CN105247508A - 使用基于逻辑多维度标签的策略模型的分布式网络管理 - Google Patents

使用基于逻辑多维度标签的策略模型的分布式网络管理 Download PDF

Info

Publication number
CN105247508A
CN105247508A CN201480030043.2A CN201480030043A CN105247508A CN 105247508 A CN105247508 A CN 105247508A CN 201480030043 A CN201480030043 A CN 201480030043A CN 105247508 A CN105247508 A CN 105247508A
Authority
CN
China
Prior art keywords
server
management
rule
regulatory domain
module
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201480030043.2A
Other languages
English (en)
Other versions
CN105247508B (zh
Inventor
P·J·柯纳
D·R·库克
J·G·范德利
M·K·格伦
M·格普塔
A·S·鲁宾
J·B·斯科特
S·常
A·B·斯托克尔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Illumio Inc
Original Assignee
Illumio Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Illumio Inc filed Critical Illumio Inc
Publication of CN105247508A publication Critical patent/CN105247508A/zh
Application granted granted Critical
Publication of CN105247508B publication Critical patent/CN105247508B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/082Configuration setting characterised by the conditions triggering a change of settings the condition being updates or upgrades of network functionality
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0866Checking the configuration
    • H04L41/0869Validating the configuration within one network element
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5003Managing SLA; Interaction between SLA and QoS
    • H04L41/5009Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/12Avoiding congestion; Recovering from congestion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/362Software debugging
    • G06F11/3624Software debugging by performing operations on the source code, e.g. via a compiler
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/08Payment architectures
    • G06Q20/12Payment architectures specially adapted for electronic shopping systems
    • G06Q20/123Shopping for digital content
    • G06Q20/1235Shopping for digital content with control of digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/30Payment architectures, schemes or protocols characterised by the use of specific devices or networks
    • G06Q20/32Payment architectures, schemes or protocols characterised by the use of specific devices or networks using wireless devices
    • G06Q20/322Aspects of commerce using mobile devices [M-devices]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/405Establishing or using transaction specific rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/02Marketing; Price estimation or determination; Fundraising
    • G06Q30/0207Discounts or incentives, e.g. coupons or rebates
    • G06Q30/0222During e-commerce, i.e. online transactions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q30/00Commerce
    • G06Q30/06Buying, selling or leasing transactions
    • G06Q30/0601Electronic shopping [e-shopping]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • H04L45/04Interdomain routing, e.g. hierarchical routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • H04L67/125Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • H04L67/306User profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/02Access restriction performed under specific conditions
    • H04W48/04Access restriction performed under specific conditions based on user or terminal location or mobility data, e.g. moving direction, speed
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Environmental & Geological Engineering (AREA)

Abstract

一种用于根据监管域范围的管理策略来在监管域内针对特定的管理的服务器生成管理指令的***,所述监管域范围的管理策略包括一个或者多个规则集合。所述监管域包括多个管理的服务器。关于规则集合内的哪些规则相关于所述特定管理的服务器而做出确定。基于被确定为相关的规则来生成功能级指令。关于所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器而做出确定。向所述特定的管理的服务器发送所述功能级指令以及关于被确定为相关的所述管理的服务器的信息。所述特定的管理的服务器使用所述功能级指令和关于所述管理的服务器的信息来配置管理模块,从而被配置的所述管理模块实现监管域范围的管理策略。

Description

使用基于逻辑多维度标签的策略模型的分布式网络管理
技术领域
在此描述的主题概括地涉及管理监管域的(物理或者虚拟)服务器,以及更具体地,涉及根据附接至基于逻辑多维度标签的策略模型的监管域范围的策略来管理服务器。
背景技术
监管域的(物理或者虚拟)服务器是根据策略来管理。例如,安全性策略可以指定访问控制和/或安全连接性,而资源使用策略可以指定监管域的计算资源(例如,盘和/或外设)的使用。传统策略参考物理设备并且以低级构造(诸如互联网协议(IP)地址、IP地址范围、子网以及网络接口)的形式表达。这些低级构造使得难以以摘要和自然的方式写入精细粒度的策略。
发明内容
上述和其他问题由一种方法、非暂态计算机可读存储介质和***来解决,其用于根据包括一个或者多个规则集合的监管域范围的管理策略,来在监管域内针对特定管理的服务器来生成管理指令。监管域包括多个管理的服务器。方法的一个实施方式包括:确定规则集合内的哪些规则相关于所述特定管理的服务器。该方法进一步包括:基于被确定为相关的规则来生成功能级指令。该方法进一步包括:确定所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器。该方法进一步包括:向所述特定的管理的服务器发送所述功能级指令以及关于被确定为相关的所述管理的服务器的信息。所述特定的管理的服务器使用所述功能级指令和关于所述管理的服务器的信息来配置管理模块,从而被配置的所述管理模块实现监管域范围的管理策略。
介质的实施方式存储可执行以执行步骤的计算机程序模块。该步骤包括:确定规则集合内的哪些规则相关于所述特定管理的服务器。该步骤进一步包括:基于被确定为相关的规则来生成功能级指令。该步骤进一步包括:确定所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器。该步骤进一步包括:向所述特定的管理的服务器发送所述功能级指令以及关于被确定为相关的所述管理的服务器的信息。所述特定的管理的服务器使用所述功能级指令和关于所述管理的服务器的信息来配置管理模块,从而被配置的所述管理模块实现监管域范围的管理策略。
***的实施方式包括非暂态计算机可读存储介质,其存储可执行以执行步骤的计算机程序模块。该步骤包括:确定规则集合内的哪些规则相关于所述特定管理的服务器。该步骤进一步包括:基于被确定为相关的规则来生成功能级指令。该步骤进一步包括:确定所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器。该步骤进一步包括:向所述特定的管理的服务器发送所述功能级指令以及关于被确定为相关的所述管理的服务器的信息。所述特定的管理的服务器使用所述功能级指令和关于所述管理的服务器的信息来配置管理模块,从而被配置的所述管理模块实现监管域范围的管理策略。
附图说明
图1是示出根据一个实施方式的用于管理监管域的(物理或者虚拟)服务器的环境的高级框图。
图2是示出根据一个实施方式的用于用作图1所示的一个或者多个实体的计算机的示例的高级框图。
图3是示出根据一个实施方式的全局管理器的详细视图的高级框图。
图4是示出根据一个实施方式的管理的服务器的策略实现模块的详细视图的高级框图。
图5是示出根据一个实施方式的生成用于特定管理的服务器的管理指令的方法的流程图。
图6是示出根据一个实施方式的生成用于管理的服务器的管理模块的配置的方法的流程图。
图7是示出根据一个实施方式的用于监视管理的服务器的本地状态以及向全局管理器发送本地状态信息的方法的流程图。
图8是示出根据一个实施方式的处理对于监管域计算机网络基础设施的变化的方法的流程图。
具体实施方式
附图以及下文的说明书仅借助于示例而描述了特定实施方式。本领域技术人员从下文的说明书中将容易地认识到,可以在不脱离于所描述的原理的情况下采用在此所示出的结构和方法的备选实施方式。现在将参考多个实施方式,其示例在所附附图中示出。应当注意,在附图中可以使用可行的类似或者相似的参考数字,并且可以指示类似或者相似的功能性。
图1示出了根据一个实施方式的监管域150的管理(物理或者虚拟)服务器130的环境100。监管域150可以对应于企业,诸如例如服务提供者、公司、大学或者政府机构。环境100可以由企业自身维护,或者由帮助企业管理其服务器130的第三方实体(例如,第二企业)来维护。如所示出,环境100包括网络110、全局管理器120、多个管理的服务器130、以及多个未管理设备(unmanageddevice)140。多个管理的服务器130以及多个未管理设备140与监管域150相关联。例如,他们由企业或者第三方(例如,公共云服务提供者)代表企业来操作。尽管在图1绘出的实施方式中为清晰起见示出了一个全局管理器120、两个管理的服务器130、以及两个未管理设备140,其他实施方式可以具有不同数量的全局管理器120、管理的服务器130、和/或未管理设备140。
网络110表示全局管理器120、管理的服务器130、以及未管理设备140之间的通信路径。在一个实施方式中,网络110使用标准通信技术和/或协议,并且可以包括互联网。在另一实施方式中,网络110上的实体可以使用定制的和/或专用数据通信技术。
管理的服务器130是实现监管域范围的管理策略330的机器(如图3所示)。在一个实施方式,根据操作***集虚拟化,服务器是虚拟服务器(有时被称为容器、虚拟化引擎、虚拟私有服务器,或者jail)的用户空间的实例,这是一种服务器虚拟方法,其中操作***的内核支持多个隔离的用户空间的实例,而不是仅一个实例。如果管理的服务器130是物理机器,则管理的服务器130是计算机或者计算机集合。如果管理的服务器130是虚拟机器,则管理的服务器130在计算机或者计算机集合上执行。监管域范围的管理策略330指定与监管域150相关联的实体是否被允许以访问和/或如何被允许以访问其他实体或者其他消费(或者提供服务),或者由其他实体或者其他消费(或提供)服务访问。例如,监管域范围的管理策略330指定安全性或者资源使用。安全性策略可以指定访问控制、安全连接性、盘加密、和/或可执行过程的控制,而资源-使用策略可以指定监管域的计算资源(例如,盘、外设和/或带宽)的使用。
管理的服务器130包括管理模块132、管理模块配置134、以及策略实现模块136。管理模块132实现监管域范围的管理策略330。例如,在安全性的情况下,管理模块132可以是低级网络或者安全性引擎诸如操作******级防火墙、互联网协议安全性(IPsec)引擎、或者网络流量过滤引擎(例如,基于Windows过滤平台(WFP)开发平台)。在资源使用的情况下,管理模块132可以是盘使用引擎或者外设使用引擎。
管理模块配置134影响管理模块132的操作。例如,在安全性的情况下,管理模块配置134可以访问由防火墙应用的控制规则,由IPsec引擎(例如,体现为Linux操作***iptables条目以及ipset条目)应用的安全连接性策略,或者由过滤引擎应用的过滤规则。在资源使用的情况下,管理模块配置134可以是由盘使用引擎应用的盘使用策略,或者由外设使用引擎应用的外设-使用策略。
策略实现模块136基于如下来生成管理模块配置134:a)接收自全局管理器120管理指令,以及b)管理的服务器130的状态。管理指令是至少部分地基于监管域范围的管理策略330而生成。由策略实现模块136生成的管理模块配置134实现监管域范围的管理策略330(到这种程度:策略考虑管理的服务器130)。这个两步处理(生成管理指令以及生成管理模块配置134)被称作“初始化”管理策略。策略实现模块136还监视管理的服务器130的本地状态,以及向全局管理器120发送本地状态。
在一个实施方式中,策略实现模块136是较大所有权模块(未示出)的部分。所有权模块被加载到已经具有管理模块132以及管理模块配置134的设备上,由此将设备从未管理设备140转换至管理的服务器130。策略实现模块136在下文中参见图4、6和7进一步描述。
未管理设备140是计算机(或者计算机集合),其不包括策略实现模块136。未管理设备140不实现监管域范围的管理策略330。然而,在管理的服务器130以及未管理设备140之间的交互可以面临监管域范围的管理策略330(如由管理的服务器130实现)。未管理设备140的一个示例是由监管域150使用的网络电路。未管理设备140的另一示例是由被认证到监管域150的人员使用的设备(例如,笔记本或者台式计算机、平板计算机、或者移动电话)。
全局管理器120是计算机(或者计算机集合),其生成管理指令用于管理的服务器130以及将生成的管理指令发送到服务器。管理指令是基于如下生成:a)监管域的计算机网络基础设施320的状态,以及b)监管域范围的管理策略330。监管域的计算机网络基础设施320的状态包括管理的服务器130的描述以及(可选地)未管理设备140的描述。全局管理器120还处理接收自管理的服务器130的本地状态信息。
监管域范围的管理策略330是基于逻辑管理模型,其使用低级构造诸如IP地址、IP地址范围、子网络、以及网络接口而没有参考管理的服务器130。代替地,逻辑管理模型基于其高级特征(在此称作“标签”)来参考管理的服务器130。标签是包括“维度”(高级特征)以及“值”(高级特征的值)的对。在此多维度空间中构造的管理策略比根据基于单一特征的网络/IP地址策略模型而构造的管理策略更具表达力。尤其是,通过使用“标签”的高级抽象表达的的管理策略支持人们来更好地理解、虚拟化以及修改管理策略。
逻辑管理模型(例如,可用维度的数量以及类型以及那些维度的可能的值)是可配置的。在一个实施方式中,逻辑管理模型包括以下维度以及值,如表1所示出:
表1-逻辑管理模型的示例
逻辑管理模型支持多个管理的服务器130来通过指定描述分组中的全部管理的服务器130的一个或者标签(在此称为“标签集合”)而被分组在一起。标签集合包括用于逻辑管理模型中的维度的零个或者一个值。标签集合不需要包括用于逻辑管理模型中的全部维度的标签。以此方式,逻辑管理模型支持监管域的管理的服务器130的分段或者分离、以及管理的服务器130的任意分组的创建。逻辑管理模型还允许单一的管理的服务器130存在于多个重叠的集合(即,管理的服务器的多个重叠分组)。逻辑管理模型不限制单一的管理的服务器130存在于嵌套集合的曾集中。
例如,在安全性的情况下,分段可以由访问控制策略使用以定义面临特定策略的管理的服务器130的分组。类似地,分段可以由安全连接性策略使用,以便定义应用于分组内通信以及分组间通信的管理的服务器130以及策略的分组。因而,管理的服务器130(由第一标签集合指定)的第一分组内的通信可以被限制于第一安全连接设置(例如,安不需要全连接),以及管理的服务器的第一分组以及管理的服务器的第二分组(由第二标签集合指定)之间的通信可以被限制于第二安全连接设置(例如,IPsec封装安全性载荷(ESP)/认证报头(AH)高级加密标准(AES)/安全哈希算法-2(SHA-2))。
环境100中的每个管理的服务器130实现监管域范围的管理策略330(达到策略涉及管理的服务器130的程度)。作为结果,监管域范围的管理策略330遍及监管域150以分布式方式来应用,以及不存在障碍(chokepoint)。另外,监管域范围的管理策略330在独立于监管域的物理网络拓扑以及网络寻址机制的逻辑层被应用。
全局管理器120、监管域的计算机网络基础设施320的状态、以及监管域范围的管理策略330在下文中参见图3、5和8来进一步描述。
图2是示出根据一个实施方式的用作图1所示的一个或者多个实体使用的计算机200的高级框图。所示出的至少一个处理器202耦合至芯片集204。芯片集204包括存储器控制器集线器220以及输入/输出(I/O)控制器集线器222。存储器206以及图型适配器212被耦合至存储器控制器集线器220,以及显示设备218被耦合至图形适配器212。存储设备208、键盘210、指点设备214、以及网络适配器216耦合至I/O控制器集线器222。计算机200的其他实施方式具有不同架构。例如,在某些实施方式中,存储器206直接耦合至处理器202。
存储设备208包括一个或者多个非-暂态计算机-可读存储介质,诸如硬驱动、压缩盘只读存储器(CD-ROM)、DVD、或者固态存储器设备。存储器206保持指令以及由处理器202使用的数据。指点设备214与键盘210结合使用,以便输入数据到计算机***200。图形适配器212显示图像以及其他信息在显示设备218上。在某些实施方式中,显示设备218包括触摸屏屏幕,其能够接收用户输入以及选择。网络适配器216将计算机***200耦合至网络110。计算机200的某些实施方式具有图2所示组件以外的不同的和/或其他组件。例如,全局管理器120和/或管理的服务器130可以是多个刀片服务器的形式并且不具备显示设备、键盘、以及其他组件,而未管理设备140可以笔记本计算机或者台式计算机、平板式计算机、或者移动电话。
计算机200适用于执行计算机程序模块用于提供在此描述的功能。如在此使用的“模块”是指计算机程序指令和/或其他用于执行在此指定的功能性的逻辑。由此,模块可以以硬件、固件和/或软件形式实现。在一个实施方式中,程序模块是计算机程序指令的形式,其被存储在存储设备208上、加载到存储器206之中、以及由处理器202执行。
图3是示出根据一个实施方式的全局管理器120的详细视图的高级框图。全局管理器120包括贮存器(repository)300以及处理服务器310。贮存器300是计算机(或者计算机集合),其存储监管域的计算机网络基础设施320的状态以及监管域范围的管理策略330。在一个实施方式中,贮存器300包括服务器,其响应于请求而提供处理服务器310对监管域状态320以及管理策略330的访问。
监管域的计算机网络基础设施320的状态包括管理的服务器130的描述以及(可选地)未管理设备140的描述。管理的服务器130的描述包括,例如,唯一标识符(UID)、在线/离线指示符、一个或者多个配置的特征(可选)、网络显露(exposure)信息、服务信息、以及描述管理的服务器130一个或者多个标签(标签集合)。
UID唯一地标识管理的服务器130。在线/离线指示符指示管理的服务器130指示线或者离线。“配置的特征”存储与管理的服务器130相关联的值,并且可以是任意类型的信息(例如,哪个操作***正在运行在管理的服务器上的指示符)。配置的特征与规则的条件部分相结合使用(将在下文描述)。
网络显露信息涉及管理的服务器的网络接口。在一个实施方式中,网络显露信息包括,针对每个管理的服务器的网络接口,网络接口被附接至的“双向可达网络”(BRN)的标识符网络、以及用于在BRN内操作的零个或者更多IP地址(及其子网)。在另一实施方式中,网络显露信息包括路由信息和/或管理的服务器是否在网络地址翻译器(NAT)之后的信息(并且,是在NAT之后,还包括NAT的哪种类型-1:1或者1:N)。BRN是子网的集合,在组织内或者跨越组织,其中BRN内的任何节点可以与BRN内的任何其他节点建立通信。例如,BRN内的全部节点具有唯一的IP地址。换言之,BRN不包括任何NAT。网络显露信息(例如,网络接口的BRN标识符)可以与规则的条件部分相结合使用。
服务信息包括,例如,处理信息和/或封装信息。处理信息包括,例如,管理的服务器130正在运行的处理的名称,这些处理正在监听哪个网络端口以及网络接口,哪个用户启动这些处理、那些处理的配置、以及那些处理的命令行启动参数。(这些处理对应于提供服务或者使用服务的管理的服务器130。)封装信息包括,例如,哪些封装(可执行文件、库、或者其他组件)被安装在管理的服务器130上,那些封装的版本、那些封装的配置、以及那些封装的哈希值。
未管理设备140的描述包括,例如,网络显露信息(例如,未管理设备的IP地址以及未管理设备被连接至的BRN的标识符)。未管理设备140是“未管理设备分组”(UDG)的部分。UDG包括一个或者多个未管理设备140。例如,“总部UDG”可以包括由监管域的总部使用的主要电路以及备份电路,其中每个电路与IP地址相关联。UDG与唯一标识符(UID)相关联。存储在关于UDG的监管域状态320中的信息包括UDG的UID以及关于UDG中的未管理设备140的信息(例如,他们的网络显露信息)。
管理的服务器130以及未管理设备140的描述可以以各种方式被加载到监管域状态320中,诸如通过与全局管理器120经由图形用户接口(GUI)或者应用编程接口(API)来对接。管理的服务器130的描述还可以基于从管理的服务器接收的本地状态信息而被加载到监管域状态320之中(将在下文描述)。
关于管理的服务器的标签尤其是(以及配置的特征,如果存在的话)针对维度(或者配置的特征的值)的值的赋予(或者重新赋予)可以以更多方式执行。例如,赋予/设置可以使用部署以及配置工具作为提供管理的服务器130的部分来执行。可以使用任何此类工具,包括架下第三方工具(例如,Puppet实验室的Puppet软件、Opscode的Chef软件、或者CF引擎AS的CF引擎软件)以及监管域150可以具有的定制工具。
作为另一示例,赋予/设置可以通过“标签/配置的特征引擎”(未示出)执行,其计算标签和/或配置的特征(“CC”)的值。在一个实施方式中,标签/CC引擎基于标签/CC赋予规则计算标签/CC值。标签/CC赋予规则是访问来自监管域状态320的数据以及赋予(或者建议赋予)标签或者CC值的功能。标签/CC赋予规则可以是预置的或者用户可配置的。例如,全局管理器120包括预定规则集合,但是终端用户可以基于用户的自身定制的需求修改和/或删除那些规则以及添加新的规则。标签/CC赋予规则可以针对管理的服务器130在初始化处理期间被估算。标签/CC值建议继而可以针对任何维度/CC来做出,以及终端用户可以接受或者拒绝那些建议。例如,如果管理的服务器130正在执行Postgres数据库或者MySQL数据库,则所建议的标签可以是<角色,数据库>。如果管理的服务器正在执行Linux操作***,则用于操作***CC的所建议的值可以是“Linux”。
在另一实施方式,标签/CC引擎基于聚类分析来计算标签/CC值。例如,标签/CC引擎使用最小切割以及K均值算法的组合,并利用连接图的附加启发法,来自动地标识高度连接的管理的服务器130的集群。管理的服务器130的集群可以对应于监管域150中的“应用”(参见表1)。终端用户可以选择将用于应用维度(或者其他维度)的值应用至那些管理的服务器130enmasse。
监管域范围的管理策略330包括一个或者多个规则。广义而言,“规则”指定服务的一个或者多个提供者以及该服务的一个或者多个消费者之间的关系。
规则功能–该关系面临“规则功能”,这是规则的实际影响。例如,在安全性的情况下,规则功能可以是访问控制、安全连接性、盘加密、或者可执行过程的控制。具有访问控制功能的规则指定消费者是否可以使用提供者的服务。在一个实施方式中,访问控制功能使用单纯的“白列表”模型,这意味着仅表达允许的关系,而默认全部其他关系被阻止。具有安全连接性功能的规则指定消费者可以通过哪些安全信道(例如,使用点对点数据加密的加密的网络会话)来使用提供者的服务。例如,具有安全连接性功能的规则可以指定当提供者位于美国以及消费者位于EU时,使用提供者的服务必须被加密。具有盘加密功能的规则指定提供者是否必须在加密的文件***上存储器数据。具有可执行过程控制功能的规则指定提供者是否必须在加密的文件***上执行。
在资源使用的情况下,规则功能可以是盘使用或者外设使用。具有盘使用功能的规则指定消费者可以存储在提供者商的数据的数量。注意,规则还可以指定其他规则而不仅仅是访问控制、安全连接性、盘加密、可执行过程的控制、盘使用、以及外设使用以外的功能。例如,规则功能可以指定哪个开放***互联(OSI)模型层-7服务应用于网络流量,针对安全性分析而用以采集的元数据的数量,或者捕获完整网络分组的触发。管理策略模型支持可以被应用的任意数量的功能。
规则功能可以关联于一个或者多个设置(在此称作“功能简档”)其指定关于规则的实际影响。例如,与安全连接性规则功能相关联的设置可以是用于加密网络流量的加密算法的列表。在一个实施方式中,规则功能与多个功能简档相关联,以及功能简档包括优先级。此优先级由功能级指令生成模块360来使用,如下文描述。
服务–通常而言,“服务”是在使用特定网络协议的特定网络端口上执行的任意处理。管理策略330内的规则的服务由端口/协议对以及(可选地)附加质量,诸如处理信息和/或封装信息(上文相对于监管域状态320内的管理的服务器130来描述),来指定。如果管理的服务器130具有多个网络接口,则服务可以被显露在全部网络上或者仅显露在那些网络的子网上。终端用户指定服务被显露在那个网络上。
提供者/消费者–服务的一个或者多个提供者以及服务的一个或者多个消费者(即,用户)服务是管理的服务器130和/或未管理设备140。
在一个实施方式中,规则在监管域范围的内由使用如下信息集合的管理策略330来表示,该信息集合包括规则功能部分、服务部分、由谁提供的部分(provided-byportion)、由谁使用的部分(used-byportion)、以及可选规则条件部分。规则功能部分描述规则的实际影响以及可以关联于一个或者多个设置(功能简档)。服务部分描述规则被应用于的服务。如果服务部分指示“全部”,则规则应用于全部服务。
由谁提供的(PB)部分描述哪个管理的服务器130和/或未管理设备140可以提供服务(即,谁是“提供者”)。如果PB部分指示“任何人”,则任何人(例如,任何管理的服务器130或者未管理设备140)可以提供服务。如果PB部分指示“任何管理的服务器”,则任何管理的服务器130可以提供服务。(“任何管理的服务器”等效于指定标签集合,其包括通配符,由此匹配于全部管理的服务器130。)。由谁使用的(UB)部分描述哪个管理的服务器130和/或未管理设备140可以使用服务(即,谁是“消费者”)。类似于PB部分,UB部分可以还指示“任何人”或者“任何管理的服务器”。
在PB部分以及UB部分内,管理的服务器130是通过使用标签集合(即,描述管理的服务器的一个或者多个标签)或者UID来指定。使用来自于逻辑管理模型的标签集合来指定管理的服务器130,其基于他们的维度以及值(标签)参考管理的服务器。未管理设备140是通过使用未管理设备群组(UDG)的UID来指定。如果规则指定UDG,则规则包括关于该群组(例如,设备的网络显露信息)中的未管理设备140的附加信息。规则的PB部分和/或规则的UB部分可以包括多个项目,包括标签集合(用以指定管理的服务器130)、管理的服务器UID、和/或UDGUID。
规则条件部分(可选的)指定规则应用于特定管理的服务器130和/或该管理的服务器的特定网络接口。规则条件部分是布尔表示,其包括一个或者多个配置的特征(“CC”;监管域状态320中管理的服务器的描述的部分)和/或网络显露信息(例如,网络接口的BRN标识符;监管域状态320中管理的服务器的描述中另外的部分)。表示的CC部分指定规则是否应用于特定管理的服务器,以及表示的网络显露信息部分指定规则是否应用于该表示的管理的服务器的网络接口。如果针对特定管理的服务器的配置特征(尤其是,用于管理的服务器的配置的特征)以及特定网络接口的信息表示等于“真”,则规则应用于该管理的服务器以及该管理的服务器的相关网络接口。如果表示等于“假”,则规则不应用于该管理的服务器以及该管理的服务器的相关网络接口。例如,如果配置的特征存储哪个操作***正运行于管理的服务器上的指示,则包括配置的特征的规则条件部分可以基于服务器的操作***控制规则是否应用于特定的管理的服务器。
监管域范围的管理策略330内的规则被组织为规则列表。尤其是,管理策略330包括一个或者多个规则列表,以及规则列表包括一个或者多个规则以及(可选地)一个或者多个作用域(scope)。“作用域”包括在哪里应用(即,向谁应用管理的服务器130)规则。作用域包括由谁提供(PB)部分以及由谁使用(UB)部分,其限定规则列表中的规则的应用。作用域的PB部分限制规则的PB部分,以及作用域的UB部分限制规则的UB部分。作用域的PB以及UB部分可以通过使用标签集合来限定管理的服务器130的群组。如果标签集合不包括用于特定维度的标签,则不存在针对管理的服务器130的生成的群组的维度的作用域。如果规则列表不包括任何作用域,则其规则全局地被应用。
不同作用域可以被应用于单一规则列表。例如,终端用户可以建立规则集合,其表示web服务层如何消费来自数据库层的服务,负载平衡层如何消费来自web服务层的服务,以及等等。继而,如果终端用户希望应用此规则列表至其生产环境以及此分级环境,则他不需要拷贝或者复制规则列表。而是,他应用多个作用域至单一规则列表。作用域抽象从可用性角度以及计算角度两者来制定规则列表的标度。
现在,已经描述了监管域范围的管理策略330,其有助于贯穿某些示例来工作。考虑具有两层应用的监管域150,其中用户设备访问web服务器(第一层),以及web服务器访问数据库服务器(第二层)。在第一层,用户设备是消费者,以及web服务器是提供者。在第二层,web服务器是消费者,而数据库服务器是提供者。监管域150包括此应用的两个实例:一个在生产环境中以及一个在分级环境中。
web服务器以及数据库服务器是管理的服务器130,以及他们的描述(例如,标签集合)在监管域状态320中呈现。例如,他们的标签集合是:
生产中的web服务器:<角色,Web>以及<环境,生产>
生产中的数据库服务器:<角色,数据库>以及<环境,生产>
分级中的web服务器:<角色,Web>以及<环境,分级>
分级中的数据库服务器:<角色,数据库>以及<环境,分级>
(应用维度、业务线维度,以及位置维度无关于此示例,因而忽略他们的标签。)
现在,考虑以下监管域范围的管理策略330,这是一种指定访问控制以及安全连接性的安全性策略:
规则列表#1
●作用域
○<环境,生产>
○<环境,分级>
●规则
○#1
■功能:访问控制
■服务:Apache
■PB:<角色,web>
■UB:任何人
○#2
■功能:访问控制
■服务:PostgreSQL
■PB:<角色,数据库>
■UB:<规则,web>
规则列表#2
●作用域:无
●规则
○#1
■功能:安全连接性
■服务:全部
■PB:<角色,数据库>
■UB:任何管理的服务器
注意,上文规则将服务简称为“Apache”以及“PostgreSQL”。记住,服务是一种处理并且由端口/协议对以及(可选地)附加资格来指定,诸如处理信息和/或分组信息(上文相对于监管域状态320内的管理的服务器130的描述)。
规则列表#1/规则#1允许任何设备(例如,用户设备)来连接到web服务器并使用Apache服务。尤其是,允许连接是由功能部分中的“访问控制”指定的。“任何设备”是由UB部分中的“任何人”指定的。“web服务器”是由PB部分中的“<角色,Web>”(仅包括一个标签的标签集合指定的)。Apache服务是由服务部分中的“Apache”指定的。
规则列表#1/规则#2允许web服务器连接至数据库服务器上的PostgreSQL。具体地,允许连接是由功能部分中的“访问控制”指定的。“web服务器”是由UB部分中的“<Role,Web>”指定的。“PostgreSQL”是由服务部分中的“PostgreSQL”指定的。“数据库服务器”是由PB部分中的“<角色,数据库>”指定的(仅包括一个标签的标签集合)。
规则列表#1还防止环境内连接。例如,如果web服务器以及数据库服务器两者都在相同环境中(例如,两者都在生产环境中或者都在分级环境中),web服务器被允许连接至数据库服务器上的PostgreSQL。生产环境中的两个服务器是由作用域部分中的“<环境,生产>”(仅包括一个标签的标签集合)指定的,而分级环境中的两个服务器是由作用域部分中的“<环境,分级>”(仅包括一个标签的标签集合)指定的。结果,如果服务器在不同环境中(例如,如果web服务器在分级环境中,而数据库服务器在生产环境中,web服务器不被允许连接到数据库服务器上的PostgreSQL)。
规则列表#2表示:只要任何管理的服务器连接至数据库服务器,该连接必须通过加密信道执行。具体地,“数据库服务器”由PB部分中的“<角色,数据库>”指定。“加密的信道”由功能部分中的“安全连接性”指定。“任意管理的服务器”是由UB部分中的“任意管理的服务器”指定。“只要…时”由服务部分中的“全部”指定。
除了上述示例,考虑允许两个管理的服务器130:服务器1是web服务器,作为生产的部分、app1的部分、以及由加利福尼亚的工程所有。其将被标记为:
<角色,Web>
<环境,生产>
<应用,appl>
<LB,工程>
<位置,US>
服务器2是数据库服务器,其是生产的部分、也是app1的部分,以及由德国的工程所有。其将被标记为:
<角色,数据库服务器>
<环境,生产>
<应用,appl>
<LB,工程>
<位置,EU>
假设访问控制规则允许对作为app1的全部管理的服务器130的全部访问。此规则将允许服务器1以及服务器2彼此通信,并且将不允许作为app2的在德国的管理的服务器130与服务器1或者服务器2通信。现在假设安全连接性规则指定EU以及US之间的全部网络通信被加密。规则功能被独立地应用。换言之,安全连接性规则是单独的策略,其独立于访问控制规则而被应用。结果,从服务器1到服务器2的网络流量将被允许(给定访问控制规则)并被加密(给定安全连接性规则)。
返回图3,处理服务器310生成用于管理的服务器130的管理指令以及将生成的管理指令发送至服务器。处理服务器310还处理从管理的服务器130接收的状态信息。处理服务器310包括各种模块,诸如策略引擎模块340、相关规则模块350、功能级指令生成模块360、行动者(actor)枚举模块370、相关行动者模块380、以及监管域状态更新模块385。在一个实施方式中,处理服务器310包括计算机(或者计算机集合),其与贮存器300通信并处理数据(例如,通过执行策略引擎模块340、相关规则模块350、功能级指令生成模块360、行动者枚举模块370、相关行动者模块380、以及监管域状态更新模块385进行)。
相关规则模块350接收监管域范围的管理策略330以及特定管理的服务器130的指示(例如,服务器的UID)作为输入,其生成相关于该服务器的规则集合,并且输出规则集合。这是一个过滤处理,通过其使得相关规则模块350检查管理策略330以及仅提取用于给定管理的服务器130的相关规则。相关规则模块350通过迭代管理策略330中的规则列表中的全部来执行过滤,分析每个规则列表的作用域以确定作用域是否应用于此管理的服务器130,以及(如果作用域应用于此管理的服务器130)分析每个规则列表的规则,以确定那些规则是否应用于此管理的服务器130。规则应用于管理的服务器130,如果a)规则的PB部分和/或规则的UB部分指定管理的服务器;以及b)(如果存在)针对该管理的服务器(具体地,针对管理的服务器的配置特征以及网络显露信息的值)的规则的条件部分规则等于“真”。最终结果(在此被称为“管理策略观点(perspective)”)两个规则集合的聚合:其中此管理的服务器130在何处提供服务的规则,以及此管理的服务器130在何处消费服务的规则。
功能级指令生成模块360接收规则集作为输入(例如,由相关规则模块350生成的管理策略观点),生成功能级指令并输出功能级指令。功能级指令后续作为管理指令的部分被发送至管理的服务器130。功能级指令类似于规则在于每个包括规则功能部分、服务部分、PB部分、以及UB部分。然而,尽管规则在其PB部分和/或UB部分内可以包括多个项目(包括标签集合、管理的服务器UID、和/或UDGUID),功能级指令在其PB部分内部仅包括一个项目以及在其UB部分内部仅包括一个项目。另外,尽管规则可以在其PB部分和/或UB部分内部指定管理的服务器(包括其多个网络接口),功能级指令包括在其PB部分以及UB部分内部的仅一个网络接口。
功能级指令生成模块360分析规则,并基于该规则生成一个或者多个功能级指令。如果规则的PB部分包括多个项目,则规则的UB部分包括多个项目,或者由规则参考的管理的服务器规则(在PB部分或者UB部分中)具有多个网络接口,则功能级指令生成模块360生成多个功能级指令(例如,一个功能级指令用于PB项目、UB项目、以及特定网络接口的每个可能的组合)。
考虑这样的规则,其在其PB部分中包括两个项目(A以及B)以及在其UB部分中包括两个项目(C以及D)。功能级指令生成模块360将生成具有以下PB以及UB部分的四个功能级指令:1)PB=A,UB=C;2)PB=A,UB=D;3)PB=B,UB=C;4)PB=B,UB=D。现在考虑一规则,该规则在其PB部分或者UB部分中覆盖管理的服务器(例如,通过指定UID或者标签集合),以及管理的服务器具有多个网络接口。功能级指令生成模块360将生成多个功能级指令(例如,一个功能级指令用于管理的服务器的每个网络接口)。
功能级指令生成模块360分析规则、这些规则内的功能、以及由哪些规则参考的功能简档。如果规则列表包括多个作用域,则功能级指令生成模块360迭代地多次将那些作用域应用至规则列表(由此生成针对每个作用域的完整功能级指令)。注意,规则功能可以与多个功能简档相关联,以及功能简档可以包括优先权。功能级指令生成模块360基于各种功能简档的优先级来排序,以便使用具有最高优先级的功能简档。功能级指令生成模块360将排序的规则翻译为用于管理的服务器130的功能级指令以便执行。功能级指令参考适当的管理的服务器130和/或未管理设备140(例如,在输入规则中被参考的管理的服务器130和/或未管理设备140),考虑与规则相关联的服务的网络显露细节。
注意,功能级指令生成模块360可以生成功能级指令用于特定管理的服务器130,其继而无关于该服务器。例如,该管理的服务器由规则的由谁提供(PB)部分覆盖,因而功能级指令生成模块360生成相应的功能级指令。然而,规则还包括指定管理的服务器的本地状态(例如,描述提供的服务的服务部分)的部分。由于全局管理器120不知晓管理的服务器的本地状态(例如,管理的服务器是否实际提供该服务),生成的功能级指令被发送至管理的服务器。管理的服务器检测器本地状态(例如,其是否提供该服务)以及相应地处理功能级指令,如下文参考策略编译模块410描述。
行动者枚举模块370接收管理的服务器130以及未管理设备群组(UDG)的描述的聚合(例如,监管域的计算机网络基础设施320的状态)作为输入,生成以枚举形式的服务器以及UDG的那些描述的表示(称为“行动者集合”),以及输出行动者集合。例如,行动者枚举模块370枚举管理的服务器130以及监管域状态320内的UDG以及可能的标签集合并且指定每个唯一标识符(UID)。这些行动者集合可以继而可以结合规则的UB部分以及PB部分以及作用域使用,其指定使用管理的服务器UID、UDGUID、和/或标签集合的状态。
考虑一逻辑管理模型,其包括N维度Di的集合(i=l,…,N),以及每个维度Di包括可能值Vj(j=l,…,Mi)的集S(其中通配符“*”是一个可能值)。在一个实施方式中,行动者枚举模块370枚举基于逻辑管理模型的全部可能的全部标签集合,其等于S1×S2×…×SN所给出的笛卡尔积。枚举过程将管理的服务器130的标签空间塌陷至简单的枚举形式。
在另一实施方式中,行动者枚举模块370基于监管域状态320(例如,基于监管域150内的管理的服务器的描述)来仅枚举那些可能的标签集合。例如,考虑包括2维度(X和Y)以及每个维度包括3个可能的值(A,B,以及*)的逻辑管理模型。具有标签集合“<X=A>,<Y=B>”的管理的服务器可以是四个可能标签集合的成员:1)“<X=A>,<Y=B>”,2)“<X=A>,<Y=*>”,3)“<X=*>,<Y=B>”,以及4)“<X=*><Y=*>”。注意,管理的服务器的标签集合存在于二维空间(X以及Y),而可能的标签集合2,3,以及4是管理的服务器的标签集合到子维度空间的投影(标签集合2是1维空间(X),标签集合3是1维空间(Y),以及标签集合4是0维空间)。因而,行动者枚举模块370枚举4个可能的标签集合。具有标签集合“<X=A>,<Y=B>”的管理的服务器可以不是标签集合“<X=A>,<Y=A>”的成员,因而行动者枚举模块370不枚举标签集合。
行动者集合包括UID以及零个或者更多行动者集合记录。行动者集合记录包括UID(或者是管理的服务器UID或者是UDGUID),操作***的行动者的标识符以及行动者的IP地址(管理的服务器130或者未管理设备140)给出专用BRN。例如,行动者集合可以包括其IP地址对应于全部管理的服务器130的行动者集合记录,其中该管理的服务器130由标签集合<角色,数据库>以及<环境,生产>覆盖。作为另一示例,行动者集合可以包括其IP地址对应于总部UDG中的全部未管理设备140的行动者集合记录。单一行动者(例如,管理的服务器130或者未管理设备140)可以出现在多个行动者集合中。
行动者集合计算中的另一因素是具有多个网络接口的行动者,加上诸如网络地址翻译(NAT)的网络拓扑的引入。因而,针对<角色,数据库>以及<环境,生产>的标签集合可以存在两个行动者集合,一个行动者集合具有那些管理的服务器130的面向互联网的IP地址(即,关联于第一BRN),一个不同的行动者集合针对具有那些管理的服务器的面向私有网络的IP地址的相同管理的服务器(即,关联于第二BRN)。
在一个实施方式中,行动者枚举模块370还可以基于对监管域的状态320的改变来更新行动者集合。例如,行动者枚举模块370可以接收行动者集合(先前由行动者枚举模块输出)以及对管理的服务器的描述(在监管域状态320内)作为输入,生成更新的行动者集合(其可以符合改变的服务器描述),并且输出更新的行动者集合。行动者枚举模块370依赖于对管理的服务器的描述的改变的类型,而以不同方式生成更新的行动者集合。
离线/在线改变-如果描述改变指示服务器从在线变为离线,则行动者枚举模块370通过从服务器是成员的全部输入行动者集合中去除服务器的行动者集合来生成更新的行动者集合。如果描述改变指示服务器从离线变为在线,则行动者枚举模块370通过向任意相关的输入集合加入服务器的行动者集合记录来生成更新的行动者集合(如果必要,则行动者枚举模块370创建新的行动者集合,并且向该新的行动者集合添加服务器的行动者集合。
标签集合改变-如果描述改变指示服务器的标签集合被改变,则行动者枚举模块370类似于对待第一服务器(具有旧的标签集合)变为离线并且第二服务器(具有新的标签集合)变为在线那样来对此处理。
网络显露信息改变-如果描述改变指示服务器去除网络接口,则行动者枚举模块370通过从服务器作为成员的全部输入行动者集合(与该网络接口的BRN相关联)去除服务器的行动者集合记录,来生成更新的行动者集合。如果描述改变指示服务器添加网络接口,则行动者枚举模块370通过向任何相关输入行动者集合(关联于该网络接口的BRN)添加服务器的行动者集合记录,来生成更新的行动者集合。(如果必要,行动者枚举模块370创建新的行动者集合(与该网络接口的BRN相关联),并且将服务器的行动者集合记录添加至该信的行动者集合)如果描述改变指示服务器改变网络接口的BRN,则行动者枚举模块370类似于对待第一网络接口(具有旧的BRN)被去除而第二网络接口(具有新的BRN)被添加那样来对待。如果描述改变指示服务器改变网络接口的IP地址(而不是BRN),则行动者枚举模块370通过修改服务器作为成员的全部输入行动者集合中的服务器的行动者集合记录(关联于该网络接口的BRN),来生成更新的行动者集合。
相关的行动者模块380将一个或者多个行动者集合(例如,枚举形式的管理的服务器130以及监管域状态320内的UDG)以及规则集合(例如,管理策略观点)作为输入,确定哪些行动者集合相关于这些规则,并且仅输出那些行动者规则。这是一个过滤过程,相关行动者模块380通过其来检查行动者集合,并且仅提取针对给定规则集合的相关的行动者集合。相关行动者模块380通过迭代全部输入行动者集合来执行过滤,分析输入规则的PB部分和UB部分,来确定特定的行动者集合是否由规则的PB部分或者UB部分中的任一项来参考。最终结果(在此称为“行动者观点”)是行动者集合的汇集。行动者观点后续被发送至管理的服务器130以作为管理指令的部分。
在一个实施方式中,相关的行动者模块380使用规则的输入集合以生成“行动者集合过滤器”。行动者集合过滤器从输入行动者集合中仅选择相关于输入规则的行动者集合。换言之,相关行动者模块380使用行动者集合过滤器来将输入行动者集合过滤到相关行动者集合之中。
策略引擎模块340生成用于管理的服务器130的管理指令,并且向服务器发送生成的管理指令。策略引擎模块340基于如下来生成管理指令(使用相关规则模块350、功能级指令生成模块360、行动者枚举模块370以及相关行动者模块380):a)监管域的计算机网络基础设施320的状态,b)监管域范围的管理策略330。
例如,策略引擎模块340执行相关规则模块350,提供监管域范围的管理策略330和特定管理的服务器130的UID作为输入。相关规则模块350输出相关于该服务器的规则集合(“管理策略观点”)。策略引擎模块340执行行动者枚举模块370,提供监管域状态320作为输入。行动者枚举模块370输出枚举形式的管理的服务器130以及监管域状态320内的未管理的设备分组(UDG)的描述的表示(行动者集合)。策略引擎模块340执行功能级指令生成模块360,提供管理策略观点(由相关规则模块350输出)作为输入。策略引擎模块340执行相关行动者模块380,提供行动者集合(由枚举模块350输出)以及管理策略观点(由相关规则模块350输出)作为输入。相关行动者模块380仅输出相关于那些规则(相关行动者集合)的那些行动者集合。策略引擎模块340发送功能级指令(由功能级指令生成模块360输出)以及相关行动者集合(由相关行动者模块380输出)至特定的管理的服务器130。
在一个实施方式中,策略引擎模块340高速缓存在上述过程期间生成的信息。例如,策略引擎模块340与特定管理的服务器130、管理策略观点、功能级指令、行动者集合过滤器和/或相关行动者集合相关联地进行高速缓存。作为另一示例,策略引擎模块340高速缓存行动者集合(其不专用于特定管理的服务器130)。
由于监管域的行动者集合是基于监管域状态320,对于监管域状态320的改变可以要求对监管域的行动者集合的改变。类似地,由于管理的服务器的管理指令是基于监管域状态320以及监管域范围的管理策略330,对于监管域状态320的改变和/或对于监管域范围管理策略330的改变可以要求对管理的服务器的管理指令的改变。在一个实施方式中,策略引擎模块340可以更新监管域的行动者集合和/或更新管理的服务器的管理指令,继而向管理的服务器130分发这些改变(如果需要)。上述的高速缓存的信息有助于策略引擎模块340来更有效地更新监管域的行动者集合和/或管理的服务器的管理指令并分发改变。
在一个实施方式中,策略引擎模块340更新监管域的行动者集合(基于对监管域状态320的改变)并且向管理的服务器130来分发改变,如下所述:策略引擎模块340执行行动者枚举模块370,提供高速缓存的行动者集合(先前由行动者枚举模块输出)以及监管域状态320的改变的部分(即,改变的服务器描述)作为输入。行动者枚举模块370输出更新的行动者集合。在一个实施方式中,策略引擎模块340继而向监管域150内的全部管理的服务器130来发送更新的行动者集合。然而,该实施方式不太有效,这是由于不是全部管理的服务器都受到对于全部行动者集合的改变的影响。
在另一实施方式中,仅有选择的行动者集合被发送至选择的服务器。例如,特定管理的服务器仅在那些行动者集合满足如下条件时被发送:a)先前被发送至该服务器,以及b)已经被改变。高速缓存的相关行动者集合指示哪些行动者集合先前被发送至该服务器(参见上文(a))。策略引擎模块340比较高速缓存的行动者集合与更新的行动者集合,以确定哪些行动者集合已经被改变(参见上文(b))。策略引擎模块340继而计算(a)和(b)的交集。该交集中的行动者集合被发送至特定管理的服务器。在一个实施方式中,为了更高的有效性,行动者集合以“diff”格式被发送。例如,该diff格式指定行动者集合标识符行动者标识符(例如,管理的服务器UID或者UDGUID),以及该行动者是否将被添加、去除或者修改的指示。
在另一实施方式中,两个表被维护并用于改进效率。第一表将管理的服务器130与该管理的服务器作为成员的行动者集合相关联。第二表将管理的服务器130与相关于该管理的服务器的行动者集合相关联(例如,由相关行动者模块380确定)。在这些表中,管理的服务器130是由例如该管理的服务器的UID来表示,行动者集合由例如该行动者集合的UID表示。策略引擎模块340使用监管域状态320的改变的部分(即,改变的服务器的描述)来确定哪个管理的服务器的描述被改变。策略引擎模块340使用第一表来确定该管理的服务器作为成员的行动者集合。作为改变的服务器描述的结果,那些行动者集合可以改变。因而,策略引擎模块340使用第二表来确定哪些行动者集合相关于哪个管理的服务器。策略引擎模块340仅针对管理的服务器执行上述交集计算。
在一个实施方式中,策略引擎模块340更新管理的服务器的管理指令(基于对监管域状态320的改变),并且向管理的服务器发送更新的管理指令,如下所示:策略引擎模块340执行相关规则模块350,提供监管域范围的管理策略330和管理的服务器130的UID作为输入。相关规则模块350输出相关于该服务器(“管理策略观点”)的规则集合。策略引擎模块340比较刚输出的管理策略观点与高速缓存的管理策略观点,以确定他们是否相同。如果刚输出的管理策略观点和高速缓存的管理策略观点相同,则策略引擎模块340不做进一步动作。在此情况下,先前生成的管理的服务器管理指令(尤其是,功能级指令和相关行动者集合)与对监管域状态320的改变一致,并且不需要重新生成和重新发送至管理的服务器。
如果刚输出的管理策略观点和高速缓存的管理策略观点不同,则策略引擎模块340确定哪个规则应当被添加至高速缓存的观点,以及哪个规则应当从高速缓存的观点中去除。策略引擎模块340执行功能级指令生成模块360,提供用以添加的规则和用以去除的规则作为输入。功能级指令生成模块360输出用以添加的功能级指令和用以去除的功能级指令(相关于高速缓存的功能级指令,其先前被发送至管理的服务器)。如果适当,策略引擎模块340指令管理的服务器来添加或者去除各种功能级指令。在一个实施方式中,为了更高效率,功能级指令以“diff”格式被发送。例如,diff格式指定功能级指令标识符以及功能级指令是否将被添加至先前发送的功能级指令或者从先前发送的功能级指令去除的指示。
策略引擎模块340还执行行动者枚举模块370,提供高速缓存的行动者集合和监管域状态320的改变的部分(即,改变的服务器描述)作为输入。行动者枚举模块370输出更新的行动者集合。策略引擎模块340执行相关的行动者模块380,提供更新的行动者集合和刚输出的管理策略观点作为输入。相关行动者模块380仅输出相关于那些规则的更新的行动者集合(“更新的相关行动者集合”)。
策略引擎模块340比较更新的相关行动者集合与高速缓存的相关行动者集合,以确定他们是否不同。如果更新的行动者集合和高速缓存的相关行动者集合是相同的,则策略引擎模块340不向管理的服务器发送行动者集合。在此情况下,先前生成的相关行动者集合与对监管域状态320的改变一致,并且不需要向管理的服务器重新发送。如果更新的相关行动者集合和高速缓存的相关行动者集合不同,则策略引擎模块340确定哪个行动者集合应当相对于高速缓存的相关行动者集合而被添加、去除或者被修改。如果适当,策略引擎模块340指令管理的服务器来添加、去除或者修改各种行动者集合。在一个实施方式中,为了更高的效率,行动者集合以“diff”格式被发送。例如,diff格式指定行动者集合标识符和行动者集合相对于先前发送的行动者集合而是否应当被添加、去除或者修改的指示。
注意,策略引擎模块340可以更新管理的服务器的管理指令(基于监管域范围管理策略330),并且向管理的服务器发送更新的管理指令。对管理策略330的改变例如是添加、去除或者修改规则或者规则集。在一个实施方式中,对管理策略330的改变是通过经由GUI或者API来与全局管理器120交互来生成的。在另一实施方式中,对管理策略330的改变是通过全局管理器120内的自动过程来生成的(例如,响应于由全局管理器检测到安全性威胁)。策略引擎模块340更新管理的服务器的管理指令,并且以类似方式向管理的服务器发送更新的管理指令,而无关于是否存在对管理策略330的改变或者对监管域状态320的改变。然而,存在多个差异。
在对管理策略330的改变的情况下,策略引擎模块340不必更新针对全部管理的服务器130的管理指令。代替地,策略引擎模块340比较先前的管理策略330与新的管理策略330,以确定哪些规则相关于先前的管理策略330将被被添加、去除或者修改。策略引擎模块340确定哪些管理的服务器130受到改变的规则的影响(例如,哪些管理的服务器被如下覆盖):a)规则的和/或作用域的PB和/或UB部分,以及b)规则的条件部分(如果存在)。策略引擎模块340执行相关规则模块350,提供改变的规则(而不是整个新的管理策略330)以及管理的服务器130的UID(仅针对受到改变的规则影响的那些服务器)作为输入。
监管域状态更新(ADSU)模块385接收对监管域状态320的改变并且处理那些改变。对监管域状态320的改变例如是管理的服务器130的描述或者未管理的设备或者未管理的设备分组的描述的添加、删除或者修改(包括管理的服务器的标签集合或者配置的特征的修改)。在一个实施方式中,对监管域状态320的改变源自从特定管理的服务器130接收的本地状态信息。在另一实施方式中,对监管域状态320的改变是通过经由GUI或者API与全局管理器120交互来生成。在另一实施方式中,对监管域状态320的改变是通过全局管理器120内的自动过程生成(例如,响应于由全局管理器检测到安全性威胁)。
例如,ADSU模块385接收关于特定管理的服务器130的改变。ADSU模块385在监管域状态320中存储新的信息作为该特定管理的服务器130的描述的部分。ADSU模块385继而(可选地)分析管理的服务器的描述以确定关于服务器的附加信息,并且在描述中存储该信息。ADSU模块385继而基于对管理的服务器的描述的改变确定是否更新监管域的行动者集合和/或管理的服务器的管理指令。如果ADSU模块385确定更新监管域的行动者集合,则ADSU模块385指令策略引擎模块340以更新监管域的行动者集合。在一个实施方式中,ADSU模块385在指令策略引擎模块340来更新管理的服务器的管理指令之前等待事件的出现。如果ADSU模块确定管理的服务器的管理指令,则ADSU385指令策略引擎模块340来更新管理的服务器的管理指令。在一个实施方式中,ADSU模块385在指令策略引擎模块340来更新管理的服务器的管理指令之前等待事件的出现。上述事件例如可以是用户命令的接收或者指定的维护窗口的出现。
ADSU模块385是否确定更新监管域行动者集合和/或管理的服务器的管理指令依赖于对管理的服务器描述的改变的类型。在一个实施方式中,ADSU模块385做出此确定,如表2所示:
表2基于服务器描述改变的类型来确定是否更新监管域的行动者集合和/或管理的服务器管理指令
在一个实施方式中,ADSU模块385通过执行标签/配置的特征引擎并提供服务器的描述作为输入,来确定关于服务器的附加信息。标签/CC引擎基于服务器的描述和标签/CC指派规则来计算用于服务器的标签/CC值。
在另一实施方式中,ADSU模块385确定服务器是否在网络地址解译器(NAT)之后(以及,如果在NAT之后,是NAT-1:1还是1:N类型)。例如,ADSU模块385通过比较如下(a)和(b)来确定全局管理器120和管理的服务器130之间是否存在NAT,其中(a)是根据全局管理器和服务器之间的TCP连接的服务器的IP地址,以及(b)是根据从服务器接收的本地状态信息的服务器的IP地址。如果(a)和(b)不同,则NAT存在于全局管理器120和管理的服务器130之间。如果NAT不存在,则ADSU模块385通过执行数据中心检测来确定NAT(1:1或者1:N)的类型。例如,ADSU模块385通过数据中心的公共IP地址来标识服务器的数据中心(备选地,管理的服务器通过查询外部于服务器但是在数据中心内的信息来执行数据中心检测。服务器继而向全局管理器发送该信息以作为本地状态的部分)。配置信息指示哪些NAT类型由哪些数据服务器使用。如果没有NAT信息与特定数据中心相关联,则ADSU模块385假设NAT类型是1:N。
图4是示出根据一个实施方式的管理的服务器130的策略实现模块136的详细视图的高级框图。策略实现模块136包括本地状态贮存库400、策略编译模块410、本地状态更新模块420。本地状态贮存库400存储关于管理的服务器130的本地状态的信息。在一个实施方式中,本地状态贮存库400存储关于管理的服务器的操作***(OS)、网络显露、以及服务的信息。OS信息包括例如正在运行的OS的指示。网络显露信息和服务信息相对于监管域状态320内的管理服务器130的描述而描述。
策略编译模块410接收管理指令和管理的服务器130的状态作为输入,并生成管理模块配置134。例如,管理指令接收自全局管理器130并且包括功能级指令(由功能级指令生成模块360生成)以及相关行动者集合(由相关行动者模块380输出)。管理的服务器130的状态取自本地状态贮存器400。在一个实施方式中,策略编译模块410的执行是通过如下来触发:a)管理的服务器加电或者变为在线,b)本地状态贮存器400改变。
策略编译模块410将功能级指令和相关行动者集合映射至管理模块配置134。例如,策略编译模块410将访问控制功能级指令(其包括端口和行动者集合参考)映射至Linux操作***中的iptables条目和ipset条目、或者Windows操作***中的Window过滤平台(WFP)规则。
在管理的服务器130处的管理策略的应用可以受到该服务器的本地状态的影响。在一个实施方式中,策略编译模块410评估与接收的功能级指令相关联的条件,并基于该评估的结果来生成管理模块配置134。例如,策略编译模块410评估参考管理的服务器端(即,关系中的另一行动者)的操作***的条件,并基于该评估的结果来选择功能简档属性,其中所选择的功能简档属性在管理模块配置134中表示。
作为另一示例,注意,管理的服务器130可以接收功能级指令,其继而变为无关于该服务器。例如,规则包括指定管理的服务器的本地状态的部分(例如,描述提供的服务的服务部分)。由于全局管理器120不知晓管理的服务器的本地状态(例如,管理的服务器是否实际提供该服务),生成的功能级指令被发送至管理的服务器。策略编译模块410检查管理的服务器的本地状态(例如,确定管理的服务器是否正在提供该服务)。此确定用于评估参考管理的服务器的本地状态的条件。策略编译模块410相应地处理功能级指令。如果策略编译模块410确定条件评估为“真”(例如,管理的服务器正在提供该服务),则策略编译模块410将该功能级指令结合至管理模块配置134中。具体地,策略编译模块410仅在评估相关联的条件(其考虑该服务器的本地状态)之后,将功能级指令结合至管理模块配置134之中。如果条件的评估为假,则策略编译模块410不在管理模块配置134中表示功能级指令。具体条件(例如,他们的特征和特定值)是可扩展的。在一个实施方式中,条件是关于“服务”的定义,并且包括处理信息和/或分组信息(上文相关于监管域状态320内的管理的服务器130的描述来描述)。
例如,考虑允许仅访问端口80上的Apache服务进入的功能级指令(即,其中管理的服务器130是“提供者”或者端点)。管理的服务器130在管理的模块配置134中表示此功能级指令,以允许仅在评估相关联的条件之后在端口80上访问,其考虑正在端口80上监听的应用(在服务器上执行的)实际是否是Apache而不是某些其他应用(潜行者或者其他)。管理的服务器130仅在确定相关联的条件评估为“真”之后在管理模块配置134中表示此功能级指令。如果相关联的条件评估为“假”,则管理的服务器130不在管理模块配置134中表示此功能级指令。作为结果,网络流量被阻塞。
在一个实施方式中,管理的服务器130监视其外出连接。管理的服务器130比较外出网络流量与其内部处理表,以确定该表中的过程正在建立那些外出连接。管理的服务器130可以实施仅允许特定处理(给定需求集合,如上所述)建立外出连接的规则。
在一个实施方式(未示出)中,策略编译模块410位于全局管理器120处,而不是在管理的服务器130处。在该实施方式中,全局管理器120不向管理的服务器130发送管理指令。而是,管理的服务器130向全局管理器120发送其本地状态。在策略编译模块410生成管理模块配置134(在全局管理器120处)之后,管理模块配置134从全局管理器120被发送至管理的服务器130。
本地状态更新(LSU)模块420监视管理的服务器130的本地状态,并且向全局管理器120发送本地状态信息。在一个实施方式中,LSU模块420确定管理的服务器130的初始本地状态,在本地状态贮存器400中存储适当的本地状态信息,并且向全局管理器120发送该本地状态信息。LSU模块420通过监视服务器的操作***(OS)和/或文件***的各个部分来确定管理的服务器130的本地状态。例如,LSU模块420获取来自OS内核表的服务信息(联网信息)、OS的***表(分组信息)以及文件***(文件和哈希值)。LSU模块420从OS内核的网络显露信息和/或OS级数据结构获取显露信息。
在LSU模块420向全局管理器120发送初始本地状态信息之后,LSU模块监视对本地状态的改变。LSU模块监视改变,例如通过轮循(例如,周期性地执行监视)或者监听(例如,订阅事件流)来执行。LSU模块420比较新近获得的本地状态信息与已经存储在本地状态贮存器400中的信息。如果信息匹配,则LSU模块420不采取进一步动作(直到再次获得本地状态信息)。如果他们不同,则LSU模块420在本地状态贮存库400中存储新近获得的信息,执行策略编译模块410以重新生成管理模块配置134(以及由此重新配置管理模块132),并且向全局管理器120通知改变。在一个实施方式中,LSU模块420以“diff”格式向全局管理器120发送对本地状态信息的改变。例如,diff格式指定本地状态信息的类型(例如,操作***)以及针对该信息类型的新的值。在另一实施方式中,LSU模块420向全局管理器120发送本地状态贮存器400的整个内容。
图5是示出根据一个实施方式的针对特定管理的服务器130生成管理指令的方法500的流程图。另一实施方式可以以不同顺序执行步骤,并且可以包括不同和/或附加步骤。另外,某些或者全部步骤可以由在图1中所示以外的实体执行。在一个实施方式中,方法500被数次执行(例如,针对监管域150中的每个管理的服务器130执行一次)。
当方法500开始时,监管域的计算机网络基础设施320的状态和监管域范围的管理策略330已经被存储在全局管理器120的贮存器300中。此时,方法500开始。
在步骤510中,监管域状态320和监管域范围的管理策略330被访问。例如,策略引擎模块340向贮存器300发送请求,并且在响应中接收监管域状态320和监管域范围的管理策略。
在步骤520中,一个或者多个相关规则被确定。例如,策略引擎模块340执行相关规则模块350,提供监管域范围的管理策略330和特定管理的服务器130的UID来作为输入。相关规则模块350输出相关于该服务器的规则集合(管理策略观点)。
在步骤530中,行动者被枚举。例如,策略引擎模块340执行行动者枚举模块370,提供监管域状态320作为输入。行动者枚举模块370生成管理的服务器130的表示以及以枚举形式(行动者集合)的监管域状态320内的未管理设备分组(UDG)。
在步骤540中,一个或者多个功能指令被生成。例如,策略引擎模块340执行功能级指令生成模块360,提供管理策略观点(在步骤520中生成)作为输入。功能级指令生成模块360生成功能级指令。
在步骤550中,一个或者多个相关行动者被确定。例如,策略引擎模块340执行相关行动者模块380,提供行动者集合(在步骤530中生成)和管理策略观点(在步骤520中生成)作为输入。相关行动者模块380仅输出相关于那些规则(相关行动者集合)的那些行动者集合。
在步骤560中,管理指令被发送至特定管理的服务器130。例如,策略引擎模块340发送功能级指令(在步骤540中生成)以及相关行动者集合(在步骤550中生成)至特定管理的服务器130。
注意,步骤520和540关心针对特定管理的服务器130来生成管理策略观点(以及导致功能级指令),而步骤530和550关心针对该管理的服务器来生成行动者观点。管理策略观点的生成和行动者观点的生成最小地依赖于彼此,这是由于步骤520生成由步骤550使用的规则集合。即使这样,保持管理策略计算(即,步骤520和540)和行动者集合计算(即,步骤530和550)单独增强策略引擎模块340的可伸缩性。由于管理策略计算和行动者集合计算保持几乎分离,他们可以并行地执行(例如,即使针对相同管理的服务器130)。另外,针对不同管理的服务器130的观点计算还可以并行地执行。另外,如果行动者改变,则仅有行动者集合需要被重新计算(功能级指令不需要被重新计算)。如果规则改变,则仅有功能级指令和相关行动者集合需要被重新计算(行动者不需要被重新枚举)。
图6是示出根据一个实施方式的生成用于管理模块132的生成配置134的方法600的流程图。其他实施方式可以以不同顺序执行步骤,并且可以包括不同的和/或附加的步骤。另外,某些或者全部步骤可以由图1所示以外的其他实体执行。
当方法开始时,关于管理的服务器130的本地状态的信息已经被存储在管理的服务器130中的策略实现模块的本地状态贮存器400中。此时,方法600开始。
在步骤610中,从全局管理器120接收管理指令。例如,策略编译模块410从全局管理器120接收功能级指令和相关的行动者集合。
在步骤620中,本地状态被访问。例如,策略编译模块410访问关于存储在本地状态贮存器400中的管理的服务器130的本地状态的信息。
在步骤630中,管理模块配置134被生成。例如,策略编译模块410接纳管理指令(在步骤610中接收)和本地状态(在步骤620中访问)作为输入,并且生成管理模块配置134。
在步骤640中,管理模块132被配置。例如,策略编译模块410配置管理模块132以根据管理模块配置134(在步骤630中生成)操作。
图7是示出根据一个实施方式的监视管理的服务器130的本地状态并向全局管理器120发送本地状态信息的方法700的流程图。其他实施方式可以以不同顺序执行,并且可以包括不同和/或附加步骤。另外,某些或者全部步骤可以由图1所示以外的其他实体执行。
当方法700开始时,关于管理的服务器130的本地状态的信息已经被存储在管理的服务器130的本地状态贮存器400中。此时,方法700开始。
在步骤710中,关于管理的服务器130的当前本地状态的信息被确定。例如,LSU模块420通过检查服务器的操作***(OS)和/或文件***的各个部分,来确定管理的服务器130的本地状态。
在步骤720中,关于当前本地状态的信息是否不同于在本地状态贮存器400中存储的信息而执行确定。例如,LSU模块420执行此确定。如果信息没有不同,则方法前进至步骤730并结束。如果信息相同,则方法前进至步骤740。
在步骤740中,不同的信息被存储在本地状态贮存器400中。例如,LSU模块420执行此步骤。
在步骤750中,管理模块配置134被重新生成(因为本地状态贮存器的内容已经改变)并且管理模块132由此重新配置。例如,LSU模块420执行测量编译模块410,其重新生成管理模块配置134。
在步骤760中,不同的信息被发送至全局管理器120。例如,LSU模块420执行此步骤。
图8是示出根据一个实施方式的用于处理对监管域计算机网络基础设施320的状态的改变的方法800的流程图。其他实施方式可以以不同方式执行步骤,并且可以包括不同的和/或附加的步骤。另外,某些或者全部步骤可以由图1示出以外的实体来执行。
在步骤810中,关于特定管理的服务器130的改变被接收。例如,监管域状态更新(ADSU)模块385从管理的服务器130接收作为本地状态信息的部分的在线/离线指示符、操作***指示符、网络显露信息、和/或服务信息。
在步骤820中,接收的信息被存储。例如,ADSU模块385存储接收的监管域状态320中(尤其是在信息属于的管理的服务器130的描述中)的在线/离线指示符、网络显露信息和/或服务信息。
在步骤830中,服务描述被分析以确定关于服务器的附加信息。例如,ADSU模块385使用标签/配置的特征引擎以计算用于服务器的标签/CC值,和/或确定服务器是否在网络地址翻译器(NAT)之后(以及,如果在NAT之后,是NAT-1:1或者1:N的哪种类型)并且在服务器描述中存储该信息。步骤830是可选的。
在步骤840中,关于是否更新监管域的行动者集合来做出确定。例如,ADSU模块385基于对管理的服务器的描述的改变来确定是否更新监管域的行动者集合。如果做出确定以更新监管域的行动者集合,则方法前进至步骤850。如果做出确定不更新监管域的行动者集合,则方法前进至步骤860。
在步骤850中,监管域的行动者集合被更新。例如,ADSU模块385指令策略引擎模块340来更新监管域的行动者集合。在一个实施方式(未示出)中,ADSU模块385在指令策略引擎模块340更新监管域的行动者集合之前等待一事件出现。
在步骤860中,关于是否更新管理的服务器的管理指令来做出确定。例如,ADSU模块385基于对管理的服务器的描述的改变来确定是否更新管理的服务器的管理指令。如果做出确定以更新管理的服务器的管理指令,则方法前进至步骤870。如果做出确定不更新监管域的行动者集合,则方法前进至步骤880。
在步骤870中,管理的服务器的管理指令被更新。例如,ADSU模块385指令策略引擎模块340来更新管理的服务器的管理指令。在一个实施方式(未示出)中,ADSU模块385在指令策略引擎模块340更新管理的服务器的管理指令之前等待事件的出现。
在步骤880中,方法结束。
包括上述描述以示出特定实施方式的操作,并且不旨在限制方面的范围。本发明的范围仅由下文的权利要求书来限定。从上文的讨论中,多个变形对于本领域技术人员是易见的,并且仍然由本发明的精神和范围所涵盖。

Claims (20)

1.一种根据监管域范围的管理策略来在监管域内针对特定的管理的服务器生成管理指令的方法,所述监管域范围的管理策略包括一个或者多个规则的集合,其中所述监管域包括多个管理的服务器,所述方法包括:
确定规则的所述集合内的哪些规则相关于所述特定的管理的服务器;
基于被确定为相关的规则来生成功能级指令;
确定所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器;以及
向所述特定的管理的服务器发送所述功能级指令以及关于被确定为相关的所述管理的服务器的信息;
其中所述特定的管理的服务器使用所述功能级指令和关于所述管理的服务器的信息来配置管理模块,从而被配置的所述管理模块实现所述监管域范围的管理策略。
2.根据权利要求1所述的方法,其中所述特定的管理的服务器是虚拟服务器。
3.根据权利要求1所述的方法,其中所述监管域范围的管理策略指定管理的服务器是否或者如何被允许访问或者被设备访问。
4.根据权利要求1所述的方法,其中规则通过指定管理的服务器的维度以及用于所述维度的值来指定管理的服务器,以及其中所述维度是包括角色、环境、应用、业务线和位置的群组的一个元素。
5.根据权利要求1所述的方法,其中规则指定哪些管理的服务器被允许以提供服务,以及其中如果规则指定所述特定的管理的服务器被允许以提供服务,则所述规则相关于所述特定的管理的服务器。
6.根据权利要求1所述的方法,其中规则指定管理的服务器是否或者如何被允许消费服务,以及其中如果规则指定所述特定的管理的服务器是否或者如何被允许以消费服务,则所述规则相关于特定的管理的服务器。
7.根据权利要求1所述的方法,其中确定所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器包括:确定所述多个管理的服务器内的哪些管理的服务器相关于被确定为相关的所述规则。
8.根据权利要求1所述的方法,其中关于所述管理的服务器的信息包括所述管理的服务器的网络显露信息。
9.根据权利要求1所述的方法,其中所述管理模块包括低级网络或者安全性引擎。
10.根据权利要求1所述的方法,进一步包括:在确定所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器之前,枚举所述多个管理的服务器中的所述管理的服务器。
11.一种存储计算机程序模块的非瞬态计算机可读存储介质,所述计算机程序模块用于根据监管域范围的管理策略来在监管域内针对的特定管理的服务器生成管理指令,所述监管域范围的管理策略包括一个或者多个规则的集合,其中所述监管域包括多个管理的服务器,所述计算机程序模块可执行以执行步骤,所述步骤包括:
确定规则的所述集合内的哪些规则相关于所述特定的管理的服务器;
基于被确定为相关的规则来生成功能级指令;
确定所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器;以及
向所述特定的管理的服务器发送所述功能级指令以及关于被确定为相关的所述管理的服务器的信息;
其中所述特定的管理的服务器使用所述功能级指令和关于所述管理的服务器的信息来配置管理模块,从而被配置的所述管理模块实现所述监管域范围的管理策略。
12.根据权利要求11所述的计算机可读存储介质,其中所述特定的管理的服务器是虚拟服务器。
13.根据权利要求11所述的计算机可读存储介质,其中所述监管域范围的管理策略指定管理的服务器是否或者如何被允许访问或者被设备访问。
14.根据权利要求11所述的计算机可读存储介质,其中规则通过指定管理的服务器的维度以及用于所述维度的值来指定管理的服务器,以及其中所述维度是包括角色、环境、应用、业务线和位置的群组的一个元素。
15.根据权利要求11所述的计算机可读存储介质,其中规则指定哪些管理的服务器被允许以提供服务,以及其中如果规则指定所述特定的管理的服务器被允许以提供服务,则所述规则相关于所述特定的管理的服务器。
16.根据权利要求11所述的计算机可读存储介质,其中规则指定管理的服务器是否或者如何被允许消费服务,以及其中如果规则指定所述特定的管理的服务器是否或者如何被允许以消费服务,则所述规则相关于特定的管理的服务器。
17.根据权利要求11所述的计算机可读存储介质,其中确定所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器包括:确定所述多个管理的服务器内的哪些管理的服务器相关于被确定为相关的所述规则。
18.根据权利要求11所述的计算机可读存储介质,其中关于所述管理的服务器的信息包括所述管理的服务器的网络显露信息。
19.根据权利要求11所述的计算机可读存储介质,其中所述管理模块包括低级网络或者安全性引擎。
20.一种用于根据监管域范围的管理策略来在监管域内针对特定的管理的服务器生成管理指令的***,所述监管域范围的管理策略包括一个或者多个规则的集合,其中所述监管域包括多个管理的服务器,所述***包括:
存储计算机程序模块的非瞬态计算机可读存储介质,所述计算机程序模块可执行以执行步骤,所述步骤包括:
确定规则的所述集合内的哪些规则相关于所述特定管理的服务器;
基于被确定为相关的所述规则来生成功能级指令;
确定所述多个管理的服务器内的哪些管理的服务器相关于所述特定的管理的服务器;以及
向所述特定的管理的服务器发送所述功能级指令以及关于被确定为相关的所述管理的服务器的信息;以及
用于执行所述计算机程序模块的计算机处理器;
其中所述特定的管理的服务器使用所述功能级指令和关于所述管理的服务器的信息来配置管理模块,从而被配置的所述管理模块实现监管域范围的管理策略。
CN201480030043.2A 2013-04-10 2014-04-09 使用基于逻辑多维度标签的策略模型的分布式网络管理 Active CN105247508B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201361810480P 2013-04-10 2013-04-10
US61/810,480 2013-04-10
US201361899468P 2013-11-04 2013-11-04
US61/899,468 2013-11-04
PCT/US2014/033524 WO2014169054A1 (en) 2013-04-10 2014-04-09 Distributed network management using a logical multi-dimensional label-based policy model

Publications (2)

Publication Number Publication Date
CN105247508A true CN105247508A (zh) 2016-01-13
CN105247508B CN105247508B (zh) 2018-01-26

Family

ID=51687573

Family Applications (2)

Application Number Title Priority Date Filing Date
CN201480030043.2A Active CN105247508B (zh) 2013-04-10 2014-04-09 使用基于逻辑多维度标签的策略模型的分布式网络管理
CN201480017932.5A Active CN105074692B (zh) 2013-04-10 2014-04-09 使用基于逻辑多维标签的策略模型的分布式网络管理***

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN201480017932.5A Active CN105074692B (zh) 2013-04-10 2014-04-09 使用基于逻辑多维标签的策略模型的分布式网络管理***

Country Status (9)

Country Link
US (5) US9882783B2 (zh)
EP (2) EP2984581B1 (zh)
JP (2) JP6069580B2 (zh)
KR (2) KR101579715B1 (zh)
CN (2) CN105247508B (zh)
AU (2) AU2014251011B2 (zh)
CA (2) CA2903411C (zh)
TW (1) TWI530890B (zh)
WO (2) WO2014169054A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109088886A (zh) * 2018-09-29 2018-12-25 郑州云海信息技术有限公司 在防火墙上监控策略的管理方法和装置

Families Citing this family (37)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
US9497224B2 (en) 2011-08-09 2016-11-15 CloudPassage, Inc. Systems and methods for implementing computer security
US8412945B2 (en) 2011-08-09 2013-04-02 CloudPassage, Inc. Systems and methods for implementing security in a cloud computing environment
US9124640B2 (en) 2011-08-09 2015-09-01 CloudPassage, Inc. Systems and methods for implementing computer security
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9930066B2 (en) 2013-02-12 2018-03-27 Nicira, Inc. Infrastructure level LAN security
US9882919B2 (en) 2013-04-10 2018-01-30 Illumio, Inc. Distributed network security using a logical multi-dimensional label-based policy model
AU2014251011B2 (en) 2013-04-10 2016-03-10 Illumio, Inc. Distributed network management using a logical multi-dimensional label-based policy model
US9485279B2 (en) 2013-11-04 2016-11-01 Illumio, Inc. Automated generation of access control rules for use in a distributed network management system that uses a label-based policy model
WO2015066208A1 (en) 2013-11-04 2015-05-07 Illumio, Inc. Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model
US10747888B2 (en) 2014-06-30 2020-08-18 Nicira, Inc. Method and apparatus for differently encrypting data messages for different logical networks
US9900211B1 (en) * 2014-10-01 2018-02-20 Crimson Corporation Systems and methods for network management
US20160162824A1 (en) * 2014-12-05 2016-06-09 International Business Machines Corporation Monitoring the impact of information quality on business application components through an impact map to data sources
US10158526B2 (en) * 2015-03-27 2018-12-18 Nec Corporation System that manages server function
US9509574B2 (en) * 2015-04-03 2016-11-29 Illumio, Inc. End-to-end policy enforcement in the presence of a traffic midpoint device
US10326650B2 (en) * 2015-04-06 2019-06-18 Illumio, Inc. Enforcing rules for bound services in a distributed network management system that uses a label-based policy model
EP3286655A4 (en) * 2015-04-18 2018-12-12 INTEL Corporation Multimodal interface
ES2758755T3 (es) 2015-06-01 2020-05-06 Duo Security Inc Método para aplicar normas de salud de punto final
US10291654B2 (en) * 2015-09-30 2019-05-14 Symantec Corporation Automated construction of network whitelists using host-based security controls
CN105376093B (zh) * 2015-11-19 2018-11-30 中冶南方(武汉)自动化有限公司 海量数据点的分布式管理方法及***
EP3479222A4 (en) 2016-06-29 2020-01-15 Duo Security, Inc. SYSTEMS AND METHODS FOR CLASSIFYING END POINT MANAGEMENT
US10798073B2 (en) 2016-08-26 2020-10-06 Nicira, Inc. Secure key management protocol for distributed network encryption
US10320617B2 (en) * 2016-09-12 2019-06-11 Illumio, Inc. Representation of servers in a distributed network information management system for efficient aggregation of information
US20190250907A1 (en) * 2016-09-28 2019-08-15 Telefonaktiebolaget Lm Ericsson (Publ) Techniques for simplified service modification utilizing a split design-assign framework
US10361966B2 (en) 2016-11-14 2019-07-23 At&T Intellectual Property I, L.P. System and method for actor oriented architecture for digital service transactions based on common data structures
CN107395666B (zh) * 2017-05-23 2020-09-18 武汉华中数控股份有限公司 一种操作数控机床升级数据包的方法及装置
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security
US11245753B2 (en) * 2018-08-17 2022-02-08 Fastly, Inc. User space redirect of packet traffic
US11095611B2 (en) * 2018-10-01 2021-08-17 Illumio, Inc. Traffic visibility and segmentation policy enforcement for workloads in different address spaces
US11171834B1 (en) * 2018-11-16 2021-11-09 Juniper Networks, Inc. Distributed virtualized computing infrastructure management
US11658962B2 (en) 2018-12-07 2023-05-23 Cisco Technology, Inc. Systems and methods of push-based verification of a transaction
CN110365653B (zh) * 2019-06-18 2022-02-22 视联动力信息技术股份有限公司 用户注册方法及装置
EP3796167B1 (en) * 2019-09-23 2023-05-03 SAS Institute Inc. Router management by an event stream processing cluster manager
US11283802B2 (en) * 2020-03-30 2022-03-22 International Business Machines Corporation Autonomous application programming interface claim requirements discovery
US11743102B1 (en) * 2020-06-08 2023-08-29 Cirrus360 LLC Cross-platform programmable network communication
CA3182230A1 (en) * 2020-07-02 2022-01-06 Avalara, Inc. Smart alerting of entity of online software platform (osp) about their user profile and custom rules being impacted by underlying changes in data that the osp uses to process the entity data

Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998054644A1 (en) * 1997-05-29 1998-12-03 3Com Corporation Multilayer firewall system
US20030018792A1 (en) * 2000-09-07 2003-01-23 Fujitsu Limited Virtual communication channel and virtual private community, and agent collaboration system and agent collaboration method for controlling the same
US20030115484A1 (en) * 1998-10-28 2003-06-19 Moriconi Mark S. System and method for incrementally distributing a security policy in a computer network
US20040039798A1 (en) * 1999-03-03 2004-02-26 Ultradns, Inc. Domain name resolution system and method
US20040039803A1 (en) * 2002-08-21 2004-02-26 Eddie Law Unified policy-based management system
CN1483270A (zh) * 1999-06-10 2004-03-17 �йȲ��� 基于策略的网络体系结构
US20060262786A1 (en) * 2005-05-18 2006-11-23 Fujitsu Limited Inter-domain routing technique using MPLS
US20070156670A1 (en) * 2005-12-29 2007-07-05 Blue Jungle Techniques of optimizing policies in an information management system
US20070282986A1 (en) * 2006-06-05 2007-12-06 Childress Rhonda L Rule and Policy Promotion Within A Policy Hierarchy
US20080195755A1 (en) * 2007-02-12 2008-08-14 Ying Lu Method and apparatus for load balancing with server state change awareness
US20080282336A1 (en) * 2007-05-09 2008-11-13 Microsoft Corporation Firewall control with multiple profiles
US20090210520A1 (en) * 2005-02-10 2009-08-20 Nec Corporation Information system management unit
CN101595465A (zh) * 2007-01-26 2009-12-02 微软公司 ***管理策略的确认、发布和实施
US20100064009A1 (en) * 2005-04-28 2010-03-11 International Business Machines Corporation Method and Apparatus for a Common Cluster Model for Configuring, Managing, and Operating Different Clustering Technologies in a Data Center
US20100188975A1 (en) * 2009-01-28 2010-07-29 Gregory G. Raleigh Verifiable device assisted service policy implementation
US20100333165A1 (en) * 2009-06-24 2010-12-30 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US20120023546A1 (en) * 2010-07-22 2012-01-26 Juniper Networks, Inc. Domain-based security policies
US20130081102A1 (en) * 2011-09-28 2013-03-28 International Business Machines Corporation Creating and maintaining a security policy

Family Cites Families (63)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6493749B2 (en) * 1998-08-17 2002-12-10 International Business Machines Corporation System and method for an administration server
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6728748B1 (en) * 1998-12-01 2004-04-27 Network Appliance, Inc. Method and apparatus for policy based class of service and adaptive service level management within the context of an internet and intranet
US8321457B2 (en) 2000-09-08 2012-11-27 Oracle International Corporation Techniques for automatically developing a web site
US20020176377A1 (en) * 2001-05-22 2002-11-28 Hamilton Thomas E. Service platform on wireless network
WO2002095630A1 (en) 2001-05-23 2002-11-28 Evolving Systems, Inc. Subscriber's presence, location and availability information across a network
US7844696B2 (en) 2001-06-27 2010-11-30 Arbor Networks, Inc. Method and system for monitoring control signal traffic over a computer network
US20030231212A1 (en) * 2002-06-18 2003-12-18 Bellsouth Intellectual Property Corporation User interface to a device environment
US7813484B2 (en) * 2002-08-08 2010-10-12 Telecommunication Systems, Inc. All-HTTP multimedia messaging
US7340531B2 (en) * 2002-09-27 2008-03-04 Intel Corporation Apparatus and method for data transfer
JP3896111B2 (ja) * 2003-12-15 2007-03-22 株式会社日立製作所 リソース割り当てシステム、方法及びプログラム
US20050147035A1 (en) * 2003-12-24 2005-07-07 Nortel Networks Limited Multiple services with policy enforcement over a common network
US7418490B1 (en) * 2003-12-29 2008-08-26 Sun Microsystems, Inc. System using multiple sets of device management policies for managing network devices connected on different network interfaces
RU2006143768A (ru) 2004-05-12 2008-06-20 Алькатель (Fr) Ароматическое ограничение сетевого нарушителя
US7571460B2 (en) 2004-08-06 2009-08-04 Time Warner Cable, Inc. System and method for affecting the behavior of a network device in a cable network
WO2006043322A1 (ja) * 2004-10-20 2006-04-27 Fujitsu Limited サーバ管理プログラム、サーバ管理方法、およびサーバ管理装置
US20070002834A1 (en) * 2005-06-30 2007-01-04 Nortel Networks Limited Session control for mass session events
US7925666B1 (en) 2005-10-06 2011-04-12 Hewlett-Packard Development Company, L.P. System and method for managing the application of access control lists on network devices
US8677499B2 (en) 2005-12-29 2014-03-18 Nextlabs, Inc. Enforcing access control policies on servers in an information management system
US20080109396A1 (en) 2006-03-21 2008-05-08 Martin Kacin IT Automation Appliance And User Portal
US7849502B1 (en) 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for monitoring network traffic
WO2008103493A1 (en) 2007-02-23 2008-08-28 Sugarcrm Inc. Customer relationship management portal system and method
JP4964671B2 (ja) * 2007-05-21 2012-07-04 株式会社日立製作所 計算機システムの電力制御方法、プログラム、及び計算機システム
JP5418225B2 (ja) 2007-07-10 2014-02-19 日本電気株式会社 通信管理システム、通信管理端末、通信管理方法、及び通信管理プログラム
US20090217346A1 (en) 2008-02-22 2009-08-27 Manring Bradley A C Dhcp centric network access management through network device access control lists
US8365149B2 (en) * 2008-02-29 2013-01-29 International Business Machines Corporation Debugger for a declarative event-driven programming model
US8763082B2 (en) 2008-05-13 2014-06-24 At&T Mobility Ii Llc Interactive client management of an access control list
EP2307991A2 (en) 2008-07-10 2011-04-13 Juniper Networks, Inc. Distributed data storage and access systems
JP5210146B2 (ja) * 2008-12-25 2013-06-12 株式会社日立製作所 情報制御システムおよび情報制御方法
EP2384593A4 (en) * 2009-01-30 2016-05-18 Hewlett Packard Development Co DYNAMIC APPLICATION OF A DIRECTIVE TO A NETWORK
US20110060823A1 (en) 2009-03-31 2011-03-10 Napera Networks, Inc. Network-assisted health reporting activation
US8607325B2 (en) 2010-02-22 2013-12-10 Avaya Inc. Enterprise level security system
JP2011243112A (ja) 2010-05-20 2011-12-01 Hitachi Ltd システム管理方法、及び管理装置
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
WO2012045341A2 (en) * 2010-10-06 2012-04-12 Nokia Siemens Networks Oy Method, apparatus and system for detecting service data of a packet data connection
US9589145B2 (en) 2010-11-24 2017-03-07 Oracle International Corporation Attaching web service policies to a group of policy subjects
CA2852316A1 (en) * 2011-01-18 2012-07-26 Caterina Papachristos Business to business to shared communities system and method
US8813227B2 (en) 2011-03-29 2014-08-19 Mcafee, Inc. System and method for below-operating system regulation and control of self-modifying code
US9215237B2 (en) 2011-05-23 2015-12-15 Nec Corporation Communication system, control device, communication method, and program
TWI470970B (zh) 2011-08-26 2015-01-21 Liang Tse Lin 開放式監控系統及其操作方法
JP5316616B2 (ja) 2011-09-16 2013-10-16 株式会社日立製作所 業務引き継ぎ方法、計算機システム、及び管理サーバ
US20130159039A1 (en) * 2011-12-15 2013-06-20 International Business Machines Corporation Data center infrastructure management system for maintenance
US9185089B2 (en) * 2011-12-20 2015-11-10 Apple Inc. System and method for key management for issuer security domain using global platform specifications
EP2810477B1 (en) * 2012-01-31 2017-11-01 Telefonaktiebolaget LM Ericsson (publ) Server selection in communications network with respect to a mobile user
EP2853067B1 (en) * 2012-05-10 2017-07-19 Telefonaktiebolaget LM Ericsson (publ) A method and apparatus to adapt the data traffic of a communication between a user equipment and a communication network
CN104508628A (zh) 2012-07-31 2015-04-08 惠普发展公司,有限责任合伙企业 针对受管理的服务的监控
US9503475B2 (en) 2012-08-14 2016-11-22 Ca, Inc. Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment
US9595178B2 (en) 2012-08-16 2017-03-14 Graham E. Snyder Water safety monitoring devices, alarm devices and related methods
US9124636B1 (en) 2012-12-28 2015-09-01 Pulse Secure, Llc Infected endpoint containment using aggregated security status information
US9098322B2 (en) 2013-03-15 2015-08-04 Bmc Software, Inc. Managing a server template
US9197487B2 (en) * 2013-03-15 2015-11-24 Verisign, Inc. High performance DNS traffic management
AU2014251011B2 (en) 2013-04-10 2016-03-10 Illumio, Inc. Distributed network management using a logical multi-dimensional label-based policy model
US9485279B2 (en) 2013-11-04 2016-11-01 Illumio, Inc. Automated generation of access control rules for use in a distributed network management system that uses a label-based policy model
WO2015066208A1 (en) 2013-11-04 2015-05-07 Illumio, Inc. Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model
US10542031B2 (en) 2015-02-20 2020-01-21 Authentic8, Inc. Secure application for accessing web resources
US10104185B1 (en) 2015-08-10 2018-10-16 Amazon Technologies, Inc. Policy-based container cotenancy
US9910713B2 (en) 2015-12-21 2018-03-06 Amazon Technologies, Inc. Code execution request routing
US10855725B2 (en) 2016-06-02 2020-12-01 Microsoft Technology Licensing, Llc Hardware-based virtualized security isolation
US10417065B2 (en) 2016-06-13 2019-09-17 Dynatrace Llc Method and system for automated agent injection in container environments
US20180026911A1 (en) 2016-07-25 2018-01-25 Cisco Technology, Inc. System and method for providing a resource usage advertising framework for sfc-based workloads
US20180167487A1 (en) 2016-12-13 2018-06-14 Red Hat, Inc. Container deployment scheduling with constant time rejection request filtering
WO2018200757A1 (en) 2017-04-25 2018-11-01 Nutanix, Inc. Systems and methods for networked microservice modeling
US10791065B2 (en) 2017-09-19 2020-09-29 Cisco Technology, Inc. Systems and methods for providing container attributes as part of OAM techniques

Patent Citations (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998054644A1 (en) * 1997-05-29 1998-12-03 3Com Corporation Multilayer firewall system
US20030115484A1 (en) * 1998-10-28 2003-06-19 Moriconi Mark S. System and method for incrementally distributing a security policy in a computer network
US20040039798A1 (en) * 1999-03-03 2004-02-26 Ultradns, Inc. Domain name resolution system and method
CN1483270A (zh) * 1999-06-10 2004-03-17 �йȲ��� 基于策略的网络体系结构
US20030018792A1 (en) * 2000-09-07 2003-01-23 Fujitsu Limited Virtual communication channel and virtual private community, and agent collaboration system and agent collaboration method for controlling the same
US20040039803A1 (en) * 2002-08-21 2004-02-26 Eddie Law Unified policy-based management system
US20090210520A1 (en) * 2005-02-10 2009-08-20 Nec Corporation Information system management unit
US20100064009A1 (en) * 2005-04-28 2010-03-11 International Business Machines Corporation Method and Apparatus for a Common Cluster Model for Configuring, Managing, and Operating Different Clustering Technologies in a Data Center
US20060262786A1 (en) * 2005-05-18 2006-11-23 Fujitsu Limited Inter-domain routing technique using MPLS
US20070156670A1 (en) * 2005-12-29 2007-07-05 Blue Jungle Techniques of optimizing policies in an information management system
US20070282986A1 (en) * 2006-06-05 2007-12-06 Childress Rhonda L Rule and Policy Promotion Within A Policy Hierarchy
CN101595465A (zh) * 2007-01-26 2009-12-02 微软公司 ***管理策略的确认、发布和实施
US20080195755A1 (en) * 2007-02-12 2008-08-14 Ying Lu Method and apparatus for load balancing with server state change awareness
US20080282336A1 (en) * 2007-05-09 2008-11-13 Microsoft Corporation Firewall control with multiple profiles
US20100188975A1 (en) * 2009-01-28 2010-07-29 Gregory G. Raleigh Verifiable device assisted service policy implementation
US20100333165A1 (en) * 2009-06-24 2010-12-30 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US20120023546A1 (en) * 2010-07-22 2012-01-26 Juniper Networks, Inc. Domain-based security policies
US20130081102A1 (en) * 2011-09-28 2013-03-28 International Business Machines Corporation Creating and maintaining a security policy

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109088886A (zh) * 2018-09-29 2018-12-25 郑州云海信息技术有限公司 在防火墙上监控策略的管理方法和装置
CN109088886B (zh) * 2018-09-29 2021-10-01 郑州云海信息技术有限公司 在防火墙上监控策略的管理方法和装置

Also Published As

Publication number Publication date
KR20150140325A (ko) 2015-12-15
US10897403B2 (en) 2021-01-19
CN105074692A (zh) 2015-11-18
AU2014251019B2 (en) 2018-07-05
US20170250874A1 (en) 2017-08-31
EP2984581A4 (en) 2016-05-11
EP2984581B1 (en) 2018-03-07
US20140310415A1 (en) 2014-10-16
US9882783B2 (en) 2018-01-30
EP2984581A1 (en) 2016-02-17
CN105074692B (zh) 2018-02-06
CA2908871C (en) 2018-02-27
US10924355B2 (en) 2021-02-16
AU2014251011B2 (en) 2016-03-10
AU2014251019A1 (en) 2015-08-27
TWI530890B (zh) 2016-04-21
TW201445461A (zh) 2014-12-01
WO2014169062A1 (en) 2014-10-16
CA2903411C (en) 2018-09-04
JP2016522919A (ja) 2016-08-04
CN105247508B (zh) 2018-01-26
EP2984580B1 (en) 2018-12-19
US10917309B2 (en) 2021-02-09
KR20150132596A (ko) 2015-11-25
US20180198686A1 (en) 2018-07-12
AU2014251011A1 (en) 2015-10-29
US9942102B2 (en) 2018-04-10
JP2016521415A (ja) 2016-07-21
JP6336041B2 (ja) 2018-06-06
CA2903411A1 (en) 2014-10-16
US20180131577A1 (en) 2018-05-10
CA2908871A1 (en) 2014-10-16
JP6069580B2 (ja) 2017-02-01
KR101579715B1 (ko) 2015-12-22
EP2984580A4 (en) 2016-12-28
WO2014169054A1 (en) 2014-10-16
EP2984580A1 (en) 2016-02-17
US20140310408A1 (en) 2014-10-16

Similar Documents

Publication Publication Date Title
CN105247508A (zh) 使用基于逻辑多维度标签的策略模型的分布式网络管理
JP6470433B2 (ja) ラベルベースのアクセス制御ルールの自動生成
AU2016244759A1 (en) Enforcing rules for bound services in a distributed network management system that uses a label-based policy model
TW201812607A (zh) 在分散式網路資訊管理系統中對於資訊有效彙總之伺服器之表示
CN105683943B (zh) 使用基于逻辑多维标签的策略模型的分布式网络安全

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant