本發明公開一種安全策略自動下發的方法及裝置，其中，該方法包括：管控平臺收集數據中心的安全組信息，并根據安全組下的虛擬機地址信息，構成地址組；管控平臺將安全規則和地址組信息通告給安全管理系統；安全管理系統根據地址組信息和安全規則，構成安全策略；安全管理系統將安全組轉換的安全策略與邊界防火墻上現有的安全策略進行比對；根據比對結果，更新邊界防火墻上的安全策略或者地址組。該方法及裝置通過邊界防火墻安全策略與數據中心內部安全組的相互協作，提高系統的安全性以及提高運維的效率。

技術領域

本發明涉及安全策略運維和管理領域，尤其是一種安全策略自動下發的方法及裝置。

背景技術

數據中心的南北向流量和東西向流量的安全策略是獨立運維和管理的。一般情況下，南北向流量即外部流量訪問數據中心內部服務器，或者內部服務器訪問外部網絡，其安全策略由邊界防火墻執行；東西向流量即數據中心內部服務器之間的流量，一般通過安全組來實施安全管控。

目前，邊界防火墻和內部安全組由不同的控制管理系統來管理。由于數據中心虛擬機的遷移、擴容以及虛擬機地址變更等等，邊界防火墻不能感知到這些變化，導致了很多邊界防火墻配置的安全策略無效，或者沖突等。

發明內容

為解決上述存在的問題，本發明提供一種安全策略自動下發的方法及裝置，通過邊界防火墻安全策略與數據中心內部安全組的相互協作，提高系統的安全性以及提高運維的效率。

為實現上述目的，本發明采用下述技術方案：

在本發明一實施例中，提出了一種安全策略自動下發的方法，該方法包括：

管控平臺收集數據中心的安全組信息，并根據安全組下的虛擬機地址信息，構成地址組；

管控平臺將安全規則和地址組信息通告給安全管理系統；

安全管理系統根據地址組信息和安全規則，構成安全策略；

安全管理系統將安全組轉換的安全策略與邊界防火墻上現有的安全策略進行比對；

根據比對結果，更新邊界防火墻上的安全策略或者地址組。

進一步地，安全組對加入安全組的虛擬機執行安全規則，安全規則由優先級、授權對象、協議、端口范圍、動作以及規則方向構成，且安全規則在安全組內編號唯一。

進一步地，若安全規則優先級相同，則拒絕策略的規則優先生效，允許策略的規則不生效；若安全規則優先級不同，則優先級高的規則生效。

進一步地，管控平臺根據安全組所加入的主機，獲取主機的IP地址信息，由安全組下的主機IP地址構成地址組；在管控范圍內，地址組名稱唯一。

進一步地，管控平臺將安全規則和地址組信息通告給安全管理系統，包括：

管控平臺將安全規則和安全規則所關聯的地址組信息通告給安全管理系統；

除了第一次同步是全量通告，后續僅通告變更信息；當安全組下的虛擬機變更時，僅僅通告地址組的變更信息；

安全規則變更時，僅僅通告地址組名稱和變更的安全規則。

進一步地，安全管理系統根據地址組信息和安全規則，構成安全策略，包括：

安全管理系統首先根據安全規則下的地址組確定地址組所對應的安全組下主機所屬的安全域；根據授權對象所對應的IP地址或者地址組確定授權對象所對應的安全域；對于無法匹配到合適安全域的地址組信息，則丟棄該地址組相關的安全規則；

安全管理系統進一步根據安全域以及安全規則下的動作、協議和端口范圍，以及地址組和授權對象構成安全策略，并根據安全規則優先級設置安全策略的優先級；優先級高者在前。