堡垒主机增加功能的方法、装置、设备及可读存储介质制造方法及图纸

本申请实施例提供了一种堡垒主机增加功能的方法、装置、设备及可读存储介质，方法包括：将待添加的堡垒主机的多项功能原子化形成多项虚拟网络功能；接收访问主体发起到访问客体的访问请求；根据访问请求，并基于目标操作系统的路由或交换策略以及预设的引流策略，从多项虚拟网络功能中挑选目标虚拟网络功能进行服务功能编排，得到增加功能后的堡垒主机。根据本申请实施例，能够降低图形堡垒内部逻辑的复杂度，提高堡垒主机运行的质量和稳定性。提高堡垒主机运行的质量和稳定性。提高堡垒主机运行的质量和稳定性。

【技术实现步骤摘要】
堡垒主机增加功能的方法、装置、设备及可读存储介质


[0001]本申请属于计算机网络信息安全领域，尤其涉及一种堡垒主机增加功能的方法、装置、设备及可读存储介质。

技术介绍

[0002]当前，堡垒主机是广泛用于大型企业IT系统运维、访问、使用环节中的一种安全设备，其原理是通过透明或跳板模式传输各类人员或接口发起到重要系统的访问，并在其中起到访问控制、操作命令审计、数据脱敏的安全保障作用。
[0003]随着业务需求的不断增加，在传统的图形堡垒主机上，为实现功能叠加通常采用功能更全的图形堡垒，传统累加方式易造成图形堡垒内部功能过多，无法按实际访问需求进行智能化编排，尤其当堡垒主机同时支持多用户访问时，多种功能的叠加必须采用预先编程的模式组合，容易造成图形堡垒内部逻辑复杂度过高，不能灵活的满足各种功能，难以保持访问控制强度的统一性，降低了堡垒主机运行的质量和稳定性。

技术实现思路

[0004]本申请实施例提供了一种堡垒主机增加功能的方法、装置、设备及计算机可读存储介质，能够降低图形堡垒内部逻辑的复杂度，提高堡垒主机运行的质量和稳定性。
[0005]第一方面，本申请实施例提供了一种堡垒主机增加功能的方法，方法包括：
[0006]将待添加的堡垒主机的多项功能原子化形成多项虚拟网络功能；
[0007]接收访问主体发起到访问客体的访问请求；
[0008]根据访问请求，并基于目标操作系统的路由或交换策略以及预设的引流策略，从多项虚拟网络功能中挑选目标虚拟网络功能进行服务功能编排，得到增加功能后的堡垒主机。
[0009]根据本申请第一方面的实施方式，根据访问请求，并基于目标操作系统的路由或交换策略以及预设的引流策略，从多项虚拟网络功能中挑选目标虚拟网络功能进行服务功能编排，得到增加功能后的堡垒主机，具体包括：
[0010]对于访问请求进行分析，得到访问请求携带的目标信息，目标信息包括以下至少一项：需求的种类、主体客户端类型、客体服务类型、网络通道要求、审计要求、安全控制要求和数据安全要求；
[0011]根据目标信息，确定目标虚拟网络功能，并生成过程编排数据、条件编排数据、运行参数数据的JSON数据结构；
[0012]接收访问主体发送的目标传输协议流量；
[0013]根据目标传输协议流量，并基于JSON数据结构构建至少包括目标虚拟网络功能的服务链，得到增加功能后的堡垒主机。
[0014]根据本申请第一方面前述任一实施方式，根据目标传输协议流量，并基于JSON数据结构构建至少包括目标虚拟网络功能的服务链，得到增加功能后的堡垒主机，具体包括：
[0015]分析访问主体发送的目标传输协议流量，确定目标传输协议流量是否需要编排以及对应的JSON数据结构；
[0016]将JSON数据结构传递给预先建立的模块实体，进行服务功能编排。
[0017]根据本申请第一方面前述任一实施方式，在分析访问主体发送的目标传输协议流量，确定目标传输协议流量是否需要编排以及对应的JSON数据结构之前，堡垒主机增加功能的方法还包括：
[0018]根据目标传输协议流量的源IP、目的IP、源端口、目的端口和有效时间，对目标传输协议流量进行唯一识别，确定目标传输协议流量是否唯一；
[0019]分析访问主体发送的目标传输协议流量，确定目标传输协议流量是否需要编排以及对应的JSON数据结构，具体包括：
[0020]当目标传输协议流量唯一时，分析访问主体发送的目标传输协议流量，确定目标传输协议流量是否需要编排以及对应的JSON数据结构。
[0021]根据本申请第一方面前述任一实施方式，在根据目标传输协议流量，并基于JSON数据结构构建至少包括目标虚拟网络功能的服务链，得到增加功能后的堡垒主机之后，堡垒主机增加功能的方法还包括：
[0022]接收访问主体的操作请求；
[0023]按照服务链的顺序，依次执行堡垒主机的多项功能；
[0024]在执行各项功能时，判断下一项功能是否需要执行；
[0025]在下一项功能不需要执行时，确定访问主体与访问客体之间已完成的至少一次数据交互。
[0026]根据本申请第一方面前述任一实施方式，在根据目标传输协议流量，并基于JSON数据结构构建至少包括目标虚拟网络功能的服务链，得到增加功能后的堡垒主机之后，堡垒主机增加功能的方法还包括：
[0027]在下一项功能需要执行时，判断下一项功能是否运行正常；
[0028]当下一项功能运行正常时，返回判断下一项功能是否需要执行的步骤；
[0029]当下一项功能不运行正常时，跳过执行下一项功能或者结束访问主体对于访问客体的访问。
[0030]根据本申请第一方面前述任一实施方式，在根据目标传输协议流量，并基于JSON数据结构构建至少包括目标虚拟网络功能的服务链，得到增加功能后的堡垒主机之后，堡垒主机增加功能的方法还包括：
[0031]根据堡垒主机的连接状态，判断是否结束访问主体对于访问客体的访问；
[0032]当结束访问主体对于访问客体的访问时，清除本次访问建立的服务链信息。
[0033]第二方面，本申请实施例提供了一种堡垒主机增加功能的装置，装置包括：
[0034]原子化模块，用于将待添加的堡垒主机的多项功能原子化形成多项虚拟网络功能；
[0035]接收模块，用于接收访问主体发起到访问客体的访问请求；
[0036]编排模块，用于根据访问请求，并基于目标操作系统的路由或交换策略以及预设的引流策略，从多项虚拟网络功能中挑选目标虚拟网络功能进行服务功能编排，得到增加功能后的堡垒主机。
[0037]第三方面，本申请实施例提供了一种电子设备，电子设备包括：处理器、存储器及存储在存储器上并可在处理器上运行的计算机程序，计算机程序被处理器执行时实现如第一方面提供的堡垒主机增加功能的方法的步骤。
[0038]第四方面，本申请实施例提供了一种计算机可读存储介质，计算机可读存储介质上存储计算机程序，计算机程序被处理器执行时实现如第一方面提供的堡垒主机增加功能的方法的步骤。
[0039]本申请实施例的堡垒主机增加功能的方法、装置、设备及计算机可读存储介质，通过将待添加的堡垒主机的多项功能原子化形成多项虚拟网络功能，如此，将多项功能原子化之后有效减少重复开发，减少在不同的访问通道上安全控制能力重复实现、安全管控力度不一致的问题，并且根据访问主体发起到访问客体的访问请求，基于目标操作系统的路由或交换策略以及引流策略的控制，从多项虚拟网络功能中挑选目标虚拟网络功能进行服务功能编排，来得到增加功能后的堡垒主机，相比于传统的功能叠加模式更加灵活，能够有效利用计算资源，降低图形堡垒内部逻辑的复杂度，提高运行的质量和稳定性。
附图说明
[0040]为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图作简单的介绍，对于本领域普通技术人员来讲，在不付出本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种堡垒主机增加功能的方法，其特征在于，包括：将待添加的堡垒主机的多项功能原子化形成多项虚拟网络功能；接收访问主体发起到访问客体的访问请求；根据所述访问请求，并基于目标操作系统的路由或交换策略以及预设的引流策略，从所述多项虚拟网络功能中挑选目标虚拟网络功能进行服务功能编排，得到增加功能后的堡垒主机。2.根据权利要求1所述的方法，其特征在于，所述根据所述访问请求，并基于目标操作系统的路由或交换策略以及预设的引流策略，从所述多项虚拟网络功能中挑选目标虚拟网络功能进行服务功能编排，得到增加功能后的堡垒主机，具体包括：对于所述访问请求进行分析，得到所述访问请求携带的目标信息，所述目标信息包括以下至少一项：需求的种类、主体客户端类型、客体服务类型、网络通道要求、审计要求、安全控制要求和数据安全要求；根据所述目标信息，确定所述目标虚拟网络功能，并生成过程编排数据、条件编排数据、运行参数数据的JSON数据结构；接收所述访问主体发送的目标传输协议流量；根据所述目标传输协议流量，并基于所述JSON数据结构构建至少包括所述目标虚拟网络功能的服务链，得到增加功能后的堡垒主机。3.根据权利要求2所述的方法，其特征在于，所述根据所述目标传输协议流量，并基于所述JSON数据结构构建至少包括所述目标虚拟网络功能的服务链，得到增加功能后的堡垒主机，具体包括：分析所述访问主体发送的目标传输协议流量，确定所述目标传输协议流量是否需要编排以及对应的所述JSON数据结构；将所述JSON数据结构传递给预先建立的模块实体，进行服务功能编排。4.根据权利要求3所述的方法，其特征在于，在所述分析所述访问主体发送的目标传输协议流量，确定所述目标传输协议流量是否需要编排以及对应的所述JSON数据结构之前，所述方法还包括：根据所述目标传输协议流量的源IP、目的IP、源端口、目的端口和有效时间，对所述目标传输协议流量进行唯一识别，确定所述目标传输协议流量是否唯一；所述分析所述访问主体发送的目标传输协议流量，确定所述目标传输协议流量是否需要编排以及对应的所述JSON数据结构，具体包括：当所述目标传输协议流量唯一时，分析所述访问主体发送的目标传输协议流量，确定所述目标传输协议流量是否需要编排以及对应的所述JSON数据结构。5....

【专利技术属性】
技术研发人员：林宇良，牛仁杰，吴俊健，
申请(专利权)人：中国移动通信集团有限公司，
类型：发明
国别省市：