CN111917743A - 节点间访问关系切换方法、系统、设备及介质 - Google Patents
节点间访问关系切换方法、系统、设备及介质 Download PDFInfo
- Publication number
- CN111917743A CN111917743A CN202010683781.4A CN202010683781A CN111917743A CN 111917743 A CN111917743 A CN 111917743A CN 202010683781 A CN202010683781 A CN 202010683781A CN 111917743 A CN111917743 A CN 111917743A
- Authority
- CN
- China
- Prior art keywords
- network node
- access
- address
- policy
- node address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供了一种节点间访问关系切换方法,用于将第一网络节点的节点间访问关系切换到第二网络节点,首先获取第一网络节点的第一网络节点地址以及第二网络节点的第二网络节点地址;根据第一网络节点地址从数据库获取第一网络节点的第一访问关系策略;根据第一访问关系策略及第二网络节点地址生成第二访问关系策略;根据第二访问关系策略配置第二网络节点的访问关系。本公开还提供了一种电子设备、计算机系统以及一种计算机可读存储介质。
Description
技术领域
本公开涉及网络安全领域,更具体地,涉及一种节点间访问关系 切换方法、系统、设备及介质。
背景技术
随着目前云环境的发展,出现了包括大量的应用进入云端、服务 器逐渐扩容、访问关系交错等业务变化,这些对网络安全访问控制- 防火墙策略带来一系列的挑战。一方面,对于应用侧,应用进入云端 需要梳理出大量的应用传统网络节点开通的防火墙策略,以变更的形 式提交给网络侧,同步放开对入云迁移后的新应用网络节点的访问控 制。在这过程中,由于专业交叉受限,存在访问关系梳理不全或者有 误的情况,导致网络侧访问控制开通情况受阻,轻则影响重复的人力 物力劳动,重则对应用造成影响。另一方面,对于网络侧,业务应用 迁移,需要同步对网络安全控制做出相应的调整,由于原有参考网络 节点的访问关系错综复杂,存在着大量的防火墙侧访问关系策略,不 仅要保证新应用网络节点的访问控制得以开通,还要保证网络安全。 同时,由于存在大批量的访问关系需要同步调整,从策略方案准备, 复核到设备上的方案下发实施,对于网络专业的人力物力都有很大的 考验和挑战,而且由于人工准备方案,复核以及实施也存在着潜在的 方案有误的风险。
综上所述,需要相关自动化节点间访问关系切换的手段,帮助应 用侧更好的进行业务迁移扩容,同时,使网络侧更快捷更准确的进行 访问关系的切换。
发明内容
本公开的一个方面提供了一种节点间访问关系切换方法,用于将 第一网络节点的访问关系切换到第二网络节点,方法包括:获取所述 第一网络节点的第一网络节点地址以及所述第二网络节点的第二网络 节点地址;根据所述第一网络节点地址从数据库获取所述第一网络节 点的第一访问关系策略;根据所述第一访问关系策略及第二网络节点 地址生成第二访问关系策略;根据所述第二访问关系策略配置所述第 二网络节点的访问关系。
可选地,所述根据所述第一访问关系策略及第二网络节点地址生 成第二访问关系策略,包括:遍历访问关系中的至少一个防火墙,针 对每个所述防火墙,判断是否可以将所述第二网络节点地址直接写入 所述第一访问关系策略:若是,将所述第二网络节点地址写入所述第 一访问关系策略,生成第一子策略;否则,将第一访问关系策略中所 述第一网络节点地址替换为所述第二网络节点地址,生成第二子策略; 合并所述第一子策略及第二子策略,得到所述第二访问关系策略。
可选地,在根据所述第一网络节点地址从数据库获取所述第一网 络节点的第一访问关系策略之前,还包括:根据获取的第一网络节点 地址的格式类型,生成相应的数据库检索参数,并根据该数据库检索 参数生成相应的检索语句。
可选地,在获取所述第一网络节点的第一网络节点地址以及所述 第二网络节点的第二网络节点地址之后,包括:判断所述第一网络节 点与第二网络节点所在网络区域的类型是否相同,若是,则允许进行 节点间访问关系切换,否则,不允许进行节点间访问关系切换。
可选地,所述获取所述第一网络节点的第一网络节点地址以及所 述第二网络节点的第二网络节点地址,还包括:对所述第一网络节点 地址及第二网络节点地址进行格式校验。
本公开的另一个方面提供了一种电子设备,用于将第一网络节点 的访问关系切换到第二网络节点,系统包括:地址获取模块,用于获 取所述第一网络节点的第一网络节点地址以及所述第二网络节点的第 二网络节点地址;第一访问关系策略获取模块,用于根据所述第一网 络节点地址从数据库获取所述第一网络节点的第一访问关系策略;第 二访问关系策略生成模块,用于根据所述第一访问关系策略及第二网 络节点地址生成第二访问关系策略;配置模块,用于根据所述第二访 问关系策略配置所述第二网络节点的访问关系。
可选地,所述第二访问关系策略生成模块根据所述第一访问关系 策略及第二网络节点地址生成第二访问关系策略,包括:遍历访问关 系中的至少一个防火墙,针对每个所述防火墙,判断是否可以将所述 第二网络节点地址直接写入所述第一访问关系策略:若是,将所述第 二网络节点地址写入所述第一访问关系策略,生成第一子策略;否则, 将第一访问关系策略中所述第一网络节点地址替换为所述第二网络节 点地址,生成第二子策略;合并所述第一子策略及第二子策略,得到 所述第二访问关系策略。
可选地,系统还包括检索语句生成模块,用于根据获取的第一网 络节点地址的格式类型,生成相应的数据库检索参数,并根据该数据 库检索参数生成相应的检索语句。
可选地,系统还包括网络区域校验模块,用于判断所述第一网络 节点与第二网络节点所在网络区域的类型是否相同,若是,则允许进 行节点间访问关系切换,否则,不允许进行节点间访问关系切换。
可选地,系统还包括地址校验模块,用于对所述第一网络节点地 址及第二网络节点地址进行格式校验。
本公开的另一个方面提供了一种计算机系统,包括:存储器、处 理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理 器执行所述计算机程序时用于实现如上所述的方法。
本公开的另一个方面提供了一种计算机可读存储介质,存储有计 算机可执行指令,所述指令在被执行时用于实现如上所述的方法。
根据本公开的实施例的节点间访问关系切换方法,前端用户只需 输入更变前后的网络节点地址,后端通过更变前后的网络节点地址即 能从数据库中匹配出相应的访问关系策略,并应用至新的网络节点, 这使得业务迁移时不需要进行大量人工操作,即能达到大批量的访问 关系准确、快速的切换。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下 描述,其中:
图1示意性示出了根据本公开实施例的节点间访问关系切换方法的 应用场景;
图2示意性示出了根据本公开实施例的节点间访问关系切换方法的 流程图;
图3示意性示出了根据本公开实施例前端的可视化界面。
图4示意性示出了根据本公开实施例的电子设备的框图;以及
图5示意性示出了根据本公开另一实施例的计算机系统的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描 述只是示例性的,而并非要限制本公开的范围。在下面的详细描述中, 为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理 解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下 也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述, 以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公 开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/ 或部件的存在,但是并不排除存在或添加一个或多个其他特征、步骤、 操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员 通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为 具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的 方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一 般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例 如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、 单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个” 这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表 述的含义来予以解释(例如,“具有A、B或C中至少一个的系统”应包 括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有 A和C、具有B和C、和/或具有A、B、C的系统等)。
本公开的实施例提供了一种节点间访问关系切换方法,用于将第一 网络节点的节点间访问关系切换到第二网络节点,首先获取第一网络节 点的第一网络节点地址以及第二网络节点的第二网络节点地址;根据第 一网络节点地址从数据库获取第一网络节点的第一访问关系策略;根据 所述第一防问关系策略及第二网络节点地址生成第二访问关系策略;根 据第二访问关系策略配置第二网络节点的防问关系。
图1示意性示出了根据本公开实施例的节点间访问关系切换方法的 应用场景。
如图1所示,网络区域1中分布有网络节点A1、B1、C1及相应 的防火墙1,网络区域2中分布有网络节点A2、B2、C2及相应的防火 墙2。本实施例中的网络节点均是指具有独立地址(IP或MAC)的网 络网络节点(例如应用、应用服务器等),网络节点间存在相互的访问 关系,访问关系例如是,针对网络节点A1,其能够访问B1、C1、B2, 同时,网络节点A1能够被B1、C1、C2所访问。假若网络区域2为云 平台,现需要将网络区域1中网络节点A1入云,即将网络节点A1上 的访问关系切换到网络区域2中的网络节点A2中,使得网络节点A2 能够访问B1、C1、B2,同时,网络节点A2能够被B1、C1、C2所访 问。
另外,在如图1所示的场景中,各网络节点的访问关系实际上是通 过各网络区域中的防火墙来控制的,还是以上述网络节点A1举例,其 能够访问B1、C1、B2,同时,网络节点A1能够被B1、C1、C2所访 问,那么在两个网络区域的防火墙配置中即体现在:防火墙1允许:A1 访问B1、C1以及B1、C1访问A1;防火墙2允许:A1访问B2以及 C2访问A1。
因此,本公开实施例所实现的网络节点间访问关系切换,实质上是 对各网络区域中的防火墙进行配置的过程。再以上述将网络节点A1的 访问关系切换到网络节点A2为例,本公开实施例需要先查询到网络节 点A1的访问关系,在根据网络节点A1的访问关系生成网络节点A2的 访问关系,再将新的访问关系配置到相应的防火墙中,即防火墙1允许: A2访问B1、C1;防火墙2允许:B1、C1访问A2,A2访问B2,C2 访问A2。
还需说明的是,在配置相应的防火墙时,需要将相应的访问关系策 略进行导入,该访问关系策略为上述逻辑关系的具体文本表达,包括对 于一系列带有源IP地址、目的IP地址、IP层所承载的上层协议的协议 号,源端口号和目的端口号等信息。访问关系策略具体的生成方法将在 后续进行描述。
因此,基于上述需求,本公开实施例提供了相应的节点间访问关系 切换方法、系统、设备及介质。
需要注意的是,图1所示仅为可以应用本公开实施例的场景的示例, 以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实 施例不可以用于其他设备、系统、环境或场景。
图2示意性示出了根据本公开实施例的节点间访问关系切换方法的 流程图。
如图2所示,该方法包括操作S201~S203。
在操作S201,获取第一网络节点的第一网络节点地址以及第二网 络节点的第二网络节点地址。
本公开的实施例通过前端向用户提供可视化界面,来供用户输入 相应的网络节点地址。在具体实施例中,该前端可先令用户输入账户 名密码,这里采用统一认证号验证的方式进行用户的核准检验来实现 准入,由于节点间访问关系切换纳入了整个网络专业范围,所以一定 程度上保证了信息的有效性。本实施例的前端的可视化界面可如图3 所示,其主要包含三类参数,变更单号:SD,参考网络节点IP(第一 网络节点的网络节点地址),迁移新网络节点IP(第二网络节点的网络 节点地址),网络节点地址可输入多个IP地址,不同地址间用半角逗 号分隔。对于一个变更而言,可能不只存在一组网络节点IP对应关系, 则支持新增按钮,可输入多组切换关系。
在操作S202,对第一网络节点地址及第二网络节点地址进行格式 校验。
用户输入网络节点的IP地址后,需要进行IP地址格式校验。本 实施例采用正则表达式进行对格式校验。正则表达式是计算机科学中 的一种概念,实质上是一种逻辑公式,根据其预先定义好的一个特定 字符,进行这些字符的特定组合,生成一个有一定匹配规则的字符串。 在本实施例中,对于IP地址的特定逻辑公式设定为“^\d+((?:\.\d+){3}” 和“(?:\.\d+){3}.\d+)$”两种,可并行匹配,即满足点分十进制和点分十 进制加掩码两种格式。若匹配校验不通过,则通过前端界面交互的方 式告知用户。
在操作S203,判断第一网络节点与第二网络节点所在网络区域的 类型是否相同,若是,则允许进行节点间访问关系切换,否则,不允 许进行节点间访问关系切换。
本公开实施例中的网络区域的类型可以是指具有固定安全防护等 级、用户访问群的服务器集合。在其他实施例中,网络区域的类型也 可根据其应用类型或者安全风险等级自行定义。请再参见图1,假如 需要将网络节点A1的访问关系切换到网络节点A2,需要判断网络节 点A1所在的网络区域1与网络节点A2所在的网络区域2是否为相同 类型,比如需要判断网络区域1和网络区域2是否具有安全防护等级, 以及是否具有相同的用户访问群,若是,则允许将网络节点A1的访 问关系切换到网络节点A2,否则不将网络节点A1的访问关系切换到 网络节点A2。本实施例可以将各网络节点的相关参数信息进行存储, 其中,将网络区域类型作为网络节点的网络区域标志位(参数为:PROD) 存储,在进行网络区域类型判断时,通过提取相应网络节点(A1、A2) 的网络区域标志位PROD并进行比对即可。
在操作S204,根据获取的第一网络节点地址的格式类型,生成相 应的数据库检索参数,并根据该数据库检索参数生成相应的检索语句。
本公开实施例在前端输入了相应的网络节点地址后,需要在后端 数据库根据网络节点地址获取相应的关系策略。而在数据库中检索之 前,需要根据网络节点地址生产相应的检索语句。本公开实施例中, 整个后端采用Python语言以及MongoDB数据库,MongoDB数据库是 一种介于关系型和非关系型的数据库产品,功能丰富,支持多种语言, 并且支持的数据结构松散,可以存储比较复杂的数据类型。在一些实 施例中,防火墙数量大、厂商型号也比较复杂,采用MongoDB存储 数据是比较好选择。
具体地,针对输入的地址格式不统一的情况,本实施例采用python 中的IPy模块将IP地址进行拆分整合,以使IP地址格式统一。其次, 用户输入的IP地址可能是不是具体的某个IP地址,而是某个网段的 IP地址,可想而知,用户希望将网段中所包含的网络节点均进行节点 间访问关系切换。此时,需要根据根据输入的IP地址类型生成不同的 数据库检索参数(Search参数),并根据该Search参数生成相应的检 索语句。
在操作S205,根据第一网络节点地址从数据库获取所述第一网络 节点的第一访问关系策略。
本实施例中可预先在数据库中通过存储防火墙设备信息,进而间 接存储各个网络节点的访问关系,例如图1所示的防火墙1和防火墙 2,其中,针对网络节点A1,防火墙1允许:A1访问B1、C1,B1、 C1访问A1;防火墙2允许:A1访问B2,C2访问A1。通过存储上述 防火墙设备的信息,进而能够知晓网络节点A1在网络区域1及网络 区域2中的访问关系。
具体地,本实施例在后端根据第一网络节点地址,在数据库中对 各防火墙设备进行遍历,在各个防火墙设备中检索含有第一网络节点 地址的信息,进而汇总为第一访问关系策略。在本实施例所指的策略, 即为各防火墙部署的对于一系列带有源IP地址、目的IP地址、IP层 所承载的上层协议的协议号,源端口号和目的端口号等信息的策略, 用于对跨防火墙的网络互访以及设备本身的访问进行控制。
在操作S206,根据第一访问关系策略及第二网络节点地址生成第 二访问关系策略。
仍以上述网络节点A1来举例,在数据库中检索出网络节点A1的 访问关系为A1→B1、A1→C1、A1→B2、A1←B1、A1←C1、A1←C2, 那么再结合A2的地址,可以得到A1到A2访问关系切换后,网络节 点A2的访问关系为A2→B1、A2→C1、A2→B2、A2←B1、A2←C1、 A2←C2。
然而上述只是逻辑上的访问关系,若要该将访问关系配置到网络 节点A2上,需要生成相应的访问关系策略,再将该访问关系策略应 用到相应区域的防火墙上,才能完成网络节点A2的访问关系配置。
另外,应用网络节点迁移时,由于其原有的应用功能原有参考网 络节点会对多个不同的网络区域进行互访,所涉及多台防火墙的大批 量策略。某一防火墙在数据库中的存储表如下表1所示。
| _id | ObjectId("5e05af541053482d986ce547") |
| name | NF95FW0A-VZ-9307 |
| ip | 84.1.1.1 |
| type | HW |
表1
在对该防火墙设备进行检索时,采用pymongo模块检索满足上述 检索语句的策略(即第一访问关系策略),再采用checkResult模块判 断新IP是否已经被含在策略(包括上述提到的源IP地址、目的IP地 址、IP层所承载的上层协议的协议号、源端口号和目的端口号)内, 根据返回结果的true或false,来判定相应的访问关系是否需要在防火 墙间进行切换。
对于需要进行切换的访问关系,本实施例对检索出的第一访问关 系策略进行修改,得到第二访问关系策略。
具体地,遍历访问关系中的至少一个防火墙,针对每个防火墙, 判断是否可以将第二网络节点地址直接写入第一访问关系策略。针对 不同类型的防火墙,若是,将第二网络节点地址写入所述第一访问关 系策略,生成第一子策略;否则,将第一访问关系策略中所述第一网 络节点地址替换为所述第二网络节点地址,生成第二子策略;合并第 一子策略及第二子策略,得到所述第二访问关系策略。
举例来说,本实施例针对不同类型的防火墙,需要采用不同的修 改模式,例如思科防火墙,其访问关系策略格式不支持添加新IP地址, 因此,本实施例需要将第一访问关系策略中涉及该防火墙策略的A1 地址替换为A2地址。其他一般类型的防火墙,若支持添加新IP地址, 则直接在涉及该防火墙策略中加入A2地址即可。在通过不同的修改 模式后,将相关修改后的策略进行合并,即可得到针对网络节点A2 的访问关系策略。
S207,根据第二访问关系策略配置第二网络节点的访问关系。
本实施例中,是将第二访问关系策略应用到相应的防火墙中,进 而成功配置第二网络节点的访问关系。再以图1举例来说,将第二访 问关系策略中A2→B1、A2→C1应用到防火墙1,A2→B2、A2←B1、 A2←C1、A2←C2应用到防火墙2,即完成的网络节点A2的配置。
图4示意性示出了根据本公开实施例的电子设备的框图。
如图4所示,电子设备400包括地址获取模块410、地址校验模 块420、网络区域校验模块430、检索语句生成模块440、第一访问关 系策略获取模块450、第二访问关系策略生成模块460、配置模块470。 该节点间访问关系切换系统可以执行上面参考图2描述的方法,以实 现第一网络节点到第二网络节点的访问关系切换。
具体地,地址获取模块410,获取第一网络节点的第一网络节点 地址以及第二网络节点的第二网络节点地址。
地址校验模块420,用于对第一网络节点地址及第二网络节点地 址进行格式校验。
网络区域校验模块430,用于判断所述第一网络节点与第二网络 节点所在网络区域的类型是否相同,若是,则允许进行节点间访问关 系切换,否则,不允许进行节点间访问关系切换。
检索语句生成模块440,用于根据获取的第一网络节点地址的格 式类型,生成相应的数据库检索参数,并根据该数据库检索参数生成 相应的检索语句。
第一访问关系策略获取模块450,用于根据获取的第一网络节点 地址的格式类型,生成相应的数据库检索参数,并根据该数据库检索 参数生成相应的检索语句。
第二访问关系策略生成模块460,用于根据第一访问关系策略及 第二网络节点地址生成第二访问关系策略。
配置模块470,用于根据第二访问关系策略配置第二网络节点的 访问关系。
根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、 或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实 施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成 多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中 的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程 门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、 封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或 封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及 固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或 者,根据本公开实施例的模块、子模块、单元、子单元中的一个或多个 可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行 时,可以执行相应的功能。
例如,地址获取模块410、地址校验模块420、网络区域校验模块 430、检索语句生成模块440、第一访问关系策略获取模块450、第二访 问关系策略生成模块460、配置模块470中的任意多个可以合并在一个 模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者, 这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少 部分功能相结合,并在一个模块中实现。根据本公开的实施例,地址获 取模块410、地址校验模块420、网络区域校验模块430、检索语句生成 模块440、第一访问关系策略获取模块450、第二访问关系策略生成模 块460、配置模块470中的至少一个可以至少被部分地实现为硬件电路, 例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、 基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对 电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以 软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当 组合来实现。或者,地址获取模块410、地址校验模块420、网络区域校验模块430、检索语句生成模块440、第一访问关系策略获取模块450、 第二访问关系策略生成模块460、配置模块470中的至少一个可以至少 被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以 执行相应的功能。
图5示意性示出了根据本公开实施例的适于实现上文描述的方法的 计算机系统的方框图。图5示出的计算机系统仅仅是一个示例,不应对 本公开实施例的功能和使用范围带来任何限制。
如图5所示,根据本公开实施例的计算机系统500包括处理器501, 其可以根据存储在只读存储器(ROM)502中的程序或者从存储部分508 加载到随机访问存储器(RAM)503中的程序而执行各种适当的动作和 处理。处理器501例如可以包括通用微处理器(例如CPU)、指令集处 理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器501还可以包括用于缓存用途的板载存储器。处理器901 可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处 理单元或者是多个处理单元。
在RAM 503中,存储有系统500操作所需的各种程序和数据。处 理器501、ROM 502以及RAM 503通过总线504彼此相连。处理器501 通过执行ROM 502和/或RAM 503中的程序来执行根据本公开实施例的 方法流程的各种操作。需要注意,所述程序也可以存储在除ROM 502 和RAM 503以外的一个或多个存储器中。处理器501也可以通过执行 存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方 法流程的各种操作。
根据本公开的实施例,系统500还可以包括输入/输出(I/O)接口 905,输入/输出(I/O)接口905也连接至总线504。系统500还可以包 括连接至I/O接口505的以下部件中的一项或多项:包括键盘、鼠标等 的输入部分506;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等 以及扬声器等的输出部分507;包括硬盘等的存储部分508;以及包括 诸如LAN卡、调制解调器等的网络接口卡的通信部分509。通信部分 509经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接 至I/O接口505。可拆卸介质511,诸如磁盘、光盘、磁光盘、半导体存 储器等等,根据需要安装在驱动器510上,以便于从其上读出的计算机 程序根据需要被安装入存储部分508。
根据本公开的实施例,根据本公开实施例的方法流程可以被实现为 计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其 包括承载在计算机可读存储介质上的计算机程序,该计算机程序包含用 于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程 序可以通过通信部分509从网络上被下载和安装,和/或从可拆卸介质 511被安装。在该计算机程序被处理器501执行时,执行本公开实施例 的系统中限定的上述功能。根据本公开的实施例,上文描述的系统、设 备、装置、模块、单元等可以通过计算机程序模块来实现。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质 可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独 存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载 有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本 公开实施例的方法。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方 法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上, 流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部 分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定 的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两 个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相 反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图 中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的 功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计 算机指令的组合来实现。
本领域技术人员可以理解,尽管已经参照本公开的特定示例性实施 例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附 权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公 开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述 实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求 的等同物来进行限定。
Claims (12)
1.一种节点间访问关系切换方法,用于将第一网络节点的访问关系切换到第二网络节点,方法包括:
获取所述第一网络节点的第一网络节点地址以及所述第二网络节点的第二网络节点地址;
根据所述第一网络节点地址从数据库获取所述第一网络节点的第一访问关系策略;
根据所述第一访问关系策略及第二网络节点地址生成第二访问关系策略;
根据所述第二访问关系策略配置所述第二网络节点的访问关系。
2.根据权利要求1所述的方法,其中,所述根据所述第一访问关系策略及第二网络节点地址生成第二访问关系策略,包括:
遍历访问关系中的至少一个防火墙,针对每个所述防火墙,判断是否可以将所述第二网络节点地址直接写入所述第一访问关系策略:
若是,将所述第二网络节点地址写入所述第一访问关系策略,生成第一子策略;
否则,将第一访问关系策略中所述第一网络节点地址替换为所述第二网络节点地址,生成第二子策略;
合并所述第一子策略及第二子策略,得到所述第二访问关系策略。
3.根据权利要求1所述的方法,其中,在根据所述第一网络节点地址从数据库获取所述第一网络节点的第一访问关系策略之前,还包括:
根据获取的第一网络节点地址的格式类型,生成相应的数据库检索参数,并根据该数据库检索参数生成相应的检索语句。
4.根据权利要求1所述的方法,其中,在获取所述第一网络节点的第一网络节点地址以及所述第二网络节点的第二网络节点地址之后,包括:
判断所述第一网络节点与第二网络节点所在网络区域的类型是否相同,若是,则允许进行节点间访问关系切换,否则,不允许进行节点间访问关系切换。
5.根据权利要求1所述的方法,其中,所述获取所述第一网络节点的第一网络节点地址以及所述第二网络节点的第二网络节点地址,还包括:
对所述第一网络节点地址及第二网络节点地址进行格式校验。
6.一种电子设备,用于将第一网络节点的访问关系切换到第二网络节点,电子设备包括:
地址获取模块,用于获取所述第一网络节点的第一网络节点地址以及所述第二网络节点的第二网络节点地址;
第一访问关系策略获取模块,用于根据所述第一网络节点地址从数据库获取所述第一网络节点的第一访问关系策略;
第二访问关系策略生成模块,用于根据所述第一访问关系策略及第二网络节点地址生成第二访问关系策略;
配置模块,用于根据所述第二访问关系策略配置所述第二网络节点的访问关系。
7.根据权利要求6所述的电子设备,其中,所述第二访问关系策略生成模块根据所述第一访问关系策略及第二网络节点地址生成第二访问关系策略,包括:
遍历访问关系中的至少一个防火墙,针对每个所述防火墙,判断是否可以将所述第二网络节点地址直接写入所述第一访问关系策略:
若是,将所述第二网络节点地址写入所述第一访问关系策略,生成第一子策略;
否则,将第一访问关系策略中所述第一网络节点地址替换为所述第二网络节点地址,生成第二子策略;
合并所述第一子策略及第二子策略,得到所述第二访问关系策略。
8.根据权利要求6所述的电子设备,其中,还包括检索语句生成模块,用于根据获取的第一网络节点地址的格式类型,生成相应的数据库检索参数,并根据该数据库检索参数生成相应的检索语句。
9.根据权利要求1所述的电子设备,其中,还包括网络区域校验模块,用于判断所述第一网络节点与第二网络节点所在网络区域的类型是否相同,若是,则允许进行节点间访问关系切换,否则,不允许进行节点间访问关系切换。
10.根据权利要求1所述的电子设备,其中,还包括地址校验模块,用于对所述第一网络节点地址及第二网络节点地址进行格式校验。
11.一种计算机系统,包括:存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时用于实现如权利要求1~5任一项所述的方法。
12.一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现如权利要求1~5任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010683781.4A CN111917743B (zh) | 2020-07-15 | 2020-07-15 | 节点间访问关系切换方法、系统、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010683781.4A CN111917743B (zh) | 2020-07-15 | 2020-07-15 | 节点间访问关系切换方法、系统、设备及介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111917743A true CN111917743A (zh) | 2020-11-10 |
| CN111917743B CN111917743B (zh) | 2022-07-19 |
Family
ID=73281153
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010683781.4A Active CN111917743B (zh) | 2020-07-15 | 2020-07-15 | 节点间访问关系切换方法、系统、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111917743B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114866408A (zh) * | 2022-04-26 | 2022-08-05 | 平安资产管理有限责任公司 | 配置迁移方法、系统、设备及介质 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101714997A (zh) * | 2010-01-15 | 2010-05-26 | 中国工商银行股份有限公司 | 防火墙策略生成方法、装置及系统 |
| CN102413145A (zh) * | 2011-10-29 | 2012-04-11 | 华为技术有限公司 | 访问媒体内容的方法、业务服务器和移动终端 |
| CN102984300A (zh) * | 2012-12-13 | 2013-03-20 | 北京邮电大学 | 一种4-6-4混合协议网络中分布式网关系统和访问方法 |
| CN104092678A (zh) * | 2014-07-02 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种访问控制列表的配置方法和装置 |
| US20150200812A1 (en) * | 2014-01-14 | 2015-07-16 | Verizon Patent And Licensing Inc. | Determining when to relearn a relationship between a network address and a port |
| US20180191726A1 (en) * | 2016-12-30 | 2018-07-05 | Ssh Communications Security Oyj | Access relationships in a computer system |
| CN108573029A (zh) * | 2018-03-20 | 2018-09-25 | 咪咕文化科技有限公司 | 一种获取网络访问关系数据的方法、装置及存储介质 |
| CN108632100A (zh) * | 2015-08-24 | 2018-10-09 | 上海天旦网络科技发展有限公司 | 发现与呈现网络应用访问信息的方法和系统 |
| CN109756520A (zh) * | 2019-03-19 | 2019-05-14 | 全链通有限公司 | 动态访问控制方法、设备及计算机可读存储介质 |
| CN110213769A (zh) * | 2019-06-10 | 2019-09-06 | 平安科技(深圳)有限公司 | 一种内网访问方法及相关装置 |
| CN110247933A (zh) * | 2019-07-08 | 2019-09-17 | 中国工商银行股份有限公司 | 实现防火墙策略的方法和装置 |
-
2020
- 2020-07-15 CN CN202010683781.4A patent/CN111917743B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101714997A (zh) * | 2010-01-15 | 2010-05-26 | 中国工商银行股份有限公司 | 防火墙策略生成方法、装置及系统 |
| CN102413145A (zh) * | 2011-10-29 | 2012-04-11 | 华为技术有限公司 | 访问媒体内容的方法、业务服务器和移动终端 |
| CN102984300A (zh) * | 2012-12-13 | 2013-03-20 | 北京邮电大学 | 一种4-6-4混合协议网络中分布式网关系统和访问方法 |
| US20150200812A1 (en) * | 2014-01-14 | 2015-07-16 | Verizon Patent And Licensing Inc. | Determining when to relearn a relationship between a network address and a port |
| CN104092678A (zh) * | 2014-07-02 | 2014-10-08 | 杭州华三通信技术有限公司 | 一种访问控制列表的配置方法和装置 |
| CN108632100A (zh) * | 2015-08-24 | 2018-10-09 | 上海天旦网络科技发展有限公司 | 发现与呈现网络应用访问信息的方法和系统 |
| US20180191726A1 (en) * | 2016-12-30 | 2018-07-05 | Ssh Communications Security Oyj | Access relationships in a computer system |
| CN108573029A (zh) * | 2018-03-20 | 2018-09-25 | 咪咕文化科技有限公司 | 一种获取网络访问关系数据的方法、装置及存储介质 |
| CN109756520A (zh) * | 2019-03-19 | 2019-05-14 | 全链通有限公司 | 动态访问控制方法、设备及计算机可读存储介质 |
| CN110213769A (zh) * | 2019-06-10 | 2019-09-06 | 平安科技(深圳)有限公司 | 一种内网访问方法及相关装置 |
| CN110247933A (zh) * | 2019-07-08 | 2019-09-17 | 中国工商银行股份有限公司 | 实现防火墙策略的方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| YONG LI,MIN CHEN: "software-defined network function virtualization:A Survey", 《IEEE ACCESS》 * |
| 刘江: "网络动态防御策略及其有效性评估研究", 《中国博士学位论文全文数据库》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114866408A (zh) * | 2022-04-26 | 2022-08-05 | 平安资产管理有限责任公司 | 配置迁移方法、系统、设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111917743B (zh) | 2022-07-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10708231B2 (en) | Using headerspace analysis to identify unneeded distributed firewall rules | |
| US9948679B2 (en) | Object-relation user interface for viewing security configurations of network security devices | |
| US11489722B2 (en) | Network node policy generation and implementation | |
| US8813209B2 (en) | Automating network reconfiguration during migrations | |
| EP3788755B1 (en) | Accessing cloud resources using private network addresses | |
| CN109964451A (zh) | 虚拟网络验证服务 | |
| JP2018523248A (ja) | アプリケーションの展開のためのカスタム通信チャネル | |
| AU2015267387A1 (en) | Method and apparatus for automating the building of threat models for the public cloud | |
| US10990510B2 (en) | Associating attribute seeds of regression test cases with breakpoint value-based fingerprints | |
| CN109981493A (zh) | 一种用于配置虚拟机网络的方法和装置 | |
| CN103970662B (zh) | 一种gui软件输入边界值获取方法和系统 | |
| CN103581183B (zh) | 一种虚拟化安全隔离方法与装置 | |
| US10586025B2 (en) | Managing the display of hidden proprietary software code to authorized licensed users | |
| US20230336421A1 (en) | Virtualized Network Functions | |
| CN111917743B (zh) | 节点间访问关系切换方法、系统、设备及介质 | |
| US20070011348A1 (en) | Method and system of receiving and translating CLI command data within a routing system | |
| CN113391967B (zh) | 防火墙的包过滤测试方法及装置 | |
| CN112651137B (zh) | 一种策略模拟仿真给出策略开通建议的方法及装置 | |
| KR20210092364A (ko) | 점검코드와 점검 스크립트를 이용한 하이브리드 기반의 취약점 점검 방법 및 이를 이용한 장치 | |
| US20240046147A1 (en) | Systems and methods for administrating a federated learning network | |
| JP2006217567A (ja) | コマンドラインインターフェースエージェントを用いた通信機器及びその管理方法 | |
| US11336679B2 (en) | Combinatorial test design for optimizing parameter list testing | |
| CN112398815A (zh) | 一种基于仿真路径分析的访问控制基线检测方法及装置 | |
| Choi et al. | Object Addresses and Object Address Groups Creation Playbook for Palo Alto Firewall | |
| WO2021149119A1 (ja) | 推定システム及び推定プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |