CN115695045A - 安全组动态配置方法、装置及计算机可读存储介质 - Google Patents
安全组动态配置方法、装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN115695045A CN115695045A CN202211603730.1A CN202211603730A CN115695045A CN 115695045 A CN115695045 A CN 115695045A CN 202211603730 A CN202211603730 A CN 202211603730A CN 115695045 A CN115695045 A CN 115695045A
- Authority
- CN
- China
- Prior art keywords
- address
- port
- security
- state
- access request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种安全组动态配置方法、装置及计算机可读存储介质,该安全组动态配置方法包括:接收对于目标服务的访问请求,所述访问请求包括请求方的IP地址以及所述目标服务的协议端口;根据预设策略、所述IP地址以及所述协议端口,获得所述访问请求的授权状态;根据所述IP地址、所述协议端口以及所述授权状态,更新配置所述目标服务的安全组。本申请的安全组动态配置方法,通过预设策略自动验证访问请求的授权状态,并及时去更新相应安全组中的配置,可以最大化发挥安全组网络安全隔离的功能。在面对同一发送方动态改变IP地址时,通过授权状态的验证以及安全组的配置更新,还可以避免访问受限,以及可降低访问受限后的配置耗时。
Description
技术领域
本申请涉及云服务安全技术领域,具体涉及一种安全组动态配置方法、装置及计算机可读存储介质。
背景技术
在现有的云服务平台中,安全组中的访问策略一般通过人工来进行部署,在面对连接的外部设备或实例存在安全问题时,通常需要人工去修改安全组中相应的配置,从而实现对该外部设备或实例进行网络隔离的功能。因此,目前现有的安全组配置方式无法及时发挥其最大的网络隔离功能。并且,人工配置安全组的耗时一般较长。
发明内容
鉴于此,本申请提供一种安全组动态配置方法、装置及计算机可读存储介质,用于最大化发挥安全组网络安全隔离的功能,以及可降低访问受限后的配置耗时。
本申请第一方面提供一种安全组动态配置方法,包括:
接收对于目标服务的访问请求,所述访问请求包括请求方的IP地址以及所述目标服务的协议端口;
根据预设策略、所述IP地址以及所述协议端口,获得所述访问请求的授权状态;
根据所述IP地址、所述协议端口以及所述授权状态,更新配置所述目标服务的安全组。
根据本申请一种可能的实施方式,所述根据预设策略、所述IP地址以及所述协议端口,获得所述访问请求的授权状态,包括:
获取所述IP地址的安全种类,以及所述协议端口的安全种类;
根据所述IP地址的安全种类、所述协议端口的安全种类以及预设策略,确定所述访问请求为允许状态、需认证状态,或拒绝状态;
在确定为所述需认证状态时,利用所述IP地址进行预设验证序列算法的验证,在验证通过后,确定所述访问请求最终为允许状态;
在验证未通过时,确定所述访问请求最终为拒绝状态。
根据本申请一种可能的实施方式,所述利用所述IP地址进行预设验证序列算法的验证,包括:
利用所述IP地址进行预设序列算法的运算,获得第一序列;
从所述访问请求中提取第二序列;
判断所述第一序列是否与所述第二序列一致;
在所述第一序列与所述第二序列一致时,验证通过;
在所述第一序列与所述第二序列不一致时,验证未通过。
根据本申请一种可能的实施方式,所述IP地址的安全种类包括安全IP、挑战IP以及危险IP;
所述根据预设策略、所述IP地址以及所述协议端口,获得所述访问请求的授权状态,还包括:
在确定所述访问请求为所述拒绝状态且不为所述危险IP时,判断所述协议端口是否与预设触发端口一致;
在确定一致时,利用所述IP地址进行预设触发序列算法的验证;
在验证通过后,执行所述利用所述IP地址进行预设验证序列算法的验证的步骤及后续步骤。
根据本申请一种可能的实施方式,所述IP地址的安全种类包括安全IP、挑战IP以及危险IP;所述协议端口的安全种类包括安全端口、挑战端口以及危险端口;
所述根据所述IP地址的安全种类、所述协议端口的安全种类以及预设策略,确定所述访问请求为允许状态、需认证状态,或拒绝状态,包括:
对所述协议端口及所述IP地址进行安全种类的识别;
确定为所述安全端口且为所述安全IP时,确定为所述允许状态;
确定为所述安全端口且为所述挑战IP时,确定为所述允许状态;
确定为所述安全端口且为所述危险IP时,确定为所述拒绝状态;
确定为所述挑战端口且为所述安全IP时,确定为所述允许状态;
确定为所述挑战端口且为所述挑战IP时,确定为所述需认证状态;
确定为所述挑战端口且为所述危险IP时,确定为所述拒绝状态;
确定为所述危险端口且为所述安全IP时,确定为所述需认证状态;
确定为所述危险端口且为所述挑战IP时,确定为所述需认证状态;
确定为所述危险端口且为所述危险IP时,确定为所述拒绝状态。
根据本申请一种可能的实施方式,所述方法还包括:
响应于预设条件的触发,获取所述目标服务当前的协议端口,并根据所述当前的协议端口获取新的预设策略。
根据本申请一种可能的实施方式,所述预设条件包括动态调整所述目标服务的IP地址和/或所述协议端口;或,
重启所述目标服务。
根据本申请一种可能的实施方式,所述方法还包括:
监测到存在安全问题时,配置所述安全组禁止对外发送请求。
本申请第二方面提供一种安全组动态配置装置,包括:
访问请求接收模块,用于接收对于目标服务的访问请求,所述访问请求包括请求方的IP地址以及所述目标服务的协议端口;
授权状态获得模块,用于根据预设策略、所述IP地址以及所述协议端口,获得所述访问请求的授权状态;
安全组更新模块,用于根据所述IP地址、所述协议端口以及所述授权状态,更新配置所述目标服务的安全组。
本方案第三方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,当所述计算机程序被处理器执行时,使所述处理器执行所述的安全组动态配置方法。
本申请提供的技术方案带来的有益效果至少包括:
在本申请一个或多个实施例中,通过预设策略自动验证访问请求的授权状态,并及时去更新相应安全组中的配置,可以最大化发挥安全组网络安全隔离的功能。在面对同一发送方动态改变IP地址时,通过授权状态的验证以及安全组的配置更新,还可以避免访问受限,以及可降低访问受限后的配置耗时。
附图说明
图1是本申请实施例提供的一种云服务平台的结构示意图。
图2是本申请实施例提供的一种云服务平台的结构示意图。
图3是本申请实施例提供的一种安全组动态配置方法的流程示意图。
图4是本申请实施例提供的一种授权状态获取方式的流程示意图。
图5是本申请实施例提供的一种判断授权状态的流程示意图。
图6是本申请实施例提供的一种IP地址进行预设验证序列算法验证的流程示意图。
图7是本申请实施例提供的一种授权状态获取方式的流程示意图。
图8是本申请实施例提供的一种安全组动态配置方法的流程示意图。
图9是本申请实施例提供的一种安全组动态配置装置的结构示意图。
具体实施方式
需要说明的是,本申请实施例中“至少一个”是指一个或者多个,“多个”是指两个或多于两个。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。本申请的说明书和权利要求书及附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不是用于描述特定的顺序或先后次序。
另外需要说明的是,本申请实施例中公开的方法或流程图所示出的方法,包括用于实现方法的一个或多个步骤,在不脱离权利要求的范围的情况下,多个步骤的执行顺序可以彼此互换,其中某些步骤也可以被删除。
本申请实施例中提及的安全组,可以为一种虚拟防火墙,可以对进出云服务平台的流量进行数据包过滤,是云服务平台中一种重要的网络安全隔离手段。现有的安全组通过用户针对实例进行提前的配置,在实例与云服务平台连接时,允许或禁止该实例的出流量及入流量。
请参考图1,图1示例性示出了本申请实施例提供的一种云服务平台的结构示意图。如图1所示,该云服务平台100包括安全组110,多个云服务模块120,其中,该云服务平台100还通过网络与外部实例101连接,云服务平台100与外部实例101之间可通过请求访问,即外部实例101通过请求可访问云服务平台100的云服务模块120,并建立数据链路,进行数据流量的互相传输。
其中,云服务平台100中安全组110的作用主要用于限制外部实例101的请求以及数据链路的建立和数据传输,即安全组110中可以记载有多个外部实例101的访问策略,如可以记载有外部实例101相应的IP地址,允许进行访问的云服务模块120的IP地址,允许进行访问的协议端口,拒绝进行访问的云服务模块120的IP地址,以及拒绝进行访问的协议端口等。通常,上述安全组110中对于外部实例101的访问策略由用户手动进行配置,即当外部实例101存在安全问题时,需要用户设置安全组110与外部实例101进行网络隔离,但是安全组110中的访问策略数据量较大,手动设置时需要先从所有数据中找到相应实例的访问策略,在再进行相应的配置,耗时较长难以降低风险。同时,在外部实例101的IP地址动态更新后,用户不及时对安全组110进行相应的配置,可能会导致该外部实例101无法正常进行云服务模块120的访问。这里的外部实例101可以包括服务器、计算机设备以及程序等,这里不做限定。
请参考图2,图2示例性示出本申请实施例提供的一种云服务平台的结构示意图。如图2所示,该云服务平台200包括安全组210,多个云服务模块220,其中,还包括与该安全组210连接的安全组动态配置装置230。该安全组210在接收到外部实例201发送的访问请求后,可以将该访问请求传输至安全组动态配置装置230,该安全组动态配置装置230将实时判断该访问请求的授权状态,并将该授权状态实时更新至安全组210,做到安全组的动态配置,从而降低配置时间较长带来的风险问题,以最大化发挥安全组网络安全隔离的功能。以及在外部实例201的IP变动时可自动进行安全组的配置,避免访问受限的问题。
接下来,结合图2介绍本申请实施例提供的一种安全组动态配置方法。具体参考图3,为本申请实施例提供的一种安全组动态配置方法的流程示意图,该安全组动态配置方法可应用于上述的安全组动态配置装置230,其中,该安全组动态配置装置230可以是云服务平台200中运行的计算机软件,或者是云服务平台200的主机上的硬件模块,这里不做限定。具体包括以下步骤:
步骤S301:接收对于目标服务的访问请求,访问请求包括请求方的IP地址以及目标服务的协议端口。
本申请实施例中,云服务平台200在接收到外部实例201对于目标服务的访问请求后,可以将该访问请求传输至安全组210。而安全组210在接收到访问请求后,可以将该访问请求下发至安全组动态配置装置230。
安全组动态配置装置230在接收到对于目标服务的访问请求后,将利用预设策略对访问请求的授权状态进行验证,主要验证访问请求中发送方即对应的外部实例201的IP地址,以及访问请求中的协议端口。访问请求主要由源IP地址、主机IP地址以及协议端口号组成,其中,该源IP地址即发送该访问请求的外部实例201的IP地址,主机IP地址即云服务平台200的IP地址,或者其云服务模块220的IP地址。
步骤S302:根据预设策略、IP地址以及协议端口,获得访问请求的授权状态。
本申请实施例中,安全组动态配置装置230在接收到访问请求后,可以提取访问请求中外部实例201的IP地址,以及访问云服务模块220的协议端口。在获得IP地址以及协议端口后,可根据IP地址的安全种类以及协议端口的安全种类,进行预设策略的验证,从而获得访问请求的授权状态。
其中,该授权状态可以包括允许状态,即允许该访问请求,或者拒绝状态,即拒绝该访问请求,或者需认证状态,即需要进一步自动认证该访问请求,最终确定允许或拒绝。而IP地址的安全种类可以包括安全IP、挑战IP以及危险IP,例如,可以定义与该云服务模块220在同一网段的IP地址为安全IP,与云服务模块220不再同一网段的IP地址为挑战IP。或者,可以按照地域去定义IP地址的安全种类,例如在局域网外的国内的IP地址为挑战IP,国外IP地址为危险IP。还可以按照防火墙中的地址列表去定义,例如云服务模块220常访问的IP地址为安全地址,地址列表中异常的IP地址为危险IP。
同理,该协议端口的安全种类也可以分为安全端口、挑战端口以及危险端口。例如,可以定义一些高风险服务的协议端口为危险端口,例如共享服务的TCP445端口、远程桌面TCP3389端口等。定义常规服务的协议端口为安全端口,例如HTTPS TCP 443端口、HTTPTCP 80端口等。定义安全端口及危险端口以外的端口为挑战端口。
步骤S303:根据IP地址、协议端口以及授权状态,更新配置目标服务的安全组。
本申请实施例中,在获得当前访问请求的授权状态后,安全组动态配置装置230可以利用该IP地址以及协议端口去更新该目标服务的安全组配置,即更新该相应的外部实例201在当前IP地址下通过该协议端口去访问目标服务的细节权限,以动态更新安全组的网络隔离功能。
即本申请实施例中的安全组动态配置装置230,通过预设策略自动验证访问请求的授权状态,并及时去更新相应安全组中的配置,以最大化发挥安全组网络安全隔离的功能;在面对外部实例201动态改变IP地址时,通过授权状态的验证以及安全组的配置更新,还可以避免访问受限,以及可降低访问受限后的配置耗时。
示例性地,如图4所示,为本申请实施例提供的一种授权状态获取方式的流程示意图,具体包括以下步骤:
步骤S401:获取IP地址的安全种类,以及协议端口的安全种类。
本申请实施例中,安全组动态配置装置230从访问请求中提取出外部实例201的IP地址后,可以去获取该IP地址的安全种类,其中,该安全种类例如可以分为三类,包括安全IP、挑战IP以及危险IP,该安全IP可以是国内受信任的白名单IP地址,如存储在防火墙中的白名单地址,或者是云服务平台200经常访问的IP地址等,而危险IP地址可以是国外的IP地址,或者是云服务平台200的防火墙中黑名单地址或者不受信任的IP地址,而挑战IP则为安全IP和危险IP之外的地址,如可以为首次访问的国内陌生IP等,这里不做限定。安全组动态配置装置230可以通过与防火墙中的IP地址名单进行匹配的方式,或者相似度匹配的方式,去确定IP地址的安全种类。
同理,协议端口的安全种类也可以分为三类或者更多的类别,例如包括安全端口、挑战端口以及危险端口,在该安全组动态配置装置230可以预先存储有端口分类表,该端口分类表中存储有协议端口号及对应的安全种类。安全组动态配置装置230在通过访问请求提取到外部实例201所要访问的协议端口后,可以与该端口分类表进行匹配,以获得相应的协议端口的安全种类。
步骤S402:根据IP地址的安全种类、协议端口的安全种类以及预设策略,确定访问请求为允许状态、需认证状态,或拒绝状态。
本申请实施例中,安全组动态配置装置230在确定IP地址的安全种类,以及协议端口的安全种类后,通过预设策略即可确定该访问请求的授权状态。示例性地,如图5所示,为本申请实施例提供的一种判断授权状态的流程示意图,其中,上述IP地址的安全种类包括安全IP、挑战IP以及危险IP,上述协议端口的安全种类包括安全端口、挑战端口以及危险端口,上述授权状态包括允许状态、需认证状态,或拒绝状态。具体包括以下步骤:
步骤S501:对协议端口及IP地址进行安全种类的识别;
步骤S502:确定为安全端口且为安全IP时,确定为允许状态。
步骤S503:确定为安全端口且为挑战IP时,确定为允许状态。
步骤S504:确定为安全端口且为危险IP时,确定为拒绝状态。
步骤S505:确定为挑战端口且为安全IP时,确定为允许状态。
步骤S506:确定为挑战端口且为挑战IP时,确定为需认证状态。
步骤S507:确定为挑战端口且为危险IP时,确定为拒绝状态。
步骤S508:确定为危险端口且为安全IP时,确定为需认证状态。
步骤S509:确定为危险端口且为挑战IP时,确定为需认证状态。
步骤S510:确定为危险端口且为危险IP时,确定为拒绝状态。
本申请实施例中,对于协议端口及IP地址的安全种类的识别过程可以包括:先识别协议端口的安全种类,在识别IP地址的安全种类;或者先识别IP地址的安全种类,再识别协议端口的安全种类。
步骤S403:在确定为需认证状态时,利用IP地址进行预设验证序列算法的验证,在验证通过后,确定访问请求最终为允许状态。
本申请实施例中,安全组动态配置装置230对于需要进行认证的访问请求,将利用预选设置的验证序列算法对外部实例201的IP地址进行运算,获得一个序列值,并利用该序列值与预设序列值进行比对,从而进行验证。例如,在访问请求中,外部实例201可以***该预设序列值,该预设序列值可以由外部实例201的通过内置算法计算获得,若该外部实例201为受信任的设备,则安全组动态配置装置230中的预设验证序列算法则可以与该内置算法一致,在计算出序列值后与预设序列值一致,即确定访问请求最终为允许状态。
步骤S404:在验证未通过时,确定访问请求最终为拒绝状态。
示例性地,如图6所示,为本申请实施例提供的一种IP地址进行预设验证序列算法验证的流程示意图,具体包括以下步骤:
步骤S601:利用IP地址进行预设序列算法的运算,获得第一序列。
具体地,例如在IP地址为A.B.C.D的预设序列算法可以为E=A*B+D,在接收到的访问请求为https://10.10.0.5/100.1.2.3_10013_103_TCP22:40421时,其中,100.1.2.3为该外部实例201的IP地址,10.10.0.5为云服务平台200的IP地址,TCP22:40421为协议端口。提取IP地址100.1.2.3进行E=A*B+D的运算,获得第一序列为103。
步骤S602:从访问请求中提取第二序列。
具体地,按照上述的访问请求为https://10.10.0.5/100.1.2.3_10013_103_TCP22:40421,按照预设规则可以提取出第二序列103,其中,该预设规则即提取访问请求中指定位置序列的规则,示例的预设规则为提取IP地址后第二个序列,为该第二序列103。
步骤S603:判断第一序列是否与第二序列一致。
步骤S604:在第一序列与第二序列一致时,验证通过。
具体地,按照上述运算得到的第一序列:103,以及从访问请求https://10.10.0.5/100.1.2.3_10013_103_TCP22:40421的预设位置提取的第二序列:103,即两个序列为一致时,验证通过,访问请求从需验证状态转为允许状态。
步骤S605:在第一序列与第二序列不一致时,验证未通过。
示例性地,如图7所示,为本申请实施例提供的一种授权状态获取方式的流程示意图,具体包括以下步骤:
步骤S701:获取IP地址的安全种类,以及协议端口的安全种类。
此步骤与上述步骤S401一致,在此不再赘述。
步骤S702:根据IP地址的安全种类、协议端口的安全种类以及预设策略,确定访问请求为允许状态、需认证状态,或拒绝状态。
此步骤与上述步骤S402一致,在此不再赘述。
步骤S703:在确定为需认证状态时,利用IP地址进行预设验证序列算法的验证,在验证通过后,确定访问请求最终为允许状态。
此步骤与上述步骤S403一致,在此不再赘述。
步骤S704:在验证未通过时,确定访问请求最终为拒绝状态。
此步骤与上述步骤S404一致,在此不再赘述。
步骤S705:在确定访问请求为拒绝状态且不为危险IP时,判断协议端口是否与预设触发端口一致。
本申请实施例中,对于初次判定为拒绝状态,但是不为危险IP的访问请求,安全组动态配置装置230若再次接收触发该访问请求,则可再次去判断其授权状态。具体地,安全组动态配置装置230首先可以判断再次提取的协议端口是否与预设触发端口一致,该预设触发端口可由用于预先存储在安全组动态配置装置230中。具体地,例如访问请求https://10.10.0.5/202.1.2.3_202123_207:30123初次判定为拒绝状态,再次触发时将利用协议端口30123与预设触发端口进行比对,若预设触发端口也为30123时,则可进入再次授权判断的步骤。
步骤S706:在确定一致时,利用IP地址进行预设触发序列算法的验证。
本申请实施例中,具体地,该预设触发序列算法与上述预设验证序列算法同理,可以提取外部实例201的IP地址进行运算获得第三序列,并利用第三序列与第四序列进行比对,从而进行验证。其中,该第四序列同样可以从访问请求中进行提取。例如,根据上述的访问请求https://10.10.0.5/202.1.2.3_202123_207:30123,即外部实例201的IP地址为202.1.2.3,预设触发序列算法为E=A*B+C+D时,获得的第三序列为207,而在访问请求上提取的第四序列同样也为207,因此验证通过。
步骤S707:在验证通过后,执行利用IP地址进行预设验证序列算法的验证的步骤及后续步骤。
本申请实施例中,执行利用IP地址进行预设验证序列算法的验证的步骤及后续步骤的内容,与上述步骤S403及S404一致,在此不再赘述。
接下来,结合图2介绍本申请实施例提供的一种安全组动态配置方法。具体参考图8,为本申请实施例提供的一种安全组动态配置方法的流程示意图,具体包括以下步骤:
步骤S801:响应于预设条件的触发,获取目标服务当前的协议端口,并根据当前的协议端口获取新的预设策略。
本申请实施例中,预设条件包括动态调整目标服务的IP地址和/或协议端口;或,重启目标服务。即安全组动态配置装置230在云服务平台200进行重启时,或者云服务平台200重启云服务模块210,或者启动新的云服务模块210等,存在改变云服务模块210的IP地址以及协议端口的行为后,该安全组动态配置装置230都会根据当前云服务模块210的协议端口获取新的预设策略,即该新的预设策略可以基于当前的协议端口的安全种类去重新匹配获得。
步骤S802:接收对于目标服务的访问请求,访问请求包括请求方的IP地址以及目标服务的协议端口。
此步骤与上述步骤S301一致,在此不再赘述。
步骤S803:根据预设策略、IP地址以及协议端口,获得访问请求的授权状态。
此步骤与上述步骤S302一致,在此不再赘述。
步骤S804:根据IP地址、协议端口以及授权状态,更新配置目标服务的安全组。
此步骤与上述步骤S303一致,在此不再赘述。
步骤S805:监测到存在安全问题时,配置安全组禁止对外发送请求。
本申请实施例中,当检测到云服务平台200的主机存在安全问题时,即当前的云服务平台200可能会对连接的外部实例201产生安全威胁时,安全组动态配置装置230还可以配置安全组禁止对外发送请求,即拒绝数据出站。
请参见图9,为本申请实施例提供的一种安全组动态配置装置的结构示意图,如图9所示,该安全组动态配置装置900包括:
访问请求接收模块910,用于接收对于目标服务的访问请求,访问请求包括请求方的IP地址以及目标服务的协议端口;
授权状态获得模块920,用于根据预设策略、IP地址以及协议端口,获得访问请求的授权状态;
安全组更新模块930,用于根据IP地址、协议端口以及授权状态,更新配置目标服务的安全组。
本申请实施例中,上述各个模块更加详细的功能描述可以参考前述部分相应的内容,在此不再赘述。
本申请实施例还提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,当该计算机程序被处理器执行时,使处理器执行上述的安全组动态配置方法。上述安全组动态配置装置各组成模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在所述存储介质中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(Digital SubscriberLine,DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,数字多功能光盘(Digital VersatileDisc,DVD))、或者半导体介质(例如,固态硬盘(solid state disk,SSD))等。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过计算机程序来指令相关的硬件来完成,该程序可存储于计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可存储程序代码的介质。在不冲突的情况下,本实施例和实施方案中的技术特征可以任意组合。
以上所述的实施例仅仅是本申请的优选实施例方式进行描述,并非对本申请的范围进行限定,在不脱离本申请的设计精神的前提下,本领域普通技术人员对本申请的技术方案作出的各种变形及改进,均应落入本申请的权利要求书确定的保护范围内。
Claims (10)
1.一种安全组动态配置方法,其特征在于,包括:
接收对于目标服务的访问请求,所述访问请求包括请求方的IP地址以及所述目标服务的协议端口;
根据预设策略、所述IP地址以及所述协议端口,获得所述访问请求的授权状态;
根据所述IP地址、所述协议端口以及所述授权状态,更新配置所述目标服务的安全组。
2.如权利要求1所述的安全组动态配置方法,其特征在于,所述根据预设策略、所述IP地址以及所述协议端口,获得所述访问请求的授权状态,包括:
获取所述IP地址的安全种类,以及所述协议端口的安全种类;
根据所述IP地址的安全种类、所述协议端口的安全种类以及预设策略,确定所述访问请求为允许状态、需认证状态,或拒绝状态;
在确定为所述需认证状态时,利用所述IP地址进行预设验证序列算法的验证,在验证通过后,确定所述访问请求最终为允许状态;
在验证未通过时,确定所述访问请求最终为拒绝状态。
3.如权利要求2所述的安全组动态配置方法,其特征在于,所述利用所述IP地址进行预设验证序列算法的验证,包括:
利用所述IP地址进行预设序列算法的运算,获得第一序列;
从所述访问请求中提取第二序列;
判断所述第一序列是否与所述第二序列一致;
在所述第一序列与所述第二序列一致时,验证通过;
在所述第一序列与所述第二序列不一致时,验证未通过。
4.如权利要求2所述的安全组动态配置方法,其特征在于,所述IP地址的安全种类包括安全IP、挑战IP以及危险IP;
所述根据预设策略、所述IP地址以及所述协议端口,获得所述访问请求的授权状态,还包括:
在确定所述访问请求为所述拒绝状态且不为所述危险IP时,判断所述协议端口是否与预设触发端口一致;
在确定一致时,利用所述IP地址进行预设触发序列算法的验证;
在验证通过后,执行所述利用所述IP地址进行预设验证序列算法的验证的步骤及后续步骤。
5.如权利要求2所述的安全组动态配置方法,其特征在于,所述IP地址的安全种类包括安全IP、挑战IP以及危险IP;所述协议端口的安全种类包括安全端口、挑战端口以及危险端口;
所述根据所述IP地址的安全种类、所述协议端口的安全种类以及预设策略,确定所述访问请求为允许状态、需认证状态,或拒绝状态,包括:
对所述协议端口及所述IP地址进行安全种类的识别;
确定为所述安全端口且为所述安全IP时,确定为所述允许状态;
确定为所述安全端口且为所述挑战IP时,确定为所述允许状态;
确定为所述安全端口且为所述危险IP时,确定为所述拒绝状态;
确定为所述挑战端口且为所述安全IP时,确定为所述允许状态;
确定为所述挑战端口且为所述挑战IP时,确定为所述需认证状态;
确定为所述挑战端口且为所述危险IP时,确定为所述拒绝状态;
确定为所述危险端口且为所述安全IP时,确定为所述需认证状态;
确定为所述危险端口且为所述挑战IP时,确定为所述需认证状态;
确定为所述危险端口且为所述危险IP时,确定为所述拒绝状态。
6.如权利要求1所述的安全组动态配置方法,其特征在于,所述方法还包括:
响应于预设条件的触发,获取所述目标服务当前的协议端口,并根据所述当前的协议端口获取新的预设策略。
7.如权利要求6所述的安全组动态配置方法,其特征在于,所述预设条件包括动态调整所述目标服务的IP地址和/或所述协议端口;或,
重启所述目标服务。
8.如权利要求1所述的安全组动态配置方法,其特征在于,所述方法还包括:
监测到存在安全问题时,配置所述安全组禁止对外发送请求。
9.一种安全组动态配置装置,其特征在于,包括:
访问请求接收模块,用于接收对于目标服务的访问请求,所述访问请求包括请求方的IP地址以及所述目标服务的协议端口;
授权状态获得模块,用于根据预设策略、所述IP地址以及所述协议端口,获得所述访问请求的授权状态;
安全组更新模块,用于根据所述IP地址、所述协议端口以及所述授权状态,更新配置所述目标服务的安全组。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,当所述计算机程序被处理器执行时,使所述处理器执行如权利要求1至8中任一项所述的安全组动态配置方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211603730.1A CN115695045B (zh) | 2022-12-14 | 2022-12-14 | 安全组动态配置方法、装置及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211603730.1A CN115695045B (zh) | 2022-12-14 | 2022-12-14 | 安全组动态配置方法、装置及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115695045A true CN115695045A (zh) | 2023-02-03 |
| CN115695045B CN115695045B (zh) | 2023-06-06 |
Family
ID=85055461
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211603730.1A Active CN115695045B (zh) | 2022-12-14 | 2022-12-14 | 安全组动态配置方法、装置及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115695045B (zh) |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140289791A1 (en) * | 2013-03-25 | 2014-09-25 | International Business Machines Corporation | Network-level access control management for the cloud |
| CN108141456A (zh) * | 2015-10-13 | 2018-06-08 | 思科技术公司 | 混合云安全组 |
| US20180241718A1 (en) * | 2017-02-23 | 2018-08-23 | At&T Intellectual Property I, L.P. | Single Packet Authorization in a Cloud Computing Environment |
| CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
| CN113179271A (zh) * | 2021-04-28 | 2021-07-27 | 深圳前海微众银行股份有限公司 | 一种内网安全策略检测方法及装置 |
| CN113904859A (zh) * | 2021-10-20 | 2022-01-07 | 京东科技信息技术有限公司 | 安全组源组信息管理方法、装置、存储介质及电子设备 |
| CN114025000A (zh) * | 2021-10-29 | 2022-02-08 | 建信金融科技有限责任公司 | 网络访问关系的建立方法、装置、设备及存储介质 |
| CN114826969A (zh) * | 2022-03-17 | 2022-07-29 | 阿里巴巴(中国)有限公司 | 网络连通性检查方法、装置、设备及存储介质 |
| CN115344873A (zh) * | 2021-05-12 | 2022-11-15 | 华为云计算技术有限公司 | 访问控制方法、装置和设备 |
-
2022
- 2022-12-14 CN CN202211603730.1A patent/CN115695045B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140289791A1 (en) * | 2013-03-25 | 2014-09-25 | International Business Machines Corporation | Network-level access control management for the cloud |
| CN108141456A (zh) * | 2015-10-13 | 2018-06-08 | 思科技术公司 | 混合云安全组 |
| US20180241718A1 (en) * | 2017-02-23 | 2018-08-23 | At&T Intellectual Property I, L.P. | Single Packet Authorization in a Cloud Computing Environment |
| CN110336834A (zh) * | 2019-07-31 | 2019-10-15 | 中国工商银行股份有限公司 | 用于防火墙策略的处理方法和装置 |
| CN113179271A (zh) * | 2021-04-28 | 2021-07-27 | 深圳前海微众银行股份有限公司 | 一种内网安全策略检测方法及装置 |
| CN115344873A (zh) * | 2021-05-12 | 2022-11-15 | 华为云计算技术有限公司 | 访问控制方法、装置和设备 |
| CN113904859A (zh) * | 2021-10-20 | 2022-01-07 | 京东科技信息技术有限公司 | 安全组源组信息管理方法、装置、存储介质及电子设备 |
| CN114025000A (zh) * | 2021-10-29 | 2022-02-08 | 建信金融科技有限责任公司 | 网络访问关系的建立方法、装置、设备及存储介质 |
| CN114826969A (zh) * | 2022-03-17 | 2022-07-29 | 阿里巴巴(中国)有限公司 | 网络连通性检查方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115695045B (zh) | 2023-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10110585B2 (en) | Multi-party authentication in a zero-trust distributed system | |
| US9386078B2 (en) | Controlling application programming interface transactions based on content of earlier transactions | |
| EP3128459A1 (en) | System and method of utilizing a dedicated computer security service | |
| US9881304B2 (en) | Risk-based control of application interface transactions | |
| US12015596B2 (en) | Risk analysis using port scanning for multi-factor authentication | |
| US11032270B1 (en) | Secure provisioning and validation of access tokens in network environments | |
| CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
| US9608973B2 (en) | Security management system including multiple relay servers and security management method | |
| EP3687140B1 (en) | On-demand and proactive detection of application misconfiguration security threats | |
| EP3451608B1 (en) | Filter unit based data communication system including a blockchain platform | |
| CN104202338A (zh) | 一种适用于企业级移动应用的安全接入方法 | |
| CN109302397B (zh) | 一种网络安全管理方法、平台和计算机可读存储介质 | |
| KR20160006915A (ko) | 사물인터넷 관리 방법 및 장치 | |
| CN106789858B (zh) | 一种访问控制方法和装置以及服务器 | |
| US20150281282A1 (en) | Application signature authorization | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
| TWI676115B (zh) | 用以管控與雲端服務系統認證之系統及方法 | |
| CN114915427B (zh) | 访问控制方法、装置、设备及存储介质 | |
| CN115695045A (zh) | 安全组动态配置方法、装置及计算机可读存储介质 | |
| CN105635105B (zh) | 基于网络的安全输入/输出模块及其访问的方法 | |
| CN117254918A (zh) | 零信任动态授权方法、装置、电子设备及可读存储介质 | |
| US20210377220A1 (en) | Open sesame | |
| CN109756403A (zh) | 接入验证方法、装置、***以及计算机可读存储介质 | |
| CN113812125B (zh) | 登录行为的校验方法及装置、***、存储介质、电子装置 | |
| EP3741086B1 (en) | Device and method for securing a network connection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |