CN115603923A - 一种访问控制列表acl策略管理方法、装置及相关设备 - Google Patents
一种访问控制列表acl策略管理方法、装置及相关设备 Download PDFInfo
- Publication number
- CN115603923A CN115603923A CN202110722965.1A CN202110722965A CN115603923A CN 115603923 A CN115603923 A CN 115603923A CN 202110722965 A CN202110722965 A CN 202110722965A CN 115603923 A CN115603923 A CN 115603923A
- Authority
- CN
- China
- Prior art keywords
- policy
- acl
- strategy
- management tree
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
本申请公开了一种访问控制列表ACL策略管理方法,所述ACL策略管理方法包括:将多个代理模块划分至多个策略执行组;其中,所述代理模块为客户端中用于执行ACL策略的模块;将所述代理模块和所述策略执行组的系统网络结构抽象为策略管理树;其中,所述策略管理树中的子节点继承父节点中配置的ACL策略;接收用户配置策略,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块。本申请能够提高ALC策略的配置效率。本申请还公开了一种访问控制列表ACL策略管理装置、一种电子设备及一种存储介质,具有以上有益效果。
Description
技术领域
本申请涉及网络安全技术领域,特别涉及一种访问控制列表ACL策略管理方法、装置、一种电子设备及一种存储介质。
背景技术
在当前网络环境日益复杂、安全性问题逐渐增加的情况下,网络系统中的东西向安全隔离成为当前研究的一个热点问题,相关技术中通常在代理模块配置访问控制列表(Access Control Lists,ACL)策略来实现内网之间的访问隔离控制。ACL是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。目前在网络系统配置ACL策略需要业务人员登录不同的代理模块配置相应的策略使其生效,当网络规模变的复杂,人工配置的策略量就会增加,会导致配置策略的错误和冗余。
因此,如何提高ALC策略的配置效率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种访问控制列表ACL策略管理方法、装置、一种电子设备及一种存储介质,能够提高ALC策略的配置效率。
为解决上述技术问题,本申请提供一种访问控制列表ACL策略管理方法,该ACL策略管理方法包括:
将多个代理模块划分至多个策略执行组;其中,所述代理模块为客户端中用于执行ACL策略的模块;
将所述代理模块和所述策略执行组的系统网络结构抽象为策略管理树;其中,所述策略管理树中的子节点继承父节点中配置的ACL策略;
接收用户配置策略,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块。
可选的,所述将多个代理模块划分至多个策略执行组包括:
根据所述代理模块所在客户端的设备属性将多个所述代理模块划分至多个所述策略执行组;其中,所述设备属性包括设备类型、业务类型和设备位置中的任一项或任几项的组合。
可选的,将所述目标ACL策略下发至对应的策略执行组中的代理模块,包括:
判断所述目标ACL策略与所述策略管理树中已生效的ACL策略是否存在冲突;
若是,则返回ACL策略设置失败的提示信息;
若否,则将所述目标ACL策略下发至对应的策略执行组中的代理模块。
可选的,在根据所述代理模块和所述策略执行组的对应关系构建策略管理树之后,还包括:
根据接收到的策略删除指令确定待删除ACL策略;
若所述策略管理树中存在所述待删除ACL策略对应的目标叶子结点,且所述目标叶子结点中存在策略信息,则删除所述目标叶子结点中的策略信息。
可选的,还包括:
在可视化界面显示所述策略管理树;
若所述策略管理树中添加或删除ACL策略,则更新所述可视化界面中显示的策略管理树。
可选的,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块,包括:
在所述策略管理树中生成所述用户配置策略对应的节点,并根据所述用户配置策略对应的节点中记录的策略信息确定所述用户配置策略对应的目标ACL策略;其中,所述策略管理树的根节点为策略动作,子节点包括源端口、目的端口和策略执行组标签,所述策略执行组标签包括源标签和目的标签;
调换所述目标ACL策略中的源标签和目的标签得到逆向ACL策略,并将所述目标ACL策略和所述逆向ACL策略下发至对应的策略执行组中的代理模块。
可选的,在根据所述代理模块和所述策略执行组的对应关系构建策略管理树之前,还包括:
为所述代理模块绑定唯一对应的身份标识;
相应的,所述目标ACL策略的五元组配置信息包括源代理模块的身份标识、目的代理模块的身份标识、源端口、目的端口和通信协议。
本申请还提供了一种访问控制列表ACL策略管理装置,该装置包括:
分组模块,用于将多个代理模块划分至多个策略执行组;其中,所述代理模块为客户端中用于执行ACL策略的模块;
管理树构建模块,用于将所述代理模块和所述策略执行组的系统网络结构抽象为策略管理树;其中,所述策略管理树中的子节点继承父节点中配置的ACL策略;
策略配置模块,用于接收用户配置策略,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述访问控制列表ACL策略管理方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述访问控制列表ACL策略管理方法执行的步骤。
本申请提供了一种访问控制列表ACL策略管理方法,包括:将多个代理模块划分至多个策略执行组;其中,所述代理模块为客户端中用于执行ACL策略的模块;将所述代理模块和所述策略执行组的系统网络结构抽象为策略管理树;其中,所述策略管理树中的子节点继承父节点中配置的ACL策略;接收用户配置策略,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块。
本申请将用于执行ACL策略的代理模块划分至多个策略执行组,进而根据代理模块和策略组的对应关系构建策略管理树。接收到用户配置策略之后可以将用户配置策略映射为目标ACL策略,并将目标ACL策略下发至对应的策略执行组中的代理模块,以便实现下放一次ACL策略可以配置多个代理模块。本申请基于策略管理树向策略执行组下发ACL策略,无需逐个登录代理模块并配置ACL策略,可以批量化地对策略执行组内的代理模块执行ACL策略配置操作,因此本申请能够提高ALC策略的配置效率。本申请同时还提供了一种访问控制列表ACL策略管理装置、一种电子设备和一种存储介质,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种访问控制列表ACL策略管理方法的流程图;
图2为本申请实施例所提供的一种策略管理树添加ACL策略的方法的流程图;
图3为本申请实施例所提供的一种策略管理树删除ACL策略的方法的流程图;
图4为本申请实施例所提供的一种代理模块分组的示意图;
图5为本申请实施例所提供的一种策略管理树的结构示意图;
图6为本申请实施例所提供的一种ACL策略下发生效示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种访问控制列表ACL策略管理方法的流程图。
具体步骤可以包括:
S101:将多个代理模块划分至多个策略执行组;
其中,本实施例可以应用于集中管理平台,集中管理平台可以与多个客户端连接,代理模块Agent为客户端中用于执行ACL策略的最小实体单位。本实施例可以预先获取多个代理模块所在客户端的设备属性,并基于上述设备属性将多个代理模块划分至多个策略执行组。作为一种可行的实施方式,上述设备属性包括设备类型、业务类型和设备位置中的任一项或任几项的组合。
本实施例不限定策略执行组中代理模块的数量,一个代理模块可以同时属于任意数量个策略执行组。进一步的,一个策略执行组内可以包括任意数量个子策略执行组。
S102:根据代理模块和策略执行组的对应关系构建策略管理树;
其中,在将多个代理模块划分至多个策略执行组的基础上,本实施例可以根据代理模块和策略执行组的对应关系,将各个代理模块和策略执行组抽象为策略管理树。
策略管理树的根节点为策略执行的动作(如允许或禁止),策略管理树的子节点包括源端口、目的端口和策略执行组标签。策略执行组标签为根据策略执行组划分规则设置的唯一的标签,根据策略执行组标签可以确定该策略执行组内的代理模块。策略管理树中的子节点继承父节点中配置的ACL策略,因此可以通过配置父节点的ACL策略,使得该父节点的所有子节点均配置有相应的ACL策略。
S103:接收用户配置策略,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块。
其中,在接收到用户的配置策略之后,本实施例可以基于策略管理树的树形算法将生成用户配置策略对应的节点,以便在策略管理树添加目标ACL策略。具体的,用户配置策略可以包括需要配置ACL的策略执行组的策略执行组标签以及策略需要执行的动作。例如,用户配置策略可以为允许A地的所有设备向B地的所有设备发送信息,此时可以根据策略管理树生成用户配置策略对应的节点以便添加目标ACL策略,并将目标ACL策略下发至A地和B地对应的策略执行组内所有的代理模块,以使目标ACL策略生效。
本实施例将用于执行ACL策略的代理模块划分至多个策略执行组,进而根据代理模块和策略组的对应关系构建策略管理树。在接收到用户配置策略之后可以将用户配置策略映射为目标ACL策略,并将目标ACL策略下发至对应的策略执行组中的代理模块,以便实现下放一次ACL策略可以配置多个代理模块。本实施例可以将目标ACL策略下发至策略执行组中的部分代理模块或所有代理模块。本实施例基于策略管理树向策略执行组下发ACL策略,无需逐个登录代理模块并配置ACL策略,可以批量化地对策略执行组内的代理模块执行ACL策略配置操作,因此本实施例能够提高ALC策略的配置效率。
作为对于图1对应实施例的进一步介绍,由于策略管理树中记录有已生效的ACL策略,新添加的ACL策略可能会与已生效的ACL策略产生冲突,因此在将所述目标ACL策略下发至对应的策略执行组中的代理模块之前可以先判断所述目标ACL策略与所述策略管理树中已生效的ACL策略是否存在冲突;若是,则返回ACL策略设置失败的提示信息;若否,则将所述目标ACL策略下发至对应的策略执行组中的代理模块。
进一步的,本实施例可以预先设置对应的规则判断两条ACL策略是否冲突,例如可以通过遍历ACL策略字段是否重复,若重复则说明两条ACL策略冲突,进而结束ACL策略添加流程。请参见图2,图2为本申请实施例所提供的一种策略管理树添加ACL策略的方法的流程图,本实施例可以先输入新增策略,并通过遍历策略字段生成树节点。若策略重复,则结束策略添加流程;若策略不重复判定策略添加成功。
作为对于图1对应实施例的进一步介绍,在实际应用中用户存在删除策略管理树中已生效ACL策略的需求,因此在根据所述代理模块和所述策略执行组的对应关系构建策略管理树之后,还可以根据接收到的策略删除指令确定待删除ACL策略;若所述策略管理树中存在所述待删除ACL策略对应的目标叶子结点,且所述目标叶子结点中存在策略信息,则删除所述目标叶子结点中的策略信息。
请参见图3,图3为本申请实施例所提供的一种策略管理树删除ACL策略的方法的流程图。如图3所示,在确定待删除策略后,将待删除策略的各字段信息与策略管理树中的节点一一匹配。若存在不匹配的字段节点,则表明待删除策略不在策略管理树中,判定删除失败。若存在完全匹配的字段节点,对应叶子节点当中存在相应的策略信息,则执行删除操作。
进一步的,本实施例还可以在可视化界面显示所述策略管理树,以便用户分析ACL策略配置布局,相应的,若所述策略管理树中添加或删除ACL策略,则更新所述可视化界面中显示的策略管理树。
下面通过在实际应用中的实施例说明上述实施例描述的流程。
请参见图4,图4为本申请实施例所提供的一种代理模块分组的示意图,如图4所示,本实施例可以将多个代理模块agent分成一个组,划分的规则可以按照地域,业务等属性来分。本实施例通过将同一类型或者运行同一业务的代理模块进行分组,代理模块会继承所属组的策略,将策略生效的范围扩大。传统方案中需要配置的多个策略,而在本实施例中配置一条策略即可覆盖多个代理模块,减少了策略的配置次数,降低管理人员的运维难度。
本实施例还可以在根据所述代理模块和所述策略执行组的对应关系构建策略管理树之前,为所述代理模块绑定唯一对应的身份标识;相应的,所述目标ACL策略的五元组配置信息包括源代理模块的身份标识、目的代理模块的身份标识、源端口、目的端口和通信协议。例如,可以将代理模块和策略执行组统一抽象化构建策略管理树,策略执行组使用group id表示,代理模块使用agent id表示。这样做的好处在于可以进行统一建模,且屏蔽网络单元属性的变化。在云场景下,代理模块为具体的一个虚拟机,其IP地址以及所属组都会发生改变,使用统一的抽象的身份标识,保证方案的可用性和扩展性。使用抽象化的身份标识以后,原有的ACL策略变成抽象后的策略,具体格式为{源身份标识,目的身份标识,源端口,目的端口,协议},简化了ACL策略配置流程。
请参见图5,图5为本申请实施例所提供的一种策略管理树的结构示意图,可以通过使用高性能的树形算法,将用户配置策略映射成ACL策略并下发到代理模块和/或策略执行组实现安全隔离功能。具体的,将所述用户配置策略映射为目标ACL策略的过程可以包括:在所述策略管理树中生成所述用户配置策略对应的节点,并根据所述用户配置策略对应的节点中记录的策略信息确定所述用户配置策略对应的目标ACL策略;其中,所述策略管理树的根节点为策略动作,子节点包括源端口、目的端口和策略执行组标签,所述策略执行组标签包括源标签和目的标签。
如图5所示,根节点为策略的动作(允许或者拒绝),允许表示当前策略允许两个主机相互通信,拒绝则表示不能同时。本实施例可以调换所述目标ACL策略中的源标签和目的标签得到逆向ACL策略,并将所述目标ACL策略和所述逆向ACL策略下发至对应的策略执行组中的代理模块。逆向ACL策略即源标签和目标标签互换后的目标ACL策略。当新增一条策略时,因为一条策略会有源标签和目的标签两个标签,所以本方案在添加策略时还会调换源标签和目的标签添加。这源标签和目的标签都会记录当前的策略信息,进行策略下发的时候就可以同时下发到源标签和目的标签两个机器上生效。每一层与下层的连接使用hash表记录,加快查询子节点的速度。本实施例可以将所有的ACL策略使用一个策略管理树进行管理然后进行统一下发,本实施例只需要一个配置入口就可以管理代理模块的策略。由于树结构的特性,策略管理树的可以方便的提供条件查询策略,例如查询某个端口下的所有策略,某个标签下的所有策略,方便管理员分析策略。本实施例中利用调换源标签和目的标签的方式,可以实现一条策略同时将策略下发到两边,减少了需要配置的策略量。
在基于策略管理树进行ACL策略新增、删除等管理操作后,配置策略下发至代理模块进行生效。本方法将系统中代理模块按照图1方法进行分组后,可将系统网络结构抽象得到策略管理树。如请参见图6,图6为本申请实施例所提供的一种ACL策略下发生效示意图,图6所示,集中管理平台配置策略1为G-A,G、A都为相应的策略执行组,策略执行组下面有相应的分组和代理模块agent,其中E、F为代理模块。策略管理树中E、F会继承策略1,即代理模块会继承集中管理平台配置的策略,在自身生效该策略并完成相应的策略动作,最终完成安全策略的配置生效。
本实施例还可以利用策略管理树检查配置的ACL策略是否存在冲突,若存在冲突可检查冲突范围,提高配置策略的正确性,减少策略的冗余。上述本实施例可以在集中管理平台上使用软件的手段实现内网的安全隔离,从易用性和安全性上远超已有的方案,用户仅需在集中平台上自定义安全策略,系统便在相应的机器上实施相应的ACL策略,即可完成内网间的东西向安全隔离配置。
本申请实施例还提供一种访问控制列表ACL策略管理装置,该装置可以包括:
分组模块,用于将多个代理模块划分至多个策略执行组;其中,所述代理模块为客户端中用于执行ACL策略的模块;
管理树构建模块,用于将所述代理模块和所述策略执行组的系统网络结构抽象为策略管理树;其中,所述策略管理树中的子节点继承父节点中配置的ACL策略;
策略配置模块,用于接收用户配置策略,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块。
本实施例将用于执行ACL策略的代理模块划分至多个策略执行组,进而根据代理模块和策略组的对应关系构建策略管理树。在接收到用户配置策略之后可以将用户配置策略映射为目标ACL策略,并将目标ACL策略下发至对应的策略执行组中的代理模块,以便实现下放一次ACL策略可以配置多个代理模块。本实施例基于策略管理树向策略执行组下发ACL策略,无需逐个登录代理模块并配置ACL策略,可以批量化地对策略执行组内的代理模块执行ACL策略配置操作,因此本实施例能够提高ALC策略的配置效率。
进一步的,分组模块用于根据所述代理模块所在客户端的设备属性将多个所述代理模块划分至多个所述策略执行组;其中,所述设备属性包括设备类型、业务类型和设备位置中的任一项或任几项的组合。
进一步的,策略配置模块包括:
冲突检测单元,用于判断所述目标ACL策略与所述策略管理树中已生效的ACL策略是否存在冲突;若是,则返回ACL策略设置失败的提示信息;若否,则将所述目标ACL策略下发至对应的策略执行组中的代理模块。
进一步的,还包括:
策略删除模块,用于在根据所述代理模块和所述策略执行组的对应关系构建策略管理树之后,根据接收到的策略删除指令确定待删除ACL策略;还用于若所述策略管理树中存在所述待删除ACL策略对应的目标叶子结点,且所述目标叶子结点中存在策略信息,则删除所述目标叶子结点中的策略信息。
进一步的,还包括:
可视化模块,用于在可视化界面显示所述策略管理树;还用于若所述策略管理树中添加或删除ACL策略,则更新所述可视化界面中显示的策略管理树。
进一步的,策略配置模块用于在所述策略管理树中生成所述用户配置策略对应的节点,并根据所述用户配置策略对应的节点中记录的策略信息确定所述用户配置策略对应的目标ACL策略;其中,所述策略管理树的根节点为策略动作,子节点包括源端口、目的端口和策略执行组标签,所述策略执行组标签包括源标签和目的标签;还用于调换所述目标ACL策略中的源标签和目的标签得到逆向ACL策略,并将所述目标ACL策略和所述逆向ACL策略下发至对应的策略执行组中的代理模块。
进一步的,还包括:
表示绑定模块,用于在根据所述代理模块和所述策略执行组的对应关系构建策略管理树之前,为所述代理模块绑定唯一对应的身份标识;相应的,所述目标ACL策略的五元组配置信息包括源代理模块的身份标识、目的代理模块的身份标识、源端口、目的端口和通信协议。
由于装置部分的实施例与方法部分的实施例相互对应,因此装置部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种访问控制列表ACL策略管理方法,其特征在于,包括:
将多个代理模块划分至多个策略执行组;其中,所述代理模块为客户端中用于执行ACL策略的模块;
将所述代理模块和所述策略执行组的系统网络结构抽象为策略管理树;其中,所述策略管理树中的子节点继承父节点中配置的ACL策略;
接收用户配置策略,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块。
2.根据权利要求1所述访问控制列表ACL策略管理方法,其特征在于,所述将多个代理模块划分至多个策略执行组包括:
根据所述代理模块所在客户端的设备属性将多个所述代理模块划分至多个所述策略执行组;其中,所述设备属性包括设备类型、业务类型和设备位置中的任一项或任几项的组合。
3.根据权利要求1所述访问控制列表ACL策略管理方法,其特征在于,将所述目标ACL策略下发至对应的策略执行组中的代理模块,包括:
判断所述目标ACL策略与所述策略管理树中已生效的ACL策略是否存在冲突;
若是,则返回ACL策略设置失败的提示信息;
若否,则将所述目标ACL策略下发至对应的策略执行组中的代理模块。
4.根据权利要求1所述访问控制列表ACL策略管理方法,其特征在于,在根据所述代理模块和所述策略执行组的对应关系构建策略管理树之后,还包括:
根据接收到的策略删除指令确定待删除ACL策略;
若所述策略管理树中存在所述待删除ACL策略对应的目标叶子结点,且所述目标叶子结点中存在策略信息,则删除所述目标叶子结点中的策略信息。
5.根据权利要求1所述访问控制列表ACL策略管理方法,其特征在于,还包括:
在可视化界面显示所述策略管理树;
若所述策略管理树中添加或删除ACL策略,则更新所述可视化界面中显示的策略管理树。
6.根据权利要求1至5任一项所述访问控制列表ACL策略管理方法,其特征在于,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块,包括:
在所述策略管理树中生成所述用户配置策略对应的节点,并根据所述用户配置策略对应的节点中记录的策略信息确定所述用户配置策略对应的目标ACL策略;其中,所述策略管理树的根节点为策略动作,子节点包括源端口、目的端口和策略执行组标签,所述策略执行组标签包括源标签和目的标签;
调换所述目标ACL策略中的源标签和目的标签得到逆向ACL策略,并将所述目标ACL策略和所述逆向ACL策略下发至对应的策略执行组中的代理模块。
7.根据权利要求6所述访问控制列表ACL策略管理方法,其特征在于,在根据所述代理模块和所述策略执行组的对应关系构建策略管理树之前,还包括:
为所述代理模块绑定唯一对应的身份标识;
相应的,所述目标ACL策略的五元组配置信息包括源代理模块的身份标识、目的代理模块的身份标识、源端口、目的端口和通信协议。
8.一种访问控制列表ACL策略管理装置,其特征在于,包括:
分组模块,用于将多个代理模块划分至多个策略执行组;其中,所述代理模块为客户端中用于执行ACL策略的模块;
管理树构建模块,用于将所述代理模块和所述策略执行组的系统网络结构抽象为策略管理树;其中,所述策略管理树中的子节点继承父节点中配置的ACL策略;
策略配置模块,用于接收用户配置策略,基于所述策略管理树将所述用户配置策略映射为目标ACL策略,并将所述目标ACL策略下发至对应的策略执行组中的代理模块。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述访问控制列表ACL策略管理方法的步骤。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述访问控制列表ACL策略管理方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110722965.1A CN115603923B (zh) | 2021-06-28 | 2021-06-28 | 一种访问控制列表acl策略管理方法、装置及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110722965.1A CN115603923B (zh) | 2021-06-28 | 2021-06-28 | 一种访问控制列表acl策略管理方法、装置及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115603923A true CN115603923A (zh) | 2023-01-13 |
| CN115603923B CN115603923B (zh) | 2025-06-20 |
Family
ID=84840941
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110722965.1A Active CN115603923B (zh) | 2021-06-28 | 2021-06-28 | 一种访问控制列表acl策略管理方法、装置及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115603923B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116522316A (zh) * | 2023-02-23 | 2023-08-01 | 武汉禾正丰科技有限公司 | 一种基于分布式网络的业务管理系统 |
| CN118784297A (zh) * | 2024-06-28 | 2024-10-15 | 北京奇艺世纪科技有限公司 | 策略管理方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101080077A (zh) * | 2006-05-23 | 2007-11-28 | 华为技术有限公司 | 设备管理树的维护方法及终端设备 |
| US20140379915A1 (en) * | 2013-06-19 | 2014-12-25 | Cisco Technology, Inc. | Cloud based dynamic access control list management architecture |
| CN111654491A (zh) * | 2020-05-29 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种acl共享方法、装置、设备及机器可读存储介质 |
| CN111698110A (zh) * | 2019-03-14 | 2020-09-22 | 深信服科技股份有限公司 | 一种网络设备性能分析方法、系统、设备及计算机介质 |
-
2021
- 2021-06-28 CN CN202110722965.1A patent/CN115603923B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101080077A (zh) * | 2006-05-23 | 2007-11-28 | 华为技术有限公司 | 设备管理树的维护方法及终端设备 |
| US20140379915A1 (en) * | 2013-06-19 | 2014-12-25 | Cisco Technology, Inc. | Cloud based dynamic access control list management architecture |
| CN111698110A (zh) * | 2019-03-14 | 2020-09-22 | 深信服科技股份有限公司 | 一种网络设备性能分析方法、系统、设备及计算机介质 |
| CN111654491A (zh) * | 2020-05-29 | 2020-09-11 | 新华三信息安全技术有限公司 | 一种acl共享方法、装置、设备及机器可读存储介质 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116522316A (zh) * | 2023-02-23 | 2023-08-01 | 武汉禾正丰科技有限公司 | 一种基于分布式网络的业务管理系统 |
| CN116522316B (zh) * | 2023-02-23 | 2023-11-14 | 武汉禾正丰科技有限公司 | 一种基于分布式网络的业务管理系统 |
| CN118784297A (zh) * | 2024-06-28 | 2024-10-15 | 北京奇艺世纪科技有限公司 | 策略管理方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115603923B (zh) | 2025-06-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US12301443B2 (en) | Automated route propagation among networks attached to scalable virtual traffic hubs | |
| US20250260597A1 (en) | Domain name system operations implemented using scalable virtual traffic hub | |
| US10834013B2 (en) | Network slice management | |
| AU2016235759B2 (en) | Executing commands within virtual machine instances | |
| US9088503B2 (en) | Multi-tenant information processing system, management server, and configuration management method | |
| US20130297902A1 (en) | Virtual data center | |
| CN112217656B (zh) | Sd-wan系统中的网络设备的配置信息同步方法和装置 | |
| US20080239985A1 (en) | Method and apparatus for a services model based provisioning in a multitenant environment | |
| CN112685499B (zh) | 一种工作业务流的流程数据同步方法、装置及设备 | |
| WO2018205325A1 (zh) | 在异构资源上构建内容分发网络平台的方法和系统 | |
| US10812543B1 (en) | Managed distribution of data stream contents | |
| JP2017507563A (ja) | トラフィックポリシーの実施をサポートするエンティティハンドルレジストリ | |
| US9166947B1 (en) | Maintaining private connections during network interface reconfiguration | |
| US20200004742A1 (en) | Epoch comparison for network policy differences | |
| CN108322325A (zh) | 一种虚拟机管理方法及装置 | |
| CN114661419B (zh) | 一种服务质量控制系统及方法 | |
| CN105095103A (zh) | 用于云环境下的存储设备管理方法和装置 | |
| WO2020151482A1 (zh) | 信息查询方法、装置、设备及存储介质 | |
| CN115603923A (zh) | 一种访问控制列表acl策略管理方法、装置及相关设备 | |
| US9231957B2 (en) | Monitoring and controlling a storage environment and devices thereof | |
| WO2021017907A1 (zh) | 一种优化的微服务间通信的方法及装置 | |
| WO2024103800A1 (zh) | 虚拟机热迁移方法、装置、设备及非易失性可读存储介质 | |
| CN104753852A (zh) | 一种虚拟化平台、安全防护方法及装置 | |
| US12177076B2 (en) | Restoration of a network slice | |
| CN103596649B (zh) | 一种在虚拟局域网中通信的方法、设备和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |