【技术实现步骤摘要】
本申请涉及网络安全领域,具体而言,涉及一种策略配置方法、系统及装置。
技术介绍
1、随着移动办公和企业分支机构的蓬勃发展,以及云相关技术越来越成熟,sse(secure service edge,安全服务边缘)开始被越来越多的企业使用,sse中涉及到众多技术,譬如ztna(zero trust network access,零信任网络访问),swg(secure web gateway,web安全网关),casb(cloud access security broker,云访问安全代理),fwaas(firewallas a service,防火墙即服务)等安全架构和技术。移动用户终端设备或企业数据中心等在跨域访问、或访问外部web、app(application,应用程序)时会将流量重定向到云端sse控制管理中心进行安全流量清洗和控制,最终达到移动用户或企业分支安全高效访问外部流量或总部数据中心。图1为相关技术中安全服务边缘控制管理系统的结构示意图,如图1所示,移动设备或分支机构通过pop(point of presence,入网点)点访问总部数据中心或其它web或app时在pop点进行安全流量管控,实现移动用户安全访问,分支机构安全资产轻量化,相关的安全网关设置在每个pop点或相应终端。
2、由于sse控制管理系统中的每个pop点涉及到多种技术或架构,这些技术或架构都需要通过策略进行管理和控制,通常一种技术或架构有一种策略管理方式,多种技术或架构需要多种策略管理方式,例如,swg的策略管理器控制swg执行体,ca
3、但是,由于不同的安全网关(策略执行体)实现方式不同,策略管理存在比较大的差异,通常需要不同的策略管理器来管理各自的策略执行体。这种策略下发模式下,需要开发设计各自的策略管理器,各种策略管理实现方式不统一,多种策略管理器无法协同工作,管理员需要不断切换策略管理器进行策略管理,并且在不同的策略管理器出现异常、或是需要升级的情况下,需要对每个策略管理器依次进行处理,进而提高策略管理器的运维成本。
4、针对相关技术中在下发策略的过程中,由于不同的执行体的策略管理器不统一,导致策略管理器的运维成本高、效率低,进而影响策略的下发效率的问题,目前尚未提出有效的解决方案。
技术实现思路
1、本申请提供一种策略配置方法、系统及装置,以解决相关技术中在下发策略的过程中,由于不同的执行体的策略管理器不统一,导致策略管理器的运维成本高、效率低,进而影响策略的下发效率的问题。
2、根据本申请的一个方面,提供了一种策略配置方法。该方法包括:从资源管理器中获取策略变更信息,其中,策略变更信息中包括第一目标策略和变更对象,变更对象用于指示配置第一目标策略的目标执行体;根据第一目标策略生成第一变更策略,并获取变更对象指示的目标执行体的预设接口,通过预设接口将第一变更策略发送至目标执行体,其中,目标执行体用于根据第一变更策略进行策略配置。
3、可选地,第一目标策略由策略编排器根据策略变更指令对初始预设策略变更得到,初始预设策略由资源管理器发送至策略编排器,策略编排器根据第一目标策略和变更对象生成策略变更信息,并将策略变更信息发送至资源管理器,资源管理器中存储多个预设策略,初始预设策略包含在多个预设策略中。
4、可选地,根据第一目标策略生成第一变更策略包括:获取目标执行体识别第一目标策略时使用的语言类型和格式,得到目标类型和目标格式;将第一目标策略的格式变更为目标格式,并将第一目标策略的语言类型变更为目标类型,得到第一变更策略。
5、可选地,获取变更对象指示的目标执行体的预设接口,通过预设接口将第一变更策略发送至目标执行体包括:在数据库中获取目标执行体的配置文件,其中,配置文件中包括历史策略和接口信息;根据接口信息确定目标执行体的预设接口,并使用第一变更策略替换历史策略,得到更新后的历史策略,并判断更新后的历史策略是否存在异常;在更新后的历史策略存在异常的情况下,重新执行根据第一目标策略生成第一变更策略的步骤,直至更新后的历史策略无异常;在更新后的历史策略无异常的情况下,通过预设接口将更新后的历史策略发送至目标执行体。
6、可选地,该方法还包括:获取目标执行体的配置文件,并从配置文件中获取历史策略;向资源管理器发送第一策略获取请求,并接收资源管理器发送的第二目标策略,其中,第一策略获取请求用于请求获取目标执行体的预设策略;判断第二目标策略与历史策略的内容是否一致,并在第二目标策略与历史策略不一致的情况下,根据第二目标策略生成第二变更策略,并通过预设接口将第二变更策略发送至目标执行体。
7、可选地,该方法还包括:检测资源管理器所属的第一虚拟私有云的运行状态,并在第一虚拟私有云的运行状态为异常的情况下,断开与第一虚拟私有云的连接,并与第二虚拟私有云中的资源管理器建立连接,其中,第二虚拟私有云的资源管理器与第一虚拟私有云的资源管理器存储的数据相同。
8、根据本申请的一个方面,提供了另一种策略配置方法。该方法包括:接收用户发送的策略变更指令,并根据策略变更指令向资源管理器发送第二策略获取请求,其中,策略变更指令中包括变更内容和变更对象,第二策略获取请求用于请求获取变更对象的初始预设策略;接收资源管理器发送的初始预设策略,并根据变更内容对初始预设策略进行变更,得到第一目标策略,并将第一目标策略和变更对象组合为策略变更信息;将策略变更信息通过资源管理器发送至策略适配器,其中,策略适配器用于将第一目标策略下发至目标执行体,其中,变更对象用于指示配置第一目标策略的目标执行体。
9、根据本申请的另一方面,提供了一种策略配置系统。该系统包括:管理系统和策略适配器,管理系统中包括策略编排器和资源管理器,其中:策略编排器,与资源管理器连接,用于接收用户发送的策略变更指令,并根据策略变更指令向资源管理器中发送第二策略获取请求,接收资源管理器发送的初始预设策略,根据变更内容对初始预设策略进行变更,得到第一目标策略,并将第一目标策略和变更对象组合为策略变更信息,并将策略变更信息发送至资源管理器,其中,策略变更指令中包括变更内容和变更对象,第二策略获取请求用于从资源管理器中获取变更对象的初始预设策略;资源管理器,与策略编排器和策略适配器连接,用于向策略编排器发送初始预设策略,并接收策略编排器发送的策略变更信息,并根据策略变更本文档来自技高网...
【技术保护点】
1.一种策略配置方法,其特征在于,由策略适配器执行,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一目标策略由策略编排器根据策略变更指令对初始预设策略变更得到,所述初始预设策略由资源管理器发送至所述策略编排器,所述策略编排器根据所述第一目标策略和所述变更对象生成所述策略变更信息,并将所述策略变更信息发送至所述资源管理器,所述资源管理器中存储多个预设策略,所述初始预设策略包含在所述多个预设策略中。
3.根据权利要求1所述的方法,其特征在于,根据所述第一目标策略生成第一变更策略包括:
4.根据权利要求1所述的方法,其特征在于,获取所述变更对象指示的所述目标执行体的预设接口,通过所述预设接口将所述第一变更策略发送至所述目标执行体包括:
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
6.根据权利要求1至5中任意一项所述的方法,其特征在于,所述方法还包括:
7.一种策略配置方法,其特征在于,由策略编排器执行,包括:
8.一种策略配置系统,其特征在于,包括:管理系统和策略适配器,所述管
9.一种策略配置装置,其特征在于,包括:
10.一种策略配置装置,其特征在于,包括:
...【技术特征摘要】
1.一种策略配置方法,其特征在于,由策略适配器执行,包括:
2.根据权利要求1所述的方法,其特征在于,所述第一目标策略由策略编排器根据策略变更指令对初始预设策略变更得到,所述初始预设策略由资源管理器发送至所述策略编排器,所述策略编排器根据所述第一目标策略和所述变更对象生成所述策略变更信息,并将所述策略变更信息发送至所述资源管理器,所述资源管理器中存储多个预设策略,所述初始预设策略包含在所述多个预设策略中。
3.根据权利要求1所述的方法,其特征在于,根据所述第一目标策略生成第一变更策略包括:
4.根据权利要求1所述的方法,其特征在于,获取所述变更对象指示的所述目...
【专利技术属性】
技术研发人员:潘金平,赵广宇,
申请(专利权)人:山石网科通信技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。