信也科技网络自动化实践-网络策略管理

1、背景

随着各种法律法规和行业标准的出台和更新,企业或组织需要遵守各种安全合规性要求。网络安全策略管理需要符合这些要求,从而保障企业或组织的安全和合规性。网络安全策略管理需要涵盖企业或组织的整个网络生命周期,包括网络规划、设计、部署、运营和维护等各个环节。企业或组织需要采取全面的安全管理措施,从而保障网络安全的全方位防护和管理。

信也网络运维团队制定和执行全面、科学的网络安全策略管理机制,从而保障网络安全和业务稳定。下文介绍了网络自动化平台中安全策略管理的优化实践,涵盖了企业内部访问外网、内网互访网络安全需求。

安全策略管理特点

  • 综合性:覆盖企业的各个方面,包括网络和系统设备、应用程序、数据等。
  • 动态性:不断地根据企业或组织的安全需求和网络环境变化来调整和优化。
  • 策略性:制定合理的安全策略,包括网络边界的防护、主机防护、应用程序安全、数据安全等方面的策略。
  • 可操作性:安全策略管理需要具备可操作性,即安全策略需要能够被实际操作和执行。

2、网络五元组介绍

网络安全五元组是指网络通信中用于标识网络数据流的五个重要参数,通常包括源IP地址、目的IP地址、源端口号、目的端口号和协议类型。这些参数可用于网络安全监控和控制,也是网络攻击和安全防护的重要依据。

  • 源IP地址:源IP地址是指数据流的发送方IP地址,用于标识数据流的来源。
  • 目的IP地址:目的IP地址是指数据流的接收方IP地址,用于标识数据流的目的地。
  • 源端口号:源端口号是指数据流的发送方端口号,用于标识数据流的发送方应用程序。
  • 目的端口号:目的端口号是指数据流的接收方端口号,用于标识数据流的目的应用程序。
  • 协议类型:协议类型是指数据流所使用的通信协议类型,如TCP、UDP、ICMP等。

3、鲲鹏网络运维平台

3.1 功能介绍

鲲鹏网络运维平台是受到DevOps启发的网络自动化助力网络运维方式转型,提高业务敏捷性。基于防火墙安全策略为基础来开发。主要功能是集成各家安全厂商的防火墙策略,统一在鲲鹏网络运维平台开发《安全策略查询》、《安全策略开通》功能,实现查询和开通一体化,并提供相应数据对接各类其他应用平台。目前适用在OA、白鲸自动化运维平台、CMDB等平台。

3.2 安全策略自助查询

为满足信也科技现有架构,适配现有策略需求,在安全策略查询方面,可以用五元组和应用域名查询,嵌套、轮询等方式进行全网防火墙策略查询,由单点查询,汇总到一个窗口进行查询整合。策略查询结果是基于策略分析实现的,策略分析的核心就是对于策略的匹配解析,如下正则表达式几乎涵盖了所有的思科防火墙策略命令,能够快速的得到防火墙策略关键的五元组信息。

PROTOCOL_METHOD = "tcp|udp|ip|icmp"    rf'access-list (.*) extended permit ([\s\S]*) any any',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)? object-group ([\S]*) (<None>)?eq ([\S]*)$(<None>)?',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)? object-group ([\S]*)(<None>)?(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)? object-group ([\S]*)(<None>)?(<None>)? object-group ([\S]*)$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? host ([\S]*) object-group (<None>)?([\S]*)$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? ({NETMASK}) object-group (<None>)?([\S]*)$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? (any) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? ({NETMASK}) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? host ([\S]*) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? ({NETMASK})(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? (any)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? (any)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?({NETMASK})(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? ({NETMASK})(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?(any)(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?({NETMASK})(<None>)? host ([\S]*) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? host ([\S]*) range (.*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? host ([\S]*) eq ([\S]*)(<None>)?$',

基于鲲鹏平台自助查询

基于CMDB自助查询

基于白鲸自动化运维平台自助查询

3.3 安全策略自助开通

为满足公司各应用在线上环境网络访问控制申请的合理需求,使公司资源与访问权限分配合理有效,特制定网络权限申请。安全策略开通基于五元组中的源地址、目的地址和目的端口进行网络安全策略的开通功能。防火墙自动开通的核心是一套防火墙网络路由配置以及相应路径搜索,根据源区域和目的区域两个字段可以搜索到两个目标间需要开通的所有防火墙,然后进行后续的命令下发。​​​​​​​​​​​​​​

// 防火墙匹配var firewallnames = make([]string, 0)      for _, r := range config.Config().Routes {         rs, rd := r.SrcRegion, r.DstRegion               if (strings.Contains(rs, srcRegion) && strings.Contains(rd, dstRegion)) || (r.Reversible && (strings.Contains(rs, dstRegion) && strings.Contains(rd, srcRegion))) {                      firewallnames = append(firewallnames, r.Firewalls...)         }       }

4.使用情况

目前白鲸运维自动化平台、CMDB等平台已全面接入鲲鹏相关平台,可以实时查询历史数据。

下图为平台上线后的使用开通次数。如人工开通,4000次每次需要5分钟,总计需要20000分钟(333.33小时)。平台上线后,4000次每次需要5秒钟,只需要20000秒完成(5.55小时)

5.后续规划

持续优化网络策略,让业务无感变更做到快速响应。根据实际情况,确定查询和下发的频率。并通过邮件、即时通讯等方式进行通知。建立查询和下发的反馈机制,以便收集用户的反馈意见,并及时调整网络安全策略。需要定期进行评估和调整,以保证网络安全策略的有效性和实用性。

6.总结

网络安全策略查询和下发需要有具体的规划和执行计划,并且需要定期进行评估和调整,以保证网络安全策略的有效性和实用性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/818859.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

场景文本检测识别学习 day04(目标检测的基础概念)

经典的目标检测方法 one-stage 单阶段法&#xff1a;YOLO系列、SSD系列 one-stage方法&#xff1a;仅预测一次&#xff0c;直接在特征图上预测每个物体的类别和边界框输入图像之后&#xff0c;使用CNN网络提取特征图&#xff0c;不加入任何补充&#xff08;锚点、锚框&#x…

Kafka 架构深入介绍 及搭建Filebeat+Kafka+ELK

目录 一 架构深入介绍 &#xff08;一&#xff09;Kafka 工作流程及文件存储机制 &#xff08;二&#xff09;数据可靠性保证 &#xff08;三&#xff09;数据一致性问题 &#xff08;四&#xff09;故障问题 &#xff08;五&#xff09;ack 应答机制 二 实…

蓝桥杯2024年第十五届省赛

E:宝石组合 根据给的公式化简后变为gcd(a,b,c)根据算数基本定理&#xff0c;推一下就可以了 然后我们对1到mx的树求约数&#xff0c;并记录约数的次数&#xff0c;我们选择一个最大的且次数大于等3的就是gcd int mx; vector<int> g[N]; vector<int> cnt[N]; int…

基于贝叶斯算法的机器学习在自动驾驶路径规划中的应用实例

目录 第一章 引言 第二章 数据准备 第三章 贝叶斯路径规划模型训练 第四章 路径规划预测 第五章 路径执行 第六章 实验结果分析 第一章 引言 自动驾驶技术的发展带来了自动驾驶车辆的出现&#xff0c;而路径规划作为自动驾驶车辆的关键功能之一&#xff0c;对于确定最佳行…

JVM之JVM栈的详细解析

Java 栈 Java 虚拟机栈&#xff1a;Java Virtual Machine Stacks&#xff0c;每个线程运行时所需要的内存 每个方法被执行时&#xff0c;都会在虚拟机栈中创建一个栈帧 stack frame&#xff08;一个方法一个栈帧&#xff09; Java 虚拟机规范允许 Java 栈的大小是动态的或者是…

标准版uni-app移动端页面添加/开发操作流程

页面简介 uni-app项目中&#xff0c;一个页面就是一个符合Vue SFC规范的.vue文件或.nvue文件。 .vue页面和.nvue页面&#xff0c;均全平台支持&#xff0c;差异在于当uni-app发行到App平台时&#xff0c;.vue文件会使用webview进行渲染&#xff0c;.nvue会使用原生进行渲染。…

用海豚调度器定时调度从Kafka到HDFS的kettle任务脚本

在实际项目中&#xff0c;从Kafka到HDFS的数据是每天自动生成一个文件&#xff0c;按日期区分。而且Kafka在不断生产数据&#xff0c;因此看看kettle是不是需要时刻运行&#xff1f;能不能按照每日自动生成数据文件&#xff1f; 为了测试实际项目中的海豚定时调度从Kafka到HDF…

ActiveMQ主从架构和集群架构的介绍及搭建

一、主从和集群架构的特点 1.1 主从架构的-Master/slave模式特点 读写分离&#xff0c;纵向扩展&#xff0c;所有的写操作一般在master上完成&#xff0c;slave只提供一个热备 1.2 集群架构-Cluster模式特点 分布式的一种存储&#xff0c;水平的扩展&#xff0c;消息的分布…

CCleaner怎么清理软件缓存 CCleaner清理要勾选哪些 ccleanerfree下载

CCleaner软件是一款优秀的数据清理软件&#xff0c;其中没有硬盘和内存的设置&#xff0c;也不含任何广告软件&#xff0c;其出色的注册表清洁功能能够保证您的电脑更稳定运行。本文将围绕CCleaner怎么清理软件缓存&#xff0c;CCleaner清理要勾选哪些的相关内容进行介绍。 一、…

计算机网络——DNS协议

目录 前言 前篇 引言 IP地址与域名 DNS协议的工作流程 DNS服务器节点之间是如何维护上下级关系的 前言 本博客是博主用于复习计算机网络的博客&#xff0c;如果疏忽出现错误&#xff0c;还望各位指正。 这篇博客是在B站掌芝士zzs这个UP主的视频的总结&#xff0c;讲的非…

将本地项目上传到Github

首先安装git、创建github账号 1、创建一个新的仓库 2、创建SSH KEY。先看一下你C盘用户目录下有没有.ssh目录&#xff0c;有的话看下里面有没有id_rsa和id_rsa.pub这两个文件&#xff0c;有就跳到下一步&#xff0c;没有就通过下面命令创建。 ssh-keygen -t rsa -C "you…

面试算法-174-二叉树的层序遍历

题目 给你二叉树的根节点 root &#xff0c;返回其节点值的 层序遍历 。 &#xff08;即逐层地&#xff0c;从左到右访问所有节点&#xff09;。 示例 1&#xff1a; 输入&#xff1a;root [3,9,20,null,null,15,7] 输出&#xff1a;[[3],[9,20],[15,7]] 解 class Solut…

代码随想录Day41:动态规划Part3

Leetcode 343. 整数拆分 讲解前&#xff1a; 毫无头绪 讲解后&#xff1a; 这道题的动态思路一开始很不容易想出来&#xff0c;虽然dp数组的定义如果知道是动态规划的话估摸着可以想出来那就是很straight forward dp定义&#xff1a;一维数组dp[i], i 代表整数的值&#xf…

pyqt QToolBar 选中高亮

目录 效果图 示例代码 效果图 示例代码 from PyQt5.QtWidgets import QApplication, QMainWindow, QAction, QToolBar, QToolButtonclass HighlightingToolButton(QToolButton):def __init__(self, parentNone):super().__init__(parent)self.setCheckable(True)def nextChe…

ins视频批量下载,instagram批量爬取视频信息

简介 Instagram 是目前最热门的社交媒体平台之一,拥有大量优质的视频内容。但是要逐一下载这些视频往往非常耗时。在这篇文章中,我们将介绍如何使用 Python 编写一个脚本,来实现 Instagram 视频的批量下载和信息爬取。 我们使用selenium获取目标用户的 HTML 源代码,并将其保存…

尚鼎环境科技诚邀您参观2024第13届生物发酵展

参展企业介绍 尚鼎环境科技(江苏)有限公司设立于2010年&#xff0c;公司坐落于江南平原南端素有『苏北门户』之称的古城扬州&#xff0c;办公室位在江苏省扬州市邗江区高新技术创业服务中心。 尚鼎环境科技长年致力于食品精炼/环境工程领域全程技术服务&#xff0c;工程实绩遍…

OpenHarmony南向开发案例:【智能体重秤】

一、简介 本demo基于OpenHarmony3.1Beta版本开发&#xff0c;该样例能够接入数字管家应用&#xff0c;通过数字管家应用监测体重秤上报数据&#xff0c;获得当前测量到的体重&#xff0c;身高&#xff0c;并在应用端形成一段时间内记录的体重值&#xff0c;以折线图的形式表现…

html公众号页面实现点击按钮跳转到导航

实现效果&#xff1a; 点击导航自动跳转到&#xff1a; html页面代码&#xff1a; <!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>跳转导航</title><meta name"keywords" conten…

华为框式交换机S12700E系列配置CSS集群

搭建集群环境 a.为两台交换机上电&#xff0c;按照数据规划分别对两台框式交换机进行配置 <HUAWEI> system-view [HUAWEI] sysname Switch1 [Switch1] set css id 1 [Switch1] set css priority 150 //框1的集群优先级配置为150 [Switch1] interface css-port 1 [Sw…

java的深入探究JVM之内存结构

前言 Java作为一种平台无关性的语言&#xff0c;其主要依靠于Java虚拟机——JVM&#xff0c;我们写好的代码会被编译成class文件&#xff0c;再由JVM进行加载、解析、执行&#xff0c;而JVM有统一的规范&#xff0c;所以我们不需要像C那样需要程序员自己关注平台&#xff0c;大…