[发明专利]微分段的部署方法、安全设备、存储介质及装置

说明书

本发明公开了微分段的部署方法、安全设备、存储介质及装置。本发明中安全设备获取本地网络中的各设备的安全规则，基于各设备的安全规则按照预设数据结构建立规则模型，根据所述规则模型对所述本地网络中各设备的安全规则进行自适应修改，以实现对所述本地网络进行微分段部署。在本发明中通过将各设备的安全规则集中存储于一处，并且限制存储方式为将安全规则基于预设数据结构保存入规则模型中，而规则模型将对存储的安全规则进行进一步地优化，也就使得在微分段部署过程中应用的安全规则可以更加准确，且可去除无效或冗余的安全规则，从而解决了当前的微分段自动化部署方案存在的部署方式的效能过低的技术问题。

技术领域

本发明涉及通信技术领域，尤其涉及微分段的部署方法、安全设备、存储介质及装置。

背景技术

在网络传输的前期，流量主要以南北向为主，其中，南北向流量主要是指内外网边界之间流经的流量，相对地，东西向流量主要是指数据中心的内部网络的设备之间流经的流量；而随着数据中心的部署结构的不断优化以及新设备的加入，东西向流量比重逐步提升，但这将导致出现大量的内网非法访问。

这是因为惯用的安全防护，例如防火墙等技术，针对的是南北向流量，当很多内部网络中的主机被攻陷后，被会作为接触、窃取重要数据的跳板，以非法访问内部网络中其它重要的服务器，所以，需要针对东西向流量来建立安全防护策略。

其中，现有的针对东西向流量的安全防护策略可为，通过虚拟化方法建立分布式防火墙，即微分段，来控制数据中心内部服务器。

但是，微分段在实施时存在如下问题：

(1)随着网络规模的扩大，若用户手动配置分布式防火墙容易出错，这可能导致网络中断或者边界存在漏洞，难以给出全局最优配置，而且效率较低；

(2)当前的微分段部署也无法感知当安全规则或者安全策略下发后对网络整体造成的影响，也无法感知当安全规则或者安全策略下发后网络是否真的按照管理者的最初管理意图在运行。

所以，对于微分段技术而言，需要一种自动化且智能化的方法来使得微分段的部署和管理变得更为简单。

目前的微分段自动化且智能化的解决方案如下：

(1)通过访问关系自动推荐安全规则；

首先，安全策略默认拒绝所有流量，然后，通过对过往一段时间内的历史流量进行分析，从中提取出应用/服务访问关系，例如，哪个应用访问哪个应用、哪个源互联网协议地址(Internet Protocol Address，IP地址)访问了哪个目的IP地址、哪个安全组访问了哪个安全组、流量的方向及大小、是南北向流量还是东西向流量等，通过上述提取出的访问关系来自动化进行可放行流量的推荐，以放行特定方向上的特定流量。

但是，该方案的缺点在于功能简单，且需要有流量才能生成最终的放行策略。

(2)基于网络数据平面进行建模；

首先，先从网络数据平面，例如，物理或虚拟网络设备，获取配置信息以及转发/安全规则，根据获取到的信息来建立网络模型，进而可根据网络模型来验证安全策略的正确性。并在修改安全策略之前，完成对于网络行为的预测。

但是，该方案的缺点在于，由于多使用简单的列表或哈希表来进行全网的安全策略的存放，存在匹配速度慢或内存开销大的问题，而且无法处理复杂情况。

其次，若通过机器学习来处理复杂情况，会存在一定的误报率。

(3)基于终端安全代理(agent)实现微分段；

在数据中心中先部署一个中央控制器，该中央控制器将与各设备的agent进行交互，从各agent处收集信息，并且向agent下发策略。其中，所述agent一般安装在终端，包括物理服务器、虚拟机以及容器上。