logo好方法网

一种设备管理的方法和设备管理的装置

发布时间:2020-09-11 发布人:admin 分类:专利技术 资料大小:1.01M 资料格式:pdf 举报 版权申诉

技术摘要:
本公开提供了一种设备管理的方法和设备管理的装置,该方法包括:通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况,当确定所述第一服务终端的状态为首次上线时,则为所述第一服务终端分配第一公网地址,并记录所述第一公网地址与所述第一服务终端的  全部
背景技术:
目前大多数的网络,例如企业、园区、数据中心均需要在出口边界部署防火墙,来 保障资产安全。同时,会配套资产管理系统,对资产进行数据采集和设备管理。 现有的资产安全管理系统,在企业网或数据中心的整体解决方案中,仅对资产自 身进行整理和分析是不够的,还需要对资产进行访问控制、NAT转换、攻击防护等,这一功能 通常通过防火墙来实现。例如某个数据中心有一个私网地址为10.1.1.1的服务器使用公网 地址1.1.1.1对外提供FTP服务,需要在防火墙上配置一条安全策略,允许外部网络对这个 FTP服务器的访问,同时还需要配置一条NAT转换策略,用于将FTP服务器的公网地址转换为 私网地址。这些策略通常配置在企业网或数据中心的出口防火墙上。 目前,在资产上线时,需要网络管理员在防火墙上手工配置策略,当资产发生状态 改变或下线时,也需要去防火墙上手工修改或删除策略,从而增加了网络管理员的工作量, 而且在配置策略时,极易出现错误。并且资产管理系统是无法感知和联动的。这样就会造 成,有些资产可能已经变更或下线,但是防火墙上的旧策略却一直保留着,不仅会造成防火 墙因利用旧策略处理错误的报文,同时还会占用防火墙的资源。
技术实现要素:
本公开实施例提供了一种设备管理的方法和设备管理的装置,其中,通过该方法 和装置,可以实现资产管理设备与防火墙间的联动,通过资产管理设备自动为服务终端分 配公网地址,并告知防火墙,使得防火墙可自动配置针对服务终端的处理策略,不再需要管 理员进行人工配置,节省了管理员的配置工作,同时资产管理设备可实时监控服务终端,当 服务终端发生变化时,可以联动防火墙改变处理策略。 本公开实施例提供了一种设备管理的方法,该方法应用在资产管理设备中,所述 资产管理设备与第一防火墙连接,该方法包括: 通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的运行情况; 当确定所述第一服务终端的状态为首次上线时,则为所述第一服务终端分配第一 公网地址,并记录所述第一公网地址与所述第一服务终端的第一私网地址的对应关系; 将所述对应关系通过第一报文发送给所述第一防火墙,所述第一报文携带第一目 标标识,以使所述第一防火墙根据所述对应关系以及所述第一目标标识建立用于处理第一 服务终端相关报文的第一处理策略。 在另一种实施例中,该方法还包括:当确定所述第一服务终端的状态为申请下线 时,则获取所述第一公网地址与所述第一服务终端的第一私网地址的对应关系,并撤销所 述对应关系; 将所述对应关系通过第二报文发送给所述第一防火墙,所述第二报文携带第二目 4 CN 111600971 A 说 明 书 2/7 页 标标识,以使所述第一防火墙根据所述对应关系以及所述第二目标标识撤销第一处理策 略。 通过上述实施例可以看出,资产管理设备可通过第一防火墙监控第一服务终端, 以及为第一服务终端分配第一公网地址,建立第一公网地址与该第一服务终端的第一私网 地址的对应关系,通过将该对应关系发送给第一防火墙,使得第一防火墙可以根据该对应 关系建立第一处理策略,该第一处理策略可以包括地址装换策略、安全策略等,实现了资产 管理设备与第一防火墙间的联动,第一防火墙可根据资产管理设备发送的对应关系自动配 置处理策略,当服务终端下线时,防火墙可自动删除该服务终端对应的处理策略,从而避免 了防火墙资源的浪费。 在另一种实施例中,在所述通过所述第一防火墙监控与该第一防火墙连接的第一 服务终端的运行情况之前,该方法还包括: 通过指定端口号接收所述第一防火墙发送的携带联动标识的第三报文,所述第三 报文携带所述第一防火墙的地址信息; 根据所述联动标识以及所述第一防火墙的地址信息,建立与所述第一防火墙的联 动关系。 在另一种实施例中,通过所述第一防火墙监控与该第一防火墙连接的第一服务终 端的运行情况,具体包括: 通过所述指定端口号以及联动关系,监控与该第一防火墙连接的第一服务终端的 运行情况。 本公开实施例提供了一种设备管理的方法,该方法应用在第一防火墙中,该第一 防火墙与资产管理设备连接,该方法包括: 当获取到自身下挂的第一服务终端的运行情况为首次上线时,向所述资产管理设 备发送所述第一服务终端的第一私网地址,以使所述资产管理设备为所述第一服务终端分 配第一公网地址,并建立第一私网地址与第一公网地址的对应关系; 接收资产管理设备发送的第一报文,所述第一报文携带第一目标标识和所述对应 关系; 根据所述第一目标标识和所述对应关系建立用于处理第一服务终端相关报文的 第一处理策略。 在另一种实施例中,第一处理策略包括:第一私网地址与第一公网地址的转换策 略。 在另一种实施例中,当获取到自身下挂的第一服务终端的运行情况为首次上线 时,具体包括: 向所述资产管理设备发送第四报文,所述第四报文携带所述第一私网地址以及用 于表征所述第一服务终端首次上线的上线标识,以使所述资产管理设备根据所述上线标识 确定所述第一服务终端的状态为首次上线。 在另一种实施例中,接收资产管理设备发送的第二报文,所述第二报文携带第二 目标标识以及所述对应关系; 根据所述第二目标标识和所述对应关系删除用于处理第一服务终端相关表文的 第一处理策略。 5 CN 111600971 A 说 明 书 3/7 页 通过上述实施例可以看出,第一防火墙与资产管理设备间可联动,当第一防火墙 从资产管理设备获取到第一私网地址与第一公网地址的对应关系时,可以根据该对应关系 为第一私网地址对应的第一服务终端自动配置处理策略,例如根据该对应关系为第一服务 终端设置NAT(Network  Address  Translation,网络地址转换)处理策略,无需管理员进行 人工配置。并且可以感知第一服务终端是否下线,并当第一服务终端下线后,自动删除与第 一服务终端对应的处理策略,从而使得防火墙可很快释放无用的处理策略,节省了防火墙 资源。 本公开实施例提供了一种设备管理的装置,该装置应用在资产管理设备中,所述 资产管理设备与第一防火墙连接,该装置包括: 监控模块,用于通过所述第一防火墙监控与该第一防火墙连接的第一服务终端的 运行情况; 第一处理模块,用于当确定所述第一服务终端的状态为首次上线时,则为所述第 一服务终端分配第一公网地址,并记录所述第一公网地址与所述第一服务终端的第一私网 地址的对应关系; 第一发送模块,用于将所述对应关系通过第一报文发送给所述第一防火墙,所述 第一报文携带第一目标标识,以使所述第一防火墙根据所述对应关系以及所述第一目标标 识建立用于处理第一服务终端相关报文的第一处理策略。 本公开实施例提供了一种设备管理的装置,该装置应用在第一防火墙中,第一防 火墙与资产管理设备连接,该装置包括: 第二发送模块,用于当获取到自身下挂的第一服务终端的运行情况为首次上线 时,向所述资产管理设备发送所述第一服务终端的第一私网地址,以使所述资产管理设备 为所述第一服务终端分配第一公网地址,并建立第一私网地址与第一公网地址的对应关 系; 接收模块,用于接收资产管理设备发送的第一报文,所述第一报文携带第一目标 标识和所述对应关系; 第二处理模块,用于根据所述第一目标标识和所述对应关系建立用于处理第一服 务终端相关报文的第一处理策略。 通过上述实施例可以看出,第一防火墙与资产管理设备间可联动,当第一防火墙 从资产管理设备获取到第一私网地址与第一公网地址的对应关系时,可以根据该对应关系 为第一私网地址对应的第一服务终端自动配置处理策略,例如根据该对应关系为第一服务 终端设置NAT(Network  Address  Translation,网络地址转换)处理策略,无需管理员进行 人工配置。并且可以感知第一服务终端是否下线,并当第一服务终端下线后,自动删除与第 一服务终端对应的处理策略,从而使得防火墙可很快释放无用的处理策略,节省了防火墙 资源。 附图说明 图1.为本公开实施例提供的一种网络结构示意图; 图2.为本公开实施例提供的一种设备管理的方法流程示意图。 6 CN 111600971 A 说 明 书 4/7 页
    分享到:
    收藏

    相关推荐