CN109194700A - 一种流量管控方法及相关装置 - Google Patents
一种流量管控方法及相关装置 Download PDFInfo
- Publication number
- CN109194700A CN109194700A CN201811435314.9A CN201811435314A CN109194700A CN 109194700 A CN109194700 A CN 109194700A CN 201811435314 A CN201811435314 A CN 201811435314A CN 109194700 A CN109194700 A CN 109194700A
- Authority
- CN
- China
- Prior art keywords
- control
- control device
- traffic management
- information
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种流量管控方法及相关装置,用于提升流量管控策略生成的智能性及流量管理策略的有效性。本发明实施例方法包括:所述管控端获取所述服务器的基本信息;所述管控端接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;所述管控端为每个流量管控策略设置一定的生效阈值;当同一流量管控策略的生成次数大于对应的生效阈值时,所述管控端将所述流量管控策略发送至对应的被管控装置。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种流量管控方法及相关装置。
背景技术
随着云平台的发展,很多应用系统都迁入到的虚拟机、容器、物理机的云管理平台中。云平台的流量主要分为东西流量、南北流量,大部分的南北流量会在内部转换为数据中心内部服务器之间的流量,而这些流量主要是东西流量,其流量涉及到重要的数据资源的访问,因此云平台中东西流量在整个平台中的比重很高,其资源也比较重要。
而为了保证东西流量数据的安全性,安全组作为一种网络安全隔离手段,具备状态检测和包过滤功能,用于在云端划分安全域。
安全组是一个逻辑上的分组,这个分组是由同一个地域(Region)内具有相同安全保护需求并相互信任的实例组成。每个实例至少属于一个安全组,在创建的时候就需要指定。同一安全组内的实例之间默认私网网络互通,不同安全组的实例之间默认私网不通,且可以授权两个安全组之间互访。
而这种在云内设置安全组的方法,至少具有以下缺点:
该方法在配置安全组的时候需要对所有业务开放的端口以及虚拟机之间的相互的访问都非常清楚,才能在不影响业务的情况下,配置出想要的效果,而这种配置过程,很容易因为配置出错,导致业务无法访问。
发明内容
本发明实施例提供了一种流量管控方法及相关装置,用于提升流量管控策略生成的智能性及流量管理策略的有效性。
本申请实施例第一方面提供了一种流量管控方法,基于在云平台上建立的微隔离系统,所述微隔离系统包括服务器、管控端,及一个或多个被管控装置,其特征在于,应用于管控端,所述方法包括:
所述管控端获取所述服务器的基本信息;
所述管控端接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
所述管控端为每个流量管控策略设置一定的生效阈值;
当同一流量管控策略的生成次数大于对应的生效阈值时,所述管控端将所述流量管控策略发送至对应的被管控装置。
优选的,所述被管控装置安装有第一客户端,所述被管控装置通过所述第一客户端上报自身的流量,接收所述管控端发送的流量管控策略。
优选的,所述当同一流量管控策略的生成次数大于对应的生效阈值,所述管控端将所述流量管控策略发送至对应的被管控装置,包括:
当生成流量管控策略时,对生成的同一流量管控策略执行累加动作,并判断累加后的生成次数是否大于对应的生效阈值;
若是,则将所述流量管控策略发送至对应的被管控装置;
若否,则删除所述流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
优选的,所述管控端接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,以生成对每个被管控装置对应的流量管控策略,包括:
所述管控端通过识别被管控装置的基本信息,以识别所述被管控装置的资产信息;
所述管控端通过所述被管控装置上报的流量,及所述流量访问所述服务器的端口信息,以识别所述被管控装置访问的服务器应用信息;
所述管控端通过所述服务器应用信息,以识别所述被管控装置的角色信息;
所述管控端确定所述被管控装置的角色信息所属的区域信息;
根据所述资产信息、所述角色信息及所述区域信息,所述管控端确定所述流量管控策略的逻辑层次。
本申请实施例第二方面提供了一种流量管控方法,基于在云平台上建立微隔离系统,所述微隔离系统包括服务器、管控端,及一个或多个被管控装置,应用于所述被管控装置,所述方法包括:
所述被管控装置向所述管控端上报流量,使得所述管控端根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
所述被管控装置接收由所述管控端发送的流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
优选的,当所述被管控装置以第一角色信息从第一区域移动到第二区域,且所述第二区域也具有所述第一角色信息时,所述被管控装置不仅继承所述第二区域中所述第一角色的流量管控策略,还继承所述第二区域的所有流量管控策略,且被管控装置在所述第一区域中针对资产的流量管控策略保持不变。
优选的,所述被管控装置包括直通模式和生效模式;
当所述被管控装置处于所述直通模式时,所述流量管控策略仅在所述被管控装置中进行展示,而不生效;
当所述被管控装置处于所述生效模式时,所述流量管控策略在所述被管控装置中直接生效。
本申请实施例第三方面提供了一种管控端,包括:
获取单元,用于获取所述服务器的基本信息;
策略生成单元,用于接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
设置单元,用于为每个流量管控策略设置一定的生效阈值;
发送单元,用于在同一流量管控策略的生成次数大于对应的生效阈值时,将所述流量管控策略发送至对应的被管控装置。
优选的,所述管控端安装有第一客户端,所述被管控装置通过所述第一客户端上报自身的流量,接收所述管控端发送的流量管控策略。
优选的,所述发送单元,包括:
计数模块,用于当生成流量管控策略时,对生成的同一流量管控策略执行累加动作,并判断累加后的生成次数是否大于对应的生效阈值;
发送模块,用于当所述生成次数大于对应的生效阈值时,将所述流量管控策略发送至对应的被管控装置;
删除模块,用于当所述生成次数小于对应的生效阈值时,删除所述流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
优选的,所述策略生成单元,包括:
第一识别模块,用于通过识别被管控装置的基本信息,以识别所述被管控装置的资产信息;
第二识别模块,用于通过所述被管控装置上报的流量,及所述流量访问所述服务器的端口信息,以识别所述被管控装置访问的服务器应用信息;
第三识别模块,用于通过所述流量访问的所述服务器应用信息,以识别所述被管控装置的角色信息;
第四识别模块,用于确定所述被管控装置的角色信息隶属的区域信息;
确定模块,用于根据所述资产信息、所述角色信息及所述区域信息,所述管控端确定所述流量管控策略的逻辑层次。
本申请实施例第四方面提供了一种被管控装置,包括:
上报单元,用于向所述管控端上报流量,使得所述管控端根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
接收单元,用于接收由所述管控端发送的流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
优选的,当所述被管控装置以第一角色信息从第一区域移动到第二区域,且所述第二区域也具有所述第一角色信息时,所述被管控装置不仅继承所述第二区域中所述第一角色的流量管控策略,还继承所述第二区域的所有流量管控策略,且被管控装置在所述第一区域中针对资产的流量管控策略保持不变。
优选的,所述被管控装置包括直通模式和生效模式;
当所述被管控装置处于所述直通模式时,所述流量管控策略仅在所述被管控装置中进行展示,而不生效;
当所述被管控装置处于所述生效模式时,所述流量管控策略在所述被管控装置中直接生效。
本申请实施例第五方面提供了一种微隔离系统,包括本申请实施例第一方面提供的管控端、服务器及本申请实施例第四方面提供的被管控装置。
本申请实施例还提供了一种计算机装置,包括处理器,所述处理器在执行存储于存储器上的计算机程序时,用于实现本申请实施例第一方面提供的流量管控方法。
本申请实施例还提供了一种计算机装置,包括处理器,所述处理器在执行存储于存储器上的计算机程序时,用于实现本申请实施例第二方面提供的流量管控方法。
本申请实施例还提供了一种可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,用于实现本申请实施例第一方面提供的流量管控方法。
本申请实施例还提供了一种可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时,用于实现本申请实施例第二方面提供的流量管控方法。
从以上技术方案可以看出,本发明实施例具有以下优点:
本申请实施例中,通过管控端接收由被管控装置上报的流量,并对该流量进行分析统计,生成对应的流量管控策略,即管控端可以通过自动学习生成对应的流量管控策略,且管控端为生成的流量管控策略设置一定的生效阈值,使得只有生成的流量管控策略在大于生效阈值时,才将该流量管控策略发送至被管控装置,一方面本实施例中的管控端可以根据被管控装置上报的流量,自动学习生成对应的流量管控策略,提高了流量管控策略生成的智能性;另一方面,管控端为生成的每个流量管控策略设置一定的生效阈值,只有生成流量管控策略的次数大于生效阈值时,才将该流量管控策略发送至被管控装置,从而提升了流量管控策略的有效性。
附图说明
图1为本申请实施例中一种流量管控方法的一个实施例示意图;
图2为本申请实施例中流量管控策略的逻辑划分层次的细化步骤示意图;
图3为本申请实施例中一种流量管控方法的另一个实施例示意图;
图4为本申请实施例中一种流量管控方法的另一个实施例示意图;
图5为本申请实施例中管控端的一个实施例示意图;
图6为本申请实施例中被管控装置的一个实施例示意图;
图7为本申请实施例中微隔离系统的一个实施例示意图。
具体实施方式
本发明实施例提供了一种流量管控方法及相关装置,用于提升流量管控策略生成的智能性及流量管理策略的有效性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对本申请中的流量管控方法进行描述,请参阅图1,本申请实施例中一种流量管控方法的一个实施例,包括:
101、所述管控端获取所述服务器的基本信息;
区别于现有技术中在云平台上设置安全组的策略,以保证安全组内东西流量的安全,本申请是在云平台上设置微隔离系统,其中,微隔离系统包括服务器、管控端及一个或多个被管控装置。
具体的,在本实施例中,管控端是流量管控策略的分析生成者,主要是根据被管控装置所上报的流量,来分析生成具体的流量管控策略并进行发送,而被管控装置即为在该微隔离系统中对服务器中应用信息的访问者,即流量的生成者,而微隔离系统中的被管控装置既可以为以实际形态存在的物理机,也可以是在服务器中虚拟出的虚拟机,只要可以通过访问服务器的应用信息,而产生流量即可,此处对被管控装置的物理形态及个数不做具体限制。
在该微隔离系统中,管控端需要获取服务器的基本信息,以便于后期根据被管控装置上报的流量进行统计分析,以生成对应的流量管控策略,具体的,服务器的基本信息包括服务器的IP信息、端口信息、服务器所安装的应用信息(如数据库、Web网页等)、服务器的内存、CPU信息等,其中最主要的是服务器所安装的应用信息、服务器的端口信息,及服务器的端口和服务器的应用信息之间的映射表,如当被管控装置通过第一端口访问服务器时,通过查找端口与服务器应用信息之间的映射表,确定被管控装置访问的是数据库应用,而当被管控装置通过第二端口访问服务器时,确定被管控装置访问的是Web网页。
102、所述管控端接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
在实际应用中,管控端可以是一个具体的物理设备,也可以是安装在服务器上的一个软件客户端,当管控端接收到由被管控装置上报的流量时,根据该流量所访问的服务器的基本信息(如端口信息),对每个被管控装置上报的流量进行统计分析,从而生成对每个被管控装置的流量管控策略。
具体的,可以在被管控装置中安装第一客户端(如Agent端),Agent端可以在被管控装置访问服务器时,对被管控装置的访问信息,也即流量信息执行镜像,并将镜像后的流量上报至管控端,使得管控端可以对该被管控装置的流量进行统计分析,从而生成对应的流量管控策略。另外,被管控装置还可以通过Agent端接收管控端所发送的流量管控策略。
进一步,管控端对被管控装置的流量执行统计分析的过程,可以理解为管控端对流量管控策略的自动学习生成过程,而对应的流量管控策略可以理解为相应的统计分析结论,如根据被管控装置访问服务器的IP信息,可以统计分析得出访问服务器某个应用的被管控装置的IP都为内网IP,则管控端统计分析得到的流量管控策略可以是拒绝外网IP对服务器中该应用的访问。
容易理解的是,为了实现管控端中工作模式的多样性,可以在管控端中设置不同的工作模式,即可以在管控端中设置策略自动学习模式,当用户开启策略自动学习模式时,管控端在接收到被管控装置上报的流量时,则会根据该流量自动学习生成对应的流量管控策略,而当用户未开启自动学习模式时,管控端在接收到被管控装置上报的流量时,则不会自动根据流量学习生成对应的流量管控策略,从而提高了申请中管控端的多样性。
103、所述管控端为每个流量管控策略设置一定的生效阈值;
在实际应用中,当生成一个流量管控策略时,为了保证该流量管控策略的有效性及正确性,可以为每个流量管控策略设置一定的生效阈值,当生成该流量管控策略的次数大于对应的生效阈值时,才生成对应的策略,而在生成该流量管控策略的次数不大于对应的生效阈值时,则删除该流量管控策略。
具体的,当生成一个流量管控策略时,则将该流量管控策略插入到策略匹配树中,而当策略匹配树中已存在该流量管控策略时,则将该流量管控策略的阈值加1,而当策略匹配树中不存在该流量匹配树时,则将该流量管控策略的阈值设置为1。当策略匹配结束后,则将该流量管控策略小于对应阈值的策略删除,而保留大于对应阈值的流量管控策略。
104、当同一流量管控策略的生成次数大于对应的生效阈值时,所述管控端将所述流量管控策略发送至对应的被管控装置。
当同一流量管控策略的生成次数大于对应的生效阈值时,即步骤103中管控端中保留的大于对应阈值的流量管控策略,管控端则将该流量管控策略发送至对应的被管控装置中。
本申请实施例中,通过管控端接收由被管控装置上报的流量,并对该流量进行分析统计,生成对应的流量管控策略,即管控端可以通过自动学习生成对应的流量管控策略,且管控端为生成的流量管控策略设置一定的生效阈值,使得只有生成的流量管控策略在大于生效阈值时,才将该流量管控策略发送至被管控装置,一方面本实施例中的管控端可以根据被管控装置上报的流量,自动学习生成对应的流量管控策略,提高了流量管控策略生成的智能性;另一方面,管控端为生成的每个流量管控策略设置一定的生效阈值,只有生成流量管控策略的次数大于生效阈值时,才将该流量管控策略发送至被管控装置,从而提升了流量管控策略的有效性。
基于图1所述实施例中的步骤102,本申请还可以将流量管控策略划分为不同的逻辑层次,使得该策略更具体化,本实施例中将流量管控策略的配置范围划分为区域信息、角色信息和资产信息,其中,资产信息可以隶属于角色信息,也可以直接隶属于区域信息,而角色信息只能隶属于区域信息,下面来详细描述本申请中流量管控策略的逻辑划分层次,请参阅图2,本申请实施例中流量管控策略的逻辑划分层次的细化步骤如下:
201、所述管控端通过识别被管控装置的基本信息,以识别所述被管控装置的资产信息;
具体的,在实施例中微隔离系统中流量管控策略的资产信息是指被管控装置的基本信息,如被管控装置的名称、ip、操作系统等,以便于将流量管控策略具体在每个被管控装置上。
202、所述管控端通过所述被管控装置上报的流量,及所述流量访问所述服务器的端口信息,以识别所述被管控装置访问的服务器应用信息;
管控端接收到由被管控装置中的Agent上报的流量后,通过该流量访问的服务器的端口信息,以识别被管控装置所访问的服务器应用信息,具体的,如随着服务器的发展,一台服务器可以同时是Web服务器,也可以是FTP服务器,还可以是邮件服务器等,就是因为各种服务采用不同的端口分别提供不同的服务,比如:通常TCP/IP协议规定Web采用80号端口,FTP采用21号端口,而邮件服务器是采用25号端口等,故管控端可以通过流量所访问的端口信息,来识别被管控装置访问的服务器应用信息,如当被管控装置的流量访问的是服务器的80号端口,则该流量访问的即为服务器的Web应用。
203、所述管控端通过所述服务器应用信息,以识别所述被管控装置的角色信息;
而管控端通过流量访问的服务器应用信息,来识别被管控装置的角色信息,具体的,被管控装置的角色信息可以理解为被管控装置中的流量所实现的的某种功能,如当被管控装置的流量访问的是服务器的Web应用时,则该被管控装置即充当的是Web角色,而当被管控装置的流量访问的是服务器的数据库应用时,则该被管控装置则充当的是DB角色,故管控端可以通过被管控装置访问的服务器的流量信息,来识别被管控装置的角色信息。
容易理解的是,因为服务器的端口信息和服务器的应用之间存在对应关系,故管控端也可以根据被管控装置访问服务器的端口信息,来识别被管控装置访问的服务器应用信息,进而来识别被管控装置的角色信息。
204、所述管控端确定所述被管控装置的角色信息所属的区域信息;
为了更直观的反映被管控装置的流量所访问的服务器应用所隶属的区域,可以将服务器的应用自定义地划分为不同的区域,如Web应用隶属于运维区域,而数据库应用隶属于研发区域,容易理解的是,在实际应用中,可以将同一应用隶属于不同的区域,如Web应用在实际应用中,可以被A公司划分为运维区域,而在B公司,则可能被划分为研发区域等。
需要说明的是,本实施例中提出将微分段的思路,即将流量管控策略在逻辑层次上划分为区域信息、角色信息和资产信息,以便于将该流量管控策略进行细化,从而保证流量管控策略的有效性和细化性。
205、根据所述资产信息、所述角色信息及所述区域信息,管控端确定所述流量管控策略的逻辑层次。
管控端对每个被管控装置Agent端上报的流量进行统计分析,以生成对每个被管控装置的流量管控策略,其中,该流量管控策略的配置范围包括该流量管控策略对应的区域信息、角色信息和资产信息,从而将该流量管控策略的配置范围及逻辑层次更加细分化,使得该流量管控策略对被管控装置而言,更加具体化,提高了流量管控策略的有效性。
本实施例中,详细描述了在微隔离系统中的微分段思路,即如何将流量管控策略的配置范围划分为区域信息、角色信息和资产信息,并且详细描述了区域信息、角色信息和资产信息,提高了本实施例的可实施性。
基于图2所述的实施例,下面接着详细描述本实施例中的流量管控方法,请参阅图3,本申请实施例中流量管控方法的另一个实施例,包括:
301、当被管控装置以第一角色信息从第一区域移动到第二区域,且第二区域也具有第一角色信息时,被管控装置不仅继承第二区域中第一角色的流量管控策略,还继承第二区域的流量管控策略,且被管控装置在第一区域中针对资产的流量管控策略保持不变。
区别于现有技术的是,当本申请中的被管控装置以第一角色信息从第一区域移动到第二区域时,且第二区域也具有第一角色信息时,被管控装置不仅会继承第二区域中第一角色的流量管控策略,还会继承第二区域的流量管控策略,且被管控装置在第一区域中针对资产的流量管控策略保持不变。
具体的,假设被管控装置以Web角色在第一区域中存在时,第一区域中针对Web角色的流量管控策略有123,而针对被管控装置(即资产)的流量管控策略有4,而当该被管控装置以Web角色从第一区域移动到第二区域时,第二区域中也有Web角色,且第二区域中针对该区域的流量管控策略有56,针对Web角色的流量管控策略为78时,则该被管控装置不仅会继承第二区域中Web角色的流量管控策略78,还会继承第二区域的区域流量管控策略56,且被管控装置在第一区域中作为资产的流量管控策略4也不会发生改变,则当该被管控装置从第一区域移动到第二区域时,该被管控装置的流量管控策略即为45678。
需要说明的是,上述示例只是对本步骤的解释说明,并不对步骤构成任何限制。
基于图1-3所述的实施例,下面详细描述当流量管控策略生成后,被管控装置不同模式对流量管控策略的接收过程,请参阅图4,本申请实施例中一种流量管控方法的另一个实施例,包括:
401、被管控装置包括直通模式和生效模式,当被管控装置接收到发送的流量管控策略时,且被管控装置处于直通模式时,则该流量管控策略仅在被管控装置中进行展示,而不生效;
具体的,在实际应用中,当被管控装置发生重启时,或被管控装置主动上报流量生成流量管控策略时,或管控端主动向被管控装置发送流量管控策略时,被管控装置都会接收到由管控端发送的流量管控策略,而当被管控装置发生重启,或被管控装置主动向管控端上报流量生成新的流量管控策略时,管控端会重新计算当前的流量管控策略,而当管控端直接发送流量管控策略时,则直接生成流量管控策略。
管控端生成流量管控策略后,直接将流量管控策略发送至被管控装置,当被管控装置当前处于直通模式时,则该流量管控策略只在被管控装置中进行展示,而不执行应用,即该流量管控策略在被管控装置中不生效。
402、当被管控装置接收到发送的流量管控策略,且被管控装置处于生效模式时,则该流量管控策略直接在被管控装置中生效。
在实际应用中,当被管控装置接收到由管控端发送的流量管控策略,且被管控装置处于生效模式时,则该流量管控策略直接在被管控装置中执行应用,即该流量管控策略在被管控装置中直接生效。
本实施例中,详细描述了被管控装置接收到流量管控策略时的两种工作模式,即直通模式和生效模式,提高了本实施例中被管控装置的多样性。
上面描述了本申请实施例中的流量管控方法,下面来描述本申请实施例中微隔离系统中的管控端,请参阅图5,本申请实施例中管控端的一个实施例示意图,包括:
获取单元501,用于获取所述服务器的基本信息;
策略生成单元502,用于接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
设置单元503,用于为每个流量管控策略设置一定的生效阈值;
发送单元504,用于在同一流量管控策略的生成次数大于对应的生效阈值时,将所述流量管控策略发送至对应的被管控装置。
优选的,所述管控端安装有第一客户端,所述被管控装置通过所述第一客户端上报自身的流量,接收所述管控端发送的流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
优选的,所述策略生成单元502,包括:
第一识别模块5021,用于通过识别被管控装置的基本信息,以识别所述被管控装置的资产信息;
第二识别模块5022,用于通过所述被管控装置上报的流量,及所述流量访问所述服务器的端口信息,以识别所述被管控装置访问的服务器应用信息;
第三识别模块5023,用于通过所述流量访问的所述服务器应用信息,以识别所述被管控装置的角色信息;
第四识别模块5024,用于确定所述被管控装置的角色信息所属的区域信息;
确定模块5025,用于根据所述资产信息、所述角色信息及所述区域信息,确定所述流量管控策略的逻辑层次。
优选的,所述发送单元504,包括:
计数模块5041,用于当生成流量管控策略时,对生成的同一流量管控策略执行累加动作,并判断累加后的生成次数是否大于对应的生效阈值;
发送模块5042,用于当所述生成次数大于对应的生效阈值时,将所述流量管控策略发送至对应的被管控装置;
删除模块5043,用于当所述生成次数小于对应的生效阈值时,删除所述流量管控策略。
需要说明的是,本实施例中各单元及各模块的作用与图1及图2所述实施例中的管控端的作用相同,此处不再赘述。
下面接着来描述本申请实施例中微隔离系统中的被管控装置,请参阅图6,本申请实施例中被管控装置的一个实施例示意图,包括:
上报单元601,用于向所述管控端上报流量,使得所述管控端根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
接收单元602,用于接收由所述管控端发送的流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
优选的,当所述被管控装置以第一角色信息从第一区域移动到第二区域,且所述第二区域也具有所述第一角色信息时,所述被管控装置不仅继承所述第二区域中所述第一角色的流量管控策略,还继承所述第二区域的所有流量管控策略,且被管控装置在所述第一区域中针对资产的流量管控策略保持不变。
优选的,所述被管控装置包括直通模式和生效模式;
当所述被管控装置处于所述直通模式时,所述流量管控策略仅在所述被管控装置中进行展示,而不生效;
当所述被管控装置处于所述生效模式时,所述流量管控策略在所述被管控装置中直接生效。
需要说明的是,本实施例中各单元的作用与图3及图4中被管控装置的作用类似,此处不再赘述。
本申请还提供了一种微隔离系统,请参阅图7,该微隔离系统包括图5所述实施例中的管控端,服务器及图6所述实施例中的被管控装置。
而微隔离系统中管控端及被管控装置的作用与图1至图4中所述的类似,此处不再赘述。
上面从模块化功能实体的角度对本发明实施例中的管控端及被管控装置进行了描述,下面从硬件处理的角度对本发明实施例中的计算机装置进行描述:
该计算机装置用于实现管控端一侧的功能,本发明实施例中计算机装置一个实施例包括:
处理器以及存储器;
存储器用于存储计算机程序,处理器用于执行存储器中存储的计算机程序时,可以实现如下步骤:
所述管控端获取所述服务器的基本信息;
所述管控端接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
所述管控端为每个流量管控策略设置一定的生效阈值;
当同一流量管控策略的生成次数大于对应的生效阈值时,所述管控端将所述流量管控策略发送至对应的被管控装置。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
所述被管控装置安装有第一客户端,所述被管控装置通过所述第一客户端上报自身的流量,接收所述管控端发送的流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
当生成流量管控策略时,对生成的同一流量管控策略执行累加动作,并判断累加后的生成次数是否大于对应的生效阈值;
若是,则将所述流量管控策略发送至对应的被管控装置;
若否,则删除所述流量管控策略。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
所述管控端通过识别被管控装置的基本信息,以识别所述被管控装置的资产信息;
所述管控端通过所述被管控装置上报的流量,及所述流量访问所述服务器的端口信息,以识别所述被管控装置访问的服务器应用信息;
所述管控端通过所述服务器应用信息,以识别所述被管控装置的角色信息;
所述管控端确定所述被管控装置的角色信息所属的区域信息;
根据所述资产信息、所述角色信息及所述区域信息,确定所述流量管控策略的逻辑层次。
该计算机装置用于实现被管控装置一侧的功能,本发明实施例中计算机装置另一实施例包括:
处理器以及存储器;
存储器用于存储计算机程序,处理器用于执行存储器中存储的计算机程序时,可以实现如下步骤:
所述被管控装置向所述管控端上报流量,使得所述管控端根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
所述被管控装置接收由所述管控端发送的流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
在本发明的一些实施例中,处理器,还可以用于实现如下步骤:
当所述被管控装置以第一角色信息从第一区域移动到第二区域,且所述第二区域也具有所述第一角色信息时,所述被管控装置不仅继承所述第二区域中所述第一角色的流量管控策略,还继承所述第二区域的所有流量管控策略,且被管控装置在所述第一区域中针对资产的流量管控策略保持不变。
优选的,所述被管控装置包括直通模式和生效模式;
当所述被管控装置处于所述直通模式时,所述流量管控策略仅在所述被管控装置中进行展示,而不生效;
当所述被管控装置处于所述生效模式时,所述流量管控策略在所述被管控装置中直接生效。
可以理解的是,无论是管控端一侧,还是被管控装置一侧,上述说明的计算机装置中的处理器执行所述计算机程序时,也可以实现上述对应的各装置实施例中各单元的功能,此处不再赘述。示例性的,所述计算机程序可以被分割成一个或多个模块/单元,所述一个或者多个模块/单元被存储在所述存储器中,并由所述处理器执行,以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在所述管控端/被管控装置中的执行过程。例如,所述计算机程序可以被分割成上述管控端中的各单元,各单元可以实现如上述相应管控端说明的具体功能。
所述计算机装置可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。所述计算机装置可包括但不仅限于处理器、存储器。本领域技术人员可以理解,处理器、存储器仅仅是计算机装置的示例,并不构成对计算机装置的限定,可以包括更多或更少的部件,或者组合某些部件,或者不同的部件,例如所述计算机装置还可以包括输入输出设备、网络接入设备、总线等。
所述处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable GateArray,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是所述计算机装置的控制中心,利用各种接口和线路连接整个计算机装置的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现所述计算机装置的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序等;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(SecureDigital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
本发明还提供了一种计算机可读存储介质,该计算机可读存储介质用于实现管控端一侧的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
所述管控端获取所述服务器的基本信息;
所述管控端接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
所述管控端为每个流量管控策略设置一定的生效阈值;
当同一流量管控策略的生成次数大于对应的生效阈值时,所述管控端将所述流量管控策略发送至对应的被管控装置。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
所述被管控装置安装有第一客户端,所述被管控装置通过所述第一客户端上报自身的流量,接收所述管控端发送的流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
当生成流量管控策略时,对生成的同一流量管控策略执行累加动作,并判断累加后的生成次数是否大于对应的生效阈值;
若是,则将所述流量管控策略发送至对应的被管控装置;
若否,则删除所述流量管控策略。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
所述管控端通过识别被管控装置的基本信息,以识别所述被管控装置的资产信息;
所述管控端通过所述被管控装置上报的流量,及所述流量访问所述服务器的端口信息,以识别所述被管控装置访问的服务器应用信息;
所述管控端通过所述流量访问的所述服务器应用信息,以识别所述被管控装置的角色信息;
所述管控端确定所述被管控装置的角色信息所属的区域信息;
根据所述资产信息、所述角色信息及所述区域信息,确定所述流量管控策略的逻辑层次。本发明还提供了另一种计算机可读存储介质,该计算机可读存储介质用于实现浏览器一侧的功能,其上存储有计算机程序,计算机程序被处理器执行时,处理器,可以用于执行如下步骤:
所述被管控装置向所述管控端上报流量,使得所述管控端根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
所述被管控装置接收由所述管控端发送的流量管控策略。
优选的,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
在本发明的一些实施例中,计算机可读存储介质存储的计算机程序被处理器执行时,处理器,可以具体用于执行如下步骤:
当所述被管控装置以第一角色信息从第一区域移动到第二区域,且所述第二区域也具有所述第一角色信息时,所述被管控装置不仅继承所述第二区域中所述第一角色的流量管控策略,还继承所述第二区域的所有流量管控策略,且被管控装置在所述第一区域中针对资产的流量管控策略保持不变。
优选的,所述被管控装置包括直通模式和生效模式;
当所述被管控装置处于所述直通模式时,所述流量管控策略仅在所述被管控装置中进行展示,而不生效;
当所述被管控装置处于所述生效模式时,所述流量管控策略在所述被管控装置中直接生效。
可以理解的是,所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在相应的一个计算机可读取存储介质中。基于这样的理解,本发明实现上述相应的实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (22)
1.一种流量管控方法,基于在云平台上建立的微隔离系统,所述微隔离系统包括服务器、管控端,及一个或多个被管控装置,其特征在于,应用于所述管控端,所述方法包括:
所述管控端获取所述服务器的基本信息;
所述管控端接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
所述管控端为每个流量管控策略设置一定的生效阈值;
当同一流量管控策略的生成次数大于对应的生效阈值时,所述管控端将所述流量管控策略发送至对应的被管控装置。
2.根据权利要求1所述的方法,其特征在于,所述被管控装置安装有第一客户端,所述被管控装置通过所述第一客户端上报自身的流量,接收所述管控端发送的流量管控策略。
3.根据权利要求1所述的方法,其特征在于,所述当同一流量管控策略的生成次数大于对应的生效阈值,所述管控端将所述流量管控策略发送至对应的被管控装置,包括:
当生成流量管控策略时,对生成的同一流量管控策略执行累加动作,并判断累加后的生成次数是否大于对应的生效阈值;
若是,则将所述流量管控策略发送至对应的被管控装置;
若否,则删除所述流量管控策略。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
5.根据权利要求4所述的方法,其特征在于,所述管控端接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,以生成对每个被管控装置对应的流量管控策略,包括:
所述管控端通过识别被管控装置的基本信息,以识别所述被管控装置的资产信息;
所述管控端通过所述被管控装置上报的流量,及所述流量访问所述服务器的端口信息,以识别所述被管控装置访问的服务器应用信息;
所述管控端通过所述服务器应用信息,以识别所述被管控装置的角色信息;
所述管控端确定所述被管控装置的角色信息所属的区域信息;
根据所述资产信息、所述角色信息及所述区域信息,所述管控端确定所述流量管控策略的逻辑层次。
6.一种流量管控方法,基于在云平台上建立微隔离系统,所述微隔离系统包括服务器、管控端,及一个或多个被管控装置,其特征在于,应用于所述被管控装置,所述方法包括:
所述被管控装置向所述管控端上报流量,使得所述管控端根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
所述被管控装置接收由所述管控端发送的流量管控策略。
7.根据权利要求6所述的方法,其特征在于,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
8.根据权利要求7所述的方法,其特征在于,当所述被管控装置以第一角色信息从第一区域移动到第二区域,且所述第二区域也具有所述第一角色信息时,所述被管控装置不仅继承所述第二区域中所述第一角色的流量管控策略,还继承所述第二区域的所有流量管控策略,且所述被管控装置在所述第一区域中针对资产的流量管控策略保持不变。
9.根据权利要求6至8中任一项所述的方法,其特征在于,所述被管控装置包括直通模式和生效模式;
当所述被管控装置处于所述直通模式时,所述流量管控策略仅在所述被管控装置中进行展示,而不生效;
当所述被管控装置处于所述生效模式时,所述流量管控策略在所述被管控装置中直接生效。
10.一种管控端,其特征在,包括:
获取单元,用于获取所述服务器的基本信息;
策略生成单元,用于接收由所述被管控装置上报的流量,并根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
设置单元,用于为每个流量管控策略设置一定的生效阈值;
发送单元,用于在同一流量管控策略的生成次数大于对应的生效阈值时,将所述流量管控策略发送至对应的被管控装置。
11.根据权利要求10所述的管控端,其特征在于,所述发送单元,包括:
计数模块,用于当生成流量管控策略时,对生成的同一流量管控策略执行累加动作,并判断累加后的生成次数是否大于对应的生效阈值;
发送模块,用于当所述生成次数大于对应的生效阈值时,将所述流量管控策略发送至对应的被管控装置;
删除模块,用于当所述生成次数小于对应的生效阈值时,删除所述流量管控策略。
12.根据权利要求10所述的管控端,其特征在于,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
13.根据权利要求10至12中任一项所述的管控端,其特征在于,所述策略生成单元,包括:
第一识别模块,用于通过识别被管控装置的基本信息,以识别所述被管控装置的资产信息;
第二识别模块,用于通过所述被管控装置上报的流量,及所述流量访问所述服务器的端口信息,以识别所述被管控装置访问的服务器应用信息;
第三识别模块,用于通过所述流量访问的所述服务器应用信息,以识别所述被管控装置的角色信息;
第四识别模块,用于确定所述被管控装置的角色信息所属的区域信息;
确定模块,用于根据所述资产信息、所述角色信息及所述区域信息,确定所述流量管控策略的逻辑层次。
14.一种被管控装置,其特征在于,包括:
上报单元,用于向所述管控端上报流量,使得所述管控端根据所述服务器的基本信息,对每个被管控装置上报的流量进行统计分析,生成对每个被管控装置的流量管控策略;
接收单元,用于接收由所述管控端发送的流量管控策略。
15.根据权利要求14所述的被管控装置,其特征在于,所述流量管控策略在逻辑上划分为区域信息,角色信息和资产信息三个层次。
16.根据权利要求15所述的被管控装置,其特征在于,当所述被管控装置以第一角色信息从第一区域移动到第二区域,且所述第二区域也具有所述第一角色信息时,所述被管控装置不仅继承所述第二区域中所述第一角色的流量管控策略,还继承所述第二区域的所有流量管控策略,且被管控装置在所述第一区域中针对资产的流量管控策略保持不变。
17.根据权利要求14至16任一项所述的被管控装置,其特征在于,所述被管控装置包括直通模式和生效模式;
当所述被管控装置处于所述直通模式时,所述流量管控策略仅在所述被管控装置中进行展示,而不生效;
当所述被管控装置处于所述生效模式时,所述流量管控策略在所述被管控装置中直接生效。
18.一种微隔离系统,其特征在于,包括如权利要求10至13中任一项所述的管控端、服务器及权利要求14至17中任一项所述的被管控装置。
19.一种计算机装置,其特征在于,包括处理器,所述处理器在执行存储于存储器上的计算机程序时,用于实现如权利要求1至5中任一项所述的流量管控方法。
20.一种计算机装置,其特征在于,包括处理器,所述处理器在执行存储于存储器上的计算机程序时,用于实现如权利要求6至9中任一项所述的流量管控方法。
21.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,用于实现如权利要求1至5中任一项所述的流量管控方法。
22.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,用于实现如权利要求6至9中任一项所述的流量管控方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811435314.9A CN109194700B (zh) | 2018-11-28 | 2018-11-28 | 一种流量管控方法及相关装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201811435314.9A CN109194700B (zh) | 2018-11-28 | 2018-11-28 | 一种流量管控方法及相关装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109194700A true CN109194700A (zh) | 2019-01-11 |
CN109194700B CN109194700B (zh) | 2021-09-17 |
Family
ID=64938383
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201811435314.9A Active CN109194700B (zh) | 2018-11-28 | 2018-11-28 | 一种流量管控方法及相关装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109194700B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114938303A (zh) * | 2022-05-20 | 2022-08-23 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103780601A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种自动建立以太网通信安全规则的方法 |
CN103959711A (zh) * | 2012-09-07 | 2014-07-30 | Sk电信有限公司 | 利用监控策略和过滤策略管理网络流量的系统和方法 |
CN104079545A (zh) * | 2013-03-29 | 2014-10-01 | 西门子公司 | 一种提取数据包过滤规则的方法、装置和系统 |
CN104468253A (zh) * | 2013-09-23 | 2015-03-25 | 中兴通讯股份有限公司 | 一种深度包检测控制方法及装置 |
CN108632280A (zh) * | 2018-05-08 | 2018-10-09 | 国家计算机网络与信息安全管理中心 | 流量处理方法、装置及系统、防火墙和服务器 |
-
2018
- 2018-11-28 CN CN201811435314.9A patent/CN109194700B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103959711A (zh) * | 2012-09-07 | 2014-07-30 | Sk电信有限公司 | 利用监控策略和过滤策略管理网络流量的系统和方法 |
CN103780601A (zh) * | 2012-10-17 | 2014-05-07 | 北京力控华康科技有限公司 | 一种自动建立以太网通信安全规则的方法 |
CN104079545A (zh) * | 2013-03-29 | 2014-10-01 | 西门子公司 | 一种提取数据包过滤规则的方法、装置和系统 |
CN104468253A (zh) * | 2013-09-23 | 2015-03-25 | 中兴通讯股份有限公司 | 一种深度包检测控制方法及装置 |
CN108632280A (zh) * | 2018-05-08 | 2018-10-09 | 国家计算机网络与信息安全管理中心 | 流量处理方法、装置及系统、防火墙和服务器 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114938303A (zh) * | 2022-05-20 | 2022-08-23 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
CN114938303B (zh) * | 2022-05-20 | 2023-10-20 | 国网电力科学研究院有限公司 | 一种适用于电网调控云平台的微隔离安全防护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN109194700B (zh) | 2021-09-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111355780A (zh) | 一种基于区块链的物联网监控管理方法及系统 | |
CN102027714B (zh) | 基于目的地网络执行联网任务 | |
CN110024352A (zh) | 用于iot装置的分散式数据存储和处理 | |
CN101512510B (zh) | 基于定义和应用网络管理意图提供网络管理的方法和系统 | |
CN106170947B (zh) | 一种告警信息处理方法、相关设备和系统 | |
CN109600768A (zh) | 网络切片的管理方法、设备及系统 | |
CN104092756B (zh) | 一种基于dht机制的云存储系统的资源动态分配方法 | |
CN109845303A (zh) | 网络切片的管理方法及管理单元 | |
CN102684970B (zh) | 瘦客户端环境提供系统、服务器和瘦客户端环境管理方法 | |
CN106034112B (zh) | 访问控制、策略获取、属性获取方法及相关装置 | |
CN105471662B (zh) | 云服务器、虚拟网络策略集中控制系统和方法 | |
CN109151042B (zh) | 物联感知数据智能规划方法 | |
CN108365967A (zh) | 动态配置通讯参数的方法、系统、终端及计算机可读存储介质 | |
CN111753006B (zh) | 一种基于联邦学习的预测系统及方法 | |
CN109617878A (zh) | 一种蜜网的组建方法及系统、计算机可读存储介质 | |
CN108540973A (zh) | 漫游场景下的数据业务处理方法、装置和系统 | |
CN108881354A (zh) | 一种推送信息存储方法、装置、服务器和计算机存储介质 | |
CN105683918A (zh) | 分布式系统中的集中式联网配置 | |
CN109831334A (zh) | 网络拓扑构建方法、装置及终端设备 | |
CN109074287A (zh) | 基础设施资源状态 | |
CN109219050A (zh) | 一种基于虚拟ap的wifi采集系统及其方法 | |
CN106127625A (zh) | 一种基于指纹识别的保障房管理系统及方法 | |
CN110149307A (zh) | 一种idc安全管理系统 | |
CN109889558A (zh) | 面向物联网应用的数据传输方法、中间件及系统 | |
CN110278255A (zh) | 一种基于区块链的物联网iot设备间通信的方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |