CN109039823B - 一种网络系统防火墙检测方法、装置、设备及存储介质 - Google Patents

一种网络系统防火墙检测方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN109039823B
CN109039823B CN201810968338.4A CN201810968338A CN109039823B CN 109039823 B CN109039823 B CN 109039823B CN 201810968338 A CN201810968338 A CN 201810968338A CN 109039823 B CN109039823 B CN 109039823B
Authority
CN
China
Prior art keywords
virtual machine
network
tenant
protocol
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810968338.4A
Other languages
English (en)
Other versions
CN109039823A (zh
Inventor
王晓宇
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Yunhai Information Technology Co Ltd
Original Assignee
Zhengzhou Yunhai Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Yunhai Information Technology Co Ltd filed Critical Zhengzhou Yunhai Information Technology Co Ltd
Priority to CN201810968338.4A priority Critical patent/CN109039823B/zh
Publication of CN109039823A publication Critical patent/CN109039823A/zh
Application granted granted Critical
Publication of CN109039823B publication Critical patent/CN109039823B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0817Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking functioning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种网络系统防火墙检测方法、装置、设备及存储介质,包括:创建第一租户、第二租户及在第一租户内部的第一网络、第二租户内部的第二网络,同时分别在第一租户、第二租户的内部创建第一虚拟机、第二虚拟机并分配虚拟机IP地址;设置第一虚拟机、第二虚拟机安全组出口和入口协议;检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台;其中,所述第一路由器与第二路由器连接同一外部网络,且第一路由器、第二路由器分别设置连接第一网络、第二网络的内网接口;本发明便于非网络模块的测试开发人员自行检测网络防火墙是否正常,节省测试和开发人员预检测网络功能时间,以便更早进行测试和网络开发。

Description

一种网络系统防火墙检测方法、装置、设备及存储介质
技术领域
本发明属于网络配置技术领域,具体涉及一种网络系统防火墙检测方法、装置、设备及存储介质。
背景技术
OpenStack是一个开源的云计算管理平台项目,由几个主要的组件组合起来完成具体工作。OpenStack支持几乎所有类型的云环境,项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack通过各种互补的服务提供了基础设施即服务(IaaS)的解决方案,每个服务提供API以进行集成。防火墙是Neutron的一个高级服务。用户可以用它来创建和管理防火墙,在子网的边界上对layer3和layer4的流量进行过滤。
传统网络中的防火墙一般放在网关上,用来控制子网之间的访问。防火墙的原理也一样,是在Neutron虚拟路由上应用防火墙规则,控制进出租户网络的数据。租户能够创建和管理的逻辑防火墙资源。防火墙必须关联某个策略,因此必须先创建策略。策略是规则的集合,防火墙会按顺序应用策略中的每一条规则。规则是访问控制规则,由源与目的子网IP、源与目的端口、协议、allow或deny动作组成。例如,我们可以创建一条规则,允许外部网络通过ssh访问租户网络中的instance,端口为22。防火墙的应用对象是路由,可以在安全组之前控制外部过来的流量,但是对于同一个子网内的流量不作限制。
现有技术中针对网络系统防火墙是否正常通常是运维人员检测,开发和测试人员无法实时自行检测防火墙功能是否正常,耗费大量时间,因此,亟需一种网络系统防火墙检测方法、装置、设备及存储介质,解决上述问题。
发明内容
本发明的目的在于,针对上述现有技术存在的缺陷,提供一种基于openstack的网络系统防火墙检测方法,可以帮助开发测试人员提供一种检测防火墙功能是否正常的方法,节省开发和测试人员可以自行检查防火墙功能是否正常,减少预检测系统的时间。
第一方面,本申请实施例提供一种网络系统防火墙检测方法,所述方法包括:
创建第一租户、第二租户及在第一租户内部的第一网络、第二租户内部的第二网络,同时分别在第一租户、第二租户的内部创建第一虚拟机、第二虚拟机并分配虚拟机IP地址;
设置第一虚拟机、第二虚拟机安全组出口和入口协议;
检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台;
其中,所述第一路由器与第二路由器连接同一外部网络,且第一路由器、第二路由器分别设置连接第一网络、第二网络的内网接口。
结合第一方面,在第一方面的第一种实施方式中,所述设置第一虚拟机、第二虚拟机安全组出口和入口协议包括:
设置第一虚拟机、第二虚拟机安全组为icmp出口和入口的协议或TCP出口和入口协议。
结合第一方面,在第一方面的第二种实施方式中,所述检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台包括:
第一虚拟机、第二虚拟机安全组设置为icmp出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可ping通对方的IP地址判断防火墙功能是否正常。
结合第一方面,在第一方面的第三种实施方式中,所述检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台包括:
第一虚拟机、第二虚拟机安全组设置为TCP出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可通过ssh访问对方IP地址登陆对方控制台判断防火墙功能是否正常。
第二方面,本申请实施例提供一种网络系统防火墙检测装置,包括:
创建单元,配置用于创建第一租户、第二租户及在第一租户内部的第一网络、第二租户内部的第二网络,同时分别在第一租户、第二租户的内部创建第一虚拟机、第二虚拟机并分配虚拟机IP地址;
设置单元,配置用于设置第一虚拟机、第二虚拟机安全组出口和入口协议;
检测单元,配置用于检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台;
其中,所述第一路由器与第二路由器连接同一外部网络,且第一路由器、第二路由器分别设置连接第一网络、第二网络的内网接口。
结合第二方面,在第二方面的第一种实施方式中,所述设置单元具体用于:
设置第一虚拟机、第二虚拟机安全组为icmp出口和入口的协议或TCP出口和入口协议。
结合第二方面,在第二方面的第二种实施方式中,所述检测单元具体用于:
第一虚拟机、第二虚拟机安全组设置为icmp出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可ping通对方的IP地址判断防火墙功能是否正常。
结合第二方面,在第二方面的第三种实施方式中,所述检测单元具体用于:
第一虚拟机、第二虚拟机安全组设置为TCP出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可通过ssh访问对方IP地址登陆对方控制台判断防火墙功能是否正常。
第三方面,本申请实施例提供一种设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序,当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如第一方面及第一方面任一种实施方式所述的方法。
第四方面,本申请实施例提供一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现如第一方面及第一方面任一种实施方式所述的方法。
本发明的有益效果在于:
本发明提供的网络系统防火墙检测方法,通过创建两个网络租户及内部网、虚拟机,在两租户的虚拟机内添加出入口协议,通过检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台判断防火墙功能是否正常,便于非网络模块的测试开发人员自行检测网络防火墙是否正常。节省测试和开发人员预检测网络功能时间,以便更早进行测试和网络开发。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
由此可见,本发明与现有技术相比,具有突出的实质性特点和显著地进步,其实施的有益效果也是显而易见的。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请一个实施例的方法的示意性流程图;
图2为本申请一个实施例的网络系统结构图;
图3为本申请一个实施例的装置的示意性框图;
图4为本发明实施例提供的一种设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
下面对本申请中出现的关键术语进行解释:
VDC:租户;
ExtNet:External net外部网络;
Inner net:内部网络;
VM:virtual machine虚拟机;
Router:路由器。
应理解,文中描述的第一、第二只是为了指代和区别不同的网络、虚拟机、信号、指令等,其中,第一、第二不具有先后顺序的限定。
图1是本申请一个实施例的方法的示意性流程图。其中,图1执行主体可以为一种一种网络系统防火墙检测的装置。
如图1所示,该方法100包括:
步骤110,创建第一租户、第二租户及在第一租户内部的第一网络、第二租户内部的第二网络,同时分别在第一租户、第二租户的内部创建第一虚拟机、第二虚拟机并分配虚拟机IP地址;
步骤120,设置第一虚拟机、第二虚拟机安全组出口和入口协议;
步骤130,检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台;
其中,所述第一路由器与第二路由器连接同一外部网络,且第一路由器、第二路由器分别设置连接第一网络、第二网络的内网接口。
为了便于对本发明的理解,下面以本发明网络系统防火墙检测的原理,结合实施例中对网络系统防火墙检测的过程,对本发明提供的网络系统防火墙检测做进一步的描述。
可选地,作为本申请一个实施例,所述设置第一虚拟机、第二虚拟机安全组出口和入口协议包括:
设置第一虚拟机、第二虚拟机安全组为icmp出口和入口的协议或TCP出口和入口协议。
结合第一方面,在第一方面的第二种实施方式中,所述检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台包括:
第一虚拟机、第二虚拟机安全组设置为icmp出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可ping通对方的IP地址判断防火墙功能是否正常。
结合第一方面,在第一方面的第三种实施方式中,所述检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台包括:
第一虚拟机、第二虚拟机安全组设置为TCP出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可通过ssh访问对方IP地址登陆对方控制台判断防火墙功能是否正常。
具体的,所述网络系统结构图如图2所示,网络防火墙检测方法包括:
S1、创建两个租户VDC_A、VDC_B,同时VDC_A租户、VDC_B租户分别创建内部网络Inner netA、Inner netB;
S2、VDC_A租户中创建虚拟机VMA,网络配置内部网络Inner netA,虚拟机创建成功时,成功分配虚拟机ipA;同样的,VDC_B租户中创建虚拟机VMB,网络配置内部网络InnernetB,虚拟机创建成功时,成功分配虚拟机ipB。
S3、VDC_A租户中创建路由器RouterA,路由器RouterA的外部网络选择ExtNet,并且在路由器RouterA的接口添加内网InnernetA的接口;同样的,VDC_A租户中创建路由器RouterB,路由器RouterB的外部网络选择ExtNet,并且在路由器RouterB的接口添加内网InnernetB的接口。两个租户VDC_A、VDC_B共享一个外部网络External net,且两个租户VDC_A、VDC_B的内部网络均通过各自路由与外部网络相连接。
S4、在VDC_A租户项目下的安全组中设置icmp出口和入口的协议,这个协议可以通过支持ping的方式检验。同理对于VDC_B项目下的安全组也需要添加。
S5、通过icmp协议测试防火墙功能,需在VDC_A防火墙规则中添加两条imcp协议,第一条协议是源IP/CIDR是VMA租户所在内网InnernetA,目的IP/CIDR是ExtNet的网段,不用填写端口。第二条协议源IP/CIDR是ExtNet的网段,目的IP/CIDR是VMA租户所在的内网InnernetA网段,不用填写端口。同样的,也需要在VDC_B防火墙规则中添加两条imcp协议,第一条协议是源IP/CIDR是VMB租户所在的内网InnernetB,目的IP/CIDR是ExtNet的网段,不用填写端口。第二条协议源IP/CIDR是ExtNet的网段,目的IP/CIDR是VMB租户所在的内网InnernetB网段,不用填写端口。此时,在VMA的控制台如果可以ping通ipB,并且在VMB的控制台可以ping通ipA,可以证明防火墙的icmp协议功能是正常的。
具体的,所述网络防火墙检测方法还包括:
S1、创建两个租户VDC_A、VDC_B,同时VDC_A租户、VDC_B租户分别创建内部网络Inner netA、Inner netB;
S2、VDC_A租户中创建虚拟机VMA,网络配置内部网络Inner netA,虚拟机创建成功时,成功分配虚拟机ipA;同样的,VDC_B租户中创建虚拟机VMB,网络配置内部网络InnernetB,虚拟机创建成功时,成功分配虚拟机ipB。
S3、VDC_A租户中创建路由器RouterA,路由器RouterA的外部网络选择ExtNet,并且在路由器RouterA的接口添加内网InnernetA的接口;同样的,VDC_A租户中创建路由器RouterB,路由器RouterB的外部网络选择ExtNet,并且在路由器RouterB的接口添加内网InnernetB的接口。两个租户VDC_A、VDC_B共享一个外部网络External net,且两个租户VDC_A、VDC_B的内部网络均通过各自路由与外部网络相连接。
S4、在VDC_A租户项目下的安全组中设置TCP出口和入口的协议,这个协议可以通过ssh登陆的方式检验网络。同理对于VDC_B租户项目下的安全组也需要添加。
S5、通过ssh协议测试防火墙功能,需在VDC_A租户防火墙规则中添加两条tcp协议,第一条协议是源IP/CIDR是VMA所在的内网InnernetA,源端口不填写,目的IP/CIDR是ExtNet的网段,目的端口填写22。第二条协议源IP/CIDR是ExtNet的网段,源端口不填写,目的IP/CIDR是VMA所在的内网InnerNet_A网段,目的端口填写22。同样的,也需要在VDC_B租户防火墙规则中添加两条tcp协议,第一条协议是源IP/CIDR是VMB所在的内网InnernetB,源端口不填写,目的IP/CIDR是ExtNet的网段,目的端口填写22。第二条协议源IP/CIDR是ExtNet的网段,目的端口填写22,目的IP/CIDR是VMB所在的内网InnernetB网段,目的端口填写22。此时,在VMA的控制台如果可以ssh访问ipB登陆到VMB的控制台,并且在VMB的控制台可以通过ssh访问ipA登陆到VMA的控制台,可以证明防火墙的ssh协议功能是正常的。
上述两种验证方法,便于非网络模块的测试开发人员自行检测网络防火墙是否正常。节省测试和开发人员预检测网络功能时间,以便更早进行测试和网络开发。
如图3所示,该装置300包括:
创建单元310,配置用于创建第一租户、第二租户及在第一租户内部的第一网络、第二租户内部的第二网络,同时分别在第一租户、第二租户的内部创建第一虚拟机、第二虚拟机并分配虚拟机IP地址;
设置单元320,配置用于设置第一虚拟机、第二虚拟机安全组出口和入口协议;
检测单元330,配置用于检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台;
其中,所述第一路由器与第二路由器连接同一外部网络,且第一路由器、第二路由器分别设置连接第一网络、第二网络的内网接口。
可选的,作为本申请一个实施例,所述设置单元320具体用于:
设置第一虚拟机、第二虚拟机安全组为icmp出口和入口的协议或TCP出口和入口协议。
可选的,作为本申请一个实施例,所述检测单元330具体用于:
第一虚拟机、第二虚拟机安全组设置为icmp出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可ping通对方的IP地址判断防火墙功能是否正常。
可选的,作为本申请一个实施例,所述检测单元330具体用于:
第一虚拟机、第二虚拟机安全组设置为TCP出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可通过ssh访问对方IP地址登陆对方控制台判断防火墙功能是否正常。
图4为本发明实施例提供的一种设备装置400的结构示意图,该设备装置400可以用于执行本申请实施例提供的更新散热策略参数的方法。
其中,该设备装置400可以包括:处理器410、存储器420及通信单元440。这些组件通过一条或多条总线进行通信,本领域技术人员可以理解,图中示出的服务器的结构并不构成对本申请的限定,它既可以是总线形结构,也可以是星型结构,还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中,该存储器420可以用于存储处理器410的执行指令,存储器420可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。当存储器420中的执行指令由处理器410执行时,使得终端400能够执行以下上述方法实施例中的部分或全部步骤。
处理器410为存储设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器420内的软件程序和/或模块,以及调用存储在存储器内的数据,以执行电子设备的各种功能和/或处理数据。所述处理器可以由集成电路(Integrated Circuit,简称IC)组成,例如可以由单颗封装的IC所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。举例来说,处理器410可以仅包括中央处理器(Central Processing Unit,简称CPU)。在本申请实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
通信单元440,用于建立通信信道,从而使所述存储设备可以与其它设备进行通信。接收其他设备发送的用户数据或者向其他设备发送用户数据。
本申请还提供一种计算机存储介质,其中,该计算机存储介质可存储有程序,该程序执行时可包括本申请提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
因此,本申请通过创建两个网络租户及内部网、虚拟机,在两租户的虚拟机内添加出入口协议,通过检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台判断防火墙功能是否正常,便于非网络模块的测试开发人员自行检测网络防火墙是否正常。节省测试和开发人员预检测网络功能时间,以便更早进行测试和网络开发,本实施例所能达到的技术效果可以参见上文中的描述,此处不再赘述。
本领域的技术人员可以清楚地了解到本申请实施例中的技术可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请实施例中的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中如U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者第二设备、网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于终端实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。

Claims (4)

1.一种网络系统防火墙检测方法,其特征在于,所述方法包括:
创建第一租户、第二租户及在第一租户内部的第一网络、第二租户内部的第二网络,同时分别在第一租户、第二租户的内部创建第一虚拟机、第二虚拟机并分配虚拟机IP地址;
设置第一虚拟机、第二虚拟机安全组出口和入口协议;
检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台;
其中,第一路由器与第二路由器连接同一外部网络,且第一路由器、第二路由器分别设置连接第一网络、第二网络的内网接口;
所述设置第一虚拟机、第二虚拟机安全组出口和入口协议包括:
设置第一虚拟机、第二虚拟机安全组为icmp出口和入口的协议,或TCP出口和入口协议;
所述检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台包括:
第一虚拟机、第二虚拟机安全组设置为icmp出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可ping通对方的IP地址判断防火墙功能是否正常;
所述检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台包括:
第一虚拟机、第二虚拟机安全组设置为TCP出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可通过ssh访问对方IP地址登陆对方控制台判断防火墙功能是否正常。
2.一种网络系统防火墙检测装置,其特征在于,所述装置包括:
创建单元,配置用于创建第一租户、第二租户及在第一租户内部的第一网络、第二租户内部的第二网络,同时分别在第一租户、第二租户的内部创建第一虚拟机、第二虚拟机并分配虚拟机IP地址;
设置单元,配置用于设置第一虚拟机、第二虚拟机安全组出口和入口协议;
检测单元,配置用于检测第一虚拟机、第二虚拟机是否均可通过对方的IP地址登陆对方虚拟机的控制台;
其中,第一路由器与第二路由器连接同一外部网络,且第一路由器、第二路由器分别设置连接第一网络、第二网络的内网接口;
所述设置单元具体用于:
设置第一虚拟机、第二虚拟机安全组为icmp出口和入口的协议,或TCP出口和入口协议;
所述检测单元具体用于:
第一虚拟机、第二虚拟机安全组设置为icmp出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可ping通对方的IP地址判断防火墙功能是否正常;
所述检测单元具体用于:
第一虚拟机、第二虚拟机安全组设置为TCP出口和入口的协议时,检测第一虚拟机、第二虚拟机的控制台是否均可通过ssh访问对方IP地址登陆对方控制台判断防火墙功能是否正常。
3.一种网络系统防火墙检测设备,其特征在于,所述设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行时,使得所述一个或多个处理器执行如权利要求1所述的方法。
4.一种存储有计算机程序的计算机可读存储介质,其特征在于,该程序被处理器执行时实现如权利要求1所述的方法。
CN201810968338.4A 2018-08-23 2018-08-23 一种网络系统防火墙检测方法、装置、设备及存储介质 Active CN109039823B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810968338.4A CN109039823B (zh) 2018-08-23 2018-08-23 一种网络系统防火墙检测方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810968338.4A CN109039823B (zh) 2018-08-23 2018-08-23 一种网络系统防火墙检测方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN109039823A CN109039823A (zh) 2018-12-18
CN109039823B true CN109039823B (zh) 2022-03-04

Family

ID=64628214

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810968338.4A Active CN109039823B (zh) 2018-08-23 2018-08-23 一种网络系统防火墙检测方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN109039823B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111371636B (zh) * 2020-02-16 2021-10-22 苏州浪潮智能科技有限公司 一种基于云平台的端口转发功能测试方法及系统
CN111343661B (zh) * 2020-03-16 2023-06-16 深圳市吉祥腾达科技有限公司 一种黑名单功能的测试方法、装置及计算机可读存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107342895A (zh) * 2017-06-26 2017-11-10 网宿科技股份有限公司 一种多租户的网络优化方法、系统、计算设备及存储介质
CN107517119A (zh) * 2016-06-17 2017-12-26 阿里巴巴集团控股有限公司 Vpc环境下的虚拟网络检测方法以及装置
CN107959689A (zh) * 2018-01-10 2018-04-24 北京工业大学 一种云平台租户网络隔离测试方法

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20150066553A1 (en) * 2013-08-27 2015-03-05 Connectloud, Inc. Method and apparatus for multi-tenant service catalog for a software defined cloud

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107517119A (zh) * 2016-06-17 2017-12-26 阿里巴巴集团控股有限公司 Vpc环境下的虚拟网络检测方法以及装置
CN107342895A (zh) * 2017-06-26 2017-11-10 网宿科技股份有限公司 一种多租户的网络优化方法、系统、计算设备及存储介质
CN107959689A (zh) * 2018-01-10 2018-04-24 北京工业大学 一种云平台租户网络隔离测试方法

Also Published As

Publication number Publication date
CN109039823A (zh) 2018-12-18

Similar Documents

Publication Publication Date Title
US11533341B2 (en) Technologies for scalable security architecture of virtualized networks
US10721258B2 (en) Technologies for secure personalization of a security monitoring virtual network function
US11522905B2 (en) Malicious virtual machine detection
CN102110197B (zh) 多核处理器的计算环境中实现tpm的方法及其系统
US8949399B2 (en) Dynamic configuration of virtual machines
CN109951325B (zh) 一种网络线缆连接检查方法和装置
KR101120304B1 (ko) 네트워크 인터페이스 컴포넌트에 대한 가입 요청을 관리하는 장치 및 방법
US9584479B2 (en) Virtual firewall load balancer
CN107566152A (zh) 用于虚拟网络链路检测的方法及装置
US20210312472A1 (en) Method and system for prediction of smart contract violation using dynamic state space creation
CN109039823B (zh) 一种网络系统防火墙检测方法、装置、设备及存储介质
EP3391275A1 (en) Trust based computing
CN114826969B (zh) 网络连通性检查方法、装置、设备及存储介质
JP2017050672A (ja) 仮想ネットワーク監視システム、仮想ネットワーク監視方法、及び、プログラム
CN111818081B (zh) 虚拟加密机管理方法、装置、计算机设备和存储介质
Zhan et al. CIADL: cloud insider attack detector and locator on multi-tenant network isolation: an OpenStack case study
CN109445910B (zh) 一种虚拟机vlan管理方法、装置、终端及存储介质
EP4333403A1 (en) Auto-scaling service mesh for virtual machines
CN116192485A (zh) 一种数据包校验方法、系统、装置、设备及介质
Kumar Inter-Docker Cluster Communication Across Different Network Regions Using EVPN
Bharati et al. Security Vulnerabilities of OpenStack Cloud and Security Assessment Using
CN117978684A (zh) Nat网关可用性探测方法和装置
CN115242520A (zh) 一种安全策略验证方法、装置,安全网关及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant