CN103973673A - 划分虚拟防火墙的方法和设备 - Google Patents
划分虚拟防火墙的方法和设备 Download PDFInfo
- Publication number
- CN103973673A CN103973673A CN201410139263.0A CN201410139263A CN103973673A CN 103973673 A CN103973673 A CN 103973673A CN 201410139263 A CN201410139263 A CN 201410139263A CN 103973673 A CN103973673 A CN 103973673A
- Authority
- CN
- China
- Prior art keywords
- message
- network
- network identifier
- virtual firewall
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种划分虚拟防火墙的方法和设备,方法包括如下步骤:在云网络中添加多台虚拟防火墙,设置虚拟防火墙的可识别报文类型和可识别网络标识符ID;在检测到云网络的设备接收到报文时,判断报文的类型是否为可识别报文类型,如果是则进一步判断报文携带的网络标识符ID是否为可识别网络标识符ID;如果报文携带的网络标识符ID为可识别网络标识符ID,则剥去报文的网络标识符ID,将报文的内层报文发送至相应的虚拟防火墙;虚拟防火墙对内层报文进行业务处理,并在处理完成后对内层报文添加对应的原始网络标识符ID以封装成处理后报文,并发送处理后报文。本发明通过虚拟防火墙的方式来进行安全业务的隔离,降低了硬件部署成本,满足大型云网络的需求。
Description
技术领域
本发明涉及云网络和虚拟防火墙技术领域,特别涉及一种划分虚拟防火墙的方法和划分虚拟防火墙的设备。
背景技术
通常,一个大型的云网络可以支持数以百计的租赁用户,每个租赁用户又可以同时运行多个应用,用户之间的流量都是相互隔离的。但是在大型的云环境中,如果为每个用户分配一台实际的防火墙,则需要数以百计的防火墙,这显然是不现实的。另外,传统的虚拟防火墙都是通过VLAN((VirtualLocal Area Network,虚拟局域网)、接口和目的地址来进行区分流量,由于其数量均是有限,因此不适合大型的云网络。
发明内容
本发明鉴于上述情况而作出,其目的是提供一种划分虚拟防火墙的方法,通过虚拟防火墙的方式来进行安全业务的隔离,降低了硬件部署成本,满足大型云网络的需求。
为实现上述目的,本发明的实施方式提供一种划分虚拟防火墙的方法,包括如下步骤:
在云网络中添加多台虚拟防火墙,并设置所述虚拟防火墙的可识别报文类型和可识别网络标识符ID;
在检测到云网络的设备接收到报文时,判断所述报文的类型是否为所述可识别报文类型,如果是则进一步判断所述报文携带的网络标识符ID是否为所述可识别网络标识符ID,其中,所述报文包括网络标识符ID和内层报文;
如果所述报文携带的网络标识符ID为所述可识别网络标识符ID,则剥去所述报文的网络标识符ID,将所述报文的内层报文发送至相应的所述虚拟防火墙;
所述虚拟防火墙对所述内层报文进行业务处理,并在处理完成后对所述内层报文添加对应的原始网络标识符ID以封装成处理后报文,并发送所述处理后报文。
根据本发明的一个方面,所述可识别报文类型为使用通用路由封装的网络虚拟化NVGRE或虚拟可扩展局域网VxLAN。
根据本发明的另一个方面,所述可识别网络标识符ID为NVGRE或VxLAN的24位租赁网络标识符。
根据本发明的又一方面,所述网络标识符ID位于所述报文的头部。
本发明提供的划分虚拟防火墙的方法通过虚拟防火墙的方式来进行安全业务的隔离,并且降低了硬件部署成本。本发明采用NVGRE或VXLAN的方式划分的共享式虚拟防火墙,避免了采用接口方式区分防火墙流量而引起的接口利用率降低的问题。并网,本发明提供的划分虚拟防火墙的方法,可以支持较大数量的用户,从而满足大型云网络的需求。
本发明的另一个目的是提供一种划分虚拟防火墙的设备,通过虚拟防火墙的方式来进行安全业务的隔离,降低了硬件部署成本,满足大型云网络的需求。
为实现上述目的,本发明的实施方式提供一种划分虚拟防火墙的设备,包括:添加模块,用于在云网络中添加多台虚拟防火墙;可识别内容设置模块,所述可识别内容设置模块连接至虚拟防火墙,用于设置所述虚拟防火墙的可识别报文类型和可识别网络标识符ID;报文检测模块,用于检测云网络的设备是否接收到报文;可识别内容判断模块,所述可识别内容判断模块连接至所述报文检测模块和所述可识别内容设置模块,用于在所述报文检测模块检测到云网络的设备接收到报文时,判断所述报文的类型是否为所述可识别报文类型,如果是则进一步判断所述报文携带的网络标识符ID是否为所述可识别网络标识符ID,其中,所述报文包括网络标识符ID和内层报文;网络标识符处理模块,所述网络标识符处理模块连接至所述可识别内容判断模块,用于剥去所述报文的网络标识符ID;报文传输模块,所述报文传输模块连接至所述网络标识符处理模块和所述虚拟防火墙,用于将剥去网络标识符ID的内层报文发送至相应的所述虚拟防火墙,其中,所述虚拟防火墙对所述内层报文进行业务处理,并在处理完成后对所述内层报文添加对应的原始网络标识符ID以封装成处理后报文,并发送所述处理后报文。
根据本发明的一个方面,所述可识别报文类型为使用通用路由封装的网络虚拟化NVGRE或虚拟可扩展局域网VxLAN。
根据本发明的另一个方面,所述可识别网络标识符ID为NVGRE或VxLAN的24位租赁网络标识符。
根据本发明的又一方面,所述网络标识符ID位于所述报文的头部。
本发明提供的划分虚拟防火墙的设备通过虚拟防火墙的方式来进行安全业务的隔离,并且降低了硬件部署成本。本发明采用NVGRE或VXLAN的方式划分的共享式虚拟防火墙,避免了采用接口方式区分防火墙流量而引起的接口利用率降低的问题。并网,本发明提供的划分虚拟防火墙的方法,可以支持较大数量的用户,从而满足大型云网络的需求。
附图说明
图1是根据本发明实施方式的划分虚拟防火墙的方法的流程图;
图2示意性地示出了报文结构的示意图;
图3是根据本发明实施方式的划分虚拟防火墙的设备的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
下面首先对虚拟防火墙的概念和功能进行说明。虚拟防火墙是指将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被视为一台完全独立的防火墙设备,拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
通常,一个大型的云网络可以支持数以百计的租赁用户,每个租赁用户又可以同时运行多个应用,用户之间的流量都是相互隔离的。但是在大型的云环境中,如果为每个用户分配一台实际的防火墙,则需要数以百计的防火墙,这显然是不现实的。并且传统的虚拟防火墙都是通过VLAN、接口和目的地址来进行区分流量,由于其数量均是有限,因此不适合大型的云网络。为解决上述问题,本发明提出一种划分虚拟防火墙的方法,该方法适用于大型的云网络。
图1是根据本发明实施方式的划分虚拟防火墙的方法的流程图。
如图1所示,本发明实施方式提供的划分虚拟防火墙的方法,包括如下步骤:
步骤S1,在云网络中添加多台虚拟防火墙,设置虚拟防火墙的可识别报文类型和可识别网络标识符ID。
在云网络中添加多台虚拟防火墙后,设置每个虚拟防火墙对应的可识别报文类型和可识别网络标识符ID。在本发明的实施方式中,可识别报文类型为使用NVGRE(Network Virtualization using Generic RoutingEncapsulation,通用路由封装的网络虚拟化)或VxLAN(Virtual ExtensibleVLAN,虚拟可扩展局域网)。相应的,可识别网络标识符ID为NVGRE或VxLAN的24位租赁网络标识符。其中,可识别网络标识符ID为相应的租赁用户在网络中使用的ID号。
下面分别对NVGRE和VxLAN的功能进行说明。
(1)NVGRE
虚拟云环境可以支持数以百计的租赁用户,每个租赁用户又可以同时运行多个应用,用户之间的流量都是相互隔离的。目前,采用VLAN来分隔用户之间的流量。
但是这种方法存在下述缺陷:VLAN总是无法处理很多的容量分割需求。在一个大型的虚拟云环境中,每个应用均是由多个VM((VirtualManufacturing,虚拟机)中运行的组件组成的,而每个应用交互的VM流量都必须分别位于独立的VLAN中。由此,所需要的VLAN总数量极易超出IEEE802.1Q VLAN定义的上限:4,094。
当VM在物理服务器之间迁移时,又会出现下述问题:VM迁移不得影响应用程序,因此2层协议的地址必须保持不变。针对这种情况,网络必须重新配置,将VLAN扩展到不同服务器,而这个过程极易出错。
NVGRE通过租赁网络标识符可以解决上述多租赁网络问题。NVGRE通过指定24位的租赁网络标识符(TNI),每个TNI都定义了一个虚拟的2层网络,最多支持1.6千万个网络,从而解决了多租赁网络问题。
NVGRE使用GRE(Generic Routing Encapsulation,通用路由封装)创建一个独立的虚拟2层网络,在整个网络里面不同租赁的用户对安全的需求也是不同的。VxLAN和NVGRE类似,都是在原有的报文上面又封装了一层,下面对VxLAN进行描述。
(2)VxLAN
参考上述对VLAN隔离流量的缺陷描述,如果采用VLAN隔离用户之间的流量,一个顶级机架交换机可能会连接40多台服务器。每一台服务器可能运行多个VM,每一个VM都会与多个VLAN通信。但是数据中心可能包含许多个机架交换机,所以VLAN总数可能会超过4,094。此外,由一个应用程序组成的VM可能位于地理位置不同的数据中心。这些VM必须通过2层网络连接,所以VLAN标识符必须在地理上保证唯一性。
为解决上述问题,采用VxLAN标准实现应用程序数据分离。RFC草案所描述的VxLAN标准使用一个名为VXLAN网络标识符(VNI)的24位标识符,将与应用程序关联的VLAN分组到一个片段中。每一个管理域能够定义多达1600万个VNI,而每一个VNI可能最多包含4,094个VLAN。因为只有运行在同一个VNI的VM可以进行通信,从而可以实现客户数据的分离。
对VM可见的2层网络是通过3层网络的UDP(User Datagram Protocol,用户数据报协议)数据报文进行传输的。这使数据中心可以在不同的IP子网中运行。VM只能访问2层网络,所以应用程序中的VM可以从一个数据中心迁移到另一个数据中心,而不需要对重新分配VM或者其他应用程序的VM可见。
由上可知,通过设置虚拟防火墙的可识别报文类型和可识别网络标识符ID,可以实现对虚拟防火墙流量识别方式的设置,即设置每个虚拟防火墙的流量识别方式为NVGRE或者VxLAN。
步骤S2,在检测到云网络的设备接收到报文时,判断报文的类型是否为步骤S1中预先设置的可识别报文类型,如果是则进一步判断该报文携带的网络标识符ID是否为步骤S1中预先设置的网络标识符ID,如果是则执行步骤S3。
在本发明的实施方式中,如图2所示,报文包括有网络标识符ID和内层报文,其中网络标识符ID位于报文的头部。
当报文进入云网络中的设备后,对该报文进行NVGRE或VxLAN标识的识别。具体来说,判断该报文的是否为步骤S1中预先设置的可识别报文类型,即NVGRE或VxLAN,如果是,则进一步判断该报文携带的网络标识符ID是否为步骤S1中预先设置的NVGRE或VxLAN的24位租赁网络标识符,如果该报文的类型不是NVGRE或VxLAN,或者报文携带的网络标识符ID不是预先设置的NVGRE或VxLAN的24位租赁网络标识符,则对该报文不予处理。其中,NVGRE的24位租赁网络标识符位于GRE报文的头部,VxLAN的24位租赁网络标识符位于VxLAN的头部,通过上述网络标识符可是实现对虚拟防火墙的流量的划分。
步骤S3,如果报文携带的网络标识ID为可识别网络标识ID,则剥去报文的网络标识符ID,将报文的内层报文发送至相应的虚拟防火墙。
如果在步骤S2中识别出报文携带的网络标识ID为可识别网络标识ID,即NVGRE或VxLAN的24位租赁网络标识符,则判断是否存在相应的虚拟防火墙,即是否存在流量识别方式为NVGRE或VxLAN的虚拟防火墙,如果存在,则剥去NVGRE或VxLAN报文头部的网络标识符ID,并存储上述剥去NVGRE或VxLAN报文头部的网络标识符ID以及该网络标识符ID与报文的对应关系,从而为后续为报文重新添加回对应的网络标识符ID作参考。
在剥去报文头部的网络标识符ID后,报文只剩下内层报文,则将报文的内层报文发送至相应的虚拟防火墙。即,如果网络标识符ID为NVGRE的24位租赁网络标识符,则将剥去报文头部后的内层报文发送至流量识别方式为NVGRE的虚拟防火墙。如果网络标识符ID为VxLAN的24位租赁网络标识符,则将剥去报文头部后的内层报文发送至流量识别方式为VxLAN的虚拟防火墙。
步骤S4,虚拟防火墙对内层报文进行业务处理,并在处理完成后对内层报文添加对应的原始网络标识符ID以封装成处理后报文,发送该处理后报文。
内层报文进入虚拟防火墙后,虚拟防火墙对该内层报文进行相应的安全业务处理。虚拟防火墙处理完报文后,根据该内层报文对应的网络标识符ID,重新添加对应的原始网络标识符ID,即重新封装NVGRE或VxLAN报文头,并将封装后的报文转发出去。
整个过程中防火墙的链接均是内层报文的链接,对于业务处理看不到NVGRE或VxLAN报文头,从而不会影响原有业务。
根据本发明的划分虚拟防火墙的方法,通过虚拟防火墙的方式来进行安全业务的隔离,并且降低了硬件部署成本。本发明采用NVGRE或VXLAN的方式划分的共享式虚拟防火墙,避免了采用接口方式区分防火墙流量而引起的接口利用率降低的问题。并网,本发明提供的划分虚拟防火墙的方法,可以支持较大数量的用户,从而满足大型云网络的需求。
图3是根据本发明实施方式的划分虚拟防火墙的设备的结构图。
如图3所示,本实施方式提供的划分虚拟防火墙的设备,包括:添加模块1、可识别内容设置模块2、报文检测模块3、可识别内容判断模块4、网络标识符处理模块5和报文传输模块6。
具体来说,添加模块1用于在云网络中添加多台虚拟防火墙V。
可识别内容设置模块2连接至虚拟防火墙V,用于设置虚拟防火墙V的可识别报文类型和可识别网络标识符ID。在本发明的实施方式中,可识别报文类型为使用NVGRE(Network Virtualization using Generic RoutingEncapsulation,通用路由封装的网络虚拟化)或VxLAN(Virtual ExtensibleVLAN,虚拟可扩展局域网)。相应的,可识别网络标识符ID为NVGRE或VxLAN的24位租赁网络标识符。其中,可识别网络标识符ID为相应的租赁用户在网络中使用的ID号。其中,NVGRE和VxLAN的功能参考上述划分虚拟防火墙的方法步骤S1中的描述,在此不再赘述。
由上可知,通过可识别内容设置模块2设置虚拟防火墙V的可识别报文类型和可识别网络标识符ID,可以实现对虚拟防火墙V的流量识别方式的设置,即设置每个虚拟防火墙V的流量识别方式为NVGRE或者VxLAN。
报文检测模块3用于检测云网络的设备是否接收到报文。在本发明的实施方式中,报文包括有网络标识符ID和内层报文,其中网络标识符ID位于报文的头部。
可识别内容判断模块4连接至可识别内容设置模块2和报文检测模块3,用于在报文检测模块3检测到云网络的设备接收到报文时,判断报文的类型是否为可识别报文类型。如果是,则可识别内容判断模块4进一步判断报文携带的网络标识符ID是否为可识别网络标识符ID。
如果可识别内容判断模块4判断该报文的类型不是NVGRE或VxLAN,或者报文携带的网络标识符ID不是预先设置的NVGRE或VxLAN的24位租赁网络标识符,则对该报文不予处理。其中,NVGRE的24位租赁网络标识符位于GRE报文的头部,VxLAN的24位租赁网络标识符位于VxLAN的头部,通过上述网络标识符可是实现对虚拟防火墙V的流量的划分。
网络标识符处理模块5连接至可识别内容判断模块4,用于剥去报文的网络标识符ID。如果可识别内容判断模块4识别出报文携带的网络标识ID为可识别网络标识ID,即NVGRE或VxLAN的24位租赁网络标识符,则进一步判断是否存在相应的虚拟防火墙V,即是否存在流量识别方式为NVGRE或VxLAN的虚拟防火墙V,如果存在,则由网络标识符处理模块5剥去NVGRE或VxLAN报文头部的网络标识符ID,并存储上述剥去NVGRE或VxLAN报文头部的网络标识符ID以及该网络标识符ID与报文的对应关系,从而为后续为报文重新添加回对应的网络标识符ID作参考。
报文传输模块6连接至网络标识符处理模块5和虚拟防火墙V,用于将剥去网络标识符ID的内层报文发送至相应的虚拟防火墙V。网络标识符处理模块5在剥报文头部的网络标识符ID后,报文只剩下内层报文,则报文传输模块6将报文的内层报文发送至相应的虚拟防火墙V。即,如果网络标识符ID为NVGRE的24位租赁网络标识符,则报文传输模块6将剥去报文头部后的内层报文发送至流量识别方式为NVGRE的虚拟防火墙V。如果网络标识符ID为VxLAN的24位租赁网络标识符,则报文传输模块6将剥去报文头部后的内层报文发送至流量识别方式为VxLAN的虚拟防火墙V。
内层报文进入虚拟防火墙V后,虚拟防火墙V对该内层报文进行相应的安全业务处理。虚拟防火墙V处理完报文后,根据该内层报文对应的网络标识符ID,重新添加对应的原始网络标识符ID,即重新封装NVGRE或VxLAN报文头,并将封装后的报文转发出去。
根据本发明的划分虚拟防火墙的设备,通过虚拟防火墙的方式来进行安全业务的隔离,并且降低了硬件部署成本。本发明采用NVGRE或VXLAN的方式划分的共享式虚拟防火墙,避免了采用接口方式区分防火墙流量而引起的接口利用率降低的问题。并网,本发明提供的划分虚拟防火墙的方法,可以支持较大数量的用户,从而满足大型云网络的需求。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。
Claims (8)
1.一种划分虚拟防火墙的方法,包括如下步骤:
在云网络中添加多台虚拟防火墙,设置所述虚拟防火墙的可识别报文类型和可识别网络标识符ID;
在检测到云网络的设备接收到报文时,判断所述报文的类型是否为所述可识别报文类型,如果是则进一步判断所述报文携带的网络标识符ID是否为所述可识别网络标识符ID,其中,所述报文包括网络标识符ID和内层报文;
如果所述报文携带的网络标识符ID为所述可识别网络标识符ID,则剥去所述报文的网络标识符ID,将所述报文的内层报文发送至相应的所述虚拟防火墙;
所述虚拟防火墙对所述内层报文进行业务处理,并在处理完成后对所述内层报文添加对应的原始网络标识符ID以封装成处理后报文,并发送所述处理后报文。
2.根据权利要求1所述的划分虚拟防火墙的方法,其特征在于,所述可识别报文类型为使用通用路由封装的网络虚拟化NVGRE或虚拟可扩展局域网VxLAN。
3.根据权利要求2所述的划分虚拟防火墙的方法,其特征在于,所述可识别网络标识符ID为NVGRE或VxLAN的24位租赁网络标识符。
4.根据权利要求1或3所述的划分虚拟防火墙的方法,其特征在于,所述网络标识符ID位于所述报文的头部。
5.一种划分虚拟防火墙的设备,包括
添加模块,用于在云网络中添加多台虚拟防火墙;
可识别内容设置模块,所述可识别内容设置模块连接至虚拟防火墙,用于设置所述虚拟防火墙的可识别报文类型和可识别网络标识符ID;
报文检测模块,用于检测云网络的设备是否接收到报文;
可识别内容判断模块,所述可识别内容判断模块连接至所述报文检测模块和所述可识别内容设置模块,用于在所述报文检测模块检测到云网络的设备接收到报文时,判断所述报文的类型是否为所述可识别报文类型,如果是则进一步判断所述报文携带的网络标识符ID是否为所述可识别网络标识符ID,其中,所述报文包括网络标识符ID和内层报文;
网络标识符处理模块,所述网络标识符处理模块连接至所述可识别内容判断模块,用于剥去所述报文的网络标识符ID;
报文传输模块,所述报文传输模块连接至所述网络标识符处理模块和所述虚拟防火墙,用于将剥去网络标识符ID的内层报文发送至相应的所述虚拟防火墙;
其中,所述虚拟防火墙对所述内层报文进行业务处理,并在处理完成后对所述内层报文添加对应的原始网络标识符ID以封装成处理后报文,并发送所述处理后报文。
6.根据权利要求5所述的划分虚拟防火墙的设备,其特征在于,所述可识别报文类型为使用通用路由封装的网络虚拟化NVGRE或虚拟可扩展局域网VxLAN。
7.根据权利要求6所述的划分虚拟防火墙的设备,其特征在于,所述可识别网络标识符ID为NVGRE或VxLAN的24位租赁网络标识符。
8.根据权利要求5或7所述的划分虚拟防火墙的设备,其特征在于,所述网络标识符ID位于所述报文的头部。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410139263.0A CN103973673B (zh) | 2014-04-09 | 2014-04-09 | 划分虚拟防火墙的方法和设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410139263.0A CN103973673B (zh) | 2014-04-09 | 2014-04-09 | 划分虚拟防火墙的方法和设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103973673A true CN103973673A (zh) | 2014-08-06 |
| CN103973673B CN103973673B (zh) | 2017-11-03 |
Family
ID=51242719
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410139263.0A Active CN103973673B (zh) | 2014-04-09 | 2014-04-09 | 划分虚拟防火墙的方法和设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103973673B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579898A (zh) * | 2015-01-26 | 2015-04-29 | 中国联合网络通信集团有限公司 | 一种租户隔离方法及系统 |
| CN104580505A (zh) * | 2015-01-26 | 2015-04-29 | 中国联合网络通信集团有限公司 | 一种租户隔离方法及系统 |
| CN104852923A (zh) * | 2015-05-26 | 2015-08-19 | 汉柏科技有限公司 | 一种基于用户的路由隔离方法及系统 |
| CN105245504A (zh) * | 2015-09-10 | 2016-01-13 | 北京汉柏科技有限公司 | 一种云计算网络中南北向流量安全防护系统 |
| WO2016086670A1 (zh) * | 2014-12-04 | 2016-06-09 | 中兴通讯股份有限公司 | Vxlan报文传输方法及装置、存储介质 |
| CN106161115A (zh) * | 2016-09-23 | 2016-11-23 | 杭州迪普科技有限公司 | 一种应用于vxlan的设备管理方法及装置 |
| CN110661684A (zh) * | 2019-09-29 | 2020-01-07 | 北京浪潮数据技术有限公司 | 流量统计方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060143699A1 (en) * | 2003-02-05 | 2006-06-29 | Nippon Telegraph And Telephone Corporation | Firewall device |
| US20070261110A1 (en) * | 2006-05-02 | 2007-11-08 | Cisco Technology, Inc., A California Corporation | Packet firewalls of particular use in packet switching devices |
| CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN103118149A (zh) * | 2013-03-04 | 2013-05-22 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
-
2014
- 2014-04-09 CN CN201410139263.0A patent/CN103973673B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060143699A1 (en) * | 2003-02-05 | 2006-06-29 | Nippon Telegraph And Telephone Corporation | Firewall device |
| US20070261110A1 (en) * | 2006-05-02 | 2007-11-08 | Cisco Technology, Inc., A California Corporation | Packet firewalls of particular use in packet switching devices |
| CN101212453A (zh) * | 2006-12-29 | 2008-07-02 | 凹凸科技(中国)有限公司 | 实现网络访问控制的方法及其防火墙装置 |
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN103118149A (zh) * | 2013-03-04 | 2013-05-22 | 华为技术有限公司 | 同一租户内服务器间的通信控制方法及网络设备 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016086670A1 (zh) * | 2014-12-04 | 2016-06-09 | 中兴通讯股份有限公司 | Vxlan报文传输方法及装置、存储介质 |
| CN105721359A (zh) * | 2014-12-04 | 2016-06-29 | 中兴通讯股份有限公司 | Vxlan报文传输方法及装置 |
| CN104579898A (zh) * | 2015-01-26 | 2015-04-29 | 中国联合网络通信集团有限公司 | 一种租户隔离方法及系统 |
| CN104580505A (zh) * | 2015-01-26 | 2015-04-29 | 中国联合网络通信集团有限公司 | 一种租户隔离方法及系统 |
| CN104852923A (zh) * | 2015-05-26 | 2015-08-19 | 汉柏科技有限公司 | 一种基于用户的路由隔离方法及系统 |
| CN105245504A (zh) * | 2015-09-10 | 2016-01-13 | 北京汉柏科技有限公司 | 一种云计算网络中南北向流量安全防护系统 |
| CN106161115A (zh) * | 2016-09-23 | 2016-11-23 | 杭州迪普科技有限公司 | 一种应用于vxlan的设备管理方法及装置 |
| CN110661684A (zh) * | 2019-09-29 | 2020-01-07 | 北京浪潮数据技术有限公司 | 流量统计方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103973673B (zh) | 2017-11-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103973673A (zh) | 划分虚拟防火墙的方法和设备 | |
| US11303577B2 (en) | Prioritizing flows in software defined networks | |
| EP3210345B1 (en) | Transparent network service header path proxies | |
| US8819267B2 (en) | Network virtualization without gateway function | |
| US10819675B2 (en) | Managing network connectivity between cloud computing service endpoints and virtual machines | |
| US20150124823A1 (en) | Tenant dhcp in an overlay network | |
| US20150281073A1 (en) | System and method for context aware network | |
| EP3358807B1 (en) | Firewall cluster | |
| US10122548B2 (en) | Services execution | |
| CN105323136A (zh) | 信息的处理方法及装置 | |
| US10841274B2 (en) | Federated virtual datacenter apparatus | |
| US20150381478A1 (en) | Proxy for port to service instance mapping | |
| CN106789635B (zh) | 一种报文转发方法及装置 | |
| CN106899478B (zh) | 电力测试业务通过云平台实现资源弹性扩展的方法 | |
| US10574573B2 (en) | Connecting a PVLAN switch to a non-PVLAN device | |
| CN108259295B (zh) | Mac地址同步方法及装置 | |
| CN107733765B (zh) | 映射方法、系统和相关设备 | |
| US20170187622A1 (en) | Data forwarding method and apparatus, and access device | |
| CN103200107B (zh) | 一种报文的传输方法和设备 | |
| US10778544B2 (en) | Dynamic allocation of processing queues for control packets in software defined networks | |
| CN108259633B (zh) | 实现管理报文三层通信的方法、系统及装置 | |
| CN105577579A (zh) | 业务功能链中协议报文的处理方法、系统及业务功能节点 | |
| CN114765567B (zh) | 通信方法和通信系统 | |
| WO2016091186A1 (zh) | 一种防止逻辑交换机所占用资源发生冲突的方法及系统 | |
| EP3300318A1 (en) | Method and device for communication by far-end network element port |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20180528 Granted publication date: 20171103 |
|
| PP01 | Preservation of patent right |