CN111600971A - 一种设备管理的方法和设备管理的装置 - Google Patents

Abstract

本公开提供了一种设备管理的方法和设备管理的装置，该方法包括：通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况，当确定所述第一服务终端的状态为首次上线时，则为所述第一服务终端分配第一公网地址，并记录所述第一公网地址与所述第一服务终端的第一私网地址的对应关系，以及将所述对应关系通过第一报文发送给所述第一防火墙。通过上述方法，可以实现资产管理设备与防火墙间的联动，通过资产管理设备自动为服务终端分配公网地址，并告知防火墙，使得防火墙可自动配置针对服务终端的处理策略，不再需要管理员进行人工配置，节省了管理员的配置工作。

Description

一种设备管理的方法和设备管理的装置

技术领域

本公开涉及通信技术领域，尤其涉及一种设备管理的方法和设备管理的装置。

背景技术

目前大多数的网络，例如企业、园区、数据中心均需要在出口边界部署防火墙，来保障资产安全。同时，会配套资产管理系统，对资产进行数据采集和设备管理。

现有的资产安全管理系统，在企业网或数据中心的整体解决方案中，仅对资产自身进行整理和分析是不够的，还需要对资产进行访问控制、NAT转换、攻击防护等，这一功能通常通过防火墙来实现。例如某个数据中心有一个私网地址为10.1.1.1的服务器使用公网地址1.1.1.1对外提供FTP服务，需要在防火墙上配置一条安全策略，允许外部网络对这个FTP服务器的访问，同时还需要配置一条NAT转换策略，用于将FTP服务器的公网地址转换为私网地址。这些策略通常配置在企业网或数据中心的出口防火墙上。

目前，在资产上线时，需要网络管理员在防火墙上手工配置策略，当资产发生状态改变或下线时，也需要去防火墙上手工修改或删除策略，从而增加了网络管理员的工作量，而且在配置策略时，极易出现错误。并且资产管理系统是无法感知和联动的。这样就会造成，有些资产可能已经变更或下线，但是防火墙上的旧策略却一直保留着，不仅会造成防火墙因利用旧策略处理错误的报文，同时还会占用防火墙的资源。

发明内容

本公开实施例提供了一种设备管理的方法和设备管理的装置，其中，通过该方法和装置，可以实现资产管理设备与防火墙间的联动，通过资产管理设备自动为服务终端分配公网地址，并告知防火墙，使得防火墙可自动配置针对服务终端的处理策略，不再需要管理员进行人工配置，节省了管理员的配置工作，同时资产管理设备可实时监控服务终端，当服务终端发生变化时，可以联动防火墙改变处理策略。

本公开实施例提供了一种设备管理的方法，该方法应用在资产管理设备中，所述资产管理设备与第一防火墙连接，该方法包括：

通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况；

当确定所述第一服务终端的状态为首次上线时，则为所述第一服务终端分配第一公网地址，并记录所述第一公网地址与所述第一服务终端的第一私网地址的对应关系；

将所述对应关系通过第一报文发送给所述第一防火墙，所述第一报文携带第一目标标识，以使所述第一防火墙根据所述对应关系以及所述第一目标标识建立用于处理第一服务终端相关报文的第一处理策略。

在另一种实施例中，该方法还包括：当确定所述第一服务终端的状态为申请下线时，则获取所述第一公网地址与所述第一服务终端的第一私网地址的对应关系，并撤销所述对应关系；

将所述对应关系通过第二报文发送给所述第一防火墙，所述第二报文携带第二目标标识，以使所述第一防火墙根据所述对应关系以及所述第二目标标识撤销第一处理策略。

通过上述实施例可以看出，资产管理设备可通过第一防火墙监控第一服务终端，以及为第一服务终端分配第一公网地址，建立第一公网地址与该第一服务终端的第一私网地址的对应关系，通过将该对应关系发送给第一防火墙，使得第一防火墙可以根据该对应关系建立第一处理策略，该第一处理策略可以包括地址装换策略、安全策略等，实现了资产管理设备与第一防火墙间的联动，第一防火墙可根据资产管理设备发送的对应关系自动配置处理策略，当服务终端下线时，防火墙可自动删除该服务终端对应的处理策略，从而避免了防火墙资源的浪费。

在另一种实施例中，在所述通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况之前，该方法还包括：

通过指定端口号接收所述第一防火墙发送的携带联动标识的第三报文，所述第三报文携带所述第一防火墙的地址信息；

根据所述联动标识以及所述第一防火墙的地址信息，建立与所述第一防火墙的联动关系。

在另一种实施例中，通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况，具体包括：

通过所述指定端口号以及联动关系，监控与该第一防火墙连接的第一服务终端的运行情况。

本公开实施例提供了一种设备管理的方法，该方法应用在第一防火墙中，该第一防火墙与资产管理设备连接，该方法包括：

当获取到自身下挂的第一服务终端的运行情况为首次上线时，向所述资产管理设备发送所述第一服务终端的第一私网地址，以使所述资产管理设备为所述第一服务终端分配第一公网地址，并建立第一私网地址与第一公网地址的对应关系；

接收资产管理设备发送的第一报文，所述第一报文携带第一目标标识和所述对应关系；

根据所述第一目标标识和所述对应关系建立用于处理第一服务终端相关报文的第一处理策略。

在另一种实施例中，第一处理策略包括：第一私网地址与第一公网地址的转换策略。

在另一种实施例中，当获取到自身下挂的第一服务终端的运行情况为首次上线时，具体包括：

向所述资产管理设备发送第四报文，所述第四报文携带所述第一私网地址以及用于表征所述第一服务终端首次上线的上线标识，以使所述资产管理设备根据所述上线标识确定所述第一服务终端的状态为首次上线。

在另一种实施例中，接收资产管理设备发送的第二报文，所述第二报文携带第二目标标识以及所述对应关系；

根据所述第二目标标识和所述对应关系删除用于处理第一服务终端相关表文的第一处理策略。

通过上述实施例可以看出，第一防火墙与资产管理设备间可联动，当第一防火墙从资产管理设备获取到第一私网地址与第一公网地址的对应关系时，可以根据该对应关系为第一私网地址对应的第一服务终端自动配置处理策略，例如根据该对应关系为第一服务终端设置NAT(Network Address Translation，网络地址转换)处理策略，无需管理员进行人工配置。并且可以感知第一服务终端是否下线，并当第一服务终端下线后，自动删除与第一服务终端对应的处理策略，从而使得防火墙可很快释放无用的处理策略，节省了防火墙资源。

本公开实施例提供了一种设备管理的装置，该装置应用在资产管理设备中，所述资产管理设备与第一防火墙连接，该装置包括：

监控模块，用于通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况；

第一处理模块，用于当确定所述第一服务终端的状态为首次上线时，则为所述第一服务终端分配第一公网地址，并记录所述第一公网地址与所述第一服务终端的第一私网地址的对应关系；

第一发送模块，用于将所述对应关系通过第一报文发送给所述第一防火墙，所述第一报文携带第一目标标识，以使所述第一防火墙根据所述对应关系以及所述第一目标标识建立用于处理第一服务终端相关报文的第一处理策略。

本公开实施例提供了一种设备管理的装置，该装置应用在第一防火墙中，第一防火墙与资产管理设备连接，该装置包括：

第二发送模块，用于当获取到自身下挂的第一服务终端的运行情况为首次上线时，向所述资产管理设备发送所述第一服务终端的第一私网地址，以使所述资产管理设备为所述第一服务终端分配第一公网地址，并建立第一私网地址与第一公网地址的对应关系；

接收模块，用于接收资产管理设备发送的第一报文，所述第一报文携带第一目标标识和所述对应关系；

第二处理模块，用于根据所述第一目标标识和所述对应关系建立用于处理第一服务终端相关报文的第一处理策略。

通过上述实施例可以看出，第一防火墙与资产管理设备间可联动，当第一防火墙从资产管理设备获取到第一私网地址与第一公网地址的对应关系时，可以根据该对应关系为第一私网地址对应的第一服务终端自动配置处理策略，例如根据该对应关系为第一服务终端设置NAT(Network Address Translation，网络地址转换)处理策略，无需管理员进行人工配置。并且可以感知第一服务终端是否下线，并当第一服务终端下线后，自动删除与第一服务终端对应的处理策略，从而使得防火墙可很快释放无用的处理策略，节省了防火墙资源。

附图说明

图1.为本公开实施例提供的一种网络结构示意图；

图2.为本公开实施例提供的一种设备管理的方法流程示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

在本公开使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本公开。在本公开和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

如图1所示，防火墙与资源管理设备均与路由器连接，用于管理和控制安全资源池中的各服务器，在本实施例中，资产管理设备可以为独立于防火墙的设备(例如独立于防火墙的资产管理服务器)，也可以为以耦合板卡形式部署在分布式防火墙的机框上。

如图2所示，本公开实施例提供了一种设备管理的方法，该方法应用在资产管理设备中，所述资产管理设备与第一防火墙连接，该方法包括：

S1.通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况；

S2.当确定所述第一服务终端的状态为首次上线时，则为所述第一服务终端分配第一公网地址，并记录所述第一公网地址与所述第一服务终端的第一私网地址的对应关系；

S3.将所述对应关系通过第一报文发送给所述第一防火墙，所述第一报文携带第一目标标识，以使所述第一防火墙根据所述对应关系以及所述第一目标标识建立用于处理第一服务终端相关报文的第一处理策略。

在执行步骤S1之前，还可执行通过指定端口号接收所述第一防火墙发送的携带联动标识的第三报文，所述第三报文携带所述第一防火墙的地址信息；根据所述联动标识以及所述第一防火墙的地址信息，建立与所述第一防火墙的联动关系。

其中，该指定端口号可以为资源管理设备与防火墙协商一致的端口号，例如端口号：60000，当第一防火墙需要与资产管理设备建立关联关系时，资产管理设备会持续监控端口号为60000的端口，第一防火墙可以利用端口号60000发送第三报文(例如第三报文中携带端口号60000)，其中第三报文会携带第一防火墙的地址信息，可以通过以下表1中的格式发送给资源管理设备，以使资源管理设备根据表1建立与第一防火墙的关联关系。

Type	Length	Value1	Value2
				0	长度	第一防火墙地址	/

表1

其中，Type中加载的是联动标识，“0”可以用于表示请求联动，在其他实施例中，可以用“1”来表示取消联动。

当资产管理设备通过监听端口号60000的报文，接收到第一防火墙发送的携带Type 0的第三报文时，可以确定第一防火墙请求与自身联通，此时资产管理设备可以通过表2实现资产管理设备与第一防火墙的联动，具体如下：

名称	私网地址	公网地址	是否联动
				第一防火墙	192.168.1.1	/	是

表2

在步骤S1中，资产管理设备可以通过对指定端口号进行主动扫描的方式来实现监控第一防火墙中各服务终端的运行情况，在其他实施例中也可以通过分析流量日志的内容来实现上述监控工作，其中，这里所述的运行情况可以包括是否存在新的服务终端上线，或者已存在的服务终端下线等运行情况。

在步骤S2中，当通过步骤S1监控到第一防火墙下存在第一服务终端的状态为首次上线时(例如该第一服务终端为新接入第一防火墙的设备)，则为该第一服务终端分配第一公网地址。

在本实施例中，资产管理设备中设置有公网地址池，可以用于为第一防火墙中的服务终端分配公网地址。

在本实施例中，当第一防火墙识别出第一服务终端为新上线的服务终端是，可以通过指定端口号(如上述的端口号60000)发送第四报文，该第四报文携带了该第一服务终端的第一私网地址以及用于表征该第一服务终端为首次上线的上线标识。

资产管理设备在通过第四报文获取到第一服务终端的私网地址后，可以根据公网地址池为该第一服务终端分配第一公网地址，并通过表3的方式进行记录(记录第一公网地址与该第一服务终端私网地址的对应关系)。

名称	私网地址	公网地址	是否联动
				第一防火墙	192.168.1.1	/	是
第一服务终端	10.1.1.1	1.1.1.1	/

表3

并将该第一服务终端的私网地址与第一公网地址的对应关系通过第一报文发送给第一防火墙，其发送格式以表4为例

Type	Length	Value1	Value2
				0	长度	10.1.1.1	1.1.1.1

表4

其中，Type 0表示第一防火墙与资产管理设备已联动；

Value1代表第一服务终端的私网地址为10.1.1.1；

Value2代表为第一服务终端分配的第一公网地址为1.1.1.1.

第一防火墙收到表4中的信息后，便可生成相应的处理策略，例如NAT策略、安全策略，具体如表5所示：

私网地址	公网地址	NAT策略	安全策略
				10.1.1.1	1.1.1.1	Y	Y

表5

第一防火墙在收到私网地址为10.1.1.1的报文时，可直接查找到表5中的策略，认为该报文符合安全策略，可以进行转发，并且，将私网地址10.1.1.1通过NAT转换成1.1.1.1发送到公网中。反之，可以将从公网侧接收到的目的地址为1.1.1.1的公网报文通过NAT将地址转换成10.1.1.1发送到第一服务终端。

通过上述实施例可以看出，本方案中可以让资产管理设备与第一防火墙(该防火墙可以为多个，多个防火墙均可为第一防火墙)产生联动，资产管理设备可以通过监听获取第一防火墙中新增的第一服务终端，并为该第一服务终端分配公网地址，无需人工进行配置。

在另一种实施例中，与第一防火墙连接的第一服务终端可能存在下线的情况，此时当资产管理设备通过监听获取到与第一防火墙连接的第一服务终端下线时，可通过第二报文将下线的第一服务终端的私网地址和第一公网地址的对应关系发送给第一防火墙，以使第一防火墙删除与第一服务终端相关的处理策略，其发送内容如表6所示：

Type	Length	Value1	Value2
				1	长度	10.1.1.1	1.1.1.1

表6

其中，Type 1为第二目标标识，其含义可表示撤销，当第一防火墙收到表6中的信息后，可查找本地与Value1、Value2中的地址相匹配的处理策略，并将相关的处理策略删除，从而释放第一防火墙中的内存资源，同时回收公网地址资源。

通过上述实施例可以看出，资产管理设备监控第一防火墙中的第一服务终端下线情况，当确定第一服务终端下线后，可向第一防火墙发送携带第二目标标识的第二报文，用于第二防火墙及时撤销与第一服务终端相关的处理策略，节省了第一防火墙的内存资源，同时资源管理设备可以回收第一公网地址，节省了公网地址的资源。

基于与上述方法相同的思想构思，本公开实施例还提供了一种设备管理的装置，所述装置应用在资产管理设备中，所述资产管理设备与第一防火墙连接，所述装置包括：

监控模块，用于通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况；

第一处理模块，用于当确定所述第一服务终端的状态为首次上线时，则为所述第一服务终端分配第一公网地址，并记录所述第一公网地址与所述第一服务终端的第一私网地址的对应关系；

第一发送模块，用于将所述对应关系通过第一报文发送给所述第一防火墙，所述第一报文携带第一目标标识，以使所述第一防火墙根据所述对应关系以及所述第一目标标识建立用于处理第一服务终端相关报文的第一处理策略。

一种设备管理的装置，所述装置应用在第一防火墙中，所述第一防火墙与资产管理设备连接，所述装置包括：

第二发送模块，用于当获取到自身下挂的第一服务终端的运行情况为首次上线时，向所述资产管理设备发送所述第一服务终端的第一私网地址，以使所述资产管理设备为所述第一服务终端分配第一公网地址，并建立第一私网地址与第一公网地址的对应关系；

接收模块，用于接收资产管理设备发送的第一报文，所述第一报文携带第一目标标识和所述对应关系；

第二处理模块，用于根据所述第一目标标识和所述对应关系建立用于处理第一服务终端相关报文的第一处理策略。

在本申请所提供的几个实施方式中，应该理解到，所揭露的方法和电子设备，也可以通过其它的方式实现。以上所描述的实施方式仅仅是示意性的，例如，附图中的流程图和框图显示了根据本公开的多个实施方式的方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现方式中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

最后应说明的是：以上所述实施方式，仅为本公开的具体实施方式，用以说明本公开的技术方案，而非对其限制，本公开的保护范围并不局限于此，尽管参照前述实施方式对本公开进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本公开揭露的技术范围内，其依然可以对前述实施方式所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本公开实施方式技术方案的精神和范围，都应涵盖在本公开的保护范围之内。因此，本公开的保护范围应所述以权利要求的保护范围为准。

Claims (10)

1.一种设备管理的方法，其特征在于，所述方法应用在资产管理设备中，所述资产管理设备与第一防火墙连接，所述方法包括：

通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况；

当确定所述第一服务终端的状态为首次上线时，则为所述第一服务终端分配第一公网地址，并记录所述第一公网地址与所述第一服务终端的第一私网地址的对应关系；

将所述对应关系通过第一报文发送给所述第一防火墙，所述第一报文携带第一目标标识，以使所述第一防火墙根据所述对应关系以及所述第一目标标识建立用于处理第一服务终端相关报文的第一处理策略。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

当确定所述第一服务终端的状态为申请下线时，则获取所述第一公网地址与所述第一服务终端的第一私网地址的对应关系，并撤销所述对应关系；

将所述对应关系通过第二报文发送给所述第一防火墙，所述第二报文携带第二目标标识，以使所述第一防火墙根据所述对应关系以及所述第二目标标识撤销第一处理策略。

3.根据权利要求1所述的方法，其特征在于，在所述通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况之前，所述方法还包括：

通过指定端口号接收所述第一防火墙发送的携带联动标识的第三报文，所述第三报文携带所述第一防火墙的地址信息；

根据所述联动标识以及所述第一防火墙的地址信息，建立与所述第一防火墙的联动关系。

4.根据权利要求3所述的方法，其特征在于，所述通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况，具体包括：

通过所述指定端口号以及联动关系，监控与该第一防火墙连接的第一服务终端的运行情况。

5.一种设备管理的方法，其特征在于，所述方法应用在第一防火墙中，所述第一防火墙与资产管理设备连接，所述方法包括：

当获取到自身下挂的第一服务终端的运行情况为首次上线时，向所述资产管理设备发送所述第一服务终端的第一私网地址，以使所述资产管理设备为所述第一服务终端分配第一公网地址，并建立第一私网地址与第一公网地址的对应关系；

接收资产管理设备发送的第一报文，所述第一报文携带第一目标标识和所述对应关系；

根据所述第一目标标识和所述对应关系建立用于处理第一服务终端相关报文的第一处理策略。

6.根据权利要求5所述的方法，其特征在于，所述第一处理策略包括：第一私网地址与第一公网地址的转换策略。

7.根据权利要求5所述的方法，其特征在于，所述当获取到自身下挂的第一服务终端的运行情况为首次上线时，所述具体包括：

向所述资产管理设备发送第四报文，所述第四报文携带所述第一私网地址以及用于表征所述第一服务终端首次上线的上线标识，以使所述资产管理设备根据所述上线标识确定所述第一服务终端的状态为首次上线。

8.根据权利要求5所述的方法，其特征在于，所述方法还包括：

接收资产管理设备发送的第二报文，所述第二报文携带第二目标标识以及所述对应关系；

根据所述第二目标标识和所述对应关系删除用于处理第一服务终端相关表文的第一处理策略。

9.一种设备管理的装置，其特征在于，所述装置应用在资产管理设备中，所述资产管理设备与第一防火墙连接，所述装置包括：

监控模块，用于通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况；

第一处理模块，用于当确定所述第一服务终端的状态为首次上线时，则为所述第一服务终端分配第一公网地址，并记录所述第一公网地址与所述第一服务终端的第一私网地址的对应关系；

第一发送模块，用于将所述对应关系通过第一报文发送给所述第一防火墙，所述第一报文携带第一目标标识，以使所述第一防火墙根据所述对应关系以及所述第一目标标识建立用于处理第一服务终端相关报文的第一处理策略。

10.一种设备管理的装置，其特征在于，所述装置应用在第一防火墙中，所述第一防火墙与资产管理设备连接，所述装置包括：

第二发送模块，用于当获取到自身下挂的第一服务终端的运行情况为首次上线时，向所述资产管理设备发送所述第一服务终端的第一私网地址，以使所述资产管理设备为所述第一服务终端分配第一公网地址，并建立第一私网地址与第一公网地址的对应关系；

接收模块，用于接收资产管理设备发送的第一报文，所述第一报文携带第一目标标识和所述对应关系；

第二处理模块，用于根据所述第一目标标识和所述对应关系建立用于处理第一服务终端相关报文的第一处理策略。

Images