CN115277232B - 安全策略回收方法和装置 - Google Patents
安全策略回收方法和装置 Download PDFInfo
- Publication number
- CN115277232B CN115277232B CN202210913008.1A CN202210913008A CN115277232B CN 115277232 B CN115277232 B CN 115277232B CN 202210913008 A CN202210913008 A CN 202210913008A CN 115277232 B CN115277232 B CN 115277232B
- Authority
- CN
- China
- Prior art keywords
- address
- security policy
- information
- security
- recycling
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 25
- 238000004064 recycling Methods 0.000 title claims description 41
- 238000011084 recovery Methods 0.000 claims abstract description 28
- 230000000694 effects Effects 0.000 claims description 8
- 230000004044 response Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000004140 cleaning Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Abstract
本发明涉及网络安全领域,公开了一种安全策略回收方法和装置,其方法包括:获取待回收的IP地址;查询与IP地址关联的安全策略;判断IP地址是否为安全策略唯一关联的地址;若IP地址为安全策略唯一关联的地址,则回收安全策略。本发明可以大大提高安全策略的回收效率,同时提高数据中心的安全性。
Description
技术领域
本发明涉及网络安全领域,尤其涉及一种安全策略回收方法和装置。
背景技术
为了确保数据安全,数据中心配置了数量较多的虚拟防火墙和硬件防火墙。每一租户使用了若干虚拟防火墙和若干硬件防火墙。在一定时间周期内,数据中心有新的租户入住,也有旧的租户退租。对于入住租户,需要在虚拟防火墙和硬件防火墙上部署相应的安全策略。对于退租租户,需要回收该租户已部署的安全策略。
然而,这些待回收的安全策略分散在各个虚拟防火墙和硬件防火墙上,且部分安全策略为多个租户共用,若同时回收与退租租户关联的所有安全策略,则会影响共用安全策略的租户的正常使用;若不回收与退租租户关联的安全策略,则存在严重的安全风险。
而且,在回归安全策略时,管理员需要对各个防火墙逐一回收,回收效率低,容易出现错漏。
发明内容
基于此,有必要针对上述技术问题,提供一种安全策略回收方法和装置,以提高防火墙安全策略的回收效率,增强数据中心的安全性。
一种安全策略回收方法,包括:
获取待回收的IP地址;
查询与所述IP地址关联的安全策略;
判断所述IP地址是否为所述安全策略唯一关联的地址;
若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略。
一种安全策略回收装置,包括:
获取回收地址模块,用于获取待回收的IP地址;
查询安全策略模块,用于查询与所述IP地址关联的安全策略;
唯一地址检查模块,用于判断所述IP地址是否为所述安全策略唯一关联的地址;
回收安全策略模块,用于若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略。
上述安全策略回收方法和装置,在回收安全策略时,可以基于IP地址查询到所有的安全策略,然后判断安全策略是否与IP地址唯一关联,若唯一关联,则直接执行回收操作。因而,本发明可以大大提高安全策略的回收效率,同时提高数据中心的安全性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例的描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一实施例中安全策略回收方法的一应用环境示意图;
图2是本发明一实施例中安全策略回收方法的一流程示意图;
图3是本发明一实施例中安全策略回收装置的一结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供的安全策略回收方法,可应用在如图1的应用环境中,其中,客户端与服务端进行通信。其中,客户端包括但不限于各种个人计算机、笔记本电脑、智能手机、平板电脑和便携式可穿戴设备。服务端可以用独立的服务器或者是多个服务器组成的服务器集群来实现。
在一实施例中,如图2所示,提供一种安全策略回收方法,以该方法应用在图1中的服务端为例进行说明,包括如下步骤S10~S40。
S10、获取待回收的IP地址。
可理解地,待回收的IP地址可以是退租租户租用的IP。在租户退租时,需要对租户租借的虚拟机和安全策略回收。在此处,管理员可以在回收页面输入待回收的IP地址。待回收的IP地址可以是一个或多个。
S20、查询与所述IP地址关联的安全策略。
可理解地,可以在各个防火墙查询与IP地址关联的安全策略。防火墙既包括虚拟防火墙,也包括硬件防火墙。在此处,可以利用预先配置好的查询脚本,向各个防火墙发送查询指令,以查询防火墙上是否部署有与IP地址关联的安全策略。
S30、判断所述IP地址是否为所述安全策略唯一关联的地址;
S40、若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略。
可理解地,在查询到与IP地址关联的安全策略,需要判断该安全策略是否只与当前的IP地址关联。若当前的IP地址为安全策略唯一关联的地址,则直接回收安全策略。在此处,可以直接删除安全策略以实现安全策略的回收。
本实施例在回收安全策略时,可以基于IP地址查询到所有的安全策略,然后判断安全策略是否与IP地址唯一关联,若唯一关联,则直接执行回收操作。因而,本实施例可以大大提高安全策略的回收效率,同时提高数据中心的安全性。
可选的,步骤S30,即所述判断所述IP地址是否为所述安全策略唯一关联的地址之后,还包括:
S31、若所述IP地址不为所述安全策略唯一关联的地址,则解除所述IP地址与所述安全策略之间的关联关系。
可理解地,若IP地址不为安全策略唯一关联的地址,则解除IP地址与安全策略之间的关联关系。具体的,可以对安全策略的配置信息进行修改,在关联的IP地址列表中将需要回收的IP地址删除。
本实施例通过解除IP地址与安全策略之间的关联关系,可以保证数据中心的安全性。
可选的,步骤S40之后,即所述若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略之后,还包括:
S41、以所述IP地址创建测试环境;
S42、通过所述测试环境向部署有所述安全策略的防火墙发送测试信息;
S43、接收所述防火墙响应所述测试信息的反馈信息;
S44、根据所述反馈信息生成所述IP地址的回收效果。
可理解地,以IP地址创建测试环境,可以模拟回收前的租户系统。在此处,测试环境只使用待回收的IP地址作为入参,与租户系统无关。因而,该测试环境适用于所有租户IP地址的回收。待测试完毕后,重置租户系统的IP地址即可。
在创建好测试环境之后,可以向部署有安全策略的防火墙发送测试信息。在此处,测试信息可以是空白信息。然后,接收防火墙返回的用于响应测试信息的反馈信息。反馈信息包括两种,一种为正常应答信息,另一种为拒绝信息。若反馈信息为正常应答信息,则说明IP地址尚未完全回收,需要进一步清理。若反馈信息为拒绝信息,则说明IP地址完全回收,不需要进一步清理。
本实施例通过测试环境对防火墙进行真实测试,可以确保IP地址是否完全回收,进一步提升数据中心的安全性。
可选的,步骤S20之后,即所述查询与所述IP地址关联的安全策略之后,还包括:
S21、获取所述IP地址的历史部署信息;
S22、检验所述历史部署信息和所有所述安全策略之间的一致性;
S23、若所述历史部署信息和所有所述安全策略之间不一致,则发出告警信息。
可理解地,IP地址的历史部署信息包括两个部分,一部分是,IP地址部署前的部署信息,IP地址部署后的部署信息。检验历史部署信息和所有安全策略之间的一致性,指的是,IP地址回收后所有安全策略需要与IP地址部署前的部署信息相同。若IP地址回收后所有安全策略与IP地址部署前的部署信息相同,则说明当前的回收操作时正常。若IP地址回收后所有安全策略与IP地址部署前的部署信息不一致,则需要发出告警信息,由工作人员检查回收操作是否出现正常。
本实施例通过历史部署信息与安全策略的比对,可以及时检查出因为回收IP地址导致安全策略出现的漏洞,有利于提升数据中心的安全性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
在一实施例中,提供一种安全策略回收装置,该安全策略回收装置与上述实施例中安全策略回收方法一一对应。如图3所示,该安全策略回收装置包括获取回收地址模块10、查询安全策略模块20、唯一地址检查模块30和回收安全策略模块40。各功能模块详细说明如下:
获取回收地址模块10,用于获取待回收的IP地址;
查询安全策略模块20,用于查询与所述IP地址关联的安全策略;
唯一地址检查模块30,用于判断所述IP地址是否为所述安全策略唯一关联的地址;
回收安全策略模块40,用于若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略。
可选的,安全策略回收装置还包括:
解除安全策略模块,用于若所述IP地址不为所述安全策略唯一关联的地址,则解除所述IP地址与所述安全策略之间的关联关系。
可选的,安全策略回收装置还包括测试模块,所述测试模块包括:
创建测试环境单元,用于以所述IP地址创建测试环境;
发送测试信息单元,用于通过所述测试环境向部署有所述安全策略的防火墙发送测试信息;
接收反馈信息单元,用于接收所述防火墙响应所述测试信息的反馈信息;
生成回收效果,用于根据所述反馈信息生成所述IP地址的回收效果。
可选的,安全策略回收装置还包括策略检查模块,所述策略检查模块包括:
获取历史部署信息单元,用于获取所述IP地址的历史部署信息;
一致性检查单元,用于检验所述历史部署信息和所有所述安全策略之间的一致性;
告警单元,用于若所述历史部署信息和所有所述安全策略之间不一致,则发出告警信息。
关于安全策略回收装置的具体限定可以参见上文中对于安全策略回收方法的限定,在此不再赘述。上述安全策略回收装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机可读指令,处理器执行计算机可读指令时实现以下步骤:
获取待回收的IP地址;
查询与所述IP地址关联的安全策略;
判断所述IP地址是否为所述安全策略唯一关联的地址;
若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略。
在一个实施例中,提供了一个或多个存储有计算机可读指令的计算机可读存储介质,本实施例所提供的可读存储介质包括非易失性可读存储介质和易失性可读存储介质。可读存储介质上存储有计算机可读指令,计算机可读指令被一个或多个处理器执行时实现以下步骤:
获取待回收的IP地址;
查询与所述IP地址关联的安全策略;
判断所述IP地址是否为所述安全策略唯一关联的地址;
若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机可读指令来指令相关的硬件来完成,所述的计算机可读指令可存储于一非易失性可读取存储介质或易失性可读存储介质中,该计算机可读指令在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限,RAM以多种形式可得,诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。
所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,仅以上述各功能单元、模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能单元、模块完成,即将所述装置的内部结构划分成不同的功能单元或模块,以完成以上描述的全部或者部分功能。
以上所述实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围,均应包含在本发明的保护范围之内。
Claims (8)
1.一种安全策略回收方法,其特征在于,包括:
获取待回收的IP地址;
查询与所述IP地址关联的安全策略;
判断所述IP地址是否为所述安全策略唯一关联的地址;
若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略。
2.如权利要求1所述的安全策略回收方法,其特征在于,所述判断所述IP地址是否为所述安全策略唯一关联的地址之后,还包括:
若所述IP地址不为所述安全策略唯一关联的地址,则解除所述IP地址与所述安全策略之间的关联关系。
3.如权利要求1所述的安全策略回收方法,其特征在于,所述若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略之后,还包括:
以所述IP地址创建测试环境;
通过所述测试环境向部署有所述安全策略的防火墙发送测试信息;
接收所述防火墙响应所述测试信息的反馈信息;
根据所述反馈信息生成所述IP地址的回收效果。
4.如权利要求1所述的安全策略回收方法,其特征在于,所述查询与所述IP地址关联的安全策略之后,还包括:
获取所述IP地址的历史部署信息;
检验所述历史部署信息和所有所述安全策略之间的一致性;
若所述历史部署信息和所有所述安全策略之间不一致,则发出告警信息。
5.一种安全策略回收装置,其特征在于,包括:
获取回收地址模块,用于获取待回收的IP地址;
查询安全策略模块,用于查询与所述IP地址关联的安全策略;
唯一地址检查模块,用于判断所述IP地址是否为所述安全策略唯一关联的地址;
回收安全策略模块,用于若所述IP地址为所述安全策略唯一关联的地址,则回收所述安全策略。
6.如权利要求5所述的安全策略回收装置,其特征在于,还包括:
解除安全策略模块,用于若所述IP地址不为所述安全策略唯一关联的地址,则解除所述IP地址与所述安全策略之间的关联关系。
7.如权利要求5所述的安全策略回收装置,其特征在于,还包括测试模块,所述测试模块包括:
创建测试环境单元,用于以所述IP地址创建测试环境;
发送测试信息单元,用于通过所述测试环境向部署有所述安全策略的防火墙发送测试信息;
接收反馈信息单元,用于接收所述防火墙响应所述测试信息的反馈信息;
生成回收效果,用于根据所述反馈信息生成所述IP地址的回收效果。
8.如权利要求5所述的安全策略回收装置,其特征在于,还包括策略检查模块,所述策略检查模块包括:
获取历史部署信息单元,用于获取所述IP地址的历史部署信息;
一致性检查单元,用于检验所述历史部署信息和所有所述安全策略之间的一致性;
告警单元,用于若所述历史部署信息和所有所述安全策略之间不一致,则发出告警信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210913008.1A CN115277232B (zh) | 2022-07-31 | 2022-07-31 | 安全策略回收方法和装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210913008.1A CN115277232B (zh) | 2022-07-31 | 2022-07-31 | 安全策略回收方法和装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115277232A CN115277232A (zh) | 2022-11-01 |
CN115277232B true CN115277232B (zh) | 2024-02-06 |
Family
ID=83747382
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210913008.1A Active CN115277232B (zh) | 2022-07-31 | 2022-07-31 | 安全策略回收方法和装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115277232B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
CN111953809A (zh) * | 2020-07-31 | 2020-11-17 | 中国工商银行股份有限公司 | 一种管理资源地址的方法、装置、设备及系统 |
CN112468472A (zh) * | 2020-11-18 | 2021-03-09 | 中通服咨询设计研究院有限公司 | 一种基于安全日志关联分析的安全策略自反馈方法 |
CN112839045A (zh) * | 2021-01-14 | 2021-05-25 | 中盈优创资讯科技有限公司 | 对策略进行编排的实现方法及装置 |
CN114666161A (zh) * | 2022-04-29 | 2022-06-24 | 深信服科技股份有限公司 | 一种组件安全策略管理方法、装置、设备及存储介质 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10135727B2 (en) * | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
-
2022
- 2022-07-31 CN CN202210913008.1A patent/CN115277232B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
CN111953809A (zh) * | 2020-07-31 | 2020-11-17 | 中国工商银行股份有限公司 | 一种管理资源地址的方法、装置、设备及系统 |
CN112468472A (zh) * | 2020-11-18 | 2021-03-09 | 中通服咨询设计研究院有限公司 | 一种基于安全日志关联分析的安全策略自反馈方法 |
CN112839045A (zh) * | 2021-01-14 | 2021-05-25 | 中盈优创资讯科技有限公司 | 对策略进行编排的实现方法及装置 |
CN114666161A (zh) * | 2022-04-29 | 2022-06-24 | 深信服科技股份有限公司 | 一种组件安全策略管理方法、装置、设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN115277232A (zh) | 2022-11-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109032824B (zh) | 数据库校验方法、装置、计算机设备和存储介质 | |
CN108197200B (zh) | 日志追踪方法、装置、计算机设备和存储介质 | |
CN102449649B (zh) | 账户恢复技术 | |
CN110839014B (zh) | 一种认证方法、装置、计算机设备及可读存储介质 | |
CN110363020B (zh) | 截屏监控方法、装置、计算机设备及存储介质 | |
CN108959384B (zh) | 网页数据获取方法、装置、计算机设备和存储介质 | |
CN110928653A (zh) | 跨集群任务的执行方法、装置、计算机设备和存储介质 | |
CN111431753A (zh) | 一种资产信息更新方法、装置、设备及存储介质 | |
CN108366132B (zh) | 服务器间的服务管理方法、装置、计算机设备和存储介质 | |
CN110750443A (zh) | 网页测试的方法、装置、计算机设备及存储介质 | |
CN108390786B (zh) | 一种业务运维方法、装置及电子设备 | |
CA3150993A1 (en) | Method of monitoring order with asynchronous order statuses, device, equipment and medium | |
CN111209061A (zh) | 用户信息的填写方法、装置、计算机设备和存储介质 | |
CN116610498B (zh) | 基于对象存储的数据备份恢复方法、系统、设备及介质 | |
CN115277232B (zh) | 安全策略回收方法和装置 | |
CN115221156A (zh) | 数据库集群扩容方法、装置、计算机设备和存储介质 | |
CN113342767A (zh) | 一种日志生成方法、装置、设备及存储介质 | |
CN111382012B (zh) | MySQL云数据库的备份方法、装置、计算机设备和存储介质 | |
CN114579473B (zh) | 应用测试方法、装置、设备及存储介质 | |
CN115604086A (zh) | 监控报警故障自愈方法、装置、设备、介质和程序产品 | |
CN109257213B (zh) | 判断计算机终端准入验证失败的方法和装置 | |
CN111338848B (zh) | 故障应用副本处理方法、装置、计算机设备和存储介质 | |
CN110460585B (zh) | 设备身份识别方法、装置、计算机设备以及存储介质 | |
CN110879757B (zh) | 客户端异常运行时的重启方法、装置和计算机设备 | |
CN112306527A (zh) | 服务器升级方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |