信也科技网络自动化实践-网络策略管理

news2024/11/22 1:10:08

1、背景

随着各种法律法规和行业标准的出台和更新,企业或组织需要遵守各种安全合规性要求。网络安全策略管理需要符合这些要求,从而保障企业或组织的安全和合规性。网络安全策略管理需要涵盖企业或组织的整个网络生命周期,包括网络规划、设计、部署、运营和维护等各个环节。企业或组织需要采取全面的安全管理措施,从而保障网络安全的全方位防护和管理。

信也网络运维团队制定和执行全面、科学的网络安全策略管理机制,从而保障网络安全和业务稳定。下文介绍了网络自动化平台中安全策略管理的优化实践,涵盖了企业内部访问外网、内网互访网络安全需求。

安全策略管理特点

  • 综合性:覆盖企业的各个方面,包括网络和系统设备、应用程序、数据等。
  • 动态性:不断地根据企业或组织的安全需求和网络环境变化来调整和优化。
  • 策略性:制定合理的安全策略,包括网络边界的防护、主机防护、应用程序安全、数据安全等方面的策略。
  • 可操作性:安全策略管理需要具备可操作性,即安全策略需要能够被实际操作和执行。

2、网络五元组介绍

网络安全五元组是指网络通信中用于标识网络数据流的五个重要参数,通常包括源IP地址、目的IP地址、源端口号、目的端口号和协议类型。这些参数可用于网络安全监控和控制,也是网络攻击和安全防护的重要依据。

  • 源IP地址:源IP地址是指数据流的发送方IP地址,用于标识数据流的来源。
  • 目的IP地址:目的IP地址是指数据流的接收方IP地址,用于标识数据流的目的地。
  • 源端口号:源端口号是指数据流的发送方端口号,用于标识数据流的发送方应用程序。
  • 目的端口号:目的端口号是指数据流的接收方端口号,用于标识数据流的目的应用程序。
  • 协议类型:协议类型是指数据流所使用的通信协议类型,如TCP、UDP、ICMP等。

3、鲲鹏网络运维平台

3.1 功能介绍

鲲鹏网络运维平台是受到DevOps启发的网络自动化助力网络运维方式转型,提高业务敏捷性。基于防火墙安全策略为基础来开发。主要功能是集成各家安全厂商的防火墙策略,统一在鲲鹏网络运维平台开发《安全策略查询》、《安全策略开通》功能,实现查询和开通一体化,并提供相应数据对接各类其他应用平台。目前适用在OA、白鲸自动化运维平台、CMDB等平台。

3.2 安全策略自助查询

为满足信也科技现有架构,适配现有策略需求,在安全策略查询方面,可以用五元组和应用域名查询,嵌套、轮询等方式进行全网防火墙策略查询,由单点查询,汇总到一个窗口进行查询整合。策略查询结果是基于策略分析实现的,策略分析的核心就是对于策略的匹配解析,如下正则表达式几乎涵盖了所有的思科防火墙策略命令,能够快速的得到防火墙策略关键的五元组信息。

PROTOCOL_METHOD = "tcp|udp|ip|icmp"    rf'access-list (.*) extended permit ([\s\S]*) any any',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)? object-group ([\S]*) (<None>)?eq ([\S]*)$(<None>)?',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)? object-group ([\S]*)(<None>)?(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)? object-group ([\S]*)(<None>)?(<None>)? object-group ([\S]*)$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? host ([\S]*) object-group (<None>)?([\S]*)$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? ({NETMASK}) object-group (<None>)?([\S]*)$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? (any) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? ({NETMASK}) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? host ([\S]*) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? ({NETMASK})(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? (any)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? (any)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?({NETMASK})(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? ({NETMASK})(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?(any)(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?({NETMASK})(<None>)? host ([\S]*) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? host ([\S]*) range (.*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? host ([\S]*) eq ([\S]*)(<None>)?$',

基于鲲鹏平台自助查询

基于CMDB自助查询

基于白鲸自动化运维平台自助查询

3.3 安全策略自助开通

为满足公司各应用在线上环境网络访问控制申请的合理需求,使公司资源与访问权限分配合理有效,特制定网络权限申请。安全策略开通基于五元组中的源地址、目的地址和目的端口进行网络安全策略的开通功能。防火墙自动开通的核心是一套防火墙网络路由配置以及相应路径搜索,根据源区域和目的区域两个字段可以搜索到两个目标间需要开通的所有防火墙,然后进行后续的命令下发。​​​​​​​​​​​​​​

// 防火墙匹配var firewallnames = make([]string, 0)      for _, r := range config.Config().Routes {         rs, rd := r.SrcRegion, r.DstRegion               if (strings.Contains(rs, srcRegion) && strings.Contains(rd, dstRegion)) || (r.Reversible && (strings.Contains(rs, dstRegion) && strings.Contains(rd, srcRegion))) {                      firewallnames = append(firewallnames, r.Firewalls...)         }       }

4.使用情况

目前白鲸运维自动化平台、CMDB等平台已全面接入鲲鹏相关平台,可以实时查询历史数据。

下图为平台上线后的使用开通次数。如人工开通,4000次每次需要5分钟,总计需要20000分钟(333.33小时)。平台上线后,4000次每次需要5秒钟,只需要20000秒完成(5.55小时)

5.后续规划

持续优化网络策略,让业务无感变更做到快速响应。根据实际情况,确定查询和下发的频率。并通过邮件、即时通讯等方式进行通知。建立查询和下发的反馈机制,以便收集用户的反馈意见,并及时调整网络安全策略。需要定期进行评估和调整,以保证网络安全策略的有效性和实用性。

6.总结

网络安全策略查询和下发需要有具体的规划和执行计划,并且需要定期进行评估和调整,以保证网络安全策略的有效性和实用性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1597401.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

halcon 3.2标定相机

参考《solution_guide_iii_c_3d_vision.pdf》 3.2.2.2 Which Distortion Model to Use 选用何种畸变模型 对于面阵相机&#xff0c;halcon中两种畸变模型&#xff1a;The division model and the polynomial model&#xff08;差分模型和多项式模型&#xff09;&#xff0c;前…

MLOps

参考&#xff1a; 什么是MLOps&#xff1f;与DevOps有何异同&#xff1f;有什么价值&#xff1f;https://baijiahao.baidu.com/s?id1765071998288593530&wfrspider&forpcMLOps简介_AI开发平台ModelArts_WorkflowMLOps(Machine Learning Operation)是机器学习&#xf…

kafka(六)——存储策略

存储机制 kafka通过topic作为主题缓存数据&#xff0c;一个topic主题可以包括多个partition&#xff0c;每个partition是一个有序的队列&#xff0c;同一个topic的不同partiton可以分配在不同的broker&#xff08;kafka服务器&#xff09;。 关系图 partition分布图 名称为t…

Unity 扩展自定义编辑器窗口

在Assets文件夹路径下任意位置创建Editor文件夹&#xff0c;将扩展编辑器的代码放在Editor文件夹下 生成编辑器窗口 代码中首先引用命名空间 using UnityEditor; 然后将创建的类继承自EditorWindow public class MenuEditor : EditorWindow 然后通过扩展编辑器菜单功能调用…

AndroidStudio 导出aar包,并使用

打包 1、确认当前选项是否勾选&#xff0c;如未勾选请先勾选。 2、勾选完成后重启Android Studio。 3、重启完成后&#xff0c;选中要打包的module 4、打包完成 使用 1.在项目中新建libs,放入aar文件。 2.修改配置 添加如下代码 flatDir {dirs("libs")}3.修改app…

【BEVHeight论文阅读】自动驾驶车路协同车端感知算法

论文名称&#xff1a;BEVHeight: A Robust Framework for Vision-based Roadside 3D Object Detection 论文地址&#xff1a;https://arxiv.org/pdf/2303.08498.pdf 代码地址&#xff1a;https://github.com/ADLab-AutoDrive/BEVHeight 总结&#xff1a;这篇文章比较有意思的点…

单元测试四大过程

单元测试四大过程&#xff08;蓝桥课学习笔记&#xff09; 单元测试过程 单元测试是软件测试过程中的一个关键环节&#xff0c;它与集成测试、系统测试一样&#xff0c;分为测试策划、测试设计、测试执行和测试总结几个阶段。 单元测试过程中每个阶段需要完成的主要工作如下&…

ActiveMQ主从架构和集群架构的介绍及搭建

一、主从和集群架构的特点 1.1 主从架构的-Master/slave模式特点 读写分离&#xff0c;纵向扩展&#xff0c;所有的写操作一般在master上完成&#xff0c;slave只提供一个热备 1.2 集群架构-Cluster模式特点 分布式的一种存储&#xff0c;水平的扩展&#xff0c;消息的分布…

基于WOA优化的CNN-LSTM-Attention的时间序列回归预测matlab仿真

目录 1.算法运行效果图预览 2.算法运行软件版本 3.部分核心程序 4.算法理论概述 4.1卷积神经网络&#xff08;CNN&#xff09;在时间序列中的应用 4.2 长短时记忆网络&#xff08;LSTM&#xff09;处理序列依赖关系 4.3 注意力机制&#xff08;Attention&#xff09; 4…

聚类能代替分类吗?

聚类和分类是两种不同的机器学习方法&#xff0c;它们在处理数据时有着不同的目的和应用场景。 分类&#xff1a;分类是一种监督学习方法&#xff0c;它需要已标记的训练数据集。在分类中&#xff0c;算法会学习如何将输入数据映射到预定义的类别中。例如&#xff0c;给定一组包…

ActiveMQ 07 集群配置

Active MQ 07 集群配置 官方文档 http://activemq.apache.org/clustering 主备集群 http://activemq.apache.org/masterslave.html Master Slave TypeRequirementsProsConsShared File System Master SlaveA shared file system such as a SANRun as many slaves as requ…

开源相机管理库Aravis例程学习(一)——单帧采集single-acquisition

开源相机管理库Aravis例程学习&#xff08;一&#xff09;——单帧采集single-acquisition 简介源码函数说明arv_camera_newarv_camera_acquisitionarv_camera_get_model_namearv_buffer_get_image_widtharv_buffer_get_image_height 简介 本文针对官方例程中的第一个例程&…

vue快速入门(二十五)本地存储与初始化使用

注释很详细&#xff0c;直接上代码 上一篇 新增内容 本地获取数据数据存储到本地 源码 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial…

Spire.PDF for .NET【文档操作】演示:合并 PDF 文档

需要合并 PDF 的原因有很多。例如&#xff0c;合并 PDF 文件允许您打印单个文件&#xff0c;而不是为打印机排队多个文档&#xff0c;组合相关文件通过减少要搜索和组织的文件数量来简化管理和存储多个文档的过程。在本文中&#xff0c;您将学习如何使用Spire.PDF for .NET将多…

JS-demo轮播图效果实现

原生JS开发轮播图效果 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8" /><meta http-equiv"X-UA-Compatible" content"IEedge" /><meta name"viewport" content"widt…

【架构-13】云原生架构

云原生架构产生背景&#xff1f; &#xff08;1&#xff09;大量资源被占用且难以分享&#xff0c;上云后&#xff0c;云厂商提供统一的IaaS能力和云服务。 &#xff08;2&#xff09;提供极致性能的云原生算力。 &#xff08;3&#xff09;集成服务&#xff0c;构建管理数据、…

Adobe Premiere 2015 下载地址及安装教程

Premiere是一款专业的视频编辑软件&#xff0c;由Adobe Systems开发。它为用户提供了丰富的视频编辑工具和创意效果&#xff0c;可用于电影、电视节目、广告和其他多媒体项目的制作。 Premiere具有直观的用户界面和强大的功能&#xff0c;使得编辑和处理视频变得简单而高效。它…

Linux基础(持续更新~)

常见的Linux目录 1、“/”&#xff1a;根目录 2、“/root”&#xff1a;root 用户的家目录 3、“/home/username ”&#xff1a;普通用户的家目录 4、“/etc”&#xff1a;配置文件目录&#xff08;类似于Windows的注册表&#xff09; 5、“/bin ”&#xff1a;命令目录 …

简单3步制作纸质英语绘本的mp3英语朗读音频

孩子学英语&#xff0c;需要看很多英语绘本&#xff0c;而且要听配套的音频。但有些英语绘本是没有对应音频的&#xff0c;下面简单三步&#xff0c;就可以将任意英语绘本制作出对应的英语朗读音频。 第一步&#xff0c;手机拍照做成PDF文件&#xff1a; 绘本每一页拍照后&…

华为云迁移到AWS上云安全及部署,九河云保姆级教程

云计算已成为当今企业数字化转型的关键环节。随着越来越多的业务部署在云端,确保云计算环境的安全性成为各大企业关注的重点。本文将重点介绍在从华为云迁移到AWS过程中,如何规划和部署云安全体系,充分利用AWS提供的安全服务与最佳实践,最大限度地保护您的云上资产。我们九河云…