CN110348201B - 一种设备安全策略的配置方法及装置 - Google Patents
一种设备安全策略的配置方法及装置 Download PDFInfo
- Publication number
- CN110348201B CN110348201B CN201910427706.9A CN201910427706A CN110348201B CN 110348201 B CN110348201 B CN 110348201B CN 201910427706 A CN201910427706 A CN 201910427706A CN 110348201 B CN110348201 B CN 110348201B
- Authority
- CN
- China
- Prior art keywords
- strategy
- target
- parameter
- policy
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/54—Presence management, e.g. monitoring or registration for receipt of user log-on information, or the connection status of the users
Abstract
本发明实施例提供一种设备安全策略的配置方法及装置,基于统一策略描述语言根据目标配置需求构建归一化策略,并从策略模板库中获取目标设备对应的策略模板,根据策略模板从归一化策略中的所有配置参数中筛选出目标参数,并根据所有目标参数从策略模板中的所有命令行中获取目标命令行,根据所有目标参数对所有目标命令行进行转换,生成目标设备对应的配置策略,最终将配置策略下发并配置到目标设备。该方法及装置无需管理员学习各异的配置命令语法语义,有利于降低工作成本;且管理员仅需下发一次配置需求,能够有效避免重复操作,有利于提高设备安全策略的配置效率,以确保能够将安全策略及时配置到设备。
Description
技术领域
本发明涉及计算机网络安全技术领域,更具体地,涉及一种设备安全策略的配置方法及装置。
背景技术
随着网络技术发展,网络规模逐渐增大,网络节点日益错综复杂,使得网络威胁呈现出多样化、复杂化和频繁化的特征。为保证网络与系统的安全,需要部署大量、多样的设备,并为这些设备配置正确有效的安全策略,以及时处理网络威胁,保障网络稳定运行。
由于网络中的设备来自不同厂商,具有个性化的配置命令和各异的配置命令语法语义。因此,在对大量设备进行配置时,需要兼容配置命令各异的语法语义。现如今普遍适用的逐一配置方式,要求管理员学习各异的配置命令语法语义,通过设备提供的命令行接口(CLI,command-line interface),对设备进行逐一的配置。该方法需要管理员学习大量配置语法,工作成本较高;且当需要对多台设备配置相同的策略时,管理员需要重复大量相同的操作,效率较低,因而当网络威胁产生时,可能导致安全策略无法及时有效地配置到设备,造成不可预料的后果。
发明内容
本发明实施例为了克服现有技术中在对大量设备进行配置时,需要管理员学习大量配置语法,工作成本较高且效率较低的问题,提供一种设备安全策略的配置方法及装置。
第一方面,本发明实施例提供一种设备安全策略的配置方法,包括:
基于统一策略描述语言根据目标配置需求构建所述目标配置需求对应的归一化策略,所述归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数;
对于所述归一化策略中的任意一个目标设备,根据所述归一化策略中的策略类型从策略模板库中获取所述目标设备对应的策略模板,所述策略模板中包含至少一条命令行;
利用策略校验规则根据所述策略模板对所述归一化策略进行校验,若校验通过,则根据所述策略模板对所述归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数,根据所有目标参数从所述策略模板中的所有命令行中获取目标命令行;
利用策略转换规则根据所有目标参数对所有目标命令行进行转换,生成所述目标设备对应的配置策略,根据所述配置策略对所述目标设备进行配置。
第二方面,本发明实施例提供一种设备安全策略的配置装置,包括:
归一化策略构建模块,用于基于统一策略描述语言根据目标配置需求构建所述目标配置需求对应的归一化策略,所述归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数;
策略模板获取模块,用于对于所述归一化策略中的任意一个目标设备,根据所述归一化策略中的策略类型从策略模板库中获取所述目标设备对应的策略模板,所述策略模板中包含至少一条命令行;
参数和命令行确定模块,用于利用策略校验规则根据所述策略模板对所述归一化策略进行校验,若校验通过,则根据所述策略模板对所述归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数,根据所有目标参数从所述策略模板中的所有命令行中获取目标命令行;
策略转换与配置模块,用于利用策略转换规则根据所有目标参数对所有目标命令行进行转换,生成所述目标设备对应的配置策略,根据所述配置策略对所述目标设备进行配置。
第三方面,本发明实施例提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所提供的方法的步骤。
第四方面,本发明实施例提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如第一方面所提供的方法的步骤。
本发明实施例提供的设备安全策略的配置方法及装置,基于统一策略描述语言根据目标配置需求构建归一化策略,并从策略模板库中获取目标设备对应的策略模板,根据策略模板从归一化策略中的所有配置参数中筛选出目标参数,并根据所有目标参数从策略模板中的所有命令行中获取目标命令行,根据所有目标参数对所有目标命令行进行转换,生成目标设备对应的配置策略,最终将配置策略下发并配置到目标设备。该方法及装置无需管理员学习各异的配置命令语法语义,有利于降低工作成本;且管理员仅需下发一次配置需求,能够有效避免重复操作,有利于提高设备安全策略的配置效率,以确保能够将安全策略及时配置到设备。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的设备安全策略的配置方法的流程示意图;
图2为本发明实施例提供的设备安全策略的配置方法中目标设备的状态转移图;
图3为本发明实施例提供的设备安全策略的配置装置的结构示意图;
图4为本发明实施例提供的电子设备的实体结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的设备安全策略的配置方法的流程示意图,如图1所示,本发明实施例提供一种设备安全策略的配置方法,包括:
S1,基于统一策略描述语言根据目标配置需求构建目标配置需求对应的归一化策略,归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数;
需要说明的是,不同厂商、类型、版本的设备的命令行格式存在差异,且一个完整的配置行为中参数数量和命令行数量也各有不同。有鉴于此,本发明实施例以完整的配置行为为单位,分析各家厂商配置命令行,总结出以下四个方面的差异:符号表述差异、关键词表述差异、参数格式差异、参数数量和命令行数量差异。其中,符号表述差异是指不同厂商采用不同的符号表示相同的含义;关键词表述差异是指不同厂商采用不同的关键词表示相同的含义;参数格式差异是指不同厂商采用不同格式表现相同的参数;参数数量和命令行数量差异是指不同厂商采用不同数量的参数和命令行以实现一种配置行为。
如下表1所示,在特定型号的防火墙中,天融信和华为分别采用“<>”符号和“{}”符号表示枚举型参数;天融信和华为分别采用“ipaddr”关键词和“destination-address”关键词引导目的IP地址参数;天融信和华为分别采用“accept|reject”枚举值和“permit|deny”枚举值表示接收或拒绝;天融信采用14种参数与4条相关命令行以实现数据包过滤功能,而华为采用17种参数与8条相关命令行以实现数据包过滤功能。
表1天融信某防火墙和华为某防火墙数据包过滤配置命令集合示例
基于上述四个方面的差异,本发明实施例设计一种统一策略描述语言,以兼容不同配置命令格式的差异。在统一策略描述语言中,对上述四个方面的差异进行统一,具体设计如下:
(1)统一符号格式。不同设备采用不同符号表示相同的语义功能,有鉴于此,本发明实施例基于语义对不同符号进行统一定义。
(2)统一关键词表示方式。不同设备采用不同的关键词表示相同的语义的标识,有鉴于此,本发明实施例基于编码简单、通用、易计算的特点,采用统一编码替代格式不一的字符串。关键词编码是给每个具有固定意义的参数设置的编码,相较于使用字符串表示法,编码表示法能更加方便地被计算机识别解析。
(3)统一参数格式。不同设备对于相同的参数值采用不同格式的表示方式,为了统一参数格式,本发明实施例定义3种表述格式:枚举型、字符串型和数值型,统一参数的表述格式。
(4)统一参数种类和数量。不同设备具有各自的能力,如阻断网络数据。现如今为了实现设备的某种能力需要管理员设定一些目标参数,基于设备提供的个性化的命令行,通过设备提供的CLI接口,配置到设备以实现该能力。本发明实施例基于能力的语义,将来自不同设备共同实现同一个能力的命令行集合中的参数提取出来,整理为一个全集,删除具有相同意义的重复参数,并删除没有特殊含义且可以用其他参数替代的参数,如IP对象名可以用IP地址本身替代。将相同能力的参数归为一个集合,并为所有能力进行统一编码,因此通过能力编码和参数编码可以唯一标记一个参数。相较于现阶段对相同能力中参数“求交集”方式,本方法能保留不同设备的个性化特征,为精准的策略配置打下基础,有利于更好地发挥设备的价值。同时,通过删除重复语义的参数和使用必要参数替代无特殊含义参数,降低参数集合的冗余度。
在上述技术方案的基础上,当存在目标配置需求时,可以基于上述统一策略描述语言根据目标配置需求构建目标配置需求对应的归一化策略。其中,归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数。此外,归一化策略中还可以包含策略生成者,可以根据实际需求进行设置,此处不做具体限定。现以如下表2对本发明实施例中的归一化策略进行具体说明:
表2为本发明实施例提供的归一化策略的格式示例,如表2中,采用“PolicyType”关键词标识策略类型;采用“PolicyObject”关键词标识策略生成者;采用“PolicySubject”关键词标识目标设备,即策略配置对象;采用关键词“PolicyParameter”标识配置参数。其中,每个配置参数采用编码进行表示,如“Parameter1_SerialNum”、“Parameter2_SerialNum”、“Parameter3_SerialNum”分别是参数1、参数2、参数3的编码,每个参数的编码后面是对应的参数值,如“P1_Enum_value1”和“P1_Enum_value2”是“Parameter1_SerialNum”的值,其类型为枚举型,表示该参数只能选择这两个值之一;“P2_String_value”是“Parameter2_SerialNum”的值,采用字符串的格式表示;“P3_Num_value”是“Parameter3_SerialNum”的值,采用数值的格式表示。此外,采用英文冒号“:”链接参数的编码和参数值;采用英文分号“;”作为每行语句的结束标识;采用大括号“{”和“}”作为该条策略的参数部分的起始和结尾标识;采用英文双引号“"””标记字符串;采用中括号“[”与“]”标记枚举类型参数;采用竖线“|”分割枚举参数。
表2归一化策略格式示例
此外,需要说明的是,本发明实施例中的策略类型包括但不限于:包过滤类策略、路由类策略、设备关机类策略、设备重启类策略、服务关闭类策略、服务重启类策略、服务迁移类策略、数据备份类策略、连接断开类策略(RST)、连接关闭类策略(FIN)、漏洞修复类策略、进程查杀类策略、注册表修改类策略、用户权限修改类策略、文件访问权限修改类策略、用户密码修改类策略、密码资源操作类策略中的任意一种或多种。
本发明实施例中的目标设备包括但不限于:防火墙、路由器、接入网关、互联网关、内容过滤设备、终端(固定终端、移动终端、卫星终端)、服务器、密码设备、认证设备、VPN、蜜罐、交换机、调制解调器、集线器和桥接器中的任意一种或多种。
S2,对于归一化策略中的任意一个目标设备,根据归一化策略中的策略类型从策略模板库中获取目标设备对应的策略模板,策略模板中包含至少一条命令行;
具体地,在上述技术方案的基础上,若上述归一化策略中包含多个目标设备,则表明需要同时对多个目标设备配置上述归一化策略。在此基础上,对于归一化策略中的任意一个目标设备,根据目标设备本身和归一化策略中的策略类型从策略模板库中获取目标设备对应的策略模板。可以理解的是,策略模板库中预先存储了不同设备对应的不同策略类型的策略模板。也就是说,设备、策略类型和策略模板是预先关联存储在策略模板库中的。因此,根据目标设备本身和归一化策略中的策略类型即可从策略模板库中获取目标设备对应的策略模板。此外,需要说明的是,策略模板库中的策略模板是用于配置不同设备对应的不同策略类型的命令行集合,也就是说,策略模板库中的每个策略模板中包含至少一条命令行。
S3,利用策略校验规则根据策略模板对归一化策略进行校验,若校验通过,则根据策略模板对归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数,根据所有目标参数从所述策略模板中的所有命令行中获取目标命令行;
具体地,在上述技术方案的基础上,可以理解的是,通过上述方法步骤所获得的策略模板是目标设备配置归一化策略的命令行集合。也就是说,在对目标设备配置归一化策略时,需要采用策略模板中的命令行。在此基础上,本发明实施例中,为了验证目标设备是否能够有效配置归一化策略,利用策略校验规则根据策略模板对归一化策略进行校验,若校验通过,则说明目标设备能够对归一化策略进行有效配置。
在校验通过的基础上,由于归一化策略中包含至少一个目标设备,也就是说,需对多个目标设备同时配置归一化策略,因此,归一化策略中所包含的配置参数是多个目标设备配置归一化策略所需配置参数的并集。有鉴于此,在对其中某个目标设备配置归一化策略时,需从归一化策略中筛选出该目标设备所需的配置参数,本发明实施例中,在对某个目标设备配置归一化策略时,根据该目标设备对应的策略模板对归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数。可以理解的是,目标参数是该目标设备配置归一化策略所需的参数。
在获得目标参数之后,由于目标参数中可能不包含策略模板中的某条命令行的必选参数和/或可选参数,从而导致该条命令行无法进行有效配置。有鉴于此,为了验证策略模板中的所有命令行是否能够进行有效配置,本发明实施例中,根据所有目标参数从策略模板中的所有命令行中获得目标命令行,以使得每条目标命令行中的所有参数(包括必选参数和可选参数)均包含在目标参数中,从而确保每条目标命令行都能够进行有效配置。
S4,利用策略转换规则根据所有目标参数对所有目标命令行进行转换,生成目标设备对应的配置策略,根据配置策略对目标设备进行配置。
具体地,在上述技术方案的基础上,利用策略转换规则根据所有目标参数对所有目标命令行进行转换,即,利用策略转换规则将目标参数填充至目标命令行的对应位置,以实现对目标命令行的转换。将转换后的目标命令行作为目标设备对应的配置策略,可以理解的是,目标设备对应的配置策略指的是目标设备所能够识别的命令行集合,且该命令行集合能够实现归一化策略的配置。最终,根据配置策略对目标设备进行配置,即,将配置策略下发并配置到目标设备。
需要说明的是,本发明实施例中,当管理员需要对一个或多个目标设备配置某类型的安全策略时,仅需下发包含策略类型、目标设备和配置参数的目标配置需求,即可通过上述方法步骤将目标配置需求转换成每个目标设备所能够识别的配置策略,并最终将配置策略下发并配置到每个目标设备,无需管理员学习各异的配置命令语法语义,有利于降低工作成本;且管理员仅需下发一次配置需求,能够有效避免重复操作,有利于提高设备安全策略的配置效率,以确保能够将安全策略及时配置到设备。
本发明实施例提供的设备安全策略的配置方法,基于统一策略描述语言根据目标配置需求构建归一化策略,并从策略模板库中获取目标设备对应的策略模板,根据策略模板从归一化策略中的所有配置参数中筛选出目标参数,并根据所有目标参数从策略模板中的所有命令行中获取目标命令行,根据所有目标参数对所有目标命令行进行转换,生成目标设备对应的配置策略,最终将配置策略下发并配置到目标设备。该方法无需管理员学习各异的配置命令语法语义,有利于降低工作成本;且管理员仅需下发一次配置需求,能够有效避免重复操作,有利于提高设备安全策略的配置效率,以确保能够将安全策略及时配置到设备。
基于上述任一实施例,提供一种设备安全策略的配置方法,根据归一化策略中的策略类型从策略模板库中获取目标设备对应的策略模板,之前还包括:将目标设备允许配置的每个策略类型作为目标策略类型,对于任意一个目标策略类型,从目标设备对应的设备手册中获取目标策略类型对应的所有命令行;基于统一策略描述语言对目标策略类型对应的所有命令行进行转换,将转换后的所有命令行组成策略模板;将目标设备、目标策略类型和策略模板关联存储至策略模板库。
具体地,本发明实施例中,在根据归一化策略中的策略类型从策略模板库中获取目标设备对应的策略模板之前,还需将目标设备对应的不同策略类型的策略模板关联存储至策略模板库中,具体实现过程如下:
可以理解的是,不同设备允许配置的策略类型不尽相同,且同一设备允许配置的策略类型往往不止一个,本发明实施例中,将目标设备允许配置的每个策略类型作为目标策略类型,在此基础上,对于任意一个目标策略类型,从目标设备对应的设备手册中获取目标策略类型对应的所有命令行。可以理解的是,目标策略类型对应的所有命令行指的是目标设备配置目标策略类型所涉及的所有命令行。在其他实施例中,还可以从设备手册之外的其他资料库中获取目标策略类型对应的所有命令行,可以根据实际需求进行设置,此处不做具体限定。
在获得目标策略类型对应的所有命令行之后,基于统一策略描述语言对目标策略类型对应的所有命令行进行转换,即,采用统一策略描述语言对目标策略类型对应的所有命令行中的关键词、符号和参数格式进行统一,具体转换步骤如下:
(1)保留设备需使用的字符。如上表1所示,每条命令行中加粗的字符为设备解析命令行时需要使用的字符,因此将该类字符全部保留,不作任何修改。如天融信防火墙配置命令行中的“define add host name”字符串,该字符串需要被设备识别以确定命令行功能。
(2)修改用于提示的字符。命令行中存在两类用于提示用户的输入的字符:提示字符串、提示符号。提示字符串是命令行中不需要被设备识别的字符串,用于提示用户参数的填充位置。如上表1所示,每条命令行中不加粗斜体字符串为提示字符串,如天融信第1条命令行中“hostname”,用于提示用户应该于此处输入IP地址名称参数,实际中设备并不识别该字符串。不同的厂商为了标识相同含义的信息可能采用了不同的字符串,这些字符串不需要传给设备,因此本发明实施例基于统一策略描述语言使用参数编码代替复杂多变的字符串。提示符号是命令行中不需要被设备识别的符号,用于提示用户相关信息,如“#”标识一条命令行的开始,又如华为防火墙使用“{}”标识枚举参数。不同的厂商为了标识相同含义的信息可能采用了不同的符号,这些符号不需要传给设备,因此本发明实施例基于统一策略描述语言定义7种符号以统一标识对应含义的信息。7种符号包括:“#”、“@”、“%”、“[]”、“<>”、“{}”和“|”。其中“#”符号用于标识必选命令行,“@”符号用于标识可选命令行,“%”符号用于标识参数位置,“[]”符号用于标识可选参数,“<>”符号用于标识参数目标格式,“{}”符号用于标识枚举型的必选参数,“|”用于分隔枚举参数或目标格式。
(3)添加设备识别的参数格式信息。参数格式是参数的表现形式,不同的厂商设备识别的参数格式存在差异,如数据包过滤配置命令行中动作参数,天融信防火墙采用“accept”标识接收数据包而华为防火墙采用“permit”标识接收数据包,又如二层数据包过滤配置命令行中的硬件地址参数,天融信防火墙采用“xx:xx:xx:xx:xx:xx”格式标识而华为防火墙采用“xx-xx-xx-xx-xx-xx”格式标识。本发明实施例为了将统一的策略转换为个性化的配置命令集合,基于统一策略描述语言中的统一参数格式,为每个需要转换格式的参数制定一个目标格式信息,填充于策略模板命令行中相应参数编码后的“<>”符号中。若目标设备识别的参数格式与统一策略描述语言中的参数格式相同,则对应参数编码后不需要“<>”符号和目标格式信息。
(4)修改转换模板中命令行的组成。如上表1所示,每条命令行具有各自确定的功能,在实际使用中有些命令行可能会被使用多次,因此转换模板中的命令行不仅仅是设备厂商给出的命令行集合,而可能包含多条相同功能的命令行。如天融信防火墙数据包过滤策略配置命令行集合中定义IP地址的命令行所示,该命令行并未限制IP地址使用情景,因此既可用于定义源IP地址也可用于定义目的IP地址,因此转换模板中应该存在两条该命令行,将参数提示字符串分别修改为源IP地址参数编码和目的IP地址参数编码,以分别定义源IP地址和目的IP地址。
通过上述方法步骤即可将目标策略类型对应的所有命令行进行转换,并将转换后的所有命令行组成目标策略类型对应的策略模板。最终,将目标设备、目标策略类型和策略模板关联存储至策略模板库,由此可使得根据归一化策略中的策略类型从策略模板库中获取目标设备对应的策略模板。
基于上述任一实施例,提供一种设备安全策略的配置方法,利用策略校验规则根据策略模板对归一化策略进行校验,具体为:从策略模板的所有命令行中获取所有必选参数和每个必选参数对应的依赖参数;判断归一化策略中是否包含所有必选参数和所有依赖参数;若包含所有必选参数和所有依赖参数,则确定归一化策略校验通过,若不包含所有必选参数和所有依赖参数,则确定归一化策略校验失败。
具体地,本发明实施例中,利用策略校验规则根据策略模板对归一化策略进行校验,具体实现过程如下:
需要说明的是,不同的设备对相同的策略具有不同的要求,有些参数对于某些设备而言是配置当前策略的必须参数,即若缺少该参数将导致整个策略配置失败,本发明实施例中将配置当前策略的必须参数作为必选参数。此外,某些参数之间具有依赖性,即配置某一个参数需要同时配置其他相关的参数,本发明实施例中将与某一参数具有依赖关系的参数作为该参数对应的依赖参数。
基于上述原理事实,本发明实施例中,从策略模板的所有命令行中获取所有必选参数和每个必选参数对应的依赖参数,在此基础上,判断归一化策略中是否包含所有必选参数和所有依赖参数;若归一化策略中包含所有必选参数和所有依赖参数,则确定归一化策略校验通过,即表明目标设备能够配置归一化策略;若归一化策略中不包含所有必选参数和所有依赖参数,则确定归一化策略校验失败,即表明目标设备无法配置归一化策略。
本发明实施例提供的设备安全策略的配置方法,利用策略校验规则根据策略模板对归一化策略进行校验,以判断目标设备是否能够配置归一化策略,能够有效降低策略配置失败的概率。
基于上述任一实施例,提供一种设备安全策略的配置方法,根据策略模板对归一化策略中的所有配置参数进行筛选,具体为:对于归一化策略中的任意一个配置参数,若策略模板中不包含配置参数,则在归一化策略中删除配置参数;从策略模板的所有命令行中获取所有可选参数和每个可选参数对应的依赖参数,对于任意一个可选参数,若归一化策略中包含可选参数,且归一化策略中不包含可选参数对应的依赖参数,则在归一化策略中删除可选参数。
具体地,由于归一化策略中包含至少一个目标设备,也就是说,需对多个目标设备同时配置归一化策略,因此,归一化策略中所包含的配置参数是多个目标设备配置归一化策略所需配置参数的并集。有鉴于此,在对其中某个目标设备配置归一化策略时,需从归一化策略中筛选出该目标设备所需的配置参数。本发明实施例中,对于归一化策略中的任意一个配置参数,若策略模板中不包含该配置参数,则在归一化策略中删除该配置参数。此外,从策略模板的所有命令行中获取所有可选参数和每个可选参数对应的依赖参数,对于任意一个可选参数,若归一化策略中包含该可选参数,且归一化策略中不包含该可选参数对应的依赖参数,则在归一化策略中删除该可选参数。通过上述筛选步骤之后,将归一化策略中剩余的每个配置参数作为目标参数。
基于上述任一实施例,提供一种设备安全策略的配置方法,根据所有目标参数从策略模板中的所有命令行中获取目标命令行,具体为:对于策略模板中的任意一条命令行,若命令行中的所有必选参数均属于目标参数,则将命令行作为候选命令行;对于任意一条候选命令行,删除候选命令行中不属于目标参数的可选参数,获得目标命令行。
具体地,由于目标参数中可能不包含策略模板中的某条命令行的必选参数,从而导致该条命令行无法进行有效配置。有鉴于此,本发明实施例中,根据所有目标参数从策略模板中的所有命令行中获取目标命令行,具体步骤如下:
对于策略模板中的任意一条命令行,获取该命令行中的所有必选参数,并判断该命令行中的所有必选参数是否都属于目标参数,若该命令行中的所有必选参数均属于目标参数,则表明该命令行能够进行配置,将该命令行作为候选命令行。在获得所有候选命令行之后,还需确定候选命令行中的可选参数是否能够进行配置,有鉴于此,本发明实施例中,对于任意一条候选命令行,获取该候选命令行中的所有可选参数,再判断每个可选参数是否属于目标参数,若某个可选参数不属于目标参数,则在候选命令行中将该可选参数进行删除。即,删除候选命令行中不属于目标参数的可选参数。在删除候选命令行中不属于目标参数的可选参数之后,即可获得目标命令行。可以理解的是,目标命令行中的必选参数和可选参数均属于目标参数,以使得能够对目标命令行进行有效配置。
基于上述任一实施例,提供一种设备安全策略的配置方法,利用策略转换规则根据所有目标参数对所有目标命令行进行转换,具体为:对于任意一条目标命令行,将目标命令行中的每个参数作为待转换参数,获取每个待转换参数在目标命令行中的位置,作为待填充位置,并在目标命令行中获取每个待转换参数对应的格式,作为目标格式;对于任意一个待转换参数,从所有目标参数中获取与待转换参数匹配的目标参数,作为匹配参数,根据待转换参数对应的目标格式将匹配参数进行格式转换,并将格式转换后的匹配参数填充至待转换参数对应的待填充位置。
具体地,本发明实施例中,利用策略转换规则根据所有目标参数对所有目标命令行进行转换,具体转换步骤如下:
对于任意一条目标命令行,将目标命令行中的每个参数作为待转换参数,获取每个待转换参数在目标命令行中的位置,作为待填充位置,并在目标命令行中获取每个待转换参数对应的格式,作为目标格式;由此,可获得目标命令行中每个待转换参数的位置和对应的格式。在此基础上,对于任意一个待转换参数,从所有目标参数中获取与待转换参数匹配的目标参数,作为匹配参数,根据待转换参数对应的目标格式将匹配参数进行格式转换。可以理解的是,匹配参数是归一化策略中的参数,其参数格式并不能够适用于所有目标设备;而待转换参数对应的目标格式是目标设备能够识别的参数格式,故而需将匹配参数的格式转换为目标格式。例如,将归一化IP地址数值型参数0x0ca85a10根据目标设备需要的点分十进制目标格式信息转换为设备需要的格式“192.168.90.10”。最终,将格式转换后的匹配参数填充至待转换参数对应的待填充位置。此外,还需在目标命令行中删除设备不能识别的字符串和字符,包括自定义的编码和符号,如“#”“[]”等。最终,将转换后的所有目标命令行组成目标设备对应的配置策略。
基于上述任一实施例,提供一种设备安全策略的配置方法,根据配置策略对目标设备进行配置,具体为:将配置策略中的每条命令行下发并配置到目标设备,并获取每条命令行的配置结果;若当前获取到的配置结果为失败,则中断配置或重新配置,并将已获取到的所有配置结果反馈给用户进行分析。
具体地,本发明实施例中,在获得目标设备对应的配置策略之后,根据配置策略对目标设备进行配置,具体配置过程如下:
将配置策略中的每条命令行下发并配置到目标设备,并获取每条命令行的配置结果。本发明实施例中通过关键词对比判定配置结果,即记录设备个性化的配置回复信息中的关键词,通过比对不同情况的关键词确定配置结果,如天融信防火墙配置命令失败时会返回“error”关键词和具体的错误代码,因此将“error”关键词记录下来,当比对配置回复信息中存在该关键词,则表示当前命令行配置失败,否则表示配置成功。在此基础上,对于任意当前时刻,若当前获取到的配置结果为失败,则中断配置或重新配置,并将已获取到的所有配置结果反馈给用户进行分析。
本发明实施例中,在将配置策略下发并配置到目标设备的过程中,目标设备存在4种状态:Status0表示目标设备处于监听数据的状态;Status1表示目标设备接收到连接的状态;Status2表示目标设备收到命令行集合后准备配置的状态;Status3表示目标设备配置命令行后获取配置结果的状态。图2为本发明实施例提供的设备安全策略的配置方法中目标设备的状态转移图,如图2所示,首先目标设备处于Status0状态,当监听到连接时进入Status1状态;在Status1状态时收到不为空的命令行集合后进入Status2状态,而在连接超时或收到关闭连接信号时关闭连接进入Status0状态;在Status2状态时,当命令行集合不为空时配置命令行后进入Status3状态,而当命令行集合为空时进入Status1状态继续等待接收命令行;在Status3状态时,返回配置成功结果进入Status2状态继续配置,而返回配置失败结果时进入Status1状态,重新接收命令行。
为了便于理解上述方法实施例中的方法步骤,现以如下示例进行具体说明:
示例1:统一配置天融信防火墙和华为防火墙数据包过滤策略,目标配置需求是允许源IP地址为“10.11.12.13”(0x0a0b0c0d)、源端口号为3344、目的IP地址为“13.12.11.10”(0x0d0c0b0a)、目的端口号为7788、协议号为6、策略编号为1的数据包。基于统一策略描述语言根据上述目标配置需求构建对应的归一化策略,所构建的归一化策略具体如下表3所示:
表3归一化策略实例
上述归一化策略中包括四类信息:第一类是当前策略类型,采用“PolicyType”关键词标识,此处将数据包过滤策略编为0001号;第二类是策略生成者,采用“PolicyObject”关键词标识,配置当前策略的管理员为User1;第三类是策略配置对象,也即目标设备,采用“PolicySubject”关键词标识,当前策略配置的目标设备是天融信防火墙和华为防火墙;第四类是配置参数信息,用关键词“PolicyParameter”标识,每个参数采用“key:value”的形式表述,一个参数有一个唯一编码,采用该编码作为“key”值,其“value”值是根据统一策略描述语言中定义的参数格式表述。上述归一化策略中的参数编码从1至11依次表示动作、源起始IP地址、源结束IP地址、源起始端口号、源结束端口号、目的起始IP地址、目的结束IP地址、目的起始端口号、目的结束端口号、协议号和策略编号。其中当源/目的起始IP地址参数不为空时且源/目的结束IP地址参数为空时,源/目的起始IP地址参数表示单一IP地址。
从设备手册中获取天融信防火墙数据包过滤策略可能涉及的配置命令行。如下表4所示,其中第4条配置命令行是添加防火墙规则必选的,涉及过滤动作“action”、日志开关“log”、服务“service”、IP地址“sip”“dip”等信息,除了过滤动作参数“action”是不加“[]”的,表示是必须配置的参数,其余的参数被“[]”括起来,表示可以根据实际情况设置。其中服务“service”和IP地址“sip”“dip”信息需要引用服务和IP地址对象,因此如果要设置该参数要先定义相关对象。定义源IP地址对象使用第1条命令行,定义目的IP地址对象使用第2条命令行。定义服务的对象使用第3条命令行,倘若需要设置协议号和端口号,通过该命令定义服务对象。第3条命令中,服务名“name”、协议号“protocol”和端口1“port1”是必需设置的参数,表示设置一个协议对应的端口号,端口2“port2”是可选的,若是配置这个参数表示该服务对象的端口范围是从端口1“port1”至端口2“port2”。
表4天融信防火墙数据包过滤配置命令行集合
从设备手册中获取华为防火墙数据包过滤策略可能涉及的配置命令行。如下表5所示,其中第1、2、3、7、8条命令是必选,因此涉及到的动作参数是必选参数。第4、5、6条命令是可选的,根据实际配置需求选择,第4条命令设置该条数据包过滤策略的源地址相关信息,第5条命令设置该条数据包过滤策略的目的地址相关信息,第5条命令设置该条数据包过滤策略的服务相关信息,其中“[]”括起来的参数表示是可选的,“{}”符号表示参数的可选择情况,但是必须选择其中一种。
表5华为防火墙数据包过滤配置命令行集合
基于统一策略描述语言对表4和表5中的所有命令行进行转换,具体转换步骤如下:
(1)保留设备需使用的字符。如表4和表5所示,每条命令行中加粗的字符为设备解析命令行时需要使用的字符,因此将该类字符全部保留,不作任何修改。
(2)修改用于提示的字符。如表4和表5所示,每条命令行中的不加粗斜体字符串为提示字符串,基于统一策略描述语言采用参数编码代替复杂多变的字符串。对于其中对象名、规则名等用于唯一标识的参数,以对应对象或规则内容作为该名称,如使用源IP地址参数编码代替源IP地址对象名,又如使用策略编号代替规则名参数,使用默认掩码值代替需要填充的掩码参数。此外,采用7种符号统一标识提示字符。即用“#”符号标识必选命令行,用“@”符号标识可选命令行,用“%”符号标识参数位置,用“[]”符号标识可选参数,用“<>”符号标识参数目标格式,用“{}”符号标识枚举型的必选参数,用“|”分隔枚举参数或目标格式。
(3)添加设备识别的参数格式信息。对于天融信防火墙,存在2种需要转换格式的参数:IP地址类参数和枚举类参数。对于IP地址类参数,需要将统一的十六进制格式的IP地址转换为设备能识别的点分十进制的IP地址,因此在IP地址类参数后的“<>”中填充“%d.%d.%d.%d”格式信息表明需要转换的格式;对于枚举类参数,需要将统一的整形格式的枚举参数转换为设备能识别的枚举字符串,如动作参数和日志开关参数后的“<>”符号中依次列举枚举字符串,并使用“|”符号分隔。对于华为防火墙,也存在相同的2种需要转换格式的参数:IP地址类参数和枚举类参数。对于IP地址类参数,需要将统一的十六进制格式的IP地址转换为设备能识别的点分十进制的IP地址,因此在IP地址类参数后的“<>”中填充“%d.%d.%d.%d”格式信息表明需要转换的格式;对于枚举类参数,需要将统一的整形格式的枚举参数转换为设备能识别的枚举字符串,如动作参数后的“<>”符号中依次列举枚举字符串,并使用“|”符号分隔。
通过以上转换步骤,即可获得天融信防火墙数据包过滤策略的策略模板(如下表6)和华为防火墙的数据包过滤策略的策略模板(如下表7)。
表6天融信防火墙数据包过滤策略的策略模板
表7华为防火墙的数据包过滤策略的策略模板
利用策略校验规则分别根据表6和表7中的策略模板对表3中的归一化策略进行校验。具体地,表6中,必选命令行中的必选参数为必需参数,即最后一条命令行中动作参数“action”为必选参数,若是缺少该参数将导致整个策略配置失败,同时该必选参数不依赖于其它参数,表3中的归一化策略中包含该动作参数,因此校验通过;表7中,必选命令行中的必选参数为必需参数,第2条命令行的规则名参数“rule name”与第8条命令行的动作参数“action”为必选参数,若是缺少该参数将导致整个策略配置失败,同时该必选参数不依赖于其它参数,表3中的归一化策略中包含策略编号参数与动作参数,因此校验通过。
根据表6和表7中的策略模板对表3中的归一化策略中的所有配置参数进行筛选。具体地,根据表6可知,天融信防火墙不能识别源端口参数和策略编号参数,因此在表3中的归一化策略中将这两种参数删除,将剩余参数作为天融信防火墙对应的目标参数。根据表7可知,华为防火墙可以识别表3中的归一化策略中的所有参数,因此不需要删除任何参数,即可将表3中的所有参数作为华为防火墙目标参数。
根据天融信防火墙对应的目标参数从表6的策略模板中的所有命令行中获取天融信防火墙对应的目标命令行,并根据华为防火墙对应的目标参数从表7的策略模板中的所有命令行中获取华为防火墙对应的目标命令行。具体地,对于天融信防火墙而言,需要使用两次定义IP地址的命令行以定义源IP地址与目的IP地址,并使用一次定义服务的命令行定义目的端口和协议号,且在最后一条命令行中选择源IP地址、目的IP地址和服务的参数;对于华为防火墙而言,除了配置策略必须的命令行,需要选择第4、5、6条命令行以分别定义源IP地址、目的IP地址和端口协议等,其中第4、5条选择单个IP地址参数,第6条使用单个端口参数。
最终,利用策略转换规则根据天融信防火墙对应的目标参数对天融信防火墙对应的目标命令行进行转换,生成天融信防火墙数据包过滤配置策略。同时,利用策略转换规则根据华为防火墙对应的目标参数对华为防火墙对应的目标命令行进行转换,生成华为防火墙数据包过滤配置策略。所生成的天融信防火墙数据包过滤配置策略和华为防火墙数据包过滤配置策略具体如下表8所示。
表8天融信防火墙和华为防火墙数据包过滤配置策略
最终,将上述天融信防火墙数据包过滤配置策略下发并配置到天融信设备,并将上述华为防火墙数据包过滤配置策略下发并配置到华为设备。
图3为本发明实施例提供的设备安全策略的配置装置的结构示意图,如图3所示,该装置包括:归一化策略构建模块31、策略模板获取模块32、参数和命令行确定模块33和策略转换与配置模块34,其中:
归一化策略构建模块31用于基于统一策略描述语言根据目标配置需求构建目标配置需求对应的归一化策略,归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数。
具体地,本发明实施例设计一种统一策略描述语言,以兼容不同配置命令格式的差异。在此基础上,当存在目标配置需求时,归一化策略构建模块31基于统一策略描述语言根据目标配置需求构建目标配置需求对应的归一化策略。其中,归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数。此外,归一化策略中还可以包含策略生成者,可以根据实际需求进行设置,此处不做具体限定。
策略模板获取模块32用于对于归一化策略中的任意一个目标设备,根据归一化策略中的策略类型从策略模板库中获取目标设备对应的策略模板,策略模板中包含至少一条命令行。
具体地,若上述归一化策略中包含多个目标设备,则表明需要同时对多个目标设备配置上述归一化策略。在此基础上,对于归一化策略中的任意一个目标设备,策略模板获取模块32根据目标设备本身和归一化策略中的策略类型从策略模板库中获取目标设备对应的策略模板。可以理解的是,策略模板库中预先存储了不同设备对应的不同策略类型的策略模板。也就是说,设备、策略类型和策略模板是预先关联存储在策略模板库中的。因此,根据目标设备本身和归一化策略中的策略类型即可从策略模板库中获取目标设备对应的策略模板。
参数和命令行确定模块33用于利用策略校验规则根据策略模板对归一化策略进行校验,若校验通过,则根据策略模板对归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数,根据所有目标参数从所述策略模板中的所有命令行中获取目标命令行。
具体地,在上述技术方案的基础上,参数和命令行确定模块33利用策略校验规则根据策略模板对归一化策略进行校验,若校验通过,则说明目标设备能够对归一化策略进行有效配置。在校验通过的基础上,参数和命令行确定模块33根据该目标设备对应的策略模板对归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数。可以理解的是,目标参数是该目标设备配置归一化策略所需的参数。在获得目标参数之后,由于目标参数中可能不包含策略模板中的某条命令行的必选参数和/或可选参数,从而导致该条命令行无法进行有效配置。有鉴于此,为了验证策略模板中的所有命令行是否能够进行有效配置,本发明实施例中,参数和命令行确定模块33根据所有目标参数从策略模板中的所有命令行中获得目标命令行,以使得每条目标命令行中的所有参数(包括必选参数和可选参数)均包含在目标参数中,从而确保每条目标命令行都能够进行有效配置。
策略转换与配置模块34用于利用策略转换规则根据所有目标参数对所有目标命令行进行转换,生成目标设备对应的配置策略,根据配置策略对目标设备进行配置。
具体地,在上述技术方案的基础上,策略转换与配置模块34利用策略转换规则根据所有目标参数对所有目标命令行进行转换,即,利用策略转换规则将目标参数填充至目标命令行的对应位置,以实现对目标命令行的转换。将转换后的目标命令行作为目标设备对应的配置策略,可以理解的是,目标设备对应的配置策略指的是目标设备所能够识别的命令行集合,且该命令行集合能够实现归一化策略的配置。最终,根据配置策略对目标设备进行配置,即,将配置策略下发并配置到目标设备。
本发明实施例提供的设备安全策略的配置装置,具体执行上述各方法实施例流程,具体请详见上述各方法实施例的内容,此处不再赘述。
本发明实施例提供的设备安全策略的配置装置,基于统一策略描述语言根据目标配置需求构建归一化策略,并从策略模板库中获取目标设备对应的策略模板,根据策略模板从归一化策略中的所有配置参数中筛选出目标参数,并根据所有目标参数从策略模板中的所有命令行中获取目标命令行,根据所有目标参数对所有目标命令行进行转换,生成目标设备对应的配置策略,最终将配置策略下发并配置到目标设备。该装置无需管理员学习各异的配置命令语法语义,有利于降低工作成本;且管理员仅需下发一次配置需求,能够有效避免重复操作,有利于提高设备安全策略的配置效率,以确保能够将安全策略及时配置到设备。
图4为本发明实施例提供的电子设备的实体结构示意图。参照图4,所述电子设备,包括:处理器(processor)41、存储器(memory)42和总线43;其中,所述处理器41和存储器42通过所述总线43完成相互间的通信;所述处理器41用于调用所述存储器42中的程序指令,以执行上述任一方法实施例所提供的方法,例如包括:基于统一策略描述语言根据目标配置需求构建目标配置需求对应的归一化策略,归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数;对于归一化策略中的任意一个目标设备,根据归一化策略中的策略类型从策略模板库中获取目标设备对应的策略模板,策略模板中包含至少一条命令行;利用策略校验规则根据策略模板对归一化策略进行校验,若校验通过,则根据策略模板对归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数,根据所有目标参数从策略模板中的所有命令行中获取目标命令行;利用策略转换规则根据所有目标参数对所有目标命令行进行转换,生成目标设备对应的配置策略,根据配置策略对目标设备进行配置。
此外,上述的存储器42中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各实施例提供的方法,例如包括:基于统一策略描述语言根据目标配置需求构建目标配置需求对应的归一化策略,归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数;对于归一化策略中的任意一个目标设备,根据归一化策略中的策略类型从策略模板库中获取目标设备对应的策略模板,策略模板中包含至少一条命令行;利用策略校验规则根据策略模板对归一化策略进行校验,若校验通过,则根据策略模板对归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数,根据所有目标参数从策略模板中的所有命令行中获取目标命令行;利用策略转换规则根据所有目标参数对所有目标命令行进行转换,生成目标设备对应的配置策略,根据配置策略对目标设备进行配置。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (8)
1.一种设备安全策略的配置方法,其特征在于,包括:
基于统一策略描述语言根据目标配置需求构建所述目标配置需求对应的归一化策略,所述归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数;
对于所述归一化策略中的任意一个目标设备,根据所述归一化策略中的策略类型从策略模板库中获取所述目标设备对应的策略模板,所述策略模板中包含至少一条命令行;
利用策略校验规则根据所述策略模板对所述归一化策略进行校验,若校验通过,则根据所述策略模板对所述归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数,根据所有目标参数从所述策略模板中的所有命令行中获取目标命令行;
利用策略转换规则根据所有目标参数对所有目标命令行进行转换,生成所述目标设备对应的配置策略,根据所述配置策略对所述目标设备进行配置;
其中,利用策略校验规则根据所述策略模板对所述归一化策略进行校验,具体为:
从所述策略模板的所有命令行中获取所有必选参数和每个必选参数对应的依赖参数;
判断所述归一化策略中是否包含所有必选参数和所有依赖参数;
若包含所有必选参数和所有依赖参数,则确定所述归一化策略校验通过,若不包含所有必选参数和所有依赖参数,则确定所述归一化策略校验失败;
根据所述策略模板对所述归一化策略中的所有配置参数进行筛选,具体为:
对于所述归一化策略中的任意一个配置参数,若所述策略模板中不包含所述配置参数,则在所述归一化策略中删除所述配置参数;
从所述策略模板的所有命令行中获取所有可选参数和每个可选参数对应的依赖参数,对于任意一个可选参数,若所述归一化策略中包含所述可选参数,且所述归一化策略中不包含所述可选参数对应的依赖参数,则在所述归一化策略中删除所述可选参数。
2.根据权利要求1所述的设备安全策略的配置方法,其特征在于,根据所述归一化策略中的策略类型从策略模板库中获取所述目标设备对应的策略模板,之前还包括:
将目标设备允许配置的每个策略类型作为目标策略类型,对于任意一个目标策略类型,从目标设备对应的设备手册中获取所述目标策略类型对应的所有命令行;
基于所述统一策略描述语言对所述目标策略类型对应的所有命令行进行转换,将转换后的所有命令行组成策略模板;
将所述目标设备、所述目标策略类型和所述策略模板关联存储至所述策略模板库。
3.根据权利要求1所述的设备安全策略的配置方法,其特征在于,根据所有目标参数从所述策略模板中的所有命令行中获取目标命令行,具体为:
对于所述策略模板中的任意一条命令行,若所述命令行中的所有必选参数均属于所述目标参数,则将所述命令行作为候选命令行;
对于任意一条候选命令行,删除所述候选命令行中不属于所述目标参数的可选参数,获得目标命令行。
4.根据权利要求1所述的设备安全策略的配置方法,其特征在于,利用策略转换规则根据所有目标参数对所有目标命令行进行转换,具体为:
对于任意一条目标命令行,将所述目标命令行中的每个参数作为待转换参数,获取每个待转换参数在所述目标命令行中的位置,作为待填充位置,并在所述目标命令行中获取每个待转换参数对应的格式,作为目标格式;
对于任意一个待转换参数,从所有目标参数中获取与所述待转换参数匹配的目标参数,作为匹配参数,根据所述待转换参数对应的目标格式将所述匹配参数进行格式转换,并将格式转换后的匹配参数填充至所述待转换参数对应的待填充位置。
5.根据权利要求1所述的设备安全策略的配置方法,其特征在于,根据所述配置策略对所述目标设备进行配置,具体为:
将所述配置策略中的每条命令行下发并配置到所述目标设备,并获取每条命令行的配置结果;
若当前获取到的配置结果为失败,则中断配置或重新配置,并将已获取到的所有配置结果反馈给用户进行分析。
6.一种设备安全策略的配置装置,其特征在于,包括:
归一化策略构建模块,用于基于统一策略描述语言根据目标配置需求构建所述目标配置需求对应的归一化策略,所述归一化策略中包含策略类型、至少一个目标设备和至少一个配置参数;
策略模板获取模块,用于对于所述归一化策略中的任意一个目标设备,根据所述归一化策略中的策略类型从策略模板库中获取所述目标设备对应的策略模板,所述策略模板中包含至少一条命令行;
参数和命令行确定模块,用于利用策略校验规则根据所述策略模板对所述归一化策略进行校验,若校验通过,则根据所述策略模板对所述归一化策略中的所有配置参数进行筛选,将筛选后的每个配置参数作为目标参数,根据所有目标参数从所述策略模板中的所有命令行中获取目标命令行;
策略转换与配置模块,用于利用策略转换规则根据所有目标参数对所有目标命令行进行转换,生成所述目标设备对应的配置策略,根据所述配置策略对所述目标设备进行配置;
其中,所述参数和命令行确定模块还用于,从所述策略模板的所有命令行中获取所有必选参数和每个必选参数对应的依赖参数;
判断所述归一化策略中是否包含所有必选参数和所有依赖参数;
若包含所有必选参数和所有依赖参数,则确定所述归一化策略校验通过,若不包含所有必选参数和所有依赖参数,则确定所述归一化策略校验失败;
对于所述归一化策略中的任意一个配置参数,若所述策略模板中不包含所述配置参数,则在所述归一化策略中删除所述配置参数;
从所述策略模板的所有命令行中获取所有可选参数和每个可选参数对应的依赖参数,对于任意一个可选参数,若所述归一化策略中包含所述可选参数,且所述归一化策略中不包含所述可选参数对应的依赖参数,则在所述归一化策略中删除所述可选参数。
7.一种电子设备,包括至少一个处理器,以及与所述处理器通信连接的至少一个存储器,所述存储器存储有可被所述处理器执行的程序指令,其特征在于,所述处理器调用所述程序指令能够执行如权利要求1至5任一所述的方法。
8.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,其特征在于,所述计算机指令使所述计算机执行如权利要求1至5任一所述的方法。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910427706.9A CN110348201B (zh) | 2019-05-22 | 2019-05-22 | 一种设备安全策略的配置方法及装置 |
| PCT/CN2019/091873 WO2020232785A1 (zh) | 2019-05-22 | 2019-06-19 | 一种设备安全策略的配置方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910427706.9A CN110348201B (zh) | 2019-05-22 | 2019-05-22 | 一种设备安全策略的配置方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110348201A CN110348201A (zh) | 2019-10-18 |
| CN110348201B true CN110348201B (zh) | 2020-09-01 |
Family
ID=68174607
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910427706.9A Active CN110348201B (zh) | 2019-05-22 | 2019-05-22 | 一种设备安全策略的配置方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN110348201B (zh) |
| WO (1) | WO2020232785A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113285906A (zh) * | 2020-02-19 | 2021-08-20 | 北京百度网讯科技有限公司 | 安全策略配置方法、装置、设备和存储介质 |
| CN111447203B (zh) * | 2020-03-24 | 2020-11-10 | 江苏易安联网络技术有限公司 | 一种安全策略编排方法 |
| CN114124688B (zh) * | 2020-08-11 | 2024-02-20 | 中国电信股份有限公司 | 配置方法及系统、计算机可存储介质 |
| CN112165395B (zh) * | 2020-09-11 | 2023-04-18 | 烽火通信科技股份有限公司 | 一种网管配置数据转换方法与系统 |
| CN114513419A (zh) * | 2020-11-16 | 2022-05-17 | 北京神州泰岳软件股份有限公司 | 安全策略配置方法及系统 |
| CN112636953A (zh) * | 2020-12-07 | 2021-04-09 | 杭州迪普科技股份有限公司 | 一种策略命令下发方法、装置及电子设备 |
| CN112367211B (zh) * | 2021-01-13 | 2021-04-13 | 武汉思普崚技术有限公司 | 一种设备命令行生成配置模板方法、装置及存储介质 |
| CN114915431A (zh) * | 2021-01-29 | 2022-08-16 | 中移(苏州)软件技术有限公司 | 一种状态检测方法、节点、系统以及存储介质 |
| CN113422778B (zh) * | 2021-07-01 | 2022-11-11 | 中国工商银行股份有限公司 | 防火墙策略配置方法、装置和电子设备 |
| CN113922979B (zh) * | 2021-08-23 | 2023-07-04 | 北京天融信网络安全技术有限公司 | 网络安全设备配置系统、配置方法、计算机设备 |
| CN114024759B (zh) * | 2021-11-09 | 2024-02-02 | 北京天融信网络安全技术有限公司 | 安全策略管控方法、装置、计算机设备和介质 |
| CN114205125B (zh) * | 2021-11-25 | 2024-03-29 | 北京国泰网信科技有限公司 | 一种基于安全区域的策略管理方法、装置、设备及介质 |
| CN115208671A (zh) * | 2022-07-15 | 2022-10-18 | 山石网科通信技术股份有限公司 | 防火墙配置方法、装置、电子设备和存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988478A (zh) * | 2006-12-14 | 2007-06-27 | 上海交通大学 | 基于可扩展的标记语言的统一策略管理系统 |
| US8161520B1 (en) * | 2004-04-30 | 2012-04-17 | Oracle America, Inc. | Methods and systems for securing a system in an adaptive computer environment |
| CN106845246A (zh) * | 2016-12-22 | 2017-06-13 | 北京聆云信息技术有限公司 | 一种安全策略适配框架及其方法 |
| CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060021028A1 (en) * | 2003-03-28 | 2006-01-26 | Brunette Glenn M | System and method for adaptive policy and dependency-based system security audit |
| CN100440809C (zh) * | 2006-11-13 | 2008-12-03 | 杭州华三通信技术有限公司 | 进行网络设备业务配置的方法及装置 |
| CN108717362B (zh) * | 2018-05-21 | 2022-05-03 | 北京晨宇泰安科技有限公司 | 一种基于可继承结构的网络设备配置系统及配置方法 |
-
2019
- 2019-05-22 CN CN201910427706.9A patent/CN110348201B/zh active Active
- 2019-06-19 WO PCT/CN2019/091873 patent/WO2020232785A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8161520B1 (en) * | 2004-04-30 | 2012-04-17 | Oracle America, Inc. | Methods and systems for securing a system in an adaptive computer environment |
| CN1988478A (zh) * | 2006-12-14 | 2007-06-27 | 上海交通大学 | 基于可扩展的标记语言的统一策略管理系统 |
| CN106845246A (zh) * | 2016-12-22 | 2017-06-13 | 北京聆云信息技术有限公司 | 一种安全策略适配框架及其方法 |
| CN108429774A (zh) * | 2018-06-21 | 2018-08-21 | 蔡梦臣 | 一种防火墙策略集中优化管理方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020232785A1 (zh) | 2020-11-26 |
| CN110348201A (zh) | 2019-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110348201B (zh) | 一种设备安全策略的配置方法及装置 | |
| US8166140B1 (en) | Automatic application of implementation-specific configuration policies | |
| US7376719B1 (en) | Automatic generation of configuration data using implementation-specific configuration policies | |
| US20170187577A1 (en) | System for configuring network devices | |
| US8959000B2 (en) | Integrated testing systems and methods | |
| US7631227B2 (en) | Automated testing and control of networked devices | |
| US8522199B2 (en) | System, method, and computer program product for applying a regular expression to content based on required strings of the regular expression | |
| US11093641B1 (en) | Anonymizing sensitive data in logic problems for input to a constraint solver | |
| CN109800258B (zh) | 数据文件部署方法、装置、计算机设备及存储介质 | |
| CN103853650A (zh) | 一种模糊测试的测试用例生成方法及装置 | |
| US8694448B2 (en) | Method and apparatus for providing an adaptive parser | |
| CN105703925A (zh) | 一种Linux系统安全加固方法及系统 | |
| US20190050376A1 (en) | Automatic value formatting based on intrinsic structural semantics | |
| US20170163485A1 (en) | Full configuration management of multi-domain multi-vendor network equipments using golden configurations and snapshots | |
| CN106775937A (zh) | 一种命令行校验方法及装置 | |
| CN101794318A (zh) | Url解析方法及设备 | |
| CN113826358A (zh) | 手动配置更改的自动发现 | |
| Marquis et al. | SCL: a language for security testing of network applications | |
| KR101985635B1 (ko) | 컨테이너 오케스트레이터 기반의 템플릿 스크립트 생성 방법 및 템플릿 스크립트 생성 장치 | |
| Martínez et al. | Model-driven extraction and analysis of network security policies | |
| US20080126520A1 (en) | Devices, systems and methods for network device conversion | |
| CN109165513B (zh) | 系统配置信息的巡检方法、装置和服务器 | |
| CN115529268B (zh) | 处理配置网络设备的指令 | |
| US11823701B2 (en) | Network operation based on domain specific language | |
| CN109981342A (zh) | 一种批量处理网络设备操作命令的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |