CN104113527A - 一种应用于云计算网络的waf防火墙配置 - Google Patents
一种应用于云计算网络的waf防火墙配置 Download PDFInfo
- Publication number
- CN104113527A CN104113527A CN201410276431.0A CN201410276431A CN104113527A CN 104113527 A CN104113527 A CN 104113527A CN 201410276431 A CN201410276431 A CN 201410276431A CN 104113527 A CN104113527 A CN 104113527A
- Authority
- CN
- China
- Prior art keywords
- waf
- cloud computing
- vlan
- bypass
- compartment wall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Abstract
本发明涉及一种应用于云计算网络的waf防火墙配置,与互联网连接,包括云计算网络、虚拟交换机、核心物理交换机和旁路waf防火墙,所述的云计算网络通过虚拟网卡与虚拟交换机相连接,所述的虚拟交换机通过trunk通道与核心物理交换机连接,所述的核心物理交换机的一个输出端通过光纤与互联网连接,另一端通过trunk通道与旁路waf防火墙的trust接口连接,所述的旁路waf防火墙的untrust接口过光纤与互联网连接。与现有技术相比,本发明具有结构简单、市场价值高等优点。
Description
技术领域
本发明涉及一种防火墙配置,尤其是涉及一种应用于云计算网络的waf防火墙配置。
背景技术
在云计算领域中的基础架构即服务商业模式(IaaS)中,云计算服务商通过云计算虚拟化操作系统(如Wmware系统,hyper-V系统)把机架式服务器虚拟化成N片虚拟主机提供web网站服务,将这些虚拟云主机租赁给企业客户使用,客户有时需要实现同一物理服务器的不同虚拟设备间的访问和控制,然而,由于各个虚拟设备常常是靠共享一个物理以太网口与互联网相连,而防火墙配置也是基于一个集合端口,当不同虚拟设备间的方位和控制引流到防火墙后,会出现防火墙无法根据物理端口找到相应域的情况,防火墙也无法进行策略控制和深度安全处理,所以急需一种既可以合理分配云计算系统的虚拟主机端口、又可以有效进行防控的防火墙。
中国专利03139719.0公开了一种防火墙装置及其设置方法,该防火墙装置包括防火墙硬件结构和防火墙软件系统,其中该防火墙硬件结构包括至少三个网络端口,该防火墙软件系统包括一命令行接口、一WEB管理接口、一设置管理模组、一Lib共享数据库和一工具管理模组,存在不适用云计算网络虚拟化成多个虚拟主机的应用场合、无法进行并行计算处理、可能因单点错误造成服务中断等不足。
发明内容
本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种结构简单、市场价值高的应用于云计算网络的waf防火墙配置。
本发明的目的可以通过以下技术方案来实现:
一种应用于云计算网络的waf防火墙配置,与互联网连接,包括云计算网络、虚拟交换机、核心物理交换机和旁路waf防火墙,所述的云计算网络通过虚拟网卡与虚拟交换机相连接,所述的虚拟交换机通过trunk通道与核心物理交换机连接,所述的核心物理交换机的一个输出端通过光纤与互联网连接,另一端通过trunk通道与旁路waf防火墙的trust接口连接,所述的旁路waf防火墙的untrust接口过光纤与互联网连接;
云计算网络的连接通道经虚拟交换机集中部署在核心物理交换机的接口上,旁路waf防火墙设备旁路到核心物理交换机上,web的网关IP地址透明穿过旁路waf防火墙,云计算网络用户的互联网web访问的双向流量都能够透传waf防火墙装置。
所述的云计算网络包括多个web虚拟主机,所述的web虚拟主机分别与虚拟交换机连接的通道构成一个VLAN,VLAN包括多个对应web虚拟主机的vlan id,每个用户租赁的虚拟web划分在一个独立的vlan id中。
所述的虚拟交换机与核心物理交换机之间、核心物理交换机与旁路waf防火墙之间的trunk通道划分为多个独立的的vlan id,两个trunk通道的vlan id分别与VLAN的vlan id一一对应。
所述的旁路waf防火墙的trust接口和untrust接口通过802.1Q协议划分vlan子接口,分成各自隔离的vlan通道。
所述的旁路waf防火墙包括主板、CPU、内存和硬盘存储器。
与现有技术相比,本发明具有以下优点:
1)本发明保证云计算网络用户访问互联网的数据安全、可靠、透明地传输。虚拟交换机通过多链路捆绑trunk方式连到服务商的核心交换机,透明防火墙的trust接口和untrust接口通过划分vlan子接口,每个web虚拟主机的数据进行封装并形成各自隔离传输通道,保证用户的数据传输安全性;web的网关IP地址透明穿过waf防火墙,部署在核心交换机的接口上,从而保证web访问的双向流量都能够透传waf防火墙装置。
2)本发明实现云计算网络中各web虚拟主机受独立的web应用硬件级防火墙保护,解决了对租用云计算虚拟主机的web网站安全防护的问题。每台web虚拟主机通过虚拟网卡和虚拟交换机连接,通过将核心物理交换机旁路到透明waf防火墙设备,最后用户的数据通过旁路waf防火墙设备抵到互联网,供用户访问,体现了云计算系统按需付费的商业盈利模式。
附图说明
图1为一种应用于云计算网络的waf防火墙配置结构示意图。
图中:1、云计算网络2、虚拟交换机3、核心物理交换机4、旁路waf防火墙5、互联网6、web虚拟主机。
具体实施方式
下面结合附图和具体实施例对本发明进行详细说明。
如图1所示,一种应用于云计算网络的waf防火墙配置,与互联网5连接,包括云计算网络1、虚拟交换机2、核心物理交换机3和旁路waf防火墙4,所述的云计算网络1通过虚拟网卡与虚拟交换机2相连接,所述的虚拟交换机2通过trunk通道与核心物理交换机3连接,所述的核心物理交换机3的一个输出端通过光纤与互联网5连接,另一端通过trunk通道与旁路waf防火墙4的trust接口连接,所述的旁路waf防火墙4的untrust接口过光纤与互联网5连接;
其中,虚拟交换机2可采用可扩展的Hyper-V虚拟交换机,核心物理交换机3可采用H3C S10500系列交换机。
云计算网络1的连接通道经虚拟交换机2集中部署在核心物理交换机3的接口上,旁路waf防火墙4设备旁路到核心物理交换机3上,web的网关IP地址透明穿过旁路waf防火墙4,云计算网络1用户的互联网5web访问的双向流量都能够透传waf防火墙装置。
云计算网络包括多个web虚拟主机6,所述的web虚拟主机6分别与虚拟交换机2连接的通道构成一个VLAN,VLAN包括多个对应web虚拟主机2的独立的vlan id,如vlan100,vlan101,vlan102等等,每个用户租赁的虚拟web划分在一个独立的vlan中,这些独立vlan通道和核心物理交换机3的trunk通道中vlan id是一致的。
虚拟交换机2与核心物理交换机3之间、核心物理交换机3与旁路waf防火墙4之间的trunk通道划分为多个独立的的vlanid,两个trunk通道的vlan id分别与VLAN的vlan id一一对应。
由于核心物理交换机3不能提供应用层的安全防护功能,故将旁路waf防火墙4通过trunk通道与核心物理交换机3连接,并使旁路waf防火墙4上通过封装802.1Q协议的vlan端口和核心物理交换机3、虚拟交换机2以及云计算网络1中的每片虚拟web的vlan id都是一致。
旁路waf防火墙4采用支持透明化和服务质量差异化服务功能的web应用防火墙设备,包括主板、CPU、内存和硬盘存储器,主板可选用普通计算机的主板或服务器主板,CPU可选用双Intel至强2.4G,内存可选用2G ECC/REG,硬盘存储器可选用SCSI硬盘。waf防火墙即web应用防火墙,一种区别于传统网络层防火墙,基于application层面的基于web文件防护的应用层防火墙,专为web应用服务提供应用程序级的安全防护设备;利用专用的应用层web安全设备基于http的API、dynamic profile、SSL安全加密offload、data compression特性对web网站应用提供端到端的数据安全保障,而服务提供商可根据该装置系统为用户提供集中的web应用防火墙防护,提供一种数据中心网络服务商的安全增值业务产品。
通过以上发明及设计,为云计算服务商在开展IaaS(基础架构及服务)服务模式时,解决了web服务器应用层面的数据防护,为服务商提供了waf防火墙增值服务的运营模式,本发明在云计算服务商中拥有较好的市场价值和节约运营成本。
Claims (5)
1.一种应用于云计算网络的waf防火墙配置,与互联网(5)连接,其特征在于,包括云计算网络(1)、虚拟交换机(2)、核心物理交换机(3)和旁路waf防火墙(4),所述的云计算网络(1)通过虚拟网卡与虚拟交换机(2)相连接,所述的虚拟交换机(2)通过trunk通道与核心物理交换机(3)连接,所述的核心物理交换机(3)的一个输出端通过光纤与互联网(5)连接,另一端通过trunk通道与旁路waf防火墙(4)的trust接口连接,所述的旁路waf防火墙(4)的untrust接口过光纤与互联网(5)连接;
云计算网络(1)的连接通道经虚拟交换机(2)集中部署在核心物理交换机(3)的接口上,旁路waf防火墙(4)设备旁路到核心物理交换机(3)上,web的网关IP地址透明穿过旁路waf防火墙(4),云计算网络(1)用户的互联网(5)web访问的双向流量都能够透传waf防火墙装置。
2.根据权利要求1所述的一种应用于云计算网络的waf防火墙配置,其特征在于,所述的云计算网络(1)包括多个web虚拟主机(6),所述的web虚拟主机(6)分别与虚拟交换机(2)连接的通道构成一个VLAN,VLAN包括多个对应web虚拟主机(6)的vlan id,每个用户租赁的虚拟web划分在一个独立的vlan id中。
3.根据权利要求2所述的一种应用于云计算网络的waf防火墙配置,其特征在于,所述的虚拟交换机(2)与核心物理交换机(3)之间、核心物理交换机(3)与旁路waf防火墙(4)之间的trunk通道划分为多个独立的的vlan id,两个trunk通道的vlan id分别与VLAN的vlan id一一对应。
4.根据权利要求1所述的一种应用于云计算网络的waf防火墙配置,其特征在于,所述的旁路waf防火墙(4)的trust接口和untrust接口通过802.1Q协议划分vlan子接口,分成各自隔离的vlan通道。
5.根据权利要求1所述的一种应用于云计算网络的waf防火墙配置,其特征在于,所述的旁路waf防火墙(4)包括主板、CPU、内存和硬盘存储器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410276431.0A CN104113527A (zh) | 2014-06-19 | 2014-06-19 | 一种应用于云计算网络的waf防火墙配置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201410276431.0A CN104113527A (zh) | 2014-06-19 | 2014-06-19 | 一种应用于云计算网络的waf防火墙配置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104113527A true CN104113527A (zh) | 2014-10-22 |
Family
ID=51710160
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201410276431.0A Pending CN104113527A (zh) | 2014-06-19 | 2014-06-19 | 一种应用于云计算网络的waf防火墙配置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN104113527A (zh) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105262668A (zh) * | 2015-10-31 | 2016-01-20 | 四川理工学院 | 一种应用于云计算网络的防火墙配置 |
CN105429987A (zh) * | 2015-11-25 | 2016-03-23 | 西安科技大学 | 一种计算机网络的安全系统 |
CN106161362A (zh) * | 2015-04-03 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种网络应用防护方法与设备 |
CN106209425A (zh) * | 2016-06-28 | 2016-12-07 | 上海携程商务有限公司 | 基于交换机的防火墙自动bypass的方法及系统 |
CN106657035A (zh) * | 2016-12-06 | 2017-05-10 | 北京东土军悦科技有限公司 | 一种网络报文传输方法及装置 |
CN106992911A (zh) * | 2017-06-08 | 2017-07-28 | 上海地面通信息网络股份有限公司 | 数据中心网络接入装置 |
CN107205007A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 一种云环境下Web防火墙透明模式数据流传输方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
CN102857475A (zh) * | 2011-06-29 | 2013-01-02 | 上海地面通信息网络有限公司 | 一种防火墙虚拟化处理系统 |
CN103051707A (zh) * | 2012-12-20 | 2013-04-17 | 浪潮集团有限公司 | 一种基于动态用户行为的云取证方法及系统 |
CN103368866A (zh) * | 2012-03-28 | 2013-10-23 | 上海地面通信息网络有限公司 | 云计算系统中虚拟云主机vlan端口双向带宽限速控制装置 |
-
2014
- 2014-06-19 CN CN201410276431.0A patent/CN104113527A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101257490A (zh) * | 2008-02-03 | 2008-09-03 | 杭州华三通信技术有限公司 | 一种防火墙旁路模式下的报文处理方法和系统 |
CN102857475A (zh) * | 2011-06-29 | 2013-01-02 | 上海地面通信息网络有限公司 | 一种防火墙虚拟化处理系统 |
CN103368866A (zh) * | 2012-03-28 | 2013-10-23 | 上海地面通信息网络有限公司 | 云计算系统中虚拟云主机vlan端口双向带宽限速控制装置 |
CN103051707A (zh) * | 2012-12-20 | 2013-04-17 | 浪潮集团有限公司 | 一种基于动态用户行为的云取证方法及系统 |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106161362A (zh) * | 2015-04-03 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种网络应用防护方法与设备 |
CN105262668A (zh) * | 2015-10-31 | 2016-01-20 | 四川理工学院 | 一种应用于云计算网络的防火墙配置 |
CN105429987A (zh) * | 2015-11-25 | 2016-03-23 | 西安科技大学 | 一种计算机网络的安全系统 |
CN107205007A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 一种云环境下Web防火墙透明模式数据流传输方法 |
CN106209425A (zh) * | 2016-06-28 | 2016-12-07 | 上海携程商务有限公司 | 基于交换机的防火墙自动bypass的方法及系统 |
CN106657035A (zh) * | 2016-12-06 | 2017-05-10 | 北京东土军悦科技有限公司 | 一种网络报文传输方法及装置 |
CN106657035B (zh) * | 2016-12-06 | 2019-12-03 | 北京东土军悦科技有限公司 | 一种网络报文传输方法及装置 |
CN106992911A (zh) * | 2017-06-08 | 2017-07-28 | 上海地面通信息网络股份有限公司 | 数据中心网络接入装置 |
CN106992911B (zh) * | 2017-06-08 | 2022-09-13 | 上海地面通信息网络股份有限公司 | 数据中心网络接入装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104113527A (zh) | 一种应用于云计算网络的waf防火墙配置 | |
US10601906B2 (en) | Method and system for processing load balancing using virtual switch in virtual network environment | |
JP6523463B2 (ja) | 仮想ネットワークをモニタリングするシステム及び方法 | |
US9736163B2 (en) | Scalable virtual appliance cloud (SVAC) and methods usable in an SVAC | |
US10581914B2 (en) | Method and system of mitigating network attacks | |
RU2683486C1 (ru) | Способ и устройство для защиты от сетевых атак | |
US8856786B2 (en) | Apparatus and method for monitoring communication performed by a virtual machine | |
US9311264B2 (en) | Pass-through converged network adaptor (CNA) using existing Ethernet switching device | |
US9462001B2 (en) | Computer network access control | |
US10116622B2 (en) | Secure communication channel using a blade server | |
CN107809365B (zh) | 一种基于OpenStack架构提供VPN服务的实现方法 | |
US9491240B2 (en) | Maintenance of a fabric priority during synchronous copy operations | |
US11563799B2 (en) | Peripheral device enabling virtualized computing service extensions | |
JP5928197B2 (ja) | ストレージシステム管理プログラム及びストレージシステム管理装置 | |
US11520530B2 (en) | Peripheral device for configuring compute instances at client-selected servers | |
CN104735071A (zh) | 一种虚拟机之间的网络访问控制实现方法 | |
CN105262668A (zh) | 一种应用于云计算网络的防火墙配置 | |
KR102088308B1 (ko) | 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법 | |
US9614910B2 (en) | Maintenance of a fabric priority among operations in related fibre channel exchanges | |
US9374308B2 (en) | Openflow switch mode transition processing | |
CN105283864B (zh) | 管理裸机客户 | |
US20150334115A1 (en) | Dynamic provisioning of virtual systems | |
US20150007254A1 (en) | Ip-free end-point management appliance | |
Tulqin o‘g’li et al. | Communication Control Systems, Methodology | |
Xing et al. | A Kind of Embedded Firewall Mechanism for ARM Processors |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141022 |