CN117424804A - 功能编排方法、装置、设备及存储介质 - Google Patents
功能编排方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN117424804A CN117424804A CN202210813724.2A CN202210813724A CN117424804A CN 117424804 A CN117424804 A CN 117424804A CN 202210813724 A CN202210813724 A CN 202210813724A CN 117424804 A CN117424804 A CN 117424804A
- Authority
- CN
- China
- Prior art keywords
- sequence
- function
- network
- module
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 107
- 230000006870 function Effects 0.000 claims abstract description 768
- 230000015654 memory Effects 0.000 claims description 42
- 238000012545 processing Methods 0.000 claims description 39
- 238000004590 computer program Methods 0.000 claims description 17
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 18
- 238000004891 communication Methods 0.000 description 11
- 230000001360 synchronised effect Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000004364 calculation method Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000005291 magnetic effect Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 235000019800 disodium phosphate Nutrition 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 102100035606 Beta-casein Human genes 0.000 description 2
- 101000947120 Homo sapiens Beta-casein Proteins 0.000 description 2
- 238000012512 characterization method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种功能编排方法、装置、设备及存储介质。其中,所述方法包括:获取用户策略;所述用户策略表征用户期望的网络功能和/或安全功能;基于所述用户策略,得到第一序列;将所述第一序列下发。
Description
技术领域
本发明涉及无线通信技术领域,尤其涉及一种功能编排方法、装置、设备及存储介质。
背景技术
目前,安全访问服务边缘(SASE,Secure Access Service Edge)服务框架,融合了广域网技术和全面网络安全防护的新型服务框架,面向企业提供以身份为中心、分布式部署、兼容各种边缘的云原生网络和安全服务。SASE服务涉及的技术过多,且同时包含网络功能和安全功能,单个厂商很难提供高质量的全栈网络功能和安全功能,多个厂商可以通过合作来实现SASE框架,但是,无法满足用户的网络和安全需求。
发明内容
有鉴于此,本发明实施例期望提供一种功能编排方法、装置、设备及存储介质。
本发明实施例的技术方案是这样实现的:
本发明的至少一个实施例提供一种功能编排方法,所述方法包括:
获取用户策略;所述用户策略表征用户期望的网络功能和/或安全功能;
基于所述用户策略,得到第一序列;
将所述第一序列下发。
此外,根据本发明的至少一个实施例,所述第一序列是通过以下方式得到的:
分析用户策略,选择网络功能模块和/或安全功能模块,得到包含网络功能模块和/或安全功能模块的第一序列。
此外,根据本发明的至少一个实施例,所述基于所述用户策略,得到第一序列,包括:
根据网络功能模块的描述、安全功能模块的描述、模块标识、所述用户策略中的若干个功能描述的至少一个,确定所述第一序列中的各个模块的标识,得到第一序列;
其中,所述用户策略中的功能描述表征用户期望的网络功能的描述和/或用户期望的安全功能的描述。
此外,根据本发明的至少一个实施例,所述方法还包括:
接收所述多个功能模块发送的注册信息;所述注册信息携带有各个功能模块的标识信息、支持执行的网络功能的描述、支持执行的安全功能的描述中的至少一个。
此外,根据本发明的至少一个实施例,所述基于所述用户策略,得到第一序列,包括:
基于所述用户策略以及预设规则,得到所述第一序列。
此外,根据本发明的至少一个实施例,所述基于所述用户策略以及预设规则,得到所述第一序列,包括:
根据网络功能模块的描述、安全功能模块的描述、模块标识、所述用户策略中的若干个功能描述的至少一个,确定多个功能模块;
根据所述预设规则,得到所述第一序列。
此外,根据本发明的至少一个实施例,所述根据所述预设规则,得到所述第一序列,包括:
根据预设规则对所述多个功能模块进行选择和/或排序,得到所述第一序列。
此外,根据本发明的至少一个实施例,所述方法还包括:
接收所述多个功能模块发送的运行状态信息;
所述根据预设规则,得到所述第一序列,包括:
根据运行状态信息对多个功能模块进行选择,得到所述第一序列。
此外,根据本发明的至少一个实施例,所述根据预设规则,得到所述第一序列,包括:
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
此外,根据本发明的至少一个实施例,所述根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列,包括:
获取所述用户策略中的源地址和目的地址;
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
此外,根据本发明的至少一个实施例,所述第一序列与根据源地址和目的地址所确定的转发路径中的部分或全部匹配。
此外,根据本发明的至少一个实施例,所述根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列,包括:
获取所述用户策略中的目标地址;
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
此外,根据本发明的至少一个实施例,所述第一序列中所指示的部分或全部功能模块是与所述目标地址网络可达的功能模块。
此外,根据本发明的至少一个实施例,所述将所述第一序列下发,包括:
将所述第一序列以及第一序列中各个功能模块的对应策略下发,其中所述各个功能模块的对应策略是根据所述用户策略得到的。
本发明的至少一个实施例提供一种功能编排方法,所述方法包括:
接收第一序列;
其中,所述第一序列是根据用户策略得到的,所述用户策略表征用户期望的网络功能和/或安全功能。
此外,根据本发明的至少一个实施例,所述方法还包括
发送注册信息;所述注册信息携带有各个功能模块的标识信息、支持执行的网络功能的描述、支持执行的安全功能的描述中的至少一个。
此外,根据本发明的至少一个实施例,所述方法还包括:
发送运行状态信息;
其中,所述运行状态信息用于根据运行状态信息对多个功能模块进行选择,得到所述第一序列。
此外,根据本发明的至少一个实施例,所述接收第一序列包括:
接收所述第一序列以及功能模块的对应策略,其中所述功能模块的对应策略是根据所述用户策略得到的。
本发明的至少一个实施例提供一种功能编排装置,包括:
获取单元,用于获取用户策略;所述用户策略表征用户期望的网络功能和/ 或安全功能;
处理单元,用于基于所述用户策略,得到第一序列;将所述第一序列下发。
本发明的至少一个实施例提供一种功能编排装置,包括:
接收单元,用于接收第一序列;
其中,所述第一序列是根据用户策略得到的,所述用户策略表征用户期望的网络功能和/或安全功能。
本发明的至少一个实施例提供一种设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行上述设备侧任一项所述方法的步骤。
本发明的至少一个实施例提供一种设备,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行上述设备侧任一项所述方法的步骤。
本发明的至少一个实施例提供一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法的步骤。
本发明实施例提供的功能编排方法、装置、设备及存储介质,获取用户策略;所述用户策略表征用户期望的网络功能和/或安全功能;基于所述用户策略,得到第一序列;将所述第一序列下发。采用本发明实施例提供的技术方案,结合用户策略,得到第一序列,如此,接收所述第一序列的设备可以按照所述第一序列执行对应的网络功能和安全功能,以提供用户所需的网络和安全服务,从而满足用户的网络和安全需求。
附图说明
图1是本发明实施例功能编排方法的实现流程示意图一;
图2是本发明实施例功能编排方法的实现流程示意图二;
图3是本发明实施例功能编排方法应用的***架构示意图;
图4是本发明实施例功能编排装置的组成结构示意图一;
图5是本发明实施例功能编排装置的组成结构示意图二;
图6是本发明实施例一设备的组成结构示意图;
图7是本发明实施例另一设备的组成结构示意图。
具体实施方式
在对本发明实施例的技术方案进行介绍之前,先对相关技术进行说明。
相关技术中,在企业数字化转型下,企业云化和远程/移动办公成为大趋势。网络的变化导致安全边界逐渐模糊,导致网络流量缺乏统一的安全检查,分散部署业务增加安全成本和运维成本,不确定的安全边界扩大暴露面提高了安全风险。为解决上述问题,Gartner于2019提出安全访问服务边缘(SASE)服务框架,融合了广域网技术和全面网络安全防护的新型服务框架,面向企业提供以身份为中心、分布式部署、兼容各种边缘的云原生网络和安全服务。SASE框架通过SD-WAN融合了ZTNA、FWaaS、SWG、CASB、 DLP等多种安全和网络功能,从而实现网络和安全功能统一管控,灵活部署。 SASE产品主要为单一供应商通过并购和技术合作等方式构建全栈网络和安全能力,从而实现同厂商的网络和安全功能的编排管理。
相关技术中,适用于单一厂商的SASE网络和安全功能编排管理框架存在以下问题:第一、SASE服务涉及的技术过多,且同时包含网络和安全功能,单个厂商很难提供高质量全栈网络和安全功能,多个厂商通过合作来实现SASE 框架,但是,无法满足用户网络和安全需求,没有将网络功能和安全功能进行综合编排和统一管理,导致集成效率低成本高,需要大量适配工作。第二、SASE 服务中各功能灵活部署在PoP点,CPE,用户终端,以及云端等多种位置,难以统一管控编排。第三、SASE服务同时涉及网络和安全功能,为了同时满足用户网络和安全需求,兼顾安全和网络转发效率,并对网络和安全功能处理的先后顺序有要求,需要对网络和安全功能进行综合有序的编排管理。另外,跨厂商的编排管理框架,主要针对流量型安全功能,通过网络功能模块的引流功能来实现网络和安全的处理序列,但是,没有将网络功能和安全功能进行综合编排和统一管理。
基于此,本发明实施例中,获取用户策略;所述用户策略表征用户期望的网络功能和/或安全功能;基于所述用户策略,得到第一序列;将所述第一序列下发。
图1是本发明实施例功能编排方法的实现流程示意图,应用于服务器,如图1所示,所述方法包括步骤101至103:
步骤101:获取用户策略;所述用户策略表征用户期望的网络功能和/或安全功能。
可以理解的是,本发明实施例中,可以应用在SASE服务架构中,所述服务器具体可以是指SASE服务架构中的编排层。
可以理解的是,所述用户策略可以是指用户预期达到的网络功能和安全功能的需求描述。通常包含用户流量源地址和目的地址、服务质量要求、访问控制条件、目标地址等安全功能和网络功能的需求描述。
可以理解的是,所述用户策略的基本格式,可以使用可嵌套的标签语言,如xml、json等表现形式。以xml为例,用户策略的基本组成为<tag>value</tag>。
可以理解的是,所述用户策略的类型可以包括两类:
第一类,面向流量的用户策略。
表1是面向流量的用户策略的基本格式的示意,如表1所示,面向流量的用户策略主要包含源地址、目的地址,以及安全功能或网络功能的需求。
表1
第二类,面向非流量的用户策略。
表2是面向非流量的用户策略的基本格式的示意,如表2所示,面向非流量的用户策略主要包含目标地址,以及安全功能或网络功能的需求。
表2
需要说明的是,表1和表2中,所有地址类的标签对应的值可使用正则表达式、通配符、或者地址库名称(即通过名称指定已经存在的地址库为源地址,目的地址,目标地址)等方式,来代表多个地址。表1和表2中的 <NetworkStrategy>...</NetworkStrategy>包含所需的网络功能标签对应的功能策略,表1和表2中的<SecurityStrategy>...</SecurityStrategy>包含所需的安全功能标签对应的功能策略,具体如表3所示:
表3
如表3所示,功能标签可以是指每个网络功能或安全功能的名称。流量型的用户策略中,表示安全功能的功能标签包含而不限于Encryption(流量加密)、 Filter(流量过滤)、IAM(身份认证和访问控制);表示网络功能的功能标签包含而不限于DPI(深度包解析)、NetworkOptimization(网络优化)、 TrafficIsolation(流量隔离)等。非流量型的用户策略中,表示安全功能的功能标签包含而不限于ResourceDiscovery资源发现、VulnerabilityScan漏洞扫描、 LogReview日志审查等。功能策略则是相应的安全功能的策略配置。例如,Filter 标签值将包含过滤条件、以及过滤之后的处理方式。
表4是功能标签对应的功能策略的示意,如表4所示,一个功能标签下可包含多个功能策略。
表4
步骤102:基于所述用户策略,得到第一序列。
这里,“得到”可以理解为,自身构建/生成得到,也可以理解为从其他设备或模块处获得。
这里,所述第一序列是通过以下方式得到的:
分析用户策略,选择网络功能模块和/或安全功能模块,得到包含网络功能模块和/或安全功能模块的第一序列。
所述第一序列可以仅包含网络功能模块和/或安全功能模块,也可以包含其他模块。
其中,网络功能模块以及安全功能模块的部署位置不限定,例如可以可以部署在网络服务点(PoP)点、客户终端设备(CPE,Customer Premises Equipment)、网关、用户终端、云端、云端服务器、软件定义广域网(SD-WAN, Software Ddfined WAN)/软件定义网络(SDN,Software Defined Networking) 控制器、网络设备等位置。
功能模块得到第一序列;
其中,所述用户策略中的功能描述表征用户期望的网络功能的描述和/或用户期望的安全功能的描述。
这里,描述可以有多种形式,例如功能标签等,这里的描述可以描述功能的内容、功能的类型以及功能的其他属性。
这里,所述第一序列中的各个模块实际上是能够满足用户期望的网络功能/ 安全功能的模块。网络功能模块和安全功能模块都有对应的模块标识,先确定哪些网络/安全功能模块能满足用户期望,再根据功能模块与模块标识的对应关系,确定要编排在第一序列中的功能模块的标识。可以理解的是,所述第一序列其实包含的是满足用户期望的网络功能模块和/或安全功能模块的标识序列。
作为一种实施方式,所述基于所述用户策略,得到第一序列,可以包括:
读取所述用户策略中的多个功能标签;每个功能标签表征用户期望的网络功能的类型或者用户期望的安全功能的类型;利用所述多个功能标签,结合网络功能模块的类型、安全功能模块的类型和模块标识的预设对应关系,确定与每个功能标签对应的模块标识,得到多个模块标识;基于所述多个功能标签和所述多个模块标识,生成所述第一序列。
作为另一种实施方式,所述基于所述用户策略,得到第一序列,包括:
读取所述用户策略中的多个功能标签;每个功能标签表征用户期望的网络功能的类型或者用户期望的安全功能的类型;利用所述多个功能标签,结合网络功能的类型、安全功能的类型和功能模块标识的预设对应关系,确定与每个功能标签对应的功能模块标识,得到多个功能模块标识;基于所述多个功能标签和所述多个功能模块标识,生成所述第一序列。
具体地,可以包括以下步骤:
步骤1:读取所述用户策略中的多个功能标签。
具体地,汇总所述用户策略中的SecurityStrategy和NetworkStrategy中的所有功能标签(tag)。这里,假设汇总结果为:{DPI,Filter,Encryption}。
步骤2:利用所述多个功能标签,结合网络功能的类型、安全功能的类型和功能模块标识的预设对应关系,确定与每个功能标签对应的功能模块标识,得到多个功能模块标识。
表5是网络功能的类型、安全功能的类型和功能模块标识的预设对应关系的示意,如表5所示,根据功能标签描述的网络功能或安全功能的名称,结合所述预设对应关系,可以查询到与每个功能标签(tag)分别对应的功能模块标识。例如,假设功能标签有2个,一个功能标签描述的是网络功能DPI,另一个功能标签描述的是安全功能Filter,则从所述预设对应关系中,查找与DPI 对应的功能模块标识,得到功能模块ID1和功能模块ID3,再查找与Filter对应的功能模块标识,得到功能模块ID2和功能模块ID3。
| 网络功能的类型 | 安全功能的类型 | 功能模块标识 |
| DPI | 空 | 功能模块ID1 |
| 空 | Filter | 功能模块ID2 |
| DPI | Filter | 功能模块ID3 |
表5
需要说明的是,如果从所述预设对应关系中,没有查找到与相应功能标签 (tag)对应的功能模块标识,则删除该功能标签(tag)。
步骤3:基于所述多个功能标签和所述多个功能模块标识,生成所述第一序列。
这里,假设功能标签有3个,一个功能标签描述的是网络功能DPI,另两个功能标签描述的是安全功能Filter和Encryption,假设从所述预设对应关系中,查找与DPI对应的功能模块标识得到功能模块ID1和功能模块ID3,查找与 Filter对应的功能模块标识得到功能模块ID2和功能模块ID3,查找与Encryption 对应的功能模块标识得到功能模块ID3。如此,得到的第一序列可以为:
[(DPI,功能模块ID1,功能模块ID3),(Filter,功能模块ID2,功能模块ID3),(Encryption,功能模块ID3)]
需要说明的是,功能模块标识还可以用功能模块中设置的网络功能模块和/ 或安全功能模块的标识进行替换。
也就是说,假设功能模块标识为功能模块ID1,该功能模块中设置的网络功能模块的标识可以用网络功能模块ID1表示,该功能模块中设置的安全功能模块的标识可以用安全功能模块ID1表示,以此类推,功能模块标识为功能模块ID2,该功能模块中设置的网络功能模块的标识可以用网络功能模块ID2表示,该功能模块中设置的安全功能模块的标识可以用安全功能模块ID2表示;功能模块标识为功能模块ID3,该功能模块中设置的网络功能模块的标识可以用网络功能模块ID3表示,该功能模块中设置的安全功能模块的标识可以用安全功能模块ID3表示,如此,得到的第一序列还可以表示为:
[(DPI,网络功能模块ID1,网络功能模块ID3),(Filter,安全功能模块ID2,安全功能模块ID3),(Encryption,安全功能模块ID3)]
在一实施例中,所述方法还包括:
接收所述多个功能模块发送的注册信息;所述注册信息携带有各个功能模块的标识信息、支持执行的网络功能的描述、支持执行的安全功能的描述中的至少一个。
这里,编排层基于该注册信息,可以得到所述网络功能的描述、安全功能的描述和对应网络功能模块的标识的预设对应关系,后续用于进行功能模块的编排。当然功能模块的描述还可以包括其他内容,例如将名称、地址、调用接口、部署类型等。
在一实施例中,所述方法还可以包括:
接收所述多个功能模块分别发送的注册信息;所述注册信息携带有各个功能模块的标识信息、支持执行的网络功能的类型和支持执行的安全功能的类型;
基于所述注册信息,得到所述网络功能的类型、安全功能的类型和功能模块标识的预设对应关系。
举例来说,假设功能模块包括3个,功能模块1上报的功能模块标识为ID1,支持执行的网络功能的类型为DPI,不支持执行安全功能;功能模块2上报的功能模块标识为ID2,支持执行的安全功能的类型为Filter,不支持执行网络功能;功能模块3上报的功能模块标识为ID3,支持执行的网络功能的类型为 DPI,支持执行的安全功能的类型为Filter。如此,所述服务器可以根据各个功能模块上报的注册信息,得到所述网络功能的类型、安全功能的类型和功能模块标识的预设对应关系。
第二种情况,利用所述用户策略,以及所述预设规则,得到所述第一序列。
实际应用时,考虑到SASE服务同时涉及网络功能和安全功能,为了同时满足用户对网络功能和安全功能的需求,兼顾安全和网络转发效率,需要对执行用户期望的网络功能和安全功能的功能模块进行综合有序的编排管理。在编排过程中,除了考虑用户网络服务要求、网络拓扑、网络工作状态等信息外,还可以根据客户的安全服务要求,将安全功能作为转发过程中必经的网络节点进行编排算路。
基于此,在一实施例中,所述基于所述用户策略,得到第一序列,包括:
基于所述用户策略以及预设规则,得到所述第一序列。
这里,“规则”也可以被称为是策略、原则等。
在一实施例中,所述基于所述用户策略以及预设规则,得到所述第一序列,包括:
根据网络功能模块的描述、安全功能模块的描述、模块标识、所述用户策略中的若干个功能描述的至少一个,确定多个功能模块;
根据所述预设规则,得到所述第一序列。
其中,预设规则可以既包含表示功能模块选择的规则,又包含表示功能模块排序的规则,也可以只包含其中之一。
其中,所述用户策略中的功能描述表征用户期望的网络功能的描述和/或用户期望的安全功能的描述。
这里,描述可以有多种形式,例如功能标签等,这里的描述可以描述功能的内容、功能的类型以及功能的其他属性。
在一实施例中,所述根据所述预设规则,得到所述第一序列,包括:
根据预设规则对所述多个功能模块进行选择和/或排序,得到所述第一序列。
其中,多个功能模块进行选择以及对所述多个功能模块进行排序没有必然的时间先后顺序。在得到第一序列的过程中,也并不是选择和排序都要发生。
这里,对于功能模块进行选择的一种实施方式为:能满足用户期望的网络/ 安全功能模块有很多,可以选择最优的功能模块,例如根据各个功能模块的运行状态、是否部署在靠近用户侧和/或靠近资源侧、是否满足重计算功能需求、是否满足中计算功能需求、是否满足轻计算功能需求等属性来选择。需要说明的是,这里的最优的功能模块不仅限于一个功能模块,可以为多个最优的功能模块。功能模块的选择可以包括网络功能模块的选择和/或安全功能模块的选择。有些情况下,可以只选择一种功能模块,有些情况下两种功能模块都需要选择。
这里,对于功能模块进行排序的一种实施方式为:根据特定的多个功能有特殊的执行顺序需求等,来进行功能模块的排序。功能模块的排序可以包括网络功能模块的排序和/或安全功能模块的排序。有些情况下,可以只对一种功能模块进行排序,有些情况下需要对两种功能模块都进行排序。排序可以分别进行,例如对多个网络功能模块进行排序,对多个安全功能模块进行排序,但两种功能模块并不很合排序;也可以两种功能模块混合进行排序。
当第一序列需要两种以上的功能模块进行选择和/或排序时,与上述选择和 /或排序方式类似,在此不再赘述。
具体地,所述基于所述用户策略,以及所述预设规则,得到所述第一序列,包括:
读取所述用户策略中的多个功能标签;每个功能标签表征用户期望的网络功能的类型或者用户期望的安全功能的类型;
利用所述多个功能标签,结合网络功能的类型、安全功能的类型和功能模块标识的预设对应关系,确定与每个功能标签对应的第一功能模块标识,得到多个第一功能模块标识;
从与每个功能标签对应的多个第一功能模块标识中选择满足所述预设规则的至少一个第二功能模块标识;
基于所述多个功能标签和与每个功能标签对应的至少一个第二功能模块标识,得到所述第一序列。
这里,所述预设规则可以是指功能模块所需满足的规则,具体可以包括以下之一:
部署近用户侧;
部署近资源侧;
满足重计算功能需求;
满足中计算功能需求;
满足轻计算功能需求。
其中,部署近用户侧,是指需要靠近访问实体部署,需选择部署在接入POP 及其附近的功能资源池或CPE的功能模块。部署近资源侧,是指应靠近业务应用或目标资源处部署,需选择部署在靠近应用业务或目标资源的安全资源池的功能模块;重计算功能需求,是指应在大型功能资源池中集中部署,需选择部署在用户网络流量转发的路径上的大型功能资源池部署的功能模块,且优先将用户所需的多种安全功能部署在一个大型资源池,从而减少转发延迟。轻计算功能需求,可选择部署在用户侧的功能模块。中计算功能需求是介于重计算功能需求和轻计算功能需求之间的需求。
也就是说,可以按照部署位置,将功能模块为:近用户侧(如SWG),近资源侧(如CASB,以及漏洞扫描等所有非流量型安全功能),无要求(如 FireWall)。根据所需计算功能,将功能模块为:满足重计算功能需求、满足中计算功能需求、满足轻计算功能需求。
具体地,基于所述用户策略以及所述预设规则得到所述第一序列,可以包括以下步骤:
步骤1:读取所述用户策略中的多个功能标签。
具体地,汇总所述用户策略中的SecurityStrategy和NetworkStrategy中的所有功能标签(tag)。
这里,假设汇总结果为:{DPI,Filter,Encryption}。
步骤2:利用所述多个功能标签,结合网络功能的类型、安全功能的类型和功能模块标识的预设对应关系,确定与每个功能标签对应的第一功能模块标识,得到多个第一功能模块标识。
例如,假设功能标签有2个,一个功能标签描述的是网络功能DPI,另一个功能标签描述的是安全功能Filter,则从所述预设对应关系中,查找与DPI 对应的第一功能模块标识,得到功能模块ID1和功能模块ID3,再查找与Filter 对应的第一功能模块标识,得到功能模块ID2和功能模块ID3。
需要说明的是,如果从所述预设对应关系中,没有查找到与相应功能标签 (tag)对应的第一功能模块标识,则删除该功能标签(tag)。
步骤3:从与每个功能标签对应的多个第一功能模块标识中选择满足所述预设规则的至少一个第二功能模块标识。
例如,假设所述预设规则为部署在近用户侧,假设功能标签有2个,一个功能标签描述的是网络功能DPI,另一个功能标签描述的是安全功能Filter,则从所述预设对应关系中,查找与DPI对应的第一功能模块标识,得到功能模块 ID1和功能模块ID3,从功能模块ID1和功能模块ID3中选择部署在近用户侧的功能模块标识,假设功能模块1部署在近用户侧,则得到功能模块1的标识功能模块ID1。再查找与Filter对应的第一功能模块标识,得到功能模块ID2 和功能模块ID3。从功能模块ID2和功能模块ID3中选择部署在近用户侧的功能模块标识,假设功能模块3部署在近用户侧,则得到功能模块3的标识功能模块ID3。
步骤4:基于所述多个功能标签和与每个功能标签对应的至少一个第二功能模块标识,得到所述第一序列。
这里,假设功能标签有3个,一个功能标签描述的是网络功能DPI,另两个功能标签描述的是安全功能Filter和Encryption,假设与每个功能标签对应的第二功能模块标识分别为功能模块ID1、功能模块ID3、功能模块ID3。如此,得到的第一序列可以为:
[(DPI,功能模块ID1),(Filter,功能模块ID3),(Encryption,功能模块ID3)]
需要说明的是,功能模块标识还可以用功能模块中设置的网络功能模块和/ 或安全功能模块的标识进行替换。
也就是说,假设功能模块标识为功能模块ID1,该功能模块中设置的网络功能模块的标识可以用网络功能模块ID1表示,该功能模块中设置的安全功能模块的标识可以用安全功能模块ID1表示,以此类推,功能模块标识为功能模块ID2,该功能模块中设置的网络功能模块的标识可以用网络功能模块ID2表示,该功能模块中设置的安全功能模块的标识可以用安全功能模块ID2表示;功能模块标识为功能模块ID3,该功能模块中设置的网络功能模块的标识可以用网络功能模块ID3表示,该功能模块中设置的安全功能模块的标识可以用安全功能模块ID3表示,如此,得到的第一序列还可以表示为:
[(DPI,网络功能模块ID1),(Filter,安全功能模块ID3),(Encryption,安全功能模块ID3)]
第三种情况,利用所述用户策略,以及所述各个功能模块的运行状态信息,得到第一序列。
实际应用时,考虑到SASE服务同时涉及网络功能和安全功能,为了同时满足用户对网络功能和安全功能的需求,兼顾安全和网络转发效率,需要对执行用户期望的网络功能和安全功能的功能模块进行综合有序的编排管理。在编排过程中,还可以考虑功能模块的运行状态。
基于此,在一实施例中,所述方法还包括:
接收所述多个功能模块发送的运行状态信息;
所述根据预设规则,得到所述第一序列,包括:
根据运行状态信息对多个功能模块进行选择,得到所述第一序列。
可以理解的是,所述运行状态信息可以包括日志、告警等信息,用于表征功能模块是否运行正常。
在一实施例中,所述基于所述用户策略,以及所述运行状态信息,得到所述第一序列,包括:
读取所述用户策略中的多个功能标签;每个功能标签表征用户期望的网络功能的类型或者用户期望的安全功能的类型;
利用所述多个功能标签,结合网络功能的类型、安全功能的类型和功能模块标识的预设对应关系,确定与每个功能标签对应的第三功能模块标识,得到多个第三功能模块标识;
结合所述运行状态信息,从与每个功能标签对应的多个第三功能模块标识中选择满足所述预设条件的至少一个第四功能模块标识;
基于所述多个功能标签和与每个功能标签对应的至少一个第四功能模块标识,生成所述第一序列。
这里,满足所述预设条件,可以是指功能模块的运行状态正常。
具体地,利用所述用户策略以及所述运行状态信息得到所述第一序列,可以包括以下步骤:
步骤1:读取所述用户策略中的多个功能标签。
具体地,汇总所述用户策略中的SecurityStrategy和NetworkStrategy中的所有功能标签(tag)。
这里,假设汇总结果为:{DPI,Filter,Encryption}。
步骤2:利用所述多个功能标签,结合网络功能的类型、安全功能的类型和功能模块标识的预设对应关系,确定与每个功能标签对应的第三功能模块标识,得到多个第三功能模块标识。
例如,假设功能标签有2个,一个功能标签描述的是网络功能DPI,另一个功能标签描述的是安全功能Filter,则从所述预设对应关系中,查找与DPI 对应的第一功能模块标识,得到功能模块ID1和功能模块ID3,再查找与Filter 对应的第一功能模块标识,得到功能模块ID2和功能模块ID3。
需要说明的是,如果从所述预设对应关系中,没有查找到与相应功能标签 (tag)对应的第一功能模块标识,则删除该功能标签(tag)。
步骤3:结合所述运行状态信息,从与每个功能标签对应的多个第三功能模块标识中选择满足所述预设条件的至少一个第四功能模块标识。
例如,假设功能标签有2个,一个功能标签描述的是网络功能DPI,另一个功能标签描述的是安全功能Filter,则从所述预设对应关系中,查找与DPI 对应的第一功能模块标识,得到功能模块ID1和功能模块ID3,从功能模块ID1 和功能模块ID3中选择运行状态正常的功能模块的功能模块标识,假设功能模块1运行状态正常,则得到功能模块1的标识功能模块ID1。再查找与Filter 对应的第一功能模块标识,得到功能模块ID2和功能模块ID3。从功能模块ID2 和功能模块ID3中选择运行状态正常的功能模块标识,假设功能模块3部署运行状态正常,则得到功能模块3的标识功能模块ID3。
步骤4:基于所述多个功能标签和与每个功能标签对应的至少一个第四功能模块标识,得到所述第一序列。
这里,假设功能标签有3个,一个功能标签描述的是网络功能DPI,另两个功能标签描述的是安全功能Filter和Encryption,假设与每个功能标签对应的第四功能模块标识分别为功能模块ID1、功能模块ID3、功能模块ID3。如此,得到的第一序列可以为:
[(DPI,功能模块ID1),(Filter,功能模块ID3),(Encryption,功能模块ID3)]
需要说明的是,功能模块标识还可以用功能模块中设置的网络功能模块和/ 或安全功能模块的标识进行替换。
也就是说,假设功能模块标识为功能模块ID1,该功能模块中设置的网络功能模块的标识可以用网络功能模块ID1表示,该功能模块中设置的安全功能模块的标识可以用安全功能模块ID1表示,以此类推,功能模块标识为功能模块ID2,该功能模块中设置的网络功能模块的标识可以用网络功能模块ID2表示,该功能模块中设置的安全功能模块的标识可以用安全功能模块ID2表示;功能模块标识为功能模块ID3,该功能模块中设置的网络功能模块的标识可以用网络功能模块ID3表示,该功能模块中设置的安全功能模块的标识可以用安全功能模块ID3表示,如此,得到的第一序列还可以表示为:
[(DPI,网络功能模块ID1),(Filter,安全功能模块ID3),(Encryption,安全功能模块ID3)]
在一实施例中,所述根据预设规则,得到所述第一序列,包括:
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
在一实施例中,所述根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列,包括:
获取所述用户策略中的源地址和目的地址;
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
这里,用户策略中包含源地址和目的地址说明用户策略是流量型的用户策略。
在一实施例中,所述第一序列与根据源地址和目的地址所确定的转发路径中的部分或全部匹配。
这里,所述第一序列其实指示了多个功能模块,不仅仅指示了都有哪些功能模块,还指示了多个功能模块之间的顺序。第一序列其实也可以理解为类似转发路径。当第一序列下发给各个功能模块时,各个功能模块可以根据序列里指示的功能模块及顺序进行流量转发。当用户策略中包含源地址和目的地址说明用户策略是流量型的用户策略,也即需要对这一流量要进行相应的网络/安全功能的处理。第一序列其实就是具体规定了由哪些网络/安全功能模块参与对这一流量进行处理,流量在被第一序列里规定的网络/安全功能模块进行转发的同时,也会被相应的网络/安全功能模块进行网络/安全处理操作。因此第一序列所指示的功能模块与根据源地址和目的地址所确定的转发路径匹配。例如可以与其中一条转发路径全部匹配,也即第一序列中的第一个功能模块所部署设备的地址与源地址相同,第一序列中的最后一个功能模块所部署设备的地址与目的地址相同。或者,第一序列中的第一个功能模块所部署设备的地址与源地址相同,但第一序列中的最后一个功能模块所部署设备的地址与目的地址不同,最后一个功能模块所部署设备的地址与路径中的中间节点的地址相同。或者,第一序列中的第一个功能模块所部署设备的地址与源地址不同,但第一个功能模块所部署设备的地址与路径中的中间节点的地址相同,第一序列中的最后一个功能模块所部署设备的地址与目的地址相同。或者,第一序列中的第一个功能模块所部署设备的地址与源地址不同,第一序列中的最后一个功能模块所部署设备的地址与目的地址也不同。
在一实施例中,所述根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列,包括:
获取所述用户策略中的目标地址;
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
这里,所述用户策略中仅有目标地址说明用户策略是非流量型的用户策略。
在一实施例中,所述第一序列中所指示的部分或全部功能模块是与所述目标地址网络可达的功能模块。
这里,也即第一序列中所指示的部分或全部功能模块能够与目标地址建立通路,使得功能模块能够对于目标地址所指示的对象(例如资源等)进行相应的网络/安全处理。
实际应用时,考虑到用户期望在转发用户流量的过程中,通过具备网络功能和安全功能的功能模块进行有序转发,因此,可以生成携带有表征功能执行先后顺序的第一序列。
基于此,在一实施例中,所述方法还包括:
判断所述用户策略的类型;
当确定所述用户策略的类型为第一预设类型时,基于所述用户策略,得到第一序列;所述第一序列携带有所述多个功能模块执行用户期望的网络功能和安全功能的顺序信息。
实际应用时,考虑到用户期望在转发用户流量的过程中,无需通过具备网络功能和安全功能的功能模块进行有序转发,因此,可以生成未携带有表征功能执行先后顺序的第一序列。
基于此,在一实施例中,所述方法还包括:
当确定所述用户策略的类型为第二预设类型时,基于所述用户策略,得到第一序列;所述第一序列未携带有所述多个功能模块执行用户期望的网络功能和安全功能的顺序信息。
在一实施例中,所述判断所述用户策略的类型,包括:
判断所述用户策略中是否包含预设内容;
当确定所述用户策略中包含所述预设内容时,确定所述用户策略的类型为第一预设类型;
当确定所述用户策略中未包含所述预设内容时,确定所述用户策略的类型为第二预设类型。
可以理解的是,判断所述用户策略中是否包含预设内容,可以是指判断所述用户策略中是否同时包含SourceAddress和DestinationAddress标签,若所述用户策略中同时包含SourceAddress和DestinationAddress标签,确定所述用户策略的类型为第一预设类型。若所述用户策略中只包含AssetsAddress标签,确定所述用户策略的类型为第二预设类型。
这里,所述第一预设类型可以是指所述用户策略为流量型用户策略。所述第二预设类型可以是指所述用户策略为非流量型用户策略。
这里,当确定所述用户策略的类型为第一预设类型时,基于所述用户策略,生成第一序列;所述第一序列携带有所述多个功能模块执行用户期望的网络功能和安全功能的顺序信息。
这里,携带有所述顺序信息的第一序列可以为:
[{(DPI,功能模块标识),(Filter,功能模块标识)},(Encryption,功能模块标识)]
其中,[]框出的元素必须严格按照先后顺序进行执行,即,安全功能对应的DPI和网络功能对应的Filter等涉及报文内容的功能,需要在安全功能对应的Encryption之前进行执行。大括号{}框出的部分与先后顺序无关,即,安全功能对应的DPI和网络功能对应的Filter等涉及报文内容的功能的执行没有先后顺序。()中先是网络功能或安全功能的类型,后是具体的功能模块标识。
需要说明的是,功能模块标识还可以用功能模块中设置的网络功能模块和/ 或安全功能模块的标识进行替换。
也就是说,携带有所述顺序信息的第一序列也可以为:
[(DPI,功能模块ID),(Filter,功能模块ID),(Encryption,功能模块ID)]
这里,当确定所述用户策略的类型为第二预设类型时,基于所述用户策略,生成第一序列;所述第一序列未携带有所述多个功能模块执行用户期望的网络功能和安全功能的顺序信息。
这里,未携带有所述顺序信息的第一序列可以为:
{(DPI,功能模块标识),(Filter,功能模块标识),(Encryption,功能模块标识)}
步骤103:将所述第一序列下发。
这里,将“将所述第一序列下发”可以有多种实施方式,可以将第一序列全部下发给所有的功能模块,也可以将第一序列下发给部分的功能模块,也可以将第一序列的部分下发给所有的功能模块,也可以将第一序列的部分下发给部分模块。对于不同的功能模块,可以下发相同的第一序列,也可以下发不同的第一序列,也即只给各个功能模块下发其所应知道的序列即可,不需要让其知道序列的其他部分。
在一实施例中,所述将所述第一序列下发,包括:
将所述第一序列以及第一序列中各个功能模块的对应策略下发,其中所述各个功能模块的对应策略是根据所述用户策略得到的。
可以理解的是,所述多个功能模块按照所述第一序列执行所述用户期望的安全功能和网络功能,从而实现按照用户需求对多个功能模块进行统一编排管理,进而满足用户的网络和安全需求。
实际应用时,针对携带源节点和目的节点的用户策略即第一预设类型的用户策略,可以根据所述源节点和目的节点,确定多个第一转发路径,从所述多个第一转发路径选择经过所述多个功能模块的至少一个第二转发路径,将所述至少一个第二转发路径的相关信息分别发送给所述多个功能模块,如此,所述多个功能模块可以结合所述至少一个第二转发路径和所述第一序列,实现用户流量的有序转发。
基于此,在一实施例中,所述方法还包括:
读取所述用户策略中的源节点和目的节点;
基于所述源节点和所述目的节点,确定多个第一转发路径;
从所述多个第一转发路径选择经过所述多个功能模块的至少一个第二转发路径;
将所述至少一个第二转发路径的相关信息分别发送给所述多个功能模块,以供所述多个功能模块转发用户流量。
需要说明的是,针对未携带源节点和目的节点的用户策略即第二预设类型的用户策略,无需确定转发路径,也就是说,各个功能模块独立根据所述第一序列,访问资源,对访问的资源执行对应的功能,但无需进行转发。
本发明实施例中,具备以下优点:
(1)基于用户策略,得到第一序列,如此,接收所述第一序列的设备可以按照所述第一序列执行对应的网络功能和安全功能,以提供用户所需的网络和安全服务,从而满足用户的网络和安全需求,还能够满足多厂商和各个部署位置的网络和安全功能的兼容性,更加灵活的解决网络和安全需求。
(2)统一编排和管理跨厂商和跨网络域的网络和安全功能,形成有顺序的第一序列,如此,通过有顺序的第一序列,进行用户流量的有序转发。
(3)统一编排和管理跨厂商和跨网络域的网络和安全功能,形成无顺序的第一序列,如此,通过无顺序的第一序列,进行资源处理。
图2是本发明实施例功能编排方法的实现流程示意图,应用于功能模块,如图2所示,所述方法包括步骤201:
步骤201:接收第一序列;
其中,所述第一序列是根据用户策略得到的,所述用户策略表征用户期望的网络功能和/或安全功能。
在一实施例中,所述方法还包括
发送注册信息;所述注册信息携带有各个功能模块的标识信息、支持执行的网络功能的描述、支持执行的安全功能的描述中的至少一个。
在一实施例中,所述方法还包括:
发送运行状态信息;
其中,所述运行状态信息用于根据运行状态信息对多个功能模块进行选择,得到所述第一序列。
在一实施例中,所述接收第一序列包括:
接收所述第一序列以及功能模块的对应策略,其中所述功能模块的对应策略是根据所述用户策略得到的。
这里的功能模块的对应策略可以仅包含该功能模块的对应策略,也可以不仅包括该功能模块还包括其他功能模块的对应策略,也可以仅包括其他功能模块的对应策略。
可以理解的是,所述功能模块按照所述第一序列执行所述用户期望的安全功能和网络功能,从而实现按照用户需求对多个功能模块进行统一编排管理,进而满足用户的网络和安全需求。
实际应用时,针对携带源节点和目的节点的用户策略即第一预设类型的用户策略,可以根据所述源节点和目的节点,确定多个第一转发路径,从所述多个第一转发路径选择经过所述多个功能模块的至少一个第二转发路径,将所述至少一个第二转发路径的相关信息分别发送给所述多个功能模块,如此,所述多个功能模块可以结合所述至少一个第二转发路径和所述第一序列,实现用户流量的有序转发。
基于此,在一实施例中,所述方法还包括:
接收至少一个第二转发路径的相关信息;
其中,所述至少一个第二转发路径是所述服务器读取所述用户策略中的源节点和目的节点;基于所述源节点和所述目的节点,确定多个第一转发路径;从所述多个第一转发路径选择经过所述多个功能模块的至少一个转发路径得到的;
需要说明的是,针对未携带源节点和目的节点的用户策略即第二预设类型的用户策略,无需确定转发路径,也就是说,各个功能模块独立根据所述第一序列,访问资源,对访问的资源执行对应的功能,但无需进行转发。
本发明实施例中,具备以下优点:
(1)基于用户策略,构建第一序列,如此,所述多个功能模块可以按照所述第一序列执行对应的网络功能和安全功能,以提供用户所需的网络和安全服务,从而满足用户的网络和安全需求,还能够满足多厂商和各个部署位置的网络和安全功能的兼容性,更加灵活的解决网络和安全需求。
(2)统一编排和管理跨厂商和跨网络域的网络和安全功能,形成有顺序的第一序列,如此,通过有顺序的第一序列,进行用户流量的有序转发。
(3)统一编排和管理跨厂商和跨网络域的网络和安全功能,形成无顺序的第一序列,如此,通过无顺序的第一序列,进行资源处理。
图3是本发明实施例功能编排方法应用的***架构示意图,如图3所示,所述***包括:
第一设备,用于获取用户策略;所述用户策略表征用户期望的网络功能和/ 或安全功能;基于所述用户策略,得到第一序列;将所述第一序列下发。
第二设备,用于接收所述第一序列。
需要说明的是,在安全访问服务边缘(SASE)的应用场景下,所述***还可以包括SASE管理呈现层。所述第一设备具体可以是指SASE编排支撑层,所述第二设备具体可以是指功能模块、虚拟机、容器,等等。
这里,SASE管理呈现层,用于通过UI或配置文件等方式收集用户策略,并下发SASE编排支撑层。其中,用户策略为用户预期达到的网络功能和安全功能的需求描述,通常包含用户流量源地址和目的地址、服务质量要求、访问控制条件,目标地址等安全功能和网络功能的需求描述。
这里,SASE编排支撑层,用于分析用户策略,构建编排序列一序列。具体可以包括:业务编排模块、安全功能管理模块和网络功能管理模块;其中,业务编排模块,用于分析用户策略,构建第一序列,并将所述第一序列下发给安全功能管理模块和网络功能管理模块。安全功能管理模块和网络功能管理模块,用于将所述第一序列发送给对应的功能模块中的安全功能模块或网络功能模块;还用于获取各个功能模块发送的注册信息、运行状态信息、执行第一序列的结果,并上报给业务编排模块。其中,所述注册信息至少包含功能模块所受管的安全功能和/或网络功能的类型、运行状态、功能模块ID、名称、自身功能描述、ID、名称、地址、调用接口、部署类型等。所述运行状态信息至少包含功能模块的日志、告警等信息。所述功能模块具体可以是PoP点、CPE、 SD-WAN/SDN控制器、虚拟机、容器等。部署类型包含而不限于物理部署,云化或虚拟部署。
这里,所述功能模块用于接收所述第一序列,并执行用户期望的网络功能和安全功能。具体可以包括:安全功能模块和网络功能模块;其中,安全功能模块,用于接收所述第一序列,执行用户期望的安全功能;还用于发送注册信息、运行状态信息、反馈执行第一序列的结果,等。网络功能模块,用于接收所述第一序列,执行用户期望的网络功能;还用于发送注册信息、运行状态信息、反馈执行第一序列的结果,等。
这里,安全功能模块,具体可以包括流量型安全功能模块和非流量新安全功能模块。其中,
流量型安全功能模块,是指该安全功能模块具备流量转发功能,能够按照所述第一序列,实现用户流量的转发,以及该安全功能模块的处理对象为用户流量,需要网络功能模块引流用户流量来完成安全处理。
非流量型安全功能模块,是指该安全功能模块不具备流量转发功能,能够按照所述第一序列,访问资源,并对资源执行对应的安全功能,以及该安全功能模块的处理对象为非流量,即针对目标完成发现扫描、监控或审计等安全处理。
功能模块上报注册信息和功能模块上报运行状态信息的实现过程可以包括以下步骤:
步骤1:功能模块中的网络功能模块和安全功能模块提交注册信息,注册到网络SASE编排支撑层中的功能管理模块和安全功能管理模块。
步骤2:SASE编排支撑层中的网络功能管理模块处理网络功能模块发送的注册信息,并生成SASE编排支撑层中的业务编排模块可检索的网络功能模块的注册信息。安全功能管理模块处理安全功能模块发送的注册信息,并生成 SASE编排支撑层中的业务编排模块可检索的安全功能模块的注册信息。
步骤3:SASE编排支撑层中的网络功能管理模块监控功能模块中的网络功能模块运行状态信息,并发送给SASE编排支撑层中的业务编排模块。安全功能管理模块监控功能模块中的安全功能模块的运行状态信息,并发送给SASE 编排支撑层中的业务编排模块。SASE编排支撑层中的业务编排模块还可以将注册信息和运行状态信息发送SASE管理呈现层。
SASE编排支撑层基于用户策略构建第一序列的实现过程可以包括以下步骤:
步骤1:SASE管理呈现层下发用户策略给SASE编排支撑层。
步骤2:SASE编排支撑层中的业务编排模块分析用户策略,检索网络功能的类型、安全功能的类型和功能模块标识的预设对应关系,选择与每个功能标签对应的功能模块标识,得到多个功能模块标识;基于所述多个功能标签和所述多个功能模块标识,生成第一序列,并下发所述第一序列给SASE编排支撑层中的网络功能管理模块和安全功能管理模块。
这里,若所述用户策略中同时包含SourceAddress和DestinationAddress标签,确定所述用户策略的类型为第一预设类型。若所述用户策略中只包含 AssetsAddress标签,确定所述用户策略的类型为第二预设类型。若所述用户策略不符合以上两种形式,则认为格式错误报错并终止流程。所述第一预设类型可以是指所述用户策略为流量型用户策略。所述第二预设类型可以是指所述用户策略为非流量型用户策略。
这里,当确定所述用户策略的类型为第一预设类型时,基于所述用户策略,生成第一序列;所述第一序列携带有所述多个功能模块执行用户期望的网络功能和安全功能的顺序信息。
这里,携带有所述顺序信息的第一序列可以为:
[{(DPI,功能模块标识),(Filter,功能模块标识)},(Encryption,功能模块标识)]
其中,[]框出的元素必须严格按照先后顺序进行执行,即,安全功能对应的DPI和网络功能对应的Filter等涉及报文内容的功能,需要在安全功能对应的Encryption之前进行执行。大括号{}框出的部分与先后顺序无关,即,安全功能对应的DPI和网络功能对应的Filter等涉及报文内容的功能的执行没有先后顺序。()中先是网络功能或安全功能的类型,后是具体的功能模块标识。
需要说明的是,功能模块标识还可以用功能模块中设置的网络功能模块和/ 或安全功能模块的标识进行替换。
也就是说,携带有所述顺序信息的第一序列也可以为:
[(DPI,功能模块ID1),(Filter,功能模块ID2),(Encryption,功能模块ID3)]
这里,SASE编排支撑层中的业务编排模块可以将所述第一序列以及所述用户策略中的安全功能策略下发网络功能管理模块,如表6所示。
表6
这里,SASE编排支撑层中的业务编排模块可以将所述第一序列以及所述用户策略中的网络功能策略下发安全功能管理模块,如表7所示。
表7
表8是流量型用户策略的示意,如表8所示,用户策略样例包含 SourceAddress和DestinationAddress,故为流量型用户策略。该流量型用户策略的含义是:面向源地址IP:端口到目的IP:端口的所有协议类型,进行网络功能处理:对所有流量执行深度包解析策略。进行安全功能处理:对源地址为 192.168.0.23不限端口的报文,执行流量过滤并丢弃策略。对所有流量执行加密策略。
表8
这里,当确定所述用户策略的类型为第二预设类型时,基于所述用户策略,生成第一序列;所述第一序列未携带有所述多个功能模块执行用户期望的网络功能和安全功能的顺序信息。
这里,未携带有所述顺序信息的第一序列可以为:
{(DPI,功能模块标识),(Filter,功能模块标识),(Encryption,功能模块标识)}
需要说明的是,功能模块标识还可以用功能模块中设置的网络功能模块和/ 或安全功能模块的标识进行替换。
也就是说,未携带有所述顺序信息的第一序列也可以为:
{(DPI,功能模块ID1),(Filter,功能模块ID2),(Encryption,功能模块ID3)}
这里,SASE编排支撑层中的网络功能管理模块接收所述第一序列,并向对应的功能模块的网络功能模块下发,实现用户流量的转发调度和网络优化处理,通过流量转发实现第一序列,汇总网络策略处理结果。
这里,安全功能管理模块接收所述第一序列,并向对应的功能模块的安全功能模块下发,实现用户流量的安全处理,汇总安全策略处理结果。
步骤3:SASE编排支撑层中的网络功能管理模块汇总功能模块执行所述第一序列的结果,并反馈给SASE管理呈现层。SASE编排支撑层中的安全功能管理模块汇总功能模块执行所述第一序列的结果,并反馈SASE管理呈现层。
功能模块执行第一序列的实现过程可以包括以下步骤:
步骤1:功能模块中的流量型安全功能模块需要网络功能模块按照所述第一序列执行路由转发,来引流用户流量,所以其执行过程还包含了网络功能模块执行所述第一序列进行引流。功能模块中的网络功能模块按照所述第一序列,将用户流量引流到下一个功能模块,并最终引流到目标资源,并向SASE编排支撑层中的网络功能管理模块反馈处理结果。
步骤2:功能模块中的流量型安全功能模块执行所述第一序列,处理待转发的用户流量,向SASE编排支撑层中的安全功能管理模块反馈处理结果。 SASE编排支撑层中的网络功能管理模块汇总执行第一序列的处理结果,反馈给SASE管理呈现层。
安全功能管理模块汇总处理结果,反馈给SASE管理呈现层。
功能模块执行第一序列的实现过程还可以包括以下步骤:
步骤1:功能模块中的非流量安全功能模块接受所述第一序列并面向非流量执行所述第一序列。
步骤2:功能模块中的安全功能模块向SASE编排支撑层中的安全功能管理模块反馈处理结果。安全功能管理模块汇总执行结果,并反馈给SASE管理呈现层。
需要说明的是,功能模块中的网络功能模块执行第一序列的过程同功能模块中的流量型安全功能模块执行第一序列的过程类似。
为实现本发明实施例功能编排方法,本发明实施例还提供一种功能编排装置。图4为本发明实施例功能编排装置的组成结构示意图,如图4所示,所述装置包括:
获取单元41,用于获取用户策略;所述用户策略表征用户期望的网络功能和/或安全功能;
处理单元42,用于基于所述用户策略,得到第一序列;将所述第一序列下发。
在一实施例中,所述第一序列是通过以下方式得到的:
分析用户策略,选择网络功能模块和/或安全功能模块,得到包含网络功能模块和/或安全功能模块的第一序列。
在一实施例中,所述处理单元42,具体用于:
根据网络功能模块的描述、安全功能模块的描述、模块标识、所述用户策略中的若干个功能描述的至少一个,确定所述第一序列中的各个模块的标识,得到第一序列;
其中,所述用户策略中的功能描述表征用户期望的网络功能的描述和/或用户期望的安全功能的描述。
在一实施例中,所述装置还用于:
接收所述多个功能模块发送的注册信息;所述注册信息携带有各个功能模块的标识信息、支持执行的网络功能的描述、支持执行的安全功能的描述中的至少一个。
在一实施例中,所述处理单元42,具体用于:
基于所述用户策略以及预设规则,得到所述第一序列。
在一实施例中,所述处理单元42,具体用于:根据网络功能模块的描述、安全功能模块的描述、模块标识、所述用户策略中的若干个功能描述的至少一个,确定多个功能模块;
根据所述预设规则,得到所述第一序列。
在一实施例中,所述处理单元42,具体用于:
根据预设规则对所述多个功能模块进行选择和/或排序,得到所述第一序列。
在一实施例,所述装置还用于:
接收所述多个功能模块发送的运行状态信息;
所述根据预设规则,得到所述第一序列,包括:
根据运行状态信息对多个功能模块进行选择,得到所述第一序列。
在一实施例中,所述处理单元42,具体用于:
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
在一实施例中,所述处理单元42,具体用于:
获取所述用户策略中的源地址和目的地址;
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
在一实施例中,所述第一序列与根据源地址和目的地址所确定的转发路径中的部分或全部匹配。
在一实施例中,所述处理单元42,具体用于::
获取所述用户策略中的目标地址;
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
在一实施例中,所述第一序列中所指示的部分或全部功能模块是与所述目标地址网络可达的功能模块。
在一实施例中,所述处理单元42,具体用于::
将所述第一序列以及第一序列中各个功能模块的对应策略下发,其中所述各个功能模块的对应策略是根据所述用户策略得到的。
实际应用时,所述获取单元41可以由功能编排装置中的通信接口实现;所述处理单元42可以由功能编排装置中的处理器实现。
需要说明的是:上述实施例提供的功能编排装置在进行功能编排时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的功能编排装置与功能编排方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
为实现本发明实施例功能编排方法,本发明实施例还提供一种功能编排装置。图5为本发明实施例功能编排装置的组成结构示意图,如图5所示,所述装置包括:
接收单元51,用于接收第一序列;
其中,所述第一序列是根据用户策略得到的,所述用户策略表征用户期望的网络功能和/或安全功能。
在一实施例中,所述装置还用于:
发送注册信息;所述注册信息携带有各个功能模块的标识信息、支持执行的网络功能的描述、支持执行的安全功能的描述中的至少一个。
在一实施例中,所述装置还用于:
发送运行状态信息;
其中,所述运行状态信息用于根据运行状态信息对多个功能模块进行选择,得到所述第一序列。
在一实施例中,所述接收单元51,具体用于:
接收所述第一序列以及功能模块的对应策略,其中所述功能模块的对应策略是根据所述用户策略得到的。
实际应用时,所述接收单元51可以由功能编排装置中的通信接口实现。
需要说明的是:上述实施例提供的功能编排装置在进行功能编排时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的功能编排装置与功能编排方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
本发明实施例还提供了一种设备,如图6所示,包括:
第一通信接口61,能够与其它设备进行信息交互;
第一处理器62,与所述第一通信接口61连接,用于运行计算机程序时,执行上述设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在第一存储器63上。
需要说明的是:所述第一处理器62和第一通信接口61的具体处理过程详见方法实施例,这里不再赘述。
当然,实际应用时,设备60中的各个组件通过总线***64耦合在一起。可理解,总线***64用于实现这些组件之间的连接通信。总线***64除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图6中将各种总线都标为总线***64。
本申请实施例中的第一存储器63用于存储各种类型的数据以支持设备60 的操作。这些数据的示例包括:用于在设备60上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于所述第一处理器62中,或者由所述第一处理器62实现。所述第一处理器62可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第一处理器62 中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第一处理器62 可以是通用处理器、数字数据处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第一处理器62可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第一存储器63,所述第一处理器62读取第一存储器63中的信息,结合其硬件完成前述方法的步骤。
本发明实施例还提供了另一种设备,如图7所示,包括:
第二通信接口71,能够与其它设备进行信息交互;
第二处理器72,与所述第二通信接口71连接,用于运行计算机程序时,执行上述设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在第二存储器73上。
需要说明的是:所述第二处理器72和第二通信接口71的具体处理过程详见方法实施例,这里不再赘述。
当然,实际应用时,设备70中的各个组件通过总线***74耦合在一起。可理解,总线***74用于实现这些组件之间的连接通信。总线***74除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图7中将各种总线都标为总线***74。
本申请实施例中的第二存储器73用于存储各种类型的数据以支持设备70 的操作。这些数据的示例包括:用于在设备70上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于所述第二处理器72中,或者由所述第二处理器72实现。所述第二处理器72可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述第二处理器72 中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述第二处理器72 可以是通用处理器、数字数据处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述第二处理器72可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于第二存储器73,所述第二处理器72读取第二存储器73中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,设备60、设备70可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD, ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,本申请实施例的存储器(第一存储器63、第二存储器73)可以是易失性存储器或者非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,ProgrammableRead-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically ErasableProgrammable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic randomaccess memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,StaticRandom Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static RandomAccess Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic RandomAccess Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced SynchronousDynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLinkDynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct RambusRandom Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本发明实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器,上述计算机程序可由设备60的第一处理器62执行,以完成前述设备侧方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、 Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (23)
1.一种功能编排方法,其特征在于,所述方法包括:
获取用户策略;所述用户策略表征用户期望的网络功能和/或安全功能;
基于所述用户策略,得到第一序列;
将所述第一序列下发。
2.根据权利要求1所述的方法,其特征在于,所述第一序列是通过以下方式得到的:
分析用户策略,选择网络功能模块和/或安全功能模块,得到包含网络功能模块和/或安全功能模块的第一序列。
3.根据权利要求1或2所述的方法,其特征在于,所述基于所述用户策略,得到第一序列,包括:
根据网络功能模块的描述、安全功能模块的描述、模块标识、所述用户策略中的若干个功能描述的至少一个,确定所述第一序列中的各个模块的标识,得到第一序列;
其中,所述用户策略中的功能描述表征用户期望的网络功能的描述和/或用户期望的安全功能的描述。
4.根据权利要求1至3任一项所述的方法,其特征在于,所述方法还包括:
接收所述多个功能模块发送的注册信息;所述注册信息携带有各个功能模块的标识信息、支持执行的网络功能的描述、支持执行的安全功能的描述中的至少一个。
5.根据权利要求1所述的方法,其特征在于,所述基于所述用户策略,得到第一序列,包括:
基于所述用户策略以及预设规则,得到所述第一序列。
6.根据权利要求5所述的方法,其特征在于,所述基于所述用户策略以及预设规则,得到所述第一序列,包括:
根据网络功能模块的描述、安全功能模块的描述、模块标识、所述用户策略中的若干个功能描述的至少一个,确定多个功能模块;
根据所述预设规则,得到所述第一序列。
7.根据权利要求6所述的方法,其特征在于,所述根据所述预设规则,得到所述第一序列,包括:
根据预设规则对所述多个功能模块进行选择和/或排序,得到所述第一序列。
8.根据权利要求6或7所述的方法,其特征在于,所述方法还包括:
接收所述多个功能模块发送的运行状态信息;
所述根据预设规则,得到所述第一序列,包括:
根据运行状态信息对多个功能模块进行选择,得到所述第一序列。
9.根据权利要求6或7所述的方法,其特征在于,所述根据预设规则,得到所述第一序列,包括:
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
10.根据权利要求9所述的方法,其特征在于,所述根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列,包括:
获取所述用户策略中的源地址和目的地址;
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
11.根据权利要求10所述的方法,其特征在于,所述第一序列与根据源地址和目的地址所确定的转发路径中的部分或全部匹配。
12.根据权利要求9所述的方法,其特征在于,所述根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列,包括:
获取所述用户策略中的目标地址;
根据网络拓扑、网络延迟、网络流量的负载均衡中的至少一个,得到所述第一序列。
13.根据权利要求12所述的方法,其特征在于,所述第一序列中所指示的部分或全部功能模块是与所述目标地址网络可达的功能模块。
14.根据权利要求1所述的方法,其特征在于,所述将所述第一序列下发,包括:
将所述第一序列以及第一序列中各个功能模块的对应策略下发,其中所述各个功能模块的对应策略是根据所述用户策略得到的。
15.一种功能编排方法,其特征在于,所述方法包括:
接收第一序列;
其中,所述第一序列是根据用户策略得到的,所述用户策略表征用户期望的网络功能和/或安全功能。
16.根据权利要求15所述的方法,其特征在于,所述方法还包括
发送注册信息;所述注册信息携带有各个功能模块的标识信息、支持执行的网络功能的描述、支持执行的安全功能的描述中的至少一个。
17.根据权利要求15所述的方法,其特征在于,所述方法还包括:
发送运行状态信息;
其中,所述运行状态信息用于根据运行状态信息对多个功能模块进行选择,得到所述第一序列。
18.根据权利要求15所述的方法,其特征在于,所述接收第一序列包括:
接收所述第一序列以及功能模块的对应策略,其中所述功能模块的对应策略是根据所述用户策略得到的。
19.一种功能编排装置,其特征在于,包括:
获取单元,用于获取用户策略;所述用户策略表征用户期望的网络功能和/或安全功能;
处理单元,用于基于所述用户策略,得到第一序列;将所述第一序列下发。
20.一种功能编排装置,其特征在于,包括:
接收单元,用于接收第一序列;
其中,所述第一序列是根据用户策略得到的,所述用户策略表征用户期望的网络功能和/或安全功能。
21.一种设备,其特征在于,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求1至14任一项所述方法的步骤。
22.一种设备,其特征在于,包括处理器和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求15至18任一项所述方法的步骤。
23.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至14任一项所述方法的步骤,或者,实现权利要求15至18任一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210813724.2A CN117424804A (zh) | 2022-07-11 | 2022-07-11 | 功能编排方法、装置、设备及存储介质 |
| PCT/CN2023/104359 WO2024012240A1 (zh) | 2022-07-11 | 2023-06-30 | 功能编排方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210813724.2A CN117424804A (zh) | 2022-07-11 | 2022-07-11 | 功能编排方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117424804A true CN117424804A (zh) | 2024-01-19 |
Family
ID=89531287
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210813724.2A Pending CN117424804A (zh) | 2022-07-11 | 2022-07-11 | 功能编排方法、装置、设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN117424804A (zh) |
| WO (1) | WO2024012240A1 (zh) |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104348873B (zh) * | 2013-08-05 | 2019-03-29 | 中兴通讯股份有限公司 | 虚拟网元自动装载及虚拟机ip地址获取的方法与*** |
| JP6954267B2 (ja) * | 2016-03-28 | 2021-10-27 | 日本電気株式会社 | ネットワーク機能仮想化管理オーケストレーション装置と方法とプログラム |
| CN108092934A (zh) * | 2016-11-21 | 2018-05-29 | ***通信有限公司研究院 | 安全服务***及方法 |
| CN111683074A (zh) * | 2020-05-29 | 2020-09-18 | 国网江苏省电力有限公司信息通信分公司 | 一种基于nfv的安全网络架构和网络安全管理方法 |
| CN114205317B (zh) * | 2021-10-21 | 2023-07-21 | 北京邮电大学 | 基于sdn与nfv的服务功能链sfc资源分配方法及电子设备 |
-
2022
- 2022-07-11 CN CN202210813724.2A patent/CN117424804A/zh active Pending
-
2023
- 2023-06-30 WO PCT/CN2023/104359 patent/WO2024012240A1/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| WO2024012240A1 (zh) | 2024-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8019835B2 (en) | Automated provisioning of computing networks using a network database data model | |
| US7152109B2 (en) | Automated provisioning of computing networks according to customer accounts using a network database data model | |
| CN105893097A (zh) | 一种处理bios的选项信息的方法及装置 | |
| CN110912782B (zh) | 一种数据采集方法、装置及存储介质 | |
| CN109635019A (zh) | 请求处理方法、装置、设备及存储介质 | |
| CN112243264B (zh) | 一种业务定制的方法、***及网络设备 | |
| US10942785B2 (en) | Integration of software applications with infrastructure | |
| CN113949537A (zh) | 一种基于eBPF的防火墙管理方法和*** | |
| CN115934202A (zh) | 一种数据管理方法、***、数据服务网关及存储介质 | |
| CN113872951B (zh) | 混合云安全策略下发方法、装置、电子设备和存储介质 | |
| US20180324150A1 (en) | Integrated pcs functional competency assessment | |
| CN106059990A (zh) | 在可编程逻辑控制器***中自动设置协议的方法 | |
| US11805146B2 (en) | System and method for detection promotion | |
| CN114513419A (zh) | 安全策略配置方法及*** | |
| CN112235124A (zh) | 一种皮基站配置方法、装置、存储介质和电子装置 | |
| CN117424804A (zh) | 功能编排方法、装置、设备及存储介质 | |
| CN112422643B (zh) | 一种第三方接口保护的请求转发方法和装置 | |
| CN112583740B (zh) | 网络通信方法及装置 | |
| CN114244555A (zh) | 一种安全策略的调整方法 | |
| CN114595219A (zh) | 一种数据存储方法、装置和*** | |
| WO2020005475A1 (en) | Controlling communications between a plant network and a business network | |
| CN115514735B (zh) | 一种服务器真实ip地址的获取方法、装置和存储介质 | |
| CN112953807B (zh) | 交换机设备的vlan分配方法及装置 | |
| CN113765904B (zh) | 一种认证方法及装置 | |
| CN107465550B (zh) | 一种对接多厂商设备的控制项编排方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |