CN117879965A - 网络访问需求处理方法及装置 - Google Patents
网络访问需求处理方法及装置 Download PDFInfo
- Publication number
- CN117879965A CN117879965A CN202410139434.3A CN202410139434A CN117879965A CN 117879965 A CN117879965 A CN 117879965A CN 202410139434 A CN202410139434 A CN 202410139434A CN 117879965 A CN117879965 A CN 117879965A
- Authority
- CN
- China
- Prior art keywords
- network access
- target
- public cloud
- subnet
- security group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 18
- 238000000034 method Methods 0.000 claims abstract description 48
- 239000011159 matrix material Substances 0.000 claims description 37
- 238000012545 processing Methods 0.000 claims description 27
- 238000004590 computer program Methods 0.000 claims description 25
- 238000011217 control strategy Methods 0.000 claims description 25
- 238000003860 storage Methods 0.000 claims description 17
- 238000013515 script Methods 0.000 claims description 16
- 238000012544 monitoring process Methods 0.000 description 23
- 230000008569 process Effects 0.000 description 23
- 238000007726 management method Methods 0.000 description 19
- 238000004891 communication Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 11
- 230000009471 action Effects 0.000 description 7
- 238000011156 evaluation Methods 0.000 description 6
- 238000005457 optimization Methods 0.000 description 6
- 230000005856 abnormality Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 5
- 239000000872 buffer Substances 0.000 description 4
- 238000011161 development Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000005192 partition Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000001502 supplementing effect Effects 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 239000002699 waste material Substances 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- VEMKTZHHVJILDY-UHFFFAOYSA-N resmethrin Chemical compound CC1(C)C(C=C(C)C)C1C(=O)OCC1=COC(CC=2C=CC=CC=2)=C1 VEMKTZHHVJILDY-UHFFFAOYSA-N 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络访问需求处理方法及装置,该方法包括:获取目标网络访问需求;生成对应所述目标网络访问需求的目标格式化参数;确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系。本发明用以实现网络访问需求自动化实施,提高公有云上网络访问关系实施的效率和准确率,节省公有云上配额资源,节省公有云各类地址资源。
Description
技术领域
本发明涉及互联网访问技术领域,尤其涉及网络访问需求处理方法及装置。
背景技术
本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
随着云计算技术的飞速发展,企业可以通过互联网公司提供的公有云平台获得相应的服务,公有云管理面向端到端的配置、管理和监控,不同设备间的数据和应用共享需要在严格的安全管理机制下进行,只有拥有访问权限的用户才能进行数据分享等操作,通过公有云平台的安全组可以实现精细的网络访问控制功能,安全组规则包括源设备IP、目标设备IP、协议类型、协议端口和策略。
在大型企业中,生产系统和管理系统之间的网络访问需求量大且复杂,而网络访问关系的开通秉承最小化访问原则,在网络层面不同的逻辑分区遵循不同的安全控制规则,传统网络访问关系的开通工作由于需求繁复、步骤较多、依赖人工导致效率低下且错误率高,人工实施时难以对网络设备配置逐一检查,因此也存在浪费资源的问题。
发明内容
本发明实施例提供一种网络访问需求处理方法,用以实现网络访问需求自动化实施,提高公有云上网络访问关系实施的效率和准确率,节省公有云上配额资源,节省公有云各类地址资源,该方法包括:
获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;
生成对应所述目标网络访问需求的目标格式化参数;
根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;
基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系。
本发明实施例还提供一种网络访问需求处理装置,用以实现网络访问需求自动化实施,提高公有云上网络访问关系实施的效率和准确率,节省公有云上配额资源,节省公有云各类地址资源,该装置包括:
目标网络访问需求获取模块,用于获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;
目标格式化参数生成模块,用于生成对应所述目标网络访问需求的目标格式化参数;
安全组信息确定模块,用于根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;
公有云网络下发命令生成模块,用于基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系。
本发明实施例还提供一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现上述网络访问需求处理方法。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述网络访问需求处理方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述网络访问需求处理方法。
本发明实施例中,获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;生成对应所述目标网络访问需求的目标格式化参数;根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系,与现有技术下需要人工处理网络访问需求相比,可通过生成目标网络访问需求的目标格式化参数、确定源IP控制端和目的IP控制端的虚拟机所绑定的安全组信息,自动化基于公有云网络实现建立对应于所述目标网络访问需求的目标访问关系,完成了网络访问需求自动化实施,提高了公有云上网络访问关系实施的效率和准确率,减少了人工实施时存在的遗漏错误等情况的发生;同时,基于网络访问需求自动化实施,也给出云上访问关系实施的规范化操作流程,最大程度上节省了公有云上配额资源,节省公有云各类地址资源。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本发明实施例中一种网络访问需求处理方法的流程示意图;
图2为本发明实施例中一种网络访问需求处理方法的具体示例图;
图3为本发明实施例中一种网络访问需求处理方法的具体示例图;
图4为本发明实施例中一种网络访问需求处理装置的结构示意图;
图5为本发明实施例中用于网络访问需求处理的计算机设备示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚明白,下面结合附图对本发明实施例做进一步详细说明。在此,本发明的示意性实施例及其说明用于解释本发明,但并不作为对本发明的限定。
本文中术语“和/或”,仅仅是描述一种关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
在本说明书的描述中,所使用的“包含”、“包括”、“具有”、“含有”等,均为开放性的用语,即意指包含但不限于。参考术语“一个实施例”、“一个具体实施例”、“一些实施例”、“例如”等的描述意指结合该实施例或示例描述的具体特征、结构或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。各实施例中涉及的步骤顺序用于示意性说明本申请的实施,其中的步骤顺序不作限定,可根据需要作适当调整。
本申请技术方案中对数据的获取、存储、使用、处理等均符合国家法律法规的相关规定。
随着云计算技术的飞速发展,企业可以通过互联网公司提供的公有云平台获得相应的服务,公有云管理面向端到端的配置、管理和监控,不同设备间的数据和应用共享需要在严格的安全管理机制下进行,只有拥有访问权限的用户才能进行数据分享等操作,通过公有云平台的安全组可以实现精细的网络访问控制功能,安全组规则包括源设备IP、目标设备IP、协议类型、协议端口和策略。
在大型企业中,生产系统和管理系统之间的网络访问需求量大且复杂,而网络访问关系的开通秉承最小化访问原则,在网络层面不同的逻辑分区遵循不同的安全控制规则,传统网络访问关系的开通工作由于需求繁复、步骤较多、依赖人工导致效率低下且错误率高,人工实施时难以对网络设备配置逐一检查,因此也存在浪费资源的问题。
如下进行具体说明:
1、大型企业中网络访问关系的开通遵循最小化访问原则,生产及管理系统访问需求量较大,而每天需求中IP地址精细且复杂,人工操作容易出现错误和遗漏情况。
2、现有技术不支持自动化配置安全组,手动实施更改配置存在较大风险且效率低下。
3、企业中网络拓扑复杂,设备繁多,各网络安全区域规则各异,人工实施时难以对网络设备配置逐一检查,通常存在重复开通访问关系的情况,因此会浪费部分网络资源。
为了解决上述问题,本发明实施例提供了一种网络访问需求处理方法,提高了云上访问关系实施的效率和准确率,减少了人工实施时存在的遗漏、错误等情况,定义了一种云上访问关系实施规范,最大程度上节省了公有云上配额资源,用以实现网络访问需求自动化实施,提高公有云上网络访问关系实施的效率和准确率,节省公有云上配额资源,节省公有云各类地址资源,参见图1,该方法可以包括:
步骤101:获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;
步骤102:生成对应所述目标网络访问需求的目标格式化参数;
步骤103:根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;
步骤104:基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系。
在步骤101中,获取目标网络访问需求是关键,这个需求包含了源IP地址、目的IP地址以及网络访问属性参数。网络访问属性参数中包含了网络访问所需协议、目的端口以及网络访问关系需求所属部署单元。这些信息将为后续的网络访问控制提供重要的依据。
接下来,在步骤102中,根据获取到的目标网络访问需求,需要生成对应的目标格式化参数。这些参数将用于指导后续的网络访问控制操作。
在步骤103中,根据源IP控制端信息、目的IP控制端信息以及网络访问关系需求所属部署单元,需要确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息,以及目的IP控制端的虚拟机所绑定的第二安全组信息。这些安全组信息将用于设定访问控制策略。
到了步骤104,根据第一安全组信息、第二安全组信息以及目标格式化参数,需要生成公有云网络下发命令。这些命令将用于在公有云网络中建立目标访问关系。这个目标访问关系将决定源IP控制端的虚拟机与目的IP控制端的虚拟机之间的访问权限。
本发明实施例中,获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;生成对应所述目标网络访问需求的目标格式化参数;根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系,与现有技术下需要人工处理网络访问需求相比,可通过生成目标网络访问需求的目标格式化参数、确定源IP控制端和目的IP控制端的虚拟机所绑定的安全组信息,自动化基于公有云网络实现建立对应于所述目标网络访问需求的目标访问关系,完成了网络访问需求自动化实施,提高了公有云上网络访问关系实施的效率和准确率,减少了人工实施时存在的遗漏错误等情况的发生;同时,基于网络访问需求自动化实施,也给出云上访问关系实施的规范化操作流程,最大程度上节省了公有云上配额资源,节省公有云各类地址资源。
具体实施时,首先获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元。
实施例中,通过企业通用平台获取网络访问关系需求表,得到源IP地址、目的IP地址、网络访问所需协议、网络访问所述目的端口、网络访问关系需求所属部署单元、网络访问关系需求所属系统、网络访问关系需求时间限制等网络访问需求数据。
举一实例,假设已成功获取到目标网络访问需求,接下来,需要根据这些需求进行相应的网络配置和优化。根据网络访问需求中的源IP地址、目的IP地址,可以确定网络访问路径与所述网络访问路径上存在的网络控制点,若所述网络控制点为某一子网对应的安全组,则需开通所述安全组对应的网络访问关系。
接下来,根据网络访问需求中的目的端口,可以为Web服务器分配一个合适的端口,以便于外部客户端与之通信。同时,根据网络访问关系需求所属部署单元,可以确定要将Web服务器部署在哪个具体的硬件设备上,以便于后续的运维和管理。
在实施网络配置和优化的过程中,还需要考虑网络访问关系需求中的时间限制。例如,如果需求中规定了访问时间限制要求,可以在网络设备上配置相应的时间策略,以确保满足这一要求。同时,针对不同的网络访问需求,还可以采取一定的负载均衡策略,以保证网络资源的合理利用和稳定运行。
具体实施时,在获取目标网络访问需求后,生成对应所述目标网络访问需求的目标格式化参数。
实施例中,通过预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵、和安全组模型,将步骤1所得需求表转换为实施所需的格式化参数表,安全组参数表中包括源IP地址、目的IP地址、协议、端口、源IP控制端、目的IP控制端、控制策略(允许/拒绝)、工单号等实施所需关键信息;
实施例中,在获取目标网络访问需求后,生成对应的目标格式化参数,可以通过以下几个步骤来实现:
首先,需要利用预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵、和安全组模型,将需求表转换为实施所需的格式化参数表。这个表格将包含实施所需的关键信息,如源IP地址、目的IP地址、协议、端口、源IP控制端、目的IP控制端、控制策略(允许/拒绝)和工单号等。
接下来,根据目标格式化参数表,可以生成相应的安全组配置文件。这个配置文件将用于在云平台上创建和配置安全组,以满足特定的网络访问需求。安全组配置文件应包含以下内容:
1.安全组名称:一个唯一的标识符,用于区分不同的安全组。
2.安全组描述:对安全组的简要描述,以便于理解和识别。
3.成员:列出属于该安全组的所有主机或子网。
4.入站规则:定义允许或拒绝哪些来源的流量进入安全组。这包括源IP地址、协议、端口等参数。
5.出站规则:定义允许或拒绝哪些流量从安全组发出。这包括目的IP地址、协议、端口等参数。
6.控制策略:指定安全组默认的允许或拒绝策略。
在生成安全组配置文件后,需要将其部署到云平台上。这个过程包括创建安全组、配置主机或子网加入安全组、应用入站和出站规则等。部署完成后,需要对安全组进行监控和维护,以确保网络访问需求得到满足。
实施例中,首先获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元。在一个实施例中,根据获取的目标网络访问需求,分析并提取关键信息,以便于后续的处理和配置。
接下来,根据提取的关键信息,生成对应的目标格式化参数。这些目标格式化参数将用于指导网络设备的配置和调整,以满足特定的网络访问需求。实施例中,目标格式化参数包括:目标IP地址、目的端口、协议类型、源IP地址、访问控制列表(ACL)规则等。
在生成目标格式化参数后,将这些参数与现有网络设备的配置进行比较,以确定是否需要对网络设备进行调整。如果需要调整,则根据目标格式化参数更新网络设备的配置。实施例中,这可以通过编写配置脚本、下发配置命令等方式实现。
此外,在实施过程中,可以对网络访问需求进行定时监控和反馈。通过收集和分析公有云的运行状态、安全组配额资源、路由配额资源等信息,可以评估网络访问需求的满足程度,并对网络设备进行动态调整。实施例中,这可以通过网络管理软件、监控系统等工具实现。为了确保网络访问的安全性和稳定性,还可以对网络访问需求进行审核和权限管理。根据网络访问属性的不同,为不同用户或设备分配不同的访问权限,防止未经授权的访问行为。实施例中,这可以通过实现访问控制策略、部署防火墙等手段实现。
在一个实施例中,生成对应所述目标网络访问需求的目标格式化参数,包括:
基于预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵、和安全组模型,生成对应所述目标网络访问需求的目标格式化参数;所述目标格式化参数携带有对应目标格式化参数的源IP控制端信息、目的IP控制端信息和网络访问属性参数格式化数据;所述公有云网络子网地址关联关系包括与不同IP源目地址对相关联的公有云网络子网、和每一公有云网络子网的控制级别;所述公有云网络访问控制矩阵包括每一子网与其他子网之间的一一对应的控制点子网和控制策略;所述网络访问策略包括允许或拒绝特定协议、目的端口和部署单元的访问请求;所述安全组模型包括对应不同子网的安全组IP段。
在这个实施例中,通过以下步骤生成目标格式化参数,以满足特定的网络访问需求:
1.首先,根据预先设定的公有云网络子网地址关联关系,将不同的IP源目地址对与相应的公有云网络子网进行关联。这一关联关系有助于更好地管理网络访问权限。
2.接下来,制定公有云网络访问控制矩阵。该矩阵包含每个子网与其他子网之间的一一对应的控制点子网和控制策略。这有助于明确各个子网之间的访问权限关系。
3.根据目标网络访问需求,需要设定网络访问属性参数格式化数据。这些数据包括允许或拒绝特定协议、目的端口和部署单元的访问请求。这将确保网络访问的安全性和稳定性。
4.最后,根据不同子网的安全需求,构建安全组IP段。这些安全组IP段有助于对不同子网的访问权限进行更细粒度的管理。
通过以上步骤,生成了目标格式化参数。这些参数将用于配置和管理公有云网络,以满足特定的网络访问需求。接下来,将探讨如何将这些目标格式化参数应用于实际场景,以实现高效、安全的网络访问管理。
在实际应用中,可以将这些目标格式化参数与现有的网络设备、应用程序和业务系统进行集成。这样,当有新的网络访问请求时,系统可以自动根据目标格式化参数进行判断和处理。
例如,当一个用户试图访问某个受限制的资源时,系统将自动检查其源IP地址、目的IP地址以及访问请求所涉及的协议、目的端口和部署单元。如果这些信息与预设的目标格式化参数相匹配,且符合安全组IP段的访问权限,那么系统将允许此次访问。否则,系统将拒绝访问请求,以保障网络的安全性。
总之,通过实施所述的目标格式化参数,可以实现对公有云网络的细粒度访问控制,确保网络资源的安全、合规使用。同时,这一方法具有较高的灵活性和可扩展性,可以随着业务需求的变化进行调整和优化。
在一个实施例中,基于预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵、和安全组模型,生成对应所述目标网络访问需求的目标格式化参数,包括:
基于预设置的公有云网络子网地址关联关系,确定对应所述目标网络访问需求的源IP地址对应的第一子网、目的IP地址的第二子网、第一子网的控制级别和第二子网的控制级别;
基于预设置的公有云网络访问控制矩阵,确定对应第一子网和第二子网的的控制点子网和控制策略;
基于预设置的安全组模型,确定对应第一子网的第一安全组IP段、和第二子网的第二安全组IP段;
在确定控制点子网为第一子网时,确定目的IP地址是否处于第一子网的第一安全组IP段;在确定控制点子网为第二子网时,确定源IP地址是否处于第二子网的第二安全组IP段;
若确定目的IP地址不处于第一子网的第一安全组IP段、或确定源IP地址不处于第二子网的第二安全组IP段,则生成对应所述目标网络访问需求的目标格式化参数。
实施例中,在确定控制点子网为第一子网时,确定目的IP地址是否处于第一子网的第一安全组IP段,若是则表明第一子网已有的安全组模型已开通该访问关系,本条访问关系无需实施;在确定控制点子网为第二子网时,确定源IP地址是否处于第二子网的第二安全组IP段,若是则表明第二子网已有的安全组模型已开通该访问关系,本条访问关系无需实施;
若确定目的IP地址不处于第一子网的第一安全组IP段、或确定源IP地址不处于第二子网的第二安全组IP段,表明本条访问关系需要实施,则生成对应所述目标网络访问需求的目标格式化参数。
在一个实施例中,根据预设的公有云网络子网地址关联关系、公有云网络访问控制矩阵和安全组模型,可以生成目标格式化参数。这些目标格式化参数包括:
1.基于预设置的公有云网络子网地址关联关系,可以确定目标网络访问需求的源IP地址对应的第一子网、目的IP地址的第二子网、第一子网的控制级别和第二子网的控制级别。
2.基于预设置的公有云网络访问控制矩阵,可以确定第一子网和第二子网的控制点子网和控制策略。
3.基于预设置的安全组模型,可以确定第一子网的第一安全组IP段和第二子网的第二安全组IP段。
在确定控制点子网为第一子网时,需要检查目的IP地址是否处于第一子网的第一安全组IP段。如果目的IP地址不在此范围内,那么作为控制点子网的第一子网需要开通到目的IP地址的访问关系。同样,在确定控制点子网为第二子网时,需要检查源IP地址是否处于第二子网的第二安全组IP段。如果源IP地址不在此范围内,那么作为控制点子网的第二子网需要开通来自源IP地址的访问关系。
通过这种方式,可以根据预设的公有云网络子网地址关联关系、公有云网络访问控制矩阵和安全组模型,生成对应的目标格式化参数。这些目标格式化参数可以用于控制网络访问,确保网络访问的安全性和合规性。
以下是一个具体例子:
假设有两个子网,子网A和子网B。子网A的IP地址范围为192.168.1.0/24,子网B的IP地址范围为192.168.2.0/24。还设定了两个安全组,安全组A和安全组B,分别对应子网A和子网B。安全组A的IP段为192.168.1.0/28,安全组B的IP段为192.168.2.0/28。
现在,有一个源IP地址为192.168.1.100的设备要访问目的IP地址为192.168.2.100的设备。根据预设的公有云网络子网地址关联关系、公有云网络访问控制矩阵和安全组模型,可以生成目标格式化参数如下:
1.源IP地址192.168.1.100对应的第一子网为子网A,控制级别为中等。
2.目的IP地址192.168.2.100对应的第二子网为子网B,控制级别为严格。
3.子网A的控制点子网为192.168.1.0/24,控制策略为允许访问特定协议和目的端口。
4.子网B的控制点子网为192.168.2.0/24,控制策略为拒绝访问特定协议和目的端口。
5.安全组A的IP段为192.168.1.0/28,安全组B的IP段为192.168.2.0/28。
根据这些目标格式化参数,可以判断源IP地址192.168.1.100满足访问条件,因为它处于安全组A的IP段范围内。同时,目的IP地址192.168.2.100也满足访问条件,因为它处于子网B的控制点子网范围内。于是,可以允许这次网络访问,并确保网络访问的安全性和合规性。
在这个实施例中,基于预设的公有云网络子网地址关联关系、公有云网络访问控制矩阵和安全组模型,生成对应目标网络访问需求的目标格式化参数,可以包括:
首先,需要根据预设的公有云网络子网地址关联关系,确定对应目标网络访问需求的源IP地址对应的第一子网、目的IP地址的第二子网、第一子网的控制级别和第二子网的控制级别。这一步骤是为了确保网络访问的源和目标地址以及所属子网的控制级别都能满足预设的要求。
接下来,要根据预设的公有云网络访问控制矩阵,确定对应第一子网和第二子网的控制点子网和控制策略。这一步骤是为了进一步细化网络访问的控制策略,包括允许或拒绝特定协议、目的端口和部署单元的访问请求。
然后,要根据预设的安全组模型,确定对应第一子网的第一安全组IP段和第二子网的第二安全组IP段。这一步骤是为了在网络访问过程中,对不同子网的安全组IP段进行管理和控制。
在确定控制点子网为第一子网时,需要判断目的IP地址是否处于第一子网的第一安全组IP段。反之,在确定控制点子网为第二子网时,需要判断源IP地址是否处于第二子网的第二安全组IP段。
最后,如果确定目的IP地址不处于第一子网的第一安全组IP段,或确定源IP地址不处于第二子网的第二安全组IP段,那么就将生成对应所述目标网络访问需求的目标格式化参数。这样的目标格式化参数可以有效地确保网络访问的安全性和合规性。
通过预设的公有云网络子网地址关联关系、公有云网络访问控制矩阵和安全组模型,可以生成对应目标网络访问需求的目标格式化参数。这种方法既可以满足网络访问的灵活性,又能确保网络访问的安全性。
在一个实施例中,上述方法还包括:
对所述目标网络访问需求进行实时或定时监控和分析,以评估网络访问的性能和安全性;
根据监控和分析结果,动态调整安全组策略、访问控制矩阵和子网地址关联关系;
更新预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵和安全组模型;
将更新后的信息同步到公有云网络管理系统,以便其他相关模块使用;
定期评估公有云网络的访问控制策略和安全组设置,以确保网络访问的安全性和稳定性;
根据评估结果,对公有云网络访问控制策略和安全组设置进行优化;
将优化后的访问控制策略和安全组设置应用到公有云网络中;
向用户和管理员提供关于网络访问性能和安全的报告,以便他们了解网络状况并采取相应措施。
举一实例,对所述目标网络访问需求进行实时或定时监控和分析,包括:
此外,在实施过程中,可以对网络访问需求进行定时监控和反馈。通过收集和分析公有云的运行状态、安全组配额资源、路由配额资源等信息,可以评估网络访问需求的满足程度,并对网络设备进行动态调整。实施例中,这可以通过网络管理软件、监控系统等工具实现。为了确保网络访问的安全性和稳定性,还可以对网络访问需求进行审核和权限管理。根据网络访问属性的不同,为不同用户或设备分配不同的访问权限,防止未经授权的访问行为。实施例中,这可以通过实现访问控制策略、部署防火墙等手段实现。
另举一实例,根据评估结果,对公有云网络访问控制策略和安全组设置进行优化,包括:
调整访问控制矩阵中的控制策略,以提高网络安全性;
优化安全组设置,如增加或删除安全组,调整安全组规则等;
优化子网地址关联关系,以降低网络延迟和提高访问性能;
更新公有云网络路由模型,以优化路由策略;
将优化后的策略应用到公有云网络中,并进行实时监控和反馈。
在另一实例中,向用户和管理员提供关于网络访问性能和安全的报告,包括:
网络访问性能报告,如带宽利用率、延迟、丢包率等;
网络安全报告,如安全事件、攻击日志、安全策略执行情况等;
用户和管理员可以通过报告了解网络状况,及时发现潜在问题,并采取相应措施;
报告可以以图形、表格或其他形式展示,以便用户和管理员轻松理解。
如下给出上述预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵、和安全组模型的配置过程的具体实例:
一、根据网络安全区定义子网地址表(即上述的公有云网络子网地址关联关系)。对于大型企业来说,网络IP地址在C段做业务区分,因此不同地址段的安全控制级别与控制点存在区别,如开放区访问外联区由外联区进行控制,外联区安全控制级别高于开放区,因此控制点落在外联区安全组上。根据公有云地址段定义子网规划表,可以将遵循相同安全控制等级的区域划分到同一级别。
如下给出上述子网地址表的定义过程的具体实例:
实例一:大型企业网络IP地址规划与应用
以一个大型企业为例,其网络结构可分为三个主要区域:开放区、外联区和内部区。开放区主要用于业务展示和对外服务,外联区用于与外部合作伙伴进行数据交换,内部区则为企业的核心业务区域。
1.开放区:开放区的IP地址段为192.168.1.0/24,该区域主要用于企业内部员工和客户访问,安全控制级别相对较低。开放区可进一步细分为Web服务器区、文件服务器区等,以满足不同业务需求。
2.外联区:外联区的IP地址段为10.0.0.0/16,该区域用于与外部合作伙伴进行数据交换和业务协作。外联区的安全控制级别较高,需要严格控制外部访问权限。外联区可细分为合作伙伴区、业务接口区等,以实现与企业内其他区域的安全互动。
3.内部区:内部区的IP地址段为172.16.0.0/12,这是企业的核心业务区域,主要用于内部部门之间的数据传输和业务处理。内部区的安全控制级别最高,严格限制内外部访问权限,确保企业数据安全。
实例二:公有云子网规划与应用
在公有云环境中,根据业务需求和安全性要求,可将IP地址段划分为多个子网。
以下为一个公有云子网规划实例:
1.公共区:公共区的IP地址段为100.100.100.0/24,主要用于提供公共云服务,如计算、存储和网络服务等。公共区可细分为计算子网、存储子网和网络子网等,以满足不同业务场景的需求。
2.专用区:专用区的IP地址段为100.100.101.0/24,主要用于为企业提供专用的云服务资源,如虚拟私有云、数据库服务等。专用区可细分为企业计算子网、企业存储子网等,确保企业数据安全性和业务稳定性。
3.隔离区:隔离区的IP地址段为100.100.102.0/24,主要用于满足高安全要求的企业客户。该区域可提供严格隔离的云服务资源,确保企业数据和业务不受外部威胁。
通过以上两个实例,可以看出网络安全区定义子网地址表的重要性。合理的子网规划能够为企业提供安全、稳定的网络环境,满足不同业务场景的需求。同时,根据公有云地址段定义子网规划表,可以实现对企业内部和外部公有云资源的安全管控,降低业务风险。在实际应用中,企业应根据业务发展和安全需求,不断优化网络架构,确保业务的顺利开展。
二、根据设备配置信息定义默认安全组模型(即上述的安全组模型)。当一段网络访问关系的源目地址属于不同安全区时,原则上两侧安全区均存在控制点,然而多控制点对于网络关系的开通并不便捷且多余,因此对于安全控制级别较低的安全区,其默认安全组中已经放行级别较高的安全区全量地址。
根据现网配置制作大段放行的默认安全组模型,记录每个安全区放行的每段IP地址,在实施阶段将省去不必要的访问关系,也可节省设备地址资源。
如下给出上述默认安全组模型的定义过程的具体实例:
以一个具有四个安全区的网络为例,分别为核心区、数据中心区、办公区和服务区。根据各个区域的功能和安全性要求,可以为每个区域分配一个安全组。在此,以核心区和数据中心区为例,来构建默认安全组模型。
首先,需要根据设备配置信息,确定核心区和数据中心区的安全组。在此过程中,需要考虑各个区域之间的访问关系,以及安全控制级别。例如,如果核心区和数据中心区之间的访问关系较为频繁,可以将数据中心区的安全组设置为默认允许核心区的全量地址。这样,在保证安全性的同时,也能简化网络关系的配置。
接下来,需要根据现网配置,制作大段放行的默认安全组模型。在此过程中,需要记录每个区域放行的每段IP地址。例如,核心区允许数据中心区的IP地址范围为192.168.1.0/24,可以将这个放行规则记录下来,以便在实施阶段省去不必要的访问关系,节省设备地址资源。
通过上述实例,可以看到,根据设备配置信息定义默认安全组模型,可以有效地简化网络访问关系的配置,同时保证网络的安全性。在实际应用中,需要根据不同的网络环境和需求,灵活调整安全组的设置。同时,还需要不断优化安全组模型,以适应网络的动态变化。在实施阶段,可以依据默认安全组模型,快速搭建网络防护体系。此外,还需要关注网络安全策略的调整,以确保网络访问关系的合理性和安全性。通过不断地实践和优化,可以提高网络安全的整体水平,确保企业信息系统的稳定运行。
三、定义公有云安全控制模型(即上述的公有云网络访问控制矩阵)。根据开放、外联、互联等区域的访问控制策略定义公有云访问控制矩阵,该矩阵中记录了全部涉及云上的访问关系的各类安全控制方式,包括企业内部各个安全区域、各外联单位区域以及互联网等IP地址区域的控制点,同时定义了IPv6地址和CLB云上负载均衡产品等特殊区域的访问方式和控制点信息。
如下给出上述公有云安全控制模型的定义过程的具体实例:
在定义公有云安全控制模型时,首先需要对云上的各种安全区域进行划分。这些区域包括企业内部的核心区域、非核心区域,以及与外部单位进行数据交换的外联区域。此外,还需要考虑公有云平台的互联区域,以及互联网区域。这些区域在访问控制策略上存在差异,因此需要分别定义相应的访问控制矩阵。
接下来,针对每个安全区域,我们需要定义访问控制策略。以企业内部的核心区域为例,可以定义如下访问控制策略:
1.内部员工和授权的外部人员可以访问该区域;
2.未经授权的外部人员和非员工无法访问该区域;
3.内部员工可以根据其角色和权限的不同,访问该区域的不同部分。
类似地,对于其他安全区域,也可以根据实际情况定义相应的访问控制策略。
在定义访问控制策略之后,我们需要将这些策略整合到一个统一的公有云访问控制矩阵中。该矩阵中,每一行代表一个安全区域的访问控制策略,每一列代表一个访问者(如员工、外部单位、互联网等)。矩阵中的每个元素,表示该访问者对相应安全区域的访问权限。
例如,在核心区域的安全控制矩阵中,内部员工对应的行可能包含“允许访问”和“限制访问”两种权限,而互联网对应的行可能包含“禁止访问”权限。将这些矩阵整合在一起,就形成了完整的公有云访问控制矩阵。
在实际应用中,公有云访问控制矩阵需要不断更新和调整。这是因为云上的安全环境和访问需求可能会发生变化,例如新增了云服务、调整了安全区域划分等。为了确保云上数据和应用的安全,需要定期审查和优化访问控制矩阵。
此外,还需要关注IPv6地址和CLB云上负载均衡产品等特殊区域的访问方式和控制点信息。例如,对于IPv6地址,可以定义专门的访问控制策略,以防止潜在的网络安全风险。对于CLB云上负载均衡产品,需要确保其访问控制策略与企业内部的其他安全控制策略保持一致,以确保负载均衡的正常运行。
具体实施时,在生成对应所述目标网络访问需求的目标格式化参数后,根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识。
实施例中,首先,根据生成的目标格式化参数,可以确定网络访问的源IP控制端和目的IP控制端信息。接下来,根据网络访问关系需求所属的部署单元,可以确定源IP控制端虚拟机所绑定的第一安全组信息,以及目的IP控制端虚拟机所绑定的第二安全组信息。这些安全组信息包括一或多个安全组的标识。
具体实施时,在根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息后,基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系。
实施例中,所述安全组参数表信息与预定义脚本命令,将上述信息(安全组标识信息、格式化参数)转换为下发命令行(下发命令),所述下发命令行中包括下发目标安全组信息如所属部署单元、所属系统、安全组所属子网与下发参数信息(如源IP地址、目的IP地址、协议、端口、动作等)。
在实施过程中,首先根据源IP控制端信息、目的IP控制端信息和网络访问关系需求所属部署单元,确定源IP控制端虚拟机所绑定的第一安全组信息,以及目的IP控制端虚拟机所绑定的第二安全组信息。接下来,基于这些信息以及目标格式化参数,生成公有云网络下发命令。
公有云网络接收到下发命令后,根据命令中携带的目标格式化参数,建立与目标网络访问需求相对应的目标访问关系。这里的目標访问关系指的是源IP控制端虚拟机与目的IP控制端虚拟机之间的访问关系。
为了实现上述操作,可以采用安全组参数表信息和预定义脚本命令,将这些信息(如安全组标识信息、格式化参数)转换为下发命令行。下发命令行中包含目标安全组信息,如所属部署单元、所属系统、安全组所属子网,以及下发参数信息,如源IP地址、目的IP地址、协议、端口、动作等。
其中,安全组是一种逻辑划分,它将具有相同安全策略的虚拟机分组在一起。通过设置安全组,可以实现对虚拟机之间的访问控制,确保网络通信的安全性。在这个实施例中,第一安全组和第二安全组分别对应源IP控制端虚拟机和目的IP控制端虚拟机,通过设置这两个安全组,可以实现对两者之间网络访问关系的管理。
在实施过程中,首先根据网络访问关系需求确定目标安全组。然后,基于目标安全组信息、源IP控制端信息、目的IP控制端信息以及目标格式化参数,生成公有云网络下发命令。接收到下发命令的公有云网络根据命令中的信息,建立源IP控制端虚拟机与目的IP控制端虚拟机之间的目标访问关系。这样,就实现了根据需求动态调整网络访问关系的目的。
在一个实施例中,基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令,包括:
结合预设置的公有云网络下发命令脚本,基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令。
其中,结合预设置的公有云网络下发命令脚本,基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令,可以包括如下步骤:
1.设置公有云网络下发命令脚本,用于接收和处理安全组参数信息、目标格式化参数等。
2.根据第一安全组信息,设置源IP控制端虚拟机所属的安全组标识、所属系统、子网等信息。
3.根据第二安全组信息,设置目的IP控制端虚拟机所属的安全组标识、所属系统、子网等信息。
4.根据目标格式化参数,设置网络访问关系的具体规则,如源IP地址、目的IP地址、协议、端口、动作等。
5.将设置好的安全组信息、目标格式化参数等,通过脚本命令下发到公有云网络。
在另一个实施例中,可以根据安全组标识、目标格式化参数等信息,自动生成公有云网络下发命令。具体包括:
1.接收到源IP控制端信息、目的IP控制端信息和网络访问关系需求后,解析这些信息,提取安全组标识、目标格式化参数等关键信息。
2.根据安全组标识,查找并确认源IP控制端虚拟机和目的IP控制端虚拟机所属的安全组。
3.根据目标格式化参数,生成符合需求的网络访问关系。
4.将生成的网络访问关系,以公有云网络下发命令的形式,发送给公有云网络。
公有云网络接收到下发命令后,执行与前述实施例相同的操作,建立源IP控制端虚拟机与目的IP控制端虚拟机之间的访问关系。通过以上实施,可以实现快速、准确地调整网络访问关系,提高网络资源利用率,确保网络通信的安全性。同时,还可以降低管理复杂度,提高运维效率。
在一个实施例中,公有云网络具体用于:
根据接收的公有云网络下发命令所携带的所述目标格式化参数、以及所述公有云网络对应的公有云登录信息,建立对应于所述目标网络访问需求的目标访问关系。
举一实例,公有云网络接收到下发命令后,根据命令中的信息,执行以下操作:
1.解析命令中的安全组标识、目标格式化参数等信息。
2.根据安全组标识,查找并确认源IP控制端虚拟机和目的IP控制端虚拟机所属的安全组。
3.根据目标格式化参数,建立源IP控制端虚拟机与目的IP控制端虚拟机之间的访问关系。
4.更新网络访问控制列表,实现动态调整网络访问关系。
通过以上实施,可以实现根据需求动态调整网络访问关系,提高网络资源利用率,确保网络通信的安全性。此外,还可以根据实际需求,灵活调整安全组策略,进一步优化网络访问控制。
在一个实施例中,还包括:
基于预设置的公有云路由模型,确定是否存在对应所述源IP地址和所述目的IP地址的云路由;所述公有云路由模型包括对应不同源目IP地址对的云路由信息;
在确定不存在对应所述源IP地址和所述目的IP地址的云路由时,发出携带有提醒建立对应所述源IP地址和所述目的IP地址的云路由的告警信息。
实施例中,首先可定义公有云路由模型。根据现网配置汇总了云上全量路由信息并定义了公有云与全企业乃至互联网互访时的路由模型,记录了各类IP互访时的路由路径,当新的IP地址出现且云上没有路由时,将提醒实施人员需增加路由,公有云虚拟机安全组新增策略与VPC新增路由属于不同种类变更,缺失或遗漏路由时将导致网络访问关系不通,公有云路由模型在定制参数表时会同步提示是否存在路由,这将减少由于路由缺失而导致网络不通的情况。
实施例中,上述公有云路由模型的定义过程举例如下:
首先,实施者可以根据实际情况,对公有云路由模型进行详细的划分和定义。例如,可以根据IP地址的类别、业务需求、安全策略等因素,将云路由模型分为不同的层级和模块。这些层级和模块可以包括:基础路由层、业务路由层、安全路由层等。
在基础路由层,可以定义所有公有云服务器的默认路由策略,例如,当数据包从企业内部网络发送到公有云服务器时,基础路由层可以根据源IP地址、目的IP地址等信息,自动选择最优的路由路径。
在业务路由层,可以根据不同业务的需求,定义更为精细的路由策略。例如,可以针对不同部门的业务需求,设置不同的路由路径,以满足各部门的专用网络需求。
在安全路由层,可以针对公有云环境的安全风险,设置相应的安全策略。例如,可以对来自互联网的数据包进行过滤和检测,防止恶意攻击和网络病毒入侵。
当新的IP地址出现且云上没有路由时,公有云路由模型可以自动发出告警信息,提醒实施人员需要增加路由。这样,既可以保证网络的连通性,又可以避免因路由缺失而导致的安全风险。
此外,实施例中还提到了一种公有云路由模型的管理方法。这种方法可以根据路由的种类、优先级等因素,对路由进行分类和管理。例如,可以将路由分为基础路由、业务路由、安全路由等不同类别,并对每种类别的路由设置相应的优先级。
在实际应用中,当需要变更路由时,可以根据路由的分类和优先级,进行有序的变更。这样可以确保网络的稳定运行,避免因路由变更而导致的网络中断或安全风险。
下面给出一个具体实施例,来说明本发明的方法的具体应用,该实施例中,可以包括如下三个部分:第一是对预定义模型的说明;第二是对具体实施例的实现流程进行举例说明;第三是对具体实施例依靠上述方法所形成系统的举例说明:
一、本发明的预定义模型
本发明涉及预定义模型,主要包括以下几个方面:
1、根据网络安全区域定义子网地址表。针对大型企业,网络IP地址在C段进行业务区分,因此不同地址段的安全控制级别与控制点存在差异。例如,开放区访问外联区时,控制点落在外联区安全组上,因为外联区安全控制级别高于开放区。根据公有云地址段定义子网规划表,可以将遵循相同安全控制等级的区域划分到同一级别。
2、根据设备配置信息定义默认安全组模型。当网络访问关系的源目地址属于不同安全区时,原则上两侧安全区均存在控制点。然而,多控制点对于网络关系的开通并不便捷且多余。因此,在安全控制级别较低的安全区,其默认安全组中已包含放行级别较高的安全区全量地址。通过制作大段放行的默认安全组模型,记录每个安全区放行的每段IP地址,实施阶段将省去不必要的访问关系,节省设备地址资源。
3、定义公有云安全控制模型。根据开放、外联、互联等区域的访问控制策略,定义公有云访问控制矩阵。该矩阵记录了全部涉及云上的访问关系的各类安全控制方式,包括企业内部各个安全区域、各外联单位区域以及互联网等IP地址区域的控制点。同时,定义了IPv6地址和CLB云上负载均衡产品等特殊区域的访问方式和控制点信息。
4、定义公有云路由模型。根据现网配置,汇总了云上全量路由信息,并定义了公有云与全企业乃至互联网互访时的路由模型。该模型记录了各类IP互访时的路由路径。当新的IP地址出现且云上没有路由时,将提醒实施人员需增加路由。公有云虚拟机安全组新增策略与VPC新增路由属于不同种类变更,缺失或遗漏路由时将导致网络访问关系不通。公有云路由模型在定制参数表时会同步提示是否存在路由,从而减少由于路由缺失而导致网络不通的情况。
如下给出了上述预定义模型的构建和改造的举例说明:
1、预定义模型构建:首先,根据网络安全区定义子网地址表,将不同地址段的安全控制级别与控制点进行区分。接着,根据设备配置信息定义默认安全组模型,以简化多控制点的网络关系。然后,根据开放、外联、互联等区域的访问控制策略定义公有云安全控制模型,包括各类安全控制方式和控制点信息。最后,根据现网配置汇总云上全量路由信息,定义公有云路由模型,以保证网络访问关系的顺畅。
2、定制安全控制策略:根据预定义模型,针对企业内部各个安全区域、外联单位区域以及互联网等IP地址区域,定制相应的安全控制策略。在实施阶段,根据大段放行的默认安全组模型,省去不必要的访问关系,节省设备地址资源。
3、实施网络改造:在现有网络架构基础上,按照预定义模型和定制的安全控制策略,对网络进行改造。改造过程中,注意确保各个安全区的控制点设置合理,遵循安全控制级别的高低原则。同时,根据公有云安全控制模型,对云上的访问关系进行调整,确保网络访问的合规性。
4、路由策略部署:根据公有云路由模型,部署全企业乃至互联网的互访路由策略。在路由部署过程中,密切关注新的IP地址出现情况,及时提醒实施人员增加路由。此外,确保公有云虚拟机安全组新增策略与VPC新增路由属于不同种类变更,避免路由缺失或遗漏导致的网络访问关系不通。
5、持续优化与维护:在网络改造实施后,定期对网络安全性能进行评估,根据评估结果对预定义模型、安全控制策略和路由模型进行优化。同时,密切关注网络安全动态,针对潜在威胁及时调整安全策略,确保网络安全的稳定性和可靠性。
通过上述实施方法和流程,本发明能够有效地提高企业网络安全的可控性、简化网络关系,同时降低实施成本。在实际应用中,可根据企业规模和网络需求进行调整,实现个性化定制。
二、本发明的技术方案,如图2所示:
1、通过企业通用平台获取网络访问关系需求表,获取内容包括:源IP地址、目的IP地址、网络访问所需协议、目的端口、部署单元、系统、时间限制等网络访问需求数据。
2、利用预定义的子网地址表、默认安全组模型、公有云安全控制模型、公有云路由模型,将需求表转换为实施所需的格式化参数表。安全组参数表包括:源IP地址、目的IP地址、协议、端口、源IP控制端、目的IP控制端、控制策略(允许/拒绝)、工单号等关键信息。
3、根据步骤2得到的安全组参数表,确定控制端(源端或目的端)及其所属部署单元,进而获取绑定虚拟机的一或多个安全组名称。
4、结合步骤3的安全组信息、步骤2的参数表及预定义脚本命令,将相关信息(安全组标识信息、格式化参数)转换为下发命令行。下发命令行包括目标安全组信息(所属部署单元、系统、子网)及下发参数信息(源IP地址、目的IP地址、协议、端口、动作等)。
5、定时执行步骤4获得的下发命令行,包括登录管理员账号(对应目标公有云网络)及定时下发命令行。执行完毕后,公有云网络配置将定时更新,从而完成步骤1中对应的网络访问关系需求的建立,实现从源虚拟机到目的虚拟机间的访问关系开通。
三、本发明的实现系统,如图3所示:
1、输入单元:负责提取原始需求表中的关键参数;
2、地址解析单元:将需求表中源目地址等信息分别解析为计算机存储的数据格式;
3、预定义模型单元:定义了子网地址表、默认安全组模型、公有云安全控制模型、公有云路由模型,以矩阵、字典等形式存储模型信息;
4、模型匹配单元:将系统解析得到的信息与预定义模型进行匹配,得到输入需求表对应的子网、控制点、路由等信息,判断所述需求表在网络控制点中是否已放行。若已放行,则无需实施;按照网络规划,判断所述需求表在网络路径中是否缺少路由、交换机ACL等策略,若缺少,则需补充实施;
5、参数表生成单元:依据地址解析结果和模型匹配结果,从一条原始需求生成一条安全组参数,根据输入所述需求表,生成全量需要实施的安全组参数表;
6、脚本生成单元:通过逐条遍历步骤5获取的安全组参数表,根据预设命令逐条生成增加设备配置的安全组命令行,最后获取安全组参数表对应的全量命令行脚本;
7、命令行下发单元:根据获取到的所述命令行,通过登录设备对应的管理员账号,定时执行下发动作,将新增的安全组配置下发到设备绑定的安全组中。全量命令执行成功后,则完成下发动作。
如下给出上述系统的实施流程:
1、输入单元:首先,我们需要从原始需求表中提取关键参数,如源目地址、子网信息、安全组需求等。这些关键参数将作为后续处理的基础数据。
2、地址解析单元:将需求表中的源目地址等信息解析为计算机存储的数据格式,以便于后续的处理和分析。
3、预定义模型单元:预定义子网地址表、默认安全组模型、公有云安全控制模型、公有云路由模型等,以矩阵、字典等形式存储模型信息。
4、模型匹配单元:将系统解析得到的信息与预定义模型进行匹配,得到输入需求表对应的子网、控制点、路由等信息。然后判断所述需求表在网络控制点中是否已放行。若已放行,则无需实施;否则,按照网络规划,判断所述需求表在网络路径中是否缺少路由、交换机ACL等策略,若缺少,则需补充实施。
5、参数表生成单元:根据地址解析结果和模型匹配结果,从一条原始需求生成一条安全组参数。然后,根据输入的需求表,生成全量需要实施的安全组参数表。
6、脚本生成单元:通过逐条遍历步骤5获取的安全组参数表,根据预设命令逐条生成增加设备配置的安全组命令行。最后,获取安全组参数表对应的全量命令行脚本。
7、命令行下发单元:根据获取到的所述命令行,通过登录设备对应的管理员账号,定时执行下发动作。将新增的安全组配置下发到设备绑定的安全组中。全量命令执行成功后,则完成下发动作。
本具体实施例具备以下优势:
1、阐述了预定义子网地址表、默认安全组模型、公有云安全控制模型以及公有云路由模型的构建过程。借助这些模型,可将安全组实施规范抽象为模型,便于运用计算机技术实现安全组下发自动化操作。
2、提出了一种安全组下发命令行自动生成方案。根据预定义模型和实现系统,将需求表转化为实施所需的安全组参数表,进而获取命令行,实现自动定时下发至设备配置。
3、提供了一种针对云上访问关系的安全组实施规范。在不妨碍实际下发效果的前提下,将访问关系中的离散地址和离散端口进行聚合,以节省公有云各类地址资源。
本具体实施例能够实现以下技术效果:
1、通过预先定义的模型,将企业现有网络配置与实施规范转化为计算机可存储的数据,从而实现数据调用的准确、快捷以及易于维护。
2、通过安全组参数表的自动生成方法,根据原始输入需求表自动化生成下发参数表,从而提升实施效率与准确性,减少错误与遗漏的发生。
3、通过命令行的自动下发方式,定时自动执行脚本,降低人为编写脚本过程中可能出现的错误与不规范现象。
4、通过定义一种针对云上访问关系的安全组实施规范,实现公有云安全组策略的统一规范管理,节约公有云配额资源,并为实施人员在故障排查过程中提供快速、准确定位的保障。
综上,在本具体实施例中,为满足公有云的网络访问需求,提出了一种网络访问关系自动实施方案与实施规范。针对日常所需开通的公有云网络访问关系,通过预设的公有云安全控制模型、设备配置及子网规划表,自动生成所需开通的网络访问关系中的控制点等资讯。同时,过滤已存在的云上访问地址对和不涉及公有云的访问关系,实现自动化生成标准安全组参数表,该表记录了每条网络访问需求在云上访问路径中需开通的网络访问关系信息。
此外,本具体实施例还定义了一种安全组实施规范,在确保实际下发效果不受影响的前提下,对访问关系中的离散地址及离散端口进行聚合,以节约公有云各类地址资源。最后,将参数表中的访问关系和控制点信息转化为下发命令,通过管理员账号登录设备实现定时自动下发。
在实施过程中,首先需要对公有云平台进行合理的安全控制模型设计,以满足不同用户在云端的网络访问需求。通过分析用户业务特点和网络安全要求,制定相应的安全控制策略,确保网络访问的安全性和稳定性。同时,根据用户需求,对云平台中的设备进行配置,包括虚拟机、负载均衡、防火墙等,以满足各种应用场景下的网络访问需求。
接下来,根据预设的安全控制模型、设备配置及子网规划表,系统将自动生成网络访问关系中的控制点等资讯。在这个过程中,系统会自动过滤已存在的云上访问地址对和不涉及公有云的访问关系,确保生成的网络访问关系符合用户需求。通过这种方式,实现了自动化生成标准安全组参数表,该表详细记录了每条网络访问需求在云上访问路径中需开通的网络访问关系信息。
为了优化资源使用,本实施例还定义了一种安全组实施规范。在确保实际下发效果不受影响的前提下,对访问关系中的离散地址及离散端口进行聚合,以节约公有云各类地址资源。这一举措有助于降低用户成本,提高云平台资源利用率。
在完成网络访问关系自动生成后,将参数表中的访问关系和控制点信息转化为下发命令。通过管理员账号登录设备,实现定时自动下发。这一过程可以在不影响用户业务的前提下,确保网络访问关系的准确性和及时性。
本具体实施例提供了一种网络访问关系自动实施方案与实施规范,有效满足了公有云的网络访问需求。通过预设的安全控制模型、设备配置及子网规划表,实现了网络访问关系的自动化生成。同时,对访问关系中的离散地址及离散端口进行聚合,节约了公有云各类地址资源。最后,通过管理员账号登录设备,实现了定时自动下发,确保了网络访问关系的准确性和及时性。这一方案不仅降低了用户成本,还提高了云平台资源利用率,为用户提供更加便捷、安全的网络访问体验。
当然,可以理解的是,上述详细流程还可以有其他变化例,相关变化例均应落入本发明的保护范围。
本发明实施例中,获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;生成对应所述目标网络访问需求的目标格式化参数;根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系,与现有技术下需要人工处理网络访问需求相比,可通过生成目标网络访问需求的目标格式化参数、确定源IP控制端和目的IP控制端的虚拟机所绑定的安全组信息,自动化基于公有云网络实现建立对应于所述目标网络访问需求的目标访问关系,完成了网络访问需求自动化实施,提高了公有云上网络访问关系实施的效率和准确率,减少了人工实施时存在的遗漏错误等情况的发生;同时,基于网络访问需求自动化实施,也给出云上访问关系实施的规范化操作流程,最大程度上节省了公有云上配额资源,节省公有云各类地址资源。
本发明实施例中还提供了一种网络访问需求处理装置,如下面的实施例所表述的。由于该装置解决问题的原理与网络访问需求处理方法相似,因此该装置的实施可以参见网络访问需求处理方法的实施,重复之处不再赘述。
本发明实施例还提供一种网络访问需求处理装置,用以实现网络访问需求自动化实施,提高公有云上网络访问关系实施的效率和准确率,节省公有云上配额资源,节省公有云各类地址资源,如图4所示,该装置包括:
目标网络访问需求获取模块401,用于获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;
目标格式化参数生成模块402,用于生成对应所述目标网络访问需求的目标格式化参数;
安全组信息确定模块403,用于根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;
公有云网络下发命令生成模块404,用于基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系。
在一个实施例中,目标格式化参数生成模块,具体用于:
基于预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵、和安全组模型,生成对应所述目标网络访问需求的目标格式化参数;所述目标格式化参数携带有对应目标格式化参数的源IP控制端信息、目的IP控制端信息和网络访问属性参数格式化数据;所述公有云网络子网地址关联关系包括与不同IP源目地址对相关联的公有云网络子网、和每一公有云网络子网的控制级别;所述公有云网络访问控制矩阵包括每一子网与其他子网之间的一一对应的控制点子网和控制策略;所述网络访问策略包括允许或拒绝特定协议、目的端口和部署单元的访问请求;所述安全组模型包括对应不同子网的安全组IP段。
在一个实施例中,目标格式化参数生成模块,具体用于:
基于预设置的公有云网络子网地址关联关系,确定对应所述目标网络访问需求的源IP地址对应的第一子网、目的IP地址的第二子网、第一子网的控制级别和第二子网的控制级别;
基于预设置的公有云网络访问控制矩阵,确定对应第一子网和第二子网的的控制点子网和控制策略;
基于预设置的安全组模型,确定对应第一子网的第一安全组IP段、和第二子网的第二安全组IP段;
在确定控制点子网为第一子网时,确定目的IP地址是否处于第一子网的第一安全组IP段;在确定控制点子网为第二子网时,确定源IP地址是否处于第二子网的第二安全组IP段;
若确定目的IP地址不处于第一子网的第一安全组IP段、或确定源IP地址不处于第二子网的第二安全组IP段,则生成对应所述目标网络访问需求的目标格式化参数。
在一个实施例中,基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令,包括:
结合预设置的公有云网络下发命令脚本,基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令。
在一个实施例中,公有云网络具体用于:
根据接收的公有云网络下发命令所携带的所述目标格式化参数、以及所述公有云网络对应的公有云登录信息,建立对应于所述目标网络访问需求的目标访问关系。
在一个实施例中,还包括:
基于预设置的公有云路由模型,确定是否存在对应所述源IP地址和所述目的IP地址的云路由;所述公有云路由模型包括对应不同源目IP地址对的云路由信息;
在确定不存在对应所述源IP地址和所述目的IP地址的云路由时,发出携带有提醒建立对应所述源IP地址和所述目的IP地址的云路由的告警信息。
在一个实施例中,还包括:
监控模块,用于实时监控所述公有云网络中网络访问关系的运行状态,以及实时监控所述网络访问需求是否得到满足。所述监控模块还包括:
1.网络访问关系运行状态监控子模块,用于监控所述公有云网络中目标访问关系的运行状态,包括目标访问关系是否建立、目标访问关系是否生效、以及目标访问关系是否存在冲突等;
2.网络访问需求满足程度监控子模块,用于监控所述公有云网络中网络访问需求是否得到满足,包括网络访问需求是否成功实施、网络访问需求实施过程中是否存在异常等。
在一个实施例中,监控模块进一步包括:
1.异常处理子模块,用于处理所述网络访问关系运行状态监控子模块和所述网络访问需求满足程度监控子模块检测到的异常情况。所述异常处理子模块包括但不限于:异常报警、异常记录、异常诊断和异常修复等;
2.网络访问策略优化子模块,用于根据所述监控模块检测到的网络访问关系运行状态和网络访问需求满足程度,对所述网络访问策略进行优化。所述网络访问策略优化子模块包括但不限于:调整安全组关联、调整网络访问控制矩阵、以及调整公有云路由模型等。
在一个实施例中,所述监控模块还包括:
1.性能评估子模块,用于评估所述公有云网络中网络访问关系的性能,包括评估网络访问延迟、评估网络吞吐量、以及评估网络访问成功率等;
2.容量规划子模块,用于根据所述性能评估子模块的评估结果,对公有云网络的容量进行规划。所述容量规划子模块包括但不限于:根据网络访问需求的增长趋势,预测未来一段时间内的网络访问量,并根据预测结果调整公有云网络的带宽、虚拟机数量、以及存储容量等。
本发明实施例提供一种用于实现上述网络访问需求处理方法中的全部或部分内容的计算机设备的实施例所述计算机设备具体包含有如下内容:
处理器(processor)、存储器(memory)、通信接口(Communications Interface)和总线;其中,所述处理器、存储器、通信接口通过所述总线完成相互间的通信;所述通信接口用于实现相关设备之间的信息传输;该计算机设备可以是台式计算机、平板电脑及移动终端等,本实施例不限于此。在本实施例中,该计算机设备可以参照实施例用于实现网络访问需求处理方法的实施例及用于实现网络访问需求处理装置的实施例进行实施,其内容被合并于此,重复之处不再赘述。
图5为本申请实施例的计算机设备1000的系统构成的示意框图。如图5所示,该计算机设备1000可以包括中央处理器1001和存储器1002;存储器1002耦合到中央处理器1001。值得注意的是,该图5是示例性的;还可以使用其他类型的结构,来补充或代替该结构,以实现电信功能或其他功能。
一实施例中,网络访问需求处理功能可以被集成到中央处理器1001中。其中,中央处理器1001可以被配置为进行如下控制:
获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;
生成对应所述目标网络访问需求的目标格式化参数;
根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;
基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系。
在另一个实施方式中,网络访问需求处理装置可以与中央处理器1001分开配置,例如可以将网络访问需求处理装置配置为与中央处理器1001连接的芯片,通过中央处理器的控制来实现网络访问需求处理功能。
如图5所示,该计算机设备1000还可以包括:通信模块1003、输入单元1004、音频处理器1005、显示器1006、电源1007。值得注意的是,计算机设备1000也并不是必须要包括图5中所示的所有部件;此外,计算机设备1000还可以包括图5中没有示出的部件,可以参考现有技术。
如图5所示,中央处理器1001有时也称为控制器或操作控件,可以包括微处理器或其他处理器装置和/或逻辑装置,该中央处理器1001接收输入并控制计算机设备1000的各个部件的操作。
其中,存储器1002,例如可以是缓存器、闪存、硬驱、可移动介质、易失性存储器、非易失性存储器或其它合适装置中的一种或更多种。可储存上述与失败有关的信息,此外还可存储执行有关信息的程序。并且中央处理器1001可执行该存储器1002存储的该程序,以实现信息存储或处理等。
输入单元1004向中央处理器1001提供输入。该输入单元1004例如为按键或触摸输入装置。电源1007用于向计算机设备1000提供电力。显示器1006用于进行图像和文字等显示对象的显示。该显示器例如可为LCD显示器,但并不限于此。
该存储器1002可以是固态存储器,例如,只读存储器(ROM)、随机存取存储器(RAM)、SIM卡等。还可以是这样的存储器,其即使在断电时也保存信息,可被选择性地擦除且设有更多数据,该存储器的示例有时被称为EPROM等。存储器1002还可以是某种其它类型的装置。存储器1002包括缓冲存储器1021(有时被称为缓冲器)。存储器1002可以包括应用/功能存储部1022,该应用/功能存储部1022用于存储应用程序和功能程序或用于通过中央处理器1001执行计算机设备1000的操作的流程。
存储器1002还可以包括数据存储部1023,该数据存储部1023用于存储数据,例如联系人、数字数据、图片、声音和/或任何其他由计算机设备使用的数据。存储器1002的驱动程序存储部1024可以包括计算机设备的用于通信功能和/或用于执行计算机设备的其他功能(如消息传送应用、通讯录应用等)的各种驱动程序。
通信模块1003即为经由天线1008发送和接收信号的发送机/接收机1003。通信模块(发送机/接收机)1003耦合到中央处理器1001,以提供输入信号和接收输出信号,这可以和常规移动通信终端的情况相同。
基于不同的通信技术,在同一计算机设备中,可以设置有多个通信模块1003,如蜂窝网络模块、蓝牙模块和/或无线局域网模块等。通信模块(发送机/接收机)1003还经由音频处理器1005耦合到扬声器1009和麦克风1010,以经由扬声器1009提供音频输出,并接收来自麦克风1010的音频输入,从而实现通常的电信功能。音频处理器1005可以包括任何合适的缓冲器、解码器、放大器等。另外,音频处理器1005还耦合到中央处理器1001,从而使得可以通过麦克风1010能够在本机上录音,且使得可以通过扬声器1009来播放本机上存储的声音。
本发明实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述网络访问需求处理方法。
本发明实施例还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现上述网络访问需求处理方法。
本发明实施例中,获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;生成对应所述目标网络访问需求的目标格式化参数;根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系,与现有技术下需要人工处理网络访问需求相比,可通过生成目标网络访问需求的目标格式化参数、确定源IP控制端和目的IP控制端的虚拟机所绑定的安全组信息,自动化基于公有云网络实现建立对应于所述目标网络访问需求的目标访问关系,完成了网络访问需求自动化实施,提高了公有云上网络访问关系实施的效率和准确率,减少了人工实施时存在的遗漏错误等情况的发生;同时,基于网络访问需求自动化实施,也给出云上访问关系实施的规范化操作流程,最大程度上节省了公有云上配额资源,节省公有云各类地址资源。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种网络访问需求处理方法,其特征在于,应用于公有云网络,所述方法包括:
获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;
生成对应所述目标网络访问需求的目标格式化参数;
根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;
基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系。
2.如权利要求1所述的方法,其特征在于,生成对应所述目标网络访问需求的目标格式化参数,包括:
基于预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵、和安全组模型,生成对应所述目标网络访问需求的目标格式化参数;所述目标格式化参数携带有对应目标格式化参数的源IP控制端信息、目的IP控制端信息和网络访问属性参数格式化数据;所述公有云网络子网地址关联关系包括与不同IP源目地址对相关联的公有云网络子网、和每一公有云网络子网的控制级别;所述公有云网络访问控制矩阵包括每一子网与其他子网之间的一一对应的控制点子网和控制策略;所述网络访问策略包括允许或拒绝特定协议、目的端口和部署单元的访问请求;所述安全组模型包括对应不同子网的安全组IP段。
3.如权利要求2所述的方法,其特征在于,基于预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵、和安全组模型,生成对应所述目标网络访问需求的目标格式化参数,包括:
基于预设置的公有云网络子网地址关联关系,确定对应所述目标网络访问需求的源IP地址对应的第一子网、目的IP地址的第二子网、第一子网的控制级别和第二子网的控制级别;
基于预设置的公有云网络访问控制矩阵,确定对应第一子网和第二子网的的控制点子网和控制策略;
基于预设置的安全组模型,确定对应第一子网的第一安全组IP段、和第二子网的第二安全组IP段;
在确定控制点子网为第一子网时,确定目的IP地址是否处于第一子网的第一安全组IP段;在确定控制点子网为第二子网时,确定源IP地址是否处于第二子网的第二安全组IP段;
若确定目的IP地址不处于第一子网的第一安全组IP段、或确定源IP地址不处于第二子网的第二安全组IP段,则生成对应所述目标网络访问需求的目标格式化参数。
4.如权利要求1所述的方法,其特征在于,基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令,包括:
结合预设置的公有云网络下发命令脚本,基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令。
5.如权利要求1所述的方法,其特征在于,公有云网络具体用于:
根据接收的公有云网络下发命令所携带的所述目标格式化参数、以及所述公有云网络对应的公有云登录信息,建立对应于所述目标网络访问需求的目标访问关系。
6.如权利要求1所述的方法,其特征在于,还包括:
基于预设置的公有云路由模型,确定是否存在对应所述源IP地址和所述目的IP地址的云路由;所述公有云路由模型包括对应不同源目IP地址对的云路由信息;
在确定不存在对应所述源IP地址和所述目的IP地址的云路由时,发出携带有提醒建立对应所述源IP地址和所述目的IP地址的云路由的告警信息。
7.一种网络访问需求处理装置,其特征在于,应用于公有云网络,所述装置包括:
目标网络访问需求获取模块,用于获取目标网络访问需求;所述目标网络访问需求携带有对应目标网络访问需求的源IP地址、目的IP地址和网络访问属性参数;所述网络访问属性参数包括:网络访问所需协议、网络访问所属目的端口、和网络访问关系需求所属部署单元;
目标格式化参数生成模块,用于生成对应所述目标网络访问需求的目标格式化参数;
安全组信息确定模块,用于根据所述源IP控制端信息、目的IP控制端信息、和所述网络访问关系需求所属部署单元,确定源IP控制端信息对应的源IP控制端的虚拟机所绑定的第一安全组信息、和目的IP控制端的虚拟机所绑定的第二安全组信息;所述安全组信息包括一或多个安全组的标识;
公有云网络下发命令生成模块,用于基于所述第一安全组信息、所述第二安全组信息、和所述目标格式化参数,生成公有云网络下发命令;其中,公有云网络用于根据接收的公有云网络下发命令所携带的所述目标格式化参数,建立对应于所述目标网络访问需求的目标访问关系;所述目标访问关系为所述源IP控制端的虚拟机与所述目的IP控制端的虚拟机之间的访问关系。
8.如权利要求7所述的装置,其特征在于,目标格式化参数生成模块,具体用于:
基于预设置的公有云网络子网地址关联关系、公有云网络访问控制矩阵、和安全组模型,生成对应所述目标网络访问需求的目标格式化参数;所述目标格式化参数携带有对应目标格式化参数的源IP控制端信息、目的IP控制端信息和网络访问属性参数格式化数据;所述公有云网络子网地址关联关系包括与不同IP源目地址对相关联的公有云网络子网、和每一公有云网络子网的控制级别;所述公有云网络访问控制矩阵包括每一子网与其他子网之间的一一对应的控制点子网和控制策略;所述网络访问策略包括允许或拒绝特定协议、目的端口和部署单元的访问请求;所述安全组模型包括对应不同子网的安全组IP段。
9.如权利要求8所述的装置,其特征在于,目标格式化参数生成模块,具体用于:
基于预设置的公有云网络子网地址关联关系,确定对应所述目标网络访问需求的源IP地址对应的第一子网、目的IP地址的第二子网、第一子网的控制级别和第二子网的控制级别;
基于预设置的公有云网络访问控制矩阵,确定对应第一子网和第二子网的的控制点子网和控制策略;
基于预设置的安全组模型,确定对应第一子网的第一安全组IP段、和第二子网的第二安全组IP段;
在确定控制点子网为第一子网时,确定目的IP地址是否处于第一子网的第一安全组IP段;在确定控制点子网为第二子网时,确定源IP地址是否处于第二子网的第二安全组IP段;
若确定目的IP地址不处于第一子网的第一安全组IP段、或确定源IP地址不处于第二子网的第二安全组IP段,则生成对应所述目标网络访问需求的目标格式化参数。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任一所述方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1至6任一所述方法。
12.一种计算机程序产品,其特征在于,所述计算机程序产品包括计算机程序,所述计算机程序被处理器执行时实现权利要求1至6任一所述方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410139434.3A CN117879965A (zh) | 2024-01-31 | 2024-01-31 | 网络访问需求处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410139434.3A CN117879965A (zh) | 2024-01-31 | 2024-01-31 | 网络访问需求处理方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117879965A true CN117879965A (zh) | 2024-04-12 |
Family
ID=90592038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410139434.3A Pending CN117879965A (zh) | 2024-01-31 | 2024-01-31 | 网络访问需求处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117879965A (zh) |
-
2024
- 2024-01-31 CN CN202410139434.3A patent/CN117879965A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111488595B (zh) | 用于实现权限控制的方法及相关设备 | |
| US9491052B2 (en) | Topology aware smart merge | |
| US6892309B2 (en) | Controlling usage of network resources by a user at the user's entry point to a communications network based on an identity of the user | |
| US9009317B2 (en) | System for and method of managing network resources | |
| CN108134764B (zh) | 一种分布式数据共享交换方法及系统 | |
| US9185006B2 (en) | Exchange of server health and client information through headers for request management | |
| CN109600768A (zh) | 网络切片的管理方法、设备及系统 | |
| US20110082936A1 (en) | Method, apparatus and system for transmission of captured network traffic through a stacked topology of network captured traffic distribution devices | |
| US20030152067A1 (en) | Controlling concurrent usage of network resources by multiple users at an entry point to a communications network based on identities of the users | |
| EP0890240A2 (en) | Policy management and conflict resolution in computer networks | |
| CN103930882A (zh) | 具有中间盒的网络架构 | |
| DE112013003180T5 (de) | Verfahren, System und Gerät zum Verwalten von Server-Hardware-Resourcen in einer Cloud-Scheduling-Umgebung | |
| WO2019005399A1 (en) | FIREWALL CONFIGURATION MANAGER | |
| WO2019024671A1 (zh) | 部署网络切片的方法、设备及系统 | |
| Du | Application of information communication network security management and control based on big data technology | |
| US7822872B2 (en) | Multi-location distributed workplace network | |
| CN109818820A (zh) | 流量数据监控方法、装置、电子设备及存储介质 | |
| CN114205815A (zh) | 一种5g专网认证控制的方法和系统 | |
| CN113973275A (zh) | 数据处理方法、装置和介质 | |
| CN112637081A (zh) | 带宽限速的方法及装置 | |
| CN114422160B (zh) | 一种虚拟防火墙的设置方法、装置、电子设备和存储介质 | |
| EP2472785B1 (en) | Service linkage control system and method | |
| CN103200124A (zh) | 一种业务策略的调整方法及装置 | |
| CN116228195B (zh) | 适用于工单的数据处理方法、装置、设备及存储介质 | |
| CN115604199B (zh) | 一种云原生平台微服务网关的服务路由方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |