CN104717181B - 虚拟安全网关的安全策略配置***与方法 - Google Patents
虚拟安全网关的安全策略配置***与方法 Download PDFInfo
- Publication number
- CN104717181B CN104717181B CN201310684243.7A CN201310684243A CN104717181B CN 104717181 B CN104717181 B CN 104717181B CN 201310684243 A CN201310684243 A CN 201310684243A CN 104717181 B CN104717181 B CN 104717181B
- Authority
- CN
- China
- Prior art keywords
- vsg
- security
- strategy
- unit
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种虚拟安全网关的安全策略配置***与方法,其中,方法包括:根据用户配置生成用户安全策略;以虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;查询用户信息库,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从用户信息库中获取VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略;利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略下发给各VSG。本发明实施例可以实现从用户维度对Hypervisor模式VSG安全策略的配置。
Description
技术领域
本发明涉及云计算虚拟安全防护技术,尤其是一种虚拟安全网关的安全策略配置***与方法。
背景技术
虚拟安全网关(Visual Security Gateway,VSG)是新兴的云计算安全产品。VSG以虚拟机的形态部署在云平台上,能够为云平台上托管虚拟机之间的网络通信提供安全检测与控制。目前业界VSG产品的实现方式多样,其中虚拟层(Hypervisor)模式VSG是最有前景的实现方式之一。Hypervisor模式VSG的实现原理如下:一些主流虚拟化软件提供商,向第三方安全合作伙伴开放应用程序接口(API),例如,虚拟化软件VMware先后公开了VMware安全接口vmSafe和虚拟防护套件vShield的API,让第三方安全合作伙伴能够将其安全网关产品与虚拟化软件耦合,在hypervisor层上实现对虚拟机通信流量的安全监控。这样,流出虚拟机的数据包在数据交换前就可以进行检测与处置,从而解决对位于同一物理机上的不同来源与属性的资源的访问控制与入侵防御问题。
这类VSG产品因与虚拟化软件有API联系,所以必须和受保护虚拟机运行在同一台服务器上。原理上可以为每台虚拟机都配置一台VSG,但一台物理机上部署多台VSG将占用太多存储与计算资源,所以业界基本采用一台VSG对整台物理机上所有虚拟机进行防护的实现方式。
然而,在实现本发明的过程中,发明人发现,业界这种基于物理机的部署方式,为多用户对Hypervisor模式VSG的管理带来诸多问题。云最重要的特性是计算的弹性扩展,这种便利性决定了用户所辖的各种资源分布式地散布在多处物理机上,而不同用户的资源可能位于同一台物理机上。也就是说Hypervisor模式VSG与用户管理范围是彼此交叉重叠的,并不存在一一对应关系。所以VSG的安全策略无法从用户的维度进行配置、管理,这将使VSG的运营维护非常不便,且难以将VSG管理权限向用户开放,并且,VSG无法为用户提供更好的个性化网络通信安全监控服务。
发明内容
本发明实施例所要解决的技术问题是:提供一种虚拟安全网关的安全策略配置***与方法,以实现从用户维度对Hypervisor模式VSG安全策略的配置,为用户提供个性化的虚拟机网络通信安全监控服务。
本发明实施例提供的一种虚拟安全网关的安全策略配置***,包括:
策略存储单元,用于存储策略模板,包括用户安全策略模板和下发给各虚拟安全网关VSG的VSG安全策略;所述策略模板为用于配置、记录安全策略的数据表,所述数据表包括源地址、目的地址、功能引擎、协议类型、处置策略数据项,安全策略在数据表中按照优先级为从前往后排列;
用户信息库,用于存储从虚拟化管理平台中同步的虚拟机配置信息以及从VSG管理***同步的VSG配置信息;其中,虚拟机配置信息包括:虚拟网卡信息、虚拟网卡所属虚拟机信息、虚拟机所属物理机信息和虚拟机所属用户信息,所述虚拟网卡信息包括虚拟网卡标识ID、名称、互联网协议IP地址、介质访问控制MAC地址信息,虚拟网卡所属虚拟机信息包括虚拟机ID、名称信息,虚拟机所属物理机信息包括物理机ID、名称信息;VSG配置信息包括各物理机上部署的VSG的ID、名称和IP地址信息;
配置门户单元,用于根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略;
分解单元,用于根据用户信息库中存储的虚拟机配置信息,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;
合成单元,用于查询用户信息库中存储的虚拟机配置信息与VSG相关配置信息,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从用户信息库中获取各所述部署的VSG的安全策略作为VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略;以及利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略;
分发单元,用于分别将最新VSG安全策略下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。
在本发明安全策略配置***的另一个实施例中,以虚拟机所有的虚拟网卡为最小单位包括:以虚拟网卡ID、名称、IP地址、或者MAC地址为最小单位。
在本发明安全策略配置***的另一个实施例中,所述分解单元,具体用于从用户信息库中获取用户安全策略涉及的虚拟网卡信息和虚拟机信息;根据用户安全策略涉及的虚拟网卡信息,用虚拟网卡IP地址、MAC地址统一替换用户安全策略中的虚拟网卡ID和名称信息;根据用户安全策略涉及的虚拟机信息,用同一用户所有虚拟机涉及的IP地址、MAC地址同一替换该用户的用户安全策略中的虚拟机的其它信息;以虚拟机所有的虚拟网卡为最小单位,分别对各用户的用户安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第一安全策略条目列表,在第一安全策略条目列表中,各安全策略条目依据用户配置用户安全策略模板时设置的优先级排序,高优先级安全策略条目在前;去除第一安全策略条目列表中低优先级被高优先级完全屏蔽掉的安全策略条目;为每条安全策略条目标注优先级;为每条安全策略条目标注用户ID;以虚拟网卡IP地址为单位,将第一安全策略条目列表中的安全策略条目分组,得到多个安全策略条目组;分别在每个安全策略条目组中,按处置策略将安全策略条目分类,得到多个第一安全策略条目类;所述处置策略包括:需要VSG对符合检测条件的数据包进行的处置操作,包括允许通过、告警、丢弃、阻断会话、记录、或者回放会话操作;分别在每个第一安全策略条目类中,按优先级将安全策略条目排序,得到最小单位用户安全策略。
在本发明安全策略配置***的另一个实施例中,所述合成单元以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略时,具体用于以虚拟网卡为最小单位,分别对各VSG安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第二安全策略条目列表,在第二安全策略条目列表中,高优先级安全策略条目在前。
在本发明安全策略配置***的另一个实施例中,所述合成单元利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略时,具体用于按照处置策略将第二安全策略条目列表中的安全策略条目分类,得到多个第二安全策略条目类;分别将多个第一安全策略条目类与多个第二安全策略条目类做集合并处理,生成新的安全策略条目类;分别将依据不同处置策略分类得到的新的安全策略条目类之间做集合差处理,生成新的安全策略条目集合;去除新的安全策略条目集合中低优先级被高优先级完全屏蔽掉的安全策略条目,得到最新VSG安全策略。
在本发明安全策略配置***的另一个实施例中,还包括:
检测单元,用于按照遍历路径的方法,对所述最新VSG安全策略进行合理性检测;
所述分发单元,具体用于根据检测单元的检测结果,分别将通过合理性检测的最新VSG安全策略下发给各VSG。
在本发明安全策略配置***的另一个实施例中,所述检测单元,具体用于依次对各最新VSG安全策略做遍历检查,查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;若合理性发生冲突,则依据用户安全策略对合理性发生冲突的安全策略进行自动调整,并返回执行所述查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;若合理性发生冲突的调整次数超出预设阈值,则向用户和管理员发送告警信息;若不存在由于安全策略不一致而导致合理性发生冲突的安全策略,则通过合理性检测,由所述分发单元分别将通过合理性检测的最新VSG安全策略下发给各VSG。
本发明实施例提供的一种虚拟安全网关的安全策略配置方法,包括:
配置门户单元根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略;
分解单元根据用户信息库中存储的虚拟机配置信息,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;
合成单元查询用户信息库中存储的虚拟机配置信息与虚拟安全网关VSG相关配置信息,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从用户信息库中获取各所述部署的VSG的安全策略作为VSG安全策略;
合成单元以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略;
合成单元利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略;
分发单元分别将最新VSG安全策略下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。
在本发明安全策略配置方法的另一个实施例中,还包括:
从虚拟化管理平台中获取虚拟机配置信息并存储在用户信息库中,以及从VSG管理***获取VSG配置信息并存储在用户信息库中;
其中,虚拟机配置信息包括:虚拟网卡信息、虚拟网卡所属虚拟机信息、虚拟机所属物理机信息和虚拟机所属用户信息,所述虚拟网卡信息包括虚拟网卡标识ID、名称、互联网协议IP地址、介质访问控制MAC地址信息,虚拟网卡所属虚拟机信息包括虚拟机ID、名称信息,虚拟机所属物理机信息包括物理机ID、名称信息;VSG配置信息包括各物理机上部署的VSG的ID、名称和IP地址信息。
在本发明安全策略配置方法的另一个实施例中,以虚拟机所有的虚拟网卡为最小单位包括:以虚拟网卡ID、名称、IP地址、或者MAC地址为最小单位。
在本发明安全策略配置方法的另一个实施例中,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略包括:
从用户信息库中获取用户安全策略涉及的虚拟网卡信息和虚拟机信息;
根据用户安全策略涉及的虚拟网卡信息,用虚拟网卡IP地址、MAC地址统一替换用户安全策略中的虚拟网卡ID和名称信息;
根据用户安全策略涉及的虚拟机信息,用同一用户所有虚拟机涉及的IP地址、MAC地址同一替换该用户的用户安全策略中的虚拟机的其它信息;
以虚拟机所有的虚拟网卡为最小单位,分别对各用户的用户安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第一安全策略条目列表,在第一安全策略条目列表中,各安全策略条目依据用户配置用户安全策略模板时设置的优先级排序,高优先级安全策略条目在前;
去除第一安全策略条目列表中低优先级被高优先级完全屏蔽掉的安全策略条目;
为每条安全策略条目标注优先级;
为每条安全策略条目标注用户ID;
以虚拟网卡IP地址为单位,将第一安全策略条目列表中的安全策略条目分组,得到多个安全策略条目组;
分别在每个安全策略条目组中,按处置策略将安全策略条目分类,得到多个第一安全策略条目类;所述处置策略包括:需要VSG对符合检测条件的数据包进行的处置操作,包括允许通过、告警、丢弃、阻断会话、记录、或者回放会话操作;
分别在每个第一安全策略条目类中,按优先级将安全策略条目排序,得到最小单位用户安全策略。
在本发明安全策略配置方法的另一个实施例中,以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略包括:
以虚拟网卡为最小单位,分别对各VSG安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第二安全策略条目列表,在第二安全策略条目列表中,高优先级安全策略条目在前。
在本发明安全策略配置方法的另一个实施例中,利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略包括:
按照处置策略将第二安全策略条目列表中的安全策略条目分类,得到多个第二安全策略条目类;
分别将多个第一安全策略条目类与多个第二安全策略条目类做集合并处理,生成新的安全策略条目类;
分别将依据不同处置策略分类得到的新的安全策略条目类之间做集合差处理,生成新的安全策略条目集合;
去除新的安全策略条目集合中低优先级被高优先级完全屏蔽掉的安全策略条目,得到最新VSG安全策略。
在本发明安全策略配置方法的另一个实施例中,生成最新VSG安全策略之后,还包括:按照遍历路径的方法,对最新VSG安全策略进行合理性检测;
分别将最新VSG安全策略下发给各VSG包括:分别将通过合理性检测的最新VSG安全策略下发给各VSG。
在本发明安全策略配置方法的另一个实施例中,对最新VSG安全策略进行合理性检测包括:
依次对各最新VSG安全策略做遍历检查,查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;
若合理性发生冲突,则依据用户安全策略对合理性发生冲突的安全策略进行自动调整,并返回执行所述查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;
若合理性发生冲突的调整次数超出预设阈值,则向用户和管理员发送告警信息;
若不存在由于安全策略不一致而导致合理性发生冲突的安全策略,则通过合理性检测,执行所述分别将通过合理性检测的最新VSG安全策略下发给各VSG的操作。
基于本发明上述实施例提供的虚拟安全网关的安全策略配置***与方法,可以根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略,根据用户信息库中存储的虚拟机配置信息,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;查询用户信息库获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从策略存储单元中获取各部署的VSG的安全策略作为VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略分别下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。与现有技术相比,本发明实施例可以将用于层面设置的安全策略转换为各VSG上执行的安全策略,实现了从用户维度对Hypervisor模式VSG安全策略的配置,解决了VSG的安全策略无法从用户的维度进行配置、管理,使VSG的运营维护非常不便,且难以将VSG管理权限向用户开放的问题,可以为用户提供个性化的虚拟机网络通信安全监控服务。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本发明的实施例,并且连同描述一起用于解释本发明的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中:
图1为本发明虚拟安全网关的安全策略配置***一个实施例的结构示意图。
图2为本发明虚拟安全网关的安全策略配置方法一个实施例的流程图。
图3为本发明方法实施例中分解单元执行操作的一个流程图。
图4为本发明方法实施例中合成单元执行操作的一个流程图。
具体实施方式
现在将参照附图来详细描述本发明的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
本发明实施例提供的虚拟安全网关的安全策略配置***位于Hypervisor模式VSG的管理服务器上,是VSG管理***的一部分。其中,VSG管理***也位于Hypervisor模式VSG的管理服务器上,用于管理VSG,包括:VSG初始化、策略更改、状态监控、状态修复,迁移等。安全策略配置***与所有受其管理的VSG及虚拟化管理平台(vCenter)网络连通,从虚拟化管理平台获取虚拟机的配置信息,向VSG下发安全策略和管理指令。其中的虚拟化管理平台用于管理虚拟机。
图1为本发明虚拟安全网关的安全策略配置***一个实施例的结构示意图。如图1所示,该实施例的虚拟安全网关的安全策略配置***包括策略存储单元、用户信息库、配置门户单元、分解单元、合成单元与分发单元。其中:
策略存储单元,用于存储策略模板,包括用户安全策略模板和下发给各VSG的VSG安全策略。策略模板具体为用于配置、记录安全策略的数据表,数据表包括源地址、目的地址、功能引擎、协议类型、处置策略数据项,策略模板可以记录多条安全策略,安全策略在数据表中按照优先级为从前往后排列,即第一条安全策略的优先级最高,之后安全策略的优先级依次降低,各安全策略的优先级可以在生成用户安全策略时由用户设置,也可以采用用户安全策略模板中的预先配置。
其中的源地址是指,表示网络数据包来源的地址信息,可在IP地址、IPv6地址、MAC地址、虚拟网卡ID或名称、虚拟机ID或名称、物理机ID或名称、集群ID或名称中选择地址类别并配置。目的地址是指,表示网络数据包目标的地址信息,可在IP地址、IPv6地址、MAC地址、虚拟网卡ID或名称、虚拟机ID或名称、物理机ID或名称、集群ID或名称中选择地址类别并配置。功能引擎是指,所需VSG提供的安全功能,可在访问控制、病毒防护、入侵防御中选择配置。协议类型是指,所需VSG进行监控的数据包的协议类型,包括网络层协议(例如,ARP、RARP、ICMP、IGMP等)及应用层协议(例如,HTTP、TELNET、FTP等)。如功能引擎选择为入侵防御,协议类型还可以细化到具体VSG支持检测的应用程序。所述处置策略是指,所需VSG对符合检测条件的数据包进行的处置操作,可在允许通过、告警、丢弃、阻断会话、记录、回放会话等操作中选择配置。用户安全策略模板是指,配置门户单元提供给租户配置或更改安全策略的策略模板,用户可以通过修改用户策略模板数据项中的数据来配置安全策略,从而得到用户安全策略。VSG安全策略是指,下发给VSG,作为VSG执行的安全策略。
用户信息库,为存储云平台全局网络拓扑及资产属性的数据信息库,用于存储从虚拟化管理平台中同步的虚拟机配置信息(也称为:虚拟机相关的网络拓扑和资产属性信息)以及从VSG管理***同步的VSG配置信息(也称为:VSG相关的网络拓扑和资产属性信息)。其中,虚拟机配置信息包括:虚拟网卡信息、虚拟网卡所属虚拟机信息、虚拟机所属物理机信息和虚拟机所属用户信息,虚拟网卡信息包括虚拟网卡标识(ID)、名称、互联网协议(IP)地址、介质访问控制(MAC)地址信息、存活状态,虚拟网卡所属虚拟机信息包括虚拟机ID、名称信息、存活状态,虚拟机所属物理机信息包括物理机ID、名称信息、存活状态;VSG配置信息包括各物理机上部署的VSG的ID、名称和IP地址信息。
配置门户(portal)单元,用于根据用户对策略存储单元中用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略。配置门户单元为面向用户的人机交互界面,用户通过配置门户单元可以查看其所辖虚拟机的属性、运行状态和安全状态,配置与下发安全策略。
分解单元,用于根据用户信息库中存储的虚拟机配置信息,以虚拟机所有的虚拟网卡为最小单位,例如,以虚拟网卡ID、名称、IP地址、或者MAC地址为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略。
合成单元,用于查询用户信息库中存储的虚拟机配置信息与VSG相关配置信息,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从策略存储单元中获取各部署的VSG的安全策略作为VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略;以及利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG(也即:以物理机)为单位进行合并,生成最新VSG安全策略。一个最新VSG安全策略与一个VSG相关联,绑定VSG的IP地址。
分发单元,用于分别将最新VSG安全策略下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。
基于本发明上述实施例提供的虚拟安全网关的安全策略配置***,可以根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略,根据用户信息库中存储的虚拟机配置信息,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;查询用户信息库获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从策略存储单元中获取各部署的VSG的安全策略作为VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略分别下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。与现有技术相比,本发明实施例可以将用于层面设置的安全策略转换为各VSG上执行的安全策略,实现了从用户维度对Hypervisor模式VSG安全策略的配置,解决了VSG的安全策略无法从用户的维度进行配置、管理,使VSG的运营维护非常不便,且难以将VSG管理权限向用户开放的问题,可以为用户提供个性化的虚拟机网络通信安全监控服务。
再参见图1,在本发明虚拟安全网关的安全策略配置***的另一个实施例中,还包括检测单元,用于按照遍历路径的方法,对合成单元生成的最新VSG安全策略进行合理性检测,通过全局安全策略检测调配机制,保证从用户安全策略到VSG安全策略转换的合理性。相应地,分发单元,具体用于根据检测单元的检测结果,分别将通过合理性检测的最新VSG安全策略下发给各VSG。
以下结合本发明虚拟安全网关的安全策略配置方法对本发明实施例的虚拟安全网关的安全策略配置***进行进一步详细说明,本发明实施例的安全策略配置方法基于本发明上述实施例的安全策略配置***实现。
图2为本发明虚拟安全网关的安全策略配置方法一个实施例的流程图。如图2所示,本发明实施例的虚拟安全网关的安全策略配置方法包括:
110,配置门户单元根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略。
120,分解单元根据用户信息库中存储的虚拟机配置信息,以虚拟机所有的虚拟网卡为最小单位,例如,以虚拟网卡ID、名称、IP地址、或者MAC地址为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略。
130,合成单元查询用户信息库中存储的虚拟机配置信息与虚拟安全网关VSG相关配置信息,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从策略存储单元中获取各部署的VSG的安全策略作为VSG安全策略。
140,合成单元以虚拟网卡为最小单位,例如,以虚拟网卡ID、名称、IP地址、或者MAC地址为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略。
150,合成单元利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略。
160,分发单元分别将最新VSG安全策略下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。
基于本发明上述实施例提供的虚拟安全网关的安全策略配置方法,可以根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略,根据用户信息库中存储的虚拟机配置信息,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;查询用户信息库获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从策略存储单元中获取各部署的VSG的安全策略作为VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略分别下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。与现有技术相比,本发明实施例可以将用于层面设置的安全策略转换为各VSG上执行的安全策略,实现了从用户维度对Hypervisor模式VSG安全策略的配置,解决了VSG的安全策略无法从用户的维度进行配置、管理,使VSG的运营维护非常不便,且难以将VSG管理权限向用户开放的问题,可以为用户提供个性化的虚拟机网络通信安全监控服务。
再参见图1,在本发明虚拟安全网关的安全策略配置方法的另一个实施例中,还可以包括:
100,从虚拟化管理平台中获取虚拟机配置信息并存储在用户信息库中,以及从VSG管理***获取VSG配置信息并存储在用户信息库中。
其中,虚拟机配置信息包括:虚拟网卡信息、虚拟网卡所属虚拟机信息、虚拟机所属物理机信息和虚拟机所属用户信息,虚拟网卡信息包括虚拟网卡ID、名称、IP地址、MAC地址信息,虚拟网卡所属虚拟机信息包括虚拟机ID、名称信息,虚拟机所属物理机信息包括物理机ID、名称信息;VSG配置信息包括各物理机上部署的VSG的ID、名称和IP地址信息。
图3为本发明方法实施例中分解单元执行操作的一个流程图。如图3所示,操作120具体可以通过如下方式实现:
210,从用户信息库中获取用户安全策略涉及的虚拟网卡信息和虚拟机信息。
220,根据用户安全策略涉及的虚拟网卡信息,包括虚拟网卡ID、名称、IP地址、MAC地址信息,用虚拟网卡IP地址、MAC地址统一替换用户安全策略中的虚拟网卡ID和名称信息。
230,根据用户安全策略涉及的虚拟机信息,用同一用户所有虚拟机涉及的IP地址、MAC地址同一替换该用户的用户安全策略中的虚拟机的其它信息。
240,以虚拟机所有的虚拟网卡为最小单位,分别对各用户的用户安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第一安全策略条目列表,在第一安全策略条目列表中,各安全策略条目依据用户配置用户安全策略模板时设置的优先级排序,高优先级安全策略条目在前。
250,去除第一安全策略条目列表中低优先级被高优先级完全屏蔽掉的安全策略条目。
260,为每条安全策略条目标注优先级。
270,为每条安全策略条目标注用户ID。
280,以虚拟网卡IP地址为单位,将第一安全策略条目列表中的安全策略条目分组,得到多个安全策略条目组。
290,分别在每个安全策略条目组中,按处置策略将安全策略条目分类,得到多个第一安全策略条目类。其中,处置策略包括:需要VSG对符合检测条件的数据包进行的处置操作,包括允许通过、告警、丢弃、阻断会话、记录、或者回放会话操作。
300,分别在每个第一安全策略条目类中,按优先级将安全策略条目排序,得到最小单位用户安全策略。
图4为本发明方法实施例中合成单元执行操作的一个流程图。该流程中,合成单元依次针对每一组最小单位用户安全策略执行如下410~460的操作。如图4所示,操作130~150具体可以通过如下方式实现:
410,查询用户信息库中存储的虚拟机配置信息与虚拟安全网关VSG相关配置信息,根据虚拟网卡的IP地址或者MAC地址,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从策略存储单元中获取各部署的VSG的安全策略作为VSG安全策略。
420,以虚拟网卡为最小单位,分别对各VSG安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第二安全策略条目列表,在第二安全策略条目列表中,高优先级安全策略条目在前。
430,按照处置策略将第二安全策略条目列表中的安全策略条目分类,得到多个第二安全策略条目类,在每一个第二安全策略条目类中,高优先级安全策略条目在前。
440,分别将对应的第一安全策略条目类与第二安全策略条目类做集合并处理,即:将分别将对应的第一安全策略条目类与第二安全策略条目类的安全策略条目进行合并,生成多个新的安全策略条目类。
450,分别将依据不同处置策略分类得到的多个新的安全策略条目类之间做集合差处理,即:去除各新的安全策略条目类中重复的安全策略条目,生成新的安全策略条目集合。
460,去除新的安全策略条目集合中低优先级被高优先级完全屏蔽掉的安全策略条目(即:若高优先级的安全策略包含了低优先级的安全策略,则去掉被包含的低优先级的安全策略),得到最新VSG安全策略。
再参见图1,在本发明虚拟安全网关的安全策略配置方法的又一个实施例中,在操作150之后,还可以包括:151,按照遍历路径的方法,对最新VSG安全策略进行合理性检测。若最新VSG安全策略通过合理性检测,则操作160中,分别将通过合理性检测的最新VSG安全策略下发给各VSG。否则,若最新VSG安全策略未通过合理性检测,则对为通过检测的最新VSG安全策略进行调整,之后,通过操作160,将通过合理性检测的最新VSG安全策略下发给各VSG。
根据本发明虚拟安全网关的安全策略配置方法实施例的一个具体示例而非限制,对最新VSG安全策略进行合理性检测具体可以通过如下方式实现:
依次对各最新VSG安全策略做遍历检查,查询是否存在由于安全策略不一致(例如,处置策略毛存)而导致合理性发生冲突的安全策略;
若合理性发生冲突,则依据用户安全策略对合理性发生冲突的安全策略进行自动调整,例如,删除发送冲突的安全策略中低优先级的安全策略,并返回重新执行查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;
若合理性发生冲突的调整次数超出预设阈值,则向用户和管理员发送告警信息;
若不存在由于安全策略不一致而导致合理性发生冲突的安全策略,则通过合理性检测,执行操作160,分别将通过合理性检测的最新VSG安全策略下发给各VSG的操作。
在本发明上述实施例的一个应用实施例中,用户对云中新增服务器上的托管虚拟资源设置安全策略。此时,VSG为新装。安全策略配置***新建VSG安全策略模板,与新增物理机上的VSG建立关联,从虚拟化管理平台获取新增服务器(物理机)上的虚拟机信息(包括:ID、名称,所有虚拟网卡ID、名称、IP、MAC地址),更新用户信息库。用户通过配置门户单元在其用户安全策略模板上为新增物理机上的虚拟机添加安全策略。安全策略配置***的分解单元从用户信息库中获取虚拟机信息,将用户安全策略标准化、分解、分类,按优先级排序。安全策略配置***的合成单元从用户信息库中获取虚拟机所属物理机信息,分解后的用户安全策略以物理机为单位合并,写入VSG安全策略模板,得到VSG安全策略并下发给VSG。
在本发明上述实施例的另一个应用实施例中,用户对其所管辖的虚拟资源的安全策略配置进行更改。用户通过配置门户单元在其用户安全策略模板上对某虚拟机安全策略进行更改。安全策略配置***的分解单元从用户信息库中获取虚拟机信息,将更改的用户安全策略做标准化、以IP为单位分组、按处置策略分类,根据按优先级排序。安全策略配置***的合成单元获得被更改的用户安全策略的IP,找到与之相关的VSG安全策略模板,将其中的安全策略条目按处置策略分类,被更改的用户安全策略与VSG安全策略模板中的安全策略,相同类别的做集合并,并后的几类安全策略做集合并减集合交操作。最后对安全策略进行优化,交由检测单元进行合理性检查。检查未通过发生告警,按优先级微调,重新检查。检查通过,写入VSG安全策略模板,得到VSG安全策略并下发给VSG。
在本发明上述实施例的再一个应用实施例中,受用户托管的虚拟机迁移到另一台物理机中。先前物理机中的VSG不再对该虚拟机进行防护,而改由现在虚拟机所处物理机中的VSG做安全处置。此时,安全策略配置***从虚拟化管理平台获取迁移前后物理机上虚拟机的变更信息(包括:ID、名称,所有虚拟网卡ID、名称、IP、MAC地址),更新用户信息库。用户安全策略模板不发生变化。安全策略配置***的合成单元从用户信息库中获取虚拟机迁移前后所属物理机信息,查找出前后所属物理机关联的两份VSG安全策略模板(即:之前配置的这两个物理机关联的VSG的最新VSG安全策略),从前者分离出虚拟机相关安全策略条目,以IP为单位进行分解,按处置策略分类。将后者中的安全策略条目按处置策略分类,相同类别的做集合并,并后的几类安全策略做集合并减集合交操作。最后对安全策略进行优化,交由检测单元进行合理性检查。检查未通过发生告警,按优先级微调,重新检查。检查通过,写入后者VSG安全策略模板,得到VSG安全策略并下发给VSG。
本说明书中各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似的部分相互参见即可。对于***实施例而言,由于其与方法实施例基本对应,相关之处相互参见实施例的对应部分说明即可。
可能以许多方式来实现本发明的方法、***。例如,可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和***。用于所述方法的步骤的上述顺序仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
本发明的描述是为了示例和描述起见而给出的,而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用,并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。
Claims (15)
1.一种虚拟安全网关的安全策略配置***,其特征在于,包括:
策略存储单元,用于存储策略模板,包括用户安全策略模板和下发给各虚拟安全网关VSG的VSG安全策略;所述策略模板为用于配置、记录安全策略的数据表,所述数据表包括源地址、目的地址、功能引擎、协议类型、处置策略数据项,安全策略在数据表中按照优先级为从前往后排列;
用户信息库,用于存储从虚拟化管理平台中同步的虚拟机配置信息以及从VSG管理***同步的VSG配置信息;其中,虚拟机配置信息包括:虚拟网卡信息、虚拟网卡所属虚拟机信息、虚拟机所属物理机信息和虚拟机所属用户信息,所述虚拟网卡信息包括虚拟网卡标识ID、名称、互联网协议IP地址、介质访问控制MAC地址信息,虚拟网卡所属虚拟机信息包括虚拟机ID、名称信息,虚拟机所属物理机信息包括物理机ID、名称信息;VSG配置信息包括各物理机上部署的VSG的ID、名称和IP地址信息;
配置门户单元,用于根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略;
分解单元,用于从用户信息库中获取用户安全策略涉及的虚拟网卡信息和虚拟机信息,根据用户安全策略涉及的虚拟网卡信息,用虚拟网卡IP地址、MAC地址统一替换用户安全策略中的虚拟网卡ID和名称信息,根据用户安全策略涉及的虚拟机信息,用同一用户所有虚拟机涉及的IP地址、MAC地址统一替换该用户的用户安全策略中的虚拟机的其它信息,根据虚拟网卡的标识信息,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;
合成单元,用于查询用户信息库中存储的虚拟机配置信息与VSG相关配置信息,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从用户信息库中获取各所述部署的VSG的安全策略作为VSG安全策略;以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略;以及利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略;
分发单元,用于分别将最新VSG安全策略下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。
2.根据权利要求1所述的***,其特征在于,以虚拟机所有的虚拟网卡为最小单位包括:以虚拟网卡ID、名称、IP地址、或者MAC地址为最小单位。
3.根据权利要求2所述的***,其特征在于,所述分解单元,具体用于以虚拟机所有的虚拟网卡为最小单位,分别对各用户的用户安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第一安全策略条目列表,在第一安全策略条目列表中,各安全策略条目依据用户配置用户安全策略模板时设置的优先级排序,高优先级安全策略条目在前;去除第一安全策略条目列表中低优先级被高优先级完全屏蔽掉的安全策略条目;为每条安全策略条目标注优先级;为每条安全策略条目标注用户ID;以虚拟网卡IP地址为单位,将第一安全策略条目列表中的安全策略条目分组,得到多个安全策略条目组;分别在每个安全策略条目组中,按处置策略将安全策略条目分类,得到多个第一安全策略条目类;所述处置策略包括:需要VSG对符合检测条件的数据包进行的处置操作,包括允许通过、告警、丢弃、阻断会话、记录、或者回放会话操作;分别在每个第一安全策略条目类中,按优先级将安全策略条目排序,得到最小单位用户安全策略。
4.根据权利要求3所述的***,其特征在于,所述合成单元以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略时,具体用于以虚拟网卡为最小单位,分别对各VSG安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第二安全策略条目列表,在第二安全策略条目列表中,高优先级安全策略条目在前。
5.根据权利要求4所述的***,其特征在于,所述合成单元利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略时,具体用于按照处置策略将第二安全策略条目列表中的安全策略条目分类,得到多个第二安全策略条目类;分别将多个第一安全策略条目类与多个第二安全策略条目类做集合并处理,生成新的安全策略条目类;分别将依据不同处置策略分类得到的新的安全策略条目类之间做集合差处理,生成新的安全策略条目集合;去除新的安全策略条目集合中低优先级被高优先级完全屏蔽掉的安全策略条目,得到最新VSG安全策略。
6.根据权利要求5所述的***,其特征在于,还包括:
检测单元,用于按照遍历路径的方法,对所述最新VSG安全策略进行合理性检测;
所述分发单元,具体用于根据检测单元的检测结果,分别将通过合理性检测的最新VSG安全策略下发给各VSG。
7.根据权利要求6所述的***,其特征在于,所述检测单元,具体用于依次对各最新VSG安全策略做遍历检查,查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;若合理性发生冲突,则依据用户安全策略对合理性发生冲突的安全策略进行自动调整,并返回执行所述查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;若合理性发生冲突的调整次数超出预设阈值,则向用户和管理员发送告警信息;若不存在由于安全策略不一致而导致合理性发生冲突的安全策略,则通过合理性检测,由所述分发单元分别将通过合理性检测的最新VSG安全策略下发给各VSG。
8.一种虚拟安全网关的安全策略配置方法,其特征在于,包括:
配置门户单元根据用户对用户安全策略模板的配置生成该用户所辖各虚拟机的安全策略作为用户安全策略;
分解单元从用户信息库中获取用户安全策略涉及的虚拟网卡信息和虚拟机信息,根据用户安全策略涉及的虚拟网卡信息,用虚拟网卡IP地址、MAC地址统一替换用户安全策略中的虚拟网卡ID和名称信息,根据用户安全策略涉及的虚拟机信息,用同一用户所有虚拟机涉及的IP地址、MAC地址统一替换该用户的用户安全策略中的虚拟机的其它信息,根据虚拟网卡的标识信息,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略;
合成单元查询用户信息库中存储的虚拟机配置信息与虚拟安全网关VSG相关配置信息,分别获取各最小单位用户安全策略分别对应的虚拟网卡所属虚拟机信息、虚拟机所属物理机信息及物理机上部署的VSG信息,并从用户信息库中获取各所述部署的VSG的安全策略作为VSG安全策略;
合成单元以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略;
合成单元利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略;
分发单元分别将最新VSG安全策略下发给各VSG,以便各VSG基于各自的最新VSG安全策略对所在物理机上所有虚拟机进行安全防护。
9.根据权利要求8所述的方法,其特征在于,还包括:
从虚拟化管理平台中获取虚拟机配置信息并存储在用户信息库中,以及从VSG管理***获取VSG配置信息并存储在用户信息库中;
其中,虚拟机配置信息包括:虚拟网卡信息、虚拟网卡所属虚拟机信息、虚拟机所属物理机信息和虚拟机所属用户信息,所述虚拟网卡信息包括虚拟网卡标识ID、名称、互联网协议IP地址、介质访问控制MAC地址信息,虚拟网卡所属虚拟机信息包括虚拟机ID、名称信息,虚拟机所属物理机信息包括物理机ID、名称信息;VSG配置信息包括各物理机上部署的VSG的ID、名称和IP地址信息。
10.根据权利要求8或9所述的方法,其特征在于,以虚拟机所有的虚拟网卡为最小单位包括:以虚拟网卡ID、名称、IP地址、或者MAC地址为最小单位。
11.根据权利要求10所述的方法,其特征在于,以虚拟机所有的虚拟网卡为最小单位,分别将各用户的用户安全策略拆分为最小单位用户安全策略包括:
以虚拟机所有的虚拟网卡为最小单位,分别对各用户的用户安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第一安全策略条目列表,在第一安全策略条目列表中,各安全策略条目依据用户配置用户安全策略模板时设置的优先级排序,高优先级安全策略条目在前;
去除第一安全策略条目列表中低优先级被高优先级完全屏蔽掉的安全策略条目;
为每条安全策略条目标注优先级;
为每条安全策略条目标注用户ID;
以虚拟网卡IP地址为单位,将第一安全策略条目列表中的安全策略条目分组,得到多个安全策略条目组;
分别在每个安全策略条目组中,按处置策略将安全策略条目分类,得到多个第一安全策略条目类;所述处置策略包括:需要VSG对符合检测条件的数据包进行的处置操作,包括允许通过、告警、丢弃、阻断会话、记录、或者回放会话操作;
分别在每个第一安全策略条目类中,按优先级将安全策略条目排序,得到最小单位用户安全策略。
12.根据权利要求11所述的方法,其特征在于,以虚拟网卡为最小单位,分别将各VSG安全策略拆分为最小单位VSG安全策略包括:
以虚拟网卡为最小单位,分别对各VSG安全策略进行拆分,形成虚拟网卡到虚拟网卡的点对点第二安全策略条目列表,在第二安全策略条目列表中,高优先级安全策略条目在前。
13.根据权利要求12所述的方法,其特征在于,利用最小单位用户安全策略对最小单位VSG安全策略进行更新,并将更新后的最小单位VSG安全策略以VSG为单位进行合并,生成最新VSG安全策略包括:
按照处置策略将第二安全策略条目列表中的安全策略条目分类,得到多个第二安全策略条目类;
分别将多个第一安全策略条目类与多个第二安全策略条目类做集合并处理,生成新的安全策略条目类;
分别将依据不同处置策略分类得到的新的安全策略条目类之间做集合差处理,生成新的安全策略条目集合;
去除新的安全策略条目集合中低优先级被高优先级完全屏蔽掉的安全策略条目,得到最新VSG安全策略。
14.根据权利要求13所述的方法,其特征在于,生成最新VSG安全策略之后,还包括:按照遍历路径的方法,对最新VSG安全策略进行合理性检测;
分别将最新VSG安全策略下发给各VSG包括:分别将通过合理性检测的最新VSG安全策略下发给各VSG。
15.根据权利要求14所述的方法,其特征在于,对最新VSG安全策略进行合理性检测包括:
依次对各最新VSG安全策略做遍历检查,查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;
若合理性发生冲突,则依据用户安全策略对合理性发生冲突的安全策略进行自动调整,并返回执行所述查询是否存在由于安全策略不一致而导致合理性发生冲突的安全策略;
若合理性发生冲突的调整次数超出预设阈值,则向用户和管理员发送告警信息;
若不存在由于安全策略不一致而导致合理性发生冲突的安全策略,则通过合理性检测,执行所述分别将通过合理性检测的最新VSG安全策略下发给各VSG的操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310684243.7A CN104717181B (zh) | 2013-12-13 | 2013-12-13 | 虚拟安全网关的安全策略配置***与方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310684243.7A CN104717181B (zh) | 2013-12-13 | 2013-12-13 | 虚拟安全网关的安全策略配置***与方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104717181A CN104717181A (zh) | 2015-06-17 |
| CN104717181B true CN104717181B (zh) | 2018-10-23 |
Family
ID=53416155
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310684243.7A Active CN104717181B (zh) | 2013-12-13 | 2013-12-13 | 虚拟安全网关的安全策略配置***与方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104717181B (zh) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100109B (zh) | 2015-08-19 | 2019-05-24 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
| CN105608379A (zh) * | 2015-10-23 | 2016-05-25 | 浪潮(北京)电子信息产业有限公司 | 虚拟化环境下虚拟主机的加固***和加固方法 |
| CN109246136B (zh) * | 2016-08-25 | 2020-12-04 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| US11749509B2 (en) * | 2017-02-20 | 2023-09-05 | Beijing E-Town Semiconductor Technology, Co., Ltd | Temperature control using temperature control element coupled to faraday shield |
| CN107294980B (zh) * | 2017-06-29 | 2021-01-01 | 浪潮集团有限公司 | 一种虚拟机网络接入分层控制方法 |
| CN110278237A (zh) * | 2018-03-18 | 2019-09-24 | 江苏智慧新吴信息科技有限公司 | 一种多维数据组合策略引擎 |
| CN110868371B (zh) * | 2018-08-27 | 2022-03-01 | 中国电信股份有限公司 | 安全策略的处理方法、***、云管理平台和子网管理装置 |
| CN109698819B (zh) * | 2018-11-19 | 2020-07-24 | 中国科学院信息工程研究所 | 一种网络中的威胁处置管理方法及*** |
| CN109669928A (zh) * | 2018-12-11 | 2019-04-23 | 广东电网有限责任公司 | 策略配置方法及装置 |
| CN110245041B (zh) * | 2019-06-18 | 2022-12-13 | 上海电气泰雷兹交通自动化***有限公司 | 一种Windows配置健康检查装置 |
| CN112751806B (zh) * | 2019-10-31 | 2022-09-06 | 中国电信股份有限公司 | 用于安全策略配置的编排方法、***、装置及存储介质 |
| CN114039853B (zh) * | 2021-11-15 | 2024-02-09 | 天融信雄安网络安全技术有限公司 | 一种检测安全策略的方法、装置、存储介质和电子设备 |
| CN114389897B (zh) * | 2022-03-18 | 2022-06-10 | 苏州市卫生计生统计信息中心 | It基础设施安全策略集中管控优化方法 |
| CN115629842A (zh) * | 2022-10-31 | 2023-01-20 | 鞍钢股份有限公司 | 一种调宽服务器的虚拟化方法 |
| CN115766289A (zh) * | 2022-12-23 | 2023-03-07 | 河南大学 | 一种面向虚拟机集群的分布式网络安全方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
| CN102202049A (zh) * | 2010-03-23 | 2011-09-28 | 思杰***有限公司 | 用于多虚拟机设备的网络策略实现 |
| CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| CN103229489A (zh) * | 2012-12-21 | 2013-07-31 | 华为技术有限公司 | 虚拟机控制策略的配置方法和交换机 |
-
2013
- 2013-12-13 CN CN201310684243.7A patent/CN104717181B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102202049A (zh) * | 2010-03-23 | 2011-09-28 | 思杰***有限公司 | 用于多虚拟机设备的网络策略实现 |
| CN102136931A (zh) * | 2010-09-20 | 2011-07-27 | 华为技术有限公司 | 虚端口网络策略配置方法、一种网络管理中心和相关设备 |
| CN102739645A (zh) * | 2012-04-23 | 2012-10-17 | 杭州华三通信技术有限公司 | 虚拟机安全策略的迁移方法及装置 |
| CN103229489A (zh) * | 2012-12-21 | 2013-07-31 | 华为技术有限公司 | 虚拟机控制策略的配置方法和交换机 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104717181A (zh) | 2015-06-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104717181B (zh) | 虚拟安全网关的安全策略配置***与方法 | |
| US11716265B2 (en) | Anomaly detection and reporting in a network assurance appliance | |
| CN110754064B (zh) | 网络结构中的路由信息的验证 | |
| US11206200B1 (en) | Dashboard for graphic display of computer network topology | |
| US20240146774A1 (en) | Assurance of security rules in a network | |
| CN112219382B (zh) | 网络中的安全规则的保证 | |
| CN104272702B (zh) | 用于多租户环境中支持访问控制列表的方法和装置 | |
| US11038743B2 (en) | Event clustering for a network assurance platform | |
| US20160359913A1 (en) | Conditional policies | |
| US11044273B2 (en) | Assurance of security rules in a network | |
| CN110741602B (zh) | 响应于网络意图形式对等性失败的事件生成 | |
| CN112470431A (zh) | 使用自动布尔学习的网络的模型的合成 | |
| CN103688505A (zh) | 虚拟化环境中的网络过滤 | |
| CN109495422A (zh) | 虚拟防火墙的配置方法、装置以及计算机可读存储介质 | |
| CN110800259B (zh) | 跨以应用为中心的维度的分布式故障代码聚合 | |
| EP3643012B1 (en) | Validating endpoint configurations between nodes | |
| CN111684439A (zh) | 网络保证数据库版本兼容性 | |
| US20200004742A1 (en) | Epoch comparison for network policy differences | |
| CN109219949A (zh) | 用于在网络功能虚拟化基础结构中配置安全域的方法和布置 | |
| Sayeed et al. | Intrusion detection system based on Software Defined Network firewall | |
| US11429410B2 (en) | Tag based firewall implementation in software defined networks | |
| CN112751806B (zh) | 用于安全策略配置的编排方法、***、装置及存储介质 | |
| US10659298B1 (en) | Epoch comparison for network events | |
| US20210191833A1 (en) | Component detection and awareness in a computing environment by automatically identifying physcial components housing the component within the computing environment | |
| KR20240085188A (ko) | 컴퓨팅 플랫폼에 대한 중앙 집중식 구성 및 변경 추적 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |