对应的安全模板生成一组新安全访问控制策略。
下发单元1005,用于下发一组新安全访问控制策略至对应的防火墙。
可选的,当根据应用迁移指令确定应用所在网络环境发生变化时,还包括:
模板修改单元1006,用于根据应用迁移指令中携带的安全配置信息,对应用对应的安全模板进行修改,并采用修改完成的安全模板作为应用对应的安全模板。
需要说明的是,本发明实施例中对模块的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,另外,在本申请各个实施例中的各功能模块可以集成在一个处理模块中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。
所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供了一种部署安全访问控制策略的设备,如图11所示,图11为本发明实施例中部署安全访问控制策略的设备结构示意图,该设备包括收发器1101、处理器1102、存储器1103。收发器1101、处理器1102以及存储器1103相互连接。本发明实施例中不限定上述部件之间的具体连接介质。本发明实施例在图11中以存储器1103、处理器1102以及收发器1101之间通过总线1104连接,总线在图11中以粗线表示,其它部件之间的连接方式,仅是进行示意性说明,并不引以为限。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本发明实施例中,处理器1102,用于根据创建应用指令确定所需创建的应用采用的应用模板,以及对应应用模板的安全模板。
收发器1101,用于通知虚拟化平台根据应用模板为应用中的每一个应用组件创建对应的虚拟机,并获取虚拟化平台创建的每一个虚拟机的IP地址;
处理器1102,根据每一个虚拟机的IP地址,采用安全模板生成对应应用的一组安全访问控制策略;
收发器1101,用于下发一组安全访问控制策略至对应的防火墙。
本发明实施例中存储器1103,用于存储处理器1102执行的程序代码,可以是易失性存储器(英文:volatile memory),例如随机存取存储器(英文:random-access memory,缩写:RAM);存储器1103也可以是非易失性存储器(英文:non-volatile memory),例如只读存储器(英文:read-only memory,缩写:ROM),快闪存储器(英文:flash memory),硬盘(英文:hard disk drive,缩写:HDD)或固态硬盘(英文:solid-state drive,缩写:SSD)、或者存储器1103是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。存储器1103可以是上述存储器的组合。
本发明实施例中处理器1102,可以是一个中央处理单元(英文:centralprocessing unit,简称CPU)。
本发明实施例提供了一种部署安全访问控制策略的方法,该方法为:云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应应用模板的安全模板。由于在应用部署中采用了预先配置的应用模板以及对应应用模板的安全模板,因此极大提高了应用部署的效率。云管理平台通知虚拟化平台根据应用模板为应用中的每一个应用组件创建对应的虚拟机,并获取虚拟化平台创建的每一个虚拟机的IP地址。云管理平台根据每一个虚拟机的IP地址,采用安全模板生成对应应用的一组安全访问控制策略。这里,在应用对应的虚拟机创建成功后,自动获取每一个虚拟机的IP地址,根据安全模板自动生成安全访问控制策略,无需人工介入,极大地简化了安全访问控制策略的配置过程。最后,云管理平台下发一组安全访问控制策略至对应的防火墙。
因此,采用本发明提供的方法将安全访问控制策略的配置集成到应用部署的自动化流程中,降低安全访问控制策略部署的复杂度,加快应用部署速度,实现安全访问控制策略的自动部署。
此外,当满足某一应用的预设的弹性策略时,云管理平台可以自动完成该应用对应的安全访问控制策略调整。当任一应用迁移时,云管理平台可以自动完成该应用对应的安全访问控制策略重置。因此,云管理平台可以实现对应用安全访问控制策略的有效管理和监控,保证网络访问安全。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (14)

1.一种部署安全访问控制策略的方法,其特征在于,包括:
云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板;
云管理平台通知虚拟化平台根据所述应用模板为所述应用中的每一个应用组件创建对应的虚拟机,并获取所述虚拟化平台创建的每一个虚拟机的IP地址;
云管理平台根据所述每一个虚拟机的IP地址,采用所述安全模板生成对应所述应用的一组安全访问控制策略;
云管理平台下发所述一组安全访问控制策略至对应的防火墙;
当所述云管理平台根据所述创建应用指令中携带的所述应用的弹性策略,确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向扩展条件时,通知虚拟化平台新添加一个第一类型应用组件对应的虚拟机,获取新添加的应用组件对应虚拟机的IP地址;
所述云管理平台确定所述第一类型应用组件存在对应的安全访问控制策略时,根据所述新添加的应用组件对应虚拟机的IP地址,采用所述安全模板中对应所述第一类型应用组件的安全访问控制策略模板为所述新添加的应用组件生成一条安全访问控制策略;
云管理平台下发为所述新添加的应用组件配置对应的安全访问控制策略至对应的防火墙;
其中,所述横向扩展条件是指所述应用中的第一类型应用组件的预设参数达到第一阈值时,新添加一个第一类型应用组件。
2.如权利要求1所述的方法,其特征在于,在云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之前,还包括:
云管理平台根据预设的应用组件配置参数生成至少一个应用模板;
云管理平台根据预设的安全参数,针对所述任意一个应用模板生成对应的安全模板,其中,所述安全模板至少包括一条安全访问控制策略模板。
3.如权利要求1或2所述的方法,其特征在于,云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之后,还包括:
云管理平台根据所述创建应用指令中携带的安全配置信息,对已确定的所述安全模板进行修改,并将修改完成的安全模板作为创建所述应用对应的安全模板。
4.如权利要求1所述的方法,其特征在于,所述方法还包括:
当所述云管理平台根据所述创建应用指令中携带的所述应用的弹性策略,确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向收缩条件时,通知虚拟化平台删除任意一个第一类型应用组件对应的虚拟机;
所述云管理平台确定所述任意一个第一类型应用组件存在对应的安全访问控制策略时,通知所述防火墙删除所述任意一个第一类型应用组件对应的安全访问控制策略;
其中,所述横向收缩条件是指当所述应用中的第一类型应用组件的预设参数低于第二阈值时,删除任意一个第一类型应用组件。
5.如权利要求1所述的方法,其特征在于,云管理平台下发所述一组安全访问控制策略至对应的防火墙之后,还包括:
当所述云管理平台根据应用迁移指令确定所述应用所在网络环境发生变化时,通知所述虚拟化平台根据所述应用模板为所述应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址;
所述云管理平台将所述应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的所述新虚拟机中,并
删除所述应用中每一个应用组件对应的原虚拟机,以及通知所述防火墙删除原来为所述应用配置的一组安全访问控制策略;
云管理平台根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述安全模板生成一组新安全访问控制策略;
云管理平台下发所述一组新安全访问控制策略至对应的防火墙。
6.一种部署安全访问控制策略的方法,其特征在于,包括:
当云管理平台根据应用迁移指令确定应用所在网络环境发生变化时,通知虚拟化平台根据所述应用对应的应用模板为所述应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址;
所述云管理平台将所述应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的所述新虚拟机中,并
删除所述应用中每一个应用组件对应的原虚拟机,以及通知防火墙删除原来为所述应用配置的一组安全访问控制策略;
云管理平台根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述应用对应的安全模板生成一组新安全访问控制策略;
云管理平台下发所述一组新安全访问控制策略至对应的防火墙。
7.如权利要求6所述的方法,其特征在于,当云管理平台根据应用迁移指令确定应用所在网络环境发生变化时,还包括:
云管理平台根据所述应用迁移指令中携带的安全配置信息,对所述应用对应的安全模板进行修改,并采用修改完成的安全模板作为所述应用对应的安全模板。
8.一种部署安全访问控制策略的装置,其特征在于,包括:
确定单元,用于根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板;
创建单元,用于通知虚拟化平台根据所述确定单元确定的所述应用模板为所述应用中的每一个应用组件创建对应的虚拟机,并获取所述虚拟化平台创建的每一个虚拟机的IP地址;
生成单元,用于根据所述创建单元获取的所述每一个虚拟机的IP地址,采用所述确定单元确定的所述安全模板生成对应所述应用的一组安全访问控制策略;
下发单元,用于下发所述生成单元生成的所述一组安全访问控制策略至对应的防火墙;
扩展单元,用于当所述根据所述创建应用指令中携带的所述应用的弹性策略,确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向扩展条件时,通知虚拟化平台新添加一个第一类型应用组件对应的虚拟机,获取新添加的应用组件对应虚拟机的IP地址;
以及确定所述第一类型应用组件存在对应的安全访问控制策略时,根据所述新添加的应用组件对应虚拟机的IP地址,采用所述安全模板中对应所述第一类型应用组件的安全访问控制策略模板为所述新添加的应用组件生成一条安全访问控制策略;
下发为所述新添加的应用组件配置对应的安全访问控制策略至对应的防火墙;
其中,所述横向扩展条件是指所述应用中的第一类型应用组件的预设参数达到第一阈值时,新添加一个第一类型应用组件。
9.如权利要求8所述的装置,其特征在于,在所述确定单元根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之前,还包括:
模板生成单元,用于根据预设的应用组件配置参数生成至少一个应用模板;
以及根据预设的安全参数,针对所述任意一个应用模板生成对应的安全模板,其中,所述安全模板至少包括一条安全访问控制策略模板。
10.如权利要求8或9所述的装置,其特征在于,在所述确定单元根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之后,还包括:
模板修改单元,用于根据所述创建应用指令中携带的安全配置信息,对已确定的所述安全模板进行修改,并将修改完成的安全模板作为创建所述应用对应的安全模板。
11.如权利要求8所述的装置,其特征在于,所述装置还包括:
收缩单元,用于当根据所述创建应用指令中携带的所述应用的弹性策略,确定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向收缩条件时,通知虚拟化平台删除任意一个第一类型应用组件对应的虚拟机;
以及确定所述任意一个第一类型应用组件存在对应的安全访问控制策略时,通知所述防火墙删除所述任意一个第一类型应用组件对应的安全访问控制策略;
其中,所述横向收缩条件是指当所述应用中的第一类型应用组件的预设参数低于第二阈值时,删除任意一个第一类型应用组件。
12.如权利要求8所述的装置,其特征在于,所述下发单元下发所述生成单元生成的所述一组安全访问控制策略至对应的防火墙之后,还包括迁移单元:
所述迁移单元包括:
创建模块,用于当根据应用迁移指令确定所述应用所在网络环境发生变化时,通知所述虚拟化平台根据所述应用模板为所述应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址;
同步模块,用于将所述应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的所述新虚拟机中,并;
删除模块,用于删除所述应用中每一个应用组件对应的原虚拟机,以及通知所述防火墙删除原来为所述应用配置的一组安全访问控制策略;
生成模块,用于根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述安全模板生成一组新安全访问控制策略;
下发模块,用于下发所述一组新安全访问控制策略至对应的防火墙。
13.一种部署安全访问控制策略的装置,其特征在于,包括:
创建单元,用于当根据应用迁移指令确定应用所在网络环境发生变化时,通知虚拟化平台根据所述应用对应的应用模板为所述应用中的每一个应用组件创建对应的新虚拟机,并获取每一个新虚拟机的IP地址;
同步单元,用于将所述应用中的每一个应用组件对应的原虚拟机中的数据同步至对应的所述新虚拟机中,并
删除单元,用于删除所述应用中每一个应用组件对应的原虚拟机,以及通知防火墙删除原来为所述应用配置的一组安全访问控制策略;
生成单元,用于根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述应用对应的安全模板生成一组新安全访问控制策略;
下发单元,用于下发所述一组新安全访问控制策略至对应的防火墙。
14.如权利要求13所述的装置,其特征在于,当根据应用迁移指令确定应用所在网络环境发生变化时,还包括:
模板修改单元,用于根据所述应用迁移指令中携带的安全配置信息,对所述应用对应的安全模板进行修改,并采用修改完成的安全模板作为所述应用对应的安全模板。
CN201510510681.0A 2015-08-19 2015-08-19 一种部署安全访问控制策略的方法及装置 Active CN105100109B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
CN201510510681.0A CN105100109B (zh) 2015-08-19 2015-08-19 一种部署安全访问控制策略的方法及装置
PCT/CN2016/073810 WO2017028513A1 (zh) 2015-08-19 2016-02-15 一种部署安全访问控制策略的方法及装置
US15/899,233 US11570148B2 (en) 2015-08-19 2018-02-19 Method and apparatus for deploying security access control policy

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510510681.0A CN105100109B (zh) 2015-08-19 2015-08-19 一种部署安全访问控制策略的方法及装置

Publications (2)

Publication Number Publication Date
CN105100109A CN105100109A (zh) 2015-11-25
CN105100109B true CN105100109B (zh) 2019-05-24

Family

ID=54579654

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510510681.0A Active CN105100109B (zh) 2015-08-19 2015-08-19 一种部署安全访问控制策略的方法及装置

Country Status (3)

Country Link
US (1) US11570148B2 (zh)
CN (1) CN105100109B (zh)
WO (1) WO2017028513A1 (zh)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105100109B (zh) 2015-08-19 2019-05-24 华为技术有限公司 一种部署安全访问控制策略的方法及装置
FI126417B (en) * 2015-12-10 2016-11-30 Airbus Defence & Space Oy Configuration of network security elements
CN105471662B (zh) * 2015-12-30 2019-02-26 中电长城网际系统应用有限公司 云服务器、虚拟网络策略集中控制系统和方法
CN105871930A (zh) * 2016-06-21 2016-08-17 上海携程商务有限公司 基于应用的防火墙安全策略的自适应配置方法及系统
CN106412075A (zh) * 2016-10-14 2017-02-15 郑州云海信息技术有限公司 一种基于云计算的资源配置方法及装置
CN106878302B (zh) * 2017-02-14 2020-07-28 武汉烽火信息服务有限公司 一种云平台系统及设置方法
CN107707551A (zh) * 2017-10-09 2018-02-16 山东中创软件商用中间件股份有限公司 一种ip访问控制的方法和系统
CN107992547A (zh) * 2017-11-27 2018-05-04 深信服科技股份有限公司 一种网站应用部署方法及装置
CN108600198A (zh) * 2018-04-04 2018-09-28 北京百悟科技有限公司 防火墙的访问控制方法、装置、计算机存储介质及终端
US10762244B2 (en) * 2018-06-29 2020-09-01 Intel Corporation Securely exposing an accelerator to privileged system components
CN110868371B (zh) * 2018-08-27 2022-03-01 中国电信股份有限公司 安全策略的处理方法、系统、云管理平台和子网管理装置
CN109522031A (zh) * 2018-08-29 2019-03-26 上海你我贷互联网金融信息服务有限公司 风控策略的部署和升级方法
CN111224922A (zh) * 2018-11-26 2020-06-02 顺丰科技有限公司 分布式安全组模块访问控制方法、系统
CN110493064A (zh) * 2019-08-30 2019-11-22 深圳壹账通智能科技有限公司 防火墙管理方法、装置、计算机设备和存储介质
US11374850B2 (en) 2020-04-06 2022-06-28 Vmware, Inc. Tunnel endpoint group records
US11777793B2 (en) 2020-04-06 2023-10-03 Vmware, Inc. Location criteria for security groups
US11115301B1 (en) 2020-04-06 2021-09-07 Vmware, Inc. Presenting realized state of multi-site logical network
US11088919B1 (en) 2020-04-06 2021-08-10 Vmware, Inc. Data structure for defining multi-site logical network
US11425172B2 (en) * 2020-05-20 2022-08-23 T-Mobile Usa, Inc. Application security for service provider networks
CN112311851B (zh) * 2020-09-25 2022-04-01 新华三大数据技术有限公司 一种网络策略配置方法及装置
US11601474B2 (en) 2020-09-28 2023-03-07 Vmware, Inc. Network virtualization infrastructure with divided user responsibilities
CN112243003B (zh) * 2020-10-13 2023-04-11 中移(杭州)信息技术有限公司 访问控制方法、电子设备及存储介质
CN112217902B (zh) * 2020-10-22 2022-03-22 新华三信息安全技术有限公司 一种防火墙数据同步方法及装置
CN113395275B (zh) * 2021-06-10 2022-05-24 杭州安恒信息技术股份有限公司 一种云平台安全防护功能管控方法、系统及存储介质
CN115529631A (zh) * 2021-06-24 2022-12-27 中移(成都)信息通信科技有限公司 通信系统、方法、装置、第一设备及存储介质
CN113542263B (zh) * 2021-07-13 2023-01-24 中国工商银行股份有限公司 防火墙策略迁移方法及装置
CN113810429B (zh) * 2021-11-16 2022-02-11 北京安博通科技股份有限公司 一种自动化策略开通的方法
CN114172718B (zh) * 2021-12-03 2024-01-23 北京天融信网络安全技术有限公司 安全策略配置方法、装置、电子设备及存储介质
US11868749B2 (en) * 2022-01-14 2024-01-09 Discover Financial Services Configurable deployment of data science models

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916378A (zh) * 2012-12-28 2014-07-09 中国电信股份有限公司 应用系统在云资源池中自动部署的系统和方法
CN104580078A (zh) * 2013-10-15 2015-04-29 北京神州泰岳软件股份有限公司 一种网络访问控制方法和系统
CN104717181A (zh) * 2013-12-13 2015-06-17 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法
CN105119952A (zh) * 2015-07-07 2015-12-02 北京京东尚科信息技术有限公司 云平台下自动弹性地分配资源的方法和系统

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6408336B1 (en) * 1997-03-10 2002-06-18 David S. Schneider Distributed administration of access to information
US6477665B1 (en) * 1999-08-31 2002-11-05 Accenture Llp System, method, and article of manufacture for environment services patterns in a netcentic environment
US6636242B2 (en) * 1999-08-31 2003-10-21 Accenture Llp View configurer in a presentation services patterns environment
US7073126B1 (en) * 1999-11-18 2006-07-04 Instaknow.Com Inc. Method and system of deploying server-based applications
AU1940601A (en) * 1999-12-02 2001-06-12 Secure Computing Corporation Locally adaptable security management framework for networks
EP1303097A3 (en) * 2001-10-16 2005-11-30 Microsoft Corporation Virtual distributed security system
US7308706B2 (en) * 2002-10-28 2007-12-11 Secure Computing Corporation Associative policy model
US20040143749A1 (en) * 2003-01-16 2004-07-22 Platformlogic, Inc. Behavior-based host-based intrusion prevention system
US20050138416A1 (en) * 2003-12-19 2005-06-23 Microsoft Corporation Object model for managing firewall services
US20050240558A1 (en) * 2004-04-13 2005-10-27 Reynaldo Gil Virtual server operating on one or more client devices
US8667170B2 (en) * 2004-04-14 2014-03-04 Nippon Telegraph And Telephone Corporation Address conversion method, access control method, and device using these methods
JP4341517B2 (ja) * 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US8204931B2 (en) * 2004-12-28 2012-06-19 Sap Ag Session management within a multi-tiered enterprise network
US20070174429A1 (en) * 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
WO2008033394A2 (en) * 2006-09-12 2008-03-20 Truebaseline Complexity management tool
CN101051923A (zh) * 2007-04-05 2007-10-10 中兴通讯股份有限公司 以太无源光网络中的组播控制方法
US8615581B2 (en) * 2008-12-19 2013-12-24 Openpeak Inc. System for managing devices and method of operation of same
US8788655B2 (en) * 2008-12-19 2014-07-22 Openpeak Inc. Systems for accepting and approving applications and methods of operation of same
US10248996B2 (en) * 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US20110113236A1 (en) * 2009-11-02 2011-05-12 Sylvain Chenard Methods, systems, and computer readable media for offloading internet protocol security (ipsec) processing using an ipsec proxy mechanism
US8200752B2 (en) * 2009-12-23 2012-06-12 Citrix Systems, Inc. Systems and methods for policy based transparent client IP insertion
US8769156B2 (en) * 2009-12-23 2014-07-01 Citrix Systems, Inc. Systems and methods for maintaining transparent end to end cache redirection
US9461996B2 (en) * 2010-05-07 2016-10-04 Citrix Systems, Inc. Systems and methods for providing a single click access to enterprise, SAAS and cloud hosted application
US9282097B2 (en) * 2010-05-07 2016-03-08 Citrix Systems, Inc. Systems and methods for providing single sign on access to enterprise SAAS and cloud hosted applications
SG186975A1 (en) * 2010-07-09 2013-02-28 State Street Corp Systems and methods for private cloud computing
US10235439B2 (en) * 2010-07-09 2019-03-19 State Street Corporation Systems and methods for data warehousing in private cloud environment
CN102025535B (zh) * 2010-11-17 2012-09-12 福建星网锐捷网络有限公司 虚拟机管理方法、装置及网络设备
WO2012075442A1 (en) * 2010-12-02 2012-06-07 American International Group, Inc. Systems, methods, and computer program products for processing insurance claims
US8805951B1 (en) * 2011-02-08 2014-08-12 Emc Corporation Virtual machines and cloud storage caching for cloud computing applications
US9020830B2 (en) * 2011-03-08 2015-04-28 Apptio, Inc. Hierarchy based dependent object relationships
US20120246740A1 (en) * 2011-03-22 2012-09-27 Brooker Marc J Strong rights management for computing application functionality
US10264058B1 (en) * 2011-06-30 2019-04-16 Emc Corporation Defining virtual application templates
US8806568B2 (en) * 2011-07-11 2014-08-12 International Business Machines Corporation Automatic generation of user account policies based on configuration management database information
US20130019314A1 (en) * 2011-07-14 2013-01-17 International Business Machines Corporation Interactive virtual patching using a web application server firewall
US20130227352A1 (en) * 2012-02-24 2013-08-29 Commvault Systems, Inc. Log monitoring
IL221975A (en) * 2012-09-19 2015-02-26 Tufin Software Technologies Ltd A method and device for managing connectivity between resources in a computer network
EP2909715B1 (en) * 2012-10-16 2022-12-14 Citrix Systems, Inc. Application wrapping for application management framework
US20150324417A1 (en) * 2012-12-10 2015-11-12 Viditeck Ag Rules based data processing system and method
US9256622B2 (en) * 2012-12-21 2016-02-09 Commvault Systems, Inc. Systems and methods to confirm replication data accuracy for data backup in data storage systems
US10484334B1 (en) * 2013-02-26 2019-11-19 Zentera Systems, Inc. Distributed firewall security system that extends across different cloud computing networks
CN103167041B (zh) * 2013-03-28 2016-04-20 广州中国科学院软件应用技术研究所 一种支持云环境应用集群自动化部署的系统及方法
US9483361B2 (en) * 2013-05-08 2016-11-01 Commvault Systems, Inc. Information management cell with failover management capability
US20150100946A1 (en) * 2013-10-08 2015-04-09 Frank Brunswig Using mock data to validate applications
WO2015108453A1 (en) * 2014-01-16 2015-07-23 Telefonaktiebolaget L M Ericsson (Publ) System, methods and apparatuses for providing network access security control
US9712491B2 (en) * 2014-03-03 2017-07-18 Qualcomm Connected Experiences, Inc. Access control lists for private networks of system agnostic connected devices
US20150317331A1 (en) * 2014-05-02 2015-11-05 DhiLogics Solutions India Pvt. Ltd. Unified platform for application development
US10924554B2 (en) * 2014-05-05 2021-02-16 Citrix Systems, Inc. Application customization
US10216855B2 (en) * 2014-06-26 2019-02-26 International Business Machines Corporation Mobilizing an existing web application
US20160048408A1 (en) * 2014-08-13 2016-02-18 OneCloud Labs, Inc. Replication of virtualized infrastructure within distributed computing environments
US9898777B2 (en) * 2014-08-19 2018-02-20 Verizon Patent And Licensing Inc. Apparatus, method and system for providing machine-to-machine applications development
US9455888B2 (en) * 2014-09-19 2016-09-27 International Business Machines Corporation Application topology based on network traffic
CN104270467B (zh) * 2014-10-24 2017-09-29 冯斌 一种用于混合云的虚拟机管控方法
US9648105B2 (en) * 2014-11-14 2017-05-09 Commvault Systems, Inc. Unified snapshot storage management, using an enhanced storage manager and enhanced media agents
US10740287B2 (en) * 2015-01-05 2020-08-11 Iguazio Systems Ltd. System and method of managing service oriented data
US10033702B2 (en) * 2015-08-05 2018-07-24 Intralinks, Inc. Systems and methods of secure data exchange
CN105100109B (zh) * 2015-08-19 2019-05-24 华为技术有限公司 一种部署安全访问控制策略的方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103916378A (zh) * 2012-12-28 2014-07-09 中国电信股份有限公司 应用系统在云资源池中自动部署的系统和方法
CN104580078A (zh) * 2013-10-15 2015-04-29 北京神州泰岳软件股份有限公司 一种网络访问控制方法和系统
CN104717181A (zh) * 2013-12-13 2015-06-17 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法
CN105119952A (zh) * 2015-07-07 2015-12-02 北京京东尚科信息技术有限公司 云平台下自动弹性地分配资源的方法和系统

Also Published As

Publication number Publication date
US11570148B2 (en) 2023-01-31
WO2017028513A1 (zh) 2017-02-23
CN105100109A (zh) 2015-11-25
US20180191682A1 (en) 2018-07-05

Similar Documents

Publication Publication Date Title
CN105100109B (zh) 一种部署安全访问控制策略的方法及装置
CN108062248B (zh) 异构虚拟化平台的资源管理方法、系统、设备及存储介质
CN105991734B (zh) 一种云平台管理方法及系统
CN103458003B (zh) 一种自适应云计算环境虚拟安全域访问控制方法和系统
WO2018205325A1 (zh) 在异构资源上构建内容分发网络平台的方法和系统
CN102932459B (zh) 一种虚拟机的安全控制方法
CN108512935A (zh) 数据服务系统、方法、服务器和计算机可读存储介质
KR101814560B1 (ko) 가상 머신 마이그레이션 관리 방법, 장치, 및 시스템
CN109271233A (zh) 基于Kubernetes组建Hadoop集群的实现方法
CN103078965B (zh) 虚拟机的ip地址管理方法
WO2021022764A1 (zh) 5g核心网的网络切片方法和网络切片装置
CN105471662B (zh) 云服务器、虚拟网络策略集中控制系统和方法
CN103718527B (zh) 一种通信安全处理方法、装置及系统
US11240745B2 (en) Network slice instance processing method and apparatus, and system
WO2017185303A1 (zh) 一种nfv mano策略描述符的管理方法及装置
US20170153906A1 (en) Virtual machine resource allocation based on user feedback
CN109254831A (zh) 基于云管理平台的虚拟机网络安全管理方法
CN104980494B (zh) 一种具有本地缓存的云存储下载共享平台及方法
CN106134141A (zh) 一种更新网络服务描述器nsd的方法及装置
CN109089298A (zh) 蓝牙和wifi双协议设备入网方法及装置
CN105991738A (zh) 一种云资源池中跨安全域资源共享的方法及系统
CN103595826A (zh) 一种防止虚拟机ip和mac伪造的方法
CN105224385A (zh) 一种基于云计算的虚拟化系统及方法
CN108268209A (zh) 一种cdn系统中的数据存储方法及cdn系统
CN104363234B (zh) 基于公网ip地址拨号上网的防护方法及装置及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20220217

Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province

Patentee after: Huawei Cloud Computing Technology Co.,Ltd.

Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen

Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd.