CN105262668A - 一种应用于云计算网络的防火墙配置 - Google Patents
一种应用于云计算网络的防火墙配置 Download PDFInfo
- Publication number
- CN105262668A CN105262668A CN201510744758.0A CN201510744758A CN105262668A CN 105262668 A CN105262668 A CN 105262668A CN 201510744758 A CN201510744758 A CN 201510744758A CN 105262668 A CN105262668 A CN 105262668A
- Authority
- CN
- China
- Prior art keywords
- cloud computing
- virtual switch
- virtual
- firewall configuration
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种应用于云计算网络的防火墙配置,云计算网络通过虚拟网卡与虚拟交换机相连接,虚拟交换机通过trunk通道与核心物理交换机连接,核心物理交换机的一个输出端通过光纤与互联网连接,另一端通过trunk通道与旁路防火墙的trust接口连接,旁路防火墙的untrust接口过光纤与互联网连接,云计算网络和虚拟交换机内各设置有一个加密模块,虚拟交换机中还设有一个身份验证模块,每进行一次访问后,即进行一次加密模块的密钥更新。本发明保证了云计算网络用户访问互联网的数据安全、可靠、透明地传输,在访问时,通过对访问记录的检索,可以提高访问效率,加密效果好,提高了安全性。
Description
技术领域
本发明属于网络信息安全领域,具体涉及一种应用于云计算网络的防火墙配置。
背景技术
在云计算领域中的基础架构即服务商业模式中,云计算服务商通过云计算虚拟化操作系统把机架式服务器虚拟化成N片虚拟主机提供web网站服务,将这些虚拟云主机租赁给企业客户使用,客户有时需要实现同一物理服务器的不同虚拟设备间的访问和控制,然而,由于各个虚拟设备常常是靠共享一个物理以太网口与互联网相连,而防火墙配置也是基于一个集合端口,当不同虚拟设备间的方位和控制引流到防火墙后,会出现防火墙无法根据物理端口找到相应域的情况,防火墙也无法进行策略控制和深度安全处理,且安全性低。
发明内容
为解决上述问题,本发明提供了一种应用于云计算网络的防火墙配置,既可以合理分配云计算系统的虚拟主机端口、又可以有效进行防控的防火墙,且安全性高。
为实现上述目的,本发明采取的技术方案为:
一种应用于云计算网络的防火墙配置,包括云计算网络、虚拟交换机、核心物理交换机和旁路防火墙,云计算网络通过虚拟网卡与虚拟交换机相连接,所述的虚拟交换机通过trunk通道与核心物理交换机连接,所述的核心物理交换机的一个输出端通过光纤与互联网连接,另一端通过trunk通道与旁路防火墙的trust接口连接,所述的旁路防火墙的untrust接口过光纤与互联网连接,云计算网络和虚拟交换机内各设置有一个加密模块,虚拟交换机中还设有一个身份验证模块,每进行一次访问后,即进行一次加密模块的密钥更新,加密模块加密的步骤包括:
S1、从密钥中提取一个随机数除以密钥的进制数,获得商数以及余数;
S2、将计算获得的商数作为当前待加密数据,并继续执行步骤S1,直至计算获取的商数为零;
S3、使用密钥中的提取运算规则选取出一个特定明文段;
S4、将每次计算获取的余数排列和特定明文段作为加密数据序列。
解密数据的步骤包括:
(1)计算当前加密数据与密钥的进制数的乘积值,并计算乘积值与解密数据序列中对应数据的和值;
(2)将计算获得的和值作为当前加密数据,并继续执行步骤(1),直至解密数据序列中所有的数据均计算和值完成;
(3)使用密钥中的提取运算规则选取出一个特定明文段;
(4)将最终计算获得的和值和特定明文段作为所述加密数据对应的解密数据。
使用者通过客户端模块输入用户名和身份确认信息,通过身份验证模块进行身份验证;若身份验证错误,则拒绝访问;若身份验证正确,则根据用户权限,虚拟交换机与核心物理交换机建立连接,每进行一次访问后,即进行一次密钥更新。
其中,所述的旁路防火墙的trust接口和untrust接口通过802.1Q协议划分VLAN子接口,分成各自隔离的VLAN通道。
其中,访问记录采用数据链表形式存储,当无存储空间时,优先删除旧的访问记录。
其中,在访问前,虚拟交换机首先对储存的访问记录进行检索,根据历史记录确定访问优先级。
其中,访问优先级为高访问量的优先级高于少访问量。
其中,所述的云计算网络包括多个虚拟主机,虚拟主机分别与虚拟交换机连接的通道构成一个VLAN,VLAN包括多个对应web虚拟主机的vlanid,每个客户端租赁的虚拟web划分在一个独立的vlanid。
本发明具有以下有益效果:
保证了云计算网络用户访问互联网的数据安全、可靠、透明地传输,在访问时,通过对访问记录的检索,可以提高访问效率。经试验,可以减少访问时间约45%,密钥每使用一次即进行更新,并且使用明文分割和加入冗余段的加密算法,加密效果好,提高了安全性。
附图说明
图1为本发明实施例一种应用于云计算网络的防火墙配置的结构示意图。
具体实施方式
为了使本发明的目的及优点更加清楚明白,以下结合实施例对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
如图1所示,本发明实施例提供了一种应用于云计算网络的防火墙配置,包括云计算网络、虚拟交换机、核心物理交换机和旁路防火墙,云计算网络通过虚拟网卡与虚拟交换机相连接,所述的虚拟交换机通过trunk通道与核心物理交换机连接,所述的核心物理交换机的一个输出端通过光纤与互联网连接,另一端通过trunk通道与旁路防火墙的trust接口连接,所述的旁路防火墙的untrust接口过光纤与互联网连接,云计算网络和虚拟交换机内各设置有一个加密模块,虚拟交换机中还设有一个身份验证模块,每进行一次访问后,即进行一次加密模块的密钥更新,加密模块加密的步骤包括:
S1、从密钥中提取一个随机数除以密钥的进制数,获得商数以及余数;
S2、将计算获得的商数作为当前待加密数据,并继续执行步骤S1,直至计算获取的商数为零:
S3、使用密钥中的提取运算规则选取出一个特定明文段;
S4、将每次计算获取的余数排列和特定明文段作为加密数据序列。
解密数据的步骤包括:
(1)计算当前加密数据与密钥的进制数的乘积值,并计算乘积值与解密数据序列中对应数据的和值;
(2)将计算获得的和值作为当前加密数据,并继续执行步骤(1),直至解密数据序列中所有的数据均计算和值完成;
(3)使用密钥中的提取运算规则选取出一个特定明文段;
(4)将最终计算获得的和值和特定明文段作为所述加密数据对应的解密数据。
使用者通过客户端模块输入用户名和身份确认信息,通过身份验证模块进行身份验证;若身份验证错误,则拒绝访问;若身份验证正确,则根据用户权限,虚拟交换机与核心物理交换机建立连接,每进行一次访问后,即进行一次密钥更新。
所述的旁路防火墙的trust接口和untrust接口通过802.1Q协议划分VLAN子接口,分成各自隔离的VLAN通道。
访问记录采用数据链表形式存储,当无存储空间时,优先删除旧的访问记录。
在访问前,虚拟交换机首先对储存的访问记录进行检索,根据历史记录确定访问优先级。
访问优先级为高访问量的优先级高于少访问量。
所述的云计算网络包括多个虚拟主机,虚拟主机分别与虚拟交换机连接的通道构成一个VLAN,VLAN包括多个对应web虚拟主机的vlanid,每个客户端租赁的虚拟web划分在一个独立的vlanid。
本发明保证了云计算网络用户访问互联网的数据安全、可靠、透明地传输,在访问时,通过对访问记录的检索,可以提高访问效率。经试验,可以减少访问时间约45%,密钥每使用一次即进行更新,并且使用明文分割和加入冗余段的加密算法,加密效果好,提高了安全性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (6)
1.一种应用于云计算网络的防火墙配置,其特征在于,包括云计算网络、虚拟交换机、核心物理交换机和旁路防火墙,云计算网络通过虚拟网卡与虚拟交换机相连接,所述的虚拟交换机通过trunk通道与核心物理交换机连接,所述的核心物理交换机的一个输出端通过光纤与互联网连接,另一端通过trunk通道与旁路防火墙的trust接口连接,所述的旁路防火墙的untrust接口过光纤与互联网连接,云计算网络和虚拟交换机内各设置有一个加密模块,虚拟交换机中还设有一个身份验证模块,每进行一次访问后,即进行一次加密模块的密钥更新,加密模块加密的步骤包括:
S1、从密钥中提取一个随机数除以密钥的进制数,获得商数以及余数;
S2、将计算获得的商数作为当前待加密数据,并继续执行步骤S1,直至计算获取的商数为零;
S3、使用密钥中的提取运算规则选取出一个特定明文段;
S4、将每次计算获取的余数排列和特定明文段作为加密数据序列。
2.根据权利要求1所述的一种应用于云计算网络的防火墙配置,其特征在于,所述的旁路防火墙的trust接口和untrust接口通过802.1Q协议划分VLAN子接口,分成各自隔离的VLAN通道。
3.根据权利要求1所述的一种应用于云计算网络的防火墙配置,其特征在于,访问记录采用数据链表形式存储,当无存储空间时,优先删除旧的访问记录。
4.根据权利要求1所述的一种应用于云计算网络的防火墙配置,其特征在于,在访问前,虚拟交换机首先对储存的访问记录进行检索,根据历史记录确定访问优先级。
5.根据权利要求4所述的一种应用于云计算网络的防火墙配置,其特征在于,访问优先级为高访问量的优先级高于少访问量。
6.根据权利要求1所述的一种应用于云计算网络的防火墙配置,其特征在于,所述的云计算网络包括多个虚拟主机,虚拟主机分别与虚拟交换机连接的通道构成一个VLAN,VLAN包括多个对应web虚拟主机的vlanid,每个客户端租赁的虚拟web划分在一个独立的vlanid。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510744758.0A CN105262668A (zh) | 2015-10-31 | 2015-10-31 | 一种应用于云计算网络的防火墙配置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510744758.0A CN105262668A (zh) | 2015-10-31 | 2015-10-31 | 一种应用于云计算网络的防火墙配置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105262668A true CN105262668A (zh) | 2016-01-20 |
Family
ID=55102181
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510744758.0A Pending CN105262668A (zh) | 2015-10-31 | 2015-10-31 | 一种应用于云计算网络的防火墙配置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105262668A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108173767A (zh) * | 2017-12-25 | 2018-06-15 | 杭州迪普科技股份有限公司 | 一种基于vlan-if接口复用的报文转发方法及装置 |
| WO2019079960A1 (en) * | 2017-10-24 | 2019-05-02 | Intel Corporation | MATERIAL ASSISTED VIRTUAL SWITCH |
| CN111917689A (zh) * | 2019-05-08 | 2020-11-10 | 创升益世(东莞)智能自控有限公司 | 一种应用于工业互联网的虚拟主机系统 |
| CN112073338A (zh) * | 2019-06-11 | 2020-12-11 | 湖北英瑞德信息技术有限公司 | 一种基于云计算的网络交换机运维系统 |
| US11818008B2 (en) | 2017-09-27 | 2023-11-14 | Intel Corporation | Interworking of legacy appliances in virtualized networks |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471769A (zh) * | 2007-12-28 | 2009-07-01 | 北京大唐高鸿数据网络技术有限公司 | 一种适于VoIP媒体传输的加解密方法 |
| CN102255903A (zh) * | 2011-07-07 | 2011-11-23 | 广州杰赛科技股份有限公司 | 一种云计算虚拟网络与物理网络隔离安全方法 |
| CN102884761A (zh) * | 2010-04-27 | 2013-01-16 | 思科技术公司 | 用于云计算的虚拟交换覆盖 |
| CN103368866A (zh) * | 2012-03-28 | 2013-10-23 | 上海地面通信息网络有限公司 | 云计算系统中虚拟云主机vlan端口双向带宽限速控制装置 |
| CN103368807A (zh) * | 2012-04-05 | 2013-10-23 | 思科技术公司 | 用于在网络环境中迁移应用虚拟机的系统和方法 |
| CN104113527A (zh) * | 2014-06-19 | 2014-10-22 | 上海地面通信息网络有限公司 | 一种应用于云计算网络的waf防火墙配置 |
| US20140366155A1 (en) * | 2013-06-11 | 2014-12-11 | Cisco Technology, Inc. | Method and system of providing storage services in multiple public clouds |
-
2015
- 2015-10-31 CN CN201510744758.0A patent/CN105262668A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101471769A (zh) * | 2007-12-28 | 2009-07-01 | 北京大唐高鸿数据网络技术有限公司 | 一种适于VoIP媒体传输的加解密方法 |
| CN102884761A (zh) * | 2010-04-27 | 2013-01-16 | 思科技术公司 | 用于云计算的虚拟交换覆盖 |
| CN102255903A (zh) * | 2011-07-07 | 2011-11-23 | 广州杰赛科技股份有限公司 | 一种云计算虚拟网络与物理网络隔离安全方法 |
| CN103368866A (zh) * | 2012-03-28 | 2013-10-23 | 上海地面通信息网络有限公司 | 云计算系统中虚拟云主机vlan端口双向带宽限速控制装置 |
| CN103368807A (zh) * | 2012-04-05 | 2013-10-23 | 思科技术公司 | 用于在网络环境中迁移应用虚拟机的系统和方法 |
| US20140366155A1 (en) * | 2013-06-11 | 2014-12-11 | Cisco Technology, Inc. | Method and system of providing storage services in multiple public clouds |
| CN104113527A (zh) * | 2014-06-19 | 2014-10-22 | 上海地面通信息网络有限公司 | 一种应用于云计算网络的waf防火墙配置 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11818008B2 (en) | 2017-09-27 | 2023-11-14 | Intel Corporation | Interworking of legacy appliances in virtualized networks |
| WO2019079960A1 (en) * | 2017-10-24 | 2019-05-02 | Intel Corporation | MATERIAL ASSISTED VIRTUAL SWITCH |
| US11750533B2 (en) | 2017-10-24 | 2023-09-05 | Intel Corporation | Hardware assisted virtual switch |
| CN108173767A (zh) * | 2017-12-25 | 2018-06-15 | 杭州迪普科技股份有限公司 | 一种基于vlan-if接口复用的报文转发方法及装置 |
| CN108173767B (zh) * | 2017-12-25 | 2021-02-26 | 杭州迪普科技股份有限公司 | 一种基于vlan-if接口复用的报文转发方法及装置 |
| CN111917689A (zh) * | 2019-05-08 | 2020-11-10 | 创升益世(东莞)智能自控有限公司 | 一种应用于工业互联网的虚拟主机系统 |
| CN111917689B (zh) * | 2019-05-08 | 2023-02-03 | 创升益世(东莞)智能自控有限公司 | 一种应用于工业互联网的虚拟主机系统 |
| CN112073338A (zh) * | 2019-06-11 | 2020-12-11 | 湖北英瑞德信息技术有限公司 | 一种基于云计算的网络交换机运维系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9430659B2 (en) | Locating cryptographic keys stored in a cache | |
| US9626497B2 (en) | Sharing USB key by multiple virtual machines located at different hosts | |
| US10122713B2 (en) | Method and device for the secure authentication and execution of programs | |
| CN105262668A (zh) | 一种应用于云计算网络的防火墙配置 | |
| US9020149B1 (en) | Protected storage for cryptographic materials | |
| CN107948156B (zh) | 一种基于身份的封闭式密钥管理方法及系统 | |
| EP3169035B1 (en) | Secure removable storage for aircraft systems | |
| CN105100076A (zh) | 一种基于USB Key的云数据安全系统 | |
| WO2020192285A1 (zh) | 一种密钥管理方法、安全芯片、业务服务器及信息系统 | |
| CN106130716A (zh) | 基于认证信息的密钥交换系统及方法 | |
| CN103248476B (zh) | 数据加密密钥的管理方法、系统及终端 | |
| CN102984273B (zh) | 虚拟磁盘加密方法、解密方法、装置及云服务器 | |
| CN103414682A (zh) | 一种数据的云端存储方法及系统 | |
| JP2011048661A (ja) | 仮想サーバ暗号化システム | |
| CN103580855A (zh) | 一种基于共享技术的UsbKey秘钥管理方案 | |
| CN106936579A (zh) | 基于可信第三方代理的云存储数据存储及读取方法 | |
| CN115225269A (zh) | 分布式密码卡的密钥管理方法、装置和系统 | |
| CN104113527A (zh) | 一种应用于云计算网络的waf防火墙配置 | |
| CN111343207A (zh) | 多节点联合加密的数据传输方法、设备和存储介质 | |
| CN106790145B (zh) | 一种云端数据托管系统及云端数据托管方法 | |
| CN112989320B (zh) | 一种用于密码设备的用户状态管理系统及方法 | |
| CN104735020A (zh) | 一种获取敏感数据的方法、设备及系统 | |
| CN105516210A (zh) | 终端安全接入认证的系统及方法 | |
| CN106257858A (zh) | 一种远端存储设备的数据加密方法、装置及系统 | |
| CN105472030A (zh) | 一种基于iSCSI的远程镜像方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160120 |