CN109660548B - 基于全局网络拓扑结构的防火墙规则生成方法及服务器 - Google Patents
基于全局网络拓扑结构的防火墙规则生成方法及服务器 Download PDFInfo
- Publication number
- CN109660548B CN109660548B CN201811628363.4A CN201811628363A CN109660548B CN 109660548 B CN109660548 B CN 109660548B CN 201811628363 A CN201811628363 A CN 201811628363A CN 109660548 B CN109660548 B CN 109660548B
- Authority
- CN
- China
- Prior art keywords
- network topology
- updated
- global network
- host node
- topology structure
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000009471 action Effects 0.000 claims abstract description 16
- 238000012544 monitoring process Methods 0.000 claims description 18
- 238000012986 modification Methods 0.000 claims description 8
- 230000004048 modification Effects 0.000 claims description 8
- 230000000007 visual effect Effects 0.000 claims description 8
- 238000007792 addition Methods 0.000 claims description 7
- 238000012217 deletion Methods 0.000 claims description 7
- 230000037430 deletion Effects 0.000 claims description 7
- 238000012423 maintenance Methods 0.000 claims description 7
- 238000005206 flow analysis Methods 0.000 claims description 6
- 239000000523 sample Substances 0.000 claims description 5
- 238000004458 analytical method Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 6
- 238000012800 visualization Methods 0.000 description 5
- 241001501944 Suricata Species 0.000 description 4
- 238000004590 computer program Methods 0.000 description 3
- 230000001960 triggered effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000011159 matrix material Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000010367 cloning Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000005215 recombination Methods 0.000 description 1
- 230000006798 recombination Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供一种基于全局网络拓扑结构的防火墙规则生成方法及服务器,所述方法包括:若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。所述服务器执行上述方法。本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成方法及服务器,能够高效生成更新防火墙规则,进而便于各主机部署更新防火墙规则。
Description
技术领域
本发明实施例涉及防火墙技术领域,具体涉及一种基于全局网络拓扑结构的防火墙规则生成方法及服务器。
背景技术
随着信息技术的发展,通过分布式主机集群部署各主机的方式得到广泛应用。
针对单主机节点,部署网络防火墙规则,来保护主机不受恶意网络流量干扰,然而,现代IT系统的复杂度在不断提升,一个完整的IT系统通常由一个或者多个分布式主机集群组成,在这种情况下,网络管理员想要建立并部署合理有效的网络防火墙规则,必须深入了解整个IT系统,预先规划好安全策略,之后在每个主机节点上部署防火墙规则。图1为现有技术通过单点部署防火墙规则的示意图;如图1所示,上述工作流程不具备很好的环境适应性,即如果集群中发生某些变化(例如,web应用从http协议切换至https协议,主机ip地址变化,在集群中添加或者删除主机节点等),需要人工手动为每个主机节点部署更新防火墙规则,从而给主机部署维护工作带来极大的不便。
因此,如何避免上述缺陷,高效生成更新防火墙规则,进而便于各主机部署更新防火墙规则,成为亟须解决的问题。
发明内容
针对现有技术存在的问题,本发明实施例提供一种基于全局网络拓扑结构的防火墙规则生成方法及服务器。
第一方面,本发明实施例提供一种基于全局网络拓扑结构的防火墙规则生成方法,所述方法包括:
若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;
分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
第二方面,本发明实施例提供一种基于全局网络拓扑结构的防火墙规则生成服务器,所述服务器包括:
获取单元,用于若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;
生成单元,用于分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
第三方面,本发明实施例提供一种电子设备,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如下方法:
若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;
分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,包括:
所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如下方法:
若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;
分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成方法及服务器,根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点,并生成、发送各更新防火墙规则至相应主机节点,以供各相应主机节点分别部署更新防火墙规则,能够高效生成更新防火墙规则,进而便于各主机部署更新防火墙规则。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术通过单点部署防火墙规则的示意图;
图2为本发明实施例基于全局网络拓扑结构的防火墙规则生成方法流程示意图;
图3为本发明另一实施例基于全局网络拓扑结构的防火墙规则生成方法流程示意图;
图4为本发明实施例基于全局网络拓扑结构的防火墙规则生成服务器结构示意图;
图5为本发明实施例提供的电子设备实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图2为本发明实施例基于全局网络拓扑结构的防火墙规则生成方法流程示意图,如图2所示,本发明实施例提供的一种基于全局网络拓扑结构的防火墙规则生成方法,包括以下步骤:
S201:若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点。
具体的,服务器若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点。各主机节点的更新方式可以包括增加、删除和修改,不作具体限定。可以进一步根据所述更新方式,更新所述全局网络拓扑结构。图3为本发明另一实施例基于全局网络拓扑结构的防火墙规则生成方法流程示意图,如图3所示,以本发明实施例的方法在Linux主机集群上实施为例,上述更新完成的触发动作可以由服务器管理员触发,以增加主机节点为例,说明如下:在现有Linux主机集群添加一台CentOS主机,作为http服务器4(图3未示出),流程如下:
1.管理员在可视化Web界面中添加一个SVG Rectangule元素(命名为New)表示该http服务器4;可视化Web界面即是显示有更新前的全局网络拓扑结构的界面。
2.管理员在表示负载均衡服务器1的SVG Rectangule元素和New之间增加一条Path(即连接主机节点的边),与该Path相关联的Label中标注“Port 443”。
3.在负载均衡服务器2和New之间执行同上操作。
4.在New和表示应用服务器2之间增加一条Path,与该Path相关联的Label中标注“Port 3456”。
5.管理员点击确认按钮(对应于更新完成全局网络拓扑结构中的主机节点的触发动作),可视化展现Javascript程序,通知python实现的防火墙规则维护程序,之后重新渲染HTML SVG。
6.python实现的防火墙规则维护程序收到通知以后,根据上述更新后的全局网络拓扑结构,获取与http服务器4相关联的关联主机节点,参照上述举例,关联主机节点为负载均衡服务器1、负载均衡服务器2和表示应用服务器2,即这些主机节点需要更新防火墙规则,生成与http服务器4对应的更新防火墙规则RA、与负载均衡服务器1对应的更新防火墙规则RB、与负载均衡服务器2对应的更新防火墙规则RC、与表示应用服务器2对应的更新防火墙规则RD,即上述示例的主机节点为一个、是http服务器4;与主机节点http服务器4相关联的关联主机节点为负载均衡服务器1、负载均衡服务器2和表示应用服务器2。主机节点为多个的情况,不再赘述。
然后,通过HTTP连接分别发送更新防火墙规则RA至http服务器4、发送更新防火墙规则RB至负载均衡服务器1、发送更新防火墙规则RC至负载均衡服务器2、发送更新防火墙规则RD至表示应用服务器2。发送更新防火墙规则的触发动作,也可以是在接收到各相应主机节点的代理程序发送的请求消息后触发,以http服务器4为例,该http服务器4的代理程序发送获取更新防火墙规则的请求消息至服务器,服务器响应该请求消息,并发送更新防火墙规则RA至该http服务器4,以使该http服务器4在接收到更新防火墙规则RA之后,通过http服务器4中的代理程序部署更新防火墙规则,其他相应主机节点的说明可参照该http服务器4的说明,不再赘述。需要说明的是:采用何种策略生成更新防火墙规则,为本领域成熟技术,本发明实施例不作具体限定。
S202:分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
具体的,服务器分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。可参照上述实施例的说明,不再赘述。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成方法,根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点,并生成、发送各更新防火墙规则至相应主机节点,以供各相应主机节点分别部署更新防火墙规则,能够高效生成更新防火墙规则,进而便于各主机部署更新防火墙规则。
在上述实施例的基础上,各主机节点的更新方式包括增加、删除和修改。
具体的,服务器中的各主机节点的更新方式包括增加、删除和修改。可参照上述实施例,不再赘述。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成方法,能够采用多种更新方式灵活地更新各主机节点。
在上述实施例的基础上,所述方法还包括:
根据所述更新方式,更新所述全局网络拓扑结构。
具体的,服务器根据所述更新方式,更新所述全局网络拓扑结构。可参照上述实施例,不再赘述。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成方法,通过采用更新主机节点和主机节点之间边的方式更新全局网络拓扑结构,有效更新全局网络拓扑结构,保证该技术方案的正常进行。
在上述实施例的基础上,所述若检测到更新完成全局网络拓扑结构中的主机节点的触发动作的步骤之前,所述方法还包括:
生成更新前的全局网络拓扑结构,并显示。
具体的,服务器生成更新前的全局网络拓扑结构,并显示。该步骤的具体实施方式可以如下:
1.服务器中的收集/存储python程序逐行解析日志文件内容,该日志文件内容可以理解为:通过预先部署在分布式主机集群中的各主机上的代理程序上传的对日志文件的实时监控结果,按列提取日志文件内容的字段信息,将解析结果写入sqlite数据库中。
2.服务器中的负责构建网络拓扑的python程序内部开辟一个二维数组存储各主机节点的网络邻接信息,最终将该二维数组以Json文件的形式输出给可视化程序(某些关键字要符合cola.js的约束条件表达式语法)。
3.服务器中的可视化展现Javascript程序,从Json文件中读取节点/连接信息输出至d3.js,从Json文件中读取约束条件表达式输出至cola.js,最终以HTML SVG形式展现全局网络拓扑。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成方法,通过生成更新前的全局网络拓扑结构,并显示,进一步保证该技术方案的正常进行。
在上述实施例的基础上,更新前的全局网络拓扑结构是根据日志文件内容生成的;所述日志文件内容是通过预先部署在分布式主机集群中的各主机上的代理程序上传的对日志文件的实时监控结果。
具体的,服务器中的更新前的全局网络拓扑结构是根据日志文件内容生成的;所述日志文件内容是通过预先部署在分布式主机集群中的各主机上的代理程序上传的对日志文件的实时监控结果。可参照上述实施例,不再赘述。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成方法,通过更新前的全局网络拓扑结构反映对日志文件的实时监控结果,进一步保证该技术方案的时效性。
在上述实施例的基础上,所述方法还包括:
通过HTTP POST接口接收由各代理程序上传的实时监控结果。
具体的,服务器通过HTTP POST接口接收由各代理程序上传的实时监控结果。即在上述“1.服务器中的管理中心日志收集存储python程序逐行解析日志文件内容”的步骤之前,还可以包括:
1.Linux主机上生成或者接收网络流量,基于netfilter实现的内核模块旁路获取网络包,克隆原网络包生成一个新网络包,原网络包重新注入内核TCP/IP协议栈中处理,新网络包传递至用户态运行的suricata程序。
2.主机端suricata程序深度解析网络包,构建网络连接信息(suricata flow),输出到日志文件中。
3.主机端python程序调用文件系统inotify接口,监控日志文件更新事件,一旦捕获更新事件,读取日志文件内容,并通过服务器中的管理中心日志收集模块提供的HTTPPOST接口上传内容。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成方法,通过接收到实时监控结果,进一步保证该技术方案的正常进行。
为了更好地实现该方法,进一步可以采用模块化设计的方式实现:
如图3所示,本技术方案主要由两个主要执行主体组成,如下:
1.在集群环境中的各个主机上安装部署的代理程序。
2.独立于集群环境外运行的分布式防火墙管理中心(服务器)。
代理程序由以下模块组成:
1.网络流量探针模块,以旁路模式工作,负责捕获本机上的网络流量,并传递给本机上运行的网络流量分析引擎。
2.网络流量分析引擎模块,解析网络包重组网络链接,分析网络包头部和载荷信息,输出网络连接信息,如五元组(网络协议,源IP,源端口,目的IP,目的端口)和流量字节数(进入的流量,出去的流量)到日志文件。
3.文件上传模块,将日志文件上传到分布式防火墙管理中心。
4.防火墙规则部署模块,从管理中心接收到防火墙规则之后,应用到目标主机上。
分布式防火墙管理中心由以下模块组成:
1.日志收集/存储模块,收集各个主机上运行的代理程序上传的日志文件,并将之持久化存储在关系型数据库或者大数据平台中。
2.网络拓扑构建模块,在关系型数据库或者大数据平台中查询网络连接信息,基于图论算法(主机节点的入度,出度)构建全局的网络拓扑结构,由此可以确定任意两个主机节点的网络可达性。
3.可视化展现模块,向管理员显示全局拓扑结构,管理员可以在可视化界面中对集群拓扑结构做出修改,之后可视化界面通知分布式防火墙规则维护模块相应做出更新,并且重新渲染界面。
4.分布式防火墙规则维护模块,根据管理员在可视化交互过程中的操作,更新某个主机的防火墙规则,之后将更新过的防火墙规则分发给相应的主机代理程序。
以上各模块的工作流程如下:
1.主机端网络流量探针模块接收到新的网络流量,流量探针模块旁路捕获网络包,传递给流量分析引擎。
2.主机端流量分析引擎模块输出网络连接信息到日志文件中。
3.主机端文件上传模块实时监控日志文件更新事件,收到通知之后,读取日志文件内容,并通过管理中心日志收集模块提供的HTTP POST接口上传内容。
4.管理中心日志收集/存储模块接收日志文件内容,逐行解析文件内容,每一列是一个字段,将解析结果写入传统关系型数据库(如sqlite)或者大数据平台(如SparkHive)。
5.网络拓扑构建模块查询关系型数据库或者大数据平台,获取每个主机节点的邻接信息,使用矩阵结构来存储邻接信息(矩阵中的每个元素表示两个主机的网络可达性),最终以某种格式(如Json格式)输出给可视化展示模块。
6.可视化展现模块解析拓扑结构(如Json格式),基于图形布局算法,使用HTMLSVG元素(主机节点通过SVG Rectangule表示,主机节点之间的网络连接通过SVG Path表示)渲染全局网络拓扑展现给管理员。
7.管理员与Web界面交互(例如:添加或者删除一个主机节点,将某个主机节点上的HTTP服务下线),可视化展现模块将更新通知防火墙规则维护模块,之后重新渲染全局网络拓扑。
8.分布式防火墙规则维护模块,将更新防火墙规则发送到相应的主机节点。
9.主机端防火墙规则部署模块,收到管理中心的通知,执行防火墙规则更新操作。
图4为本发明实施例基于全局网络拓扑结构的防火墙规则生成服务器结构示意图,如图4所示,本发明实施例提供了一种基于全局网络拓扑结构的防火墙规则生成服务器,包括获取单元401和生成单元402,其中:
获取单元401用于若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;生成单元402用于分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
具体的,获取单元401用于若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;生成单元402用于分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成服务器,根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点,并生成、发送各更新防火墙规则至相应主机节点,以供各相应主机节点分别部署更新防火墙规则,能够高效生成更新防火墙规则,进而便于各主机部署更新防火墙规则。
在上述实施例的基础上,各主机节点的更新方式包括增加、删除和修改。
具体的,服务器中的各主机节点的更新方式包括增加、删除和修改。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成服务器,能够采用多种更新方式灵活地更新各主机节点。
在上述实施例的基础上,所述服务器具体用于:根据所述更新方式,更新所述全局网络拓扑结构。
具体的,所述服务器具体用于:根据所述更新方式,更新所述全局网络拓扑结构。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成服务器,通过采用更新主机节点和主机节点之间边的方式更新全局网络拓扑结构,有效更新全局网络拓扑结构,保证该技术方案的正常进行。
在上述实施例的基础上,所述服务器具体用于:生成更新前的全局网络拓扑结构,并显示。
具体的,所述服务器具体用于:生成更新前的全局网络拓扑结构,并显示。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成服务器,通过生成更新前的全局网络拓扑结构,并显示,进一步保证该技术方案的正常进行。
在上述实施例的基础上,更新前的全局网络拓扑结构是根据日志文件内容生成的;所述日志文件内容是通过预先部署在分布式主机集群中的各主机上的代理程序上传的对日志文件的实时监控结果。
具体的,服务器中的更新前的全局网络拓扑结构是根据日志文件内容生成的;所述日志文件内容是通过预先部署在分布式主机集群中的各主机上的代理程序上传的对日志文件的实时监控结果。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成服务器,通过更新前的全局网络拓扑结构反映对日志文件的实时监控结果,进一步保证该技术方案的时效性。
在上述实施例的基础上,所述服务器具体用于:通过HTTP POST接口接收由各代理程序上传的实时监控结果。
具体的,所述服务器具体用于:通过HTTP POST接口接收由各代理程序上传的实时监控结果。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成服务器,通过接收到实时监控结果,进一步保证该技术方案的正常进行。
本发明实施例提供的基于全局网络拓扑结构的防火墙规则生成服务器具体可以用于执行上述各方法实施例的处理流程,其功能在此不再赘述,可以参照上述方法实施例的详细描述。
图5为本发明实施例提供的电子设备实体结构示意图,如图5所示,所述电子设备包括:处理器(processor)501、存储器(memory)502和总线503;
其中,所述处理器501、存储器502通过总线503完成相互间的通信;
所述处理器501用于调用所述存储器502中的程序指令,以执行上述各方法实施例所提供的方法,例如包括:若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
本实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
本实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与所有主机节点相关联的关联主机节点;分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,分别部署更新防火墙规则。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
以上所描述的电子设备等实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上各实施例仅用以说明本发明的实施例的技术方案,而非对其限制;尽管参照前述各实施例对本发明的实施例进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明的各实施例技术方案的范围。
Claims (12)
1.一种基于全局网络拓扑结构的防火墙规则生成方法,其特征在于,包括:
若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与更新完成全局网络拓扑结构中的主机节点相关联的关联主机节点;所述全局网络拓扑结构在可视化界面中进行修改,所述可视化界面通知分布式防火墙规则维护模块做出相应更新,重新渲染界面;
分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,通过各相应主机节点预先部署的代理程序分别部署更新防火墙规则;其中,所述代理程序包括网络流量探针模块、网络流量分析引擎模块、文件上传模块和防火墙规则部署模块,其中,所述网络流量探针模块以旁路模式工作,负责捕获本机上的网络流量,并传递给本机上运行的网络流量分析引擎;各主机节点的更新方式包括增加、删除和修改。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据所述更新方式,更新所述全局网络拓扑结构。
3.根据权利要求1至2任一所述的方法,其特征在于,所述若检测到更新完成全局网络拓扑结构中的主机节点的触发动作的步骤之前,所述方法还包括:
生成更新前的全局网络拓扑结构,并显示。
4.根据权利要求3所述的方法,其特征在于,更新前的全局网络拓扑结构是根据日志文件内容生成的;所述日志文件内容是通过预先部署在分布式主机集群中的各主机上的代理程序上传的对日志文件的实时监控结果。
5.根据权利要求4所述的方法,其特征在于,所述方法还包括:
通过HTTP POST接口接收由各代理程序上传的实时监控结果。
6.一种基于全局网络拓扑结构的防火墙规则生成服务器,其特征在于,包括:
获取单元,用于若检测到更新完成全局网络拓扑结构中的主机节点的触发动作,则根据更新后的全局网络拓扑结构,获取与更新完成全局网络拓扑结构中的主机节点相关联的关联主机节点;所述全局网络拓扑结构在可视化界面中进行修改,所述可视化界面通知分布式防火墙规则维护模块做出相应更新,重新渲染界面;
生成单元,用于分别生成各主机节点和各关联主机节点的更新防火墙规则,并分别发送各更新防火墙规则至相应主机节点,以使各相应主机节点在接收到对应的更新防火墙规则之后,通过各相应主机节点预先部署的代理程序分别部署更新防火墙规则;其中,以旁路模式工作,负责捕获本机上的网络流量,并传递给本机上运行的网络流量分析引擎;各主机节点的更新方式包括增加、删除和修改。
7.根据权利要求6所述的服务器,其特征在于,所述服务器具体用于:
根据所述更新方式,更新所述全局网络拓扑结构。
8.根据权利要求6至7任一所述的服务器,其特征在于,所述服务器具体用于:
生成更新前的全局网络拓扑结构,并显示。
9.根据权利要求8所述的服务器,其特征在于,更新前的全局网络拓扑结构是根据日志文件内容生成的;所述日志文件内容是通过预先部署在分布式主机集群中的各主机上的代理程序上传的对日志文件的实时监控结果。
10.根据权利要求9所述的服务器,其特征在于,所述服务器具体用于:
通过HTTP POST接口接收由各代理程序上传的实时监控结果。
11.一种电子设备,其特征在于,包括:处理器、存储器和总线,其中,
所述处理器和所述存储器通过所述总线完成相互间的通信;
所述存储器存储有被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至5任一所述的方法。
12.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至5任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811628363.4A CN109660548B (zh) | 2018-12-28 | 2018-12-28 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811628363.4A CN109660548B (zh) | 2018-12-28 | 2018-12-28 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109660548A CN109660548A (zh) | 2019-04-19 |
| CN109660548B true CN109660548B (zh) | 2022-07-05 |
Family
ID=66118072
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811628363.4A Active CN109660548B (zh) | 2018-12-28 | 2018-12-28 | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109660548B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115023919B (zh) * | 2020-05-11 | 2024-07-19 | 深圳市欢太科技有限公司 | 防火墙规则的更新方法、装置、服务器及存储介质 |
| EP3955542A1 (en) | 2020-08-12 | 2022-02-16 | Nokia Technologies Oy | Enhancements for secure updating in communication networks |
| CN113660281B (zh) * | 2021-08-20 | 2023-01-20 | 烽火通信科技股份有限公司 | 一种基于历史场景自适应配置防火墙规则的方法和装置 |
| CN114172718B (zh) * | 2021-12-03 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
| CN114500058B (zh) * | 2022-01-28 | 2024-07-12 | 优刻得科技股份有限公司 | 网络访问控制方法、系统、设备和介质 |
| CN116668164B (zh) * | 2023-06-26 | 2024-01-02 | 中国电子信息产业集团有限公司第六研究所 | 工业防火墙安全隔离检测处理方法、系统及存储介质 |
| CN118075028A (zh) * | 2024-04-19 | 2024-05-24 | 山东捷瑞数字科技股份有限公司 | 一种面向工业互联网的可视化防火墙的配置方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905265A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| CN106713003A (zh) * | 2016-05-12 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 基于网络拓扑图的虚拟节点创建方法及装置 |
| CN108023860A (zh) * | 2016-11-03 | 2018-05-11 | 中国电信股份有限公司 | Web应用的防护方法、系统以及Web应用防火墙 |
| CN108494766A (zh) * | 2018-03-21 | 2018-09-04 | 北京知道创宇信息技术有限公司 | Waf规则管理方法及waf群组 |
| CN108880844A (zh) * | 2017-05-12 | 2018-11-23 | 中兴通讯股份有限公司 | 一种网络拓扑建构的方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103067344B (zh) * | 2011-10-24 | 2016-03-30 | 国际商业机器公司 | 在云环境中自动分发安全规则的非侵入性方法和设备 |
| US10193862B2 (en) * | 2016-11-29 | 2019-01-29 | Vmware, Inc. | Security policy analysis based on detecting new network port connections |
-
2018
- 2018-12-28 CN CN201811628363.4A patent/CN109660548B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905265A (zh) * | 2012-12-27 | 2014-07-02 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
| CN106713003A (zh) * | 2016-05-12 | 2017-05-24 | 深圳市深信服电子科技有限公司 | 基于网络拓扑图的虚拟节点创建方法及装置 |
| CN105871930A (zh) * | 2016-06-21 | 2016-08-17 | 上海携程商务有限公司 | 基于应用的防火墙安全策略的自适应配置方法及系统 |
| CN108023860A (zh) * | 2016-11-03 | 2018-05-11 | 中国电信股份有限公司 | Web应用的防护方法、系统以及Web应用防火墙 |
| CN108880844A (zh) * | 2017-05-12 | 2018-11-23 | 中兴通讯股份有限公司 | 一种网络拓扑建构的方法和装置 |
| CN108494766A (zh) * | 2018-03-21 | 2018-09-04 | 北京知道创宇信息技术有限公司 | Waf规则管理方法及waf群组 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109660548A (zh) | 2019-04-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109660548B (zh) | 基于全局网络拓扑结构的防火墙规则生成方法及服务器 | |
| CN110535831B (zh) | 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质 | |
| CN109586999B (zh) | 一种容器云平台状态监控预警系统、方法及电子设备 | |
| US10423469B2 (en) | Router management by an event stream processing cluster manager | |
| US10466866B2 (en) | Displaying a complex service topology for monitoring | |
| CN107508722B (zh) | 一种业务监控方法和装置 | |
| US10129373B2 (en) | Recovery of a network infrastructure to facilitate business continuity | |
| CN107168844B (zh) | 一种性能监控的方法及装置 | |
| CN110392039A (zh) | 基于日志和流量采集的网络系统事件溯源方法及系统 | |
| US10191800B2 (en) | Metric payload ingestion and replay | |
| CN114465741B (zh) | 一种异常检测方法、装置、计算机设备及存储介质 | |
| CN105872110A (zh) | 一种云平台服务管理方法及装置 | |
| CN112615746A (zh) | 一种边缘计算方法、装置及系统 | |
| CN113282971A (zh) | 测试日志的处理方法、装置、设备及存储介质 | |
| US20180314439A1 (en) | System and method for implementing a server configuration drift monitoring tool | |
| CN110196780A (zh) | 确定服务器状态的方法、装置、存储介质和电子装置 | |
| CN111082998A (zh) | 一种运维监控校园汇聚层的架构系统 | |
| CN117952423A (zh) | 一种基于数智化的产业链风险管理系统及方法 | |
| CN112114993B (zh) | 一种应用系统的配置信息处理方法及装置 | |
| US10706108B2 (en) | Field name recommendation | |
| US10644971B2 (en) | Graph search in structured query language style query | |
| CN113364631A (zh) | 一种网络拓扑管理方法、装置、设备及计算机存储介质 | |
| CN113516729A (zh) | 一种图表绘制方法、装置及计算机可读存储介质 | |
| CN116582465A (zh) | 链路监控方法、介质、装置和计算设备 | |
| CN115643162A (zh) | 一种系统故障域定位方法和系统、电子设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Room 332, 3 / F, Building 102, 28 xinjiekouwei street, Xicheng District, Beijing 100088 Applicant after: QAX Technology Group Inc. Address before: 100015 15, 17 floor 1701-26, 3 building, 10 Jiuxianqiao Road, Chaoyang District, Beijing. Applicant before: BEIJING QIANXIN TECHNOLOGY Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |