CN111224821B - 安全服务部署系统、方法及装置 - Google Patents
安全服务部署系统、方法及装置 Download PDFInfo
- Publication number
- CN111224821B CN111224821B CN201911425378.5A CN201911425378A CN111224821B CN 111224821 B CN111224821 B CN 111224821B CN 201911425378 A CN201911425378 A CN 201911425378A CN 111224821 B CN111224821 B CN 111224821B
- Authority
- CN
- China
- Prior art keywords
- cloud platform
- firewall
- request message
- security
- security service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种安全服务部署系统、方法及装置。该系统包括:防火墙插件,设置在云平台上,用于获取云平台的目标请求消息以及软件定义网络的控制器的控制消息,并将目标请求消息和控制消息预处理后发送至安全服务管理模块;安全服务管理模块,用于基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,云平台上的安全设备的功能由目标安全设备承载。通过本申请,解决了相关技术中在云平台和软件定义网络协同工作时,难于灵活地部署安全设备的问题。
Description
技术领域
本申请涉及网络安全领域,具体而言,涉及一种安全服务部署系统、方法及装置。
背景技术
随着云计算技术的发展,云平台的高效性、低成本和灵活性等优势吸引越来越多的政府部门、企业和高校开始建设云计算平台,以处理相关业务。
云平台网络虚拟化提供网络连接服务,主要包括交换机、路由器和防火墙等。云平台一般使用Linu安全服务部署系统、方法及装置network namespace实现虚拟路由器功能,使用iptables在namespace中实现防火墙功能提供边界安全防护,但namespace功能简单性能较差,防火墙仅支持简单的访问控制策略功能,不支持AV和IPS等防火墙高级功能,无法满足大型数据中心生产环境的需求。
同时,为了提高运营效率和降低运营成本,在SDN(Software Defined Network软件定义网络)技术日趋成熟的情况下,运营商、金融、政府等越来越多的行业选择通过云计算和SDN协同工作来实现运营,为了在运营的过程中保证网络安全,用户需要安全设备与云平台以及SDN协同工作,传统网关技术难以处理这种数据中心的边界安全问题。具体地,在SDN参与下,数据中心的网络全部由交由SDN控制,网络部署也变得越来越复杂,安全设备作为参与网络环境的一员,它的部署也给运维带来极大的挑战,且随着数据中心的规模不断扩大,数据中心对安全服务性能和功能的要求也越来越高。
为了实现安全服务的部署,相关技术中出现了使用带有防火墙功能的虚拟机路由器设备代替Linux安全服务部署系统、方法及装置namespace实现路由器和防火墙功能的技术,具体地,厂商开发路由器插件以及防火墙插件与云平台对接,用于接收云平台的管理请求并发送给安全管理模块,安全管理模块创建具备专业防火墙功能的虚拟机路由器设备,并根据云平台信息在虚拟路由器中配置接口、路由和防火墙策略等,从而承载云平台路由器和防火墙功能。但是,由于厂商接管了云平台的路由器功能,而通常在SDN环境中,云平台的路由器功能由SDN实现,两者冲突,故该方案无法在SDN环境中部署。且防火墙功能必须在路由器设备中实现,不支持分别使用专业的路由器设备和防火墙设备。此外,虚拟机路由器设备需要根据云平台路由器接口动态连接网卡,响应速度较慢。
此外,相关技术中还出现了SDN云平台基于OpenFlow在云平台vSwitch中实现的分布式防火墙方案,支持简单的访问控制策略,可以提供基本的东西向流量防护。而SDN厂商的高级防火墙方案是由SDN控制器管理独立的防火墙设备提供安全服务。SDN控制器直接管理SDN厂家的防火墙设备,通过防火墙北向接口执行接口、路由和策略等对象的配置,并负责将东西向和南北向流量引入防火墙设备。但是,由于防火墙与SDN强耦合,与第三方SDN和云平台不兼容;不能满足云平台的防火墙异构需求。
针对相关技术中在云平台和软件定义网络协同工作时,难于灵活地部署安全设备的问题,目前尚未提出有效的解决方案。
发明内容
本申请提供一种安全服务部署系统、方法及装置,以解决相关技术中在云平台和软件定义网络协同工作时,难于灵活地部署安全设备的问题。
根据本申请的一个方面,提供了一种安全服务部署系统。该系统包括:防火墙插件,设置在云平台上,用于获取云平台的目标请求消息以及软件定义网络的控制器的控制消息,并将目标请求消息和控制消息预处理后发送至安全服务管理模块;安全服务管理模块,用于基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载。
可选地,防火墙插件包括:防火墙模块,用于接收云平台的防火墙的请求消息,并对防火墙的请求消息预处理后发送至安全服务管理模块;路由器代理模块,用于接收云平台的路由器的请求消息,并对路由器的请求消息预处理后发送至安全服务管理模块;软件定义网络代理模块,用于接收软件定义网络的控制器的控制消息,和/或通过软件定义网络的控制器的查询接口查询控制消息,并对控制消息预处理后发送至安全服务管理模块。
可选地,软件定义网络通过软件定义网络网关设备与云平台上的各个子网对接,并通过扩展接口将软件定义网络的路由器与目标安全设备互联。
可选地,目标安全设备为硬件防火墙设备,硬件防火墙设备包括承载在硬件设备上的多个虚拟系统,多个虚拟系统与云平台上的各个子网的防火墙之间存在映射关系,多个虚拟系统用于承载云平台上的各个子网的防火墙的功能。
可选地,多个虚拟系统还用于承载云平台上的路由器网关的功能,路由器网关用于接收云平台上的各个子网的流量,并通过软件定义网络网关设备将各个子网的流量转发至目标安全设备。
可选地,硬件防火墙设备还包括;虚拟交换机,与多个虚拟系统连接,用于接收各个子网的流量;虚拟路由器,与虚拟交换机连接的,用于对各个子网的流量进行处理,并将处理后的,其中,虚拟交换机用于接收各个子网的流量并进行处理,并将处理后的流量转发至目标地址,其中,目标地址至少包括目标子网和/或云平台之外的网络。
可选地,目标安全设备为虚拟防火墙设备,虚拟防火墙设备运行在云平台的计算节点中,多个虚拟防火墙设备通过物理网卡中的虚拟网卡与软件定义网络网关设备连接。
可选地,多个虚拟防火墙设备为根据目标请求消息和控制消息从安全服务资源池中调度得到的设备,其中,安全服务资源池中包含安全服务管理模块创建的预设数量的虚拟防火墙设备。
根据本申请的一个方面,提供了一种安全服务部署方法。该方法包括:获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息;通过防火墙插件获取操作请求消息和控制消息,对操作请求消息和控制消息进行处理后发送至安全服务管理模块;安全服务管理模块基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载。
根据本申请的另一方面,提供了一种安全服务部署装置。该装置包括:获取单元,用于获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息;处理单元,用于通过防火墙插件获取操作请求消息和控制消息,对操作请求消息和控制消息进行处理后发送至安全服务管理模块;设置单元,用于通过安全服务管理模块基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载。
为了实现上述目的,根据本申请的另一方面,提供了一种存储介质,存储介质包括存储的程序,其中,程序执行上述的安全服务部署方法。
为了实现上述目的,根据本申请的另一方面,提供了一种处理器,处理器用于运行程序,其中,程序运行时执行上述的安全服务部署方法。
通过本申请,采用防火墙插件,设置在云平台上,用于获取云平台的目标请求消息以及软件定义网络的控制器的控制消息,并将目标请求消息和控制消息预处理后发送至安全服务管理模块;安全服务管理模块,用于基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载,解决了相关技术中在云平台和软件定义网络协同工作时,难于灵活地部署安全设备的问题。通过安全服务管理模块接收防火墙插件转发的消息,基于消息并借助目标安全设备调整云平台上的安全设备的网络生命周期,进而达到了在云平台和软件定义网络协同工作时,灵活地部署安全设备的效果。
附图说明
构成本申请的一部分的附图用来提供对本申请的进一步理解,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例提供的安全服务部署系统的示意图;
图2是根据本申请实施例提供的安全服务部署系统中防火墙插件的示意图;
图3是根据本申请实施例提供的安全服务部署系统中云平台和安全设备通过软件定义网络网关设备对接的示意图;
图4是根据本申请实施例提供的安全服务部署系统中硬件安全设备与云平台对接的示意图一;
图5是根据本申请实施例提供的安全服务部署系统中云平台、软件定义网络以及硬件安全设备协同工作的示意图;
图6是根据本申请实施例提供的安全服务部署系统中硬件安全设备与云平台对接的示意图二;
图7是根据本申请实施例提供的安全服务部署系统中虚拟安全设备与云平台对接的示意图;
图8是根据本申请实施例提供的安全服务部署系统中安全服务资源池的构建示意图;
图9是根据本申请实施例提供的安全服务部署方法的流程图;以及
图10是根据本申请实施例提供的安全服务部署装置的示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了便于描述,以下对本申请实施例涉及的部分名词或术语进行说明:
SDN:Software Defined Network,即为软件定义网络,是一种新型网络创新构架,是网络虚拟化的一种实现方式。
云平台:也称为云计算平台,是指基于硬件资源核软件资源的服务,提供计算、网络和存储能力。
根据本申请的实施例,提供了一种安全服务部署系统。
图1是根据本申请实施例的安全服务部署系统的示意图。如图1所示,该系统包括:
防火墙插件,设置在云平台上,用于获取云平台的目标请求消息以及软件定义网络的控制器的控制消息,并将目标请求消息和控制消息预处理后发送至安全服务管理模块。
具体地,目标请求消息为请求管理云平台的安全设备的请求,控制消息为控制云平台的安全设备的消息,防火墙插件起转达消息的作用,用于获取消息,将消息发送给安全服务管理模块。
需要说明的是,用户在需要对租户网络中的安全设备进行管理时,会在云平台上执行操作,SDN控制器会首先感知到操作信息,并生成用于控制安全设备的控制消息,防火墙插件在获取SDN控制器的控制消息时,一方面可以获取SDN控制器发出的控制消息,另一方面,还可以通过SDN的路由器获取SDN控制器上的控制消息。
可选地,在本申请实施例提供的安全服务部署系统中,防火墙插件包括:防火墙模块,用于接收云平台的防火墙的请求消息,并对防火墙的请求消息预处理后发送至安全服务管理模块;路由器代理模块,用于接收云平台的路由器的请求消息,并对路由器的请求消息预处理后发送至安全服务管理模块;软件定义网络代理模块,用于接收软件定义网络的控制器的控制消息,和/或通过软件定义网络的控制器的查询接口查询控制消息,并对控制消息预处理后发送至安全服务管理模块。
需要说明的是,在云平台网络虚拟化组件中一般包括,路由器插件和防火墙插件,在SDN云平台中,路由器插件由SDN厂家接管,而防火墙插件则由防火墙厂家接管。
如图2所示,防火墙插件包括防火墙模块、路由器代理模块和SDN代理模块:
其中,防火墙模块兼容云平台标准化防火墙API接口,运行在防火墙插件中,用于接收云平台防火墙API请求,并将请求预处理后发送给安全服务管理模块。
路由器代理模块运行在防火墙插件中,用于接收云平台路由器请求,将请求预处理后发送给安全服务管理模块。除了根据路由器请求管理安全设备,安全服务管理模块还需要根据云平台路由器信息配置防火墙接口和子网路由等,从而使防火墙正确处理和转发流量。需要说明的是,由于路由器插件由SDN路由器插件接管,对于不同的SDN厂家,路由器代理模块支持的获取路由器信息的方式不同,具体地,可以通过注册标准RPC(RemoteProcedure Call,远程过程调用)或者SDN厂家路由器插件自定义RPC获取路由器信息,还可以通过云平台标准subscribe callback机制注册路由器事件获取路由器信息。此外,还需要说明的是,路由器代理模块还支持扩展以支持其他SDN与云平台。
SDN代理模块运行在防火墙插件中,用于接收SDN控制器消息,将请求预处理后发送给安全服务管理模块。此外,SDN支持路由器和防火墙互联的方式将流量引入防火墙等网络设备。此外,SDN控制器还提供北向接口支持查询互联信息,并提供自定义RPC接口供第三方厂商注册从而实时感知RPC事件。
通过本实施例,使得支持云平台标准化防火墙接口;且防火墙插件有针对性接管一些路由器功能,防火墙插件和SDN路由器插件并不冲突;此外,防火墙插件兼容多家SDN以及多个云平台。
安全服务管理模块,用于基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载。
具体地,安全服务管理模块用于接收防火墙插件发送的请求,并负责防火墙设备的网络生命周期管理,例如,添加安全设备,删除安全设备以及配置安全设备。
此外,需要说明的是,目标安全设备可以为硬件防火墙设备或者虚拟机防火墙设备,通过目标安全设备承载云平台上的租户网络中的防火墙功能,提高了安全防护的性能。
为了在SDN云平台中接入防火墙,可选地,在本申请实施例提供的安全服务部署系统中,软件定义网络通过软件定义网络网关设备与云平台上的各个子网对接,并通过扩展接口将软件定义网络的路由器与目标安全设备互联。
如图3所示,SDN网关设备可以为三层交换机的VRF(Virtual RoutingForwarding,VPN路由转发表),SDN与云平台对接时,可以使用三层交换机的VRF承载云平台各个租户的子网的虚拟路由器。此外,为支持专用防火墙等设备(图中以FW表示)接入,SDN可以开发扩展服务接口,比如分配路由器和防火墙互联的保留网段IP和VLAN ID,将路由器的下一跳指向互联防火墙IP,从而将流量引入防火墙设备。
通过本实施例,云平台租户的流量到达SDN网关设备的VRF后,被转发到防火墙设备,实现了利用SDN将租户流量引导到防火墙的目的。
为了提高安全防护的性能,可选地,在本申请实施例提供的安全服务部署系统中,目标安全设备为硬件防火墙设备,硬件防火墙设备包括承载在硬件设备上的多个虚拟系统,多个虚拟系统与云平台上的各个子网的防火墙之间存在映射关系,多个虚拟系统用于承载云平台上的各个子网的防火墙的功能。
由于虚拟机防火墙设备的性能难以达到专业高性能硬件防火墙的水平,因此,对于性能要求极高的云平台,可以采用硬件防火墙设备来承载云平台的防火墙功能。
由于云平台支持多租户,租户可以动态的创建和删除防火墙,各个租户的防火墙完全独立。且物理防火墙设备具备支持虚拟系统(Virtual System,简称为VSYS)的性能,为了适应云平台的防火墙动态需求,本实施例将一台物理防火墙在逻辑上划分为上千个虚拟防火墙,每个虚拟防火墙系统都可以被看成一台独立的防火墙设备,将云平台上的每一个防火墙映射到硬件防火墙设备的某一个虚拟系统,从而硬件防火墙设备的虚拟系统承载租户的防火墙功能,如图4所示,将租户1的防火墙映射到虚拟系统1,将租户2的防火墙映射到虚拟系统2。
本申请实施例采用物理防火墙设备中的虚拟系统承载租户的防火墙功能,其性能高,响应速度快,虚拟系统也可以灵活的创建和删除,从而满足云平台租户对灵活建设高性能防火墙的需求。
可选地,在本申请实施例提供的安全服务部署系统中,多个虚拟系统还用于承载云平台上的路由器网关的功能,路由器网关用于接收云平台上的各个子网的流量,并通过软件定义网络网关设备将各个子网的流量转发至目标安全设备。
需要说明的是,在本发明实施例中,安全服务管理模块除了接管云平台上的防火墙之外,还可以接管云平台路由器上的路由网关的功能,即云平台路由网关可以转移到硬件防火墙设备的虚拟系统中。
如图5所示,将云平台的网络和路由器通过SDN控制器映射到SDN交换机,将云平台的路由器网关(GW)和防火墙通过安全服务部署系统映射到硬件安全设备中,可以在硬件安全设备的虚拟系统中实现了路由器网关所具备的所有功能,具体地,云平台租户中的业务流量进入路由器时,会通过SDN交换机将流量转发到安全设备中,在安全设备对流量进行安全处理后,正常转发到对应的目的地址。
为了实现流量互通,可选地,在本申请实施例提供的安全服务部署系统中,硬件防火墙设备还包括;虚拟交换机,与多个虚拟系统连接,用于接收各个子网的流量;虚拟路由器,与虚拟交换机连接的,用于对各个子网的流量进行处理,并将处理后的,其中,虚拟交换机用于接收各个子网的流量并进行处理,并将处理后的流量转发至目标地址,其中,目标地址至少包括目标子网和/或云平台之外的网络。
需要说明的是,云平台不同租户之间的流量正常情况下是相互隔离的,租户A的私有网络是无法访问租户B的私有网络的,但是在某些场合下存在这样的需求,在本实现中由于路由网关落在了安全设备虚拟系统中,不同租户间的流量互访受到安全服务的控制,通过自动化配置明细路由,即可实现指定租户或所有租户之间流量的互通。
如图6所示,租户A对应的安全服务为虚拟系统1,租户B对应的安全服务为虚拟系统2,在租户A访问租户B时,其流量首先会被送到对应的虚拟系统1中,虚拟系统1识别出该流量为东西向跨租户流量,将流量通过虚拟交换机发送到虚拟路由器中,编排系统在安全服务创建时,已经向虚拟路由器自动配置了对应的转发路由,该路由会将流量转发到目的租户所对应的虚拟系统2,再通过虚拟系统2的转发规则将流量转发至租户2,从而实现了租户间的东西向流量的互通。
此外,需要说明的是,云平台租户出到外网的南北向流量也会被SDN转发到到路由器网关处,也即该租户所对应的虚拟系统中。如图6所示,租户1中的南北向的流量进入到虚拟系统后,会通过虚拟交换机被转发到南北向的虚拟路由器中,再由用户在该路由器中配置的路由转发到外部网络。
通过本实施例,实现了租户之间的流量互通,还实现了租户与外部网络之间的流量互通。
可选地,在本申请实施例提供的安全服务部署系统中,目标安全设备为虚拟防火墙设备,虚拟防火墙设备运行在云平台的计算节点中,多个虚拟防火墙设备通过物理网卡中的虚拟网卡与软件定义网络网关设备连接。
需要说明的是,在不存在物理安全设备的情况下,还可以采用虚拟机防火墙设备(简称为vFW)实现租户网络中的防火墙功能,如图7所所示,虚拟机防火墙设备可以以虚拟机的形式运行在云平台计算节点中。
为了避免安全服务管理模块根据SDN互联信息动态的创建云平台网络,然后创建虚拟机防火墙连接到网络,导致的创建虚拟机防火墙响应速度慢,而且受限于虚拟网卡性能,防火墙吞吐性能较差的问题。本申请基于SR-IOV(Single Root I/O Virtualization)实现高性能虚拟机防火墙与SDN网关设备的对接,具体地,为了实现引流,将物理网卡虚拟为多个网卡,虚拟机可以通过网卡子接口Ethm.x,或者Ethm.y绑定到对应的虚拟网卡中,实现虚拟机和SDN网关的连接,并通过网桥桥接VF与物理NIC之间流量,其中,网桥位于PF(Physical Function)中,PF中包含SR-IOV功能结构,用于支持SR-IOV功能的PCI功能,并用于配置或控制PCIe设备
具体地,首先,安全服务管理模块根据防火墙插件消息调度创建vFW虚拟机。vFW连接4个固定的租户网络:管理网络(用于管理虚拟机)、HA网络(协商网络)、业务下联网络和业务上联网络(管理流量的进出),其中业务上联和下联网络必须是SR-IOV网络,且可以是同一个网络。其次,根据SDN互联信息,安全服务管理模块创建和配置vFW业务下联接口的子接口,并配置IP以及VLAN ID;SR-IOV网卡trunk转发子接口的VLAN数据包到物理交换机,从而与VRF属于同一VLAN广播域,实现了网络连通;
通过本实施例,在不需要专用的物理防火墙设备的情况下,能够灵活的支持云平台安全设备的部署。
可选地,在本申请实施例提供的安全服务部署系统中,多个虚拟防火墙设备为根据目标请求消息和控制消息从安全服务资源池中调度得到的设备,其中,安全服务资源池中包含安全服务管理模块创建的预设数量的虚拟防火墙设备。
需要说明的是,由于vFW连接的网络固定,为快速影响租户防火墙需求,安全管理模块可以先创建好预留阈值数量的虚拟防火墙设备加入到安全服务资源池中供后续调度,并支持空闲数量小于预留数量时自动创建虚拟防护墙。
具体地,如图8所示,安全管理模块在启动和分配防火墙时触发自动伸缩程序,判断vFW空闲数量是否小于预留阈值,在小于的情况下,继续判断最大阈值,否则结束;当vFW总数量小于最大阈值时,执行伸展,否则结束;在执行伸展的过程中,计算需要创建的vFW数量;根据vFW数量启动多个线程同时创建vFW;
本申请实施例提供的安全服务部署系统,通过防火墙插件,设置在云平台上,用于获取云平台的目标请求消息以及软件定义网络的控制器的控制消息,并将目标请求消息和控制消息预处理后发送至安全服务管理模块;安全服务管理模块,用于基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载,解决了相关技术中在云平台和软件定义网络协同工作时,难于灵活地部署安全设备的问题。通过安全服务管理模块接收防火墙插件转发的消息,基于消息并借助目标安全设备调整云平台上的安全设备的网络生命周期,进而达到了在云平台和软件定义网络协同工作时,灵活地部署安全设备的效果。
根据本申请的实施例,提供了一种安全服务部署方法。
图9是根据本申请实施例的安全服务部署方法的流程图。如图9所示,该方法包括以下步骤:
步骤S901,获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息。
具体地,用户在需要对租户网络中的安全设备进行管理时,会在云平台上执行操作,SDN控制器会首先感知到操作信息,并生成用于控制安全设备的控制消息,防火墙插件在获取SDN控制器的控制消息时,一方面可以获取SDN控制器发出的控制消息,另一方面,还可以通过SDN的路由器获取SDN控制器上的控制消息。
步骤S902,通过防火墙插件获取操作请求消息和控制消息,对操作请求消息和控制消息进行处理后发送至安全服务管理模块。
需要说明的是,防火墙插件起转达消息的作用,用于获取消息,将消息发送给安全服务管理模块,防火墙插件包括防火墙模块、路由器代理模块和SDN代理模块。
其中,防火墙模块兼容云平台标准化防火墙API接口,运行在防火墙插件中,用于接收云平台防火墙API请求,并将请求预处理后发送给安全服务管理模块;路由器代理模块运行在防火墙插件中,用于接收云平台路由器请求,将请求预处理后发送给安全服务管理模块;SDN代理模块运行在防火墙插件中,用于接收SDN控制器消息,或通过所述软件定义网络的控制器的查询接口查询SDN控制器消息,将请求预处理后发送给安全服务管理模块。
步骤S903,安全服务管理模块基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载。
具体地,安全服务管理模块用于接收防火墙插件发送的请求,并负责防火墙设备的网络生命周期管理,例如,添加安全设备,删除安全设备以及配置安全设备。
此外,需要说明的是,目标安全设备可以为硬件防火墙设备或者虚拟机防火墙设备,通过目标安全设备承载云平台上的租户网络中的防火墙功能,提高了安全防护的性能。
在目标安全设备为硬件防火墙设备的情况下,将一台物理防火墙在逻辑上划分为上千个虚拟防火墙,每个虚拟防火墙系统都可以被看成一台独立的防火墙设备,将云平台上的每一个防火墙映射到硬件防火墙设备的某一个虚拟系统,从而硬件防火墙设备的虚拟系统承载租户的防火墙功能。
在不存在物理安全设备的情况下,目标安全设备可以为虚拟机防火墙设备的情况下,虚拟机防火墙设备可以以虚拟机的形式运行在云平台计算节点中,可以通过基于SR-IOV实现高性能虚拟机防火墙与SDN网关设备的对接。
本申请实施例提供的安全服务部署方法,通过获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息;通过防火墙插件获取操作请求消息和控制消息,对操作请求消息和控制消息进行处理后发送至安全服务管理模块;安全服务管理模块基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载,解决了相关技术中在云平台和软件定义网络协同工作时,难于灵活地部署安全设备的问题。通过安全服务管理模块接收防火墙插件转发的消息,基于消息并借助目标安全设备调整云平台上的安全设备的网络生命周期,进而达到了在云平台和软件定义网络协同工作时,灵活地部署安全设备的效果。
需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例还提供了一种安全服务部署装置,需要说明的是,本申请实施例的安全服务部署装置可以用于执行本申请实施例所提供的用于安全服务部署方法。以下对本申请实施例提供的安全服务部署装置进行介绍。
图10是根据本申请实施例的安全服务部署装置的示意图。如图10所示,该装置包括:获取单元10、处理单元20和设置单元30。
具体地,获取单元10,用于获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息;
处理单元20,用于通过防火墙插件获取操作请求消息和控制消息,对操作请求消息和控制消息进行处理后发送至安全服务管理模块;
设置单元30,用于通过安全服务管理模块基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载。
本申请实施例提供的安全服务部署装置,通过获取单元10获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息;处理单元20,用于通过防火墙插件获取操作请求消息和控制消息,对操作请求消息和控制消息进行处理后发送至安全服务管理模块;设置单元30通过安全服务管理模块基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载,解决了相关技术中在云平台和软件定义网络协同工作时,难于灵活地部署安全设备的问题,通过安全服务管理模块接收防火墙插件转发的消息,基于消息并借助目标安全设备调整云平台上的安全设备的网络生命周期,进而达到了在云平台和软件定义网络协同工作时,灵活地部署安全设备的效果。
所述安全服务部署装置包括处理器和存储器,上述获取单元10、处理单元20和设置单元30等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数来解决在云平台和软件定义网络协同工作时,难于灵活地部署安全设备的问题。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述安全服务部署方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述安全服务部署方法。
本发明实施例提供了一种设备,设备包括处理器、存储器及存储在存储器上并可在处理器上运行的程序,处理器执行程序时实现以下步骤:获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息;通过防火墙插件获取操作请求消息和控制消息,对操作请求消息和控制消息进行处理后发送至安全服务管理模块;安全服务管理模块基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载。本文中的设备可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理设备上执行时,适于执行初始化有如下方法步骤的程序:获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息;通过防火墙插件获取操作请求消息和控制消息,对操作请求消息和控制消息进行处理后发送至安全服务管理模块;安全服务管理模块基于处理后的消息至少通过以下之一方式管理云平台上的安全设备:添加安全设备,删除安全设备以及配置安全设备,其中,云平台上的安全设备的功能由设置在云平台之外的目标安全设备承载。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种安全服务部署系统,其特征在于,包括:
防火墙插件,设置在云平台上,用于获取所述云平台的目标请求消息以及软件定义网络的控制器的控制消息,并将所述目标请求消息和所述控制消息预处理后发送至安全服务管理模块,其中,所述目标请求消息为请求管理所述云平台上的安全设备的请求;
所述安全服务管理模块,用于基于处理后的消息至少通过以下之一方式管理所述云平台上的安全设备:添加所述安全设备,删除所述安全设备以及配置所述安全设备,其中,所述云平台上的安全设备的功能由设置在所述云平台之外的目标安全设备承载;
所述防火墙插件包括:防火墙模块,用于接收所述云平台的防火墙的请求消息,并对所述防火墙的请求消息预处理后发送至所述安全服务管理模块;路由器代理模块,用于接收所述云平台的路由器的请求消息,并对所述路由器的请求消息预处理后发送至所述安全服务管理模块;软件定义网络代理模块,用于接收所述软件定义网络的控制器的所述控制消息,和/或通过所述软件定义网络的控制器的查询接口查询所述控制消息,并对所述控制消息预处理后发送至所述安全服务管理模块。
2.根据权利要求1所述的系统,其特征在于,所述软件定义网络通过软件定义网络网关设备与所述云平台上的各个子网对接,并通过扩展接口将所述软件定义网络的路由器与所述目标安全设备互联。
3.根据权利要求2所述的系统,其特征在于,所述目标安全设备为硬件防火墙设备,所述硬件防火墙设备包括承载在硬件设备上的多个虚拟系统,所述多个虚拟系统与所述云平台上的各个子网的防火墙之间存在映射关系,所述多个虚拟系统用于承载所述云平台上的各个子网的防火墙的功能。
4.根据权利要求3所述的系统,其特征在于,所述多个虚拟系统还用于承载所述云平台上的路由器网关的功能,所述路由器网关用于接收所述云平台上的各个子网的流量,并通过所述软件定义网络网关设备将所述各个子网的流量转发至所述目标安全设备。
5.根据权利要求4所述的系统,其特征在于,所述硬件防火墙设备还包括;
虚拟交换机,与所述多个虚拟系统连接,用于接收所述各个子网的流量;
虚拟路由器,与所述虚拟交换机连接,用于对所述各个子网的流量进行处理,并将处理后的流量转发至目标地址,其中,所述虚拟交换机用于接收所述各个子网的流量并进行处理,所述目标地址至少包括目标子网和/或所述云平台之外的网络。
6.根据权利要求2所述的系统,其特征在于,所述目标安全设备为虚拟防火墙设备,所述虚拟防火墙设备运行在所述云平台的计算节点中,多个所述虚拟防火墙设备通过物理网卡中的虚拟网卡与所述软件定义网络网关设备连接。
7.根据权利要求6所述的系统,其特征在于,多个所述虚拟防火墙设备为根据所述目标请求消息和所述控制消息从安全服务资源池中调度得到的设备,其中,所述安全服务资源池中包含所述安全服务管理模块创建的预设数量的所述虚拟防火墙设备。
8.一种安全服务部署方法,其特征在于,包括:
获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息;
通过防火墙插件获取所述操作请求消息和所述控制消息,对所述操作请求消息和所述控制消息进行处理后发送至安全服务管理模块,其中,所述防火墙插件包括:防火墙模块,用于接收所述云平台的防火墙的请求消息,并对所述防火墙的请求消息预处理后发送至所述安全服务管理模块;路由器代理模块,用于接收所述云平台的路由器的请求消息,并对所述路由器的请求消息预处理后发送至所述安全服务管理模块;软件定义网络代理模块,用于接收所述软件定义网络的控制器的所述控制消息,和/或通过所述软件定义网络的控制器的查询接口查询所述控制消息,并对所述控制消息预处理后发送至所述安全服务管理模块;
所述安全服务管理模块基于处理后的消息至少通过以下之一方式管理所述云平台上的安全设备:添加所述安全设备,删除所述安全设备以及配置所述安全设备,其中,所述云平台上的安全设备的功能由设置在所述云平台之外的目标安全设备承载。
9.一种安全服务部署装置,其特征在于,包括:
获取单元,用于获取云平台的用户的操作请求消息以及软件定义网络的控制器的控制消息;
处理单元,用于通过防火墙插件获取所述操作请求消息和所述控制消息,对所述操作请求消息和所述控制消息进行处理后发送至安全服务管理模块,其中,所述防火墙插件包括:防火墙模块,用于接收所述云平台的防火墙的请求消息,并对所述防火墙的请求消息预处理后发送至所述安全服务管理模块;路由器代理模块,用于接收所述云平台的路由器的请求消息,并对所述路由器的请求消息预处理后发送至所述安全服务管理模块;软件定义网络代理模块,用于接收所述软件定义网络的控制器的所述控制消息,和/或通过所述软件定义网络的控制器的查询接口查询所述控制消息,并对所述控制消息预处理后发送至所述安全服务管理模块;
设置单元,用于通过所述安全服务管理模块基于处理后的消息至少通过以下之一方式管理所述云平台上的安全设备:添加所述安全设备,删除所述安全设备以及配置所述安全设备,其中,所述云平台上的安全设备的功能由设置在所述云平台之外的目标安全设备承载。
10.一种存储介质,其特征在于,所述存储介质存储有程序,其中,所述程序被处理器执行时实现权利要求8所述的安全服务部署方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911425378.5A CN111224821B (zh) | 2019-12-31 | 2019-12-31 | 安全服务部署系统、方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911425378.5A CN111224821B (zh) | 2019-12-31 | 2019-12-31 | 安全服务部署系统、方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111224821A CN111224821A (zh) | 2020-06-02 |
CN111224821B true CN111224821B (zh) | 2022-12-09 |
Family
ID=70828022
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911425378.5A Active CN111224821B (zh) | 2019-12-31 | 2019-12-31 | 安全服务部署系统、方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111224821B (zh) |
Families Citing this family (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112003720B (zh) * | 2020-07-13 | 2022-07-08 | 烽火通信科技股份有限公司 | 一种纳管多种防火墙资源的云管理平台和方法 |
CN111865994B (zh) * | 2020-07-23 | 2022-08-02 | 江苏安超云软件有限公司 | 一种软硬件结合网关防火墙的构建方法及其网络防护方法 |
CN112968879B (zh) * | 2021-02-01 | 2022-04-12 | 浪潮思科网络科技有限公司 | 一种实现防火墙管理的方法及设备 |
CN112738138B (zh) * | 2021-03-30 | 2022-09-30 | 腾讯科技(深圳)有限公司 | 云安全托管方法、装置、设备及存储介质 |
CN114679290B (zh) * | 2021-05-20 | 2023-03-24 | 腾讯云计算(北京)有限责任公司 | 一种网络安全管理方法及电子设备 |
CN113472799B (zh) * | 2021-07-07 | 2023-04-07 | 新华三大数据技术有限公司 | 一种基于云平台的互联管理方法、装置及设备 |
CN114301665B (zh) * | 2021-12-27 | 2024-07-30 | 山石网科通信技术股份有限公司 | 数据处理方法及装置 |
CN114553492B (zh) * | 2022-01-25 | 2023-07-07 | 杭州迪普科技股份有限公司 | 基于云平台的操作请求处理方法及装置 |
CN115277043A (zh) * | 2022-05-11 | 2022-11-01 | 北京中安星云软件技术有限公司 | 一种实现api审计防火墙的方法及系统 |
CN115996136B (zh) * | 2022-09-29 | 2024-03-26 | 华数云科技有限公司 | 一种基于sdn的多租户场景下云安全能力实现方法 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103973676B (zh) * | 2014-04-21 | 2017-05-24 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护系统及方法 |
JP2016103185A (ja) * | 2014-11-28 | 2016-06-02 | 富士通株式会社 | 管理装置、クラウドシステム及び管理プログラム |
CN106656905B (zh) * | 2015-10-28 | 2020-02-21 | 新华三技术有限公司 | 防火墙集群实现方法及装置 |
CN107205008A (zh) * | 2016-03-18 | 2017-09-26 | 上海有云信息技术有限公司 | 云计算环境下web应用防火墙的负载自适应方法 |
KR20180105375A (ko) * | 2017-03-15 | 2018-09-28 | 한국전자통신연구원 | 패킷 광 전송 네트워크를 통한 클라우드 간 가상 네트워킹 제공 방법 |
-
2019
- 2019-12-31 CN CN201911425378.5A patent/CN111224821B/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN111224821A (zh) | 2020-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111224821B (zh) | 安全服务部署系统、方法及装置 | |
US11563669B2 (en) | Method for implementing network virtualization and related apparatus and communications system | |
US11050586B2 (en) | Inter-cloud communication method and related device, and inter-cloud communication configuration method and related device | |
EP3512233B1 (en) | Method for managing network slice and management unit | |
US8484353B1 (en) | Resource placement templates for virtual networks | |
EP3534567B1 (en) | Network slice management method, management unit, and system | |
CN108768692B (zh) | 一种网络创建方法、相关设备及系统 | |
US11641308B2 (en) | Software defined networking orchestration method and SDN controller | |
US10924966B2 (en) | Management method, management unit, and system | |
CN112688814B (zh) | 一种设备接入方法、装置、设备及机器可读存储介质 | |
US9590855B2 (en) | Configuration of transparent interconnection of lots of links (TRILL) protocol enabled device ports in edge virtual bridging (EVB) networks | |
US20190132152A1 (en) | Dynamic customer vlan identifiers in a telecommunications network | |
CN104104534A (zh) | 一种虚拟网络管理的实现方法和系统 | |
CN111527726A (zh) | 网络服务管理方法、相关装置及系统 | |
EP4142242A1 (en) | Method, device, and system for deploying network slice | |
CN113810206B (zh) | 一种网络自动化编排管理方法、实体、控制器及电子设备 | |
EP3993322A1 (en) | Network management method and device | |
CN108574613B (zh) | Sdn数据中心的二层互通方法及装置 | |
CN113162785A (zh) | 一种网络接口的建立方法、装置及系统 | |
CN114650290B (zh) | 网络连通的方法、处理装置、终端及存储介质 | |
CN110636149B (zh) | 远程访问方法、装置、路由器及存储介质 | |
CN112994915A (zh) | 一种sd-wan业务编排方法、系统、设备和存储介质 | |
CN115941455A (zh) | 数据中心的云网络和运营商网络互通的方法和通信装置 | |
CN115208857A (zh) | 一种地址分配方法、装置及设备 | |
WO2024037619A1 (zh) | 一种基于云计算技术的虚拟实例创建方法和云管理平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |