[發明專利]一種安全策略自動下發的方法及裝置在審
| 申請號: | 202011266711.5 | 申請日: | 2020-11-13 |
| 公開(公告)號: | CN112491822A | 公開(公告)日: | 2021-03-12 |
| 發明(設計)人: | 何文娟 | 申請(專利權)人: | 中盈優創資訊科技有限公司 |
| 主分類號: | H04L29/06 | 分類號: | H04L29/06 |
| 代理公司: | 上海嘉藍專利代理事務所(普通合伙) 31407 | 代理人: | 金波 |
| 地址: | 200000 上海市嘉定區安*** | 國省代碼: | 上海;31 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 安全策略 自動 下發 方法 裝置 | ||
1.一種安全策略自動下發的方法,其特征在于,該方法包括:
管控平臺收集數據中心的安全組信息,并根據安全組下的虛擬機地址信息,構成地址組;
管控平臺將安全規則和地址組信息通告給安全管理系統;
安全管理系統根據地址組信息和安全規則,構成安全策略;
安全管理系統將安全組轉換的安全策略與邊界防火墻上現有的安全策略進行比對;
根據比對結果,更新邊界防火墻上的安全策略或者地址組。
2.根據權利要求1所述的安全策略自動下發的方法,其特征在于,所述安全組對加入安全組的虛擬機執行安全規則,安全規則由優先級、授權對象、協議、端口范圍、動作以及規則方向構成,且安全規則在安全組內編號唯一。
3.根據權利要求2所述的安全策略自動下發的方法,其特征在于,若所述安全規則優先級相同,則拒絕策略的規則優先生效,允許策略的規則不生效;若所述安全規則優先級不同,則優先級高的規則生效。
4.根據權利要求1所述的安全策略自動下發的方法,其特征在于,所述管控平臺根據安全組所加入的主機,獲取主機的IP地址信息,由安全組下的主機IP地址構成地址組;在管控范圍內,地址組名稱唯一。
5.根據權利要求1所述的安全策略自動下發的方法,其特征在于,管控平臺將安全規則和地址組信息通告給安全管理系統,包括:
管控平臺將安全規則和安全規則所關聯的地址組信息通告給安全管理系統;
除了第一次同步是全量通告,后續僅通告變更信息;當安全組下的虛擬機變更時,僅僅通告地址組的變更信息;
安全規則變更時,僅僅通告地址組名稱和變更的安全規則。
6.根據權利要求1所述的安全策略自動下發的方法,其特征在于,安全管理系統根據地址組信息和安全規則,構成安全策略,包括:
安全管理系統首先根據安全規則下的地址組確定地址組所對應的安全組下主機所屬的安全域;根據授權對象所對應的IP地址或者地址組確定授權對象所對應的安全域;對于無法匹配到合適安全域的地址組信息,則丟棄該地址組相關的安全規則;
安全管理系統進一步根據安全域以及安全規則下的動作、協議和端口范圍,以及地址組和授權對象構成安全策略,并根據安全規則優先級設置安全策略的優先級;優先級高者在前。
7.根據權利要求1所述的安全策略自動下發的方法,其特征在于,安全管理系統將安全組轉換的安全策略與邊界防火墻上現有的安全策略進行比對,包括:
安全管理系統將相同源安全域和目的安全域的安全組所對應的安全策略與邊界防火墻上現有的安全策略進行比對;比對結果包括:安全規則新增、安全組新增、地址組更新、地址組新增、地址組刪除、安全組刪除、安全規則更新和安全規則刪除;
若安全管理系統接收到的是地址組或者安全規則的變更通知,則根據地址組檢測邊界防火墻上的地址組和地址組相關的安全策略,僅僅更新地址組或者根據安全規則,更新安全規則相關的安全策略。
8.根據權利要求1所述的安全策略自動下發的方法,其特征在于,根據比對結果,更新邊界防火墻上的安全策略或者地址組,包括:
根據比對結果,更新邊界防火墻上的安全策略或者地址組,若安全組新增,則在邊界防火墻上新增安全策略,若地址組更新,則更新邊界防火墻上的地址組;若安全規則刪除,則刪除邊界防火墻上的某個安全策略。
9.一種安全策略自動下發的裝置,其特征在于,該裝置包括:
管控平臺,用于收集數據中心的安全組信息,并根據安全組下的虛擬機地址信息,構成地址組;將安全規則和地址組信息通告給安全管理系統;
安全管理系統,用于根據地址組信息和安全規則,構成安全策略;將安全組轉換的安全策略與邊界防火墻上現有的安全策略進行比對;根據比對結果,更新邊界防火墻上的安全策略或者地址組;
邊界防火墻,用于根據安全策略對南北向流量進行管控;
安全組,用于對加入安全組的主機根據安全規則實施安全管控。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中盈優創資訊科技有限公司,未經中盈優創資訊科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202011266711.5/1.html,轉載請聲明來源鉆瓜專利網。
- 上一篇:治具
- 下一篇:一種自動化專線中繼割接方法及裝置
