对策略进行编排的实现方法及装置制造方法及图纸

本发明专利技术公开了一种对策略进行编排的实现方法及装置，其中该方法包括：根据业务场景和预设策略模板，确定业务所需的策略路径；将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。本发明专利技术将策略与设备解耦，无需关注底层的设备形态，自动生成所需的策略，提高了策略开通的灵活性和效率。

【技术实现步骤摘要】
对策略进行编排的实现方法及装置
本专利技术涉及网络安全
，尤其涉及对策略进行编排的实现方法及装置。
技术介绍
本部分旨在为权利要求书中陈述的本专利技术实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。现有防火墙设备上的策略有访问控制策略(安全策略)、SNAT(源地址转换)、DNAT(目的地址转换)以及路由策略等。每个设备在实际的网络中，由于业务场景不同，可能只需要开通部分业务，比如访问控制策略，或者访问控制策略和路由策略，或者访问控制策略和DNAT策略等。当某个设备需要支持多个策略相关的业务场景时，需要适配不同厂家的转发路径。现有的策略开通有两种：1.基于设备的，每次只能开通某个类型的策略，而且无法支持合规检测；2.基于业务系统或者子网的端到端开通，这种开通方法，无法支持NAT的开通，也无法支持对策略所在设备以及安全域的精确定位。随着云计算业务的发展，防火墙功能在数据中心通过NFV(网络功能虚拟化，NetworkFunctionsVirtualization)方式实现，一般会通过多个NFV设备，分别承载不同的策略功能；同时还需要安全组业务以及边界防火墙共同协作，满足东西向以及南北向流量的防护。无论是基于设备的或者基于业务系统的方式，各个策略功能是完全割裂的，无法满足策略功能之间的关联关系以及不同NFV设备之间的关联关系。因此，现有策略开通的灵活性差、效率低。
技术实现思路
本专利技术实施例提供一种对策略进行编排的实现方法，用以提升策略开通的灵活性和效率，该方法包括：根据业务场景和预设策略模板，确定业务所需的策略路径；将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。本专利技术实施例还提供一种对策略进行编排的实现装置，用以提升策略开通的灵活性和效率，该装置包括：确定单元，用于根据业务场景和预设策略模板，确定业务所需的策略路径；实例化单元，用于将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；匹配单元，用于根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；处理单元，用于将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。本专利技术实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述对策略进行编排的实现方法。本专利技术实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述对策略进行编排的实现方法的计算机程序。本专利技术实施例中，对策略进行编排的实现方案，与现有技术中无法高效灵活地进行策略开通的技术方案相比，通过：根据业务场景和预设策略模板，确定业务所需的策略路径；将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略，实现了将策略与设备解耦，无需关注底层的设备形态，自动生成所需的策略，提高了策略开通的灵活性和效率。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：图1为本专利技术实施例中对策略进行编排的实现方法的流程示意图；图2为本专利技术实施例中一实例化过程的原理示意图；图3为本专利技术实施例中另一实例化过程的原理示意图；图4为本专利技术实施例中又一实例化过程的原理示意图；图5为本专利技术实施例中对策略进行编排的实现装置的结构示意图。具体实施方式为使本专利技术实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本专利技术实施例做进一步详细说明。在此，本专利技术的示意性实施例及其说明用于解释本专利技术，但并不作为对本专利技术的限定。由于专利技术人发现现有技术存在的技术问题，因此提出了一种对策略进行自动编排的实现方案，该方案根据策略模板确定业务所需的策略路径；将策略路径实例化，确定策略路径所关联的设备和地址空间以及策略的输入/输出参数；根据策略申请信息匹配策略路径，将策略申请信息按照所匹配的策略路径进行策略分解，并生成相关的策略，从而实现了策略的自动编排。策略路径由有序的策略列表、入口和出口、方向构成。本专利技术将策略与设备解耦，提高了策略开通的灵活性和效率。下面对该对策略进行编排的实现方案进行详细介绍。图1为本专利技术实施例中对策略进行编排的实现方法的流程示意图，如图1所示，该方法包括如下步骤：步骤101：根据业务场景和预设策略模板，确定业务所需的策略路径；步骤102：将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；步骤103：根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；步骤104：将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。本专利技术实施例提供的对策略进行编排的实现方法中，用户根据业务需求，自定义策略流水线，无需关注底层的设备形态，由系统根据策略路径的定义，自动生成所需的策略，并下发到安全设备，从而实现了策略的自动开通，提高了策略开通的灵活性和效率。为了便于理解本专利技术如何实施，下面对本专利技术实施例提出的对策略进行编排的实现方法进行整体介绍。本专利技术实施例提出的对策略进行编排的实现方法实现步骤下：1.根据业务场景以及策略模板，确定业务所需的策略路径，即上述步骤101：a)其中策略模板可以是系统定义，也可以自定义；策略可以为ACL(访问控制列表)策略，域间策略，静态路由，NAT策略等等。b)可以利用策略路径标识唯一标识一条策略路径，在一个实施例中，策略路径可以包括：有序的策略列表、入口、出口以及方向。2.策略路径实例化，确定策略路径所关联的设备以及地址空间以及策略的输入/输出参数，即上述步骤102：在一个实施例中，将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数，可以包括：将所述策略路径实例化，确定每一类型策略路径所关联的物理设备和/或NFV设备，本文档来自技高网...

【技术保护点】
1.一种对策略进行编排的实现方法，其特征在于，包括：/n根据业务场景和预设策略模板，确定业务所需的策略路径；/n将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；/n根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；/n将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。/n

【技术特征摘要】
1.一种对策略进行编排的实现方法，其特征在于，包括：
根据业务场景和预设策略模板，确定业务所需的策略路径；
将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；
根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；
将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。


2.如权利要求1所述的对策略进行编排的实现方法，其特征在于，所述策略路径包括：有序的策略列表、入口、出口以及方向；所述策略申请信息包括：源地址、目的地址、源端口、目的端口、协议以及策略路径标识。


3.如权利要求1所述的对策略进行编排的实现方法，其特征在于，将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略，包括：
根据策略申请信息，确定所匹配出的策略路径所构成的策略，以及各个策略之间的关系；
确定每一策略对应的需要开通的策略申请信息；
根据每一策略对应的需要开通的策略申请信息，以及各个策略之间的关系，将每一策略与设备上的现有策略进行比对分析；
根据分析结果以及策略命令行的各个元素的类型，生成所需策略的命令行。


4.如权利要求1所述的对策略进行编排的实现方法，其特征在于，将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数，包括：将所述策略路径实例化，确定每一类型策略路径所关联的物理设备和/或网络功能虚拟化NFV设备，入口和出口的子网空间，在策略包括网络地址转换NAT策略时的NAT地址空间，以及策略的输入、输出参数和参数类型。


5.如权利要求4所述的对策略进行编排的...

【专利技术属性】
技术研发人员：宋飞虎，何文娟，
申请(专利权)人：中盈优创资讯科技有限公司，
类型：发明
国别省市：上海;31