一種用于動態(tài)創(chuàng)建網(wǎng)絡(luò)訪問控制列表的方法包括：通過處理器接收對訪問控制列表(ACL)的請求。該方法進(jìn)一步包括，響應(yīng)于接收對ACL的所述請求：從第一數(shù)據(jù)源接收多個資源描述，從第二數(shù)據(jù)源，接收所述網(wǎng)絡(luò)的策略執(zhí)行點(PEP)圖，以及使用所述多個資源描述和所述PEP圖來生成所述ACL，其中所述ACL包括用于控制通過所述網(wǎng)絡(luò)的PEP的網(wǎng)絡(luò)流量的至少一個策略。多個資源描述中的每一個與網(wǎng)絡(luò)中的多個計算設(shè)備相關(guān)聯(lián)，每個資源描述包括以下中的一個或多個：與計算設(shè)備的互聯(lián)網(wǎng)協(xié)議(IP)定義相對應(yīng)的信息，與所述計算設(shè)備的期望的訪問相對應(yīng)的信息，以及與所述計算設(shè)備的被許可的訪問相對應(yīng)的信息。

相關(guān)申請及優(yōu)先權(quán)

本專利申請要求于2016年3月21日提交的美國專利申請No.15/075,458的優(yōu)先權(quán)。該優(yōu)先權(quán)申請的公開通過引用被完全并入本文。

背景技術(shù)

在網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備(如路由器，交換機(jī)和防火墻)利用訪問控制列表(ACL)來許可和限制數(shù)據(jù)流進(jìn)和流出網(wǎng)絡(luò)接口。ACL指定哪些用戶或系統(tǒng)過程可以被授予對對象的訪問權(quán)限，以及對給定對象允許的操作。當(dāng)在接口上配置ACL時，網(wǎng)絡(luò)設(shè)備會分析經(jīng)過該接口的數(shù)據(jù)，將該數(shù)據(jù)與ACL中描述的標(biāo)準(zhǔn)進(jìn)行比較，并且許可數(shù)據(jù)流或者禁止該數(shù)據(jù)流。通常可以將ACL配置為，通過限制用戶和設(shè)備對非期望的地址和/或端口的訪問和非期望的地址和/或端口對用戶和設(shè)備的訪問來控制入站和出站流量。具體來說，盡管其他設(shè)備可以過濾數(shù)據(jù)包，但是一般在路由器接口處，ACL通過控制路由數(shù)據(jù)包是被轉(zhuǎn)發(fā)還是被阻擋來過濾網(wǎng)絡(luò)流量。ACL標(biāo)準(zhǔn)可以是流量的源地址或流量的目的地地址、目標(biāo)端口，或協(xié)議或這些中的一些組合。一般地，互聯(lián)網(wǎng)協(xié)議(IP)地址充當(dāng)在基于IP的網(wǎng)絡(luò)上的源設(shè)備的標(biāo)識符。

傳統(tǒng)的訪問控制系統(tǒng)使用手動維護(hù)的和/或配置的ACL。但是，考慮到大型IP網(wǎng)絡(luò)可能有數(shù)以萬計的節(jié)點和數(shù)百個路由器和網(wǎng)關(guān)，由于會導(dǎo)致大量的ACL，所以手動管理和創(chuàng)建ACL會給這些網(wǎng)絡(luò)帶來無數(shù)的困難。此外，相對于特定流量流的ACL之間的空間關(guān)系通常僅為ACL管理團(tuán)隊所知，因此傳統(tǒng)的網(wǎng)絡(luò)ACL存在于兩個任意安全域之間的隔絕環(huán)境中。這樣在進(jìn)行手動ACL更改時，會有很大的機(jī)會犯錯，因為團(tuán)隊成員可能忘記特定的流量流是可能的。另外，手動配置的ACL與其負(fù)責(zé)保護(hù)的服務(wù)或環(huán)境沒有明確的連接，并且在ACL的任一側(cè)刪除或添加服務(wù)對ACL本身沒有影響。因為ACL管理團(tuán)隊并不知情，特定的訪問控制條目可能隨著時間的推移而被一組新的服務(wù)所使用，這些會導(dǎo)致嚴(yán)重的ACL維護(hù)問題。

本發(fā)明公開了用于自動創(chuàng)建動態(tài)訪問控制列表以解決上述問題的系統(tǒng)和方法。

發(fā)明內(nèi)容

在實施例中，用于動態(tài)創(chuàng)建網(wǎng)絡(luò)訪問控制列表的方法(和系統(tǒng))可以包括通過處理器接收對訪問控制列表(ACL)的請求。該方法還包括，響應(yīng)于接收對ACL的所述請求：從第一數(shù)據(jù)源接收多個資源描述，從第二數(shù)據(jù)源，接收所述網(wǎng)絡(luò)的策略執(zhí)行點(PEP)圖，以及使用所述多個資源描述和所述PEP圖來生成所述ACL，其中所述ACL包括用于控制通過所述網(wǎng)絡(luò)的PEP的網(wǎng)絡(luò)流量的至少一個策略，其中所述網(wǎng)絡(luò)包括一個或多個PEP。多個資源描述中的每一個與網(wǎng)絡(luò)中的多個計算設(shè)備相關(guān)聯(lián)，每個資源描述包括以下中的一個或多個：與計算設(shè)備的互聯(lián)網(wǎng)協(xié)議(IP)定義相對應(yīng)的信息，與所述計算設(shè)備的期望的訪問相對應(yīng)的信息，以及與所述計算設(shè)備的被許可的訪問相對應(yīng)的信息。