CN105530259A - 报文过滤方法及设备 - Google Patents
报文过滤方法及设备 Download PDFInfo
- Publication number
- CN105530259A CN105530259A CN201510971495.7A CN201510971495A CN105530259A CN 105530259 A CN105530259 A CN 105530259A CN 201510971495 A CN201510971495 A CN 201510971495A CN 105530259 A CN105530259 A CN 105530259A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- tenant
- firewall
- message
- virtual switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 207
- 238000000034 method Methods 0.000 title claims abstract description 95
- 230000005012 migration Effects 0.000 claims description 32
- 238000013508 migration Methods 0.000 claims description 32
- 230000005055 memory storage Effects 0.000 claims description 4
- 238000004891 communication Methods 0.000 abstract description 35
- 230000005540 biological transmission Effects 0.000 description 17
- 238000013461 design Methods 0.000 description 15
- 230000008569 process Effects 0.000 description 12
- 239000012141 concentrate Substances 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 3
- 239000012792 core layer Substances 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000010410 layer Substances 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种报文过滤方法及设备,属于通信技术领域。该方法包括:接收数据中心管理模块发送的租户配置信息;根据该租户配置信息为第一租户配置流表规则,该第一租户为租户配置信息中的租用指示信息指示租用了防火墙服务的租户;根据该租户配置信息,确定第一虚拟交换机;将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文先转发至防火墙虚拟机,由防火墙虚拟机替代集中防火墙完成安全过滤,减少或替代了通过集中防火墙的业务流量;并且,数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种报文过滤方法及设备。
背景技术
电信网云化是指把传统的基于物理装置的电信节点及应用以虚拟机(英文:VirtualMachine;简称:VM)的方式部署到数据中心的服务器主机上,这种部署方式在业界称为网络功能虚拟化(英文:NetworkFunctionsVirtualization;简称:NFV)。为了保证数据中心内部网络的安全,数据中心的内部网络和外部网络之间通常设置有防火墙。该防火墙可以为物理防火墙,即一台物理装置,也可以为软件防火墙,即在传统物理防火墙中部署多个虚拟机,在每个虚拟机中安装防火墙软件。在云化的数据中心中,租户可以按需租用业务虚拟机、网络服务以及防火墙服务,数据中心的管理模块中可以存储租户的配置信息,并将该租户信息发送至软件定义网络(英文:SoftwareDefinedNetwork;简称:SDN)控制模块,由SDN控制模块根据每个租户的配置信息,创建并维护流表规则,该流表规则中记录了对于每个租户的报文的转发规则。其中,租户的配置信息中可以包括租户的标识与其所租用的业务虚拟机的标识(例如,虚拟局域网标识)的对应关系,以及租户所租用的网络服务和防火墙服务的信息。
相关技术中,SDN控制模块可以将流表规则下发至其管理的各个服务器主机中的虚拟交换机,当虚拟交换机接收到源业务虚拟机发送的报文时,可以根据SDN控制模块下发的流表规则,将报文转发至目的业务虚拟机。若租用该源业务虚拟机的租户同时租用了防火墙服务,则虚拟交换机可以根据流表规则将该源业务虚拟机发送的报文转发至防火墙,由防火墙对该报文进行分析过滤后,再转发至目的业务虚拟机。
数据中心的内部网络中的多个业务虚拟机之间或者该多个业务虚拟机与外部网络之间进行通讯时,业务流都需要经过防火墙进行过滤转发,当数据中心内部的网络业务负荷增大,需要部署的业务虚拟机数量增多时,经过防火墙的业务流也会显著增加,但由于防火墙在同一时间段内过滤转发的业务流的流量是有限的,因此数据中心内部网络的扩容会受到防火墙流量转发能力的限制,数据中心业务扩展时的灵活性较低。
发明内容
为了解决相关技术中数据中心业务扩展时灵活性较低的问题,本申请提供了一种报文过滤方法及设备。所述技术方案如下:
第一方面,提供一种报文过滤方法,该报文过滤方法应用于数据中心中的软件定义网络SDN控制模块;该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,该方法包括:
接收数据中心管理模块发送的租户配置信息,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务;
根据该租户配置信息为第一租户配置流表规则,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;
将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤。
其中,与该第一业务虚拟机交互的报文可以包括:该第一业务虚拟机向数据中心内其他业务虚拟机发送的报文、数据中心内其他业务虚拟机向该第一业务虚拟机发送的报文,以及该第一业务虚拟机访问数据中心外部网络时所发送的报文。
本申请提供的报文过滤方法,SDN控制模块可以接收数据中心管理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则;再根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;最后,SDN控制模块可以将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤,因此,数据中心内部业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
在一个可能的设计中,该方法还包括:
SDN控制模块在该根据该租户配置信息,确定第一虚拟交换机之后,还可以向该第一虚拟交换机管理的防火墙虚拟机发送该流表规则,以便该防火墙虚拟机根据该流表规则将通过安全过滤后的该报文发送至该第一虚拟交换机。
在一个可能的设计中,SDN控制模块在该将该第一租户的流表规则发送至该第一虚拟交换机之后,还可以接收虚拟机管理模块发送的虚拟机迁移指令,该虚拟机迁移指令中包括源虚拟交换机标识和目的虚拟交换机标识;
之后,SDN控制模块能够获取该源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的该待迁移虚拟机的握手信息,并将该待迁移虚拟机的握手信息发送至该目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。
其中,该握手信息用于指示相互通信的两个业务虚拟机之间建立通信连接的进度。因此,当待迁移虚拟机迁移至目的虚拟交换机所在的主机后,该待迁移虚拟机中正在进行的业务还可以继续执行,保证了业务虚拟机迁移时,业务虚拟机中业务的连续性。
在一个可能的设计中,SDN控制模块在该接收虚拟机迁移指令之前,还可以接收每个该虚拟交换机管理的防火墙虚拟机上报的握手信息,并存储该握手信息;
其中,SDN控制模块获取源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的该待迁移虚拟机的握手信息的过程可以包括:
在存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息;
在该第一防火墙虚拟机上报的握手信息中确定该待迁移虚拟机的握手信息。
在一个可能的设计中,SDN控制模块在该将该第一租户的流表规则发送至该第一虚拟交换机之前,还可以向每个该虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略,以便防火墙虚拟机可以根据该预设的防火墙安全策略对报文进行安全过滤。
第二方面,提供一种报文过滤方法,该报文过滤方法应用于第一虚拟交换机管理的防火墙虚拟机;该第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的,该第一虚拟交换机还管理有至少一个业务虚拟机,该方法包括:
接收该SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
接收该第一虚拟交换机发送的报文,该报文是指与该第一业务虚拟机交互的报文;
根据预设的防火墙安全策略,对该报文进行安全过滤;
根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。
本申请提供的报文过滤方法,防火墙虚拟机接收到SDN控制模块发送的流表规则后,可以根据该流表规则将安全过滤后的报文转发至第一虚拟交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
在一个可能的设计中,防火墙虚拟机在该接收该第一虚拟交换机发送的报文之前,还可以接收该SDN控制模块发送的预设的防火墙安全策略。
防火墙虚拟机在该接收SDN控制模块发送的流表规则之后,还可以周期性地向该SDN控制模块上报该防火墙虚拟机中存储的该第一虚拟交换机管理的业务虚拟机的握手信息。
第三方面,提供一种报文过滤方法,该报文过滤方法应用于数据中心中的软件定义网络SDN控制模块管理的第一虚拟交换机;该第一虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,该方法包括:
接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机标识所指示的虚拟机。
本申请提供的报文过滤方法,第一虚拟交换机接收到SDN控制模块发送的流表规则后,可以根据该流表规则将与该第一业务虚拟机交互的报文先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
在一个可能的设计中,第一虚拟交换机根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机的过程包括:
判断该报文中的目的端口标识所指示的目的端口是否为该数据中心中的业务虚拟机的端口;
当该目的端口为该数据中心中的业务虚拟机的端口时,第一虚拟交换机根据该流表规则,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
当该目的端口不为该数据中心中的业务虚拟机的端口时,第一虚拟交换机可以根据该流表规则,将该报文转发至数据中心内部网络与外部网络之间部署的集中防火墙中,因此只有业务虚拟机访问外部网络时,业务虚拟机的报文才需要经过集中防火墙进行安全过滤,降低了集中防火墙的流量压力。
在一个可能的设计中,第一虚拟交换机在该根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机之后,该方法还包括:
接收该防火墙虚拟机发送的通过安全过滤后的该报文;
根据该流表规则,对通过安全过滤后的该报文进行转发。
若该报文为第一业务虚拟机向数据中心内其他业务虚拟机所发送的报文,则第一虚拟交换机可以根据该流表规则,将通过安全过滤后的报文转发至该其他业务虚拟机;若该报文为数据中心内其他业务虚拟机向该第一业务虚拟机所发送的报文,则第一虚拟交换机可以根据该流表规则,将通过安全过滤后的报文转发至该第一业务虚拟机;若该报文为第一业务虚拟机访问数据中心外部网络时所发送的报文,则第一虚拟交换机可以根据该流表规则,将通过安全过滤后的报文转发至外部网络。
第四方面,提供一种报文过滤设备,该设备位于数据中心中的软件定义网络SDN控制模块中;该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,该设备包括:
第一接收单元,用于接收数据中心管理模块发送的租户配置信息,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务;
配置单元,用于根据该租户配置信息为第一租户配置流表规则,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
确定单元,用于根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;
第一发送单元,用于将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤。
在一个可能的设计中,该设备还包括:
第二发送单元,用于向该第一虚拟交换机管理的防火墙虚拟机发送该流表规则,以便该防火墙虚拟机根据该流表规则将通过安全过滤后的该报文发送至该第一虚拟交换机。
在一个可能的设计中,该设备还包括:
第二接收单元,用于接收虚拟机迁移指令,该虚拟机迁移指令中包括源虚拟交换机标识和目的虚拟交换机标识;
获取单元,用于获取该源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的该待迁移虚拟机的握手信息;
第三发送单元,用于将该待迁移虚拟机的握手信息发送至该目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。
在一个可能的设计中,该设备还包括:
第三接收单元,用于接收每个该虚拟交换机管理的防火墙虚拟机上报的握手信息;
存储单元,用于存储该握手信息;
该获取单元,还用于:
在存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息;
在该第一防火墙虚拟机上报的握手信息中确定该待迁移虚拟机的握手信息。
在一个可能的设计中,该设备还包括:
第四发送单元,用于向每个该虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略。
第五方面,提供一种报文过滤设备,该设备位于第一虚拟交换机管理的防火墙虚拟机中;该第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的,该第一虚拟交换机还管理有至少一个业务虚拟机,该设备包括:
第一接收单元,用于接收该SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
第二接收单元,用于接收该第一虚拟交换机发送的报文,该报文是指与该第一业务虚拟机交互的报文;
安全过滤单元,用于根据预设的防火墙安全策略,对该报文进行安全过滤;
发送单元,用于根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。
在一个可能的设计中,该设备还包括:
第三接收单元,用于接收该SDN控制模块发送的该预设的防火墙安全策略。
在一个可能的设计中,该设备还包括:
上报单元,用于周期性地向该SDN控制模块上报该防火墙虚拟机中存储的该第一虚拟交换机管理的业务虚拟机的握手信息。
第六方面,提供一种报文过滤设备,该设备位于数据中心中的软件定义网络SDN控制模块管理的第一虚拟交换机;该第一虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,该设备包括:
第一接收单元,用于接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
第一转发单元,用于根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机标识所指示的虚拟机。
在一个可能的设计中,该第一转发单元,还用于:
根据该流表规则,判断该报文中的目的端口标识所指示的目的端口是否为该数据中心内业务虚拟机的端口;
当该报文中的目的端口标识所指示的目的端口为该数据中心内业务虚拟机的端口时,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
在一个可能的设计中,该设备还包括:
第二接收单元,用于接收该防火墙虚拟机发送的通过安全过滤后的该报文;
第二转发单元转发单元,用于根据该流表规则,对通过安全过滤后的该报文进行转发。
第七方面,提供一种计算机设备,该计算机设备包括处理器和存储器,该处理器与该存储器通过总线连接;
该存储器用于存储计算机执行指令,当该计算机设备运行时,该处理器执行该存储器存储的该计算机执行指令来实现SDN控制模块,并使得该SDN控制模块执行第一方面所述的报文过滤方法。
第八方面,提供一种计算机设备,该计算机设备包括处理器和存储器,该处理器与该存储器通过总线连接;
该存储器用于存储计算机执行指令,当该计算机设备运行时,该处理器执行该存储器存储的该计算机执行指令来实现防火墙虚拟机,并使得该防火墙虚拟机执行第二方面任一所述的报文过滤方法。
第九方面,提供一种计算机设备,该计算机设备包括处理器和存储器,该处理器与该存储器通过总线连接;
该存储器用于存储计算机执行指令,当该计算机设备运行时,该处理器执行该存储器存储的该计算机执行指令来实现第一虚拟交换机,并使得该第一虚拟交换机执行第三方面任一所述的报文过滤方法。
第十方面,提供一种报文过滤系统,该系统包括:软件定义网络SDN控制模块、该SDN控制模块管理的第一虚拟交换机以及该第一虚拟交换机管理的防火墙虚拟机;
该SDN控制模块包括第四方面任一所述的报文过滤设备;
该防火墙虚拟机包括第五方面任一所述的报文过滤设备;
该第一虚拟交换机包括第六方面任一所述的报文过滤设备。
第十一方面,提供一种报文过滤系统,该系统包括:软件定义网络SDN控制模块、该SDN控制模块管理的第一虚拟交换机以及该第一虚拟交换机管理的防火墙虚拟机;
该SDN控制模块为第七方面所述的计算机设备;
该防火墙虚拟机为第八方面所述的计算机设备;
该第一虚拟交换机为第九方面所述的计算机设备。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1-1是相关技术中数据中心内的业务虚拟机的报文转发路径示意图;
图1-2是本发明实施例提供的一种数据中心的内部网络的系统架构图;
图2是本发明实施例提供的一种报文过滤方法流程图;
图3是本发明实施例提供的另一种报文过滤方法流程图;
图4是本发明实施例提供的又一种报文过滤方法流程图;
图5-1是本发明实施例提供的再一种报文过滤方法流程图;
图5-2是本发明实施例示出的一种业务虚拟机报文转发路径示意图;
图6-1是本发明实施例提供的一种报文过滤设备的结构示意图;
图6-2是本发明实施例提供的另一种报文过滤设备的结构示意图;
图7-1是本发明实施例提供的又一种报文过滤设备的结构示意图;
图7-2是本发明实施例提供的再一种报文过滤设备的结构示意图;
图8-1是本发明实施例提供的再一种报文过滤设备的结构示意图;
图8-2是本发明实施例提供的再一种报文过滤设备的结构示意图;
图9是本发明实施例提供的一种计算机设备的结构示意图;
图10是本发明实施例提供的另一种计算机设备的结构示意图;
图11是本发明实施例提供的又一种计算机设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
图1-1是相关技术中数据中心内的业务虚拟机的报文转发路径示意图,如图1-1所示,该数据中心的内部网络中包括至少一个虚拟交换机10,每个虚拟交换机管理有至少一个业务虚拟机11,数据中心的内部网络和外部网络之间部署有至少一个集中防火墙13,该集中防火墙13可以为物理防火墙,即一台物理设备,也可以为软件防火墙,即在传统物理防火墙中部署多个虚拟机,在每个虚拟机中安装防火墙软件。其中,每个虚拟交换机中存储有该虚拟交换机所管理的各个业务虚拟机的流表规则。当该数据中心内的业务虚拟机VM1需要访问外部网络时,其报文的转发路径可以如图1-1中的双箭头实线15所示,即虚拟交换机接收到VM1的报文后,可以根据存储的该VM1的流表规则,将报文通过交换机12转发至集中防火墙13,由集中防火墙13对该报文进行过滤处理后,再转发至外部网络;当数据中心内的业务虚拟机VM3需要访问数据中心内的业务虚拟机VM4时,其报文的转发路径可以如图中双箭头实线14所示,即虚拟交换机接收到VM3发送的报文后,可以根据存储的该VM3的流表规则,将报文通过交换机12转发至集中防火墙13,由集中防火墙13对该报文进行过滤处理后,再转发至VM4。其中,该交换机12可以为数据中心内的核心层交换机或者汇聚层交换机等。因此,该数据中心的内部网络中的业务虚拟机的互访,或者内部网络中的业务虚拟机访问外部网络时,业务流都需要经过集中防火墙进行过滤转发。由于集中防火墙的流量转发能力是有限的,因此数据中心内部网络的扩容会受到该集中防火墙流量转发能力的限制,数据中心业务扩展时的灵活性较低。
图1-2是本发明实施例提供的一种数据中心的内部网络的系统架构图,如图1所示,该数据中心内部网络包括数据中心管理模块01、软件定义网络(英文:SoftwareDefinedNetwork;简称:SDN)控制模块02以及该SDN控制模块02管理的至少一个虚拟交换机03,其中每个虚拟交换机管理有防火墙虚拟机031以及至少一个业务虚拟机032。在本发明实施例中,在部署数据中心的内部网络时,可以在每个虚拟交换机中预留一个防火墙虚拟机端口,并在每个虚拟交换机所在的主机中部署一台防火墙虚拟机,该防火墙虚拟机中安装有防火墙软件。虚拟交换机可以通过预留的防火墙虚拟机端口与防火墙虚拟机进行通信。进一步的,SDN控制模块还可以为每个虚拟交换机管理的防火墙虚拟机分配管理面互联网协议(英文:InternetProtocol;简称:IP)地址,以便管理该每个防火墙虚拟机,例如,向该防火墙虚拟机发送流表规则和防火墙安全策略等。
在本发明实施例中,由于数据中心中每个虚拟交换机所在的主机中均部署有一台防火墙虚拟机,该防火墙虚拟机可以对业务虚拟机的业务流进行过滤转发,因此该数据中心的内部网络和外部网络之间可以不再部署集中防火墙,或者可以减少部署的集中防火墙的个数。数据中心内部网络的扩容不再受到该集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图2是本发明实施例提供的一种报文过滤方法流程图,该方法可以应用于图1-2所示的SDN控制模块中,该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,如图2所示,该方法包括:
步骤201、接收数据中心管理模块发送的租户配置信息,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务。
步骤202、根据该租户配置信息为第一租户配置流表规则,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
步骤203、根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机。
步骤204、将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤。
其中,与该第一业务虚拟机交互的报文可以包括:该第一业务虚拟机向数据中心内其他业务虚拟机发送的报文、数据中心内其他业务虚拟机向该第一业务虚拟机发送的报文以及该第一业务虚拟机访问数据中心外部网络时所发送的报文。
综上所述,本发明实施例提供的报文过滤方法,SDN控制模块可以接收数据中心管理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则,该第一租户为租用指示信息指示租用了防火墙服务的租户标识所指示的租户,SDN控制模块可以将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤。因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图3是本发明实施例提供的另一种报文过滤方法流程图,该方法可以应用于第一虚拟交换机管理的防火墙虚拟机,该第一虚拟交换机是由数据中心中的SDN控制模块管理的,该第一虚拟交换机还管理有至少一个业务虚拟机,该方法包括:
步骤301、接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的。
该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
步骤302、接收第一虚拟交换机发送的报文,该报文是指与第一业务虚拟机交互的报文。
步骤303、根据预设的防火墙安全策略,对该报文进行安全过滤。
步骤304、根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。
综上所述,本发明实施例提供的报文过滤方法,防火墙虚拟机接收到SDN控制模块发送的流表规则后,可以根据该流表规则将安全过滤后的报文转发至第一虚拟交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图4是本发明实施例提供的又一种报文过滤方法流程图,该方法可以应用于SDN控制模块管理的第一虚拟交换机,该第一虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,该方法包括:
步骤401、接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的。
该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
步骤402、根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤。
该第一业务虚拟机为该第一租户的标识对应的虚拟机标识所指示的虚拟机。
综上所述,本发明实施例提供的报文过滤方法,第一虚拟交换机接收到SDN控制模块发送的流表规则后,可以根据该流表规则将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图5-1是本发明实施例提供的再一种报文过滤方法流程图,该方法可以应用于图1-2所示的数据中心的内部网络中,如图5-1所示,该方法包括:
步骤501、SDN控制模块接收数据中心管理模块发送的租户配置信息。
该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务。其中,租户标识可以为该租户在数据中心管理模块中注册的账号,每个租户标识对应的虚拟机标识可以为该租户所租用的虚拟机的编号或者该虚拟机的虚拟局域网标识(VirtualLocalAreaNetworkidentification;简称:VLANID)等。防火墙服务可以包括访问控制列表(英文:AccessControlList;简称:ACL)服务、应用层的包过滤(英文:ApplicationSpecificPacketFilter;简称:ASPF)服务和网络地址转换(英文:NetworkAddressTranslation;简称:NAT)服务等。每个租户标识对应的租用指示信息中,除了用于指示租户是否租用防火墙服务之外,还可以用于指示租户具体租用的防火墙服务的内容。示例的,SDN控制模块接收到的租户配置信息可以如表1所示,其中租户标识为:1的租户所租用的业务虚拟机的虚拟机标识为1001,该租户租用的防火墙服务包括ACL、ASPF和NAT服务,因此该租户标识对应的租用指示信息可以为:是,ACL服务,ASPF服务,NAT服务。
表1
步骤502、SDN控制模块根据该租户配置信息为第一租户配置流表规则。
该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。在本发明实施例中,由于SDN控制模块管理的每个虚拟交换机中都管理有一个防火墙虚拟机,SDN控制模块为第一租户配置流表规则时,可以将该第一租户的业务流定向至第一虚拟交换机中预留的防火墙虚拟机端口,该第一虚拟交换机为管理有该第一租户所租用的业务虚拟机的虚拟交换机。若该SDN控制模块中已经存储有该第一租户的流表规则,则该SDN模块可以对该第一租户的流表规则执行重定向动作,将该第一租户的业务流从集中防火墙端口重定向至第一虚拟交换机中预留的防火墙虚拟机端口。
步骤503、SDN控制模块根据该租户配置信息,确定第一虚拟交换机。
该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机。在本发明实施例中,SDN控制模块中还可以存储有虚拟交换机的标识与其所管理的虚拟机标识的对应关系,因此,当SDN控制模块根据租户配置信息中租户标识与虚拟机标识的对应关系,确定第一租户的标识对应的虚拟机标识后,还可以根据虚拟交换机的标识与其所管理的虚拟机标识的对应关系,进一步确定管理有该第一业务虚拟机的第一虚拟交换机。
步骤504、SDN控制模块将该第一租户的流表规则发送至该第一虚拟交换机。
示例的,SDN控制模块可以将第一租户:租户1的流表规则发送至该第一虚拟交换机。第一虚拟交换机接收到第一租户的流表规则后,可以根据该第一租户的流表规则,将该第一业务虚拟机所发送的报文转发至该第一虚拟交换机管理的防火墙虚拟机,提高了数据中心业务扩展时的灵活性。
需要说明的是,由于SDN控制模块确定的第一租户的个数可以为多个,当SDN模块确定该每个第一租户所对应的第一虚拟交换机后,还可以将所有第一租户的流表规则分别发送至每个第一虚拟交换机,本发明实施例对此不做限定。
步骤505、SDN控制模块向每个虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略。
在本发明实施例中,SDN控制模块在每个虚拟交换机所在的主机内创建防火墙虚拟机时,可以为该每个防火墙虚拟机分配管理面IP地址,并可以根据该管理面IP地址向每个防火墙虚拟机发送预设的防火墙安全策略。该预设的防火墙安全策略可以包括ACL、ASPF和NAT策略等。
步骤506、SDN控制模块向该第一虚拟交换机管理的防火墙虚拟机发送流表规则。
在本发明实施例中,SDN控制模块在为第一租户配置流表规则后,除了需要将该流表规则发送至第一虚拟交换机,还需要向该第一虚拟交换机管理的防火墙虚拟机发送该流表规则,以便该防火墙虚拟机可以根据接收到的流表规则,将处理后的报文再转发至第一虚拟交换机。
步骤507、第一虚拟交换机根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机。
该第一业务虚拟机即租用防火墙服务的第一租户所租用的业务虚拟机。当第一虚拟交换机接收到该第一业务虚拟机发送的报文后,可以根据SDN管理模块发送的该第一租户的流表规则,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机可以根据预设的防火墙安全策略对该报文进行安全过滤。
其中,与该第一业务虚拟机交互的报文可以包括:该第一业务虚拟机向数据中心内其他业务虚拟机发送的报文、数据中心内其他业务虚拟机向该第一业务虚拟机发送的报文以及该第一业务虚拟机访问数据中心外部网络时所发送的报文等,本发明实施例对此不做限定。
需要说明的是,若该数据中心的内部网络和外部网络之间没有部署集中防火墙,则第一虚拟交换机接收到与该第一业务虚拟机交互的报文后,可以直接将该报文发送至该第一虚拟交换机管理的防火墙虚拟机;若该数据中心的内部网络和外部网络之间部署有集中防火墙,则该第一虚拟交换机接收到与该第一业务虚拟机交互的报文后,可以判断该报文中的目的端口标识所指示的目的端口是否为数据中心中的业务虚拟机的端口,当该目的端口为该数据中心中的业务虚拟机的端口时,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机,当该目的端口不为该数据中心中的业务虚拟机的端口时,即当该第一业务虚拟机访问外部网络时,第一虚拟交换机可以将该报文转发至该数据中心的内部网络和外部网络之间部署的集中防火墙,该集中防火墙可以为物理防火墙或者软件防火墙。因此,数据中心内部的业务虚拟机互访时的业务流可以由发送端业务虚拟机所在主机内的防火墙虚拟机进行过滤转发,只有当数据中心内部的业务虚拟机访问外部网络时,该业务虚拟机的业务流才需经过集中防火墙进行过滤转发,因此极大降低了经过集中防火墙的业务流量。
图5-2是本发明实施例示出的一种业务虚拟机报文转发路径示意图,如图5-2所示,假设该数据中心内部网络和外部网络之间部署有集中防火墙04,第一租户:租户1所租用的业务虚拟机为VM1,若该业务虚拟机VM1需要与第一虚拟交换机03管理的VM2进行通讯,则VM1向第一虚拟交换机发送的报文中的目的端口即为该VM2的端口,第一虚拟交换机接收到该报文后,可以判断出该目的端口为数据中心内部的业务虚拟机的端口,因此可以将该报文转发至防火墙虚拟机,该报文的转发路径可以如图5-2中的双箭头实线50所示。若该业务虚拟机VM1需要访问外部网络,则VM1向第一虚拟交换机发送的报文中的目的端口即为外部网络中的目的端口,第一虚拟交换机接收到该报文后,可以判断出该目的端口不是数据中心内部的业务虚拟机的端口,因此可以将该报文通过交换机05转发至集中防火墙04,该报文的转发路径可以如图5-2中的双箭头实线51所示,其中,该交换机04可以为数据中心内的核心层交换机或者汇聚层交换机等。
步骤508、防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤。
防火墙虚拟机接收到第一虚拟交换机发送的报文后,可以根据预设的防火墙安全策略,对该报文进行安全过滤,若该报文合法,则允许该报文通过防火墙虚拟机,若该报文不合法,则将该报文丢弃。
需要说明的是,在实际应用中,防火墙虚拟机中还可以存储有租户所租用的防火墙服务的内容,当防火墙虚拟机接收到报文后,还可以根据该第一租户所租用的防火墙服务的内容,对该报文进行过滤处理。示例的,假设该报文为虚拟机标识为1001的业务虚拟机VM1发送的,则由于租用该虚拟机的租户所租用的防火墙服务的内容包括:ACL服务,ASPF服务,NAT服务,因此,防火墙虚拟机可以根据预设的防火墙安全策略中的ACL、ASPF和NAT策略对该报文进行过滤处理。
步骤509、防火墙虚拟机根据该流表规则,将通过安全过滤后的报文转发至该第一虚拟交换机。
当防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤,确定该报文合法,并允许该报文通过该防火墙虚拟机后,可以根据接收到的流表规则,将处理后的该报文转发至该第一虚拟交换机,以便第一虚拟交换机根据该流表规则对通过安全过滤后的报文进行转发。示例的,如图5-2中的转发路径50所示,防火墙虚拟机可以将该业务虚拟机VM1发送的报文转发至第一虚拟交换机。
步骤510、第一虚拟交换机根据该流表规则,对通过安全过滤后的报文进行转发。
第一虚拟交换机接收到防火墙发送的处理后的报文后,可以确定该报文合法,并可以根据该流表规则,对通过安全过滤后的报文进行转发。
若该报文为第一业务虚拟机向数据中心内其他业务虚拟机所发送的报文,则第一虚拟交换机可以根据该流表规则,将通过安全过滤后的报文转发至该其他业务虚拟机;若该报文为数据中心内其他业务虚拟机向该第一业务虚拟机所发送的报文,则第一虚拟交换机可以根据该流表规则,将通过安全过滤后的报文转发至该第一业务虚拟机。
可选地,若该报文为第一业务虚拟机访问数据中心外部网络时所发送的报文,则第一虚拟交换机可以根据该流表规则,将通过安全过滤后的报文转发至外部网络。可替换地,对于该报文为第一业务虚拟机访问数据中心外部网络时所发送的报文,也可以不经过防火墙虚拟机进行安全过滤,由集中防火墙对该报文进行安全过滤,将通过安全过滤后的报文转发至外部网络。
第一虚拟交换机在对通过安全过滤后的报文进行转发时,可以根据该报文中的目的端口标识,将该通过安全过滤后的报文发送至该目的端口标识所指示的目的端口。其中,该目的端口标识可以为目的端口的IP地址或者媒体访问控制(MediaAccessControl;简称:MAC)地址等。示例的,假设该通过安全过滤后的报文中的目的端口标识所指示的目的端口为图5-2中VM2的端口,则如图5-2中的转发路径50所示,第一虚拟交换机可以将该报文发送至VM2。由于数据中心内部的各个虚拟交换机所在的主机中均部署有防火墙虚拟机,因此,该数据中心的内部网络和外部网络之间可以不用部署集中防火墙,或者可以减少部署的集中防火墙的数量,进而避免了集中防火墙流量转发能力对数据中心业务容量扩展的限制,提高了数据中心的内部网络在扩展业务时的灵活性。
步骤511、防火墙虚拟机向该SDN控制模块上报该防火墙虚拟机中存储的该第一虚拟交换机管理的业务虚拟机的握手信息。
在本发明实施例中,由于数据中心内部业务虚拟机之间通讯时的业务流需要通过防火墙虚拟机,因此该防火墙虚拟机中可以存储有业务虚拟机的握手信息,该握手信息用于指示相互通信的两个业务虚拟机之间建立通信连接的进度。数据中心还设置有用于管理各个业务虚拟机的虚拟机管理模块,该虚拟机管理模块可以根据数据中心中各个虚拟交换机的工作状态,将该虚拟交换机管理的业务虚拟机迁移至其他虚拟交换机所在的主机中。为了保证业务虚拟机在迁移时,业务虚拟机当前正在进行的业务不受影响,防火墙虚拟机可以向SDN控制模块上报该防火墙虚拟机中存储的该第一虚拟交换机管理的业务虚拟机的握手信息。优选的,防火墙虚拟机可以周期性的向SDN控制模块上报该防火墙虚拟机中存储的业务虚拟机的握手信息。
需要说明的是,在实际应用中,防火墙虚拟机向SDN控制模块上报的信息除了业务虚拟机的握手信息之外,还可以包括租户所租用的防火墙服务的信息。示例的,假设在图5-2中,第一虚拟交换机所在的主机内部署有两个业务虚拟机VM1和VM2,则该第一虚拟交换机所管理的防火墙虚拟机向SDN控制模块上报的信息除了可以包括业务虚拟机VM1和VM2的握手信息,还可以包括租用业务虚拟机VM1的租户所租用的防火墙服务的信息,以及租用业务虚拟机VM2的租户所租用的防火墙服务的信息。以便SDN控制模块可以将该租户所租用的防火墙服务的信息也同步发送至待迁移虚拟机的目的虚拟交换机所管理的防火墙虚拟机。
步骤512、SDN控制模块存储该握手信息。
SDN控制模块接收到各个防火墙虚拟机上报的握手信息后,可以对该接收到的握手信息进行存储,以便在接收到虚拟机迁移指令时,可以从存储的握手信息中,快速获取待迁移虚拟机的握手信息,并将该待迁移虚拟机的握手信息同步至目的虚拟交换机所管理的防火墙虚拟机中,保证了待迁移虚拟机迁移时,该待迁移虚拟机的握手信息同步的及时性。
步骤513、SDN控制模块接收虚拟机迁移指令。
当数据中心内的虚拟机管理模块确定待迁移虚拟机后,可以向SDN控制模块发送虚拟机迁移指令,该虚拟机迁移指令中包括源虚拟交换机标识和目的虚拟交换机标识。其中,源虚拟交换机即部署有该待迁移虚拟机的源主机中的虚拟交换机,目的虚拟交换机即该待迁移虚拟机迁移后的目的主机中的虚拟交换机。示例的,假设图5-2所示的业务虚拟机VM1需要从第一虚拟交换机所在的主机迁移至第二虚拟交换机所在的主机,则虚拟机管理模块可以确定源虚拟交换机为第一虚拟交换机,目的虚拟交换机为第二虚拟交换机,且该虚拟机管理模块向SDN控制模块发送的虚拟机迁移指令中可以包括该第一虚拟交换机的标识和第二虚拟交换机的标识。
步骤514、SDN控制模块在存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息。
SDN控制模块接收到的虚拟机迁移指令中还可以包括该待迁移虚拟机的标识,SDN控制模块可以根据该待迁移虚拟机的标识,确定管理有该待迁移虚拟机的源虚拟交换机,进而确定该源虚拟交换机所管理的第一防火墙虚拟机。之后,SDN控制模块即可从存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息。示例的,SDN控制模块可以将图5-2所示的第一虚拟交换机所管理的防火墙虚拟机确定为第一防火墙虚拟机,并获取该第一防火墙虚拟机上报的握手信息。
步骤515、SDN控制模块在该第一防火墙虚拟机上报的握手信息中确定该待迁移虚拟机的握手信息
由于第一防火墙虚拟机上报的握手信息中可以包括多个业务虚拟机的握手信息,因此,SDN控制模块可以根据待迁移虚拟机的标识,从该第一防火墙虚拟机上报的握手信息中确定并获取该待迁移虚拟机的握手信息。示例的,图5-2所示的第一虚拟交换机管理的第一防火墙虚拟机上报的握手信息中可以包括VM1和VM2的握手信息,SDN控制模块可以根据虚拟机迁移指令中包括的VM1的标识,确定该待迁移虚拟机VM1的握手信息。
步骤516、SDN控制模块将该待迁移虚拟机的握手信息发送至该目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。
示例的,SDN控制模块可以将待迁移虚拟机VM1的握手信息发送至第二虚拟交换机所管理的第二防火墙虚拟机。因此,当VM1迁移至第二虚拟交换机所在的主机后,该VM1中正在进行的业务还可以继续执行,保证了业务虚拟机迁移时,业务虚拟机中业务的连续性。
需要说明的时,SDN控制模块还可以将租用该待迁移虚拟机的租户所租用防火墙服务的信息发送至该第二防火墙虚拟机,以便于该待迁移虚拟机迁移至目的虚拟交换机所在的主机后,该目的虚拟交换机所管理的第二防火墙虚拟机还可以根据该租户所租用防火墙服务的信息,对该待迁移虚拟机所发送的报文进行过滤处理。示例的,SDN控制模块还可以将租用待迁移虚拟机VM1的租户所租用的防火墙服务的信息发送至该第二虚拟交换机所管理的第二防火墙虚拟机。
综上所述,本发明实施例提供的报文过滤方法,SDN控制模块可以接收数据中心管理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则,该第一租户为租用指示信息指示租用了防火墙服务的租户标识所指示的租户;再根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;最后,SDN控制模块可以将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
需要说明的是,本发明实施例提供的报文过滤方法的步骤的先后顺序可以进行适当调整,步骤也可以根据情况进行相应增减。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化的方法,都应涵盖在本发明的保护范围之内,因此不再赘述。
图6-1是本发明实施例提供的一种报文过滤设备的结构示意图,该设备位于数据中心中的SDN控制模块中,该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,如图6-1所示,该设备600包括:
第一接收单元601,用于接收数据中心管理模块发送的租户配置信息,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务。
配置单元602,用于根据该租户配置信息为第一租户配置流表规则,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
确定单元603,用于根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机。
第一发送单元604,用于将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤。
综上所述,本发明实施例提供的报文过滤设备,SDN控制模块可以接收数据中心管理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则,该第一租户为租用指示信息指示租用了防火墙服务的租户标识所指示的租户;再根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;最后,SDN控制模块可以将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文先转发至该第一虚拟交换机管理的防火墙虚拟机,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图6-2是本发明实施例提供的另一种报文过滤设备的结构示意图,该设备位于数据中心中的SDN控制模块中,该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,如图6-2所示,该设备600包括:
第一接收单元601,用于接收数据中心管理模块发送的租户配置信息,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务。
配置单元602,用于根据该租户配置信息为第一租户配置流表规则,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
确定单元603,用于根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机。
第一发送单元604,用于将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤。
第二发送单元605,用于向该第一虚拟交换机管理的防火墙虚拟机发送该流表规则,以便该防火墙虚拟机根据该流表规则将通过安全过滤后的报文发送至该第一虚拟交换机。
第二接收单元606,用于接收虚拟机迁移指令,该虚拟机迁移指令中包括源虚拟交换机标识和目的虚拟交换机标识。
获取单元607,用于获取该源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的该待迁移虚拟机的握手信息。
第三发送单元608,用于将该待迁移虚拟机的握手信息发送至该目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。
第三接收单元609,用于接收每个该虚拟交换机管理的防火墙虚拟机上报的握手信息。
存储单元610,用于存储该握手信息。
第四发送单元611,用于向每个该虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略。
可选的,该获取单元607,还用于:
在存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息;
在该第一防火墙虚拟机上报的握手信息中确定该待迁移虚拟机的握手信息。
综上所述,本发明实施例提供的报文过滤设备,SDN控制模块可以接收数据中心管理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则,该第一租户为租用指示信息指示租用了防火墙服务的租户标识所指示的租户;再根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;最后,SDN控制模块可以将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图7-1是本发明实施例提供的又一种报文过滤设备的结构示意图,该设备位于第一虚拟交换机管理的防火墙虚拟机中,该第一虚拟交换机是由数据中心中的SDN控制模块管理的,该第一虚拟交换机还管理有至少一个业务虚拟机,如图7-1所示,该设备700包括:
第一接收单元701,用于接收该SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
第二接收单元702,用于接收该第一虚拟交换机发送的报文,该报文是指与该第一业务虚拟机交互的报文。
安全过滤单元703,用于根据预设的防火墙安全策略,对该报文进行安全过滤。
发送单元704,用于根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟交换机,以便第一虚拟交换机根据该流表规则对通过安全过滤后的报文进行转发。
综上所述,本发明实施例提供的报文过滤设备,防火墙虚拟机接收到SDN控制模块发送的流表规则后,可以根据该流表规则将通过安全过滤后的报文转发至第一虚拟交换机,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图7-2是本发明实施例提供的再一种报文过滤设备的结构示意图,该设备位于第一虚拟交换机管理的防火墙虚拟机中,该第一虚拟交换机是由数据中心中的SDN控制模块管理的,该第一虚拟交换机还管理有至少一个业务虚拟机,如图7-2所示,该设备700包括:
第一接收单元701,用于接收该SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
第二接收单元702,用于接收该第一虚拟交换机发送的报文,该报文是指与该第一业务虚拟机交互的报文。
安全过滤单元703,用于根据预设的防火墙安全策略,对该报文进行安全过滤。
发送单元704,用于根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的报文进行转发。
第三接收单元705,用于接收该SDN控制模块发送的该预设的防火墙安全策略。
上报单元706,用于周期性地向该SDN控制模块上报该防火墙虚拟机中存储的该第一虚拟交换机管理的业务虚拟机的握手信息。
综上所述,本发明实施例提供的报文过滤设备,防火墙虚拟机接收到SDN控制模块发送的流表规则后,可以根据该流表规则将通过安全过滤后的报文转发至第一虚拟交换机,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图8-1是本发明实施例提供的再一种报文过滤设备的结构示意图,该设备位于数据中心中的SDN控制模块管理的第一虚拟交换机,该第一虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,如图8-1所示,该设备800包括:
第一接收单元801,用于接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
第一转发单元802,用于根据该流表规则,将与第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机标识所指示的虚拟机。
综上所述,本发明实施例提供的报文过滤设备,第一虚拟交换机接收到SDN控制模块发送的流表规则后,可以根据该流表规则将与该第一业务虚拟机交互的报文先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图8-2是本发明实施例提供的再一种报文过滤设备的结构示意图,该设备位于数据中心中的SDN控制模块管理的第一虚拟交换机,该第一虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,如图8-2所示,该设备800包括:
第一接收单元801,用于接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
第一转发单元802,用于根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机标识所指示的虚拟机。
第二接收单元803,用于接收该防火墙虚拟机发送的通过安全过滤后的该报文。
第二转发单元804,用于根据该流表规则,对通过安全过滤后的该报文进行转发。
可选的,该第一转发单元802,还用于:
根据该流表规则,判断该报文中的目的端口标识所指示的目的端口是否为该数据中心内业务虚拟机的端口;
当该报文中的目的端口标识所指示的目的端口为该数据中心内业务虚拟机的端口时,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
综上所述,本发明实施例提供的报文过滤设备,第一虚拟交换机接收到SDN控制模块发送的流表规则后,可以根据该流表规则将将第一业务虚拟机所发送的报文转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
关于上述实施例中的设备,其中各个单元执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
图9是本发明实施例提供的一种计算机设备的结构示意图,如图9所示,该计算机设备包括至少一个处理器901(例如CPU),至少一个网络接口902或者其他通信接口,存储器903和至少一个通信总线904,用于实现这些器件之间的连接通信。处理器901用于执行存储器903中存储的可执行模块,例如计算机执行指令。存储器903可能包含高速随机存取存储器(RAM:RandomAccessMemory),也可能还包括非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。通过至少一个网络接口902(可以是有线或者无线)实现该计算机设备与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。在一些实施方式中,存储器903存储了计算机执行指令9031,处理器901可以执行该计算机执行指令9031来实现SDN控制模块,并使得该SDN控制模块执行下述报文过滤方法:
接收数据中心管理模块发送的租户配置信息,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务;
根据该租户配置信息为第一租户配置流表规则,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;
将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤。
其中,与该第一业务虚拟机交互的报文可以包括:该第一业务虚拟机向数据中心内其他业务虚拟机发送的报文、数据中心内其他业务虚拟机向该第一业务虚拟机发送的报文以及该第一业务虚拟机访问数据中心外部网络时所发送的报文。
可选的,该方法还包括:
SDN控制模块在该根据该租户配置信息,确定第一虚拟交换机之后,还可以向该第一虚拟交换机管理的防火墙虚拟机发送该流表规则,以便该防火墙虚拟机根据该流表规则将通过安全过滤后的该报文发送至该第一虚拟交换机。
可选的,SDN控制模块在该将该第一租户的流表规则发送至该第一虚拟交换机之后,还可以接收虚拟机管理模块发送的虚拟机迁移指令,该虚拟机迁移指令中包括源虚拟交换机标识和目的虚拟交换机标识;
SDN控制模块能够获取该源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的该待迁移虚拟机的握手信息,并将该待迁移虚拟机的握手信息发送至该目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。因此,当待迁移虚拟机迁移至目的虚拟交换机所在的主机后,该待迁移虚拟机中正在进行的业务还可以继续执行,保证了业务虚拟机迁移时,业务虚拟机中业务的连续性。
可选的,SDN控制模块在该接收虚拟机迁移指令之前,还可以接收每个该虚拟交换机管理的防火墙虚拟机上报的握手信息,并存储该握手信息;
其中,SDN控制模块获取源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的该待迁移虚拟机的握手信息的过程可以包括:
在存储的握手信息中,获取该第一防火墙虚拟机上报的握手信息;
在该第一防火墙虚拟机上报的握手信息中确定该待迁移虚拟机的握手信息。
可选的,SDN控制模块在该将该第一租户的流表规则发送至该第一虚拟交换机之前,还可以向每个该虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略,以便防火墙虚拟机可以根据该预设的防火墙安全策略对报文进行安全过滤。
综上所述,本发明实施例提供的计算机设备,可以接收数据中心管理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则;再根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;最后,该计算机设备可以将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文先转发至该第一虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤,因此,数据中心内部业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图10是本发明实施例提供的另一种计算机设备的结构示意图,如图10所示,该计算机设备包括至少一个处理器1001(例如CPU),至少一个网络接口1002或者其他通信接口,存储器1003,和至少一个通信总线1004,用于实现这些器件之间的连接通信。处理器1001用于执行存储器1003中存储的可执行模块,例如计算机执行指令。存储器1003可能包含高速随机存取存储器(RAM:RandomAccessMemory),也可能还包括非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。通过至少一个网络接口1002(可以是有线或者无线)实现该计算机设备与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。在一些实施方式中,存储器1003存储了计算机执行指令10031,处理器1001可以执行该计算机执行指令10031来实现防火墙虚拟机,并使得该防火墙虚拟机执行下述报文过滤方法:
接收该SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
接收该第一虚拟交换机发送的报文,该报文是指与该第一业务虚拟机交互的报文;
根据预设的防火墙安全策略,对该报文进行安全过滤;
根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。
可选的,防火墙虚拟机在该接收该第一虚拟交换机发送的报文之前,还可以接收该SDN控制模块发送的预设的防火墙安全策略。
防火墙虚拟机在该接收SDN控制模块发送的流表规则之后,还可以周期性地向该SDN控制模块上报该防火墙虚拟机中存储的该第一虚拟交换机管理的业务虚拟机的握手信息。
综上所述,本发明实施例提供的计算机设备,该设备在接收到SDN控制模块发送的流表规则后,可以根据该流表规则将安全过滤后的报文转发至第一虚拟交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
图11是本发明实施例提供的又一种计算机设备的结构示意图,如图11所示,该计算机设备包括至少一个处理器1101(例如CPU),至少一个网络接口1102或者其他通信接口,存储器1103,和至少一个通信总线1104,用于实现这些内部器件之间的连接通信。处理器1101用于执行存储器1103中存储的可执行模块,例如计算机执行指令。存储器1103可能包含高速随机存取存储器(RAM:RandomAccessMemory),也可能还包括非不稳定的存储器(non-volatilememory),例如至少一个磁盘存储器。通过至少一个网络接口1102(可以是有线或者无线)实现该计算机设备与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。在一些实施方式中,存储器1103存储了计算机执行指令11031,处理器1101可以执行该计算机执行指令11031来实现第一虚拟交换机,并使得该第一虚拟交换机执行下述报文过滤方法:
接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机标识所指示的虚拟机。
可选的,第一虚拟交换机根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机的过程包括:
判断该报文中的目的端口标识所指示的目的端口是否为该数据中心中的业务虚拟机的端口;
当该目的端口为该数据中心中的业务虚拟机的端口时,第一虚拟交换机根据该流表规则,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
可选地,当该目的端口不为该数据中心中的业务虚拟机的端口时,第一虚拟交换机可以根据该流表规则,将该报文转发至数据中心内部网络与外部网络之间部署的集中防火墙中,因此只有业务虚拟机访问外部网络时,业务虚拟机的报文才需要经过集中防火墙进行安全过滤,降低了集中防火墙的流量压力。
可选的,第一虚拟交换机根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机的过程包括:
判断该报文中的源端口标识所指示的目的端口是否为该数据中心中的业务虚拟机的端口;
当该源端口为该数据中心中的业务虚拟机的端口时,第一虚拟交换机根据该流表规则,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
可选的,第一虚拟交换机在该根据该流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防火墙虚拟机之后,该方法还包括:接收该防火墙虚拟机发送的通过安全过滤后的该报文;
根据该流表规则,对通过安全过滤后的该报文进行转发。
综上所述,本发明实施例提供的计算机设备,该计算机设备接收到SDN控制模块发送的流表规则后,可以根据该流表规则将与该第一业务虚拟机交互的报文先转发至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全策略,对该报文进行安全过滤,因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据中心内部网络的扩容不再受到传统集中防火墙流量转发能力的限制,提高了数据中心业务扩展时的灵活性。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的设备和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
本发明实施例提供一种报文过滤系统,该系统包括:SDN控制模块、该SDN控制模块管理的第一虚拟交换机以及该第一虚拟交换机管理的防火墙虚拟机;
该SDN控制模块包括图6-1或图6-2所示的报文过滤设备;
该防火墙虚拟机包括图7-1或图7-2所示的报文过滤设备;
该第一虚拟交换机包括图8-1或图8-2所示的报文过滤设备。
本发明实施例提供另一种报文过滤系统,该系统包括:SDN控制模块、该SDN控制模块管理的第一虚拟交换机以及该第一虚拟交换机管理的防火墙虚拟机;
该SDN控制模块可以为图9所示的计算机设备;
该防火墙虚拟机可以为图10所示的计算机设备;
该第一虚拟交换机可以为图11所示的计算机设备。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (25)
1.一种报文过滤方法,其特征在于,所述报文过滤方法应用于数据中心中的软件定义网络SDN控制模块;所述SDN控制模块管理有至少一个虚拟交换机,每个所述虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,所述方法包括:
接收数据中心管理模块发送的租户配置信息,所述租户配置信息包括:至少一个租户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务;
根据所述租户配置信息为第一租户配置流表规则,所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
根据所述租户配置信息,确定第一虚拟交换机,所述第一虚拟交换机管理有所述第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;
将所述第一租户的流表规则发送至所述第一虚拟交换机,以便于所述第一虚拟交换机根据所述第一租户的流表规则,将与所述第一业务虚拟机交互的报文,先转发至所述第一虚拟交换机管理的防火墙虚拟机,以使得所述防火墙虚拟机根据预设的防火墙安全策略对所述报文进行安全过滤。
2.根据权利要求1所述的方法,其特征在于,在所述根据所述租户配置信息,确定第一虚拟交换机之后,所述方法还包括:
向所述第一虚拟交换机管理的防火墙虚拟机发送所述流表规则,以便所述防火墙虚拟机根据所述流表规则将通过安全过滤后的所述报文发送至所述第一虚拟交换机。
3.根据权利要求1所述的方法,其特征在于,在所述将所述第一租户的流表规则发送至所述第一虚拟交换机之后,所述方法还包括:
接收虚拟机迁移指令,所述虚拟机迁移指令中包括源虚拟交换机标识和目的虚拟交换机标识;
获取所述源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的所述待迁移虚拟机的握手信息;
将所述待迁移虚拟机的握手信息发送至所述目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。
4.根据权利要求3所述的方法,其特征在于,在所述接收虚拟机迁移指令之前,所述方法还包括:
接收每个所述虚拟交换机管理的防火墙虚拟机上报的握手信息;
存储所述握手信息;
所述获取所述源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的所述待迁移虚拟机的握手信息,包括:
在存储的握手信息中,获取所述第一防火墙虚拟机上报的握手信息;
在所述第一防火墙虚拟机上报的握手信息中确定所述待迁移虚拟机的握手信息。
5.根据权利要求1至4任一所述的方法,其特征在于,在所述将所述第一租户的流表规则发送至所述第一虚拟交换机之前,所述方法还包括:
向每个所述虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略。
6.一种报文过滤方法,其特征在于,所述报文过滤方法应用于第一虚拟交换机管理的防火墙虚拟机;所述第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的,所述第一虚拟交换机还管理有至少一个业务虚拟机,所述方法包括:
接收所述SDN控制模块发送的流表规则,所述流表规则是所述SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,所述租户配置信息包括:至少一个租户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务,所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
接收所述第一虚拟交换机发送的报文,所述报文是指与所述第一业务虚拟机交互的报文;
根据预设的防火墙安全策略,对所述报文进行安全过滤;
根据所述流表规则,将通过安全过滤后的所述报文转发至所述第一虚拟交换机,以便所述第一虚拟交换机根据所述流表规则对通过安全过滤后的所述报文进行转发。
7.根据权利要求6所述的方法,其特征在于,在所述接收所述第一虚拟交换机发送的报文之前,所述方法还包括:
接收所述SDN控制模块发送的所述预设的防火墙安全策略。
8.根据权利要求6所述的方法,其特征在于,在所述接收所述SDN控制模块发送的流表规则之后,所述方法还包括:
周期性地向所述SDN控制模块上报所述防火墙虚拟机中存储的所述第一虚拟交换机管理的业务虚拟机的握手信息。
9.一种报文过滤方法,其特征在于,所述报文过滤方法应用于数据中心中的软件定义网络SDN控制模块管理的第一虚拟交换机;所述第一虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,所述方法包括:
接收SDN控制模块发送的流表规则,所述流表规则是所述SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,所述租户配置信息包括:至少一个租户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务,所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
根据所述流表规则,将与所述第一业务虚拟机交互的报文,先转发至所述第一虚拟交换机管理的防火墙虚拟机,以便于所述防火墙虚拟机根据预设的防火墙安全策略,对所述报文进行安全过滤,所述第一业务虚拟机为所述第一租户的标识对应的虚拟机标识所指示的虚拟机。
10.根据权利要求9所述的方法,其特征在于,所述根据所述流表规则,将与所述第一业务虚拟机交互的报文,先转发至所述第一虚拟交换机管理的防火墙虚拟机,包括:
判断所述报文中的目的端口标识所指示的目的端口是否为所述数据中心中的业务虚拟机的端口;
当所述目的端口为所述数据中心中的业务虚拟机的端口时,根据所述流表规则,将所述报文转发至所述第一虚拟交换机管理的防火墙虚拟机。
11.根据权利要求9或10所述的方法,其特征在于,在所述根据所述流表规则,将与所述第一业务虚拟机交互的报文,先转发至所述第一虚拟交换机管理的防火墙虚拟机之后,所述方法还包括:
接收所述防火墙虚拟机发送的通过安全过滤后的所述报文;
根据所述流表规则,对通过安全过滤后的所述报文进行转发。
12.一种报文过滤设备,其特征在于,所述设备位于数据中心中的软件定义网络SDN控制模块中;所述SDN控制模块管理有至少一个虚拟交换机,每个所述虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,所述设备包括:
第一接收单元,用于接收数据中心管理模块发送的租户配置信息,所述租户配置信息包括:至少一个租户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务;
配置单元,用于根据所述租户配置信息为第一租户配置流表规则,所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
确定单元,用于根据所述租户配置信息,确定第一虚拟交换机,所述第一虚拟交换机管理有所述第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机;
第一发送单元,用于将所述第一租户的流表规则发送至所述第一虚拟交换机,以便于所述第一虚拟交换机根据所述第一租户的流表规则,将与所述第一业务虚拟机交互的报文,先转发至所述第一虚拟交换机管理的防火墙虚拟机,以使得所述防火墙虚拟机根据预设的防火墙安全策略对所述报文进行安全过滤。
13.根据权利要求12所述的设备,其特征在于,所述设备还包括:
第二发送单元,用于向所述第一虚拟交换机管理的防火墙虚拟机发送所述流表规则,以便所述防火墙虚拟机根据所述流表规则将通过安全过滤后的所述报文发送至所述第一虚拟交换机。
14.根据权利要求12所述的设备,其特征在于,所述设备还包括:
第二接收单元,用于接收虚拟机迁移指令,所述虚拟机迁移指令中包括源虚拟交换机标识和目的虚拟交换机标识;
获取单元,用于获取所述源虚拟交换机标识指示的源虚拟交换机所管理的第一防火墙虚拟机中存储的所述待迁移虚拟机的握手信息;
第三发送单元,用于将所述待迁移虚拟机的握手信息发送至所述目的虚拟交换机标识指示的目的虚拟交换机所管理的第二防火墙虚拟机。
15.根据权利要求14所述的设备,其特征在于,所述设备还包括:
第三接收单元,用于接收每个所述虚拟交换机管理的防火墙虚拟机上报的握手信息;
存储单元,用于存储所述握手信息;
所述获取单元,还用于:
在存储的握手信息中,获取所述第一防火墙虚拟机上报的握手信息;
在所述第一防火墙虚拟机上报的握手信息中确定所述待迁移虚拟机的握手信息。
16.根据权利要求12至15任一所述的设备,其特征在于,所述设备还包括:
第四发送单元,用于向每个所述虚拟交换机管理的防火墙虚拟机发送预设的防火墙安全策略。
17.一种报文过滤设备,其特征在于,所述设备位于第一虚拟交换机管理的防火墙虚拟机中;所述第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的,所述第一虚拟交换机还管理有至少一个业务虚拟机,所述设备包括:
第一接收单元,用于接收所述SDN控制模块发送的流表规则,所述流表规则是所述SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,所述租户配置信息包括:至少一个租户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务,所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
第二接收单元,用于接收所述第一虚拟交换机发送的报文,所述报文是指与所述第一业务虚拟机交互的报文;
安全过滤单元,用于根据预设的防火墙安全策略,对所述报文进行安全过滤;
发送单元,用于根据所述流表规则,将通过安全过滤后的所述报文转发至所述第一虚拟交换机,以便所述第一虚拟交换机根据所述流表规则对通过安全过滤后的所述报文进行转发。
18.根据权利要求17所述的设备,其特征在于,所述设备还包括:
第三接收单元,用于接收所述SDN控制模块发送的所述预设的防火墙安全策略。
19.根据权利要求17所述的设备,其特征在于,所述设备还包括:
上报单元,用于周期性地向所述SDN控制模块上报所述防火墙虚拟机中存储的所述第一虚拟交换机管理的业务虚拟机的握手信息。
20.一种报文过滤设备,其特征在于,所述设备位于数据中心中的软件定义网络SDN控制模块管理的第一虚拟交换机中;所述第一虚拟交换机管理有防火墙虚拟机以及至少一个业务虚拟机,所述设备包括:
第一接收单元,用于接收SDN控制模块发送的流表规则,所述流表规则是所述SDN控制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,所述租户配置信息包括:至少一个租户标识,以及每个所述租户标识对应的虚拟机标识和租用指示信息,所述租用指示信息用于指示所述租户标识指定的租户是否租用防火墙服务,所述第一租户为所述租用指示信息指示租用了防火墙服务的租户标识所指示的租户;
第一转发单元,用于根据所述流表规则,将与所述第一业务虚拟机交互的报文,先转发至所述第一虚拟交换机管理的防火墙虚拟机,以便于所述防火墙虚拟机根据预设的防火墙安全策略,对所述报文进行安全过滤,所述第一业务虚拟机为所述第一租户的标识对应的虚拟机标识所指示的虚拟机。
21.根据权利要求20所述的设备,其特征在于,所述第一转发单元,还用于:
根据所述流表规则,判断所述报文中的目的端口标识所指示的目的端口是否为所述数据中心内业务虚拟机的端口;
当所述报文中的目的端口标识所指示的目的端口为所述数据中心内业务虚拟机的端口时,将所述报文转发至所述第一虚拟交换机管理的防火墙虚拟机。
22.根据权利要求20或21所述的设备,其特征在于,所述设备还包括:
第二接收单元,用于接收所述防火墙虚拟机发送的通过安全过滤后的所述报文;
第二转发单元,用于根据所述流表规则,对通过安全过滤后的所述报文进行转发。
23.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述处理器与所述存储器通过总线连接;
所述存储器用于存储计算机执行指令,当所述计算机设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令来实现SDN控制模块,并使得所述SDN控制模块执行权利要求1至5任一项所述的报文过滤方法。
24.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述处理器与所述存储器通过总线连接;
所述存储器用于存储计算机执行指令,当所述计算机设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令来实现防火墙虚拟机,并使得所述防火墙虚拟机执行权利要求6至8任一项所述的报文过滤方法。
25.一种计算机设备,其特征在于,所述计算机设备包括处理器和存储器,所述处理器与所述存储器通过总线连接;
所述存储器用于存储计算机执行指令,当所述计算机设备运行时,所述处理器执行所述存储器存储的所述计算机执行指令来实现第一虚拟交换机,并使得所述第一虚拟交换机执行权利要求9至11任一项所述的报文过滤方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510971495.7A CN105530259B (zh) | 2015-12-22 | 2015-12-22 | 报文过滤方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510971495.7A CN105530259B (zh) | 2015-12-22 | 2015-12-22 | 报文过滤方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105530259A true CN105530259A (zh) | 2016-04-27 |
| CN105530259B CN105530259B (zh) | 2019-01-18 |
Family
ID=55772241
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510971495.7A Active CN105530259B (zh) | 2015-12-22 | 2015-12-22 | 报文过滤方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105530259B (zh) |
Cited By (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161115A (zh) * | 2016-09-23 | 2016-11-23 | 杭州迪普科技有限公司 | 一种应用于vxlan的设备管理方法及装置 |
| CN106453333A (zh) * | 2016-10-19 | 2017-02-22 | 深圳市深信服电子科技有限公司 | 虚拟化平台的防火墙规则创建方法及装置 |
| CN106844004A (zh) * | 2016-12-29 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统 |
| CN106909439A (zh) * | 2017-02-27 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种虚拟机的迁移控制方法及装置 |
| CN107579963A (zh) * | 2017-08-24 | 2018-01-12 | 南京南瑞集团公司 | 一种高性能的防火墙集群 |
| CN107920022A (zh) * | 2017-12-26 | 2018-04-17 | 北京天融信网络安全技术有限公司 | 一种虚拟机安全通信系统及虚拟机安全通信方法 |
| CN107979614A (zh) * | 2017-12-30 | 2018-05-01 | 杭州华为数字技术有限公司 | 数据包检测方法及装置 |
| CN108092941A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信有限公司研究院 | 一种网络安全防护方法、装置及系统 |
| CN108173842A (zh) * | 2017-12-26 | 2018-06-15 | 国家电网公司 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
| CN108874530A (zh) * | 2017-05-12 | 2018-11-23 | 华为技术有限公司 | 对报文转发设备的业务板进行扩容、缩容的方法和装置 |
| CN109040125A (zh) * | 2018-09-18 | 2018-12-18 | 郑州云海信息技术有限公司 | 虚拟机中报文过滤方法和装置 |
| CN109257222A (zh) * | 2018-09-27 | 2019-01-22 | 中国联合网络通信有限公司广东省分公司 | 一种基于业务编排器的城域网网络架构 |
| WO2020220977A1 (zh) * | 2019-04-28 | 2020-11-05 | 华为技术有限公司 | 虚拟网络中的数据引流装置及数据引流方法 |
| CN111917683A (zh) * | 2019-05-07 | 2020-11-10 | 中移(苏州)软件技术有限公司 | 安全交互方法、计算节点、控制中心、云平台及存储介质 |
| CN111953661A (zh) * | 2020-07-23 | 2020-11-17 | 深圳供电局有限公司 | 一种基于sdn的东西向流量安全防护方法及其系统 |
| CN113194020A (zh) * | 2021-05-24 | 2021-07-30 | 上海层峰网络科技有限公司 | 一种虚拟网络交互方法及虚拟网络架构 |
| CN113709052A (zh) * | 2020-05-21 | 2021-11-26 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN113765858A (zh) * | 2020-06-05 | 2021-12-07 | 中创为(成都)量子通信技术有限公司 | 一种实现高性能状态防火墙的方法及装置 |
| CN114422160A (zh) * | 2020-10-28 | 2022-04-29 | 中移(苏州)软件技术有限公司 | 一种虚拟防火墙的设置方法、装置、电子设备和存储介质 |
| WO2024007644A1 (zh) * | 2022-07-06 | 2024-01-11 | 华为云计算技术有限公司 | 云系统、报文处理方法、装置、及网卡 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110365697A (zh) * | 2019-07-26 | 2019-10-22 | 新华三大数据技术有限公司 | 一种虚拟防火墙设置方法、装置、电子设备及存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110243142A1 (en) * | 2010-03-31 | 2011-10-06 | Brocade Communications Systems, Inc. | Ingress and egress switch which determines services related to an incoming packet |
| CN103139159A (zh) * | 2011-11-28 | 2013-06-05 | 上海贝尔股份有限公司 | 云计算架构中的虚拟机之间的安全通信 |
| CN103763310A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
| CN104239122A (zh) * | 2014-09-04 | 2014-12-24 | 华为技术有限公司 | 一种虚拟机迁移方法和装置 |
| WO2015123849A1 (en) * | 2014-02-20 | 2015-08-27 | Wenbo Mao | Method and apparatus for extending the internet into intranets to achieve scalable cloud network |
| CN105022658A (zh) * | 2014-04-30 | 2015-11-04 | 中国移动通信集团公司 | 一种虚拟机迁移方法、系统及相关装置 |
| CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
-
2015
- 2015-12-22 CN CN201510971495.7A patent/CN105530259B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110243142A1 (en) * | 2010-03-31 | 2011-10-06 | Brocade Communications Systems, Inc. | Ingress and egress switch which determines services related to an incoming packet |
| CN103139159A (zh) * | 2011-11-28 | 2013-06-05 | 上海贝尔股份有限公司 | 云计算架构中的虚拟机之间的安全通信 |
| CN103763310A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
| WO2015123849A1 (en) * | 2014-02-20 | 2015-08-27 | Wenbo Mao | Method and apparatus for extending the internet into intranets to achieve scalable cloud network |
| CN105022658A (zh) * | 2014-04-30 | 2015-11-04 | 中国移动通信集团公司 | 一种虚拟机迁移方法、系统及相关装置 |
| CN105100026A (zh) * | 2014-05-22 | 2015-11-25 | 杭州华三通信技术有限公司 | 一种报文安全转发方法及装置 |
| CN104239122A (zh) * | 2014-09-04 | 2014-12-24 | 华为技术有限公司 | 一种虚拟机迁移方法和装置 |
| CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
Cited By (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161115A (zh) * | 2016-09-23 | 2016-11-23 | 杭州迪普科技有限公司 | 一种应用于vxlan的设备管理方法及装置 |
| CN106453333A (zh) * | 2016-10-19 | 2017-02-22 | 深圳市深信服电子科技有限公司 | 虚拟化平台的防火墙规则创建方法及装置 |
| CN106453333B (zh) * | 2016-10-19 | 2019-08-30 | 深信服科技股份有限公司 | 虚拟化平台的防火墙规则创建方法及装置 |
| CN108092941A (zh) * | 2016-11-23 | 2018-05-29 | 中国移动通信有限公司研究院 | 一种网络安全防护方法、装置及系统 |
| CN106844004A (zh) * | 2016-12-29 | 2017-06-13 | 北京瑞星信息技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统 |
| CN106844004B (zh) * | 2016-12-29 | 2020-02-14 | 北京瑞星网安技术股份有限公司 | 基于虚拟化环境下的安全防护方法及系统 |
| CN106909439A (zh) * | 2017-02-27 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种虚拟机的迁移控制方法及装置 |
| CN108874530A (zh) * | 2017-05-12 | 2018-11-23 | 华为技术有限公司 | 对报文转发设备的业务板进行扩容、缩容的方法和装置 |
| CN107579963A (zh) * | 2017-08-24 | 2018-01-12 | 南京南瑞集团公司 | 一种高性能的防火墙集群 |
| CN107920022A (zh) * | 2017-12-26 | 2018-04-17 | 北京天融信网络安全技术有限公司 | 一种虚拟机安全通信系统及虚拟机安全通信方法 |
| CN108173842A (zh) * | 2017-12-26 | 2018-06-15 | 国家电网公司 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
| CN108173842B (zh) * | 2017-12-26 | 2022-01-14 | 国家电网公司 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
| CN107920022B (zh) * | 2017-12-26 | 2021-08-24 | 北京天融信网络安全技术有限公司 | 一种虚拟机安全通信系统及虚拟机安全通信方法 |
| CN107979614A (zh) * | 2017-12-30 | 2018-05-01 | 杭州华为数字技术有限公司 | 数据包检测方法及装置 |
| CN109040125A (zh) * | 2018-09-18 | 2018-12-18 | 郑州云海信息技术有限公司 | 虚拟机中报文过滤方法和装置 |
| CN109257222B (zh) * | 2018-09-27 | 2019-11-15 | 中国联合网络通信有限公司广东省分公司 | 一种基于业务编排器的城域网网络架构 |
| CN109257222A (zh) * | 2018-09-27 | 2019-01-22 | 中国联合网络通信有限公司广东省分公司 | 一种基于业务编排器的城域网网络架构 |
| WO2020220977A1 (zh) * | 2019-04-28 | 2020-11-05 | 华为技术有限公司 | 虚拟网络中的数据引流装置及数据引流方法 |
| CN111917683A (zh) * | 2019-05-07 | 2020-11-10 | 中移(苏州)软件技术有限公司 | 安全交互方法、计算节点、控制中心、云平台及存储介质 |
| CN113709052B (zh) * | 2020-05-21 | 2024-02-27 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN113709052A (zh) * | 2020-05-21 | 2021-11-26 | 中移(苏州)软件技术有限公司 | 一种网络报文的处理方法、装置、电子设备和存储介质 |
| CN113765858A (zh) * | 2020-06-05 | 2021-12-07 | 中创为(成都)量子通信技术有限公司 | 一种实现高性能状态防火墙的方法及装置 |
| CN111953661A (zh) * | 2020-07-23 | 2020-11-17 | 深圳供电局有限公司 | 一种基于sdn的东西向流量安全防护方法及其系统 |
| CN114422160A (zh) * | 2020-10-28 | 2022-04-29 | 中移(苏州)软件技术有限公司 | 一种虚拟防火墙的设置方法、装置、电子设备和存储介质 |
| CN114422160B (zh) * | 2020-10-28 | 2024-01-30 | 中移(苏州)软件技术有限公司 | 一种虚拟防火墙的设置方法、装置、电子设备和存储介质 |
| CN113194020A (zh) * | 2021-05-24 | 2021-07-30 | 上海层峰网络科技有限公司 | 一种虚拟网络交互方法及虚拟网络架构 |
| WO2024007644A1 (zh) * | 2022-07-06 | 2024-01-11 | 华为云计算技术有限公司 | 云系统、报文处理方法、装置、及网卡 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105530259B (zh) | 2019-01-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105530259A (zh) | 报文过滤方法及设备 | |
| EP3677009B1 (en) | Unified security policies across virtual private clouds with overlapping ip address blocks | |
| US10020989B2 (en) | Provisioning services in legacy mode in a data center network | |
| EP2840743B1 (en) | Method and system for realizing virtual network | |
| CN105284080B (zh) | 数据中心的虚拟网络管理方法及数据中心系统 | |
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN111800326B (zh) | 报文传输方法及装置、处理节点及存储介质 | |
| EP3509253A1 (en) | Inter-cloud communication method and related device, inter-cloud communication configuration method and related device | |
| EP3176979A1 (en) | Information processing method and device | |
| CN106685787B (zh) | 基于OpenStack的PowerVM虚拟化网络管理方法及装置 | |
| CN105262685B (zh) | 一种报文处理方法和装置 | |
| US20150124823A1 (en) | Tenant dhcp in an overlay network | |
| CN109716717A (zh) | 从软件定义的网络控制器管理虚拟端口信道交换机对等体 | |
| CN107646185A (zh) | 在覆盖数据中心环境中的操作、管理和处理(oam) | |
| CN111064649B (zh) | 一种分层端口绑定实现方法、装置、控制设备及存储介质 | |
| BR112014001861B1 (pt) | Método para implementar um protocolo de túnel de serviço geral de rádio por pacotes, e, sistema computacional em nuvem para gerenciar a implementação de um protocolo de túnel de serviço geral de rádio por pacotes | |
| EP3821589B1 (en) | Session management in a forwarding plane | |
| CN104468219A (zh) | 虚拟组网网络拓扑发现方法和设备 | |
| CN111556110B (zh) | 一种用于私有云系统的不同物理业务网络自动化适配方法 | |
| JP5679343B2 (ja) | クラウドシステム、ゲートウェイ装置、通信制御方法、及び通信制御プログラム | |
| EP3834379B1 (en) | Inter-slice sharing in 5g core networks | |
| CN110351135B (zh) | 多dc中的网络设备配置方法及装置 | |
| CN112822037B (zh) | 一种安全资源池的流量编排方法及系统 | |
| WO2021147358A1 (zh) | 一种网络接口的建立方法、装置及系统 | |
| CN105264837A (zh) | 一种数据报文的传输系统、传输方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20220217 Address after: 550025 Huawei cloud data center, jiaoxinggong Road, Qianzhong Avenue, Gui'an New District, Guiyang City, Guizhou Province Patentee after: Huawei Cloud Computing Technologies Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. |
|
| TR01 | Transfer of patent right |