使用网段前缀的动态获知的基于意图的企业安全的制作方法

本公开涉及计算机网络，并且更具体地涉及计算机网络中的安全策略的实现。

背景技术：

1、网络提供商和企业可以在广域网(sd-wan)中使用软件定义网络(sdn)来管理分布式位置或站点之间的网络连接。sd-wan使得企业能够通过wan快速且高效地创建连接，这可以包括互联网和/或提供各种wan连接类型和服务级别的其他传输网络。

2、安全策略通过定义允许从指定源到指定目的地的业务类型来强制执行从一个安全区域到另一安全区域的业务规则。基于意图的策略允许网络管理员根据逻辑业务结构(诸如各组用户、部门、地理位置或其他工作组)、基于期望的结果或业务目标(所谓的“意图”)来创建策略。然后，网络软件将该意图转换为被配置为在网络内实现该意图的一个或多个安全策略。

技术实现思路

1、总体上，本公开描述了用于在由基于云的网络管理系统管理的设备中自动应用基于意图的安全策略的技术。例如，本公开描述了用于在网络系统中自动应用基于意图的安全策略的技术，其中设备(例如，客户驻地设备(cpe)设备)动态地获知一个或多个站点处的一个或多个网段的网段(例如，lan网段)前缀。

2、本公开的技术可以提供优于其他系统的优势，在这些其他系统中，基于网络中的一个或多个站点处的被动态获知的lan网段前缀的基于意图的安全策略是不可能的。例如，本公开的技术可以实现更细粒度的基于意图的安全策略。换言之，本公开的技术不是可以在站点级别基础上定义的高级别粗粒度安全策略，而是通过指定与站点处的(多个)网段相关联的工作组来允许在网段级别定义更细粒度的基于意图的安全策略。以这种方式，指定与网段相关联的工作组的基于意图的安全策略可以被指定。这种细粒度功能允许在软件定义广域网中可以实现的业务意图类型具有更多的特异性。

3、此外，通过在每个站点处配置cpe设备以自动查询和接收网络中的一个或多个其他站点的网段前缀，本公开的技术提供了网络中的所有站点的分布式和周期性同步，而无需网络管理员或服务编排器控制器的人工干预。消除网段前缀分配中的人为干预可以降低网络中的设备出现人为错误或错误配置的可能性。此外，服务编排器控制器不必显式地同步cpe设备配置以在整个客户网络中动态地改变网段地址；相反，服务编排器控制器自动接收并且在其数据库中存储每个站点的网段前缀，并且cpe设备本身通过周期性地或在某个其他用户可配置的基础上轮询(多个)网段特定资源来以分布式方式保持它们的相互状态同步。因此，在任何时候网络中的cpe设备都将具有在网络中的最新状态，而无需管理员或服务编排器控制器的任何干预。

4、在一个示例中，本公开涉及一种网络系统，该网络系统包括：包括处理电路系统的设备，该设备与第一站点相关联；以及包括处理电路系统和数据库的服务编排器，该服务编排器被配置为：将第二站点处的网段的网段前缀存储在数据库中，该网段前缀已经在第二站点处经由路由协议动态获知；将指定第一站点与第二站点处的工作组之间的网络业务的控制规则的基于意图的安全策略转换为指定与第二站点处的工作组相关联的网段特定可查询资源的安全策略；基于安全策略将该设备配置为查询网段特定可查询资源；以及响应于来自该设备的对与第二站点处的工作组相关联的网段特定可查询资源的查询，传输存储在数据库中的与第二站点处的工作组相关联的网段的至少一个网段前缀以供该设备接收。

5、在另一示例中，本公开涉及一种方法，该方法包括由与网络系统中的第一站点相关联的设备存储安全策略，该安全策略指定与网络系统中的第二站点相关联的网段特定可查询资源，其中安全策略是从指定与第二站点相关联的网段特定可查询资源的基于意图的安全策略转换得到的；由该设备在实现安全策略时查询与第二站点相关联的网段特定可查询资源；由该设备响应于查询而接收与第二站点处的一个或多个网段相关联的网段前缀；由该设备用响应于查询而接收的与第二站点处的一个或多个网段相关联的网段前缀更新该设备的转发表；以及由该设备基于经更新的转发表控制第一站点与第二站点之间的网络业务。

6、在另一示例中，本公开涉及一种方法，该方法包括由包括第一站点和第二站点的网络系统的服务编排器将基于意图的安全策略转换为指定与第二站点相关联的网段特定可查询资源的用于第一站点的安全策略；将与第二站点处的一个或多个网段相关联的网段前缀存储在与服务编排器相关联的数据库中，该网段前缀已经在第二站点处经由路由协议动态获知；以及由服务编排器基于安全策略将与第一站点相关联的第一设备配置为查询与第二站点相关联的网段特定可查询资源以响应于查询而获取与第二站点处的一个或多个网段相关联的网段前缀。

7、一个或多个示例的细节在附图和下面的描述中阐述。其他特征、目的和优点将从描述和附图以及权利要求中很清楚。

技术特征：

1.一种网络系统，包括：

2.根据权利要求1所述的网络系统，其中与所述第二站点相关联的所述网段特定可查询资源包括网段特定统一资源定位符。

3.根据权利要求1所述的网络系统，其中所述设备还被配置为：

4.根据权利要求1至3中任一项所述的网络系统，其中所述服务编排器还被配置为：

5.根据权利要求4所述的网络系统，其中所述服务编排器还被配置为：

6.根据权利要求4所述的网络系统，其中所述多个网段特定可查询资源包括多个网段特定统一资源定位符，并且其中所述服务编排器还被配置为：

7.根据权利要求1至3中任一项所述的网络系统，其中所述网络系统包括软件定义广域网sd-wan，所述设备包括客户驻地设备cpe设备，所述网段包括所述第二站点处的局域网lan网段，并且所述网段前缀包括与所述第二站点处的所述lan网段相对应的lan网段前缀。

8.根据权利要求1至3中任一项所述的网络系统，其中所述服务编排器还包括路由管理器，所述路由管理器被配置为：

9.一种方法，包括：

10.一种方法，包括：

技术总结在一个示例中，系统和方法使得能够在网络系统(诸如软件定义广域网系统)中自动实现基于意图的安全策略，在该网络系统中，一个或多个站点处的网段的网段前缀被动态获知。服务编排器控制器将由用户输入的基于意图的安全策略转换为第一站点的安全策略。第一站点的安全策略指定与第二站点相关联的网段特定可查询资源。为了实现安全策略，与第一站点相关联的设备查询与第二站点相关联的网段特定可查询资源，并且利用响应于查询而被接收的、与第二站点处的一个或多个网段相关联的网段前缀来更新该设备的一个或多个转发表。第一站点基于经更新的转发表向第二站点转发网络业务。技术研发人员：K·D·马宗达,F·纳迪姆,S·乌普鲁里受保护的技术使用者：瞻博网络公司技术研发日：技术公布日：2024/7/25