网络中的安全规则的保证制造技术

用于保证网络中的规则的系统、方法和计算机可读介质。示例方法可以包括创建合规要求，该合规要求包括第一端点组(EPG)选择器、第二EPG选择器、流量选择器和通信操作器，第一EPG选择器和第二EPG选择器表示EPG集合，并且通信操作器为与第一EPG选择器和第二EPG选择器以及流量选择器相关联的流量定义通信条件。方法可以包括：为每个不同的EPG对，创建表示不同的EPG对、通信操作器和流量选择器的第一相应数据结构；创建表示网络的逻辑模型的第二相应数据结构；确定第一相应数据结构是否包含在第二相应数据结构中以产生包含检查；以及基于包含检查来确定网络上的策略是否符合合规要求。

【技术实现步骤摘要】
【国外来华专利技术】网络中的安全规则的保证相关申请的交叉引用本申请要求下列申请的权益和优先权：于2018年6月27日提交的、序列号为62/690,446的、题为“网络中的安全规则的保证(ASSURANCEOFSECURITYRULESINANETWORK)”的美国临时专利申请；以及于2018年12月12日提交的、序列号为16/217,559的、题为“网络中的安全规则的保证(ASSURANCEOFSECURITYRULESINANETWORK)”的美国非临时专利申请；它们的内容通过引用以其整体明确地并入本文。本申请与下列申请相关：于2018年12月12日提交的、序列号为16/217,500的、题为“网络中的安全规则的保证(ASSURANCEOFSECURITYRULESINANETWORK)”的美国非临时专利申请；以及于2018年12月12日提交的、序列号为16/217,607的、题为“网络中的安全规则的保证(ASSURANCEOFSECURITYRULESINANETWORK)”的美国非临时专利申请，它们两者通过引用以其整体明确地并入本文。
本技术涉及网络中的安全规则的保证。
技术介绍
计算机网络变得越来越复杂，通常涉及网络的各个层的低级和高级配置。例如，计算机网络通常包括许多安全、路由和服务策略，它们共同定义了网络的行为和操作。网络运营商具有多种配置选项，以用于根据用户需求定制网络。虽然不同的配置选项为网络运营商提供了极大的灵活性和对网络的控制，但是它们也增加了网络的复杂性。此外，网络运营商通常会在网络的整个生命周期内添加、删除和编辑策略。鉴于网络的高度复杂性以及通常在网络中实施的大量策略和策略更改，跟踪网络中的策略、避免网络中的策略之间的冲突、以及确保网络中的策略符合网络的预期行为和操作可能是极其困难的。附图说明为了描述可以获得本公开的上述以及其他优点和特征的方式，将通过参考在附图中示出的本公开的特定实施例来呈现对以上简要描述的原理的更具体描述。应当理解，这些附图仅描绘本公开的示例性实施例，并且因此不应被认为是对本公开的范围的限制，通过使用附图，利用附加特征和细节来描述和解释本文的原理，在附图中：图1A和图1B示出了示例网络环境；图2A示出了示例网络的示例对象模型；图2B示出了来自图2A的示例对象模型中的租户对象(tenantobject)的示例对象模型；图2C示出了来自图2A的示例对象模型中的各个对象的示例关联；图2D示出了基于来自图2A的示例对象模型实现的示例模型的示意图；图3A示出了示例保证设备系统(assuranceappliancesystem)；图3B示出了用于网络保证的示例系统图；图4示出了用于基于网络的逻辑模型来构建特定于设备的逻辑模型的示例图；图5A示出了示例策略分析器的示例输入和输出的示意图；图5B示出了用于确定不同网络模型之间的等效(equivalence)的等效图；图5C示出了用于执行等效检查和标识冲突规则的示例架构；图6A至图6C示出了示例归约有序二元决策图(ReducedOrderedBinaryDecisionDiagram)；图7示出了用于网络保证的示例方法；图8示出了用于访问保证合规工具(assurancecompliancetool)的保证合规菜单的示例用户界面；图9示出了示例合规要求(compliancerequirement)管理界面，其允许用户管理合规要求；图10示出了用于创建合规要求的示例合规要求界面；图11示出了用于选择用于安全合规要求的EPG(端点组)选择器的示例EPG选择器界面；图12示出了在用户从EPG选择器界面选择和选取EPG选择器之后的合规要求界面的示例配置；图13示出了用于使得用户能够选择用于安全合规要求的通信操作器的合规要求界面的示例配置；图14示出了用于在合规要求定义视图中选择EPG选择器以及特定EPG选择器的相关联属性的合规要求界面的示例配置；图15示出了用于选择用于合规要求的EPG选择器的示例EPG选择器界面；图16示出了示例合规要求界面，其描绘了通过合规要求界面创建的合规要求的示例配置；图17A至图17C示出了用于创建合规要求的合规要求界面的示例配置；图18A至图18E示出了用于创建用于安全合规要求的流量选择器的流量选择器界面的示例配置；图19示出了用于创建用于安全合规要求的EPG选择器的示例EPG选择器界面；图20A至图20D示出了合规要求集合界面的示例配置；图21示出了标识与合规要求集合相关联的合规要求的示例合规要求界面；图22示出了用于配置合规要求的示例定义方案的图示；图23A和图23B示出了合规分数界面的示例配置；图24A和图24B示出了合规分析界面的示例视图；图25示出了用于搜索合规事件的示例界面；图26示出了用于创建和验证安全合规要求的示例方法；图27示出了用于创建安全合规要求并且检查与相同的网络上下文上的对象相关联的策略的合规的示例方法；图28示出了用于创建安全合规要求并且检查与不同的网络上下文上的对象相关联的策略的合规的示例方法；图29示出了示例网络设备；并且图30示出了示例计算系统架构。具体实施方式下面详细讨论本公开的各种实施例。虽然讨论了具体实现方式，但应该理解，仅是出于说明目的而这样做的。相关领域的技术人员将认识到，在不脱离本公开的精神和范围的情况下，可以使用其他组件和配置。因此，以下描述和附图是说明性的而不应被解释为限制性的。描述了许多具体细节以提供对本公开的透彻理解。然而，在某些情形下，没有描述众所周知的或传统的细节以避免模糊本描述。在本公开中参考一个实施例或参考实施例可以是参考相同的实施例或任意实施例；并且，这样的参考指的是实施例中的至少一个。对“一个实施例”或“实施例”的参考意味着结合该实施例描述的特定特征、结构或特性被包括在本公开的至少一个实施例中。在说明书中各处出现的短语“在一个实施例中”不一定都指代相同的实施例，也不是与其他实施例互斥的单独或替代的实施例。此外，描述了可以由一些实施例而不由其他实施例展示的各种特征。本说明书中使用的术语在本公开的上下文中以及在其中每个术语被使用的特定上下文中通常具有其在本领域中的普通含义。替代语言和同义词可以用于本文所讨论的任何一个或多个术语，并且本文是否详述或论述某一术语不应被看作具有特殊意义。在一些情况下，提供了某些术语的同义词。对一个或多个同义词的记载不排除对其他同义词的使用。在本说明书中任何地方对示例(包括本文所讨论的任何术语的示例)的使用仅是说明性的，并且不旨在进一步限制本公开或任何示例术语的范围和含义。同样地，本公开不限于本说明书中给出的各种实施例。不意图限制本公开的范围，下面给出根据本公开的实施例的工具、装置、方法、及其相关结果的示例。本文档来自技高网...

【技术保护点】
1.一种方法，包括：/n为网络创建合规要求，所述合规要求包括第一端点组(EPG)选择器、第二EPG选择器、流量选择器和通信操作器，其中，所述第一EPG选择器和所述第二EPG选择器表示EPG集合，其中，所述流量选择器包括标识与所述流量选择器相对应的流量的流量参数，并且所述通信操作器为与所述第一EPG选择器和所述第二EPG选择器以及所述流量选择器相关联的流量定义通信条件；/n为来自所述EPG集合的每个不同的EPG对，创建表示所述不同的EPG对、所述通信操作器、和所述流量选择器的第一相应数据结构，其中，所述不同的EPG对包括来自所述第一EPG选择器和所述第二EPG选择器中的每一者的相应EPG；/n创建表示所述网络的逻辑模型的第二相应数据结构；/n确定所述第一相应数据结构是否包含在所述第二相应数据结构中以产生包含检查；以及/n基于所述包含检查来确定所述网络上配置的策略是否符合所述合规要求。/n

【技术特征摘要】
【国外来华专利技术】20180627 US 62/690,446;20181212 US 16/217,5591.一种方法，包括：
为网络创建合规要求，所述合规要求包括第一端点组(EPG)选择器、第二EPG选择器、流量选择器和通信操作器，其中，所述第一EPG选择器和所述第二EPG选择器表示EPG集合，其中，所述流量选择器包括标识与所述流量选择器相对应的流量的流量参数，并且所述通信操作器为与所述第一EPG选择器和所述第二EPG选择器以及所述流量选择器相关联的流量定义通信条件；
为来自所述EPG集合的每个不同的EPG对，创建表示所述不同的EPG对、所述通信操作器、和所述流量选择器的第一相应数据结构，其中，所述不同的EPG对包括来自所述第一EPG选择器和所述第二EPG选择器中的每一者的相应EPG；
创建表示所述网络的逻辑模型的第二相应数据结构；
确定所述第一相应数据结构是否包含在所述第二相应数据结构中以产生包含检查；以及
基于所述包含检查来确定所述网络上配置的策略是否符合所述合规要求。


2.根据权利要求1所述的方法，其中，所述第一相应数据结构和所述第二相应数据结构包括二元决策图、归约有序二元决策图、和n位向量中的至少一者。


3.根据权利要求1或2所述的方法，还包括：
确定来自所述EPG集合的至少一个不同的EPG对中的每个EPG与相同的网络上下文相关联，所述相同的网络上下文包括虚拟路由和转发实例、私有网络、和网络地址域中的至少一者；并且
其中，创建所述第二相应数据结构至少部分地基于所述逻辑模型中与所述相同的网络上下文相关联的策略，其中，所述第二相应数据结构表示与所述相同的网络上下文相关联的策略。


4.根据权利要求3所述的方法，其中，确定所述策略是否符合所述合规要求包括：确定与所述相同的网络上下文相关联的策略是否满足、违反、或应用所述合规要求。


5.根据权利要求1至4中任一项所述的方法，还包括：
生成指示所述策略是否符合所述合规要求的一个或多个合规保证事件。


6.根据权利要求5所述的方法，其中，生成所述一个或多个合规保证事件包括呈现合规结果，所述合规结果指示所述合规要求是否被所述网络上配置的策略中的一个或多个策略满足、违反、或未应用。


7.根据权利要求6所述的方法，其中，所述合规结果包括以下各项中的至少一项：
对满足、违反或未应用所述合规要求的原因的第一指示，对所述原因的第一指示标识策略对象集合和一个或多个安全策略中的至少一者，所述策略对象集合包括消费者EPG、供应商EPG、契约、过滤器、租户、虚拟路由和转发对象、网络上下文、和应用简档中的至少一者；以及
对合规事件严重性、合规问题的数量、合规分数、按类别的合规问题的计数、以及按类别的相应合规分数中的至少一者的第二指示，其中，所述类别包括合规要求类型、受影响的资源类型、和受影响的策略对象中的至少一者。


8.根据权利要求1至7中任一项所述的方法，还包括通过以下操作来确定所述网络的状态是否符合所述合规要求：
将表示所述合规要求的一个或多个第一数据结构与表示所述网络中的网络设备上配置的硬件策略条目的一个或多个第二数据结构进行比较，所述一个或多个第一数据结构和所述一个或多个第二数据结构包括二元决策图、归约有序二元决策图、和n位向量中的至少一者；以及
基于所述比较，来确定所述网络中的网络设备上配置的硬件策略条目是否满足、违反或应用所述合规要求。


9.根据权利要求1至8中任一项所述的方法，其中，所述网络包括多个网络结构，所述方法还包括：
基于附加配置数据为所述网络创建附加合规要求，所述附加配置数据包括相应EPG选择器、相应流量选择器、和相应通信操作器；
对所述附加合规要求进行分组以产生合规要求集合；
将所述合规要求集合与所述多个网络结构的子集相关联；以及
确定与所述多个网络结构的子集相关联的策略是否符合所述合规要求集合。


10.一种系统，包括：
一个或多个处理器；以及
至少一个计算机可读存储介质，其中存储有指令，所述指令在由所述一个或多个处理器执行时，使得所述系统执行以下操作：
为网络创建合规要求，所述合规要求包括第一端点组(EPG)选择器、第二EPG选择器、流量选择器和通信操作器，其中，所述第一EPG选择器和所述第二EPG选择器表示EPG集合，其中，所述流量选择器包括标识与所述流量选择器相对应的流量的流量参数，并且所述通信操作器为与所述第一EPG选择器和所述第二EPG选择器以及所述流量选择器相关联的流量定义通信条件；
为来自所述EPG集合的每个不同的EPG对，创建表示所述不同的EPG对、所述通信操作器、和所述流量选择器的第一相应数据结构，其中，所述不同的EPG对包括来自所述第一EPG选择器和所述第二EPG选择器中的每一者的相应EPG；
创建表示所述网络的逻辑模型的第二相应数据结构；
确定所述第一相应数据结构是否包含在所述第二相应数据结构中以产生包含检查；以及
基于所述包含检查来确定所述网络上配置的策略是否符合所述合规要求。


11.根据权利要求10所述的系统，其中，所述第一相应数据结构和所述第二相应数据结构包括二元决策图、归约有序二元决策图、和n位向量中的至少一者。


12.根据权利要求10或11所述的系统，其中，所述至少一个计算机可读存储介质存储有附加指令，所述附加指令在由所述一个或多个处理器执行时，使得所述系统执行以下操作：
确定来自所述EPG集合的至少一个不同的EPG对中的每个EPG与相同的网络上下文相关联，所述相同的网络上下文包括虚拟路由和转发实例、私有网络、和网络地址域中的至少一者；并且
其中，创建所述第二相应数据结构至少部分地基于所述逻辑模型中与所述相同的网络上下文相关联的策略，其中，所述第二相应数据结构表示...

【专利技术属性】
技术研发人员：阿德维特·迪克西特，纳夫涅特·亚达夫，纳夫乔蒂·夏尔玛，拉马纳·拉奥·孔佩拉，卡蒂克·莫汉拉姆，
申请(专利权)人：思科技术公司，
类型：发明
国别省市：美国;US