CN112751874A - 一种设备策略管控方法、装置、电子设备及存储介质 - Google Patents

一种设备策略管控方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN112751874A
CN112751874A CN202011642836.3A CN202011642836A CN112751874A CN 112751874 A CN112751874 A CN 112751874A CN 202011642836 A CN202011642836 A CN 202011642836A CN 112751874 A CN112751874 A CN 112751874A
Authority
CN
China
Prior art keywords
action
control
equipment
information
interface
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202011642836.3A
Other languages
English (en)
Inventor
王国华
万可
张健
王尊时
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202011642836.3A priority Critical patent/CN112751874A/zh
Publication of CN112751874A publication Critical patent/CN112751874A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)

Abstract

本申请涉及一种设备策略管控方法、装置、电子设备及存储介质,属于网络安全技术领域。该方法应用于服务器,所述方法包括接收请求方设备调用所述服务器对外提供的统一接口而发送的动作请求;获取所述动作请求中的管控参数信息和待管控的设备信息;生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备,以使所述设备信息对应的设备根据所述管控命令进行策略管控。通过提供一种可以兼容不同厂商不同型号的设备的统一接口,使得在对设备进行策略管控时,不再需要单独进行二次接口开发集成,只需要调用该统一接口即可实现策略管控联动需求,解决了现有方式存在接口开发工作量大、难以复用、不易维护扩展的问题。

Description

一种设备策略管控方法、装置、电子设备及存储介质
技术领域
本申请属于网络安全技术领域,具体涉及一种设备策略管控方法、装置、电子设备及存储介质。
背景技术
随着网络的发展,计算机网络面临的安全问题也越来越多,为保障网络安全,目前网络中部署了大量安全防护设备,常见的有防火墙、入侵检测系统、入侵防御系统等。在面临复杂的网络安全威胁时,除了需要这些安全防护设备之外,还需要安全业务系统(例如:态势感知系统、策略编排系统、威胁情报系统等),用来及时监测发现、告警、处置网络遭遇的安全威胁,全面保障计算机网络的安全。
这些安全业务系统需要对部署在网络中的设备进行策略管控,来实现对安全事件的监测、告警、处置等,及时下发策略保障网络的安全。目前普遍的做法是安全业务系统需要分别与每种类型的设备单独做集成接口开发,每增加一类设备就需要单独与该设备做接口集成。由于不同厂家不同型号的设备的接口不同,现有方式需要分别与每种类型的设备单独做集成接口开发,导致存在接口开发工作量大、难以复用、不易维护扩展的问题。
发明内容
鉴于此,本申请的目的在于提供一种设备策略管控方法、装置、电子设备及存储介质,以改善现有的业务系统在对部署在网络中的设备进行策略管控时,存在接口开发工作量大、难以复用、不易维护扩展的问题。
本申请的实施例是这样实现的:
第一方面,本申请实施例提供了一种设备策略管控方法,应用于服务器,所述方法包括:接收请求方设备调用所述服务器对外提供的统一接口而发送的动作请求;获取所述动作请求中的管控参数信息和待管控的设备信息;生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备,以使所述设备信息对应的设备根据所述管控命令进行策略管控。本申请实施例中,通过提供一种可以兼容不同厂商不同型号的设备的统一接口,使得在对设备进行策略管控时,不再需要与不同厂商不同型号的设备分别单独进行二次接口开发集成,只需要调用对外提供的统一接口即可实现策略管控联动需求,解决了现有方式存在接口开发工作量大、难以复用、不易维护扩展的问题。
结合第一方面实施例的一种可能的实施方式,所述服务器包括集中管理端和动作执行代理,所述方法还包括:所述集中管理端获取所述动作请求中的动作请求类型,并获取与所述动作请求类型对应的动作执行代理;相应地,生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备,包括:所述集中管理端将所述管控参数信息、所述设备信息下发至所述动作执行代理,所述动作执行代理生成与所述管控参数信息对应的管控命令,并将所述管控命令发到所述设备信息对应的设备。本申请实施例中,通过动作请求中的动作请求类型来选择对应的动作执行代理(不同的动作请求类型对应的动作执行代理不同,不同的动作执行代理负责不同的策略管控),以实现对不同请求类型的管控策略的精确管控。
结合第一方面实施例的一种可能的实施方式,所述动作执行代理包括多个;将所述管控参数信息、所述设备信息下发至所述动作执行代理,包括:从多个所述动作执行代理中选取负载率最低的动作执行代理;所述管控参数信息、所述设备信息下发至所述负载率最低的动作执行代理。本申请实施例中,当动作执行代理包括多个,将管控参数信息、设备信息下发至负载率最低的动作执行代理,从而提高对设备管控的效率,避免排队等待。
结合第二方面实施例的一种可能的实施方式,所述方法还包括:在接收到所述动作请求时,为所述动作请求分配动作ID;以及获取所述设备信息对应的设备根据所述管控命令进行策略管控的管控结果;建立所述动作ID与所述管控结果的关联关系。本申请实施例中,通过为动作请求分配动作ID,以及将动作ID与该动作请求对应的管控结果的关联起来,以便于后续基于该动作ID便可查看与之对应的管控结果,实现对管控结果的监测。
结合第一方面实施例的一种可能的实施方式,通过以下方式建立所述统一接口:提供一OpenAPI接口,将调用所述OpenAPI接口的不同设备的功能抽象统一为动作请求,并将不同设备的动作请求参数进行统一,得到所述统一接口。本申请实施例中,通过将不同设备的功能抽象统一为动作请求,并将不同设备的动作请求参数进行统一,遵循OpenAPI规范封装成统一的标准接口,使得该统一接口可以兼容不同厂商不同型号的设备,从而使得在对设备进行策略管控时,不再需要单独进行二次接口开发集成,只需要调用该统一接口即可实现策略管控联动需求。
结合第一方面实施例的一种可能的实施方式,所述动作请求中携带有表征所述请求方设备的身份信息的认证参数;获取所述动作请求中的管控参数信息和待管控的设备信息,包括:基于所述认证参数确定所述请求方设备为合法授权用户;获取所述动作请求中的管控参数信息和待管控的设备信息。本申请实施例中,通过获取动作请求中表征请求方设备的身份信息的认证参数,以此来验证请求方设备为合法授权用户,只有在请求方设备合法授权用户时,才会获取动作请求中的管控参数信息和待管控的设备信息,以便进行后续的操作,这样可以提高策略管控的安全性。
第二方面,本申请实施例还提供了一种设备策略管控装置,所述装置包括:供外部调用的统一接口、动作运行池、动作执行器以及动作执行代理;统一接口,用于接收请求方设备发送的动作请求;动作运行池,用于调度管理所述统一接口发送的动作请求;动作执行器,用于获取所述动作请求中的管控参数信息和待管控的设备信息;动作执行代理,用于接收所述动作执行器下发的所述管控参数信息和所述设备信息,并生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备,以使所述设备信息对应的设备根据所述管控命令进行策略管控。
结合第二方面实施例的一种可能的实施方式,所述动作执行器,还用于获取所述动作请求中的动作请求类型,并将所述管控参数信息以及所述设备信息下发到与所述动作请求类型对应的动作执行代理。
结合第二方面实施例的一种可能的实施方式,所述装置还包括:结果管理单元;所述统一接口,还用于在接收到所述动作请求时,为所述动作请求分配动作ID;所述动作执行器,还用于获取所述设备信息对应的设备根据所述管控命令进行策略管控的管控结果;所述结果管理单元,用于保存所述管控结果,并建立所述动作ID与所述管控结果的关联关系。
结合第二方面实施例的一种可能的实施方式,所述统一接口包括用于动作创建并启动的接口、用于动作停止并删除的接口、用于指示动作暂停的接口、用于查询动作执行状态的接口、用于删除历史动作的接口和用于获取正在执行动作列表的接口中的至少一个接口。
第三方面,本申请实施例还提供了一种电子设备,包括:存储器和处理器,所述处理器与所述存储器连接;所述存储器,用于存储程序;所述处理器,用于调用存储于所述存储器中的程序,以执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
第四方面,本申请实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器运行时,执行上述第一方面实施例和/或结合第一方面实施例的任一种可能的实施方式提供的方法。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例而了解。本申请的目的和其他优点可通过在所写的说明书以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。通过附图所示,本申请的上述及其它目的、特征和优势将更加清晰。在全部附图中相同的附图标记指示相同的部分。并未刻意按实际尺寸等比例缩放绘制附图,重点在于示出本申请的主旨。
图1示出了本申请实施例提供的一种设备策略管控装置的结构示意图。
图2示出了本申请实施例提供的一种设备策略管控装置中模块的交互原理示意图。
图3示出了本申请实施例提供的一种设备策略管控方法的流程示意图。
图4示出了本申请实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中诸如“第一”、“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
再者,本申请中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。
鉴于现有的业务系统在对部署在网络中的设备进行策略管控时,需要分别与每种类型的设备单独做集成接口,每增加一类设备就需要单独与该设备做接口集成。由于不同厂家不同型号的设备的接口不同,使得现有方式存在接口开发工作量大、难以复用、不易维护扩展的问题。基于此,本申请实施例提供了一种设备策略管控装置,通过将不同设备的功能抽象统一为动作请求,并将不同设备的动作请求参数进行统一,遵循OpenAPI(OpenApplication Programming Interface,开放应用程序接口)规范封装成统一的标准接口,并对外提供该统一接口,使得该统一接口可以兼容不同厂商不同型号的设备,从而使得在利用本申请提供的设备策略管控装置时,不再需要与不同厂商不同型号的设备分别单独进行二次接口开发集成,只需要调用对外提供的统一接口即可实现策略管控联动需求。
下面将结合图1,对本申请实施例提供的设备策略管控装置进行说明。该设备策略管控装置包括:供外部调用的统一接口,动作运行池、动作执行器和动作执行代理。
统一接口,用于接收请求方设备发送的动作请求,本申请实施例中,通过将不同设备的功能抽象统一为动作请求,并将不同设备的动作请求参数进行统一,遵循OpenAPI规范封装成统一的标准接口,并对外提供该统一接口,也即通过提供OpenAPI接口,将调用OpenAPI接口的不同设备的功能抽象统一为动作请求,并将不同设备的动作请求参数进行统一,从而得到统一接口。该统一接口包括:用于动作创建并启动的接口、用于动作停止并删除的接口、用于指示动作暂停的接口、用于查询动作执行状态的接口、用于删除历史动作的接口和用于获取正在执行动作列表的接口中的至少一个接口。调用不同的统一接口,执行的动作请求不同,如需要添加管控策略时,则调用用于动作创建并启动的接口。不同统一接口对应的参数格式不同,在调用统一接口时,依照该统一接口对外提供的参数格式规范输入对应参数格式的内容即可完成对该统一接口的调用。
动作运行池与统一接口连接,用于调度管理统一接口发送的动作请求,每一个动作请求创建后,便将其保存到动作运行池。其中,该动作请求中携带的参数包括:用于具体策略管控的管控参数信息(actioncfg)和待管控的设备信息(device),此外,一种可选实施方式下,该动作请求中的参数还可以包括表示用户身份信息的认证参数(login)和/或动作请求信息(action)。其中,认证参数(login)用于验证该用户是否有权限进行策略管控,动作请求信息可以包括用于表征动作请求类型的动作请求编号(用于明确具体的请求类型)、动作执行方式(规定了同步或异步执行动作)、超时时间(规定了本次请求的最大消耗时间,超过最大消耗时间后本次请求终止执行)。
该动作执行器与动作运行池连接,动作执行器用于从动作运行池中获取动作请求,解析该动作请求,获取动作请求中的管控参数信息和待管控的设备信息,并将解析的管控参数信息以及设备信息下发至动作执行代理,动作执行代理基于该管控参数信息生成与管控参数信息对应的管控命令,并将生成的管控命令下发到设备信息对应的设备,以使设备信息对应的设备根据该管控命令进行策略管控。其中,动作执行代理可以与动作执行器可以通过RESTAPI接口进行数据交互。
在一种可选的实施方式下,设备策略管控装置该动作请求中还可以包括动作请求信息(action)其中,动作请求信息可以包括表征动作请求类型的动作请求编号、动作执行方式、超时时间等。动作执行器,还用于获取动作请求中的动作请求类型(也即动作请求编号)以及动作执行方式、超时时间等参数,并将管控参数信息、设备信息以及动作请求信息中的动作执行方式、超时时间等参数下发到与动作请求类型对应的动作执行代理。其中,若与动作请求类型对应的动作执行代理有多个,则从多个动作执行代理中选取负载率最低的动作执行代理,并将管控参数信息、设备信息以及动作请求信息中的动作执行方式、超时时间等参数下发至负载率最低的动作执行代理。动作执行代理,除了基于该管控参数信息生成与管控参数信息对应的管控命令外,还用于根据动作执行方式下发管控命令,并计时,当计时时间超过超时时间规定的时间时,终止执行本次请求,如向设备发送终止执行本次请求的命令。在该种实施方式下,动作请求中携带的参数除了包括:用于策略管控的管控参数信息(actioncfg)和待管控的设备信息(device)外,还包括动作请求信息(action),其中,动作请求信息可以包括表征动作请求类型的动作请求编号、动作执行方式、超时时间等。其中,不同的动作请求编号对应不同的请求类型,相应地,对应的动作执行代理也不同。需要说明的是,动作请求信息中也可以不包括动作执行方式和/或超时时间,可以仅包括动作请求编号,因此不能将上述示意的动作请求信息理解成是对本申请的限制。
此外,动作请求中还可以携带表示用户身份信息的认证参数(login),动作执行器在对动作请求中的参数进行解析时,根据该认证参数(login)验证该用户是否有权限进行策略管控,若有则进行后续操作,如获取所述动作请求中的管控参数信息和待管控的设备信息,若没有则反馈提示信息。
其中,动作执行代理负责和设备交互,发送管控命令至设备执行相应的操作。为了便于对动作执行代理进行管理,该设备策略管控装置还可以包括代理管理单元,负责代理注册和代理状态监控。该代理管理单元提供代理注册接口,动作执行代理调用代理注册接口发送注册信息,注册信息包括代理IP地址、代理类型、设备信息和认证信息,代理注册接口响应注册请求并保存注册信息。代理管理单元提供代理状态管理接口。根据代理的注册信息,对已上线代理的运行状态、动作执行信息进行实时监控。
为了便于对设备的管控结果进行管理,该设备策略管控装置还可以包括结果管理单元,用于提供动作请求运行结果的保存功能。相应地,统一接口(如上述的用于动作创建并启动的接口、用于动作停止并删除的接口、用于指示动作暂停的接口、用于查询动作执行状态的接口、用于删除历史动作的接口或用于获取正在执行动作列表的接口)在接收到动作请求时,为动作请求分配动作ID(为唯一ID,不同动作请求对应的动作ID不同),并将该动作ID返回给请求方设备,以便于后续请求方设备基于该动作ID查询管控结果。动作执行器,还用于获取设备信息对应的设备根据管控命令进行策略管控的管控结果,并将该管控结果发送给结果管理单元。结果管理单元,用于保存管控结果,并建立该动作ID与该管控结果的关联关系,以便于后期进行查询。在该种实施方式下,该动作ID会随着数据流一并传输,如会依次传输给动作运行池、动作执行器、动作执行代理、设备、动作执行代理、动作执行器以及结果管理单元,以便于结果管理单元建立该动作ID与该管控结果的关联关系。
其中,结果管理单元提供用于获取单个动作执行结果的接口和用于获取执行结果列表的接口。请求方设备通过调用获取单个动作结果的接口以及获取执行结果列表的接口,可获得动作运行的结果。在该种实施方式下,统一接口除了包含上述的用于动作创建并启动的接口、用于动作停止并删除的接口、用于指示动作暂停的接口、用于查询动作执行状态的接口、用于删除历史动作的接口和用于获取正在执行动作列表的接口外,还可以包括用于获取单个动作执行结果的接口和用于获取执行结果列表的接口。其中,需要说明的是,为动作请求分配动作ID的统一接口不包括上述的用于获取单个动作执行结果的接口和用于获取执行结果列表的接口。
其中,上述的供外部调用的统一接口,动作运行池、动作执行器以及代理管理单元以及结果管理单元可以同属于一个模块,如集中管控端,也即该设备策略管控装置包括集中管控端和动作执行代理。其中,集中管控端可以包括供外部调用的统一接口,动作运行池、动作执行器以及代理管理单元以及结果管理单元。该设备策略管控装置可以为软件功能模块,可以部署在服务器上,其中,集中管控端和动作执行代理可以是部署在同一台服务器上,也可以是部署在不同的服务器上。其中,动作执行代理可以有多个,分别部署在不同的服务节点上。动作执行代理与集中管控端之间通过RESTAPI接口进行数据交互。
集中管控端负责和请求方设备交互,请求方设备请求集中管控端发布的OpenAPI接口,集中管控端响应请求方设备的动作请求,解析动作参数,并生成对应的管控命令下发至动作执行代理端。动作执行代理端负责和设备交互,动作执行代理发送管控命令至设备执行相应的操作。
其中,图2示出了统一接口、动作运行池、动作执行器、动作执行代理以及设备之间的数据交互示意图。其主要包含:
步骤1:请求方设备调用统一接口(如上述的用于动作创建并启动的接口、用于动作停止并删除的接口、用于指示动作暂停的接口、用于查询动作执行状态的接口、用于删除历史动作的接口或用于获取正在执行动作列表的接口)发起动作请求,统一接口接收来自请求方设备的动作请求,为其分配动作ID,并向请求方设备返回动作ID以及将其加入动作运行池。
步骤2:动作运行池将接收到的动作请求保存在本地。
步骤3:动作执行器从动作运行池中获取动作请求,并解析动作请求参数信息,获取动作请求中的管控参数信息(actioncfg)、待管控的设备信息(device)以及动作请求信息(action),并根据该动作请求信息中的动作请求编号确定动作请求类型,并选取与动作请求类型对应的动作执行代理。动作执行器调用RESTAPI接口,将动作请求参数(如所述管控参数信息、待管控的设备信息)下发给与动作请求类型对应的动作执行代理。
步骤4:执行代理根据管控参数信息生产对应的管控命令,并将管控命令下发至设备信息对应的设备,以使设备根据管控命令进行策略管控。
步骤5:管控完成后,设备向动作执行代理反馈管控结果。
步骤6:动作执行代理将其反馈给动作执行器,动作执行器将其发送给结果管理单元,由结果管理单元将收到的管控结果保存到本地。请求方设备通过调用OpenAPI查询接口时,将根据请求动作ID将运行结果返回给请求方设备。
为了便于理解上述的设备策略管控装置,下面以请求方设备为第三方安全管理系统通过集中管控服务器向防火墙设备添加一组访问控制策略的请求的应用场景为例,进行说明。
安全管理系统常用于对安全设备(如防火墙设备)进行集中管理、流量监控、策略管控等。集中管控服务器提供OpenAPI接口供安全管理系统调用,实现对安全设备的策略管控。防火墙设备是部署在网络中的安全防护设备。
安全管理系统调用集中管控服务器提供的OpenAPI接口,向防火墙设备添加一组访问控制策略。安全管理系统与集中管控服务器之间的动作请求参数采用JSON格式进行交互,动作请求参数由四部分组成,包括login、device、action、actioncfg。
login部分参数表示用户认证参数用于判断安全管理系统是否有权限对防火墙设备进行该操作。
device部分参数表示要管控的设备信息参数,包括设备类型、设备IP地址、端口号、设备用户、用户口令等信息。
action部分参数表示请求动作信息,包括请求动作编号、动作执行方式、超时时间。
actioncfg部分参数表示具体请求动作对应的管控参数信息,这里添加访问控制策略参数包括策略名称、源地址、目的地址等。
集中管控服务器收到安全管理系统发来的请求后,首先解析动作请求参数中的login部分参数验证该安全管理系统是不是合法授权用户,只有用户认证通过后才创建请求动作加入动作运行池。
动作执行器解析action部分参数得到具体的请求类型,调度相应的动作执行代理,并将device、action及actioncfg部分参数传递给执行代理。
动作执行代理接收到动作执行器传递的device、action、actioncfg参数,通过解析action部分参数得到动作执行方式及超时时间。动作执行方式规定了同步或异步执行动作,超时时间规定了本次请求的最大消耗时间,超过最大消耗时间后本次请求终止执行。
动作执行代理将actioncfg中的策略名称、源地址、目的地址转化为防火墙设备可接收的指令,通过device参数中的设备IP地址、端口号、设备用户、用户口令与设备建立连接,并向设备发送指令执行相应操作。
防火墙设备执行完相应操作后,将执行结果返回给动作执行代理。
本申请实施例还提供了一种设备策略管控方法,下面将结合图3对本申请实施例提供的设备策略管控方法进行说明。该设备策略管控方法包括如下步骤:
步骤S101:接收请求方设备调用所述服务器对外提供的统一接口而发送的动作请求。
请求方设备通过调用服务器对外提供的统一接口,向服务器发送动作请求。
其中,通过将不同设备的功能抽象统一为动作请求,并将不同设备的动作请求参数进行统一,遵循OpenAPI规范封装成统一的标准接口,并对外提供该统一接口,也即通过提供OpenAPI接口,将调用OpenAPI接口的不同设备的功能抽象统一为动作请求,并将不同设备的动作请求参数进行统一,从而得到统一接口。
步骤S102:获取所述动作请求中的管控参数信息和待管控的设备信息。
服务器在接收到请求方设备通过调用服务器对外提供的统一接口而发送的动作请求后,便对该动作请求中携带的动作请求参数进行解析,获取动作请求中的管控参数信息和待管控的设备信息。进一步地,部署于服务器中的设备策略管控装置中的统一接口在接收到动作请求后,将其加入动作运行池,动作执行器从动作运行池中获取该动作请求,便对该动作请求中携带的参数进行解析,获取动作请求中的管控参数信息和待管控的设备信息。
步骤S103:生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备,以使所述设备信息对应的设备根据所述管控命令进行策略管控。
服务器在获取到动作请求中的管控参数信息和待管控的设备信息后,生成与所述管控参数信息对应的管控命令,服务器在生成与管控参数信息对应的管控命令后,将管控命令下发到所述设备信息对应的设备,以使设备信息对应的设备根据所述管控命令进行策略管控。进一步地,动作执行器在获取到动作请求中的管控参数信息和待管控的设备信息后,将其发送给动作执行代理。动作执行代理生成与管控参数信息对应的管控命令,
动作执行代理在生成与管控参数信息对应的管控命令后,将所述管控命令下发到所述设备信息对应的设备,以使所述设备信息对应的设备根据所述管控命令进行策略管控。
可选地,所述服务器包括集中管理端和动作执行代理。所述方法还包括:集中管理端获取所述动作请求中的动作请求类型以及获取与所述动作请求类型对应的动作执行代理;相应地,生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备的过程可以是:集中管理端将所述管控参数信息、所述设备信息下发至所述动作执行代理,所述动作执行代理生成与所述管控参数信息对应的管控命令,并将所述管控命令发到所述设备信息对应的设备。
其中,可选地,若所述动作执行代理包括多个;将所述管控参数信息、所述设备信息下发至所述动作执行代理的过程可以是:从多个所述动作执行代理中选取负载率最低的动作执行代理;所述管控参数信息、所述设备信息下发至所述负载率最低的动作执行代理。
可选地,所述方法还包括:在接收到所述动作请求时,为所述动作请求分配动作ID;以及获取所述设备信息对应的设备根据所述管控命令进行策略管控的管控结果;建立所述动作ID与所述管控结果的关联关系。统一接口在接收到所述动作请求时,为所述动作请求分配动作ID,并将该动作ID返回给请求方设备。
本申请实施例所提供的设备策略管控方法,其实现原理及产生的技术效果和前述设备策略管控装置实施例相同,为简要描述,方法实施例部分未提及之处,可参考前述装置实施例中相应内容。
如图4所示,图4示出了本申请实施例提供的一种电子设备200的结构框图。所述电子设备200包括:收发器210、存储器220、通讯总线230以及处理器240。
所述收发器210、所述存储器220、处理器240各元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,这些元件相互之间可通过一条或多条通讯总线230或信号线实现电性连接。其中,收发器210用于收发数据。存储器220用于存储计算机程序,如存储有图1中所示的软件功能模块,即设备策略管控装置。其中,设备策略管控装置包括至少一个可以软件或固件(firmware)的形式存储于所述存储器220中或固化在所述电子设备200的操作系统(operating system,OS)中的软件功能模块。所述处理器240,用于执行存储器220中存储的可执行模块,例如设备策略管控装置包括的软件功能模块或计算机程序。例如,处理器240,用于接收请求方设备调用所述服务器对外提供的统一接口而发送的动作请求;获取所述动作请求中的管控参数信息和待管控的设备信息;生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备,以使所述设备信息对应的设备根据所述管控命令进行策略管控。
其中,存储器220可以是,但不限于,随机存取存储器(Random Access Memory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(Programmable Read-OnlyMemory,PROM),可擦除只读存储器(Erasable Programmable Read-Only Memory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-Only Memory,EEPROM)等。
处理器240可能是一种集成电路芯片,具有信号的处理能力。上述的处理器可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器240也可以是任何常规的处理器等。
其中,上述的电子设备200,包括但不限于服务器。该服务器可以是集中管控服务器。
本申请实施例还提供了一种非易失性计算机可读取存储介质(以下简称存储介质),该存储介质上存储有计算机程序,该计算机程序被计算机如上述的电子设备200运行时,执行上述所示的设备策略管控方法。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,笔记本电脑,服务器,或者电子设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。

Claims (12)

1.一种设备策略管控方法,其特征在于,应用于服务器,所述方法包括:
接收请求方设备调用所述服务器对外提供的统一接口而发送的动作请求;
获取所述动作请求中的管控参数信息和待管控的设备信息;
生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备,以使所述设备信息对应的设备根据所述管控命令进行策略管控。
2.根据权利要求1所述的方法,其特征在于,所述服务器包括集中管理端和动作执行代理,所述方法还包括:
所述集中管理端获取所述动作请求中的动作请求类型,并获取与所述动作请求类型对应的动作执行代理;
相应地,生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备,包括:
所述集中管理端将所述管控参数信息、所述设备信息下发至所述动作执行代理,
所述动作执行代理生成与所述管控参数信息对应的管控命令,并将所述管控命令发到所述设备信息对应的设备。
3.根据权利要求2所述的方法,其特征在于,所述动作执行代理包括多个;将所述管控参数信息、所述设备信息下发至所述动作执行代理,包括:
从多个所述动作执行代理中选取负载率最低的动作执行代理;
所述管控参数信息、所述设备信息下发至所述负载率最低的动作执行代理。
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在接收到所述动作请求时,为所述动作请求分配动作ID;
以及获取所述设备信息对应的设备根据所述管控命令进行策略管控的管控结果;
建立所述动作ID与所述管控结果的关联关系。
5.根据权利要求1所述的方法,其特征在于,通过以下方式建立所述统一接口:
提供一OpenAPI接口,将调用所述OpenAPI接口的不同设备的功能抽象统一为动作请求,并将不同设备的动作请求参数进行统一,得到所述统一接口。
6.根据权利要求1所述的方法,其特征在于,所述动作请求中携带有表征所述请求方设备的身份信息的认证参数;获取所述动作请求中的管控参数信息和待管控的设备信息,包括:
基于所述认证参数确定所述请求方设备为合法授权用户;
获取所述动作请求中的管控参数信息和待管控的设备信息。
7.一种设备策略管控装置,其特征在于,所述装置包括:
供外部调用的统一接口,用于接收请求方设备发送的动作请求;
动作运行池,用于调度管理所述统一接口发送的动作请求;
动作执行器,用于获取所述动作请求中的管控参数信息和待管控的设备信息;
动作执行代理,用于接收所述动作执行器下发的所述管控参数信息和所述设备信息,并生成与所述管控参数信息对应的管控命令,并将所述管控命令下发到所述设备信息对应的设备,以使所述设备信息对应的设备根据所述管控命令进行策略管控。
8.根据权利要求7所述的设备策略管控装置,其特征在于,所述动作执行器,还用于获取所述动作请求中的动作请求类型,并将所述管控参数信息以及所述设备信息下发到与所述动作请求类型对应的动作执行代理。
9.根据权利要求7所述的设备策略管控装置,其特征在于,所述装置还包括:结果管理单元;
所述统一接口,还用于在接收到所述动作请求时,为所述动作请求分配动作ID;
所述动作执行器,还用于获取所述设备信息对应的设备根据所述管控命令进行策略管控的管控结果;
所述结果管理单元,用于保存所述管控结果,并建立所述动作ID与所述管控结果的关联关系。
10.根据权利要求7所述的装置,其特征在于,所述统一接口包括用于动作创建并启动的接口、用于动作停止并删除的接口、用于指示动作暂停的接口、用于查询动作执行状态的接口、用于删除历史动作的接口和用于获取正在执行动作列表的接口中的至少一个接口。
11.一种电子设备,其特征在于,包括:
存储器和处理器,所述处理器与所述存储器连接;
所述存储器,用于存储程序;
所述处理器,用于调用存储于所述存储器中的程序,以执行如权利要求1-6中任一项所述的方法。
12.一种存储介质,其特征在于,其上存储有计算机程序,所述计算机程序被处理器运行时,执行如权利要求1-6中任一项所述的方法。
CN202011642836.3A 2020-12-31 2020-12-31 一种设备策略管控方法、装置、电子设备及存储介质 Pending CN112751874A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011642836.3A CN112751874A (zh) 2020-12-31 2020-12-31 一种设备策略管控方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011642836.3A CN112751874A (zh) 2020-12-31 2020-12-31 一种设备策略管控方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN112751874A true CN112751874A (zh) 2021-05-04

Family

ID=75649436

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011642836.3A Pending CN112751874A (zh) 2020-12-31 2020-12-31 一种设备策略管控方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN112751874A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113297121A (zh) * 2021-06-16 2021-08-24 深信服科技股份有限公司 一种接口管理方法、装置、设备及可读存储介质
CN114024759A (zh) * 2021-11-09 2022-02-08 北京天融信网络安全技术有限公司 安全策略管控方法、装置、计算机设备和介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110324169A (zh) * 2018-03-30 2019-10-11 北京京东尚科信息技术有限公司 一种接口管理的方法和装置
CN110764871A (zh) * 2019-10-11 2020-02-07 中国人民解放军战略支援部队信息工程大学 一种基于云平台的拟态化应用封装与控制系统和方法
US10601635B1 (en) * 2004-04-16 2020-03-24 EMC IP Holding Company LLC Apparatus, system, and method for wireless management of a distributed computer system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10601635B1 (en) * 2004-04-16 2020-03-24 EMC IP Holding Company LLC Apparatus, system, and method for wireless management of a distributed computer system
CN110324169A (zh) * 2018-03-30 2019-10-11 北京京东尚科信息技术有限公司 一种接口管理的方法和装置
CN110764871A (zh) * 2019-10-11 2020-02-07 中国人民解放军战略支援部队信息工程大学 一种基于云平台的拟态化应用封装与控制系统和方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113297121A (zh) * 2021-06-16 2021-08-24 深信服科技股份有限公司 一种接口管理方法、装置、设备及可读存储介质
CN113297121B (zh) * 2021-06-16 2024-02-23 深信服科技股份有限公司 一种接口管理方法、装置、设备及可读存储介质
CN114024759A (zh) * 2021-11-09 2022-02-08 北京天融信网络安全技术有限公司 安全策略管控方法、装置、计算机设备和介质
CN114024759B (zh) * 2021-11-09 2024-02-02 北京天融信网络安全技术有限公司 安全策略管控方法、装置、计算机设备和介质

Similar Documents

Publication Publication Date Title
EP3313023B1 (en) Life cycle management method and apparatus
US8095641B2 (en) Method and system for virtualized health monitoring of resources
US20070294376A1 (en) Method, apparatus and program product for software provisioning
EP2039111B1 (en) System and method for tracking the security enforcement in a grid system
JP2021529386A (ja) オンデマンドネットワークコード実行システム上での補助機能の実行
US9128773B2 (en) Data processing environment event correlation
US11418392B2 (en) Network resource management devices methods and systems
Vernik et al. Data on-boarding in federated storage clouds
US20150288708A1 (en) Method and system for providing security aware applications
JP2008527513A (ja) グリッド環境にサブミットされたグリッド・ジョブによる使用の前のリソース機能の検査
CN112882813A (zh) 任务调度方法、装置、系统及电子设备
TW200525938A (en) Remote system administration using command line environment
CN112751874A (zh) 一种设备策略管控方法、装置、电子设备及存储介质
CN114780214B (zh) 任务处理方法、装置、系统及设备
US9766995B2 (en) Self-spawning probe in a distributed computing environment
US20180324063A1 (en) Cloud-based system for device monitoring and control
US8185945B1 (en) Systems and methods for selectively requesting certificates during initiation of secure communication sessions
CN112448987A (zh) 一种熔断降级的触发方法、系统和存储介质
CN108881460B (zh) 一种云平台统一监控的实现方法和实现装置
CN113609047B (zh) 一种数据适配器及数据适配方法
CN116360374A (zh) 一种工业数据采集网关及方法
CN116545757A (zh) 一种服务的访问管理系统及方法
CN117319212B (zh) 云环境下多租户隔离的密码资源自动化调度系统及其方法
US20240171464A1 (en) Data Center Monitoring and Management Operation Including Microservice Centrality Calculation Operation
US20240179058A1 (en) Data Center Monitoring and Management Operation Including a Microservice Autoscaling Operation

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20210504

RJ01 Rejection of invention patent application after publication