CN117353961A - 一种安全策略的获取方法及相关装置 - Google Patents

一种安全策略的获取方法及相关装置 Download PDF

Info

Publication number
CN117353961A
CN117353961A CN202210753988.3A CN202210753988A CN117353961A CN 117353961 A CN117353961 A CN 117353961A CN 202210753988 A CN202210753988 A CN 202210753988A CN 117353961 A CN117353961 A CN 117353961A
Authority
CN
China
Prior art keywords
security
address
policy
security device
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210753988.3A
Other languages
English (en)
Inventor
王仲宇
谢于明
吴朱亮
张亮
韩涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202210753988.3A priority Critical patent/CN117353961A/zh
Publication of CN117353961A publication Critical patent/CN117353961A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请公开了一种安全策略的获取方法,涉及网络安全技术领域。通信设备获取安全意图,并根据安全意图生成安全策略。安全意图指示第一对象对第二对象的目标访问行为,其中,第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称,目标访问行为为允许或禁止访问。安全策略用于指示第一安全设备允许或禁止第一地址访问第二地址。安全策略的获取不再依赖于难于理解和易于出错的IP信息,而是基于易于理解和难于出错的安全意图,这降低了获取安全策略的难度,提升了获取到的安全策略的准确性。

Description

一种安全策略的获取方法及相关装置
技术领域
本申请涉及网络安全技术领域,尤其涉及一种安全策略的获取方法及相关装置。
背景技术
近年来,网络安全问题日益突出。为了保证网络的安全性,安全设备(例如,防火墙)被部署以阻止外部攻击。
网络管理员通常基于互联网协议(Internet Protocol,IP)五元组逐条设置安全策略,以使得防火墙识别需要阻止的报文或者允许通过的报文。网络管理员逐条配置基于IP的安全策略,配置难度大且易出错。
发明内容
本申请提供了一种安全策略的获取方法和相关装置,可以降低配置安全策略的难度,有利于提高安全策略的配置准确率。
本申请第一方面提供一种安全策略的获取方法,可以应用于第一通信设备。第一通信设备例如为网管设备或部署于内部网络或外部网络的其他设备。第一通信设备获取安全意图,并根据安全意图生成安全策略。
其中,安全意图指示允许或禁止第一对象对第二对象的目标访问行为。第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称。目标访问行为为允许或禁止访问。即,第一对象是目标访问行为的发起者,例如第一对象可以为发起第一访问行为的用户的类型,或发起第一访问行为的业务的名称,或发起第一访问行为的网络区域的名称。第二对象是第一访问行为的接受者,例如第二对象为允许或禁止第一对象访问的用户的类型、或者允许或禁止第一对象访问的业务的名称,或者允许或禁止第一对象访问的网络区域的名称。即,安全意图,基于易于理解的方式,表示了业务间、网络区域间、用户间,或者用户、业务和网络区域相互间的访问需求。
其中,安全策略用于指示第一安全设备允许或禁止第一地址访问第二地址。例如,第一地址为源地址,第二地址为目的地址。源地址例如为媒体存取控制(Media AccessControl,MAC)地址、源IP地址、源端口(port),或者上述信息的组合。目的地址例如为目的MAC地址、目的IP地址、目的端口,或者上述信息的组合。
本申请中,基于易理解的方式,安全意图直接表示了业务间、网络间、用户间,或者用户、业务和网络相互间的访问需求。因此,安全策略的获取不再依赖于难于理解和易于出错的IP信息,而是基于易于理解和难于出错的安全意图,这可以降低获取安全策略的难度,能够提升获取到的安全策略的准确性。
可选地,第一通信设备根据第一对象确定第一地址,并根据第二对象确定第二地址。例如,安全意图指示允许第一对象访问第二对象,则第一通信设备可以根据第一对象确定第一地址,根据第二对象确定第二地址,安全策略指示允许第一地址访问第二地址。第一地址例如为第一对象的IP地址,第二地址例如为第二对象的IP地址和端口的组合。例如,安全意图指示允许互联网用户访问web(网络)服务,则第一地址可以为任意地址,第二地址可以为web服务的IP地址(例如,IP1)和web服务的端口(例如,80)的组合,安全策略指示允许任意地址(any)访问IP1:80。本方案中,明确了安全意图中的第一对象和第二对象与安全策略中的第一地址和第二地址之间的对应关系,有利于提高安全意图到安全策略的转换过程的准确度。
可选地,第一通信设备上可以配置有对象信息库,对象信息库包括至少一个对象中的每个对象的地址信息和每个对象的描述信息。每个对象的描述信息包括以下一项或多项:每个对象对应的用户的类型,每个对象对应的业务的名称,或者每个对象对应的网络区域的名称。上述至少一个对象包括第一对象和第二对象。换句话说,对象信息库包括多个对象的信息,每个对象的信息包括该对象的地址信息和该对象的描述信息。即,每个对象的信息记录了一个对象和该对象的地址以及该对象的描述信息的对应关系。
第一通信设备根据第一对象和对象信息库获取第一地址,并根据第二对象和对象信息库获取第二地址。例如从对象信息库中获取与第一对象对应的第一地址,获取与第二对象对应的第二地址。第一通信设备可以根据对象信息库获取与第一对象对应的第一地址以及与第二对象对应的第二地址,从而大大提高了安全意图转换为安全策略的效率,降低了安全意图转换为安全策略的难度。
可选地,第一通信设备获取网络拓扑,并根据第一对象和/或第二对象,以及网络拓扑确定第一安全设备。其中,网络拓扑包括至少一个安全设备和至少一个安全设备中每个安全设备管控的网络区域;第一安全设备包含于至少一个安全设备。本方案中,第一通信设备不仅可以根据安全意图生成安全策略,而且可以结合网络拓扑确定安全策略所需要部署的第一安全设备,也即确定了安全策略的部署位置,进一步降低了向安全设备中部署安全策略的难度,有利于提高向安全设备中部署安全策略过程的准确率。
可选地,网络拓扑还可以包括路径集合,路径集合包括至少一个路径,任意一个路径用于指示分别位于两个不同的网络区域内的两个对象之间的访问路径所经过的至少一个第二安全设备。第一通信设备根据第一对象和/或第二对象,以及网络拓扑确定第一安全设备,包括:第一通信设备可以获取第一对象归属的第一网络区域和第二对象归属的第二网络区域,根据第一网络区域内的第一对象和第二网络区域内的第二对象,从路径集合中查找与第一对象对第二对象的访问路径对应的一个目标路径,目标路径包括第一对象对第二对象的访问路径上可能经过的所有第二安全设备。
可选地,第一通信设备根据第一对象和/或第二对象,以及网络拓扑确定第一安全设备,包括:第一通信设备可以获取第一对象归属的第一网络区域和第二对象归属的第二网络区域,根据第一网络区域中的第一对象、第二网络区域内的第二对象和网络拓扑中每个安全设备管控的网络区域,确定第一对象对第二对象的访问路径的至少一个第二安全设备。
可选地,安全意图还可以包括部署策略,第一通信设备根据第一对象和/或第二对象,网络拓扑以及部署策略确定第一安全设备。部署策略包括以下一项或多项:近第一对象策略、近第二对象策略、资源对比策略和随机策略。其中,至少一个安全设备包括位于第一对象对第二对象的访问路径上的至少一个第二安全设备,近第一对象策略指示在至少一个第二安全设备中选择距离第一对象最近的安全设备,近第二对象策略指示在至少一个第二安全设备中选择距离第二对象最近的安全设备,资源对比策略用于在至少一个第二安全设备中选择拥有最多安全资源的安全设备,安全资源为安全设备中用于存储安全策略的空闲存储空间。安全意图中还可以携带部署策略,该部署策略用于从第一对象对第二对象的访问路径上的至少一个第二安全设备中确定需要部署安全策略的至少一个第一安全设备,使得确定出来的第一安全设备能够满足用户的意图。
可选地,第一通信设备根据第一对象和第二对象以及网络拓扑,从网络拓扑包括的多个安全设备中确定位于第一对象对第二对象的访问路径上的至少一个第二安全设备。第一通信设备通过GUI或第二通信设备向用户显示第一对象对第二对象的访问路径上的至少一个第二安全设备,响应于接收到用户针对至少一个第二安全设备中至少一个第一安全设备的选择操作,从至少一个第二安全设备中确定第一安全设备。
可选地,若第一通信设备在预设时长内未接收到用户输入的选择操作,则可以根据部署策略,从至少一个第二安全设备中确定至少一个第一安全设备,部署策略包括以下一项或多项:近第一对象策略、近第二对象策略、资源对比策略、随机策略或其他部署策略等。
在确定了第一对象对第二对象的访问路径上的至少一个第二安全设备之后,先向用户显示该至少一个第二安全设备,由用户选择在至少一个第二安全设备中的哪些安全设备上部署安全策略,既自动化的确定了第一对象对第二对象的访问路径上的所有第二安全设备,又保留了用户自主选择的权利,也即在降低向安全设备中部署安全策略的难度的同时,还保证了安全策略部署过程的灵活性。
可选地,第一通信设备可以通过GUI向用户显示安全意图和安全策略。或者,第一通信设备可以向第二通信设备发送安全意图和安全策略,第二通信设备通过GUI向用户显示安全意图和安全策略。向用户展示安全意图和基于用户输入的安全意图得到的安全策略,也即将安全意图和安全策略关联起来,使用户更容易理解安全策略的含义,有利于降低安全策略的维护难度。
可选地,第一通信设备显示第一内容、第二内容和第三内容。其中,第一内容包括第一对象、第一地址以及第一对象和第一地址的对应关系,第二内容包括第二对象、第二地址以及第二对象和第二地址的对应关系,第三内容包括目标访问行为。
可选地,第一通信设备可以在表格中展示第一对象和第一地址的对应关系以及第二对象和第二地址的对应关系,也可以在图形中展示第一对象和第一地址的对应关系以及第二对象和第二地址的对应关系等。
本方案中,第一通信设备不仅向用户展示安全意图和基于用户输入的安全意图得到的安全策略,而且分别展示了第一对象和第一地址的对应关系,以及第二对象和第二地址的对应关系,使用户更容易理解安全策略的含义,有利于进一步降低安全策略的维护难度。
可选地,第一内容还包括第一对象的描述信息,和/或,第二内容还包括第二对象的描述信息。第一对象的描述信息或者第二对象的描述信息均为对象的描述信息。若对象为一种用户类型,或者一种业务的名称,对象的描述信息包括如下任一项或多项:与对象对应的设备所在的网络区域的名称,对象的角色类型,或者与对象对应的设备所在的网络环境的类型。其中,与对象对应的设备包括对象指向的一类用户使用的设备,或者用于提供业务的设备,对象的角色用于对对象指向的一类用户或一种业务进行更细粒度的划分,与对象对应的设备所在的网络环境的类型基于与对象对应的设备所在的网络的功能确定。
本方案中,第一通信设备还向用户展示第一对象的描述信息和/或第二对象的描述信息,使得用户能够了解到第一对象和第二对象更丰富的信息,更方便用户在网络中定位第一对象和第二对象,也即方便用户对安全策略中源地址和目的地址的定位,也使得用户更容易理解安全策略,降低安全策略的维护阶段的难度。
本申请第二方面提供一种安全策略的获取方法,可以应用于与用户直接交互的第二通信设备中。第二通信设备通过GUI获取安全意图,向第一通信设备发送安全意图。安全意图用于生成安全策略,安全策略指示第一地址对第二地址的所述目标访问行为。
其中,安全意图指示允许或禁止第一对象对第二对象的目标访问行为。第一对象或第二对象包括如下任一项:用户的类型,业务的名称,或者网络区域的名称。
可选地,第二通信设备接收第一通信设备发送的安全策略,并显示安全意图和安全策略。
可选地,安全策略部署于第一安全设备上,第二通信设备通过GUI显示第一对象对第二对象的访问路径上的至少一个第二安全设备,响应于接收到的选择操作,第二通信设备从至少一个第二安全设备中确定第一安全设备,并向第一通信设备发送第一安全设备。
本申请第三方面提供一种安全策略的获取装置。安全策略的获取装置包括获取模块和处理模块。获取模块,用于获取安全意图。处理模块,用于根据安全意图生成安全策略。安全意图指示第一对象对第二对象的目标访问行为,其中,第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称,目标访问行为为允许或禁止的访问行为。安全策略用于指示第一安全设备允许或禁止第一地址访问第二地址。
可选的,处理模块具体用于,根据第一对象确定第一地址,根据第二对象确定第二地址。
可选的,获取模块还用于根据第一对象和对象信息库获取第一地址,获取模块还用于根据第二对象和对象信息库获取第二地址。其中,对象信息库包括至少一个对象中的每个对象的地址信息和每个对象的描述信息,每个对象的描述信息包括以下一项或多项:每个对象对应的用户的类型,每个对象对应的业务的名称,或者每个对象对应的网络区域的名称,至少一个对象包括第一对象和第二对象。
可选的,获取模块,还用于获取网络拓扑,网络拓扑包括至少一个安全设备和至少一个安全设备管控的网络区域。处理模块,还用于根据第一对象和/或第二对象,以及网络拓扑确定第一安全设备,第一安全设备包含于至少一个安全设备。
可选的,安全意图还包括部署策略,处理模块具体用于:根据第一对象和/或第二对象,网络拓扑以及部署策略确定第一安全设备。部署策略包括以下一项或多项:近第一对象策略、近第二对象策略、资源对比策略和随机策略。至少一个安全设备包括位于第一对象对第二对象的访问路径上的至少一个第二安全设备。近第一对象策略指示在至少一个第二安全设备中选择距离第一对象最近的安全设备。近第二对象策略指示在至少一个第二安全设备中选择距离第二对象最近的安全设备。资源对比策略用于在至少一个第二安全设备中选择拥有最多安全资源的安全设备,安全资源为安全设备中用于存储安全策略的空闲存储空间。
可选的,处理模块具体用于:通过图形用户界面GUI显示第一对象对第二对象的访问路径上的至少一个第二安全设备,响应于接收到的选择操作,从至少一个第二安全设备中确定第一安全设备。至少一个第二安全设备包含于至少一个安全设备。
可选的,安全策略的获取装置还包括显示模块。显示模块用于显示安全意图和安全策略。
可选的,显示模块,具体用于:显示第一内容、第二内容和第三内容。第一内容包括第一对象、第一地址以及第一对象和第一地址的对应关系。第二内容包括第二对象、第二地址以及第二对象和第二地址的对应关系。第三内容包括目标访问行为。
可选的,第一内容还包括第一对象的描述信息,和/或,第二内容还包括第二对象的描述信息。第一对象的描述信息或者第二对象的描述信息均为对象的描述信息。若对象为一种用户类型,或者一种业务的名称,对象的描述信息包括如下任一项或多项:与对象对应的设备所在的网络区域的名称,对象的角色类型,或者与对象对应的设备所在的网络环境的类型;其中,与对象对应的设备包括对象指向的一类用户使用的设备,或者用于提供业务的设备,对象的角色用于对对象指向的一类用户或一种业务进行更细粒度的划分,与对象对应的设备所在的网络环境的类型基于与对象对应的设备所在的网络的功能确定。
本申请第四方面提供一种安全策略的获取装置,可以应用于与用户直接交互的第二通信设备中。安全策略的获取装置包括获取模块和发送模块。获取模块,用于通过图形用户界面GUI获取安全意图。发送模块,用于向第一通信设备发送安全意图,安全意图用于生成安全策略。
安全意图指示允许或禁止第一对象对第二对象的目标访问行为。其中,第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称。
可选的,安全策略的获取装置还包括接收模块和显示模块。接收模块用于接收第一通信设备发送的安全策略。显示模块,用于显示安全意图和安全策略。
可选的,安全策略部署于第一安全设备上,安全策略的获取装置还包括处理模块。显示模块,还用于通过GUI显示第一对象对第二对象的访问路径上的至少一个第二安全设备。处理模块,用于响应于接收到的选择操作,从至少一个第二安全设备中确定第一安全设备。发送模块,还用于向第一通信设备发送第一安全设备。
本申请第五方面提供一种通信设备,包括处理器和存储器。存储器用于存储程序代码,处理器用于调用存储器中的程序代码以使得通信设备执行如第一方面或第一方面的任意一种实施方式的方法,或者,第二方面或第二方面的任意一种实施方式的方法。
本申请第六方面提供一种计算机可读存储介质,存储有指令,当指令在计算机上运行时,使得计算机执行如第一方面或第一方面的任意一种实施方式的方法,或者,第二方面或第二方面的任意一种实施方式的方法。
本申请第七方面提供一种计算机程序产品,当其在计算机上运行时,使得计算机执行如第一方面或第一方面的任意一种实施方式的方法,或者,第二方面或第二方面的任意一种实施方式的方法。
本申请第八方面提供一种芯片,包括一个或多个处理器。处理器中的部分或全部用于读取并执行存储器中存储的计算机指令,以执行上述第一方面或第一方面的任意一种实施方式的方法,或者,第二方面或第二方面的任意一种实施方式的方法。可选地,芯片还包括存储器。可选地,芯片还包括通信接口,处理器与通信接口连接。通信接口用于接收需要处理的数据和/或信息,处理器从通信接口获取数据和/或信息,并对数据和/或信息进行处理,并通过通信接口输出处理结果。可选地,通信接口是输入输出接口或者总线接口。本申请提供的方法由一个芯片实现,或者由多个芯片协同实现。
上述第二方面至第八方面提供的方案,用于实现或配合实现上述第一方面提供的方法,因此能够与第一方面达到相同或相应的有益效果,此处不再进行赘述。
附图说明
图1为本申请实施例提供的一种网络部署场景的示意图;
图2为本申请实施例提供的一种安全策略的获取方法的流程示意图;
图3为本申请实施例提供的安全意图的一种示意图;
图4为本申请实施例提供的两个安全意图的示意图;
图5为本申请实施例提供的安全意图的获取界面的一种示意图;
图6为本申请实施例提供的安全策略的获取方法的一种流程示意图;
图7为本申请实施例提供的网络部署场景的一种示意图;
图8为本申请实施例提供的确定第一安全设备的一种示意图;
图9为本申请实施例提供的展示安全意图和安全策略的一种示意图;
图10为本申请实施例提供的安全策略的获取方法的一种流程示意图;
图11为本申请实施例提供的安全策略的获取方法的一种流程示意图;
图12为本申请实施例提供的展示安全意图和安全策略的一种示意图;
图13为本申请实施例提供的一种安全策略的获取装置的结构示意图;
图14为本申请实施例提供的一种安全策略的获取装置的结构示意图;
图15为本申请实施例提供的一种网络设备的结构示意图。
具体实施方式
下面结合附图,对本申请的实施例进行描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。本领域普通技术人员可知,随着技术发展和新场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
本申请实施例提供了一种安全策略的获取方法,用于降低配置安全策略的难度。本申请实施例还提供了相应的安全策略的获取装置、网络设备和计算机可读存储介质等。为使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请的实施方式作进一步地详细描述。
请参阅图1,图1为本申请实施例提供的一种网络部署场景的示意图。如图1所示,网络架构中包括内部网络、外部网络和第一通信设备。其中,内部网络包括防火墙、用于转发报文的网络设备和终端设备,内部网络中的安全设备指的是内部网络中部署有安全策略的通信设备,则前述安全设备可以包括如下任一项或多项:防火墙、用于转发报文的网络设备或终端设备等。
第一通信设备生成的安全策略被部署于内部网络中的安全设备上,当安全设备接收到报文时,可以匹配部署的安全策略和报文的信息(例如,报文的源地址,报文的目的地址等),以确定允许或禁止该报文通过。应理解,虽然图1中示出的第一通信设备部署于内部网络之外(例如,第一通信设备为云端设备),但图1仅为网络部署场景的一个示例,在其他场景中,第一通信设备也可以部署于内部网络中,此处不做限定。为便于理解,以下将详细介绍网络架构中的各个设备。
内部网络可以划分为多个网络区域,例如图1中的数据中心网络和办公园区。每个网络区域可以有不同的安全要求,所以每个网络区域均可以部署安全设备,例如,图1所示的办公园区网络部署防火墙1,图1所示的数据中心网络部署防火墙2。不同位置处的安全设备可以配置不同的安全策略。
内部网络中的终端设备可以包括内部网络中的用户使用的终端设备(例如图1中的终端设备1和终端设备2)、用于提供业务的终端设备(例如图1中的数据库服务器和Web服务器)或其他用途的终端设备(例如图1中的报表服务器和测试服务器)等,此处不做限定。
示例性地,终端设备包括服务器、个人电脑、笔记本电脑、智能手机、平板电脑以及物联网设备等物理设备。可选的,终端设备包括部署于物理设备上的虚拟化设备,例如终端设备包括部署于服务器上且用于提供业务服务的虚拟机(virtual machine,VM)。
部署于防火墙和终端设备之间的网络设备为报文转发设备,用于转发外部网络与内部网络中的终端设备之间的流量以及内部网络中不同终端设备之间的流量。示例性地,网络设备包括交换机、网关以及路由器等报文转发设备。可选的,网络设备的实现为部署在硬件设备上的虚拟化设备。例如,网络设备包括运行有用于发送报文的程序的VM,虚拟路由器或虚拟交换机。
第一通信设备是本申请实施例提供的安全策略的获取方法的执行主体。示例性地,第一通信设备包括服务器或者部署在服务器上的VM。该服务器可以部署于公有云、私有云或混合云中。应理解,本申请实施例提供的安全策略的获取方法的执行主体还可以是其他设备,例如,网管设备或者是内部网络中的某个网络设备(例如,报文转发设备或防火墙)等,具体可以结合实际应用场景灵活确定,此处不做限定。
具体地,第一通信设备用于获取安全意图,并根据安全意图生成安全策略。安全意图指示允许或禁止第一对象对第二对象的目标访问行为。安全策略用于指示安全设备允许或禁止第一地址访问第二地址。第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称。例如,安全意图为允许互联网用户访问web服务。此时,第一对象包括用户的类型(即,互联网用户),第二对象包括业务的名称(即,web服务)。又例如,安全意图为禁止互联网用户访问数据库服务。此时,第一对象包括用户的类型(即,互联网用户),第二对象包括业务的名称(即,数据库服务)。又例如,安全意图为允许web服务访问数据库服务。此时,第一对象包括一个业务的名称(即,web服务),第二对象包括另一个业务的名称(即,数据库服务)。又例如,安全意图为禁止办公园区访问数据中心。此时,第一对象包括一个网络区域的名称(即,办公园区),第二对象包括另一个网络区域的名称(即,数据中心)。又例如,安全意图为禁止办公园区访问数据中心。此时,第一对象包括一个网络区域的名称(即,办公园区),第二对象包括另一个网络区域的名称(即,数据中心)。又例如,安全意图为禁止生产车间访问数据库服务。此时,第一对象包括一个网络区域的名称(即,办公园区),第二对象包括业务的名称(即,数据库服务)。即,基于易理解的方式,安全意图直接表示了业务间、网络间、用户间,或者用户、业务和网络相互间的访问需求。因此,安全策略的获取不再依赖于难于理解和易于出错的IP信息,而是基于易于理解和难于出错的安全意图,这降低了获取安全策略的难度,提升了获取到的安全策略的准确性。
需要说明的是,本申请实施例所适用的网络部署场景中可以有更多或更少的设备,图1仅为方便理解本方案的一个示例,不用于限定本方案。
以上介绍了本申请实施例提供的安全策略的获取方法所应用的场景,以下将详细介绍本申请实施例提供的安全策略的获取方法的具体实现过程。
请参阅图2,图2为本申请实施例提供的一种安全策略的获取方法的流程示意图。如图2所示,本申请实施例提供的安全策略的获取方法包括以下步骤201-202:
步骤201,获取安全意图,安全意图指示允许或禁止第一对象对第二对象的目标访问行为,第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称。
本实施例中,第一通信设备获取安全意图,安全意图指示允许或禁止第一对象对第二对象的目标访问行为。安全意图例如是采用自然语言的形式表达允许或禁止一种访问行为。第一对象是目标访问行为的发起者,第一对象包括以下任一项:用户的类型、业务的名称、或者网络区域的名称。即,第一对象可以为发起目标访问行为的用户的类型,或发起目标访问行为的业务的名称,或发起目标访问行为的网络区域的名称。第二对象是目标访问行为的接受者,第二对象包括以下任一项:用户的类型、业务的名称或者网络区域的名称。即,第二对象为允许或禁止第一对象访问的用户的类型、或者允许或禁止第一对象访问的业务的名称,或者允许或禁止第一对象访问的网络区域的名称。
请参阅图3,图3为本申请实施例提供的安全意图的一种示意图。如图3所示,一个安全意图可以表示为一个三元组,安全意图包括第一对象、第二对象和目标访问行为,目标访问行为为允许或禁止。应理解,图3中的示例仅为方便理解本方案,不用于限定本方案。
为了更直观地理解安全意图的含义,请参阅图4,图4为本申请实施例提供的两个安全意图的示意图。图4中以实现用户通过手机应用(application,APP)登录个人手机银行的需求为例,该业务需求可以对应如下两条安全意图:
1.允许互联网用户通过手机APP对个人手机银行业务发起的访问行为。
第一对象:互联网用户
第二对象:个人手机银行业务
目标访问行为:允许
2.允许个人手机银行业务对个人客户信息业务发起的访问行为。
第一对象:个人手机银行业务
第二对象:个人客户信息业务
目标访问行为:允许
应理解,图4中的示例仅为方便理解安全意图的概念,不用于限定本方案。
第一通信设备可以通过多种方式获取安全意图。在一种实现方式中,第一通信设备可以通过用户界面,例如,图形用户界面(Graphical User Interface,GUI),获取安全意图。例如,第一通信设备通过GUI与用户交互,以获取到安全意图。具体的,第一通信设备可以通过GUI向用户显示用于获取该安全意图的输入接口,用户可以通过该接口输入与安全意图相关的信息,例如,与第一对象对应的业务的名称,与第二对象对应的网络区域的名称等。其中,该接口可以用于接收用户输入的文本信息、语音信息、选择操作、文档信息或其他类型的信息等,具体结合实际产品形态确定。
在另一种实现方式中,第一通信设备可以通过第二通信设备获取安全意图。其中,第二通信设备可以通过GUI与用户交互,以获取到安全意图。第二通信设备在获取到安全意图之后,将安全意图发送给第一通信设备。
可选地,第一通信设备在确定了第一对象和第二对象之后,还可以向用户展示第一指示信息。第一指示信息至少包括第一对象和第二对象。具体的,在一种实现方式中,第一通信设备可以直接通过GUI向用户展示第一对象和第二对象;在另一种实现方式中,第一通信设备可以向第二通信设备发送第一指示信息,由第二通信设备通过GUI向用户展示第一指示信息。第一指示信息还可以还可以包括第一对象或第二对象的其他描述信息。关于对象的其他描述信息请参照下文的详细描述,此处不进行赘述。
可选地,在向用户展示第一指示信息后,用户可以判断展示的第一对象和第二对象是否符合自己的本意。如果不符合,用户可以输入新的第一对象和/或新的第二对象,也即重新执行步骤201。如果符合,用户可以输入确认操作,对应的,第一通信设备可以获取到确认信息,以触发进入步骤202。当然,在展示第一指示信息后,若第一通信设备在一定时间内未收到确认信息,第一通信设备可以直接执行步骤202。即,设置指定的时间等待用户输入,若指定时间内未接收到用户修改操作或停止操作时,默认用户输入确认操作。
步骤202,根据安全意图生成安全策略,安全策略用于指示第一安全设备允许或禁止第一地址访问第二地址。
安全策略包括与目标访问行为对应的第一地址和/或第二地址。例如,第一地址为源地址,第二地址为目的地址。源地址例如为媒体存取控制(Media Access Control,MAC)地址、源IP地址、源端口(port),或者上述信息的组合。目的地址例如为目的MAC地址、目的IP地址、目的端口,或者上述信息的组合。安全策略指示允许或禁止第一地址访问第二地址。可选地,安全策略还可以包括目标访问行为所采用的协议类型。
源IP地址可以包括一个或多个IP地址,也可以包括一个或多个IP地址段。源IP地址也可以为任意(any),例如,当第一对象为互联网用户时,则源IP地址可以为any。目的IP地址可以包括一个或多个IP地址,也可以包括一个或多个IP地址段。目的IP地址也可以为任意。
源端口可以包括一个或多个端口,也可以为任意。目的端口可以包括一个或多个端口,也可以为任意。作为示例,例如端口可以为80、90或其他端口号等,此处不做穷举。
协议类型包括但不限于传输控制协议(Transmission Control Protocol,TCP)、用户数据包协议(User Datagram Protocol,UDP)或其他类型的协议等,此处不做穷举。
可选地,第一通信设备根据第一对象确定第一地址,根据第二对象确定第二地址。例如,安全意图指示允许第一对象访问第二对象。则,第一通信设备可以根据第一对象确定第一地址,根据第二对象确定第二地址,安全策略指示允许第一地址访问第二地址。第一地址例如为第一对象的IP地址,第二地址例如为第二对象的IP地址和端口的组合。例如,安全意图指示允许互联网用户访问web服务,则第一地址可以为any,第二地址可以为web服务的IP地址(例如,IP1)和web服务的端口(例如,80)的组合,安全策略指示允许任意地址(any)访问IP1:80。本申请实施例中,明确了安全意图中的第一对象和第二对象与安全策略中的第一地址和第二地址之间的对应关系,有利于提高安全意图到安全策略的转换过程的准确度。
本申请实施例中,基于易理解的方式,安全意图直接表示了业务间、网络间、用户间,或者用户、业务和网络相互间的访问需求。因此,基于安全意图获取安全策略使得用户无需再输入难于理解和易于出错的IP信息,用户可以直接输入易于理解和难于出错的安全意图,这降低了获取安全策略的难度,提升了获取到的安全策略的准确性。
用户的类型用于区分不同的用户。不同类型的用户对应于不同的地址或地址段,第一通信设备可以基于用户的类型获取对应的地址,以确定安全策略包括的第一地址或第二地址。例如,用户的类型可以为内网用户、合作伙伴用户和互联网用户等。内网用户包括从内部网络接入的用户。内部网络是受一个用户(例如,一家企业)管控的网络,内部网络例如为某个企业的园区网,通过该园区网接入的用户可以称为该企业的内网用户。该企业的内部网络有指定的地址段,当安全意图的第一对象或第二对象为内网用户时,第一通信设备可以确定第一地址或第二地址为该指定的地址段。合作伙伴用户包括从合作伙伴的网络接入的用户。例如,企业1和企业2合作,企业1同意企业2访问企业1的服务1,则安全意图指示允许企业1访问服务1,此时,第一通信设备可以基于企业1对应的地址或地址段确定安全策略包括的第一地址。互联网用户包括从任意位置接入的用户,其地址对应于any。当然,互联网用户还可以是除特定用户之外的用户,其地址不包括特定用户的地址。特定用户例如为内部用户和/或合作伙伴用户。某一特定类型的用户还可以细分为多种用户,例如,当内部网络为校园网时,内部用户可以细分为教职工用户和学生用户,教职工用户和学生用户可以分别对应于不同的地址或地址段。又例如,当内部网络为车企的园区网时,内部用户可以细分为行政办公用户、生产车间用户,生成车间用户又可以细分为发动机车间用户、轮胎车间用户等,不同类型的用户分别对应于不同的地址或地址段。
业务部署于内部网络中,对外或对内提供服务,业务的名称用于区分不同的业务。例如,业务的名称可以为个人手机银行业务、个人客户信息业务、线上学习业务、互联网业务或其他业务的名称等等,具体可以结合实际情况,此处不做限定。每个业务都基于服务地址对外提供服务。服务地址例如为IP地址、端口和协议的组合。例如,web服务在IP1:80基于TCP协议提供服务,域名解析服务在IP2:53基于TCP协议或UDP协议提供服务。第一通信设备可以基于业务的名称获取对应的服务地址以确定安全策略包括的第一地址或第二地址,第一地址或第二地址可以是服务地址中的IP地址、端口、协议或者他们的组合。
网络区域的名称用于区分不同的网络区域。不同的网络区域对应于不同的地址或地址段,第一通信设备可以基于网络区域的名称获取对应的地址,以确定安全策略包括的第一地址或第二地址。例如,网络区域的名称可以为内部网络区域、合作伙伴网络区域和互联网区域等。内部网络区域是受一个用户(例如,一家企业)管控的网络区域,例如为某个企业的园区网。合作伙伴网络区域是受一个合作伙伴管控的网络区域。例如,企业1和企业2具有合作关系,企业1的园区网和企业2的园区网可以互为合作伙伴网络区域。互联网区域可以泛指所有的网络区域或除特定网络之外的网络区域,特定网络例如为内部网络区域和/或合作伙伴网络区域。某一网络区域还可以细分为不同的网络区域。例如,内部网络区域可以细分为“生产1区”、“测试1区”、“办公区”、“XX地数据中心”、“XX园区XX栋楼”或其他名称等等,均可以结合实际应用场景确定。
不同的网络区域可以分别对应不同的安全设备。例如,企业分别在“生产1区”和“测试1区”部署防火墙,每个防火墙分别管控对应的网络区域的网络访问行为。可选地,第一通信设备还可以根据安全意图包括的网络区域名称确定应部署安全策略的安全设备。可选地,第一通信设备还可以先根据安全意图包括的用户类型或业务名称确定用户或业务所在的网络区域,再根据网络区域名称确定应部署安全策略的安全设备。
若安全策略要求指定IP地址、端口以及协议(即安全策略中的第一地址是IP地址和端口的组合,第二地址是IP地址、端口和协议的组合),当第一对象或第二对象为用户类型或网络区域时,此时安全策略中第一地址或第二地址包括的端口和协议可以为any。例如,第一对象为合作伙伴用户,第二对象为内网用户,则第一通信设备确定第一地址包括的IP地址为合作伙伴用户对应的IP地址,确定第一地址包括的端口为any,确定第二地址包括的IP地址为内网用户对应的IP地址,确定第二地址包括的端口为any,确定第二地址包括的协议为any。又例如,第一对象为互联网区域,第二对象为内部网络区域,则第一通信设备确定第一地址包括的IP地址为any,确定第一地址包括的端口为any,确定第二地址包括的IP地址为内网用户对应的IP地址,确定第二地址包括的端口为any,确定第二地址包括的协议为any。当然,第一通信设备还可以基于其他的策略确认第一地址或第二地址包括的端口或协议。例如,默认策略指示仅允许非内部用户通过端口1024~65535且通过TCP协议访问内部用户,则第一通信设备确定第一地址包括的端口为1024~65535,确定第二地址包括的协议为TCP。此处举例均仅为方便理解本方案,不用于限定本方案。
可选地,安全意图还可以包括第一对象的描述信息和/或第二对象的描述信息。若第一对象为用户的类型或业务的名称,第一对象描述信息可以包括与第一对象对应的通信设备所在的一个或多个网络区域的名称,也即第一对象归属的网络区域的名称。例如,第一对象包括第一业务,若两个网络区域中可能均存在提供第一业务的设备,则安全意图还可以包括提供第一业务的设备所在的至少一个网络区域的名称。又例如,第一对象包括第一类用户,若两个网络区域中均存在该类型的用户,则安全意图还可以包括第一类用户使用的终端设备所在的至少一个网络区域的名称等。与第一对象类似,当第二对象为用户的类型或业务的名称时,第二对象的描述信息可以包括与第二对象对应的通信设备所在的一个或多个网络区域的名称,也即第二对象归属的网络区域的名称。
本实施例中,若安全意图中还携带用户类型或业务所属的网络区域的名称,能够明确地获得具体网络区域对应的用户或业务,可以提高确定第一对象和/或第二对象的效率及精度,从而可以进一步地提升生成的安全策略的准确度。另外,第一通信设备还可以根据该网络区域的名称更快速更准确地确定安全策略的部署位置。
可选地,若第一对象为用户类型,则第一对象的描述信息还可以包括如下一项或多项:用户的角色类型、用户使用的设备所在的网络环境的类型或用户的其它信息。若第一对象为业务的名称,则第一对象的描述信息还可以包括如下一项或多项:业务的角色类型、提供业务的设备所在的网络环境的类型、提供业务的设备的物理位置、提供业务的设备的类型或其他描述信息等。第二对象的描述信息可以与第一对象的描述信息类似,此处不再赘述。
其中,用户的角色类型是对同一类型的用户进行更细粒度的描述。作为示例,若用户的类型为第三方企业的用户,用户的角色类型可以包括管理员或一般用户。作为另一示例,若用户的类型为互联网用户,则用户的角色类型可以包括应用程序(application,APP)和浏览器。作为另一示例,若用户的类型为校园网中的教职工,用户的角色类型可以包括行政岗位的职工和教学岗位的教师等。此处举例仅为方便理解本方案,不用于限定本方案。
用户使用的设备所在的网络环境的类型可以基于用户使用的设备所在的网络环境的功能确定。作为示例,若用户使用的设备所在的网络环境为生产车间,则用户使用的设备所在的网络环境的类型可以为生产。作为另一示例,若用户使用的设备所在的网络环境为测试车间,则用户使用的设备所在的网络环境的类型可以为测试。作为另一示例,若用户使用的设备所在的网络环境为办公园区,则用户使用的设备所在的网络环境的类型可以为办公等等,此处不做限定。
业务的角色类型用于对提供同一业务的设备进行更细粒度的划分。业务的角色类型的划分依据可以为提供业务的设备的功能或其他类型的依据等。作为示例,若业务的名称为线上学习业务,业务的角色类型可以包括数据库(database)、高速缓存存储器(cache)和网络服务器(web server)。角色类型为数据库的用于存储线上学习时用到的学习资料,角色类型为web的用于响应于对学习资料的获取请求,从“数据库”中获取学习资料,并管理“数据库”中的学习资料等。应理解,此处举例仅为方便理解“业务的角色类型”这一概念,不用于限定本方案。
提供业务的设备所在的网络环境的类型可以基于提供业务的设备所在的网络环境的功能确定,“提供业务的设备所在的网络环境的类型”和“用户使用的设备所在的网络环境的类型”的概念类似,可以参阅理解,此处不做赘述。
作为示例,提供第一业务的设备的物理位置可以为XX数据中心XX机房的XX服务器,或者,提供第一业务的设备的物理位置可以为XX园区的XX机房等,此处不做穷举。提供第一业务的设备的类型包括但不限于物理设备、虚拟机或容器等等。
可选地,安全意图还可以包括目标访问行为的等级。若目标访问行为的等级越高,则与目标访问行为对应的安全策略的优先级越高。在一种实现方式中,目标访问行为的等级可以直接被确定为安全策略的优先级。在另一种实现方式中,目标访问行为的等级可以用于协助确定安全策略的优先级的范围。作为示例,若目标访问行为的等级为1级,则安全策略的优先级被配置在1-100之间,若目标访问行为的等级为2级,则安全策略的优先级被配置在101-300之间等,应理解,此处举例仅为方便理解本方案,不用于限定本方案。
可选地,安全意图还可以包括目标访问行为的类型。目标访问行为的类型可以用来概括目标访问行为的本质。作为示例,目标访问行为的类型可以为第三方企业访问内部网络、内部网络中不同业务之间的访问、外部的互联网访问内部网络、内部网络访问外部的互联网、内部网络中同一业务的不同角色之间的访问等。目标访问行为的类型可以用于确定安全策略的优先级。例如,默认策略指示内部网络中同一业务的不同角色之间的访问的优先级高于内部网络访问外部的互联网的优先级,当一个安全意图或多个安全意图对应的多个安全策略产生冲突时,第一通信设备可以基于相应的目标访问行为的类型确定各安全策略的优先级。
作为示例,第一通信设备可以通过GUI展示一个或多个文本框以获取安全意图。为方便直观地理解本方案,图5为本申请实施例提供的安全意图的获取界面的一种示意图。图5中示出的文本框用于获取第一对象、第一对象的描述信息、第二对象和第二对象的描述信息。图5中还展示了允许或者禁止的选择图标。如图5所示,第一对象和第二对象是必填项,对允许或者禁止的选择操作是必选项,第一对象归属的网络区域、第一对象的描述信息、第二对象归属的网络区域和第二对象的描述信息是选填项,应理解,图5中的示例仅为方便理解本方案,不用于限定本方案。
作为另一示例,第一通信设备可以通过GUI展示用于接收语音信息的图标,用户可以通过语音的方式输入安全意图。
作为另一示例,第一通信设备可以通过GUI展示多个对象,多个对象中的每个对象为如下任一项:一种用户类型、一种业务的名称或者一个网络区域的名称,用户可以通过执行选择操作的方式来确定第一对象和第二对象。应理解,此处举例仅为方便理解本方案,不用于对通过GUI获取安全意图的方式进行穷举。
可选地,第一通信设备还可以通过模糊匹配获取安全意图。例如,用户输入第一信息,第一通信设备将第一信息与该第一通信设备存储的多个对象的信息进行匹配,再向用户展示与第一信息关联度最高的N个对象,N为大于或等于1的整数。用户可以对N个对象中的一个对象执行选择操作,以实现对第一对象的输入。对应的,第二对象的输入过程与第一对象的输入过程类似,此处不做赘述。可选地,若第一通信设备通过第二通信设备获取安全意图,第二通信设备也可以采用上述多种方式获取安全意图,此处不再赘述。
可选地,第一通信设备根据第一对象和对象信息库获取第一地址,根据第二对象和对象信息库获取第二地址。
其中,对象信息库包括至少一个对象中的每个对象的地址信息和每个对象的描述信息。每个对象的描述信息包括以下一项或多项:每个对象对应的用户的类型,每个对象对应的业务的名称,或者每个对象对应的网络区域的名称。上述至少一个对象包括第一对象和第二对象。换句话说,对象信息库包括多个对象的信息,每个对象的信息包括该对象的地址信息和该对象的描述信息。即,每个对象的信息记录了一个对象和该对象的地址以及该对象的描述信息的对应关系。
每个对象为以下任一项:一种用户类型,一种业务的名称,或者一个网络区域的名称。每个对象的地址信息例如为IP地址、端口、协议或他们的组合。例如,若一个对象为指定类型的用户,则该对象的地址可以包括该用户类型对应的一个或多个地址,或者一个或多个地址段,地址例如为IP地址。又例如,若一个对象为一种业务,则该对象的地址可以该业务的服务地址,服务地址例如为该业务的IP地址和端口,还可以包括该业务的协议类型。一个业务可以基于多个IP地址提供服务,例如业务基于负载均衡提供服务,因此,每个业务所对应的IP地址可以包括提供业务的一个或多个IP地址,或者可以包括提供业务的IP地址段。每个业务所对应的端口可以包括提供业务的一个或多个端口。例如,若一个对象为网络区域,则该对象的地址可以包括该网络区域对应的一个或多个IP地址或一个或多个IP地址段。可选地,第一通信设备还可以基于默认策略以确定安全策略中包括的地址信息。例如,若默认策略指示安全策略忽略端口或协议类型,则第一通信设备确定安全策略时,无需关心与对象关联的端口或协议类型,只需确定与对象关联的IP地址即可。例如,安全意图中的第一对象为第一业务,对象信息库中记录第一业务的服务地址为IP3:5005,则第一通信设备可以根据第一对象确定安全策略中的第一地址包括IP地址IP3和端口5005,若默认策略指示忽略端口,则第一通信设备可以根据第一对象确定安全策略中的第一地址包括IP地址IP3和端口any。
可选地,若对象为一种类型的用户,则对象的描述信息可以包括如下任一项或多项:用户的角色类型、用户使用的设备所在的网络环境的类型或用户的其它信息。若对象为一个业务,则对象的描述信息还可以包括如下任一项或多项:业务的角色类型、提供业务的设备所在的网络环境、提供业务的设备的物理位置、提供业务的设备的类型或其他描述信息等。
示例性的,表1给出了对象信息库中一个对象的信息的示意。
表1
具体的,第一通信设备可以接收用户通过GUI输入的第一对象和第二对象,或者通过第二通信设备获取第一对象和第二对象,然后查找对象信息库以获取第一对象对应的第一地址和第二对象对应的第二地址。
例如,若对象信息库中存在第一对象,则可以获取第一对象的地址信息,根据第一对象的地址信息确定第一地址。若第一对象为第一类型用户,则第一地址中的IP地址可以为第一类型用户对应的IP地址,第一地址中的端口为any。若第一对象为第一业务,则可以将第一业务的IP地址确定为第一地址中的IP地址,将第一业务的端口确定为第一地址中的端口。若第一业务的地址信息中未指定第一业务的端口,则可以将第一地址中的端口设置为any。若第一对象为第一网络区域的名称,则可以将第一地址中的IP地址确定为第一网络区域对应的IP地址,将第一地址中的端口确定为any。
又例如,若对象信息库中不存在第一对象,则可以根据默认策略的指示将第一地址中的IP地址和端口均确定为any。或者,第一通信设备显示第二指示信息,以告知用户对象信息库中不存在第一对象。用户可以根据第二指示信息输入第一对象的地址信息和其他描述信息,从而完善对象信息库。第一通信设备可以根据用户完善后的对象信息库再确定第一地址。
又例如,若对象信息库中存在第二对象,则可以获取第二对象的地址信息,根据第二对象的地址信息确定第二地址。若第二对象为第二类型用户,则第二地址中的IP地址可以为第二类型用户对应的IP地址,第二地址中的端口和协议为any。若第二对象为第二业务,则可以将第二业务的IP地址确定为第二地址中的IP地址,将第二业务的端口和协议确定为第二地址中的端口和协议。若第二业务的地址信息中未指定第二业务的端口或协议,则可以将第二地址中的端口或协议设置为any。若第二对象为第二网络区域的名称,则可以将第二地址中的IP地址确定为第二网络区域对应的IP地址,将第二地址中的端口和协议确定为any。当然,当第二对象的地址信息不包括端口或协议时,第一通信设备还可以根据默认策略确定第二地址中的端口或协议。例如,默认策略指示仅允许基于TCP协议访问端口80和1433,则第二地址中的端口为80和1433,第二地址中的协议为TCP。
又例如,若对象信息库中不存在第二对象,则显示第三指示信息,以告知用户对象信息库中不存在第二对象。用户可以根据第三指示信息输入第二对象的地址信息和其他描述信息,从而完善对象信息库。第一通信设备可以根据用户完善后的对象信息库再确定第二地址。
本申请实施例中,第一通信设备可以根据对象信息库获取与第一对象对应的第一地址以及与第二对象对应的第二地址,从而大大提高了安全意图转换为安全策略的效率,降低了安全意图转换为安全策略的难度。
为了更直观地理解本方案,以下结合几个应用场景,对本申请中基于安全意图中的第一对象和第二对象得到安全策略中的第一地址和第二地址的具体实现场景进行介绍。
场景1:允许某一类型的用户对某一业务的访问。
安全意图包括第一对象和第二对象。其中,第一对象为互联网用户(某一类型的用户的示例),第二对象为业务1区的个人手机银行业务(某一业务的名称的一个示例)。其中,业务1区为该业务的进一步描述信息,即,该业务所属的网络区域的名称的一个示例。
基于该安全意图得到的安全策略指示允许或禁止第一地址对第二地址的访问。其中,第一地址包括源IP地址和源端口,第二地址包括目的IP地址、目的端口和协议类型。具体地,此场景中,源IP地址为any,源端口为any,目的IP地址为业务1区中的个人手机银行业务的服务IP地址,目的端口为业务1区中个人手机银行业务的服务端口,协议类型为个人手机银行业务采用的协议类型。目标访问行为为允许。
场景2:允许某一业务对另一业务的访问。
安全意图包括第一对象和第二对象。其中,第一对象为业务1区的个人手机银行业务(某一业务的一个示例),第二对象为业务2区的个人客户信息业务(另一业务的一个示例)。
基于该安全意图得到的安全策略指示允许或禁止第一地址对第二地址的访问。其中,第一地址包括源IP地址和源端口,第二地址包括目的IP地址、目的端口和协议类型。具体地,此场景中,源IP地址为业务1区中提供个人手机银行业务的设备的IP地址,源端口为任意,目的IP地址为业务2区中的个人客户信息业务的服务IP地址,目的端口为业务2区中的个人客户信息业务的服务端口,协议类型为业务2区中个人客户信息业务采用的协议类型。目标访问行为为允许。
场景3:允许某一网络区域对某一业务的访问。
安全意图包括第一对象和第二对象。其中,第一对象为互联网接入区(网络区域的名称的一个示例),第二对象为业务2区的个人客户信息业务(某一业务的一个示例)。
基于该安全意图得到的安全策略指示允许或禁止第一地址对第二地址的访问。其中,第一地址包括源IP地址和源端口,第二地址包括目的IP地址、目的端口和协议类型。具体地,此场景中,源IP地址为互联网接入区的IP地址,源端口为任意,目的IP地址为业务2区中的个人客户信息业务的服务IP地址,目的端口为业务2区中的个人客户信息业务的服务端口,协议类型为个人客户信息业务采用的协议类型。
场景4:允许某一类型的用户对某一网络区域的访问。
安全意图包括第一对象和第二对象,其中,第一对象为第三方企业的用户,第二对象为合作企业接入区(网络区域的名称的一个示例)。
基于该安全意图得到的安全策略指示允许或禁止第一地址对第二地址的访问。其中,第一地址包括源IP地址和源端口,第二地址包括目的IP地址、目的端口和协议类型。具体地,此场景中,源IP地址为第三方企业的用户的IP地址,源端口为any,目的IP地址为合作企业接入区的IP地址,目的端口为any,协议类型为UDP/TCP。目标访问行为为允许。
场景5:允许某一业务对某一网络区域的访问。
安全意图包括第一对象和第二对象,其中,第一对象为业务1区的个人手机银行业务,第二对象为数据中心区(网络区域的名称的一个示例)。
基于该安全意图得到的安全策略指示允许或禁止第一地址对第二地址的访问。其中,第一地址包括源IP地址和源端口,第二地址包括目的IP地址、目的端口和协议类型。具体地,此场景中,源IP地址为业务1区中提供个人手机银行业务的设备的IP地址,源端口为any,目的IP地址为数据中心区的IP地址,目的端口为any,协议类型为any。目标访问行为为允许。
场景6:允许某一网络区域对另一网络区域的访问行为。
安全意图包括第一对象和第二对象,其中,第一对象为办公区(网络区域的名称的一个示例),第二对象为数据中心区。
基于该安全意图得到的安全策略指示允许或禁止第一地址对第二地址的访问。其中,第一地址包括源IP地址和源端口,第二地址包括目的IP地址、目的端口和协议类型。具体地,此场景中,源IP地址为办公区的IP地址,源端口为any,目的IP地址为数据中心区的IP地址,目的端口为any,协议类型为UDP/TCP。目标访问行为为允许。
应理解,上述对6种应用场景的举例仅为方便理解本方案,具体安全意图和安全策略中包括的哪些信息可以结合实际应用场景确定,此处不做限定。
可选地,在图2至图5示出的实施例的基础上,请参阅图6,图6为本申请实施例提供的安全策略的获取方法的一种流程示意图。如图6所示,本申请实施例提供的安全策略的获取方法包括以下步骤601-605。
步骤601,获取安全意图,安全意图指示允许或禁止第一对象对第二对象的目标访问行为,第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称。
本实施例中,步骤601的具体实现方式可以参阅图2对应实施例中步骤201中的描述,此处不做赘述。
步骤602,获取网络拓扑,网络拓扑包括至少一个安全设备和至少一个安全设备管控的网络区域。
本实施例中,第一通信设备可以获取网络拓扑,网络拓扑包括至少一个安全设备和至少一个安全设备中每个安全设备管控的网络区域。可选地,网络拓扑还可以包括路径集合,路径集合包括至少一个路径,任意一个路径用于指示分别位于两个不同的网络区域内的两个对象之间的访问路径所经过的至少一个第二安全设备。
为了更直观地理解本方案,请参阅图7,图7为本申请实施例提供的网络部署场景的一种示意图,以下结合图7对网络拓扑进行说明。图7中以安全设备为防火墙为例,网络拓扑包括网络中的多个防火墙(例如,防火墙1~10,也即至少一个安全设备的示例)和每个防火墙管控的网络区域。例如,防火墙1和防火墙2管控的网络区域为互联网接入区,防火墙3管控的为第三方企业用户的接入区,防火墙10管控的网络区域为业务3区,此处不对每个防火墙管控的网络区域进行穷举。
图7中示出了路径集合中的三个路径(例如,路径A、路径B和路径C),路径集合中还可以包括更多的路径,此处仅以三个路径为例进行介绍,不做穷举。
在路径A中,第一对象为互联网用户,第二对象为业务3区的个人客户信息业务,互联网用户至业务3区的个人客户信息业务之间的访问路径所经过的至少一个第二安全设备包括:防火墙1、防火墙2和防火墙10。
在路径B中,第一对象为第三方企业用户,第二对象为业务1区的企业客户信息业务,第三方企业用户至业务1区的企业客户信息业务之间的访问路径所经过的至少一个第二安全设备包括:防火墙3、防火墙4、防火墙5、防火墙6和防火墙7。
需要说明的是,第三方企业用户对业务1区的企业客户信息业务的一次访问行为,可能会经过防火墙3,或者,可能会经过防火墙4,不会同时经过防火墙3和防火墙4,但由于在第三方企业用户对业务1区的企业客户信息业务的多次访问行为中,防火墙3和防火墙4均有可能会通过,则第三方企业用户至业务1区的企业客户信息业务之间的访问路径所经过的至少一个第二安全设备同时包括防火墙3和防火墙4。同理,第三方企业用户至业务1区的企业客户信息业务之间的访问路径所经过的至少一个第二安全设备同时包括防火墙5和防火墙6。
在路径C中,第一对象为互联网用户,第二对象为业务2区的线上课程业务,互联网用户至业务2区的线上课程业务之间的访问路径所经过的至少一个第二安全设备包括:防火墙1、防火墙2、防火墙8和防火墙9。对于互联网用户至业务2区的线上课程业务之间的访问路径所经过的至少一个第二安全设备同时包括防火墙8和防火墙9的原因可以参阅上一段中的描述,此处不做赘述。应理解,对图7中部分设备的说明仅为了方便理解本方案,不用于限定本方案。
具体的,在一种实现方式中,第一通信设备可以通过GUI或第二通信设备获取用户输入的网络拓扑。在另一种实现方式中,第一通信设备可以从内部网络的安全设备、交换机、路由器等网络设备中获取网络拓扑的相关信息,以还原该网络拓扑。其中,网络拓扑的相关信息包括但不限于:链路层发现协议(link layer discovery protocol,LLDP)信息、地址解析协议(address resolution protocol,ARP)表、(media access control,MAC)表或其他用于还原网络拓扑的信息等,此处不做限定。
步骤603,根据第一对象和/或第二对象,以及网络拓扑确定第一安全设备,第一安全设备包含于至少一个安全设备。
本实施例中,第一通信设备根据第一对象和/或第二对象,以及网络拓扑,从网络拓扑包括的多个安全设备中确定至少一个第一安全设备。其中,至少一个第一安全设备中每个第一安全设备为需要部署与上述安全意图对应的安全策略的安全设备。
由于允许第一对象对第二对象执行目标访问行为和禁止第一对象对第二对象执行目标访问行为这两种情况的具体实现方式不同,以下分别进行描述。
情况1:允许第一对象对第二对象执行目标访问行为。
步骤603可以包括:第一通信设备根据第一对象和第二对象以及网络拓扑,从网络拓扑包括的多个安全设备中确定位于第一对象对第二对象的访问路径上的至少一个第二安全设备,将至少一个第二安全设备中每个第二安全设备确定为需要部署与上述安全意图对应的安全策略的第一安全设备。
在一种实现方式中,若网络拓扑中包括路径集合,第一通信设备可以获取第一对象归属的第一网络区域和第二对象归属的第二网络区域,根据第一网络区域内的第一对象和第二网络区域内的第二对象,从路径集合中查找与第一对象对第二对象的访问路径对应的一个目标路径,目标路径包括第一对象对第二对象的访问路径上可能经过的所有第二安全设备。“目标路径”的含义可以结合图7中示出的三个路径进行理解,此处不再赘述。
在另一种实现方式中,若网络拓扑中不携带路径集合,第一通信设备可以获取第一对象归属的第一网络区域和第二对象归属的第二网络区域,根据第一网络区域中的第一对象、第二网络区域内的第二对象和网络拓扑中每个安全设备管控的网络区域,确定第一对象对第二对象的访问路径的至少一个第二安全设备。
具体的,在一种情况中,第一通信设备可以根据第一网络区域中的第一对象、第二网络区域内的第二对象和网络拓扑中每个安全设备管控的网络区域,确定与第一对象对应的起始安全设备和与第二对象所对应的终点安全设备,也即第一对象对第二对象的访问路径经过的至少一个第二安全设备中的至少一个起始安全设备和至少一个终点安全设备。第一通信设备可以从网络拓扑中确定从起始安全设备到终点安全设备的路径上经过的M个第二安全设备,M为大于或等于0的整数,则第一对象对第二对象的访问路径经过的至少一个第二安全设备包括起始安全设备、M个第二安全设备和终点安全设备。
结合图7进行举例,若网络区域为互联网中的互联网用户想要访问业务2区的线上课程业务,则至少一个起始安全设备可以包括防火墙1,至少一个终点安全设备可以包括防火墙8和防火墙9,M个第二安全设备可以包括防火墙2,应理解,此处举例仅为方便理解本方案,不用于限定本方案。
在另一种情况中,第一通信设备可以根据第一网络区域中的第一对象、第二网络区域内的第二对象和网络拓扑中每个安全设备管控的网络区域,确定第一对象对第二对象的访问路径上存在一个第二安全设备。
情况2:禁止第一对象对第二对象执行目标访问行为。
在一种实现方式中,安全意图还包括部署策略,步骤603可以包括:第一通信设备根据第一对象和/或第二对象,网络拓扑以及部署策略确定第一安全设备。部署策略包括以下一项或多项:近第一对象策略、近第二对象策略、资源对比策略、随机策略或其他部署策略。
其中,至少一个安全设备包括位于第一对象对第二对象的访问路径上的至少一个第二安全设备,近第一对象策略用于在至少一个第二安全设备中选择距离第一对象最近的安全设备,近第二对象策略用于在至少一个第二安全设备中选择距离第二对象最近的安全设备,资源对比策略用于在至少一个第二安全设备中选择拥有最多安全资源的安全设备,安全资源为安全设备中用于存储安全策略的空闲存储空间。
若部署策略为近第一对象策略,则第一通信设备可以获取第一对象归属的第一网络区域,根据第一网络区域中的第一对象和网络拓扑,从管控第一网络区域的至少一个安全设备中获取距离第一对象最近的至少一个第一安全设备。结合图7进行举例,若第一对象为第三方企业用户,则距离第一对象最近的至少一个第一安全设备包括防火墙3和防火墙4;若第一对象为互联网用户,则距离第一对象最近的至少一个安全设备包括防火墙1,应理解,此处举例仅为方便理解本方案,不用于限定本方案。
若部署策略为近第二对象策略,则第一通信设备可以获取第二对象归属的第二网络区域,根据第二网络区域中的第二对象和网络拓扑,从管控第二网络区域的至少一个安全设备中获取距离第二对象最近的至少一个第一安全设备。结合图7进行举例,若第二对象为业务1区的企业客户信息业务,则距离第二对象最近的至少一个第一安全设备包括防火墙7;若第二对象为业务2区的线上课程业务,则距离第二对象最近的至少一个第二安全设备包括防火墙8和防火墙9,应理解,此处举例仅为方便理解本方案,不用于限定本方案。
若部署策略为资源对比策略,则第一通信设备可以根据第一对象和第二对象以及网络拓扑,从网络拓扑包括的多个安全设备中确定位于第一对象对第二对象的访问路径上的至少一个第二安全设备,获取至少一个第二安全设备中每个第二安全设备的安全资源,以从至少一个第二安全设备中选择拥有最多安全资源的至少一个第一安全设备。
若部署策略为随机策略,则第一通信设备可以根据第一对象和第二对象以及网络拓扑,从网络拓扑包括的多个安全设备中确定位于第一对象对第二对象的访问路径上的至少一个第二安全设备,并从至少一个第二安全设备中随机确定至少一个第一安全设备。
本申请实施例中,安全意图中还可以携带部署策略,该部署策略用于从第一对象对所述第二对象的访问路径上的至少一个第二安全设备中确定需要部署安全策略的至少一个第一安全设备,使得确定出来的第一安全设备能够满足用户的意图。
在另一种实现方式中,步骤603可以包括:第一通信设备根据第一对象和第二对象以及网络拓扑,从网络拓扑包括的多个安全设备中确定位于第一对象对第二对象的访问路径上的至少一个第二安全设备。第一通信设备通过GUI显示第一对象对第二对象的访问路径上的至少一个第二安全设备,响应于接收到用户针对至少一个第二安全设备中至少一个第一安全设备的选择操作,从至少一个第二安全设备中确定第一安全设备。
可选地,若第一通信设备在预设时长内未接收到用户输入的选择操作,则可以根据部署策略,从至少一个第二安全设备中确定至少一个第一安全设备,部署策略包括以下一项或多项:近第一对象策略、近第二对象策略、资源对比策略、随机策略或其他部署策略等。
或者,第一通信设备在确定位于第一对象对第二对象的访问路径上的至少一个第二安全设备之后,将至少一个第二安全设备发送给第二通信设备,第二通信设备通过GUI显示第一对象对第二对象的访问路径上的至少一个第二安全设备,响应于接收到的选择操作,从至少一个第二安全设备中确定至少一个第一安全设备,并将确定的第一安全设备发送给第一通信设备。可选地,若第一通信设备在预设时长内未接收到用户输入的选择操作,则可以根据上述部署策略,从至少一个第二安全设备中确定至少一个第一安全设备,
为了更直观地理解本方案,请参阅图8,图8为本申请实施例提供的确定第一安全设备的一种示意图。如图8所示,该确定过程包括步骤A1~A5。
A1、第一通信设备确定位于第一对象对第二对象的访问路径上的至少一个第二安全设备。
A2、第一通信设备向第二通信设备发送至少一个第二安全设备。
A3、第二通信设备通过GUI向用户展示至少一个第二安全设备。
A4、第二通信设备根据用户输入的选择操作,从至少一个第二安全设备中确定至少一个第一安全设备。
A5、第二通信设备将至少一个第一安全设备发送给第一通信设备。
应理解,图8中的示例仅为方便理解本方案,不用于限定本方案。
本申请实施例中,在确定了第一对象对所述第二对象的访问路径上的至少一个第二安全设备之后,先向用户显示该至少一个第二安全设备,由用户选择在至少一个第二安全设备中的哪些安全设备上部署安全策略,既自动化的确定了第一对象对所述第二对象的访问路径上的所有第二安全设备,又保留了用户自主选择的权利,也即在降低向安全设备中部署安全策略的难度的同时,还保证了安全策略部署过程的灵活性。
本申请实施例中,不仅可以根据安全意图生成安全策略,而且可以结合网络拓扑确定安全策略所需要部署的第一安全设备,也即确定了安全策略的部署位置,进一步降低了向安全设备中部署安全策略的难度,有利于提高向安全设备中部署安全策略过程的准确率。
步骤604,根据安全意图生成安全策略,安全策略用于指示第一安全设备允许或禁止第一地址访问第二地址。
步骤604的具体实现方式可以参阅图2对应实施例中步骤202中的描述,此处不做赘述。
可选地,第一通信设备在获取到安全策略中包括的源IP地址、源端口、目的IP地址、目的端口和协议类型之后,还可以生成代码形式的安全策略,将代码形式的安全策略发送至每个第一安全设备上。
由于不同厂家生成的安全设备上部署的安全策略的代码形式可以不同,在一种实现方式中,第一通信设备可以获取每个第一安全设备的生产厂家,并将安全策略中包括的源IP地址、源端口、目的IP地址、目的端口和协议类型,转换成与每个第一安全设备的生产厂家对应的代码形式的安全策略。
步骤605,显示安全意图和安全策略。
本实施例中,第一通信设备还可以向用户显示安全意图和安全策略。例如,显示允许/禁止、第一对象和第二对象,还可以显示与第一对象对应的源IP地址和/或源端口、与第二对象对应的目的IP地址和/或以及协议类型,以向用户展示安全意图和安全策略之间的对应关系。
具体的,第一通信设备可以通过GUI向用户显示安全意图和安全策略。或者,第一通信设备可以向第二通信设备发送安全意图和安全策略,第二通信设备通过GUI向用户显示安全意图和安全策略。
针对“安全意图和安全策略”的显示形式,在一种实现方式,可以采用表格、纯文本、文本结合图形或其他方式等来展示安全意图和安全策略。
可选地,第一通信设备显示安全意图和安全策略可以包括:第一通信设备显示第一内容、第二内容和第三内容;其中,第一内容包括第一对象、第一地址以及第一对象和第一地址的对应关系,第二内容包括第二对象、第二地址以及第二对象和第二地址的对应关系,第三内容包括目标访问行为。本申请实施例中,不仅向用户展示安全意图和基于用户输入的安全意图得到的安全策略,而且分别展示了第一对象和第一地址的对应关系,以及第二对象和第二地址的对应关系,使用户更容易理解安全策略的含义,有利于进一步降低安全策略的维护阶段的难度。
可选地,第一通信设备可以在表格中展示第一对象和第一地址的对应关系以及第二对象和第二地址的对应关系,也可以在图形中展示第一对象和第一地址的对应关系以及第二对象和第二地址的对应关系等,此处不做穷举。
为了更直观地理解本方案,请参阅图9,图9为本申请实施例提供的展示安全意图和安全策略的一种示意图。如图9所示,展示的安全意图和安全策略中包括第一对象、第一对象归属的第一网络区域的名称,以及与第一对象对应的源IP地址和源端口,还包括第二对象、第二对象归属的第二网络区域的名称,以及与第二对象对应的目的IP地址和目的端口,还包括第一对象对第二对象的目标访问行为(也即图9中的允许或者禁止),应理解,图9中的示例仅为方便理解本方案,不用于限定本方案。
本申请实施例中,向用户展示安全意图和基于用户输入的安全意图得到的安全策略,也即将安全意图和安全策略关联起来,使用户更容易理解安全策略的含义,有利于降低安全策略的维护阶段的难度。
可选地,第一通信设备还可以向用户显示第一对象的描述信息和/或第二对象的描述信息,例如第一内容还包括第一对象的描述信息,和/或,第二内容还包括第二对象的描述信息,对于“第一对象的描述信息”和“第二对象的描述信息”这两个概念的含义可以参阅图2对应实施例中的描述,此处不做赘述。
本申请实施例中,还向用户展示第一对象的描述信息和/或第二对象的描述信息,能够了解到第一对象和第二对象更丰富的信息,更方便用户在网络中定位第一对象和第二对象,也即方便用户对安全策略中源地址和目的地址的定位,也使得用户更容易理解安全策略,降低安全策略的维护阶段的难度。
可选地,安全策略的获取系统中可以包括第一通信设备、第二通信设备和第一安全设备,以上以第一通信设备作为执行主体介绍了本申请提供的安全策略的获取方法,以下结合图10,示出第一通信设备、第二通信设备和第一安全设备之间的交互操作。请参阅图10,图10为本申请实施例提供的安全策略的获取方法的一种流程示意图。如图10所示,本申请实施例提供的安全策略的获取方法包括以下步骤1001-1007。
步骤1001,第二通信设备通过GUI获取安全意图,安全意图指示允许或禁止第一对象对第二对象的目标访问行为,第一对象或第二对象包括如下任一项:用户的类型,业务的名称,或者网络区域的名称。
本实施例中,步骤1001的具体实现方式可以参阅上述图2对应实施例中步骤201中的描述,此处不做赘述。
步骤1002,第二通信设备向用户展示第一对象和第二对象。
本实施例中,步骤1001和1002的具体实现方式可以参阅上述图2对应实施例中步骤201中的描述,此处不做赘述。需要说明的是,若用户在查看了第一对象和第二对象之后,想要修改第一对象和/或第二对象,则重新进入步骤1001;若用户确认第一对象和第二对象没有问题,则进入步骤1003。其中,用户确认第一对象和第二对象没有问题的方式包括:第二通信设备接收到用户输入的确认操作,或者,在目标时间段内未接收到用户对安全意图的修改操作。
步骤1003,第二通信设备向第一通信设备发送安全意图。
步骤1004,第一通信设备获取网络拓扑,网络拓扑包括至少一个安全设备和至少一个安全设备管控的网络区域。
本实施例中,步骤1004的具体实现方式可以参阅上述图6对应实施例中步骤602中的描述,此处不做赘述。
步骤1005,第一通信设备根据第一对象和/或第二对象,以及网络拓扑确定第一安全设备,第一安全设备包含于至少一个安全设备。
本实施例中,步骤1005的具体实现方式可以参阅上述图6对应实施例中步骤603中的描述,此处不做赘述。
步骤1006,第一通信设备根据安全意图生成安全策略,安全策略用于指示第一安全设备允许或禁止第一地址访问第二地址。
步骤1007,第一通信设备将代码形式的安全策略发送给第一安全设备。
本实施例中,步骤1006和1007的具体实现方式可以参阅上述图6对应实施例中步骤604中的描述,此处不做赘述。
步骤1008,第一通信设备向第二通信设备发送安全策略。
步骤1009,第二通信设备向用户显示安全策略和安全意图。
本实施例中,步骤1009的具体实现方式可以参阅上述图6对应实施例中步骤605中的描述,此处不做赘述。
为了进一步理解本方案,以下结合图1示出的应用场景图,通过一个具体的示例对本申请提供的安全策略的获取方法进行介绍。需要说明的是,如下图11示出的实施例仅为方便理解本方案,不用于限定本方案。请参阅图11,图11为本申请实施例提供的安全策略的获取方法的一种流程示意图。如图11所示,本申请实施例提供的安全策略的获取方法包括以下步骤1101-1107。
步骤1101,获取网络拓扑,网络拓扑包括至少一个安全设备和至少一个安全设备管控的网络区域。
本实施例中,步骤1101的具体实现方式和网络拓扑的概念可以参阅上述图6对应实施例中步骤602中的描述,此处不做赘述。如图1所示,内部网络中包括防火墙1和防火墙2,防火墙1管控的是办公园区,防火墙2管控的是数据中心。
步骤1102,获取对象信息库,对象信息库包括至少一个对象中的每个对象和所述每个对象的地址信息。
本实施例中,步骤1102的具体实现方式和对象信息库的概念可以参阅上述图2对应实施例中步骤202中的描述,此处不做赘述。需要说明的是,本申请实施例不限定步骤1101和步骤1102的执行顺序,可以先执行步骤1101,再执行步骤1102,也可以先执行步骤1102,再执行步骤1101,也可以同时执行步骤1101和1102。表2示出了对象信息库的一个示例。
表2
步骤1103,获取安全意图,安全意图指示允许或禁止第一对象对第二对象的目标访问行为,第一对象或第二对象包括如下任一项:用户的类型,业务的名称,或者网络区域的名称。
本实施例中,步骤1103的具体实现方式和安全意图的概念可以参阅上述图2对应实施例中步骤201中的描述,此处不做赘述。表3示出了获取到的安全意图的一个示例。
表3
步骤1104,根据安全意图和对象信息库,获取安全策略中包括的第一地址和第二地址。
本实施例中,第一通信设备解析安全意图中的第一对象和第二对象,由于对象信息库中不存在互联网用户,则第一地址中的源IP地址和源端口确定为任意;从对象信息库中获取到与第二对象匹配的信息如下表4所示。
表4
则第二地址中的目的IP地址为192.168.10.1,第二地址中的目的端口包括80和443,协议类型为TCP。
具体的,第一通信设备从对象信息库中获取与第二对象匹配的第二地址。可选地,第一通信设备可以根据第二对象和第二对象的描述信息,从对象信息库中获取与第二对象匹配的第二地址。例如,由于第二对象的角色类型确定为了WEB,因此第一通信设备从对象信息库中与第二对象匹配的三条信息中,仅选用了角色类型为WEB的两条信息。
可选地,第一通信设备中存在对象匹配策略,对象匹配策略用于指示某种角色类型的用户能够被网络中的哪些对象访问。则第一通信设备可以根据对象匹配策略,从对象信息库中获取与第二对象匹配的第二地址。
例如,该对象匹配策略指示若第一对象的角色类型包含于第一类型中,则第一对象可以仅支持内部网络中的用户、业务或网络区域访问。例如某个对象的角色类型为DB(数据库)的时候,该对象仅支持内部网络中的用户、业务或网络区域访问。
又例如,该对象匹配策略还指示若第一对象的角色类型包含于第二类型中,则第二对象可以支持内部网络或外部网络中的用户、业务或网络区域访问。例如,某个对象的角色类型为Web(网络)的时候,该对象支持内部网络或外部网络中的用户、业务或网络区域访问等,此处举例仅为方便理解本方案,不用于限定本方案。
步骤1105,获取第一对象对第二对象的访问路径上的至少一个第一安全设备,至少一个第一安全设备包括防火墙1和防火墙2。
本实施例中,第一通信设备确定第一对象归属的网络区域为互联网,第二对象归属的网络区域为数据中心,则第一对象和第二对象之间的访问行为经过的第一安全设备包括防火墙1和防火墙2。
步骤1106,生成代码形式的安全策略,向防火墙1和防火墙2发送代码形式的安全策略。
本实施例中,第一通信设备确定防火墙1和防火墙2的生产厂家,生成与防火墙1的生成厂家对应的代码形式的安全策略,和,与防火墙2的生成厂家对应的代码形式的安全策略,并分别向防火墙1和防火墙2发送代码形式的安全策略。为了进一步理解本方案,以下分别给出了防火墙1和防火墙2上部署的安全策略的一个示例。
防火墙1上部署的安全策略:
防火墙2上部署的安全策略:
步骤1107,显示安全意图和安全策略。
本实施例中,步骤1107的具体实现方式可以参阅上述图6对应实施例中步骤605中的描述,此处不做赘述。
以采用图形和文本结合的方式展示安全意图和安全策略为例,请参阅图12,图12为本申请实施例提供的展示安全意图和安全策略的一种示意图。如图12所示,展示的安全意图和安全策略中包括互联网用户(也即第一对象的一个示例)、互联网(也即第一对象归属的第一网络区域的名称的一个示例)、任意(也即与第一对象对应的源IP地址的一个示例)和任意(也即与第一对象对应的源端口的一个示例)。展示的安全意图和安全策略还包括深度学习服务(也即第二对象的一个示例)、数据中心(也即第二对象归属的第二网络区域的名称的一个示例)、192.168.10.1(也即与第二对象对应的目的IP地址的一个示例),以及80和443(也即与第二对象对应的目的端口的一个示例),还包括第一对象对第二对象的目标访问行为(也即图12中的允许),应理解,图12中的示例仅为方便理解本方案,不用于限定本方案。
请参阅图13,图13为本申请实施例提供的一种安全策略的获取装置的结构示意图。如图13所示,安全策略的获取装置1300包括获取模块1301,用于获取安全意图,安全意图指示第一对象对第二对象的目标访问行为,其中,第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称,目标访问行为为允许或禁止的访问行为;处理模块1302,用于根据安全意图生成安全策略,安全策略用于指示第一安全设备允许或禁止第一地址访问第二地址。
可选的,处理模块1302具体用于:根据第一对象确定第一地址;根据第二对象确定第二地址。
可选的,获取模块1301,还用于根据第一对象和对象信息库获取第一地址;获取模块1301,还用于根据第二对象和对象信息库获取第二地址;其中,对象信息库包括至少一个对象中的每个对象的地址信息和每个对象的描述信息,每个对象的描述信息包括以下一项或多项:每个对象对应的用户的类型,每个对象对应的业务的名称,或者每个对象对应的网络区域的名称,至少一个对象包括第一对象和第二对象。
可选的,获取模块1301,还用于获取网络拓扑,网络拓扑包括至少一个安全设备和至少一个安全设备管控的网络区域;处理模块1302,还用于根据第一对象和/或第二对象,以及网络拓扑确定第一安全设备,第一安全设备包含于至少一个安全设备。
可选的,安全意图还包括部署策略,处理模块1302具体用于:根据第一对象和/或第二对象,网络拓扑以及部署策略确定第一安全设备,部署策略包括以下一项或多项:近第一对象策略、近第二对象策略、资源对比策略和随机策略;其中,至少一个安全设备包括位于第一对象对第二对象的访问路径上的至少一个第二安全设备,近第一对象策略指示在至少一个第二安全设备中选择距离第一对象最近的安全设备,近第二对象策略指示在至少一个第二安全设备中选择距离第二对象最近的安全设备,资源对比策略用于在至少一个第二安全设备中选择拥有最多安全资源的安全设备,安全资源为安全设备中用于存储安全策略的空闲存储空间。
可选的,处理模块1302具体用于:通过图形用户界面GUI显示第一对象对第二对象的访问路径上的至少一个第二安全设备,至少一个第二安全设备包含于至少一个安全设备;响应于接收到的选择操作,从至少一个第二安全设备中确定第一安全设备。
可选的,装置还包括:显示模块1303,用于显示安全意图和安全策略。
可选的,显示模块1303,具体用于:显示第一内容、第二内容和第三内容;其中,第一内容包括第一对象、第一地址以及第一对象和第一地址的对应关系,第二内容包括第二对象、第二地址以及第二对象和第二地址的对应关系,第三内容包括目标访问行为。
可选的,第一内容还包括第一对象的描述信息,和/或,第二内容还包括第二对象的描述信息,第一对象的描述信息或者第二对象的描述信息均为对象的描述信息;若对象为一种用户类型,或者一种业务的名称,对象的描述信息包括如下任一项或多项:与对象对应的设备所在的网络区域的名称,对象的角色类型,或者与对象对应的设备所在的网络环境的类型;其中,与对象对应的设备包括对象指向的一类用户使用的设备,或者用于提供业务的设备,对象的角色用于对对象指向的一类用户或一种业务进行更细粒度的划分,与对象对应的设备所在的网络环境的类型基于与对象对应的设备所在的网络的功能确定。
请参阅图14,图14为本申请实施例提供的一种安全策略的获取装置的结构示意图。如图14所示,安全策略的获取装置1400包括获取模块1401,用于通过图形用户界面GUI获取安全意图,安全意图指示允许或禁止第一对象对第二对象的目标访问行为,其中,第一对象包括:用户的类型,第一业务的名称,或者第一网络区域的名称,第二对象包括:第二业务的名称,或者第二网络区域的名称;发送模块1402,用于向第一通信设备发送安全意图,安全意图用于生成安全策略。
可选的,安全策略的获取装置还包括:接收模块1403,用于接收第一通信设备发送的安全策略;显示模块1404,用于显示安全意图和安全策略。
可选的,安全策略部署于第一安全设备上,显示模块1404,还用于通过GUI显示第一对象对第二对象的访问路径上的至少一个第二安全设备;安全策略的获取装置1400还包括:处理模块1405,用于响应于接收到的选择操作,从至少一个第二安全设备中确定第一安全设备;发送模块1402,还用于向第一通信设备发送第一安全设备。
图15为本申请实施例提供的一种通信设备1500的结构示意图。通信设备1500搭载有上述的安全策略的获取装置1300。通信设备1500由一般性的总线体系结构来实现。
通信设备1500包括至少一个处理器1501、通信总线1502、存储器1503以及至少一个通信接口1504。
可选地,处理器1501是一个通用CPU、NP、微处理器、或者是一个或多个用于实现本申请方案的集成电路,例如,专用集成电路(application-specific integrated circuit,ASIC),可编程逻辑器件(programmable logic device,PLD)或其组合。上述PLD是复杂可编程逻辑器件(complex programmable logic device,CPLD),现场可编程逻辑门阵列(field-programmable gate array,FPGA),通用阵列逻辑(generic array logic,GAL)或其任意组合。
通信总线1502用于在上述组件之间传送信息。通信总线1502分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
可选地,存储器1503是只读存储器(read-only memory,ROM)或可存储静态信息和指令的其它类型的静态存储设备。可替换的,存储器1503是随机存取存储器(randomaccess memory,RAM)或者可存储信息和指令的其它类型的动态存储设备。可替换的,存储器1503是电可擦可编程只读存储器(electrically erasable programmable read-onlyMemory,EEPROM)、只读光盘(compact disc read-only memory,CD-ROM)或其它光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其它磁存储设备,或者是能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其它介质,但不限于此。可选地,存储器1503是独立存在的,并通过通信总线1502与处理器1501相连接。可选地,存储器1503和处理器1501集成在一起。
通信接口1504使用任何收发器一类的装置,用于与其它设备或通信网络通信。通信接口1504包括有线通信接口。可选地,通信接口1504还包括无线通信接口。其中,有线通信接口例如为以太网接口。以太网接口是光接口,电接口或其组合。无线通信接口为无线局域网(wireless local area networks,WLAN)接口,蜂窝网络通信接口或其组合等。
在具体实现中,作为一种实施例,处理器1501包括一个或多个CPU,如图15中所示的CPU0和CPU1。
在具体实现中,作为一种实施例,通信设备1500包括多个处理器,如图15中所示的处理器1501和处理器1505。这些处理器中的每一个是一个单核处理器(single-CPU),或者是一个多核处理器(multi-CPU)。这里的处理器指一个或多个设备、电路、和/或用于处理数据(如计算机程序指令)的处理核。
在一些实施例中,存储器1503用于存储执行本申请方案的程序代码1515,处理器1501执行存储器1503中存储的程序代码1515。也就是说,通信设备1500通过处理器1501以及存储器1503中的程序代码1515,来实现上述的方法实施例。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分可互相参考,每个实施例重点说明的都是与其他实施例的不同之处。
A参考B,指的是A与B相同或者A为B的简单变形。
本申请实施例的说明书和权利要求书中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述对象的特定顺序,也不能理解为指示或暗示相对重要性。例如,第一限速通道和第二限速通道用于区别不同的限速通道,而不是用于描述限速通道的特定顺序,也不能理解为第一限速通道比第二限速通道更重要。
本申请实施例,除非另有说明,“至少一个”的含义是指一个或多个,“多个”的含义是指两个或两个以上。
上述实施例可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例描述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital Subscriber Line,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘(Solid State Disk,SSD))等。
以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。

Claims (24)

1.一种安全策略的获取方法,其特征在于,所述方法包括:
获取安全意图,所述安全意图指示第一对象对第二对象的目标访问行为,其中,所述第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称,所述目标访问行为为允许或禁止访问;
根据所述安全意图生成安全策略,所述安全策略用于指示第一安全设备允许或禁止所述第一地址访问所述第二地址。
2.根据权利要求1所述的方法,其特征在于,所述根据所述安全意图生成安全策略,包括:
根据所述第一对象确定所述第一地址;
根据所述第二对象确定所述第二地址。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
根据所述第一对象和对象信息库获取所述第一地址;
根据所述第二对象和所述对象信息库获取所述第二地址;
其中,所述对象信息库包括至少一个对象中的每个对象的地址信息和所述每个对象的描述信息,所述每个对象的描述信息包括以下一项或多项:所述每个对象对应的用户的类型,所述每个对象对应的业务的名称,或者所述每个对象对应的网络区域的名称,所述至少一个对象包括所述第一对象和所述第二对象。
4.根据权利要求1至3任意一项所述的方法,其特征在于,所述方法还包括:
获取网络拓扑,所述网络拓扑包括至少一个安全设备和所述至少一个安全设备管控的网络区域;
根据所述第一对象和/或所述第二对象,以及所述网络拓扑确定所述第一安全设备,所述第一安全设备包含于所述至少一个安全设备。
5.根据权利要求4所述的方法,其特征在于,所述安全意图还包括部署策略,所述根据所述第一对象和/或所述第二对象,以及所述网络拓扑确定所述第一安全设备,包括:
根据所述第一对象和/或所述第二对象,所述网络拓扑以及所述部署策略确定所述第一安全设备,所述部署策略包括以下一项或多项:近所述第一对象策略、近所述第二对象策略、资源对比策略和随机策略;
其中,所述至少一个安全设备包括位于所述第一对象对所述第二对象的访问路径上的至少一个第二安全设备,所述近所述第一对象策略指示在所述至少一个第二安全设备中选择距离所述第一对象最近的安全设备,所述近所述第二对象策略指示在所述至少一个第二安全设备中选择距离所述第二对象最近的安全设备,所述资源对比策略用于在所述至少一个第二安全设备中选择拥有最多安全资源的安全设备,所述安全资源为安全设备中用于存储安全策略的空闲存储空间。
6.根据权利要求4所述的方法,其特征在于,所述根据所述第一对象和/或所述第二对象,以及所述网络拓扑确定所述第一安全设备,包括:
通过图形用户界面GUI显示所述第一对象对所述第二对象的访问路径上的至少一个第二安全设备,所述至少一个第二安全设备包含于所述至少一个安全设备;
响应于接收到的选择操作,从所述至少一个第二安全设备中确定所述第一安全设备。
7.根据权利要求1至6任意一项所述的方法,其特征在于,所述方法还包括:
显示所述安全意图和所述安全策略。
8.根据权利要求7所述的方法,其特征在于,所述显示所述安全意图和所述安全策略,包括:显示第一内容、第二内容和第三内容;
其中,所述第一内容包括所述第一对象、所述第一地址以及所述第一对象和所述第一地址的对应关系,所述第二内容包括所述第二对象、所述第二地址以及所述第二对象和所述第二地址的对应关系,所述第三内容包括所述目标访问行为。
9.根据权利要求8所述的方法,其特征在于,所述第一内容还包括所述第一对象的描述信息,和/或,第二内容还包括所述第二对象的描述信息,所述第一对象的描述信息或者所述第二对象的描述信息均为对象的描述信息;
若所述对象为一种用户类型,或者一种业务的名称,所述对象的描述信息包括如下任一项或多项:与所述对象对应的设备所在的网络区域的名称,所述对象的角色类型,或者与所述对象对应的设备所在的网络环境的类型;
其中,与所述对象对应的设备包括所述对象指向的一类用户使用的设备,或者用于提供所述业务的设备,所述对象的角色用于对所述对象指向的一类用户或一种业务进行更细粒度的划分,与所述对象对应的设备所在的网络环境的类型基于与所述对象对应的设备所在的网络的功能确定。
10.一种安全策略的获取方法,其特征在于,所述方法包括:
通过图形用户界面GUI获取安全意图,所述安全意图指示允许或禁止第一对象对第二对象的目标访问行为,其中,所述第一对象或所述第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称,所述目标访问行为为允许或禁止访问;
向第一通信设备发送所述安全意图,所述安全意图用于生成安全策略,所述安全策略指示第一地址对第二地址的所述目标访问行为。
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
接收所述第一通信设备发送的所述安全策略;
显示所述安全意图和所述安全策略。
12.根据权利要求10或11所述的方法,其特征在于,所述安全策略部署于第一安全设备上,所述方法还包括:
通过所述GUI显示所述第一对象对所述第二对象的访问路径上的至少一个第二安全设备;
响应于接收到的选择操作,从所述至少一个第二安全设备中确定所述第一安全设备。
13.一种安全策略的获取装置,其特征在于,所述装置包括:
获取模块,用于获取安全意图,所述安全意图指示第一对象对第二对象的目标访问行为,其中,所述第一对象或第二对象包括以下任一项:用户的类型,业务的名称,或者网络区域的名称,所述目标访问行为为允许或禁止访问;
处理模块,用于根据所述安全意图生成安全策略,所述安全策略用于指示第一安全设备允许或禁止所述第一地址访问所述第二地址。
14.根据权利要求13所述的装置,其特征在于,所述处理模块具体用于:
根据所述第一对象确定所述第一地址;
根据所述第二对象确定所述第二地址。
15.根据权利要求14所述的装置,其特征在于,
所述获取模块,还用于根据所述第一对象和对象信息库获取所述第一地址;
所述获取模块,还用于根据所述第二对象和所述对象信息库获取所述第二地址;
其中,所述对象信息库包括至少一个对象中的每个对象的地址信息和所述每个对象的描述信息,所述每个对象的描述信息包括以下一项或多项:所述每个对象对应的用户的类型,所述每个对象对应的业务的名称,或者所述每个对象对应的网络区域的名称,所述至少一个对象包括所述第一对象和所述第二对象。
16.根据权利要求13至15任意一项所述的装置,其特征在于,
所述获取模块,还用于获取网络拓扑,所述网络拓扑包括至少一个安全设备和所述至少一个安全设备管控的网络区域;
所述处理模块,还用于根据所述第一对象和/或所述第二对象,以及所述网络拓扑确定所述第一安全设备,所述第一安全设备包含于所述至少一个安全设备。
17.根据权利要求16所述的装置,其特征在于,所述安全意图还包括部署策略,所述处理模块具体用于:
根据所述第一对象和/或所述第二对象,所述网络拓扑以及所述部署策略确定所述第一安全设备,所述部署策略包括以下一项或多项:近所述第一对象策略、近所述第二对象策略、资源对比策略和随机策略;
其中,所述至少一个安全设备包括位于所述第一对象对所述第二对象的访问路径上的至少一个第二安全设备,所述近所述第一对象策略指示在所述至少一个第二安全设备中选择距离所述第一对象最近的安全设备,所述近所述第二对象策略指示在所述至少一个第二安全设备中选择距离所述第二对象最近的安全设备,所述资源对比策略用于在所述至少一个第二安全设备中选择拥有最多安全资源的安全设备,所述安全资源为安全设备中用于存储安全策略的空闲存储空间。
18.根据权利要求16所述的装置,其特征在于,所述处理模块具体用于:
通过图形用户界面GUI显示所述第一对象对所述第二对象的访问路径上的至少一个第二安全设备,所述至少一个第二安全设备包含于所述至少一个安全设备;
响应于接收到的选择操作,从所述至少一个第二安全设备中确定所述第一安全设备。
19.根据权利要求13至18任意一项所述的装置,其特征在于,所述装置还包括:
显示模块,用于显示所述安全意图和所述安全策略。
20.根据权利要求19所述的装置,其特征在于,所述显示模块,具体用于:
显示第一内容、第二内容和第三内容;
其中,所述第一内容包括所述第一对象、所述第一地址以及所述第一对象和所述第一地址的对应关系,所述第二内容包括所述第二对象、所述第二地址以及所述第二对象和所述第二地址的对应关系,所述第三内容包括所述目标访问行为。
21.根据权利要求20所述的装置,其特征在于,所述第一内容还包括所述第一对象的描述信息,和/或,第二内容还包括所述第二对象的描述信息,所述第一对象的描述信息或者所述第二对象的描述信息均为对象的描述信息;
若所述对象为一种用户类型,或者一种业务的名称,所述对象的描述信息包括如下任一项或多项:与所述对象对应的设备所在的网络区域的名称,所述对象的角色类型,或者与所述对象对应的设备所在的网络环境的类型;
其中,与所述对象对应的设备包括所述对象指向的一类用户使用的设备,或者用于提供所述业务的设备,所述对象的角色用于对所述对象指向的一类用户或一种业务进行更细粒度的划分,与所述对象对应的设备所在的网络环境的类型基于与所述对象对应的设备所在的网络的功能确定。
22.一种通信设备,包括处理器和存储器,所述存储器用于存储程序代码,所述处理器用于调用所述存储器中的程序代码以使得所述通信设备执行如权利要求1-12任一项所述的方法。
23.一种计算机可读存储介质,存储有指令,当所述指令在计算机上运行时,使得计算机执行如权利要求1-12任一项所述的方法。
24.一种计算机程序产品,其特征在于,包括程序代码,当计算机运行所述计算机程序产品时,使得所述计算机执行如权利要求1-12任一项所述的方法。
CN202210753988.3A 2022-06-29 2022-06-29 一种安全策略的获取方法及相关装置 Pending CN117353961A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210753988.3A CN117353961A (zh) 2022-06-29 2022-06-29 一种安全策略的获取方法及相关装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210753988.3A CN117353961A (zh) 2022-06-29 2022-06-29 一种安全策略的获取方法及相关装置

Publications (1)

Publication Number Publication Date
CN117353961A true CN117353961A (zh) 2024-01-05

Family

ID=89365586

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210753988.3A Pending CN117353961A (zh) 2022-06-29 2022-06-29 一种安全策略的获取方法及相关装置

Country Status (1)

Country Link
CN (1) CN117353961A (zh)

Similar Documents

Publication Publication Date Title
US11218420B2 (en) Virtual network interface objects
CN113015961A (zh) 向和从云管理系统进行的网络设备迁移的无缝自动化
US8745722B2 (en) Managing remote network addresses in communications
JP6888078B2 (ja) ネットワーク機能nf管理方法及びnf管理装置
CN113301116A (zh) 微服务应用跨网络通信方法、装置、系统及设备
US20240089328A1 (en) Systems and methods for dynamic federated api generation
EP3544241B1 (en) Method and apparatus for deploying service in virtualized network
CN116633775B (zh) 一种多容器网络接口的容器通信方法及系统
CN113678406A (zh) 多结构部署和管理平台
US10785056B1 (en) Sharing a subnet of a logically isolated network between client accounts of a provider network
US11354491B1 (en) Systems and methods for improved data modeling and translation
CN117353961A (zh) 一种安全策略的获取方法及相关装置
WO2022026996A1 (en) Web client with response latency awareness
WO2024001998A1 (zh) 一种安全策略的处理方法及相关装置
CN117353957A (zh) 一种数据处理方法及相关装置
EP2774046B1 (en) Selective roaming lists
CN114071488A (zh) 策略配置方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication