CN108173842B - 基于openstack云平台的软件定义防火墙的部署优化方法 - Google Patents
基于openstack云平台的软件定义防火墙的部署优化方法 Download PDFInfo
- Publication number
- CN108173842B CN108173842B CN201711436104.7A CN201711436104A CN108173842B CN 108173842 B CN108173842 B CN 108173842B CN 201711436104 A CN201711436104 A CN 201711436104A CN 108173842 B CN108173842 B CN 108173842B
- Authority
- CN
- China
- Prior art keywords
- security
- firewall
- service
- instances
- openstack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 238000005457 optimization Methods 0.000 title claims abstract description 13
- 238000011176 pooling Methods 0.000 claims abstract description 5
- 230000007246 mechanism Effects 0.000 claims abstract description 4
- 230000008569 process Effects 0.000 claims description 3
- 230000003247 decreasing effect Effects 0.000 claims 1
- 230000006870 function Effects 0.000 description 7
- 230000006378 damage Effects 0.000 description 2
- 230000007423 decrease Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1031—Controlling of the operation of servers by a load balancer, e.g. adding or removing servers that serve requests
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
Abstract
本发明公开了一种基于openstack云平台的软件定义防火墙的部署优化方法,以防火墙作为FWAAS标准接口的具体实现模块;以租户业务划分业务安全域;独立的业务安全域内实现安全资源池化管理;安全资源池内的安全资源采用预分配机制;使用优化调度模块,能够根据租户对流量的需求,在创建防火墙时,动态地在安全业务域内选取节点,将防火墙实例部署在满足租户需求的安全节点内。本发明方法能够快速响应租户对安全业务的需求;通过优化调度模块为Openstack的FWAAS提供了快速部署安全业务的能力;通过业务安全域模块,分离了不同业务对应的安全需求,租户能够快速获取防火墙实例,从而快速配置安全策略,避免Openstack原有方案中存在防火墙实例部署慢、响应不及时等问题。
Description
技术领域
本发明属于网络安全防护领域,尤其涉及一种基于openstack云平台的软件定义防火墙的部署优化方法。
背景技术
随着云计算的普及,软件定义的数据中心带来的IT变革势不可挡,为此带来的IT效能提升、IT成本的节约已经让各大企事业单位、运营商受益,但同时也使得传统数据中心的网络安全体系架构不再适用云化后的数据中心,软件定义安全(Software DefinedSecurity,SDS)这一概念,其原理是将物理或者虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦,底层抽象为安全资源池里的资源,顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理,以完成相应的安全功能,从而实现一种灵活的安全防护。
软件定义安全不仅仅为安全设备融合到云化数据中心提供解决方案,其架构模式更能够提高安全设备的运行效能、降低安全设备的运营成本,同时也可将软件定义安全这一新技术运用于传统数据中心,使传统数据中心同样获益。
OpenStack作为开源云计算框架,已经被越来越多的云计算厂商纳入产品体系中,华为、中兴、HP等国内外云计算厂商也纷纷推出基于OpenStack的云计算产品与解决方案;同时,许多知名研究机构以及企业也纷纷应用OpenStack到生产环境中,比如:CERN、NTT、中国移动等。
OpenStack作为一种云计算框架,虽然具备软件定义防火墙(FWaaS)的能力,但是防火墙作为一种安全资源,仅是简单地对防火墙进行了实例化,没有对防火墙实例做优化部署与调度,安全资源部署较慢,部署分布不合理,无法满足租户对安全业务的快速响应。
从OpenStack防火墙的部署角度看,租户所有的虚拟路由器都集中部署在OpenStack中的网络节点上,而防火墙实例实际就是虚拟路由器,网络节点不仅提供虚拟路由服务,还同时提供dhcp、metadata服务;大量集中地将防火墙实例部署在网络节点上,会存在部署瓶颈,从租户的业务角度讲,也存在流量瓶颈。
发明内容
本发明针对OpenStack FWAAS的FWaaS存在的部署与调度不合理问题,提出一种优化解决方案,通过一种分域安全资源池,根据租户的不同业务场景,进行独立的安全业务域划分,将所需要的防火墙实例部署到对应的安全业务域中,避免原有的集中部署到同一个节点上;针对每一个安全业务域,内部实现池化管理,提出一种动态可扩展的安全资源调度方法,使得防火墙实例能够快速完成调度与部署,快速满足租户对安全业务的需求。
本发明的目的是通过以下技术方案来实现的:一种基于openstack云平台的软件定义防火墙的部署优化方法,该方法包括:
1)以防火墙作为FWAAS标准接口的具体实现模块,FWAAS原有支持的防火墙接口通过该防火墙实现;
2)租户通过业务安全域模块根据其自身的业务划分业务安全域,每一个业务安全域都具有独立的业务安全目标,能够独立的进行安全业务的配置、实施、管理和运营;
3)独立的业务安全域内,实现安全资源池化管理,一个安全资源池由一个或者多个安全节点构成,安全节点的规格,根据实际情况进行调整,满足租户对安全业务的需求;
4)安全资源池内的安全资源采用预分配机制,提前创建防火墙实例,等待安全业务的调度;
5)租户在创建防火墙时,使用优化调度模块根据其对防火墙性能的需求,动态地在安全业务域内选取安全节点,并在安全节点中选取空闲的提前创建好的防火墙实例,返回给租户。
进一步地,使用OpenStack FWAAS插件功能模块,OpenStack FWAAS插件功能模块对租户提供软件定义防火墙的功能,且满足OpenStack FWAAS标准接口。
进一步地,所述优化调度模块处理租户对于防火墙实例的请求,负责防火墙实例的创建、编辑、销毁;动态地在所属业务安全域的安全资源池中选取节点,租户可对性能指标定制化,将一个或多个性能指标进行组合并确定优先级,优化调度模块按照指标优先级,将防火墙实例部署在满足条件的节点上。
进一步地,业务安全域模块负责防火墙实例的统一管理,预创建防火墙实例,并根据优化调度模块的选择结果,快速给租户分配防火墙实例;根据实际的安全业务需求,动态扩展防火墙实例的数目,当安全业务需求量增加时,安全池会动态创建出防火墙实例,当安全业务需求量减少时,安全池内会销毁一定数量的防火墙实例,在满足最小安全业务的同时,保证安全资源池内资源的高效复用。
本发明的有益效果是:本发明基于OpenStack FWAAS组件,提出支持多租户基于不同安全业务域的防火墙实例的调度与部署优化方法,快速响应租户对安全业务的需求。通过优化调度模块为Openstack的FWAAS提供了快速部署安全业务的能力;通过业务安全域模块,分离了不同业务对应的安全需求,租户能够快速获取防火墙实例,从而快速配置安全策略,避免Openstack原有方案中存在防火墙实例部署慢、响应不及时等问题。
附图说明
图1为本发明基于openstack云平台的软件定义防火墙的部署优化方法实现框图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细说明。
如图1所示,本发明提供的一种基于openstack云平台的软件定义防火墙的部署优化方法,包括:
1)以防火墙作为FWAAS标准接口的具体实现模块,FWAAS原有支持的防火墙接口通过该防火墙实现。
2)租户通过业务安全域模块根据其自身的业务划分业务安全域,每一个业务安全域都具有独立的业务安全目标,能够独立的进行安全业务的配置、实施、管理和运营。
3)独立的业务安全域内,实现安全资源池化管理,一个安全资源池由一个或者多个安全节点构成,安全节点的规格,可根据实际情况进行调整,满足租户对安全业务的需求。比如,对性能要求较高的安全业务,安全节点的规格就较高(cpu、内存、网络带宽)。
4)为了快速开通安全业务,安全资源池内的安全资源采用预分配机制,提前创建防火墙实例,等待安全业务的调度。
5)租户在创建防火墙时,使用优化调度模块根据其对防火墙性能的需求,动态地在安全业务域内选取安全节点,并在安全节点中选取空闲的提前创建好的防火墙实例,返回给租户。本实例以租户对流量的需求为例,比如吞吐量、带宽等指标,指标可根据实际情况进行选取。
6)使用OpenStack FWAAS插件功能模块,OpenStack FWAAS插件功能模块对租户提供软件定义防火墙的功能,且满足OpenStack FWAAS标准接口。
具体地:
1)OpenStack FWAAS插件功能模块用于接收租户对防火墙的请求,比如防火墙的创建、更新、删除,安全策略的插入、删除、编辑。
2)优化调度模块是本发明框架中最重要的一个模块,处理租户对于防火墙实例的请求,负责防火墙实例的创建、编辑、销毁;基于吞吐量、带宽等性能指标,动态地在所属业务安全域的安全资源池中选取节点,租户可对性能指标定制化,将一个或多个性能指标进行组合并确定优先级,优化调度模块按照指标优先级,将防火墙实例部署在满足条件的节点上
3)业务安全域模块负责防火墙实例的统一管理,预创建防火墙实例,并根据优化调度模块的选择结果,快速给租户分配防火墙实例;根据实际的安全业务需求,动态扩展防火墙实例的数目,当安全业务需求量增加时,安全池会动态创建出防火墙实例,当安全业务需求量减少时,安全池内会销毁一定数量的防火墙实例,在满足最小安全业务的同时,保证安全资源池内资源的高效复用。
Claims (1)
1.一种基于openstack云平台的软件定义防火墙的部署优化方法,其特征在于,包括:
1)以防火墙作为FWAAS标准接口的具体实现模块,FWAAS原有支持的防火墙接口通过该防火墙实现;
2)租户通过业务安全域模块根据其自身的业务划分业务安全域,每一个业务安全域都具有独立的业务安全目标,能够独立的进行安全业务的配置、实施、管理和运营,使用OpenStack FWAAS插件功能模块,OpenStack FWAAS插件功能模块对租户提供软件定义防火墙的功能,且满足OpenStack FWAAS标准接口;所述业务安全域模块负责防火墙实例的统一管理,预创建防火墙实例,并根据优化调度模块的选择结果,快速给租户分配防火墙实例;根据实际的安全业务需求,动态扩展防火墙实例的数目,当安全业务需求量增加时,安全池会动态创建出防火墙实例,当安全业务需求量减少时,安全池内会销毁一定数量的防火墙实例,在满足最小安全业务的同时,保证安全资源池内资源的高效复用;
3)独立的业务安全域内,实现安全资源池化管理,一个安全资源池由一个或者多个安全节点构成,安全节点的规格,根据实际情况进行调整,满足租户对安全业务的需求;
4)安全资源池内的安全资源采用预分配机制,提前创建防火墙实例,等待安全业务的调度;
5)租户在创建防火墙时,使用优化调度模块根据其对防火墙性能的需求,动态地在安全业务域内选取安全节点,并在安全节点中选取空闲的提前创建好的防火墙实例,返回给租户;所述优化调度模块处理租户对于防火墙实例的请求,负责防火墙实例的创建、编辑、销毁;动态地在所属业务安全域的安全资源池中选取节点,租户可对性能指标定制化,将一个或多个性能指标进行组合并确定优先级,优化调度模块按照指标优先级,将防火墙实例部署在满足条件的节点上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711436104.7A CN108173842B (zh) | 2017-12-26 | 2017-12-26 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711436104.7A CN108173842B (zh) | 2017-12-26 | 2017-12-26 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108173842A CN108173842A (zh) | 2018-06-15 |
| CN108173842B true CN108173842B (zh) | 2022-01-14 |
Family
ID=62521769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711436104.7A Active CN108173842B (zh) | 2017-12-26 | 2017-12-26 | 基于openstack云平台的软件定义防火墙的部署优化方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108173842B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040276B (zh) * | 2018-08-20 | 2022-03-22 | 郑州云海信息技术有限公司 | 一种构建云平台的方法、装置、计算机存储介质及终端 |
| CN108989352B (zh) * | 2018-09-03 | 2022-11-11 | 平安科技(深圳)有限公司 | 防火墙实现方法、装置、计算机设备及存储介质 |
| CN110908808B (zh) * | 2018-09-14 | 2023-06-23 | 深圳爱捷云科技有限公司 | 一种控制api调用资源的方法和装置 |
| CN109525581B (zh) * | 2018-11-19 | 2021-01-26 | 中国移动通信集团广东有限公司 | 一种云资源安全管控方法及系统 |
| CN109743197B (zh) * | 2018-12-24 | 2022-07-01 | 中信百信银行股份有限公司 | 一种基于优先级配置的防火墙部署系统和方法 |
| CN109962914B (zh) * | 2019-03-12 | 2021-07-23 | 杭州迪普科技股份有限公司 | 一种防火墙配置方法及装置 |
| CN112003720B (zh) * | 2020-07-13 | 2022-07-08 | 烽火通信科技股份有限公司 | 一种纳管多种防火墙资源的云管理平台和方法 |
| CN112217902B (zh) * | 2020-10-22 | 2022-03-22 | 新华三信息安全技术有限公司 | 一种防火墙数据同步方法及装置 |
| CN113765885B (zh) * | 2021-07-30 | 2023-08-15 | 广东浪潮智慧计算技术有限公司 | 一种防火墙规则同步方法、装置及电子设备和存储介质 |
| CN114944952B (zh) * | 2022-05-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092676A (zh) * | 2014-06-30 | 2014-10-08 | 复旦大学 | 面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法 |
| CN105530259A (zh) * | 2015-12-22 | 2016-04-27 | 华为技术有限公司 | 报文过滤方法及设备 |
| CN105634998A (zh) * | 2016-03-30 | 2016-06-01 | 中国联合网络通信集团有限公司 | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8935375B2 (en) * | 2011-12-12 | 2015-01-13 | Microsoft Corporation | Increasing availability of stateful applications |
| US20150066717A1 (en) * | 2013-08-27 | 2015-03-05 | Connectloud, Inc. | Method and apparatus for service offering metering |
| CN103853843B (zh) * | 2014-03-20 | 2018-09-21 | 浪潮通用软件有限公司 | 一种基于主数据映射实现跨安全域数据集中的方法 |
| CN104468574B (zh) * | 2014-12-05 | 2018-03-23 | 中国联合网络通信集团有限公司 | 一种虚拟机动态获取ip地址的方法、系统及装置 |
| CN104735084A (zh) * | 2015-04-13 | 2015-06-24 | 国家电网公司 | 一种防火墙基线策略审计方法 |
| CN106302466B (zh) * | 2016-08-17 | 2019-04-26 | 东软集团股份有限公司 | 一种防火墙的管理方法及系统 |
| CN106790231A (zh) * | 2017-01-16 | 2017-05-31 | 武汉阳光荣信息智慧科技有限公司 | 安全域的生成方法、装置及安全运维监管系统 |
-
2017
- 2017-12-26 CN CN201711436104.7A patent/CN108173842B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104092676A (zh) * | 2014-06-30 | 2014-10-08 | 复旦大学 | 面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法 |
| CN105530259A (zh) * | 2015-12-22 | 2016-04-27 | 华为技术有限公司 | 报文过滤方法及设备 |
| CN105634998A (zh) * | 2016-03-30 | 2016-06-01 | 中国联合网络通信集团有限公司 | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108173842A (zh) | 2018-06-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108173842B (zh) | 基于openstack云平台的软件定义防火墙的部署优化方法 | |
| US10666609B2 (en) | Management of domain name systems in a large-scale processing environment | |
| US20200159520A1 (en) | Distributed upgrade in virtualized computing environments | |
| CN109040276B (zh) | 一种构建云平台的方法、装置、计算机存储介质及终端 | |
| US20200004570A1 (en) | Dynamically scaled hyperconverged system | |
| WO2016155394A1 (zh) | 一种虚拟网络功能间链路建立方法及装置 | |
| CN105354076A (zh) | 一种应用部署方法及装置 | |
| CN104348873A (zh) | 虚拟网元自动装载及虚拟机ip地址获取的方法与系统 | |
| CN112130957B (zh) | 一种容器突破虚拟化隔离使用智能网卡的方法与系统 | |
| CN102255903A (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN103346981A (zh) | 虚拟交换方法、相关装置和计算机系统 | |
| WO2016180181A1 (zh) | 业务功能的部署方法及装置 | |
| EP2800306B1 (en) | Rule set arrangement processing method and apparatus, and trunking data system | |
| WO2015165095A1 (zh) | 一种虚拟基站的创建方法及基站云设备 | |
| WO2017128953A1 (zh) | 服务器虚拟化网络共享的装置和方法 | |
| CN110297670B (zh) | 一种提高容器云上分布式任务训练效率的方法及系统 | |
| CN103747020B (zh) | 一种安全可控的公网访问虚拟资源方法 | |
| CN105429938A (zh) | 一种资源配置方法及装置 | |
| CN103607432A (zh) | 一种网络创建的方法和系统及网络控制中心 | |
| CN108574613B (zh) | Sdn数据中心的二层互通方法及装置 | |
| CN110764918A (zh) | 一种容器集群中主节点管理方法 | |
| CN114942826A (zh) | 跨网络多集群系统及其访问方法及云计算设备 | |
| CN104363306A (zh) | 一种企业私有云管理控制方法 | |
| CN112351106B (zh) | 一种含事件网格的服务网格平台及其通信方法 | |
| Bousselmi et al. | Towards a massively distributed IaaS operating system: Composition and evaluation of OpenStack |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |