CN111371595A - 一种网络安全部署方法、装置、设备及可读存储介质 - Google Patents
一种网络安全部署方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN111371595A CN111371595A CN202010115925.6A CN202010115925A CN111371595A CN 111371595 A CN111371595 A CN 111371595A CN 202010115925 A CN202010115925 A CN 202010115925A CN 111371595 A CN111371595 A CN 111371595A
- Authority
- CN
- China
- Prior art keywords
- security
- network
- template
- deployment
- complete
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000013461 design Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 9
- 230000006870 function Effects 0.000 claims description 8
- 238000004458 analytical method Methods 0.000 claims description 2
- 238000010276 construction Methods 0.000 abstract description 15
- 238000010586 diagram Methods 0.000 description 16
- 230000006978 adaptation Effects 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 5
- 238000012384 transportation and delivery Methods 0.000 description 4
- 238000012550 audit Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012216 screening Methods 0.000 description 2
- 102100034983 E3 ubiquitin-protein ligase ZNRF4 Human genes 0.000 description 1
- 101000802410 Homo sapiens E3 ubiquitin-protein ligase ZNRF4 Proteins 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 210000004556 brain Anatomy 0.000 description 1
- ARPUHYJMCVWYCZ-UHFFFAOYSA-N ciprofloxacin hydrochloride hydrate Chemical compound O.Cl.C12=CC(N3CCNCC3)=C(F)C=C2C(=O)C(C(=O)O)=CN1C1CC1 ARPUHYJMCVWYCZ-UHFFFAOYSA-N 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000011022 operating instruction Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000013439 planning Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/084—Configuration by using pre-existing information, e.g. using templates or copying from other elements
- H04L41/0843—Configuration by using pre-existing information, e.g. using templates or copying from other elements based on generic templates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Automation & Control Theory (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络安全部署方法、装置、设备及可读存储介质,该方法包括以下步骤:接收网络安全部署请求,并从安全模板库中获取与网络安全部署请求对应的安全模板;利用用户输入的网络配置信息对安全模板进行网络环境参数配置,以获得完整安全模板模型;解析完整安全模板模型,生成自动化指令;执行自动化指令,以完成网络安全部署。可见,在该方法可降低内网安全建设的门槛,提高网络安全建设部署上线的效率。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种网络安全部署方法、装置、设备及可读存储介质。
背景技术
当前流行的虚拟化技术已经能够解决硬件成本和运维管理的部分问题,传统的一体机提供多种虚拟化安全组件,网络拓扑编排界面。网络管理员通过可视化软件,将需要的安全组件拖拽出来创建,然后进行网络配置和部署,组件的配置和部署。
但是,传统的一虚多方案还是解决不了安全建设复杂性的问题,其原因有:一般建设流程依次包括:安全威胁建模-安全方案设计-网络规划-设备部署-网络部署-安全策略部署。可见,使用现有的方案,网络管理员必须同时具备较高的网络安全知识和网络架构设计能力,并自行设计安全建设方案,对网络管理员能力要求高、且任务量大。如此,便导致网络安全建设部署上线的效率低,无法满足用户需求。
综上所述,如何有效地提高网络安全建设部署上限的效率等问题,是目前本领域技术人员急需解决的技术问题。
发明内容
本发明的目的是提供一种网络安全部署方法、装置、设备及可读存储介质,可降低内网安全建设的门槛,可将一些常见的网络安全场景抽象为安全模板,网络管理员根据自己的业务安全需求选择对应的模板便可进行傻瓜式部署,可提高网络安全建设部署上线的效率。
为解决上述技术问题,本发明提供如下技术方案:
一种网络安全部署方法,包括:
接收网络安全部署请求,并从安全模板库中获取与所述网络安全部署请求对应的安全模板;
利用用户输入的网络配置信息对所述安全模板进行网络环境参数配置,以获得完整安全模板模型;
解析所述完整安全模板模型,生成自动化指令;
执行所述自动化指令,以完成网络安全部署。
优选地,在所述安全模板库中存入所述安全模板,包括:
接收网络安全部署对应的部署参数;
利用所述部署参数在指定网络上进行网络安全设计部署,获得所述安全模板;
将所述安全模板存入所述安全模板库。
优选地,执行所述自动化指令,以完成网络安全部署,包括:
利用适配器将所述自动化指令转换为安全部署对应的调用,以完成网络安全部署。
优选地,所述利用适配器将所述自动化指令转换为安全部署对应的调用,包括:
利用所述适配器,将所述自动化指令转换为实际组件的rest api调用、sdn北向接口调用和netconf调用。
优选地,所述利用用户输入的网络配置信息对所述安全模板进行网络环境参数配置,以获得完整安全模板模型,包括:
利用用户图形化界面获取所述网络配置信息;所述网络配置信息包括业务网口选择信息、网口IP配置信息和路由配置信息;
利用所述业务网口选择信息、所述网口IP配置信息和所述路由配置信息分别对所述安全模板中网络功能虚拟化、软件定义网络和网络接口设备进行配置,以获得所述完整安全模板模型。
优选地,所述接收网络安全部署请求,并从安全模板库中获取与所述网络安全部署请求对应的安全模板,包括:
接收并解析所述网络安全部署请求,确定请求部署的应用场景;
利用应用场景与安全模板的对应关系,从所述安全模板库中获取与所述应用场景对应的所述安全模板。
优选地,所述利用应用场景与安全模板的对应关系,从所述安全模板库中获取与所述应用场景对应的所述安全模板,包括:
若所述应用场景为出口安全场景,则从所述安全模板库中获取双机网关模板,并将所述双机网关模板确定为所述安全模板;
若所述应用场景为等保合规场景,则从所述安全模板库中获取等保单臂路由模板,并将所述等保单臂路由模板确定为所述安全模板。
一种网络安全部署装置,包括:
模板确定单元,用于接收网络安全部署请求,并从安全模板库中获取与所述网络安全部署请求对应的安全模板;
网络环境参数配置单元,用于利用用户输入的网络配置信息对所述安全模板进行网络环境参数配置,以获得完整安全模板模型;
模板模型解析单元,用于解析所述完整安全模板模型,生成自动化指令;
网络安全部署单元,用于执行所述自动化指令,以完成网络安全部署。
一种网络安全部署设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述网络安全部署方法的步骤。
一种可读存储介质,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述网络安全部署方法的步骤。
应用本发明实施例所提供的方法,接收网络安全部署请求,并从安全模板库中获取与网络安全部署请求对应的安全模板;利用用户输入的网络配置信息对安全模板进行网络环境参数配置,以获得完整安全模板模型;解析完整安全模板模型,生成自动化指令;执行自动化指令,以完成网络安全部署。
在接收到网络安全部署请求之后,便可从安全模板库中获取与该网络安全部署请求对应的安全模板。为了适配当前的网络应用场景,可利用用户输入的网络配置信息对安全模板进行网络环境参数配置,如此便可获得完整安全模板模型。然后对完整安全模板模型进行解析,可生成自动化指令,最后执行自动化指令,便可完成网络安全部署。可见,在该方法中,用户仅需发出网络安全部署请求以及输入网络配置信息,即可完成网络安全部署;大大降低内网安全建设的门槛,可将一些常见的网络安全场景的安全配置抽象为安全模板,网络管理员根据业务安全需求,选择对应的安全模板便可进行傻瓜式部署,可提高网络安全建设部署上线的效率。
相应地,本发明实施例还提供了与上述网络安全部署方法相对应的网络安全部署装置、设备和可读存储介质,具有上述技术效果,在此不再赘述。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中一种网络安全部署方法的实施流程图;
图2为本发明实施例中一种安全模板模型的示意图;
图3为本发明实施例中一种安全模板库中安全模板的交付流程示意图;
图4为本发明实施例中一种双机网关模板在使用场景下的适配示意图;
图5为本发明实施例中一种等保单臂路由模板在使用场景下的适配示意图;
图6为本发明实施例中一种基于完整安全模板模型完成网络安全部署的配置示意图;
图7为本发明实施例中一种边界网关模板的示意图;
图8为本发明实施例中一种安全资源池管理系统的应用环境示意图;
图9为本发明实施例中一种网络安全部署装置的结构示意图;
图10为本发明实施例中一种网络安全部署设备的结构示意图;
图11为本发明实施例中一种网络安全部署设备的具体结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为便于描述,下面对本文中涉及的缩略语或相关技术名称进行解释:
NFV(Network Functions Virtualization):网络功能虚拟化,利用虚拟化技术,将网络节点阶层的功能,分割成几个功能区块,分别以软件方式实作,不再拘限于硬件架构。
SDN(Software Defined Network):软件定义网络,网络虚拟化的一种实现方式。
vAF:或AF,也就是Application Firewall,应用防火墙,vAF也就是AF的虚拟化版本,可以作为安全组件以虚拟主机或Docker化的形式运行在安全资源池中。
vAD:或AD,也就是Application Delivery,应用交付,vAD也就是AD的虚拟化版本,可以作为安全组件以虚拟主机或Docker化的形式运行在安全资源池中。
安全资源池:基于软件定义安全技术实现的安全服务化交付的平台。运营方只要通过标准X86服务器搭配安全资源池系统软件,就能以服务的形式向租户提供丰富的安全服务,大部分服务以安全组件的形式提供,比如vAF、vSSL、vAD等。
边界安全资源池:部署在客户网络边界处的安全资源池,充当客户网络边界安全防护设备。
安全资源池管理系统:部署在安全资源池里的一台虚拟主机,实现对整个安全资源池的统一管理,是安全资源池的控制中心(形同人体的大脑)。
一种实施例:
请参考图1,图1为本发明实施例中一种网络安全部署方法的流程图,该方法可应用于如图8所示的安全资源池管理系统中,以对安全资源池进行管理,该方法包括以下步骤:
S101、接收网络安全部署请求,并从安全模板库中获取与网络安全部署请求对应的安全模板。
其中,网络安全部署请求中可具体携带能够确定所需使用的安全模板的筛选信息。该筛选信息可具体为与安全模板具有对应关系的信息,例如网络安全模板模型的标识符、名称、编号或应用场景等信息。
其中,安全模板库中可存放安全模板。该安全模板可具体为不同的应用场景下,包括相应常用配置的模板。
具体的,可通过执行以下步骤,在安全模板库中存放供选用的安全模板,实现过程包括以下步骤:
步骤一、接收网络安全部署对应的部署参数;
步骤二、利用部署参数在指定网络上进行网络安全设计部署,获得安全模板;
步骤三、将安全模板存入安全模板库。
为便于描述下面将上述三个步骤结合起来进行说明。
在本实施例中,可接收网络安全部署对应的部署参数,该部署参数可针对相应的场景下的网络部署设计对应的参数信息以及协议。其中,指定网络可具体为相应的应用场景搭建的网络结构,可包括集线器、交换机、路由器、防火器等常见网络设备。获得安全模板之后便可存入安全模板库中,以便选用。
也就是说,在安全模板中,包括网络拓扑、网络配置和安全策略。请参考图2,图2为本发明实施例中一种安全模板模型的示意图。其中,网络拓扑模型可以为固定的模型,即所有的配置都是固定的。优选地,为了更好的扩展性,可向用户提供输入,如网元设备类型的选择(比如选择华三路由器还是深信服超融合的虚拟路由器)。网络配置和安全策略都分两部分,一部分是固定的,称为模板,一部分为需要用户输入的,称为配置。模板定义了整个模型的基础配置项目,比如:网络配置->路由器网络配置模板->网口配置;此时用户需要输入网口的配置(IP),来完善整个模型;安全策略同理。
举例说明,请参考图3,图3为本发明实施例中一种安全模板库中安全模板的交付流程示意图。在本实施例中,网络安全专家可对具体的安全场景进行分析,然后进行安全模板配置,最终生成通用的安全模板,并将其发布即存入安全模板库中,以便用户(如通常可为网络管理员)选用。
在安全模板库中已保存了安全模板后,当接收到网络安全部署请求,则可基于网络安全部署请求对应的携带信息,从安全模板库中获取到与该网络安全部署请求对应的安全模板。
以通过解析网络安全部署请求确定应用场景为例,对如何确定获取安全模板进行详细说明。获取安全模板的过程,包括:
步骤一、接收并解析网络安全部署请求,确定请求部署的应用场景;
步骤二、利用应用场景与安全模板的对应关系,从安全模板库中获取与应用场景对应的安全模板。
为便于描述,下面将上述两个步骤结合起来进行说明。
在本实施例中,可对常用的应用场景进行分类,并分别命名或设置编号。对每一个应用场景至少预先存放1个安全模板在安全模板库中,并保存应用场景与安全模板的对应关系。如此,在网络安全部署请求中,可直接携带请求部署的应用场景的编号信息、名称信息。如此,便可通过解析网络安全部署请求,确定出请求部署的应用场景。
确定出应用场景之后,便可基于应用场景与安全模板的对应关系,从安全模板库中获取与应用场景对应的安全模板。当应用场景与多个安全模板对应时,可随机选择其中一个安全模板作为安全模板,也可将多个安全模板的介绍信息在用户可视化界面进行显示,以便用户进一步选择确定。
其中,应用场景,即进行安全部署常见的场景,包括但不限于出口安全场景和等保合规场景。例如,还可应用在一个多租户场景,多租户场景在政务云/运营商云环境下的具体场景下解决多租户问题。
对于出口安全场景和等保合规,安全模板的确定可具体包括:
若应用场景为出口安全场景,则从安全模板库中获取双机网关模板,并将双机网关模板确定为安全模板;
若应用场景为等保合规场景,则从安全模板库中获取等保单臂路由模板,并将等保单臂路由模板确定为安全模板。
也就是说,对于出口安全场景,与其对应的安全模型即双机网关模板,在双机网关模板中可包括对出口安全场景的一般网络设计与部署;而对于等保合规场景,与其对应的安全模型即等保单臂路由模板,在等保单臂路由模板中可包括对等保合规场景所要求的一般网络设计与部署。
例如,双机网关模板的具体网络结构可参考图4,可见,在双机网关模板中,具有两个物理出口,4个路由(分别为2个应用交互,2个下一代防火墙),2个网桥(均负责上文行为管理);等保单臂路由模板,具体网络结构可参考图5,可见,在单臂路由模板中,具有1个路由器,2个下一代防火墙(一个单臂,另外一个透明),2个交换机(一个负责SSL VPN,另外一个则负责EDR、配置恢复、运维安全管理、日志审计、数据库安全审计)。
S102、利用用户输入的网络配置信息对安全模板进行网络环境参数配置,以获得完整安全模板模型。
在获取到安全模板之后,用户可在相应的用户图形化界面(GUI)对网络环境进行适配,如此便可获得网络配置信息。特别地,该网络配置信息仅包括需要在当前的实际使用环境下进行适配的网络信息,且对于不同的实际应用场景,网络配置信息的具体信息内容可不同。
得到网络配置信息之后,基于该网络配置信息可对安全模板模型进行网络参数配置,如此便可获得完全适配当前实际使用环境的完整安全模板模型。
具体的,完整安全模板模型的获取过程,包括:
步骤一、利用用户图形化界面获取网络配置信息;网络配置信息包括业务网口选择信息、网口IP配置信息和路由配置信息;
步骤二、利用业务网口选择信息、网口IP配置信息和路由配置信息分别对安全模板中网络功能虚拟化、软件定义网络和网络接口设备进行配置,以获得完整安全模板模型。
为便于描述,下面分别以双机网关模板和等保单臂路由模板为例,对如何对于安全模板进行适配进行详细说明。
请参考图4,图4为本发明实施例中一种双机网关模板在使用场景下的适配示意图。用户仅需配置模板的上下行网口,配置上下行IP和默认路由,点击立即创建。然后,便可将安全资源池按照配置的上下行网口接入到用户实际的物理网络即可,保证简单配置,接线即用。即用户输入的网络配置信息包括上下行网口的配置信息、上下IP配置信息和默认路由信息。
请参考图5,图5为本发明实施例中一种等保单臂路由模板在使用场景下的适配示意图;用户仅需配置等保单臂路由模板的引流网口,配置和核心交换机的通信IP,点击立即创建。然后,便可将安全资源池上述配置的引流网口和用户物理的核心交换机相接,在核心交换机上配置策略路由,将需要过等保的业务流量引流到安全资源池即可。即,用户输入的网络配置信息包括引流网口,配置和核心交换机的通信IP。
其中,netdev(network interface device),即网络接口设备,又称网卡。
完整安全模板模型包括内置模板配置(即未进行实际应用场景适配的安全模板)和自定义模板配置(即在实际应用环境下的适配)。
S103、解析完整安全模板模型,生成自动化指令。
在获得完整安全模板模型之后,便可利用预先设置的解析算法/规则/协议对完整安全模板模型进行解析,以获得自动化指令。对于一个完整安全模板模型而言,对应生成的自动化指令即为一系列能够在被执行时,可将完整安全模板模型中的对应网络安全配置部署至实际应用环境设备中的指令。
S104、执行自动化指令,以完成网络安全部署。
在本实施例中,执行该自动化指令,即可自动完成网络安全部署。
优选地,可设置一个适配器,用于自动化指令进行转化,以便直接使用现有的调用,便完成网络安全部署。即,可利用适配器将自动化指令转换为安全部署对应的调用,以完成网络安全部署。具体的,可利用适配器,将自动化指令转换为实际组件的rest api调用、sdn北向接口调用和netconf调用。
请参见图6,图6为本发明实施例中一种基于完整安全模板模型完成网络安全部署的配置示意图。即可利用安全模板控制器将安全模板模型通过适配,对NFV、SDN、NETDEV、resapi/netconf进行配置。即,得到完整的安全模板模型之后,系统将会解析这个模型,并且生成一系列的自动化指令,自动化指令经过适配器,转换为实际组件的rest api调用、sdn北向接口调用、netconf调用等等,逐一将安全模板自动部署。
为便于理解如何具体解析完整安全模板模型到完成网络安全部署,下面以如图7所示的边界网关模板进行举例说明。
首先,生成如图7所示结构的一个安全模型文件,这个模型可用json描述的,大致成一个树形结构。
当此模型导入系统,系统根据模型的定义去逐层解析,模型中定义有模板和配置输入,配置输入的选项是动态输入的(即要用户手动填写),大致的流程包括如下阶段:
第一阶段,模型生成阶段:
创建一个边界网关模板->系统从模板库中载入边界网关模板->按照树形的结构分别解析拓扑/网络配置/安全策略->识别到用户输入->系统自动生成html(一套web的模板技术)展示到浏览器->用户根据提示完成输入->系统获取用户输入,补齐对应的模板(网络配置/安全策略)->根据本地系统配置情况补全模板->生成完整的边界网管模型(json数据)。
第二阶段,模型翻译阶段:
完整的边界网关模型输入系统后,系统解析出:网元节点/网络连线/区域配置,此时系统的主要工作即按照对应的配置,找到特定的指令,然后生成一系列的指令序列。例如,解析到了一个创建一个下一代防火墙->解析防火墙的类型为深信服超融合平台的虚拟防火墙->系统根据配置路径索引到系统的内置方法库->找到创建防火墙的方法是调用rest api vaf_create->生成一条rest api的调用指令保存到指令队列中。其他所有指定序列生成过程可参照于此,即这里核心即模型的数据结构定义和操作的指令库的积累,指令库包含了市面上常见的设备(华三/华为/深信服等等)的操作指令和协议(rest api/netconf等)。
第三阶段,配置生效阶段:
将第二阶段生成的指令最终会通过指令库的代码逐一生效,把所有的设备+配置都通过自动化生效。
应用本发明实施例所提供的方法,接收网络安全部署请求,并从安全模板库中获取与网络安全部署请求对应的安全模板;利用用户输入的网络配置信息对安全模板进行网络环境参数配置,以获得完整安全模板模型;解析完整安全模板模型,生成自动化指令;执行自动化指令,以完成网络安全部署。
在接收到网络安全部署请求之后,便可从安全模板库中获取与该网络安全部署请求对应的安全模板。为了适配当前的网络应用场景,可利用用户输入的网络配置信息对安全模板进行网络环境参数配置,如此便可获得完整安全模板模型。然后对完整安全模板模型进行解析,可生成自动化指令,最后执行自动化指令,便可完成网络安全部署。可见,在该方法中,用户仅需发出网络安全部署请求以及输入网络配置信息,即可完成网络安全部署;大大降低内网安全建设的门槛,可将一些常见的网络安全场景的安全配置抽象为安全模板,网络管理员根据业务安全需求,选择对应的安全模板便可进行傻瓜式部署,可提高网络安全建设部署上线的效率。
另一种实施例:
相应于上面的方法实施例,本发明实施例还提供了一种网络安全部署装置,下文描述的网络安全部署装置与上文描述的网络安全部署方法可相互对应参照。
参见图9所示,该装置包括以下模块:
模板确定单元101,用于接收网络安全部署请求,并从安全模板库中获取与网络安全部署请求对应的安全模板;
网络环境参数配置单元102,用于利用用户输入的网络配置信息对安全模板进行网络环境参数配置,以获得完整安全模板模型;
模板模型解析单元103,用于解析完整安全模板模型,生成自动化指令;
网络安全部署单元104,用于执行自动化指令,以完成网络安全部署。
应用本发明实施例所提供的装置,接收网络安全部署请求,并从安全模板库中获取与网络安全部署请求对应的安全模板;利用用户输入的网络配置信息对安全模板进行网络环境参数配置,以获得完整安全模板模型;解析完整安全模板模型,生成自动化指令;执行自动化指令,以完成网络安全部署。
在接收到网络安全部署请求之后,便可从安全模板库中获取与该网络安全部署请求对应的安全模板。为了适配当前的网络应用场景,可利用用户输入的网络配置信息对安全模板进行网络环境参数配置,如此便可获得完整安全模板模型。然后对完整安全模板模型进行解析,可生成自动化指令,最后执行自动化指令,便可完成网络安全部署。可见,在该方法中,用户仅需发出网络安全部署请求以及输入网络配置信息,即可完成网络安全部署;大大降低内网安全建设的门槛,可将一些常见的网络安全场景的安全配置抽象为安全模板,网络管理员根据业务安全需求,选择对应的安全模板便可进行傻瓜式部署,可提高网络安全建设部署上线的效率。
在本发明的一种具体实施方式中,包括:
安全模板存放单元,用于接收网络安全部署对应的部署参数;利用部署参数在指定网络上进行网络安全设计部署,获得安全模板;将安全模板存入安全模板库。
在本发明的一种具体实施方式中,网络安全部署单元104,具体用于利用适配器将自动化指令转换为安全部署对应的调用,以完成网络安全部署。
在本发明的一种具体实施方式中,网络安全部署单元104,具体用于利用适配器,将自动化指令转换为实际组件的rest api调用、sdn北向接口调用和netconf调用。
在本发明的一种具体实施方式中,网络环境参数配置单元102,用于利用用户图形化界面获取网络配置信息;网络配置信息包括业务网口选择信息、网口IP配置信息和路由配置信息;利用业务网口选择信息、网口IP配置信息和路由配置信息分别对安全模板中网络功能虚拟化、软件定义网络和网络接口设备进行配置,以获得完整安全模板模型。
在本发明的一种具体实施方式中,模板确定单元101,具体用于接收并解析网络安全部署请求,确定请求部署的应用场景;利用应用场景与安全模板的对应关系,从安全模板库中获取与应用场景对应的安全模板。
在本发明的一种具体实施方式中,模板确定单元101,具体用于若应用场景为出口安全场景,则从安全模板库中获取双机网关模板,并将双机网关模板确定为安全模板;若应用场景为等保合规场景,则从安全模板库中获取等保单臂路由模板,并将等保单臂路由模板确定为安全模板。
另一种实施例:
相应于上面的方法实施例,本发明实施例还提供了一种网络安全部署设备,下文描述的一种网络安全部署设备与上文描述的一种网络安全部署方法可相互对应参照。
参见图10所示,该网络安全部署设备包括:
存储器D1,用于存储计算机程序;
处理器D2,用于执行计算机程序时实现上述方法实施例的网络安全部署方法的步骤。
具体的,请参考图11,为本实施例提供的一种网络安全部署设备的具体结构示意图,该网络安全部署设备可因配置或性能不同而产生比较大的差异,可以包括一个或一个以上处理器(central processing units,CPU)322(例如,一个或一个以上处理器)和存储器332,一个或一个以上存储应用程序342或数据344的存储介质330(例如一个或一个以上海量存储设备)。其中,存储器332和存储介质330可以是短暂存储或持久存储。存储在存储介质330的程序可以包括一个或一个以上模块(图示没标出),每个模块可以包括对数据处理设备中的一系列指令操作。更进一步地,中央处理器322可以设置为与存储介质330通信,在网络安全部署设备301上执行存储介质330中的一系列指令操作。
网络安全部署设备301还可以包括一个或一个以上电源326,一个或一个以上有线或无线网络接口350,一个或一个以上输入输出接口358,和/或,一个或一个以上操作系统341。例如,Windows ServerTM,Mac OS XTM,UnixTM,LinuxTM,FreeBSDTM等。
上文所描述的网络安全部署方法中的步骤可以由网络安全部署设备的结构实现。
另一种实施例:
相应于上面的方法实施例,本发明实施例还提供了一种可读存储介质,下文描述的一种可读存储介质与上文描述的一种网络安全部署方法可相互对应参照。
一种可读存储介质,可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述方法实施例的网络安全部署方法的步骤。
该可读存储介质具体可以为U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可存储程序代码的可读存储介质。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
Claims (10)
1.一种网络安全部署方法,其特征在于,包括:
接收网络安全部署请求,并从安全模板库中获取与所述网络安全部署请求对应的安全模板;
利用用户输入的网络配置信息对所述安全模板进行网络环境参数配置,以获得完整安全模板模型;
解析所述完整安全模板模型,生成自动化指令;
执行所述自动化指令,以完成网络安全部署。
2.根据权利要求1所述的网络安全部署方法,其特征在于,在所述安全模板库中存入所述安全模板,包括:
接收网络安全部署对应的部署参数;
利用所述部署参数在指定网络上进行网络安全设计部署,获得所述安全模板;
将所述安全模板存入所述安全模板库。
3.根据权利要求1所述的网络安全部署方法,其特征在于,执行所述自动化指令,以完成网络安全部署,包括:
利用适配器将所述自动化指令转换为安全部署对应的调用,以完成网络安全部署。
4.根据权利要求3所述的网络安全部署方法,其特征在于,所述利用适配器将所述自动化指令转换为安全部署对应的调用,包括:
利用所述适配器,将所述自动化指令转换为实际组件的rest api调用、sdn北向接口调用和netconf调用。
5.根据权利要求1所述的网络安全部署方法,其特征在于,所述利用用户输入的网络配置信息对所述安全模板进行网络环境参数配置,以获得完整安全模板模型,包括:
利用用户图形化界面获取所述网络配置信息;所述网络配置信息包括业务网口选择信息、网口IP配置信息和路由配置信息;
利用所述业务网口选择信息、所述网口IP配置信息和所述路由配置信息分别对所述安全模板中网络功能虚拟化、软件定义网络和网络接口设备进行配置,以获得所述完整安全模板模型。
6.根据权利要求1至5任一项所述的网络安全部署方法,其特征在于,所述接收网络安全部署请求,并从安全模板库中获取与所述网络安全部署请求对应的安全模板,包括:
接收并解析所述网络安全部署请求,确定请求部署的应用场景;
利用应用场景与安全模板的对应关系,从所述安全模板库中获取与所述应用场景对应的所述安全模板。
7.根据权利要求6所述的网络安全部署方法,其特征在于,所述利用应用场景与安全模板的对应关系,从所述安全模板库中获取与所述应用场景对应的所述安全模板,包括:
若所述应用场景为出口安全场景,则从所述安全模板库中获取双机网关模板,并将所述双机网关模板确定为所述安全模板;
若所述应用场景为等保合规场景,则从所述安全模板库中获取等保单臂路由模板,并将所述等保单臂路由模板确定为所述安全模板。
8.一种网络安全部署装置,其特征在于,包括:
模板确定单元,用于接收网络安全部署请求,并从安全模板库中获取与所述网络安全部署请求对应的安全模板;
网络环境参数配置单元,用于利用用户输入的网络配置信息对所述安全模板进行网络环境参数配置,以获得完整安全模板模型;
模板模型解析单元,用于解析所述完整安全模板模型,生成自动化指令;
网络安全部署单元,用于执行所述自动化指令,以完成网络安全部署。
9.一种网络安全部署设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述网络安全部署方法的步骤。
10.一种可读存储介质,其特征在于,所述可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述网络安全部署方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010115925.6A CN111371595A (zh) | 2020-02-25 | 2020-02-25 | 一种网络安全部署方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010115925.6A CN111371595A (zh) | 2020-02-25 | 2020-02-25 | 一种网络安全部署方法、装置、设备及可读存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111371595A true CN111371595A (zh) | 2020-07-03 |
Family
ID=71211603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010115925.6A Pending CN111371595A (zh) | 2020-02-25 | 2020-02-25 | 一种网络安全部署方法、装置、设备及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111371595A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111934922A (zh) * | 2020-07-29 | 2020-11-13 | 深信服科技股份有限公司 | 一种网络拓扑的构建方法、装置、设备、存储介质 |
| CN112104511A (zh) * | 2020-10-30 | 2020-12-18 | 信联科技(南京)有限公司 | 一种基于单臂部署的vpn网关无感知切换方法及装置 |
| CN112118174A (zh) * | 2020-07-30 | 2020-12-22 | 中国人民解放军海军工程大学 | 软件定义数据网关 |
| CN112333171A (zh) * | 2020-10-28 | 2021-02-05 | 腾讯科技(深圳)有限公司 | 一种业务数据处理方法、装置及计算机设备 |
| CN112910705A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
| CN113381879A (zh) * | 2021-05-17 | 2021-09-10 | 浪潮思科网络科技有限公司 | 一种基于sdn的网络部署方法及设备 |
| CN113965417A (zh) * | 2021-12-21 | 2022-01-21 | 北京微步在线科技有限公司 | 一种资产风险检测方法及装置 |
| CN113992522A (zh) * | 2021-09-02 | 2022-01-28 | 深信服科技股份有限公司 | 一种网络拓扑图生成方法、装置、电子设备及存储介质 |
| CN114448495A (zh) * | 2022-03-31 | 2022-05-06 | 四川安迪科技实业有限公司 | 基于tdma卫星网管的设备批量添加方法及装置 |
| CN114553691A (zh) * | 2022-04-28 | 2022-05-27 | 广东电网有限责任公司东莞供电局 | 创建网络配置模板及网络配置的方法、装置和设备 |
| CN114650167A (zh) * | 2022-02-08 | 2022-06-21 | 联想(北京)有限公司 | 一种异常检测方法、装置、设备及计算机可读存储介质 |
| CN115664948A (zh) * | 2022-12-28 | 2023-01-31 | 北京六方云信息技术有限公司 | 虚拟资源自动配置下发方法、装置、系统及存储介质 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140115655A1 (en) * | 2012-10-24 | 2014-04-24 | Watchguard Techologies, Inc. | Systems and methods for the rapid deployment of network security devices |
| US20160234250A1 (en) * | 2015-02-10 | 2016-08-11 | International Business Machines Corporation | System and method for software defined deployment of security appliances using policy templates |
| CN105897688A (zh) * | 2015-02-16 | 2016-08-24 | 国际商业机器公司 | 使得内部资源能够安全且无缝地暴露给公共云应用 |
| CN107040480A (zh) * | 2017-04-01 | 2017-08-11 | 汕头大学 | 一种机房网络自动切换的方法 |
| US20180176255A1 (en) * | 2016-12-19 | 2018-06-21 | Nicira, Inc. | Native tag-based configuration for workloads in a virtual computing environment |
| CN109032765A (zh) * | 2018-09-05 | 2018-12-18 | 郑州云海信息技术有限公司 | 一种虚拟机双机热备部署方法、装置及设备 |
-
2020
- 2020-02-25 CN CN202010115925.6A patent/CN111371595A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140115655A1 (en) * | 2012-10-24 | 2014-04-24 | Watchguard Techologies, Inc. | Systems and methods for the rapid deployment of network security devices |
| US20160234250A1 (en) * | 2015-02-10 | 2016-08-11 | International Business Machines Corporation | System and method for software defined deployment of security appliances using policy templates |
| CN105897688A (zh) * | 2015-02-16 | 2016-08-24 | 国际商业机器公司 | 使得内部资源能够安全且无缝地暴露给公共云应用 |
| US20180176255A1 (en) * | 2016-12-19 | 2018-06-21 | Nicira, Inc. | Native tag-based configuration for workloads in a virtual computing environment |
| CN107040480A (zh) * | 2017-04-01 | 2017-08-11 | 汕头大学 | 一种机房网络自动切换的方法 |
| CN109032765A (zh) * | 2018-09-05 | 2018-12-18 | 郑州云海信息技术有限公司 | 一种虚拟机双机热备部署方法、装置及设备 |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111934922A (zh) * | 2020-07-29 | 2020-11-13 | 深信服科技股份有限公司 | 一种网络拓扑的构建方法、装置、设备、存储介质 |
| CN112118174B (zh) * | 2020-07-30 | 2023-04-18 | 中国人民解放军海军工程大学 | 软件定义数据网关 |
| CN112118174A (zh) * | 2020-07-30 | 2020-12-22 | 中国人民解放军海军工程大学 | 软件定义数据网关 |
| CN112333171A (zh) * | 2020-10-28 | 2021-02-05 | 腾讯科技(深圳)有限公司 | 一种业务数据处理方法、装置及计算机设备 |
| CN112333171B (zh) * | 2020-10-28 | 2023-11-28 | 腾讯科技(深圳)有限公司 | 一种业务数据处理方法、装置及计算机设备 |
| CN112104511A (zh) * | 2020-10-30 | 2020-12-18 | 信联科技(南京)有限公司 | 一种基于单臂部署的vpn网关无感知切换方法及装置 |
| CN112104511B (zh) * | 2020-10-30 | 2021-02-19 | 信联科技(南京)有限公司 | 一种基于单臂部署的vpn网关无感知切换方法及装置 |
| CN112910705A (zh) * | 2021-02-02 | 2021-06-04 | 杭州安恒信息技术股份有限公司 | 网络流量编排的方法、设备和存储介质 |
| CN113381879B (zh) * | 2021-05-17 | 2023-02-28 | 浪潮思科网络科技有限公司 | 一种基于sdn的网络部署方法及设备 |
| CN113381879A (zh) * | 2021-05-17 | 2021-09-10 | 浪潮思科网络科技有限公司 | 一种基于sdn的网络部署方法及设备 |
| CN113992522B (zh) * | 2021-09-02 | 2024-04-09 | 深信服科技股份有限公司 | 一种网络拓扑图生成方法、装置、电子设备及存储介质 |
| CN113992522A (zh) * | 2021-09-02 | 2022-01-28 | 深信服科技股份有限公司 | 一种网络拓扑图生成方法、装置、电子设备及存储介质 |
| CN113965417A (zh) * | 2021-12-21 | 2022-01-21 | 北京微步在线科技有限公司 | 一种资产风险检测方法及装置 |
| CN114650167A (zh) * | 2022-02-08 | 2022-06-21 | 联想(北京)有限公司 | 一种异常检测方法、装置、设备及计算机可读存储介质 |
| CN114650167B (zh) * | 2022-02-08 | 2023-06-27 | 联想(北京)有限公司 | 一种异常检测方法、装置、设备及计算机可读存储介质 |
| CN114448495B (zh) * | 2022-03-31 | 2023-06-13 | 四川安迪科技实业有限公司 | 基于tdma卫星网管的设备批量添加方法及装置 |
| CN114448495A (zh) * | 2022-03-31 | 2022-05-06 | 四川安迪科技实业有限公司 | 基于tdma卫星网管的设备批量添加方法及装置 |
| CN114553691B (zh) * | 2022-04-28 | 2022-07-29 | 广东电网有限责任公司东莞供电局 | 创建网络配置模板及网络配置的方法、装置和设备 |
| WO2023207202A1 (zh) * | 2022-04-28 | 2023-11-02 | 广东电网有限责任公司东莞供电局 | 创建网络配置模板及网络配置的方法、装置和设备 |
| CN114553691A (zh) * | 2022-04-28 | 2022-05-27 | 广东电网有限责任公司东莞供电局 | 创建网络配置模板及网络配置的方法、装置和设备 |
| CN115664948A (zh) * | 2022-12-28 | 2023-01-31 | 北京六方云信息技术有限公司 | 虚拟资源自动配置下发方法、装置、系统及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111371595A (zh) | 一种网络安全部署方法、装置、设备及可读存储介质 | |
| US11611487B2 (en) | Model driven process for automated deployment of domain 2.0 virtualized services and applications on cloud infrastructure | |
| JP6803114B2 (ja) | ハイブリッド・クラウド環境における動的に定められた仮想プライベート・ネットワーク・トンネル | |
| US10320674B2 (en) | Independent network interfaces for virtual network environments | |
| JP6712318B2 (ja) | ハイブリッド・クラウド環境内の第1のクラウドと第2のクラウドとの間の複数のvpnトンネルを管理するための方法、装置、およびコンピュータ・プログラム | |
| US10048957B2 (en) | Deploying an application in a cloud computing environment | |
| US10841366B2 (en) | Service graph based serverless cloud platform | |
| US9621592B2 (en) | System and method for software defined deployment of security appliances using policy templates | |
| US9294407B2 (en) | Network device load balancing in a virtualized computing environment | |
| US10324709B2 (en) | Apparatus and method for validating application deployment topology in cloud computing environment | |
| US20140280805A1 (en) | Two-Sided Declarative Configuration for Cloud Deployment | |
| CN103916378B (zh) | 应用系统在云资源池中自动部署的系统和方法 | |
| US20130346619A1 (en) | Apparatus and methods for auto-discovery and migration of virtual cloud infrastructure | |
| Goyal | Enterprise usability of cloud computing environments: issues and challenges | |
| US20060080413A1 (en) | Method and system for establishing a deployment plan for an application | |
| US20150074262A1 (en) | Placement of virtual machines in a virtualized computing environment | |
| WO2017084450A1 (zh) | 云管理方法和系统 | |
| US20130262189A1 (en) | Analyzing metered cost effects of deployment patterns in a networked computing environment | |
| CN114553689A (zh) | 连接性模板 | |
| US20200314058A1 (en) | Automatic ip range selection | |
| CN110798341B (zh) | 业务开通方法、装置及系统 | |
| US11573819B2 (en) | Computer-implemented method for reducing service disruption times for a universal customer premise equipment, uCPE, device with resource constraint in a network functions virtualization, NFV, network infrastructure | |
| EP3860046A1 (en) | Prioritizing policy intent enforcement on network devices | |
| CN106533720B (zh) | 网络服务请求的编译方法、编译装置和控制器 | |
| WO2020159725A1 (en) | Availability factor (afactor) based automation system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200703 |