信息配置方法、装置及通信设备与流程

1.本技术涉及网络通信技术领域，具体涉及一种信息配置方法、装置及通信设备。


背景技术：

2.随着网络技术的快速发展，网络安全引起了全社会的高度重视，网络安全通信设备开始被大量部署到实际的网络环境中。nat(network address translation，网络地址转换)功能天生具有隐藏私有网络拓扑的特性，所以nat功能作为安全保障的一道重要防线得到了大量网络安全通信设备的支持。随着网络安全通信设备上配置的nat规则数量越来越多，网络维护和管理的成本高的问题就越来越突出。
3.尤其是管理员在管理nat规则时会有一些根据用户上下线特征来修改nat规则使能属性的需求。例如某公司为了安全审计的需求规定公司同事必须通过用户上线认证后才能访问internet(访问internet需要做网络地址转换)，用户不主动上线是不可以访问internet的，如果管理员根据用户上下线的状态手动修改nat规则的使能属性，效率低且容易出错，会导致网管理维护成本高、用户体验差的问题。


技术实现要素：

4.鉴于现有技术存在的上述问题，本技术的目的在于提供一种信息配置方法及装置，能够有效解决手动修改nat规则使能属性存在的效率低、易出错、维护管理成本高以及用户体验差的问题。
5.为了实现上述目的，本技术实施例提供一种信息配置方法，包括：
6.获取nat规则的已配置的第一使能属性；
7.基于所述第一使能属性和所述nat规则引用的用户对象的上下线状态，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能属性，其中，所述用户对象为预设的能够访问通信设备的用户对象。
8.在一些实施例中，基于所述第一使能属性和所述nat规则引用的用户对象的上下线状态，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能属性，包括：
9.在所述nat规则的第一使能属性为使能时，检测所述nat规则是否引用所述用户对象；
10.若所述nat规则引用所述用户对象，检测所述nat规则引用的所述用户对象的上下线状态；
11.基于所述nat规则引用的所述用户对象的上下线状态，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能属性。
12.在一些实施例中，基于所述nat规则引用的所述用户对象的上下线状态，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能属性，包括：
13.若所述nat规则引用的所述用户对象为上线状态，保持所述nat规则的使能属性为
使能；
14.若所述nat规则引用的所述用户对象为下线状态，将所述nat规则的使能属性由使能配置为未使能。
15.在一些实施例中，所述方法还包括：
16.若所述nat规则未引用所述用户对象，则保持所述nat规则的使能属性为使能。
17.在一些实施例中，所述方法还包括：
18.若所述nat规则的第一使能属性为未使能，则保持所述nat规则的使能属性为所述第一使能属性。
19.在一些实施例中，获取nat规则的已配置的第一使能属性，包括：
20.根据通信网络协议中的nat连接，生成至少一个nat规则；
21.对每个所述nat规则的使能属性进行配置，得到每个所述nat规则的第一使能属性。
22.在一些实施例中，所述方法还包括：
23.基于对所述nat规则的添加或修改对所述nat规则的第一使能属性进行配置。
24.在一些实施例中，所述方法还包括：
25.利用预设的认证服务系统对访问所述通信设备的客户端设备进行认证；
26.在认证通过后，检测所述nat规则引用的用户对象的上下线状态。
27.本技术实施例还提供一种信息配置装置，包括：
28.获取模块，配置为获取nat规则的已配置的第一使能属性；
29.配置模块，配置为基于所述第一使能属性和所述nat规则引用的用户对象的上下线状态，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能属性，其中，所述用户对象为预设的能够访问通信设备的用户对象。
30.本技术实施例还提供一种通信设备，包括：处理器和存储器，所述存储器用于存储计算机可执行指令，所述处理器执行所述计算机可执行指令时实现上述的方法。
31.与现有技术相比较，本技术实施例提供的信息配置方法、装置及通信设备，根据nat规则已配置的第一使能属性和nat规则引用网络安全通信设备中用户对象上下线的状态对nat规则的使能属性进行动态配置，不仅能够有效提高网络安全通信设备管理nat规则的自动化水平，提高nat规则的配置修改效率，降低出错概率；同时，能够降低在网络安全通信设备中根据需求高频修改大量nat规则的使能属性时的管理维护成本，提高用户体验。
附图说明
32.在不一定按比例绘制的附图中，相同的附图标记可以在不同的视图中描述相似的部件。具有字母后缀或不同字母后缀的相同附图标记可以表示相似部件的不同实例。附图大体上通过举例而不是限制的方式示出各种实施例，并且与说明书以及权利要求书一起用于对所申请的实施例进行说明。在适当的时候，在所有附图中使用相同的附图标记指代同一或相似的部分。这样的实施例是例证性的，而并非旨在作为本装置或方法的穷尽或排他实施例。
33.图1为本技术实施例的信息配置方法的流程图；
34.图2为本技术实施例的另一信息配置方法的流程图；
35.图3为本技术实施例的通信装置的结构示意图。
具体实施方式
36.下面，结合附图对本技术的具体实施例进行详细的描述，但不作为本技术的限定。
37.应理解的是，可以对此处公开的实施例做出各种修改。因此，上述说明书不应该视为限制，而仅是作为实施例的范例。本领域的技术人员将想到在本技术的范围和精神内的其他修改。
38.包含在说明书中并构成说明书的一部分的附图示出了本技术的实施例，并且与上面给出的对本技术的大致描述以及下面给出的对实施例的详细描述一起用于解释本技术的原理。
39.通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述，本技术的这些和其它特征将会变得显而易见。
40.还应当理解，尽管已经参照一些具体实例对本技术进行了描述，但本领域技术人员能够确定地实现本技术的很多其它等效形式，它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
41.当结合附图时，鉴于以下详细说明，本技术的上述和其他方面、特征和优势将变得更为显而易见。
42.此后参照附图描述本技术的具体实施例；然而，应当理解，所公开的实施例仅仅是本技术的实例，其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本技术模糊不清。因此，本文所公开的具体的结构性和功能性细节并非意在限定，而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本技术。
43.图1为本技术实施例的信息配置方法的流程图。如图1所示，本技术实施例提供了一种信息配置方法，包括：
44.步骤s101：获取nat规则的已配置的第一使能属性。
45.nat规则用于对待转发的数据报文中的源地址、目的地址(例如源ip地址、目的ip地址)进行相应的nat转换和转发。网络安全通信设备(简称通信设备或nat设备)可以获取待转发的数据报文，根据该数据报文，查找与数据报文匹配的目标nat规则，确定目标源地址和目标目的地址，从而根据目标源地址和目标目的地址对数据报文进行转发。
46.步骤s101具体包括：
47.步骤s1011：根据通信网络协议中的nat连接，生成至少一个nat规则；
48.步骤s1012：对每个所述nat规则的使能属性进行配置，得到每个所述nat规则的第一使能属性。
49.具体地，网络安全通信设备可以在客户端设备和服务端设备之间通过网络通信协议建立连接，生成至少一个nat规则，并对各nat规则启动时的初始使能属性(启用/禁用)进行配置，得到第一使能属性。
50.在对各nat规则的第一使能属性配置完成后，网络安全通信设备生成包含nat规则及其使能属性的nat表项，以在获取数据报文后，将数据报文与nat表项中的nat规则进行匹配。
51.当nat规则的使能属性为未使能时，该nat规则处于禁用状态，不会参与报文的匹配和转发；当nat规则的使能属性为使能时才会参与报文的匹配和转发。
52.第一使能属性可以基于用户需求手动配置，本实施例中，已配置的第一使能属性可以为上述nat规则的初始使能属性，也可以为网络安全通信设备中任意时刻时nat规则的使能属性，本技术不具体限定。
53.表1示出了本技术实施例的第一使能属性表。如表1所示，nat设备启动后配置六条nat规则：a、b、c、d、e、f，六条nat规则配置的第一使能属性分别是a：未使能，b：未使能，c：未使能，d：使能，e：使能，f：使能。
54.表1 nat规则的第一使能属性表
55.nat规则nat规则的第一使能属性a未使能b未使能c未使能d使能e使能f使能
56.在一些实施例中，所述方法还包括：
57.步骤s1013：基于对所述nat规则的添加或修改对所述nat规则的所述第一使能属性进行配置。
58.具体地，在配置好所述nat规则的第一使能属性后，可以对nat规则进行分析、处理，重新配置nat规则的第一使能属性。例如，可以直接对已有的nat规则的第一使能属性进行修改，手动配置nat规则的第一使能属性；或者可以基于修改后的nat规则的属性信息对第一使能属性进行自动修改，自动配置nat规则的第一使能属性。当网络安全通信设备生成新的nat规则后，可以对该新的nat规则的第一使能属性进行手动配置或者基于与该新的nat规则对应的属性信息对第一使能属性进行自动配置。当某一nat规则被删除后，其使能属性便不存在，因此，无需对其第一使能属性进行配置。
59.网络安全通信设备中可以配置用于对nat规则进行分析、处理的nat模块，以对其使能属性进行配置或对nat规则进行匹配分析等，从而实现数据报文的nat转换和转发。
60.步骤s102：基于所述第一使能属性和所述nat规则引用的用户对象的上下线状态，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能属性，其中，所述用户对象为预设的能够访问通信设备的用户对象。
61.在获取nat规则的已配置的第一使能属性后，对所述nat规则引用的用户对象的上下线状态进行检测，以判断nat规则的使能属性是否需要修改，并在nat规则的使能属性需要修改时，基于用户对象的上下线状态和第一使能属性对nat规则的使能属性进行修改，实现第一使能属性的重新配置。
62.本技术实施例中，可以预先定义能够访问网络安全通信设备的用户对象(客户端设备)。例如，本实施例中预先定义两个用户对象：s1和s2。
63.在一些实施例中，步骤s102具体包括：
64.步骤s1021：在所述nat规则的第一使能属性为使能时，检测所述nat规则是否引用
所述用户对象；
65.步骤s1022：若所述nat规则引用所述用户对象，检测所述nat规则引用的所述用户对象的上下线状态；
66.步骤s1023：基于所述nat规则引用的所述用户对象的上下线状态，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能属性。
67.每个nat规则的第一使能属性可以为使能或未使能，本实施例中，在确定nat规则的第一使能属性为使能时，网络安全通信设备可以遍历nat表项，检测nat规则是否引用所述用户对象，并在检测到有nat规则引用上述预定义的用户对象时，对该nat规则引用的用户对象的上下线状态进行检测。基于检测到的用户对象的上下线状态对该nat规则的使能属性进行重新配置，若所述nat规则引用的所述用户对象为上线状态，保持所述nat规则的使能属性为使能；若所述nat规则引用的所述用户对象为下线状态，将nat规则的使能属性由使能(第一使能属性)修改为未使能，得到所述第二使能属性。
68.在检测到有nat规则未引用上述预定义的用户对象时，保持所述nat规则的使能属性为使能，即不对nat规则的使能属性进行调整，检测后得到的第二使能属性和检测前的第一使能属性相同。
69.上述步骤s1021的检测所述nat规则是否引用所述用户对象在所述nat规则的第一使能属性为使能时进行。若所述nat规则的第一使能属性为未使能，则保持所述nat规则的使能属性为所述第一使能属性，即在确定nat规则的第一使能属性为未使能时，无需对所述nat规则引用的用户对象的上下线状态进行检测，在nat规则不被修改的情况下，保持该nat规则的使能属性一直为第一使能属性不变。如此，先对nat规则的第一使能属性进行判断，再进行检测，可以减少不必要的检测，提高nat规则使能属性的配置效率。
70.表2至表4依时间序列示出了不同时间的nat规则的配置示意图。如表2所示，第一时刻t1检测到用户对象s1下线，用户对象s2上线，在nat规则d
‑
f的第一使能属性为使能的情况下，未引用上述用户对象s1和s2的nat规则d的使能属性仍保持为使能；而引用了用户对象s1的nat规则e的使能属性由使能变为未使能，引用了用户对象s1的nat规则f的使能属性仍保持为使能，因此，可以确定第一时刻nat规则d和f的使能属性为使能，能够参与报文的匹配和转发。由于第一时刻nat规则a
‑
c的第一使能属性为未使能，因此，无论上述nat规则是否引用了用户对象，其第二使能属性仍为未使能。
71.如表3所示，第二时刻t2(例如相较于第一时刻经过10分钟)检测到用户对象s1上线，用户对象s2下线，在nat规则d
‑
f的第一使能属性为使能的情况下，未引用上述用户对象s1和s2的nat规则d的使能属性仍保持为使能；而引用了用户对象s1的nat规则e的使能属性仍保持为使能，引用了用户对象s1的nat规则f的使能属性由使能变为未使能，因此，可以确定第二时刻nat规则d和e的使能属性为使能，能够参与报文的匹配和转发。第一使能属性为未使能的nat规则a
‑
c的第二使能属性仍为未使能。
72.如表4所示，第三时刻t3(例如相较于第二时刻经过10分钟)检测到用户对象s1下线，用户对象s2下线，在nat规则d
‑
f的第一使能属性为使能的情况下，未引用上述用户对象s1和s2的nat规则d的使能属性仍保持为使能；而引用了用户对象s1的nat规则e的使能属性由使能变为未使能，引用了用户对象s1的nat规则f的使能属性由使能变为未使能，因此，可以确定第三时刻仅nat规则d的使能属性为使能，能够参与报文的匹配和转发。第一使能属
性为未使能的nat规则a
‑
c的第二使能属性仍为未使能。
73.表2第一时刻nat规则的配置示意图
74.nat规则规则的第一使能属性规则引用的用户对象上线情况规则的第二使能属性a未使能未引用用户对象未使能b未使能引用了用户对象s1下线未使能c未使能引用了用户对象s2上线未使能d使能未引用用户对象使能e使能引用了用户对象s1下线未使能f使能引用了用户对象s2上线使能
75.表3第二时刻nat规则的配置示意图
76.nat规则规则的第一使能属性规则引用的用户对象上线情况规则的第二使能属性a未使能未引用用户对象未使能b未使能引用了用户对象s1上线未使能c未使能引用了用户对象s2下线未使能d使能未引用用户对象使能e使能引用了用户对象s1上线使能f使能引用了用户对象s2下线未使能
77.表4第三时刻nat规则的配置示意图
78.nat规则规则的第一使能属性规则引用的用户对象上线情况规则的第二使能属性a未使能未引用用户对象未使能b未使能引用了用户对象s1下线未使能c未使能引用了用户对象s2下线未使能d使能未引用用户对象使能e使能引用了用户对象s1下线未使能f使能引用了用户对象s2下线未使能
79.本技术实施例提供的信息配置方法根据nat规则已配置的第一使能属性和nat规则引用网络安全通信设备中用户对象上下线的状态对nat规则的使能属性进行动态重新配置，不仅能够有效提高网络安全通信设备管理nat规则的自动化水平，提高nat规则的配置修改效率，降低出错概率；同时，能够降低在网络安全通信设备中根据需求高频修改大量nat规则的使能属性时的管理维护成本，提高用户体验。
80.在通过步骤s1013对nat规则的第一使能属性进行修改后，网络安全通信设备可以基于修改后的第一使能属性和实时检测到的所述nat规则引用的用户对象的上下线状态，对nat规则的使能属性进行实时、动态重新配置。
81.在另一些实施例中，步骤s102具体包括：
82.步骤s1024：检测所述nat规则是否引用所述用户对象；
83.步骤s1025：若所述nat规则引用所述用户对象，检测所述nat规则引用的所述用户对象的上下线状态；
84.步骤s1026：基于所述nat规则引用的所述用户对象的上下线状态和所述nat规则的第一使能属性，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能
属性。
85.上述步骤s1024至s1026中，可以无需预先考虑所述nat规则的第一使能属性，直接对所有的nat规则(a
‑
f)进行检测，基于每个nat规则的检测结果，结合对应的nat规则对每个nat规则的使能属性进行重新配置。即如表2至表4所示，在nat规则a
‑
c的第一使能属性为未使能，仍可检测nat规则a
‑
c是否引用上述用户对象。
86.在一些实施例中，所述方法还包括：
87.s201：利用预设的认证服务系统对访问所述通信设备的客户端设备进行认证；
88.s202：在认证通过后，检测所述nat规则引用的用户对象的上下线状态。
89.由于本技术的目的在于对客户端设备访问通信设备时的nat规则进行配置，本实施例中，可以预先在网络安全通信设备中配置认证服务系统，该认证服务系统可以接收、处理客户端设备发来的用户操作请求等数据报文，与预定义的能够访问的用户对象进行匹配，对访问网络安全通信设备的用户(客户端设备)进行认证，并在认证通过后(访问用户属于上述预定义的用户对象)，检测访问用户的上下线状态并记录，进而基于该上下线状态对引用该用户对象的nat规则的使能属性进行重新配置。
90.在一些实施例中，所述方法还包括：
91.基于用户对象的每次上下线操作，更新所述用户对象的上下线状态；
92.基于更新后的所述用户对象的上下线状态对所述nat规则的使能属性进行重新配置，得到所述第二使能属性。
93.具体地，网络安全通信设备在检测到用户对象的每次上下线操作后，均会更新用户对象的上下线状态，并将该上下线状态发送至被引用的nat规则，以更新nat规则的使能属性，如此，可以实现nat规则使能属性的动态配置更新。
94.图3为本技术实施例的信息配置装置的结构示意图。如图3所示，本技术实施例提供一种信息配置装置，包括：
95.获取模块301，配置为获取nat规则的已配置的第一使能属性；
96.配置模块302，配置为基于所述第一使能属性和所述nat规则引用的用户对象的上下线状态，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能属性，其中，所述用户对象为预设的能够访问通信设备的用户对象。
97.在一些实施例中，所述配置模块302具体配置为：
98.在所述nat规则的第一使能属性为使能时，检测所述nat规则是否引用所述用户对象；
99.若所述nat规则引用所述用户对象，检测所述nat规则引用的所述用户对象的上下线状态；
100.基于所述nat规则引用的所述用户对象的上下线状态，对所述nat规则的使能属性进行重新配置，得到所述nat规则的第二使能属性。
101.在一些实施例中，所述配置模块302进一步配置为：
102.若所述nat规则引用的所述用户对象为上线状态，保持所述nat规则的使能属性为使能；
103.若所述nat规则引用的所述用户对象为下线状态，将所述nat规则的使能属性由使能配置为未使能。
104.在一些实施例中，所述配置模块302进一步配置为：
105.若所述nat规则未引用所述用户对象，则保持所述nat规则的使能属性为使能。
106.在一些实施例中，所述配置模块302进一步配置为：
107.若所述nat规则的第一使能属性为未使能，则保持所述nat规则的使能属性为所述第一使能属性。
108.在一些实施例中，所述获取模块301具体配置为：
109.根据通信网络协议中的nat连接，生成至少一个nat规则；
110.对每个所述nat规则的使能属性进行配置，得到每个所述nat规则的第一使能属性。
111.在一些实施例中，所述获取模块301进一步配置为：
112.基于对所述nat规则的添加或修改对所述nat规则的所述第一使能属性进行配置。
113.在一些实施例中，信息配置装置还包括：
114.认证模块，配置为利用预设的认证服务系统对访问所述通信设备的客户端设备进行认证；
115.检测模块，配置为在认证通过后，检测所述nat规则引用的用户对象的上下线状态。
116.该信息配置装置对应于上述实施例的信息配置方法，信息配置方法实施例中的任何可选项也适用于本实施例，这里不再详述。
117.本技术实施例还提供了一种通信设备，包括处理器和存储器，所述存储器用于存储计算机可执行指令，所述处理器执行所述计算机可执行指令时实现上述的信息配置方法。所述通信设备为具有nat功能网络安全通信设备，网络安全通信设备利用上述的信息配置方法可以实现nat规则的动态、高效配置。
118.在一些实施例中，处理器可以是包括一个以上通用处理设备的处理设备，诸如微处理器、中央处理单元(cpu)、图形处理单元(gpu)等。更具体地，该处理器可以是复杂指令集计算(cisc)微处理器、精简指令集计算(risc)微处理器、超长指令字(vliw)微处理器、运行其他指令集的处理器或运行指令集的组合的处理器。该处理器还可以是一个以上专用处理设备，诸如专用集成电路(asic)、现场可编程门阵列(fpga)、数字信号处理器(dsp)、片上系统(soc)等。
119.上述存储器为计算机可读介质，在该计算机可读介质上可嵌入可执行程序代码(例如用于实施本技术的方法的软件)，以执行上述的信息配置方法。存储器可以为易失性存储器(例如，随机存取存储器(random
‑
access memory，ram)，其可包括易失性ram、磁性ram、铁电ram以及任何其他适合的形式)，也可以为非易失性存储器(例如，磁盘存储器、闪速存储器、可擦除可编程只读存储器(erasable programmable read
‑
only memory，eprom)、电可擦除可编程只读存储器(electrically erasable programmable read
‑
only memory，eeprom)、基于忆阻器的非易失性固态存储器等)。
120.本技术实施例还提供了一种计算机可读存储介质，其上存储有计算机可执行指令，所述计算机可执行指令由处理器执行时，实现上述的信息配置方法。
121.以上实施例仅为本技术的示例性实施例，不用于限制本技术，本技术的保护范围由权利要求书限定。本领域技术人员可以在本技术的实质和保护范围内，对本技术做出各
种修改或等同替换，这种修改或等同替换也应视为落在本技术的保护范围内。