[发明专利]一种软件定义网络安全的实施方法

权利要求书

1.一种软件定义网络安全的实施方法，其特征在于：本实施方法给出了一系列规范的软件定义网络安全的行为（1）如下：定义网络（2）；定义安全域（3），将安全域划分到网络，将网络地址段划分到安全域；定义设备（4），将设备接口划分到各个已经定义好的安全域，给设备接口分配网络地址；再定义全网域间和域内安全策略（5），策略的必要内容包含源、目的安全域，源目的网段或网段组，网络协议，源、目的服务端口，安全行为（拒绝或允许通过）；然后根据定义的安全策略检查现有各设备的配置和全网策略的一致性，生成安全策略检查报表（6），报表内容包括设备安全配置中的问题和需新增策略配置；然后根据策略检查报表（6）进行安全策略控制（7），即将问题策略和新增策略翻译成各厂商各型号设备对于的配置指令，在人工确认的情况下自动下发配置到各个设备；最后对于全网的安全域、设备、策略和问题进行统计，生成安全策略分析报表（8）；对于新增修改安全域或设备，需要新增或修改相关定义内容，随后进行相应的检查和控制（9）；以上（1）到（9）的定义、检查、控制、统计行为均在一个统一的软件平台上完成，全新的定义过程需要按照（2）到（5）的顺序进行定义，增量定义和定义好的检查、控制、统计行为可以不按照顺序进行。

2.根据权利要求1所述的定义网络（2），其特征在于：定义的必要内容包括网络名称、网络中包含的网段等网络级信息；用于后续安全域划分网络归属用；一个软件定义网络安全平台可以管理多个网络。

3.根据权利要求1所述的定义网络内安全域（3），其特征在于：定义的必要内容包括定义网络安全域名称、所属于的网络、包含的网络地址段集等安全域级信息；用于后续网络设备接口划分归属用；一个网络可以有多个安全域；一个网络安全域可以包含多个网段地址和多个设备的多个接口，一个网络安全域只能属于一个网络。

4.根据权利要求1所述的定义设备（4），其特征在于：定义的必要内容包含设备的名称、设备的类型和型号、设备所属于的网络、设备的远程访问控制需要的信息（如SSH用户名、密码等）、设备的接口列表（也可以通过设备的配置自动获取）、接口地址、以及设备接口各自归属的网络安全域、日志服务器等设备级信息；用于配置网络安全策略和检查现有网络设备中的策略配置问题；一个设备的接口只能属于一个网络安全域；一个设备的不同接口可以属于不同的安全域。

5.根据权利要求1所述的定义全网域间和域内安全策略（5），其特征在于：定义的必要内容有从A到B的某个网络协议的从源端口或端口段到目的端口或端口段是允许访问或拒绝访问；其中A、B分别可以是一个安全域或一个网络地址段或地址段组；网络协议可以是0到多个；端口号或端口段可以是0到多个；全网安全策略和具体设备无关，但后续实施控制需要自动映射到不同的设备上，根据不同的设备类型产生相应配置命令。

6.根据权利要求1所述的安全策略检查报表（6），其特征在于：报表的必要内容包括现网中各设备安全策略配置中的问题配置和需新增的配置，以及它们和全网安全策略的对应关系；其中，问题策略的必要内容为设备内安全策略之间的冗余、宽泛、数据未命中、规则未应用、规则不合规等设备内的策略问题、以及和（5）中配置的全网策略不一致、缺少、多余等的问题；对于全网安全策略定义了，但设备需要新增的，报表中明确需要对设备增加安全策略配置。

7.根据权利要求1所述的安全策略控制（7），其特征在于：根据安全检查报表（6）中获取的需要修改的问题和需新增的策略配置信息，人工选取其中部分或全部，自动生成各个厂商的各类设备对应的配置命令，经人工确认或操作后，下发给相应设备，使得各设备策略配置和全网基于意图的设备策略定义一致；这里的设备不限定具体厂商的具体型号，命令格式和各厂商设备型号相对应。

8.根据权利要求1所述的安全策略分析报表（8），其特征在于：其内容包括全网视角的网络、安全域、设备、安全策略问题的不同视角统计报表；以及在不同视角范围内，总数、问题数、新增数、以及各类问题的统计情况、各类问题按时间的一个变化情况等。