CN102271053A - 自动化迁移中的网络重配置的方法和*** - Google Patents

自动化迁移中的网络重配置的方法和*** Download PDF

Info

Publication number
CN102271053A
CN102271053A CN2011101391757A CN201110139175A CN102271053A CN 102271053 A CN102271053 A CN 102271053A CN 2011101391757 A CN2011101391757 A CN 2011101391757A CN 201110139175 A CN201110139175 A CN 201110139175A CN 102271053 A CN102271053 A CN 102271053A
Authority
CN
China
Prior art keywords
network
environment
source
targeted environment
configuration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2011101391757A
Other languages
English (en)
Other versions
CN102271053B (zh
Inventor
K·巴塔查里亚
N·A·尤科夫
B·M·普费茨曼
H·V·拉马萨米
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN102271053A publication Critical patent/CN102271053A/zh
Application granted granted Critical
Publication of CN102271053B publication Critical patent/CN102271053B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/161Computing infrastructure, e.g. computer clusters, blade chassis or hardware partitioning
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

自动化迁移中的网络重配置例如防火墙重配置,可包括基于发现确定目标环境的一个或多个网络功能中的网络重配置需求;以及将所述网络重配置需求应用到目标环境中的一个或多个网络功能。

Description

自动化迁移中的网络重配置的方法和***
技术领域
本发明一般涉及计算机***,以及计算机***服务技术和信息技术(IT)变换任务。
背景技术
迁移、巩固(consolidation)、虚拟化和云化(cloudification)是信息技术(IT)变换任务中的一些任务,尤其涉及当今时代的成本节约和绿色数据中心。在本公开中,这些任务以及类似的任务被总称为“迁移”。迁移中的任务包括发现依赖性(dependency)或亲和性(affinity),即,什么组件(服务器、应用、应用模块、数据库等)通过网络与其他什么组件交互。
在将组件迁移到具有不同地址(例如IP地址或在域名服务的上下文中的域名)和可能不同的网络拓扑的目标环境时,需要设置目标环境中的防火墙配置,以使得所有需要交互的组件仍然可以交互,但不需要打开太多不必要的通信路径。例如,“防火墙重配置”是指重新配置或设置目标环境中的防火墙参数,使得目标环境中的组件在迁移后仍然可以交互。防火墙重配置目前是手动来做的,通常甚至不去访问源环境中的依赖性的具体表示。
将应用迁移到新的网络应当仍然允许交互无缝地发生,例如,使得新的防火墙等允许迁移后的应用能像以前那样运行。
在缺少“允许”规则这个意义上的错误的防火墙重配置是重要的错误来源,这些错误在以后的端对端测试中出现,并很难识别和纠正,由此造成了长期迁移进度表和高迁移成本。由于这些原因,许多企业继续回避迁移。反之,在目标环境中制定太多的“允许”规则可能会将目标环境开放给更多类型的攻击,这比必要的和在源环境中可能发生的攻击会更多。
发明内容
提供了一种用于自动化迁移中的网络重配置的方法和***。在一个方面,该方法可包括:基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级属性和与目标环境相关的一个或多个网络级属性,确定目标环境的一个或多个网络功能中的网络重配置需求。该方法还可包括将网络重配置需求应用到目标环境中的一个或多个网络功能。
在一个方面,用于迁移中的网络重配置的***可包括:模块,其可***作以基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级属性和与目标环境相关的一个或多个网络级属性,确定目标环境的一个或多个网络功能中的网络重配置需求。该***也可包括规则应用模块,其可***作以将网络重配置需求应用到目标环境中的一个或多个网络功能。
还可提供计算机可读存储介质,其存储可由机器执行以完成此处所述的一个或多个方法的指令的程序。
以下将参考附图详细描述更多的特征以及各种实施例的结构和操作。在附图中,类似的标号指示相同或功能上类似的元件。
附图说明
图1A和1B示出了一个实施例中的防火墙重配置的概念。
图2是示出了基于本公开的一个实施例中的防火墙配置分析的防火墙重配置的流程图。
图3A和3B示出了本公开的一个实施例中的用于执行网络和/或防火墙重配置的***的各功能组件。
图4A和4B示出了一个实施例中的示例性防火墙配置。
图5示出了web服务器如何从源环境中的其IP地址被迁移到目标环境中的不同IP地址的例子。
图6示出了计算机***的例子,其中可实行或执行本公开的***和方法。
具体实施方式
公开了一种用于自动执行网络重配置的方法和***,例如,修改诸如防火墙相关参数的网络级参数,以重新配置在迁移中和/或在迁移后与组件相关的防火墙设置。本公开的防火墙重配置也可以设置与用于迁移的组件相关的防火墙参数。比如,如果目标环境是新的数据中心,则从头开始配置防火墙。在一方面,自动发现用于迁移中涉及的所有组件的网络级信息,且应用防火墙重配置,使得迁移后的组件发挥作用并给新的计算环境提供组件如迁移前的功能,同时为了安全,允许最小数量的不必要的开放连接穿过防火墙。
公开的***和方法可自动提议或甚至默默地设置新的正确的防火墙配置等,而不是留给用户来发现和进行这种设置。公开的***和方法可避免这样的场景,其中人类用户或是忽略需要被允许以使得应用仍然可以发挥作用的某些流(flow),或是允许太多的流来避免第一个问题,但由此使得目标环境不那么安全。
图1A和1B示出了一个实施例中的防火墙重配置的概念。图1A示出了迁移前的源企业环境,其中在机器X1104上运行的web服务器102可由106处的防火墙保护,而在机器X2110上运行的数据服务器108可由112处的防火墙保护。在该源环境中,防火墙116和112被这样配置,使得客户机114能通过106处的防火墙访问102处的web服务器,且102处的web服务器能通过112处的防火墙访问108处的数据服务器。该附图也示出了未被迁移的、或者至少不是在这个时间点被迁移的、或者不是被迁移到同一个目标环境的邮件服务器113。这仅是关于应用结构或网络结构在目标环境中可以如何变化的一个例子。
为了说明的目的,假设两个防火墙都是CISCOTMPIX设备。图4A示出了地址和源防火墙配置的例子。假设pix106是106处的防火墙的主机名。该防火墙具有两个接口,dmz和outside。dmz接口142(ip地址=192.168.1.0)是安全性较高的接口,而outside接口140(ip地址=209.165.201.0)是安全性较低的接口。私有地址被用于位于dmz接口的后面的、102处的web服务器(ip地址=192.168.1.1,网络地址转换(NAT)-outside=209.165.201.1)。由于dmz接口是比outside接口安全性更高的接口,从DMZ发起的到因特网的任何通信流(traffic)都将是缺省允许的。但是,假设(由于该服务器可能会从外部被攻击)到因特网的访问应当仅允许来自于服务器提供的服务。同时假设未被迁移的邮件服务器113具有地址(ip地址=192.168.1.3,NAT-outside=209.165.201.3)。在这种情况下,106处的防火墙可被配置如下(部分配置文件):
hostname pix106
nameif ethernet0 outside security0
nameif ethernet1 dmz security100
ip address outside 209.165.201.1 255.255.255.0
ip address dmz 192.168.1.0 255.255.255.0
nat(dmz)1 192.168.1.0 255.255.255.0 0 0
global 1 209.165.201.1-209.165.201.254 netmask 255.255.255.0
access-list NO_DMZ_OUT permit tcp 192.168.1.1 any eq 80
access-list NO_DMZ_OUT permit tcp 192.168.1.1 any eq https
access-list NO_DMZ_OUT permit tcp 192.168.1.3 any eq smtp
access-list NO_DMZ_OUT deny ip any any
access-group NO_DMZ_OUT in interface dmz
static(dmz,outside)209.165.201.1 192.168.1.1 netmask255.255.255.255 0 0
access-list INTERNET_TO_DMZ permit tcp any 209.165.201.1 eqweb
access-list INTERNET_TO_DMZ permit tcp any 209.165.201.1 eqhttps
access-list INTERNET_TO_DMZ permit tcp any 209.165.201.3 eqsmtp
access-group INTERNET_TO_DMZ in interface outside
该例子包括了两个访问列表。列表INTERNET_TO_DMZ与接口outside关联(见最后一行)并定义了通过该接口哪些通信流被允许进入。列表NO_DMZ_OUT与接口dmz关联(见倒数第6行)并定义了通过该接口哪些通信流被允许进入。允许从客户机114到web服务器102的正常的未加密的web通信流的行是“access-list INTERNET_TO_DMZ permittcp any 209.165.201.1 eq web”。字段“access-list INTERNET_TO_DMZ”定义了该规则属于哪个访问列表。字段“permit”是指这是允许(而不是拒绝)通信流的规则。字段“tcp”是指使用的协议。下一字段“any”是指传入通信流的源IP地址,并表明这可以是任意(因此特别是客户机114的)地址。字段“209.165.201.1”是指传入通信流的目标地址,并特指web服务器102的对外可见地址。最后一个字段“eq web”是指传入通信流的目标端口,这里是符号表示(“web”而不是“80”),且意味特别地,到端口80的通信流被该规则允许。
注意该访问列表INTERNET_TO_DMZ不像访问列表NO_DMZ_OUT那样需要带有字段“deny ip any any”的最终规则,因为最开始两行中的字段“security0”和“security100”定义了较高安全性和较低安全性的概念,这暗示了对于接口“outside”来说缺省的“deny”,因为通信流会从较低网络区进入到较高网络区。
以“nat”和“global”开头的几行共同定义了网络地址转换规则。它们通过ID字段“1”而连接。它们定义了整个外部地址范围,从209.165.201.1到209.165.201.254,都被转换为从192.168.1开始的相应dmz地址。图4A仅示出了这些转换的两个例子。
类似地,假设pixl 112是如图4B所示的112处的防火墙的主机名。该防火墙具有两个接口,dmz和inside。dmz接口(ip地址=192.168.1.254)是安全性较低的接口,而inside(ip地址=10.1.1.254)是安全性较高的接口。私有地址用于位于inside接口后面的108处的数据服务器(ip地址=10.1.1.2,NAT-dmz=192.168.1.2)。由于inside接口是比dmz接口安全性高的接口,从内部网络发起到dmz的任何通信流都是被缺省允许的。
112处的防火墙可被配置如下(部分配置文件):
hostname pix112
nameif ethernet0 dmz security0
nameif ethernetl inside security 100
ip address dmz 192.168.1.254 255.255.255.0
ip address inside 10.1.1.254 255.255.255.0
nat(inside)1 10.1.1.0 255.255.255.0 0 0
global 1 192.168.1.0-192.168.1.254 netmask 255.255.255.0
static(inside,dmz)192.168.1.2 10.1.1.2 netmask 255.255.255.255 0 0
access-list DMZ_TO_INSIDE permit tcp any 192.168.1.2 eq 50000
access-group DMZ_TO_INSIDE in interface dmz
这里尤其地,最后的access-list行表示来自任意地址的通信流被允许在端口50000上进入数据服务器(在地址转换前是地址192.168.1.2),端口50000在该例子中被假设为数据库端口。更严格的规则可以是,通过用“192.168.1.1”来替换“任意”,仅允许来自web服务器的此类通信流。
以上规则是源环境100中的防火墙规则。
在将web服务器和数据服务器迁移到如图1B所示的、此处被称为目标环境的新的环境时,本公开的***和方法可自动发现防火墙重配置需求并应用这些需求,这样客户机114可以访问在目标环境中124处的机器上运行的web服务器102,且在124处的机器上运行的web服务器102可以访问在目标环境中120处的机器上运行的数据服务器108。
在一方面,自动发现技术可被用来识别迁移前源环境100中的主机和防火墙配置,这些配置需要在适当变化后被复制在迁移后的目标环境199中。所执行的自动分析可包括(例如,通过分析诸如以上所示的防火墙配置来)分析防火墙配置,并且例如,通过发出诸如netstat的状态命令以检查运行时或***状态,来分析源环境主机处的网络状态信息。自动分析还可包括网络流分析、网络日志分析、分析中间件和应用配置中的配置依赖性,以及直接在代码或程序等中分析依赖性。例如,对于在web服务器102上执行的netstat命令的分析可以表明192.168.1.1:5678(应用端口)和192.168.1.2:50000(数据服务器108上的DB2端口)之间存在连通性。
例如,如果在配置的依赖性中检测到主机名,例如,从web服务器102到数据服务器108之间的连接是通过配置“an HIS server on hostwww.example.com links to database EXDATA at port 50000 on serverdata.example.com”(主机www.example.com上的HIS服务器连接到服务器data.example.com上的端口50000处的数据库EXDATA)而检测到的,典型地,源端口(上述例子中的5678)由于未被指定而不会被获知。而且,每个服务器可能具有若干IP地址。在这种情况下,此时IP地址不需要被转换,而仅仅是后来被转换以用于设置合适的目标规则。
注意,例如由于组织困难,并不总是能获得源环境的确切的防火墙规则。比如,网络基础结构可能不包含在一个组织中,而且很难从网络提供商处获得详细的防火墙规则。即使在可获得防火墙配置的地方,分析如上所述的附加数据资源也是有用的,尤其是,如果由于网络结构的变化一些应用未在源环境中被防火墙分离、但在目标环境中被防火墙分离的话。比如,一些应用可被移到远程数据中心或云,而其他的则仍然离业务运作更接近。分析除了已知防火墙规则之外的附加数据的另一个理由是,如果防火墙规则包括具有“any”字段的宽泛的“permit”规则,而例如由于与以前相比同一个区域中有较少的应用或甚至仅仅是为了增强安全性,在目标环境中想要更精确的规则。最后的这几个例子在实践中可能需要人类专家检查。
图2是示出了基于本公开的实施例中的防火墙配置分析的防火墙重配置的流程图。典型地,从发现步骤201开始,其结果是源防火墙配置220或源组件连通性222即活动的或配置好的连接中一个或二者。可将最尖端的方法用于该步骤,例如,CISCOTMPIX防火墙上的“sh conf”命令,以获得防火墙配置,以及使用通常的发现工具,例如
Figure BDA0000064066820000081
Application Dependency Discovery Manager(应用依赖性发现管理器)和IBM Research Galapagos工具(Kostas Magoutis,Murthy Devarakonda,Nikolai Joukov,以及Norbert G.Vogl:Galapagos:分布式***中的端对端应用存储关系的模型驱动发现,IBM研究与开发杂志,2008年第52卷第4/5期)。步骤202涉及识别用于迁移组件的相关源防火墙规则的集合R。
给定源防火墙配置,R是与正被迁移到迁移后环境的至少一个组件相关的其规则的子组。正被迁移的组件可在用于迁移的安置计划(placementplan)224中给出。在上述例子中,集合R将是确保从客户机114通过web服务器102到数据服务器108的请求仍然能以端对端的方式被满足的规则,以及拒绝许多其他到这些服务器和从这些服务器来的通信流的规则。集合R的识别是通过发现包括一个或多个被迁移服务器的ip地址的所有防火墙配置规则完成的(即,上述例子中从“access-list”开始的行)。“包括”是指在防火墙的相应接口上计算的地址范围(即,具体的地址、任何地址、或具有通配符的地址,例如192.168.1.*)包含该服务器的地址(例如,192.168.1.*包括192.168.1.0和192.168.1.1等)。在上述防火墙pix106的例子中,与迁移相关的防火墙配置规则的子集被加粗突出显示。注意,由于防火墙pix106保护的邮件服务器(smtp服务器)未迁移,相应的防火墙规则没有被突出显示,且在迁移后的环境中不相关。如果也知道服务器实际上在什么端口监听(listen),可执行额外的检查以确定规则是否包括这些端口中的至少一个。在这个例子中,最开始五行实际上没有被迁移(新的防火墙可能有不同的名称、不同的接口名称和不同的IP地址),但需要用来解释以下的几行。
本公开的方法也可以发现网络流,比如,实际发生的网络流或是被配置的网络流。如果本公开的方法发现这种网络流而不是防火墙配置,则所有这些流的集合变成与迁移相关的规则集R。
发现步骤201可从分析将可能被迁移的源组件开始。另外,典型地可发现组件间的通信流可能会流经的所有防火墙和路由器。在一方面,从netstat和/或配置的依赖性分析获得的信息可以是足够的,在这种情况下,不需要发现组件间的通信流可能会流经的所有防火墙和路由器。例如,如果之前一些组件被两个防火墙分割(不同的数据中心)并在此后仅被一个防火墙分割(移入具有一个防火墙的数据中心),或者反之,则比如,可以执行附加发现以便确定信息,例如从哪个源防火墙获取用于哪个目标防火墙的哪个组件的信息。
如果确定仅迁移发现的组件的一个子集(例如,因为有波次计划(waveplan)且当前正在迁移一个波次),则所发现的连接会局限于两个组件中的一个被实际迁移的那些连接。简言之,波次计划是指把相关的组件组合在一起,这样它们可以被一起迁移并在目标环境中一起被测试。
在204,使用安置计划。安置计划说明了从源环境100到目标环境199名称或地址是如何改变的。换句话说,安置计划简短地描述了组件将被放置在目标环境中的何处。可使用手动和自动机制二者来得出迁移中的安置计划。
表1
  源   目标
  www.example.com   www.newplace.com
  data.example.com   db.newplace.com
  mail.example.com   mail.example.com
  …   …
安置计划可以是一个表格(例如,如图1所示),或一个列表,或一个电子表格,或类似的数据结构,其确定了用于正在被迁移的组件的源地址和目标地址。类似地,可以有用于IP地址变化和/或用于将目标主机名映射到IP地址的表格。在一些迁移中,服务器名称不改变,而仅仅是IP地址改变(例如,如表2所示)。源环境和目标环境间的其他映射是可能的。
表2
  源   目标
  209.165.201.1   209.165.201.1
  209.165.201.3   209.165.201.3
  Web服务器102的192.168.1.1   Web服务器102的192.168.2.1
  邮件服务器113的192.168.1.3   邮件服务器113的192.168.1.3
  10.1.1.2   10.2.2.2
  防火墙pix112的192.168.1.2   防火墙pix124的192.168.1.2
注意,关于网络地址转换,安置计划224的描述已假设(在图1B示出的例子中的)网络拓扑226是已知的。从“192.168.1.1”开始的地址是本地的,且因此可发生在源环境和目标环境二者中的多个地方。因此,规定它们被哪些确切的服务器所持有;在来自源环境的192.168.1.1的例子中,这是防火墙112,其执行网络地址转换。
步骤204转换与迁移后的组件相关的源防火墙规则的集合R。由此产生的转换集合被称为R’。作为一个简单的示例性例子,本公开使用了单独的流(即,源IP地址、源端口、目的地IP地址、目的地端口)或允许这样的单独的流的防火墙规则。为了将集合R转换为集合R’,本公开的方法在安置表中查找源IP地址;如果它在那里出现,本公开的方法将其替换为目标环境中的相应地址,否则本公开的方法不改变它。类似地,本公开的方法在安置表中查找目的地IP地址;如果它在那里出现,本公开的方法将其替换为目标环境中的相应地址,否则本公开的方法不改变它。
例如,图5示出了web服务器102如何从源环境的其IP地址(例如,ip地址=192.168.1.1,NAT-outside=209.165.201.1)被迁移到目标环境中的不同IP地址(例如,ip地址=192.168.2.1,NAT-outside=209.165.201.1)。在该例子中,该服务器的外部可见的地址在迁移后未改变,这样客户机可继续在相同IP处与web服务器联系。注意这不是使本公开所公开的方式工作所必须的条件。即,外部可见的地址可在迁移后改变。在这种情况下,例如,使用用于邮件服务器主机名称的正确的外部可见的IP地址来更新权威的DNS服务器。分离客户机和网络服务器的防火墙126可以具有以下配置规则:
hostname pix126
nameif ethernet0 outside security 0
nameif ethernet1 dmz security100
ip address outside 209.165.201.1 255.255.255.0
ip address dmz 192.168.2.0 255.255.255.0
nat(dmz)1 192.168.2.0 255.255.255.0 0 0
global 1 209.165.201.1-209.165.201.254 netmask 255.255.255.0
access-list NO_DMZ_OUT permit tcp 192.168.2.1 any eq 80
access-list NO_DMZ_OUT permit tcp 192.168.2.1 any eq https
access-list NO_DMZ_OUT deny ip any any
access-group NO_DMZ_OUT in interface dmz
static(dmz,outside) 209.165.201.1 192.168.2.1 netmask255.255.255.255 0 0
access-list INTERNET_TO_DMZ permit tcp any 209.165.201.1 eqweb
access-list INTERNET_TO_DMZ permit tcp any 209.165.201.1 eqhttps
类似地,参考图1B,假设数据服务器108从源环境中的其IP地址(ip地址=10.1.1.2,NAT-dmz=192.168.1.2)迁移到目标环境中的不同IP地址(假设,ip地址=10.1.2.3,NAT-dmz=192.168.2.2)。分离web服务器和数据服务器的防火墙122可具有以下配置规则:
hostname pix122
nameif ethernet0 dmz security0
nameif ethernet1 inside securityl00
ip address dmz 192.168.2.254 255.255.255.0
ip address inside 10.1.3.254 255.255.255.0
nat(inside)1 10.1.3.0 255.255.255.0 0 0
global 1 192.168.2.0-192.168.2.254 netmask 255.255.255.0
static(inside,dmz)192.168.2.2 10.1.3.2 netmask 255.255.255.255 0 0
access-list DMZ_TO_INSIDE permit tcp any 192.168.2.1 eq 50000
如果有允许多个连接的防火墙规则,被迁移的东西被***。如果有明确禁止一个或多个连接的防火墙规则,被迁移的东西被***。注意,顺序在大部分的防火墙配置规则语言中都起作用,例如,在我们的示例性防火墙pix106中,看起来禁止所有的通信流的规则“access-list NO_DMZ_OUTdeny ip any any”仅在没有应用更早的规则情况下才被达到,这些更早的规则的确允许一些通信流。因此R和R‘都是实际的规则列表(有顺序的),而不是严格的数学意义上的集合(无顺序的)。而且,如果防火墙配置规则语言定义了一个整体的缺省值的话,需要维护该整体的缺省值,例如在我们例子中通过安全等级获取的用于每个访问组的“permit”或是“deny”的值。
重新参考图2,目标拓扑226描述了目标环境中的组件是如何连接的,且尤其地,防火墙位于目标环境中的何处。
在206处,转换的规则列表R‘被***到目标环境中防火墙126的未来配置(图1B)。由于来自整体源环境的不同区域的组件可被迁移到目标环境的相同的网络区域,这可能需要若干规则集的组合。可以通过总是将一个新的规则集与到那一刻现有的整个规则集组合(合并),来实现规则集的组合。
一些防火墙语言可以简单地具有可被用来合并规则的合并操作符。否则,从规则集开端开始的所有单独的“permit”规则可被保留,其后有更宽泛的、优先级更低的“deny”规则。如果每个规则集R是从源组件连通性建立的,其必然是此处假设的形式,因为每个观测到的或配置的网络流给出了肯定的规则,并可以通过用于所有其他连接的“deny”规则扩展这些规则。然后相应的转换后的集合R’也具有同样的形式。许多通过将防火墙配置限制为迁移后的组件而获得的规则集R也是这样的形式。否则,如果有用于特定组件的具体的初始“deny”规则,可使得那些规则占优势,即,将它们保持在来自其他集合的“permit”规则的前面。
在一方面,尤其地,如果以上列出的场景都不适用,可手动解决冲突。例如,如果防火墙126具有明确的规则禁止传入http通信流,可手动执行重新调解。例如,决定由防火墙126守护的区域(图1B)是否是用于将被迁移的web服务器102的正确区域。如果是的话,则冲突的规则(例如,阻止传入http通信流的规则)需要被局限于已经存在于区域中的其他服务器(这与将规则完全移除相比是更好的选择,因为这样其他的服务器仍将具有与之前类似的保护)。
而且,源环境中的防火墙规则可被可选地改变,例如,因为一旦某些组件被移出,则可能不再需要用于允许它们交互的规则。这就像迁移剩余的组件到新的环境中,在那里它们是仅有的组件;所以,上述步骤也可被直接应用到这种情形中。在208,新的规则集R’被应用于新的防火墙。
除了防火墙重配置,诸如域名服务器、边界网关和路由器的网络设备,可能需要被更新以确保所有的应用如之前那样工作。比如,为了确保客户机114’的未来请求仍然到达web服务器102,现在在物理机器124上,客户机114仍然使用的外部地址209.165.201.1现在必须被路由到防火墙pix126。
图3A和3B是示出了用于本公开的一个实施例中的执行迁移中的防火墙重配置的***的功能组件的结构图。图3A和3B中示出的模块可以是计算机***的模块,所述计算机***可以包括能够加载和执行编程代码例如运行操作***和服务器应用套件的任何计算节点。***逻辑可被实现为计算机可执行代码,其从远程源(例如,从网络文件***)、本地永久光盘(CD-ROM)、磁存储器(诸如盘)或存储器316被加载到内存304以供CPU 314执行。网络接口318可被用来与其他网络可达服务通信。这样的接口318可包括但不限于,硬连线设备,例如同轴线上的以太网、无线IP和电话到IP(VoIP)或其他。内存304可包括计算机可读指令、数据结构、程序模块和应用接口,其提供用于从复杂产品移除的部分的影响分析的逻辑或功能组件。
应当理解,尽管图3A和3B示出了驻留在计算机***中的功能组件,本公开的***和方法不限于这些配置。因此,组件可在分布式环境中被分布到网络中的不同平台上,和/或被配置在云计算环境中。而且,尽管图3A和3B示出了CPU 314,***可包括多个处理器和/或核。
防火墙规则发现模块302识别源环境和目标环境的网络级属性。例如,可分析源环境和目标环境的防火墙配置文件。而且,例如,可实时地和/或通过分析日志文件,分析网络活动。这样的配置文件可例如通过网络318从迁移前源环境100获得。规则选择模块304例如在一个或多个防火墙配置文件中选择防火墙规则,这些规则相关于正被迁移的、具有相关防火墙配置的组件。规则转换模块306将所选择的防火墙规则转换为目标环境防火墙规则。如果需要的话,规则合并模块308将现有的目标环境防火墙规则与用于正被迁移的组件的转换的防火墙规则合并。比如在迁移后目标环境199中,比如,通过修改目标环境的防火墙配置文件,规则应用模块将转换和合并的规则(如果适用的话)应用到目标环境中。
参考图3B,例如,通过分析迁移前源环境100,依赖性发现模块303可以识别正被迁移的组件以及与那些正被迁移的组件交互的/或是受那些正被迁移的组件影响的组件。规则定义模块305定义了规则,其允许正被迁移的组件以及相关的依赖组件通过目标环境中的网络来交互。如果需要的话,规则合并模块308将在规则定义模块305中定义的规则与现有的目标环境防火墙合并。例如,通过修改诸如网络、防火墙或其他配置文件的配置文件,规则应用模块将合并的规则(如果适用的话)应用到迁移后目标环境199。
本技术领域的技术人员将理解,本发明的各方面可以被体现为***、方法或计算机程序产品。因此,本发明的各方面可以实现为以下形式:完全的硬件、完全的软件(包括固件、驻留软件、微代码等)、或者本文一般称为“电路”、“模块”或“***”的组合了软件部分与硬件部分的实施例。此外,本发明的方面还可以采取体现在任何一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质上包含计算机可读程序代码。
可以使用一个或多个计算机可读的介质的任何组合。计算机可读的介质可以是计算机可读信号介质或是计算机可读存储介质。计算机可读存储介质例如,可以是但不限于,电的、磁的、光的、电磁的、红外线的、或半导体的***、装置、器件或上述各项任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括以下:有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储设备、磁存储设备或上述各项任意合适的组合。在本文档的上下文中,计算机可读存储介质可以是任何含有或存储供指令执行***、装置或设备使用的或与指令执行***、装置或设备相联系的程序的有形介质。
计算机可读信号介质可包括例如,在基带中或者作为载波一部分传播的、其中体现计算机可读的程序代码的数据信号。这样的传播信号可以具有任意的各种形式,包括但不限于,电磁的、光的,或其任意组合。计算机可读信号介质可以是任何计算机可读介质,其不是计算机可读存储介质,并可通信、传播或传输供指令执行***、装置或设备使用的或与指令执行***、装置或设备相联系的程序。
体现在计算机可读介质上的程序码可以使用任何适当的媒介来传输,所述媒介包括但不限于,无线、电线、光缆、RF等等,或上述各项任意合适的组合。
用于执行本发明的各方面的操作的计算机程序码,可以以一种或多种编程语言的任何组合来编写,所述编程语言包括面向对象的编程语言,例如Java、Smalltalk、C++之类,还包括常规的过程式编程语言,例如“C”编程语言或类似的编程语言,诸如Perl、VBS的脚本语言或类似的脚本语言,和/或诸如Lisp和ML的函数式语言和诸如Prolog的面向逻辑的语言。程序代码可以完全地在用户的计算上执行、部分地在用户的计算机上执行、作为一个独立的软件包执行、部分在用户的计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在后一种情形中,远程计算机可以通过任何种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户的计算机,或者,可以(例如利用因特网服务提供商来通过因特网)连接到外部计算机。
以下将参考根据本发明的实施例的方法、装置(***)和计算机程序产品的流程图说明和/或框图,来描述本发明的各方面。将理解,流程图和/或框图中的每个方框,以及流程图和/或框图中的方框的组合,可以由计算机程序指令来实施。这些计算机程序指令可以被提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,从而生产出一种机器,使得通过计算机或其他可编程数据处理装置执行的这些指令,产生用于实现流程图和/或框图中的方框中规定的功能/操作的装置。
也可以把这些计算机程序指令存储在能指令计算机或其它可编程数据处理装置以特定方式工作的计算机可读介质中,这样,存储在计算机可读介质中的指令产生一个包括实现流程图和/或框图中的方框中规定的功能/操作的指令的制造品。
也可以把计算机程序指令加载到计算机或其它可编程数据处理装置或其他装置上,使得在计算机或其它可编程数据处理装置或其他装置上执行一系列操作步骤,以产生计算机实现的过程,从而在计算机或其它可编程装置上执行的指令提供用于实现流程图和/或框图中的方框中规定的功能/操作的过程。
附图中的流程图和框图,图示了按照本发明各种实施例的***、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个相继地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的***来实现,或者可以用专用硬件与计算机指令的组合来实现。
现在参考图6,本公开的***和方法可在包括处理单元2的计算机***中实行或执行,该计算机***包含一个或多个实施计算机处理***或可执行计算机程序产品的计算机的处理器和/或核、存储器和其他***组件(未在图中明确示出)。计算机程序产品可包括介质,例如硬盘、诸如紧致盘的紧致存储介质,或其他存储器件,其可通过任何本领域技术人员已知的或将被知道的技术被处理单元2读取,以向处理***提供计算机程序产品用于执行。
计算机程序产品可包括所有使得此处描述的方法被实施的特征,当其被加载到计算机***上时,可执行所述方法。计算机程序、软件程序、程序或软件,在本上下文下是指以任何语言、代码或符号表示的任何一组指令的表示,其旨在使得具有信息处理能力的***能直接或是在以下各项中的任一个或二者之后执行特定的功能:(a)转换到另一种语言、代码或符号;和/或(b)以不同的材料形式再现。
可执行本公开的***和方法的计算机处理***还可包括显示装置,例如用于展示输出显示和提供显示的监视器或显示器屏幕4,通过该显示用户可以例如通过与诸如键盘6和鼠标装置8或定位设备的输入装置合作来输入数据并与处理***交互。计算机处理***也可连接到或耦合到一个或多个***设备,例如打印机10、扫描仪(未示出),扬声器,以及直接或通过远程连接的任何其他设备。计算机处理***还可通过本地以太网、WAN连接、因特网等中的一个或多个,或通过任何其他连接不同计算机***并允许其相互通信的连网方法,来连接到或耦合到一个或多个处理***,例如服务器10、其他远程计算机处理***14、网络存储装置12。本公开的***和方法的各种功能和模块可在不同的处理***上(例如,2、14、16)被分布式实施或执行,或在任意单独的平台上实施或执行,例如,访问存储在本地的或分布式地存储在网络上的数据。
这里使用的术语仅是为了描述特定的实施例,而不旨在限制本发明。如这里使用的,单数形式“一”、“一个”、“该”旨在也包括复数形式,除非上下文另外清楚地指出。将理解,当在本说明书使用时,术语“包含”和/或“包括”指定了所述的特点、整体、步骤、操作、元件和/或组件的存在,但并不排除一个或多个其他特点、整体、步骤、操作、元件、组件和/或其组合的存在或附加。
以下权利要求中的相应的结构、材料和操作,以及如果有的话,所有装置或步骤以及功能元件的等价物,旨在包括用于与其他具体要求保护的元件结合地执行功能的任何结构、材料或操作。展示本发明的说明是为了说明和描述的目的,但并不旨在是穷尽的或将本发明限制在所公开的形式中。对本领域普通技术人员来说,各种修改和变化都是明显的,且不脱离本发明的精神和范围。选择并描述了实施例是为了最好地解释本发明的原理和实际应用,并使得本领域普通技术人员能理解本发明,其具有适用于所考虑的特定使用的各种改变的实施例。
本公开的各种方面可被实施为程序、软件或在计算机或机器可用或可读介质上实施的计算机指令,当在计算机、处理器和/或机器上执行时,其使得计算机或机器执行方法的步骤。也提供了一种程序存储装置,其可被机器读取、有形地实施可被机器执行的指令的程序以执行本公开所描述的各种功能和方法。
本公开的***和方法可在通用计算机或专用计算机***上被实施并运行。计算机***可以是任何已知的或将被知道的类型的***和方法,典型地可包括处理器、内存设备、存储设备、输入/输出设备、内部总线,和/或用于与和通信硬件和软件一起以与其他计算机***通信的通信接口等。
可在本说明书中使用的术语“计算机***”和“计算机网络”,可包括固定和/或便携式计算机硬件、软件、外设和存储设备的各种组合。计算机***可包括多个通过网络连接或以其他方式连接的单独的组件以合作地执行,或可包括一个或多个独立的组件。本申请的计算机***的硬件和软件部件可包括或被包括在固定和便携式装置例如台式机、膝上型电脑、服务器中。模块可以是设备、软件、程序或可执行某个“功能”的***的一个部件,其可被实施为软件、硬件、固件和电路等。
以上描述的实施例是说明性例子,其不应被理解为将本发明限制于这些特定实施例。因此,本领域技术人员可做出各种变化和修改,而不脱离所附权利要求书的精神或范围。

Claims (18)

1.一种用于自动化迁移中的网络重配置的方法,包括:
基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级的属性和与目标环境相关的一个或多个网络级的属性,使用处理器确定目标环境的一个或多个网络功能中的网络重配置需求;以及
将所述网络重配置需求应用到目标环境中的一个或多个网络功能中。
2.如权利要求1所述的方法,还包括:
使用处理器自动发现与一个或多个正被迁移的组件的源环境相关的一个或多个网络级的属性。
3.如权利要求2所述的方法,其中所述发现与源环境相关的一个或多个网络级的属性包括以下各项中的一个或多个:
进行与源环境相关的防火墙配置文件的分析;或
观察源环境处的运行时网络流;或
分析在源环境上运行的一个或多个服务器处的配置依赖性;或
分析防火墙日志文件;或
以上的组合。
4.如权利要求1所述的方法,其中,网络重配置需求包括防火墙重配置需求。
5.如权利要求1所述的方法,其中确定网络重配置需求包括:
识别与正被迁移的一个或多个组件相关的源环境的网络配置中的一个或多个规则;
将该一个或多个规则转换为包括目标环境的网络配置;以及
将转换的一个或多个规则应用到目标环境中。
6.如权利要求5所述的方法,其中源环境的网络配置包括源环境的防火墙配置,且目标环境的网络配置包括目标环境的防火墙配置,且其中应用的步骤包括修改目标环境的防火墙接口。
7.如权利要求6所述的方法,还包括:修改源环境的防火墙配置以删除与一个或多个组件相关的一个或多个规则。
8.如权利要求5所述的方法,其中将转换的一个或多个规则应用到目标环境中包括合并转换的一个或多个规则与目标环境中的现有规则。
9.如权利要求1所述的方法,其中应用网络重配置需求包括对目标环境的网络配置文件进行更改。
10.如权利要求1所述的方法,还包括对动态DNS进行更改。
11.一种用于迁移中的网络重配置的***,包括:
处理器;
模块,其可操作以基于一个或多个正被迁移的组件的与源环境相关的一个或多个网络级的属性和与目标环境相关的一个或多个网络级的属性,确定目标环境的一个或多个网络功能中的网络重配置需求;以及
规则应用模块,其可操作以将所述网络重配置需求应用到目标环境中的一个或多个网络功能中。
12.如权利要求11所述的***,还包括:
发现模块,可操作以发现与源环境相关的一个或多个网络级的属性。
13.如权利要求11所述的***,其中所述模块可操作以识别与一个或多个正被迁移的组件相关的源环境的网络配置中的一个或多个规则,且所述***还包括转换模块,其可操作以将一个或多个规则转换为包括目标环境的网络配置。
14.如权利要求13所述的***,其中,所述规则应用模块通过包括转换的一个或多个规则来修改目标环境的网络配置。
15.如权利要求14所述的***,其中目标环境的网络配置包括防火墙配置。
16.如权利要求11所述的***,还包括:
用于自动发现一个或多个正被迁移的组件的与目标环境相关的一个或多个网络级属性的模块。
17.如权利要求1所述的方法,还包括:
使用处理器自动发现一个或多个正被迁移的组件的与目标环境相关的一个或多个网络级属性。
18.如权利要求17所述的方法,其中发现与目标环境相关的一个或多个网络级属性包括进行与目标环境相关的防火墙配置文件的分析。
CN201110139175.7A 2010-06-03 2011-05-26 自动化迁移中的网络重配置的方法和*** Expired - Fee Related CN102271053B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/793,202 2010-06-03
US12/793,202 US8813209B2 (en) 2010-06-03 2010-06-03 Automating network reconfiguration during migrations

Publications (2)

Publication Number Publication Date
CN102271053A true CN102271053A (zh) 2011-12-07
CN102271053B CN102271053B (zh) 2014-03-26

Family

ID=45053223

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110139175.7A Expired - Fee Related CN102271053B (zh) 2010-06-03 2011-05-26 自动化迁移中的网络重配置的方法和***

Country Status (3)

Country Link
US (1) US8813209B2 (zh)
KR (1) KR101868633B1 (zh)
CN (1) CN102271053B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105187435A (zh) * 2015-09-24 2015-12-23 浪潮电子信息产业股份有限公司 一种防火墙规则过滤优化方法
CN109417492A (zh) * 2016-08-01 2019-03-01 华为技术有限公司 一种网络功能nf管理方法及nf管理设备
CN113542263A (zh) * 2021-07-13 2021-10-22 中国工商银行股份有限公司 防火墙策略迁移方法及装置

Families Citing this family (44)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7856661B1 (en) 2005-07-14 2010-12-21 Mcafee, Inc. Classification of software on networked systems
US7757269B1 (en) 2006-02-02 2010-07-13 Mcafee, Inc. Enforcing alignment of approved changes and deployed changes in the software change life-cycle
US7895573B1 (en) 2006-03-27 2011-02-22 Mcafee, Inc. Execution environment file inventory
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US8332929B1 (en) 2007-01-10 2012-12-11 Mcafee, Inc. Method and apparatus for process enforced configuration management
US8381284B2 (en) 2009-08-21 2013-02-19 Mcafee, Inc. System and method for enforcing security policies in a virtual environment
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
US8549609B2 (en) * 2011-05-31 2013-10-01 Red Hat, Inc. Updating firewall rules
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
US8800024B2 (en) * 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US8713668B2 (en) 2011-10-17 2014-04-29 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
US8966024B2 (en) 2011-11-15 2015-02-24 Nicira, Inc. Architecture of networks with middleboxes
US8739272B1 (en) 2012-04-02 2014-05-27 Mcafee, Inc. System and method for interlocking a host and a gateway
US9548962B2 (en) * 2012-05-11 2017-01-17 Alcatel Lucent Apparatus and method for providing a fluid security layer
US9059960B2 (en) * 2012-08-31 2015-06-16 International Business Machines Corporation Automatically recommending firewall rules during enterprise information technology transformation
US8973146B2 (en) 2012-12-27 2015-03-03 Mcafee, Inc. Herd based scan avoidance system in a network environment
CN105580023B (zh) 2013-10-24 2019-08-16 迈克菲股份有限公司 网络环境中的代理辅助的恶意应用阻止
US9483490B1 (en) * 2013-10-28 2016-11-01 Cloudvelox, Inc. Generation of a cloud application image
US9430483B1 (en) * 2013-12-30 2016-08-30 Emc Corporation Automatic file system migration to a network attached storage system
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US11675837B2 (en) * 2014-03-17 2023-06-13 Modelizeit Inc. Analysis of data flows in complex enterprise IT environments
CN104158732B (zh) * 2014-08-22 2017-11-28 成都致云科技有限公司 一种智能的云服务动态路由策略
US9756121B2 (en) * 2015-06-24 2017-09-05 International Business Machines Corporation Optimizing routing and load balancing in an SDN-enabled cloud during enterprise data center migration
US9755903B2 (en) 2015-06-30 2017-09-05 Nicira, Inc. Replicating firewall policy across multiple data centers
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US10944722B2 (en) 2016-05-01 2021-03-09 Nicira, Inc. Using activities to manage multi-tenant firewall configuration
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US10582021B2 (en) * 2016-07-01 2020-03-03 Mcafee, Llc Cloud assisted behavioral automated testing
US10484427B2 (en) * 2016-07-11 2019-11-19 Stripe Inc. Methods and systems for providing configuration management for computing environments
US10608990B2 (en) * 2016-11-15 2020-03-31 Nicira, Inc. Accessing nodes deployed on an isolated network
US10419393B2 (en) * 2017-05-11 2019-09-17 International Business Machines Corporation Using network configuration analysis to improve server grouping in migration
US10917436B2 (en) 2018-03-20 2021-02-09 Cisco Technology, Inc. On-demand security policy provisioning
US10873604B1 (en) * 2018-06-19 2020-12-22 Architecture Technology Corporation Methods and systems for reconfiguring network devices
JP7188046B2 (ja) * 2018-12-14 2022-12-13 富士フイルムビジネスイノベーション株式会社 通信システム、通信装置、通信システムプログラム及び通信プログラム
US10791024B1 (en) * 2019-03-13 2020-09-29 Dell Products, L.P. Adaptive network interface configuration
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11809284B2 (en) * 2019-12-17 2023-11-07 Infosys Limited System and method of cloning a multi-tiered application
US11601399B2 (en) * 2021-01-20 2023-03-07 Bank Of America Corporation System and method for detecting forbidden network accesses based on zone connectivity mapping
CN114338391A (zh) * 2021-12-28 2022-04-12 奇安信科技集团股份有限公司 一种防火墙的迁移配置方法及装置

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6704873B1 (en) * 1999-07-30 2004-03-09 Accenture Llp Secure gateway interconnection in an e-commerce based environment
US20050289308A1 (en) * 2004-06-29 2005-12-29 Hitachi, Ltd. Method for controlling storage policy according to volume activity
US20060129670A1 (en) * 2001-03-27 2006-06-15 Redseal Systems, Inc. Method and apparatus for network wide policy-based analysis of configurations of devices
CN101281461A (zh) * 2007-04-04 2008-10-08 国际商业机器公司 用于迁移应用所依赖的***环境的方法和装置
CN101501668A (zh) * 2005-08-23 2009-08-05 米谋萨***有限公司 通过身份保持的企业服务可利用性
CN101783873A (zh) * 2009-01-19 2010-07-21 北京视典无限传媒技术有限公司 数字化多媒体信息传输平台

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8572625B2 (en) * 2009-08-04 2013-10-29 International Business Machines Corporation Method and system for application migration using per-application persistent configuration dependency

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6704873B1 (en) * 1999-07-30 2004-03-09 Accenture Llp Secure gateway interconnection in an e-commerce based environment
US20060129670A1 (en) * 2001-03-27 2006-06-15 Redseal Systems, Inc. Method and apparatus for network wide policy-based analysis of configurations of devices
US20050289308A1 (en) * 2004-06-29 2005-12-29 Hitachi, Ltd. Method for controlling storage policy according to volume activity
CN101501668A (zh) * 2005-08-23 2009-08-05 米谋萨***有限公司 通过身份保持的企业服务可利用性
CN101281461A (zh) * 2007-04-04 2008-10-08 国际商业机器公司 用于迁移应用所依赖的***环境的方法和装置
CN101783873A (zh) * 2009-01-19 2010-07-21 北京视典无限传媒技术有限公司 数字化多媒体信息传输平台

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105187435A (zh) * 2015-09-24 2015-12-23 浪潮电子信息产业股份有限公司 一种防火墙规则过滤优化方法
CN109417492A (zh) * 2016-08-01 2019-03-01 华为技术有限公司 一种网络功能nf管理方法及nf管理设备
CN109417492B (zh) * 2016-08-01 2021-01-29 华为技术有限公司 一种网络功能nf管理方法及nf管理设备
US11070433B2 (en) 2016-08-01 2021-07-20 Huawei Technologies Co., Ltd. Network function NF management method and NF management device
US11646939B2 (en) 2016-08-01 2023-05-09 Huawei Technologies Co., Ltd. Network function NF management method and NF management device
CN113542263A (zh) * 2021-07-13 2021-10-22 中国工商银行股份有限公司 防火墙策略迁移方法及装置
CN113542263B (zh) * 2021-07-13 2023-01-24 中国工商银行股份有限公司 防火墙策略迁移方法及装置

Also Published As

Publication number Publication date
KR20110132973A (ko) 2011-12-09
US8813209B2 (en) 2014-08-19
US20110302647A1 (en) 2011-12-08
KR101868633B1 (ko) 2018-06-18
CN102271053B (zh) 2014-03-26

Similar Documents

Publication Publication Date Title
CN102271053B (zh) 自动化迁移中的网络重配置的方法和***
CA3044909C (en) Computer network security configuration visualization and control system
US11265288B2 (en) Using network configuration analysis to improve server grouping in migration
US11671442B2 (en) Automated packetless network reachability analysis
US9100363B2 (en) Automatically recommending firewall rules during enterprise information technology transformation
US8458766B2 (en) Method and system for management of security rule set
US9491052B2 (en) Topology aware smart merge
US8825838B2 (en) Identification of business process application service groups
US20150370848A1 (en) System and method for managing data integrity in electronic data storage
US9379946B2 (en) Model-based virtual networking
US11489745B2 (en) Methods, systems and computer readable media for providing a declarative network monitoring environment
CN113810429B (zh) 一种自动化策略开通的方法
CN111226210B (zh) 搜索引擎优化技术
Basile et al. Inter‐function anomaly analysis for correct SDN/NFV deployment
CN110569987A (zh) 自动化运维方法、运维设备、存储介质及装置
CN114244555B (zh) 一种安全策略的调整方法
US11516088B1 (en) Network configuration verification in computing systems
US7971244B1 (en) Method of determining network penetration
CN111800286A (zh) 内网资产的探测方法、装置和电子设备
WO2023073952A1 (ja) セキュリティ分析装置、セキュリティ分析方法、及びコンピュータ読み取り可能な記録媒体
US20220067171A1 (en) Systems and methods for automated attack planning, analysis, and evaluation
KR102649648B1 (ko) 방화벽 정책적용 자동화서버, 이를 포함하는 자동화시스템 및 이를 이용한 방화벽 정책적용 자동화방법
EP4340312A1 (en) Translation of a source intent policy model to a target intent policy model
WO2023075883A1 (en) Network configuration verification in computing systems
CN117375899A (zh) 外网资源访问方法、装置及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20140326

Termination date: 20200526

CF01 Termination of patent right due to non-payment of annual fee