[發明專利]按需安全策略提供有效
| 申請號: | 201980019962.2 | 申請日: | 2019-03-19 |
| 公開(公告)號: | CN111919418B | 公開(公告)日: | 2023-09-22 |
| 發明(設計)人: | 穆魯卡南丹·潘查林格姆;烏馬馬赫斯瓦拉勞·卡里亞普迪;詹盧卡·馬登特;阿拉姆·阿加巴比揚 | 申請(專利權)人: | 思科技術公司 |
| 主分類號: | H04L41/0894 | 分類號: | H04L41/0894 |
| 代理公司: | 北京東方億思知識產權代理有限責任公司 11258 | 代理人: | 楊佳婧 |
| 地址: | 美國加利*** | 國省代碼: | 暫無信息 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 安全策略 提供 | ||
1.一種方法,包括:
在包括多個網莢的網絡中,在第一網莢中針對第一端點組(EPG)配置一個或多個安全策略,所述一個或多個安全策略包括黑名單規則和白名單規則,所述黑名單規則和所述白名單規則定義用于所述第一EPG與所述網絡中的一個或多個第二網莢中的一個或多個第二EPG之間的通信的流量安全實施規則;
基于每個策略的相應特性,將相應優先級分配給所述一個或多個安全策略,其中,與較不具體的策略相比,更具體的策略被分配更高的優先級;
檢測與所述第一EPG相關聯的虛擬機從所述第一網莢到來自所述一個或多個第二網莢的第二網莢上的目標節點的移動;以及
當與所述第一EPG相關聯的虛擬機是所述第二網莢上要與所述第一EPG相關聯的第一個虛擬機時,在所述目標節點或所述第二網莢中的至少一者中針對所述第一EPG自動提供所述一個或多個安全策略。
2.根據權利要求1所述的方法,還包括:
當與所述第一EPG相關聯的虛擬機是所述第一網莢上與所述第一EPG相關聯的最后虛擬機時,從所述第一網莢中自動移除所述一個或多個安全策略中的至少一個。
3.根據權利要求1至2中任一項所述的方法,還包括:
經由所述網絡上的控制器呈現配置元件,所述配置元件提供用于手動覆蓋與所述一個或多個安全策略相關聯的相應隱式優先級的選項。
4.根據權利要求1至2中任一項所述的方法,其中,所述一個或多個安全策略包括所述第一EPG與所述一個或多個第二EPG之間的合同。
5.根據權利要求4所述的方法,其中,所述合同定義針對相關聯的流量的相應EPG,以及相應上下文、相應主題、相應過濾器、相應源或相應目的地中的至少一個。
6.根據權利要求1至2中任一項所述的方法,其中,所述一個或多個安全策略基于所述網絡的模式,所述模式包括分層管理信息樹。
7.根據權利要求1至2中任一項所述的方法,其中,所述網絡包括軟件定義的網絡,并且所述多個網莢包括所述軟件定義的網絡中的多個網絡結構段。
8.一種系統,包括一個或多個處理器,所述一個或多個處理器被配置為:
在包括多個網莢的網絡中,在第一網莢中針對第一端點組(EPG)配置一個或多個安全策略,所述一個或多個安全策略包括黑名單規則和白名單規則,所述黑名單規則和所述白名單規則定義用于所述第一EPG與所述網絡中的一個或多個第二網莢中的一個或多個第二EPG之間的通信的流量安全實施規則;
基于每個策略的相應特性,將相應優先級分配給所述一個或多個安全策略,其中,與較不具體的策略相比,更具體的策略被分配更高的優先級;
檢測與所述第一EPG相關聯的虛擬機在所述網絡中從所述第一網莢到來自所述一個或多個第二網莢的第二網莢的移動;以及
響應于所述移動,在所述第二網莢中針對所述第一EPG動態提供所述一個或多個安全策略。
9.根據權利要求8所述的系統,其中,所述一個或多個安全策略包括所述第一EPG與所述一個或多個第二EPG之間的合同。
10.根據權利要求9所述的系統,其中,所述合同定義針對相關聯的流量的相應EPG,以及相應上下文、相應主題、相應過濾器、相應源或相應目的地中的至少一個。
11.根據權利要求8至10中任一項所述的系統,所述一個或多個處理器被配置為:
呈現配置元件,所述配置元件提供用于手動覆蓋與所述一個或多個安全策略相關聯的相應隱式優先級的選項。
12.根據權利要求8至10中任一項所述的系統,其中,所述網絡包括軟件定義的網絡,并且其中,所述多個網莢包括所述軟件定義的網絡中的多個網絡結構段。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于思科技術公司,未經思科技術公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201980019962.2/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:便攜式火塘
- 下一篇:用于使用經校準的修整劑量校正關鍵尺寸的方法
