CN113904911A - 设备的管理方法、系统、可读存储介质及计算机 - Google Patents

Abstract

本发明提供一种设备的管理方法、系统、可读存储介质及计算机，该方法包括：创建多个管理区域，并在管理区域内添加基础配置，基础配置至少包括时区配置以及日志服务器配置；将多个设备划分至各个管理区域，并将基础配置覆盖设备的相应配置；分别在每个管理区域中通过WEB界面创建多个集群，集群配置有集群接入点；获取多个设备的设备信息，并根据设备信息将多个设备分配至对应的集群中；通过集群接入点对集群内的设备进行管理。本发明通过划分多个管理区域，并将多个设备划分至各个管理区域中，实现整体批量管理；在该管理区域内划分集群，满足负载均衡和性能扩展的需求，能完成对多个设备的集中式管理，节省人力成本及时间成本，减少错误率。

Description

设备的管理方法、系统、可读存储介质及计算机

技术领域

本申请涉及计算机技术领域，特别是涉及一种设备的管理方法、系统、可读存储介质及计算机。

背景技术

随着互联网的快速发展，目前应用层的攻击愈发多样，需要对web业务服务器进行网络安全防御，于是会部署WAF(web网页防火墙)，WAF会对获取进入web业务服务器的网络地址，通过网络地址进行网络安全防御，因此网络安全问题成了重中之重，导致WAF设备的需求也越来越多。

当客户拥有的WAF设备数量越来越多的时候，且分别安装在各种不同的地方，比如：上海分部，北京分部，杭州分部，此时客户想要对这些WAF设备进行操作，随之而来问题也产生了。此时人工对设备进行各项操作，单独管理的难度大，而且费时间、费人力，同时也容易出错，产生操作遗漏等现象。

发明内容

本申请实施例提供了一种设备的管理方法、装置、可读存储介质及计算机，以至少解决上述相关技术中的不足。

第一方面，本申请实施例提供了一种设备的管理方法，包括：

创建多个管理区域，并在所述管理区域内添加基础配置，所述基础配置至少包括时区配置以及日志服务器配置；

将多个设备划分至各个所述管理区域，并将所述基础配置覆盖所述设备的相应配置；

分别在每个所述管理区域中通过WEB界面创建多个集群，所述集群配置有集群接入点；

获取多个所述设备的设备信息，并根据所述设备信息将多个所述设备分配至对应的集群中，所述设备信息至少包括设备型号、设备版本号以及设备配置信息；

通过所述集群接入点对所述集群内的设备进行管理。

在其中一些实施例中，所述集群的种类包括高可用集群，所述根据所述设备信息将多个所述设备分配至对应的集群中的步骤包括：

将多个所述设备中所述设备型号、所述设备版本号以及所述设备配置信息完全相同的设备分配至所述高可用集群中；

在所述高可用集群中至少设置一所述设备作为所述高可用集群的管理设备，并通过所述高可用集群的管理设备所提供的接入点作为所述高可用集群的接入点。

在其中一些实施例中，所述集群的种类还包括负载均衡集群，所述根据所述设备信息将多个所述设备分配至对应的集群中的步骤还包括：

将多个所述设备中所述设备配置信息不同的设备分配至所述负载均衡集群中；

在所述负载均衡集群中基于内部的设备所提供的接入点作为所述负载均衡集群的集群接入点。

在其中一些实施例中，所述通过所述集群接入点对所述集群内的设备进行管理的步骤包括：

实时轮询所述集群内的所有设备的运行情况；

当所述所有设备中任一设备出现异常时，通过所述WEB界面告警并采取应急措施。

在其中一些实施例中，所述方法还包括：

通过所述WEB界面按层次查看所述管理区域、所述集群以及多个所述设备的运行状态统计数据，所述运行状态统计数据至少包括总设备数、可用设备数、总体负载、运维事件告警、业务防护告警、业务防护统计、流量统计。

第二方面，本申请实施例提供了一种设备的管理系统，包括：

第一创建模块，用于创建多个管理区域，并在所述管理区域内添加基础配置，所述基础配置至少包括时区配置以及日志服务器配置；

划分模块，用于将多个设备划分至各个所述管理区域，并将所述基础配置覆盖所述设备的相应配置；

第二创建模块，用于分别在每个所述管理区域中通过WEB界面创建多个集群，所述集群配置有集群接入点；

分配模块，用于获取多个所述设备的设备信息，并根据所述设备信息将多个所述设备分配至对应的集群中，所述设备信息至少包括设备型号、设备版本号以及设备配置信息；

控制模块，用于通过所述集群接入点对所述集群内的设备进行管理。

在其中一些实施例中，所述分配模块包括：

第一分配单元，用于将多个所述设备中所述设备型号、所述设备版本号以及所述设备配置信息完全相同的设备分配至所述高可用集群中；

在所述高可用集群中至少设置一所述设备作为所述高可用集群的管理设备，并通过所述高可用集群的管理设备所提供的接入点作为所述高可用集群的接入点；

第二分配单元，用于将多个所述设备中所述设备配置信息不同的设备分配至所述负载均衡集群中；

在所述负载均衡集群中基于内部的设备所提供的接入点作为所述负载均衡集群的集群接入点；

所述控制模块包括：

轮询单元，用于实时轮询所述集群内的所有设备的运行情况；

处理单元，用于当所述所有设备中任一设备出现异常时，通过所述WEB界面告警并采取应急措施。

在其中一些实施例中，所述系统还包括：

查看模块，用于通过所述WEB界面按层次查看所述管理区域、所述集群以及多个所述设备的运行状态统计数据，所述运行状态统计数据至少包括总设备数、可用设备数、总体负载、运维事件告警、业务防护告警、业务防护统计、流量统计。

第三方面，本申请实施例提供了一种可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述第一方面所述的设备的管理方法。

第四方面，本申请实施例提供了一种计算机，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如上述第一方面所述的设备的管理方法。

相比于相关技术，本申请实施例提供的设备的管理方法、系统、可读存储介质及计算机，通过划分多个管理区域，并将多个设备划分至各个管理区域中，进而实现整体批量管理；进一步的，根据设备信息在该管理区域内划分集群，或者在具有相同接入类型的WAF设备上创建集群，进而满足负载均衡和性能扩展的需求；支持安全策略的集中式管理，能够实现统一ACL维护、统一特征库升级，以及统一策略下发；通过集群能够完成对多个设备的集中式管理，进而节省了人力成本以及时间成本，大大减少错误率。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本发明第一实施例中的设备的管理方法的流程图；

图2为本发明第二实施例中的设备的管理方法的流程图；

图3为本发明第三实施例中的设备的管理系统的结构框图；

图4为本发明第四实施例中的计算机的结构框图。

主要元件符号说明：

存储器	10	划分模块	12
				处理器	20	第二创建模块	13
计算机程序	30	分配模块	14
				第一创建模块	11	控制模块	15

如下具体实施方式将结合上述附图进一步说明本发明。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

首先，需要说明的是：

区域(Area)位于同一地理位置的WAF设备集合可以编组为区域，区域支持不同的划分方式，如硬件WAF可以按机房或机柜划分，云WAF可以按虚拟化平台划分，相同区域内的WAF可以创建集群，并且支持将日志统一存储到专门的日志服务器上。

设备(Device)指具有WAF完整功能的实体，可以是硬件或虚拟机。当设备连接到中心机后，我们也可以称该设备为节点机(Node)。

接入点WAF设备支持多部署方式，如透明部署、反代部署、旁路部署，每种部署方式亦有特定的接入类型，如透明部署的接入方式为网桥，反代部署的接入方式为IP地址等，诸如此类接入方式统一称为接入点，接入点是WAF适配目标网络环境的基础要素；一台设备可提供多个接入点，对应设备面板上的多组Protect口或多个业务口IP地址等。

集群(Cluster)当单台设备无法实现高可靠性或处理性能时，可以在多台设备上将具有一致类型的接入点创建集群来满足高可用或性能扩展的需求。

WAF-UMC(WAF Unified Management Center,UMC，以下简称UMC)是WAF多层管理架构的中心点，允许组织机构同时自动管理多区域、多类型、多架构的WAF集群。

实施例一

请参阅图1，所示为本发明第一实施例中的设备的管理方法，所述方法具体包括步骤S101至S105：

S101，创建多个管理区域，并在所述管理区域内添加基础配置，所述基础配置至少包括时区配置以及日志服务器配置；

在具体实施时，要创建一个管理区域，需要指定区域名称，以及基本配置：时区配置(必选)、SNMP服务配置(可选)、日志服务器配置(必选)、升级计划(可选)。区域创建之后可以动态添加或删除设备，也可以将设备执行停用操作。

S102，将多个设备划分至各个所述管理区域，并将所述基础配置覆盖所述设备的相应配置；

在具体实施时，当设备被划分到管理区域时，可以快速将该管理区域的基本配置套用到设备上，也可选择保持设备自有配置不变，管理区域的时区配置和日志服务器配置会强制覆盖设备的相应配置。

管理区域中必须至少有一台设备能够提供日志和状态存储服务，设备在加入集中管理时可由UMC指定其提供日志和状态存储服务。管理区域内的设备只能将日志或状态数据推送到本管理区域的日志和状态存储服务器上。当删除一个管理区域时，该管理区域下的集群和设备会被一起删除，该管理区域的业务日志也随之删除。

需要说明的是，设备支持独立运行和集中管理两种工作模式。

当设备处于集中管理模式时，分为UMC、日志服务、转发防护三种角色，UMC和日志服务也可以在单独的第三方平台上运行。且允许通过UMC或直接从设备WEB管理平台登录到设备，此时设备配置处于只读状态，无法对业务或自身配置进行任何修改操作，但允许执行一些故障排查类型的操作，如抓包等。可以进行ACL的统一维护、特征库的统一升级，以及策略的统一下发。

设备处于独立运行模式时，所有配置和管理工作在设备自身WEB管理平台上完成，也可以由外部平台调用API来操作；位于同一区域的设备时区必须一致，设备的系统时钟自动与UMC保持一致，UMC提供NTP授时服务，UMC自身可与外部NTP服务器保持时间同步。

设备可以是硬件或虚拟机，理论上不同类型、不同架构的设备，若接入点类型一致，可以划分到相同的集群中。

当设备被UMC停用时，可进行设备检修操作，如更换硬件模块或返厂；停用的设备不提供任何业务服务，停用期间UMC不再向该设备推送配置更新，但设备可向UMC报告自身状态；停用的设备重新启用时，UMC会向设备强制推送全量配置。

若设备处于非停用状态，但脱离集中管理较长时间时，需要比对配置版本号差异，设备向UMC发送自身版本号，UMC根据设备版本号生成增量配置发给设备。若UMC无法计算设备的版本差异，则给设备发送全量配置。

通过UMC可以查看所有设备的基本信息，对设备执行整机操作、执行配置操作和网络调试操作。

S103，分别在每个所述管理区域中通过WEB界面创建多个集群，所述集群配置有集群接入点；

在具体实施时，在管理区域中可以通过WEB界面创建一个或多个集群。

需要说明的是，在本申请中，可以定义全局、管理区域、集群、设备从高到低四个级别的配置，低级别配置可以选择继承高级别配置，也可以使用自己的配置；继承分为完全继承和合并继承，完全继承是单纯的引用关系，合并继承会先拷贝高级别配置，然后再追加自己的配置，当高级别配置和低级别的配置发生冲突时，低级别的配置具有更高的优先级；继承的配置会跟随高级别配置的变化而变化。

S104，获取多个所述设备的设备信息，并根据所述设备信息将多个所述设备分配至对应的集群中，所述设备信息至少包括设备型号、设备版本号以及设备配置信息；

在具体实施时，集群分为高可用集群和负载均衡集群，将多个所述设备中所述设备型号、所述设备版本号以及所述设备配置信息完全相同的设备分配至所述高可用集群中；在所述高可用集群中至少设置一所述设备作为所述高可用集群的管理设备，并通过所述高可用集群的管理设备所提供的接入点作为所述高可用集群的接入点；将多个所述设备中所述设备配置信息不同的设备分配至所述负载均衡集群中；在所述负载均衡集群中基于内部的设备所提供的接入点作为所述负载均衡集群的集群接入点。

需要说明的是，高可用集群要求设备型号和版本一致，并且具有相同的配置，高可用集群支持两台设备，可选择主备、双主和虚拟路由三种工作方式，设备间的配置和运行状态同步走单独的数据链路；负载均衡集群不要求设备型号一致，设备的配置除了网络层之外其余保持一致，负载均衡集群可基于设备提供的接入点创建集群接入点，设备间的配置和运行状态同步走UMC管理链路，少数场景(如会话同步)需要单独的数据链路实现数据同步。当删除一个集群时，该集群下的设备会被一起删除，该集群的业务日志不会被删除。本申请中，UMC具有以下设置：平台IP地址等配置、端口7、管理DNS服务器、超时退出事件、登陆限制(出错重试次数、锁定时长、客户端IP范围)、系统事件设置、NTP时间同步服务器。

S105，通过所述集群接入点对所述集群内的设备进行管理。

需要说明的是，配置发生更改之后不会立即生效，需要执行一次Active操作使之生效。Active操作有三种方式：

(1)、Failsafe先对当前正在运行的配置创建一个backup，如果新配置应用失败就自动revert并提示相应Fail List；

(2)、Force不创建backup，强制使用新配置覆盖当前正在运行的配置；

(3)、Soft对于不影响业务的配置直接应用，否则等待到某个时间窗口之后自动应用，类似平滑重启。

在具体实施时，UMC能够通过WEB界面按层次查看管理区域、集群、设备的运行状态统计，包括但不限于：总设备数、可用设备数、总体负载、运维事件告警、业务防护告警、业务防护统计、流量统计等。同时UMC还能够通过API获取设备的硬件状态和系统状态，包括硬件规格、bypass接口分布、系统负载等；UMC定时轮询每台设备的运行情况，若有设备出现异常会及时通过WEB界面或syslog方式告警并采取应急措施，如切换到直通等；其中，异常包括有设备失联状态，当设备出现失联时，UMC会将其标注为不可用，并通过WEB界面或syslog形式告警；设备层监控：系统运行概览、问题指标、运行统计。可以看到系统总体运行状况、管理区域数量、集群数量、应用数量和用户数量、还有一些问题的指标(离线设备数、超负载设备数、配置生效异常设备数、指标临界设备数、还有设备运行统计：设备资源使用率统计和设备网络流量统计等)。

当需要统一管理时，通过UMC可以创建、发布各种部署模式的应用，应用指派到一个或多个集群，允许创建跨管理区域应用，但不同管理区域的业务日志需要分别查询；通过UMC可以管理多套防护模板，防护模板可被一个或多个应用引用。

当部分业务环境不宜在工作时间执行备份、升级等影响性能或业务的操作，可以通过创建计划任务将这部分工作放到非工作时间去完成。

在本申请中，还具有版本升级以及日志查询功能，通过UMC上传离线升级包或在线获取升级包，之后勾选对一台或多台设备执行升级操作，升级对象包括软件版本、特征库版本；可以理解的，升级也可通过创建计划任务的方式来完成。

在本发明的一个实施例中，计划升级如下：要创建一项升级计划，首先需要填写计划名称，以方便UMC在计划执行完成之后在执行结果日志中显示；其余需要指定的内容如下：

类型:仅执行一次/循环

对象：系统升级/特征库升级/...

日程：每[小时/日/周/月/年]于[1-365]在[00:00]执行升级

待升级的设备列表

在本发明的一个实施例中，计划备份如下：要创建一项备份计划，首先需要填写计划名称，以方便UMC在备份执行完成之后在执行结果日志中显示；其余需要指定的内容如下：

日程：每[小时/日/周/月/年]于[1-365]在[00:00]执行备份

对象[日志/配置]

最大备份数量：可以在WEB界面上查看已创建的备份列表，将已创建的备份下载保存，也可以上传并导入备份。

通过UMC能够查询所有应用的业务日志，并按需导出成excel或csv格式，也可以订阅应用的业务防护报表，并提供报表下载链接或邮件发送；通过UMC能够订阅应用的业务防护日志，可按照不同的等级、格式发送到一台或多台外部syslog日志接收服务器上。

在一些可选实施例中，在UMC内置有三种预设角色：

【1】系统管理员：负责角色管理、管理区域及集群的管理、设备管理(包含配置和状态)、运行日志查看，默认不具有业务相关的操作权限；

(1)系统管理员可通过创建新角色来实现权限定制，包括：

①功能使用权限，决定功能的配置和状态日志等是否可见；

②功能控制权限，决定是否具有对象的创建、修改、删除或读取的权限。

(2)系统管理员可创建的用户类型有四类：

①标准用户：能正常登陆UMC平台执行操作的用户

②API用户：只能通过API访问UMC平台的用户，无法使用WEB图形界面；

③租户：只能创建应用以及修改相关安全策略的用户；UMC可通过WEB界面管理租户，包括租户组和租户成员；租户组中存在租户管理员和普通租户，租户管理员具有创建租户的权限；租户只能看到自己应用产生的业务日志，租户可根据日志对安全策略进行自定义配置，无需经过管理员审批即可生效。租户成员仅具有通过WEB界面创建应用、上传SSL证书、查看(订阅)应用相关日志和报表的权限；租户管理员和租户成员通过WEB界面登陆之后不具有集中管理和设备管理的权限；租户创建的防护对象必须通过租户管理员审核才能生效，租户管理员有权取消或驳回租户创建的防护对象。租户不能创建跨区域的应用。

④外部接入用户：通过第三方平台单点登录的用户。

【2】操作员：负责安全策略、应用等业务操作权限，有查看业务日志的权限；

【3】审计员：负责审计系统管理员和操作员的操作日志。

综上，本发明上述实施例当中的设备的管理方法，通过划分多个管理区域，并将多个设备划分至各个管理区域中，进而实现整体批量管理；进一步的，根据设备信息在该管理区域内划分集群，或者在具有相同接入类型的WAF设备上创建集群，进而满足负载均衡和性能扩展的需求；支持安全策略的集中式管理，能够实现统一ACL维护、统一特征库升级，以及统一策略下发；通过集群能够完成对多个设备的集中式管理，进而节省了人力成本以及时间成本，大大减少错误率。

在本发明的一个实施例中，节点机注册流程，如下：

1)节点机管理员登录；

2)在指定入口加入集中管理；

3)填入中心机相关信息：注册Token，中心IP和Port；

4)连接中心机信息验证成功后节点机就处于集群状态。

在本发明的另一个实施例中，节点机退出流程，如下：

1)节点机管理员登录；

2)在指定入口退出集中管理(无需强制连接中心机响应)；

3)节点机就处于单机状态。

在本发明的一个实施例中，中心机注册流程，如下：

1)在设备列表可以查看已验证通过的未指派状态的节点设备；

2)设置节点设备通过注册，也可以不通过等同将节点设备退出集群。

在本发明的另一个实施例中，中心机退出流程，如下：

1)找到指定设备退出集群，无需强制连接节点机响应。

实施例二

请参阅图2，所示为本发明第二实施例中的设备的管理方法，所述方法具体包括步骤S201至S207：

S201，创建多个管理区域，并在所述管理区域内添加基础配置，所述基础配置至少包括时区配置以及日志服务器配置；

在具体实施时，要创建一个管理区域，需要指定区域名称，以及基本配置：时区配置(必选)、SNMP服务配置(可选)、日志服务器配置(必选)、升级计划(可选)。区域创建之后可以动态添加或删除设备，也可以将设备执行停用操作。

S202，将多个设备划分至各个所述管理区域，并将所述基础配置覆盖所述设备的相应配置；

在具体实施时，当设备被划分到管理区域时，可以快速将该管理区域的基本配置套用到设备上，也可选择保持设备自有配置不变，管理区域的时区配置和日志服务器配置会强制覆盖设备的相应配置。

管理区域中必须至少有一台设备能够提供日志和状态存储服务，设备在加入集中管理时可由UMC指定其提供日志和状态存储服务。管理区域内的设备只能将日志或状态数据推送到本管理区域的日志和状态存储服务器上。当删除一个管理区域时，该管理区域下的集群和设备会被一起删除，该管理区域的业务日志也随之删除。

需要说明的是，设备支持独立运行和集中管理两种工作模式。

当设备处于集中管理模式时，分为UMC、日志服务、转发防护三种角色，UMC和日志服务也可以在单独的第三方平台上运行。且允许通过UMC或直接从设备WEB管理平台登录到设备，此时设备配置处于只读状态，无法对业务或自身配置进行任何修改操作，但允许执行一些故障排查类型的操作，如抓包等。可以进行ACL的统一维护、特征库的统一升级，以及策略的统一下发。

设备处于独立运行模式时，所有配置和管理工作在设备自身WEB管理平台上完成，也可以由外部平台调用API来操作；位于同一区域的设备时区必须一致，设备的系统时钟自动与UMC保持一致，UMC提供NTP授时服务，UMC自身可与外部NTP服务器保持时间同步。

设备可以是硬件或虚拟机，理论上不同类型、不同架构的设备，若接入点类型一致，可以划分到相同的集群中。

当设备被UMC停用时，可进行设备检修操作，如更换硬件模块或返厂；停用的设备不提供任何业务服务，停用期间UMC不再向该设备推送配置更新，但设备可向UMC报告自身状态；停用的设备重新启用时，UMC会向设备强制推送全量配置。

若设备处于非停用状态，但脱离集中管理较长时间时，需要比对配置版本号差异，设备向UMC发送自身版本号，UMC根据设备版本号生成增量配置发给设备。若UMC无法计算设备的版本差异，则给设备发送全量配置。

通过UMC可以查看所有设备的基本信息，对设备执行整机操作、执行配置操作和网络调试操作。

S203，分别在每个所述管理区域中通过WEB界面创建多个集群，所述集群配置有集群接入点；

在具体实施时，在管理区域中可以通过WEB界面创建一个或多个集群。

需要说明的是，在本申请中，可以定义全局、管理区域、集群、设备从高到低四个级别的配置，低级别配置可以选择继承高级别配置，也可以使用自己的配置；继承分为完全继承和合并继承，完全继承是单纯的引用关系，合并继承会先拷贝高级别配置，然后再追加自己的配置，当高级别配置和低级别的配置发生冲突时，低级别的配置具有更高的优先级；继承的配置会跟随高级别配置的变化而变化。

S204，获取多个所述设备的设备信息，并根据所述设备信息将多个所述设备分配至对应的集群中，所述设备信息至少包括设备型号、设备版本号以及设备配置信息；

在具体实施时，集群分为高可用集群和负载均衡集群，将多个所述设备中所述设备型号、所述设备版本号以及所述设备配置信息完全相同的设备分配至所述高可用集群中；在所述高可用集群中至少设置一所述设备作为所述高可用集群的管理设备，并通过所述高可用集群的管理设备所提供的接入点作为所述高可用集群的接入点；将多个所述设备中所述设备配置信息不同的设备分配至所述负载均衡集群中；在所述负载均衡集群中基于内部的设备所提供的接入点作为所述负载均衡集群的集群接入点。

需要说明的是，高可用集群要求设备型号和版本一致，并且具有相同的配置，高可用集群支持两台设备，可选择主备、双主和虚拟路由三种工作方式，设备间的配置和运行状态同步走单独的数据链路；负载均衡集群不要求设备型号一致，设备的配置除了网络层之外其余保持一致，负载均衡集群可基于设备提供的接入点创建集群接入点，设备间的配置和运行状态同步走UMC管理链路，少数场景(如会话同步)需要单独的数据链路实现数据同步。当删除一个集群时，该集群下的设备会被一起删除，该集群的业务日志不会被删除。本申请中，UMC具有以下设置：平台IP地址等配置、端口7、管理DNS服务器、超时退出事件、登陆限制(出错重试次数、锁定时长、客户端IP范围)、系统事件设置、NTP时间同步服务器。

S205，实时轮询所述集群内的所有设备的运行情况；

需要说明的是，配置发生更改之后不会立即生效，需要执行一次Active操作使之生效。Active操作有三种方式：

(1)、Failsafe先对当前正在运行的配置创建一个backup，如果新配置应用失败就自动revert并提示相应Fail List；

(2)、Force不创建backup，强制使用新配置覆盖当前正在运行的配置；

(3)、Soft对于不影响业务的配置直接应用，否则等待到某个时间窗口之后自动应用，类似平滑重启。

在具体实施时，UMC定时轮询每台设备的运行情况，若有设备出现异常会及时通过WEB界面或syslog方式告警并采取应急措施，如切换到直通等；其中，异常包括有设备失联状态，当设备出现失联时，UMC会将其标注为不可用，并通过WEB界面或syslog形式告警；设备层监控：系统运行概览、问题指标、运行统计。可以看到系统总体运行状况、管理区域数量、集群数量、应用数量和用户数量、还有一些问题的指标(离线设备数、超负载设备数、配置生效异常设备数、指标临界设备数、还有设备运行统计：设备资源使用率统计和设备网络流量统计等)。

S206，当所述所有设备中任一设备出现异常时，通过所述WEB界面告警并采取应急措施；

S207，通过所述WEB界面按层次查看所述管理区域、所述集群以及多个所述设备的运行状态统计数据，所述运行状态统计数据至少包括总设备数、可用设备数、总体负载、运维事件告警、业务防护告警、业务防护统计、流量统计。

在具体实施时，在具体实施时，UMC能够通过WEB界面按层次查看管理区域、集群、设备的运行状态统计，包括但不限于：总设备数、可用设备数、总体负载、运维事件告警、业务防护告警、业务防护统计、流量统计等。同时UMC还能够通过API获取设备的硬件状态和系统状态，包括硬件规格、bypass接口分布、系统负载等；

当需要统一管理时，通过UMC可以创建、发布各种部署模式的应用，应用指派到一个或多个集群，允许创建跨管理区域应用，但不同管理区域的业务日志需要分别查询；通过UMC可以管理多套防护模板，防护模板可被一个或多个应用引用。

当部分业务环境不宜在工作时间执行备份、升级等影响性能或业务的操作，可以通过创建计划任务将这部分工作放到非工作时间去完成。

在本申请中，还具有版本升级以及日志查询功能，通过UMC上传离线升级包或在线获取升级包，之后勾选对一台或多台设备执行升级操作，升级对象包括软件版本、特征库版本；可以理解的，升级也可通过创建计划任务的方式来完成。

在本发明的一个实施例中，计划升级如下：要创建一项升级计划，首先需要填写计划名称，以方便UMC在计划执行完成之后在执行结果日志中显示；其余需要指定的内容如下：

类型:仅执行一次/循环

对象：系统升级/特征库升级/...

日程：每[小时/日/周/月/年]于[1-365]在[00:00]执行升级

待升级的设备列表

在本发明的一个实施例中，计划备份如下：要创建一项备份计划，首先需要填写计划名称，以方便UMC在备份执行完成之后在执行结果日志中显示；其余需要指定的内容如下：

日程：每[小时/日/周/月/年]于[1-365]在[00:00]执行备份

对象[日志/配置]

最大备份数量：可以在WEB界面上查看已创建的备份列表，将已创建的备份下载保存，也可以上传并导入备份。

通过UMC能够查询所有应用的业务日志，并按需导出成excel或csv格式，也可以订阅应用的业务防护报表，并提供报表下载链接或邮件发送；通过UMC能够订阅应用的业务防护日志，可按照不同的等级、格式发送到一台或多台外部syslog日志接收服务器上。

在一些可选实施例中，在UMC内置有三种预设角色：

【1】系统管理员：负责角色管理、管理区域及集群的管理、设备管理(包含配置和状态)、运行日志查看，默认不具有业务相关的操作权限；

(1)系统管理员可通过创建新角色来实现权限定制，包括：

①功能使用权限，决定功能的配置和状态日志等是否可见；

②功能控制权限，决定是否具有对象的创建、修改、删除或读取的权限。

(2)系统管理员可创建的用户类型有四类：

①标准用户：能正常登陆UMC平台执行操作的用户

②API用户：只能通过API访问UMC平台的用户，无法使用WEB图形界面；

③租户：只能创建应用以及修改相关安全策略的用户；UMC可通过WEB界面管理租户，包括租户组和租户成员；租户组中存在租户管理员和普通租户，租户管理员具有创建租户的权限；租户只能看到自己应用产生的业务日志，租户可根据日志对安全策略进行自定义配置，无需经过管理员审批即可生效。租户成员仅具有通过WEB界面创建应用、上传SSL证书、查看(订阅)应用相关日志和报表的权限；租户管理员和租户成员通过WEB界面登陆之后不具有集中管理和设备管理的权限；租户创建的防护对象必须通过租户管理员审核才能生效，租户管理员有权取消或驳回租户创建的防护对象。租户不能创建跨区域的应用。

④外部接入用户：通过第三方平台单点登录的用户。

【2】操作员：负责安全策略、应用等业务操作权限，有查看业务日志的权限；

【3】审计员：负责审计系统管理员和操作员的操作日志。

综上，本发明上述实施例当中的设备的管理方法，通过划分多个管理区域，并将多个设备划分至各个管理区域中，进而实现整体批量管理；进一步的，根据设备信息在该管理区域内划分集群，或者在具有相同接入类型的WAF设备上创建集群，进而满足负载均衡和性能扩展的需求；支持安全策略的集中式管理，能够实现统一ACL维护、统一特征库升级，以及统一策略下发；通过集群能够完成对多个设备的集中式管理，进而节省了人力成本以及时间成本，大大减少错误率。

在本发明的一个实施例中，节点机注册流程，如下：

1)节点机管理员登录；

2)在指定入口加入集中管理；

3)填入中心机相关信息：注册Token，中心IP和Port；

4)连接中心机信息验证成功后节点机就处于集群状态。

在本发明的另一个实施例中，节点机退出流程，如下：

1)节点机管理员登录；

2)在指定入口退出集中管理(无需强制连接中心机响应)；

3)节点机就处于单机状态。

在本发明的一个实施例中，中心机注册流程，如下：

1)在设备列表可以查看已验证通过的未指派状态的节点设备；

2)设置节点设备通过注册，也可以不通过等同将节点设备退出集群。

在本发明的另一个实施例中，中心机退出流程，如下：

1)找到指定设备退出集群，无需强制连接节点机响应。

实施例三

本发明另一方面还提出一种设备的管理系统，请参阅图3，所示为本发明第三实施例中的设备的管理系统，包括：

第一创建模块11，用于创建多个管理区域，并在所述管理区域内添加基础配置，所述基础配置至少包括时区配置以及日志服务器配置；

划分模块12，用于将多个设备划分至各个所述管理区域，并将所述基础配置覆盖所述设备的相应配置；

第二创建模块13，用于分别在每个所述管理区域中通过WEB界面创建多个集群，所述集群配置有集群接入点；

分配模块14，用于获取多个所述设备的设备信息，并根据所述设备信息将多个所述设备分配至对应的集群中，所述设备信息至少包括设备型号、设备版本号以及设备配置信息；

进一步的，所述集群的种类包括高可用集群及负载均衡集群，所述分配模块14包括：

第一分配单元，用于将多个所述设备中所述设备型号、所述设备版本号以及所述设备配置信息完全相同的设备分配至所述高可用集群中；

在所述高可用集群中至少设置一所述设备作为所述高可用集群的管理设备，并通过所述高可用集群的管理设备所提供的接入点作为所述高可用集群的接入点。

第二分配单元，用于将多个所述设备中所述设备配置信息不同的设备分配至所述负载均衡集群中；

在所述负载均衡集群中基于内部的设备所提供的接入点作为所述负载均衡集群的集群接入点。

控制模块15，用于通过所述集群接入点对所述集群内的设备进行管理。

进一步的，所述控制模块15包括：

轮询单元，用于实时轮询所述集群内的所有设备的运行情况；

处理单元，用于当所述所有设备中任一设备出现异常时，通过所述WEB界面告警并采取应急措施。

进一步的，所述系统还包括：

查看模块，用于通过所述WEB界面按层次查看所述管理区域、所述集群以及多个所述设备的运行状态统计数据，所述运行状态统计数据至少包括总设备数、可用设备数、总体负载、运维事件告警、业务防护告警、业务防护统计、流量统计。

上述各模块被执行时所实现的功能或操作步骤与上述方法实施例大体相同，在此不再赘述。

本发明实施例所提供的设备的管理系统，其实现原理及产生的技术效果和前述方法实施例相同，为简要描述，系统实施例部分未提及之处，可参考前述方法实施例中相应内容。

实施例四

本发明还提出一种计算机，请参考图4，所示为本发明第四实施例中的计算机，包括存储器10、处理器20以及存储在所述存储器10上并可在所述处理器20上运行的计算机程序30，所述处理器20执行所述计算机程序30时实现上述的设备的管理方法。

其中，存储器10至少包括一种类型的可读存储介质，所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如，SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器20在一些实施例中可以是车辆的内部存储单元，例如该车辆的硬盘。存储器20在另一些实施例中也可以是外部存储装置，例如插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(Secure Digital,SD)卡，闪存卡(Flash Card)等。进一步地，存储器20还可以既包括车辆的内部存储单元也包括外部存储装置。存储器20不仅可以用于存储安装于车辆的应用软件及各类数据，还可以用于暂时地存储已经输出或者将要输出的数据。

其中，处理器20在一些实施例中可以是电子控制单元(Electronic ControlUnit，简称ECU，又称行车电脑)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器或其他数据处理芯片，用于运行存储器10中存储的程序代码或处理数据，例如执行访问限制程序等。

需要指出的是，图4示出的结构并不构成对计算机的限定，在其它实施例当中，该计算机可以包括比图示更少或者更多的部件，或者组合某些部件，或者不同的部件布置。

本发明实施例还提出一种可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如上述的设备的管理方法。

本领域技术人员可以理解，在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。

计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或它们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。

Claims (10)

1.一种设备的管理方法，其特征在于，包括：

创建多个管理区域，并在所述管理区域内添加基础配置，所述基础配置至少包括时区配置以及日志服务器配置；

将多个设备划分至各个所述管理区域，并将所述基础配置覆盖所述设备的相应配置；

分别在每个所述管理区域中通过WEB界面创建多个集群，所述集群配置有集群接入点；

获取多个所述设备的设备信息，并根据所述设备信息将多个所述设备分配至对应的集群中，所述设备信息至少包括设备型号、设备版本号以及设备配置信息；

通过所述集群接入点对所述集群内的设备进行管理。

2.根据权利要求1所述的设备的管理方法，其特征在于，所述集群的种类包括高可用集群，所述根据所述设备信息将多个所述设备分配至对应的集群中的步骤包括：

将多个所述设备中所述设备型号、所述设备版本号以及所述设备配置信息完全相同的设备分配至所述高可用集群中；

在所述高可用集群中至少设置一所述设备作为所述高可用集群的管理设备，并通过所述高可用集群的管理设备所提供的接入点作为所述高可用集群的接入点。

3.根据权利要求2所述的设备的管理方法，其特征在于，所述集群的种类还包括负载均衡集群，所述根据所述设备信息将多个所述设备分配至对应的集群中的步骤还包括：

将多个所述设备中所述设备配置信息不同的设备分配至所述负载均衡集群中；

在所述负载均衡集群中基于内部的设备所提供的接入点作为所述负载均衡集群的集群接入点。

4.根据权利要求1所述的设备的管理方法，其特征在于，所述通过所述集群接入点对所述集群内的设备进行管理的步骤包括：

实时轮询所述集群内的所有设备的运行情况；

当所述所有设备中任一设备出现异常时，通过所述WEB界面告警并采取应急措施。

5.根据权利要求1所述的设备的管理方法，其特征在于，所述方法还包括：

通过所述WEB界面按层次查看所述管理区域、所述集群以及多个所述设备的运行状态统计数据，所述运行状态统计数据至少包括总设备数、可用设备数、总体负载、运维事件告警、业务防护告警、业务防护统计、流量统计。

6.一种设备的管理系统，其特征在于，包括：

第一创建模块，用于创建多个管理区域，并在所述管理区域内添加基础配置，所述基础配置至少包括时区配置以及日志服务器配置；

划分模块，用于将多个设备划分至各个所述管理区域，并将所述基础配置覆盖所述设备的相应配置；

第二创建模块，用于分别在每个所述管理区域中通过WEB界面创建多个集群，所述集群配置有集群接入点；

分配模块，用于获取多个所述设备的设备信息，并根据所述设备信息将多个所述设备分配至对应的集群中，所述设备信息至少包括设备型号、设备版本号以及设备配置信息；

控制模块，用于通过所述集群接入点对所述集群内的设备进行管理。

7.根据权利要求6所述的设备的管理系统，其特征在于，所述集群的种类包括高可用集群以及负载均衡集群，所述分配模块包括：

第一分配单元，用于将多个所述设备中所述设备型号、所述设备版本号以及所述设备配置信息完全相同的设备分配至所述高可用集群中；

在所述高可用集群中至少设置一所述设备作为所述高可用集群的管理设备，并通过所述高可用集群的管理设备所提供的接入点作为所述高可用集群的接入点；

第二分配单元，用于将多个所述设备中所述设备配置信息不同的设备分配至所述负载均衡集群中；

在所述负载均衡集群中基于内部的设备所提供的接入点作为所述负载均衡集群的集群接入点；

所述控制模块包括：

轮询单元，用于实时轮询所述集群内的所有设备的运行情况；

处理单元，用于当所述所有设备中任一设备出现异常时，通过所述WEB界面告警并采取应急措施。

8.根据权利要求6所述的设备的管理系统，其特征在于，所述系统还包括：

查看模块，用于通过所述WEB界面按层次查看所述管理区域、所述集群以及多个所述设备的运行状态统计数据，所述运行状态统计数据至少包括总设备数、可用设备数、总体负载、运维事件告警、业务防护告警、业务防护统计、流量统计。

9.一种可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现如权利要求1至5中任一项所述的设备的管理方法。

10.一种计算机，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至5中任一项所述的设备的管理方法。

Images