CN110505187B - 混合云中安全规则管理方法、系统、服务器及存储介质 - Google Patents

Abstract

本发明公开了一种混合云中安全规则管理方法、系统、服务器及存储介质。本发明中采集混合云中各网络设备的安全规则；基于各网络设备的安全规则按照预设数据结构建立规则模型；基于所述规则模型检测各网络设备的安全规则是否存在冲突，获得检测结果；根据所述检测结果对所述混合云中的各网络设备的安全规则进行调整。本发明中通过将混合云中跨多个云的安全规则进行采集，基于采集的各安全规则建立规则模型，基于所述规则模型对混合云中各安全规则进行全局的规则冲突检测，实现了跨多个云的安全规则的统一管理，能够对混合云中的各网络设备的安全规则进行全局优化，利于用户对安全的运维。

Description

混合云中安全规则管理方法、系统、服务器及存储介质

技术领域

本发明涉及通信技术领域，尤其涉及混合云中安全规则管理方法、系统、服务器及存储介质。

背景技术

在混合云场景中，跨多个云的安全规则的部署是个难题。这里包括两个难题：(1)跨云部署不方便。不同的云平台，安全规则的粒度及语法一般不同。业务跨云部署或迁移后，安全规则需要跟随业务跨云，此时需要按照远端云平台的语法来重写安全规则。(2)不同云规则无法做到统一视图、统一校验和管理。一般只能在不同的云平台单独管理本平台内的安全规则，无法与其他云平台的安全规则做联动，无法在用户侧形成统一的视图，不能做全局优化，容易造成冗余、冲突，不利于用户对安全的运维。目前，现有技术中有两种解决方案：

1、通过云管平台来解决。云管平台调用多个云平台提供的安全规则相关的表述性状态传递(Representational State Transfer，简称REST)应用程序编程接口(Application Programming Interface，简称API)，获取不同云管平台的安全规则，并在云管平台的用户界面做统一展现。用户可以统一部署和管理，用户只需要按照云管平台的语法配置安全规则并选择规则需要配置到哪个云管平台，云管平台自动将规则翻译为符合对应云管平台语法的安全规则，并调用对应云管平台的REST API接口，将规则下发到对应云管平台的设备上。其缺点在于：(1)严重依赖云管平台提供REST API。如果云管平台不提供相关的REST API，则无法做统一部署和管理。而且，当需要新增支持的云管平台时，需要改动云管代码，增加对新云管平台的支持(2)没有对规则在全局做校验，容易造成规则的冲突、冗余等问题。

2、通过终端安全代理(Agent)的方式解决。在客户的本地数据中心和远端云管平台的物理/虚拟机上安装安全Agent，通过Agent采集信息，并实现安全规则的部署和管理。这种方式的缺点在于：(1)未必所有用户愿意安装Agent，Agent会占用虚拟一定资源，也可能会带来新的安全隐患。(2)无法与无Agent的方案形成联动和互补。

因此，如何实现在混合云中跨多个云的安全规则的部署是亟待解决的技术问题。

上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。

发明内容

本发明的主要目的在于提供一种混合云中安全规则管理方法、系统、服务器及存储介质，旨在解决上述如何实现在混合云中跨多个云的安全规则的部署的技术问题。

为实现上述目的，本发明提供一种混合云中安全规则管理方法，所述混合云中安全规则管理方法包括以下步骤：

采集混合云中各网络设备的安全规则；

基于各网络设备的安全规则按照预设数据结构建立规则模型；

基于所述规则模型检测各网络设备的安全规则是否存在冲突，获得检测结果；

根据所述检测结果对所述混合云中的各网络设备的安全规则进行调整。

优选地，所述基于所述规则模型检测各网络设备的安全规则是否存在冲突，获得检测结果，具体包括：

基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，获得检测结果。

优选地，所述根据所述检测结果对所述混合云中的各网络设备的安全规则进行调整，具体包括：

若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型。

优选地，所述若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型之后，所述混合云中安全规则管理方法还包括：

检测所述私有云和公有云之间的通路是否通畅；

在检测到所述私有云和公有云之间的通路不通畅时，进行告警提示。

优选地，所述基于各网络设备的安全规则按照预设数据结构建立规则模型之后，所述混合云中安全规则管理方法还包括：

基于所述规则模型判断各安全规则之间是否存在被包含关系，将被包含的规则删除。

优选地，所述预设数据结构为预设树形结构；

所述基于各网络设备的安全规则按照预设数据结构建立规则模型，具体包括：

对混合云中的各网络设备进行遍历，获取遍历到的当前网络设备的当前安全规则；

从所述当前安全规则中分别获取与各预设参数类型对应的参数信息；

从预设树形结构中选取与所述参数信息对应的叶子节点；

将所述当前安全规则保存至选取的叶子节点，以建立规则模型。

此外，为实现上述目的，本发明还提供一种服务器，所述服务器包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的混合云中安全规则管理程序，所述混合云中安全规则管理程序配置为实现如上文所述的混合云中安全规则管理的方法的步骤。

此外，为实现上述目的，本发明还提供一种存储介质，所述存储介质上存储有混合云中安全规则管理程序，所述混合云中安全规则管理程序被处理器执行时实现如上文所述的混合云中安全规则管理方法的步骤。

此外，为实现上述目的，本发明还提供一种混合云中安全规则管理系统，所述混合云中安全规则管理系统包括：采集模块、建立模块、检测模块和调整模块；

所述采集模块，用于采集混合云中各网络设备的安全规则；

所述建立模块，用于基于各网络设备的安全规则按照预设数据结构建立规则模型；

所述检测模块，用于基于所述规则模型检测各网络设备的安全规则是否存在冲突，获得检测结果；

所述调整模块，用于根据所述检测结果对所述混合云中的各网络设备的安全规则进行调整。

优选地，所述检测模块，还用于基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，获得检测结果。

优选地，所述调整模块，还用于若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型。

本发明中通过将混合云中跨多个云的安全规则进行采集，基于采集的各安全规则建立规则模型，基于所述规则模型对混合云中各安全规则进行全局的规则冲突检测，实现了跨多个云的安全规则的统一管理，能够对混合云中的各网络设备的安全规则进行全局优化，利于用户对安全的运维。

附图说明

图1是本发明实施例方案涉及的硬件运行环境的服务器结构示意图；

图2为本发明混合云中安全规则管理方法第一实施例的流程示意图；

图3为混合云中各网络设备的防护形态示意图；

图4为本发明混合云中安全规则管理方法第二实施例的流程示意图；

图5为本发明混合云中安全规则管理方法第三实施例的流程示意图；

图6为本发明混合云中安全规则管理方法第三实施例中预设树形结构的第一示意图；

图7为本发明混合云中安全规则管理方法第三实施例中一个维度的预设树形结构的示意图；

图8为本发明混合云中安全规则管理系统第一实施例的功能模块图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图1，图1为本发明实施例方案涉及的硬件运行环境的服务器结构示意图。

如图1所示，该服务器可以包括：处理器1001，例如CPU，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)，可选用户接口1003还可以包括标准的有线接口、无线接口，对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器，也可以是稳定的存储器(non-volatile memory)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。

本领域技术人员可以理解，图1中示出的结构并不构成对服务器的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及混合云中安全规则管理程序。

在图1所示的服务器中，网络接口1004主要用于连接各网络设备，与各网络设备进行数据通信；用户接口1003主要用于连接外设；所述服务器通过处理器1001调用存储器1005中存储的混合云中安全规则管理程序，并执行以下操作：

采集混合云中各网络设备的安全规则；

基于各网络设备的安全规则按照预设数据结构建立规则模型；

基于所述规则模型检测各网络设备的安全规则是否存在冲突，获得检测结果；

根据所述检测结果对所述混合云中的各网络设备的安全规则进行调整。

进一步地，处理器1001可以调用存储器1005中存储的混合云中安全规则管理程序，还执行以下操作：

基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，获得检测结果。

进一步地，处理器1001可以调用存储器1005中存储的混合云中安全规则管理程序，还执行以下操作：

若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型。

进一步地，处理器1001可以调用存储器1005中存储的混合云中安全规则管理程序，还执行以下操作：

检测所述私有云和公有云之间的通路是否通畅；

在检测到所述私有云和公有云之间的通路不通畅时，进行告警提示。

进一步地，处理器1001可以调用存储器1005中存储的混合云中安全规则管理程序，还执行以下操作：

基于所述规则模型判断各安全规则之间是否存在被包含关系，将被包含的规则删除。

进一步地，处理器1001可以调用存储器1005中存储的混合云中安全规则管理程序，还执行以下操作：

所述预设数据结构为预设树形结构；

所述基于各网络设备的安全规则按照预设数据结构建立规则模型，具体包括：

对混合云中的各网络设备进行遍历，获取遍历到的当前网络设备的当前安全规则；

从所述当前安全规则中分别获取与各预设参数类型对应的参数信息；

从预设树形结构中选取与所述参数信息对应的叶子节点；

将所述当前安全规则保存至选取的叶子节点，以建立规则模型。

本实施例通过将混合云中跨多个云的安全规则进行采集，基于采集的各安全规则建立规则模型，基于所述规则模型对混合云中各安全规则进行全局的规则冲突检测，实现了跨多个云的安全规则的统一管理，能够对混合云中的各网络设备的安全规则进行全局优化，利于用户对安全的运维。

基于上述硬件结构，提出本发明混合云中安全规则管理方法的实施例。

参照图2，图2为本发明混合云中安全规则管理方法第一实施例的流程示意图，提出本发明混合云中安全规则管理方法第一实施例。

在第一实施例中，所述混合云中安全规则管理方法包括以下步骤：

步骤S10，采集混合云中各网络设备的安全规则。

可理解的是，不论底层是云平台的网络设备，还是终端安全Agent。可将各网络设备和各安全终端都认为是网络拓扑中的一个节点，对各节点的安全规则进行统一管理。对于不同云平台的虚拟网络设备、分布式防火墙和终端安全Agent，采用REST API来采集和配置安全规则信息。对于软件定义网络(Software Defined Network，简称SDN)网络设备，通过OpenFlow来采集和配置安全规则信息。对于物理网络设备，可通过标准协议，如简单网络管理协议(Simple Network Management Protocol，简称SNMP)，还可通过远程登录，如安全外壳协议(Secure Shell，简称SSH)或远程终端协议(Telnet)的方式来采集和配置安全规则信息。

步骤S20，基于各网络设备的安全规则按照预设数据结构建立规则模型。

应理解的是，将混合云中各网络设备的安全规则采集后，为了实现统一管理，将各安全规则放在一处进行存储及管理，可将各安全规则按照预设数据结构建立规则模型，各安全规则都存放在所述规则模型内，以实现对各安全规则的统一管理，所述预设数据结构，可以是多级树形结构。将各安全规则建立规则模型，统一管理，所述管理包括：规则冲突、冗余检测、转发路径环路或断路检测等，本实施例对此不加以限制。

需要说明的是，在虚拟化或云环境中，新增安全规则可以通过API从管理或云管中心直接获取；在物理网络环境中，新增安全规则可以在配置时先通过手动或自动方式添加至所述规则模型，混合云中原有安全规则和/或配置信息需要从各网络设备中获取。

步骤S30，基于所述规则模型检测各网络设备的安全规则是否存在冲突，获得检测结果。

在具体实现中，混合云中私有云和公有云中各网络设备的安全规则，混合云中，不同的安全区域，可能采用不同的安全防护形态进行防护，比如：参照图3，图3为混合云中各网络设备的防护形态示意图，如图3所示，安全区域A采用Agent进行防护，安全区域B采用分布式防火墙进行防护，安全区域C采用物理交换机来配置访问控制列表(Access ControlList，简称ACL)规则进行防护。具体地，不同的安全防护形态下的各网络设备中相应地还会配置更具体的安全规则，不同的安全区域的各网络设备的各安全规则可能存在冲突，基于所述规则模型，各安全规则可通过所述规则模型进行统一管理，则可方便的对各安全规则进行检测，检测各安全规则之间是否存在冲突，所述检测结果包括：存在冲突或者不存在冲突，若存在冲突，可根据具体的冲突情况设置对应的冲突规则，若不存在冲突，则无需设置。

步骤S40，根据所述检测结果对所述混合云中的各网络设备的安全规则进行调整。

可理解的是，若所述检测结果为存在冲突，若存在，可针对冲突设置对应的冲突规则，并将冲突规则添加至所述规则模型。若不存在，则无需对所述规则模型进行调整。

本实施例中通过将混合云中跨多个云的安全规则进行采集，基于采集的各安全规则建立规则模型，基于所述规则模型对混合云中各安全规则进行全局的规则冲突检测，实现了跨多个云的安全规则的统一管理，能够对混合云中的各网络设备的安全规则进行全局优化，利于用户对安全的运维。

参照图4，图4为本发明混合云中安全规则管理方法第二实施例的流程示意图，基于上述图2所示的第一实施例，提出本发明混合云中安全规则管理方法的第二实施例。

在第二实施例中，所述步骤S30，具体包括：

步骤S301，基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，获得检测结果。

应理解的是，私有云的各网络设备和公有云的各网络设备之间的访问规则可能因采用的防护形态不同，而存在冲突。比如：分布式防火墙的规则和Agent的规则都是允许私有云的虚拟机(Virtual Machine，VM)和主机与公有云的VM和主机之间互相访问，然而公有云上的交换机默认配置了不允许VM访问Agent所在主机的规则，此时，即出现私有云的各网络设备和公有云的各网络设备之间的访问规则的冲突，所述检测结果为存在冲突。

在本实施例中，所述步骤S40，具体包括：

步骤S401，若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型。

可理解的是，所述检测结果为存在冲突，则在配置规则时可对私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，通常可将设置的冲突规则设置在私有云和公有云之间的通路上的网络设备中，当私有云的各网络设备和公有云的各网络设备之间进行数据访问时，若访问通路不通畅，可进行告警提示，以提示用户在私有云和公有云之间的通路上有一个网络设备存放了冲突规则，导致转发路径不通，用户可根据具体的冲突规则进行相应的冲突处理。本实施例中，所述步骤S401之后，所述混合云中安全规则管理方法还包括：检测所述私有云和公有云之间的通路是否通畅；在检测到所述私有云和公有云之间的通路不通畅时，进行告警提示。

例如：分布式防火墙的规则和Agent的规则都是允许私有云的虚拟机(VirtualMachine，VM)和主机与公有云的VM和主机之间互相访问，然而公有云上的交换机默认配置了不允许VM访问Agent所在主机的规则，Agent和分布式防火墙在配置规则时进行告警提示，以告知用户私有云和公有云的通路(转发路径)上有一个网络设备，配置了冲突的规则，导致转发路径不通。

在本实施例中，所述步骤S20之后，还包括：

步骤S201，基于所述规则模型判断各安全规则之间是否存在被包含关系，将被包含的规则删除。

在具体实现中，可以在单云内实现去冗余，也可以实现安全联动，在分布式防火墙、终端安全agent和物理安全策略设备之间实现去冗余，可将上述三种安全防护形态内的各网络设备都认为是一个逻辑拓扑上的节点，判断各网络设备的各安全规则是否存在被包含关系，比如第一规则包含第二规则，则将第二规则删除，在所述规则模型中删除被包含的规则的同时，将对应的网络设备中的被包含的规则也删除，以实现去冗余。

具体部署的实现过程比如，若网络设备A中存在的第一规则为“NW_SRC：10.0.0.31/31，NW_DST：10.0.0.2，Location:10.0.0.1，Action:DENY”，可记为ACL1，表明“禁止来自10.0.0.31/31的数据包发送至10.0.0.2”；以及，第二规则为“NW_SRC：10.0.0.31/32，NW_DST：10.0.0.2，Location:10.0.0.1，Action:DENY”，可记为ACL2，表明“禁止来自10.0.0.31/32的数据包发送至10.0.0.2”。

应当理解的是，由于ACL1限定的NW_SRC的第一预设范围为“10.0.0.31/31”，而ACL2限定的NW_SRC的第二预设范围为“10.0.0.31/32”，由于二者的子网掩码不同，考虑到ACL1与ACL2的Action皆为DENY配置，所以，可将ACL2优化掉，因为，ACL1已经发挥了ACL2的作用，即ACL1包含ACL2。通过保留第一规则ACL1，删除第二规则ACL2，从而实现了对于安全规则的优化部署。

本实施例中通过基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，若存在冲突则设置冲突策略，实现安全冲突检测，并在所述私有云和公有云之间的通路不通畅时，进行告警提示，以使用户根据告警提示知晓冲突策略，进而采取相应的解决措施，基于所述规则模型判断各安全规则之间是否存在被包含关系，将被包含的规则删除，在混合云中各网络设备的各安全规则之间实现了去冗余。

参照图5，图5为本发明混合云中安全规则管理方法第三实施例的流程示意图，基于上述图4所示的第二实施例，提出本发明混合云中安全规则管理方法的第三实施例。

在第三实施例中，所述预设数据结构为预设树形结构，所述步骤S20，具体包括：

步骤S202，对混合云中的各网络设备进行遍历，获取遍历到的当前网络设备的当前安全规则。

步骤S203，从所述当前安全规则中分别获取与各预设参数类型对应的参数信息。

可以理解的是，第一实施例中的预设数据结构可为预设树形结构，可参见图6，图6为预设树形结构的第一示意图，预设树形存储结构可存在多级树，每一级树都是一个维度，比如，维度1、维度2、维度3、维度4及维度5等。其中，每一级树都对应着一类的预设参数类型，比如，预设树形结构可存在5种对应的预设参数类型，包括，源IP地址、目的IP地址、源媒体访问控制地址(Media Access Control Address，MAC地址)、目的MAC地址及端口号，而安全规则中正存在上述预设参数类型的参数信息。其中，预设参数类型可为数据包头部中的特定字段。

应当理解的是，在获取到一条当前安全规则时，将先提取出该条安全规则的源IP地址、目的IP地址、源MAC地址、目的MAC地址及端口号，比如，提取出的参数信息包括源IP地址为1.0.0.1、目的IP地址为1.0.0.25、源MAC地址为X1.X2.X3.X4、目的MAC地址为X5.X6.X7.X8以及端口号为X9。

步骤S204，从预设树形结构中选取与所述参数信息对应的叶子节点。

在具体实现中，在提取出上述各种参数类型的参数信息后，将在如图6所示的预设树形结构中查找到对应的叶子节点以将当前安全规则保存至该叶子节点中。

参见图7，图7为一个维度的预设树形结构的示意图。

可以理解的是，根据图7可知，比如，图7所示的维度X为表征源IP地址的维度1，维度1对应的树形结构即图中的虚线三角形的高度为字段的长度，由于源IP地址为32比特，则对应的树形结构的高度也为32，即维度1的树形结构的每一层表示一个比特。

应当理解的是，每一层存在三种走向，分别为1、0以及通配符*，其中，“*”表示0或1都可。比如，源IP地址为1.0.0.1，则维度1对应的树形结构的取值应该为0000000100000000 00000000 00000001。从图7中可知，先可确定维度1对应的树形结构的第一层的走向为0，第二层的走向为0……第8层的走向为1……第32层的走向为1，而第32层也是维度1对应的树形结构的最后一层。在到达维度1对应的树形结构的最后一层后，下一步将进入维度2对应的树形结构的第一层，直至最终到达如图7所示的维度5的树形结构的最后一层。通过设计该种预设树形结构，可以将安全规则按照多种不同的参数类型进行分类存储。其中，本实施例不限制维度的数量。

步骤S205，将所述当前安全规则保存至选取的叶子节点，以建立规则模型。

在具体实现中，在根据走向来确定安全规则最终对应的节点后，若该条安全规则同时存在上述5种参数类型的参数信息，则最终会在维度5对应的树形结构的最后一层设置一个叶子节点，并将当前安全规则保存至该维度5对应的树形结构的最后一层中确定的叶子节点，而最终基于预设数据结构处理完各设备的安全规则后获得的模型即为规则模型。

进一步地，所述从预设树形结构中选取与所述参数信息对应的叶子节点之后，还包括：

获取所述当前设备的设备标识；

相应地，所述将所述当前安全规则保存至选取的叶子节点，以建立规则模型，具体包括：将所述当前安全规则与所述设备标识保存至选取的叶子节点，以建立规则模型。

可以理解的是，由于将混合云中的各设备的安全规则进行了集中存储，为了便于在进行安全规则的自适应修改时，便于确定待修改的安全规则所属的安全规则，也为了便于服务器在修改完安全规则后可将修改后的安全规则重新存储入规则模型，同时可将修改后的安全规则发送至对应的网络设备以完成安全规则的更新，可在存储安全规则时同时存储设备标识。

在具体实现中，在保存网络设备B的安全规则时，可同时获取网络设备B的设备标识，所述设备标识可为网络设备B的设备名、IP地址或其他可唯一地确定网络设备B的信息。然后，可将设备标识与安全规则同时保存入根据安全规则确定的叶子节点。

在本实施例中，所述步骤S205之后，还包括：

按照预设周期获取混合云中各设备中存储的新的安全规则。

根据新的安全规则对所述规则模型中保存的安全规则进行修改，以获得新的规则模型。

可以理解的是，为了保证规则模型和虚拟或物理网络的真实情况不会有偏差，可周期性地从混合云中的各设备中获取新的安全规则，以判断各设备本地存储的安全规则是否发生变化。

应当理解的是，在获取到混合云中的各网络设备的新的安全规则后，可将新的安全规则与规则模型中保存的安全规则进行匹配，以判断两处的安全规则是否相同。当匹配失败时，可基于新的安全规则对规则模型中存储的安全规则进行修改，以获取到新的规则模型，从而完成对于规则模型的修正，克服规则模型与当前的真实网络情况的偏差，以保证规则模型中的各安全规则与对应的各网络设备实际存储的安全规则保持一致。当然，比之各网络设备实际存储的安全规则，规则模型中的安全规则为将各网络设备实际存储的安全规则进行自适应修改后的规则。

本实施例中通过按照预设树形结构建立规则模型，使得将混合云中各网络设备的各安全规则进行统一管理，并且优化了安全规则的存储结构，将各安全规则基于维度进行分类，使得最终存储的安全规则是基于安全规则在应用时的安全防护效果来进行的二次组织，使得安全规则的存储是基于安全防护效果来开展的，优化了安全规则的自适应修改效果，能够方便的实现各安全规则之间的冲突检测及去冗余。

此外，本发明实施例还提出一种存储介质，所述存储介质上存储有混合云中安全规则管理程序，所述混合云中安全规则管理程序被处理器执行时实现如下操作：

采集混合云中各网络设备的安全规则；

基于各网络设备的安全规则按照预设数据结构建立规则模型；

基于所述规则模型检测各网络设备的安全规则是否存在冲突，获得检测结果；

根据所述检测结果对所述混合云中的各网络设备的安全规则进行调整。

进一步地，所述混合云中安全规则管理程序被处理器执行时还实现如下操作：

基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，获得检测结果。

进一步地，所述混合云中安全规则管理程序被处理器执行时还实现如下操作：

若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型。

进一步地，所述混合云中安全规则管理程序被处理器执行时还实现如下操作：

检测所述私有云和公有云之间的通路是否通畅；

在检测到所述私有云和公有云之间的通路不通畅时，进行告警提示。

进一步地，所述混合云中安全规则管理程序被处理器执行时还实现如下操作：

基于所述规则模型判断各安全规则之间是否存在被包含关系，将被包含的规则删除。

进一步地，所述混合云中安全规则管理程序被处理器执行时还实现如下操作：

所述预设数据结构为预设树形结构；

所述基于各网络设备的安全规则按照预设数据结构建立规则模型，具体包括：

对混合云中的各网络设备进行遍历，获取遍历到的当前网络设备的当前安全规则；

从所述当前安全规则中分别获取与各预设参数类型对应的参数信息；

从预设树形结构中选取与所述参数信息对应的叶子节点；

将所述当前安全规则保存至选取的叶子节点，以建立规则模型。

本实施例中通过将混合云中跨多个云的安全规则进行采集，基于采集的各安全规则建立规则模型，基于所述规则模型对混合云中各安全规则进行全局的规则冲突检测，实现了跨多个云的安全规则的统一管理，能够对混合云中的各网络设备的安全规则进行全局优化，利于用户对安全的运维。

本发明进一步提供一种混合云中安全规则管理系统。

参照图8，图8为本发明混合云中安全规则管理系统第一实施例的功能模块图。

本发明混合云中安全规则管理系统第一实施例中，该系统包括：采集模块10、建立模块20、检测模块30和调整模块40；

所述采集模块10，用于采集混合云中各网络设备的安全规则；

所述建立模块20，用于基于各网络设备的安全规则按照预设数据结构建立规则模型；

所述检测模块30，用于基于所述规则模型检测各网络设备的安全规则是否存在冲突，获得检测结果；

所述调整模块40，用于根据所述检测结果对所述混合云中的各网络设备的安全规则进行调整。

可理解的是，不论底层是云平台的网络设备，还是终端安全Agent。可将各网络设备和各安全终端都认为是网络拓扑中的一个节点，对各节点的安全规则进行统一管理。对于不同云平台的虚拟网络设备、分布式防火墙和终端安全Agent，采用REST API来采集和配置安全规则信息。对于软件定义网络(Software Defined Network，简称SDN)网络设备，通过OpenFlow来采集和配置安全规则信息。对于物理网络设备，可通过标准协议，如简单网络管理协议(Simple Network Management Protocol，简称SNMP)，还可通过远程登录，如安全外壳协议(Secure Shell，简称SSH)或远程终端协议(Telnet)的方式来采集和配置安全规则信息。

应理解的是，将混合云中各网络设备的安全规则采集后，为了实现统一管理，将各安全规则放在一处进行存储及管理，可将各安全规则按照预设数据结构建立规则模型，各安全规则都存放在所述规则模型内，以实现对各安全规则的统一管理，所述预设数据结构，可以是多级树形结构。将各安全规则建立规则模型，统一管理，所述管理包括：规则冲突、冗余检测、转发路径环路或断路检测等，本实施例对此不加以限制。

需要说明的是，在虚拟化或云环境中，新增安全规则可以通过API从管理或云管中心直接获取；在物理网络环境中，新增安全规则可以在配置时先通过手动或自动方式添加至所述规则模型，混合云中原有安全规则和/或配置信息需要从各网络设备中获取。

在具体实现中，混合云中私有云和公有云中各网络设备的安全规则，混合云中，不同的安全区域，可能采用不同的安全防护形态进行防护，比如：参照图3，图3为混合云中各网络设备的防护形态示意图，如图3所示，安全区域A采用Agent进行防护，安全区域B采用分布式防火墙进行防护，安全区域C采用物理交换机来配置访问控制列表(Access ControlList，简称ACL)规则进行防护。具体地，不同的安全防护形态下的各网络设备中相应地还会配置更具体的安全规则，不同的安全区域的各网络设备的各安全规则可能存在冲突，基于所述规则模型，各安全规则可通过所述规则模型进行统一管理，则可方便的对各安全规则进行检测，检测各安全规则之间是否存在冲突，所述检测结果包括：存在冲突或者不存在冲突，若存在冲突，可根据具体的冲突情况设置对应的冲突规则，若不存在冲突，则无需设置。

可理解的是，若所述检测结果为存在冲突，若存在，可针对冲突设置对应的冲突规则，并将冲突规则添加至所述规则模型。若不存在，则无需对所述规则模型进行调整。

本实施例中通过将混合云中跨多个云的安全规则进行采集，基于采集的各安全规则建立规则模型，基于所述规则模型对混合云中各安全规则进行全局的规则冲突检测，实现了跨多个云的安全规则的统一管理，能够对混合云中的各网络设备的安全规则进行全局优化，利于用户对安全的运维。

进一步地，基于上述混合云中安全规则管理系统第一实施例，提出本发明混合云中安全规则管理系统第二实施例。

本发明混合云中安全规则管理系统第二实施例中，所述检测模块30，还用于基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，获得检测结果。

所述调整模块40，还用于若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型。

应理解的是，私有云的各网络设备和公有云的各网络设备之间的访问规则可能因采用的防护形态不同，而存在冲突。比如：分布式防火墙的规则和Agent的规则都是允许私有云的虚拟机(Virtual Machine，VM)和主机与公有云的VM和主机之间互相访问，然而公有云上的交换机默认配置了不允许VM访问Agent所在主机的规则，此时，即出现私有云的各网络设备和公有云的各网络设备之间的访问规则的冲突，所述检测结果为存在冲突。

可理解的是，所述检测结果为存在冲突，则在配置规则时可对私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，通常可将设置的冲突规则设置在私有云和公有云之间的通路上的网络设备中，当私有云的各网络设备和公有云的各网络设备之间进行数据访问时，若访问通路不通畅，可进行告警提示，以提示用户在私有云和公有云之间的通路上有一个网络设备存放了冲突规则，导致转发路径不通，用户可根据具体的冲突规则进行相应的冲突处理。本实施例中，所述步骤S401之后，所述混合云中安全规则管理方法还包括：检测所述私有云和公有云之间的通路是否通畅；在检测到所述私有云和公有云之间的通路不通畅时，进行告警提示。

例如：分布式防火墙的规则和Agent的规则都是允许私有云的虚拟机(VirtualMachine，VM)和主机与公有云的VM和主机之间互相访问，然而公有云上的交换机默认配置了不允许VM访问Agent所在主机的规则，Agent和分布式防火墙在配置规则时进行告警提示，以告知用户私有云和公有云的通路(转发路径)上有一个网络设备，配置了冲突的规则，导致转发路径不通。

在本实施例中，所述系统还包括：判断模块，用于基于所述规则模型判断各安全规则之间是否存在被包含关系，将被包含的规则删除。

在具体实现中，可以在单云内实现去冗余，也可以实现安全联动，在分布式防火墙、终端安全agent和物理安全策略设备之间实现去冗余，可将上述三种安全防护形态内的各网络设备都认为是一个逻辑拓扑上的节点，判断各网络设备的各安全规则是否存在被包含关系，比如第一规则包含第二规则，则将第二规则删除，在所述规则模型中删除被包含的规则的同时，将对应的网络设备中的被包含的规则也删除，以实现去冗余。

具体部署的实现过程比如，若网络设备A中存在的第一规则为“NW_SRC：10.0.0.31/31，NW_DST：10.0.0.2，Location:10.0.0.1，Action:DENY”，可记为ACL1，表明“禁止来自10.0.0.31/31的数据包发送至10.0.0.2”；以及，第二规则为“NW_SRC：10.0.0.31/32，NW_DST：10.0.0.2，Location:10.0.0.1，Action:DENY”，可记为ACL2，表明“禁止来自10.0.0.31/32的数据包发送至10.0.0.2”。

应当理解的是，由于ACL1限定的NW_SRC的第一预设范围为“10.0.0.31/31”，而ACL2限定的NW_SRC的第二预设范围为“10.0.0.31/32”，由于二者的子网掩码不同，考虑到ACL1与ACL2的Action皆为DENY配置，所以，可将ACL2优化掉，因为，ACL1已经发挥了ACL2的作用，即ACL1包含ACL2。通过保留第一规则ACL1，删除第二规则ACL2，从而实现了对于安全规则的优化部署。

本实施例中通过基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，若存在冲突则设置冲突策略，实现安全冲突检测，并在所述私有云和公有云之间的通路不通畅时，进行告警提示，以使用户根据告警提示知晓冲突策略，进而采取相应的解决措施，基于所述规则模型判断各安全规则之间是否存在被包含关系，将被包含的规则删除，在混合云中各网络设备的各安全规则之间实现了去冗余。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。词语第一、第二、以及第三等的使用不表示任何顺序，可将这些词语解释为名称。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，空调器，或者网络设备等)执行本发明各个实施例所述的方法。

以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims (7)

1.一种混合云中安全规则管理方法，其特征在于，所述混合云中安全规则管理方法包括以下步骤：

采集混合云中各网络设备的安全规则；

基于各网络设备的安全规则按照预设数据结构建立规则模型；

基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，获得检测结果；

其中，所述混合云中的网络设备采用不同的安全防护形态进行防护，不同的安全防护形态下的各网络设备中配置相应的安全规则，所述冲突为私有云和公有云中各网络设备之间的访问规则因采用的安全防护形态不同而产生的冲突；

若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型。

2.如权利要求1所述的混合云中安全规则管理方法，其特征在于，所述若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型之后，所述混合云中安全规则管理方法还包括：

检测所述私有云和公有云之间的通路是否通畅；

在检测到所述私有云和公有云之间的通路不通畅时，进行告警提示。

3.如权利要求2所述的混合云中安全规则管理方法，其特征在于，所述基于各网络设备的安全规则按照预设数据结构建立规则模型之后，所述混合云中安全规则管理方法还包括：

基于所述规则模型判断各安全规则之间是否存在被包含关系，将被包含的规则删除。

4.如权利要求1~3中任一项所述的混合云中安全规则管理方法，其特征在于，所述预设数据结构为预设树形结构；

所述基于各网络设备的安全规则按照预设数据结构建立规则模型，具体包括：

对混合云中的各网络设备进行遍历，获取遍历到的当前网络设备的当前安全规则；

从所述当前安全规则中分别获取与各预设参数类型对应的参数信息；

从预设树形结构中选取与所述参数信息对应的叶子节点；

将所述当前安全规则保存至选取的叶子节点，以建立规则模型。

5.一种服务器，其特征在于，所述服务器包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的混合云中安全规则管理程序，所述混合云中安全规则管理程序配置为实现如权利要求1至4中任一项所述的混合云中安全规则管理的方法的步骤。

6.一种存储介质，其特征在于，所述存储介质上存储有混合云中安全规则管理程序，所述混合云中安全规则管理程序被处理器执行时实现如权利要求1至4中任一项所述的混合云中安全规则管理方法的步骤。

7.一种混合云中安全规则管理系统，其特征在于，所述混合云中安全规则管理系统包括：采集模块、建立模块、检测模块和调整模块；

所述采集模块，用于采集混合云中各网络设备的安全规则；

所述建立模块，用于基于各网络设备的安全规则按照预设数据结构建立规则模型；

所述检测模块，用于基于所述规则模型确定私有云的各网络设备和公有云的各网络设备之间的访问规则是否存在冲突，获得检测结果，所述混合云中的网络设备采用不同的安全防护形态进行防护，不同的安全防护形态下的各网络设备中配置相应的安全规则，所述冲突为私有云和公有云中各网络设备之间的访问规则因采用的安全防护形态不同而产生的冲突；

所述调整模块，用于若所述检测结果为存在冲突，则根据私有云的各网络设备和公有云的各网络设备之间的访问规则设置冲突规则，将所述冲突规则配置于私有云和公有云之间的网络设备中，并将所述冲突规则添加至所述规则模型。

Images