CN116094929A - 配置下发方法、装置、电子设备及计算机可读存储介质 - Google Patents
配置下发方法、装置、电子设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN116094929A CN116094929A CN202310203542.8A CN202310203542A CN116094929A CN 116094929 A CN116094929 A CN 116094929A CN 202310203542 A CN202310203542 A CN 202310203542A CN 116094929 A CN116094929 A CN 116094929A
- Authority
- CN
- China
- Prior art keywords
- configuration
- access
- information
- target
- approval
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0866—Checking the configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种配置下发方法、装置、电子设备及计算机可读存储介质,本发明结合不同厂商设备,通过预定义的配置格式,针对性的生成配置信息,实现了统一高效的兼容多厂商设备;基于访问需求信息自动进行配置信息的生成和下发,节省了网络管理员的重复性的工作量,提高了配置下发效率;并且,审批流程和配置生成流程为并行的流程,节省了等待审批后再进行配置信息生成的时间,进一步提高了配置下发效率。
Description
技术领域
本发明涉及通信技术领域,尤其是涉及一种配置下发方法、装置、电子设备及计算机可读存储介质。
背景技术
目前数据中心基础网络架构为多层次、分区域的设计方式。其中包括有业务区、外联区、内联区、DMZ(demilitarized zone,隔离区,也称非军事化区)、运管区等区域的规划,各区域之间进行物理隔离,分别有独立的路由交换等网络设备以及防火墙等安全设备,区域之间互访需要经过区域防火墙和路由器/交换机设备,并根据安全需求,默认区域之间禁止访问,按需求开通访问连接。
目前各设备厂商有自己的管理软件,可以对配置进行统一下发,但仍需要网络管理员先做好预配置,然后导入配置,再进行下发。而且与其他厂商设备的兼容性不够,没办法很好的支持。目前大部分访问需求,仍然通过网络管理员手动进行配置,并对多台设备进行操作,配置下发效率较低。
发明内容
本发明的目的在于提供一种配置下发方法、装置、电子设备及计算机可读存储介质,以统一高效的兼容多厂商设备,节省网络管理员的重复性的工作量,提高配置下发效率。
第一方面,本发明实施例提供了一种配置下发方法,包括:
获取待处理的访问申请,所述访问申请包括目标访问权限对应的访问需求信息;
确定与所述访问需求信息对应的访问路径中涉及的中间设备;
当确定所述目标访问权限需要开通时,进入审批流程,同时通过预定义的配置格式,生成与所述中间设备对应的目标配置信息;
当审批通过时,将所述目标配置信息下发到对应的中间设备中。
进一步地,所述确定与所述访问需求信息对应的访问路径中涉及的中间设备,包括:
通过在预设的数据库中进行检索,得到所述访问需求信息中的源IP地址所属的第一区域和所述访问需求信息中的目的IP地址所属的第二区域;
根据所述第一区域和所述第二区域,确定所述源IP地址和所述目的IP地址之间的访问路径;
确定所述访问路径中涉及的中间设备及其登录地址。
进一步地,在所述确定与所述访问需求信息对应的访问路径中涉及的中间设备之后,所述配置下发方法还包括:
根据所述中间设备的登陆地址,进行所述中间设备的SSH登录;
通过所述中间设备的shell命令,收集网络信息,所述网络信息包括路由信息以及安全策略信息;
根据所述网络信息,通过正则表达式进行所述访问路径中涉及的中间设备的匹配;
根据匹配结果,判断所述目标访问权限是否需要开通。
进一步地,所述进入审批流程,包括:
生成与所述访问需求信息对应的OA申请单;
通过python调用OA系统的API接口,将所述OA申请单发送给OA系统,以使所述OA系统创建审批流程,进行各层级审批。
进一步地,所述通过预定义的配置格式,生成与所述中间设备对应的目标配置信息,包括:
对于所述中间设备中的网络设备,通过预定义的第一配置格式,填写相应的目的IP地址信息,得到需要下发的第一配置信息;
对于所述中间设备中的安全设备,通过预定义的第二配置格式,生成需要下发的第二配置信息,所述第二配置信息包括开通的安全策略的源IP地址信息、目的IP地址信息以及端口信息。
进一步地,所述将所述目标配置信息下发到对应的中间设备中,包括:
将所述访问申请对应的目标配置信息以及审批结果推送至网络管理员的前端页面,以使所述网络管理员进行配置下发验证;
当获取到所述网络管理员反馈的验证通过信息时,将所述验证通过信息对应的目标配置信息下发到对应的中间设备中。
进一步地,所述验证通过信息对应的目标配置信息包括一个或多个访问申请对应的目标配置信息。
第二方面,本发明实施例还提供了一种配置下发装置,包括:
获取模块,用于获取待处理的访问申请,所述访问申请包括目标访问权限对应的访问需求信息;
确定模块,用于确定与所述访问需求信息对应的访问路径中涉及的中间设备;
生成模块,用于当确定所述目标访问权限需要开通时,进入审批流程,同时通过预定义的配置格式,生成与所述中间设备对应的目标配置信息;
下发模块,用于当审批通过时,将所述目标配置信息下发到对应的中间设备中。
第三方面,本发明实施例还提供了一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现第一方面的配置下发方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行第一方面的配置下发方法。
本发明实施例提供的配置下发方法、装置、电子设备及计算机可读存储介质,在进行配置下发时,先获取待处理的访问申请,该访问申请包括目标访问权限对应的访问需求信息;然后确定与访问需求信息对应的访问路径中涉及的中间设备;当确定目标访问权限需要开通时,进入审批流程,同时通过预定义的配置格式,生成与中间设备对应的目标配置信息;当审批通过时,将目标配置信息下发到对应的中间设备中。这样结合不同厂商设备(中间设备),通过预定义的配置格式,针对性的生成配置信息,实现了统一高效的兼容多厂商设备;基于访问需求信息自动进行配置信息的生成和下发,节省了网络管理员的重复性的工作量,提高了配置下发效率;并且,审批流程和配置生成流程为并行的流程,节省了等待审批后再进行配置信息生成的时间,进一步提高了配置下发效率。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种配置下发方法的流程示意图;
图2为本发明实施例提供的另一种配置下发方法的流程示意图;
图3为本发明实施例提供的一种配置下发装置的结构示意图;
图4为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面将结合实施例对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前当有应用访问需求时,按照流程,申请人需要先提交访问权限的申请,通过各层级审批,等审批通过后,再由网络管理员进行访问权限的配置开通。访问申请和访问配置是串行的步骤,需要先进行申请,审批通过后,再分配到网络管理员进行配置开通。因此解决申请人访问需求的时效较长,导致配置下发效率较低。
访问申请的开通,往往是IP和端口之间的互通需求。需要网络管理员先确定访问的源IP地址、目的IP地址和端口,判断要经过的路径,并对路径上涉及的设备进行检查和配置。随着业务的发展,访问需求也与日俱增,并伴随大量的重复性的配置,对于网络管理员的配置工作量面临巨大挑战,也导致配置下发效率较低。
目前各设备厂商有自己的管理软件,可以对配置进行统一下发,但仍需要网络管理员先做好预配置,然后导入配置,再进行下发。而且与其他厂商设备的兼容性不够,没办法很好的支持。
基于此,本发明实施例提供的一种配置下发方法、装置、电子设备及计算机可读存储介质,可以根据申请人提供的访问需求,来实现配置的自动化生成和下发,统一高效的兼容多厂商设备,节省网络管理员的重复性的工作量,提高配置下发效率。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种配置下发方法进行详细介绍。
本发明实施例提供了一种配置下发方法,该方法可以由具有数据处理能力的电子设备执行。参见图1所示的一种配置下发方法的流程示意图,该方法主要包括如下步骤S102~步骤S108:
步骤S102,获取待处理的访问申请,该访问申请包括目标访问权限对应的访问需求信息。
申请人可以根据应用的访问需求在前端页面输入访问需求信息,然后点击提交,电子设备即可得到待处理的访问申请;其中,该访问需求信息可以包括源IP地址、目的IP地址、源端口信息和目的端口信息。
步骤S104,确定与访问需求信息对应的访问路径中涉及的中间设备。
在一些可能的实施例中,可以通过在预设的数据库中进行检索,得到访问需求信息中的源IP地址所属的第一区域和访问需求信息中的目的IP地址所属的第二区域;然后根据第一区域和第二区域,确定源IP地址和目的IP地址之间的访问路径;进而确定访问路径中涉及的中间设备及其登录地址。其中,中间设备可以包括网络设备(如路由器和交换机设备等)以及安全设备(如防火墙设备等)。
在一种可能的实现方式中,可以预先在预设的数据库中,创建对应的表格,该表格中包括IP地址段和对应的区域范围,以及定义好的区域中所包含的网络设备(如路由器和交换机设备等)以及安全设备(如防火墙设备等)的登录IP(即登录地址)和账户。通过源目IP地址(源IP地址和目的IP地址)来判断是哪些区域之间的访问,然后统计出中间经过的设备(即中间设备)。在数据库中,提取出这些设备的登录IP。
步骤S106,当确定目标访问权限需要开通时,进入审批流程,同时通过预定义的配置格式,生成与中间设备对应的目标配置信息。
确定好访问路径中涉及的中间设备之后,可以先判断目标访问权限是否需要开通,只有在需要开通的情况下,才执行后续的审批流程、配置生成和下发流程,以避免无用功,降低计算开销。在一些可能的实施例中,可以通过如下过程判断目标访问权限是否需要开通:先根据中间设备的登陆地址,进行中间设备的SSH(Secure Shell)登录;然后通过中间设备的shell命令,收集网络信息,该网络信息包括路由信息以及安全策略信息;再根据网络信息,通过正则表达式进行访问路径中涉及的中间设备的匹配;根据匹配结果,判断目标访问权限是否需要开通。匹配结果包括匹配成功(即能匹配)和匹配失败(即不能匹配),若匹配成功,则确定目标访问权限不需要开通;若匹配失败,则确定目标访问权限需要开通。
在一种可能的实现方式中,提取到中间设备的登录IP后,通过Python调用第三方库Paramiko来实现中间设备的SSH登录;然后通过中间设备shell命令来收集网络信息,包括路由信息以及安全策略信息;再通过正则表达式来进行匹配,如能匹配,说明检测到申请人输入的访问需求,实际已经开通访问,则无需另外走访问申请,即确定目标访问权限不需要开通;如不能匹配,说明检测到申请人输入的访问需求,需要开通策略才可访问,则需要进入下个阶段,即确定目标访问权限需要开通。其中,正则表达式用来匹配特殊的字符串(字符集合)。
在一种可能的实现方式中,当确定目标访问权限需要开通时,python会与第三方OA系统进行对接,进入流程审批阶段(即进入审批流程);同时,也会自动生成访问策略(即配置信息)。
在一些可能的实施例中,进入审批流程可以通过如下过程实现:生成与访问需求信息对应的OA申请单;通过python调用OA系统的API(Application Program Interface,应用程序编程接口)接口,将OA申请单发送给OA系统,以使OA系统创建审批流程,进行各层级审批。
在一种可能的实现方式中,python调用OA系统的API接口,将申请人提交的访问需求信息,自动生成为OA申请单发送给OA系统。OA系统会自动创建审批流程,经过各层级审批。对于最终审批结果,OA系统会生成返回值发送给python,通过返回值再判断是否审批通过。
在一些可能的实施例中,通过预定义的配置格式,生成与中间设备对应的目标配置信息可以通过如下过程实现:对于中间设备中的网络设备,通过预定义的第一配置格式,填写相应的目的IP地址信息,得到需要下发的第一配置信息;对于中间设备中的安全设备,通过预定义的第二配置格式,生成需要下发的第二配置信息,该第二配置信息包括开通的安全策略的源IP地址信息、目的IP地址信息以及端口信息。
在一种可能的实现方式中,在进入审批阶段的同时,为提高效率,节省时间,python会同时生成配置信息。对于路由器和交换机设备,通过预定义的第一配置格式,根据需求填写目的IP地址,生成需要下发的配置信息。对于防火墙设备,通过预定义的第二配置格式,生成开通的策略源目IP以及端口信息的配置信息,并将以上配置信息推送到网络管理员登录的前端页面进行展示。
步骤S108,当审批通过时,将目标配置信息下发到对应的中间设备中。
在一些可能的实施例中,可以通过如下过程将目标配置信息下发到对应的中间设备中:将访问申请对应的目标配置信息以及审批结果推送至网络管理员的前端页面,以使网络管理员进行配置下发验证;当获取到网络管理员反馈的验证通过信息时,将验证通过信息对应的目标配置信息下发到对应的中间设备中。
当审批通过时,OA系统可以推送返回值true至python,python通过返回值true确定审批通过,推送返回值到网络管理员的前端页面,并显示审批已通过,网络管理员此时可以直接选择配置推送,下发到对应的网络设备和安全设备中。最终配置完成后,可以向申请人的前端页面返回:“您的访问申请审批通过,访问需求已开通!”当审批未通过时,OA系统可以推送返回值false至python,python通过返回值false确定审批未通过,可以直接向申请人的前端页面返回:“访问申请审批未通过!”
当有多个访问申请的时候,可进行批量化的处理。基于此,上述验证通过信息对应的目标配置信息包括一个或多个访问申请对应的目标配置信息。
本发明实施例提供的配置下发方法,在进行配置下发时,先获取待处理的访问申请,该访问申请包括目标访问权限对应的访问需求信息;然后确定与访问需求信息对应的访问路径中涉及的中间设备;当确定目标访问权限需要开通时,进入审批流程,同时通过预定义的配置格式,生成与中间设备对应的目标配置信息;当审批通过时,将目标配置信息下发到对应的中间设备中。这样结合不同厂商设备(中间设备),通过预定义的配置格式,针对性的生成配置信息,实现了统一高效的兼容多厂商设备;基于访问需求信息自动进行配置信息的生成和下发,节省了网络管理员的重复性的工作量,提高了配置下发效率;并且,审批流程和配置生成流程为并行的流程,节省了等待审批后再进行配置信息生成的时间,进一步提高了配置下发效率。
为了便于理解,本发明实施例还对上述配置下发方法进行了细化,参见图2所示的另一种配置下发方法的流程示意图,该方法包括如下步骤:
步骤S201,前端输入访问需求。
前端可以通过python调用Django,一个开放源代码的Web应用框架,来进行编译。前端提供一个输入框架,分别为源IP、目的IP、源端口、目的端口,并留出需要填写内容字段的空间,提示输入IP地址信息和端口信息。申请人可对应用的访问需求输入相关IP地址信息和端口信息,然后点击提交。
步骤S202,检索访问路径,定位访问路径中涉及的设备。
前端接收到访问需求后,在后端数据库中检索源目IP地址。需要提前在诸如MySQL数据库中,创建对应的表格,将IP地址段和区域范围进行对应,并定义好区域中所包含的网络设备以及安全设备的登录IP和账户。通过源目IP地址来判断是哪些区域之间的访问,然后统计出中间经过的设备。在数据库中,提取出设备的登录IP。
步骤S203,检测是否有匹配的路由以及安全策略。
提取到设备的登录IP后,通过Python调用第三方库Paramiko来实现设备SSH登录。然后通过设备shell命令来收集网络信息,包括路由信息以及安全策略信息。通过正则表达式来进行匹配,如能匹配,进入步骤S204阶段,否则,进入步骤S205阶段。
步骤S204,返回前端访问已开通。
若检索到申请人输入的访问需求,实际已经开通访问,则无需另外走访问申请。前端页面进行返回:您的访问需求无需申请,可立即访问!
步骤S205,返回前端访问申请进入审批阶段。
若检测到申请人输入的访问需求,需要开通策略才可访问,则需要进入审批阶段。前端页面进行返回:您的访问需求需要进行审批,正在进入审批流程!
在该阶段,python会与第三方OA系统进行对接,进入步骤S206阶段。
同时,也会自动生成访问策略,进入步骤S207阶段。
步骤S206,进入OA审批流程,并判断审批是否通过。
python调用OA系统的API接口,把前端提交的访问需求,自动生成为OA申请单发送给OA系统。OA系统会自动创建审批流程,经过各层级审批。对于最终审批结果,OA会生成返回值发送给python,通过返回值再确定进入步骤S208或步骤S209阶段。
步骤S207,自动生成配置信息。
在进入审批阶段的同时,为提高效率,节省时间,python会同时生成配置信息。对于路由器和交换机设备,对于路由器和交换机设备,通过预定义的第一配置格式,根据需求填写目的IP地址,生成需要下发的配置信息。对于防火墙设备,通过预定义的第二配置格式,生成开通的策略源目IP以及端口信息的配置信息,并将以上配置信息推送到网络管理员登录的前端页面进行展示。
步骤S208,返回前端访问申请未通过。
若审批未能通过,OA系统会推送返回值flase至python,python通过返回值确定审批未通过,前端页面进行返回:您的访问需求审批未通过!
步骤S209,网络管理员进行配置下发验证。
如审批通过,OA系统会推送返回值true至python,python通过返回值确定审批通过,推送到网络管理员的前端页面,并显示审批已通过,网络管理员此时可以直接选择配置推送,下发到对应的网络设备和安全设备中。当有多个访问申请的时候,可进行批量化的处理。最终配置完成后,进入步骤S204阶段,前端页面进行返回:您的访问需求审批通过,访问需求已开通!
综上,本发明实施例提供的配置下发方法具有如下三个方面的改进:
(1)对于现在网络管理员根据访问需求,手动的登录每台设备进行配置开通,这种重复性多的操作,本发明实施例通过编译语言python,将设备的配置格式预先进行定义,然后通过输入的IP及端口信息自动生成配置信息,然后对设备进行配置信息下发。可以由python语言进行逻辑判断,来对访问需求进行分析,并自动生产配置脚本,下发到相关设备上,节省了网络管理员大量的重复工作。
(2)对于访问审批和访问配置串行的过程,本发明实施例改为并行的流程。把审批流程和配置信息生成的工具进行结合,在申请人提交访问需求的同时,也会在配置信息生成的工具上自动生成配置信息,当审批通过后,会自动下发到设备中,节省了等待审批后再进行配置信息生成的时间,提高了效率。当有多个访问申请的时候,可同时批量生成和下发配置信息。
(3)本发明实施例结合多个不同厂商设备,通过预定义的配置格式和API接口,来针对性的生成和下发配置信息。通过编译语言python提供一个申请人填写的前端页面,定义好填写的格式,让申请人输入相关访问需求,按照格式填写访问的源目IP及端口的信息。前端把数据返回到后端,通过工具,来自动匹配访问路径,并通过SSH登录相关设备,收集配置信息,再判断是否可以访问、生成配置信息等功能。
本发明实施例通过python编译语言,对多个厂商的配置格式进行定义,可支持多厂商配置信息的生成和下发,来达到多厂商配置兼容的效果,从而能够统一高效的兼容多厂商设备;可对多个访问申请批量的生成并下发配置信息,节省了网络管理员的重复性的工作量。
对应于上述的配置下发方法,本发明实施例还提供了一种配置下发装置,参见图3所示的一种配置下发装置的结构示意图,该装置包括:
获取模块301,用于获取待处理的访问申请,该访问申请包括目标访问权限对应的访问需求信息;
确定模块302,用于确定与访问需求信息对应的访问路径中涉及的中间设备;
生成模块303,用于当确定目标访问权限需要开通时,进入审批流程,同时通过预定义的配置格式,生成与中间设备对应的目标配置信息;
下发模块304,用于当审批通过时,将目标配置信息下发到对应的中间设备中。
进一步地,上述确定模块302具体用于:通过在预设的数据库中进行检索,得到访问需求信息中的源IP地址所属的第一区域和访问需求信息中的目的IP地址所属的第二区域;根据第一区域和第二区域,确定源IP地址和目的IP地址之间的访问路径;确定访问路径中涉及的中间设备及其登录地址。
进一步地,上述装置还包括判断模块,判断模块分别与确定模块302和生成模块303连接,判断模块用于:根据中间设备的登陆地址,进行中间设备的SSH登录;通过中间设备的shell命令,收集网络信息,该网络信息包括路由信息以及安全策略信息;根据网络信息,通过正则表达式进行访问路径中涉及的中间设备的匹配;根据匹配结果,判断目标访问权限是否需要开通。
进一步地,上述生成模块303具体用于:生成与访问需求信息对应的OA申请单;通过python调用OA系统的API接口,将OA申请单发送给OA系统,以使OA系统创建审批流程,进行各层级审批。
进一步地,上述生成模块303还用于:对于中间设备中的网络设备,通过预定义的第一配置格式,填写相应的目的IP地址信息,得到需要下发的第一配置信息;对于中间设备中的安全设备,通过预定义的第二配置格式,生成需要下发的第二配置信息,该第二配置信息包括开通的安全策略的源IP地址信息、目的IP地址信息以及端口信息。
进一步地,上述下发模块304具体用于:将访问申请对应的目标配置信息以及审批结果推送至网络管理员的前端页面,以使网络管理员进行配置下发验证;当获取到网络管理员反馈的验证通过信息时,将验证通过信息对应的目标配置信息下发到对应的中间设备中。
进一步地,上述验证通过信息对应的目标配置信息包括一个或多个访问申请对应的目标配置信息。
本实施例所提供的配置下发装置,其实现原理及产生的技术效果和前述配置下发方法实施例相同,为简要描述,配置下发装置实施例部分未提及之处,可参考前述配置下发方法实施例中相应内容。
如图4所示,本发明实施例提供的一种电子设备400,包括:处理器401、存储器402和总线,存储器402存储有可在处理器401上运行的计算机程序,当电子设备400运行时,处理器401与存储器402之间通过总线通信,处理器401执行计算机程序,以实现上述配置下发方法。
具体地,上述存储器402和处理器401能够为通用的存储器和处理器,这里不做具体限定。
本发明实施例还提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机程序,该计算机程序被处理器运行时执行前面方法实施例中所述的配置下发方法。该计算机可读存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
在这里示出和描述的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
附图中的流程图和框图显示了根据本发明的多个实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种配置下发方法,其特征在于,包括:
获取待处理的访问申请,所述访问申请包括目标访问权限对应的访问需求信息;
确定与所述访问需求信息对应的访问路径中涉及的中间设备;
当确定所述目标访问权限需要开通时,进入审批流程,同时通过预定义的配置格式,生成与所述中间设备对应的目标配置信息;
当审批通过时,将所述目标配置信息下发到对应的中间设备中。
2.根据权利要求1所述的配置下发方法,其特征在于,所述确定与所述访问需求信息对应的访问路径中涉及的中间设备,包括:
通过在预设的数据库中进行检索,得到所述访问需求信息中的源IP地址所属的第一区域和所述访问需求信息中的目的IP地址所属的第二区域;
根据所述第一区域和所述第二区域,确定所述源IP地址和所述目的IP地址之间的访问路径;
确定所述访问路径中涉及的中间设备及其登录地址。
3.根据权利要求1所述的配置下发方法,其特征在于,在所述确定与所述访问需求信息对应的访问路径中涉及的中间设备之后,所述配置下发方法还包括:
根据所述中间设备的登陆地址,进行所述中间设备的SSH登录;
通过所述中间设备的shell命令,收集网络信息,所述网络信息包括路由信息以及安全策略信息;
根据所述网络信息,通过正则表达式进行所述访问路径中涉及的中间设备的匹配;
根据匹配结果,判断所述目标访问权限是否需要开通。
4.根据权利要求1所述的配置下发方法,其特征在于,所述进入审批流程,包括:
生成与所述访问需求信息对应的OA申请单;
通过python调用OA系统的API接口,将所述OA申请单发送给OA系统,以使所述OA系统创建审批流程,进行各层级审批。
5.根据权利要求1所述的配置下发方法,其特征在于,所述通过预定义的配置格式,生成与所述中间设备对应的目标配置信息,包括:
对于所述中间设备中的网络设备,通过预定义的第一配置格式,填写相应的目的IP地址信息,得到需要下发的第一配置信息;
对于所述中间设备中的安全设备,通过预定义的第二配置格式,生成需要下发的第二配置信息,所述第二配置信息包括开通的安全策略的源IP地址信息、目的IP地址信息以及端口信息。
6.根据权利要求1所述的配置下发方法,其特征在于,所述将所述目标配置信息下发到对应的中间设备中,包括:
将所述访问申请对应的目标配置信息以及审批结果推送至网络管理员的前端页面,以使所述网络管理员进行配置下发验证;
当获取到所述网络管理员反馈的验证通过信息时,将所述验证通过信息对应的目标配置信息下发到对应的中间设备中。
7.根据权利要求6所述的配置下发方法,其特征在于,所述验证通过信息对应的目标配置信息包括一个或多个访问申请对应的目标配置信息。
8.一种配置下发装置,其特征在于,包括:
获取模块,用于获取待处理的访问申请,所述访问申请包括目标访问权限对应的访问需求信息;
确定模块,用于确定与所述访问需求信息对应的访问路径中涉及的中间设备;
生成模块,用于当确定所述目标访问权限需要开通时,进入审批流程,同时通过预定义的配置格式,生成与所述中间设备对应的目标配置信息;
下发模块,用于当审批通过时,将所述目标配置信息下发到对应的中间设备中。
9.一种电子设备,包括存储器、处理器,所述存储器中存储有可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-7中任一项所述的配置下发方法。
10.一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其特征在于,所述计算机程序被处理器运行时执行权利要求1-7中任一项所述的配置下发方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310203542.8A CN116094929B (zh) | 2023-03-06 | 2023-03-06 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310203542.8A CN116094929B (zh) | 2023-03-06 | 2023-03-06 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116094929A true CN116094929A (zh) | 2023-05-09 |
| CN116094929B CN116094929B (zh) | 2023-06-27 |
Family
ID=86199323
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310203542.8A Active CN116094929B (zh) | 2023-03-06 | 2023-03-06 | 配置下发方法、装置、电子设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116094929B (zh) |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0420428D0 (en) * | 2004-09-14 | 2004-10-20 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
| CN102055735A (zh) * | 2009-11-04 | 2011-05-11 | 中国移动通信集团山东有限公司 | 防火墙访问控制策略的配置方法及装置 |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN109361711A (zh) * | 2018-12-14 | 2019-02-19 | 泰康保险集团股份有限公司 | 防火墙配置方法、装置、电子设备及计算机可读介质 |
| CN111047282A (zh) * | 2019-11-26 | 2020-04-21 | 北京天元创新科技有限公司 | 一种审批流程的执行方法及装置 |
| CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
| CN111586022A (zh) * | 2020-04-30 | 2020-08-25 | 深圳壹账通智能科技有限公司 | 防火墙开墙验证方法、电子装置、计算机设备及存储介质 |
| CN112787867A (zh) * | 2021-01-25 | 2021-05-11 | 上海瀚银信息技术有限公司 | 一种防火墙策略任务自动处理系统及方法 |
| WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
| CN115225307A (zh) * | 2022-05-12 | 2022-10-21 | 马上消费金融股份有限公司 | 一种防火墙管理方法、系统、电子设备和存储介质 |
| CN115695165A (zh) * | 2022-10-31 | 2023-02-03 | 上海浦东发展银行股份有限公司 | 一种防火墙自动运维方法、系统、电子设备及存储介质 |
-
2023
- 2023-03-06 CN CN202310203542.8A patent/CN116094929B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0420428D0 (en) * | 2004-09-14 | 2004-10-20 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
| CN102055735A (zh) * | 2009-11-04 | 2011-05-11 | 中国移动通信集团山东有限公司 | 防火墙访问控制策略的配置方法及装置 |
| CN103023707A (zh) * | 2012-12-28 | 2013-04-03 | 华为技术有限公司 | 一种策略配置的方法、管理服务器以及网络系统 |
| CN109361711A (zh) * | 2018-12-14 | 2019-02-19 | 泰康保险集团股份有限公司 | 防火墙配置方法、装置、电子设备及计算机可读介质 |
| CN111047282A (zh) * | 2019-11-26 | 2020-04-21 | 北京天元创新科技有限公司 | 一种审批流程的执行方法及装置 |
| CN111193744A (zh) * | 2019-12-31 | 2020-05-22 | 中信百信银行股份有限公司 | 防火墙策略查询、弹性伸缩方法及系统、设备、存储介质 |
| CN111586022A (zh) * | 2020-04-30 | 2020-08-25 | 深圳壹账通智能科技有限公司 | 防火墙开墙验证方法、电子装置、计算机设备及存储介质 |
| WO2021139339A1 (zh) * | 2020-07-30 | 2021-07-15 | 平安科技(深圳)有限公司 | 防火墙策略的下发方法、装置、电子设备及存储介质 |
| CN112787867A (zh) * | 2021-01-25 | 2021-05-11 | 上海瀚银信息技术有限公司 | 一种防火墙策略任务自动处理系统及方法 |
| CN115225307A (zh) * | 2022-05-12 | 2022-10-21 | 马上消费金融股份有限公司 | 一种防火墙管理方法、系统、电子设备和存储介质 |
| CN115695165A (zh) * | 2022-10-31 | 2023-02-03 | 上海浦东发展银行股份有限公司 | 一种防火墙自动运维方法、系统、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116094929B (zh) | 2023-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8412809B2 (en) | Method, apparatus and computer program product implementing multi-tenancy for network monitoring tools using virtualization technology | |
| US6286035B1 (en) | Validating and parsing engine for system configuration and support command messages | |
| CN112330444A (zh) | 平台多银行接入调用方法、系统及装置 | |
| CN105553851A (zh) | 基于sdn的网络处理器微码和流表实现装置及方法 | |
| CN111858083A (zh) | 一种远程服务的调用方法、装置、电子设备及存储介质 | |
| CN111984561A (zh) | 一种bmc的ipmi命令处理方法、系统、设备以及介质 | |
| CN111931133B (zh) | 一种基于b/s架构的权限控制方法 | |
| CN114285659B (zh) | 一种反向代理方法、装置、设备及存储介质 | |
| CN107832391B (zh) | 一种数据查询方法和系统 | |
| CN114374611B (zh) | 公有云vpc环境下管理业务平面分离的实现方法和设备 | |
| CN114006868B (zh) | 流量筛选方法及装置 | |
| CN114827115A (zh) | 容器内Web服务的访问方法、装置、电子设备及存储介质 | |
| CN110597783A (zh) | 数据库管理方法、装置、设备及存储介质 | |
| CN116094929B (zh) | 配置下发方法、装置、电子设备及计算机可读存储介质 | |
| CN112860398A (zh) | 基于规则引擎的数据处理方法、装置、设备及介质 | |
| CN111488286B (zh) | 一种Android模块独立开发的方法及装置 | |
| CN115576624A (zh) | 一种编程框架优化方法、系统、终端设备及存储介质 | |
| CN113986995A (zh) | 请求分发方法、装置、存储介质及电子设备 | |
| CN114186958A (zh) | 将列表数据导出为电子表格的方法、计算设备及存储介质 | |
| CN114090514A (zh) | 分布式系统的日志检索方法及装置 | |
| CN111639079A (zh) | 一种面向内容计费业务的局数据核查方法及设备 | |
| CN113422778B (zh) | 防火墙策略配置方法、装置和电子设备 | |
| US8924403B2 (en) | Method and system for central data querying | |
| CN113900895B (zh) | 信息处理方法、信息处理装置、存储介质与电子设备 | |
| CN112383613B (zh) | 容器集群系统的管理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |