(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111525314.X (22)申请日 2021.12.14 (71)申请人 平安壹钱包电子商务有限公司 地址 518033 广东省深圳市福田区福田街 道福华路319号兆邦基金融大厦26层 2606单元 (72)发明人 潘长俨　 (74)专利代理 机构 北京英特普罗知识产权代理 有限公司 1 1015 代理人 黄胜波 (51)Int.Cl. H04L 9/40(2022.01) H04L 41/0803(2022.01) H04L 43/0811(2022.01) H04L 67/141(2022.01) (54)发明名称 安全策略部署方法、 装置、 计算机设备及可 读存储介质 (57)摘要 本发明涉及云部署技术领域， 公开了一种安 全策略部署方法、 装置、 计算机设备及可读存储 介质， 包括： 获取需求表单， 根据所述需求表单构 建源主机和目标主机之间的通信连接， 并在所述 通信连接 上部署安全策略； 判断所述安全策略是 否在所述通信连接上成功部署； 如果成功部署， 则对所述通信连接进行连通性检查； 如果所述通 信连接通过所述连通性检查， 则生成部署成功信 息， 并将所述部署成功信息发送至所述终端。 本 发明通过需求表单自动构建通信连接， 并部署相 应的安全策略， 极大的提高了通信连接及其安全 策略的部署效率， 保证了通信连接的构建及安全 策略的部署工作的及时性和准确度。 权利要求书2页 说明书15页 附图4页 CN 114221808 A 2022.03.22 CN 114221808 A 1.一种安全策略部署方法， 其特 征在于， 包括： 获取需求表单， 根据所述需求表单构建源主机和目标主机之间的通信连接， 并在所述 通信连接上部署安全策略； 其中， 所述需求表单中记载有用于表征所述源主机和所述 目标 主机的主机信息， 和用于调用防火墙以部署所述安全策略的部署脚本， 所述安全策略表征 了所述通信连接的防火墙的部署方式； 判断所述 安全策略是否在所述 通信连接上成功部署； 如果成功部署， 则对所述通信连接进行连通性检查； 其中， 所述连通性检查是通过控制 所述源主机向所述目标主机发送数据包， 以判断所述源主机是否能够通过所述通信连接访 问所述目标主机的连通 性检查； 如果所述通信连接通过所述连通性检查， 则生成部署成功信息， 并将所述部署成功信 息发送至所述终端。 2.根据权利要求1所述的安全策略部署方法， 其特征在于， 所述获取需求表单之前， 所 述方法还 包括： 接收终端发送的需求信 息， 将所述需求信 息录入所述需求表单中； 其中， 所述需求信 息 包括主机信息和部署脚本， 其中， 所述主机信息记载了用于构建源主机和目标主机之间通 信连接的源信息和目标信息， 所述部署脚本表征了所述 通信连接的安全策略部署需求。 3.根据权利要求1所述的安全策略部署方法， 其特征在于， 所述判断所述安全策略是否 在所述通信连接上成功部署， 包括： 控制所述源主机通过所述通信连接， 访问所述目标主机中除所述目标端口外的其他端 口； 若所述源主机无法访问所述其他端口， 则判定所述安全策略已在所述通信连接上成功 部署； 若所述源主机能够访问所述其他端口， 则判定所述安全策略未在所述通信连接上成功 部署。 4.根据权利要求1所述的安全策略部署方法， 其特征在于， 所述对所述通信连接进行连 通性检查， 包括： 调用预置的测试脚本， 用以通过所述通信连接向所述目标主机发送请求报文， 接收所 述目标主机根据所述请求报文返回的反馈报文； 若所述反馈报文中具有表征所述通信连接无法连通的错误编码， 则判定所述通信连接 未通过所述连通 性检查； 若所述反馈报文中不具有表征所述通信连接无法连通的错误编码， 则判定所述通信连 接通过所述连通 性检查。 5.根据权利要求1所述的安全策略部署方法， 其特征在于， 所述判断所述源主机是否能 够通过所述通信连接访问所述目标主机的连通 性检查之后， 所述方法还 包括： 如果所述通信连接未通过所述连通性检查， 则访问所述源主机以获取所述连通性检查 时的丢包数量； 和/或访问所述 安全策略对应的防火墙， 获取 所述防火墙中的防火墙会话表； 和/或对所述连通性检查过程中的数据包进行抓包， 并对被抓包的数据包进行回溯分 析得到分析 结果；权　利　要　求　书 1/2 页 2 CN 114221808 A 2整合所述丢包数量和/或防火墙会话表和/或所述分析结果生成连通性报错信 息， 将所 述连通性报错信息发送至所述终端。 6.根据权利要求1所述的安全策略部署方法， 其特征在于， 所述判断所述安全策略是否 在所述通信连接上成功部署之后， 所述方法还 包括： 如果未成功部署， 则提取所述需求表单中所述需求信息对应的部署脚本， 获取所述部 署脚本调用的防火墙接口的接口号， 生成具有所述接口号的部署报错信息， 将所述部署报 错信息发送至所述终端。 7.根据权利要求1所述的安全策略部署方法， 其特征在于， 所述将所述部署 成功信息发 送至所述终端之后， 所述方法还 包括： 当接收到终端发送 的变更信息时， 提取所述变更信息中的原主机信息， 识别所述需求 表单中所述原主机信息对应的主机信息和部署脚本； 将所述原主机信息对应的主机信息 和/或部署脚本， 替换为所述变更信息中的主机变更信息和/或部署变更脚本， 以更新所述 需求表单； 获取更新的所述需求表单中的主机变更信 息， 根据所述主机变更信 息构建源主机和目 标主机之 间的通信变更连接， 并根据所述部署脚本或所述部署变更脚本在所述通信变更连 接上部署安全策略； 或 获取更新的所述需求表单中的主机信 息， 根据所述部署变更脚本在所述主机信 息对应 的通信连接上部署安全策略； 将所述变更信息上传至区块链中。 8.一种安全策略部署装置， 其特 征在于， 包括： 策略部署模块， 用于获取需求表单， 根据所述需求表单构建源主机和目标主机之间的 通信连接， 并在所述通信连接上部署安全策略； 其中， 所述需求表单中记载有用于表征所述 源主机和所述 目标主机的主机信息， 和用于调用防火墙以部署所述安全策略的部署脚本， 所述安全策略表征了所述 通信连接的防火墙的部署方式； 部署判断模块， 用于判断所述 安全策略是否在所述 通信连接上成功部署； 连通检查模块， 用于对所述通信连接进行连通性检查； 其中， 所述连通性检查是通过控 制所述源主机向所述目标主机发送数据包， 以判断所述源主机是否能够通过所述通信连接 访问所述目标主机的连通 性检查； 成功反馈模块， 用于生成部署成功信息， 并将所述部署成功信息发送至所述终端。 9.一种计算机设备， 其包括存储器、 处理器以及存储在存储器上并可在处理器上运行 的计算机程序， 其特征在于， 所述计算机设备 的处理器执行所述计算机程序时实现权利要 求1至7任一项所述 安全策略部署方法的步骤。 10.一种计算机可读存储介质， 所述可读存储介质上存储有计算机程序， 其特征在于， 所述可读存储介质存储的所述计算机程序被处理器执行时实现权利要求1至7任一项所述 安全策略部署方法的步骤。权　利　要　求　书 2/2 页 3 CN 114221808 A 3