大規(guī)模網絡安全設備的動態(tài)集中策略管理.pdf

1、對于安全設備的管理，由于分散管理模式存在著安全策略不一致、可擴展性差、維護困難、管理效率低等弊端，目前更多的傾向于使用集中管理模式，即通過將策略從集中管理器統(tǒng)一下發(fā)到不同設備，來增強對網絡中各種安全設備的管理能力。 當前安全設備的復雜性和多樣性使安全設備的集中管理面臨諸多挑戰(zhàn)：統(tǒng)一處理異種策略的流程與策略間的協(xié)作機制缺乏高效手段和成熟的技術標準；單一策略處理模式不能滿足大量設備頻繁發(fā)起的策略請求，PDP的策略分發(fā)效率較低。

2、 本文在全面分析傳統(tǒng)網絡管理模式的基礎上，以基于策略的網絡管理(PBNM)為基本框架，面向大規(guī)模網絡安全設備管理領域，提出了一種動態(tài)集中策略管理解決方案，該方案運用了混合策略加載、自適應增量策略處理等技術，重點解決了如下問題： ◆ 大規(guī)模安全策略的集中管理：使用單點登錄(SSO)技術，以基于JMX開放式架構的策略服務器為核心，集中安全規(guī)則存儲，實現(xiàn)一致的、完整的、端到端的網絡安全； ◆ 策略的自動分發(fā)：采用基于UD

3、P的定制策略封裝協(xié)議和“push”、“pull”相結合的策略服務模式，保證安全策略可以在無需人工干預的情況下及時應用到不同的安全設備上； ◆ 混合策略管理：使用相同內存布局動態(tài)管理異種策略的不同流程，實現(xiàn)流程的自動化管理，并能夠通過設備SDK快速地開發(fā)對新的安全設備的支持； ◆ 增量式策略發(fā)布：根據(jù)策略服務器與安全終端設備上策略的差異自動選擇最佳策略分發(fā)方式，由增量策略引擎進行增量策略的生產和發(fā)布。 該方案使