CN109120577B - 一种防火墙部署方法及装置 - Google Patents
一种防火墙部署方法及装置 Download PDFInfo
- Publication number
- CN109120577B CN109120577B CN201710488930.XA CN201710488930A CN109120577B CN 109120577 B CN109120577 B CN 109120577B CN 201710488930 A CN201710488930 A CN 201710488930A CN 109120577 B CN109120577 B CN 109120577B
- Authority
- CN
- China
- Prior art keywords
- firewall
- nsm
- function module
- functional module
- management function
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/4557—Distribution of virtual machine instances; Migration and load balancing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种防火墙部署方法及装置,该方法包括:NSM功能模块接收防火墙部署指令,并根据防火墙部署指令,向至少一个防火墙管理功能模块发送请求消息,请求消息中包括防火墙性能需求;以及,接收至少一个防火墙管理功能模块返回的符合防火墙性能需求的防火墙的性能信息,并进行综合决策,确定出待部署防火墙。由此可知,本申请中,NSM功能模块接收的为至少一个防火墙管理功能模块返回的符合防火墙性能需求的防火墙的性能信息,从而避免了大量上报所引起的信令开销;且,由于NSM功能模块是根据符合防火墙性能需求的防火墙的性能信息进行综合决策,从而能够降低NSM功能模块综合决策的运算开销。
Description
技术领域
本发明涉及通信技术领域,特别涉及一种防火墙部署方法及装置。
背景技术
传统的电信系统通过各种专用的硬件设备组成,不同的应用采用不同的硬件设备。随着网络规模的增长,系统越来越复杂,带来了诸多的挑战,包括新增业务的开发上线、系统的运维、资源利用率等。为了应对这些挑战及利用IT业界的虚拟化技术及云计算技术,在2012年10月22日召开的“SDN and OpenFlow World Congress”会议上,全球主要的13个电信运营商联合发布了网络功能虚拟化(Network Functions Virtualization,NFV)白皮书,并宣布在欧洲电信标准化协会(European Telecommunications StandardsInstitute,ETSI)成立NFV ISG,制定NFV的需求及技术框架。
NFV ISG定义的网络功能虚拟化(Network Functions Virtualization,NFV)的框架中包括:NFV管理和编排系统(NFV Management and Orchestration,NFV MANO)、NFV基础设施层(NFV Infrastructure,NFVI)、多个虚拟网络功能(Virtual Network Function,VNF)、多个网元管理(Element Management,EM)、网络服务、VNF和基础设施描述(NetworkService,VNF and Infrastructure Description),以及业务支持管理系统(Operation-Support System/Business Support System,OSS/BSS)。其中,NFV管理和编排系统包括NFV编排器(NFV Orchestrator,NFVO),一个或多个VNF管理(VNF Manager,VNFM)和虚拟化基础设施管理器(Virtualized Infrastructure Manager,VIM)。
通过NFV ISG制定的标准,可以实现网络的虚拟化、灵活部署、灵活扩容等能力,与此同时,NFV系统中的安全问题也更加复杂化。
发明内容
本申请提供一种防火墙部署方法,用于解决NFV系统中在网元边缘部署防火墙的技术问题。
第一方面,本申请提供一种防火墙部署方法,包括:
网络安全管理NSM功能模块接收防火墙部署指令;
所述NSM功能模块根据所述防火墙部署指令,向至少一个防火墙管理功能模块发送请求消息,所述请求消息中包括防火墙性能需求;
所述NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息,所述至少一个防火墙管理功能模块中的任一防火墙管理功能模块返回的响应消息中包括所述任一防火墙管理功能模块从所述任一防火墙管理功能模块管理的一个或多个防火墙中选择出的符合所述防火墙性能需求的防火墙的性能信息;
所述NSM功能模块根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与所述防火墙部署指令对应的待部署防火墙。
如此,NSM功能模块向至少一个防火墙管理功能模块发送防火墙性能需求,并接收至少一个防火墙管理功能模块返回的符合防火墙性能需求的防火墙的性能信息,相比于现有技术来说,防火墙管理功能模块无需上报其管理的所有防火墙的性能信息,从而避免了大量上报所引起的信令开销;且,由于NSM功能模块是根据防火墙管理功能模块返回的符合防火墙性能需求的防火墙的性能信息进行综合决策,从而能够降低NSM功能模块综合决策的运算开销。
在一种可能的设计中,所述请求消息中还包括根据所述防火墙部署指令得到的请求标识;
所述NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息,包括:
所述NSM功能模块接收所述至少一个防火墙管理功能模块返回的响应消息;
所述NSM功能模块针对于所述任一防火墙管理功能模块返回的任一响应消息,若确定所述任一响应消息中包括与所述请求标识对应的响应标识,则确定所述任一响应消息为所述任一防火墙管理功能模块根据所述请求消息返回的响应消息。
如此,NSM功能模块发送的请求消息中包括请求标识,从而可以根据响应消息中是否包括与请求消息对应的响应标识来识别响应消息和请求消息的对应关系,保证全局的统一识别和调度。
在一种可能的设计中,所述至少一个防火墙管理功能模块包括虚拟网络层的防火墙管理功能模块、基础设施层的防火墙管理功能模块和物理层的防火墙管理功能模块中的任一个或任意多个。
第二方面,本申请提供一种防火墙部署方法,所述方法包括:
防火墙管理功能模块接收NSM功能模块发送的请求消息,所述请求消息中包括防火墙性能需求;
所述防火墙管理功能模块从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙,并向所述NSM功能模块返回响应消息,所述响应消息中包括选择出的防火墙的性能信息。
如此,防火墙管理功能模块接收到防火墙性能需求后,可通过本地决策选择出符合所述防火墙性能需求的防火墙,并上报选择出的防火墙的性能信息,相比于现有技术来说,防火墙管理功能模块无需上报其管理的所有防火墙的性能信息,从而避免了大量上报所引起的信令开销。
在一种可能的设计中,所述防火墙管理功能模块向所述NSM功能模块返回响应消息,包括:
所述防火墙管理功能模块若确定所述请求消息中包括请求标识,则向所述NSM功能模块返回的响应消息中包括与所述请求标识对应的响应标识。
在一种可能的设计中,所述防火墙管理功能模块为虚拟网络层的防火墙管理功能模块或基础设施层的防火墙管理功能模块或物理层的防火墙管理功能模块。
第三方面,本申请提供一种服务器,所述服务器包括NSM功能模块;
所述NSM功能模块包括接收单元、发送单元和处理单元;
所述接收单元,用于接收防火墙部署指令;
所述发送单元,用于根据所述防火墙部署指令,向至少一个防火墙管理功能模块发送请求消息,所述请求消息中包括防火墙性能需求;
所述接收单元,还用于接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息,所述至少一个防火墙管理功能模块中的任一防火墙管理功能模块返回的响应消息中包括所述任一防火墙管理功能模块从所述任一防火墙管理功能模块管理的一个或多个防火墙中选择出的符合所述防火墙性能需求的防火墙的性能信息;
所述处理单元,用于根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与所述防火墙部署指令对应的待部署防火墙。
在一种可能的设计中,所述请求消息中还包括根据所述防火墙部署指令得到的请求标识;
所述接收单元具体用于:接收所述至少一个防火墙管理功能模块返回的响应消息;
所述处理单元具体用于:针对于所述任一防火墙管理功能模块返回的任一响应消息,若确定所述任一响应消息中包括与所述请求标识对应的响应标识,则确定所述任一响应消息为所述任一防火墙管理功能模块根据所述请求消息返回的响应消息。
第三方面,本申请提供一种服务器,所述服务器包括包括防火墙管理功能模块;
所述防火墙管理功能模块包括接收单元,发送单元和处理单元;
所述接收单元,用于接收NSM功能模块发送的请求消息,所述请求消息中包括防火墙性能需求;
所述处理单元,用于从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙;
所述发送单元,用于向所述NSM功能模块返回响应消息,所述响应消息中包括所述处理单元选择出的防火墙的性能信息。
在一种可能的设计中,所述处理单元还用于:确定所述请求消息中是否包括请求标识;
所述发送单元具体用于:在所述处理单元确定所述请求消息中包括请求标识的情况下,向所述NSM功能模块返回的响应消息中包括与所述请求标识对应的响应标识。
第五方面,本申请还提供了一种服务器,该服务器具有实现上述第一方面方法示例中NSM功能模块行为的功能。所述服务器的结构中包括通信模块、处理器、总线以及存储器,其中,所述处理器和所述存储器通过所述总线连接;处理器调用存储在所述存储器中的指令,执行上述方法。所述通信模块可以为RF电路、WiFi模块、通信接口、蓝牙模块等。
在一个可能的设计中,所述通信模块,用于接收防火墙部署指令;根据所述防火墙部署指令,向至少一个防火墙管理功能模块发送请求消息;接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息。所述处理器,用于根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与所述防火墙部署指令对应的待部署防火墙。
第六方面,本申请还提供了一种服务器,该服务器具有实现上述第二方面方法示例中防火墙管理功能模块行为的功能。所述服务器的结构中包括通信模块、处理器、总线以及存储器,其中,所述处理器和所述存储器通过所述总线连接;处理器调用存储在所述存储器中的指令,执行上述方法。所述通信模块可以为RF电路、WiFi模块、通信接口、蓝牙模块等。
在一个可能的设计中,所述通信模块,用于接收NSM功能模块发送的请求消息,所述请求消息中包括防火墙性能需求;向所述NSM功能模块返回响应消息。所述处理器,用于根据防火墙性能需求,从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙。
本申请还提供了一种计算机可读存储介质,所述存储介质存储有指令,当所述指令在计算机上运行时,使得计算机实现执行上述任意一种设计提供的防火墙部署方法。
本申请还提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述任意一种设计提供的防火墙部署方法。
本申请还提供了一种计算机程序,当其在计算机上运行时,使得计算机执行上述任意一种设计提供的防火墙部署方法。
附图说明
图1a为NFV的系统架构图;
图1b为三种安全管理域的系统架构图;
图2为现有技术中的防火墙部署方式流程示意图;
图3为本申请提供的一种NFV系统的防火墙部署方法所对应的流程示意图;
图4为vEPC网络部分内容示意图;
图5为本申请具体示例的整体流程示意图;
图6为综合决策的过程示意图;
图7为本申请提供的第一种服务器的结构示意图;
图8为本申请提供的第二种服务器的结构示意图;
图9为本申请提供的第三种服务器的结构示意图;
图10为本申请提供的第四种服务器的结构示意图。
具体实施方式
下面结合说明书附图对本申请进行具体说明。
图1a为NFV的系统架构图,所述NFV系统100可以在各种网络中使用,例如,在一个数据中心网络、运营商网络或局域网来实现。
如图1a所示,所述NFV系统100包括NFV MANO 101、NFVI 130、多个VNF 108(VNF1、VNF2和VNF3)、多个EM 122(EM1、EM2和EM3)、网络服务、VNF和基础设施描述126,以及OSS/BSS 124。其中,NFV MANO 101包括NFVO 102,一个或多个VNFM 104和VIM 106。NFVI 130包括计算硬件112、存储硬件114、网络硬件116、虚拟化层(Virtualization Layer)、虚拟计算110、虚拟存储118和虚拟网络120。其中,网络服务、VNF和基础设施描述126和OSS/BSS 124在ETSI GS NFV 002V1.1.1标准中有进一步的讨论。
NFV MANO 101用于执行对VNF 108和NFVI 130的监视和管理。NFVO 102可以实现在NFVI 130上的网络服务(如L2和L3VPN服务),也可以执行来自一个或多个VNFM 104的资源相关请求,发送配置信息到VNFM 104,并收集VNF 108的状态信息。另外,NFVO 102可以与VIM 106通信,以实现资源的分配和/或预留以及交换虚拟化硬件资源的配置和状态信息。所述VNFM 104可以管理一个或多个VNF 108。VNFM 104可以执行各种管理功能,如实例化、更新、查询、缩放和/或终止VNF 108等。VIM 106可以执行资源管理的功能,例如管理基础设施资源的分配(如增加资源到虚拟容器)和操作功能(如收集NFVI故障信息)。所述VNFM 104和VIM 106可以相互通信进行资源分配和交换虚拟化硬件资源的配置和状态信息。
所述NFVI 130包括硬件资源、软件资源或两者的组合来完成虚拟化环境的部署。换句话说,硬件资源和虚拟化层用于提供虚拟化的资源,例如作为虚拟机和其它形式的虚拟容器,用于VNF 108。硬件资源包括计算硬件112、存储硬件114和网络硬件116。计算硬件112可以是市场上现成的硬件和/或用户定制的硬件,用来提供处理和计算资源。存储硬件114可以是网络内提供的存储容量或驻留在存储硬件114本身的存储容量(位于服务器内的本地存储器)。在一种可能的实现方案中,计算硬件112和存储硬件114的资源可以被集中在一起。网络硬件116可以是交换机、路由器和/或配置成具有交换功能的任何其他网络设备。网络硬件116可以横跨多个域,并且可以包括多个由一个或一个以上传输网络互连的网络。
NFVI 130里面的虚拟化层可以从物理层抽象硬件资源和解耦VNF 108,以便向VNF108提供虚拟化资源。虚拟资源层包括虚拟计算110,虚拟存储118和虚拟网络120。虚拟计算110和虚拟存储118可以以虚拟机、和/或其他虚拟容器的形式提供给VNF 108。例如,一个或一个以上的VNF 108可以部署在一个虚拟机(Virtual Machine)上。虚拟化层抽象网络硬件116从而形成虚拟网络120,虚拟网络120可以包括虚拟交换机(Virtual Switch),所述虚拟交换机用来提供虚拟机和其他虚拟机之间的连接。此外,网络硬件116中的传输网络,可以采用集中式控制平面和一个单独的转发平面(如软件定义网络,SDN)虚拟化。
如图1a所示,VNFM 104可以与VNF 108和EM 122交互来对VNF的生命周期进行管理以及交换配置和状态信息。VNF 108可以被配置为通过一个物理网络设备执行的至少一个网络功能的虚拟化。例如,在一种可能的实现方案中,所述VNF 108可以经过配置以提供IMS网络中的不同网元具备的功能,如代理呼叫会话控制功能(Proxy Call Session ControlFunction,P-CSCF),服务呼叫会话控制功能(Serving Call Session Control Function,S-CSCF)或归属签约用户服务器(Home Subscriber Server,HSS)的网络功能等。EM 122经过配置以对一个或一个以上的VNF 108进行管理。
在NFV场景下,防火墙有三种可能的实现方式,分别是通过虚拟安全功能(VirtualSecurity Function,VSF)、基础设施安全功能(Infrastructure Security Function,ISF)、物理安全功能(Physical Security Function,PSF)来实现,也就是说,NFV场景下的防火墙可包括三种,即虚拟网络层的防火墙管理功能模块管理的防火墙、基础设施层的防火墙管理功能模块管理的防火墙和物理层的防火墙管理功能模块管理的防火墙。需要说明的是,虚拟网络层、基础设施层和物理层也可以理解为三种安全管理域。
图1b为三种安全管理域的系统架构图。相比于图1a来说,图1b中示出了网络安全管理(Network Security Manager,NSM)功能模块140、基础设施安全管理(InfrastructureSecurity Manager,ISM)142、安全网元管理(Security Element Manager,SEM)144、虚拟安全功能(Virtual Security Function,VSF)146;进一步地,图1b中还示出了物理层132,物理层132中包括物理网络功能(Physical Network Function,PNF)134和PSF136。
基于图1b所示出的内容,虚拟网络层的防火墙管理功能模块可以是指图1b中所示出的VNFM101,基础设施层的防火墙管理功能模块可以是指图1b中所示出的ISM142,物理层的防火墙管理功能模块可以是指图1b中所示出的SEM144。
图1b中的NSM功能模块为NFV安全管理模块,负责在业务网络服务(networkservice)中加入合适的安全模块组合成安全的网络服务(security network service)。该组合过程的输入为安全专家根据特定安全规则制定的一组策略,如某网络服务需要在哪些网元间布置那些性能的防火墙并设置哪些规则。然后,NSM功能模块会把这些安全策略与网络服务描述符(Network Service Descriptor,NSD)合并,形成安全的NSD导入给NFVO进行实例化。
根据上述NSM功能模块的功能过程描述可以得知,NSM功能模块需要把安全专家的安全策略映射为具体的防火墙设置才能够实现安全业务的部署。由于安全专家只会给出需要的防火墙类型,并不会指出使用网络中哪些安全管理域的哪个防火墙,因此需要NSM功能模块来协调和调度。
现有技术中,一种可能的防火墙部署方式为:各个安全管理域的防火墙管理功能模块向NSM功能模块上报其所管理的防火墙的性能信息,然后NSM功能模块在所有上报的防火墙中选取符合安全策略的防火墙进行部署。具体来说,参见图2,包括:
步骤201,NSM功能模块接收防火墙部署指令。
此处,NSM功能模块收到防火墙部署指令后,向三个安全管理域的防火墙管理功能模块(即VNFM、SEM、SEM)分别发出上报可用防火墙的指令,对应步骤202a至步骤202c。
步骤202a,NSM功能模块向VNFM发送上报可用防火墙的指令(即为Query Request操作)。
步骤202b,NSM功能模块向SEM发送上报可用防火墙的指令(即为Query Request操作)。
步骤202c,NSM功能模块向SEM发送上报可用防火墙的指令(即为Query Request操作)。
步骤203a,VNFM收到上报可用防火墙的指令后,向NSM功能模块上报所管理的可用防火墙的性能信息(即为Query Response操作)。
步骤203b,SEM收到上报可用防火墙的指令后,向NSM功能模块上报所管理的可用防火墙的性能信息(即为Query Response操作)。
步骤203c,ISM收到上报可用防火墙的指令后,向NSM功能模块上报所管理的可用防火墙的性能信息(即为Query Response操作)。
步骤204,NSM功能模块根据VNFM、SEM和ISM上报的可用防火墙的性能信息进行综合决策,得到待部署防火墙。
此处,NSM功能模块得到待部署防火墙后,向三个安全管理域分别发出决策结果,对应步骤205a至步骤205c。
步骤205a,NSM功能模块将决策结果发送给VNFM。
步骤205b,NSM功能模块将决策结果发送给SEM。
步骤205c,NSM功能模块将决策结果发送给ISM。
步骤206a,VNFM收到决策结果后,进行防火墙准备及更新。
步骤206b,SEM收到决策结果后,进行防火墙准备及更新。
步骤206c,ISM收到决策结果后,进行防火墙准备及更新。
根据上述内容可知,现有技术中的防火墙部署方法需要三个管理域上传大量防火墙的性能信息,从而增加部署防火墙的信令开销,且NSM功能模块需要对大量防火墙的性能信息进行甄别选择,计算开销大;此外,一旦某个安全管理域内的防火墙发生故障、更新等变化,需要按照已有规则再次进行大量甄别优化。
基于此,本申请实施例提供一种防火墙部署方法,在实现各安全管理域的防火墙的综合部署的基础上,大大节省部署信令与NSM功能模块的计算开销。本申请中的防火墙部署方法可应用于NFV系统中,NFV系统可以包括NSM功能模块和至少一个防火墙管理功能模块。
图3为本申请提供的一种NFV系统的防火墙部署方法所对应的流程示意图。如图3所示,该方法可以包括:
步骤301,NSM功能模块接收防火墙部署指令,防火墙部署指令用于指示需要部署一个或多个防火墙。
此处,防火墙部署指令可以是由OSS/BSS发送给NSM功能模块的,或者,也可以是由安全专家制定安全策略而直接向NSM功能模块触发的,本申请对此不做具体限定。
防火墙部署指令中可以包括安全策略,安全策略具体可以是指需要部署的防火墙性能需求。防火墙性能需求可通过防火墙的性能指标来表示。本申请中,防火墙的性能指标可包括一种或多种,例如接口数量(N_int)、中央处理器(Central Processing Unit,CPU)、并发链接数(Link)、吞吐量(Throughput)、延迟(Delay)、过滤带宽(Filter_band)、支持用户数(User)。其中,接口数量反映网络防火墙能够支持的连接方式,如内网、外网;CPU反映系统计算性能;并发链接数反映防火墙能够同时处理多个连接的数量;吞吐量是指在不丢包情况下,单位时间内通过数据包数量;过滤带宽是指在某种加密算法标准下的整体过滤性能;支持用户数反映支持用户数量,每个用户可能有多个连接。为简便示意,各个性能指标可采用其对应的首字母来表示,分别为(N,C,L,U,T,D,F)。
本申请中,安全专家在制定安全策略时,会设计一个或多个防火墙,记为{FW1,FW2,FW3,…},对每一个防火墙会定义相关性能需求,若有强制性需求,则在对应性能位置标明需求值,若无强制需求,则标记为NU1,NU2,……(1,2等序号表示设计时对非强制性要求的优先级,用来在若干防火墙均满足强制性指标情况下,进一步决策)。
举个例子,如某防火墙只对CPU、吞吐量和延迟时间有强制性需求,其要求值分别为4,1M,1ms,而对其它性能无要求,但认为剩下性能重要性F>L>U>N,则可将该防火墙记为FW(NU4,4,NU2,1M,1ms,NU1,NU3)。
下文中先以需要部署一个防火墙为例进行说明。
步骤302,NSM功能模块向所述至少一个防火墙管理功能模块发送请求消息(即为Query Request操作),所述请求消息中包括防火墙性能需求。此处,请求消息中包括的防火墙性能需求与防火墙部署指令中包括的防火墙性能需求相同。
本申请中,NFV系统可包括三个防火墙管理功能模块,分别为VNFM、SEM和ISM。NSM功能模块可向三个防火墙管理功能模块中的任一个或任意多个发送请求消息,为实现防火墙资源的全局调度,优选NSM功能模块向三个防火墙管理功能模块发送请求消息。
针对于上述步骤301和步骤302,一种具体的实现方式为:NSM功能模块接收到防火墙部署指令后,可将防火墙部署指令中所需要部署的防火墙组合成一个防火墙组:{FW1(P1),FW2(P2),FW3(P3),…},其中P为防火墙的性能集合,例如,可用上述描述的七个性能的性能名称首字母表示为:(N,C,L,U,T,D,F)。然后,NSM功能模块生成请求消息,并发送给防火墙管理功能模块。其中,请求消息的消息格式表1所示。
表1:请求消息的消息格式
对应地,三个防火墙管理功能模块均接收到请求消息。
步骤303,防火墙管理功能模块从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙(即进行本地决策),并向所述NSM功能模块返回响应消息(即为Query Response操作),所述响应消息中包括选择出的防火墙的性能信息。
此处,防火墙管理功能模块通过解析请求消息,得到防火墙性能需求,并将自身管理的一个或多个防火墙的性能信息与防火墙性能需求相比较,进而选择出符合防火墙性能需求的防火墙。
举个例子,防火墙管理功能模块管理的防火墙包括防火墙a、防火墙b、防火墙c和防火墙d,经过本地决策后,选择出防火墙a,则可将防火墙a的性能信息发送给NSM功能模块。
对应地,NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息。
此处,NSM功能模块接收三个防火墙管理功能模块返回的响应消息,并通过解析响应消息,得到三个防火墙管理功能模块返回的防火墙的性能信息。例如,VNFM返回一个防火墙的性能信息,SEM返回一个防火墙的性能信息,ISM返回一个防火墙的性能信息。
步骤304,根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与所述防火墙部署指令对应的待部署防火墙。
此处,NSM功能模块根据三个防火墙管理功能模块返回的三个防火墙的性能信息进行综合决策,确定出一个待部署防火墙。
需要说明的是,上述内容是以步骤301中的防火墙部署指令指示需部署一个防火墙为例进行说明的,本申请中,若防火墙部署指令指示需部署多个防火墙,则步骤304中通过综合决策可确定出多个待部署防火墙。
步骤305,将决策结果发送给所述至少一个防火墙管理功能模块。
此处,NSM功能模块若确定待部署防火墙为VNFM中的防火墙,则发送给VNFM的决策结果中包括待部署防火墙的标识,而发送SEM和ISM的决策结果中可不包括待部署防火墙的标识。
步骤306,根据决策结果进行防火墙准备和更新。
此处,VNFM接收到决策结果后,可根据待部署防火墙的标识进行防火墙准备和更新,而SEM和ISM可暂不执行防火墙准备和更新的操作。
本申请中,NSM功能模块可能会接收到多个防火墙部署指令,进而会向防火墙管理功能模块发送多个请求消息,而防火墙管理功能模块接收到多个请求消息后,会向NSM功能模块返回多个响应消息,导致NSM功能模块无法区分各个响应消息是针对于哪个请求消息返回的。为解决这一问题,本申请中,NSM功能模块接收到防火墙部署指令后,可基于防火墙指令生成一个请求标识,并在请求消息中携带该请求标识,如此,防火墙管理功能模块在接收到该请求消息后,可在该请求消息的响应消息中携带与请求标识对应的响应标识,如此,NSM功能模块可准确区分各个响应消息。
举个例子,NSM功能模块接收到两个防火墙部署指令,分别为第一防火墙部署指令和第二防火墙部署指令,第一防火墙部署指令中包括第一防火墙性能需求,第二防火墙部署指令中包括第二防火墙性能需求。NSM功能模块根据第一防火墙部署指令生成请求标识“1”,并向防火墙管理功能模块发送第一请求消息,第一请求消息中包括第一防火墙性能需求和请求标识“1”,以及根据第二防火墙部署指令生成请求标识“2”,并向防火墙管理功能模块发送第二请求消息,第二请求消息中包括第二防火墙性能需求和请求标识“2”。
相应地,防火墙管理功能模块接收到第一请求消息后,返回第一响应消息,第一响应消息中包括与请求标识对应的响应标识,例如,响应标识“1”,NSM功能模块接收到第一响应消息后,根据响应标识“1”可得知第一响应消息与第一请求消息对应。同样地,NSM功能模块接收到第二响应消息后,根据响应标识“2”可得知第二响应消息与第二请求消息对应。
需要说明的是,本申请中的请求标识和响应标识可以为如上述所描述的数字编号,或者也可以为其它能够识别请求消息和响应消息的信息,又或者,请求标识和响应标识也可以是通过请求消息的消息格式(例如,制定防火墙组)和响应消息的消息格式来体现,具体不做限定。
下面结合一个具体示例对本申请中的上述方法进行具体说明。
以应用场景为虚拟分组核心网(virtual Evolved Packet Core,vEPC)为例,图4为vEPC网络部分内容示意图。如图4所示,vEPC网络中可包括终端、演进型基站(EvolvedNodeB,eNB)、虚拟服务网关(virtual Serving Gateway,vSGW)、虚拟移动性管理实体(virtual Mobility Management Entity,vMME)、虚拟分组数据网络网关(virtual PacketData Network Gateway,vPGW)、虚拟归属签约用户服务器(virtual Home SubscriberServer,vHSS)、虚拟策略和计费规则功能(virtual Policy and Charging RulesFunction,vPCRF)。
由于在NFV场景下,各网元之间没有传统EPC的物理防护,处于云化基础上,所以各个网元之间、网元与网络、基站之间在用户面或控制面上都会有防火墙部署需求。各个网元由于网络功能的不同,对防火墙性能需求会有所不同,例如,PGW与网络之间会对支持用户数与并发链接数等有特定要求,而HSS、MEE这些控制面网元由于对数据完整性加密性有需求,因此对防火墙的计算性能和过滤带宽等会有特定要求。
下面结合图5,以需要在PGW与网络之间部署一个防火墙(FW1),以及在HSS与MEE之间部署一个防火墙(FW2)为例进行说明。
图5为本申请具体示例的整体流程示意图,如图5所示,包括:
步骤501,NSM功能模块接收防火墙部署指令,防火墙部署指令中包括:FW1(NU4,NU3,20000,NU2,NU5,NU1,100),FW2(NU5,4,NU3,NU1,NU2,100Mbps,NU4)。
步骤502a,NSM功能模块向VNFM发送请求消息。
步骤502b,NSM功能模块向SEM发送请求消息。
步骤502c,NSM功能模块向ISM发送请求消息。
其中,上述请求消息中均包括FW1(NU4,NU3,20000,NU2,NU5,NU1,100),FW2(NU5,4,NU3,NU1,NU2,100Mbps,NU4)。
步骤503a,VNFM接收到请求消息后,从其管理的多个防火墙中选择出符合所述防火墙性能需求的防火墙(本地决策),例如,针对FW1的性能需求,通过本地决策选择出防火墙a,针对FW2的性能需求,通过本地决策选择出防火墙b,则VNFM可将防火墙a和防火墙b的性能信息通过响应消息返回给NSM功能模块,响应消息中包括FWa(N,C,L,U,T,D,F),FWb(N,C,L,U,T,D,F)。
步骤503b,SEM接收到请求消息后,从其管理的多个防火墙中选择出符合所述防火墙性能需求的防火墙,例如,针对FW1的性能需求,通过本地决策选择出防火墙c,针对FW2的性能需求,通过本地决策选择出防火墙d,则SEM可将防火墙c和防火墙d的性能信息通过响应消息返回给NSM功能模块,响应消息中包括FWc(N,C,L,U,T,D,F),FWd(N,C,L,U,T,D,F)。
步骤503c,ISM接收到请求消息后,从其管理的多个防火墙中选择出符合所述防火墙性能需求的防火墙,例如,针对FW1的性能需求,通过本地决策选择出防火墙e,针对FW2的性能需求,通过本地决策选择出防火墙f,则ISM可将防火墙e和防火墙f的性能信息通过响应消息返回给NSM功能模块,响应消息中包括FWe(N,C,L,U,T,D,F),FWf(N,C,L,U,T,D,F)。
步骤504,NSM功能模块根据VNFM、SEM和ISM返回的防火墙的性能信息进行综合决策,确定出待部署防火墙。
具体来说,NSM功能模块接收到FWa(N,C,L,U,T,D,F)、FWc(N,C,L,U,T,D,F)和FWe(N,C,L,U,T,D,F)后,根据FW1(NU4,NU3,20000,NU2,NU5,NU1,100),若确定FWa、FWc符合两项强制性需求,而FWe不符合其中一项强制性需求,则可排除FWe。然后分别计算FWa、FWc中支持用户数和并发链接数这两项性能指标的综合评分(例如,支持用户数这一性能指标的权重为0.2,并发链接数这一性能指标的权重为0.8),若FWa(N,C,L,U,T,D,F)和FWc(N,C,L,U,T,D,F)的综合评分不同,则可选择综合评分高的防火墙作为待部署防火墙,若二者的综合评分相同,则可进一步比较FWa和FWc的NU1位置性能指标的性能,选出更优的作为待部署防火墙,若二者仍相同,则可继续比较FWa和FWc的NU1位置性能指标的性能,以此类推,直至最后一个性能指标,若二者仍相同,则随机选一个即可。参见图6所示。
例如,NSM功能模块通过上述过程确定出的待部署防火墙分别为FWc(N,C,L,U,T,D,F)和FWf(N,C,L,U,T,D,F),即NSM功能模块确定出的待部署防火墙分别为SEM管理的防火墙和ISM管理的防火墙。
步骤505a,NSM功能模块将决策结果发送给VNFM。由于NSM功能模块确定出的待部署防火墙不包括VNFM管理的防火墙,因此发给VNFM的决策结果中可不包括待部署防火墙的标识。
步骤505b,NSM功能模块将决策结果发送给SEM,由于NSM功能模块确定出的待部署防火墙包括SEM管理的防火墙,因此,发送给SEM的决策结果中包括确定出的待部署防火墙(FWc)的标识。
步骤505c,NSM功能模块将决策结果发送给ISM,由于NSM功能模块确定出的待部署防火墙包括ISM管理的防火墙,因此,发送给ISM的决策结果中包括确定出的待部署防火墙(FWf)的标识。
步骤506a,VNFM收到决策结果后,可暂不执行防火墙准备和更新的操作。
步骤506b,SEM收到决策结果后,进行防火墙准备及更新。
步骤506c,ISM收到决策结果后,进行防火墙准备及更新。
需要说明的是,上述步骤编号仅为执行流程的一种示意性表示,本申请对各步骤的执行顺序不做具体限定,例如,步骤502a、步骤502b和步骤502c可以同时进行,或者也可以按照先后顺序进行。
根据上述内容可知,本申请提供了一种防火墙部署方法,NSM功能模块制定好防火墙组下发的消息格式,保证全局的统一识别和调度;然后,采取请求消息下发-本地决策上报-综合决策下发的形式,避免了现有技术中请求消息下发-无本地决策上报-综合决策下发,这种大量上报所引起的信令开销以及NSM功能模块统一决策的运算开销。
具体来说,NSM功能模块可结合OSS/BSS的安全策略(即防火墙部署指令),形成统一的防火墙组下发消息格式,包含防火墙标识以及其性能需求,然后通过ETSI NFV架构中已有的Query Request操作下发给各安全管理域,保证了对NFV系统架构的匹配度;各安全管理域根据接收到的防火墙性能需求,进行本地决策,选择出符合防火墙性能需求中最合适的一组上报,上报同样采用NFV系统架构中已有的Query Response操作,未增加冗余操作,同时上报响应消息的消息格式与请求消息的消息格式保持一致,保证了全局标识的统一性。NSM功能模块根据三个安全管理域的上报结果进行综合决策,综合决策的规则与本地决策的规则相匹配,保证全局规则的一致性,并将决策结果下发给各安全管理域。
本申请通过使用防火墙组有效实现了各安全管理域之间防火墙方案的协作部署,能够实现防火墙资源的全局调度,通过各安全管理域本地决策其管理的防火墙资源并上报,降低了现有技术中不进行本地决策便上报的信令开销,同时能够有效分担NSM功能模块统一决策的工作负荷,降低计算开销。
需要说明的是,本申请中,请求消息中包括的防火墙性能需求是根据防火墙部署指令中包括的防火墙性能需求得到的,上述内容是以防火墙部署指令中包括的防火墙性能需求和请求消息中包括的防火墙性能需求相同为例进行描述的,因此,三个防火墙管理功能模块(即VNFM、SEM、ISM)进行本地决策的规则与NSM功能模块进行综合决策的规则相同。本申请中,请求消息中的防火墙性能需求也可以与防火墙部署指令中包括的防火墙性能需求不相同,例如,请求消息中的防火墙性能需求仅包括两项强制性需求,此时,三个防火墙管理功能模块(即VNFM、SEM、ISM)在进行本地决策时,可从管理的一个或多个防火墙中选择出所有符合两项强制性需求的防火墙,并将所有符合强制性需求的防火墙的性能信息通过响应消息发送给NSM功能模块,进而由NSM功能模块按照图6中的流程进行综合决策。本申请对此不做具体限定。
基于以上实施例,本申请实施例提供第一种服务器,该服务器用于实现图3和图5所示方法实施例中的相应流程或者步骤。参阅图7所示,服务器700包括NSM功能模块,NSM功能模块可以包括:接收单元701、发送单元702和处理单元703;
所述接收单元701,用于接收防火墙部署指令;
所述发送单元702,用于根据所述防火墙部署指令,向至少一个防火墙管理功能模块发送请求消息,所述请求消息中包括防火墙性能需求;
所述接收单元701,还用于接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息,所述至少一个防火墙管理功能模块中的任一防火墙管理功能模块返回的响应消息中包括所述任一防火墙管理功能模块从所述任一防火墙管理功能模块管理的一个或多个防火墙中选择出的符合所述防火墙性能需求的防火墙的性能信息;
所述处理单元703,用于根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与所述防火墙部署指令对应的待部署防火墙。
在一种可能的设计中,所述请求消息中还包括根据所述防火墙部署指令得到的请求标识;
所述接收单元701具体用于:接收所述至少一个防火墙管理功能模块返回的响应消息;
所述处理单元703具体用于:针对于所述任一防火墙管理功能模块返回的任一响应消息,若确定所述任一响应消息中包括与所述请求标识对应的响应标识,则确定所述任一响应消息为所述任一防火墙管理功能模块根据所述请求消息返回的响应消息。
本申请实施例提供第二种服务器,该服务器用于实现图3和图5所示方法实施例中的相应流程或者步骤。参阅图8所示,服务器800包括防火墙管理功能模块,防火墙管理功能模块可以包括:接收单元801、发送单元802和处理单元803;
所述接收单元801,用于接收NSM功能模块发送的请求消息,所述请求消息中包括防火墙性能需求;
所述处理单元803,用于从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙;
所述发送单元802,用于向所述NSM功能模块返回响应消息,所述响应消息中包括所述处理单元803选择出的防火墙的性能信息。
在一种可能的设计中,所述处理单元803还用于:确定所述请求消息中是否包括请求标识;
所述发送单元802具体用于:在所述处理单元803确定所述请求消息中包括请求标识的情况下,向所述NSM功能模块返回的响应消息中包括与所述请求标识对应的响应标识。
需要说明的是,本申请上述所描述的实施例中对单元的划分是示意性的,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。在本申请的实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(processor)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请实施例提供第三种服务器,该服务器用于实现图3-图4所示方法实施例中的相应流程或者步骤。该服务器具有如图7所示的服务器700的功能。参阅图9所示,所述服务器900包括:通信模块901、处理器902;
所述通信模块901,用于与其他设备进行通信交互,具体来说,用于接收防火墙部署指令;根据所述防火墙部署指令,向至少一个防火墙管理功能模块发送请求消息;接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息。
所述通信模块901可以为RF电路、WiFi模块、通信接口、蓝牙模块等。
所述处理器902,用于实现如图7中处理单元703的功能,包括:
根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与所述防火墙部署指令对应的待部署防火墙。
可选的,服务器900还可以包括:所述存储器904,用于存放程序等。具体地,程序可以包括程序代码,该程序代码包括指令。存储器904可能包含RAM,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。处理器902执行存储器904所存放的应用程序,实现上述功能。
一种可能的方式中,通信模块901、处理器902和存储器904可以通过所述总线903相互连接;总线903可以是外设部件互连标准(peripheral component interconnect,PCI)总线或扩展工业标准结构(extended industry standard architecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图9中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
本申请实施例提供第四种服务器,该服务器用于实现图3-图4所示方法实施例中的相应流程或者步骤。该服务器具有如图8所示的服务器800的功能。参阅图10所示,所述服务器1000包括:通信模块1001、处理器1002;
所述通信模块1001,用于与其他设备进行通信交互,具体来说,用于接收NSM功能模块发送的请求消息,所述请求消息中包括防火墙性能需求;向所述NSM功能模块返回响应消息。
所述通信模块1001可以为RF电路、WiFi模块、通信接口、蓝牙模块等。
所述处理器1002,用于实现如图8中处理单元803的功能,包括:
根据防火墙性能需求,从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙。
可选的,服务器1000还可以包括:所述存储器1004,用于存放程序等。具体地,程序可以包括程序代码,该程序代码包括指令。存储器1004可能包含RAM,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器。处理器1002执行存储器1004所存放的应用程序,实现上述功能。
一种可能的方式中,通信模块1001、处理器1002和存储器1004可以通过所述总线1003相互连接;总线1003可以是外设部件互连标准(peripheral componentinterconnect,PCI)总线或扩展工业标准结构(extended industry standardarchitecture,EISA)总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图10中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。本发明实施例是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (11)
1.一种防火墙部署方法,其特征在于,所述方法包括:
网络安全管理NSM功能模块接收防火墙部署指令;
所述NSM功能模块根据所述防火墙部署指令,向至少一个防火墙管理功能模块发送请求消息,所述请求消息中包括防火墙性能需求;
所述NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息,所述至少一个防火墙管理功能模块中的任一防火墙管理功能模块返回的响应消息中包括所述任一防火墙管理功能模块从所述任一防火墙管理功能模块管理的一个或多个防火墙中选择出的符合所述防火墙性能需求的防火墙的性能信息;
所述NSM功能模块根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与所述防火墙部署指令对应的待部署防火墙。
2.根据权利要求1所述的方法,其特征在于,所述请求消息中还包括根据所述防火墙部署指令得到的请求标识;
所述NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息,包括:
所述NSM功能模块接收所述至少一个防火墙管理功能模块返回的响应消息;
所述NSM功能模块针对于所述任一防火墙管理功能模块返回的任一响应消息,若确定所述任一响应消息中包括与所述请求标识对应的响应标识,则确定所述任一响应消息为所述任一防火墙管理功能模块根据所述请求消息返回的响应消息。
3.根据权利要求1或2中所述的方法,其特征在于,所述至少一个防火墙管理功能模块包括虚拟网络层的防火墙管理功能模块、基础设施层的防火墙管理功能模块和物理层的防火墙管理功能模块中的任一个或任意多个。
4.一种防火墙部署方法,其特征在于,所述方法包括:
防火墙管理功能模块接收NSM功能模块发送的请求消息,所述请求消息中包括防火墙性能需求;
所述防火墙管理功能模块从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙,并向所述NSM功能模块返回响应消息,所述响应消息中包括选择出的防火墙的性能信息;其中,所述NSM功能模块用于根据至少一个所述防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与防火墙部署指令对应的待部署防火墙。
5.根据权利要求4所述的方法,其特征在于,所述防火墙管理功能模块向所述NSM功能模块返回响应消息,包括:
所述防火墙管理功能模块若确定所述请求消息中包括请求标识,则向所述NSM功能模块返回的响应消息中包括与所述请求标识对应的响应标识。
6.根据权利要求4或5所述的方法,其特征在于,所述防火墙管理功能模块为虚拟网络层的防火墙管理功能模块或基础设施层的防火墙管理功能模块或物理层的防火墙管理功能模块。
7.一种服务器,其特征在于,所述服务器包括NSM功能模块;
所述NSM功能模块包括接收单元、发送单元和处理单元;
所述接收单元,用于接收防火墙部署指令;
所述发送单元,用于根据所述防火墙部署指令,向至少一个防火墙管理功能模块发送请求消息,所述请求消息中包括防火墙性能需求;
所述接收单元,还用于接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息,所述至少一个防火墙管理功能模块中的任一防火墙管理功能模块返回的响应消息中包括所述任一防火墙管理功能模块从所述任一防火墙管理功能模块管理的一个或多个防火墙中选择出的符合所述防火墙性能需求的防火墙的性能信息;
所述处理单元,用于根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与所述防火墙部署指令对应的待部署防火墙。
8.根据权利要求7所述的服务器,其特征在于,所述请求消息中还包括根据所述防火墙部署指令得到的请求标识;
所述接收单元具体用于:接收所述至少一个防火墙管理功能模块返回的响应消息;
所述处理单元具体用于:针对于所述任一防火墙管理功能模块返回的任一响应消息,若确定所述任一响应消息中包括与所述请求标识对应的响应标识,则确定所述任一响应消息为所述任一防火墙管理功能模块根据所述请求消息返回的响应消息。
9.一种服务器,其特征在于,所述服务器包括防火墙管理功能模块;
所述防火墙管理功能模块包括接收单元,发送单元和处理单元;
所述接收单元,用于接收NSM功能模块发送的请求消息,所述请求消息中包括防火墙性能需求;
所述处理单元,用于从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙;
所述发送单元,用于向所述NSM功能模块返回响应消息,所述响应消息中包括所述处理单元选择出的防火墙的性能信息;其中,所述NSM功能模块用于根据至少一个所述防火墙管理功能模块返回的防火墙的性能信息进行决策,确定出与防火墙部署指令对应的待部署防火墙。
10.根据权利要求9所述的服务器,其特征在于,所述处理单元还用于:确定所述请求消息中是否包括请求标识;
所述发送单元具体用于:在所述处理单元确定所述请求消息中包括请求标识的情况下,向所述NSM功能模块返回的响应消息中包括与所述请求标识对应的响应标识。
11.一种计算机可读存储介质,其特征在于,所述存储介质存储有指令,当所述指令在计算机上运行时,使得计算机实现执行权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710488930.XA CN109120577B (zh) | 2017-06-23 | 2017-06-23 | 一种防火墙部署方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710488930.XA CN109120577B (zh) | 2017-06-23 | 2017-06-23 | 一种防火墙部署方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109120577A CN109120577A (zh) | 2019-01-01 |
| CN109120577B true CN109120577B (zh) | 2020-10-27 |
Family
ID=64732389
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710488930.XA Active CN109120577B (zh) | 2017-06-23 | 2017-06-23 | 一种防火墙部署方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109120577B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150161B (zh) * | 2022-06-30 | 2024-03-08 | 中国工商银行股份有限公司 | 防火墙安全策略的配置方法、装置、存储介质及电子装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、系统和设备 |
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| CN104660553A (zh) * | 2013-11-19 | 2015-05-27 | 北京天地超云科技有限公司 | 一种虚拟防火墙的实现方法 |
| CN106302466A (zh) * | 2016-08-17 | 2017-01-04 | 东软集团股份有限公司 | 一种防火墙的管理方法及系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8516241B2 (en) * | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
-
2017
- 2017-06-23 CN CN201710488930.XA patent/CN109120577B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101340444A (zh) * | 2008-08-26 | 2009-01-07 | 华为技术有限公司 | 防火墙和服务器策略同步方法、系统和设备 |
| CN103457920A (zh) * | 2012-06-04 | 2013-12-18 | 中国科学院声学研究所 | 一种基于重叠网的分布式防火墙安全策略配置方法和系统 |
| CN104660553A (zh) * | 2013-11-19 | 2015-05-27 | 北京天地超云科技有限公司 | 一种虚拟防火墙的实现方法 |
| CN106302466A (zh) * | 2016-08-17 | 2017-01-04 | 东软集团股份有限公司 | 一种防火墙的管理方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109120577A (zh) | 2019-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10432460B2 (en) | Network service scaling method and apparatus | |
| EP3461087B1 (en) | Network-slice resource management method and apparatus | |
| CN110611926B (zh) | 一种告警的方法及装置 | |
| EP3314816B1 (en) | Network function virtualization (nfv) hardware trust in data communication systems | |
| JP6834033B2 (ja) | ネットワークスライス管理方法、ユニット、及びシステム | |
| CN112153700B (zh) | 一种网络切片资源管理方法及设备 | |
| US10481935B2 (en) | Management system, overall management node, and management method for managing virtualization resources in a mobile communication network | |
| CN106664216B (zh) | 一种切换vnf的方法和装置 | |
| US10698741B2 (en) | Resource allocation method for VNF and apparatus | |
| CN109429277A (zh) | 网络切片的选择方法、装置及系统 | |
| US20160321112A1 (en) | Management system, virtual communication-function management node, and management method | |
| US11343307B2 (en) | Virtual network function (VNF) resource management in a software defined network (SDN) | |
| US11567793B2 (en) | Service management method and apparatus | |
| CN108345490B (zh) | 一种nfv中部署虚拟机的方法和系统 | |
| CN109120577B (zh) | 一种防火墙部署方法及装置 | |
| CN108604996A (zh) | 一种nfv系统中的策略传输方法和装置 | |
| BR112021004878A2 (pt) | rede de telecomunicações celulares | |
| Yi et al. | SDN/NFV‐enabled performance estimation framework for SFC optimization | |
| WO2023058137A1 (ja) | アクション実行システム及びその制御方法 | |
| WO2023058133A1 (ja) | アクション実行システム及びその制御方法 | |
| WO2023058134A1 (ja) | 原因特定システム及び原因特定方法 | |
| CN113098705B (zh) | 网络业务的生命周期管理的授权方法及装置 | |
| WO2023058135A1 (ja) | ロケーション決定システム及びロケーション決定方法 | |
| EP4055778B1 (en) | Code activation management method for network slicing solutions, and corresponding entity, server and computer program | |
| WO2022001004A1 (zh) | 安全网络构建方法、装置、设备和计算机存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |