CN115150170B - 安全策略配置方法、装置、电子设备和存储介质 - Google Patents

安全策略配置方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN115150170B
CN115150170B CN202210772638.1A CN202210772638A CN115150170B CN 115150170 B CN115150170 B CN 115150170B CN 202210772638 A CN202210772638 A CN 202210772638A CN 115150170 B CN115150170 B CN 115150170B
Authority
CN
China
Prior art keywords
target client
policy
virtual
configuration
security policy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210772638.1A
Other languages
English (en)
Other versions
CN115150170A (zh
Inventor
徐兰兰
卞传旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Original Assignee
Beijing Topsec Technology Co Ltd
Beijing Topsec Network Security Technology Co Ltd
Beijing Topsec Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Topsec Technology Co Ltd, Beijing Topsec Network Security Technology Co Ltd, Beijing Topsec Software Co Ltd filed Critical Beijing Topsec Technology Co Ltd
Priority to CN202210772638.1A priority Critical patent/CN115150170B/zh
Publication of CN115150170A publication Critical patent/CN115150170A/zh
Application granted granted Critical
Publication of CN115150170B publication Critical patent/CN115150170B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种安全策略配置方法、装置、电子设备和存储介质,其中,安全策略配置方法包括:响应配置指令,以基于配置指令配置目标客户端的策略对象凭据和目标客户端的策略类型;当目标客户端接入成功时,向目标客户端分配虚拟IP;生成目标客户端的关联关系列表,关联关系列表用于记录目标客户端的策略对象凭据与虚拟IP、目标客户端的策略类型之间的关联关系。本申请能够避免基于区域对象进行策略配置,从而避免在目标客户端进行策略配置时,对整个网关接入对象造成影响,同时本申请能够在向目标客户端分配虚拟IP时,设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。

Description

安全策略配置方法、装置、电子设备和存储介质
技术领域
本申请涉及网络安全领域,具体而言,涉及一种安全策略配置方法、装置、电子设备和存储介质。
背景技术
随着移动互联网的普及和电子商务、远程办公的兴起,SSLVPN技术近年来发展迅速。SSLVPN是指基于安全套接层协议(Secure Sockets Layer,SSL)建立远程安全访问通道的虚拟专用网络(Virtual Private Network,VPN)技术,终端可以通过SSLVPN远程访问内网数据、进行文件上传、下载等,如果不对资源的访问权限进行限制,那就有可能造成内网资源感染病毒、被攻击等。
针对这一需求,现有技术是直接定义虚拟专网区域、虚拟IP主机对象等,根据该对象下发访问控制策略、地址转换策略、黑名单等策略。以访问控制为例,可以添加基于SSLVPN区域、虚拟IP地址对象的访问控制策略;以地址转换为例,可以添加基于SSLVPN区域、虚拟IP地址对象的地址转换策略。然而现有技术存在以下缺陷:
(1)策略配置对象容易错误,造成策略不生效。以防火墙为例,在SSLVPN接入环境,分配的虚拟IP在接入侧报文转发过程中实际是不可见的,而真实的源IP只是访问设备没有穿越防火墙,如果添加基于真实源IP的策略,会造成策略失效,所以配置安全策略时很容易出现由于不熟悉转发流程配置错误策略导致策略不生效的问题。
(2)配置静态策略,对于获取新的地址后原策略不生效,并且当其他用户获取到该IP时,会影响获取到该虚拟IP地址用户访问;
(3)基于区域的策略影响范围较广,影响整个虚拟网关接入对象。
发明内容
本申请实施例的目的在于提供一种安全策略配置方法、装置、电子设备和存储介质,用于解决以上技术问题之一,其中,本申请能够实现基于单个虚拟IP地址细粒度的策略配置,进而避免基于区域对象进行策略配置,从而避免在目标客户端进行策略配置时,对整个网关接入对象造成影响,同时本申请能够在向目标客户端分配虚拟IP时,设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。
第一方面,本发明提供一种安全策略配置方法,所述方法包括:
响应配置指令,以基于所述配置指令配置目标客户端的策略对象凭据和所述目标客户端的策略类型;
当所述目标客户端接入成功时,向所述目标客户端分配虚拟IP;
生成所述目标客户端的关联关系列表,所述关联关系列表用于记录所述目标客户端的策略对象凭据与所述虚拟IP、所述目标客户端的策略类型之间的关联关系;
基于所述目标客户端的策略类型下发所述目标客户端的安全策略。
在本申请第一方面中,通过响应配置指令,进而能够基于所述配置指令配置目标客户端的策略对象凭据和所述目标客户端的策略类型,进而当所述目标客户端接入成功时,能够向所述目标客户端分配虚拟IP并生成所述目标客户端的关联关系列表,其中,所述关联关系列表用于记录所述目标客户端的策略对象凭据与所述虚拟IP、所述目标客户端的策略类型之间的关联关系,进而由于能够基于所述目标客户端的策略类型下发所述目标客户端的安全策略,这样一来,目标客户端的虚拟IP就能够目标客户端的策略类型所对应的安全策略绑定,尤其是在向目标客户端分配虚拟IP时,能够为设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。
与现有技术相比,本申请第一方面在为目标客户端配置安全策略时,能够将为目标客户端分配的虚拟IP与目标客户端的策略类型绑定,即将为目标客户端分配的虚拟IP与目标客户端的策略类型所对应的安全策略绑定,这样一来,就能够针对每个目标客户端使用的虚拟IP配置目标客户端的策略类型,而不是针对区域网络中的网关接入对象进行策略配置,从而避免在目标客户端进行策略配置时,对整个网关接入对象造成影响。此外,本申请通过响应配置指令,能够基于目标客户端的策略类型自动下发目标客户端的安全策略,从而可克服手动配置这一方式存在的容易出错这一缺陷。
在可选的实施方式中,所述目标客户端的策略对象凭据包括所述目标客户端的源IP、所述目标客户端的用户名称中的至少一种。
在本可选的实施方式中,可将目标客户端的用户名称和或目标客户端的源IP选取为目标客户端的策略对象凭据。
在可选的实施方式中,所述目标客户端的安全策略包括访问控制策略、地址转换策略中的至少一种;
以及,所述访问控制策略包括引用病毒防御策略、入侵防御策略中的至少一种。
在本可选的实施方式中,通过目标客户端的策略类型可选择目标客户端所使用的安全策略,即可选择访问控制策略、地址转换策略作为目标客户端的策略类型,此外,则选择访问控制策略时可选择引用病毒防御策略、入侵防御策略中的至少一种。
在可选的实施方式中,所述关联关系列表还包括所述目标客户端的用户ID和所述策略类型的ID,以及,所述方法还包括:
检测所述目标客户端是否断开连接;
当所述目标客户端断开连接时,基于所述目标客户端的用户ID查找所述目标客户端的所述关联关系列表;
基于所述关联关系列表中的所述策略类型和所述策略类型的ID删除所述目标客户端中的安全策略。
在本可选的实施方式中,通过检测所述目标客户端是否断开连接,进而当所述目标客户端断开连接时,能够基于所述目标客户端的用户ID查找所述目标客户端的所述关联关系列表,进而能够基于所述关联关系列表中的所述策略类型和所述策略类型的ID删除所述目标客户端中的安全策略。,这样一来,就能够避免目标客户端的安全策略对影响其他接入对象的策略下发以及访问。
在可选的实施方式中,在所述基于所述关联关系列表中的所述策略类型和所述策略类型的ID删除所述目标客户端中的安全策略之后,所述方法还包括:
删除所述关联关系列表。
在本可选的实施方式中,通过删除所述关联关系列表能够实现信息冗余。
在可选的实施方式中,在所述响应配置指令之后,所述向所述目标客户端分配虚拟IP之前,所述方法还包括:
接收所述目标客户端发送的连接请求;
基于所述连接请求对所述目标客户端进行认证;
当所述目标客户端认证通过时,确定所述目标客户端接入成功。
在本可选的实施方式中,通过接收所述目标客户端发送的连接请求,进而能够基于所述连接请求对所述目标客户端进行认证,进而当所述目标客户端认证通过时,能够确定所述目标客户端接入成功。
在可选的实施方式中,在所述响应配置指令之后,所述向所述目标客户端分配虚拟IP之前,所述方法还包括:
当所述目标客户端认证不通过时,拒绝所述目标客户端接入。
在本可选的实施方式,当所述目标客户端认证不通过时,能够拒绝所述目标客户端接入
第二方面,本发明提供一种安全策略配置装置,所述装置包括:
第一配置模块,用于响应配置指令,以基于所述配置指令配置目标客户端的策略对象凭据和所述目标客户端的策略类型;
第二配置模块,用于当所述目标客户端接入成功时,向所述目标客户端分配虚拟IP;
生成模块,用于生成所述目标客户端的关联关系列表,所述关联关系列表用于记录所述目标客户端的策略对象凭据与所述虚拟IP、所述目标客户端的策略类型之间的关联关系;
下发模块,用于基于所述目标客户端的策略类型下发所述目标客户端的安全策略。
在本申请第二方面中,通过响应配置指令,进而能够基于所述配置指令配置目标客户端的策略对象凭据和所述目标客户端的策略类型,进而当所述目标客户端接入成功时,能够向所述目标客户端分配虚拟IP并生成所述目标客户端的关联关系列表,其中,所述关联关系列表用于记录所述目标客户端的策略对象凭据与所述虚拟IP、所述目标客户端的策略类型之间的关联关系,进而由于能够基于所述目标客户端的策略类型下发所述目标客户端的安全策略,这样一来,目标客户端的虚拟IP就能够目标客户端的策略类型所对应的安全策略绑定,尤其是在向目标客户端分配虚拟IP时,能够为设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。
与现有技术相比,本申请第一方面在为目标客户端配置安全策略时,能够将为目标客户端分配的虚拟IP与目标客户端的策略类型绑定,即将为目标客户端分配的虚拟IP与目标客户端的策略类型所对应的安全策略绑定,这样一来,就能够针对每个目标客户端使用的虚拟IP配置目标客户端的策略类型,而不是针对区域网络中的网关接入对象进行策略配置,从而避免在目标客户端进行策略配置时,对整个网关接入对象造成影响。此外,本申请通过响应配置指令,能够基于目标客户端的策略类型自动下发目标客户端的安全策略,从而可克服手动配置这一方式存在的容易出错这一缺陷。
第三方面,本发明提供一种电子设备,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如前述实施方式任一项所述的安全策略配置方法。
本申请第三方面的电子设备通过执行安全策略配置方法,能够响应配置指令,进而基于所述配置指令配置目标客户端的策略对象凭据和所述目标客户端的策略类型,进而当所述目标客户端接入成功时,能够向所述目标客户端分配虚拟IP并生成所述目标客户端的关联关系列表,其中,所述关联关系列表用于记录所述目标客户端的策略对象凭据与所述虚拟IP、所述目标客户端的策略类型之间的关联关系,进而由于能够基于所述目标客户端的策略类型下发所述目标客户端的安全策略,这样一来,目标客户端的虚拟IP就能够目标客户端的策略类型所对应的安全策略绑定,尤其是在向目标客户端分配虚拟IP时,能够为设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。
与现有技术相比,本申请第一方面在为目标客户端配置安全策略时,能够将为目标客户端分配的虚拟IP与目标客户端的策略类型绑定,即将为目标客户端分配的虚拟IP与目标客户端的策略类型所对应的安全策略绑定,这样一来,就能够针对每个目标客户端使用的虚拟IP配置目标客户端的策略类型,而不是针对区域网络中的网关接入对象进行策略配置,从而避免在目标客户端进行策略配置时,对整个网关接入对象造成影响。此外,本申请通过响应配置指令,能够基于目标客户端的策略类型自动下发目标客户端的安全策略,从而可克服手动配置这一方式存在的容易出错这一缺陷。
第四方面,本发明提供一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如前述实施方式任一项所述的安全策略配置方法。
本申请第四方面的电子设备通过执行安全策略配置方法,能够响应配置指令,进而基于所述配置指令配置目标客户端的策略对象凭据和所述目标客户端的策略类型,进而当所述目标客户端接入成功时,能够向所述目标客户端分配虚拟IP并生成所述目标客户端的关联关系列表,其中,所述关联关系列表用于记录所述目标客户端的策略对象凭据与所述虚拟IP、所述目标客户端的策略类型之间的关联关系,进而由于能够基于所述目标客户端的策略类型下发所述目标客户端的安全策略,这样一来,目标客户端的虚拟IP就能够目标客户端的策略类型所对应的安全策略绑定,尤其是在向目标客户端分配虚拟IP时,能够为设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。
与现有技术相比,本申请第一方面在为目标客户端配置安全策略时,能够将为目标客户端分配的虚拟IP与目标客户端的策略类型绑定,即将为目标客户端分配的虚拟IP与目标客户端的策略类型所对应的安全策略绑定,这样一来,就能够针对每个目标客户端使用的虚拟IP配置目标客户端的策略类型,而不是针对区域网络中的网关接入对象进行策略配置,从而避免在目标客户端进行策略配置时,对整个网关接入对象造成影响。此外,本申请通过响应配置指令,能够基于目标客户端的策略类型自动下发目标客户端的安全策略,从而可克服手动配置这一方式存在的容易出错这一缺陷。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1是本申请实施例公开的一种安全策略配置方法的流程示意图;
图2是本申请实施例公开的一种安全策略配置装置的结构示意图;
图3是本申请实施例公开的一种电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
实施例一
请参阅图1,图1是本申请实施例公开的一种安全策略配置方法的流程示意图,如图1所示,本申请实施例的方法包括以下步骤:
101、响应配置指令,以基于配置指令配置目标客户端的策略对象凭据和目标客户端的策略类型;
102、当目标客户端接入成功时,向目标客户端分配虚拟IP;
103、生成目标客户端的关联关系列表,关联关系列表用于记录目标客户端的策略对象凭据与虚拟IP、目标客户端的策略类型之间的关联关系;
104、基于目标客户端的策略类型下发目标客户端的安全策略。
在本申请实施例中,通过响应配置指令,进而能够基于配置指令配置目标客户端的策略对象凭据和目标客户端的策略类型,进而当目标客户端接入成功时,能够向目标客户端分配虚拟IP并生成目标客户端的关联关系列表,其中,关联关系列表用于记录目标客户端的策略对象凭据与虚拟IP、目标客户端的策略类型之间的关联关系,进而在向目标客户端分配虚拟IP时,设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。
此外,与现有技术相比,本申请实施例在为目标客户端配置安全策略时,能够将为目标客户端分配的虚拟IP与目标客户端的策略类型绑定,这样一来,就能够针对每个目标客户端使用的虚拟IP配置目标客户端的策略类型,而不是针对区域网络中的网关接入对象进行策略配置,从而避免在目标客户端进行策略配置时,对其他网关接入对象造成影响。此外,本申请实施例通过响应配置指令,能够基于目标客户端的策略类型自动下发目标客户端的安全策略,从而可克服手动配置这一方式存在的容易出错这一缺陷。
在本申请实施例中,作为一种示例,假设目标客户端A需要通过SSLVPN访问设备,此时,设备为目标客户端A分配一个虚拟IP(用IP地址A表示),使得目标客户端A通过该虚拟IP访问设备,此外,为了控制目标客户端基于IP地址A访问设备的过程,需要配置目标客户端的策略类型,使得目标客户端能够基于IP地址A对应的安全策略A对访问设备的过程进行控制。相地,目标客户端B通过另一个虚拟IP(用IP地址B表示)和IP地址B对应的安全策略B访问设备,此时,由于安全策略B与IP地址B对应,而安全策略A与IP地址A对应,这样一来,就能够针对每个IP地址设置安全策略,从而避免安全策略B对其他客户端产生影响,和避免安全策略A对其他客户端产生影响。
在一些场景中,目标客户端在重新连接设备之后,所获取的虚拟IP与目标客户端在先获取的虚拟IP不相同,这样一来,在先虚拟IP所对应的安全策略就无法对当前获取的虚拟IP起效,基于这一场景,由于本申请实施例每个虚拟IP都对应安全策略,从而能够使得目标客户端无论采用哪个虚拟IP访问设备,均能够有对应的安全策略起效。
在本申请实施例中,针对步骤101,配置指令可以由用户触发,例如,用户在操作界面上点击配置按钮即可触发配置指令。
在本申请实施例中,针对步骤103,设备生成目标客户端的关联关系列表之后,会将目标客户端的关联关系列表保存在指定的存储空间。
在本申请实施例中,设备在生成目标客户端的关联关系列表之后,会下发基于该虚拟IP的安全策略,使得目标客户端能够基于关联关系列中的安全策略和虚拟IP访问设备。
在可选的实施方式中,目标客户端的策略对象凭据包括目标客户端的源IP、目标客户端的用户名称中的至少一种。
在本可选的实施方式中,可将目标客户端的用户名称和或目标客户端的源IP选取为目标客户端的策略对象凭据。
在可选的实施方式中,目标客户端的安全策略包括访问控制策略、地址转换策略中的至少一种;
以及,访问控制策略包括引用病毒防御策略、入侵防御策略中的至少一种。
在本可选的实施方式中,通过目标客户端的策略类型可选择目标客户端所使用的安全策略,即可选择访问控制策略、地址转换策略作为目标客户端的策略类型,此外,则选择访问控制策略时可选择引用病毒防御策略、入侵防御策略中的至少一种。
在可选的实施方式中,关联关系列表还包括目标客户端的用户ID和安全策略的ID,以及,本申请实施例方法还包括以下步骤:
检测目标客户端是否断开连接;
当目标客户端断开连接时,基于目标客户端的用户ID查找目标客户端的关联关系列表;
基于关联关系列表中的策略类型和策略类型的ID删除目标客户端的安全策略。
在本可选的实施方式中,通过检测目标客户端是否断开连接,进而当目标客户端断开连接时,能够基于目标客户端的用户ID查找目标客户端的关联关系列表,这样一来,就能够避免目标客户端的安全策略对影响其他接入对象的策略下发以及访问。
在本可选的实施方式中,关联关系列表可以表示为:[用户ID,用户名称,源IP,虚拟IP,访问控制类型,访问控制ID,地址转换类型,地址转换ID],例如,[10001,user1,10.1.2.3,1.1.1.1,访问控制类型,0,地址转换类型,0]。
在可选的实施方式中,在基于关联关系列表中的策略类型和策略类型的ID删除目标客户端的安全策略之后,本申请实施例的方法还还包括:
删除关联关系列表。
在本可选的实施方式中,通过删除关联关系列表能够实现信息冗余。
在可选的实施方式中,在响应配置指令之后,向目标客户端分配虚拟IP之前,本申请实施例的方法还包括以下步骤:
接收目标客户端发送的连接请求;
基于连接请求对目标客户端进行认证;
当目标客户端认证通过时,确定目标客户端接入成功。
在本可选的实施方式中,通过接收目标客户端发送的连接请求,进而能够基于连接请求对目标客户端进行认证,进而当目标客户端认证通过时,能够确定目标客户端接入成功。
在可选的实施方式中,在基于关联关系列表中的策略类型和策略类型的ID删除目标客户端中的安全策略之后,本申请实施例的方法还包括以下步骤:
当目标客户端认证不通过时,拒绝目标客户端接入。
在本可选的实施方式,当目标客户端认证不通过时,能够拒绝目标客户端接入。
实施例二
请参阅图2,图2是本申请实施例公开的一种安全策略配置装置的结构示意图,如图2所示,本申请实施例的装置包括以下功能模块:
第一配置模块201,用于响应配置指令,以基于配置指令配置目标客户端的策略对象凭据和目标客户端的策略类型;
第二配置模块202,用于当目标客户端接入成功时,向目标客户端分配虚拟IP;
生成模块203,用于生成目标客户端的关联关系列表,关联关系列表用于记录目标客户端的策略对象凭据与虚拟IP、目标客户端的策略类型之间的关联关系;
下发模块204,用于基于目标客户端的策略类型下发目标客户端的安全策略。
在本申请实施例中,通过响应配置指令,进而能够基于配置指令配置目标客户端的策略对象凭据和目标客户端的策略类型,进而当目标客户端接入成功时,能够向目标客户端分配虚拟IP并生成目标客户端的关联关系列表,其中,关联关系列表用于记录目标客户端的策略对象凭据与虚拟IP、目标客户端的策略类型之间的关联关系,进而由于能够基于目标客户端的策略类型下发目标客户端的安全策略,这样一来,目标客户端的虚拟IP就能够目标客户端的策略类型所对应的安全策略绑定,尤其是在向目标客户端分配虚拟IP时,能够为设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。
与现有技术相比,本申请第一方面在为目标客户端配置安全策略时,能够将为目标客户端分配的虚拟IP与目标客户端的策略类型绑定,即将为目标客户端分配的虚拟IP与目标客户端的策略类型所对应的安全策略绑定,这样一来,就能够针对每个目标客户端使用的虚拟IP配置目标客户端的策略类型,而不是针对区域网络中的网关接入对象进行策略配置,从而避免在目标客户端进行策略配置时,对整个网关接入对象造成影响。此外,本申请通过响应配置指令,能够基于目标客户端的策略类型自动下发目标客户端的安全策略,从而可克服手动配置这一方式存在的容易出错这一缺陷。
实施例三
请参阅图3,图3是本申请实施例公开的一种电子设备的结构示意图,如图3所示,本申请实施例的电子设备包括:
处理器301;以及
存储器302,配置用于存储机器可读指令,指令在由处理器301执行时,执行如前述实施方式任一项的安全策略配置方法。
本申请实施例的电子设备通过执行安全策略配置方法,能够响应配置指令,进而基于配置指令配置目标客户端的策略对象凭据和目标客户端的策略类型,进而当目标客户端接入成功时,能够向目标客户端分配虚拟IP并生成目标客户端的关联关系列表,其中,关联关系列表用于记录目标客户端的策略对象凭据与虚拟IP、目标客户端的策略类型之间的关联关系,进而由于能够基于目标客户端的策略类型下发目标客户端的安全策略,这样一来,目标客户端的虚拟IP就能够目标客户端的策略类型所对应的安全策略绑定,尤其是在向目标客户端分配虚拟IP时,能够为设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。
与现有技术相比,本申请第一方面在为目标客户端配置安全策略时,能够将为目标客户端分配的虚拟IP与目标客户端的策略类型绑定,即将为目标客户端分配的虚拟IP与目标客户端的策略类型所对应的安全策略绑定,这样一来,就能够针对每个目标客户端使用的虚拟IP配置目标客户端的策略类型,而不是针对区域网络中的网关接入对象进行策略配置,从而避免在目标客户端进行策略配置时,对整个网关接入对象造成影响。此外,本申请通过响应配置指令,能够基于目标客户端的策略类型自动下发目标客户端的安全策略,从而可克服手动配置这一方式存在的容易出错这一缺陷。
实施例四
本实施例提供一种存储介质,存储介质存储有计算机程序,计算机程序被处理器执行如前述实施方式任一项的安全策略配置方法。
本申请实施例的电子设备通过执行安全策略配置方法,能够响应配置指令,进而基于配置指令配置目标客户端的策略对象凭据和目标客户端的策略类型,进而当目标客户端接入成功时,能够向目标客户端分配虚拟IP并生成目标客户端的关联关系列表,其中,关联关系列表用于记录目标客户端的策略对象凭据与虚拟IP、目标客户端的策略类型之间的关联关系,进而由于能够基于目标客户端的策略类型下发目标客户端的安全策略,这样一来,目标客户端的虚拟IP就能够目标客户端的策略类型所对应的安全策略绑定,尤其是在向目标客户端分配虚拟IP时,能够为设置新分配虚拟IP所关联的策略,从而在目标客户端获取的地址变化时,能动态调整策略,使策略及时生效。
与现有技术相比,本申请第一方面在为目标客户端配置安全策略时,能够将为目标客户端分配的虚拟IP与目标客户端的策略类型绑定,即将为目标客户端分配的虚拟IP与目标客户端的策略类型所对应的安全策略绑定,这样一来,就能够针对每个目标客户端使用的虚拟IP配置目标客户端的策略类型,而不是针对区域网络中的网关接入对象进行策略配置,从而避免在目标客户端进行策略配置时,对整个网关接入对象造成影响。此外,本申请通过响应配置指令,能够基于目标客户端的策略类型自动下发目标客户端的安全策略,从而可克服手动配置这一方式存在的容易出错这一缺陷。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
需要说明的是,功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (7)

1.一种安全策略配置方法,其特征在于,所述方法包括:
响应配置指令,以基于所述配置指令配置目标客户端的策略对象凭据和所述目标客户端的策略类型,其中,所述目标客户端的策略对象凭据包括所述目标客户端的源IP和所述目标客户端的用户名称;
当所述目标客户端接入成功时,向所述目标客户端分配虚拟IP;
生成所述目标客户端的关联关系列表,所述关联关系列表用于记录所述目标客户端的策略对象凭据与所述虚拟IP、所述目标客户端的策略类型之间的关联关系,其中,生成所述目标客户端的关联关系列表之后,将所述目标客户端的关联关系列表保存在指定的存储空间;
基于所述目标客户端的策略类型下发所述目标客户端的安全策略;
所述关联关系列表还包括所述目标客户端的用户ID和所述策略类型的ID,以及,所述方法还包括:
检测所述目标客户端是否断开连接;
当所述目标客户端断开连接时,基于所述目标客户端的用户ID查找所述目标客户端的所述关联关系列表;
基于所述关联关系列表中的所述策略类型和所述策略类型的ID删除所述目标客户端中的安全策略;
以及,在所述响应配置指令之后,所述向所述目标客户端分配虚拟IP之前,所述方法还包括:
接收所述目标客户端发送的连接请求;
基于所述连接请求对所述目标客户端进行认证;
当所述目标客户端认证通过时,确定所述目标客户端接入成功。
2.如权利要求1所述的方法,其特征在于,所述目标客户端的安全策略包括访问控制策略、地址转换策略中的至少一种;
以及,所述访问控制策略包括引用病毒防御策略、入侵防御策略中的至少一种。
3.如权利要求2所述的方法,其特征在于,在所述基于所述关联关系列表中的所述策略类型和所述策略类型的ID删除所述目标客户端中的安全策略之后,所述方法还包括:
删除所述关联关系列表。
4.如权利要求1所述的方法,其特征在于,在所述响应配置指令之后,所述向所述目标客户端分配虚拟IP之前,所述方法还包括:
当所述目标客户端认证不通过时,拒绝所述目标客户端接入。
5.一种安全策略配置装置,其特征在于,所述装置包括:
第一配置模块,用于响应配置指令,以基于所述配置指令配置目标客户端的策略对象凭据和所述目标客户端的策略类型,其中,所述目标客户端的策略对象凭据包括所述目标客户端的源IP和所述目标客户端的用户名称;
第二配置模块,用于当所述目标客户端接入成功时,向所述目标客户端分配虚拟IP;
生成模块,用于生成所述目标客户端的关联关系列表,所述关联关系列表用于记录所述目标客户端的策略对象凭据与所述虚拟IP、所述目标客户端的策略类型之间的关联关系,其中,生成所述目标客户端的关联关系列表之后,将所述目标客户端的关联关系列表保存在指定的存储空间;
下发模块,用于基于所述目标客户端的策略类型下发所述目标客户端的安全策略;
以及,所述关联关系列表还包括所述目标客户端的用户ID和所述策略类型的ID,以及,所述装置还用于:
检测所述目标客户端是否断开连接;
当所述目标客户端断开连接时,基于所述目标客户端的用户ID查找所述目标客户端的所述关联关系列表;
基于所述关联关系列表中的所述策略类型和所述策略类型的ID删除所述目标客户端中的安全策略;
以及,在所述响应配置指令之后,所述向所述目标客户端分配虚拟IP之前,所述装置还用于:
接收所述目标客户端发送的连接请求;
基于所述连接请求对所述目标客户端进行认证;
当所述目标客户端认证通过时,确定所述目标客户端接入成功。
6.一种电子设备,其特征在于,包括:
处理器;以及
存储器,配置用于存储机器可读指令,所述指令在由所述处理器执行时,执行如权利要求1-4任一项所述的安全策略配置方法。
7.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行如权利要求1-4任一项所述的安全策略配置方法。
CN202210772638.1A 2022-06-30 2022-06-30 安全策略配置方法、装置、电子设备和存储介质 Active CN115150170B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210772638.1A CN115150170B (zh) 2022-06-30 2022-06-30 安全策略配置方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210772638.1A CN115150170B (zh) 2022-06-30 2022-06-30 安全策略配置方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN115150170A CN115150170A (zh) 2022-10-04
CN115150170B true CN115150170B (zh) 2024-03-12

Family

ID=83409409

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210772638.1A Active CN115150170B (zh) 2022-06-30 2022-06-30 安全策略配置方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN115150170B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710669A (zh) * 2012-06-29 2012-10-03 杭州华三通信技术有限公司 一种防火墙策略控制的方法及装置
CN107579988A (zh) * 2017-09-25 2018-01-12 新华三技术有限公司 配置安全策略的方法和装置
CN110365697A (zh) * 2019-07-26 2019-10-22 新华三大数据技术有限公司 一种虚拟防火墙设置方法、装置、电子设备及存储介质
CN112311851A (zh) * 2020-09-25 2021-02-02 新华三大数据技术有限公司 一种网络策略配置方法及装置
CN113407983A (zh) * 2020-03-16 2021-09-17 北京国双科技有限公司 一种安全策略的下发方法及装置
CN113965402A (zh) * 2021-11-01 2022-01-21 安天科技集团股份有限公司 一种防火墙安全策略的配置方法、装置及电子设备
CN114448653A (zh) * 2020-10-20 2022-05-06 华为技术有限公司 策略执行方法、相关装置以及存储介质

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170063927A1 (en) * 2015-08-28 2017-03-02 Microsoft Technology Licensing, Llc User-Aware Datacenter Security Policies
US11489872B2 (en) * 2018-05-10 2022-11-01 Jayant Shukla Identity-based segmentation of applications and containers in a dynamic environment
US11799860B2 (en) * 2020-04-27 2023-10-24 Zscaler, Inc. Client forwarding policies for zero trust access for applications

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102710669A (zh) * 2012-06-29 2012-10-03 杭州华三通信技术有限公司 一种防火墙策略控制的方法及装置
CN107579988A (zh) * 2017-09-25 2018-01-12 新华三技术有限公司 配置安全策略的方法和装置
CN110365697A (zh) * 2019-07-26 2019-10-22 新华三大数据技术有限公司 一种虚拟防火墙设置方法、装置、电子设备及存储介质
CN113407983A (zh) * 2020-03-16 2021-09-17 北京国双科技有限公司 一种安全策略的下发方法及装置
CN112311851A (zh) * 2020-09-25 2021-02-02 新华三大数据技术有限公司 一种网络策略配置方法及装置
CN114448653A (zh) * 2020-10-20 2022-05-06 华为技术有限公司 策略执行方法、相关装置以及存储介质
CN113965402A (zh) * 2021-11-01 2022-01-21 安天科技集团股份有限公司 一种防火墙安全策略的配置方法、装置及电子设备

Also Published As

Publication number Publication date
CN115150170A (zh) 2022-10-04

Similar Documents

Publication Publication Date Title
US11245576B2 (en) Blockchain-based configuration profile provisioning system
US11997139B2 (en) Deceiving attackers accessing network data
US10212173B2 (en) Deterministic reproduction of client/server computer state or output sent to one or more client computers
US9391969B2 (en) Dynamic radius
JP5530562B2 (ja) ドメインネームシステムレコードのアップデートの検証
US10776489B2 (en) Methods and systems for providing and controlling cryptographic secure communications terminal operable to provide a plurality of desktop environments
CN110324338B (zh) 数据交互方法、装置、堡垒机与计算机可读存储介质
WO2022247751A1 (zh) 远程访问应用的方法、系统、装置、设备及存储介质
US11616812B2 (en) Deceiving attackers accessing active directory data
US20090106549A1 (en) Method and system for extending encrypting file system
US20030229689A1 (en) Method and system for managing stored data on a computer network
JP6875482B2 (ja) レガシー統合のためのコンピュータ読み取り可能な記憶媒体ならびにそれを使用するための方法およびシステム
WO2021115231A1 (zh) 一种鉴权方法和相关设备
US20190373016A1 (en) Providing cross site request forgery protection at an edge server
WO2021043062A1 (zh) 一种跨网络唤醒的方法以及相关设备
CN106059802B (zh) 一种终端接入认证方法及装置
WO2018001023A1 (zh) 一种云终端登录虚拟桌面方法及装置
CN115189897A (zh) 零信任网络的访问处理方法、装置、电子设备及存储介质
CN115242546A (zh) 一种基于零信任架构的工业控制系统访问控制方法
US11784994B2 (en) Management device, management system, and non-transitory computer readable medium
CN113194099B (zh) 一种数据代理方法及代理服务器
CN115150170B (zh) 安全策略配置方法、装置、电子设备和存储介质
US11784996B2 (en) Runtime credential requirement identification for incident response
CN115913583A (zh) 业务数据访问方法、装置和设备及计算机存储介质
CN114244555A (zh) 一种安全策略的调整方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant