CN112835645A - 一种规则配置的方法及装置 - Google Patents
一种规则配置的方法及装置 Download PDFInfo
- Publication number
- CN112835645A CN112835645A CN202110164597.3A CN202110164597A CN112835645A CN 112835645 A CN112835645 A CN 112835645A CN 202110164597 A CN202110164597 A CN 202110164597A CN 112835645 A CN112835645 A CN 112835645A
- Authority
- CN
- China
- Prior art keywords
- rule
- subset
- detection
- new
- configuration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/445—Program loading or initiating
- G06F9/44505—Configuring for program initiating, e.g. using registry, configuration files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/374—Thesaurus
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种规则配置的方法及装置,所述方法包括:接收规则配置的请求,该请求包括新规则、第一参考规则,以及二者相对位置;若根据第一参考规则和相对位置配置新规则失败,且配置失败的原因为待配置设备中不存在第一参考规则,则根据已保存的探测子集和探测方向,探测待配置设备中是否存在探测子集中的规则,基于存在于待配置设备中的探测子集中的规则,确定第二参考规则;根据第二参考规则和探测方向,再次配置新规则。本申请方案,在新规则配置失败后进行自适应,利用探测子集和探测方向,于待探测设备中确定第二参考规则,以再次配置所述新规则,从而提高规则配置的成功率,降低由规则配置失败造成业务异常等问题的可能性。
Description
技术领域
本申请涉及计算机技术领域,特别是一种规则配置的方法及装置。
背景技术
在云平台中,通常会为平台用户提供网络服务,该网络服务中一般包括安全服务,即云平台基于个人或群体用户的自定义策略,为其实现特定的防护措施。
所述策略为若干规则的有序集合,云平台将所述策略中的规则,配置至某一虚拟或物理的设备,并使该设备根据所述策略中的既定顺序执行规则,以保障个人或群体用户的通信安全。
所述规则在策略中的顺序可以根据不同场景下的实际需求自行设置,两条具有顺序要求的规则可以作为彼此的参考规则。当配置一条新规则时,云平台将基于新规则在所属策略中的参考规则以及二者间的顺序要求,向对应设备的规则列表中配置所述新规则。
目前,相关技术中,当配置新规则时,如果它的参考规则,因为误删或下发失败等原因而实际不存在于待配置设备中,所述新规则将配置失败,后续以它为参考规则的其他新规则也将配置失败,从而导致业务异常等问题。
发明内容
本申请提供一种规则配置的方法及装置。在云平台为用户配置新规则失败时,利用预先保存的探测子集和探测方向,向待配置设备中探测所述探测子集中的规则是否存在,进而确定所述新规则对应的第二参考规则,并再次配置所述新规则。
根据本申请实施例的第一方面,提供一种规则配置的方法,包括:
接收规则配置的请求,所述请求包括待配置的新规则和其对应的第一参考规则,以及所述新规则与所述第一参考规则之间的相对位置;
若根据所述第一参考规则以及所述相对位置,向待配置设备的规则列表中配置所述新规则失败,则检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则;
若是,则根据已保存的探测子集和探测方向,在探测出所述待配置设备中存在所述探测子集中的规则时,基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则;
根据所述第二参考规则以及所述探测方向,向待配置设备的规则列表中再次配置所述新规则。
根据本申请实施例的第二方面,提供一种规则配置的装置,包括接收单元、检测单元、确定单元和配置单元:
其中,接收单元,用于接收规则配置的请求,所述请求包括待配置的新规则和其对应的第一参考规则,以及所述新规则与所述第一参考规则之间的相对位置;
检测单元,用于在根据所述第一参考规则以及所述相对位置,向待配置设备的规则列表中配置所述新规则失败时,检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则;
确定单元,用于在配置失败的原因是所述待配置设备中不存在所述第一参考规则,且根据已保存的探测子集和探测方向,探测出所述待配置设备中存在所述探测子集中的规则时,基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则;
配置单元,用于根据所述第二参考规则以及所述探测方向,向待配置设备的规则列表中再次配置所述新规则。
本申请所提供的技术方案,在新规则因其第一参考规则不存在而配置失败后,进行自适应,利用预存的探测子集和探测方向,于待探测设备中确定第二参考规则,再次进行所述新规则的配置,以提高规则配置的成功率,降低由规则配置失败造成业务异常等问题的可能性。
附图说明
图1为本申请的一种组网架构示意图;
图2为本申请的另一种组网架构示意图;
图3为本申请所提供的一种规则配置的方法流程图;
图4为本申请所提供的一种规则配置的装置所在电子设备的硬件结构图;
图5为本申请所提供的一种规则配置的装置框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在云平台中,通常会为云平台用户提供网络服务,例如,OpenStack中的Neutron服务,AWS(Amazon Web Services)中的VPC(Virtual Private Cloud,虚拟私有云)服务等,它们能够保障云平台用户在云平台内外安全、有序地进行通信。
在云平台向用户提供的网络服务中,一般包括可自定义的安全服务,即,由个人用户,或群体用户中的管理员,向云平台发送自定义的策略,再由云平台将所述自定义的策略配置到某一虚拟设备或物理设备上,以使其根据所述策略,执行相应防护。
其中,所述策略为若干规则的有序集合,所述规则包括但不限于五元组与防护动作的对应关系;所述策略中若干规则的顺序可以根据不同应用场景下的实际需求,由用户自行设置。
举例来说,若某一用户基于自身需求,对来自网段1中除IP1之外的流量皆予以阻拦,但对来自IP1的流量予以放行,则该用户自定义的策略中应当包含如表1所示的两条具有顺序要求的规则:
| 顺序 | 规则标识 | 源IP | 动作 |
| 1 | A | IP1 | 放行 |
| 2 | B | 网段1 | 阻拦 |
表1
当云平台向某一虚拟或物理的待配置设备配置上述策略成功后,该设备将依照所述策略中的规则顺序,执行防护,即先匹配源IP为IP1的流量,并予以放行,若无来自IP1的流量,再对来自网段1的流量进行匹配并予以阻拦。
基于上述,两条在策略中具有顺序要求的规则可以作为彼此的参考规则,当配置一条新规则时,云平台将基于新规则在所属策略中的参考规则以及二者间的顺序要求,向对应设备的规则列表中,配置所述新规则。
目前,相关技术中,当配置新规则时,若其参考规则,因为误删或下发失败等原因而实际不存在于待配置设备中,所述新规则将配置失败,后续和以它为参考规则的其他新规则也将配置失败,从而导致业务异常等问题。
有鉴于此,本申请提出一种规则配置的方法。
下面先介绍下实现本申请的规则配置方法所需要的组网架构。
1)组网架构1:平台服务器-待配置设备组网。
参见图1,为本申请一示例性实施例示出的一种规则配置组网架构的示意图,该组网架构包括平台服务器和待配置设备,常用于中小规模云平台。
在图1所示的组网架构中,平台服务器接收来自用户发送的规则配置请求,并向所述待配置设备配置规则。
所述待配置设备,可以是虚拟设备,例如,云平台中的虚拟路由器等;也可以是物理设备,例如,用户为关联自定义策略而专设的硬件设备。
2)组网架构2:平台服务器-代理服务器-待配置设备组网。
参见图2,为本申请另一示例性实施例示出的一种规则配置组网架构的示意图,该组网架构包括平台服务器、代理服务器和待配置设备,常用于规模较大的云平台。
在图2所示的组网架构中,平台服务器是云平台提供网络服务的核心服务器,不执行具体的设备配置工作,平台服务器接收来自用户发送的规则配置请求后,将其转至代理服务器,由所述代理服务器向待配置设备执行规则配置。
参见图3,为本申请所提出的一种规则配置的方法流程图,该方法可应用在电子设备上。图3所示的方法可以用于图1和图2所示的组网中,当图3所示的方法应用在图1所示的组网中时,该电子设备为平台服务器;当图3所示的方法应用在图2所示的组网中时,该电子设备为代理服务器。
该规则配置方法可包括如下所示步骤:
步骤302,电子设备接收规则配置的请求,所述请求包括待配置的新规则和其对应的第一参考规则,以及所述新规则与所述第一参考规则之间的相对位置。
当步骤302应用于图1所示的组网中时,所述电子设备为平台服务器,由平台服务器接收用户发送的规则配置的请求;
当步骤302应用于图2所示的组网中时,所述电子设备为代理服务器,由代理服务器接收平台服务器转发的规则配置的请求。具体地,用户向平台服务器发送规则配置的请求,平台服务器在接收到所述规则配置的请求后转发给代理服务器。
所述规则配置的请求中:
1)待配置的新规则,包括用户新定义的策略中逐条配置的规则,以及用户向已配置完成的策略中所新增的规则。
2)新规则对应的第一参考规则,即,与所述新规则在所属策略中具有顺序要求的规则。
3)新规则与所述第一参考规则之间的相对位置,即,二者在所属策略中的顺序关系。
举例来说,规则配置的请求包括:
待配置的新规则G的具体内容,如:五元组g,和对应的防护动作:丢弃;新规则G对应的第一参考规则的规则标识:规则D;以及二者间的相对位置:新规则G应位于第一参考规则D相邻的后一位置。
接收到上述规则配置请求的电子设备,将基于上述请求,向待配置设备发送配置指令,以使所述新规则按指令要求配置于所述待配置设备规则列表的对应位置上。
步骤304,若所述电子设备根据所述第一参考规则以及所述相对位置,向待配置设备的规则列表中配置所述新规则失败,检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则。
当向待配置设备配置所述第一参考规则时就发生配置失败,或者,所述第一参考规则虽然配置成功但后续因失误被误删,等等情形下,所述新规则对应的第一参考规则并不存在于所述待配置设备中,因而根据所述第一参考规则进行的所述新规则的配置也将失败,本申请方案即针对此种配置失败后的自适应方法。
但向待配置设备配置新规则失败的原因,可能存在多种情况,除了上述第一参考规则不存在于待配置设备的情况外,还包括所述待配置设备失联,以及所述待配置设备自身故障或存储空间已满等。
故本申请方案需要对配置失败的原因进行检测,当规则配置失败的原因为待配置设备中不存在所述第一参考规则时,则执行后续步骤306至步骤308所述的二次配置方法;
当规则配置失败的原因并非所述待配置设备中不存在所述第一参考规则时,可以终止本次规则配置,对所述待配置设备的通讯状况或存储空间状况进行检查等,本申请对此种配置失败后的具体处理方式不做限制。
在一种可选择的实现方式下,步骤304,检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则,包括:
所述电子设备接收所述待配置设备在所述新规则配置失败时返回的状态码;根据所述状态码,检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则。
在实现时,当所述新规则配置失败时,所述电子设备将收到所述待配置设备返回的状态码,所述状态码表征本次操作的结果及相应原因。
根据所述状态码所表征的具体含义,能够确定配置失败的具体原因是待配置设备失联,或待配置设备存储空间已满,或所述第一参考规则不存在于所述待配置设备中等,从而确定是否执行后续的二次规则配置。
步骤306,若配置失败的原因是所述待配置设备中不存在所述第一参考规则,且所述电子设备根据已保存的探测子集和探测方向,探测出所述待配置设备中存在所述探测子集中的规则时,基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则。
下面通过步骤3062至步骤3064对步骤306进行详细地说明。
步骤3062:电子设备预存探测子集和探测方向。
当步骤3062应用于如图1所示的组网中时,所述电子设备为平台服务器,由平台服务器基于接收到的第一参考规则和其所属策略,生成并保存标记有探测方向的探测子集。
在一种可能的情况下,所述平台服务器在接收到来自用户的规则配置的请求时,就生成了相应的探测子集;
在另一种可能的情况下,所述平台服务器在新规则配置失败后,再生成所述探测子集。
当步骤3062应用于如图2所示的组网中时,所述电子设备为代理服务器,所述代理服务器接收并保存由所述平台服务器生成的标记有探测方向的探测子集。
在一种可能的情况下,所述平台服务器在接收到来自用户的规则配置的请求时,就生成了相应的探测子集,所述代理服务器在接收所述平台服务器转发的规则配置的请求时,就收到了所述探测子集;
在另一种可能的情况下,所述代理服务器在新规则配置失败后,再向所述平台服务器请求探测子集,所述平台服务器因而生成相应的探测子集并发送给所述代理服务器保存。
所述探测子集,包括若干待探测规则的规则标识;所述探测方向,指示了探测子集中待探测规则被探测时所遵循的顺序。下面通过步骤A102至步骤A108,对生成所述标记有探测方向的探测子集的一种方法进行介绍,该生成方法可包括如下所示步骤:
步骤A102,平台服务器将新规则所属策略中,位于第一参考规则前的若干规则划分为第一子集,位于第一参考规则后的若干规则划分为第二子集。
新规则所属策略,即第一参考规则所属策略,该策略中包括既定顺序下的多条规则,它由用户自行设备后发送给平台服务器,并由平台服务器进行保存。
举例来说,若待配置的新规则G所属策略中已有规则的顺序为:规则A、B、C、D、E、F,新规则对应的第一参考规则为规则D。
基于所述第一参考规则D,将所述策略中的规则划分为第一子集和第二子集。所述第一子集中的规则,为在所述策略中位于规则D前的规则,即规则A、B、C;所述第二子集中的规则,为所述策略中位于规则D后的规则,即规则E、F。
步骤A104,平台服务器比较第一、第二子集中的规则数量,确定规则数量更少的子集为目标子集。
基于上例,比较第一、第二子集中的规则数量,第一子集中规则数量为3,第二子集中规则数量为2,因此,所述第二子集被确定为目标子集。
步骤A106,平台服务器根据所述目标子集中各规则与所述第一参考规则之间的位置距离,确定所述目标子集中各规则的探测优先级。
基于上例,根据目标子集中各规则,即规则E、F,与所述第一参考规则D之间的位置距离,确定其探测优先级。根据所述策略中的既定顺序,距离第一参考规则D最近的所述目标子集中的规则E,探测优先级最高,距离第一参考规则D第二近的所述目标子集中的规则F,探测优先级次之。在其他例子中,若目标子集中还有规则,则依次类推,得到目标子集中所有规则的探测优先级。
步骤A108,平台服务器根据所述目标子集中各规则的探测优先级和规则标识,生成对应的探测子集,标记探测方向为探测优先级递减的方向。
基于上例,根据已确定的目标子集中各规则的探测优先级和规则标识,即规则E、F以及它们各自的探测优先级,可生成对应的探测子集,所述探测子集可以多种方式生成,包括但不限于列表、字典等,其中应该包括所述规则标识以及所述探测优先级之间的映射关系,标记探测方向为所述探测优先级递减的方向,基于上例,以字典形式生成的标记有探测方向的探测子集如下表2所示。
表2
上述方法,仅是生成标记有探测方向的探测子集的方法之一,本申请对具体如何生成探测子集、以何种数据结构生成探测子集,不做限定。
步骤3064,若配置失败的原因是所述待配置设备中不存在所述第一参考规则,且电子设备根据已保存的探测子集和探测方向,在探测出所述待配置设备中存在所述探测子集中的规则时,基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则。
当所述电子设备保存了标记有探测方向的探测子集后,将根据所述探测方向,探测所述待配置设备中是否存在所述探测子集中的规则,并确定一个存在于所述待配置设备中的所述探测子集中的规则,作为新规则对应的第二参考规则。
在一种可选择的探测并确定第二参考规则的实现方式中:
所述电子设备,根据所述探测方向,每次从所述探测子集中确定一个待探测规则,根据这一个待探测规则的规则标识,所述电子设备向待配置设备中探测此规则是否存在。
若当次探测失败,即本次所探测的探测子集中的这一个规则,不存在于所述待配置设备中,则根据所述探测方向,从所述探测子集中确定一个未探测过的规则作为下次待探测的规则,再执行下一次探测,直至探测成功或探测子集中所有规则探测完毕;
若当次探测成功,即本次所探测的探测子集中的这一个规则,存在于所述待配置设备中,确定其为所述新规则对应的第二参考规则。
在另一种可选择的探测并确定第二参考规则的实现方式中:
所述电子设备,将探测出所述探测子集中的规则,与存在于所述待配置设备中的规则,这二者间的交集;若这二者间的交集非空,则从所述交集中,确定第二参考规则。
探测所述交集,存在多种可选择的实现方式,本申请对此不做具体限制。
所述探测方式,包括但不限于,一次向待配置设备中探测所述探测子集中的所有规则是否存在,以及每次向待配置设备中探测所述探测子集中的预设单次探测数量的规则是否存在。
若任一次探测成功,则所述交集非空,当次探测出的存在于所述待配置设备中的所述探测子集中的若干规则,即构成所述交集或所述交集的子集。
从所述交集或交集的子集中,确定所述新规则对应的第二参考规则,存在多种可选择的实现方式,本申请对此不做具体限制。以基于步骤A102至步骤A108所述方法生成的探测子集为例,将确定所述交集中探测优先级最高的规则作为所述新规则对应的第二参考规则。
例如,使用表2所示的标记有探测方向的探测子集,同时探测所述规则E、规则F是否存在于所述待配置设备中,若所述规则E、规则F均存在于所述待配置设备中,将确定探测优先级更高的规则E作为所述待配置的新规则G的第二参考规则。
步骤308,所述电子设备根据所述第二参考规则以及所述探测方向,向待配置设备的规则列表中再次配置所述新规则。
在确定所述第二参考规则后,所述电子设备将根据所述第二参考规则和所述探测方向,向待配置设备的规则列表中再次进行所述新规则的配置。
在一种可选择的实现方式下,所述电子设备将向所述待配置设备发送配置指令,以使所述新规则在所述待配置设备的规则列表中,被配置于所述第二参考规则逆探测方向的相邻位置上;所述配置指令包括所述第二参考规则以及所述探测方向。
所述探测方向,包括两种情况,其一为沿所述策略中既定顺序的方向,其二为逆所述策略中既定顺序的方向。
当所述探测方向为沿所述策略中既定顺序的方向时,所确定的第二参考规则在所述策略中,将位于所述第一参考规则后,为使所述新规则被配置在距离第一参考规则更近的位置上,逆所述探测方向,将所述新规则配置在第二参考规则前。
例如:所述策略中规则的既定顺序为:规则A、B、C、D、E、F,探测方向与其一致,若确定第二参考规则为规则E,则新规则G将被配置在所述规则E相邻的前一位置,即将所述新规则G插入规则D和规则E之间。
当所述探测方向为逆所述策略中既定顺序的方向时,所确定的第二参考规则在所述策略中,将位于所述第一参考规则前,为使所述新规则被配置在距离第二参考规则更近的位置上,逆所述探测方向,将所述新规则配置在所述第二参考规则后。
例如:所述策略中规则的既定顺序为:规则A、B、C、D、E、F,探测方向与其相反,若确定第二参考规则为规则B,则新规则G将被配置在所述规则B相邻的后一位置,即将所述新规则G插入规则B和规则C之间。
进一步地,本申请方案,还包括步骤310,若探测到所述待配置设备中不存在所述探测子集中的任何规则,则根据探测方向,将所述新规则配置在所述待配置设备规则列表的首位置或末位置上。
当所述探测子集中的所有规则均不存在于所述待配置设备中,为使所述新规则得以顺利配置,在所述探测方向为沿所述策略中既定顺序的方向时,将所述新规则配置在所述待配置设备规则列表的末位置上;在所述探测方向为逆所述策略中既定顺序的方向时,将所述新规则配置在所述待配置设备规则列表的首位置上。
本申请所提供的技术方案,在新规则因其第一参考规则不存在而配置失败后,进行自适应,利用预存的探测子集和探测方向,于待探测设备中确定第二参考规则,再次进行所述新规则的配置,以提高规则配置的成功率,降低由规则配置失败造成业务异常等问题的可能性。
为了使本领域技术人员更好地理解本申请中的技术方案,下面将图3所示的规则配置方法应用于图2的组网架构,进行进一步的详细说明,后续描述的实施例仅是本申请的一部分实施例,而不是全部的实施例。
假设,平台服务器当前保存的用户策略中所包括的规则和顺序如下:规则A、B、C、D、E、F;待配置设备中当前存在的规则如下:规则B、C、E、F。
此时,用户向平台服务器发送规则配置的请求,请求配置新规则G,新规则G的第一参考规则为规则D,二者的相对位置是新规则G位于第一参考规则D后。
平台服务器根据第一参考规则D和上述用户策略,按步骤A102至步骤A108所述的方法生成探测子集,即表2所示的字典,并将所述字典和上述规则配置的请求一并转发给代理服务器。
代理服务器因而根据接收到的所述规则配置的请求,向待配置设备的规则列表中配置所述新规则G。
所述新规则G在待配置设备中配置失败,代理服务器根据待配置设备所返回的状态码,确定配置失败的原因为所述待配置设备中不存在第一参考规则D。
代理服务器利用所述字典,同时探测所述待配置设备中是否存在所述字典中的规则E和规则F,并得到规则E、规则F均存在于所述待配置设备中的结果。
鉴于所述字典中,规则E的探测优先级高于规则F,确定规则E为新规则G的第二参考规则。
根据第二参考规则E,以及探测优先级递减的探测方向,代理服务器将指令所述待配置设备,在其规则列表中,将新规则G配置在所述第二参考规则E相邻的前一位置,所述新规则G在第二次规则配置中成功。
与前述规则配置的方法实施例相对应,本申请还提供了规则配置的装置实施例。
本申请所提供的规则配置的装置实施例,可以应用在任一执行规则配置的电子设备中。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在电子设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图4所示,为本申请规则配置的装置所在电子设备的一种硬件结构图,除了图4所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的电子设备通常根据其实际功能,还可以包括其他硬件,对此不再赘述。
参见图5,为本申请实施例所提供的一种规则配置的装置的框图,该装置包括接收单元510、检测单元520、确定单元530和配置单元540:
其中,接收单元510,用于接收规则配置的请求,所述请求包括待配置的新规则和其对应的第一参考规则,以及所述新规则与所述第一参考规则之间的相对位置。
检测单元520,用于在根据所述第一参考规则以及所述相对位置,向待配置设备的规则列表中配置所述新规则失败时,检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则。
确定单元530,用于在配置失败的原因是所述待配置设备中不存在所述第一参考规则,且根据已保存的探测子集和探测方向,探测出所述待配置设备中存在所述探测子集中的规则时,基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则。
配置单元540,用于根据所述第二参考规则以及所述探测方向,向待配置设备的规则列表中再次配置所述新规则。
进一步地,所述装置还包括生成单元550,用于接收所述第一参考规则所属策略,并将所述策略中位于第一参考规则前的若干规则划分为第一子集,位于第一参考规则后的若干规则划分为第二子集;
比较第一、第二子集中的规则数量,确定规则数量更少的子集为目标子集;
根据所述目标子集中各规则与所述第一参考规则之间的位置距离,确定所述目标子集中各规则的探测优先级;
根据所述目标子集中各规则的探测优先级和规则标识,生成对应的探测子集,标记探测方向为探测优先级递减的方向。
可选择地,所述配置单元540,在基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则时,具体用于,将存在于所述待配置设备中且探测优先级最高的所述探测子集中的规则,确定为所述新规则对应的第二参考规则。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本说明书中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本说明书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。所述处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备,例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上所述在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种规则配置的方法,其特征在于,所述方法包括:
接收规则配置的请求,所述请求包括待配置的新规则和其对应的第一参考规则,以及所述新规则与所述第一参考规则之间的相对位置;
若根据所述第一参考规则以及所述相对位置,向待配置设备的规则列表中配置所述新规则失败,则检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则;
若是,则根据已保存的探测子集和探测方向,在探测出所述待配置设备中存在所述探测子集中的规则时,基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则;
根据所述第二参考规则以及所述探测方向,向待配置设备的规则列表中再次配置所述新规则。
2.根据权利要求1所述的方法,其特征在于,所述检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则,包括:
接收所述待配置设备在所述新规则配置失败时返回的状态码;
根据所述状态码,检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则。
3.根据权利要求1所述的方法,其特征在于,所述已保存的探测子集和探测方向,包括:
接收并保存的由服务器根据所述第一参考规则和其所属策略生成的标记有探测方向的探测子集,
或者,
基于接收到的所述第一参考规则和其所属策略,生成并保存的标记有探测方向的探测子集。
4.根据权利要求3所述的方法,其特征在于,所述标记有探测方向的探测子集,通过如下方法生成:
将所述策略中位于第一参考规则前的若干规则划分为第一子集,位于第一参考规则后的若干规则划分为第二子集;
比较第一、第二子集中的规则数量,确定规则数量更少的子集为目标子集;
根据所述目标子集中各规则与所述第一参考规则之间的位置距离,确定所述目标子集中各规则的探测优先级;
根据所述目标子集中各规则的探测优先级和规则标识,生成对应的探测子集,标记探测方向为探测优先级递减的方向。
5.根据权利要求4所述的方法,其特征在于,所述基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则,包括:
将存在于所述待配置设备中且探测优先级最高的所述探测子集中的规则,确定为所述新规则对应的第二参考规则。
6.根据权利要求1所述的方法,其特征在于,所述根据第二参考规则以及所述探测方向,向所述待配置设备再次配置所述新规则,包括:
将所述新规则配置在所述待配置设备的规则列表中所述第二参考规则逆探测方向的相邻位置上。
7.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若探测出所述待配置设备中不存在所述探测子集中的任何规则,则根据探测方向,将所述新规则配置在所述待配置设备规则列表的首位置或末位置上。
8.一种规则配置的装置,其特征在于,所述装置包括接收单元、检测单元、确定单元和配置单元:
所述接收单元,用于接收规则配置的请求,所述请求包括待配置的新规则和其对应的第一参考规则,以及所述新规则与所述第一参考规则之间的相对位置;
所述检测单元,用于在根据所述第一参考规则以及所述相对位置,向待配置设备的规则列表中配置所述新规则失败时,检测配置失败的原因是否为所述待配置设备中不存在所述第一参考规则;
所述确定单元,用于在配置失败的原因是所述待配置设备中不存在所述第一参考规则,且根据已保存的探测子集和探测方向,探测出所述待配置设备中存在所述探测子集中的规则时,基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则;
所述配置单元,用于根据所述第二参考规则以及所述探测方向,向待配置设备的规则列表中再次配置所述新规则。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括生成单元:
所述生成单元,用于接收所述第一参考规则所属策略,并将所述策略中位于第一参考规则前的若干规则划分为第一子集,位于第一参考规则后的若干规则划分为第二子集;
比较第一、第二子集中的规则数量,确定规则数量更少的子集为目标子集;
根据所述目标子集中各规则与所述第一参考规则之间的位置距离,确定所述目标子集中各规则的探测优先级;
根据所述目标子集中各规则的探测优先级和规则标识,生成对应的探测子集,标记探测方向为探测优先级递减的方向。
10.根据权利要求9所述的装置,其特征在于,所述配置单元,在基于存在于所述待配置设备中的所述探测子集中的规则,确定所述新规则对应的第二参考规则时,具体用于:
将存在于所述待配置设备中且探测优先级最高的所述探测子集中的规则,确定为所述新规则对应的第二参考规则。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110164597.3A CN112835645B (zh) | 2021-02-05 | 2021-02-05 | 一种规则配置的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110164597.3A CN112835645B (zh) | 2021-02-05 | 2021-02-05 | 一种规则配置的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112835645A true CN112835645A (zh) | 2021-05-25 |
| CN112835645B CN112835645B (zh) | 2022-09-30 |
Family
ID=75932424
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110164597.3A Active CN112835645B (zh) | 2021-02-05 | 2021-02-05 | 一种规则配置的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112835645B (zh) |
Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001098896A1 (en) * | 2000-06-21 | 2001-12-27 | Safelogic Ab | A method for interactive configuration |
| CA2600236A1 (en) * | 2005-03-28 | 2006-10-05 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
| WO2011019773A1 (en) * | 2009-08-10 | 2011-02-17 | Qualcomm Incorporated | Method and apparatus for handling policy and charging control rule or quality of service rule modification failures |
| CA3147468A1 (en) * | 2011-06-23 | 2012-12-27 | Bio-Rad Laboratories, Inc. | System and method for determining an optimum qc strategy for immediate release results |
| US8429255B1 (en) * | 2010-01-27 | 2013-04-23 | Juniper Networks, Inc. | Determining reorder commands for remote reordering of policy rules |
| US20150356001A1 (en) * | 2014-06-06 | 2015-12-10 | Ebay Inc. | Unit test automation for business rules and applications |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN106559277A (zh) * | 2015-09-25 | 2017-04-05 | 中兴通讯股份有限公司 | 探测参考信号的发送方法及装置、信令配置方法及装置 |
| US20190253392A1 (en) * | 2018-02-15 | 2019-08-15 | Wipro Limited | Method and system for generating dynamic rules for computer network firewall |
| CN110502546A (zh) * | 2019-08-22 | 2019-11-26 | 郑州阿帕斯科技有限公司 | 一种数据处理方法及装置 |
| CN110532559A (zh) * | 2019-08-29 | 2019-12-03 | 北京明略软件系统有限公司 | 规则的处理方法及装置 |
| CN110708215A (zh) * | 2019-10-10 | 2020-01-17 | 深圳市网心科技有限公司 | 深度包检测规则库生成方法、装置、网络设备及存储介质 |
| CN110768934A (zh) * | 2018-07-27 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 网络访问规则的检查方法和装置 |
| CN111464513A (zh) * | 2020-03-19 | 2020-07-28 | 北京邮电大学 | 数据检测方法、装置、服务器及存储介质 |
| US20200252291A1 (en) * | 2019-02-01 | 2020-08-06 | Arista Networks, Inc. | Method and system for consistent policy enforcement through fabric offloading |
| CN111625338A (zh) * | 2020-05-28 | 2020-09-04 | 广东浪潮大数据研究有限公司 | 一种亲和性规则调度方法、装置及其相关设备 |
-
2021
- 2021-02-05 CN CN202110164597.3A patent/CN112835645B/zh active Active
Patent Citations (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001098896A1 (en) * | 2000-06-21 | 2001-12-27 | Safelogic Ab | A method for interactive configuration |
| CA2600236A1 (en) * | 2005-03-28 | 2006-10-05 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
| WO2011019773A1 (en) * | 2009-08-10 | 2011-02-17 | Qualcomm Incorporated | Method and apparatus for handling policy and charging control rule or quality of service rule modification failures |
| US8429255B1 (en) * | 2010-01-27 | 2013-04-23 | Juniper Networks, Inc. | Determining reorder commands for remote reordering of policy rules |
| CA3147468A1 (en) * | 2011-06-23 | 2012-12-27 | Bio-Rad Laboratories, Inc. | System and method for determining an optimum qc strategy for immediate release results |
| US20150356001A1 (en) * | 2014-06-06 | 2015-12-10 | Ebay Inc. | Unit test automation for business rules and applications |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN106559277A (zh) * | 2015-09-25 | 2017-04-05 | 中兴通讯股份有限公司 | 探测参考信号的发送方法及装置、信令配置方法及装置 |
| US20190253392A1 (en) * | 2018-02-15 | 2019-08-15 | Wipro Limited | Method and system for generating dynamic rules for computer network firewall |
| CN110768934A (zh) * | 2018-07-27 | 2020-02-07 | 阿里巴巴集团控股有限公司 | 网络访问规则的检查方法和装置 |
| US20200252291A1 (en) * | 2019-02-01 | 2020-08-06 | Arista Networks, Inc. | Method and system for consistent policy enforcement through fabric offloading |
| CN110502546A (zh) * | 2019-08-22 | 2019-11-26 | 郑州阿帕斯科技有限公司 | 一种数据处理方法及装置 |
| CN110532559A (zh) * | 2019-08-29 | 2019-12-03 | 北京明略软件系统有限公司 | 规则的处理方法及装置 |
| CN110708215A (zh) * | 2019-10-10 | 2020-01-17 | 深圳市网心科技有限公司 | 深度包检测规则库生成方法、装置、网络设备及存储介质 |
| CN111464513A (zh) * | 2020-03-19 | 2020-07-28 | 北京邮电大学 | 数据检测方法、装置、服务器及存储介质 |
| CN111625338A (zh) * | 2020-05-28 | 2020-09-04 | 广东浪潮大数据研究有限公司 | 一种亲和性规则调度方法、装置及其相关设备 |
Non-Patent Citations (2)
| Title |
|---|
| FOCUS_TT: "https://blog.csdn.net/nplbnb12/article/details/102929928", 《H3C防火墙基础配置2-配置安全策略_FOCUS_TT的博客-CSDN博客_华三防火墙安全策略配置》 * |
| 蓝华: "基于模式匹配的网络入侵检测系统的研究与设计", 《基于模式匹配的网络入侵检测系统的研究与设计》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112835645B (zh) | 2022-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108111432B (zh) | 报文转发方法及装置 | |
| CN108011837B (zh) | 报文处理方法及装置 | |
| CN107911249B (zh) | 一种网络设备的命令行发送方法、装置和设备 | |
| CN109714239B (zh) | 一种管理消息的下发方法、vnfm设备和服务器 | |
| US9823720B2 (en) | Detection, classification and mutual recognition of 4 pair power over ethernet | |
| CN104917749A (zh) | 帐号注册方法及装置 | |
| CN112948313B (zh) | 一种会话数据的管理方法和装置 | |
| KR20140115758A (ko) | 클라우드 환경에서의 성능 테스트 비용 절감을 위한 테스트 시스템 및 테스트 방법 | |
| CN112835645B (zh) | 一种规则配置的方法及装置 | |
| US11656965B2 (en) | Execution sequence integrity monitoring system | |
| US20190097917A1 (en) | Network system, network controller, method, and program | |
| WO2012163233A1 (zh) | 环回检测方法及装置 | |
| US9154519B1 (en) | System and method for antivirus checking of objects from a plurality of virtual machines | |
| TWI789346B (zh) | 訊息的發送方法和終端設備 | |
| CN108965093B (zh) | 一种vlan分配方法及装置 | |
| CN108141374A (zh) | 一种网络亚健康诊断方法及装置 | |
| CN108259214B (zh) | 一种配置命令管理方法、装置和机器可读存储介质 | |
| CN106293996A (zh) | 数据同步方法、主设备、备份设备和系统 | |
| EP4155923A1 (en) | Virtualized network function deployment method, management and orchestration platform, and medium | |
| CN112637083B (zh) | 丢包处理方法、装置、设备及计算机可读存储介质 | |
| US9699140B1 (en) | Systems and methods for selecting identifiers for wireless access points | |
| CN108173762B (zh) | 报文重定向方法和装置 | |
| US11144375B2 (en) | Execution sequence integrity parameter monitoring system | |
| CN111131296B (zh) | 消息分发方法和装置 | |
| CN111190685A (zh) | 虚拟机数量测试系统、方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |