本發(fā)明公開了微分段的部署方法、安全設(shè)備、存儲介質(zhì)及裝置。本發(fā)明中安全設(shè)備獲取本地網(wǎng)絡(luò)中的各設(shè)備的安全規(guī)則，基于各設(shè)備的安全規(guī)則按照預(yù)設(shè)數(shù)據(jù)結(jié)構(gòu)建立規(guī)則模型，根據(jù)所述規(guī)則模型對所述本地網(wǎng)絡(luò)中各設(shè)備的安全規(guī)則進(jìn)行自適應(yīng)修改，以實(shí)現(xiàn)對所述本地網(wǎng)絡(luò)進(jìn)行微分段部署。在本發(fā)明中通過將各設(shè)備的安全規(guī)則集中存儲于一處，并且限制存儲方式為將安全規(guī)則基于預(yù)設(shè)數(shù)據(jù)結(jié)構(gòu)保存入規(guī)則模型中，而規(guī)則模型將對存儲的安全規(guī)則進(jìn)行進(jìn)一步地優(yōu)化，也就使得在微分段部署過程中應(yīng)用的安全規(guī)則可以更加準(zhǔn)確，且可去除無效或冗余的安全規(guī)則，從而解決了當(dāng)前的微分段自動化部署方案存在的部署方式的效能過低的技術(shù)問題。

技術(shù)領(lǐng)域

本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及微分段的部署方法、安全設(shè)備、存儲介質(zhì)及裝置。

背景技術(shù)

在網(wǎng)絡(luò)傳輸?shù)那捌冢髁恐饕阅媳毕驗(yàn)橹鳎渲校媳毕蛄髁恐饕侵竷?nèi)外網(wǎng)邊界之間流經(jīng)的流量，相對地，東西向流量主要是指數(shù)據(jù)中心的內(nèi)部網(wǎng)絡(luò)的設(shè)備之間流經(jīng)的流量；而隨著數(shù)據(jù)中心的部署結(jié)構(gòu)的不斷優(yōu)化以及新設(shè)備的加入，東西向流量比重逐步提升，但這將導(dǎo)致出現(xiàn)大量的內(nèi)網(wǎng)非法訪問。

這是因?yàn)閼T用的安全防護(hù)，例如防火墻等技術(shù)，針對的是南北向流量，當(dāng)很多內(nèi)部網(wǎng)絡(luò)中的主機(jī)被攻陷后，被會作為接觸、竊取重要數(shù)據(jù)的跳板，以非法訪問內(nèi)部網(wǎng)絡(luò)中其它重要的服務(wù)器，所以，需要針對東西向流量來建立安全防護(hù)策略。

其中，現(xiàn)有的針對東西向流量的安全防護(hù)策略可為，通過虛擬化方法建立分布式防火墻，即微分段，來控制數(shù)據(jù)中心內(nèi)部服務(wù)器。

但是，微分段在實(shí)施時存在如下問題：

(1)隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，若用戶手動配置分布式防火墻容易出錯，這可能導(dǎo)致網(wǎng)絡(luò)中斷或者邊界存在漏洞，難以給出全局最優(yōu)配置，而且效率較低；

(2)當(dāng)前的微分段部署也無法感知當(dāng)安全規(guī)則或者安全策略下發(fā)后對網(wǎng)絡(luò)整體造成的影響，也無法感知當(dāng)安全規(guī)則或者安全策略下發(fā)后網(wǎng)絡(luò)是否真的按照管理者的最初管理意圖在運(yùn)行。

所以，對于微分段技術(shù)而言，需要一種自動化且智能化的方法來使得微分段的部署和管理變得更為簡單。

目前的微分段自動化且智能化的解決方案如下：

(1)通過訪問關(guān)系自動推薦安全規(guī)則；

首先，安全策略默認(rèn)拒絕所有流量，然后，通過對過往一段時間內(nèi)的歷史流量進(jìn)行分析，從中提取出應(yīng)用/服務(wù)訪問關(guān)系，例如，哪個應(yīng)用訪問哪個應(yīng)用、哪個源互聯(lián)網(wǎng)協(xié)議地址(Internet Protocol Address，IP地址)訪問了哪個目的IP地址、哪個安全組訪問了哪個安全組、流量的方向及大小、是南北向流量還是東西向流量等，通過上述提取出的訪問關(guān)系來自動化進(jìn)行可放行流量的推薦，以放行特定方向上的特定流量。

但是，該方案的缺點(diǎn)在于功能簡單，且需要有流量才能生成最終的放行策略。

(2)基于網(wǎng)絡(luò)數(shù)據(jù)平面進(jìn)行建模；

首先，先從網(wǎng)絡(luò)數(shù)據(jù)平面，例如，物理或虛擬網(wǎng)絡(luò)設(shè)備，獲取配置信息以及轉(zhuǎn)發(fā)/安全規(guī)則，根據(jù)獲取到的信息來建立網(wǎng)絡(luò)模型，進(jìn)而可根據(jù)網(wǎng)絡(luò)模型來驗(yàn)證安全策略的正確性。并在修改安全策略之前，完成對于網(wǎng)絡(luò)行為的預(yù)測。

但是，該方案的缺點(diǎn)在于，由于多使用簡單的列表或哈希表來進(jìn)行全網(wǎng)的安全策略的存放，存在匹配速度慢或內(nèi)存開銷大的問題，而且無法處理復(fù)雜情況。

其次，若通過機(jī)器學(xué)習(xí)來處理復(fù)雜情況，會存在一定的誤報率。

(3)基于終端安全代理(agent)實(shí)現(xiàn)微分段；

在數(shù)據(jù)中心中先部署一個中央控制器，該中央控制器將與各設(shè)備的agent進(jìn)行交互，從各agent處收集信息，并且向agent下發(fā)策略。其中，所述agent一般安裝在終端，包括物理服務(wù)器、虛擬機(jī)以及容器上。