【技术实现步骤摘要】
本申请涉及计算机,尤其涉及一种访问配置策略的生成方法、装置、设备及存储介质。
技术介绍
1、随着云计算技术的不断发展,数据中心的基础设施转向使用云平台方案进行建设,使得传统网络分布在各功能区的服务器资源形成了统一资源池。由于服务器资源统一部署在云内统一区域,无独立业务区进行隔离,传统网络在数据中心各业务区之间部署防火墙进行访问控制方法已无法满足云主机间的访问控制要求。
2、为了满足云平台访问控制要求,云平台提供多种访问控制技术(如边界防火墙、虚拟私有云(virtual private cloud,vpc)、网络访问控制列表(access control list,acl)及安全组),以构建云平台级别、子网级别及主机网卡级别的不同层级的安全防护体系。
3、当前,通常需要人工配置云平台访问策略。由于云平台访问策略配置往往需要对边界防火墙、网络acl及安全组等多级安全控制进行配置,导致配置云平台访问策略复杂繁琐,效率低下。
技术实现思路
1、本申请提供一种访问配置策略的生成方法、装置、设备及存储介质,以提高生成云平台访问策略的效率。本申请的技术方案如下:
2、根据本申请实施例的第一方面,提供一种访问配置策略的生成方法,该方法包括:获取业务访问配置请求。业务访问配置请求包括源地址、目的地址及目的端口。基于预先生成的访问控制关系,分别确定源地址对应的访问控制数据以及目的地址对应的访问控制数据。访问控制关系用于表征多个访问控制程序之间的关联关系,访问控制数据
3、在一种可能的实施方式中,多个访问控制程序包括:边界防火墙、虚拟私有云vpc、网络访问控制列表acl以及安全组,上述方法还包括:获取云平台的访问控制信息,并基于访问控制信息,关联多个访问控制程序的标识,得到访问控制关系。访问控制信息包括边界防火墙的标识与边界防火墙的标识对应的云平台节点标识、vpc的标识、与vpc的标识对应的云平台节点标识、网络acl的标识、与网络acl的标识对应的vpc标识以及地址范围、安全组的标识、与安全组的标识对应的vpc标识以及地址范围。
4、在一种可能的实施方式中,上述“基于访问控制信息,关联多个访问控制程序的标识,得到访问控制关系”,包括:基于网络acl的标识以及与网络acl的标识对应的地址范围,生成第一对应关系。第一对应关系用于表征网络acl的标识与地址范围的关联关系。基于安全组的标识以及与安全组的标识对应的地址范围,生成第二对应关系。第二对应关系用于表征安全组的标识与地址范围的关联关系。基于边界防火墙的标识、与边界防火墙的标识对应的云平台节点标识、vpc的标识、与vpc的标识对应的云平台节点标识、网络acl的标识对应的vpc标识以及安全组的标识对应的vpc标识,生成第三对应关系。第三对应关系用于表征边界防火墙的标识、vpc的标识、网络acl的标识以及安全组的标识的关联关系。基于第一对应关系、第二对应关系以及第三对应关系,得到访问控制关系。
5、在一种可能的实施方式中,第一对应关系为第一多叉树、第二对应关系为第二多叉树以及第三对应关系为第三多叉树。上述“基于网络acl的标识以及与网络acl的标识对应的地址范围,生成第一对应关系”,包括:基于网络acl的标识以及与网络acl的标识对应的地址范围,生成第一多叉树。第一多叉树的父节点为网络acl的标识,第一多叉树的子节点为网络acl的标识对应的地址范围。上述“基于安全组的标识以及与安全组的标识对应的地址范围,生成第二对应关系”,包括:基于安全组的标识以及与安全组的标识对应的地址范围,生成第二多叉树;第二多叉树的父节点为安全组的标识,第二多叉树的子节点为安全组的标识对应的地址范围;基于边界墙防火墙的标识、边界防火墙的标识对应的云平台节点标识、vpc的标识、vpc的标识对应的云平台节点标识、网络acl的标识、网络acl的标识对应的vpc标识以及安全组的标识、安全组的标识对应的vpc标识,生成第三多叉树;第三多叉树的父节点为边界墙防火墙的标识,第三多叉树的子节点为与边界防火墙的标识对应的vpc标识,第三多叉树的孙节点为与vpc的标识对应的网络acl的标识以及安全组的标识。
6、在一种可能的实施方式中,上述“基于预先生成的访问控制关系,分别确定源地址对应的访问控制数据以及目的地址对应的访问控制数据”,包括:从第一对应关系中查找源地址对应的第一网络acl的标识,并从第二对应关系中查找源地址对应的第一安全组的标识。基于第一网络acl的标识或第一安全组的标识从第三对应关系查找与源地址对应的第一vpc的标识和第一边界防火墙的标识。从第一对应关系中查找目的地址对应的第二网络acl的标识,并从第二对应关系中查找目的地址对应的第二安全组的标识。基于第二网络acl的标识或第二安全组的标识从第三对应关系查找与目的地址对应的第二vpc的标识和第二边界防火墙的标识。
7、在一种可能的实施方式中,上述“基于源地址对应的访问控制数据以及目的地址对应的访问控制数据,生成访问配置策略”,包括:基于源地址对应的访问控制数据以及目的地址对应的访问控制数据,确定目标访问控制数据。目标访问控制数据为源地址对应的访问控制数据与目的地址对应的访问控制数据中不同的访问控制程序标识。访问控制程序标识包括边界防火墙标识、vpc标识、网络acl标识及安全组标识。基于目标访问控制数据,生成访问配置策略。
8、在一种可能的实施方式中,上述“基于目标访问控制数据,生成访问配置策略”,包括:在源地址对应的第一安全组的标识与目的地址对应的第二安全组的标识为不同的安全组标识的情况下,生成第一访问配置策略。第一访问配置策略用于指示开通安全组策略。或者,在源地址对应的第一网络acl的标识与目的地址对应的第二网络acl的标识为不同的网络acl的标识的情况下,生成第二访问配置策略。第二访问配置策略用于指示开通网络acl策略。或者,在源地址对应的第一边界防火墙的标识与目的地址对应的第二边界防火墙的标识为不同的边界防火墙标识、源地址对应的第一vpc的标识与目的地址对应的第二vpc的标识为不同的vpc标识的情况下,生成第三访问配置策略。第三访问配置策略用于指示开通边界防火墙策略。
9、在一种可能的实施方式中,上述方法还包括:基于访问配置策略,生成访问配置策略脚本,并向源地址对应的边界防火墙节点、云平台节点以及目的地址对应的边界防火墙节点、云平台节点发送访问配置策略脚本,以使得源地址对应的边界防火墙节点、云平台节点以及目的地址对应的边界防火墙节点、云平台节点执行访问配置策略脚本。
10、在一种可能的实施方式中,业务访问配置请求还包括端口号,在获取业务访问配置请求之后,方法还包括:确定源地址、目的地址以及端口号是否满足预设格式。上述“基于预先生成的访问控制关系,分别确定源地址对应的访问控制数据以及目的地址对应的访问控制数本文档来自技高网...
【技术保护点】
1.一种访问配置策略的生成方法,其特征在于,所述方法包括:
2.根据权利要求1所述的生成方法,其特征在于,所述多个访问控制程序包括:边界防火墙、虚拟私有云VPC、网络访问控制列表ACL以及安全组,所述方法还包括:
3.根据权利要求2所述的生成方法,其特征在于,所述基于所述访问控制信息,关联所述多个访问控制程序的标识,得到所述访问控制关系,包括:
4.根据权利要求3所述的生成方法,其特征在于,所述第一对应关系为第一多叉树、所述第二对应关系为第二多叉树以及所述第三对应关系为第三多叉树;
5.根据权利要求4所述的生成方法,其特征在于,所述基于所述预先生成的访问控制关系,分别确定所述源地址对应的访问控制数据以及所述目的地址对应的访问控制数据,包括:
6.根据权利要求1-5中任一项所述的生成方法,其特征在于,所述基于所述源地址对应的访问控制数据以及所述目的地址对应的访问控制数据,生成访问配置策略,包括:
7.根据权利要求6所述的生成方法,其特征在于,所述基于所述目标访问控制数据,生成所述访问配置策略,包括:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。