[发明专利]针对虚拟网络生成的基于意图的策略

权利要求书

1.一种用于计算机网络的方法，包括：

由计算机网络的策略控制器接收多个应用工作负荷之间的多个业务流的业务统计，所述多个应用工作负荷由计算机网络的第一组一个或多个计算装置执行；

由所述策略控制器，并且基于由所述多个业务流的业务统计指定的一个或多个标记，将所述多个业务流的业务统计关联到所述多个应用工作负荷的业务统计的会话记录中；

由所述策略控制器基于所述多个应用工作负荷的业务统计的会话记录生成针对所述多个应用工作负荷的一个或多个应用防火墙策略，其中，所述一个或多个应用防火墙策略定义所述多个应用工作负荷的应用工作负荷之间的业务流是被允许还是拒绝；以及

由所述策略控制器将所述一个或多个应用防火墙策略分发给第二组一个或多个计算装置，以用于应用于所述应用工作负荷的实例之间的业务流，其中，所述第二组一个或多个计算装置与所述第一组一个或多个计算装置不同。

2.根据权利要求1所述的方法，还包括由所述策略控制器呈现用于向用户显示的所述一个或多个应用防火墙策略。

3.根据权利要求1所述的方法，其中，基于由所述多个业务流的业务统计指定的所述一个或多个标记，将所述多个业务流的业务统计关联到所述多个应用工作负荷的业务统计的会话记录中包括：

由所述策略控制器从用户接收指定所述多个业务流中的哪些业务流对应于所述多个应用工作负荷的应用工作负荷的输入；以及

由所述策略控制器基于所述输入和由所述多个业务流的业务统计指定的所述一个或多个标记将所述多个业务流的业务统计关联到所述多个应用工作负荷的业务统计的会话记录中。

4.根据权利要求1所述的方法，其中，基于由所述多个业务流的业务统计指定的所述一个或多个标记，将所述多个业务流的业务统计关联到所述多个应用工作负荷的业务统计的会话记录中包括：

由所述策略控制器应用聚类算法，以识别所述多个业务流中的哪些业务流对应于所述多个应用工作负荷的应用工作负荷；以及

由所述策略控制器基于所述聚类算法和由所述多个业务流的业务统计指定的所述一个或多个标记将所述多个业务流的业务统计关联到所述多个应用工作负荷的业务统计的会话记录中。

5.根据权利要求1所述的方法，其中，基于所述多个应用工作负荷的业务统计的会话记录，生成所述多个应用工作负荷的所述一个或多个应用防火墙策略包括：

针对所述多个应用工作负荷的每个应用工作负荷：

识别与应用工作负荷相关联的所述多个业务流中的一个或多个业务流；

针对所述应用工作负荷生成一个或多个应用防火墙策略规则，其中，所述一个或多个应用防火墙策略规则的每个应用防火墙策略规则包括5元组和规则，所述5元组和与所述应用工作负荷关联的所述一个或多个业务流的相应业务流的5元组相同，所述规则指定对所述相应业务流执行的动作；以及

针对所述应用工作负荷生成应用防火墙策略，所述应用防火墙策略包括所述应用工作负荷的一个或多个应用防火墙策略规则。

6.根据权利要求5所述的方法，其中，对所述相应业务流执行的动作为以下中的一者或多者：

允许所述相应业务流和拒绝所述相应业务流中的一者；

记录所述相应业务流；以及

报告所述相应业务流。

7.根据权利要求1所述的方法，其中，所述多个业务流的每个业务流的业务统计的会话记录包括以下中的一者或多者：

针对所述业务流的源的一个或多个标记；

针对所述业务流的目的地的一个或多个标记。