CN112995169B - 防火墙部署方法和装置 - Google Patents
防火墙部署方法和装置 Download PDFInfo
- Publication number
- CN112995169B CN112995169B CN202110198729.4A CN202110198729A CN112995169B CN 112995169 B CN112995169 B CN 112995169B CN 202110198729 A CN202110198729 A CN 202110198729A CN 112995169 B CN112995169 B CN 112995169B
- Authority
- CN
- China
- Prior art keywords
- node
- firewall
- preset configuration
- deployment
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本公开提供了一种防火墙部署方法,包括:接收防火墙部署指令,所述防火墙防火墙部署指令描述系统架构中的M个逻辑实体,以及描述所述M个逻辑实体之间的调用关系,其中,M为大于1的整数;获取针对各所述逻辑实体的预设配置信息;根据针对各所述逻辑实体的所述预设配置信息,以及根据所述M个逻辑实体之间的调用关系,在所述M个逻辑实体中部署防火墙。本公开还提供了一种防火墙部署装置、一种电子设备及一种计算机存储介质。
Description
技术领域
本公开涉及网络安全技术领域,特别是涉及一种防火墙部署方法及装置。
背景技术
随着互联网技术的迅速发展,网络平台业务量与业务复杂度越来越高。在网络平台中部署防火墙是保证业务安全运行的重要手段,防火墙部署效率和部署质量影响安全防护效果。
在实现本公开技术构思的过程中,发明人发现相关技术中在进行防火墙部署时,需由人工确认部署防火墙的源地址信息和目标地址信息,这存在防火墙部署效率低、人工成本消耗大、部署参数易出错的问题。
发明内容
本公开的一个方面提供了一种防火墙部署方法,包括:接收防火墙部署指令,所述防火墙防火墙部署指令描述系统架构中的M个逻辑实体,以及描述所述M个逻辑实体之间的调用关系,其中,M为大于1的整数;获取针对各所述逻辑实体的预设配置信息;根据针对各所述逻辑实体的所述预设配置信息,以及根据所述M个逻辑实体之间的调用关系,在所述M个逻辑实体中部署防火墙。
可选地,所述获取针对各所述逻辑实体的预设配置信息,包括:获取与各所述逻辑实体关联的节点角色分配信息,以确定所述M个逻辑实体中的N个功能节点,其中,N为大于1的整数;以及获取与各所述功能节点关联的预设配置参数,其中,所述预设配置参数指示所述功能节点的通信地址。
可选地,所述节点角色分配信息包括功能节点个数和分配给各所述功能节点的节点角色,所述节点角色包括网络节点、计算节点和存储节点中的至少之一。
可选地,所述根据针对各所述逻辑实体的预设配置信息,以及根据所述M个逻辑实体之间的调用关系,在所述M个逻辑实体中部署防火墙,包括:基于所述调用关系,确定所述N个功能节点之间的通信路径;根据所述N个功能节点之间的通信路径,确定待部署防火墙的源功能节点和目标功能节点;根据与各所述功能节点关联的预设配置参数,确定所述源功能节点的源地址信息,以及确定所述目标功能节点的目标地址信息;根据所述源地址信息和所述目标地址信息,进行防火墙部署。
可选地,所述获取与各所述逻辑实体关联的节点角色分配信息,包括:从配置管理数据库中获取所述节点角色分配信息,所述节点角色分配信息是由所述系统架构的节点模型管理平台生成的;所述获取与各所述功能节点关联的预设配置参数,包括:从配置管理数据库中获取所述预设配置参数,所述预设配置参数是由所述系统架构的部署支持平台生成的,以及所述节点角色分配信息和所述预设配置参数支持在不同有权限平台中共享流转。
可选地,在确定出所述N个功能节点之间的通信路径后,还包括:进行针对所述通信路径的合理性验证;以及在验证合理的情况下,执行防火墙部署动作。
可选地,还包括:当接收到针对目标逻辑实体的隔离指令时,配置与所述目标逻辑实体关联的防火墙信息,以实现隔离所述目标逻辑实体。
本公开的另一方面提供了一种防火墙部署装置,包括:部署指令接收模块,用于接收防火墙部署指令,所述防火墙防火墙部署指令描述系统架构中的M个逻辑实体,以及描述所述M个逻辑实体之间的调用关系,其中,M为大于1的整数;预设配置信息获取模块,用于获取针对各所述逻辑实体的预设配置信息;防火墙部署模块,用于根据针对各所述逻辑实体的所述预设配置信息,以及根据所述M个逻辑实体之间的调用关系,在所述M个逻辑实体中部署防火墙。
可选地,所述预设配置信息获取模块包括:第一获取子模块,用于获取与各所述逻辑实体关联的节点角色分配信息,以确定所述M个逻辑实体中的N个功能节点,其中,N为大于1的整数;第二获取子模块,用于获取与各所述功能节点关联的预设配置参数,其中,所述预设配置参数指示所述功能节点的通信地址。
可选地,所述节点角色分配信息包括功能节点个数和分配给各所述功能节点的节点角色,所述节点角色包括网络节点、计算节点和存储节点中的至少之一。
可选地,所述防火墙部署模块包括:第一处理子模块,用于基于所述调用关系,确定所述N个功能节点之间的通信路径;第二处理子模块,用于根据所述N个功能节点之间的通信路径,确定待部署防火墙的源功能节点和目标功能节点;第三处理子模块,用于根据与各所述功能节点关联的预设配置参数,确定所述源功能节点的源地址信息,以及确定所述目标功能节点的目标地址信息;第四处理子模块,用于根据所述源地址信息和所述目标地址信息,进行防火墙部署。
可选地,所述第一获取子模块用于从配置管理数据库中获取所述节点角色分配信息,所述节点角色分配信息是由所述系统架构的节点模型管理平台生成的;所述第二获取子模块用于从配置管理数据库中获取所述预设配置参数,所述预设配置参数是由所述系统架构的部署支持平台生成的,以及所述节点角色分配信息和所述预设配置参数支持在不同有权限平台中共享流转。
可选地,所述防火墙部署模块还包括:第五处理子模块,用于进行针对所述通信路径的合理性验证。
可选地,本装置还包括:逻辑实体隔离模块,用于当接收到针对目标逻辑实体的隔离指令时,配置与所述目标逻辑实体关联的防火墙信息,以实现隔离所述目标逻辑实体。
本公开的另一方面提供了一种电子设备,包括一个或多个处理器;存储器,用于存储一个或多个程序,其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现本公开实施例的方法。
本公开的另一方面提供了一种计算机可读存储介质,存储有计算机可执行指令,所述指令在被执行时用于实现本公开实施例的方法。
本公开的另一方面提供了一种计算机程序产品,包括计算机可读指令,其中,所述计算机可读指令被执行时用于执行本公开实施例的防火墙部署方法。
附图说明
为了更完整地理解本公开及其优势,现在将参考结合附图的以下描述,其中,
图1示意性示出了根据本公开实施例的防火墙部署方法和装置的平台架构;
图2示意性示出了根据本公开实施例的一种防火墙部署方法的流程图;
图3示意性示出了根据本公开实施例的另一防火墙部署方法的流程图;
图4示意性示出了根据本公开实施例的功能节点示意图;
图5示意性示出了根据本公开实施例的利用持续交付流水线传递信息的示意图;
图6示意性示出了根据本公开实施例的防火墙部署需求的示意图;
图7示意性示出了根据本公开实施例的符合网管系统格式要求的防火墙部署策略的示意图;
图8示意性示出了根据本公开实施例的防火墙部署方法流程示意图;
图9示意性示出了根据本公开实施例的防火墙部署整体流程示意图;
图10示意性示出了根据本公开实施例的一种防火墙部署装置的框图;
图11示意性示出了根据本公开实施例的电子设备的框图。
具体实施方式
以下,将参照附图来描述本公开的实施例。但是应该理解,这些描述只是示例性地,而并非要限制本公开的范围。在下面的详细描述中,为便于解释,阐述了许多具体的细节以提供对本公开实施例的全面理解。然而,明显地,一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本公开的概念。
在此使用的术语仅仅是为了描述具体实施例,而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了特征、操作、操作和/或部件的存在,但是并不排除存在或添加一个或多个其他特征、操作、操作或部件。
在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义,除非另外定义。应注意,这里使用的术语应解释为具有与本说明书的上下文相一致的含义,而不应以理想化或过于刻板的方式来解释。
在使用类似于“A、B和C等中至少一个”这样的表述的情况下,一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如,“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。
附图中示出了一些方框图和/或流程图。应理解,方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程防火墙部署装置的处理器,从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外,本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式,该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。
本公开的实施例提供了一种防火墙部署方法以及能够运用该方法的部署装置。该方法具体可以包括如下操作,首先,接收防火墙部署指令,防火墙部署指令描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,其中,M为大于1的整数;然后,获取针对各逻辑实体的预设配置信息;最后,根据针对各逻辑实体的预设配置信息,以及根据M个逻辑实体之间的调用关系,在M个逻辑实体中部署防火墙。
图1示意性示出了根据本公开实施例的防火墙部署方法和装置的平台架构。需要注意的是,图1所示仅为可以应用本公开实施例的平台架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。
如图1所示,平台架构100包括开发平台、部署支持平台104和配置管理数据库105,开发平台可以由多个开发终端组成(图中示出了多个,如开发终端101、102、103)。开发平台用于进行系统架构的逻辑实体设计,逻辑实体是系统架构的功能模块,可以由多个功能节点组成,功能节点实质可以是服务器节点,不同服务器节点对应不同节点角色和功能类型。部署支持平台用于为逻辑实体分配基础设备、中间件、网络环境等底层系统环境,同时部署支持平台还用于进行防火墙部署。配置管理数据库用于存储与逻辑实体关联的预设配置信息,预设配置信息为部署支持平台进行防火墙部署的重要依据。
本实施例方法可由部署支持平台104的任一控制点执行,控制点接收来自开发平台(如开发终端101、102、103)的防火墙部署指令,防火墙部署指令描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,其中,M为大于1的整数;然后,控制节点从配置管理数据库105中获取针对各逻辑实体的预设配置信息;最后,控制节点根据针对各逻辑实体的预设配置信息,以及根据M个逻辑实体之间的调用关系,在M个逻辑实体中部署防火墙。
需要说明的是,本公开实施例的防火墙部署方法和装置可用于金融领域,也可用于除金融领域之外的任意领域。以下将结合附图和具体实施例详细阐述本公开。
图2示意性示出了根据本公开实施例的一种防火墙部署方法的流程图。如图2所示,方法200可以包括操作S210~S230。
在操作S210,接收防火墙部署指令,防火墙部署指令描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,其中,M为大于1的整数。
在本实施例中,具体地,部署支持平台的控制节点接收来自开发平台的防火墙部署指令,防火墙部署指令描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,防火墙部署指令用于请求在M个逻辑实体中部署防火墙。逻辑实体是由开发平台设计的系统架构的功能模块,其可以是独立的应用对象,也可以是应用对象的部分模块。逻辑实体中可能包括网站服务器、数据库服务器、域名服务器等不同功能类型的服务器节点,还可能包括路由器、网关、虚拟局域网等基础环境设备节点。M个逻辑实体之间存在调用关系,逻辑实体之间的调用关系具体可以是逻辑实体中的服务器节点之间的调用关系。
在需要进行防火墙部署时,开发平台向部署支持平台的控制节点发起防火墙部署指令,防火墙部署指令只需描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,而无需描述M个逻辑实体的底层环境信息,该种设计有利于减少开发平台工作量,有利于实现自动化部署防火墙,有利于改善防火墙部署的部署效率。
接下来,在操作S220,获取针对各逻辑实体的预设配置信息。
在本实施例中,具体地,部署支持平台的控制节点从配置管理数据库中获取针对各逻辑实体的预设配置信息,具体地,从配置管理数据库中获取与各逻辑实体关联的节点角色分配信息,以实现确定M个逻辑实体中的N个功能节点,其中,N为大于1的整数。节点角色分配信息是由系统架构的节点模型管理平台生成的,节点模型管理平台中利用到的节点管理模型是由开发平台设计完成,节点管理模型支持在系统架构的不同有权限平台中共享流转。同时,从配置管理数据库中获取与各功能节点关联的预设配置参数,以确定各功能节点的通信地址,与各功能节点关联的预设配置参数是由系统架构的部署支持平台确定的。
与各逻辑实体关联的节点角色分配信息,以及与各功能节点关联的预设配置参数支持在不同有权限平台中共享流转,例如支持在系统架构的开发平台、部署平台、部署支持平台、节点模型管理平台中共享流转。开发平台在发起防火墙部署指令时,其不用关注防火墙部署的细节信息,而只需提供待部署防火墙的逻辑实体间的调用关系。与逻辑实体关联的配置信息在不同有权限平台中共享不落地,这能够有效免去人工确认和手工录入信息的步骤,有利于改善防火墙部署的部署效率。
接下来,在操作S230,根据针对各逻辑实体的预设配置信息,以及根据M个逻辑实体之间的调用关系,在M个逻辑实体中部署防火墙。
在本实施例中,具体地,根据针对各逻辑实体的预设配置信息,以及根据M个逻辑实体之间的调用关系,在M个逻辑实体中的源功能节点和目标功能节点之间部署防火墙。按功能类型划分,部署的防火墙可以包括流量转发模块、流量检测模块和流量分析模块,流量转发模块用于接收调用请求,并将调用请求转发给流量检测模块进行风险检测;流量检测模块用于根据预设安全策略进行针对调用请求的风险检测,得到检测结果并将检测结果返回流量转发模块,以使流量转发模块根据检测结果对调用请求进行处理,以实现协调、转发不同功能节点之间的调用请求;流量分析模块用于根据流量检测模块的检测日志,生成预设安全策略,以供流量检测模块基于预设安全策略进行针对调用请求的风险检测。
在本公开实施例中,接收防火墙部署指令,部署指令描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,其中,M为大于1的整数;获取针对各逻辑实体的预设配置信息;根据针对各逻辑实体的预设配置信息,以及根据M个逻辑实体之间的调用关系,在M个逻辑实体中部署防火墙。接收来自开发平台的防火墙部署指令,防火墙部署指令可以只需描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,而无需描述逻辑实体的底层环境信息;通过部署支持平台的控制节点获取与逻辑实体关联的预设配置信息,并基于预设配置信息和逻辑实体间的调用关系,进行防火墙部署,能够有效免去人工获取和手工录入底层环境信息的步骤,有利于提升防火墙部署的部署效率,有利于实现防火墙部署的自动化进程,有利于改善防火墙部署的部署质量。
图3示意性示出了根据本公开实施例的另一防火墙部署方法的流程图。
如图3所示,方法300可以包括操作S210、S310~S320和S230。
在操作S210,接收防火墙部署指令,防火墙部署指令描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,其中,M为大于1的整数。
在本实施例中,具体地,本操作的实现原理及过程与前一实施例描述的操作S210类似,在此不做赘述。
接下来,在操作S310,获取与各逻辑实体关联的节点角色分配信息,以确定M个逻辑实体中的N个功能节点,其中,N为大于1的整数。
在本实施例中,具体地,逻辑实体为系统架构中的功能模块,具体可以是独立的应用对象,也可以是应用对象的部分模块。逻辑实体可由不同服务器节点组成,不同服务器节点可能对应不同的节点角色分配信息。获取与各逻辑实体关联的节点角色分配信息,以确定与各逻辑实体中的至少一个服务器节点关联的节点角色信息,进而实现确定M个逻辑实体中的N个功能节点。
节点角色分配信息包括功能节点个数和预先分配给各功能节点的节点角色,节点角色包括网络节点、计算节点和存储节点中的至少之一。网络节点为用于对外部请求做出响应的服务器节点,计算节点为用于批量处理业务的服务器节点,存储节点为用于提供数据存储服务的服务器节点。可选地,可以利用系统架构中的节点模型管理平台,按照预设统一规则对将应用对象拆分为不同类型的功能节点,以实现对应用对象的系统架构进行建模,针对系统架构的建模信息支持在不同有权限平台中共享流转。
图4示意性示出了根据本公开实施例的功能节点示意图,如图4所示,按功能类型划分,将X应用拆分为3种类型的功能节点,具体拆分为Web节点(用于对外部请求做出响应的网络节点)、Batch节点(用于批量处理业务的计算节点)和DB节点(用于提供数据存储服务的存储节点);按功能类型划分,将Y应用拆分为2种类型的功能节点,具体拆分为Web节点和DB节点。
接下来,在操作S320,获取与各功能节点关联的预设配置参数,其中,预设配置参数指示功能节点的通信地址。
在本实施例中,具体地,获取与各功能节点关联的预设配置参数,预设配置参数指示功能节点的通信地址,预设配置参数由系统架构的部署支持平台分配得到,具体可以包括功能节点的节点IP、节点标识、节点ID等信息。可选地,在为逻辑实体分配基础设备、中间件、网络环境等底层系统环境时,部署支持平台将对应的设备信息登记在服务器节点名下,示例性地,X.Web节点包含IP(122.22.1.1、122.22.1.2),Y.Web节点包含IP(122.22.2.0、122.22.2.0:8080)。
为实现维护节点角色分配信息和功能节点配置参数的台账,构建CMDB(Configuration Management Database,配置管理数据库)维护节点角色分配信息和功能节点配置参数,CMDB中存储的数据支持在系统架构的不同有权限平台中共享流转。可选地,可以利用持续交付流水线驱动完成节点角色分配信息和功能节点配置参数在不同有权限平台中的流转。另外,还可以利用持续交付流水线将逻辑实体的属性信息由开发平台的配置节点流转至部署支持平台的配置节点,逻辑实体的属性信息包括固定不可变的程序信息和动态可变的配置信息。图5示意性示出了根据本公开实施例的利用持续交付流水线传递信息的示意图,如图5所示,由开发平台的配置节点通过持续交付流水线向部署支持平台的配置节点传递不同应用的属性信息,应用的属性信息包括程序信息和配置信息。
接下来,在操作S230,根据针对各逻辑实体的预设配置信息,以及根据M个逻辑实体之间的调用关系,在M个逻辑实体中部署防火墙。
在本实施例中,具体地,基于上述调用关系,确定N个功能节点之间的通信路径;根据N个功能节点之间的通信路径,确定待部署防火墙的源功能节点和目标功能节点;根据与各功能节点关联的配置参数,确定源功能节点的源地址信息,以及确定目标功能节点的目标地址信息;根据源地址信息和目标地址信息,进行防火墙部署。
在确定出M个逻辑实体中的N个功能节点后,基于M个逻辑实体间的调用关系,确定N个功能节点之间的通信路径。示例性地,逻辑实体间的调用关系包括应用服务器通过调用数据库服务器,实现从数据库服务器中获取业务数据进行业务活动,此时,确定功能节点间的通信路径包括由作为计算节点的服务器发起数据获取请求,由作为存储节点的服务器接收数据获取请求并处理,以实现向作为计算节点的服务器提供业务数据。
在确定出N个功能节点之间的通信路径后,根据通信路径确定待部署防火墙的源功能节点和目标功能节点。为保证应用运行安全,通常需要将源功能节点与目标功能节点进行隔离,即需要在源功能节点与目标功能节点之间设置防火墙。图6示意性示出了根据本公开实施例的防火墙部署需求的示意图,在确定完成源功能节点X和目标功能节点Y后,如图6所示,需要在源功能节点X和目标功能节点Y之间部署防火墙。根据源功能节点与目标功能节点之间的调用关系,确定与调用关系对应的防火墙性能需求。根据防火墙性能需求指示的防火墙的性能指标,选择匹配的防火墙类型进行部署,以此实现利用防火墙进行用户合法性校验、异常流量检测、数据流重定向等安全防护操作。
可选地,在确定出N个功能节点之间的通信路径后,还可以进行针对通信路径的合理性验证,在合理性验证通过的情况下,执行防火墙部署动作。具体地,根据确定出的通信路径,校验N个功能节点之间的上下文信息是否与预设参考信息一致,是则确定N个功能节点间的通信路径为合理路径,否则通知开发平台重新确认或调整逻辑实体间的调用关系。
接下来,根据与各功能节点关联的预设配置参数,确定源功能节点的源地址信息,源功能节点具体可以是发起方服务器节点,例如可以确定预先分配给发起方服务器节点的IP地址。同时,根据与各功能节点关联的预设配置参数,确定目标功能节点的目标地址信息,目标功能节点具体可以是响应方服务器节点,例如可以确定预先分配给响应方服务器节点的IP地址。在确定出源地址信息和目标地址信息后,生成符合网管系统格式要求的防火墙部署策略,并通过网管系统依据防火墙部署策略进行防火墙部署,其中,网管系统是部署支持平台中用于管理底层网络环境的系统,防火墙部署属于其管理范围。图7示意性示出了根据本公开实施例的符合网管系统格式要求的防火墙部署策略的示意图,如图7所示,符合网管系统格式要求的防火墙部署策略包含待部署防火墙的源IP地址、目标IP地址和目标端口信息。
可选地,当接收到针对目标逻辑实体的隔离指令时,配置与目标逻辑实体关联的防火墙信息,阻断目标逻辑实体与其他逻辑实体间的通信链路,以实现隔离目标逻辑实体。具体地,隔离指令可以由用户根据安全防护需求自定义生成,也可以由网络安全平台根据系统架构的运行环境信息及流量检测结果生成。该种设计有利于保证逻辑实体业务运行安全,有利于改善网络安全防护的可配置化程度。
图8示意性示出了根据本公开实施例的防火墙部署方法流程示意图,如图8所示,流程800可以包括操作S810~S830。
在操作S810,接收防火墙部署指令。防火墙部署指令描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系。M个逻辑实体中的各逻辑实体由至少一个功能节点组成,各功能节点具有对应的节点角色分配信息,以及具有对应的预设配置参数。
接下来,在操作S820,通过获取节点角色分配信息和功能节点配置参数,确定待部署防火墙的源地址信息和目标地址信息。根据M个逻辑实体之间的调用关系,确定M个逻辑实体中的N个功能节点之间的通信路径,以实现确定待部署防火墙的源功能节点和目标功能节点。同时,根据与各功能节点关联的预设配置参数,确定待部署防火墙的源地址信息和目标地址信息。
接下来,在操作S830,根据待部署防火墙的源地址信息和目标地址信息,生成符合网管系统格式要求的防火墙部署策略,并依据防火墙部署策略进行防火墙部署。
图9示意性示出了根据本公开实施例的防火墙部署整体流程示意图,如图9所示,可以利用系统架构中的不同平台实现图4~图8中描述的防火墙部署明细。通过采用本实施例方法,当需要进行防火墙部署时,开发平台中的开发人员只需明确需要部署防火墙的逻辑实体,以及提供逻辑实体之间的调用关系,而无需提供逻辑实体的底层环境信息。本实施例通过利用持续交付流水线将逻辑实体中功能节点的节点角色分配信息和预设配置参数在系统架构的不同有权限平台中流转共享,通过保证防火墙配置信息全程不落地,免去人工确认和手工录入底层环境信息的步骤,有利于实现自动化进行防火墙部署,有利于提升防火墙部署的部署效率,和改善防火墙部署的部署效果。
图10示意性示出了根据本公开实施例的一种防火墙部署装置的框图。
如图10所示,防火墙部署装置1000包括部署指令接收模块1001、预设配置信息获取模块1002和防火墙部署模块1003。
具体地,部署指令接收模块1001,用于接收防火墙部署指令,部署指令描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,其中,M为大于1的整数;配置信息获取模块1002,用于获取针对各逻辑实体的预设配置信息;防火墙部署模块1003,用于根据针对各逻辑实体的配置信息,以及根据M个逻辑实体之间的调用关系,在M个逻辑实体中部署防火墙。
在本公开实施例中,接收防火墙部署指令,部署指令描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,其中,M为大于1的整数;获取针对各逻辑实体的预设配置信息;根据针对各逻辑实体的预设配置信息,以及根据M个逻辑实体之间的调用关系,在M个逻辑实体中部署防火墙。接收来自开发平台的防火墙部署指令,防火墙部署指令可以只需描述系统架构中的M个逻辑实体,以及描述M个逻辑实体之间的调用关系,而无需描述逻辑实体的底层环境信息;通过部署支持平台的控制节点获取与逻辑实体关联的预设配置信息,并基于预设配置信息和逻辑实体间的调用关系,进行防火墙部署,能够有效免去人工获取和手工录入底层环境信息的步骤,有利于提升防火墙部署的部署效率,有利于实现防火墙部署的自动化进程,有利于改善防火墙部署的部署质量。
作为一种可行的实施例,预设配置信息获取模块包括:第一获取子模块,用于获取与各逻辑实体关联的节点角色分配信息,以确定M个逻辑实体中的N个功能节点,其中,N为大于1的整数;第二获取子模块,用于获取与各功能节点关联的预设配置参数,其中,预设配置参数指示功能节点的通信地址。
作为一种可行的实施例,节点角色分配信息包括功能节点个数和分配给各功能节点的节点角色,节点角色包括网络节点、计算节点和存储节点中的至少之一。
作为一种可行的实施例,防火墙部署模块包括:第一处理子模块,用于基于调用关系,确定N个功能节点之间的通信路径;第二处理子模块,用于根据N个功能节点之间的通信路径,确定待部署防火墙的源功能节点和目标功能节点;第三处理子模块,用于根据与各功能节点关联的预设配置参数,确定源功能节点的源地址信息,以及确定目标功能节点的目标地址信息;第四处理子模块,用于根据源地址信息和目标地址信息,进行防火墙部署。
作为一种可行的实施例,第一获取子模块用于从配置管理数据库中获取节点角色分配信息,节点角色分配信息是由系统架构的节点模型管理平台生成的;第二获取子模块用于从配置管理数据库中获取预设配置参数,预设配置参数是由系统架构的部署支持平台生成的,以及节点角色分配信息和预设配置参数支持在不同有权限平台中共享流转。
作为一种可行的实施例,防火墙部署模块还包括:第五处理子模块,用于进行针对通信路径的合理性验证。
作为一种可行的实施例,本装置还包括:逻辑实体隔离模块,用于当接收到针对目标逻辑实体的隔离指令时,配置与目标逻辑实体关联的防火墙信息,以实现隔离目标逻辑实体。
需要说明的是,在本公开实施例中,装置部分的实施方式与方法部分的实施方式相同或类似,在此不再赘述。
根据本公开的实施例的模块中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块中的任意一个或多个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者根据本公开实施例的模块中的一个或多个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
例如,部署指令接收模块1001、预设配置信息获取模块1002和防火墙部署模块1003中的任意多个可以合并在一个模块中实现,或者其中的任意一个模块可以被拆分成多个模块。或者,这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合,并在一个模块中实现。根据本公开的实施例,部署指令接收模块1001、预设配置信息获取模块1002和防火墙部署模块1003中的至少一个可以至少被部分地实现为硬件电路,例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC),或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现,或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。部署指令接收模块1001、预设配置信息获取模块1002和防火墙部署模块1003中的至少一个可以至少被部分地实现为计算机程序模块,当该计算机程序模块被运行时,可以执行相应的功能。
图11示意性示出了根据本公开实施例的电子设备的框图。图11示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图11所示,电子设备1100包括处理器1110、计算机可读存储介质1120。该电子设备1100可以执行根据本公开实施例的方法。
具体地,处理器1110例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如,专用集成电路(ASIC)),等等。处理器1110还可以包括用于缓存用途的板载存储器。处理器1110可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理模块或者是多个处理模块。
计算机可读存储介质1120,例如可以是非易失性的计算机可读存储介质,具体示例包括但不限于:磁存储装置,如磁带或硬盘(HDD);光存储装置,如光盘(CD-ROM);存储器,如随机存取存储器(RAM)或闪存;等等。
计算机可读存储介质1120可以包括计算机程序1121,该计算机程序1121可以包括代码/计算机可执行指令,其在由处理器1110执行时使得处理器1110执行根据本公开实施例的方法或其任何变形。
计算机程序1121可被配置为具有例如包括计算机程序模块的计算机程序代码。例如,在示例实施例中,计算机程序1121中的代码可以包括一个或多个程序模块,例如包括1121A、模块1121B、……。应当注意,模块的划分方式和个数并不是固定的,本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合,当这些程序模块组合被处理器1110执行时,使得处理器1110可以执行根据本公开实施例的方法或其任何变形。
根据本公开的实施例,部署指令接收模块1001、预设配置信息获取模块1002和防火墙部署模块1003中的至少一个可以实现为参考图11描述的计算机程序模块,其在被处理器1110执行时,可以实现上面描述的相应操作。
本公开还提供了一种计算机可读存储介质,该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的;也可以是单独存在,而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序,当上述一个或者多个程序被执行时,实现根据本公开实施例的方法。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
本领域技术人员可以理解,尽管已经参照本公开的特定示例性实施例示出并描述了本公开,但是本领域技术人员应该理解,在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下,可以对本公开进行形式和细节上的多种改变。因此,本公开的范围不应该限于上述实施例,而是应该不仅由所附权利要求来进行确定,还由所附权利要求的等同物来进行限定。
Claims (8)
1.一种防火墙部署方法,包括:
接收防火墙部署指令,所述防火墙部署指令描述系统架构中的M个逻辑实体,以及描述所述M个逻辑实体之间的调用关系,其中,M为大于1的整数;
获取针对各所述逻辑实体的预设配置信息;
根据针对各所述逻辑实体的所述预设配置信息,以及根据所述M个逻辑实体之间的调用关系,在所述M个逻辑实体中部署防火墙,
其中,所述获取针对各所述逻辑实体的预设配置信息,包括:
获取与各所述逻辑实体关联的节点角色分配信息,以确定所述M个逻辑实体中的N个功能节点,其中,N为大于1的整数;以及
获取与各所述功能节点关联的预设配置参数,其中,所述预设配置参数指示所述功能节点的通信地址,
其中,所述获取与各所述逻辑实体关联的节点角色分配信息,包括:
从配置管理数据库中获取所述节点角色分配信息,所述节点角色分配信息是由系统架构的节点模型管理平台生成的,其中,节点模型管理平台中利用到的节点管理模型是由开发平台设计完成;
所述获取与各所述功能节点关联的预设配置参数,包括:
从配置管理数据库中获取所述预设配置参数,所述预设配置参数是由系统架构的部署支持平台生成的,以及
所述节点角色分配信息和所述预设配置参数支持在不同有权限平台中共享流转。
2.根据权利要求1所述的方法,其中,所述节点角色分配信息包括功能节点个数和分配给各所述功能节点的节点角色,
所述节点角色包括网络节点、计算节点和存储节点中的至少之一。
3.根据权利要求1所述的方法,其中,所述根据针对各所述逻辑实体的预设配置信息,以及根据所述M个逻辑实体之间的调用关系,在所述M个逻辑实体中部署防火墙,包括:
基于所述调用关系,确定所述N个功能节点之间的通信路径;
根据所述N个功能节点之间的通信路径,确定待部署防火墙的源功能节点和目标功能节点;
根据与各所述功能节点关联的预设配置参数,确定所述源功能节点的源地址信息,以及确定所述目标功能节点的目标地址信息;
根据所述源地址信息和所述目标地址信息,进行防火墙部署。
4.根据权利要求3所述的方法,其中,在确定出所述N个功能节点之间的通信路径后,还包括:
进行针对所述通信路径的合理性验证;以及
在验证合理的情况下,执行防火墙部署动作。
5.根据权利要求1至4中任一项所述的方法,还包括:
当接收到针对目标逻辑实体的隔离指令时,配置与所述目标逻辑实体关联的防火墙信息,以实现隔离所述目标逻辑实体。
6.一种防火墙部署装置,包括:
部署指令接收模块,用于接收防火墙部署指令,所述防火墙部署指令描述系统架构中的M个逻辑实体,以及描述所述M个逻辑实体之间的调用关系,其中,M为大于1的整数;
预设配置信息获取模块,用于获取针对各所述逻辑实体的预设配置信息;
防火墙部署模块,用于根据针对各所述逻辑实体的所述预设配置信息,以及根据所述M个逻辑实体之间的调用关系,在所述M个逻辑实体中部署防火墙,
其中,所述获取针对各所述逻辑实体的预设配置信息,包括:
获取与各所述逻辑实体关联的节点角色分配信息,以确定所述M个逻辑实体中的N个功能节点,其中,N为大于1的整数;以及
获取与各所述功能节点关联的预设配置参数,其中,所述预设配置参数指示所述功能节点的通信地址,
其中,所述获取与各所述逻辑实体关联的节点角色分配信息,包括:
从配置管理数据库中获取所述节点角色分配信息,所述节点角色分配信息是由系统架构的节点模型管理平台生成的,其中,节点模型管理平台中利用到的节点管理模型是由开发平台设计完成;
所述获取与各所述功能节点关联的预设配置参数,包括:
从配置管理数据库中获取所述预设配置参数,所述预设配置参数是由系统架构的部署支持平台生成的,以及
所述节点角色分配信息和所述预设配置参数支持在不同有权限平台中共享流转。
7.一种电子设备,包括:
一个或多个处理器;以及
存储器,用于存储一个或多个程序,
其中,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器实现权利要求1至5中任一项所述的方法。
8.一种计算机可读存储介质,其上存储有可执行指令,该指令被处理器执行时使处理器实现权利要求1至5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110198729.4A CN112995169B (zh) | 2021-02-22 | 2021-02-22 | 防火墙部署方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110198729.4A CN112995169B (zh) | 2021-02-22 | 2021-02-22 | 防火墙部署方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112995169A CN112995169A (zh) | 2021-06-18 |
| CN112995169B true CN112995169B (zh) | 2022-12-06 |
Family
ID=76349502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110198729.4A Active CN112995169B (zh) | 2021-02-22 | 2021-02-22 | 防火墙部署方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112995169B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115766278B (zh) * | 2022-12-06 | 2023-08-15 | 深圳市宜嘉科技有限公司 | 防火墙策略生成方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067877A (zh) * | 2018-08-03 | 2018-12-21 | 平安科技(深圳)有限公司 | 一种云计算平台部署的控制方法、服务器及存储介质 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN112073247A (zh) * | 2020-09-10 | 2020-12-11 | 工银科技有限公司 | 区块链网络部署方法、装置、计算机系统和介质 |
| CN112291241A (zh) * | 2020-10-29 | 2021-01-29 | 中国平安财产保险股份有限公司 | 防火墙开墙方法、防火墙开墙装置及终端设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8024482B2 (en) * | 2009-02-16 | 2011-09-20 | Microsoft Corporation | Dynamic firewall configuration |
| CN109768962B (zh) * | 2018-12-13 | 2022-04-12 | 平安科技(深圳)有限公司 | 防火墙策略生成方法、装置、计算机设备及存储介质 |
| CN109889530B (zh) * | 2019-03-05 | 2020-10-27 | 北京长亭未来科技有限公司 | Web应用防火墙系统及计算机存储介质 |
| CN112039868A (zh) * | 2020-08-27 | 2020-12-04 | 中国平安财产保险股份有限公司 | 防火墙策略验证方法、装置、设备及存储介质 |
| CN111835794B (zh) * | 2020-09-17 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
-
2021
- 2021-02-22 CN CN202110198729.4A patent/CN112995169B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067877A (zh) * | 2018-08-03 | 2018-12-21 | 平安科技(深圳)有限公司 | 一种云计算平台部署的控制方法、服务器及存储介质 |
| CN111786949A (zh) * | 2020-05-22 | 2020-10-16 | 山东鲁能软件技术有限公司 | 防火墙安全策略自动适配系统及方法 |
| CN112073247A (zh) * | 2020-09-10 | 2020-12-11 | 工银科技有限公司 | 区块链网络部署方法、装置、计算机系统和介质 |
| CN112291241A (zh) * | 2020-10-29 | 2021-01-29 | 中国平安财产保险股份有限公司 | 防火墙开墙方法、防火墙开墙装置及终端设备 |
Non-Patent Citations (1)
| Title |
|---|
| 防火墙集中式管控在数据中心内的应用;黄达文;《计算机安全》;20101015;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112995169A (zh) | 2021-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10320674B2 (en) | Independent network interfaces for virtual network environments | |
| CN109561171B (zh) | 虚拟私有云服务的配置方法和装置 | |
| US10841366B2 (en) | Service graph based serverless cloud platform | |
| US11888858B2 (en) | Calculus for trust in edge computing and named function networks | |
| US10484331B1 (en) | Security appliance provisioning | |
| US20190020665A1 (en) | Securing micro-services | |
| US10333901B1 (en) | Policy based data aggregation | |
| CN104247333A (zh) | 用于基于网络的服务的管理的系统和方法 | |
| US20200257776A1 (en) | Request authorization using recipe-based service coordination | |
| US9264339B2 (en) | Hosted network management | |
| US20230109231A1 (en) | Customizable network virtualization devices using multiple personalities | |
| CN104811922A (zh) | 一种相邻节点注册方法和装置、跨节点注册方法和系统 | |
| US20230393858A1 (en) | Techniques for bootstrapping across secure air gaps with static sidecar | |
| US20230396590A1 (en) | Techniques for bootstrapping across secure air gaps with proxying sidecar | |
| CN112995169B (zh) | 防火墙部署方法和装置 | |
| US20190289082A1 (en) | Gateway device allowing multiple infrastructural services to access multiple iot devices | |
| US10817280B1 (en) | Overriding shared service interfaces | |
| CN113542437B (zh) | 网络系统、网络代理方法及设备 | |
| US20230222239A1 (en) | Multi-zone secure artificial intelligence exchange and hub | |
| US20230393859A1 (en) | Techniques for bootstrapping across secure air gaps with edge device cluster | |
| US10708129B1 (en) | Changing hardware capabilities of a device | |
| CN113014650B (zh) | 针对数据请求的处理方法、装置、计算设备和介质 | |
| US10581994B2 (en) | Facilitating communication between an origin machine and a target machine | |
| CN113037812A (zh) | 数据包调度方法、装置、电子设备、介质和智能网卡 | |
| US20240061796A1 (en) | Multi-tenant aware data processing units |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |