本发明涉及安全策略运维和管理领域,尤其是一种安全策略自动下发的方法及装置。
背景技术:
数据中心的南北向流量和东西向流量的安全策略是独立运维和管理的。一般情况下,南北向流量即外部流量访问数据中心内部服务器,或者内部服务器访问外部网络,其安全策略由边界防火墙执行;东西向流量即数据中心内部服务器之间的流量,一般通过安全组来实施安全管控。
目前,边界防火墙和内部安全组由不同的控制管理系统来管理。由于数据中心虚拟机的迁移、扩容以及虚拟机地址变更等等,边界防火墙不能感知到这些变化,导致了很多边界防火墙配置的安全策略无效,或者冲突等。
技术实现要素:
为解决上述存在的问题,本发明提供一种安全策略自动下发的方法及装置,通过边界防火墙安全策略与数据中心内部安全组的相互协作,提高系统的安全性以及提高运维的效率。
为实现上述目的,本发明采用下述技术方案:
在本发明一实施例中,提出了一种安全策略自动下发的方法,该方法包括:
管控平台收集数据中心的安全组信息,并根据安全组下的虚拟机地址信息,构成地址组;
管控平台将安全规则和地址组信息通告给安全管理系统;
安全管理系统根据地址组信息和安全规则,构成安全策略;
安全管理系统将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对;
根据比对结果,更新边界防火墙上的安全策略或者地址组。
进一步地,安全组对加入安全组的虚拟机执行安全规则,安全规则由优先级、授权对象、协议、端口范围、动作以及规则方向构成,且安全规则在安全组内编号唯一。
进一步地,若安全规则优先级相同,则拒绝策略的规则优先生效,允许策略的规则不生效;若安全规则优先级不同,则优先级高的规则生效。
进一步地,管控平台根据安全组所加入的主机,获取主机的ip地址信息,由安全组下的主机ip地址构成地址组;在管控范围内,地址组名称唯一。
进一步地,管控平台将安全规则和地址组信息通告给安全管理系统,包括:
管控平台将安全规则和安全规则所关联的地址组信息通告给安全管理系统;
除了第一次同步是全量通告,后续仅通告变更信息;当安全组下的虚拟机变更时,仅仅通告地址组的变更信息;
安全规则变更时,仅仅通告地址组名称和变更的安全规则。
进一步地,安全管理系统根据地址组信息和安全规则,构成安全策略,包括:
安全管理系统首先根据安全规则下的地址组确定地址组所对应的安全组下主机所属的安全域;根据授权对象所对应的ip地址或者地址组确定授权对象所对应的安全域;对于无法匹配到合适安全域的地址组信息,则丢弃该地址组相关的安全规则;
安全管理系统进一步根据安全域以及安全规则下的动作、协议和端口范围,以及地址组和授权对象构成安全策略,并根据安全规则优先级设置安全策略的优先级;优先级高者在前。
进一步地,安全管理系统将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对,包括:
安全管理系统将相同源安全域和目的安全域的安全组所对应的安全策略与边界防火墙上现有的安全策略进行比对;比对结果包括:安全规则新增、安全组新增、地址组更新、地址组新增、地址组删除、安全组删除、安全规则更新和安全规则删除;
若安全管理系统接收到的是地址组或者安全规则的变更通知,则根据地址组检测边界防火墙上的地址组和地址组相关的安全策略,仅仅更新地址组或者根据安全规则,更新安全规则相关的安全策略。
进一步地,根据比对结果,更新边界防火墙上的安全策略或者地址组,包括:
根据比对结果,更新边界防火墙上的安全策略或者地址组,若安全组新增,则在边界防火墙上新增安全策略,若地址组更新,则更新边界防火墙上的地址组;若安全规则删除,则删除边界防火墙上的某个安全策略。
在本发明一实施例中,还提出了一种安全策略自动下发的装置,该装置包括:
管控平台,用于收集数据中心的安全组信息,并根据安全组下的虚拟机地址信息,构成地址组;将安全规则和地址组信息通告给安全管理系统;
安全管理系统,用于根据地址组信息和安全规则,构成安全策略;将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对;根据比对结果,更新边界防火墙上的安全策略或者地址组;
边界防火墙,用于根据安全策略对南北向流量进行管控;
安全组,用于对加入安全组的主机根据安全规则实施安全管控。
进一步地,安全组对加入安全组的虚拟机执行安全规则,安全规则由优先级、授权对象、协议、端口范围、动作以及规则方向构成,且安全规则在安全组内编号唯一。
进一步地,若安全规则优先级相同,则拒绝策略的规则优先生效,允许策略的规则不生效;若安全规则优先级不同,则优先级高的规则生效。
进一步地,管控平台根据安全组所加入的主机,获取主机的ip地址信息,由安全组下的主机ip地址构成地址组;在管控范围内,地址组名称唯一。
进一步地,管控平台中将安全规则和地址组信息通告给安全管理系统,包括:
管控平台将安全规则和安全规则所关联的地址组信息通告给安全管理系统;
除了第一次同步是全量通告,后续仅通告变更信息;当安全组下的虚拟机变更时,仅仅通告地址组的变更信息;
安全规则变更时,仅仅通告地址组名称和变更的安全规则。
进一步地,安全管理系统中根据地址组信息和安全规则,构成安全策略,包括:
安全管理系统首先根据安全规则下的地址组确定地址组所对应的安全组下主机所属的安全域;根据授权对象所对应的ip地址或者地址组确定授权对象所对应的安全域;对于无法匹配到合适安全域的地址组信息,则丢弃该地址组相关的安全规则;
安全管理系统进一步根据安全域以及安全规则下的动作、协议和端口范围,以及地址组和授权对象构成安全策略,并根据安全规则优先级设置安全策略的优先级;优先级高者在前。
进一步地,安全管理系统中将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对,包括:
安全管理系统将相同源安全域和目的安全域的安全组所对应的安全策略与边界防火墙上现有的安全策略进行比对;比对结果包括:安全规则新增、安全组新增、地址组更新、地址组新增、地址组删除、安全组删除、安全规则更新和安全规则删除;
若安全管理系统接收到的是地址组或者安全规则的变更通知,则根据地址组检测边界防火墙上的地址组和地址组相关的安全策略,仅仅更新地址组或者根据安全规则,更新安全规则相关的安全策略。
进一步地,安全管理系统中根据比对结果,更新边界防火墙上的安全策略或者地址组,包括:
根据比对结果,更新边界防火墙上的安全策略或者地址组,若安全组新增,则在边界防火墙上新增安全策略,若地址组更新,则更新边界防火墙上的地址组;若安全规则删除,则删除边界防火墙上的某个安全策略。
在本发明一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述安全策略自动下发的方法。
在本发明一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行安全策略自动下发的方法的计算机程序。
有益效果:
本发明通过边界防火墙安全策略与数据中心内部安全组的相互协作,提高系统的安全性以及提高运维的效率。
附图说明
图1是本发明一实施例的数据中心的逻辑视图;
图2是本发明一实施例的安全策略自动下发的方法流程示意图;
图3是本发明一实施例的数据中心的逻辑示例图;
图4是本发明一实施例的安全策略自动下发的装置结构示意图;
图5是本发明一实施例的计算机设备结构示意图。
具体实施方式
下面将参考若干示例性实施方式来描述本发明的原理和精神,应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
根据本发明的实施方式,提出了一种安全策略自动下发的方法及装置,将数据中心的安全组信息映射为安全策略,并将其与边界防火墙的安全策略进行比对,根据比对结果,自动更新边界防火墙的安全策略,从而实现了数据中心内外部安全策略的项目协作以及自动下发。
下面参考本发明的若干代表性实施方式,详细阐释本发明的原理和精神。
图1是本发明一实施例的数据中心的逻辑视图。如图1所示,安全策略分别由边界防火墙和分布式虚拟防火墙来执行,fw(firewall,防火墙)为边界防火墙,管控南北向流量,dvfw(distributedvirtualfirewall,分布式虚拟防火墙)作为数据中心安全组的执行点,主要来管控东西向流量,控制加入安全组的虚拟机的入流量和出流量,一个安全组由多个安全规则组成。边界防火墙一般由安全管控系统来管理,dvfw一般由内部管控平台或者sdn(softwaredefinednetwork,软件定义网络)控制器来管控。数据中心内部管控平台管理安全组的配置,当虚拟机进行变更、牵引时,安全组的配置无需变化,自动适应虚拟机的变更。安全组同安全策略一样,具备状态监测和包过滤能力。图中,vs(virtualswitch:虚拟交换机)、vr(virtualrouter:虚拟路由器)和vm(virtualmachine,虚拟机)构成了服务器内部的网络元素。安全组可以由其他的执行点执行,本实施例以dvfw为例。
在下文中,管控平台是指数据中心内部管控平台,管理内部安全组;安全管理系统是指外部安全管理平台,管理边界的防火墙。
图2是本发明一实施例的安全策略自动下发的方法流程示意图。如图2所示,该方法包括:
s1、管控平台收集数据中心的安全组信息;并根据安全组下的虚拟机地址信息,构成地址组;
安全组对加入安全组的虚拟机执行安全规则,安全规则由优先级、授权对象、协议、端口范围、动作以及规则方向构成;
优先级:由0-255构成,数字越小,优先级越高;优先级相同:拒绝策略的规则优先生效,允许策略的规则不生效;优先级不同:优先级高的规则生效;本发明不限制优先级的定义方式;
授权对象:一般可以由ip地址段或者安全组id构成;
规则方向:一般是指出入方向,也可以是内网出入方向或者公网出入方向等;
动作:表示允许和拒绝;该规则标识可拒绝某些流量或者允许某些流量的进出;
协议:tcp,udp,icmp等;
端口范围:指应用或者协议开启的端口,缺省范围是0-65535;
管控平台根据安全组所加入的主机,获取主机的ip地址信息,由安全组下的主机ip地址构成地址组;在管控范围内,地址组名称唯一;
安全规则在安全组内编号唯一;
s2、管控平台将安全规则和地址组信息通告给安全管理系统;
管控平台将安全规则和安全规则所关联的地址组信息通告给安全管理系统;
除了第一次同步是全量通告,后续仅通告变更信息;当安全组下的虚拟机变更时,仅仅通告地址组的变更信息;
安全规则变更时,仅仅通告地址组名称和变更的安全规则;
s3、安全管理系统根据地址组信息和安全规则,构成安全策略;
安全管理系统首先根据安全规则下的地址组确定安全域;本实施例中,根据地址组的信息,匹配路由表,并根据路由的出接口,确定地址组所对应的安全组下主机所属的安全域;根据授权对象所对应的ip地址或者地址组来匹配路由表确定授权对象所对应的安全域;对于无法匹配到合适安全域的地址组信息,则说明地址组相关的流量不会进过防火墙,则丢弃该地址组相关的安全规则;
安全管理系统进一步根据安全域以及安全规则下的动作、协议和端口范围,以及地址组和授权对象构成安全策略,并根据安全规则优先级,设置安全策略的优先级;优先级高者在前;
s4、安全管理系统将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对;
安全管理系统将相同源安全域和目的安全域的安全组所对应的安全策略与边界防火墙上现有的安全策略进行比对;比对结果包括:安全规则新增、安全组新增、地址组更新、地址组新增、地址组删除、安全组删除、安全规则更新和安全规则删除等;
若安全管理系统接收到的是地址组或者安全规则的变更通知,则根据地址组检测边界防火墙上的地址组和地址组相关的安全策略,仅仅更新地址组或者根据安全规则,更新安全规则相关的安全策略。
s5、根据比对结果,更新边界防火墙上的安全策略或者地址组;
根据比对结果,更新边界防火墙上的安全策略或者地址组,若安全组新增,则在边界墙上新增安全策略;若地址组更新,则更新防火墙上的地址组;若安全规则删除,则删除防火墙上的某个安全策略等等。
需要说明的是,尽管在上述实施例及附图中以特定顺序描述了本发明方法的操作,但是,这并非要求或者暗示必须按照该特定顺序来执行这些操作,或是必须执行全部所示的操作才能实现期望的结果。附加地或备选地,可以省略某些步骤,将多个步骤合并为一个步骤执行,和/或将一个步骤分解为多个步骤执行。
为了对上述安全策略自动下发的方法进行更为清楚的解释,下面结合一个具体的实施例来进行说明,然而值得注意的是该实施例仅是为了更好地说明本发明,并不构成对本发明不当的限定。
图3是本发明一实施例的数据中心的逻辑示例图。如图3所示,数据中心内部有多个安全组,其中安全组a,加入的主机有vm1,vm2,vm3,安全组a下有1条安全规则,则允许外网101.10.10.10地址访问其80端口。
实现步骤如下:
s1、管控平台收集数据中心的安全组信息,并根据安全组下的虚拟机地址信息,构成地址组;
安全组对加入安全组的虚拟机执行安全规则,安全规则由优先级、授权对象、协议、端口范围、动作以及规则方向构成。
本实施例中,安全组a的主机vm1,vm2,vm3的ip地址分别为192.168.10.2,192.168.10.3,192.168.10.4;安全规则id为1,优先级为0,动作为允许;协议为tcp,端口为80;授权对象为101.10.10.10,规则方向为入方向;
根据本安全组下的虚拟机地址的情况,构成地址组,地址组名称为security-group-a;
s2、管控平台将安全规则和地址组信息通告给安全管理系统;
管控平台将安全规则和安全规则所关联的地址组信息通告给安全管理系统;
地址组即security-group-a,包含192.168.10.2,192.168.10.3,192.168.10.4等三个地址;
除了第一次同步是全量通告,后续仅通告变更信息;当安全组下的虚拟机变更时,仅仅通告地址组的变更信息;
安全规则变更时,仅仅通告地址组名称和变更的安全规则;
管控平台和安全管理系统之间的接口为restfulapi接口;
s3、安全管理系统根据地址组信息和安全规则,构成安全策略;
安全管理系统首先根据安全规则下的地址组匹配路由表,并根据路由的出接口,确定地址组所对应的安全组下主机所属的安全域;根据授权对象所对应的ip地址或者地址组确定授权对象所对应的安全域;在本实施例中,地址组security-group-a对应的安全域为trust,授权对象即外网地址101.10.10.10对应的安全域为untrust;根据规则方向为入方向,进一步确定源安全地址域为untrust,目的安全域为trust;
对于无法匹配到合适安全域的地址组信息,则说明地址组相关的流量不会进过防火墙,则丢弃该地址组相关的安全规则;
安全管理系统进一步根据安全域以及安全规则下的动作(允许)、协议(tcp)和端口(80),以及地址组和授权对象构成安全策略,并根据安全规则优先级设置安全策略的优先级;优先级高者在前;
根据安全规则和地址组转换的安全策略为:
源安全域:untrust,目的安全域:trust;动作:允许,协议:tcp,端口80,源地址组:101.10.10.10;目的地址组:security-group-a。
s4、安全管理系统将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对;
安全管理系统将相同源安全域和目的安全域的安全组所对应的安全策略与边界防火墙上的安全策略进行比对;比对结果包括:安全规则新增、安全组新增、地址组更新、地址组新增、地址组删除、安全组删除、安全规则更新和安全规则删除等;
本实施例中,将边界防火墙上的源安全域为untrust,目的安全域为trust的安全策略与步骤3中转换的安全策略进行比对,若没有,则认为需要将该安全策略下发到边界防火墙;若该安全策略,已经存在并且规则一样,则无需处理;若安全策略已经存在,但是规则不一致,则认为防火边界墙上的安全策略需要更新;
在本实施例中,安全策略已经存在,但是规则不一致,边界防火墙上的安全策略规则比安全组宽松,多放开了一些端口,则需要对安全策略进行更新,删除安全策略中多放开的端口;
若安全管理系统接收到的是地址组或者安全规则的变更通知,则根据地址组检测边界防火墙上的地址组和地址组相关的安全策略;若通知的是地址组的变更,则直接更新边界防火墙上对应的地址组;若通知的是地址组相关安全规则的变化,则更新安全规则相关的安全策略;
s5、根据比对结果,更新边界防火墙上的安全策略或者地址组;
安全管理系统根据比对结果,可以实施安全策略新增、地址组新增,安全策略更新、安全策略删除,地址组删除、地址组更新等。
在本实施例中,对安全策略进行更新,删除多余的端口。
基于同一发明构思,本发明还提出一种安全策略自动下发的装置。该装置的实施可以参见上述方法的实施,重复之处不再赘述。以下所使用的术语“模块”,可以是实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图4是本发明一实施例的安全策略自动下发的装置结构示意图。如图4所示,该装置包括:
管控平台101,用于收集数据中心的安全组信息,并根据安全组下的虚拟机地址信息,构成地址组;将安全规则和地址组信息通告给安全管理系统;
安全组对加入安全组的虚拟机执行安全规则,安全规则由优先级、授权对象、协议、端口范围、动作以及规则方向构成;
优先级:由0-255构成,数字越小,优先级越高;优先级相同:拒绝策略的规则优先生效,允许策略的规则不生效;优先级不同:优先级高的规则生效;
授权对象:一般可以由ip地址段或者安全组id构成;
规则方向:一般是指出入方向,也可以是内网出入方向或者公网出入方向等;
动作:表示允许和拒绝;该规则标识可拒绝某些流量或者允许某些流量的进出;
协议:tcp,udp,icmp等;
端口范围:指应用或者协议开启的端口,缺省范围是0-65535;
管控平台根据安全组所加入的主机,获取主机的ip地址信息,由安全组下的主机ip地址构成地址组;在管控范围内,地址组名称唯一;
安全规则在安全组内编号唯一。
管控平台将安全规则和安全规则所关联的地址组信息通告给安全管理系统;地址组由一组ip地址构成;
除了第一次同步是全量通告,后续仅通告变更信息;当安全组下的虚拟机变更时,仅仅通告地址组的变更信息;
安全规则变更时,仅仅通告地址组名称和变更的安全规则。
安全管理系统102,用于根据地址组信息和安全规则,构成安全策略;将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对;根据比对结果,更新边界防火墙上的安全策略或者地址组;
安全管理系统首先根据安全规则下的地址组确定地址组所对应的安全组下主机所属的安全域;根据授权对象所对应的ip地址或者地址组确定授权对象所对应的安全域;对于无法匹配到合适安全域的地址组信息,则丢弃该地址组相关的安全规则;
安全管理系统进一步根据安全域以及安全规则下的动作、协议和端口范围,以及地址组和授权对象构成安全策略,并根据安全规则优先级设置安全策略的优先级;优先级高者在前;
安全管理系统将相同源安全域和目的安全域的安全组所对应的安全策略与边界防火墙上现有的安全策略进行比对;比对结果包括:安全规则新增、安全组新增、地址组更新、地址组新增、地址组删除、安全组删除、安全规则更新和安全规则删除;
若安全管理系统接收到的是地址组或者安全规则的变更通知,则根据地址组检测边界防火墙上的地址组和地址组相关的安全策略,仅仅更新地址组或者根据安全规则,更新安全规则相关的安全策略;
根据比对结果,更新边界防火墙上的安全策略或者地址组,若安全组新增,则在边界防火墙上新增安全策略,若地址组更新,则更新边界防火墙上的地址组;若安全规则删除,则删除边界防火墙上的某个安全策略。
边界防火墙103,用于根据安全策略对南北向流量进行管控。
安全组104,用于对加入安全组的主机根据安全规则实施安全管控。
应当注意,尽管在上文详细描述中提及了安全策略自动下发的装置的若干模块,但是这种划分仅仅是示例性的并非强制性的。实际上,根据本发明的实施方式,上文描述的两个或更多模块的特征和功能可以在一个模块中具体化。反之,上文描述的一个模块的特征和功能可以进一步划分为由多个模块来具体化。
基于前述发明构思,如图5所示,本发明还提出一种计算机设备200,包括存储器210、处理器220及存储在存储器210上并可在处理器220上运行的计算机程序230,处理器220执行计算机程序230时实现前述安全策略自动下发的方法。
基于前述发明构思,本发明还提出一种计算机可读存储介质,计算机可读存储介质存储有执行前述安全策略自动下发的方法的计算机程序。
本发明提出的安全策略自动下发的方法及装置,通过实现边界防火墙安全策略与数据中心内部安全组的相互协作,提高系统的安全性以及提高运维的效率。
虽然已经参考若干具体实施方式描述了本发明的精神和原理,但是应该理解,本发明并不限于所公开的具体实施方式,对各方面的划分也不意味着这些方面中的特征不能组合以进行受益,这种划分仅是为了表述的方便。本发明旨在涵盖所附权利要求的精神和范围内所包含的各种修改和等同布置。
对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
1.一种安全策略自动下发的方法,其特征在于,该方法包括:
管控平台收集数据中心的安全组信息,并根据安全组下的虚拟机地址信息,构成地址组;
管控平台将安全规则和地址组信息通告给安全管理系统;
安全管理系统根据地址组信息和安全规则,构成安全策略;
安全管理系统将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对;
根据比对结果,更新边界防火墙上的安全策略或者地址组。
2.根据权利要求1所述的安全策略自动下发的方法,其特征在于,所述安全组对加入安全组的虚拟机执行安全规则,安全规则由优先级、授权对象、协议、端口范围、动作以及规则方向构成,且安全规则在安全组内编号唯一。
3.根据权利要求2所述的安全策略自动下发的方法,其特征在于,若所述安全规则优先级相同,则拒绝策略的规则优先生效,允许策略的规则不生效;若所述安全规则优先级不同,则优先级高的规则生效。
4.根据权利要求1所述的安全策略自动下发的方法,其特征在于,所述管控平台根据安全组所加入的主机,获取主机的ip地址信息,由安全组下的主机ip地址构成地址组;在管控范围内,地址组名称唯一。
5.根据权利要求1所述的安全策略自动下发的方法,其特征在于,管控平台将安全规则和地址组信息通告给安全管理系统,包括:
管控平台将安全规则和安全规则所关联的地址组信息通告给安全管理系统;
除了第一次同步是全量通告,后续仅通告变更信息;当安全组下的虚拟机变更时,仅仅通告地址组的变更信息;
安全规则变更时,仅仅通告地址组名称和变更的安全规则。
6.根据权利要求1所述的安全策略自动下发的方法,其特征在于,安全管理系统根据地址组信息和安全规则,构成安全策略,包括:
安全管理系统首先根据安全规则下的地址组确定地址组所对应的安全组下主机所属的安全域;根据授权对象所对应的ip地址或者地址组确定授权对象所对应的安全域;对于无法匹配到合适安全域的地址组信息,则丢弃该地址组相关的安全规则;
安全管理系统进一步根据安全域以及安全规则下的动作、协议和端口范围,以及地址组和授权对象构成安全策略,并根据安全规则优先级设置安全策略的优先级;优先级高者在前。
7.根据权利要求1所述的安全策略自动下发的方法,其特征在于,安全管理系统将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对,包括:
安全管理系统将相同源安全域和目的安全域的安全组所对应的安全策略与边界防火墙上现有的安全策略进行比对;比对结果包括:安全规则新增、安全组新增、地址组更新、地址组新增、地址组删除、安全组删除、安全规则更新和安全规则删除;
若安全管理系统接收到的是地址组或者安全规则的变更通知,则根据地址组检测边界防火墙上的地址组和地址组相关的安全策略,仅仅更新地址组或者根据安全规则,更新安全规则相关的安全策略。
8.根据权利要求1所述的安全策略自动下发的方法,其特征在于,根据比对结果,更新边界防火墙上的安全策略或者地址组,包括:
根据比对结果,更新边界防火墙上的安全策略或者地址组,若安全组新增,则在边界防火墙上新增安全策略,若地址组更新,则更新边界防火墙上的地址组;若安全规则删除,则删除边界防火墙上的某个安全策略。
9.一种安全策略自动下发的装置,其特征在于,该装置包括:
管控平台,用于收集数据中心的安全组信息,并根据安全组下的虚拟机地址信息,构成地址组;将安全规则和地址组信息通告给安全管理系统;
安全管理系统,用于根据地址组信息和安全规则,构成安全策略;将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对;根据比对结果,更新边界防火墙上的安全策略或者地址组;
边界防火墙,用于根据安全策略对南北向流量进行管控;
安全组,用于对加入安全组的主机根据安全规则实施安全管控。
10.根据权利要求9所述的安全策略自动下发的装置,其特征在于,所述安全组对加入安全组的虚拟机执行安全规则,安全规则由优先级、授权对象、协议、端口范围、动作以及规则方向构成,且安全规则在安全组内编号唯一。
11.根据权利要求10所述的安全策略自动下发的装置,其特征在于,若所述安全规则优先级相同,则拒绝策略的规则优先生效,允许策略的规则不生效;若所述安全规则优先级不同,则优先级高的规则生效。
12.根据权利要求9所述的安全策略自动下发的装置,其特征在于,所述管控平台根据安全组所加入的主机,获取主机的ip地址信息,由安全组下的主机ip地址构成地址组;在管控范围内,地址组名称唯一。
13.根据权利要求9所述的安全策略自动下发的装置,其特征在于,所述管控平台中将安全规则和地址组信息通告给安全管理系统,包括:
管控平台将安全规则和安全规则所关联的地址组信息通告给安全管理系统;
除了第一次同步是全量通告,后续仅通告变更信息;当安全组下的虚拟机变更时,仅仅通告地址组的变更信息;
安全规则变更时,仅仅通告地址组名称和变更的安全规则。
14.根据权利要求9所述的安全策略自动下发的装置,其特征在于,所述安全管理系统中根据地址组信息和安全规则,构成安全策略,包括:
安全管理系统首先根据安全规则下的地址组确定地址组所对应的安全组下主机所属的安全域;根据授权对象所对应的ip地址或者地址组确定授权对象所对应的安全域;对于无法匹配到合适安全域的地址组信息,则丢弃该地址组相关的安全规则;
安全管理系统进一步根据安全域以及安全规则下的动作、协议和端口范围,以及地址组和授权对象构成安全策略,并根据安全规则优先级设置安全策略的优先级;优先级高者在前。
15.根据权利要求9所述的安全策略自动下发的装置,其特征在于,所述安全管理系统中将安全组转换的安全策略与边界防火墙上现有的安全策略进行比对,包括:
安全管理系统将相同源安全域和目的安全域的安全组所对应的安全策略与边界防火墙上现有的安全策略进行比对;比对结果包括:安全规则新增、安全组新增、地址组更新、地址组新增、地址组删除、安全组删除、安全规则更新和安全规则删除;
若安全管理系统接收到的是地址组或者安全规则的变更通知,则根据地址组检测边界防火墙上的地址组和地址组相关的安全策略,仅仅更新地址组或者根据安全规则,更新安全规则相关的安全策略。
16.根据权利要求9所述的安全策略自动下发的装置,其特征在于,所述安全管理系统中根据比对结果,更新边界防火墙上的安全策略或者地址组,包括:
根据比对结果,更新边界防火墙上的安全策略或者地址组,若安全组新增,则在边界防火墙上新增安全策略,若地址组更新,则更新边界防火墙上的地址组;若安全规则删除,则删除边界防火墙上的某个安全策略。
17.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-8任一项所述方法。
18.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1-8任一项所述方法的计算机程序。
技术总结