CN110417741B - 一种过滤安全组的方法和装置 - Google Patents

一种过滤安全组的方法和装置 Download PDF

Info

Publication number
CN110417741B
CN110417741B CN201910573035.7A CN201910573035A CN110417741B CN 110417741 B CN110417741 B CN 110417741B CN 201910573035 A CN201910573035 A CN 201910573035A CN 110417741 B CN110417741 B CN 110417741B
Authority
CN
China
Prior art keywords
security
security group
filtering
label
setting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910573035.7A
Other languages
English (en)
Other versions
CN110417741A (zh
Inventor
李栋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Suzhou Inspur Intelligent Technology Co Ltd
Original Assignee
Suzhou Inspur Intelligent Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Suzhou Inspur Intelligent Technology Co Ltd filed Critical Suzhou Inspur Intelligent Technology Co Ltd
Priority to CN201910573035.7A priority Critical patent/CN110417741B/zh
Publication of CN110417741A publication Critical patent/CN110417741A/zh
Application granted granted Critical
Publication of CN110417741B publication Critical patent/CN110417741B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种安全组过滤的方法,该方法包括:为预设的安全组设置标签;在OpenStack网络服务模块的配置文件中增加配置项;将所述标签设置为所述配置项的值;在获取安全组列表的接口选项中增加参数项;将所述配置项的值赋给所述参数项;根据所述参数项过滤用户获取的安全组列表。本发明还公开了一种安全组过滤的装置。本发明提供的方法和装置能够实现在ICOS下进行安全组的展示时过滤掉具有标签的安全组,保护系统安全。

Description

一种过滤安全组的方法和装置
技术领域
本发明涉及ICOS下的安全组展示,尤其涉及ICOS下的安全组展示中的过滤安全组的方法。
背景技术
在云计算时代,用户可以在云资源上创建自己所需要的各种计算资源,并通过网络去连接使用,用户可以随时去访问这些云资源。在方便访问各种云资源的的同时,也带来了一些安全风险,比如重要的客户数据等有可能被别人获取,浪潮云数据中心操作系统(Inspur Cloud OpenStack,即ICOS)浪潮私有云在虚拟专有网络(Virtual PrivateCloud,VPC)下提供了security group安全组为VPC中的云服务器提供网络访问控制,通过安全组可以增强云资源的安全性系数。其中,专有网络VPC是一个隔离的网络环境,专有网络之间逻辑上彻底隔离。
ICOS下用户在自己的VPC内,可以随意修改安全组规则(security group rules),以设置哪些协议、端口可以放开访问等。但是在客户的VPC内,有一些安全组,也为客户提供着安全服务,但是却不应该由客户去修改,比如容器服务安全组,它们作为基础安全组服务着客户的数据安全,往往不需要客户去修改它们。因此我们有必要在展示给客户安全组列表时,将以上具有特殊用途的安全组给过滤掉,让用户无法感知,以免修改掉不应该修改的安全组。其中,安全组是一种有状态的包过滤功能的虚拟防火墙,它用于设置单台或多台云服务器的网络访问控制,可以将同一地域内具有相同网络安全隔离需求的云服务器实例加到同一个安全组内,通过安全组的网络策略对云服务器的出入流量进行安全过滤。
现有技术中,在ICOS系统中无法区别过滤带有指定标签的安全组,并且OpenStack4j并不支持给某些具有特殊用途的安全组打上特定的标签。
发明内容
本发明要解决的技术问题是提供一种安全组过滤方法,在ICOS下进行安全组的展示时过滤掉具有标签的安全组,保护系统安全。
为了解决上述技术问题,本发明实施例提供了一种安全组过滤方法,包括:
为预设的安全组设置标签;
在OpenStack网络服务模块的配置文件中增加配置项;将所述标签设置为所述配置项的值;
在获取安全组列表的接口选项中增加参数项;将所述配置项的值赋给所述参数项;根据所述参数项过滤用户获取的安全组列表;
其中,所述安全组标签设置接口指为安全组设置标签的接口。
一种示例性的实施例中,上述方法还具有下面特点:
所述为预设的安全组设置标签,包括:
获取OpenStack网络服务模块的后端服务地址;
在所述后端服务地址中通过restAPI调用所述安全组标签设置接口为预设的安全组设置标签。
一种示例性的实施例中,上述方法还具有下面特点:
所述安全组标签设置接口为v2.0/security-groups/{security-group-id}/tags/{tag}。
一种示例性的实施例中,上述方法还具有下面特点:
根据所述参数项过滤用户获取的安全组列表,包括:
当用户获取安全组列表时过滤与所述参数项的值对应的安全组。
为了解决上述问题,本发明还提供了一种安全组过滤装置。
一种示例性的实施例中,上述装置还具有下面特点:
所述存储器,用于保存用于过滤安全组的程序;
所述处理器,用于读取执行所述用于过滤安全组的程序,执行如下操作:
为预设的安全组设置标签;
在OpenStack网络服务模块的配置文件中增加配置项;将所述标签设置为所述配置项的值;
在获取安全组列表的接口选项中增加参数项;将所述配置项的值赋给所述参数项;根据所述参数项过滤用户获取的安全组列表;
其中,所述安全组标签设置接口指为安全组设置标签的接口。
一种示例性的实施例中,上述装置还具有下面特点:
所述为预设的安全组设置标签,包括:
获取OpenStack网络服务模块的后端服务地址;
在所述后端服务地址中通过restAPI调用所述安全组标签设置接口为预设的安全组设置标签。
一种示例性的实施例中,上述装置还具有下面特点:
所述安全组标签设置接口为v2.0/security-groups/{security-group-id}/tags/{tag}。
一种示例性的实施例中,上述装置还具有下面特点:
根据所述参数项过滤用户获取的安全组列表,包括:
当用户获取安全组列表时过滤与所述参数项的值对应的安全组。
综上,本发明实施例提供一种安全组过滤方法和装置,通过将具有特殊用途的安全组过滤掉,避免了因用户操作失误对具有特殊的安全组的修改带来的安全隐患。
附图说明
图1为根据本发明实施例的安全组过滤方法的示意图。
图2为根据本发明实施例的安全组过滤方法的流程图。
图3为根据本发明实施例的安全组过滤装置的示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1为本发明实施例的安全组过滤的方法的示意图,如图1所示,本实施例的安全组过滤方法包括:
S11、为预设的安全组设置标签。
其中,预设的安全组可以为用户根据需要确定的安全组。标签可以为用户根据需要确定的标签。该标签的形式不作限定。
一种示例性的实施例中,首先获取OpenStack网络服务模块的后端服务地址。例如,获取到的后端服务地址,即endpoint的地址,为http://23.253.211.234:9696/。然后,在获取到的地址中通过restAPI调用安全组标签设置接口为预设的安全组设置标签。
其中,OpenStack覆盖了网络、虚拟化、操作系统、服务器等各个方面。它是一个正在开发的云计算平台项目,根据成熟及重要程度的不同,被分解成核心项目、孵化项目,以及支持项目和相关项目。每个项目都有自己的委员会和项目技术主管,而且每个项目都不是一成不变的,孵化项目可以根据发展的成熟度和重要性,转变成核心项目。目前的10个核心项目(即OpenStack)为计算(Nova),对象存储(Swift),镜像服务(Glance),身份服务(Keystone),网络&地址管理(Neutron),块存储(Cinder),UI界面(Horizon),测量(Ceilometer),部署编排(Heat),数据库服务(Trove)。其中,网络&地址管理(Neutron)为OpenStack网络服务模块,提供云计算的网络虚拟化技术,为OpenStack其他服务提供网络连接服务。为用户提供接口,可以定义Network、Subnet、Router,配置DHCP、DNS、负载均衡、L3服务,网络支持GRE、VLAN。
Endpoint,译为“端点”,可以理解它是一个服务暴露出来的访问点,如果需要访问一个服务,则必须知道它的endpoint。在Keystone中包含一个endpoint模板(endpointemplate,在安装Keystone时在conf文件夹看到这个这个文件),这个模板提供了所有存在的服务endpoint信息。一个endpoint模板包含一个URLs列表,列表中的每个URL对应一个服务实例的访问地址。并且有public、private和admin这三种权限。Public url可被全局访问,private url只能被局域网访问。
安全组标签设置接口为安全组设置标签的接口,比如该接口的rest URL为:v2.0/security-groups/{security-group-id}/tags/{tag}。
restAPI从资源的角度来观察整个网络,分布在各处的资源由URI确定,而客户端的应用通过URI来获取资源的表示方式。获得这些表徵致使这些应用程序转变了其状态。随着不断获取资源的表示方式,客户端应用不断地在转变着其状态,所谓表述性状态转移(Representational State Transfer)。
S12、在OpenStack网络服务模块的配置文件中增加配置项,将所述标签设置为所述配置项的值。
其中,配置项例如可以为tag4SecurityGroup。如有多个标签,则用逗号隔开。如tag4SecurityGroup:XXX1,XXX2。
S13、在获取安全组列表的接口选项中增加参数项;将所述配置项的值赋给所述参数项。
一种可选实施方式中,参数项例如为not-tags-any,参数项的值就是配置项的值,作为所述参数项的值。
S14、根据所述参数项过滤用户获取的安全组列表。
一种可选实施方式中,当用户获取安全组列表时过滤与所述参数项的值对应的安全组。即对具有标签的安全组进行过滤。
通过上述方法,可以实现在同一VPC下,给客户在展示安全组的时候,过滤掉该项目下具有某些特殊标签的安全组,以达到某些特殊用途安全组对客户具有透明性的效果。
图2为本发明实施例的安全组过滤方法的流程图,如图2所示,包括步骤如下:
步骤201:获取后端OpenStack网络服务Neutron的endpoint。
其中,获取Neutron的endpoint的类型为public,并将获取到的endpoint以Map的形式缓存到内存中,以便下次直接使用并减少对后台的调用。
endpoint的地址可以为http://XX.XX.XX.XX:9696/,例如为http://23.253.211.234:9696/。
步骤202:在endpoint的地址中通过restAPI调用OpenStack相关接口给预设的安全组设置标签。
其中对应的rest URL为:
v2.0/security-groups/{security-group-id}/tags/{tag},请求方式为put。
OpenStack相关接口就是上文中的安全组标签设置接口。在endpoint的地址中调用OpenStack相关接口相当于调用
http://XX.XX.XX.XX:9696/
v2.0/security-groups/{security-group-id}/tags/{tag}。
对安全组设置标签后,还可以对该标签进行查询、修改和删除操作。
步骤203:将设置的标签写入到配置文件。
通过在配置文件中增加配置项,并将配置项的值设置为设置的标签,即将设置的标签写入到配置文件中。
例如配置项为tag4SecurityGroup,设置的标签为XXX1,则形如:
tag4SecurityGroup:XXX1;
若设置了多个标签,则标签之间是用逗号隔开,形如:
tag4SecurityGroup:XXX1,XXX2。
步骤204:修改获取安全组列表的接口。
在原有的获取安全组列表信息接口中增加一个过滤参数,这个过滤参数可以为mot-tags-any。将配置项的值赋给该过滤参数。
步骤205:根据过滤参数过滤安全组列表。
这样,用户在获取其VPC下的安全组列表时,就看不到具有标签的安全组的信息了。通过在ICOS这一层进行逻辑处理,使得ICOS可以支持过滤安全组。
图3为本发明实施例的一种安全组过滤装置的示意图,如图3所示,本实施例的安全组过滤装置包括:存储器和处理器;其特征在于:
所述存储器,用于保存用于性能测试的程序;
所述处理器,用于读取执行所述用于性能测试的程序,执行如下操作:
为预设的安全组设置标签;
在OpenStack网络服务模块的配置文件中增加配置项;将所述标签设置为所述配置项的值;
在获取安全组列表的接口选项中增加参数项;将所述配置项的值赋给所述参数项;根据所述参数项过滤用户获取的安全组列表;
其中,所述安全组标签设置接口指为安全组设置标签的接口。
可选地,所述为预设的安全组设置标签,包括:
获取OpenStack网络服务模块的后端服务地址;
在所述后端服务地址中通过restAPI调用所述安全组标签设置接口为预设的安全组设置标签。
可选地,所述安全组标签设置接口为
v2.0/security-groups/{security-group-id}/tags/{tag}。
可选地,根据所述参数项过滤用户获取的安全组列表,包括:
当用户获取安全组列表时过滤与所述参数项的值对应的安全组。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上仅为本发明的优选实施例,当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

Claims (8)

1.一种过滤安全组的方法,包括:
获取后端OpenStack网络服务Neutron的endpoint;
在endpoint的地址中为预设的安全组设置标签;
在OpenStack网络服务模块的配置文件中增加配置项;将所述标签设置为所述配置项的值;
在获取安全组列表的接口选项中增加参数项;将所述配置项的值赋给所述参数项;根据所述参数项过滤用户获取的安全组列表;
其中,所述安全组标签设置接口指为安全组设置标签的接口。
2.如权利要求1所述的方法,其特征在于,
所述为预设的安全组设置标签,包括:
获取OpenStack网络服务模块的后端服务地址;
在所述后端服务地址中通过restAPI调用所述安全组标签设置接口为预设的安全组设置标签。
3.如权利要求2所述的方法,其特征在于,
所述安全组标签设置接口为v2.0/security-groups/{security-group-id}/tags/{tag}。
4.如权利要求1所述的方法,其特征在于:
根据所述参数项过滤用户获取的安全组列表,包括:
当用户获取安全组列表时过滤与所述参数项的值对应的安全组。
5.一种过滤安全组的装置,包括:存储器和处理器;其特征在于:
所述存储器,用于保存用于过滤安全组的程序;
所述处理器,用于读取执行所述用于过滤安全组的程序,执行如下操作:
获取后端OpenStack网络服务Neutron的endpoint;
在endpoint的地址中为预设的安全组设置标签;
在OpenStack网络服务模块的配置文件中增加配置项;将所述标签设置为所述配置项的值;
在获取安全组列表的接口选项中增加参数项;将所述配置项的值赋给所述参数项;根据所述参数项过滤用户获取的安全组列表;
其中,所述安全组标签设置接口指为安全组设置标签的接口。
6.如权利要求5所述的装置,其特征在于:
所述为预设的安全组设置标签,包括:
获取OpenStack网络服务模块的后端服务地址;
在所述后端服务地址中通过restAPI调用所述安全组标签设置接口为预设的安全组设置标签。
7.如权利要求6所述的装置,其特征在于:
所述安全组标签设置接口为v2.0/security-groups/{security-group-id}/tags/{tag}。
8.如权利要求5所述的装置,其特征在于:
根据所述参数项过滤用户获取的安全组列表,包括:
当用户获取安全组列表时过滤与所述参数项的值对应的安全组。
CN201910573035.7A 2019-06-28 2019-06-28 一种过滤安全组的方法和装置 Active CN110417741B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910573035.7A CN110417741B (zh) 2019-06-28 2019-06-28 一种过滤安全组的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910573035.7A CN110417741B (zh) 2019-06-28 2019-06-28 一种过滤安全组的方法和装置

Publications (2)

Publication Number Publication Date
CN110417741A CN110417741A (zh) 2019-11-05
CN110417741B true CN110417741B (zh) 2022-07-12

Family

ID=68359923

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910573035.7A Active CN110417741B (zh) 2019-06-28 2019-06-28 一种过滤安全组的方法和装置

Country Status (1)

Country Link
CN (1) CN110417741B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111131039B (zh) * 2019-12-16 2022-03-25 新华三大数据技术有限公司 一种报文转发控制方法及装置
CN111131212A (zh) * 2019-12-17 2020-05-08 紫光云(南京)数字技术有限公司 一种基于OpenStack绑定安全组方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109254831A (zh) * 2018-09-06 2019-01-22 山东师范大学 基于云管理平台的虚拟机网络安全管理方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7827402B2 (en) * 2004-12-01 2010-11-02 Cisco Technology, Inc. Method and apparatus for ingress filtering using security group information
CN106656980A (zh) * 2016-10-21 2017-05-10 郑州云海信息技术有限公司 一种自动化配置Docker容器访问控制的方法
CN107544908A (zh) * 2017-09-14 2018-01-05 郑州云海信息技术有限公司 一种定位openstack集成测试框架执行报错方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109254831A (zh) * 2018-09-06 2019-01-22 山东师范大学 基于云管理平台的虚拟机网络安全管理方法

Also Published As

Publication number Publication date
CN110417741A (zh) 2019-11-05

Similar Documents

Publication Publication Date Title
US11310284B2 (en) Validation of cloud security policies
US11290493B2 (en) Template-driven intent-based security
WO2021017279A1 (zh) 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
US10320674B2 (en) Independent network interfaces for virtual network environments
CN107408064B (zh) 在虚拟机实例内执行命令的方法和用于实施该方法的系统
US9609023B2 (en) System and method for software defined deployment of security appliances using policy templates
US11575563B2 (en) Cloud security management
EP2871553B1 (en) Systems and methods for protecting virtualized assets
US11044229B2 (en) Dynamically opening ports for trusted application processes hosted in containers
US20160164907A1 (en) Security actions for computing assets based on enrichment information
CN107925685A (zh) 用于安全网页浏览的重定向器
US9189643B2 (en) Client based resource isolation with domains
CN108268609B (zh) 一种文件路径的建立、访问方法和装置
CN110417741B (zh) 一种过滤安全组的方法和装置
EP2389626A1 (en) Verifying virtual machines
US11489814B1 (en) Customized domain name resolution for virtual private clouds
US10223535B2 (en) Ranking security scans based on vulnerability information from third party resources
JP2022094938A (ja) データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器
JP7501983B2 (ja) マルチテナント・コンテナにおける統合されたメッセージのフローの安全な処理
CN108520401A (zh) 用户名单管理方法、装置、平台及存储介质
US20180198707A1 (en) Partial switching of network traffic
CN105787359B (zh) 进程守护方法和装置
CN107071051A (zh) 用于命令执行的方法与设备
CN115604103A (zh) 云计算系统的配置方法、装置、存储介质以及电子设备
CN116436968A (zh) 一种服务网格通信方法、系统、装置以及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant