CN102710669B - 一种防火墙策略控制的方法及装置 - Google Patents
一种防火墙策略控制的方法及装置 Download PDFInfo
- Publication number
- CN102710669B CN102710669B CN201210226717.9A CN201210226717A CN102710669B CN 102710669 B CN102710669 B CN 102710669B CN 201210226717 A CN201210226717 A CN 201210226717A CN 102710669 B CN102710669 B CN 102710669B
- Authority
- CN
- China
- Prior art keywords
- interface
- message
- group
- virtual
- addresses
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防火墙策略控制的方法及装置,首先让用户在防火墙上配置生成一个虚拟接口,该虚拟接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发,将该虚拟接口加入到安全域。进一步地,该虚拟接口包括基于IP的地址组或者MAC的地址组。其中地址组用于判断报文的源和目的地址,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口位改虚拟接口,通过虚拟接口找到对应的安全域,从而实现同一台物理设备不同虚拟设备之间的防火墙策略控制。
Description
技术领域
本发明涉及数据通信技术领域,尤指一种数据中心虚拟设备之间实现防火墙策略控制的方法和装置。
背景技术
在云计算数据中心,一台物理服务器通常被虚拟化为几个虚拟设备。各个虚拟设备被分配给不同的用户提供不同的服务,用户有时需要实现同一物理服务器的不同虚拟设备间的访问和控制。然而,由于各个虚拟设备共享一个物理以太网口,而防火墙的策略控制都是基于安全域(安全域实质是一个端口的集合),因而,将不同虚拟设备间的访问和控制引流到防火墙后,防火墙无法根据物理端口找到相应的域,进而无法进行策略控制和深度的安全处理。
如图1所示,其为现有技术云计算数据中心某台物理服务器S1被虚拟化为4台虚拟设备(VM1~VM4)的应用场景图。在该应用场景中,各虚拟设备被分配给不同的用户提供不同的服务,同时虚拟设备VM1和VM2的用户之间需要进行数据的交互和访问。为了安全控制,用户需要在虚拟设备VM1和VM2间实现防火墙策略控制,只允许固定内容的报文通过。由于在本应用场景下,各虚拟设备共享一个物理以太网端口,当策略控制引流到防火墙后,防火墙无法根据该端口找到相应的安全域,因而无法进行策略控制和深度的安全处理。为了解决这个问题,需要引入一种新的机制实现数据中心虚拟机之间访问的防火墙策略控制。
发明内容
有鉴于此,本发明提供一种防火墙策略控制的方法和装置。让用户在防火墙上配置生成一个虚拟接口,通过该虚拟接口找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。
为达到上述目的,本发明的技术方案具体是这样实现的:
一种防火墙策略控制的方法,其中该方法应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,且多个虚拟设备之间需要实现防火墙策略控制,其中所述方法包括如下步骤:
步骤1、用户在防火墙上配置生成一个虚拟接口,其中所述虚拟接口具体包括虚拟接口ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系;
步骤2、防火墙根据虚拟接口找到相应的安全域,进而进行安全策略的控制。
本发明同时提供了一种防火墙策略控制的装置,其中所述装置应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,所述网络系统进一步包括有防火墙设备,所述装置即可以独立于防火墙设备,又可以作为独立的模块嵌入于防火墙之中,其用于该等多个虚拟设备之间需要实现防火墙策略控制,其中所述装置包括:
配置模块,用于让用户在所述装置上配置生成一个虚拟接口,其中所述虚拟接口具体包括虚拟接口ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系;
安全模块,用于所述装置根据配置模块生成的虚拟接口找到相应的安全域,进而进行相应的安全策略的控制。
由上述技术方案可见,本发明通过让用户在防火墙上配置生成一个虚拟接口,通过该虚拟接口找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。
附图说明
图1是现有技术某台物理服务器被虚拟化为4台虚拟设备的应用场景图示意图;
图2是本发明防火墙策略控制的方法流程图;
图3是本发明防火墙策略控制的装置示意图;
图4是本发明某台物理服务器被虚拟化为4台虚拟设备的应用场景图示意图;
图5是图4所示的应用场景防火墙策略控制流程图。
具体实施方式
为了实现本发明目的,本发明采用的核心思想为:首先接收用户的配置,在防火墙上生成一个虚拟接口,该虚拟接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发,将该虚拟接口加入到安全域。进一步地,该虚拟接口包括基于IP的地址组或者MAC的地址组。其中地址组用于判断报文的源和目的地址,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口位改虚拟接口,通过虚拟接口找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。
为了更加清楚和明白,以下结合实施例对本发明技术方案进行详细说明。如图2所示,为本发明防火墙策略控制的方法流程图,其中该方法应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,且多个虚拟设备之间需要实现防火墙策略控制。所述方法包括:
步骤1、用户在防火墙上配置生成一个虚拟接口。
具体地,在本发明实现方案中,首先让用户在防火墙上配置生成一个虚拟接口,其中该接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发,另外,虚拟接口可以根据需要配置加入到特定的安全域,同时用户可以配置一个特定的IP地址组或者MAC地址组(虚拟设备的IP和MAC对用户来说都是可见的)与该虚拟接口对应。需要说明的是,如果用户的网络环境为使用DHCPServer动态获取虚拟设备的IP地址时,需要用户配置的IP地址组与DHCPServer的策略对应好,以保证与IP地址组对应的地址只能分给需要控制的一类虚拟设备,而不能随机分配。
当用户在防火墙上完成上述配置以后,以IP地址组为例,所有源IP地址为该IP地址组范围的报文,报文的入接口防火墙就认为该虚拟接口,所有目的IP地址为该虚拟接口IP地址组范围的报文,其报文的出接口防火墙就认为该虚拟接口。
所述虚拟接口实质是一种具有物理接口部分特征的软件实现,类似于虚拟专利网VPN中的VLAN接口。为了实现本发明,所述虚拟接口应至少包含以下信息:
{
虚拟接口ID
IP地址组或者MAC地址组
安全域
}
步骤2、防火墙可以根据虚拟接口找到相应的安全域,进而进行安全策略的控制。
由于防火墙的安全策略控制都配置在安全域上,而前述步骤1中配置的虚拟接口包括了虚拟接口ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系,因此,在本步骤中,首先利用地址组判断报文的源和目的地址是否在用户配置的虚拟接口的IP地址组或者MAC地址组范围内,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口位改虚拟接口,通过虚拟接口找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。
本发明同时提供了一种防火墙控制策略的装置,其中所述装置应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,所述网络系统进一步包括有防火墙设备,所述装置即可以独立于防火墙设备,又可以作为独立的模块嵌入于防火墙之中,其用于多个虚拟设备之间需要实现防火墙策略控制。如图3所示,所述装置包括:
配置模块,用于让用户在所述装置上配置生成一个虚拟接口;
具体地,在本发明实现方案中,首先让用户通过配置模块在所述装置上配置生成一个虚拟接口,其中该接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发,另外,虚拟接口可以根据需要配置加入到特定的安全域,同时用户可以配置一个特定的IP地址组或者MAC地址组(虚拟设备的IP和MAC对用户来说都是可见的)与该虚拟接口对应。需要说明的是,如果用户的网络环境为使用DHCPServer动态获取虚拟设备的IP地址时,需要用户配置的IP地址组与DHCPServer的策略对应好,以保证与IP地址组对应的地址只能分给需要控制的一类虚拟设备,而不能随机分配。
当用户在所述装置上完成上述配置以后,以IP地址组为例,所有源IP地址为该IP地址组范围的报文,报文的入接口防火墙就认为该虚拟接口,所有目的IP地址为该虚拟接口IP地址组范围的报文,其报文的出接口防火墙就认为该虚拟接口。
所述虚拟接口实质是一种具有物理接口部分特征的软件实现,类似于虚拟专利网VPN中的VLAN接口。为了实现本发明,所述虚拟接口应至少包含以下信息:
{
虚拟接口ID
IP地址组或者MAC地址组
安全域
}
安全模块,用于所述装置根据配置模块生成的虚拟接口找到相应的安全域,进而进行相应的安全策略的控制。
具体地,由于网络系统中的安全策略控制一般都配置在安全域上,而前述配置模块配置的虚拟接口包括了虚拟接口ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系,因此,所述安全模块通过虚拟接口可以找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。
所述装置还包括接口模块,用于接受虚拟设备发起的报文,当所述接口模块收到虚拟设备发起的报文时,根据前述安全模块下发的地址组与虚拟接口之间的匹配关系,所述接口模块首先可以利用地址组判断报文的源和目的地址是否在用户配置的虚拟接口的IP地址组或者MAC地址组范围内,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口位改虚拟接口,并将该修改后的IP报文发送给前述安全模块。
转发模块,用于根据所述装置学习记录的MAC转发表确认该报文发送的最终物理端口后,把报文从该物理端口发出。
如图4所示,为本发明某台物理服务器S1被虚拟化为4台虚拟设备(VM1~VM4)的应用场景图示意图。在该应用场景中,各虚拟设备被分配给不同的用户提供不同的服务,其中虚拟设备VM1和VM2的用户之间需要进行互访,假设防火墙控制策略为只允许TCP端口为X的报文互访,其他报文不允许访问。
为了实现上述目的,用户按照本发明提供的技术方案,首先在防火墙上配置VM1的IP地址加入到地址组IG1,进一步配置地址组IG1属于虚拟接口VI1,同时把虚拟接口VI1加入到安全域SZ1。把VM2的IP地址配置加入到地址组IG2,把地址组IG22配置属于虚拟接口VI2,同时把虚拟接口VI2加入到安全域SZ2。安全域SZ1与SZ2之间配置防火墙控制策略为允许TCP端口为X(X可以根据用户需要,自己配置)的报文通过,其他报文则拒绝通过。
如图5所示,其为图4所示的应用场景防火墙策略控制流程图。
当虚拟设备VM1对VM2发起端口为X的TCP连接,防火墙从服务器S1物理接口接收到报文以后,其接口模块根据安全模块下发的地址组与虚拟接口之间的匹配关系,判断该源IP地址属于地址组IG1,由于用户已配置IG1属于虚拟接口VI1,因此修改该报文的源端口为虚拟接口VI1,根据报文的目的IP地址确认属于地址组IG2,修改该报文的出端口为虚拟端口VI2,进而将该修改后的报文发送给安全模块进行安全业务处理。所述安全模块根据报文标示的源虚拟接口、目的虚拟接口,进而确认该虚拟设备VM1发送的IP报文的源安全域为SZ1,确认目的安全域为SZ2,安全模块判断该IP报文的安全策略为通过,最后,防火墙上的转发模块根据学习记录的MAC转发表确认该报文发送的最终物理端口为物理服务器S1上的端口后,从该物理端口发出。
当虚拟设备VM1对VM2发起端口为Y的TCP连接,防火墙从物理接口接收到报文以后,其接口模块根据安全模块下发的地址组与虚拟接口之间的匹配关系,判断该源IP地址属于地址组IG1,由于用户已配置IG1属于虚拟接口VI1,因此修改该报文的源端口为虚拟接口VI1,根据报文的目的IP地址确认属于地址组IG2,修改该报文的出端口为虚拟端口VI2,进而将该修改后的报文发送给安全模块进行安全业务处理。所述安全模块根据报文标示的源虚拟接口、目的虚拟接口,进而确认该虚拟设备VM1发送的IP报文的源安全域为SZ1,确认目的安全域为SZ2,由于防火墙上控制策略为只允许TCP端口为X的报文互访,其他报文不允许访问。因此,判断安全策略为拒绝,报文被丢弃同时作相应的统计。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种防火墙策略控制的方法,其中该方法应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,且多个虚拟设备之间需要实现防火墙策略控制,其特征在于,所述方法包括如下步骤:
步骤1、根据用户配置在防火墙上生成一个虚拟接口,其中所述虚拟接口具体包括虚拟接口ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系;
步骤2、防火墙根据虚拟接口找到相应的安全域,进而进行安全策略的控制;
所述步骤2根据虚拟接口找到相应的安全域,进而进行安全策略的控制,具体为:首先利用地址组判断报文的源和目的地址是否在用户配置的虚拟接口的IP地址组或者MAC地址组范围内,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口修改为该虚拟接口,通过虚拟接口找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。
2.如权利要求1所述的方法,其特征在于,所述步骤1中的虚拟接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发。
3.如权利要求1-2中的任何一项所述的方法,其特征在于,如果用户的网络环境为使用DHCPServer动态获取虚拟设备的IP地址时,需要用户配置的IP地址组与DHCPServer的策略对应好,以保证与IP地址组对应的地址只能分给需要控制的一类虚拟设备,而不能随机分配。
4.一种防火墙策略控制的装置,其中所述装置应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,所述网络系统进一步包括有防火墙设备,所述装置既可以独立于防火墙设备,又可以作为独立的模块嵌入于防火墙之中,其用于多个虚拟设备之间需要实现防火墙策略控制,其特征在于,所述装置包括:
配置模块,用于让用户在所述装置上配置生成一个虚拟接口,其中所述虚拟接口具体包括虚拟接口ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系;
安全模块,用于所述装置根据配置模块生成的虚拟接口找到相应的安全域,进而进行相应的安全策略的控制;
所述装置进一步包括接口模块,用于接受虚拟设备发起的报文,当所述接口模块收到虚拟设备发起的报文时,根据前述安全模块下发的地址组与虚拟接口之间的匹配关系,所述接口模块首先利用地址组判断报文的源和目的地址是否在用户配置的虚拟接口的IP地址组或者MAC地址组范围内,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口修改为该虚拟接口,并将该修改后的报文发送给前述安全模块。
5.如权利要求4所述的装置,其特征在于,所述装置进一步包括转发模块,用于根据所述装置学习记录的MAC转发表确认该报文发送的最终物理端口后,把报文从该物理端口发出。
6.如权利要求4所述的装置,其特征在于,所述虚拟接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发。
7.如权利要求6所述的装置,其特征在于,如果用户的网络环境为使用DHCPServer动态获取虚拟设备的IP地址时,需要用户配置的IP地址组与DHCPServer的策略对应好,以保证与IP地址组对应的地址只能分给需要控制的一类虚拟设备,而不能随机分配。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210226717.9A CN102710669B (zh) | 2012-06-29 | 2012-06-29 | 一种防火墙策略控制的方法及装置 |
| EP13810155.5A EP2868062B1 (en) | 2012-06-29 | 2013-03-28 | Firewall security between virtual devices |
| US14/391,166 US9426117B2 (en) | 2012-06-29 | 2013-03-28 | Firewall security between virtual devices |
| PCT/CN2013/073303 WO2014000483A1 (en) | 2012-06-29 | 2013-03-28 | Firewall security between virtual devices |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210226717.9A CN102710669B (zh) | 2012-06-29 | 2012-06-29 | 一种防火墙策略控制的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102710669A CN102710669A (zh) | 2012-10-03 |
| CN102710669B true CN102710669B (zh) | 2016-03-02 |
Family
ID=46903222
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210226717.9A Active CN102710669B (zh) | 2012-06-29 | 2012-06-29 | 一种防火墙策略控制的方法及装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9426117B2 (zh) |
| EP (1) | EP2868062B1 (zh) |
| CN (1) | CN102710669B (zh) |
| WO (1) | WO2014000483A1 (zh) |
Families Citing this family (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9716619B2 (en) | 2011-03-31 | 2017-07-25 | NextPlane, Inc. | System and method of processing media traffic for a hub-based system federating disparate unified communications systems |
| CN102710669B (zh) * | 2012-06-29 | 2016-03-02 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| US20140359457A1 (en) * | 2013-05-30 | 2014-12-04 | NextPlane, Inc. | User portal to a hub-based system federating disparate unified communications systems |
| US9705840B2 (en) | 2013-06-03 | 2017-07-11 | NextPlane, Inc. | Automation platform for hub-based system federating disparate unified communications systems |
| CN103561027A (zh) * | 2013-11-05 | 2014-02-05 | 曙光云计算技术有限公司 | 虚拟网络隔离的实现方法和实现装置 |
| CN103685235A (zh) * | 2013-11-18 | 2014-03-26 | 汉柏科技有限公司 | 一种基于防火墙的三层网络虚拟化实现方法及系统 |
| CN104753857B (zh) * | 2013-12-26 | 2018-03-09 | 华为技术有限公司 | 网络流量控制设备及其安全策略配置方法及装置 |
| CN105100026B (zh) * | 2014-05-22 | 2018-07-20 | 新华三技术有限公司 | 一种报文安全转发方法及装置 |
| DE102015200801A1 (de) * | 2015-01-20 | 2016-07-21 | Continental Teves Ag & Co. Ohg | Elektronische Steuerungsvorrichtung |
| CN106998287B (zh) * | 2016-01-22 | 2019-11-05 | 北京北信源软件股份有限公司 | 一种针对隔离网络环境的即时通信群消息合并转发方法 |
| US11201854B2 (en) * | 2018-11-30 | 2021-12-14 | Cisco Technology, Inc. | Dynamic intent-based firewall |
| CN110365577B (zh) * | 2019-07-24 | 2021-10-15 | 绿盟科技集团股份有限公司 | 一种安全资源池的引流系统及安全检查方法 |
| CN111049855B (zh) * | 2019-12-25 | 2022-02-01 | 北京天融信网络安全技术有限公司 | 一种基于标签的策略配置方法及装置 |
| CN113079128B (zh) * | 2020-01-06 | 2022-10-18 | 中国移动通信集团安徽有限公司 | 信息封堵方法、装置、计算设备及计算机存储介质 |
| CN112511439B (zh) * | 2020-11-25 | 2023-03-14 | 杭州迪普科技股份有限公司 | 数据转发方法、装置、设备及计算机可读存储介质 |
| CN112532516A (zh) * | 2020-11-27 | 2021-03-19 | 杭州迪普科技股份有限公司 | 流量转发方法、装置、设备及计算机可读存储介质 |
| CN113098856B (zh) * | 2021-03-29 | 2023-01-17 | 绿盟科技集团股份有限公司 | 一种透明模式下的虚拟专用网络vpn实现方法及安全设备 |
| CN113179252B (zh) * | 2021-03-30 | 2022-04-01 | 新华三信息安全技术有限公司 | 一种安全策略管理方法、装置、设备及机器可读存储介质 |
| CN113794640B (zh) * | 2021-08-20 | 2022-11-18 | 新华三信息安全技术有限公司 | 一种报文处理方法、装置、设备及机器可读存储介质 |
| CN115001964B (zh) * | 2022-05-19 | 2023-08-22 | 中国人民银行数字货币研究所 | 一种管理防火墙的方法和装置 |
| CN115150170B (zh) * | 2022-06-30 | 2024-03-12 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备和存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697396A (zh) * | 2004-05-10 | 2005-11-16 | 华为技术有限公司 | 基于防火墙实现本地虚拟私网络的方法 |
| CN101800730A (zh) * | 2009-02-09 | 2010-08-11 | 国际商业机器公司 | 安全增强的虚拟机通信方法和虚拟机系统 |
| CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
| CN102307246A (zh) * | 2010-09-25 | 2012-01-04 | 广东电子工业研究院有限公司 | 基于云计算的虚拟机间安全通信保护系统及其方法 |
| US8166474B1 (en) * | 2005-09-19 | 2012-04-24 | Vmware, Inc. | System and methods for implementing network traffic management for virtual and physical machines |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7333482B2 (en) | 2000-12-22 | 2008-02-19 | Interactive People Unplugged Ab | Route optimization technique for mobile IP |
| US7516475B1 (en) | 2002-07-01 | 2009-04-07 | Cisco Technology, Inc. | Method and apparatus for managing security policies on a network |
| US7296092B2 (en) * | 2004-06-30 | 2007-11-13 | Nokia, Inc. | Apparatus for inter-domain communications including a virtual switch for routing data packets between virtual interfaces of the virtual switch |
| GB2418326B (en) | 2004-09-17 | 2007-04-11 | Hewlett Packard Development Co | Network vitrualization |
| WO2007108061A1 (ja) | 2006-03-17 | 2007-09-27 | Fujitsu Limited | ネットワーク設計処理装置,ネットワーク設計処理方法およびネットワーク設計処理用プログラム |
| US8190755B1 (en) * | 2006-12-27 | 2012-05-29 | Symantec Corporation | Method and apparatus for host authentication in a network implementing network access control |
| US8336094B2 (en) * | 2008-03-27 | 2012-12-18 | Juniper Networks, Inc. | Hierarchical firewalls |
| US8213336B2 (en) | 2009-02-23 | 2012-07-03 | Cisco Technology, Inc. | Distributed data center access switch |
| US8363656B2 (en) | 2010-09-15 | 2013-01-29 | International Business Machines Corporation | Multiple virtual machines sharing a single IP address |
| EP2659624B1 (en) | 2010-12-28 | 2017-04-12 | Citrix Systems Inc. | Systems and methods for vlan tagging via cloud bridge |
| US8516241B2 (en) * | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
| CN102710669B (zh) | 2012-06-29 | 2016-03-02 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
-
2012
- 2012-06-29 CN CN201210226717.9A patent/CN102710669B/zh active Active
-
2013
- 2013-03-28 EP EP13810155.5A patent/EP2868062B1/en active Active
- 2013-03-28 WO PCT/CN2013/073303 patent/WO2014000483A1/en active Application Filing
- 2013-03-28 US US14/391,166 patent/US9426117B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1697396A (zh) * | 2004-05-10 | 2005-11-16 | 华为技术有限公司 | 基于防火墙实现本地虚拟私网络的方法 |
| US8166474B1 (en) * | 2005-09-19 | 2012-04-24 | Vmware, Inc. | System and methods for implementing network traffic management for virtual and physical machines |
| CN101800730A (zh) * | 2009-02-09 | 2010-08-11 | 国际商业机器公司 | 安全增强的虚拟机通信方法和虚拟机系统 |
| CN102307246A (zh) * | 2010-09-25 | 2012-01-04 | 广东电子工业研究院有限公司 | 基于云计算的虚拟机间安全通信保护系统及其方法 |
| CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2868062A1 (en) | 2015-05-06 |
| CN102710669A (zh) | 2012-10-03 |
| US20150074788A1 (en) | 2015-03-12 |
| US9426117B2 (en) | 2016-08-23 |
| EP2868062A4 (en) | 2015-12-30 |
| EP2868062B1 (en) | 2019-06-12 |
| WO2014000483A1 (en) | 2014-01-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102710669B (zh) | 一种防火墙策略控制的方法及装置 | |
| CN106161335B (zh) | 一种网络数据包的处理方法和装置 | |
| CN105471596B (zh) | 网络管理的方法和装置 | |
| CN108141433B (zh) | 用于在网络中使用的设备、控制器、网络和方法 | |
| CN103546497B (zh) | 一种分布式防火墙IPSec业务负载分担的方法及装置 | |
| US9686316B2 (en) | Layer-2 security for industrial automation by snooping discovery and configuration messages | |
| US8611358B2 (en) | Mobile network traffic management | |
| CN102882828A (zh) | 一种内网与外网间的信息安全传输控制方法及其网关 | |
| CN108667880A (zh) | 一种负载均衡系统、方法及装置 | |
| CN105208053A (zh) | 一种实现负载均衡的方法、装置及负载均衡服务系统 | |
| CN103716213A (zh) | 在固定接入网中和在用户设备中运行的方法 | |
| CN103428211A (zh) | 基于交换机的网络认证系统及其认证方法 | |
| CN106034052A (zh) | 一种对虚拟机间二层流量进行监控的系统及方法 | |
| CN103973578A (zh) | 一种虚拟机流量重定向的方法及装置 | |
| CN104580029A (zh) | 地址分配方法及装置 | |
| CN104092684A (zh) | 一种OpenFlow协议支持VPN的方法及设备 | |
| JP5687388B2 (ja) | 建物の遠隔制御を実施するためのデバイス構成 | |
| CN103152360A (zh) | 一种基于无线路由器的访客访问网络的方法 | |
| CN114157532A (zh) | 远程控制方法、系统、电子装置和存储介质 | |
| CN103401751B (zh) | 因特网安全协议隧道建立方法和装置 | |
| CN105323138A (zh) | 私有云端路由服务器及智能型装置客户端架构 | |
| CN103036901A (zh) | 一种ets远程编程方法 | |
| CN113260072B (zh) | Mesh组网流量调度方法、网关设备和存储介质 | |
| CN105516121B (zh) | 无线局域网中ac与ap通信的方法及系统 | |
| JP2013115777A (ja) | 中継サーバ及び中継通信システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Patentee after: Xinhua three Technology Co., Ltd. Address before: 310053 Hangzhou science and Technology Development Zone, Zhejiang high tech park, No. six and road, No. 310 Patentee before: Huasan Communication Technology Co., Ltd. |
|
| CP03 | Change of name, title or address | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20180921 Address after: 230088 the 541 phase of H2 two, two innovation industrial park, No. 2800, innovation Avenue, Hi-tech Zone, Hefei, Anhui. Patentee after: Xinhua three information Safe Technology Ltd Address before: 310052 Changhe Road, Binjiang District, Hangzhou, Zhejiang Province, No. 466 Patentee before: Xinhua three Technology Co., Ltd. |
|
| TR01 | Transfer of patent right |