本發(fā)明公開了一種基于微服務(wù)架構(gòu)的網(wǎng)絡(luò)訪問控制系統(tǒng)，屬于網(wǎng)絡(luò)訪問控制領(lǐng)域，針對(duì)現(xiàn)有技術(shù)中由于網(wǎng)絡(luò)對(duì)象和網(wǎng)絡(luò)關(guān)系的復(fù)雜度增加，網(wǎng)絡(luò)訪問控制策略的配置和維護(hù)工作量會(huì)呈指數(shù)級(jí)增長(zhǎng)，同時(shí)管理人員也難以分析和審計(jì)各個(gè)控制策略的業(yè)務(wù)合理性與必要性的問題，本發(fā)明通過嵌入微服務(wù)的設(shè)計(jì)流程，對(duì)微服務(wù)角色和通信端口進(jìn)行預(yù)定義；再在具體的部署和實(shí)施過程中，結(jié)合管理或技術(shù)手段，實(shí)現(xiàn)網(wǎng)絡(luò)控制策略的快速配置；充分利用了微服務(wù)的特性，對(duì)各應(yīng)用系統(tǒng)間的網(wǎng)絡(luò)訪問需求進(jìn)行整合。本發(fā)明應(yīng)用于微服務(wù)架構(gòu)的網(wǎng)絡(luò)訪問。

技術(shù)領(lǐng)域

發(fā)明涉及網(wǎng)絡(luò)訪問控制領(lǐng)域，具體涉及一種基于微服務(wù)架構(gòu)的網(wǎng)絡(luò)訪問控制系統(tǒng)。

背景技術(shù)

微服務(wù)可以實(shí)現(xiàn)特定的業(yè)務(wù)范圍內(nèi)的一個(gè)完全獨(dú)立、細(xì)粒度、自包含的服務(wù)，微服務(wù)需要運(yùn)行在一套獨(dú)立的環(huán)境下，該環(huán)境不能對(duì)外部有依賴性。微服務(wù)的目的是有效拆分應(yīng)用，從而實(shí)現(xiàn)敏捷開發(fā)和部署。

當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)因其具有開放性、多樣性、脆弱性和匿名性而面臨日益嚴(yán)重的安全威脅。通過網(wǎng)絡(luò)訪問控制能夠減小暴露面、阻斷針對(duì)非授權(quán)端口或服務(wù)的網(wǎng)絡(luò)攻擊，因而被作為構(gòu)建縱深防御體系的底層技術(shù)手段。網(wǎng)絡(luò)訪問控制一般通過專用設(shè)備配置源地址至目的地址的明細(xì)策略來(lái)實(shí)現(xiàn)。

隨著互聯(lián)網(wǎng)的發(fā)展和用戶群體的快速增加，越來(lái)越多的在線服務(wù)應(yīng)用系統(tǒng)面臨客戶端連接并發(fā)高、用戶流量變化劇烈、業(yè)務(wù)組合邏輯復(fù)雜、服務(wù)可靠性要求高等技術(shù)難題。微服務(wù)架構(gòu)很好地緩釋了上述挑戰(zhàn)帶來(lái)的風(fēng)險(xiǎn)，但同時(shí)也大幅度增加了應(yīng)用系統(tǒng)內(nèi)網(wǎng)絡(luò)對(duì)象和網(wǎng)絡(luò)訪問關(guān)系的數(shù)量。傳統(tǒng)的網(wǎng)絡(luò)訪問控制方法和網(wǎng)絡(luò)訪問控制設(shè)備均不關(guān)心上層應(yīng)用的業(yè)務(wù)邏輯和網(wǎng)絡(luò)對(duì)象內(nèi)部各IP的內(nèi)在關(guān)聯(lián)，僅按照從源地址至目的地址的明細(xì)需求來(lái)配置訪問控制列表。在微服務(wù)架構(gòu)下，由于網(wǎng)絡(luò)對(duì)象和網(wǎng)絡(luò)關(guān)系的復(fù)雜度增加，網(wǎng)絡(luò)訪問控制策略的配置和維護(hù)工作量會(huì)呈指數(shù)級(jí)增長(zhǎng)，同時(shí)管理人員也難以分析和審計(jì)各個(gè)控制策略的業(yè)務(wù)合理性與必要性。

發(fā)明內(nèi)容

針對(duì)現(xiàn)有技術(shù)中由于網(wǎng)絡(luò)對(duì)象和網(wǎng)絡(luò)關(guān)系的復(fù)雜度增加，網(wǎng)絡(luò)訪問控制策略的配置和維護(hù)工作量會(huì)呈指數(shù)級(jí)增長(zhǎng)，同時(shí)管理人員也難以分析和審計(jì)各個(gè)控制策略的業(yè)務(wù)合理性與必要性的問題，本發(fā)明提供一種基于微服務(wù)架構(gòu)的網(wǎng)絡(luò)訪問控制系統(tǒng)，其目的在于：充分利用微服務(wù)的特性，對(duì)各應(yīng)用系統(tǒng)間的網(wǎng)絡(luò)訪問需求進(jìn)行整合，在滿足最小權(quán)限原則的基礎(chǔ)上縮減網(wǎng)絡(luò)安全策略的數(shù)量，保證網(wǎng)絡(luò)安全策略的有效性，提升網(wǎng)絡(luò)安全策略的可維護(hù)性。

本發(fā)明采用的技術(shù)方案如下：

數(shù)個(gè)微服務(wù)系統(tǒng)、數(shù)個(gè)網(wǎng)絡(luò)端口和數(shù)個(gè)網(wǎng)絡(luò)訪問控制設(shè)備，所述網(wǎng)絡(luò)訪問控制設(shè)備設(shè)置在所述網(wǎng)絡(luò)端口與所述微服務(wù)系統(tǒng)的訪問路徑上；

在應(yīng)用系統(tǒng)的構(gòu)建和設(shè)計(jì)時(shí)，將各個(gè)所述微服務(wù)系統(tǒng)進(jìn)行分析，得出微服務(wù)系統(tǒng)的種類和功能，根據(jù)微服務(wù)系統(tǒng)的種類和基本功能將微服務(wù)系統(tǒng)分割為不同的訪問類型；

網(wǎng)絡(luò)訪問控制設(shè)備根據(jù)不同的訪問類型對(duì)微服務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)配置，包括IP地址池和網(wǎng)絡(luò)端口，配置完成后形成不同的“微服務(wù)角色”，并預(yù)定義不同“微服務(wù)角色”的網(wǎng)絡(luò)端口；

部署或更新微服務(wù)系統(tǒng)時(shí)，主機(jī)通過接入預(yù)定義的網(wǎng)絡(luò)端口，關(guān)聯(lián)對(duì)應(yīng)的“微服務(wù)角色”。

進(jìn)一步的，每一個(gè)“微服務(wù)角色”設(shè)置為一個(gè)IP地址池和一個(gè)或數(shù)個(gè)網(wǎng)絡(luò)端口的組合，不同的“微服務(wù)角色”通過預(yù)定義不同的網(wǎng)絡(luò)端口進(jìn)行區(qū)分。

進(jìn)一步的，能夠?qū)Χ鄠€(gè)“微服務(wù)角色”配置同一個(gè)IP地址，但是“一個(gè)IP地址+網(wǎng)絡(luò)端口”的組合對(duì)象只能配置給某一個(gè)特定的“微服務(wù)角色”。

進(jìn)一步的，“微服務(wù)角色”根據(jù)人機(jī)交互功能和系統(tǒng)間交互功能將微服務(wù)系統(tǒng)劃分為不同的類型，若一個(gè)“微服務(wù)角色”同時(shí)提供人機(jī)交互功能和系統(tǒng)間交互功能，則該“微服務(wù)角色”歸類于提供系統(tǒng)間交互功能的類型。

進(jìn)一步的，若“微服務(wù)角色”的網(wǎng)絡(luò)端口是對(duì)外功能接口，則將該“微服務(wù)角色”為對(duì)外訪問類型，若“微服務(wù)角色”的網(wǎng)絡(luò)接口是對(duì)內(nèi)功能接口，則將該“微服務(wù)角色”為對(duì)內(nèi)訪問類型。