对策略进行编排的实现方法及装置与流程

本发明涉及网络安全
技术领域：
，尤其涉及对策略进行编排的实现方法及装置。
背景技术：
：本部分旨在为权利要求书中陈述的本发明实施例提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。现有防火墙设备上的策略有访问控制策略(安全策略)、snat(源地址转换)、dnat(目的地址转换)以及路由策略等。每个设备在实际的网络中，由于业务场景不同，可能只需要开通部分业务，比如访问控制策略，或者访问控制策略和路由策略，或者访问控制策略和dnat策略等。当某个设备需要支持多个策略相关的业务场景时，需要适配不同厂家的转发路径。现有的策略开通有两种：1.基于设备的，每次只能开通某个类型的策略，而且无法支持合规检测；2.基于业务系统或者子网的端到端开通，这种开通方法，无法支持nat的开通，也无法支持对策略所在设备以及安全域的精确定位。随着云计算业务的发展，防火墙功能在数据中心通过nfv(网络功能虚拟化，networkfunctionsvirtualization)方式实现，一般会通过多个nfv设备，分别承载不同的策略功能；同时还需要安全组业务以及边界防火墙共同协作，满足东西向以及南北向流量的防护。无论是基于设备的或者基于业务系统的方式，各个策略功能是完全割裂的，无法满足策略功能之间的关联关系以及不同nfv设备之间的关联关系。因此，现有策略开通的灵活性差、效率低。技术实现要素：本发明实施例提供一种对策略进行编排的实现方法，用以提升策略开通的灵活性和效率，该方法包括：根据业务场景和预设策略模板，确定业务所需的策略路径；将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。本发明实施例还提供一种对策略进行编排的实现装置，用以提升策略开通的灵活性和效率，该装置包括：确定单元，用于根据业务场景和预设策略模板，确定业务所需的策略路径；实例化单元，用于将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；匹配单元，用于根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；处理单元，用于将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述对策略进行编排的实现方法。本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述对策略进行编排的实现方法的计算机程序。本发明实施例中，对策略进行编排的实现方案，与现有技术中无法高效灵活地进行策略开通的技术方案相比，通过：根据业务场景和预设策略模板，确定业务所需的策略路径；将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略，实现了将策略与设备解耦，无需关注底层的设备形态，自动生成所需的策略，提高了策略开通的灵活性和效率。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：图1为本发明实施例中对策略进行编排的实现方法的流程示意图；图2为本发明实施例中一实例化过程的原理示意图；图3为本发明实施例中另一实例化过程的原理示意图；图4为本发明实施例中又一实例化过程的原理示意图；图5为本发明实施例中对策略进行编排的实现装置的结构示意图。具体实施方式为使本发明实施例的目的、技术方案和优点更加清楚明白，下面结合附图对本发明实施例做进一步详细说明。在此，本发明的示意性实施例及其说明用于解释本发明，但并不作为对本发明的限定。由于发明人发现现有技术存在的技术问题，因此提出了一种对策略进行自动编排的实现方案，该方案根据策略模板确定业务所需的策略路径；将策略路径实例化，确定策略路径所关联的设备和地址空间以及策略的输入/输出参数；根据策略申请信息匹配策略路径，将策略申请信息按照所匹配的策略路径进行策略分解，并生成相关的策略，从而实现了策略的自动编排。策略路径由有序的策略列表、入口和出口、方向构成。本发明将策略与设备解耦，提高了策略开通的灵活性和效率。下面对该对策略进行编排的实现方案进行详细介绍。图1为本发明实施例中对策略进行编排的实现方法的流程示意图，如图1所示，该方法包括如下步骤：步骤101：根据业务场景和预设策略模板，确定业务所需的策略路径；步骤102：将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；步骤103：根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；步骤104：将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。本发明实施例提供的对策略进行编排的实现方法中，用户根据业务需求，自定义策略流水线，无需关注底层的设备形态，由系统根据策略路径的定义，自动生成所需的策略，并下发到安全设备，从而实现了策略的自动开通，提高了策略开通的灵活性和效率。为了便于理解本发明如何实施，下面对本发明实施例提出的对策略进行编排的实现方法进行整体介绍。本发明实施例提出的对策略进行编排的实现方法实现步骤下：1.根据业务场景以及策略模板，确定业务所需的策略路径，即上述步骤101：a)其中策略模板可以是系统定义，也可以自定义；策略可以为acl(访问控制列表)策略，域间策略，静态路由，nat策略等等。b)可以利用策略路径标识唯一标识一条策略路径，在一个实施例中，策略路径可以包括：有序的策略列表、入口、出口以及方向。2.策略路径实例化，确定策略路径所关联的设备以及地址空间以及策略的输入/输出参数，即上述步骤102：在一个实施例中，将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数，可以包括：将所述策略路径实例化，确定每一类型策略路径所关联的物理设备和/或nfv设备，入口和出口的子网空间，在策略包括nat策略时的nat地址空间，以及策略的输入、输出参数及参数类型。该实例化的实施方式进一步提高了策略开通的灵活性和效率。下面对该步骤进行详细介绍。a)确定策略路径所关联的物理设备以及nfv设备(这里的设备是指执行策略的设备，策略路径最终会被分解为策略，并在设备上执行策略)，具体地：(1)若策略由nfv设备承载，则可以由系统自动完成nfv设备以及入口和出口的实例化过程；(2)若策略路径由物理设备承载，则可以手动确定策略路径的入口以及出口所关联的设备接口。通过上述可知，在一个实施例中，将所述策略路径实例化，确定每一类型策略路径所关联的设备，可以包括：若策略路径由nfv设备承载，自动完成nfv设备以及入口和出口的实例化过程；若策略路径由物理设备承载，手动确定策略路径的入口以及出口所关联的设备接口。具体实施时，上述实例化的实施方式进一步提高了策略开通的效率和灵活性。b)确定策略路径的地址空间可以包括子网和nat地址：(1)确定入口和出口的子网空间以及nat地址空间；(2)子网可以通过分析路由表、关联业务系统或者手动配置的方式确定；(3)nat地址可以通过分析nat策略或者手动配置的方式确定；(4)策略路径的入口和出口的子网不能有交集，即在一个实施例中，上述对策略进行编排的实现方法还可以包括：确定策略路径的入口和出口的子网不能有交集，保证了策略开通的准确性。(5)nat地址只能关联策略路径的入口或出口，在进行nat地址规划时，可以按照nat策略划分，一部分nat地址给snat使用，另一部分给dnat使用。snat使用的nat地址关联出口，dnat使用的nat地址关联入口，nat地址关联策略路径的入口或出口，方便运维管理，提高了便利性。c)根据业务场景确定策略的配置方式和输入/输出参数：(1)根据业务场景，确定策略的输入/输出参数以及参数类型；(2)确定输入/输出参数：比如源地址作为输入参数，或者源地址和目的地址作为输入参数，nat地址作为输出参数等；(3)确定命令行中各个元素的类型，命令行的元素由输入和输出参数构成；(4)优选地，根据地址的规划方式确定nat策略地址转换模式，转换模式可以是一对一转发、多对一转发、端口映射或者地址映射等。3.当策略支持混合模式时，指定缺省模式；将策略申请信息匹配策略路径，即上述步骤103：a)在一个实施例中，策略申请信息可以包括源/目的地址、源/目的端口、协议以及策略路径标识，其中策略路径标识为可选参数。b)可选地，将策略申请信息的源地址和目的地址，匹配策略路径的地址空间(申请信息中的地址可能是nat地址，也可能不是，具体地可以优先匹配nat地址空间，如果匹配不成功，再去匹配子网空间，匹配结果不一样，生成命令行的参数也不同)，优先匹配nat地址空间。c)可选的，策略申请信息中可以携带策略路径标识，进一步地，还可以校验策略申请信息是否与策略路径匹配，保证了策略开通的准确性。4.将策略申请信息按照所匹配的策略路径所构成的策略进行分解，并结合策略实例化信息，最终生成所需的策略，即上述步骤104：在一个实施例中，将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略，可以包括：根据策略申请信息，确定所匹配出的策略路径所构成的策略，以及各个策略之间的关系；确定每一策略对应的需要开通的策略申请信息；根据每一策略对应的需要开通的策略申请信息，以及各个策略之间的关系，将每一策略与设备上的现有策略进行比对分析；根据分析结果以及策略命令行的各个元素的类型，确定所生成的命令行。具体实施时，上述生成最终策略的实施方式进一步提高了策略开通的效率和灵活性。下面进行详细介绍。a)将策略申请信息按照策略路径所构成的策略进行分解，确定所需的策略；遍历策略路径中的策略，根据策略输入/输出参数以及策略申请信息，确定策略所需的元素；可选的，可以根据入口和出口所关联的接口，确定策略的源作用域和目的作用域，进一步提高了策略开通的灵活性、准确性和效率；确定了各个策略之间的关系，例如策略路径中后面的策略依赖前面策略的处理结果，前面策略的输出可以作为后面策略的输入参数；比如，源nat策略的输出可以作为后续安全策略的输入，进一步提高了策略开通的灵活性、准确性和效率；b)将所生成的策略，与现有的策略进行比对分析；根据分析结果，更新或者新增策略：将策略分析结果结合策略所对应的命令行元素类型，生成所需策略的命令行。为了便于理解本发明如何实施，下面举例进行详细介绍。一、实现场景1：物理防火墙策略的开通。防火墙设备a是一台物理防火墙，需要对外提供内部服务器的web服务。因此，确定策略路径为安全策略-dnat策略，具体步骤如下：1.运维人员可以在策略模板库中，选择所需的安全策略模板和dnat(destinationnetworkaddresstranslation，目的地址转换)策略模板，构建策略路径。2.策略路径实例化，将策略路径关联防火墙设备a，并进一步地确定策略路径的地址空间，具体地，如图2所示：将策略路径的入口关联接口为ge1，出口关联接口为ge2。子网空间为：入口处的nat(networkaddresstranslation，网络地址转换)地址空间为100.100.0.1-20，子网地址为100.100.1.0/24，出口处的子网地址为10.10.1.0/24。进一步地，根据地址规划确定nat地址转换方式。进一步地，根据实际使用习惯，确定策略路径以及策略的输入和输出参数，以及输出参数的类型。策略根据自身特点，系统设置默认参数和格式。本实施例中，策略路径的输入参数可以为：源地址，目的地址，nat地址，协议和端口。3.假设收到工单请求：需要将内部服务器10.10.1.1的web业务(tcp：80)，通过nat地址100.100.0.1对外提供服务。即申请信息为源地址：any，目的地址10.10.1.1，协议/端口：tcp/80，nat地址：100.100.0.1。首先将nat地址100.100.0.1去匹配nat地址空间，匹配到地址100.100.0.1，确定工单请求所对应的策略路径。将申请信息按照策略路径进行分解，即分解为安全策略和dnat策略，并将申请信息分解为安全策略和dnat策略所需的输入和输出参数：1)根据所申请的nat地址和目的地址，以及端口，确定dnat策略的构成；进一步地，根据nat地址空间所关联的入口，确定dnat策略作用域所对应的接口；需要开通的dnat策略信息如下表1所示：策略类型映射方式接口源地址目的地址服务nat地址dnat端口映射ge110.10.1.1tcp:80100.100.0.1表12)根据策略路径的入口和出口，确定安全策略所关联的安全域，以及安全策略与dnat的关系以及策略特点，需要开通的安全策略信息如下表2：策略类型源安全域目的安全域源地址目的地址服务动作安全策略untrusttrust10.10.1.1tcp:80允许表24.将所生成的安全策略和dnat策略与设备上的现有策略进行比对分析，确定更新或者新增策略。5.结合分析结果以及策略命令行的各个元素的类型，确定所生成的命令行为：目的nat命令行如下：dnatrulefromanyto10.10.1.1servicetcp:80trans-to100.100.0.1安全策略命令行如下：rule1source-zoneuntrustdestination-zonetrustsource-ipanydestination-ip10.10.1.1servicetcp:80permit二、实现场景2：基于nfv的防火墙策略开通。分支机构需要访问总部的内部服务器，客户根据需求，对分支机构的访问请求进行安全防护。本实施例中，总部通过安全资源池实施安全防护，因此需要通过nfv设备实现防火墙的acl和nat功能。实施步骤如下：1.客户根据需求，选择策略模板，建立acl+nat的策略路径，策略路径标识为100。a)通过acl对分支机构的地址进行准入控制校验；b)通过nat地址转换，实现内部服务对外提供服务；2.策略路径实例化，系统根据策略路径自动实例化所需的nfv设备，其中vm1用来实现acl功能，vm2用来实现nat功能。vm1的入口是eth1，vm2的出口是eth4。入口处的nat地址空间为100.100.0.21-40，子网地址为100.100.2.0/24，出口处的子网地址为10.10.2.0/24，如图3所示。3.假设收到工单：源地址：130.100.1.10，目的地址为100.100.0.21，服务为tcp:80的访问请求。将目的地址去匹配nat地址空间，匹配到地址100.100.0.21。系统根据申请信息和策略路径，将申请信息分解为acl策略和dnat策略。需要开通的dnat策略信息如下表3所示：策略类型映射方式接口源地址目的地址服务nat地址dnat端口映射eth310.10.2.1tcp:80100.100.0.21表3需要开通的acl信息如下表4：策略类型源地址目的地址服务动作acl130.100.1.10100.100.0.21tcp:80允许表44.将所生成的acl与acl设备上现有策略进行比对，同时将所生产的dnat策略与nat设备的现有策略进行比对；若策略已经存在，则可以复用设备上的现有策略，本实施例中，nat策略可能已经存在。5.根据比对结果以及命令行中各个元素的类型，生成策略对应的命令行，并下发到对应的设备。三、实现场景3：基于数据中心的安全防护的策略开通。数据中心分别由边界墙以及安全组分别进行南北向以及东西向流量的防护。对于外部的流量需要经过边界墙以及安全组等策略，而nat转换由边界墙完成；因此策略路径由安全策略、dnat以及安全组构成。流量先进行安全策略，再经过dnat，最后由安全组的执行点执行访问控制策略。安全策略和dnat由边界墙实现，而安全组由安全组执行点即vfw(分布式虚拟防火墙)执行。1.客户根据需求，选择策略模板，建立安全策略+nat+安全组的策略路径。通过安全策略和安全组进行准入控制校验；通过nat地址转换，实现内部服务对外提供服务。2.策略路径实例化，系统根据策略路径自动实例化所需的设备，其中防火墙a用来实现安全策略和dnat功能，vfw用来实现安全组功能。如图4所示，防火墙a的入口是ge1，出口是ge2；vfw的入口是eth1，出口是eth2。入口处的nat地址空间为100.100.0.1-20，子网地址为100.100.1.0/24，出口处的子网地址为10.10.1.0/24。3.假设收到目的地址为100.100.0.1，服务为tcp:80的访问请求。首先将目的地址去匹配nat地址空间，匹配到地址100.100.0.1，故需要开通dnat策略。运维人员根据业务确定策略路径为安全策略、dnat策略以及安全组，访问请求需要先经过防火墙a，再经过vfw，然后再到内部服务器。需要开通的dnat策略信息如下表5所示：策略类型映射方式接口源地址目的地址服务nat地址dnat端口映射ge110.10.1.1tcp:80100.100.0.1表5需要开通的安全策略信息如下表6所示：策略类型源安全域目的安全域源地址目的地址服务动作安全策略untrusttrust10.10.1.1tcp:80允许表6需要开通的安全组信息如下表7所示：策略类型协议类型端口授权类型授权对象授权策略规则方向安全组tcp80地址段访问10.10.1.1允许入方向表74.将所生成的安全策略和dnat策略与防火墙设备上的现有策略进行比对，同时将安全组与vfw上的安全组进行对比，确定更新或者新增策略。5.根据比对结果以及命令行中各个元素的类型，生成策略对应的命令行，并下发到对应的设备。综上，本发明提供的对策略进行编排的实现方法的优点是：1、本发明可以根据需求自动生成策略并下发到设备，自动化程度高，减少了运维成本。2、本发明支持单设备、nfv和数据中心等场景的策略开通。本发明实施例中还提供了一种对策略进行编排的实现装置，如下面的实施例所述。由于该装置解决问题的原理与对策略进行编排的实现方法相似，因此该装置的实施可以参见对策略进行编排的实现方法的实施，重复之处不再赘述。图5为本发明实施例中对策略进行编排的实现装置的结构示意图，如图5所示，该装置包括：确定单元01，用于根据业务场景和预设策略模板，确定业务所需的策略路径；实例化单元02，用于将所述策略路径实例化，确定每一类型策略路径所关联的设备、地址空间以及策略的输入和输出参数；匹配单元03，用于根据策略申请信息，从所有类型策略路径中匹配出申请信息对应的策略路径；处理单元04，用于将策略申请信息按照所匹配出的策略路径所构成的策略进行分解，并结合匹配出的策略路径所关联的设备、地址空间以及策略的输入和输出参数，生成最终策略。在一个实施例中，所述策略路径可以包括：有序的策略列表、入口、出口以及方向；所述策略申请信息可以包括：源地址、目的地址、源端口、目的端口、协议以及策略路径标识。在一个实施例中，所述处理单元具体可以用于：根据策略申请信息，确定所匹配出的策略路径所构成的策略，以及各个策略之间的关系；确定每一策略对应的需要开通的策略申请信息；根据每一策略对应的需要开通的策略申请信息，以及各个策略之间的关系，将每一策略与设备上的现有策略进行比对分析；根据分析结果以及策略命令行的各个元素的类型，生成所需策略的命令行。在一个实施例中，所示实例化单元具体可以用于：将所述策略路径实例化，确定每一类型策略路径所关联的物理设备和/或网络功能虚拟化nfv设备，入口和出口的子网空间，在策略包括nat策略时的nat地址空间，以及策略的输入、输出参数和参数类型。在一个实施例中，所示实例化单元具体可以用于：若策略路径由nfv设备承载，自动完成nfv设备以及入口和出口的实例化过程；若策略路径由物理设备承载，手动确定策略路径的入口以及出口所关联的设备接口。在一个实施例中，对策略进行编排的实现装置还包括校验单元，用于确定策略路径的入口和出口的子网不能有交集。本发明实施例还提供一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述对策略进行编排的实现方法。本发明实施例还提供一种计算机可读存储介质，所述计算机可读存储介质存储有执行上述对策略进行编排的实现方法的计算机程序。本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施例而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。当前第1页12