一种部署安全访问控制策略的方法及装置的制造方法
【技术领域】
[0001] 本发明涉及网络安全领域,特别是涉及一种部署安全访问控制策略的方法及装 置。
【背景技术】
[0002] 防火墙是一种用来加强网络之间的访问控制,防止外部网络用户以非法手段进入 内部网络,访问内部网络资源的网络安全系统。它对两个或多个网络之间传输的数据包按 照一定的安全访问策略来实施检查,以决定网络之间的通信是否被允许。
[0003] 在实际应用过程中,数据中心网络通常利用防火墙实现若干个安全域的划分。其 中,安全域是一个逻辑区域,区域内有相同或者相近的安全保护需求,并且同一安全域内部 发生数据流动的安全风险较小,而安全域之间,由于安全等级不同,通常是默认禁止访问 的。但是,由于安全域之间存在不可避免的交互,因此就需要对安全区域之间的安全访问控 制策略进行配置,以实现允许安全域之间的正常访问。
[0004] 参阅图1所示,为数据中心网络的划分和各部分访问关系的示意图,其中,以一 般web应用的应用组件架构为例进行说明,一个典型的web应用,包括网页服务器(Web Server)、应用服务器(App Server)和数据库服务器(DB Server)三层架构。具体的,Web Server向网页浏览器(Web Browser)开放网页(Web)服务端口,即Web Browser可以访问 Web Server 的资源,App Server 向 Web Server 开放应用(App)服务端口,即 Web Server 可以访问App Server的资源,DB Server向App Server开放数据库(Database,DB)的服务 端口,即App Server可以访问DB Server的资源,DB只允许本应用内的App Server,而不 能允许其他App Server对其进行访问,参阅图2所示,App Serverl不能访问DB Server2 中的DB。因此,需要针对每个应用组件设置安全访问控制策略。
[0005] 目前,在数据中心网络部署时,所有安全访问控制策略均需要手动设置。用户首先 在云管理平台上部署应用,即创建应用组件和对应的虚拟机,然后获取应用中每个应用组 件对应虚拟机的IP地址,最后根据获取到的各个虚拟机的IP地址,在防火墙中设置对应每 个应用组件的安全访问控制策略。现有技术中,在防火墙上设置安全访问控制策略需要管 理员手动完成,因此,配置工作比较繁重且配置过程比较费时,且存在人为配置错误的可能 性。
【发明内容】
[0006] 本发明实施例提供一种部署安全访问控制策略的方法及装置,用以解决现有技术 中存在的由于安全访问控制策略配置需要手动完成,造成配置工作繁重、费时,且存在人为 配置错误的可能性的问题。
[0007] 本发明实施例提供的具体技术方案如下:
[0008] 第一方面,本发明实施例提供一种部署安全访问控制策略的方法,包括:
[0009] 云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所 述应用模板的安全模板;
[0010] 云管理平台通知虚拟化平台根据所述应用模板为所述应用中的每一个应用组件 创建对应的虚拟机,并获取所述虚拟化平台创建的每一个虚拟机的IP地址;
[0011] 云管理平台根据所述每一个虚拟机的IP地址,采用所述安全模板生成对应所述 应用的一组安全访问控制策略;
[0012] 云管理平台下发所述一组安全访问控制策略至对应的防火墙。
[0013] 结合第一方面,在第一方面的第一种可能的实现方式中,在云管理平台根据创建 应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之前, 还包括:
[0014] 云管理平台根据预设的应用组件配置参数生成至少一个应用模板;
[0015] 云管理平台根据预设的安全参数,针对所述任意一个应用模板生成对应的安全模 板,其中,所述安全模板至少包括一条安全访问控制策略模板。
[0016] 结合第一方面,或第一方面的第一种可能的实现方式,在第二种可能的实现方式 中,云管理平台根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所述应 用模板的安全模板之后,还包括:
[0017] 云管理平台根据所述创建应用指令中携带的安全配置信息,对已确定的所述安全 模板进行修改,并将修改完成的安全模板作为创建所述应用对应的安全模板。
[0018] 结合第一方面,或以上第一方面的任何一种可能的实现方式,在第三种可能的实 现方式中,所述方法还包括:
[0019] 当所述云管理平台根据所述创建应用指令中携带的所述应用的弹性策略,确定所 述应用中包括的第一类型应用组件满足所述弹性策略中的横向扩展条件时,通知虚拟化平 台新添加一个第一类型应用组件对应的虚拟机,获取新添加的应用组件对应虚拟机的IP 地址;
[0020] 所述云管理平台确定所述第一类型应用组件存在对应的安全访问控制策略时, 根据所述新添加的应用组件对应虚拟机的IP地址,采用所述安全模板中对应所述第一类 型应用组件的安全访问控制策略模板为所述新添加的应用组件生成一条安全访问控制策 略;
[0021] 云管理平台下发为所述新添加的应用组件配置对应的安全访问控制策略至对应 的防火墙;
[0022] 其中,所述横向扩展条件是指所述应用中的第一类型应用组件的预设参数达到第 一阈值时,新添加一个第一类型应用组件。
[0023] 结合第一方面,或以上第一方面的任何一种可能的实现方式,在第四种可能的实 现方式中,所述方法还包括:
[0024] 当所述云管理平台根据所述创建应用指令中携带的所述应用的弹性策略,确定所 述应用中包括的第一类型应用组件满足所述弹性策略中的横向收缩条件时,通知虚拟化平 台删除任意一个第一类型应用组件对应的虚拟机;
[0025] 所述云管理平台确定所述任意一个第一类型应用组件存在对应的安全访问控制 策略时,通知所述防火墙删除所述任意一个第一类型应用组件对应的安全访问控制策略;
[0026] 其中,所述横向收缩条件是指当所述应用中的第一类型应用组件的预设参数低于 第二阈值时,删除任意一个第一类型应用组件。
[0027] 结合第一方面,或以上第一方面的任何一种可能的实现方式,在第五种可能的实 现方式中,云管理平台下发所述一组安全访问控制策略至对应的防火墙之后,还包括:
[0028] 当所述云管理平台根据应用迀移指令确定所述应用所在网络环境发生变化时,通 知所述虚拟化平台根据所述应用模板为所述应用中的每一个应用组件创建对应的新虚拟 机,并获取每一个新虚拟机的IP地址;
[0029] 所述云管理平台将所述应用中的每一个应用组件对应的原虚拟机中的数据同步 至对应的所述新虚拟机中,并
[0030] 删除所述应用中每一个应用组件对应的原虚拟机,以及通知所述防火墙删除原来 为所述应用配置的一组安全访问控制策略;
[0031] 云管理平台根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述安全 模板生成一组新安全访问控制策略;
[0032] 云管理平台下发所述一组新安全访问控制策略至对应的防火墙。
[0033] 第二方面,本发明实施例提供一种部署安全访问控制策略的方法,包括:
[0034] 当云管理平台根据应用迀移指令确定应用所在网络环境发生变化时,通知虚拟化 平台根据所述应用对应的应用模板为所述应用中的每一个应用组件创建对应的新虚拟机, 并获取每一个新虚拟机的IP地址;
[0035] 所述云管理平台将所述应用中的每一个应用组件对应的原虚拟机中的数据同步 至对应的所述新虚拟机中,并
[0036] 删除所述应用中每一个应用组件对应的原虚拟机,以及通知防火墙删除原来为所 述应用配置的一组安全访问控制策略;
[0037] 云管理平台根据所述每一个应用组件对应的新虚拟机的IP地址,采用所述应用 对应的安全模板生成一组新安全访问控制策略;
[0038] 云管理平台下发所述一组新安全访问控制策略至对应的防火墙。
[0039] 结合第二方面,在第二方面的第一种可能的实现方式中,当云管理平台根据应用 迀移指令确定应用所在网络环境发生变化时,还包括:
[0040] 云管理平台根据所述应用迀移指令中携带的安全配置信息,对所述应用对应的安 全模板进行修改,并采用修改完成的安全模板作为所述应用对应的安全模板。
[0041] 第三方面,本发明实施例提供一种部署安全访问控制策略的装置,包括:
[0042] 确定单元,用于根据创建应用指令确定所需创建的应用采用的应用模板,以及对 应所述应用模板的安全模板;
[0043] 创建单元,用于通知虚拟化平台根据所述确定单元确定的所述应用模板为所述应 用中的每一个应用组件创建对应的虚拟机,并获取所述虚拟化平台创建的每一个虚拟机的 IP地址;
[0044] 生成单元,用于根据所述创建单元获取的所述每一个虚拟机的IP地址,采用所述 确定单元确定的所述安全模板生成对应所述应用的一组安全访问控制策略;
[0045] 下发单元,用于下发所述生成单元生成的所述一组安全访问控制策略至对应的防 火墙。
[0046] 结合第三方面,在第三方面的第一种可能的实现方式中,在所述确定单元根据创 建应用指令确定所需创建的应用采用的应用模板,以及对应所述应用模板的安全模板之 前,还包括:
[0047] 模板生成单元,用于根据预设的应用组件配置参数生成至少一个应用模板;
[0048] 以及根据预设的安全参数,针对所述任意一个应用模板生成对应的安全模板,其 中,所述安全模板至少包括一条安全访问控制策略模板。
[0049] 结合第三方面,或第三方面的第一种可能的实现方式,在第二种可能的实现方式 中,在所述确定单元根据创建应用指令确定所需创建的应用采用的应用模板,以及对应所 述应用模板的安全模板之后,还包括:
[0050] 模板修改单元,用于根据所述创建应用指令中携带的安全配置信息,对已确定的 所述安全模板进行修改,并将修改完成的安全模板作为创建所述应用对应的安全模板。
[0051] 结合第一方面,或以上第一方面的任何一种可能的实现方式,在第三种可能的实 现方式中,所述装置还包括:
[0052] 扩展单元,用于当所述根据所述创建应用指令中携带的所述应用的弹性策略,确 定所述应用中包括的第一类型应用组件满足所述弹性策略中的横向扩展条件时,通知虚拟 化平台新添加一个第一类型应用组件对应的虚拟机,获取新添加的应用组件对应虚拟机的 IP地址;
[0053] 以及确定所述第一类型应用组件存在对应的安全访问控制策略时,根据所述新添 加的应用组件对应虚拟机的IP地址,采用所述安全模板中对应所述第一类型应用组件的 安全访问控制策略模板为所述新添加的应用组件生成一条安全访问控制策略;
[0054] 下发为所述新添加的应用组件配置对应的安全访问控制策略至对应的防火墙;
[