CN112565203B - 一种集中管理平台 - Google Patents
一种集中管理平台 Download PDFInfo
- Publication number
- CN112565203B CN112565203B CN202011298100.9A CN202011298100A CN112565203B CN 112565203 B CN112565203 B CN 112565203B CN 202011298100 A CN202011298100 A CN 202011298100A CN 112565203 B CN112565203 B CN 112565203B
- Authority
- CN
- China
- Prior art keywords
- node
- access request
- access
- agent
- security device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种集中管理平台,所述集中管理平台包括多个代理节点以及接入管理节点,其中,两两代理节点分别对应的安全设备不同或部分不同;所述代理节点,用于接收与该代理节点对应的安全设备所发送的接入请求,并将该接入请求转发至所述接入管理节点;所述接入管理节点,用于接收所述代理节点转发的所述接入请求,基于所述接入请求确定是否允许所述安全设备接入所述集中管理平台。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种集中管理平台。
背景技术
在当今漏洞频出的互联网环境下,为了有效检测并阻止外来的非法请求和恶意攻击,确保网络的安全性,公司和单位往往需要通过多种安全设备对网络安全进行监控管理。
相关技术中,对于多种安全设备的管理,只能通过单独监控的方式进行管理,即,无法实现对多种安全设备的集中管理,然而,在安全设备数量较多的情况下,通过单独监控的管理方式不仅增加组网系统的运维难度,还增加运维成本。
发明内容
本发明实施例提供了一种集中管理平台。
本发明实施例的技术方案是这样实现的:
本发明提供一种集中管理平台,所述集中管理平台包括多个代理节点以及接入管理节点,其中,两两代理节点分别对应的安全设备不同或部分不同;
所述代理节点,用于接收与所述代理节点对应的安全设备所发送的接入请求,并将所述接入请求转发至所述接入管理节点;
所述接入管理节点,用于接收所述代理节点转发的所述接入请求,基于所述接入请求确定是否允许所述安全设备接入所述集中管理平台。
在一些实施例中,所述接入管理节点为多个;
相应地,所述代理节点,用于接收与所述代理节点对应的安全设备所发送的接入请求,并将所述接入请求转发至所述接入管理节点,具体为:
所述代理节点,用于接收与所述代理节点对应的安全设备所发送的接入请求;基于所述接入请求,确定用于对所述接入请求进行处理的接入管理节点的网际互连协议(Internet Protocol,IP)和端口号;基于确定的所述IP和端口号,将所述接入请求转发至所述IP和端口号对应的接入管理节点。
在一些实施例中,所述接入请求中包括所述安全设备的公司标识信息;
相应地,基于所述接入请求,确定用于对所述接入请求进行处理的接入管理节点的IP和端口号,包括:
基于所述接入请求中的所述公司标识信息,确定用于对所述接入请求进行处理的接入管理节点的IP和端口号。
在一些实施例中,所述集中管理平台还包括寻址服务节点;
所述寻址服务节点,用于获取所述安全设备的访问请求信息,并基于所述访问请求信息,与所述安全设备建立连接;
所述寻址服务节点,还用于基于所述安全设备的访问请求信息,确定用于与所述安全设备对应的代理节点的代理标识信息,并返回所述代理标识信息至所述安全设备,以指示所述安全设备执行“基于所述代理标识信息,向对应的代理节点发送所述接入请求”的操作。
在一些实施例中,所述访问请求信息为:对预设网址的访问请求信息。
在一些实施例中,所述代理标识信息包括IP和端口号。
在一些实施例中,所述集中管理平台还包括网关节点,所述寻址服务节点有多个:
所述网关节点,用于接收所述安全设备的所述访问请求信息,并将所述访问请求信息转发给相应的寻址服务节点;
相应地,所述寻址服务节点,用于获取所述安全设备的访问请求信息,具体为:
所述寻址服务节点,用于获取所述网关节点所转发的所述安全设备的访问请求信息。
在一些实施例中,所述访问请求信息中包括所述安全设备的公司标识信息;
相应地,所述寻址服务节点,还用于基于所述安全设备的访问请求信息,确定用于与所述安全设备对应的代理节点的代理标识信息,具体为:
所述寻址服务节点,还用于:
基于所述安全设备的访问请求信息中所包括的公司标识信息,得到与所述公司标识信息对应的代理节点的代理标识信息。
在一些实施例中,所述接入请求中包括用于接入校验的校验信息;
相应地,所述接入管理节点,用于接收所述代理节点转发的所述接入请求,基于所述接入请求确定是否允许所述安全设备接入所述集中管理平台,具体为:
所述接入管理节点,用于接收所述代理节点转发的所述接入请求,基于所述接入请求中所包括的校验信息进行接入校验,以确定是否允许所述安全设备接入所述集中管理平台。
在一些实施例中,所述集中管理平台还提供如下预设服务中至少之一:联动处置、单点登录、策略管理、虚拟专用网络(Virtual Private Network,VPN)管理。
本发明实施例提供了一种集中管理平台,所述集中管理平台包括多个代理节点以及接入管理节点,其中,两两代理节点分别对应的安全设备不同或部分不同;所述代理节点,用于接收与所述代理节点对应的安全设备所发送的接入请求,并将所述接入请求转发至所述接入管理节点;所述接入管理节点,用于接收所述代理节点转发的所述接入请求,基于所述接入请求确定是否允许所述安全设备接入所述集中管理平台。可以看出,本发明所提供的方案可以支持安全设备通过代理节点接入到接入管理节点,从而接入集中管理平台。进而可以通过集中管理平台可以方便的对所有接入的安全设备进行管理运维,监控安全设备的运行情况,使得安全设备的运维变得简单快捷,降低运维成本,提升管理效率。此外,本发明还限定了代理节点可以为多个,且两两代理节点分别对应的安全设备不同或部分不同,如此可以保证在大量安全设备请求接入集中管理平台时,能够实现一定程度的负载均衡,加快对接入请求的处理效率。
附图说明
图1为本发明实施例的一种集中管理平台的结构示意图;
图2a为本发明实施例中安全设备接入框架的结构示意图;
图2b为本发明实施例中安全设备接入时序的流程示意图;
图3a为本发明实施例中获取代理节点信息的流程示意图;
图3b为本发明实施例中通过代理节点进行安全设备接入的流程示意图。
具体实施方式
以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
随着网络系统中安全设备种类和数量的增多,以及对安全设备布控规模的增大,使得对安全设备的管理变得越来越复杂;相关技术中,对于多种安全设备的管理,只能通过分散式、单独监控的方式进行管理,即,无法实现对多种安全设备的集中管理,然而,在安全设备数量较多的情况下,通过单独监控的管理方式不仅增加组网系统的运维难度,还增加运维成本,降低管理效率。
针对上述技术问题,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所提供的实施例仅仅用以解释本发明,并不用于限定本发明。另外,以下所提供的实施例是用于实施本发明的部分实施例,而非提供实施本发明的全部实施例,在不冲突的情况下,本发明记载的技术方案可以任意组合的方式实施。
需要说明的是,在本发明中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的方法或者装置不仅包括所明确记载的要素,而且还包括没有明确列出的其他要素,或者是还包括为实施方法或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个......”限定的要素,并不排除在包括该要素的方法或者装置中还存在另外的相关要素(例如方法中的步骤或者装置中的单元,例如的单元可以是部分处理器、部分程序或软件等等)。
本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中术语“至少一种”表示多种中的任意一种或多种中的至少两种的任意组合,例如,包括A、B、C中的至少一种,可以表示包括从A、B和C构成的集合中选择的任意一个或多个元素。
例如,本发明提供的集中管理平台包括了一系列节点,但是本发明提供的集中管理平台不限于包括所明确记载的节点,还可以包括为获取相关信息、或基于信息进行处理时所需要设置的其他节点。
在本发明的一些实施例中,集中管理平台中的各个节点可以为硬件实现方式,比如利用处理器实现;或者可以为软件实现方式。其中,上述处理器可以为特定用途集成电路(Application Specific Integrated Circuit,ASIC)、数字信号处理器(Digital SignalProcessor,DSP)、数字信号处理装置(Digital Signal Processing Device,DSPD)、可编程逻辑装置(Programmable Logic Device,PLD)、现场可编程逻辑门阵列(FieldProgrammable Gate Array,FPGA)、中央处理器(Central Processing Unit,CPU)、控制器、微控制器、微处理器中的至少一种。此外,各个节点可以实现为一个模块,也可以分成多个模块来实现,本发明对此不作限定。
图1为本发明实施例的一种集中管理平台的结构示意图,该集中管理平台可以设置在云端,如图1所示,该集中管理平台10包括多个代理节点110以及接入管理节点111,其中,两两代理节点分别对应的安全设备不同或部分不同;下面以一个代理节点110进行说明。
代理节点110,用于接收与代理节点对应的安全设备所发送的接入请求,并将接入请求转发至接入管理节点;
接入管理节点111,用于接收代理节点转发的接入请求,基于接入请求确定是否允许安全设备接入集中管理平台。
在一种实施方式中,代理节点对外部安全设备提供服务,代理节点可以是代理服务器,也可以是其它具有代理功能的设备,该代理节点还可以通过软件实现;代理节点可以用于接收安全设备发送的接入请求,并将该接入请求转发至接入管理节点。这里,代理节点可以对一个或多个安全设备提供代理服务;不同代理节点对应的安全设备可以部分相同,也可以不同。
本发明实施例中,安全设备可以确保用户网络或企业级网络的安全性;即,使网络系统的硬件、软件及其系统中的数据受到保护,不因偶然或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
在一种实施方式中,安全设备可以包括:终端检测与响应平台(EndpointDetection and Response,EDR)、防火墙(Application Firewall,AF)和接入控制器(Wireless Access Point Controller,AC)等。
其中,EDR可以实时监控端点,并搜索渗透到防御系统中的威胁。EDR服务可以让用户知道攻击者是否及何时进入网络,并在攻击发生时检测攻击路径;进而,能够帮助用户及时、高效地响应处置安全威胁。AF主要是借助硬件和软件的作用,于内部和外部网络的环境间产生一种保护的屏障,从而实现对计算机不安全网络因素的阻断。AC也称无线控制器,是一种网络设备,负责管理某个区域内无线网络中的无线接入点(Access Point,AP);用来集中化控制无线AP,是一个无线网络的核心,负责管理无线网络中的所有无线AP,对AP管理包括:下发配置、修改相关配置参数、射频智能管理、接入安全控制等。
在一种实施方式中,接入管理节点可以为多个;相应地,代理节点,用于接收与代理节点对应的安全设备所发送的接入请求,并将接入请求转发至接入管理节点,可以为:代理节点,用于接收与代理节点对应的安全设备所发送的接入请求;基于接入请求,确定用于对接入请求进行处理的接入管理节点的IP和端口号;基于确定的IP和端口号,将接入请求转发至IP和端口号对应的接入管理节点。即,接入管理节点也可以是多个,由此可以在接入请求很多时,进一步实现负载均衡。此外,在本发明实施例中,接入管理节点可以采用容器引擎(docker)实现,从而可根据IP和端口号实现对接入管理节点的访问。
在一种实施方式中,代理节点在对安全设备发送的接入请求进行转发之前,需要先确定该接入请求对应接入管理节点的IP和端口号;这里,不同接入管理节点的IP和端口号均不相同;多个接入管理节点可以用于接收不同安全设备的接入请求。
在一种实施方式中,接入请求中包括安全设备的公司标识信息;相应地,基于接入请求,确定用于对接入请求进行处理的接入管理节点的IP和端口号,可以包括:基于接入请求中的公司标识信息,确定用于对接入请求进行处理的接入管理节点的IP和端口号。在本发明实施例中,不同的公司会占用不同的接入管理节点,代理节点可以通过访问数据库,获取该公司账户信息对应的IP和端口,从而申请接入集中管理平台。这里,可以通过远程字典服务(remote dictionary server,redis)数据库存储公司标识信息对应的IP和端口号。
在一种实施方式中,代理节点可以在接入请求中获取安全设备对应的公司标识信息;根据公司标识信息,得到该安全设备对应接入管理节点的IP和端口号;进而,可以基于接入管理节点的IP和端口号将安全设备的接入请求转发至对应的接入管理节点。
在一种实施方式中,集中管理平台还包括寻址服务节点;寻址服务节点,用于获取安全设备的访问请求信息,并基于访问请求信息,与安全设备建立连接;寻址服务节点,还用于基于安全设备的访问请求信息,确定用于与安全设备对应的代理节点的代理标识信息,并返回代理标识信息至安全设备,以指示安全设备执行“基于代理标识信息,向对应的代理节点发送接入请求”的操作。
在本发明实施例中,寻址服务节点所起的作用为:在之前实施例的技术方案中,安全设备去接入代理节点时,必须要和对应的代理节点通信,这显然需要在不同的安全设备中配置相应的代理节点的信息(比如IP),这显然就造成了配置不便,为了改善这种不便利,可额外增加一寻址服务节点,安全设备可以通过访问该寻址服务节点,由该寻址服务节点进行查询,获取对应的代理节点的信息。为了保证安全设备能够和寻址服务节点建立更为便利的通信,可以在每个安全设备中配置寻址服务节点的IP(为保证安全设备的便利通信,防止配置信息过多,寻址服务节点的个数应较少,比如仅仅只有一个寻址服务节点,由此寻址服务节点的IP只有一个,不必在不同的安全设备中进行不同配置);当然,本领域技术人员也可以理解,也可以让安全设备通过访问预设网址来实现对寻址服务节点的访问,比如访问:device.sangfor.com.cn实现对寻址服务节点的访问。本发明实施例中,寻址服务节点可以提供安全设备访问的端口号,安全设备可以基于访问请求信息与寻址服务节点建立连接。
在一种实施方式中,访问请求信息可以为:对预设网址的访问请求信息(比如访问:device.sangfor.com.cn实现对寻址服务节点的访问)。访问请求信息可以基于超文本传输协议(Hyper Text Transfer Protocol,HTTP)进行传输,也可以基于其它类型的传输协议进行传输,本发明实施例对此不作限制。
在一种实施方式中,安全设备的后台发出访问请求信息,访问请求信息可以包括域名、端口号等。
在一种实施方式中,当寻址服务节点接收到安全设备的访问请求信息时,安全设备可以通过访问域名与寻址服务节点建立连接。
本发明实施例中,在安全设备与寻址服务节点建立连接后,由于访问请求信息中会携带一些参数信息,例如公司账户信息等;寻址服务节点可以从访问请求信息中获取安全设备对应的公司账户信息;再基于该公司账户信息去查找安全设备接入过程中访问的代理节点的代理标识信息。
这里,公司账户信息可以表示用户或企业的身份标识号(Identity Document,ID);通常情况下,公司账户信息是不变的;本发明对于公司账户信息的确定方式不作限定,例如,可以根据用户自己制定的规则去确定对应的公司账户信息。
在一些实施例中,可以根据公司账户信息,在寻址服务节点上查找安全设备的代理标识信息。
本发明实施例中,在寻址服务节点获取到安全设备对应的公司账户信息后,可以基于该公司账户信息,从寻址服务节点上的数据库中去查找公司账户信息对应的代理节点的IP和端口号;即,数据库中存储着公司账户信息与代理节点的IP和端口号的映射关系;进而,根据该映射关系,可以快速查找到安全设备接入过程中访问的代理节点的IP和端口号。
在一种实施方式中,数据库的类型可以是redis,也可以其它类型的数据库,本发明实施例对此不作限制。其中,还可以通过关系型数据库管理系统(structured querylanguage,mysql)存储安全设备的相关信息,例如,用于存储安全设备的接入状态等信息。
在一种实施方式中,集中管理平台还包括网关节点,寻址服务节点有多个:网关节点,用于接收安全设备的访问请求信息,并将访问请求信息转发给相应的寻址服务节点;相应地,寻址服务节点,用于获取安全设备的访问请求信息,具体为:寻址服务节点,用于获取网关节点所转发的安全设备的访问请求信息。
在一些实施例中,在安全设备与寻址服务节点建立连接之前,可以使用网关节点将每个安全设备的访问请求信息转发到寻址服务节点。网关节点可实现一定程度的负载均衡。
其中,本发明实施例中,为了保证网关设备实现负载均衡的作用,安全设备发送的访问请求信息中还可以包括路由信息,安全设备首先将访问请求发送至网关节点,由于路由信息在安全设备的访问请求信息中,网关节点可以根据路由信息和转发策略将安全设备的访问请求信息发送至对应的寻址服务节点。当然,网关设备也可以基于各个寻址服务节点的工作负载情况,进行负载均衡,具体负载均衡方式本发明不作限定。
在一种实施方式中,网关节点可以为硬件网关,也可以为软件网关;网关节点可以通过代理服务器nginx(engine x)实现软件网关,并作为集中管理平台的一部分;其中,网关节点主要起到负载均衡、访问限制等策略访问控制方面的作用。
在一种实施方式中,访问请求信息中包括安全设备的公司标识信息;相应地,寻址服务节点,还用于基于安全设备的访问请求信息,确定用于与安全设备对应的代理节点的代理标识信息,具体为:寻址服务节点,还用于:基于安全设备的访问请求信息中所包括的公司标识信息,得到与公司标识信息对应的代理节点的代理标识信息。
在一种实施方式中,代理标识信息包括安全设备接入过程中要访问的代理节点的IP和端口号。这里,不同安全设备访问的代理节点可以相同,也可以不同。
在一种实施方式中,假设安全设备1接入过程中访问代理节点1;则安全设备2接入过程中可以访问代理节点1,还可以访问代理节点2。
本发明实施例中,在寻址服务节点查找到安全设备对应代理节点的代理标识信息后,将该代理标识信息通过上述网关节点返回至安全设备。
在一种实施方式中,接入集中管理平台之后,集中管理平台可以对多个安全设备进行管理;其中,多个安全设备可以是网络系统中的所有安全设备,也可以是网络系统中的部分安全设备,本发明实施例对此不作限制。
本发明实施例中,安全设备根据寻址服务节点返回的代理标识信息直接发送接入请求到代理节点;代理节点再通过相应的路由策略直接将安全设备发送的接入请求转发到接入管理节点。
在一种实施方式中,若集中管理平台接收到安全设备的接入请求,则通过设备接入服务进行安全设备的接入;这里,对于安全设备接入的方式,可以通过账号、密码以及验证的方式进行接入。
在一种实施方式中,接入请求中包括用于接入校验的校验信息;相应地,接入管理节点,用于接收代理节点转发的接入请求,基于接入请求确定是否允许安全设备接入集中管理平台,具体为:接入管理节点,用于接收代理节点转发的接入请求,基于接入请求中所包括的校验信息进行接入校验,以确定是否允许安全设备接入集中管理平台。
在一些实施例中,接入管理节点接收到代理节点转发的接入请求后,会对接入请求中所包括的校验信息进行接入校验,得到校验信息;基于校验信息的校验结果,将安全设备接入到集中管理平台。
本发明实施例中,安全设备在访问代理节点时,会向集中管理平台发送校验信息,集中管理平台的设备接入服务会对检验信息进行校验,得到检验信息的检验结果,并通过代理节点将该检验结果返回至安全设备;安全设备根据检验结果得到是否接入集中管理平台的判断结果。
在判断结果为是的情况下,说明安全设备的接入请求是合法的,进而,安全设备接入到了集中管理平台;在判断结果为否的情况下,说明安全设备的接入请求不是合法的,进而,无法将安全设备到集中管理平台。
在一种实施方式中,在完成接入之后,安全设备可以与集中管理平台的其他服务进行通信,从而实现集中管理各个安全设备的功能。该集中管理平台还可以提供策略管理服务、VPN管理服务、联动处置服务、单点登录服务等。
本发明实施例中,集中管理平台中的各个服务可采用应用容器引擎(docker)实现;不同的公司账户信息会占用不同的docker,代理节点需要和某些docker通信时,可以通过访问数据库,获取公司账户信息对应的docker的IP和端口号,从而获取提供至安全设备的相应服务。这里,可以通过redis存储公司账户信息对应的docker的IP和端口号。
若集中管理平台接收到对接入的安全设备进行策略配置的服务请求时,则通过策略管理服务进行安全设备的策略配置;例如,EDR、AF或AC等通过策略管理服务进行策略配置后下发VPN管理。
对接入到集中管理平台的安全设备进行VPN管理服务后,下发到安全套接层协议虚拟专用网络(Security Socket Layer Virtual Private Network,SSLVPN设备。
联动处置可通过集中管理平台直接调用安全设备的网络接口,在安全设备端进行对应的网络维护操作。例如:可通过集中管理平台端IP封锁功能联动防火墙设备,对黑客IP进行封锁操作。通过文件隔离功能可以直接对用户终端检测到的病毒文件直接进行隔离、信任、忽略等操作,比如:EDR会上传检测到的病毒文件信息,然后集中管理平台可以将病毒文件查杀下发到EDR等安全设备。
单点登陆功能可通过web端直接点击安全设备的相关信息,可直接免密跳转到安全设备管理页面对安全设备进行维护管理。即,可以方便地通过web端查看集中管理平台上对应的安全设备管理页面,比如查看AF、EDR或者AC等安全设备的管理页面。
本发明的集中管理平台可以直接通过集中管理平台的操作界面预设管理操作;例如,万维网(World Wide Web,web)端或小程序端的操作界面。
可以看出,通过将网络系统中的所有安全设备接入到集中管理平台,可以方便的对所有安全设备进行管理运维,监控安全设备的运行情况,降低运维成本。
本发明实施例提供了一种集中管理平台,集中管理平台包括多个代理节点以及接入管理节点,其中,两两代理节点分别对应的安全设备不同或部分不同;代理节点,用于接收与代理节点对应的安全设备所发送的接入请求,并将接入请求转发至接入管理节点;接入管理节点,用于接收代理节点转发的接入请求,基于接入请求确定是否允许安全设备接入集中管理平台。可以看出,本发明所提供的方案可以支持安全设备通过代理节点接入到接入管理节点,从而接入集中管理平台。进而可以通过集中管理平台可以方便的对所有接入的安全设备进行管理运维,监控安全设备的运行情况,使得安全设备的运维变得简单快捷,降低运维成本,提升管理效率。此外,本发明还限定了代理节点可以为多个,且两两代理节点分别对应的安全设备不同或部分不同,如此可以保证在大量安全设备请求接入集中管理平台时,能够实现一定程度的负载均衡,加快对接入请求的处理效率。
为了能够更加体现本发明的目的,在本发明上述实施例的基础上,进行进一步的举例说明。
图2a为本发明实施例中安全设备接入框架的结构示意图,如图2a所示,该框架主要包括:device、apigw、devaddr、database、proxy和devmanager;其中,device表示上述安全设备;apigw表示网关节点;devaddr表示上述寻址服务节点;database表示寻址服务节点上的数据库,包括:redis和mysql;proxy表示上述代理节点;devmanager表示上述集中管理平台。
对于device接入devmanager的处理流程可以通过上述步骤100-102进行实现,这里不再累赘。
图2b为本发明实施例中安全设备接入时序的流程示意图,如图2b所示,结合图2a的安全设备接入框架,安全设备接入流程包括:
步骤A1:device向apigw发送访问请求信息。
步骤A2:apigw转发访问请求信息至devaddr,devaddr根据访问请求信息访问数据库。
步骤A3:在数据库中查找到安全设备接入需要访问的代理节点信息,将查找到代理节点信息发送给apigw。
步骤A4:apigw将该理节点信息返回至device。
步骤A5:device根据devaddr返回的代理节点信息直接发送接入请求到proxy。
步骤A6:proxy通过相应的路由策略直接将接入请求转发到devmanager。在device访问proxy时,会向devmanager发送校验信息。
步骤A7:devmanager会对检验信息进行校验,得到检验信息的检验结果,并将校验结果发送给proxy。
步骤A8:proxy将该检验结果返回至device;device根据检验结果确定是否接入devmanager。
图3a为本发明实施例中获取代理节点信息的流程示意图,如图3a所示,device包括:device1、device2、device3和device4;其中,device1、device2、device3和device分别表示不同的安全设备。apigw主要负责device接入过程中访问请求信息的转发功能,device直接访问访问请求信息的域名与寻址devaddr建立连接,获取到device接入需要访问的代理节点信息,即,proxy的IP和端口号。devaddr可以根据不同device指定device接入过程需要访问的代理节点信息,devaddr返回代理节点信息至device;device根据代理节点信息访问proxy,proxy转发接入请求到devmanager完成device的接入。
图3b为本发明实施例中通过代理节点进行安全设备接入的流程示意图,如图3b所示,device包括:device1、device2、device3和device4;proxy包括:proxy1和proxy2;其中,proxy1和proxy2分别表示不同的代理节点;devmanager包括:devmanager1、devmanager2和devmanager3;其中,devmanager1、devmanager2和devmanager3分别表示不同的集中管理平台。图中device1和device2根据代理节点信息访问proxy1,proxy1将device1和device2的接入请求转发到devmanager1和devmanager2;device3和device4根据代理节点信息访问proxy2,proxy2将device3和device4的接入请求转发到devmanager2和devmanager3。
可以看出,通过访问不同的代理节点,不同的安全设备接入的集中管理平台可以相同,也可以不同;进而,可以通过集中管理平台更加灵活地对所有接入的安全设备进行管理。
上文对各个实施例的描述倾向于强调各个实施例之间的不同之处,其相同或相似之处可以互相参考,为了简洁,本文不再赘述
本发明所提供的各方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。
本发明所提供的各产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。
本发明所提供的各方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其它可编程安全设备接入设备的处理器以产生一个机器,使得通过计算机或其它可编程安全设备接入设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可装载到计算机或其它可编程安全设备接入设备上,使得在计算机或其它可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其它可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
Claims (8)
1.一种集中管理平台,其特征在于,所述集中管理平台包括多个代理节点以及接入管理节点和寻址服务节点,其中,两两代理节点分别对应的安全设备不同或部分不同;
所述代理节点,用于接收与所述代理节点对应的安全设备所发送的接入请求,并将所述接入请求转发至所述接入管理节点;
所述接入管理节点,用于接收所述代理节点转发的所述接入请求,基于所述接入请求确定是否允许所述安全设备接入所述集中管理平台;
所述寻址服务节点,用于获取所述安全设备的“对预设网址的访问请求信息”,并基于所述访问请求信息,与所述安全设备建立连接;
所述寻址服务节点,还用于基于所述安全设备的访问请求信息,确定用于与所述安全设备对应的代理节点的代理标识信息,并返回所述代理标识信息至所述安全设备,以指示所述安全设备执行“基于所述代理标识信息,向对应的代理节点发送所述接入请求”的操作。
2.根据权利要求1所述的集中管理平台,其特征在于,所述接入管理节点为多个;
相应地,所述代理节点,用于接收与所述代理节点对应的安全设备所发送的接入请求,并将所述接入请求转发至所述接入管理节点,具体为:
所述代理节点,用于接收与所述代理节点对应的安全设备所发送的接入请求;基于所述接入请求,确定用于对所述接入请求进行处理的接入管理节点的网际互连协议IP和端口号;基于确定的所述IP和端口号,将所述接入请求转发至所述IP和端口号对应的接入管理节点。
3.根据权利要求2所述的集中管理平台,其特征在于,所述接入请求中包括所述安全设备的公司标识信息;
相应地,基于所述接入请求,确定用于对所述接入请求进行处理的接入管理节点的IP和端口号,包括:
基于所述接入请求中的所述公司标识信息,确定用于对所述接入请求进行处理的接入管理节点的IP和端口号。
4.根据权利要求1所述的集中管理平台,其特征在于,所述代理标识信息包括IP和端口号。
5.根据权利要求1所述的集中管理平台,其特征在于,所述集中管理平台还包括网关节点,所述寻址服务节点有多个:
所述网关节点,用于接收所述安全设备的所述访问请求信息,并将所述访问请求信息转发给相应的寻址服务节点;
相应地,所述寻址服务节点,用于获取所述安全设备的访问请求信息,具体为:
所述寻址服务节点,用于获取所述网关节点所转发的所述安全设备的访问请求信息。
6.根据权利要求1所述的集中管理平台,其特征在于,所述访问请求信息中包括所述安全设备的公司标识信息;
相应地,所述寻址服务节点,还用于基于所述安全设备的访问请求信息,确定用于与所述安全设备对应的代理节点的代理标识信息,具体为:
所述寻址服务节点,还用于:
基于所述安全设备的访问请求信息中所包括的公司标识信息,得到与所述公司标识信息对应的代理节点的代理标识信息。
7.根据权利要求1至6中任一项所述的集中管理平台,其特征在于,所述接入请求中包括用于接入校验的校验信息;
相应地,所述接入管理节点,用于接收所述代理节点转发的所述接入请求,基于所述接入请求确定是否允许所述安全设备接入所述集中管理平台,具体为:
所述接入管理节点,用于接收所述代理节点转发的所述接入请求,基于所述接入请求中所包括的校验信息进行接入校验,以确定是否允许所述安全设备接入所述集中管理平台。
8.根据权利要求1至6中任一项所述的集中管理平台,其特征在于,所述集中管理平台还提供如下预设服务中至少之一:联动处置、单点登录、策略管理、虚拟专用网络VPN管理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011298100.9A CN112565203B (zh) | 2020-11-19 | 2020-11-19 | 一种集中管理平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011298100.9A CN112565203B (zh) | 2020-11-19 | 2020-11-19 | 一种集中管理平台 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112565203A CN112565203A (zh) | 2021-03-26 |
| CN112565203B true CN112565203B (zh) | 2023-02-03 |
Family
ID=75043922
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011298100.9A Active CN112565203B (zh) | 2020-11-19 | 2020-11-19 | 一种集中管理平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112565203B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115622813A (zh) * | 2022-12-19 | 2023-01-17 | 深圳市永达电子信息股份有限公司 | 远程接入管理方法、系统及电子设备 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9619125B2 (en) * | 2014-11-24 | 2017-04-11 | Siemens Industry, Inc. | Systems and methods for addressably programming a notification safety device |
| CN106027358A (zh) * | 2016-07-12 | 2016-10-12 | 上海厚泽信息技术有限公司 | 一种社会视频网接入视频专网的网络安全管控系统 |
| CN106685999A (zh) * | 2017-02-27 | 2017-05-17 | 郑州云海信息技术有限公司 | 一种虚拟机安全防护方法、系统及安全设备 |
| CN110138586A (zh) * | 2019-04-04 | 2019-08-16 | 平安科技(深圳)有限公司 | 区块链节点管理方法、电子装置、系统及可读存储介质 |
| CN111277635B (zh) * | 2020-01-14 | 2022-11-08 | 深圳市迅雷网络技术有限公司 | 一种外部节点接入区块链方法、设备、装置及计算机介质 |
| CN111371739B (zh) * | 2020-02-14 | 2022-02-01 | 重庆邮电大学 | 一种基于区块链技术的物联网数据接入控制方法 |
| CN111343254B (zh) * | 2020-02-17 | 2022-11-11 | 天津卓朗科技发展有限公司 | 客户端连接方法、装置和电子设备 |
| CN111262746B (zh) * | 2020-03-04 | 2023-05-12 | 深信服科技股份有限公司 | 一种设备开局部署系统及方法 |
-
2020
- 2020-11-19 CN CN202011298100.9A patent/CN112565203B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN112565203A (zh) | 2021-03-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7360242B2 (en) | Personal firewall with location detection | |
| US12015590B2 (en) | Methods and systems for efficient cyber protections of mobile devices | |
| EP1591868B1 (en) | Method and apparatus for providing network security based on device security status | |
| US7325248B2 (en) | Personal firewall with location dependent functionality | |
| US9723019B1 (en) | Infected endpoint containment using aggregated security status information | |
| US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
| CA2814261C (en) | Systems and methods for managing a network | |
| EP3297248B1 (en) | System and method for generating rules for attack detection feedback system | |
| US20120255022A1 (en) | Systems and methods for determining vulnerability to session stealing | |
| KR100843537B1 (ko) | 보안 정책 관리 시스템 | |
| CN113228585A (zh) | 具有基于反馈回路的增强流量分析的网络安全系统 | |
| US20200396259A1 (en) | Cyber-Security in Heterogeneous Networks | |
| US20220166755A1 (en) | Cyber Protections of Remote Networks Via Selective Policy Enforcement at a Central Network | |
| IL211823A (en) | Methods and systems for security and protection of repositories and folders | |
| EP3545451B1 (en) | Automatic forwarding of access requests and responses thereto | |
| JP2001313640A (ja) | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 | |
| CN112565203B (zh) | 一种集中管理平台 | |
| JP7383145B2 (ja) | ネットワークサービス処理方法、システム及びゲートウェイデバイス | |
| Huraj et al. | An Analysis of the Security of IPv6 Routers in a SOHO Environment and Their Resistance to DDoS Attack | |
| CN118713921A (zh) | 一种网络安全管理方法、装置、设备及存储介质 | |
| Jacobs | Distributed Decision Support System for Network Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |