【技术实现步骤摘要】
【国外来华专利技术】网络中的安全规则的保证相关申请的交叉引用本申请要求下列申请的权益和优先权:于2018年6月27日提交的、序列号为62/690,446的、题为“网络中的安全规则的保证(ASSURANCEOFSECURITYRULESINANETWORK)”的美国临时专利申请;以及于2018年12月12日提交的、序列号为16/217,559的、题为“网络中的安全规则的保证(ASSURANCEOFSECURITYRULESINANETWORK)”的美国非临时专利申请;它们的内容通过引用以其整体明确地并入本文。本申请与下列申请相关:于2018年12月12日提交的、序列号为16/217,500的、题为“网络中的安全规则的保证(ASSURANCEOFSECURITYRULESINANETWORK)”的美国非临时专利申请;以及于2018年12月12日提交的、序列号为16/217,607的、题为“网络中的安全规则的保证(ASSURANCEOFSECURITYRULESINANETWORK)”的美国非临时专利申请,它们两者通过引用以其整体明确地并入本文。
本技术涉及网络中的安全规则的保证。
技术介绍
计算机网络变得越来越复杂,通常涉及网络的各个层的低级和高级配置。例如,计算机网络通常包括许多安全、路由和服务策略,它们共同定义了网络的行为和操作。网络运营商具有多种配置选项,以用于根据用户需求定制网络。虽然不同的配置选项为网络运营商提供了极大的灵活性和对网络的控制,但是它们也增加了网络的复杂性。此外,网络运营商通常会在网络的整个生 ...
【技术保护点】
1.一种方法,包括:/n为网络创建合规要求,所述合规要求包括第一端点组(EPG)选择器、第二EPG选择器、流量选择器和通信操作器,其中,所述第一EPG选择器和所述第二EPG选择器表示EPG集合,其中,所述流量选择器包括标识与所述流量选择器相对应的流量的流量参数,并且所述通信操作器为与所述第一EPG选择器和所述第二EPG选择器以及所述流量选择器相关联的流量定义通信条件;/n为来自所述EPG集合的每个不同的EPG对,创建表示所述不同的EPG对、所述通信操作器、和所述流量选择器的第一相应数据结构,其中,所述不同的EPG对包括来自所述第一EPG选择器和所述第二EPG选择器中的每一者的相应EPG;/n创建表示所述网络的逻辑模型的第二相应数据结构;/n确定所述第一相应数据结构是否包含在所述第二相应数据结构中以产生包含检查;以及/n基于所述包含检查来确定所述网络上配置的策略是否符合所述合规要求。/n
【技术特征摘要】
【国外来华专利技术】20180627 US 62/690,446;20181212 US 16/217,5591.一种方法,包括:
为网络创建合规要求,所述合规要求包括第一端点组(EPG)选择器、第二EPG选择器、流量选择器和通信操作器,其中,所述第一EPG选择器和所述第二EPG选择器表示EPG集合,其中,所述流量选择器包括标识与所述流量选择器相对应的流量的流量参数,并且所述通信操作器为与所述第一EPG选择器和所述第二EPG选择器以及所述流量选择器相关联的流量定义通信条件;
为来自所述EPG集合的每个不同的EPG对,创建表示所述不同的EPG对、所述通信操作器、和所述流量选择器的第一相应数据结构,其中,所述不同的EPG对包括来自所述第一EPG选择器和所述第二EPG选择器中的每一者的相应EPG;
创建表示所述网络的逻辑模型的第二相应数据结构;
确定所述第一相应数据结构是否包含在所述第二相应数据结构中以产生包含检查;以及
基于所述包含检查来确定所述网络上配置的策略是否符合所述合规要求。
2.根据权利要求1所述的方法,其中,所述第一相应数据结构和所述第二相应数据结构包括二元决策图、归约有序二元决策图、和n位向量中的至少一者。
3.根据权利要求1或2所述的方法,还包括:
确定来自所述EPG集合的至少一个不同的EPG对中的每个EPG与相同的网络上下文相关联,所述相同的网络上下文包括虚拟路由和转发实例、私有网络、和网络地址域中的至少一者;并且
其中,创建所述第二相应数据结构至少部分地基于所述逻辑模型中与所述相同的网络上下文相关联的策略,其中,所述第二相应数据结构表示与所述相同的网络上下文相关联的策略。
4.根据权利要求3所述的方法,其中,确定所述策略是否符合所述合规要求包括:确定与所述相同的网络上下文相关联的策略是否满足、违反、或应用所述合规要求。
5.根据权利要求1至4中任一项所述的方法,还包括:
生成指示所述策略是否符合所述合规要求的一个或多个合规保证事件。
6.根据权利要求5所述的方法,其中,生成所述一个或多个合规保证事件包括呈现合规结果,所述合规结果指示所述合规要求是否被所述网络上配置的策略中的一个或多个策略满足、违反、或未应用。
7.根据权利要求6所述的方法,其中,所述合规结果包括以下各项中的至少一项:
对满足、违反或未应用所述合规要求的原因的第一指示,对所述原因的第一指示标识策略对象集合和一个或多个安全策略中的至少一者,所述策略对象集合包括消费者EPG、供应商EPG、契约、过滤器、租户、虚拟路由和转发对象、网络上下文、和应用简档中的至少一者;以及
对合规事件严重性、合规问题的数量、合规分数、按类别的合规问题的计数、以及按类别的相应合规分数中的至少一者的第二指示,其中,所述类别包括合规要求类型、受影响的资源类型、和受影响的策略对象中的至少一者。
8.根据权利要求1至7中任一项所述的方法,还包括通过以下操作来确定所述网络的状态是否符合所述合规要求:
将表示所述合规要求的一个或多个第一数据结构与表示所述网络中的网络设备上配置的硬件策略条目的一个或多个第二数据结构进行比较,所述一个或多个第一数据结构和所述一个或多个第二数据结构包括二元决策图、归约有序二元决策图、和n位向量中的至少一者;以及
基于所述比较,来确定所述网络中的网络设备上配置的硬件策略条目是否满足、违反或应用所述合规要求。
9.根据权利要求1至8中任一项所述的方法,其中,所述网络包括多个网络结构,所述方法还包括:
基于附加配置数据为所述网络创建附加合规要求,所述附加配置数据包括相应EPG选择器、相应流量选择器、和相应通信操作器;
对所述附加合规要求进行分组以产生合规要求集合;
将所述合规要求集合与所述多个网络结构的子集相关联;以及
确定与所述多个网络结构的子集相关联的策略是否符合所述合规要求集合。
10.一种系统,包括:
一个或多个处理器;以及
至少一个计算机可读存储介质,其中存储有指令,所述指令在由所述一个或多个处理器执行时,使得所述系统执行以下操作:
为网络创建合规要求,所述合规要求包括第一端点组(EPG)选择器、第二EPG选择器、流量选择器和通信操作器,其中,所述第一EPG选择器和所述第二EPG选择器表示EPG集合,其中,所述流量选择器包括标识与所述流量选择器相对应的流量的流量参数,并且所述通信操作器为与所述第一EPG选择器和所述第二EPG选择器以及所述流量选择器相关联的流量定义通信条件;
为来自所述EPG集合的每个不同的EPG对,创建表示所述不同的EPG对、所述通信操作器、和所述流量选择器的第一相应数据结构,其中,所述不同的EPG对包括来自所述第一EPG选择器和所述第二EPG选择器中的每一者的相应EPG;
创建表示所述网络的逻辑模型的第二相应数据结构;
确定所述第一相应数据结构是否包含在所述第二相应数据结构中以产生包含检查;以及
基于所述包含检查来确定所述网络上配置的策略是否符合所述合规要求。
11.根据权利要求10所述的系统,其中,所述第一相应数据结构和所述第二相应数据结构包括二元决策图、归约有序二元决策图、和n位向量中的至少一者。
12.根据权利要求10或11所述的系统,其中,所述至少一个计算机可读存储介质存储有附加指令,所述附加指令在由所述一个或多个处理器执行时,使得所述系统执行以下操作:
确定来自所述EPG集合的至少一个不同的EPG对中的每个EPG与相同的网络上下文相关联,所述相同的网络上下文包括虚拟路由和转发实例、私有网络、和网络地址域中的至少一者;并且
其中,创建所述第二相应数据结构至少部分地基于所述逻辑模型中与所述相同的网络上下文相关联的策略,其中,所述第二相应数据结构表示...
【专利技术属性】
技术研发人员:阿德维特·迪克西特,纳夫涅特·亚达夫,纳夫乔蒂·夏尔玛,拉马纳·拉奥·孔佩拉,卡蒂克·莫汉拉姆,
申请(专利权)人:思科技术公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。