CN115580482A

CN115580482A - 一种安全管理方法、装置、设备及机器可读存储介质

Info

Publication number: CN115580482A
Application number: CN202211390983.5A
Authority: CN
Inventors: 徐胜
Original assignee: New H3C Security Technologies Co Ltd
Current assignee: New H3C Security Technologies Co Ltd
Priority date: 2022-11-07
Filing date: 2022-11-07
Publication date: 2023-01-06

Abstract

本公开提供一种安全管理方法、装置、设备及机器可读存储介质，该方法包括：通过PROXY建立与至少两个业务场景不同的网络系统的网络连接；通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型；根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置。通过本公开的技术方案，通过PROXY与不同的业务场景建立连接，接收转换为统一协议标准的业务请求，并以统一的协议与各不同的业务场景完成安全业务的通信来往，实现以一套安全防护业务配置和设备为不同的业务场景提供安全管理业务，降低设备负载和后期运维成本。

Description

一种安全管理方法、装置、设备及机器可读存储介质

技术领域

本公开涉及通信技术领域，尤其是涉及一种安全管理方法、装置、设备及机器可读存储介质。

背景技术

随着云计算、大数据、移动互联网的兴起，流量与日俱增，用户业务的安全防护变得越来越重要。针对不同的用户需求使用不同的场景，目前主流的使用场景为AD-DC(Application-driven Data Central，应用驱动数据中心解决方案)以及AD-WANApplication-driven Wide Area Network，应用驱动广域网解决方案)，也有一些其他业务场景。在不同的业务场景下，都需要安全防护，当前的实现是在每个业务场景中实现安全防护，从而导致在同时部署多种业务场景时，相应需要部署多套安全防护业务配置，增加了运行设备的负载压力和后期的安全维护成本。

发明内容

有鉴于此，本公开提供一种安全管理方法、装置及电子设备、机器可读存储介质，以改善上述部署多套安全防护业务配置造成设备负载大维护成本高的问题。

具体地技术方案如下：

本公开提供了一种安全管理方法，应用于多业务场景的控制器设备，所述方法包括：通过PROXY建立与至少两个业务场景不同的网络系统的网络连接；通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型；根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置。

作为一种技术方案，所述通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型，包括：通过PROXY接收业务请求，所述业务请求是通过网络系统以http协议转换并发送的，解析业务请求获取业务类型。

作为一种技术方案，所述根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置之后，还包括：根据安全策略配置，向网络系统发送订阅请求，根据响应于订阅请求的订阅成功的响应报文，创建心跳保活线程。

作为一种技术方案，所述根据安全策略配置，向网络系统发送订阅请求，根据响应于订阅请求的订阅成功的响应报文，创建心跳保活线程之后，还包括：接收网络系统通知各业务应用向控制器设备的发送的业务数据，根据业务数据进行安全处理。

本公开同时提供了一种安全管理装置，应用于多业务场景的控制器设备，所述方法包括：连接模块，用于通过PROXY建立与至少两个业务场景不同的网络系统的网络连接；解析模块，用于通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型；安全模块，用于根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置。

本公开同时提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的安全管理方法。

本公开同时提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的安全管理方法。

本公开提供的上述技术方案至少带来了以下有益效果：

通过PROXY与不同的业务场景建立连接，接收转换为统一协议标准的业务请求，并以统一的协议与各不同的业务场景完成安全业务的通信来往，实现以一套安全防护业务配置和设备为不同的业务场景提供安全管理业务，降低设备负载和后期运维成本。

附图说明

为了更加清楚地说明本公开实施方式或者现有技术中的技术方案，下面将对本公开实施方式或者现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开中记载的一些实施方式，对于本领域普通技术人员来讲，还可以根据本公开实施方式的这些附图获得其他的附图。

图1是本公开一种实施方式中的安全管理方法的流程图；

图2是本公开一种实施方式中的架构示意图；

图3是本公开一种实施方式中的安全管理方法的多场景业务示意图；

图4是本公开一种实施方式中的安全管理方法的保活示意图；

图5是本公开一种实施方式中的安全管理装置的结构图；

图6是本公开一种实施方式中的电子设备的硬件结构图。

具体实施方式

在本公开实施方式使用的术语仅仅是出于描述特定实施方式的目的，而非限制本公开。本公开和权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其它含义。还应当理解，本文中使用的术语“和/或”是指包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本公开实施方式可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本公开范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，此外，所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

本公开提供一种安全管理方法、装置及电子设备、机器可读存储介质，以改善上述部署多套安全防护业务配置造成设备负载大维护成本高的问题。

具体地，技术方案如后述。

在一种实施方式中，本公开提供了一种安全管理方法，应用于多业务场景的控制器设备，所述方法包括：通过PROXY建立与至少两个业务场景不同的网络系统的网络连接；通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型；根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置。

具体地，如图1，包括以下步骤：

步骤S11，通过PROXY建立与至少两个业务场景不同的网络系统的网络连接；

步骤S12，通过PROXY接收业务请求，解析业务请求获取业务类型；

步骤S13，根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置。

在本公开的实施方式中，控制器设备可以是安全控制器，通过PROXY与不同的业务场景建立连接，接收转换为统一协议标准的业务请求，并以统一的协议与各不同的业务场景完成安全业务的通信来往，实现以一套安全防护业务配置和设备为不同的业务场景提供安全管理业务，降低设备负载和后期运维成本。

在一种实施方式中，所述通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型，包括：通过PROXY接收业务请求，所述业务请求是通过网络系统以http协议转换并发送的，解析业务请求获取业务类型。

在一种实施方式中，所述根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置之后，还包括：根据安全策略配置，向网络系统发送订阅请求，根据响应于订阅请求的订阅成功的响应报文，创建心跳保活线程。

在一种实施方式中，所述根据安全策略配置，向网络系统发送订阅请求，根据响应于订阅请求的订阅成功的响应报文，创建心跳保活线程之后，还包括：接收网络系统通知各业务应用向控制器设备的发送的业务数据，根据业务数据进行安全处理。

在一种实施方式中，如图2，一种多业务场景的安全控制器的系统框架，安全控制器至少包括PROXY、各业务应用和安全设备，PROXY负责与AD-WAN以及AD-DC建立通道连接以及具体业务交互，是安全控制器的基础，其中涉及PROXY与AD-WAN建立保活心跳以及数据一致性对账,确保数据有效和一致性，AD-WAN和AD-DC与安全控制器通信的具体业务需要双方协议定义具体的业务消息格式。用户请求访问通过AD-WAN或AD-DC场景转换为对应的安全业务数据，再通过http通过发送给安全控制器，安全控制器按照一定格式进行解析，解析完成后，对数据进行有效性校验以及数据库存储和集群消息发布，根据具体业务种类，判断是防火墙还是负责均衡等，下发对应的配置信息。

如图3，安全控制器通过设备管理应用netconf纳管设备，安全控制器下的防火墙应用响应于用户的需求提供安全防护业务配置策略。安全控制器通过PROXY注册AD-DC或者AD-WAN地址，告知本安全控制器的地址，获知用户对端业务的变化。安全控制器通过AD-DC或AD-WAN地址，发送心跳报文给对端，对端收到之后，进行应答，完成之后，表示双方已建立连接。建立连接完成之后，用户发起业务请求，请求到达AD-DC或则AD-WAN之后，转换为与PROXY对接的接口协议，如http，转换完成之后再发送给PROXY，PROXY根据协议内容或RestUrl、操作方法等，判断业务类型和操作类型，如果是防火墙业务则下发该服务资源对应的安全策略配置，达到业务防护目的。

如图4，安全控制器创建订阅，向AD-DC侧发送订阅请求，安全控制器根据AD-DC应答结果，判断订阅是否成功。订阅失败一般情况下为AD-DC不在线或者AD-DC正在配置恢复未准备好。订阅成功成功之后，创建心跳保活线程，心跳保活线程的作用是定时查询AD-DC是否正常，如果不正常，则可能会导致AD-DC的业务数据和安全控制器的业务数据不一致，需要等AD-DC恢复正常时候，进行一致性处理。订阅成功之后，AD-DC通知其各个业务APP，准备开始数据同步并将开始同步消息发送给安全控制器，安全控制器准备接受AD-DC业务数据。AD-DC业务APP发送内存中的业务数据，安全控制器PROXY模块接收到数据后，转换为安全控制器的业务数据，进行临时存储。AD-DC业务数据发送完成后，需要通知给安全控制器的PROXY模块，其会将现有的内存数据和接收的数据进行一致性比较，已AD-DC业务数据为准，进行配置的增删改操作，使得保持一致。

在一种实施方式中，本公开同时提供了一种安全管理装置，如图5，应用于多业务场景的控制器设备，所述方法包括：连接模块51，用于通过PROXY建立与至少两个业务场景不同的网络系统的网络连接；解析模块52，用于通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型；安全模块53，用于根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置。

在一种实施方式中，所述根据安全策略配置，向网络系统发送订阅请求，根据响应于订阅请求的订阅成功的响应报文，创建心跳保活线程之后，还包括：接收网络系统通知各业务应用向控制器设备的发送的业务数据，根据业务数据进行安全处理。装置实施方式与对应的方法实施方式相同或相似，在此不再赘述。

在一种实施方式中，本公开提供了一种电子设备，包括处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，处理器执行所述机器可执行指令以实现前述的安全管理方法，从硬件层面而言，硬件架构示意图可以参见图6所示。

在一种实施方式中，本公开提供了一种机器可读存储介质，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现前述的安全管理方法。

这里，机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置，可以包含或存储信息，如可执行指令、数据，等等。例如，机器可读存储介质可以是：RAM(RadomAccess Memory，随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等)，或者类似的存储介质，或者它们的组合。

上述实施方式阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机，计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本公开时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本公开的实施方式可提供为方法、系统、或计算机程序产品。因此，本公开可采用完全硬件实施方式、完全软件实施方式、或结合软件和硬件方面的实施方式的形式。而且，本公开实施方式可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本公开是参照根据本公开实施方式的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可以由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其它可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

而且，这些计算机程序指令也可以存储在能引导计算机或其它可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或者多个流程和/或方框图一个方框或者多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其它可编程数据处理设备上，使得在计算机或者其它可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域技术人员应明白，本公开的实施方式可提供为方法、系统或计算机程序产品。因此，本公开可以采用完全硬件实施方式、完全软件实施方式、或者结合软件和硬件方面的实施方式的形式。而且，本公开可以采用在一个或者多个其中包含有计算机可用程序代码的计算机可用存储介质(可以包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

以上所述仅为本公开的实施方式而已，并不用于限制本公开。对于本领域技术人员来说，本公开可以有各种更改和变化。凡在本公开的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本公开的权利要求范围之内。

Claims

1.一种安全管理方法，其特征在于，应用于多业务场景的控制器设备，所述方法包括：

通过PROXY建立与至少两个业务场景不同的网络系统的网络连接；

通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型；

根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置。

2.根据权利要求1所述的方法，其特征在于，所述通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型，包括：

通过PROXY接收业务请求，所述业务请求是通过网络系统以http协议转换并发送的，解析业务请求获取业务类型。

3.根据权利要求1所述的方法，其特征在于，所述根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置之后，还包括：

根据安全策略配置，向网络系统发送订阅请求，根据响应于订阅请求的订阅成功的响应报文，创建心跳保活线程。

4.根据权利要求3所述的方法，其特征在于，所述根据安全策略配置，向网络系统发送订阅请求，根据响应于订阅请求的订阅成功的响应报文，创建心跳保活线程之后，还包括：

接收网络系统通知各业务应用向控制器设备的发送的业务数据，根据业务数据进行安全处理。

5.一种安全管理装置，其特征在于，应用于多业务场景的控制器设备，所述方法包括：

连接模块，用于通过PROXY建立与至少两个业务场景不同的网络系统的网络连接；

解析模块，用于通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型；

安全模块，用于根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置。

6.根据权利要求5所述的装置，其特征在于，所述通过PROXY接收业务请求，所述业务请求是通过网络系统根据转换后的接口协议发送的，解析业务请求获取业务类型，包括：

7.根据权利要求5所述的装置，其特征在于，所述根据解析获取的是防火墙业务的业务类型，下发对应于该业务请求的网络系统的安全策略配置之后，还包括：

8.根据权利要求7所述的装置，其特征在于，所述根据安全策略配置，向网络系统发送订阅请求，根据响应于订阅请求的订阅成功的响应报文，创建心跳保活线程之后，还包括：

9.一种电子设备，其特征在于，包括：处理器和机器可读存储介质，所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器执行所述机器可执行指令，以实现权利要求1-4任一所述的方法。

10.一种机器可读存储介质，其特征在于，所述机器可读存储介质存储有机器可执行指令，所述机器可执行指令在被处理器调用和执行时，所述机器可执行指令促使所述处理器实现权利要求1-4任一所述的方法。