CN110505190A - 微分段的部署方法、安全设备、存储介质及装置 - Google Patents
微分段的部署方法、安全设备、存储介质及装置 Download PDFInfo
- Publication number
- CN110505190A CN110505190A CN201810487739.8A CN201810487739A CN110505190A CN 110505190 A CN110505190 A CN 110505190A CN 201810487739 A CN201810487739 A CN 201810487739A CN 110505190 A CN110505190 A CN 110505190A
- Authority
- CN
- China
- Prior art keywords
- rule
- equipment
- differential section
- safety
- safety regulation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
本发明公开了微分段的部署方法、安全设备、存储介质及装置。本发明中安全设备获取本地网络中的各设备的安全规则,基于各设备的安全规则按照预设数据结构建立规则模型,根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署。在本发明中通过将各设备的安全规则集中存储于一处,并且限制存储方式为将安全规则基于预设数据结构保存入规则模型中,而规则模型将对存储的安全规则进行进一步地优化,也就使得在微分段部署过程中应用的安全规则可以更加准确,且可去除无效或冗余的安全规则,从而解决了当前的微分段自动化部署方案存在的部署方式的效能过低的技术问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及微分段的部署方法、安全设备、存储介质及装置。
背景技术
在网络传输的前期,流量主要以南北向为主,其中,南北向流量主要是指内外网边界之间流经的流量,相对地,东西向流量主要是指数据中心的内部网络的设备之间流经的流量;而随着数据中心的部署结构的不断优化以及新设备的加入,东西向流量比重逐步提升,但这将导致出现大量的内网非法访问。
这是因为惯用的安全防护,例如防火墙等技术,针对的是南北向流量,当很多内部网络中的主机被攻陷后,被会作为接触、窃取重要数据的跳板,以非法访问内部网络中其它重要的服务器,所以,需要针对东西向流量来建立安全防护策略。
其中,现有的针对东西向流量的安全防护策略可为,通过虚拟化方法建立分布式防火墙,即微分段,来控制数据中心内部服务器。
但是,微分段在实施时存在如下问题:
(1)随着网络规模的扩大,若用户手动配置分布式防火墙容易出错,这可能导致网络中断或者边界存在漏洞,难以给出全局最优配置,而且效率较低;
(2)当前的微分段部署也无法感知当安全规则或者安全策略下发后对网络整体造成的影响,也无法感知当安全规则或者安全策略下发后网络是否真的按照管理者的最初管理意图在运行。
所以,对于微分段技术而言,需要一种自动化且智能化的方法来使得微分段的部署和管理变得更为简单。
目前的微分段自动化且智能化的解决方案如下:
(1)通过访问关系自动推荐安全规则;
首先,安全策略默认拒绝所有流量,然后,通过对过往一段时间内的历史流量进行分析,从中提取出应用/服务访问关系,例如,哪个应用访问哪个应用、哪个源互联网协议地址(Internet Protocol Address,IP地址)访问了哪个目的IP地址、哪个安全组访问了哪个安全组、流量的方向及大小、是南北向流量还是东西向流量等,通过上述提取出的访问关系来自动化进行可放行流量的推荐,以放行特定方向上的特定流量。
但是,该方案的缺点在于功能简单,且需要有流量才能生成最终的放行策略。
(2)基于网络数据平面进行建模;
首先,先从网络数据平面,例如,物理或虚拟网络设备,获取配置信息以及转发/安全规则,根据获取到的信息来建立网络模型,进而可根据网络模型来验证安全策略的正确性。并在修改安全策略之前,完成对于网络行为的预测。
但是,该方案的缺点在于,由于多使用简单的列表或哈希表来进行全网的安全策略的存放,存在匹配速度慢或内存开销大的问题,而且无法处理复杂情况。
其次,若通过机器学习来处理复杂情况,会存在一定的误报率。
(3)基于终端安全代理(agent)实现微分段;
在数据中心中先部署一个中央控制器,该中央控制器将与各设备的agent进行交互,从各agent处收集信息,并且向agent下发策略。其中,所述agent一般安装在终端,包括物理服务器、虚拟机以及容器上。
但是,该方案的缺点在于,需要在客户的虚拟机中预先安装agent,安装过程会影响方案的普适性。
所以,当前的数据中心在进行微分段的部署时,目前的微分段自动化且智能化的解决方案都存在或多或少的缺陷,故而,当前的微分段自动化部署方案存在部署方式的效能过低的技术问题。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供微分段的部署方法、安全设备、存储介质及装置,旨在解决当前的微分段自动化部署方案存在的部署方式的效能过低的技术问题。
为实现上述目的,本发明提供一种微分段的部署方法,所述微分段的部署方法包括以下步骤:
安全设备获取本地网络中的各设备的安全规则;
基于各设备的安全规则按照预设数据结构建立规则模型;
根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署。
优选地,所述预设数据结构为预设树形结构;
相应地,所述基于各设备的安全规则按照预设数据结构建立规则模型,具体包括:
对本地网络中的各设备进行遍历,获取遍历到的当前设备的当前安全规则;
从所述当前安全规则中分别获取与各预设参数类型对应的参数信息;
从预设树形结构中选取与所述参数信息对应的叶子节点;
将所述当前安全规则保存至选取的叶子节点,以建立规则模型。
优选地,所述从预设树形结构中选取与所述参数信息对应的叶子节点之后,所述微分段的部署方法还包括:
获取所述当前设备的设备标识;
相应地,所述将所述当前安全规则保存至选取的叶子节点,以建立规则模型,具体包括:
将所述当前安全规则与所述设备标识保存至选取的叶子节点,以建立规则模型。
优选地,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署之后,所述微分段的部署方法还包括:
按照预设周期获取本地网络中各设备中存储的新的安全规则;
根据新的安全规则对所述规则模型中保存的安全规则进行修改,以获得新规则模型;
根据所述新规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现再次对所述本地网络进行微分段部署。
优选地,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署之后,所述微分段的部署方法还包括:
从所述安全规则中读取访问控制规则,并判断所述访问控制规则是否为路径禁止规则;
在所述访问控制规则为所述路径禁止规则时,根据所述路径禁止规则生成对应的路径添加操作;
基于所述路径添加操作在本地网络中添加所述路径禁止规则禁止的目标路径,并检测所述目标路径是否添加成功,以判断所述路径禁止规则是否正常运行。
优选地,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署,具体包括:
根据所述规则模型检测各设备的安全规则中是否包括活跃规则与备用规则,所述活跃规则在应用于本地网络时将流量限制于第一预设范围内,所述备用规则在应用于本地网络时将流量限制于第二预设范围内,所述第一预设范围包括所述第二预设范围;
在各设备的安全规则中包括所述活跃规则与所述备用规则时,将各设备的安全规则中的备用规则删除,以实现对所述本地网络进行微分段部署。
优选地,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署之后,所述微分段的部署方法还包括:
响应于用户输入的新增规则,根据所述新增规则生成对应的第一流量路径,根据各设备的安全规则生成对应的第二流量路径;
检测所述第一流量路径与所述第二流量路径之间是否存在重叠部分;
在存在重叠部分时,生成提示信息,以提示用户存在所述重叠部分。
优选地,所述安全设备获取本地网络中的各设备的安全规则,具体包括:
安全设备在检测到配置获取指令时,向预设数据库发送所述配置获取指令,以使所述预设数据库响应于所述配置获取指令,获取本地保存的本地网络中的各设备的安全规则。
此外,为实现上述目的,本发明还提供一种安全设备,所述安全设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的微分段的部署程序,所述微分段的部署程序配置为实现如上文所述微分段的部署方法的步骤。
此外,为实现上述目的,本发明还提供一种存储介质,所述存储介质上存储有微分段的部署程序,所述微分段的部署程序被处理器执行时实现如上文所述的微分段的部署方法的步骤。
此外,为实现上述目的,本发明还提供一种微分段的部署装置,所述微分段的部署装置包括:规则获取模块、模型建立模块及微分段部署模块;
所述规则获取模块,用于获取本地网络中的各设备的安全规则;
所述模型建立模块,用于基于各设备的安全规则按照预设数据结构建立规则模型;
所述微分段部署模块,用于根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署。
优选地,所述预设数据结构为预设树形结构;
相应地,所述模型建立模块,具体包括:设备遍历模块、信息获取模块、节点选取模块以及模型完成模块;
所述设备遍历模块,用于对本地网络中的各设备进行遍历,获取遍历到的当前设备的当前安全规则;
所述信息获取模块,用于从所述当前安全规则中分别获取与各预设参数类型对应的参数信息;
所述节点选取模块,用于从预设树形结构中选取与所述参数信息对应的叶子节点;
所述模型完成模块,用于将所述当前安全规则保存至选取的叶子节点,以建立规则模型。
优选地,所述微分段的部署装置还包括:标识获取模块;
所述标识获取模块,用于获取所述当前设备的设备标识;
相应地,所述模型完成模块,还用于将所述当前安全规则与所述设备标识保存至选取的叶子节点,以建立规则模型。
在本发明中通过将各设备的安全规则集中存储于一处,并且限制存储方式为将安全规则基于预设数据结构保存入规则模型中,而规则模型将对存储的安全规则进行进一步地优化,也就使得在微分段部署过程中应用的安全规则可以更加准确,且可去除无效或冗余的安全规则,从而解决了当前的微分段自动化部署方案存在的部署方式的效能过低的技术问题。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的安全设备结构示意图;
图2为本发明微分段的部署方法第一实施例的流程示意图;
图3为本地网络的网络架构示意图;
图4为本发明微分段的部署方法第二实施例的流程示意图;
图5为预设树形结构的第一示意图;
图6为一个维度的预设树形结构的示意图;
图7为本发明微分段的部署方法第三实施例的流程示意图;
图8为预设树形结构的第二示意图;
图9为本发明微分段的部署装置第一实施例的结构框图;
图10为本发明微分段的部署装置第二实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的安全设备结构示意图。
如图1所示,该安全设备可以包括:处理器1001,例如CPU,通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display),可选用户接口1003还可以包括标准的有线接口、无线接口,对于用户接口1003的有线接口在本发明中可为USB接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是稳定的存储器(non-volatile memory),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
其中,所述安全设备可为服务器等其他网络设备。
本领域技术人员可以理解,图1中示出的结构并不构成对安全设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种计算机可读存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及微分段的部署程序。
在图1所示的安全设备中,网络接口1004主要用于连接后台服务器,与所述后台服务器进行数据通信;用户接口1003主要用于连接外设;所述安全设备通过处理器1001调用存储器1005中存储的微分段的部署程序,并执行以下操作:
获取本地网络中的各设备的安全规则;
基于各设备的安全规则按照预设数据结构建立规则模型;
根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署。
进一步地,处理器1001可以调用存储器1005中存储的微分段的部署程序,还执行以下操作:
对本地网络中的各设备进行遍历,获取遍历到的当前设备的当前安全规则;
从所述当前安全规则中分别获取与各预设参数类型对应的参数信息;
从预设树形结构中选取与所述参数信息对应的叶子节点;
将所述当前安全规则保存至选取的叶子节点,以建立规则模型。
进一步地,处理器1001可以调用存储器1005中存储的微分段的部署程序,还执行以下操作:
获取所述当前设备的设备标识;
相应地,还执行以下操作:
将所述当前安全规则与所述设备标识保存至选取的叶子节点,以建立规则模型。
进一步地,处理器1001可以调用存储器1005中存储的微分段的部署程序,还执行以下操作:
按照预设周期获取本地网络中各设备中存储的新的安全规则;
根据新的安全规则对所述规则模型中保存的安全规则进行修改,以获得新规则模型;
根据所述新规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现再次对所述本地网络进行微分段部署。
进一步地,处理器1001可以调用存储器1005中存储的微分段的部署程序,还执行以下操作:
从所述安全规则中读取访问控制规则,并判断所述访问控制规则是否为路径禁止规则;
在所述访问控制规则为所述路径禁止规则时,根据所述路径禁止规则生成对应的路径添加操作;
基于所述路径添加操作在本地网络中添加所述路径禁止规则禁止的目标路径,并检测所述目标路径是否添加成功,以判断所述路径禁止规则是否正常运行。
进一步地,处理器1001可以调用存储器1005中存储的微分段的部署程序,还执行以下操作:
根据所述规则模型检测各设备的安全规则中是否包括活跃规则与备用规则,所述活跃规则在应用于本地网络时将流量限制于第一预设范围内,所述备用规则在应用于本地网络时将流量限制于第二预设范围内,所述第一预设范围包括所述第二预设范围;
在各设备的安全规则中包括所述活跃规则与所述备用规则时,将各设备的安全规则中的备用规则删除,以实现对所述本地网络进行微分段部署。
进一步地,处理器1001可以调用存储器1005中存储的微分段的部署程序,还执行以下操作:
响应于用户输入的新增规则,根据所述新增规则生成对应的第一流量路径,根据各设备的安全规则生成对应的第二流量路径;
检测所述第一流量路径与所述第二流量路径之间是否存在重叠部分;
在存在重叠部分时,生成提示信息,以提示用户存在所述重叠部分。
进一步地,处理器1001可以调用存储器1005中存储的微分段的部署程序,还执行以下操作:
在检测到配置获取指令时,向预设数据库发送所述配置获取指令,以使所述预设数据库响应于所述配置获取指令,获取本地保存的本地网络中的各设备的安全规则。
在本实施例中通过将各设备的安全规则集中存储于一处,并且限制存储方式为将安全规则基于预设数据结构保存入规则模型中,而规则模型将对存储的安全规则进行进一步地优化,也就使得在微分段部署过程中应用的安全规则可以更加准确,且可去除无效或冗余的安全规则,从而解决了当前的微分段自动化部署方案存在的部署方式的效能过低的技术问题。
基于上述硬件结构,提出本发明微分段的部署方法的实施例。
参照图2,图2为本发明微分段的部署方法第一实施例的流程示意图。
在第一实施例中,所述微分段的部署方法包括以下步骤:
步骤S10:获取本地网络中的各设备的安全规则;
可以理解的是,本实施例的执行主体为安全设备,比如,可记为服务器A。在本地网络的网络架构中将存在多种设备,其中包括服务器A,多种设备之间为物理直接连接或者网络间接连接。可参见图3,图3为本地网络的网络架构示意图,其中,本地网络中包括服务器A、设备1以及设备2。
应当理解的是,为了实现微分段的自动化部署,将先获取设备1与设备2本地存储的安全规则,因为,微分段技术针对的就是本地网络中各个设备自身的网络配置。在获取到设备1与设备2的安全规则后,可对获取到的安全规则进行自适应调整,以优化设备1与设备2内部的安全规则。
需要区别的是,本实施例处理的是微分段方面的管理问题,是针对东西向流量上管理,而并非针对南北向流量的管理。不同类别流量的管理使用的技术不同,并且,不同类别流量的管理应用的场景也不同,二者需要区分开。可参见图3,本实施例是针对内外网边界内的本地网络中的内部设备之间的流量管理,而并非内外网边界两侧的“本地网络”与“外部网络”之间的安全规则优化。
步骤S20:基于各设备的安全规则按照预设数据结构建立规则模型;
在具体实现中,在获取到设备1与设备2的安全规则后,可将各设备的安全规则统一地按照预设数据结构来建立规则模型。所以,上述的规则模型实则为基于预设数据结构重新组织各设备的安全规则的模型,并且,规则模型中将会保存有上述的各设备的安全规则,而正是因为规则模型中统一地保存有各个设备的安全规则,从而可实现对于全网配置的统一处理。因为,将全网的安全规则存储于一处,则可基于全网的安全规则以实现从本地网络的整体性出发来部署微分段。采取上述方式来保存安全规则与部署微分段,可以很好地提高整体网络的运行效能。
当然,所述预设数据结构存在多种形式,比如,所述预设数据结构可为树形结构。
步骤S30:根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署。
可以理解的是,由于全网的安全规则都存储于规则模型中,则可对全网的安全规则进行一定的选取与优化。比如,若规则模型的自适应修改策略为对于相同的安全规则只存储一次,设备1与设备2中存在一条相同的安全规则且两条相同的安全规则在规则模型中存储于规则模型的同一处,则可保留设备1中的该条安全规则,将设备2中的该条安全规则删除;比如,若规则模型的自适应修改策略为对于冲突的安全规则只保留一条,设备1与设备2中存在两条相互冲突的安全规则,两条相互冲突的安全规则在规则模型中存储于同一处,则可只保留设备1中的该条安全规则,将设备2中的安全规则删除等。
此外,通过对安全规则进行进一步地优化存储,也减少了存储开销,提高了在存储空间中查找到安全规则的查找速度。
应当理解的是,本实施例由于将设备1与设备2的安全规则进行集中存储,并基于规则模型的自适应修改策略进行进一步地修改,从而可以智能化地调整本地网络的微分段运行状态。其中,本实施例不限制规则模型的自适应修改策略。
此外,本实施例不同于“基于终端安全代理实现微分段”的现有方案,本实施例无需预先设置agent,故而,也就简化了预先需为各设备安装agent的安装流程,方案的部署更加便捷。
在本实施例中通过将各设备的安全规则集中存储于一处,并且限制存储方式为将安全规则基于预设数据结构保存入规则模型中,而规则模型将对存储的安全规则进行进一步地优化,也就使得在微分段部署过程中应用的安全规则可以更加准确,且可去除无效或冗余的安全规则,从而解决了当前的微分段自动化部署方案存在的部署方式的效能过低的技术问题。
参照图4,图4为本发明微分段的部署方法第二实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明微分段的部署方法的第二实施例。
在第二实施例中,所述预设数据结构为预设树形结构,相应地,所述步骤S20,具体包括:
步骤S201:对本地网络中的各设备进行遍历,获取遍历到的当前设备的当前安全规则;
步骤S202:从所述当前安全规则中分别获取与各预设参数类型对应的参数信息;
可以理解的是,第一实施例中的预设数据结构可为预设树形结构,可参见图5,图5为预设树形结构的第一示意图,预设树形存储结构可存在多级树,每一级树都是一个维度,比如,维度1、维度2、维度3、维度4及维度5等。其中,每一级树都对应着一类的预设参数类型,比如,预设树形结构可存在5种对应的预设参数类型,包括,源IP地址、目的IP地址、源媒体访问控制地址(Media Access Control Address,MAC地址)、目的MAC地址及端口号,而安全规则中正存在上述预设参数类型的参数信息。其中,预设参数类型可为数据包头部中的特定字段。
应当理解的是,在获取到一条当前安全规则时,将先提取出该条安全规则的源IP地址、目的IP地址、源MAC地址、目的MAC地址及端口号,比如,提取出的参数信息包括源IP地址为1.0.0.1、目的IP地址为1.0.0.25、源MAC地址为X1.X2.X3.X4、目的MAC地址为X5.X6.X7.X8以及端口号为X9。
步骤S203:从预设树形结构中选取与所述参数信息对应的叶子节点;
在具体实现中,在提取出上述各种参数类型的参数信息后,将在如图5所示的预设树形结构中查找到对应的叶子节点以将当前安全规则保存至该叶子节点中。
参见图6,图6为一个维度的预设树形结构的示意图。
可以理解的是,根据图6可知,比如,图6所示的维度X为表征源IP地址的维度1,维度1对应的树形结构即图中的虚线三角形的高度为字段的长度,由于源IP地址为32比特,则对应的树形结构的高度也为32,即维度1的树形结构的每一层表示一个比特。
应当理解的是,每一层存在三种走向,分别为1、0以及通配符*,其中,“*”表示0或1都可。比如,源IP地址为1.0.0.1,则维度1对应的树形结构的取值应该为0000000100000000 00000000 00000001。从图6中可知,先可确定维度1对应的树形结构的第一层的走向为0,第二层的走向为0……第8层的走向为1……第32层的走向为1,而第32层也是维度1对应的树形结构的最后一层。在到达维度1对应的树形结构的最后一层后,下一步将进入维度2对应的树形结构的第一层,直至最终到达如图5所示的维度5的树形结构的最后一层。通过设计该种预设树形结构,可以将安全规则按照多种不同的参数类型进行分类存储。其中,本实施例不限制维度的数量。
步骤S204:将所述当前安全规则保存至选取的叶子节点,以建立规则模型。
在具体实现中,在根据走向来确定安全规则最终对应的节点后,若该条安全规则同时存在上述5种参数类型的参数信息,则最终会在维度5对应的树形结构的最后一层设置一个叶子节点,并将当前安全规则保存至该维度5对应的树形结构的最后一层中确定的叶子节点,而最终基于预设数据结构处理完各设备的安全规则后获得的模型即为规则模型。
进一步地,所述从预设树形结构中选取与所述参数信息对应的叶子节点之后,所述微分段的部署方法还包括:
获取所述当前设备的设备标识;
相应地,所述将所述当前安全规则保存至选取的叶子节点,以建立规则模型,具体包括:将所述当前安全规则与所述设备标识保存至选取的叶子节点,以建立规则模型。
可以理解的是,由于将本地网络中的各设备的安全规则进行了集中存储,为了便于在进行安全规则的自适应修改时,便于确定待修改的安全规则所属的安全规则,也为了便于服务器A在修改完安全规则后可将修改后的安全规则重新存储入规则模型,同时可将修改后的安全规则发送至对应的设备以完成安全规则的更新,可在存储安全规则时同时存储设备标识。
在具体实现中,在保存设备1的安全规则时,可同时获取设备1的设备标识,所述设备标识可为设备1的设备名、IP地址或其他可唯一地确定设备1的信息。然后,可将设备标识与安全规则同时保存入根据安全规则确定的叶子节点。
在本实施例中通过将预设数据结构设置为预设树形结构,并基于各级预设参数类型将安全规则存储于预设树形结构中的对应位置,从而优化了安全规则的存储结构;同时,由于根据参数类型将安全规则基于维度进行分类,使得最终存储的安全规则是基于安全规则在应用时的安全防护效果来进行的二次组织,使得安全规则的存储是基于安全防护效果来开展的,从而优化了最终的安全规则的自适应修改效果。
参照图7,图7为本发明微分段的部署方法第三实施例的流程示意图,基于上述图2所示的第一实施例,提出本发明微分段的部署方法的第三实施例。
在第三实施例中,所述步骤S30之后,所述微分段的部署方法还包括:
步骤S40:按照预设周期获取本地网络中各设备中存储的新的安全规则;
可以理解的是,为了保证规则模型和虚拟或物理网络的真实情况不会有偏差,可周期性地从本地网络中的各设备中获取新的安全规则,以判断各设备本地存储的安全规则是否发生变化。
步骤S50:根据新的安全规则对所述规则模型中保存的安全规则进行修改,以获得新规则模型。
步骤S60:根据所述新规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现再次对所述本地网络进行微分段部署。
应当理解的是,在获取到本地网络中的各设备本地存储的新的安全规则后,可将新的安全规则与规则模型中保存的安全规则进行匹配,以判断两处的安全规则是否相同。当匹配失败时,可基于新的安全规则对规则模型中存储的安全规则进行修改,以获取到新规则模型,从而完成对于规则模型的修正,克服规则模型与当前的真实网络情况的偏差,以保证规则模型中的安全规则与各设备本地实际存储的安全规则保持一致。当然,比之各设备本地实际存储的安全规则,规则模型中的安全规则为将各设备本地实际存储的安全规则进行自适应修改后的规则。
进一步地,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署之后,所述微分段的部署方法还包括:
从所述安全规则中读取访问控制规则,并判断所述访问控制规则是否为路径禁止规则;在所述访问控制规则为所述路径禁止规则时,根据所述路径禁止规则生成对应的路径添加操作;基于所述路径添加操作在本地网络中添加所述路径禁止规则禁止的目标路径,并检测所述目标路径是否添加成功,以判断所述路径禁止规则是否正常运行。
可以理解的是,在将安全规则保存于规则模型并且基于规则模型完成对于安全规则的自适应修改后,可对修改后的安全规则进行漏洞验证,以验证自适应修改后的安全规则是否合乎安全规则的设置要求,同时,验证自适应修改后的安全规则是否能够真正发挥作用。
在具体实现中,比如,若设备1的IP地址为10.0.0.1,设备1本地存在一条安全规则,比如,可为访问控制列表(Access Control List,ACL)“NW_SRC:ANY,NW_DST:10.0.0.2,Location:10.0.0.1,Action:DENY”,可记为ACL1,表明不发送任何数据包至10.0.0.2。
可以理解的是,为了验证ACL1是否能够真正发挥作用,由于该条ACL1为路径禁止规则,将数据包的流经路径限制于除10.0.0.2之外的通信范围内,为了验证该条ACL1,将生成一条对应的路径添加操作,比如,该条路径添加操作为“NW_SRC:X.X.X.X,NW_DST:10.0.0.2,Location:10.0.0.1,Action:allow”,可记为ACL2,表明允许来自IP地址为X.X.X.X的数据包发送至10.0.0.2,并试图将ACL2发送至设备1,以将ACL2添加至设备1中。
应当理解的是,由于设备1中之前已存在ACL1,而ACL1的作用为“禁止任何数据包发送至10.0.0.2”,后续试图添加至设备1的ACL2的作用为“允许来自X.X.X.X的数据包发送至10.0.0.2”,明显地,ACL1已经否定了ACL2。由于已存在ACL1,ACL2将无法成功添加至设备1,其作用也无法实现。所以,通过检测出ACL2未添加成功,也就可知悉ACL1的确处于正常运行的状态,可真正发挥作用。
进一步地,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署,具体包括:
根据所述规则模型检测各设备的安全规则中是否包括活跃规则与备用规则,所述活跃规则在应用于本地网络时将流量限制于第一预设范围内,所述备用规则在应用于本地网络时将流量限制于第二预设范围内,所述第一预设范围包括所述第二预设范围;在各设备的安全规则中包括所述活跃规则与所述备用规则时,将各设备的安全规则中的备用规则删除,以实现对所述本地网络进行微分段部署。
可以理解的是,在完成对于安全规则的自适应修改后,可更进一步地对安全规则进行优化,对于安全规则的优化包括冲突检测、去冗余操作以及按照推荐规则进行部署等多种部署手段。
在具体实现中,其中,按照推荐规则进行部署的实现过程比如,若设备1中存在的一条活跃规则为“NW_SRC:10.0.0.31/31,NW_DST:10.0.0.2,Location:10.0.0.1,Action:DENY”,可记为ACL3,表明“禁止来自10.0.0.31/31的数据包发送至10.0.0.2”;以及,一条备用规则为“NW_SRC:10.0.0.31/32,NW_DST:10.0.0.2,Location:10.0.0.1,Action:DENY”,可记为ACL4,表明“禁止来自10.0.0.31/32的数据包发送至10.0.0.2”。
应当理解的是,由于ACL3限定的NW_SRC的第一预设范围为“10.0.0.31/31”,而ACL4限定的NW_SRC的第二预设范围为“10.0.0.31/32”,由于二者的子网掩码不同,考虑到ACL3与ACL4的Action皆为DENY配置,所以,可将ACL4优化掉,因为,ACL3已经发挥了ACL4的作用。通过保留活跃规则ACL3,删除备用规则ACL4,从而实现了对于安全规则的优化部署。
进一步地,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署之后,所述微分段的部署方法还包括:
响应于用户输入的新增规则,根据所述新增规则生成对应的第一流量路径,根据各设备的安全规则生成对应的第二流量路径;检测所述第一流量路径与所述第二流量路径之间是否存在重叠部分;在存在重叠部分时,生成提示信息,以提示用户存在所述重叠部分。
可以理解的是,考虑到不同设备的安全规则的变化可能影响到其他设备的安全规则的实现,故而,本实施例可通过判断新增规则是否可能影响既有的安全规则,从而完成对于本地网络中可能发生的影响的预测,并实时呈现给用户,以完成对于网络行为的预测。
在具体实现中,比如,若在各设备的安全规则中存在一条ACL5为“NW_SRC:本地网络IP地址,NW_DST:外部网络IP地址,Location:10.0.0.1,Action:DENY”,由于10.0.0.1为设备1的IP地址,则ACL5表明“设备1侧禁止由来自本地网络的数据包发送至外部网络”,若用户输入的新增规则为“NW_SRC:X.X.X.X,NW_DST:外部网络IP地址,Location:10.0.0.2,Action:allow”,可记为ACL6。参见图8,图8为预设树形结构的第二示意图,其中,10.0.0.2为设备2的IP地址,所以,ACL6表明“设备2侧允许来自X.X.X.X的数据包发送至外部网络”。
可以理解的是,参见图8可知,设备1直接连接至外部网络,而设备1与设备2连接,但是,设备2没有直接连接至外部网络,所以,当设备2中的ACL6发挥作用时,若接收到来自X.X.X.X且欲发送至外部网络的数据包时,设备2将把该数据包发送至外部网络,但是设备2不直连外部网络,所以,会将该数据包转发至设备1,但是,设备1处的ACL5将禁止数据包发送至外部网络,所以,设备2处的ACL6即使发挥作用也无法将数据包发送至外部网络。
这是因为,发送数据包的第一流量路径为“设备2-设备1-外部网络”,而第二流量路径为“设备1-外部网络”,两种路径存在重叠部分,所以,第二流量路径上的ACL5会影响第一流量路径上的ACL6是否起效,故而,若存在重叠部分,则可生成提示信息,以提示用户存在该重叠部分,以确定新增规则是否能够起效,从而完成了对于规则变更带来的影响的预测。可在将新增规则实际配置于设备之前,进行上述预测操作并提示用户。
进一步地,所述安全设备获取本地网络中的各设备的安全规则,具体包括:安全设备在检测到配置获取指令时,向预设数据库发送所述配置获取指令,以使所述预设数据库响应于所述配置获取指令,获取本地保存的本地网络中的各设备的安全规则。
可以理解的是,为了加快各设备的安全规则的获取过程,可将各设备的安全规则集中存储于预设数据库中,当需要获取安全规则时,无需从各设备本地去获取安全规则,而可直接向预设数据库发送配置获取指令,以从预设数据库中提取出各设备的安全规则。当然,预设数据库可周期性地向各设备发送规则更新指令,以使各设备响应于所述规则更新指令,获取各设备本地保存的安全规则并反馈至预设数据库以完成安全规则的实时同步。
此外,对于获取本地网络中的各设备的安全规则的获取方式,还可以为通过应用程序编程接口(Application Programming Interface,API)从本地网络中的各设备中采集安全规则;或者,基于OpenFlow、简单网络管理协议(Simple Network ManagementProtocol,SNMP)或者安全外壳协议(Secure Shell,SSH)等从本地网络中采集安全规则。
应当理解的是,为了进一步地提高微分段部署的自动化程度,可将安全规则固化为安全域模板的一部分,当需要部署应用时,可直接在客户端调用安全域模板以实现微分段的自动化部署。
在本实施例中通过周期性地获取各设备的安全规则并对应地修改存储模型,从而使得存储模型与网络的真实情况保持一致,并规避掉二者未能正常同步从而导致自适应修改出现纰漏的技术问题。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有微分段的部署程序,所述微分段的部署程序被处理器执行时实现如下操作:
获取本地网络中的各设备的安全规则;
基于各设备的安全规则按照预设数据结构建立规则模型;
根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署。
进一步地,所述微分段的部署程序被处理器执行时还实现如下操作:
对本地网络中的各设备进行遍历,获取遍历到的当前设备的当前安全规则;
从所述当前安全规则中分别获取与各预设参数类型对应的参数信息;
从预设树形结构中选取与所述参数信息对应的叶子节点;
将所述当前安全规则保存至选取的叶子节点,以建立规则模型。
进一步地,所述微分段的部署程序被处理器执行时还实现如下操作:
获取所述当前设备的设备标识;
相应地,还实现如下操作:
将所述当前安全规则与所述设备标识保存至选取的叶子节点,以建立规则模型。
进一步地,所述微分段的部署程序被处理器执行时还实现如下操作:
按照预设周期获取本地网络中各设备中存储的新的安全规则;
根据新的安全规则对所述规则模型中保存的安全规则进行修改,以获得新规则模型;
根据所述新规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现再次对所述本地网络进行微分段部署。
进一步地,所述微分段的部署程序被处理器执行时还实现如下操作:
从所述安全规则中读取访问控制规则,并判断所述访问控制规则是否为路径禁止规则;
在所述访问控制规则为所述路径禁止规则时,根据所述路径禁止规则生成对应的路径添加操作;
基于所述路径添加操作在本地网络中添加所述路径禁止规则禁止的目标路径,并检测所述目标路径是否添加成功,以判断所述路径禁止规则是否正常运行。
进一步地,所述微分段的部署程序被处理器执行时还实现如下操作:
根据所述规则模型检测各设备的安全规则中是否包括活跃规则与备用规则,所述活跃规则在应用于本地网络时将流量限制于第一预设范围内,所述备用规则在应用于本地网络时将流量限制于第二预设范围内,所述第一预设范围包括所述第二预设范围;
在各设备的安全规则中包括所述活跃规则与所述备用规则时,将各设备的安全规则中的备用规则删除,以实现对所述本地网络进行微分段部署。
进一步地,所述微分段的部署程序被处理器执行时还实现如下操作:
响应于用户输入的新增规则,根据所述新增规则生成对应的第一流量路径,根据各设备的安全规则生成对应的第二流量路径;
检测所述第一流量路径与所述第二流量路径之间是否存在重叠部分;
在存在重叠部分时,生成提示信息,以提示用户存在所述重叠部分。
进一步地,所述微分段的部署程序被处理器执行时还实现如下操作:
在检测到配置获取指令时,向预设数据库发送所述配置获取指令,以使所述预设数据库响应于所述配置获取指令,获取本地保存的本地网络中的各设备的安全规则。
在本实施例中通过将各设备的安全规则集中存储于一处,并且限制存储方式为将安全规则基于预设数据结构保存入规则模型中,而规则模型将对存储的安全规则进行进一步地优化,也就使得在微分段部署过程中应用的安全规则可以更加准确,且可去除无效或冗余的安全规则,从而解决了当前的微分段自动化部署方案存在的部署方式的效能过低的技术问题。
此外,参照图9,本发明实施例还提出一种微分段的部署装置,所述微分段的部署装置包括:规则获取模块10、模型建立模块20及微分段部署模块30;
所述规则获取模块10,用于获取本地网络中的各设备的安全规则;
可以理解的是,本实施例的执行主体为安全设备,比如,可记为服务器A。在本地网络的网络架构中将存在多种设备,其中包括服务器A,多种设备之间为物理直接连接或者网络间接连接。可参见图3,图3为本地网络的网络架构示意图,其中,本地网络中包括服务器A、设备1以及设备2。
应当理解的是,为了实现微分段的自动化部署,将先获取设备1与设备2本地存储的安全规则,因为,微分段技术针对的就是本地网络中各个设备自身的网络配置。在获取到设备1与设备2的安全规则后,可对获取到的安全规则进行自适应调整,以优化设备1与设备2内部的安全规则。
需要区别的是,本实施例处理的是微分段方面的管理问题,是针对东西向流量上管理,而并非针对南北向流量的管理。不同类别流量的管理使用的技术不同,并且,不同类别流量的管理应用的场景也不同,二者需要区分开。可参见图3,本实施例是针对内外网边界内的本地网络中的内部设备之间的流量管理,而并非内外网边界两侧的“本地网络”与“外部网络”之间的安全规则优化。
所述模型建立模块20,用于基于各设备的安全规则按照预设数据结构建立规则模型;
在具体实现中,在获取到设备1与设备2的安全规则后,可将各设备的安全规则统一地按照预设数据结构来建立规则模型。所以,上述的规则模型实则为基于预设数据结构重新组织各设备的安全规则的模型,并且,规则模型中将会保存有上述的各设备的安全规则,而正是因为规则模型中统一地保存有各个设备的安全规则,从而可实现对于全网配置的统一处理。因为,将全网的安全规则存储于一处,则可基于全网的安全规则以实现从本地网络的整体性出发来部署微分段。采取上述方式来保存安全规则与部署微分段,可以很好地提高整体网络的运行效能。
当然,所述预设数据结构存在多种形式,比如,所述预设数据结构可为树形结构。
所述微分段部署模块30,用于根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署。
可以理解的是,由于全网的安全规则都存储于规则模型中,则可对全网的安全规则进行一定的选取与优化。比如,若规则模型的自适应修改策略为对于相同的安全规则只存储一次,设备1与设备2中存在一条相同的安全规则且两条相同的安全规则在规则模型中存储于规则模型的同一处,则可保留设备1中的该条安全规则,将设备2中的该条安全规则删除;比如,若规则模型的自适应修改策略为对于冲突的安全规则只保留一条,设备1与设备2中存在两条相互冲突的安全规则,两条相互冲突的安全规则在规则模型中存储于同一处,则可只保留设备1中的该条安全规则,将设备2中的安全规则删除等。
此外,通过对安全规则进行进一步地优化存储,也减少了存储开销,提高了在存储空间中查找到安全规则的查找速度。
应当理解的是,本实施例由于将设备1与设备2的安全规则进行集中存储,并基于规则模型的自适应修改策略进行进一步地修改,从而可以智能化地调整本地网络的微分段运行状态。其中,本实施例不限制规则模型的自适应修改策略。
此外,本实施例不同于“基于终端安全代理实现微分段”的现有方案,本实施例无需预先设置agent,故而,也就简化了预先需为各设备安装agent的安装流程,方案的部署更加便捷。
在本实施例中通过将各设备的安全规则集中存储于一处,并且限制存储方式为将安全规则基于预设数据结构保存入规则模型中,而规则模型将对存储的安全规则进行进一步地优化,也就使得在微分段部署过程中应用的安全规则可以更加准确,且可去除无效或冗余的安全规则,从而解决了当前的微分段自动化部署方案存在的部署方式的效能过低的技术问题。
参照图10,图10为本发明微分段的部署装置第二实施例的结构框图,基于上述图9所示的第一实施例,提出本发明微分段的部署装置的第二实施例。
在第二实施例中,所述预设数据结构为预设树形结构,相应地,所述模型建立模块20,具体包括:设备遍历模块201、信息获取模块202、节点选取模块203以及模型完成模块204;
所述设备遍历模块201,用于对本地网络中的各设备进行遍历,获取遍历到的当前设备的当前安全规则;
所述信息获取模块202,用于从所述当前安全规则中分别获取与各预设参数类型对应的参数信息;
可以理解的是,第一实施例中的预设数据结构可为预设树形结构,可参见图5,图5为预设树形结构的第一示意图,预设树形存储结构可存在多级树,每一级树都是一个维度,比如,维度1、维度2、维度3、维度4及维度5等。其中,每一级树都对应着一类的预设参数类型,比如,预设树形结构可存在5种对应的预设参数类型,包括,源IP地址、目的IP地址、源媒体访问控制地址(Media Access Control Address,MAC地址)、目的MAC地址及端口号,而安全规则中正存在上述预设参数类型的参数信息。其中,预设参数类型可为数据包头部中的特定字段。
应当理解的是,在获取到一条当前安全规则时,将先提取出该条安全规则的源IP地址、目的IP地址、源MAC地址、目的MAC地址及端口号,比如,提取出的参数信息包括源IP地址为1.0.0.1、目的IP地址为1.0.0.25、源MAC地址为X1.X2.X3.X4、目的MAC地址为X5.X6.X7.X8以及端口号为X9。
所述节点选取模块203,用于从预设树形结构中选取与所述参数信息对应的叶子节点;
在具体实现中,在提取出上述各种参数类型的参数信息后,将在如图5所示的预设树形结构中查找到对应的叶子节点以将当前安全规则保存至该叶子节点中。
参见图6,图6为一个维度的预设树形结构的示意图。
可以理解的是,根据图6可知,比如,图6所示的维度X为表征源IP地址的维度1,维度1对应的树形结构即图中的虚线三角形的高度为字段的长度,由于源IP地址为32比特,则对应的树形结构的高度也为32,即维度1的树形结构的每一层表示一个比特。
应当理解的是,每一层存在三种走向,分别为1、0以及通配符*,其中,“*”表示0或1都可。比如,源IP地址为1.0.0.1,则维度1对应的树形结构的取值应该为0000000100000000 00000000 00000001。从图6中可知,先可确定维度1对应的树形结构的第一层的走向为0,第二层的走向为0……第8层的走向为1……第32层的走向为1,而第32层也是维度1对应的树形结构的最后一层。在到达维度1对应的树形结构的最后一层后,下一步将进入维度2对应的树形结构的第一层,直至最终到达如图5所示的维度5的树形结构的最后一层。通过设计该种预设树形结构,可以将安全规则按照多种不同的参数类型进行分类存储。其中,本实施例不限制维度的数量。
所述模型完成模块204,用于将所述当前安全规则保存至选取的叶子节点,以建立规则模型。
在具体实现中,在根据走向来确定安全规则最终对应的节点后,若该条安全规则同时存在上述5种参数类型的参数信息,则最终会在维度5对应的树形结构的最后一层设置一个叶子节点,并将当前安全规则保存至该维度5对应的树形结构的最后一层中确定的叶子节点,而最终基于预设数据结构处理完各设备的安全规则后获得的模型即为规则模型。
进一步地,所述微分段的部署装置还包括:标识获取模块203';
所述标识获取模块203',用于获取所述当前设备的设备标识;
相应地,所述模型完成模块204,还用于将所述当前安全规则与所述设备标识保存至选取的叶子节点,以建立规则模型。
可以理解的是,由于将本地网络中的各设备的安全规则进行了集中存储,为了便于在进行安全规则的自适应修改时,便于确定待修改的安全规则所属的安全规则,也为了便于服务器A在修改完安全规则后可将修改后的安全规则重新存储入规则模型,同时可将修改后的安全规则发送至对应的设备以完成安全规则的更新,可在存储安全规则时同时存储设备标识。
在具体实现中,在保存设备1的安全规则时,可同时获取设备1的设备标识,所述设备标识可为设备1的设备名、IP地址或其他可唯一地确定设备1的信息。然后,可将设备标识与安全规则同时保存入根据安全规则确定的叶子节点。
在本实施例中通过将预设数据结构设置为预设树形结构,并基于各级预设参数类型将安全规则存储于预设树形结构中的对应位置,从而优化了安全规则的存储结构;同时,由于根据参数类型将安全规则基于维度进行分类,使得最终存储的安全规则是基于安全规则在应用时的安全防护效果来进行的二次组织,使得安全规则的存储是基于安全防护效果来开展的,从而优化了最终的安全规则的自适应修改效果。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。词语第一、第二、以及第三等的使用不表示任何顺序,可将这些词语解释为名称。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (13)
1.一种微分段的部署方法,其特征在于,所述微分段的部署方法包括以下步骤:
安全设备获取本地网络中的各设备的安全规则;
基于各设备的安全规则按照预设数据结构建立规则模型;
根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署。
2.如权利要求1所述的微分段的部署方法,其特征在于,所述预设数据结构为预设树形结构;
相应地,所述基于各设备的安全规则按照预设数据结构建立规则模型,具体包括:
对本地网络中的各设备进行遍历,获取遍历到的当前设备的当前安全规则;
从所述当前安全规则中分别获取与各预设参数类型对应的参数信息;
从预设树形结构中选取与所述参数信息对应的叶子节点;
将所述当前安全规则保存至选取的叶子节点,以建立规则模型。
3.如权利要求2中所述的微分段的部署方法,其特征在于,所述从预设树形结构中选取与所述参数信息对应的叶子节点之后,所述微分段的部署方法还包括:
获取所述当前设备的设备标识;
相应地,所述将所述当前安全规则保存至选取的叶子节点,以建立规则模型,具体包括:
将所述当前安全规则与所述设备标识保存至选取的叶子节点,以建立规则模型。
4.如权利要求1至3中任一项所述的微分段的部署方法,其特征在于,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署之后,所述微分段的部署方法还包括:
按照预设周期获取本地网络中各设备中存储的新的安全规则;
根据新的安全规则对所述规则模型中保存的安全规则进行修改,以获得新规则模型;
根据所述新规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现再次对所述本地网络进行微分段部署。
5.如权利要求1至3中任一项所述的微分段的部署方法,其特征在于,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署之后,所述微分段的部署方法还包括:
从所述安全规则中读取访问控制规则,并判断所述访问控制规则是否为路径禁止规则;
在所述访问控制规则为所述路径禁止规则时,根据所述路径禁止规则生成对应的路径添加操作;
基于所述路径添加操作在本地网络中添加所述路径禁止规则禁止的目标路径,并检测所述目标路径是否添加成功,以判断所述路径禁止规则是否正常运行。
6.如权利要求1至3中任一项所述的微分段的部署方法,其特征在于,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署,具体包括:
根据所述规则模型检测各设备的安全规则中是否包括活跃规则与备用规则,所述活跃规则在应用于本地网络时将流量限制于第一预设范围内,所述备用规则在应用于本地网络时将流量限制于第二预设范围内,所述第一预设范围包括所述第二预设范围;
在各设备的安全规则中包括所述活跃规则与所述备用规则时,将各设备的安全规则中的备用规则删除,以实现对所述本地网络进行微分段部署。
7.如权利要求1至3中任一项所述的微分段的部署方法,其特征在于,所述根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署之后,所述微分段的部署方法还包括:
响应于用户输入的新增规则,根据所述新增规则生成对应的第一流量路径,根据各设备的安全规则生成对应的第二流量路径;
检测所述第一流量路径与所述第二流量路径之间是否存在重叠部分;
在存在重叠部分时,生成提示信息,以提示用户存在所述重叠部分。
8.如权利要求1至3中任一项所述的微分段的部署方法,其特征在于,所述安全设备获取本地网络中的各设备的安全规则,具体包括:
安全设备在检测到配置获取指令时,向预设数据库发送所述配置获取指令,以使所述预设数据库响应于所述配置获取指令,获取本地保存的本地网络中的各设备的安全规则。
9.一种安全设备,其特征在于,所述安全设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的微分段的部署程序,所述微分段的部署程序被所述处理器执行时实现如权利要求1至8中任一项所述的微分段的部署方法的步骤。
10.一种存储介质,其特征在于,所述存储介质上存储有微分段的部署程序,所述微分段的部署程序被处理器执行时实现如权利要求1至8中任一项所述的微分段的部署方法的步骤。
11.一种微分段的部署装置,其特征在于,所述微分段的部署装置包括:规则获取模块、模型建立模块及微分段部署模块;
所述规则获取模块,用于获取本地网络中的各设备的安全规则;
所述模型建立模块,用于基于各设备的安全规则按照预设数据结构建立规则模型;
所述微分段部署模块,用于根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改,以实现对所述本地网络进行微分段部署。
12.如权利要求11所述的微分段的部署装置,其特征在于,所述预设数据结构为预设树形结构;
相应地,所述模型建立模块,具体包括:设备遍历模块、信息获取模块、节点选取模块以及模型完成模块;
所述设备遍历模块,用于对本地网络中的各设备进行遍历,获取遍历到的当前设备的当前安全规则;
所述信息获取模块,用于从所述当前安全规则中分别获取与各预设参数类型对应的参数信息;
所述节点选取模块,用于从预设树形结构中选取与所述参数信息对应的叶子节点;
所述模型完成模块,用于将所述当前安全规则保存至选取的叶子节点,以建立规则模型。
13.如权利要求12所述的微分段的部署装置,其特征在于,所述微分段的部署装置还包括:标识获取模块;
所述标识获取模块,用于获取所述当前设备的设备标识;
相应地,所述模型完成模块,还用于将所述当前安全规则与所述设备标识保存至选取的叶子节点,以建立规则模型。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810487739.8A CN110505190A (zh) | 2018-05-18 | 2018-05-18 | 微分段的部署方法、安全设备、存储介质及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810487739.8A CN110505190A (zh) | 2018-05-18 | 2018-05-18 | 微分段的部署方法、安全设备、存储介质及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110505190A true CN110505190A (zh) | 2019-11-26 |
Family
ID=68584904
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810487739.8A Pending CN110505190A (zh) | 2018-05-18 | 2018-05-18 | 微分段的部署方法、安全设备、存储介质及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110505190A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220200993A1 (en) * | 2020-12-17 | 2022-06-23 | Zscaler, Inc. | Microsegmentation for serverless computing |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050278431A1 (en) * | 2004-06-15 | 2005-12-15 | Sun Microsystems, Inc. | Rule set verification |
| US20050276262A1 (en) * | 2004-06-15 | 2005-12-15 | Sun Microsystems, Inc. | Rule set conflict resolution |
| CN102694820A (zh) * | 2012-06-13 | 2012-09-26 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
| CN103067344A (zh) * | 2011-10-24 | 2013-04-24 | 国际商业机器公司 | 在云环境中自动分发安全规则的非侵入性方法和设备 |
| CN105187435A (zh) * | 2015-09-24 | 2015-12-23 | 浪潮电子信息产业股份有限公司 | 一种防火墙规则过滤优化方法 |
| CN106068628A (zh) * | 2014-03-17 | 2016-11-02 | 华为技术有限公司 | 用于管理用于配置网络的策略和/或资源的装置和方法 |
| CN106453387A (zh) * | 2016-07-28 | 2017-02-22 | 电子科技大学 | 基于Hicuts算法的安全策略冲突检测及消除方法 |
| CN106656591A (zh) * | 2016-12-15 | 2017-05-10 | 西安电子科技大学 | 一种软件定义网络中多应用间的规则冲突检测与消除方法 |
| CN107196871A (zh) * | 2017-04-14 | 2017-09-22 | 同济大学 | 一种基于别名规约树的流规则冲突检测方法及系统 |
| CN107526541A (zh) * | 2016-08-30 | 2017-12-29 | 腾讯科技(深圳)有限公司 | 数据处理方法和装置 |
| US20180069899A1 (en) * | 2016-07-08 | 2018-03-08 | Ulrich Lang | Method and system for policy management, testing, simulation, decentralization and analysis |
| CN107925627A (zh) * | 2015-06-26 | 2018-04-17 | 迈克菲有限责任公司 | 使用软件定义网络对数据进行路由的系统和方法 |
| CN108040055A (zh) * | 2017-12-14 | 2018-05-15 | 广东天网安全信息科技有限公司 | 一种防火墙组合策略及云服务安全防护 |
-
2018
- 2018-05-18 CN CN201810487739.8A patent/CN110505190A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050276262A1 (en) * | 2004-06-15 | 2005-12-15 | Sun Microsystems, Inc. | Rule set conflict resolution |
| US20050278431A1 (en) * | 2004-06-15 | 2005-12-15 | Sun Microsystems, Inc. | Rule set verification |
| CN103067344A (zh) * | 2011-10-24 | 2013-04-24 | 国际商业机器公司 | 在云环境中自动分发安全规则的非侵入性方法和设备 |
| CN102694820A (zh) * | 2012-06-13 | 2012-09-26 | 华为技术有限公司 | 签名规则的处理方法、服务器及入侵防御系统 |
| CN106068628A (zh) * | 2014-03-17 | 2016-11-02 | 华为技术有限公司 | 用于管理用于配置网络的策略和/或资源的装置和方法 |
| CN107925627A (zh) * | 2015-06-26 | 2018-04-17 | 迈克菲有限责任公司 | 使用软件定义网络对数据进行路由的系统和方法 |
| CN105187435A (zh) * | 2015-09-24 | 2015-12-23 | 浪潮电子信息产业股份有限公司 | 一种防火墙规则过滤优化方法 |
| US20180069899A1 (en) * | 2016-07-08 | 2018-03-08 | Ulrich Lang | Method and system for policy management, testing, simulation, decentralization and analysis |
| CN106453387A (zh) * | 2016-07-28 | 2017-02-22 | 电子科技大学 | 基于Hicuts算法的安全策略冲突检测及消除方法 |
| CN107526541A (zh) * | 2016-08-30 | 2017-12-29 | 腾讯科技(深圳)有限公司 | 数据处理方法和装置 |
| CN106656591A (zh) * | 2016-12-15 | 2017-05-10 | 西安电子科技大学 | 一种软件定义网络中多应用间的规则冲突检测与消除方法 |
| CN107196871A (zh) * | 2017-04-14 | 2017-09-22 | 同济大学 | 一种基于别名规约树的流规则冲突检测方法及系统 |
| CN108040055A (zh) * | 2017-12-14 | 2018-05-15 | 广东天网安全信息科技有限公司 | 一种防火墙组合策略及云服务安全防护 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220200993A1 (en) * | 2020-12-17 | 2022-06-23 | Zscaler, Inc. | Microsegmentation for serverless computing |
| US11792194B2 (en) * | 2020-12-17 | 2023-10-17 | Zscaler, Inc. | Microsegmentation for serverless computing |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10938819B2 (en) | Poisoning protection for process control switches | |
| CN108234653A (zh) | 一种处理业务请求的方法及装置 | |
| CN109842694B (zh) | 一种同步mac地址的方法、网络设备和计算机可读存储介质 | |
| KR20130096299A (ko) | 자가―조직화 네트워크들에서의 충돌 핸들링 | |
| CN101340444A (zh) | 防火墙和服务器策略同步方法、系统和设备 | |
| KR101692155B1 (ko) | 소프트웨어 정의 네트워크에서 취약점을 분석하는 방법, 장치 및 컴퓨터 프로그램 | |
| CN107421060A (zh) | 基于NB‑IoT网络的空调器通信方法以及空调器 | |
| CN106162639A (zh) | 基于Floodlight的SDN无线网络管理平台及认证方法 | |
| CN105611534A (zh) | 无线终端识别伪WiFi 网络的方法及其装置 | |
| CN110798459B (zh) | 一种基于安全功能虚拟化的多安全节点联动防御方法 | |
| CN107666473A (zh) | 一种攻击检测的方法及控制器 | |
| KR102349039B1 (ko) | 분산 게이트웨이 환경에 최적화된 제어 데이터 패킷 처리 시스템 및 그에 관한 방법 | |
| CN110351388A (zh) | 一种基于物联网络架构系统的应用方法 | |
| CN110324415B (zh) | 一种对等网络的路由实现方法、装置、设备和介质 | |
| CN110505190A (zh) | 微分段的部署方法、安全设备、存储介质及装置 | |
| CN110175437A (zh) | 一种用于访问终端权限控制的方法、装置及主机终端 | |
| CN103873488A (zh) | 基于路由器插件的上网控制方法 | |
| KR20200115730A (ko) | 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법 | |
| CN110505187A (zh) | 混合云中安全规则管理方法、系统、服务器及存储介质 | |
| CN105681352B (zh) | 一种无线网络访问安全管控方法和系统 | |
| KR101703491B1 (ko) | 클라우드 시스템의 보안 서비스 제공방법 및 그 클라우드 시스템 | |
| CN103619032B (zh) | 无线路由设备优化方法和装置 | |
| CN110321287A (zh) | 一种服务器功能的检测方法、装置及电子设备 | |
| CN109756403A (zh) | 接入验证方法、装置、系统以及计算机可读存储介质 | |
| JP2014155095A (ja) | 通信制御装置、プログラム及び通信制御方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20191126 |