CN113285906A - 安全策略配置方法、装置、设备和存储介质 - Google Patents
安全策略配置方法、装置、设备和存储介质 Download PDFInfo
- Publication number
- CN113285906A CN113285906A CN202010102605.7A CN202010102605A CN113285906A CN 113285906 A CN113285906 A CN 113285906A CN 202010102605 A CN202010102605 A CN 202010102605A CN 113285906 A CN113285906 A CN 113285906A
- Authority
- CN
- China
- Prior art keywords
- configuration
- policy
- target
- unified
- strategy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 72
- 238000006243 chemical reaction Methods 0.000 claims abstract description 56
- 238000013519 translation Methods 0.000 claims description 115
- 230000009471 action Effects 0.000 claims description 35
- 238000001514 detection method Methods 0.000 claims description 28
- 230000015654 memory Effects 0.000 claims description 20
- 238000012795 verification Methods 0.000 claims description 18
- 238000012545 processing Methods 0.000 claims description 10
- 230000009466 transformation Effects 0.000 claims description 3
- 238000010200 validation analysis Methods 0.000 claims 2
- 230000008569 process Effects 0.000 abstract description 17
- 238000012423 maintenance Methods 0.000 description 54
- 230000008901 benefit Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 4
- 238000004590 computer program Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 230000006872 improvement Effects 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013075 data extraction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000001151 other effect Effects 0.000 description 1
- 230000002035 prolonged effect Effects 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例公开了一种安全策略配置方法、装置、设备和存储介质,涉及网络安全技术领域。具体实现方案为:响应于用户的触发操作,从型号异构的网络设备中确定待配置的目标网络设备;接收对目标网络设备的统一配置策略;根据目标网络设备的型号信息,对统一配置策略进行转换,以得到目标网络设备所支持的目标策略数据;向目标网络设备下发目标策略数据,以指示目标网络设备根据目标策略数据进行安全策略配置。通过在型号异构的网络设备层之上,统一安全策略的下发形式,并在下发过程中结合各设备的型号信息进行策略转换,保障了所下发策略的通用性,从根本上实现了对型号异构环境中网络设备安全策略的统一配置。
Description
技术领域
本申请实施例涉及计算机技术领域,尤其涉及网络安全技术领域,具体涉及一种安全策略配置方法、装置、设备和存储介质。
背景技术
随着网络设备的大规模分布式的发展,待管理的网络设备环境中可能包括多个厂商型号的网络设备,需要运维人员采用设备各自所支持的语言及规则进行安全策略配置。
目前,基于统一设备型号、统一设备配置协议以及分厂商配置模型等追求异构环境中统一配置的方案,对于厂商的额外要求较高,通用性差,并不能实现真正意义上的异构环境中网络设备的统一配置。
发明内容
本申请实施例提供了一种安全策略配置方法、装置、设备和存储介质,能够从根本上实现了对型号异构环境中网络设备安全策略的统一配置。
第一方面,本申请实施例提供了一种安全策略配置方法,包括:
响应于用户的触发操作,从型号异构的网络设备中确定待配置的目标网络设备;
接收对所述目标网络设备的统一配置策略;
根据所述目标网络设备的型号信息,对所述统一配置策略进行转换,以得到所述目标网络设备所支持的目标策略数据;
向所述目标网络设备下发所述目标策略数据,以指示所述目标网络设备根据所述目标策略数据进行安全策略配置。
上述申请中的一个实施例具有如下优点或有益效果:通过在型号异构的网络设备层之上,统一安全策略的下发形式,并在下发过程中结合各设备的型号信息进行策略转换,保障了所下发策略的通用性,从根本上实现了对型号异构环境中网络设备安全策略的统一配置。避免了对设备厂商的额外配置要求,降低对于运维人员的技术要求以及运维人员操作的复杂度,便于运维人员以整体化和标准化思路进行安全策略配置,提高了安全策略配置的效率和准确性。
可选的,所述接收对所述目标网络设备的统一配置策略,包括:
接收用户采用统一配置语言,按照统一安全策略意图描述格式所编辑的统一配置策略;其中,所述统一安全策略意图描述格式包括配置内容和配置动作,用于指示所述目标网络设备通过执行所述配置动作,对所述配置内容进行安全策略配置。
上述申请中的一个实施例具有如下优点或有益效果:通过在型号异构的网络设备层之上,统一安全策略的下发形式,以统一的安全策略意图描述格式进行安全策略的下发。因此运维人员只需掌握一种语言以及一种规则对型号异构的网络设备进行安全策略配置,降低对于运维人员的技术要求以及运维人员操作的复杂度,便于运维人员以整体化和标准化思路进行安全策略配置。
可选的,所述根据所述目标网络设备的型号信息,对所述统一配置策略进行转换,包括:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略翻译模板;
按照所述目标策略翻译模板中,统一配置语言向所述目标网络设备所支持的目标配置语言的翻译关系,对所述统一配置策略进行转换。
上述申请中的一个实施例具有如下优点或有益效果:通过检测平台中是否存在与目标网络设备的型号信息相匹配的目标策略翻译模板,来判断平台当前是否支持该类型号网络设备的配置,从而基于存在的目标策略翻译模板对统一配置策略进行正向翻译转换,得到目标网络设备所支持的目标策略数据。避免运维人员对各类型设备的个性化配置操作,降低对于运维人员的技术要求以及运维人员操作的复杂度。
可选的,在所述根据所述目标网络设备的型号信息,对所述统一配置策略进行转换之前,还包括:
根据统一安全策略意图描述格式,对所述统一配置策略进行合法性检测。
上述申请中的一个实施例具有如下优点或有益效果:通过对统一配置策略的合法性检测,从根本上保障了策略的准确性,有利于向各型号网络设备所支持的数据格式的准确转换。
可选的,所述根据统一安全策略意图描述格式,对所述统一配置策略进行合法性检测,包括:
若检测到所述统一配置策略符合所述统一安全策略意图描述格式,则确定所述统一配置策略中的配置内容和配置动作;
对所述配置内容的语法格式进行合法性检测;
若检测到语法格式合法,则根据所述配置内容和所述配置动作,对所述统一配置策略进行去重处理。
上述申请中的一个实施例具有如下优点或有益效果:通过从格式、语法以及语义等方面对统一配置策略进行合法性检测,从根本上保障了策略的准确性。
可选的,在所述向所述目标网络设备下发所述目标策略数据之后,还包括:
基于所述统一配置策略,验证安全策略配置的准确性。
上述申请中的一个实施例具有如下优点或有益效果:在网络设备中配置有安全策略的情况下,可以对网络设备中已配置的安全策略进行准确性验证,有利于对网络设备的后期巡检。
可选的,所述基于所述统一配置策略,验证安全策略配置的准确性,包括:
根据所述统一配置策略所配置的目标网络设备的型号信息,对所述目标网络设备所配置的目标策略数据进行转换,以得到统一安全策略意图描述格式的转换结果;
将不同目标网络设备的转换结果进行文本比对,以根据文本比对结果定位并排查配置失败设备。
上述申请中的一个实施例具有如下优点或有益效果:通过将不同型号的目标网络设备中的目标策略数据,反向翻译转换为统一安全策略意图描述格式的转换结果,为各网络设备之间转换结果的文本比对提供依据,以便根据文本比对结果,验证各网络设备的策略数据是否一致,从而有利于定位到配置失败设备,并排查配置失败原因以进行重新配置。
可选的,所述根据所述统一配置策略所配置的目标网络设备的型号信息,对所述目标网络设备所配置的目标策略数据进行转换,包括:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略反翻译模板;
根据所述目标策略反翻译模板,提取所述目标网络设备基于所述统一配置策略所配置的目标策略数据;
按照所述目标策略反翻译模板中,目标网络设备所支持的目标配置语言向统一配置语言的反向翻译关系,对所述目标策略数据进行转换。
上述申请中的一个实施例具有如下优点或有益效果:由于统一配置语言与各网络设备所支持的目标配置语言之间的正向翻译与反向翻译过程可能存在差异,因此在后期巡检验证时,同样可以通过检测平台中是否存在与目标网络设备的型号信息相匹配的目标策略反翻译模板,来判断平台当前是否支持该类型号网络设备的验证,从而基于存在的目标策略反翻译模板对目标策略数据进行反向翻译转换,得到统一安全策略意图描述格式的转换结果。避免运维人员对各类型设备的逐一排查,降低对于运维人员的技术要求以及运维人员操作的复杂度。
第二方面,本申请实施例提供了一种安全策略配置装置,包括:
配置设备确定模块,用于响应于用户的触发操作,从型号异构的网络设备中确定待配置的目标网络设备;
统一策略确定模块,用于接收对所述目标网络设备的统一配置策略;
统一策略转换模块,用于根据所述目标网络设备的型号信息,对所述统一配置策略进行转换,以得到所述目标网络设备所支持的目标策略数据;
策略下发模块,用于向所述目标网络设备下发所述目标策略数据,以指示所述目标网络设备根据所述目标策略数据进行安全策略配置。
可选的,所述统一策略确定模块具体用于:
接收用户采用统一配置语言,按照统一安全策略意图描述格式所编辑的统一配置策略;其中,所述统一安全策略意图描述格式包括配置内容和配置动作,用于指示所述目标网络设备通过执行所述配置动作,对所述配置内容进行安全策略配置。
可选的,所述统一策略转换模块具体用于:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略翻译模板;
按照所述目标策略翻译模板中,统一配置语言向所述目标网络设备所支持的目标配置语言的翻译关系,对所述统一配置策略进行转换。
进一步的,所述装置还包括统一策略检测模块,具体用于:
在所述根据所述目标网络设备的型号信息,对所述统一配置策略进行转换之前,根据统一安全策略意图描述格式,对所述统一配置策略进行合法性检测。
可选的,所述统一策略检测模块具体用于:
若检测到所述统一配置策略符合所述统一安全策略意图描述格式,则确定所述统一配置策略中的配置内容和配置动作;
对所述配置内容的语法格式进行合法性检测;
若检测到语法格式合法,则根据所述配置内容和所述配置动作,对所述统一配置策略进行去重处理。
进一步的,所述装置还包括策略配置验证模块,具体用于:
在所述向所述目标网络设备下发所述目标策略数据之后,基于所述统一配置策略,验证安全策略配置的准确性。
可选的,所述策略配置验证模块具体用于:
根据所述统一配置策略所配置的目标网络设备的型号信息,对所述目标网络设备所配置的目标策略数据进行转换,以得到统一安全策略意图描述格式的转换结果;
将不同目标网络设备的转换结果进行文本比对,以根据文本比对结果定位并排查配置失败设备。
可选的,所述策略配置验证模块具体用于:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略反翻译模板;
根据所述目标策略反翻译模板,提取所述目标网络设备基于所述统一配置策略所配置的目标策略数据;
按照所述目标策略反翻译模板中,目标网络设备所支持的目标配置语言向统一配置语言的反向翻译关系,对所述目标策略数据进行转换。
第三方面,本申请实施例提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行本申请任意实施例所述的安全策略配置方法。
第四方面,本申请实施例提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行本申请任意实施例所述的安全策略配置方法。
上述申请中的一个实施例具有如下优点或有益效果:在型号异构的网络设备环境中,根据用户操作确定待配置的目标网络设备以及对于目标网络设备的统一配置策略,根据各个目标网络设备的型号信息,将统一配置策略转换为各个目标网络设备所支持的目标策略数据,从而将目标策略数据下发至对应的目标网络设备,以进行安全策略配置。本申请实施例通过在型号异构的网络设备层之上,统一安全策略的下发形式,并在下发过程中结合各设备的型号信息进行策略转换,保障了所下发策略的通用性,从根本上实现了对型号异构环境中网络设备安全策略的统一配置。避免了对设备厂商的额外配置要求,降低对于运维人员的技术要求以及运维人员操作的复杂度,便于运维人员以整体化和标准化思路进行安全策略配置,提高了安全策略配置的效率和准确性。
上述可选方式所具有的其他效果将在下文中结合具体实施例加以说明。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。其中:
图1是根据本申请第一实施例的一种安全策略配置方法的流程图;
图2是根据本申请第二实施例的一种安全策略配置方法的流程图;
图3是根据本申请第二实施例的安全策略配置方式改进的示例图;
图4是根据本申请第三实施例的一种安全策略配置方法的流程图;
图5是根据本申请第四实施例的一种安全策略配置装置的结构示意图;
图6是用来实现本申请实施例的安全策略配置方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
第一实施例
图1是根据本申请第一实施例的一种安全策略配置方法的流程图,本实施例可适用于对待管理的型号异构的网络设备进行统一的安全策略配置的情况,该方法可由一种安全策略配置装置来执行,该装置采用软件和/或硬件的方式实现,优选是配置于电子设备中,例如设备管理平台的客户端或服务器。如图1所示,该方法具体包括如下:
S110、响应于用户的触发操作,从型号异构的网络设备中确定待配置的目标网络设备。
在本申请具体实施例中,网络设备是指连接到网络中的物理实体,可以包括支持网络正常运行的设备,例如交换机、路由器以及防火墙等;还可以包括计算机,例如个人电脑或服务器等。由于网络设备的种类繁多且生产厂商众多,因此针对于一个企业或机构等部署有网络设备的环境中,通常包括大量型号各异的网络设备,构成了型号异构的网络设备环境。其中,型号异构包括但不局限于生产厂商的异构、设备种类的异构以及设备属性的异构等。
本实施例中,安全策略配置是指对网络设备进行网络参数的配置,例如配置哪些流量可以通过网元转发。通过安全策略配置的功能,可以对网元的安全策略进行集中管理。
相应的,在型号异构的网络设备环境中,不同型号间安全策略的配置语言、配置格式以及配置指令差异巨大,运维人员需要针对于每个网络设备的型号,采用与该网络设备的型号所支持的配置方式进行个性化的安全策略配置。
本实施例中,鉴于安全策略配置在网络设备的配置变更中有着重要的地位,它涉及到的风险极高,任何的操作失误可能会导致正常的业务流量损失;同时型号异构的网络设备对于网络运维人员带来了一定的技术要求和操作复杂度,难以以集中的统一视角看待整个网络的安全策略。这导致安全策略变更耗时耗力,极易出现人为操作失误,给业务带来损失。因此本实施例在型号异构的网络设备层之上,提供了安全策略配置平台,用于运维人员无需区分设备型号,仅仅采用统一配置语言,按照统一安全策略意图描述格式,编辑统一配置策略,并下发至各个待配置的网络设备即可。
具体的,用户是指对网络设备进行安全策略配置的工作人员,例如网络运维人员。用户可以通过在安全策略配置平台上的操作,相应的,安全策略配置平台响应于用户的触发操作,从大量被管理的网络设备中,选择至少一个待配置安全策略的网络设备作为目标网络设备。相应的,还可以获取到目标网络设备的基础设备信息,基础设备信息中至少包括设备的型号信息。对于被选择的多个目标网络设备,不同目标网络设备之间型号信息可以是相同或不同的。
其中,为了提高用户选择目标网络设备的效率,可以预先根据各个网络设备的安全策略配置需求进行设备分组,将具有相同配置需求的网络设备划分为同一分组,以便运维人员根据配置意图,以组为单位进行设备的批量选取,还可以根据配置意图缩小设备选取范围,从配置意图相匹配的分组中,通过组内设备列表选择具体的设备进行配置。
S120、接收对目标网络设备的统一配置策略。
在本申请具体实施例中,统一配置策略是指用户在无需区分设备型号信息的基础上,采用统一的编辑方式所编辑的安全策略。相应的,安全策略配置平台响应于用户的编辑操作,接收用户所编辑的对目标网络设备的统一配置策略。
可选的,接收用户采用统一配置语言,按照统一安全策略意图描述格式所编辑的统一配置策略;其中,统一安全策略意图描述格式包括配置内容和配置动作,用于指示目标网络设备通过执行配置动作,对配置内容进行安全策略配置。
本实施例中,统一配置语言是指用户对于多种型号的网络设备配置时所采用的同一种语言。安全策略平台可以提供一种统一配置语言,相应的,所有用户都无需区分设备型号,仅采用该一种统一配置语言进行统一安全策略的编辑。或者安全策略平台还可以提供多种配置语言供用户选择,相应的,用户根据自身的技术能力选择所擅长的一种配置语言作为统一配置语言,进而该用户也可以在无需区分设备型号的基础上,仅采用该一种统一配置语言进行统一配置策略的编辑。其中,统一配置语言包括但不局限于语言类型的统一、语法的统一、指令的统一等。
本实施例中,统一安全策略意图描述格式是指与统一配置语言相对应的安全策略编辑格式。通过分析各种厂商的策略配置格式,可以发现虽然它们在配置语法上存在很大差异,但是最终拆解下来都可以将其策略意图关键部分用条件和动作来表示。因此本实施例将统一安全策略意图描述格式采用配置内容-配置动作的形式来抽象描述所有网络设备的安全策略ACL(Access Control Lists,访问控制列表)。其中,配置内容包括但不局限于协议、原地址、源端口、目的地址、目的端口、TCP标志等。配置动作是指对所配置内容的配置行为,包括但不局限于丢弃、接收、修改优先权、放入队列等。
具体的,基于统一配置语言和统一安全策略意图描述格式,用户可以采用统一配置语言,按照统一安全策略意图描述格式自行编辑统一配置策略;或者,安全策略配置平台为用户提供各种安全策略的配置模板,用户基于配置模板填写配置参数,生成统一配置策略。
示例性的,假设安全策略意图为:“只允许80端口的TCP流量通过”。假设网络设备A的型号对应的配置方式为:access-list 100permit tcp any any eq 80;access-list100deny any;Int interface-name;Ip access-group 100in。假设网络设备B的型号对应的配置方式为:iptables-A input-i interface-ptcp-dport80-j ACCEPT;iptables-Ainput-i interface-j DROP。基于安全配置策略平台所编辑的统一配置策略可以为“port80-accept”,进而极大的减少了用户对于各个网络设备配置的复杂度,避免了上述复杂且个性化的繁琐配置。其中,值得注意的是,上述配置方式仅是示例性说明,并不限定具体的配置方式。
S130、根据目标网络设备的型号信息,对统一配置策略进行转换,以得到目标网络设备所支持的目标策略数据。
在本申请具体实施例中,目标策略数据是指针对于目标网络设备的型号信息,在配置语言、配置格式和配置指令等方面,均能得到目标网络设备支持的个性化的安全策略配置数据,以指示目标网络设备执行目标策略数据进行安全策略的配置。
本实施例中,安全策略配置平台确定了目标网络设备和统一配置策略,用户在触发下发操作之后即可停止所有操作。相应的,安全策略配置平台在真正下发安全策略之前,为了使各个目标网络设备支持安全策略的部署,可以根据各个目标网络设备的型号信息,将统一配置策略转换为各个目标网络设备所支持的目标策略数据。其中,对于具有相同型号信息的不同目标网络设备,转换一次得到该型号信息对应的目标策略数据即可,无需针对同一型号的不同设备进行多次转换。进而通过目标策略数据的自动转换,避免了运维人员手工的个性化配置,降低对于运维人员的技术要求以及运维人员操作的复杂度,便于运维人员以整体化和标准化思路进行安全策略配置。
其中,由于网络设备型号较多,因此可以预先为各型号网络设备构建策略翻译模板,以根据平台中模板的有无来判断平台当前是否支持该型号设备的配置。在判断支持的情况下,根据存在的模板对统一配置策略进行转换。在判断不支持的情况下,可以生成暂不支持提示,以告知用户具体不支持的设备型号,并反馈给后台开发人员,便于开发人员对所不支持的设备型号进行模板开发。
具体的,本实施例可以将由统一配置策略向目标策略数据转换的过程称为正向翻译。在正向翻译的过程中,可以根据目标网络设备的型号信息,确定与型号信息相匹配的目标策略翻译模板;按照目标策略翻译模板中,统一配置语言向目标网络设备所支持的目标配置语言的翻译关系,对统一配置策略进行正向翻译转换。
示例性的,在上述示例中,假设统一配置策略为“port80-accept”,目标网络设备包括网络设备A和网络设备B,且其型号不同。通过统一配置策略的转换,可以得到网络设备A所支持的目标策略数据为:access-list 100permit tcp any any eq 80;access-list100deny any;Int interface-name;Ip access-group 100in。得到网络设备B所支持的目标策略数据为:iptables-A input-i interface-p tcp-dport80-j ACCEPT;iptables-Ainput-i interface-j DROP。
此外,在对统一配置策略进行转换之前,还可以根据统一安全策略意图描述格式,对统一配置策略进行合法性检测。以从根本上保障同一配置策略的准确性,避免统一配置策略的错误导致网络设备的策略配置失败。示例性的,若检测到统一配置策略符合统一安全策略意图描述格式,则确定统一配置策略中的配置内容和配置动作;对配置内容的语法格式进行合法性检测;若检测到语法格式合法,则根据配置内容和配置动作,对统一配置策略进行去重处理。
S140、向目标网络设备下发目标策略数据,以指示目标网络设备根据目标策略数据进行安全策略配置。
在本申请具体实施例中,安全策略配置平台在对统一配置策略进行转换,得到每个目标网络设备所支持的个性化的目标策略数据之后,即可将目标策略数据下发至对应的目标网络设备中。以指示目标网络设备根据目标策略数据通过执行配置动作,对配置内容进行安全策略配置。其中,可以使用CLI(Command-Line Interface,命令行界面)或NetConf(Network Configration Protocol,网络配置协议)与网络设备专有的协议交互。
此外,本实施例还可以在统一配置策略下发的过程中、统一配置策略下发之后或者基于网络设备中已部署的安全策略等时机,通过对目标策略数据的反向翻译,对安全策略的配置进行准确性验证。具体将在后续实施例中进行解释说明。
本实施例的技术方案,在型号异构的网络设备环境中,根据用户操作确定待配置的目标网络设备以及对于目标网络设备的统一配置策略,根据各个目标网络设备的型号信息,将统一配置策略转换为各个目标网络设备所支持的目标策略数据,从而将目标策略数据下发至对应的目标网络设备,以进行安全策略配置。本申请实施例通过在型号异构的网络设备层之上,统一安全策略的下发形式,并在下发过程中结合各设备的型号信息进行策略转换,保障了所下发策略的通用性,从根本上实现了对型号异构环境中网络设备安全策略的统一配置。避免了对设备厂商的额外配置要求,降低对于运维人员的技术要求以及运维人员操作的复杂度,便于运维人员以整体化和标准化思路进行安全策略配置,提高了安全策略配置的效率和准确性。
第二实施例
图2是根据本申请第二实施例的一种安全策略配置方法的流程图,本实施例在上述第一实施例的基础上,进一步对统一配置策略的正向翻译转换过程进行解释说明,能够通过检测平台中是否存在与目标网络设备的型号信息相匹配的目标策略翻译模板,来判断平台当前是否支持该类型号网络设备的配置,从而基于存在的目标策略翻译模板对统一配置策略进行正向翻译转换,得到目标网络设备所支持的目标策略数据。如图2所示,该方法具体包括如下:
S210、响应于用户的触发操作,从型号异构的网络设备中确定待配置的目标网络设备。
S220、接收用户采用统一配置语言,按照统一安全策略意图描述格式所编辑的统一配置策略。
S230、根据统一安全策略意图描述格式,对统一配置策略进行合法性检测。
在本申请具体实施例中,合法性检测至少包括格式、语法和语义的检测,通过合法性检测得到策略格式、语法格式以及语义不重复的统一配置策略,避免统一配置策略的错误导致网络设备的策略配置失败。
可选的,若检测到统一配置策略符合统一安全策略意图描述格式,则确定统一配置策略中的配置内容和配置动作;对配置内容的语法格式进行合法性检测;若检测到语法格式合法,则根据配置内容和配置动作,对统一配置策略进行去重处理。
其中,由于统一安全策略意图描述格式由配置内容和配置动作构成,因此可以对统一配置策略的策略格式进行检测,判断用户所编辑的统一配置策略中是否同时包含了配置内容和配置动作。若检测到统一配置策略的策略格式不合法,则可以向用户进行提示,以指示用户重新编辑正确的统一配置策略。若检测到策略格式合法,则可以通过关键字识别等方式,确定统一配置策略中的配置内容和配置动作,以备后续检测。
其次,对于策略格式合法的统一配置策略,可以对配置内容进行语法格式的合法性检测,例如IP地址是否合法以及端口格式是否合法等。若检测到语法不合法的配置内容,则可以向用户进行提示,以指示用户编辑正确语法格式的配置内容;或者通过对配置内容的识别,自动将其转换为正确语法格式的配置内容。
最终,对于语法格式合法的统一配置策略,还可以根据配置内容和配置动作的语义,检测同一统一配置策略内或不同统一配置策略之间,是否存在重复或包含关系,以便对重复的策略进行去重处理,避免相同策略的重复配置。
S240、根据目标网络设备的型号信息,确定与型号信息相匹配的目标策略翻译模板。
在本申请具体实施例中,策略翻译模板用于指示安全策略配置平台将统一配置策略进行正向翻译,转换为设备型号所支持的策略数据。具体的,目标策略翻译模板中包括统一配置语言向目标网络设备所支持的目标配置语言的翻译关系。可以预先为各型号网络设备构建策略翻译模板,以根据平台中模板的有无来判断平台当前是否支持该型号的配置,并将相匹配的策略翻译模板作为目标策略翻译模板。其中,由于目标网络设备可以包括多个,且多个目标网络设备之间的型号可能存在差异,相应的,所确定的目标策略翻译模板也包括多个。
S250、按照目标策略翻译模板中,统一配置语言向目标网络设备所支持的目标配置语言的翻译关系,对统一配置策略进行转换。
在本申请具体实施例中,目标配置语言是指目标网络设备所支持的配置语言。统一配置语言向目标网络设备所支持的目标配置语言的翻译关系,包括但不局限于格式、指令以及语法等内容的翻译。对于每个型号的目标网络设备,可以按照目标策略翻译模板,对统一配置策略进行正向翻译转换,以得到目标网络设备所支持的目标策略数据。
其中,目标配置语言与统一配置语言可以相同也可以不同。若目标配置语言与统一配置语言相同,则无需进行转换,即可将统一配置策略作为目标网络设备的目标策略数据。若目标配置语言与统一配置语言不相同,则按照目标策略翻译模板中,统一配置语言向目标网络设备所支持的目标配置语言的翻译关系,对统一配置策略进行正向翻译转换,以得到目标网络设备所支持的目标策略数据。
S260、向目标网络设备下发目标策略数据,以指示目标网络设备根据目标策略数据进行安全策略配置。
示例性的,图3为安全策略配置方式改进的示例图。如图3上侧图所示,为对每个网络设备的个性化配置,运维人员必须根据每个网络设备的型号信息,按照每个网络设备的配置流程和配置格式,逐一对每个网络设备进行个性化配置。不仅增加了运维人员的配置难度,而且增加了所有网络设备的配置时长,降低配置效率和准确率。而如图3下侧图所示,为本实施例中对所有网络设备的统一配置,运维人员只需采用统一配置语言,按照统一安全策略意图描述格式编辑统一配置策略,通过统一配置策略的转换,即可自动生成每个网络设备的个性化策略数据,提高了配置效率和准确率。
本实施例的技术方案,在型号异构的网络设备环境中,根据用户操作确定待配置的目标网络设备以及对于目标网络设备的统一配置策略,根据各个目标网络设备的型号信息,通过检测平台中是否存在与目标网络设备的型号信息相匹配的目标策略翻译模板,来判断平台当前是否支持该类型号网络设备的配置,从而基于存在的目标策略翻译模板对统一配置策略进行正向翻译转换,得到目标网络设备所支持的目标策略数据,以将目标策略数据下发至对应的目标网络设备,进行安全策略配置。本申请实施例从根本上实现了对型号异构环境中网络设备安全策略的统一配置,避免了对设备厂商的额外配置要求,降低对于运维人员的技术要求以及运维人员操作的复杂度,便于运维人员以整体化和标准化思路进行安全策略配置,提高了安全策略配置的效率和准确性。
第三实施例
图4是根据本申请第三实施例的一种安全策略配置方法的流程图,本实施例在上述第一实施例的基础上,进一步对网络设备中所配置的安全策略的反向验证过程进行解释说明,能够通过检测平台中是否存在与目标网络设备的型号信息相匹配的目标策略反翻译模板,来判断平台当前是否支持该类型号网络设备的验证,从而基于存在的目标策略反翻译模板对目标策略数据进行反向翻译转换,得到统一安全策略意图描述格式的转换结果,为各网络设备之间转换结果的文本比对提供依据。如图3所示,该方法具体包括如下:
S410、响应于用户的触发操作,从型号异构的网络设备中确定待配置的目标网络设备。
S420、接收对目标网络设备的统一配置策略。
S430、根据目标网络设备的型号信息,对统一配置策略进行转换,以得到目标网络设备所支持的目标策略数据。
S440、向目标网络设备下发目标策略数据,以指示目标网络设备根据目标策略数据进行安全策略配置。
S450、根据目标网络设备的型号信息,确定与型号信息相匹配的目标策略反翻译模板。
在本申请具体实施例中,策略反翻译模板用于指示安全策略配置平台进行目标策略数据的提取,以及对目标策略数据进行反向翻译,即将设备型号所支持的策略数据转换为统一配置策略。
其中,鉴于不同型号的网络设备中配置的数据存在语言、格式、指令等方面的不同,导致无法盲目的直接从网络设备中提取得到目标策略数据,因此目标策略反翻译模板中首先可以包括所对应型号设备中目标策略数据的提取规则,以指示安全策略配置平台进行目标策略数据的提取。其次,目标策略反翻译模板中还包括目标网络设备所支持的目标配置语言向统一配置语言的反向翻译关系。
具体的,可以预先为各型号网络设备构建策略反翻译模板,以根据平台中模板的有无来判断平台当前是否支持该型号的反向验证,并将相匹配的策略反翻译模板作为目标策略反翻译模板。其中,由于目标网络设备可以包括多个,且多个目标网络设备之间的型号可能存在差异,相应的,所确定的目标策略反翻译模板也包括多个。
S460、根据目标策略反翻译模板,提取目标网络设备基于统一配置策略所配置的目标策略数据。
在本申请具体实施例中,按照目标策略反翻译模板中所对应型号设备的目标策略数据提取规则,从目标网络设备的全部配置数据中,提取目标网络设备基于统一配置策略所配置的目标策略数据。其中,同一配置策略与目标策略数据之间,可以通过一致的唯一标识进行关联,以备指定目标策略数据的提取。
S470、按照目标策略反翻译模板中,目标网络设备所支持的目标配置语言向统一配置语言的反向翻译关系,对目标策略数据进行转换。
在本申请具体实施例中,目标配置语言是指目标网络设备所支持的配置语言。目标网络设备所支持的目标配置语言向统一配置语言的反向翻译关系,包括但不局限于格式、指令以及语法等内容的翻译。对于每个型号的目标网络设备,可以按照目标策略翻译模板,对目标策略数据进行反向翻译转换,以得到统一安全策略意图描述格式的转换结果。
S480、将不同目标网络设备的转换结果进行文本比对,以根据文本比对结果定位并排查配置失败设备。
在本申请具体实施例中,鉴于不同型号间安全策略的配置语言、配置格式以及配置指令差异巨大,导致不同目标网络设备中所配置的策略数据无法进行文本的比对,进而无法验证统一配置策略配置的准确性。因此,通过将不同型号的目标网络设备中的目标策略数据,反向翻译转换为统一安全策略意图描述格式的转换结果,为各网络设备之间转换结果的文本比对提供依据。
具体的,在正向翻译的过程中,目标策略数据是基于统一配置策略进行转换得到的;在反向翻译的过程中,转换结果是基于目标策略数据进行转换得到的。因此在数据转换、下发、配置等环节均无误的情况下,转换结果即为统一安全策略意图描述格式的统一配置策略,即不同目标网络设备的转换结果在文本形式上应该是完全相同的。因此将不同目标网络设备的转换结果进行文本比对,根据文本比对结果,验证各网络设备的策略数据是否一致。从而将验证不一致的目标网络设备确定为配置失败设备,并向用户生成所配置失败设备提示,实现对配置失败设备的定位,以及配置失败原因的排查,以便用户根据配置失败原因重新进行配置。
值得注意的是,本实施例中的反向翻译验证过程,至少可以在统一配置策略下发的过程中、统一配置策略下发之后或者基于网络设备中已部署的安全策略等时机,对安全策略的配置进行准确性验证。
示例性的,统一配置策略下发的过程中,在目标策略数据下发至对应的目标网络设备之前,或者,在目标策略数据下发至对应的目标网络设备之后,且在各个目标网络设备中所配置的策略生效之前,可以对不同目标策略数据进行反向翻译和比对,以确保目标策略数据翻译的准确性。
再例如,在统一配置策略下发至各个目标网络设备之后,且各个目标网络设备中所配置的策略立即生效。通过确定统一配置策略所下发至的目标网络设备,提取目标网络设备中的目标策略数据并转换,实现对本次统一配置策略的配置情况进行事后验证。
再例如,还可以不区分安全策略的配置时机,直接基于网络设备中已配置的目标策略数据并转换,实现对网络是被的后期巡检。
本实施例的技术方案,通过对目标策略数据的反向翻译,不仅为目标策略数据的文本比对提供依据,而且依据文本比对结果,可以对配置失败设备进行快速定位和原因排查,以便于用户对配置失败设备进行重新配置。避免运维人员对各类型设备的逐一排查,降低对于运维人员的技术要求以及运维人员操作的复杂度。
第四实施例
图5是根据本申请第四实施例的一种安全策略配置装置的结构示意图,本实施例可适用于对待管理的型号异构的网络设备进行统一的安全策略配置的情况,该装置可实现本申请任意实施例所述的安全策略配置方法。
该装置500具体包括如下:
配置设备确定模块510,用于响应于用户的触发操作,从型号异构的网络设备中确定待配置的目标网络设备;
统一策略确定模块520,用于接收对所述目标网络设备的统一配置策略;
统一策略转换模块530,用于根据所述目标网络设备的型号信息,对所述统一配置策略进行转换,以得到所述目标网络设备所支持的目标策略数据;
策略下发模块540,用于向所述目标网络设备下发所述目标策略数据,以指示所述目标网络设备根据所述目标策略数据进行安全策略配置。
可选的,所述统一策略确定模块520具体用于:
接收用户采用统一配置语言,按照统一安全策略意图描述格式所编辑的统一配置策略;其中,所述统一安全策略意图描述格式包括配置内容和配置动作,用于指示所述目标网络设备通过执行所述配置动作,对所述配置内容进行安全策略配置。
可选的,所述统一策略转换模块530具体用于:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略翻译模板;
按照所述目标策略翻译模板中,统一配置语言向所述目标网络设备所支持的目标配置语言的翻译关系,对所述统一配置策略进行转换。
进一步的,所述装置500还包括统一策略检测模块550,具体用于:
在所述根据所述目标网络设备的型号信息,对所述统一配置策略进行转换之前,根据统一安全策略意图描述格式,对所述统一配置策略进行合法性检测。
可选的,所述统一策略检测模块550具体用于:
若检测到所述统一配置策略符合所述统一安全策略意图描述格式,则确定所述统一配置策略中的配置内容和配置动作;
对所述配置内容的语法格式进行合法性检测;
若检测到语法格式合法,则根据所述配置内容和所述配置动作,对所述统一配置策略进行去重处理。
进一步的,所述装置500还包括策略配置验证模块560,具体用于:
在所述向所述目标网络设备下发所述目标策略数据之后,基于所述统一配置策略,验证安全策略配置的准确性。
可选的,所述策略配置验证模块560具体用于:
根据所述统一配置策略所配置的目标网络设备的型号信息,对所述目标网络设备所配置的目标策略数据进行转换,以得到统一安全策略意图描述格式的转换结果;
将不同目标网络设备的转换结果进行文本比对,以根据文本比对结果定位并排查配置失败设备。
可选的,所述策略配置验证模块560具体用于:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略反翻译模板;
根据所述目标策略反翻译模板,提取所述目标网络设备基于所述统一配置策略所配置的目标策略数据;
按照所述目标策略反翻译模板中,目标网络设备所支持的目标配置语言向统一配置语言的反向翻译关系,对所述目标策略数据进行转换。
本实施例的技术方案,通过各个功能模块之间的相互配合,实现了目标网络设备的选取、统一配置策略的确定和检测、统一配置策略的正向翻译、个性化目标策略数据的确定、安全策略的下发部署、目标策略数据的反向翻译、反向翻译结果的文本比对以及策略配置的验证等功能。本申请实施例通过在型号异构的网络设备层之上,统一安全策略的下发形式,并在下发过程中结合各设备的型号信息进行策略转换,保障了所下发策略的通用性,从根本上实现了对型号异构环境中网络设备安全策略的统一配置。避免了对设备厂商的额外配置要求,降低对于运维人员的技术要求以及运维人员操作的复杂度,便于运维人员以整体化和标准化思路进行安全策略配置,提高了安全策略配置的效率和准确性。
第五实施例
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图6所示,是根据本申请实施例的安全策略配置方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图6所示,该电子设备包括:一个或多个处理器601、存储器602,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置,诸如,耦合至接口的显示设备,其上显示图形用户界面(Graphical User Interface,GUI)的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作,例如,作为服务器阵列、一组刀片式服务器、或者多处理器***。图6中以一个处理器601为例。
存储器602即为本申请所提供的非瞬时计算机可读存储介质。其中,所述存储器存储有可由至少一个处理器执行的指令,以使所述至少一个处理器执行本申请所提供的安全策略配置方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的安全策略配置方法。
存储器602作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的安全策略配置方法对应的程序指令/模块,例如,附图5所示的配置设备确定模块510、统一策略确定模块520、统一策略转换模块530、策略下发模块540、统一策略检测模块550和策略配置验证模块560。处理器601通过运行存储在存储器602中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的安全策略配置方法。
存储器602可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储根据安全策略配置方法的电子设备的使用所创建的数据等。此外,存储器602可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器602可选包括相对于处理器601远程设置的存储器,这些远程存储器可以通过网络连接至安全策略配置方法的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
安全策略配置方法的电子设备还可以包括:输入装置603和输出装置604。处理器601、存储器602、输入装置603和输出装置604可以通过总线或者其他方式连接,图6中以通过总线连接为例。
输入装置603可接收输入的数字或字符信息,以及产生与安全策略配置方法的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置604可以包括显示设备、辅助照明装置和触觉反馈装置等,其中,辅助照明装置例如发光二极管(LightEmitting Diode,LED);触觉反馈装置例如,振动电机等。该显示设备可以包括但不限于,液晶显示器(Liquid Crystal Display,LCD)、LED显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、专用集成电路(Application Specific Integrated Circuit,ASIC)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
这些计算程序,也称作程序、软件、软件应用、或者代码,包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置,例如,磁盘、光盘、存储器、可编程逻辑装置(Programmable Logic Device,PLD),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的***和技术,该计算机具有:用于向用户显示信息的显示装置,例如,阴极射线管(Cathode Ray Tube,CRT)或者LCD监视器;以及键盘和指向装置,例如,鼠标或者轨迹球,用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈,例如,视觉反馈、听觉反馈、或者触觉反馈;并且可以用任何形式,包括声输入、语音输入或者、触觉输入,来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***,例如,数据服务器,或者实施在包括中间件部件的计算***,例如,应用服务器、或者实施在包括前端部件的计算***,例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互,或者实施在包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信,例如,通信网络,来将***的部件相互连接。通信网络的示例包括:局域网(Local Area Network,LAN)、广域网(WideArea Network,WAN)、互联网和区块链网络。
计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
根据本申请实施例的技术方案,通过在型号异构的网络设备层之上,统一安全策略的下发形式,并在下发过程中结合各设备的型号信息进行策略转换,保障了所下发策略的通用性,从根本上实现了对型号异构环境中网络设备安全策略的统一配置。避免了对设备厂商的额外配置要求,降低对于运维人员的技术要求以及运维人员操作的复杂度,便于运维人员以整体化和标准化思路进行安全策略配置,提高了安全策略配置的效率和准确性。
另外,通过在型号异构的网络设备层之上,统一安全策略的下发形式,以统一的安全策略意图描述格式进行安全策略的下发。因此运维人员只需掌握一种语言以及一种规则对型号异构的网络设备进行安全策略配置,降低对于运维人员的技术要求以及运维人员操作的复杂度,便于运维人员以整体化和标准化思路进行安全策略配置。
另外,通过检测平台中是否存在与目标网络设备的型号信息相匹配的目标策略翻译模板,来判断平台当前是否支持该类型号网络设备的配置,从而基于存在的目标策略翻译模板对统一配置策略进行正向翻译转换,得到目标网络设备所支持的目标策略数据。避免运维人员对各类型设备的个性化配置操作,降低对于运维人员的技术要求以及运维人员操作的复杂度。
另外,通过对统一配置策略的合法性检测,从根本上保障了策略的准确性,有利于向各型号网络设备所支持的数据格式的准确转换。
另外,通过从格式、语法以及语义等方面对统一配置策略进行合法性检测,从根本上保障了策略的准确性。
另外,在网络设备中配置有安全策略的情况下,可以对网络设备中已配置的安全策略进行准确性验证,有利于对网络设备的后期巡检。
另外,通过将不同型号的目标网络设备中的目标策略数据,反向翻译转换为统一安全策略意图描述格式的转换结果,为各网络设备之间转换结果的文本比对提供依据,以便根据文本比对结果,验证各网络设备的策略数据是否一致,从而有利于定位到配置失败设备,并排查配置失败原因以进行重新配置。
另外,由于统一配置语言与各网络设备所支持的目标配置语言之间的正向翻译与反向翻译过程可能存在差异,因此在后期巡检验证时,同样可以通过检测平台中是否存在与目标网络设备的型号信息相匹配的目标策略反翻译模板,来判断平台当前是否支持该类型号网络设备的验证,从而基于存在的目标策略反翻译模板对目标策略数据进行反向翻译转换,得到统一安全策略意图描述格式的转换结果。避免运维人员对各类型设备的逐一排查,降低对于运维人员的技术要求以及运维人员操作的复杂度。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。
Claims (18)
1.一种安全策略配置方法,其特征在于,包括:
响应于用户的触发操作,从型号异构的网络设备中确定待配置的目标网络设备;
接收对所述目标网络设备的统一配置策略;
根据所述目标网络设备的型号信息,对所述统一配置策略进行转换,以得到所述目标网络设备所支持的目标策略数据;
向所述目标网络设备下发所述目标策略数据,以指示所述目标网络设备根据所述目标策略数据进行安全策略配置。
2.根据权利要求1所述的方法,其特征在于,所述接收对所述目标网络设备的统一配置策略,包括:
接收用户采用统一配置语言,按照统一安全策略意图描述格式所编辑的统一配置策略;其中,所述统一安全策略意图描述格式包括配置内容和配置动作,用于指示所述目标网络设备通过执行所述配置动作,对所述配置内容进行安全策略配置。
3.根据权利要求1所述的方法,其特征在于,所述根据所述目标网络设备的型号信息,对所述统一配置策略进行转换,包括:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略翻译模板;
按照所述目标策略翻译模板中,统一配置语言向所述目标网络设备所支持的目标配置语言的翻译关系,对所述统一配置策略进行转换。
4.根据权利要求1所述的方法,其特征在于,在所述根据所述目标网络设备的型号信息,对所述统一配置策略进行转换之前,还包括:
根据统一安全策略意图描述格式,对所述统一配置策略进行合法性检测。
5.根据权利要求4所述的方法,其特征在于,所述根据统一安全策略意图描述格式,对所述统一配置策略进行合法性检测,包括:
若检测到所述统一配置策略符合所述统一安全策略意图描述格式,则确定所述统一配置策略中的配置内容和配置动作;
对所述配置内容的语法格式进行合法性检测;
若检测到语法格式合法,则根据所述配置内容和所述配置动作,对所述统一配置策略进行去重处理。
6.根据权利要求1所述的方法,其特征在于,在所述向所述目标网络设备下发所述目标策略数据之后,还包括:
基于所述统一配置策略,验证安全策略配置的准确性。
7.根据权利要求6所述的方法,其特征在于,所述基于所述统一配置策略,验证安全策略配置的准确性,包括:
根据所述统一配置策略所配置的目标网络设备的型号信息,对所述目标网络设备所配置的目标策略数据进行转换,以得到统一安全策略意图描述格式的转换结果;
将不同目标网络设备的转换结果进行文本比对,以根据文本比对结果定位并排查配置失败设备。
8.根据权利要求7所述的方法,其特征在于,所述根据所述统一配置策略所配置的目标网络设备的型号信息,对所述目标网络设备所配置的目标策略数据进行转换,包括:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略反翻译模板;
根据所述目标策略反翻译模板,提取所述目标网络设备基于所述统一配置策略所配置的目标策略数据;
按照所述目标策略反翻译模板中,目标网络设备所支持的目标配置语言向统一配置语言的反向翻译关系,对所述目标策略数据进行转换。
9.一种安全策略配置装置,其特征在于,包括:
配置设备确定模块,用于响应于用户的触发操作,从型号异构的网络设备中确定待配置的目标网络设备;
统一策略确定模块,用于接收对所述目标网络设备的统一配置策略;
统一策略转换模块,用于根据所述目标网络设备的型号信息,对所述统一配置策略进行转换,以得到所述目标网络设备所支持的目标策略数据;
策略下发模块,用于向所述目标网络设备下发所述目标策略数据,以指示所述目标网络设备根据所述目标策略数据进行安全策略配置。
10.根据权利要求9所述的装置,其特征在于,所述统一策略确定模块具体用于:
接收用户采用统一配置语言,按照统一安全策略意图描述格式所编辑的统一配置策略;其中,所述统一安全策略意图描述格式包括配置内容和配置动作,用于指示所述目标网络设备通过执行所述配置动作,对所述配置内容进行安全策略配置。
11.根据权利要求9所述的装置,其特征在于,所述统一策略转换模块具体用于:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略翻译模板;
按照所述目标策略翻译模板中,统一配置语言向所述目标网络设备所支持的目标配置语言的翻译关系,对所述统一配置策略进行转换。
12.根据权利要求9所述的装置,其特征在于,所述装置还包括统一策略检测模块,具体用于:
在所述根据所述目标网络设备的型号信息,对所述统一配置策略进行转换之前,根据统一安全策略意图描述格式,对所述统一配置策略进行合法性检测。
13.根据权利要求12所述的装置,其特征在于,所述统一策略检测模块具体用于:
若检测到所述统一配置策略符合所述统一安全策略意图描述格式,则确定所述统一配置策略中的配置内容和配置动作;
对所述配置内容的语法格式进行合法性检测;
若检测到语法格式合法,则根据所述配置内容和所述配置动作,对所述统一配置策略进行去重处理。
14.根据权利要求9所述的装置,其特征在于,所述装置还包括策略配置验证模块,具体用于:
在所述向所述目标网络设备下发所述目标策略数据之后,基于所述统一配置策略,验证安全策略配置的准确性。
15.根据权利要求14所述的装置,其特征在于,所述策略配置验证模块具体用于:
根据所述统一配置策略所配置的目标网络设备的型号信息,对所述目标网络设备所配置的目标策略数据进行转换,以得到统一安全策略意图描述格式的转换结果;
将不同目标网络设备的转换结果进行文本比对,以根据文本比对结果定位并排查配置失败设备。
16.根据权利要求15所述的装置,其特征在于,所述策略配置验证模块具体用于:
根据所述目标网络设备的型号信息,确定与所述型号信息相匹配的目标策略反翻译模板;
根据所述目标策略反翻译模板,提取所述目标网络设备基于所述统一配置策略所配置的目标策略数据;
按照所述目标策略反翻译模板中,目标网络设备所支持的目标配置语言向统一配置语言的反向翻译关系,对所述目标策略数据进行转换。
17.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-8中任一项所述的安全策略配置方法。
18.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1-8中任一项所述的安全策略配置方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010102605.7A CN113285906A (zh) | 2020-02-19 | 2020-02-19 | 安全策略配置方法、装置、设备和存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010102605.7A CN113285906A (zh) | 2020-02-19 | 2020-02-19 | 安全策略配置方法、装置、设备和存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113285906A true CN113285906A (zh) | 2021-08-20 |
Family
ID=77275104
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010102605.7A Pending CN113285906A (zh) | 2020-02-19 | 2020-02-19 | 安全策略配置方法、装置、设备和存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113285906A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113726813A (zh) * | 2021-09-09 | 2021-11-30 | 海尔数字科技(青岛)有限公司 | 网络安全配置方法、设备及存储介质 |
| CN113904939A (zh) * | 2021-10-27 | 2022-01-07 | 中国联合网络通信集团有限公司 | 一种管理目标终端的方法、装置及存储介质 |
| CN115037587A (zh) * | 2022-06-23 | 2022-09-09 | 未鲲(上海)科技服务有限公司 | 网络设备配置自动发放方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988478A (zh) * | 2006-12-14 | 2007-06-27 | 上海交通大学 | 基于可扩展的标记语言的统一策略管理*** |
| US20170187750A1 (en) * | 2015-12-29 | 2017-06-29 | Fortinet, Inc. | Security configuration file conversion with security policy optimization |
| CN107872432A (zh) * | 2016-09-26 | 2018-04-03 | 中国电信股份有限公司 | 异构云平台安全策略统一管理方法、装置和*** |
| CN110348201A (zh) * | 2019-05-22 | 2019-10-18 | 中国科学院信息工程研究所 | 一种设备安全策略的配置方法及装置 |
-
2020
- 2020-02-19 CN CN202010102605.7A patent/CN113285906A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1988478A (zh) * | 2006-12-14 | 2007-06-27 | 上海交通大学 | 基于可扩展的标记语言的统一策略管理*** |
| US20170187750A1 (en) * | 2015-12-29 | 2017-06-29 | Fortinet, Inc. | Security configuration file conversion with security policy optimization |
| CN107872432A (zh) * | 2016-09-26 | 2018-04-03 | 中国电信股份有限公司 | 异构云平台安全策略统一管理方法、装置和*** |
| CN110348201A (zh) * | 2019-05-22 | 2019-10-18 | 中国科学院信息工程研究所 | 一种设备安全策略的配置方法及装置 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113726813A (zh) * | 2021-09-09 | 2021-11-30 | 海尔数字科技(青岛)有限公司 | 网络安全配置方法、设备及存储介质 |
| CN113726813B (zh) * | 2021-09-09 | 2023-08-15 | 海尔数字科技(青岛)有限公司 | 网络安全配置方法、设备及存储介质 |
| CN113904939A (zh) * | 2021-10-27 | 2022-01-07 | 中国联合网络通信集团有限公司 | 一种管理目标终端的方法、装置及存储介质 |
| CN115037587A (zh) * | 2022-06-23 | 2022-09-09 | 未鲲(上海)科技服务有限公司 | 网络设备配置自动发放方法、装置、设备及存储介质 |
| CN115037587B (zh) * | 2022-06-23 | 2024-03-22 | 佛山领客易选科技服务有限公司 | 网络设备配置自动发放方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113285906A (zh) | 安全策略配置方法、装置、设备和存储介质 | |
| US20190020544A1 (en) | Graphical user interface for customizing graphical representations based on registry data | |
| EP3544331B1 (en) | System for simultaneous viewing and editing of multiple network device configurations | |
| US20210405111A1 (en) | Test method and electronic device | |
| CN110799942A (zh) | 检测和管理设备和服务配置数据中的反复出现的模式 | |
| US20230060053A1 (en) | Method and apparatus of deploying a cluster, and storage medium | |
| US11823701B2 (en) | Network operation based on domain specific language | |
| US11533223B2 (en) | Systems and methods for network management | |
| CN111142878A (zh) | Sdn运维方法、装置、设备以及可读存储介质 | |
| CN115185675A (zh) | 服务器集群的部署方法、***、计算设备及可读存储介质 | |
| US10673710B2 (en) | Service activation system | |
| US20190317845A1 (en) | Device based automated tool integration for lifecycle management platform | |
| CN113127009A (zh) | 大数据管理平台的自动化部署方法和装置 | |
| US10841171B2 (en) | Method and system for virtual network service activation | |
| CN112202593B (zh) | 数据获取方法、装置、网管***及计算机存储介质 | |
| CN111708940B (zh) | 问题处理方法、装置、电子设备和存储介质 | |
| US8478580B1 (en) | Model driven command language translator | |
| CN112532528A (zh) | 用于规则引擎的消息路由方法和装置 | |
| CN112527635B (zh) | 一种故障注入方法、装置、电子设备以及存储介质 | |
| CN116418664A (zh) | 自动化网络设备模型创建的方法及设备、***及存储介质 | |
| CN113703782A (zh) | 一种副本集自动部署的方法、装置、电子设备及存储介质 | |
| CN111209236A (zh) | 一种多级级联expander的通信方法 | |
| CN113556252B (zh) | 一种网络设备基线配置检查与修复的方法和*** | |
| US20240223444A1 (en) | System and method for configuring a network for onboarding of a plurality of devices | |
| CN115622752B (zh) | 会话管理方法、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210820 |