自动化迁移中的网络重配置例如防火墙重配置,可包括基于发现确定目标环境的一个或多个网络功能中的网络重配置需求;以及将所述网络重配置需求应用到目标环境中的一个或多个网络功能。
【技术实现步骤摘要】
本专利技术一般涉及计算机系统,以及计算机系统服务技术和信息技术(IT)变换任务。
技术介绍
迁移、巩固(consolidation)、虚拟化和云化(cloudification)是信息技术(IT) 变换任务中的一些任务,尤其涉及当今时代的成本节约和绿色数据中心。在本公开中,这些任务以及类似的任务被总称为“迁移”。迁移中的任务包括发现依赖性(cbpendency)或亲和性(affinity),S卩,什么组件(服务器、应用、应用模块、数据库等)通过网络与其他什么组件交互。在将组件迁移到具有不同地址(例如IP地址或在域名服务的上下文中的域名) 和可能不同的网络拓扑的目标环境时,需要设置目标环境中的防火墙配置,以使得所有需要交互的组件仍然可以交互,但不需要打开太多不必要的通信路径。例如,“防火墙重配置” 是指重新配置或设置目标环境中的防火墙参数,使得目标环境中的组件在迁移后仍然可以交互。防火墙重配置目前是手动来做的,通常甚至不去访问源环境中的依赖性的具体表示。将应用迁移到新的网络应当仍然允许交互无缝地发生,例如,使得新的防火墙等允许迁移后的应用能像以前那样运行。在缺少“允许”规则这个意义上的错误的防火墙重配置是重要的错误来源,这些错误在以后的端对端测试中出现,并很难识别和纠正,由此造成了长期迁移进度表和高迁移成本。由于这些原因,许多企业继续回避迁移。反之,在目标环境中制定太多的“允许”规则可能会将目标环境开放给更多类型的攻击,这比必要的和在源环境中可能发生的攻击会更多。
技术实现思路
提供了一种用于自动化迁移中的网络重配置的方法和系统。在一个方面,该方法可包括基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级属性和与目标环境相关的一个或多个网络级属性,确定目标环境的一个或多个网络功能中的网络重配置需求。该方法还可包括将网络重配置需求应用到目标环境中的一个或多个网络功能。在一个方面,用于迁移中的网络重配置的系统可包括模块,其可被操作以基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级属性和与目标环境相关的一个或多个网络级属性,确定目标环境的一个或多个网络功能中的网络重配置需求。该系统也可包括规则应用模块,其可被操作以将网络重配置需求应用到目标环境中的一个或多个网络功能。还可提供计算机可读存储介质,其存储可由机器执行以完成此处所述的一个或多个方法的指令的程序。以下将参考附图详细描述更多的特征以及各种实施例的结构和操作。在附图中,类似的标号指示相同或功能上类似的元件。 附图说明图IA和IB示出了一个实施例中的防火墙重配置的概念。图2是示出了基于本公开的一个实施例中的防火墙配置分析的防火墙重配置的流程图。图3A和;3B示出了本公开的一个实施例中的用于执行网络和/或防火墙重配置的系统的各功能组件。图4A和4B示出了一个实施例中的示例性防火墙配置。图5示出了 web服务器如何从源环境中的其IP地址被迁移到目标环境中的不同 IP地址的例子。图6示出了计算机系统的例子,其中可实行或执行本公开的系统和方法。 具体实施例方式公开了一种用于自动执行网络重配置的方法和系统,例如,修改诸如防火墙相关参数的网络级参数,以重新配置在迁移中和/或在迁移后与组件相关的防火墙设置。本公开的防火墙重配置也可以设置与用于迁移的组件相关的防火墙参数。比如,如果目标环境是新的数据中心,则从头开始配置防火墙。在一方面,自动发现用于迁移中涉及的所有组件的网络级信息,且应用防火墙重配置,使得迁移后的组件发挥作用并给新的计算环境提供组件如迁移前的功能,同时为了安全,允许最小数量的不必要的开放连接穿过防火墙。公开的系统和方法可自动提议或甚至默默地设置新的正确的防火墙配置等,而不是留给用户来发现和进行这种设置。公开的系统和方法可避免这样的场景,其中人类用户或是忽略需要被允许以使得应用仍然可以发挥作用的某些流(flow),或是允许太多的流来避免第一个问题,但由此使得目标环境不那么安全。图IA和IB示出了一个实施例中的防火墙重配置的概念。图IA示出了迁移前的源企业环境,其中在机器&104上运行的web服务器102可由106处的防火墙保护,而在机器)(2110上运行的数据服务器108可由112处的防火墙保护。在该源环境中,防火墙116和 112被这样配置,使得客户机114能通过106处的防火墙访问102处的web服务器,且102 处的web服务器能通过112处的防火墙访问108处的数据服务器。该附图也示出了未被迁移的、或者至少不是在这个时间点被迁移的、或者不是被迁移到同一个目标环境的邮件服务器113。这仅是关于应用结构或网络结构在目标环境中可以如何变化的一个例子。为了说明的目的,假设两个防火墙都是CISCOtmPIX设备。图4A示出了地址和源防火墙配置的例子。假设Pixioe是106处的防火墙的主机名。该防火墙具有两个接口, dmz 和 outside。dmz 接口 142 (ip 地址=192. 168. 1. 0)是安全性较高的接口,而 outside 接口 140(ip地址=209. 165. 201.0)是安全性较低的接口。私有地址被用于位于dmz接口的后面的、102处的web服务器(ip地址=192. 168. 1. 1,网络地址转换(NAT)-outside = 209. 165.201. 1)。由于dmz接口是比outside接口安全性更高的接口,从DMZ发起的到因特网的任何通信流(traffic)都将是缺省允许的。但是,假设(由于该服务器可能会从外部被攻击)到因特网的访问应当仅允许来自于服务器提供的服务。同时假设未被迁移的邮件服务器 113 具有地址(ip 地址=192. 168. 1. 3,NAT-outside = 209. 165. 201. 3)。在这种情况下,106处的防火墙可被配置如下(部分配置文件)hostname pixl06nameif ethernetO outside securityOnameif ethernetl dmz securitylOOip address outside 209. 165. 201. 1 255. 255. 255. 0ip address dmz 192. 168. 1. 0 255. 255. 255. 0nat (dmz) 1 192. 168. 1. 0 255. 255. 255. 0 0 0global 1 209. 165. 201. 1-209. 165. 201. 254 netmask 255. 255. 255. 0access-list N0_DMZ_0UT permit tcp 192.168.1.1 any eq 80access-list N0_DMZ_0UT permit tcp 192.168.1.1 any eq httpsaccess-list N0_DMZ_0UT permit tcp 192. 168. 1. 3 any eq smtpaccess-list N0_DMZ_0UT deny ip any anyaccess-group N0_DMZ_0UT in interface dmzstatic (dmz, outsi本文档来自技高网...
【技术保护点】
1.一种用于自动化迁移中的网络重配置的方法,包括:基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级的属性和与目标环境相关的一个或多个网络级的属性,使用处理器确定目标环境的一个或多个网络功能中的网络重配置需求;以及将所述网络重配置需求应用到目标环境中的一个或多个网络功能中。
【技术特征摘要】
2010.06.03 US 12/793,2021.一种用于自动化迁移中的网络重配置的方法,包括基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级的属性和与目标环境相关的一个或多个网络级的属性,使用处理器确定目标环境的一个或多个网络功能中的网络重配置需求;以及将所述网络重配置需求应用到目标环境中的一个或多个网络功能中。2.如权利要求1所述的方法,还包括使用处理器自动发现与一个或多个正被迁移的组件的源环境相关的一个或多个网络级的属性。3.如权利要求2所述的方法,其中所述发现与源环境相关的一个或多个网络级的属性包括以下各项中的一个或多个进行与源环境相关的防火墙配置文件的分析;或观察源环境处的运行时网络流;或分析在源环境上运行的一个或多个服务器处的配置依赖性;或分析防火墙日志文件;或以上的组合。4.如权利要求1所述的方法,其中,网络重配置需求包括防火墙重配置需求。5.如权利要求1所述的方法,其中确定网络重配置需求包括识别与正被迁移的一个或多个组件相关的源环境的网络配置中的一个或多个规则; 将该一个或多个规则转换为包括目标环境的网络配置;以及将转换的一个或多个规则应用到目标环境中。6.如权利要求5所述的方法,其中源环境的网络配置包括源环境的防火墙配置,且目标环境的网络配置包括目标环境的防火墙配置,且其中应用的步骤包括修改目标环境的防火墙接口。7.如权利要求6所述的方法,还包括修改源环境的防火墙配置以删除与一个或多个组件相关的一个或多个规则。8.如权利要求5所述的方法,其中将转换的一个或多个规则应用...
【专利技术属性】
技术研发人员:K·巴塔查里亚,N·A·尤科夫,B·M·普费茨曼,H·V·拉马萨米,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。