信也科技网络自动化实践-网络策略管理

1、背景

随着各种法律法规和行业标准的出台和更新,企业或组织需要遵守各种安全合规性要求。网络安全策略管理需要符合这些要求,从而保障企业或组织的安全和合规性。网络安全策略管理需要涵盖企业或组织的整个网络生命周期,包括网络规划、设计、部署、运营和维护等各个环节。企业或组织需要采取全面的安全管理措施,从而保障网络安全的全方位防护和管理。

信也网络运维团队制定和执行全面、科学的网络安全策略管理机制,从而保障网络安全和业务稳定。下文介绍了网络自动化平台中安全策略管理的优化实践,涵盖了企业内部访问外网、内网互访网络安全需求。

安全策略管理特点

  • 综合性:覆盖企业的各个方面,包括网络和系统设备、应用程序、数据等。
  • 动态性:不断地根据企业或组织的安全需求和网络环境变化来调整和优化。
  • 策略性:制定合理的安全策略,包括网络边界的防护、主机防护、应用程序安全、数据安全等方面的策略。
  • 可操作性:安全策略管理需要具备可操作性,即安全策略需要能够被实际操作和执行。

2、网络五元组介绍

网络安全五元组是指网络通信中用于标识网络数据流的五个重要参数,通常包括源IP地址、目的IP地址、源端口号、目的端口号和协议类型。这些参数可用于网络安全监控和控制,也是网络攻击和安全防护的重要依据。

  • 源IP地址:源IP地址是指数据流的发送方IP地址,用于标识数据流的来源。
  • 目的IP地址:目的IP地址是指数据流的接收方IP地址,用于标识数据流的目的地。
  • 源端口号:源端口号是指数据流的发送方端口号,用于标识数据流的发送方应用程序。
  • 目的端口号:目的端口号是指数据流的接收方端口号,用于标识数据流的目的应用程序。
  • 协议类型:协议类型是指数据流所使用的通信协议类型,如TCP、UDP、ICMP等。

3、鲲鹏网络运维平台

3.1 功能介绍

鲲鹏网络运维平台是受到DevOps启发的网络自动化助力网络运维方式转型,提高业务敏捷性。基于防火墙安全策略为基础来开发。主要功能是集成各家安全厂商的防火墙策略,统一在鲲鹏网络运维平台开发《安全策略查询》、《安全策略开通》功能,实现查询和开通一体化,并提供相应数据对接各类其他应用平台。目前适用在OA、白鲸自动化运维平台、CMDB等平台。

3.2 安全策略自助查询

为满足信也科技现有架构,适配现有策略需求,在安全策略查询方面,可以用五元组和应用域名查询,嵌套、轮询等方式进行全网防火墙策略查询,由单点查询,汇总到一个窗口进行查询整合。策略查询结果是基于策略分析实现的,策略分析的核心就是对于策略的匹配解析,如下正则表达式几乎涵盖了所有的思科防火墙策略命令,能够快速的得到防火墙策略关键的五元组信息。

PROTOCOL_METHOD = "tcp|udp|ip|icmp"    rf'access-list (.*) extended permit ([\s\S]*) any any',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)? object-group ([\S]*) (<None>)?eq ([\S]*)$(<None>)?',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)? object-group ([\S]*)(<None>)?(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)? object-group ([\S]*)(<None>)?(<None>)? object-group ([\S]*)$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? host ([\S]*) object-group (<None>)?([\S]*)$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? ({NETMASK}) object-group (<None>)?([\S]*)$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? (any) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? ({NETMASK}) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? host ([\S]*) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? ({NETMASK})(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) object-group ([\S]*)(<None>)?(<None>)? (any)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? (any)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?({NETMASK})(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? ({NETMASK})(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?(any)(<None>)? host ([\S]*)(<None>)?(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?({NETMASK})(<None>)? host ([\S]*) eq ([\S]*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? host ([\S]*) range (.*)(<None>)?$',    rf'access-list (.*) extended permit ({PROTOCOL_METHOD}) (<None>)?host ([\S]*)(<None>)? host ([\S]*) eq ([\S]*)(<None>)?$',

基于鲲鹏平台自助查询

基于CMDB自助查询

基于白鲸自动化运维平台自助查询

3.3 安全策略自助开通

为满足公司各应用在线上环境网络访问控制申请的合理需求,使公司资源与访问权限分配合理有效,特制定网络权限申请。安全策略开通基于五元组中的源地址、目的地址和目的端口进行网络安全策略的开通功能。防火墙自动开通的核心是一套防火墙网络路由配置以及相应路径搜索,根据源区域和目的区域两个字段可以搜索到两个目标间需要开通的所有防火墙,然后进行后续的命令下发。​​​​​​​​​​​​​​

// 防火墙匹配var firewallnames = make([]string, 0)      for _, r := range config.Config().Routes {         rs, rd := r.SrcRegion, r.DstRegion               if (strings.Contains(rs, srcRegion) && strings.Contains(rd, dstRegion)) || (r.Reversible && (strings.Contains(rs, dstRegion) && strings.Contains(rd, srcRegion))) {                      firewallnames = append(firewallnames, r.Firewalls...)         }       }

4.使用情况

目前白鲸运维自动化平台、CMDB等平台已全面接入鲲鹏相关平台,可以实时查询历史数据。

下图为平台上线后的使用开通次数。如人工开通,4000次每次需要5分钟,总计需要20000分钟(333.33小时)。平台上线后,4000次每次需要5秒钟,只需要20000秒完成(5.55小时)

5.后续规划

持续优化网络策略,让业务无感变更做到快速响应。根据实际情况,确定查询和下发的频率。并通过邮件、即时通讯等方式进行通知。建立查询和下发的反馈机制,以便收集用户的反馈意见,并及时调整网络安全策略。需要定期进行评估和调整,以保证网络安全策略的有效性和实用性。

6.总结

网络安全策略查询和下发需要有具体的规划和执行计划,并且需要定期进行评估和调整,以保证网络安全策略的有效性和实用性。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/546963.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【JavaEE多线程】线程安全、锁机制及线程间通信

目录 线程安全线程安全问题的原因 synchronized 关键字-监视器锁monitor locksynchronized的特性互斥刷新内存可重入 synchronized使用范例 volatilevolatile能保证内存可见性volatile不保证原子性synchronized 也能保证内存可见性 wait 和 notifywait()方法notify()方法notify…

[BT]BUUCTF刷题第17天(4.15)

第17天&#xff08;共3题&#xff09; Web [强网杯 2019]高明的黑客 .tar.gz 是 Linux 系统下的压缩包&#xff0c;访问即可下载 打开后有3000多个php文件&#xff0c;通过题解得知需要写Python脚本找出合适的GetShell文件&#xff08;因为每个文件里都会通过system函数执行…

【Java开发指南 | 第九篇】访问实例变量和方法、继承、接口

专栏&#xff1a;Java开发指南 CSDN秋说 文章目录 访问实例变量和方法继承接口 访问实例变量和方法 通过已创建的对象来访问成员变量和成员方法&#xff0c;如下所示&#xff1a; /* 实例化对象 */ Object referenceVariable new Constructor(); /* 访问类中的变量 */ refer…

glitch功耗的问题在先进节点上更加突出

这个问题在 AI 加速器中尤为严重&#xff0c;修复这个问题需要一些tradeoff。 据估计&#xff0c;一些最先进和最复杂的芯片设计中总功耗的 20% 到 40% 被浪费了。 glitch功耗并不是一个新现象。在先进节点上&#xff0c;glitch功耗问题正变得越来越突出&#xff0c;没有一种解…

Android SQLite

一、使用SQLiteOpenHelper类创建数据库与版本管理 1、nCreate(database):首次使用软件时生成数据库表 2、onUpgrade(database,oldVersion,newVersion):在数据库的版本发生变化时会被调用&#xff0c; 一 般 在软件升级时才需改变版本号&#xff0c;而数据库的版本是由…

20240328-2-随机森林面试题RandomForest

随机森林面试题 1. 简单介绍随机森林 一种基于树模型的Bagging的优化版本&#xff0c;一棵树的生成肯定还是不如多棵树&#xff0c;因此就有了随机森林&#xff0c;解决决策树泛化能力弱的特点。 多次随机取样&#xff0c;多次随机取属性&#xff0c;选取最优分割点&#xff…

在Vue3中如何使用H.265视频流媒体播放器EasyPlayer.js?

H5无插件流媒体播放器EasyPlayer属于一款高效、精炼、稳定且免费的流媒体播放器&#xff0c;可支持多种流媒体协议播放&#xff0c;可支持H.264与H.265编码格式&#xff0c;性能稳定、播放流畅&#xff0c;能支持WebSocket-FLV、HTTP-FLV&#xff0c;HLS&#xff08;m3u8&#…

【uniapp踩坑记】——微信小程序转发保存图片

关于微信小程序转发&保存图片 微信小程序图片转发保存简单说明网络图片的转发保存base64流形式图片转发保存 已经好多年没写博客了&#xff0c;最近使用在用uniapp开发一个移动版管理后台&#xff0c;记录下自己踩过的一些坑 吃相别太难看&#xff0c;搞一堆下头僵尸号来点…

【YOLOv9】使用yolov9训练自己的数据集/验证 /推理 /参数分析

完胜V8的SOTA模型Yolov9(论文阅读笔记)内容 点击即可跳转 当今的YOLO系列武林盟主YOLOV9&#xff1a; YOLOv9的优秀表现&#xff1a; 环境&#xff1a; ubuntu20.04&#xff0c;无GPU&#xff0c;使用anaconda3创建的虚拟环境yolov9。 环境安装&#xff1a; conda create -n …

JavaSE图书管理系统

JavaSE图书管理系统 思路一.Main方法二.User包1.User类2.NormaUser类3.AdminUser类三.book包1.BookList类2.Book类四.operation包1.IOPeration接口2.AddOperation类新增图书3.BorrowOperation类借阅图书4.DelOperation类删除图书5.FindOperation类查找图书6.ReturnOperation类归…

Centos7配置IP地址

1、找到网卡名字 使用root用户登陆&#xff0c;输入命令 ifconfig 2、打开配置文件 输入命令&#xff0c;打开配置文件 vi /etc/sysconfig/network-scripts/ifcfg-ens33 3、添加IP地址 3.1修改BOOTPROTO 将“BOOTPROTOdhcp” 改为 “BOOTPROTOstatic” 3.2添加IP地址 在配…

【JavaEE多线程】从单例模式到线程池的深入探索

目录 多线程案例单例模式阻塞队列定时器线程池总结-保证线程安全的思路对比线程和进程 多线程案例 单例模式 单例模式是一种设计模式 设计模式&#xff0c;就是程序员的棋谱&#xff0c;这里介绍了很多典型场景&#xff0c;以及典型场景的处理方式&#xff0c;按照设计模式写…

火车头采集一键发布到Zblog

火车头采集发布到Zblog系统&#xff0c;主要操作步骤如下&#xff1a; 目录 1、Zblog火车头Web发布模块 2、内容发布参数映射&#xff0c;火车头发布到Zblog 3、简数一键发布到Zblog方法 1、Zblog火车头Web发布模块 自行编写Zblog火车头Web发布模块&#xff0c;一般要使用f…

Linux--进程间的通信--进程池

进程间的通信–匿名管道 进程池的概念 进程池是一种将多个进程组织起来以执行特定任务的机制。它由多个预先创建好的资源进程和一个管理进程组成。这些资源进程被管理进程负责分配和调度&#xff0c;用于处理任务。 当有新的任务提交时&#xff0c;管理进程会从进程池中取出一…

2024北京门窗展|2024北京门窗展会|2024北京门窗展览会

CWE中国&#xff08;北京&#xff09;国际系统门窗及幕墙博览会 CWE China&#xff08;Beijing&#xff09;International System Doors Windows and Curtain Walls Expo 2024年8月29-31日 北京&#xff0c;中国国际展览中心顺义馆 展会概况&#xff1a; 2024年CWE中国&…

【Unity】ScriptableObject 在游戏中的使用实例

ScriptableObject 在游戏中的使用实例 ScriptableObject 使用指南Unity 存储游戏数据的几种方法Unity ScriptableObject实例创建一个物品管理的ScriptableObject创建一个管理所有 ScriptableObject 的数据库&#xff08;ItemDBSO&#xff09; ScriptableObject 使用指南 Scrip…

回溯算法练习day.2

216.组合总和III 链接&#xff1a;. - 力扣&#xff08;LeetCode&#xff09; 题目描述&#xff1a; 找出所有相加之和为 n 的 k 个数的组合&#xff0c;且满足下列条件&#xff1a; 只使用数字1到9每个数字 最多使用一次 返回 所有可能的有效组合的列表 。该列表不能包含相…

基于STM32的RFID智能门锁系统

本文针对RFID技术&#xff0c;着重研究了基于单片机的智能门锁系统设计。首先&#xff0c;通过链接4*4按键模块与主控STM32&#xff0c;实现了多种模式&#xff0c;包括刷卡开锁、卡号权限管理、密码开锁、修改密码、显示实时时间等功能。其次&#xff0c;采用RC522模块与主控S…

【C语言基础】:预处理详解(二)

文章目录 一、宏和函数的对比二、#和##运算符2.1 #运算符2.2 ##运算符 三、#undef四、命令行定义五、条件编译六、头文件的包含1. 头文件包含的方式2. 嵌套文件包含 上期回顾&#xff1a; 【C语言基础】&#xff1a;预处理详解(一) 一、宏和函数的对比 宏通常被应有于执行简单…

Vue3---基础10(路由)

写一个最基本的路由导航 下载、创建、使用路由 下载路由 npm i vue-router 创建路由 先在 src 内去创建一个 router 文件夹 在文件夹内创建一个 index 文件 index.ts 内代码 // 创建一个路由器&#xff0c;并暴露出去 // 引入createRouter import { createRouter, createWeb…