【技术实现步骤摘要】
对策略进行编排的实现方法及装置
本专利技术涉及网络安全
,尤其涉及对策略进行编排的实现方法及装置。
技术介绍
本部分旨在为权利要求书中陈述的本专利技术实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。现有防火墙设备上的策略有访问控制策略(安全策略)、SNAT(源地址转换)、DNAT(目的地址转换)以及路由策略等。每个设备在实际的网络中,由于业务场景不同,可能只需要开通部分业务,比如访问控制策略,或者访问控制策略和路由策略,或者访问控制策略和DNAT策略等。当某个设备需要支持多个策略相关的业务场景时,需要适配不同厂家的转发路径。现有的策略开通有两种:1.基于设备的,每次只能开通某个类型的策略,而且无法支持合规检测;2.基于业务系统或者子网的端到端开通,这种开通方法,无法支持NAT的开通,也无法支持对策略所在设备以及安全域的精确定位。随着云计算业务的发展,防火墙功能在数据中心通过NFV(网络功能虚拟化,NetworkFunctionsVirtualization)方式实现,一般会通过多...
【技术保护点】
1.一种对策略进行编排的实现方法,其特征在于,包括:/n根据业务场景和预设策略模板,确定业务所需的策略路径;/n将所述策略路径实例化,确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数;/n根据策略申请信息,从所有类型策略路径中匹配出申请信息对应的策略路径;/n将策略申请信息按照所匹配出的策略路径所构成的策略进行分解,并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数,生成最终策略。/n
【技术特征摘要】
1.一种对策略进行编排的实现方法,其特征在于,包括:
根据业务场景和预设策略模板,确定业务所需的策略路径;
将所述策略路径实例化,确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数;
根据策略申请信息,从所有类型策略路径中匹配出申请信息对应的策略路径;
将策略申请信息按照所匹配出的策略路径所构成的策略进行分解,并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数,生成最终策略。
2.如权利要求1所述的对策略进行编排的实现方法,其特征在于,所述策略路径包括:有序的策略列表、入口、出口以及方向;所述策略申请信息包括:源地址、目的地址、源端口、目的端口、协议以及策略路径标识。
3.如权利要求1所述的对策略进行编排的实现方法,其特征在于,将策略申请信息按照所匹配出的策略路径所构成的策略进行分解,并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数,生成最终策略,包括:
根据策略申请信息,确定所匹配出的策略路径所构成的策略,以及各个策略之间的关系;
确定每一策略对应的需要开通的策略申请信息;
根据每一策略对应的需要开通的策略申请信息,以及各个策略之间的关系,将每一策略与设备上的现有策略进行比对分析;
根据分析结果以及策略命令行的各个元素的类型,生成所需策略的命令行。
4.如权利要求1所述的对策略进行编排的实现方法,其特征在于,将所述策略路径实例化,确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数,包括:将所述策略路径实例化,确定每一类型策略路径所关联的物理设备和/或网络功能虚拟化NFV设备,入口和出口的子网空间,在策略包括网络地址转换NAT策略时的NAT地址空间,以及策略的输入、输出参数和参数类型。
5.如权利要求4所述的对策略进行编排的...
【专利技术属性】
技术研发人员:宋飞虎,何文娟,
申请(专利权)人:中盈优创资讯科技有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。