网络连接性策略管理系统的制作方法

1.本公开一般涉及计算机联网，并且尤其涉及网络环境的连接性策略的管理。


背景技术：

2.诸如企业网络环境之类的计算机网络环境被配置为根据一个或多个连接性策略来连接各种网络环境实体(例如，计算设备、虚拟机、子网等)。在网络环境中实现连接性策略通常包括沿着网络实体之间的路由各个地配置诸如防火墙之类的各种安全设备，以允许或阻止连接。网络环境中的不同安全设备可以具有用于实现连接性策略的设备专用协议。例如，由不同厂商制造的安全设备使用厂商特定的语法来表示和实现连接性策略。如此，为了满足网络环境的网络连接性策略而手动配置各个安全设备是苛刻且低效的过程。此外，为了实现一个或多个连接性策略，尤其是当网络环境复杂度增加时，网络管理员可能不清楚什么安全设备可以或应该被配置。如此，需要用于管理网络环境中的连接性策略的改进的系统。


技术实现要素：

3.公开了一种用于网络环境的连接性策略的通用管理的方法、系统和计算机可读存储介质。网络安全系统生成网络环境的网络拓扑映射以实现针对网络环境的连接性策略。网络安全系统可以生成针对网络环境的网络拓扑的映射，并使用该网络拓扑映射来实现连接性策略。网络拓扑映射将网络环境表示为安全区间、安全设备以及经由一个或多个安全设备的在安全区间之间的区间路径的集合。网络安全系统使用通用语法(例如，用于表示连接性策略的语言)来生成针对网络环境的连接性策略的通用表示。使用网络拓扑映射，安全系统标识用于实现连接性策略的在安全区间之间的网络路径。为了在网络环境中实现连接性策略，网络安全系统通过以安全设备的本机语法将连接性策略的通用表示中的一些或全部通用表示转换成设备特定的表示来沿着所标识的区间路径来配置安全设备。
4.在一个实施例中，网络安全系统接收针对包括多个网络地址的网络环境的网络连接性策略，该连接性策略对应于多个网络地址中的源网络地址和目的地网络地址。网络安全系统以安全系统的通用语法来生成网络连接性策略的通用表示。使用网络拓扑映射，网络安全系统标识沿着包括源网络地址的安全区间和包括目的地网络地址的安全区间之间的网络区间路径的在网络环境中的安全设备。安全系统根据通用表示来以与所标识的安全设备相关联的本机语法生成网络连接性策略的本机表示。网络安全系统使用所生成的本机表示配置安全设备以允许在源网络地址和目的地网络地址之间进行通信。
5.在一个实施例中，网络安全系统标识一个或多个安全设备的路由信息，该路由信息描述到一个或多个安全设备被配置为使用的一个或多个网络地址的路由集合。使用路由信息，网络安全系统确定网络环境的多个安全区间，每个安全区间包括一个或多个网络地址。另外，使用路由信息，网络安全系统确定针对网络环境的可能区间路径集合，每个区间路径通过一个或多个安全设备来连接多个安全区间中的一对安全区间的一个或多个网络
地址。该可能区间路径集合包括活动区间路径，该活动区间路径包括被准许为允许在由活动区间路径连接的一个或多个网络地址之间进行通信的一个或多个安全设备。该区间路径集合还包括备用区间路径，该备用区间路径包括被准许在活动区间路径不可用的情况下允许在由备用区间路径连接的一个或多个网络地址之间进行通信的一个或多个安全设备。使用该可能区间路径集合，网络安全系统生成针对网络环境的网络拓扑映射。
6.在一个实施例中，客户端设备从网络安全系统接收针对网络环境的网络拓扑映射。网络拓扑映射包括通过一个或多个安全设备由区间路径连接的安全区间。客户端设备基于与客户端设备的用户交互来接收针对网络环境的连接性策略，其中连接性策略指定多个安全区间中的第一安全区间中的源网络地址和多个安全区间中的第二安全区间中的第二地址中的目的地网络地址。客户端设备向网络安全系统提供连接性策略。客户端设备从网络安全系统接收通知，该通知指示沿着从源网络地址和目的地网络地址的一个或多个区间路径的一个或多个安全设备基于连接性策略而被配置。
附图说明
7.图1图示了根据实施例的用于管理网络环境连接性策略的计算环境。
8.图2是图示了根据实施例的网络安全系统的框图。
9.图3是图示了根据实施例的客户端系统的框图。
10.图4a图示了根据实施例的生成针对网络环境的网络拓扑映射的第一阶段。
11.图4b图示了根据实施例的生成针对网络环境的网络拓扑映射的第二阶段。
12.图4c图示了根据实施例的生成针对网络环境的网络拓扑映射的第三阶段。
13.图4d图示了根据实施例的生成针对网络环境的网络拓扑映射的第四阶段。
14.图4e图示了根据实施例的生成针对网络环境的网络拓扑映射的第五阶段。
15.图5是图示了根据实施例的用于使用连接性策略的通用表示和本机表示来实现网络连接性策略的方法的流程图。
16.图6是图示了根据实施例的用于生成针对网络环境的网络拓扑映射的方法的流程图。
17.图7是图示了根据实施例的用于生成针对网络环境的网络拓扑映射的方法的流程图。
18.图8图示了根据实施例的表示计算机系统的框图。
具体实施方式
19.现在将对几个实施例进行参考，其示例在附图中被图示。注意，在任何可行的地方，在附图中使用相似或类似的附图标号来指示相似或类似的功能性。此外，在类似的元件由后面跟着字母的附图标号来标识的情况下，在随后的描述中对该标号的单独引用可以指代所有这样的元件、任何一个这样的元件、或这样的元件的任何组合。本领域技术人员将从以下描述中容易地认识到，在不脱离所描述的原理的情况下，可以采用结构和方法的备选实施例。
20.系统环境
21.图1图示了用于管理网络环境连接性策略的计算环境100的一个实施例。在所示的
实施例中，计算环境100包括网络安全系统110、网络环境120、客户端系统130和网络140。在其它实施例中，计算环境100可以包括不同的或附加的元件。此外，功能性可以以不同于所描述的方式而被分布在元件之间。
22.网络安全系统110管理针对网络环境120的连接性策略。网络安全系统110可以包括被配置为经由网络140从客户端系统130接收网络环境120的连接性策略的一个或多个计算设备。在实施例中，网络安全系统110生成针对网络环境120的网络拓扑的映射(即，网络拓扑映射)，并使用该网络拓扑映射来实现从网络环境120中的客户端系统130接收的连接性策略。下面参考图2和图4a-图4e更详细地描述生成和使用针对网络环境120的网络拓扑映射。网络安全系统110可以从客户端系统130、第三方系统或被授权为网络环境120提供连接性策略的任何其它系统接收或获得连接性策略。连接性策略可以由人类管理员提供(例如，经由用户接口或其它连接性策略创作系统)，或者基于网络环境120的过程(例如，诸如虚拟机之类的新网络实体被添加到网络环境120)而被自动生成。另外，网络安全系统110可以实现取决于(例如，由客户端系统130或第三方系统提供的)外部数据的连接性策略，在这种情况下，网络安全系统110可以请求或以其它方式获得相关数据以实现和更新取决于外部数据的连接性策略。例如，网络环境120的连接性策略可以取决于由第三方提供的网络或子网的黑名单或白名单，诸如特定区域或类型的网络通信上的法律机构(例如，外国资产控制办公室)。
23.一般来说，网络连接性策略指定网络环境(例如，网络环境120)的哪些网络实体(例如，计算设备、虚拟机、应用等)被准许与其它网络实体通信。基于诸如ip地址或端口号之类的各种标识符(即，网络地址)来在网络环境120内标识网络实体。作为一个示例，连接性策略可以指定哪些ip地址或子网(例如，网络环境120内的子网)可以与其它ip地址或子网通信、哪些应用端口可以与其它应用端口通信、以及利用什么通信协议、或其任何组合。网络安全系统110使用网络环境120的通用语法(即，通用表示)来表示连接性策略。通用语法以应用于网络环境120的所有元素的格式来描述连接性策略。给定以通用语法表示的连接性策略，网络安全系统110通过标识一个或多个适当的安全设备126并使用通用连接性策略配置所标识的安全设备来实现网络环境中的连接性策略。在实施例中，网络安全系统110通过将通用连接性策略中的一些或全部变换成安全设备126的本机连接性策略语法(即，本机表示)来对安全设备126进行配置。本机语法以用于在个体安全设备126上实现连接性策略的格式来描述连接性策略。下面参考图2-图3、图5和图7更详细地描述在安全设备126上实现连接性策略。尽管图1示出了单个元件，但是网络安全系统110可以包括一个或多个计算设备，诸如服务器群集，并且计算设备可以位于一个或多个物理位置。网络安全系统还可以表示使用诸如虚拟服务器场之类的数据中心中的一个或多个计算机来执行的一个或多个虚拟计算实例。
24.网络环境120是基于一个或多个连接性策略经由局域网或广域网连接一组计算设备的计算机网络的区域。网络环境120包括安全区间124和一个或多个安全设备126。网络环境120的一个或多个连接性策略指定针对网络环境120的网络实体的通信规则。例如，连接性策略可以指定具有ip地址a的计算设备能够或不能与具有ip地址b的计算设备通信。在一些实施例中，网络环境120对应于针对组织的网络，诸如企业网络。网络环境120还可以被配置为使用以下关于网络140描述的系统和过程的任何组合来操作。
25.安全区间124是网络环境120的逻辑子区域，包括网络实体(例如，对应于相应ip地址的计算设备)，这些网络实体可以在它们的通信不经过安全设备126中的一个安全设备的情况下进行通信。如此，安全区间124由安全设备126来接界，并且不同安全区间124中的网络实体之间的通信通过一个或多个安全设备126经由网络区间路径而被发送。在一些情况下，安全区间124中的多个安全区间可以包括相同的网络实体，诸如包括与相同ip地址相对应的计算设备的两个安全区间124。在一些实施例中，安全区间124中的一个或多个实体连接到外部网络实体(例如，第三方应用或系统)。
26.安全设备126根据一个或多个连接性策略来监视和控制网络环境120内的网络流量。安全设备126可以是过滤网络流量的任何类型的设备，诸如分组过滤防火墙、电路级网关、状态检查防火墙、应用级网关/代理服务器防火墙或下一代防火墙。在实施例中，安全设备126过滤在对应于不同安全区间124的网络实体或网络环境120外部的实体之间进行的网络通信。安全设备126可以使用本机语法(即，本机连接性策略)来表示连接性策略。针对给定安全设备126的本机语法可以取决于安全设备的特定类型或安全设备的制造商(即，安全设备厂商)。此外，安全设备126可以包括使用不同的本机语法来表示本机连接性策略的安全设备。安全设备126具有一个或多个设备接口，用于从网络实体接收传入数据并将传出数据路由到网络实体。
27.客户端系统130是被配置为向网络环境120的网络安全系统110提供连接性策略的计算系统。客户系统130包括一个或多个计算设备，它们经由网络140来与网络安全系统110通信。示例计算设备包括服务器计算机、膝上型计算机、台式计算机、移动设备(例如电话或平板)。虽然客户端系统130在图1中被描绘为单个元件，但是客户端系统130的一个或多个计算设备可以彼此独立地操作，或者彼此独立地向网络安全系统110提供连接性策略。在实施例中，客户端系统130从客户端系统130接收或获得描述一个或多个连接性策略的信息。具体地，连接性策略可以由客户端系统130的用户(例如，网络环境120的管理员)经由(例如，由计算设备显示的)用户接口或连接性策略生成系统(例如，版本控制的连接性策略系统)来生成和提供。客户系统130将接收到的信息提供给网络安全系统110。接收到的信息可以使用网络安全系统110的通用语法来描述网络连接性策略，或者可以改为使用另一种格式来描述连接性策略。在相同或不同的实施例中，客户端系统130从网络安全系统110接收描述网络环境120的信息，诸如包括在网络拓扑中的信息、网络流量报告、安全警报或其它网络安全信息。在图1中所描绘的备选实施例中，客户端系统130可以直接与网络安全系统110集成。
28.网络140包括使用有线和/或无线通信系统的局域网和/或广域网的任何组合。在一些实施例中，网络140包括网络环境120。网络140可以采用各种通信技术和/或协议。例如，网络140可以利用诸如以太网、802.11、3g、4g、数字用户线(dsl)等等之类的通信技术。网络140还可以采用网络协议来传送信息。一些示例协议可以包括互联网协议组(tcp/ip)、以太网/工业协议(以太网/ip)、超文本传输协议安全(https)、表示状态传输(rest)、简单邮件传输协议(smtp)、文件传输协议(ftp)等。可以使用诸如超文本标记语言(html)、javascript对象符号(json)或可扩展标记语言(xml)之类的任何合适的格式来表示在网络140上交换的数据。在一些实施例中，可以使用任何适当的一种或多种技术来对网络140的所有或一些通信链路进行加密。
29.图2是图示了网络安全系统110的框图的实施例。在所示的实施例中，网络安全系统110包括网络拓扑模块210、连接性策略实现模块220、网络拓扑存储库230和连接性策略存储库240。在其它实施例中，网络安全系统110可以包括不同的或附加的元件。此外，功能性可以以不同于所描述的方式而被分布在元件之间。
30.网络拓扑模块210生成并维护针对网络环境120的网络拓扑映射。在实施例中，网络拓扑模块210通过发现网络环境120的安全区间124、安全设备126和网络区间路径来执行初始发现过程以生成网络拓扑映射。作为发现过程的一部分，网络拓扑模块210可以分析由安全设备126提供的路由信息(例如，安全设备126的路由表)，以便推断网络环境120的结构。下面参考图4a-图4e更详细地描述生成网络拓扑映射的初始过程。网络拓扑模块210将网络拓扑映射存储在网络拓扑存储库230中。具体地，网络拓扑映射包括但不限于描述安全区间124(例如，每个安全区间中的计算设备的网络地址)、安全设备126(例如，安全设备126的特性及其到安全区间124的连接)、以及通过一个或多个安全设备126在安全区间124之间进行通信的可能路径(即，区间路径)的信息。在一些实施例中，网络拓扑模块210生成并维护对应于多个网络环境的多个网络拓扑映射。
31.网络拓扑模块210还可以针对网络环境120的元素的改变来监视网络环境120，并相应地更新所存储的网络拓扑映射。具体地，网络拓扑模块210可以周期性地执行发现过程中的一些或全部发现过程，以检查网络环境120中的改变。例如，网络拓扑模块210可以在周期性基础上(例如，一小时一次)或基于由网络实体提供给网络环境120的信息(例如，由安全设备126提供的改变日志)来重新生成网络拓扑映射中的一些或全部网络拓扑映射。在这种情况下，网络拓扑模块210将重新生成的网络拓扑映射与存储在网络拓扑存储库230中的先前生成的网络拓扑映射进行比较，并且如果标识出差异则更新所存储的映射。附加地或备选地，网络拓扑模块210可以(例如，从客户端系统130)接收描述对网络环境120的改变的信息，并且基于接收到的信息来更新所存储的网络拓扑映射。例如，网络环境120的管理员可以提交对网络拓扑的改变，诸如向网络环境120添加新的虚拟机、子网或其它网络实体。在一个实施例中，当网络拓扑模块210检测到改变时，网络拓扑模块210自动更新网络拓扑映射，然后请求管理员检查该改变(例如，在客户端系统130处)以确定是否存在任何差异性。网络拓扑模块210可以提供描述对到连接性策略实现模块220的网络拓扑映射的更新的信息，以便基于更新来实现任何改变，如以下参考连接性策略实现模块220所描述的。网络拓扑模块210还可以向客户端系统130提供包括在网络拓扑映射中的信息。
32.在一些实施例中，网络拓扑映射包括描述网络环境120的附加信息。在一个实施例中，网络拓扑映射包括针对网络环境120的网络地址转换(nat)规则。具体地，网络拓扑映射将特定nat规则与沿着区间路径的设备(例如，路由器或安全设备)相关联，该区间路径根据nat规则将地址从一个地址空间转换为另一地址空间。在相同或不同的实施例中，网络拓扑映射包括描述到网络环境120的外部网络实体(例如，第三方系统或应用、互联网等)的连接的信息。在另外的相同或不同实施例中，网络拓扑映射可以包括被分配给网络拓扑映射的元素(例如，安全区间124、安全设备126、区间路径、nat规则、外部实体或连接等)的标签(例如，标记)。标签由客户端系统130的用户(例如，网络环境120的管理员)指派，并指定针对网络环境120中的网络流量逻辑的用户偏好。例如，标签可以指定元素的信任级别、元素的类型(例如，外部、互联网等)、元素在网络环境120内的位置以及可以被用来传达针对网络流
量逻辑的用户偏好的任何其它信息。
33.在一些实施例中，由网络拓扑模块210生成的网络拓扑映射指派网络环境120中的各种类型的区间路径。具体地，在生成网络拓扑映射的初始过程期间，网络拓扑模块210可以标识网络环境120的安全区间124之间的所有可能区间路径(例如，根据安全设备126的路由信息)。在生成网络拓扑映射之后或期间，网络环境120的管理员可以(例如，经由客户端系统130)指派所标识的区间路径是否被准许为允许在由区间路径所连接的网络地址之间进行通信。例如，管理员可以指示区间路径是否被准许用于安全区间之间的通信(即，活动区间路径)，在一个或多个等效的活动区间路径不能被使用的情况下是否被准许被用作备用路径(即，备用区间路径)，或者不被准许被使用(即，被拒绝区间路径)。网络安全系统110可以使用区间路径的指派(例如，活动、备用或被拒绝)来确定区间路径上的安全设备应当如何被管理或以其它方式被配置。例如，网络安全系统110可以配置安全设备126以实现关于包括安全设备126的一个或多个活动或备用路径的连接性策略。类似地，网络安全系统110可以不采取任何动作来针对包括安全设备126的被拒绝路径来配置安全设备126。如下所述，基于区间路径的指派来配置安全设备126可以由连接性策略实现模块220来执行。
34.连接性策略实现模块220管理用于网络环境120的连接性策略。在实施例中，连接性策略实现模块220从客户端系统130或另一连接性策略提供者(例如，第三方系统)接收连接性策略，并配置网络环境120以便实现连接性策略。连接性策略实现模块220可以在网络环境120中实现任意数量的连接性策略。如以上参考网络安全系统110所描述的，连接性策略实现模块220使用通用语法来表示连接性策略。在一些情况下，连接性策略以通用语法被提供给连接性策略实现模块220，而在其它情况下，连接性策略实现模块220将连接性策略从客户端提供的格式(即，客户端连接性策略)变换为通用语法。下面参考图3更详细地描述客户端连接性策略。基于连接性策略的通用表示，连接性策略实现模块220使用所存储的网络拓扑映射来标识与连接性策略相关的一个或多个网络区间路径。例如，连接性策略实现模块220可以标识连接与连接性策略的通用表示相对应的一对网络地址(例如，源地址和目的地地址)的一个或多个活动区间路径或备用区间路径。连接性策略实现模块220还通过根据连接性策略在所标识的网络区间路径上配置安全设备126来实现连接性策略。例如，连接性策略可以指定安全区间a中的第一ip地址应该能够与安全区间b中的第二ip地址进行通信。在这种情况下，连接性策略实现模块220可以标识安全区间a和安全区间b之间的一个或多个网络区间路径，并在一个或多个网络区间路径上配置安全设备126，以允许在第一ip地址和第二ip地址之间进行通信。连接性策略实现模块220通过将通用连接性策略变换为针对特定安全设备126的本机连接性策略来配置网络区间路径上的特定安全设备126。连接性策略实现模块220使用本机连接性策略来配置特定安全设备126。例如，连接性策略实现模块220可以经由网络环境120向特定安全设备126提供本机连接性策略。连接性策略实现模块220还将接收到的连接性策略的一个或多个表示(例如，客户端策略表示、通用策略表示、一个或多个本机策略表示等)存储在连接性策略存储库240中。在一些实施例中，连接性策略实现模块220管理多个网络环境的连接性策略(例如，使用存储在网络拓扑存储库230中的多个对应的网络拓扑映射)。
35.在一些实施例中，连接性策略实现模块220使用网络拓扑映射来将接收到的连接性策略的客户端表示变换为通用表示。具体地，连接性策略实现模块220可以标识与连接性
策略的客户端表示相关的网络实体(例如，相关网络端点)的网络地址，诸如子网、计算设备、ip地址、外部连接、应用端口或其它网络实体。例如，连接性策略实现模块220可以通过从网络拓扑存储库230中的网络拓扑映射中检索信息或与客户端系统130或第三方系统进行通信来生成连接性策略的通用表示(例如，连接性策略文件)。作为一个示例，连接性策略的客户端表示可以指定组织的特定雇员群组应该能够通过特定传输控制协议(tcp)端口而连接到特定服务器。在这种情况下，连接性策略实现模块220可以使用网络拓扑映射来标识与雇员群组相关联的所有网络实体、哪些协议使用来连接网络实体、哪些网络区间路径使用来连接网络实体、以及所标识的区间路径上的安全设备126。作为另一示例，连接性策略的客户端表示可以引用由第三方系统(例如，法定机构)阻止的所有子网，在这种情况下，连接性策略实现模块220可以检索被阻止的子网及其内部网络实体，并使用所检索的信息来生成通用连接性策略。作为又一示例，连接性策略的客户端表示可以指定主机名和ip地址之间的连接，在这种情况下，连接性策略实现模块220可以通过查询网络环境120的域名系统(dns)来将主机名解析为ip地址。
36.在一些实施例中，连接性策略实现模块220基于从安全设备126接收或以其它方式获得的信息，诸如安全设备类型(例如，防火墙设备制造商)和版本(例如，特定防火墙设备产品)，来标识安全设备126的本机语法以变换通用表示。在相同或不同的实施例中，连接性策略实现模块220可以基于包括在区间拓扑映射中或以其它方式获得的指示区间路径上的相关安全设备126上游的安全设备126是否以及如何改变连接性策略的信息，诸如(例如，基于nat规则)调整ip地址或协议信息，来执行变换。
37.在一些实施例中，连接性策略实现模块220接收描述对已实现的连接性策略的更新的信息。例如，客户端系统130的管理员可以将新规则添加到已实现的连接性策略，从已实现的连接性策略中移除现有规则，或删除已实现的连接性策略。在这些情况下，连接性策略实现模块220可以根据对连接性策略的更新来重新配置一个或多个安全设备126。具体地，连接性策略实现模块220可以基于接收到的信息来更新连接性策略的通用表示。此外，连接性策略实现模块220可以使用更新后的通用连接性策略来更新针对一个或多个安全设备126的连接性策略的对应的本机表示，并且使用更新后的本机表示来重新配置对应的安全设备126。
38.在相同或不同的实施例中，连接性策略实现模块220从网络拓扑模块210接收描述对网络拓扑映射的更新的信息，如上所述。在这种情况下，连接性策略实现模块220可以类似地根据对网络拓扑映射的更新来重新配置一个或多个安全设备126。如上所述，对于对连接性策略的更新，连接性策略实现模块220可以基于对网络拓扑映射的更新来更新连接性策略的通用表示和本机表示，并使用更新后的本机表示来重新配置相关的安全设备126。在一个实施例中，连接性策略实现模块220基于接收到的更新信息来配置包括在备用区间路径中的安全设备126。例如，连接性策略实现模块220可以配置备用区间路径的一个或多个安全设备126以解决活动区间路径的不可用性，诸如如果活动区间路径发生故障，则通过备用区间路径重新路由网络流量。在一些情况下，由连接性策略实现模块220实现的连接性策略可以引用存储在网络拓扑存储库230中的网络拓扑映射的元素(例如，网络地址、安全设备、安全区间、区间路径等)。如果连接性策略模块从网络拓扑模块210接收到对所引用的元素的更新(例如，所引用的ip地址或应用端口从网络环境120中被移除)，则连接性策略实现
模块220可以响应地重新配置一个或多个安全设备126以重新实现引用更新后的元素的连接性策略。如上所述，为了基于描述连接性策略更新的信息来重新配置一个或多个安全设备126，连接性策略实现模块220可以从一个或多个安全设备126中移除个体连接性策略规则或整个连接性策略，并且附加地或备选地将连接性策略规则或整个连接性策略添加到相同或不同的一个或多个安全设备126。
39.在一些实施例中，连接性策略实现模块220在将连接性策略的通用表示变换为一个或多个本机表示时考虑网络环境120的nat规则。例如，当生成连接性策略的本机表示以配置安全设备126时，连接性策略实现模块220可以应用与安全设备126相关联的nat规则。另外，连接性策略实现模块220可以使用与给定网络区间路径上的上游安全设备相关联的nat规则来生成针对在同一网络区间路径上的一个或多个下游安全设备的本机连接性策略。取决于特定安全设备(例如，安全设备制造商)或安全设备是否在相关网络区间路径上在与nat规则相关联的安全设备的下游，连接性策略实现模块220可以使用nat规则来不同地生成连接性策略的本机表示。
40.在一些实施例中，连接性策略实现模块220向客户端系统130提供描述网络连接性策略的实现的信息。具体地，连接性策略实现模块220可以向客户端系统130提供指示由客户端系统130提供给连接性策略实现模块220的连接性策略被成功实现的信息。另外，连接性策略实现模块220可以提供描述对网络环境120的网络拓扑的改变或对连接性策略的实现的调整(例如，所使用的区间路径、所使用的安全设备126等的改变)的信息。
41.在一些实施例中，连接性策略实现模块220分析当前为网络环境120实现的连接性策略，以便实现新接收到的连接性策略。例如，连接性策略实现模块220可以(例如，从客户端系统130)接收连接性策略，该连接性策略请求经由在网络拓扑映射中被指派为被拒绝区间路径的区间路径的在两个网络实体之间的连接性。在这种情况下，连接性策略模块220可以通知连接性策略的提供者或网络环境120的管理员：该连接性策略不能被实现。如此，可以检查该连接性策略请求，并且被拒绝区间路径可以被重新指派为活动区间路径，或者该连接性策略可以不被允许。
42.在一些实施例中，连接性策略实现模块220组合从相同或不同源(即，连接性策略信道)接收或以其它方式获得的连接性策略，以便配置安全设备126。例如，客户端系统130可以向连接性策略实现模块220提供由管理员通过用户接口提交并经由api提供的连接性策略。另外，连接性策略实现模块220可以经由其它源或通知连接性策略的信息而从客户端系统130或其它系统接收或获得连接性策略。在这些情况下，连接性策略实现模块220可以组合从多个信道接收的连接性策略，以便配置网络环境120来实现连接性策略。例如，连接性策略实现模块220可以为从相同或不同连接性策略信道接收到的多个连接性策略生成单个通用表示。在相同或不同的实施例中，连接性策略实现模块220可以将一个或多个强制连接性策略附加到接收到的连接性策略的每个通用表示。例如，法律机构可以根据法律强制网络环境120不能与某些网络实体进行通信。在这种情况下，连接性策略实现模块220可以将一个或多个对应的强制连接性策略添加到接收到的连接性策略的通用表示，以便确保满足这些强制要求。
43.图3是图示了客户端系统130的框图的实施例。在所示的实施例中，客户端系统130包括网络拓扑分析模块310和客户端连接性策略模块320。在其它实施例中，网络安全系统
110可以包括不同的或附加的元件。此外，功能性可以以不同于所描述的方式而被分布在元件之间。
44.网络拓扑分析模块310接收并处理描述网络环境120的网络拓扑映射的信息。在各实施例中，网络拓扑分析模块310提供用于由客户端系统130的计算设备显示的接口，该接口包括网络拓扑映射的元素，诸如网络拓扑映射的可视化。具体地，网络拓扑分析模块310可以提供标识包括在网络拓扑映射中的网络环境120的网络区间124、网络设备126、网络区间路径或其它元件的接口。在一个实施例中，由网络拓扑分析模块310提供的接口显示包括在网络拓扑中的网络环境120的区间路径，并且还可以标识区间路径是活动的、备用的还是被拒绝的。被提供用于显示的接口还可以允许计算设备的用户与网络拓扑映射的各种其它元素交互，以便配置网络环境120或以其它方式处理包括在网络拓扑映射中的信息。另外，网络拓扑分析模块310可以允许计算设备的用户向网络安全系统110提交针对网络拓扑映射的元素的标签(例如，用于在网络拓扑存储库230中与网络拓扑映射一起存储)。通过提供标签，计算设备的用户可以改变网络安全系统构造网络拓扑映射并在网络环境120中实现连接性策略的方式。例如，如果网络实体被包括在多个安全区间124中，则用户可以提交针对多个安全区间12中的一个安全区间的元数据标签，以便限制哪些安全区间被用于网络实体，并且因此哪些区间路径被用来实现针对网络实体的连接性策略。在上述情况下，网络拓扑分析模块310与网络安全系统110进行通信，以便执行网络环境120的任何配置或重新配置。
45.在一些实施例中，网络拓扑分析模块310从网络安全系统110接收描述对网络环境120的改变的通知。例如，系统管理员或其它个人可以安装新的安全设备126或将新的计算设备添加到一个或多个安全区间124。在这种情况下，网络拓扑分析模块310可以接收描述新安全设备126或新计算设备的通知。在相同或不同的实施例中，网络拓扑分析模块310将接收到的通知提供给客户端连接性策略模块320，以便基于该通知来标识对一个或多个当前连接性策略的任何适当调整，这将在下面更详细地描述。
46.客户端连接性策略模块320与网络安全系统110进行通信，以便实现连接性策略的客户端表示。在各实施例中，客户端连接性策略模块320从客户端系统130的用户接收指定连接性策略的一个或多个参数(例如，网络环境120的哪些网络实体可以连接)的输入，并将连接性策略的客户端表示提供给网络安全系统110。由客户端连接性策略模块320接收的连接性策略还可以包括针对网络拓扑映射的元素的标签(例如，如由网络拓扑分析模块310提供的)。客户端连接性策略模块320可以提供用于提交连接性策略或查看网络环境120的当前连接性策略的接口，诸如用于由客户端系统130显示的用户接口或应用编程接口(api)。例如，客户端连接性策略模块320可以获得由网络安全系统110存储在连接性策略存储库240中的连接性策略。在一些实施例中，客户端连接性策略模块320促进网络环境120中的新连接性策略的实现和对现有连接性策略的更新。客户端连接性策略模块320可以使用与网络安全系统110相关联的通用应用编程接口(api)来与网络安全系统进行通信。
47.在一些实施例中，客户端系统130显示包括描述网络拓扑映射的元素的信息(例如，由网络拓扑分析模块310提供，如上所述)并允许客户端系统130的用户提交连接性策略(例如，使用客户端连接性策略模块320，如上所述)的一个或多个接口。例如，一个或多个接口可以允许客户端系统130的用户通过与包括在网络拓扑映射中的信息进行交互来指派和
提交用于在网络环境120中实现的连接性策略。
48.图4a-图4e图示了涉及若干阶段的用于发现网络环境120的元素并生成网络拓扑映射400的过程的实施例。在所示的实施例中，用于生成网络拓扑映射的发现过程作为连续的一系列阶段而被执行。概括地说，发现过程的各阶段可以被分类为：1)基于由与安全设备(例如，安全设备126)相关联的路由信息所标识的路由来发现网络环境120的安全区间；2)确定连接到网络环境120的外部实体；以及3)标识针对网络拓扑映射的区间路径。为了说明的目的，图4a-图4e将发现和生成过程描绘为连续的一系列阶段，并且在其它实施例中，可以以其它顺序或同时执行相同或不同的阶段。
49.在图4a-图4e中所示的实施例中，网络安全系统110接收描述网络环境120的特性的信息，该信息被用来执行图4a-图4e中所描绘的发现过程。例如，可以从客户端系统130向网络安全系统110提供描述网络环境120的特性的信息。具体地，描述安全设备126的信息可以包括通过其接收和发送数据的安全设备的接口(例如，防火墙设备上的以太网端口)。描述安全设备126的信息还可以包括分配给设备或其设备接口的标签。另外，描述网络环境120的特性的信息可以包括其它信息，诸如nat规则或网络环境120的外部连接。在与图4a-图4e中所示的实施例相同或不同的实施例中，网络安全系统110在发现过程的各阶段期间与网络环境120的管理员通信(例如，经由客户端系统130)，以便准确地确定或推断网络环境120的结构。例如，管理员可以提交在发现过程的一些或所有阶段期间发现的元素的标签，以帮助网络安全系统110生成网络拓扑映射400。
50.图4a图示了由网络安全系统110为网络环境120生成网络拓扑映射400的第一阶段的实施例。在所示的实施例中，第一阶段包括发现可从与安全设备410相关联的路由信息标识到可经由路由集合访问的安全区域中的网络地址的该路由集合。例如，网络安全系统110可以标识由安全设备410存储在网络路由表中的网络地址。网络安全系统110可以分析从安全设备410的路由信息中标识出的路由集合的通过路由所经过的一些或全部安全区间的路径，以便进一步推断网络环境120的结构。如所描绘的，安全设备410的路由信息标识经由设备接口415的第一接口到网络地址a.1以及经由设备接口415的第二接口到网络地址b.1和网络地址b.2的路由。在第一阶段期间，网络安全系统110确定网络地址a.1属于新发现的安全区间a，而网络地址b.1和网络地址b.2属于新发现的安全区间b。
51.图4b图示了由网络安全系统110为网络环境120生成网络拓扑映射400的第二阶段的实施例。在所示的实施例中，第二阶段包括发现可从与安全设备420相关联的路由信息标识到可经由路由集合访问的安全区间中的网络地址的该路由集合。类似于安全设备110，网络安全系统110可以分析从安全设备420的路由信息中标识出的路由集合的通过路由所经过的一些或全部安全区间的路径，以便进一步推断网络环境120的结构。如所描绘的，安全设备420的路由信息包括经由设备接口425的第一接口到网络地址a.1和网络地址a.2的路由以及经由设备接口425的第二接口到网络地址c.1的路由。在第二阶段期间，网络安全系统110确定网络地址a.2属于先前发现的安全区间a，并且网络地址c.1属于新发现的安全区间c。在一个实施例中，通过验证存在从新的网络地址到与先前发现的安全区间接界的任何其它安全设备(例如，安全设备410)的连接，网络安全系统110确定新的网络地址(例如，网络地址a.2)属于先前发现的安全区间(例如，安全区间a)。
52.图4c图示了由网络安全系统110为网络环境120生成网络拓扑映射400的第三阶段
的实施例。在所示的实施例中，第三阶段包括发现可从安全设备430和安全设备440的路由信息标识到可经由路由集合访问的安全区间中的网络地址的该路由集合。如以上针对安全设备410和安全设备420所描述的，网络安全系统110可以分析从安全设备430和安全设备440的路由信息中标识出的路由集合的通过路由所经过的一些或全部安全区间的路径，以便进一步推断网络环境120的结构。如所描绘的，安全设备430和安全设备440的信息路由共同地包括经由设备接口445的第一接口到网络地址b.1的路由和经由设备接口445的第二接口到网络地址c.1和网络地址b.2的路由。在第三阶段期间，网络安全系统110确定先前标识的网络地址b.2属于先前发现的安全区间c而不是如在第一阶段期间所确定的先前发现的安全区间b。在一个实施例中，网络安全系统110确定先前标识的网络地址(例如，网络地址b.2)属于与先前在一个或多个安全设备被标识为具有如下路由信息时确定的安全区间不同的安全区间，该路由信息标识基于与路由相对应的设备接口(如安全设备430和安全设备440以及设备接口445)在逻辑上将安全区间与网络地址分开的路由。
53.图4d图示了由网络安全系统110为网络环境120生成网络拓扑映射400的第四阶段的实施例。在所示的实施例中，第四阶段包括发现到网络环境120内的外部实体的外部连接的位置。如所描绘的，外部实体460通过安全区间a和安全区间b而被连接到网络环境120。类似地，外部实体450通过安全区间c而被连接到网络环境120。
54.图4e图示了由网络安全系统110为网络环境120生成网络拓扑映射400的第五阶段的实施例。在所示的实施例中，第五阶段包括发现在上述第一阶段、第二阶段和第三阶段中标识的安全区间a、安全区间b和安全区间c之间的可能的区间路径。如所描绘的，可能的区间路径被指派为一组活动区间路径470(用实线箭头指示)、备用区间路径480(用均匀虚线箭头指示)和被拒绝区间路径490(用非均匀虚线指示)。在标识出可能的区间路径之后，网络安全系统110可以默认地将其指派为活动区间路径。如图4e中所描绘的，在标识出可能的区间路径之后或期间的某个时间处，网络安全系统110接收将区间路径指派为备用区间路径(即，备用区间路径480)和将区间路径指派为被拒绝区间路径(即，被拒绝区间路径490)的信息。
55.使用网络拓扑映射400，网络安全系统110可以配置安全设备410、安全设备420、安全设备430和安全设备440以实现用于安全区间a、安全区间b和安全区间c中的网络地址以及用于与外部实体450和外部实体460的通信的连接性策略。例如，网络安全系统110可以配置安全设备420以实现使用活动区间路径470将网络地址a.1连接到网络地址c.1的连接性策略。此外，如果活动区间路径470不可用(例如，由于网络中断)，则网络安全系统110可以配置安全设备410、安全设备420或安全设备430以使用备用区间路径480实现相同的连接性策略。
56.在一些实施例中，安全区间a、安全区间b和安全区间c包括重叠的网络地址。例如，诸如如果安全区间b和安全区间c内的网络实体可以在不使用区间路径的情况下与网络地址b.2通信，则网络地址b.2可以被包括在安全区间b和安全区间c中。
57.连接性策略实现
58.图5是图示了用于使用连接性策略的通用表示和本机表示来实现网络连接性策略的方法500的实施例的流程图。在所示的实施例中，图5的步骤是从执行方法500的网络安全系统110的角度来说明的。然而，这些步骤中的一些或全部步骤可以由其它实体或组件来执
行。此外，一些实施例可以执行不同的步骤。
59.在图5中所示的实施例中，方法500开始于网络安全系统110接收510网络环境(例如，网络环境120)内的源网络地址和目的地网络地址的网络连接性策略。例如，连接性策略实现模块220可以从客户端系统130接收连接性策略的客户端表示。使用网络环境的网络拓扑映射，网络安全系统110以网络安全系统110的通用语法来生成520连接性策略的通用表示。例如，基于存储在网络拓扑存储库230中的网络拓扑映射的元素，包括源网络地址和目的地网络地址，连接性策略实现模块220可以标识与接收到的连接性策略相关的网络环境中的网络实体的网络地址。
60.使用网络拓扑映射，网络安全系统110沿着源网络地址和目的地网络地址之间的网络区间路径标识530在网络环境中的安全设备。例如，连接性策略实现模块220可以标识包括在包括源网络地址的安全区间和包括目的地网络地址的安全区间之间的网络拓扑映射中的网络区间路径上的安全设备。使用通用表示，网络安全系统110以与所标识的安全设备相关联的本机语法来生成540连接性策略的本机表示。例如，连接性策略实现模块220可以将通用表示中的一些或全部通用表示变换成本机表示。使用所生成的本机表示，网络安全系统110配置550安全设备以允许根据连接性策略在源网络地址和目的地网络地址之间进行通信。如此，网络安全系统110配置网络环境以允许源网络地址和目的地网络地址经由所标识的安全设备的网络区间路径进行通信。
61.图6是图示了用于为网络环境生成网络拓扑映射的方法600的实施例的流程图。在所示的实施例中，图6的步骤是从执行方法600的网络安全系统110的角度来说明的。然而，这些步骤中的一些或全部步骤可以由其它实体或组件来执行。此外，一些实施例可以执行不同的步骤。
62.在图6中所示的实施例中，方法600开始于网络安全系统110标识610一个或多个安全设备(例如，安全设备126)的路由信息，该路由信息描述到一个或多个安全设备被配置为使用的一个或多个网络地址的路由集合。例如，网络拓扑模块210可以获得包括在网络环境120中的安全设备126的路由表。使用路由信息，网络安全系统110确定620网络环境的安全区间，每个安全区间包括一个或多个网络地址。例如，网络拓扑模块210可以执行图4a-图4c中所描绘的发现过程以标识安全区间。另外，使用路由信息，网络安全系统110确定630网络环境的可能区间路径集合，每个区间路径连接一对安全区间的一个或多个网络地址。特别地，可能区间路径集合包括活动区间路径和备用区间路径。例如，网络拓扑模块210可以使用图4a-图4e中描述的发现过程来标识每个安全区间124之间的可能区间路径。网络环境110的管理员或网络安全系统110的组件可分别将活动区间路径和备用区间路径指派为活动的和备用的。活动区间路径包括(例如，基于活动指派)被准许为允许在活动区间路径所连接的一个或多个网络地址之间进行通信的一个或多个安全设备。备用区间路径包括(例如，基于备用指派)被准许为在活动区间路径不可用的情况下允许在由备用区间路径所连接的一个或多个网络地址之间进行通信的一个或多个安全设备。在其它情况下，区间可能路径集合可以包括指派作为活动区间路径、备用区间路径或被拒绝区间路径的区间路径的任何其它组合。使用可能区间路径集合，网络安全系统110生成640针对网络环境120的网络拓扑映射。例如，网络拓扑模块210可以将网络拓扑映射的元素存储在网络拓扑存储库230中。
63.图7是图示了用于提供用于在网络环境120中实现的连接性策略的方法700的实施例的流程图。在所示的实施例中，图7的步骤是从执行方法700的客户端设备的角度来说明的。然而，这些步骤中的一些或全部步骤可以由其它实体或组件来执行。此外，一些实施例可以执行不同的步骤。
64.在图7中所示的实施例中，方法700开始于客户端设备(例如，客户端系统130的计算设备)从网络安全系统(例如，网络安全系统110)接收710针对网络环境的网络拓扑映射。网络拓扑映射包括由通过一个或多个安全设备的区间路径连接的安全区间。例如，客户端设备可以从网络安全系统110的网络拓扑模块210接收针对网络环境120的网络拓扑映射。客户端设备基于与客户端设备的用户交互来接收针对网络环境的连接性策略720。特别地，连接性策略指定网络拓扑映射的第一安全区间中的源网络地址和网络拓扑映射的第二安全区间中的目的地网络地址。例如，网络拓扑分析模块310或客户端连接性策略模块320可以提供用于显示的接口，该接口包括描述网络拓扑映射中的一些或全部的信息，并且允许用户与该接口进行交互以便输入连接性策略的客户端表示。客户端设备向网络安全系统提供730连接性策略。例如，客户端连接性策略模块320可以向网络安全系统110提供连接性策略的客户端表示。在向网络安全系统提供730连接性策略之后，客户端设备从网络安全系统接收740指示连接性策略在网络环境中实现的通知。具体地，该通知指示沿着源网络地址和目的地网络地址之间的一个或多个区间路径的一个或多个安全设备基于连接性策略而被配置。例如，客户端设备可以从网络安全系统110的连接性策略实现模块220接收通知。
65.计算机系统
66.图8图示了根据一个示例实施例的表示计算机系统的框图。具体地，图8以计算机系统800的示例形式示出了网络安全系统110或客户端系统130的计算设备的图形表示。计算机系统800可以被用来执行指令824(例如，程序代码或软件)，以使机器执行本文所描述的任何一个或多个方法(或过程)。在备选实施例中，机器作为独立设备或连接到其它机器的连接(例如，联网)设备来操作。在联网部署中，机器可以在服务器-客户端系统环境(例如，环境100)中以服务器机器或客户端机器的能力来操作，或者在对等(或分布式)系统环境中作为对等机器来操作。
67.机器可以是服务器计算机、客户端计算机、个人计算机(pc)、平板pc、机顶盒(stb)、智能电话、物联网(iot)设备、网络路由器、交换机或网桥、或者能够执行指定该机器要采取的动作的指令824(顺序地或以其它方式)的任何机器。此外，虽然仅图示了单个机器，但是术语“机器”还应当被理解为包括单独地或联合地执行指令824以执行本文所讨论的任何一个或多个方法的机器的任何集合。
68.示例计算机系统800包括一个或多个处理单元(一般为处理器802)。处理器802例如是中央处理单元(cpu)、图形处理单元(gpu)、数字信号处理器(dsp)、控制器、状态机、一个或多个专用集成电路(asic)、一个或多个射频集成电路(rfic)或这些的任何组合。计算机系统800还包括主存储器804。计算机系统可以包括存储单元816。处理器802、存储器804和存储单元816经由总线808通信。
69.此外，计算机系统800可以包括静态存储器806、图形显示器810(例如，用于驱动等离子体显示面板(pdp)、液晶显示器(lcd)或投影仪)。计算机系统800还可以包括字母数字输入设备812(例如，键盘)、光标控制设备814(例如，鼠标、跟踪球、操纵杆、运动传感器或其
它定点设备)、信号生成设备818(例如，扬声器)和网络接口设备820，它们也被配置为经由总线808进行通信。
70.存储单元816包括机器可读介质822，在该机器可读介质822上存储有体现本文所描述的任何一个或多个方法或功能的指令824(例如，软件)。例如，指令824可以包括图1中描述的网络安全系统110的模块的功能性。在计算机系统800执行指令824期间，指令824也可以完全或至少部分地驻留在主存储器804内或处理器802内(例如，在处理器的高速缓存存储器内)，主存储器804和处理器802也构成机器可读介质。可以经由网络接口设备820在网络826(例如，网络140)上传输或接收指令824。
71.虽然机器可读介质822在示例实施例中被示为单个介质，但是术语“机器可读介质”应当被理解为包括能够存储指令824的单个介质或多个介质(例如，集中式或分布式数据库，或者相关联的高速缓存和服务器)。术语“机器可读介质”还应当被理解为包括能够存储由机器执行的指令824并使机器执行本文所公开的任何一个或多个方法的任何介质。术语“机器可读介质”包括但不限于固态存储器、光学介质和磁性介质形式的数据储存库。
72.附加考虑
73.已经出于说明的目的呈现了本公开的实施例的前述描述；其并不旨在穷举或将本公开限制为所公开的精确形式。相关领域的技术人员可以了解，根据上述公开内容，许多修改和变体是可能的。
74.本说明书的某些部分根据对信息的操作的算法和符号表示来描述本公开的实施例。数据处理领域的技术人员通常使用这些算法描述和表示来有效地向本领域的其它技术人员传达其工作的实质。虽然在功能上、计算上或逻辑上描述了这些操作，但是这些操作被理解为由计算机程序或等效电路、微代码等等来实现。此外，在不失一般性的情况下，将这些操作布置称为模块有时也被证明是方便的。所描述的操作及其相关联的模块可以以软件、固件、硬件或其任何组合来实现。
75.本文所描述的任何步骤、操作或过程可以单独地或与其它设备组合地用一个或多个硬件或软件模块来被执行或被实现。在一个实施例中，用计算机程序产品来实现软件模块，该计算机程序产品包括包含计算机程序代码的计算机可读介质，该计算机程序代码可以由计算机处理器执行以用于执行所描述的任何或所有步骤、操作或过程。
76.本公开的实施例还可以涉及用于执行本文中的操作的装置。该装置可以是为所需目的而专门构造的，和/或它可以包括由存储在计算机中的计算机程序选择性地激活或重新配置的通用计算设备。这样的计算机程序可以被存储在有形的计算机可读存储介质或适合于存储电子指令的任何类型的介质中，并且被耦合到计算机系统总线。此外，本说明书中提到的任何计算系统可以包括单个处理器，或者可以是采用多个处理器设计以增加计算能力的架构。
77.本公开的实施例还可以涉及被体现在载波中的计算机数据信号，其中计算机数据信号包括本文所描述的计算机程序产品或其它数据组合的任何实施例。计算机数据信号是在有形介质或载波中呈现并在有形载波中调制或以其它方式编码并根据任何合适的传输方法进行传输的产品。
78.最后，说明书中使用的语言主要是出于可读性和指导性的目的而选择的，并且可能没有被选择来勾勒或限制本发明的主题。因此，本发明的范围不限于该详细描述，而是由
基于本技术的任何权利要求来限定。因此，本公开的实施例的公开内容旨在说明而非限制本发明的范围。

技术特征：
1.一种用于配置网络安全设备的计算机实现的方法，所述方法包括：由网络安全系统接收针对包括多个网络地址的网络环境的连接性策略，所述连接性策略对应于所述多个网络地址中的源网络地址和目的地网络地址；以所述网络环境的通用语法来生成所述连接性策略的通用表示；使用网络拓扑映射来标识在所述源网络地址与所述目的地网络地址之间的网络区间路径上的所述网络环境中的安全设备，所述安全设备被配置为使用本机语法来实现连接性策略；基于所述通用表示以所述本机语法来生成所述连接性策略的本机表示；以及使用所生成的所述本机表示配置所述安全设备以允许在所述源网络地址和所述目的地网络地址之间进行通信。2.根据权利要求1所述的方法，还包括：由所述网络安全系统接收更新后的网络连接性策略；以所述网络环境的所述通用语法来生成更新后的所述网络连接性策略的更新后的通用表示；以所述本机语法来生成更新后的所述网络连接性策略的更新后的本机表示；以及使用所述更新后的本机表示来重新配置所述安全设备。3.根据权利要求1所述的方法，还包括：标识与所述安全设备相关联的网络地址转换(nat)规则；以及标识在所述源网络地址和所述目的地网络地址之间的所述网络区间路径上的所述网络环境中的第二安全设备，所述第二安全设备被配置为使用第二本机语法来实现连接；基于所述通用表示，使用所述nat规则以所述第二本机语法来生成所述网络连接性策略的第二本机表示；以及使用所述第二本机表示配置所述第二安全设备以允许在所述源网络地址和所述目的地网络地址之间进行通信。4.根据权利要求1所述的方法，还包括：标识针对所述网络环境的所述网络拓扑映射的更新；基于对所述网络拓扑的所述更新，以所述网络环境的所述通用语法来生成更新后的所述网络连接性策略的更新后的通用表示；基于更新后的所述通用表示，以所述本机语法来生成更新后的所述连接性策略的更新后的本机表示；基于所述更新后的本机表示来重新配置所述安全设备。5.根据权利要求4所述的方法，其中所述连接性策略引用所述网络拓扑映射的元素，并且其中标识对所述网络拓扑映射的所述更新还包括：确定所述网络拓扑映射的所述元素已改变。6.根据权利要求4所述的方法，还包括：向客户端设备提供通知，所述通知描述对所述网络拓扑的所述更新以及对所述一个或多个安全设备的所述重新配置。7.根据权利要求1所述的方法，其中标识所述网络环境中的所述安全设备包括：标识被包括在所述网络拓扑映射中的连接所述网络环境中的所述源网络地址与所述
目的地网络地址的多个网络区间路径，所述多个网络区间路径包括：包括至少第一安全设备的活动区间路径，所述第一安全设备被配置为允许在所述源网络地址和所述目的地网络地址之间的通信；以及包括至少第二安全设备的备用网络路径，所述第二安全设备被配置为在所述活动区间路径不可用的情况下允许在所述源网络地址与所述目的地网络地址之间进行通信；以及使用所述网络拓扑映射和所述连接性策略从所述多个网络区间路径中选择所述网络区间路径。8.根据权利要求1所述的方法，其中接收所述网络连接性策略包括：由所述网络安全系统向客户端系统提供描述所述网络拓扑映射的信息；以及从所述客户端系统接收所述网络连接性策略。9.根据权利要求1所述的方法，其中所述网络拓扑映射包括由多个安全设备接界的多个安全区间，并且起始地址和目的地地址分别在所述多个安全区间的第一安全区间和第二安全区间中。10.根据权利要求1所述的方法，其中所述连接性策略经由第一连接性策略信道而被接收，并且还包括：由所述网络安全系统经由第二连接性策略信道接收针对所述网络环境的附加连接性策略；以所述网络环境的所述通用语法来生成所述连接性策略和所述附加连接性策略的组合通用表示；以及使用所述组合通用表示来配置所述网络环境的一个或多个安全设备，以在所述网络环境中实现所述连接性策略和所述附加连接性策略。11.一种存储指令的非暂时性计算机可读存储介质，所述指令在由处理器执行时使所述处理器执行用于生成网络拓扑映射的操作，所述操作包括：标识网络环境中的一个或多个安全设备的路由信息，所述路由信息描述到所述一个或多个安全设备被配置为使用的一个或多个网络地址的通信路由集合；使用所述路由信息来确定所述网络环境的多个安全区间，所述多个安全区间中的每个安全区间包括一个或多个网络地址；使用所述路由信息来确定针对所述网络环境的可能区间路径集合，每个区间路径通过一个或多个安全设备来连接所述多个安全区间中的一对安全区间的所述一个或多个网络地址，所述可能区间路径集合包括：活动区间路径，所述活动区间路径包括被准许为允许在由所述活动区间路径连接的所述一个或多个网络地址之间进行通信的安全设备；以及备用区间路径，所述备用区间路径包括被准许为在所述活动区间路径不可用的情况下允许在由所述备用区间路径连接的所述一个或多个网络地址之间进行通信的安全设备；使用所述多个安全区间和所述可能区间路径集合来生成针对所述网络环境的所述网络拓扑映射。12.根据权利要求11的非暂时性计算机可读存储介质，其中确定所述多个安全区间还包括：标识所述网络环境内的与每个安全区间相关联的所述一个或多个网络地址，所述一个
或多个网络地址被配置为在不通过所述一个或多个安全设备中的一个安全设备路由数据的情况下进行通信。13.根据权利要求12的非暂时性计算机可读存储介质，其中标识所述多个安全区间还包括：针对每个安全设备：标识所述网络环境内通过针对所述安全设备的所述路由集合中的一个或多个路由而连接到所述安全设备的一个或多个网络地址；以及将所述一个或多个网络地址分配给与连接到所述安全设备的设备接口的安全区间相关联的网络地址群组。14.根据权利要求11的非暂时性计算机可读存储介质，其中所述操作还包括：从所述多个安全区间中标识被连接到所述网络环境之外的外部实体的安全区间；以及将所述外部实体与所标识的所述安全区间的所述区间路径相关联。15.根据权利要求11所述的非暂时性计算机可读存储介质，其中所生成的所述网络拓扑包括由所述一个或多个安全设备执行的网络地址转换(nat)规则。16.根据权利要求11所述的非暂时性计算机可读存储介质，其中所述一个或多个安全设备各自具有连接到所述多个安全区间中的安全区间的一个或多个设备接口，所述一个或多个设备接口与指示所述设备接口的分类的标签相关联。17.根据权利要求11的非暂时性计算机可读存储介质，其中所述区间路径集合还包括：被拒绝区间路径，所述被拒绝区间路径包括不被准许为允许在由所述被拒绝区间路径连接的所述一个或多个网络地址之间进行通信的一个或多个安全设备。18.一种计算机实现的方法，包括：由客户端设备从网络安全系统接收针对与网络安全系统相关联的网络环境的网络拓扑映射，所述网络拓扑映射包括由一个或多个安全设备连接的多个安全区间；基于与所述客户端设备的用户交互来接收针对所述网络环境的连接性策略，所述连接性策略指定所述多个安全区间中的第一安全区间中的源网络地址和所述多个安全区间中的第二安全区间中的目的地网络地址；向所述网络安全系统提供所述连接性策略；以及从所述网络安全系统接收通知，所述通知指示沿着从所述源网络地址到所述目的地网络地址的一个或多个区间路径的一个或多个安全设备基于所述连接性策略而被配置。19.根据权利要求19所述的方法，其中还包括：由所述客户端设备显示所述网络拓扑映射的可视化；接收与将标签分配给所述网络拓扑映射的一个或多个元素的所述可视化的用户交互；以及将被分配给所述一个或多个元素的所述标签提供给所述网络安全系统。20.根据权利要求19所述的方法，其中所述标签被包括在所述连接性策略中。21.一种用于配置网络安全设备的计算机实现的方法，所述方法包括：由网络安全系统接收针对包括多个网络地址的网络环境的连接性策略，所述连接性策略对应于所述多个网络地址中的第一网络地址和第二网络地址；以所述网络环境的通用语法来生成所述连接性策略的通用表示；
访问针对所述网络环境的网络拓扑映射，所述网络拓扑映射包括针对连接所述第一网络地址和所述第二网络地址的所述网络环境的可能区间路径集合，其中所述可能区间路径集合包括：活动区间路径，所述活动区间路径包括被准许为允许在所述第一网络地址和所述第二网络地址之间进行通信的一个或多个安全设备；以及备用区间路径，所述备用区间路径包括被准许为响应于所述活动区间路径变得不可用而允许在所述第一网络地址与所述第二网络地址之间进行通信的一个或多个安全设备；使用所述网络拓扑映射来标识所述可能区间路径集合中的区间路径上的安全设备，所述安全设备被配置为使用本机语法来实现连接性策略；使用所述通用表示以所述本机语法来生成所述连接性策略的本机表示；以及使用所生成的所述本机表示配置所述安全设备以允许在所述第一网络地址和所述第二网络地址之间进行通信。22.根据权利要求21所述的方法，还包括：由所述网络安全系统接收更新后的网络连接性策略；以所述网络环境的所述通用语法来生成更新后的所述网络连接性策略的更新后的通用表示；以所述本机语法来生成更新后的所述网络连接性策略的更新后的本机表示；以及使用更新后的所述本机表示来重新配置所述安全设备。23.根据权利要求21所述的方法，其中所述网络拓扑映射还包括由所述安全设备执行的网络地址转换(nat)规则，并且所述方法还包括：标识由所述安全设备执行的网络地址转换(nat)规则；标识在所述可能区间路径集合的所述区间路径上的所述网络环境中的附加安全设备，所述附加安全设备被配置为使用第二本机语法来实现连接；基于所述通用表示，使用所述nat规则以所述附加本机语法来生成所述网络连接性策略的附加本机表示；以及使用所述附加本机表示配置所述附加安全设备以允许在所述源网络地址和所述目的地网络地址之间进行通信。24.根据权利要求21所述的方法，还包括：标识针对所述网络环境的所述网络拓扑映射的更新；基于对所述网络拓扑的所述更新，以所述网络环境的所述通用语法来生成更新后的所述网络连接性策略的更新后的通用表示；基于更新后的所述通用表示，以所述本机语法来生成更新后的所述连接性策略的更新后的本机表示；基于所述更新后的本机表示来重新配置所述安全设备。25.根据权利要求24所述的方法，其中所述连接性策略引用所述网络拓扑映射的元素，并且其中标识对所述网络拓扑映射的所述更新包括：确定所述网络拓扑映射的所述元素已改变。26.根据权利要求21所述的方法，其中所述一个或多个安全设备接界所述网络拓扑映射的多个安全区间，并且所述第一网络地址和所述第二网络地址分别在所述多个安全区间
的第一安全区间和第二安全区间中。27.根据权利要求21所述的方法，其中所述连接性策略经由第一连接性策略信道而被接收，所述方法还包括：由所述网络安全系统经由第二连接性策略信道接收针对所述网络环境的附加连接性策略；以所述网络环境的所述通用语法来生成所述连接性策略和所述附加连接性策略的组合通用表示；以及使用所述组合通用表示来配置所述网络环境的一个或多个安全设备，以在所述网络环境中实现所述连接性策略和所述附加连接性策略。28.根据权利要求21所述的方法，其中所述可能区间路径集合还包括：被拒绝区间路径，所述被拒绝区间路径包括不被准许为允许在所述第一网络地址与所述第二网络地址之间进行通信的一个或多个安全设备。29.一种存储指令的非暂时性计算机可读存储介质，所述指令在由处理器执行时使所述处理器执行用于生成网络拓扑映射的操作，所述操作包括：标识网络环境中的一个或多个安全设备的路由信息，所述路由信息描述所述一个或多个安全设备被配置为使用的通信路由集合；使用所述路由信息来确定所述网络环境的多个安全区间，所述多个安全区间中的每个安全区间包括网络地址；使用所述路由信息来确定针对所述网络环境的可能区间路径集合，每个区间路径通过安全设备来连接所述多个安全区间中的一对安全区间的所述网络地址；以及使用所述多个安全区间和所述可能区间路径集合来生成针对所述网络环境的所述网络拓扑映射，其中所生成的所述网络拓扑映射包括由所述一个或多个安全设备执行的一个或多个网络地址转换(nat)规则。30.根据权利要求29的非暂时性计算机可读存储介质，其中确定所述多个安全区间包括：标识所述网络环境内的与每个安全区间相关联的所述一个或多个网络地址，所述一个或多个网络地址被配置为在不通过所述一个或多个安全设备中的一个安全设备路由数据的情况下进行通信。31.根据权利要求30的非暂时性计算机可读存储介质，其中确定所述多个安全区间还包括：针对每个安全设备：标识所述网络环境内通过针对所述安全设备的所述通信路由集合中的一个或多个路由而连接到所述安全设备的一个或多个网络地址；以及将所述一个或多个网络地址分配给与连接到所述安全设备的设备接口的安全区间相关联的网络地址群组。32.根据权利要求29的非暂时性计算机可读存储介质，其中所述操作还包括：从所述多个安全区间中标识连接到所述网络环境之外的外部实体的安全区间；以及将所述外部实体与所标识的所述安全区间的所述区间路径相关联。33.根据权利要求29所述的非暂时性计算机可读存储介质，其中所述一个或多个安全
设备各自具有连接到所述多个安全区间中的安全区间的一个或多个设备接口，所述一个或多个设备接口与指示所述设备接口的分类的标签相关联。34.根据权利要求29所述的非暂时性计算机可读存储介质，其中所述可能区间路径集合还包括：活动区间路径，所述活动区间路径包括被准许为允许在第一网络地址和第二网络地址之间进行通信的一个或多个安全设备；以及备用区间路径，所述备用区间路径包括被准许为响应于所述活动区间路径变得不可用而允许在所述第一网络地址和所述第二网络地址之间进行通信的一个或多个安全设备。35.根据权利要求34所述的非暂时性计算机可读存储介质，其中所述可能区间路径集合还包括：被拒绝区间路径，所述被拒绝区间路径包括不被准许为允许在所述第一网络地址与所述第二网络地址之间进行通信的一个或多个安全设备。36.一种计算机实现的方法，包括：由客户端设备接收针对网络环境的网络拓扑映射，所述网络拓扑包括：第一网络地址和第二网络地址；以及连接所述第一网络地址和所述第二网络地址的针对所述网络环境的可能区间路径集合，其中所述可能区间路径集合包括：活动区间路径，所述活动区间路径包括被准许为允许在所述第一网络地址和所述第二网络地址之间进行通信的一个或多个安全设备；以及备用区间路径，所述备用区间路径包括被准许为响应于所述活动区间路径变得不可用而允许在所述第一网络地址与所述第二网络地址之间进行通信的一个或多个安全设备；基于与所述客户端设备的用户交互来接收针对所述网络环境的连接性策略，所述连接性策略指定所述第一网络地址和所述多个安全区间中的第二安全区间中的所述第二网络地址；以及向所述网络安全系统提供指令，以使用沿着从所述第一网络地址到所述第二网络地址的所述可能区间路径集合中的一个或多个区间路径的一个或多个安全设备来实现所述连接性策略。37.根据权利要求36所述的方法，还包括：由所述客户端设备显示所述网络拓扑映射的可视化；接收与将标签分配给所述网络拓扑映射的一个或多个元素的所述可视化的用户交互；以及将被分配给所述一个或多个元素的所述标签提供给所述网络安全系统。38.根据权利要求37所述的方法，其中所述标签被包括在所述连接性策略中。39.根据权利要求36所述的方法，其中所述网络拓扑映射还包括由所述一个或多个安全设备中的安全设备执行的网络地址转换(nat)规则。40.根据权利要求36所述的方法，其中所述可能区间路径集合还包括：被拒绝区间路径，所述被拒绝区间路径包括不被准许为允许在由所述被拒绝区间路径连接的网络地址之间进行通信的一个或多个安全设备。

技术总结
网络安全系统实现网络环境的连接性策略。网络安全系统可以使用网络拓扑映射来实现连接性策略，其中网络拓扑映射包括安全区间、安全设备以及经由一个或多个安全设备的在安全区间之间的区间路径的集合。网络安全系统可以使用通用语法来生成用于网络环境的连接性策略的通用表示。使用网络拓扑映射，网络安全系统可以标识用于实现连接性策略的在安全区间之间的区间路径。网络安全系统可以根据连接性策略沿着区间路径来配置安全设备。配置安全设备可以包括以安全设备的本机语法将连接性策略的通用表示中的一些或全部变换成设备特定的表示。的表示。的表示。


技术研发人员：D
受保护的技术使用者：高盛公司有限责任公司
技术研发日：2021.05.26
技术公布日：2023/7/22