CN111614605B - 用于配置防火墙的方法、安全管理系统和计算机可读介质 - Google Patents

用于配置防火墙的方法、安全管理系统和计算机可读介质 Download PDF

Info

Publication number
CN111614605B
CN111614605B CN201910560752.6A CN201910560752A CN111614605B CN 111614605 B CN111614605 B CN 111614605B CN 201910560752 A CN201910560752 A CN 201910560752A CN 111614605 B CN111614605 B CN 111614605B
Authority
CN
China
Prior art keywords
security
firewall
group information
management system
virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910560752.6A
Other languages
English (en)
Other versions
CN111614605A (zh
Inventor
T·艾哈迈德
A·艾斯
M·古鲁萨米
K·N·凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Juniper Networks Inc
Original Assignee
Juniper Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Juniper Networks Inc filed Critical Juniper Networks Inc
Publication of CN111614605A publication Critical patent/CN111614605A/zh
Application granted granted Critical
Publication of CN111614605B publication Critical patent/CN111614605B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0895Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及基于SDN虚拟防火墙的安全组信息的边界防火墙的自动配置。描述了用于基于与在数据中心内的一个或多个软件定义网络(SDN)内操作的内部虚拟防火墙相关联的安全组信息来配置被定位在数据中心的边界上的一个或多个边界防火墙的技术。例如,安全管理系统(SMS)可以访问用于数据中心内的SDN的集中式网络控制器(CNC)以获得用于SDN的虚拟防火墙的安全组信息,其中安全组信息指定由虚拟防火墙保护的软件定义网络的虚拟机集群;以及利用SMS基于来自SDN的虚拟防火墙的安全组信息来利用一个或多个安全策略自动地配置被定位在数据中心的边缘上的边界防火墙。

Description

用于配置防火墙的方法、安全管理系统和计算机可读介质
相关申请的交叉引用
本申请要求于2019年2月26日提交的美国申请第16/286,190号的权益,其全部内容通过引用并入本文。
技术领域
本公开总体上涉及计算机网络,并且更特别地涉及配置防火墙策略。
背景技术
在典型的云数据中心环境中,存在提供计算和/或存储能力以运行各种应用的大量的相互连接的服务器。例如,数据中心可以包括托管用于订户(即,数据中心的客户)的应用和服务的设施。数据中心可以例如托管所有基础设施设备,诸如联网和存储系统、冗余功率和环境控制。在典型的数据中心中,存储系统和应用服务器的集群通过由物理网络交换机和路由器的一个或多个层提供的交换机结构相互连接。更复杂的数据中心利用被定位在各种物理主机设施中的订户支持设备来提供遍布全世界的基础设施。
虚拟化数据中心正变为现代信息技术(IT)基础设施的核心基础。特别地,现代数据中心具有广泛利用的虚拟化环境,其中虚拟主机(诸如虚拟机或容器)在物理计算设备的底层计算平台上部署和执行。在一些示例中,基础设施可以包括与各种虚拟资源(诸如虚拟服务器、代理和/或策略控制器)连接和通信的物理设备的组合,物理设备可以被称为“底层资源”,并且所述虚拟资源可以被称为“覆盖资源”。
安全设备(诸如防火墙)为数据中心提供网络安全。防火墙可以包括虚拟防火墙或者物理防火墙。虚拟防火墙(诸如在虚拟机上托管的防火墙)为在虚拟网络中流动的网络流量提供网络安全。物理防火墙(诸如在硬件上实现的防火墙)为在物理网络中流动的网络流量提供网络安全。不同的供应者可以提供安全设备,其可以在一些实例中为开放系统互连(OSI)模型的不同层提供网络安全。
发明内容
总体而言,本公开描述了用于基于与在数据中心内的一个或多个软件定义网络(SDN)内操作的内部虚拟防火墙相关联的安全组信息来配置被定位在数据中心的边缘上的一个或多个边界防火墙的技术。例如,第一实体可以提供集中式网络控制器(CNC)(例如,SDN控制器)以促进数据中心内的一个或多个虚拟网络(即,软件定义网络)的操作。更特别地,用户可以使用CNC管理在数据中心的一个或多个计算节点(例如,服务器)上执行的虚拟防火墙和虚拟机。CNC用于定义安全组信息,其定义待由通过虚拟防火墙实现的一个或多个安全策略保护的虚拟机集群。虚拟防火墙为数据中心的虚拟网络(诸如在数据中心内的虚拟机集群之间流动的流量,在此被称为“东-西”流量)提供网络安全。第二实体可以提供被定位在数据中心的边缘上的边界防火墙,其为数据中心的物理网络(诸如进入和/或外出数据中心的流量,在此被称为“南-北”流量)提供网络安全。根据本公开中所描述的技术,边界防火墙的配置可以利用安全组信息,其被配置用于虚拟防火墙将网络安全扩展到数据中心的边界水平。
在此所公开的技术的一个示例包括第二实体的安全管理系统,其被用于创建、维护和应用用于边界防火墙的网络安全策略。安全管理系统可以与第一实体的CNC对接以获得被配置用于虚拟防火墙的安全组信息。安全管理系统可以映射安全组信息作为地址组信息,并且创建使用地址组信息的防火墙策略。安全管理系统将防火墙策略发布到边界防火墙,使得边界防火墙为在从安全组信息标识的虚拟机集群与数据中心外部的设备之间流动的流量提供网络安全。以这种方式,被配置用于虚拟防火墙为用于虚拟机集群的东-西流量提供网络安全的安全组信息可以被用于将边界防火墙配置用于为用于虚拟机集群的南-北流量提供网络安全。
在一个示例中,在此所描述的技术的一个或多个方面包括一种方法,包括:利用数据中心的安全管理系统访问用于数据中心内的软件定义网络的集中式网络控制器,以获得用于软件定义网络的虚拟防火墙的安全组信息,其中安全组信息指定由虚拟防火墙保护的软件定义网络的虚拟机集群,虚拟防火墙为在虚拟机集群上执行的应用之间流动的流量提供网络安全;以及利用安全管理系统基于来自软件定义网络的虚拟防火墙的安全组信息来利用一个或多个安全策略自动地配置被定位在数据中心的边缘上的边界防火墙,其中物理防火墙为在软件定义网络与数据中心外部的设备之间流动的流量提供网络安全。
在另一示例中,在此所描述的技术的一个或多个方面包括一种数据中心的安全管理系统,其被配置为:访问数据中心内的软件定义网络的集中式网络控制器,以获得用于软件定义网络的虚拟防火墙的安全组信息,其中安全组信息指定由虚拟防火墙保护的软件定义网络的虚拟机集群,虚拟防火墙为在虚拟机集群上执行的应用之间流动的流量提供网络安全;以及利用安全管理系统基于来自软件定义网络的虚拟防火墙的安全组信息来利用或多个安全策略自动地配置被定位在数据中心的边缘上的物理防火墙,其中物理防火墙为在软件定义网络与数据中心外部的设备之间流动的流量提供网络安全。
在又一示例中,在此所描述的技术的一个或多个方面包括一种非暂态计算机可读介质,其包括指令,所述指令当执行时使得执行安全管理系统(SMS)的数据中心的一个或多个处理器:访问用于数据中心内的软件定义网络的集中式网络控制器,以获得用于软件定义网络的虚拟防火墙的安全组信息,其中安全组信息指定由虚拟防火墙保护的软件定义网络的虚拟机集群,虚拟防火墙为在虚拟机集群上执行的应用之间流动的流量提供网络安全;以及利用安全管理系统基于来自软件定义网络的虚拟防火墙的安全组信息来利用或多个安全策略自动地配置被定位在数据中心的边缘上的物理防火墙,其中物理防火墙为在软件定义网络与数据中心外部的设备之间流动的流量提供网络安全。
在附图和以下描述中阐述本公开的技术的一个或多个示例的细节。本技术的其它特征、目标和优点将从描述和附图并且从权利要求变得显而易见。
附图说明
图1是图示具有其中可以实现在此所描述的技术的示例的数据中心的示例网络的块图。
图2是根据本公开中所描述的技术的图示示例安全管理系统的块图。
图3是根据本公开的技术的图示示例物理防火墙的块图。
图4是根据本公开的技术的图示示例操作的流程图。
相似附图标记贯穿附图和描述指代相似元件。
具体实施方式
图1是图示具有其中可以实现在此所描述的技术的示例的数据中心10的示例网络5的块图。一般而言,网络5包括数据中心10,其为通过服务提供者网络6耦合到数据中心10的客户4提供用于应用和服务的操作环境。数据中心10托管基础设施设备,诸如联网和存储系统、冗余功率和环境控制。服务提供者网络6可以被耦合到由其他提供者管理的一个或多个网络,并且可以因此形成大规模公共网络基础设施(例如,因特网)的一部分。
在一些示例中,数据中心10可以表示许多地理分布网络数据中心之一。如在图1的示例中所图示的,数据中心10是为客户4提供网络服务的设施。客户4可以是集体实体,诸如企业和政府或者个人。网络数据中心可以托管用于若干企业和终端用户的网络服务。其他示例服务可以包括数据存储装置、虚拟专用网络、流量工程、文件服务、数据挖掘、科学或者超级计算,等等。在一些示例中,数据中心10是个体网络服务器、对等网络或者其他。
在该示例中,数据中心10包括通过由物理网络交换机和路由器的一个或多个层提供的高速交换结构21相互连接的存储系统和应用服务器的集合。服务器26A-26X(“服务器26”)用作数据中心的计算节点。在一些示例中,术语“计算节点”和“服务器”在此可交换地使用以指代服务器26。例如,各服务器26可以为一个或多个客户特定虚拟机(图1中的“VM”)的执行提供操作环境。作为一个示例,服务器26可以提供基础设施(例如,VMware的ESX/ESXi),其支持将主机硬件聚集并且呈现给虚拟机作为标准化资源集的虚拟化能力。
交换结构21由耦合到机架交换机22A-22M(共同地“机架交换机22”)的分布层的相互连接的架顶(TOR)交换机24A-24N(共同地“TOR交换机24”)的集合提供。虽然未示出,但是数据中心10还可以包括例如一个或多个非边缘交换机、路由器、集线器、网关、服务器、计算机终端、膝上型电脑、打印机、数据库、无线移动设备(诸如蜂窝电话或者个人数字助理)、无线接入点、网桥、电缆调制解调器、应用加速器或者其他网络设备。
在图1的示例中,TOR交换机24和机架交换机22向服务器26提供与IP结构20的冗余(多址)连接性。机架交换机22聚集流量流动并且提供TOR交换机24之间的高速连接性。TOR交换机24是提供第2层(例如,MAC)和/或第3层(例如,IP)路由和/或交换功能的网络设备。TOR交换机24和机架交换机22各自包括一个或多个处理器和存储器,并且其能够执行一个或多个软件过程。机架交换机22被耦合到IP结构20,其执行第3层路由以通过服务提供者网络6在数据中心10与客户4之间路由网络流量。网关8动作以在IP结构20与服务提供者网络6之间转发并且接收分组。
集中式网络控制器32(“CNC”)提供用于促进数据中心10内的一个或多个虚拟网络(即,数据中心10内的软件定义网络)的操作的集中式控制器。在一些示例中,CNC 32响应于从管理员28接收到的配置输入而进行操作。CNC 32管理数据中心10的功能,诸如计算、存储、联网、联网服务(例如,安全)和应用资源。例如,CNC 32可以创建用于数据中心10内或者跨数据中心的租户的虚拟网络。CNC 32可以将虚拟机附接到租户的虚拟网络。CNC 32可以将租户的虚拟网络连接到某个外部网络,例如因特网或者VPN。
在一些示例中,CNC 32由第一实体提供,诸如VMware。在该示例中,CNC 32可以例如表示与由VMware提供的vCenter服务器相关联的NSX管理器。CNC 32被安装作为数据中心10中的任何主机(例如,服务器26)上的虚拟设备。在图1的示例中,CNC 32管理服务器26,其为一个或多个客户特定虚拟机的执行提供还由第一实体提供的操作环境(例如,VMware的ESX/ESXi)。
通常地,在任何两个网络设备之间(诸如例如在IP结构20(未示出)内的网络设备之间、或者在服务器26与客户4之间、或者在服务器26之间)的流量可以遍历使用许多不同的路径的物理网络。例如,在两个网络设备之间可以存在等价的若干不同的路径。在一些情况下,属于从一个网络设备到另一网络设备的网络流量的分组可以使用被称为每个网络交换机节点处的多路径路由的路由策略而被分布在各种可能的路径中间。例如,因特网工程任务组(IETF)RFC 2992“Analysis of an Equal-Cost Multi-Path Algorithm”描述了用于沿着等价的多个路径路由分组的路由技术。RFC 2992的技术分析一个特定多路径路由策略,包含通过散列通过单个确定性路径发送来自特定网络流的所有分组的分组头部字段将流分配到仓。
例如,“流”可以由在分组的头部中使用的五个值或“五元组”定义,即,用来通过物理网络路由分组的协议、源IP地址、目的地IP地址、源端口和目的地端口。例如,协议指定通信协议(诸如TCP或者UDP),并且源端口和目的地端口指代连接的源端口和目的地端口。匹配特定流条目的一个或多个分组数据单元(PDU)的集合表示流。流可以使用PDU的任何参数宽广地分类,诸如源和目的地数据链路(例如,MAC)和网络(例如,IP)地址、虚拟局域网(VLAN)标签、传输层信息、多协议标签交换(MPLS)或者通用MPLS(GMPLS)标签和接收流的网络设备的进入端口。例如,流可以是在传输控制协议(TCP)连接中传送的所有PDU、由特定MAC地址或者IP地址发源的所有PDU、具有相同VLAN标签的所有PDU和在相同交换机端口处接收到的所有PDU。
如本文所描述的,服务器26中的每个服务器26包括相应的虚拟路由器(图1中的“VR”),其执行用于数据中心10内的对应的虚拟网络的多个路由实例并且将分组路由到在由服务器提供的操作环境内执行的适当的虚拟机。例如,由服务器26A的虚拟路由器从底层物理网络结构接收到的分组可以包括允许物理网络结构将有效载荷或者“内部分组”隧道到用于执行虚拟路由器的服务器26的网络接口的物理网络地址的外部头部。外部头部可以包括不仅服务器的网络接口的物理网络地址以及虚拟网络标识符,诸如标识虚拟网络之一以及由虚拟路由器执行的对应的路由实例的VxLAN标签或者多协议标签交换(MPLS)标签。内部分组包括具有目的地网络地址的内部头部,目的地网络地址符合用于由虚拟网络标识符所标识的虚拟网络的虚拟网络寻址空间。
在图1的示例中,CNC 32将路由和其他信息(诸如配置信息)获悉并且分布到数据中心10中的所有计算节点。在从CNC 32接收到路由信息时,在计算节点内运行的VR代理36通常利用转发信息对数据转发元件(虚拟路由器)进行编程。CNC 32将路由和配置信息发送到VR代理36。当从VR代理36接收到虚拟路由器时,CNC 32充当消息协议客户端,并且在该情况下,VR代理36充当消息协议服务器。相反地,当CNC 32向VR代理36发送路由时,CNC 32充当作为消息协议客户端的VR代理36的消息协议服务器。
CNC 32还可以实现并且管理至少一个虚拟防火墙38以为在数据中心10里内部管理的软件定义网络(SDN)内流动的流量提供网络安全。例如,CNC 32可以配置并且推送安全策略到虚拟防火墙38以为在数据中心10内的SDN网络的服务器26的虚拟机上执行的应用之间流动的网络流量(其在此被称为“东-西”流量)提供网络安全。
例如,虚拟防火墙38可以表示在由多个服务器或者设备提供的计算平台上执行的分布式防火墙。例如,虚拟防火墙可以是为VM提供网络安全的管理程序内核嵌入式防火墙。虚拟防火墙38在服务器26的每个管理程序中配置(例如,由VMware所提供的ESX)。由于服务器26中的每个服务器26被连接到管理程序,因此,每个虚拟服务器直接地被连接到无所不在的防火墙。
用户可以使用CNC 32对分配将由虚拟防火墙38保护的资源(诸如虚拟机)的安全组信息进行配置。安全组信息可以表示一个或多个容器,其包含多个对象类型,包括逻辑交换机、虚拟网络接口控制器(vNIC)、IPset和虚拟机。
通常,安全组信息可以包括基于安全标签、VM名称或者逻辑交换机名称的动态成员准则。通过配置动态成员准则,CNC 32可以将安全策略应用到与动态成员准则相关联的VM集群。例如,服务器26A和26X的VM可以具有“web”的安全标签。CNC 32可以针对具有“web”的安全标签的安全组来配置安全策略,并且可以将安全策略推送到虚拟防火墙38以将安全策略应用到与“web”安全标签相关联的VM。通过将安全策略应用到安全组而不是单独的网络地址,虚拟防火墙38可以动态地将安全策略应用到虚拟机组,而不管虚拟机是否改变位置。例如,当安全组的一个或多个虚拟机移动到不同的服务器或者数据中心时,虚拟机可以具有不同的虚拟网络地址。但是由于虚拟机保持“web”安全标签,因而虚拟机将仍然由虚拟防火墙38保护。也即,安全策略不必每当虚拟机改变位置时重新配置。虽然关于特定于VMware的安全组信息描述了本公开中所描述的技术,但是安全组信息可以表示来自任何供应商的任何信息,其定义为虚拟网络提供网络安全的虚拟机集群。
数据中心10包括被定位在数据中心10的边缘上的边界安全设备(例如,边界防火墙35),以便为进入和/或流出数据中心10的流量(另外被称为“南-北”流量)提供网络安全。在图1的示例中,边界防火墙35表示在端口和协议层处实施每个防火墙策略的物理防火墙。虽然被图示并且被描述为物理防火墙,但是边界防火墙35可以是在数据中心10的边缘处提供安全的虚拟防火墙。在一些示例中,边界防火墙35在OSI第7层应用层处实施每个防火墙策略(例如,可以许可超文本传输协议(HTTP)流量,同时阻止安全套接字层(SSL)流量)。在一些示例中,每个防火墙策略定义多个网络流量规则。在一些示例中,边界防火墙35可以基于5元组规则(例如,第3层或第4层防火墙)、基于访问控制列表(ACL)、或者基于5元组和应用标识符(ID)或签名(例如,第7层防火墙)来阻止流量。
在一些实例中,可以通过第二实体提供边界防火墙35。在这些示例中,第二实体可以提供边界防火墙35,边界防火墙35包括未由通过第一实体提供的边界防火墙提供的安全服务(例如,L4到L7安全服务)。在网络流量进入数据中心10之前,边界防火墙35可以实现复杂安全规则以许可或者阻止数据中心10外部的网络流量。在图1的示例中,边界防火墙35被定位在网关8的外部侧,例如,在网关8与数据中心10外部的网络(诸如服务提供者网络6)的上游路由器之间。在其他示例中,网关8可以包括边界防火墙35的防火墙功能并且执行在此所描述的技术。边界防火墙35针对数据中心10执行分组转发和分组过滤服务。在一些示例中,边界防火墙35可以是包括硬件或者硬件和软件的组合的边界防火墙部件。
由第二实体提供的安全管理系统34可以配置并且管理边界防火墙35。安全管理系统34可以配置具有一个或多个网络流量规则的安全策略。每个网络流量规则可以包括至少一个源IP地址、至少一个源端口、至少一个目的地IP地址、至少一个目的地端口、协议、可以指定网络流量规则是否是基于应用的、方向(例如,进入或者流出流量),并且还可以指定模式匹配规则(例如,规则表达)。在一些示例中,网络流量规则还可以指定用于起源于源并且去往目的地的网络流量的对应的许可动作(例如,阻止流量、允许流量、记录流量、或者将流量报告给管理员)。
在一些示例中,网络流量的源和网络流量的目的地由一个或多个网络地址和/或一个或多个子网表示。例如,基于防火墙策略,边界防火墙35可以阻止或者许可在服务器26的虚拟机上执行的一个或多个应用与数据中心10外部的设备之间流动的网络流量。例如,基于第一防火墙策略,边界防火墙35可以阻止起源于数据中心10外部的一个或多个地址并且去往数据中心10内的一个或多个应用的网络流量。作为另一示例,基于第二防火墙策略,边界防火墙35可以允许起源于数据中心10外部的一个或多个地址并且去往数据中心10内的一个或多个应用的网络流量。作为另一示例,基于第三防火墙策略,边界防火墙35可以阻止起源于数据中心10内的一个或多个应用并且去往数据中心10外部的一个或多个地址的网络流量。作为另一示例,基于第四防火墙策略,边界防火墙35可以允许起源于数据中心10内的一个或多个应用并且去往数据中心10外部的一个或多个地址的网络流量。
随着不同的供应商分别地为虚拟防火墙38和边界防火墙35提供管理和配置,边界防火墙通常不知道虚拟防火墙的配置信息。根据本公开中所描述的技术,边界防火墙35基于对于虚拟防火墙38配置的安全组信息来配置,以扩展用于安全组信息中所标识的VM的“南-北”流量的网络安全。
作为一个示例,安全管理系统34可以从CNC 32获得指定由虚拟防火墙38保护的虚拟机集群的安全组信息。在图1的示例中,管理员28使用CNC 32来定义安全组信息,安全组信息指定例如服务器26的VM集群,并且在一些实例中,与将由虚拟防火墙38保护的VM集群相关联的动态成员准则,例如,安全标签(或VM名称/逻辑交换机名称)。
安全管理系统34被配置为与CNC 32对接以获得安全组信息。例如,安全管理系统34可以发现、配准和添加CNC 32作为交换信息的设备。CNC 32可以将共享对象(例如,安全组信息)和地址与安全管理系统34同步。安全管理系统34映射安全组信息作为被存储在安全管理系统34的储存库内的地址组信息。安全管理系统34可以自动地构建一个或多个安全策略来使用地址组信息并且以符合边界防火墙35的要求的语法。例如,使用地址组信息,安全管理系统34可以针对进入数据中心10并且去往与地址组相关联的一个或多个VM的流量和/或针对从与地址组相关联的一个或多个VM流出并且进入数据中心10的流量而定义一个或多个规则。以这种方式,边界防火墙35可以针对最初从安全组信息所标识的VM集群应用一个或多个安全策略。在一些示例中,安全管理系统34可以周期性地或者在安全组信息改变(例如,组成员改变)的情况下获得安全组信息。以这种方式,利用安全组的任何成员改变来更新安全管理系统34。在进一步的示例中,安全管理系统34可以监测安全组的子集的成员改变。对于其中CNC 32配置大量的安全组的示例而言,安全管理系统34可以监测安全组的子集的任何成员改变。以这种方式,在不利用安全组的整个集合的改变过载的情况下,安全管理系统34可以更高效地监测安全组的较小子集的成员改变。
安全管理系统34可以将一个或多个配置的安全策略推送到边界防火墙35,使得边界防火墙35可以在数据中心10的边界层处应用安全策略。也即,边界防火墙35可以针对最初安全组信息中所标识的VM集群应用多个安全策略。
技术可以提供一个或多个示例技术优点。例如,通过获得对于虚拟防火墙配置的安全组信息并且基于安全组信息来配置边界防火墙,对于虚拟网络的网络安全与对于物理网络的网络安全进行桥接。此外,通过实现在此所描述的技术,边界防火墙可以针对安全组动态地应用安全策略而不管虚拟机是否已经改变位置。
图2是更详细地图示图1的示例安全管理系统34的块图。如本文所描述的,安全管理系统34提供基于从集中式网络控制器32获得的安全组信息来配置边界防火墙35的一个或多个安全策略的系统。在图2中,例如,在安全管理系统34的一个或多个处理器(未示出在图2中)上执行的防火墙配置模块57可以与集中式网络控制器32对接,以获得标识由虚拟防火墙38保护的VM集群的安全组信息32。例如,用户可以经由接口58与防火墙配置模块57对接以选择防火墙配置模块57可以发起通信的CNC 32,以使得双向通信能够交换信息,例如,安全组信息33。
防火墙配置模块57可以使用安全套接字层(SSL)在TCP端口(未示出在图2中)与集中式网络控制器32通信。在一些方面中,防火墙配置模块57可以周期性地获得安全组信息33或者在安全组信息33的成员(或者安全组信息的子集)改变时获得安全信息33。
响应于获得安全组信息33,防火墙配置模块57可以将安全组信息33映射到储存库52内的地址组53。储存库52可以表示位于安全管理系统34内部或者外部的数据库或者其他数据储存库。地址组53可以用作用于从外部数据馈送传播的网络地址的列表的容器,并且可以由安全策略使用。例如,响应于从CNC 32获得安全组信息33,防火墙配置模块57可以将来自安全组信息33的动态成员准则映射到地址组53。
安全管理系统34可以包括安全设备标识符54,其标识安全管理系统34将管理和配置的安全设备。例如,安全设备标识符54可以将边界防火墙35标识为防火墙配置模块57可以构建一个或多个安全策略所针对的安全设备。在一些示例中,安全设备标识符54可以自动发现耦合到安全管理系统34的所有安全设备。在其他示例中,管理员可以经由接口58与安全管理系统34对接以提供安全设备标识符54可以发现的所有安全设备的细节。
安全管理系统34可以包括在安全管理系统34的一个或多个处理器(未示出在图2中)上执行的策略模块50,其中策略模块50可以生成将要在由安全设备标识符54标识的安全设备上实现的高级安全服务策略(例如,应用防火墙策略(L7))。例如,防火墙配置模块57可以使用策略模块50来定义用于安全设备的语句(例如,规则)的集合,例如,边界防火墙35,其控制使用指定服务从指定源到指定目的地的流量。对于进入数据中心并且去往从安全组信息标识的VM集群的流量而言,策略模块50可以自动地构建例如安全策略的目的地地址字段以使用标识VM集群的地址组53的条目。对于流出数据中心并且来源于从安全组信息标识的VM集群的流量而言,策略模块50可以自动地构建例如安全策略的源地址字段来使用标识VM集群的地址组53的条目。实质上,通过将安全策略的源和目的地地址字段配置为使用地址组53,生成安全策略以控制至/自从安全组信息33标识的VM集群的“南-北”流量。
响应于配置一个或多个安全策略,防火墙配置模块57可以引导策略部署引擎56将配置的一个或多个安全策略部署到边界防火墙35。一般而言,安全管理系统34的底层策略部署引擎56可以使用被设计用于管理的边界防火墙35内的配置信息数据的管理的一个或多个网络管理协议(诸如简单网络管理协议(SNMP)协议或者网络配置协议(NETCONF)协议或者其变型(诸如瞻博设备管理接口))来管理边界防火墙35内的安全策略。可以在2002年12月的网络工作组的因特网工程任务组草案的Harrington等人的RFC 3411、在http://tools.ietf.org/html/rfc3411处可用,“An Architecture for Describing SimpleNetwork Management Protocol(SNMP)Management Frameworks”中找到SNMP协议的进一步的细节,其全部内容通过引用并入本文。在2006年12月的网络工作组的因特网工程任务组草案的R.Enns等人的RFC 4741、在http://tools.ietf.org/html/rfc4741处可用的“NETCONF Configuration Protocol”中描述了NETCONF,其以整体内容通过引用并入本文。使用网络管理协议,安全管理系统10可以与一个或多个安全设备建立配置会话,一个或多个安全设备允许安全管理系统10遍历和修改一个或多个安全设备内的配置信息数据,诸如边界防火墙35。
安全管理系统34包括接口58(诸如图形用户接口),以访问上文所描述的模块。例如,用户可以经由接口58访问防火墙配置模块57以将新规则添加到由CNC 32管理的边界防火墙35查看服务器(例如,图1的服务器26),以查看安全组信息,诸如安全组成员(例如,作为安全组的一部分的VM)。
图3是根据在此所描述的技术的示例边界防火墙。边界防火墙300可以更详细地表示图1和图2的边界防火墙35。如下文所描述的,在本公开的一个方面中,边界防火墙300被定位在数据中心的边缘处并且处理进入和流出数据中心的网络分组流,并且在分组流上执行深度分组检查以标识最初从安全组信息标识的虚拟机集群的潜在网络威胁。
在所图示的示例中,边界防火墙300包括:控制平面321,其管理用于防火墙的控制平面功能;以及转发平面322,其透明地监测流入网络流量324并且转发网络流量作为流出网络流量326。在由图3所图示的示例中,转发平面322包括流分析模块325、策略引擎328、地址组信息350和转发部件331。
控制平面321可以在路由引擎(未示出在图3中)上运行,路由引擎包括安全管理客户端344,安全管理客户端344提供用于根据一个或多个设备配置协议(例如,SNMP)与安全管理系统34通信的配置接口345。例如,安全管理客户端344可以经由配置接口345从安全管理系统34接收一个或多个安全策略并且将安全策略存储在策略数据库中,例如,策略347。如下文进一步描述的,从安全管理系统34接收到的安全策略可以使用标识VM集群的地址组,该地址组根据从集中式网络控制器32获得的安全组信息被映射。地址组349可以维持从安全管理系统34接收到的地址组信息,诸如用于VM集群的动态成员准则。
在一些示例中,安全管理系统34可以提供指定攻击定义333的安全策略,在一些示例方法中,安全管理客户端344将安全策略中继到策略引擎328。在一些示例中,攻击定义333可以是已知的漏洞,诸如来自国家漏洞数据库(NVD)的攻击信息;系统管理、审计、网络、安全协会(SANS);公共漏洞和风险(CVE);BugTraq;CERT协调中心;分组风暴安全;Metsploit;法国安全紧急反应小组(FrSIRT);因特网安全系统(ISS);以及其他。安全管理客户端344可以经由配置接口345从安全管理系统34接收前述信息以用于存储在策略347内,并且将信息中继到策略引擎328以用于应用到分组流。
流分析模块325接收流入流量324并且执行基于流的处理。流分析模块325标识流量内的个体网络流,诸如源地址、目的地地址和通信协议。流分析模块325可以利用附加信息来指定网络流,包括源介质访问控制(“MAC”)地址、目的地MAC地址、源端口和目的地端口。其他示例可以使用其他信息来标识网络流,诸如IP地址、应用会话和带宽使用。虽然未示出,但是流分析模块345可以执行附加任务,诸如记录每个分组流用于进一步的检查。
除了其他方面,策略引擎328可以确定分组是否允许进入设备中并且哪些安全策略应用到分组。例如,策略引擎328根据许可或者拒绝流动通过边界防火墙300的流量的安全策略的列表来确定安全策略。策略引擎328可以应用从安全管理系统34接收到的安全策略,该安全策略使用标识安全策略将被应用的VM集群的地址组信息350。根据地址组信息349生成地址组信息350。
在检测到安全风险的情况下,策略引擎328可以丢弃分组、关闭通信会话、或者其他动作以防止流量(和后续流量)被转发到VM集群。在一些示例中,策略引擎328可以将警报340应用到安全管理客户端344以用于记录和进一步分析。如果未检测安全风险,则转发部件331继续在对等体之间转发分组流(即,朝向VM集群转发分组)。例如,转发分组331可以维持根据企业网络的拓扑存储路由的路由表以用于在转发分组流中使用。虽然关于防火墙描述了图3,但是所描述的技术同样适用于如在题为“ATTACK DETECTION AND PREVENTIONUSING GLOBAL DEVICE FINGERPRINTING”的美国专利9,106,693和题为“INTEGRATEDSECURITY SYSTEM HAVING THREAT VISUALIZATION AND AUTOMATED SECURITY DEVICECONTROL”的美国专利10,135,841中所描述的入侵检测系统(IDS)和入侵防护系统(IPS),其全部内容通过引用并入本文。
图4是根据本公开的技术的图示示例操作的流程图。为了方便起见,关于图1和图2描述图4。在图4的示例中,安全管理系统34访问集中式网络控制器32以获得用于软件定义网络的虚拟防火墙的安全组信息(402)。例如,安全管理系统34可以发起与CNC 32通信以实现在安全管理系统34与CNC 32之间双向通信以用于交换信息(例如,安全组信息)。安全管理系统34的防火墙配置模块57可以使用SSL在TCP端口上与CNC 32通信。CNC 32可以将共享对象(例如,安全组信息)和地址与安全管理系统34同步。
安全管理系统34映射安全组信息作为地址组信息(404)。例如,地址组信息可以被存储在用于从外部数据馈送(例如,CNC 32)传播的网络地址的列表的容器(例如,图2的地址组53)中,并且可以由安全策略使用。例如,响应于从CNC 32获得安全组信息,安全管理系统34的防火墙配置模块57可以将来自安全组信息的动态成员准则映射到地址组。
安全管理系统34自动地构建使用地址组信息并且以符合边界防火墙的要求的语法的一个或多个安全策略(406)。例如,使用地址组信息,安全管理系统34可以针对进入数据中心10并且去往与地址组相关联的一个或多个VM的流量和/或针对从与地址组相关联的一个或多个VM流出并且进入/流出数据中心10的流量,配置一个或多个规则。更特别地,对于进入数据中心10并且去往从安全组信息标识的VM集群的流量而言,安全管理系统34的策略模块50可以生成安全策略并且例如配置安全策略的目的地地址字段,以使用标识VM集群的地址组53的条目。对于进入数据中心10并且来源于从安全组信息标识的VM集群的流量而言,策略模块50可以配置例如安全策略的源地址字段以使用标识VM集群的地址组53的条目。
安全管理系统34基于安全组信息利用一个或多个安全策略对一个或多个边界防火墙进行配置(408)。例如,安全管理系统34可以将一个或多个配置的安全策略推送到边界防火墙35,使得边界防火墙35可以在数据中心10的边界层处应用安全策略。安全管理系统34可以使用去往管理的边界防火墙35内的配信息数据的管理的一个或多个网络管理协议(诸如(SNMP或NETCONF、或者其变型(诸如瞻博设备管理接口))来管理边界防火墙35内的安全策略。
可以至少部分地以硬件、软件、固件或其任何组合实现本公开中所描述的技术。例如,所描述的技术的各方面可以被实现在一个或多个处理器内,包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者任何其他等效集成或者离散逻辑电路,以及这样的部件的任何组合。术语“处理器”或者“处理电路”可以通常指代单独或组合其他逻辑电路或者任何其他等效电路的前述逻辑电路中的任一个。包括硬件的控制单元也可以执行本公开的技术。
这样的硬件、软件和固件可以被实现在相同设备内或者在分离设备内,以支持本公开中所描述的各种操作和功能。另外,所描述的单元、模块或者部件中的任一个可以一起或分离地被实现为分立但是可互操作的逻辑器件。将不同的特征描绘为模块或者单元旨在突出显示不同的功能方面并且不必隐含这样的模块或单元必须由分离的硬件或者软件部件来实现。相反,与一个或多个模块或单元相关联的功能可以由分离的硬件或软件部件执行,或者被集成在共同或分离的硬件或软件部件内。
本公开中所描述的技术还可以实现或者编码在计算机可读介质(诸如计算机可读存储介质,其包含指令)中。被嵌入或者编码在计算机可读存储介质中的指令可以使得可编程处理器或者其他处理器执行方法(例如,当执行指令时)。计算机可读存储介质可以包括随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦可编程只读存储器(EPROM)、电可擦可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、磁带、磁性介质、光学介质、或者其他计算机可读介质。
已经描述了各种示例。这些和其他示例在所附权利要求的范围内。

Claims (15)

1.一种配置防火墙的方法,包括:
利用由数据中心的第一实体提供的安全管理系统访问用于所述数据中心内的软件定义网络的、由所述数据中心的第二实体提供的集中式网络控制器,以获得用于所述软件定义网络的虚拟防火墙的安全组信息,
其中所述安全组信息指定由所述虚拟防火墙保护的所述软件定义网络的虚拟机集群,所述虚拟防火墙为在所述虚拟机集群上执行的应用之间流动的流量提供网络安全,以及
其中所述集中式网络控制器以符合所述虚拟防火墙的要求的语法对所述安全组信息进行配置,
利用所述安全管理系统基于来自所述软件定义网络的所述虚拟防火墙的所述安全组信息来利用一个或多个安全策略自动地配置被定位在所述数据中心的边缘上的边界防火墙,其中所述边界防火墙为在所述软件定义网络与所述数据中心外部的设备之间流动的流量提供网络安全;
其中自动地配置所述边界防火墙包括:使用从所述安全组信息转换的地址组信息来自动地构建所述一个或多个安全策略,
其中所述安全管理系统以符合所述边界防火墙的所述要求的语法对所述地址组信息进行配置。
2.根据权利要求1所述的方法,其中访问所述软件定义网络的所述集中式网络控制器包括:
由所述第一实体的所述安全管理系统从所述第二实体的所述集中式网络控制器接收与所述虚拟机集群相关联的动态成员准则;以及
由所述安全管理系统将与所述虚拟机集群相关联的所述动态成员准则映射到所述地址组信息。
3.根据权利要求2所述的方法,其中所述动态成员准则包括安全标签、VM名称和逻辑交换机名称中的至少一项。
4.根据权利要求1所述的方法,还包括:
响应于所述安全组信息中的改变,由所述安全管理系统基于所述安全组信息中的所述改变来更新所述地址组信息。
5.根据权利要求1-4中的任一项所述的方法,
其中所述虚拟防火墙是跨所述数据中心的多个服务器实现的分布式防火墙。
6.一种由数据中心的第一实体提供的安全管理系统,其被配置为:
访问用于所述数据中心内的软件定义网络的、由所述数据中心的第二实体提供的集中式网络控制器,以获得用于所述软件定义网络的虚拟防火墙的安全组信息,
其中所述安全组信息指定由所述虚拟防火墙保护的所述软件定义网络的虚拟机集群,所述虚拟防火墙为在所述虚拟机集群上执行的应用之间流动的流量提供网络安全,以及
其中所述集中式网络控制器以符合所述虚拟防火墙的要求的语法对所述安全组信息进行配置;以及
利用所述安全管理系统基于来自所述软件定义网络的所述虚拟防火墙的所述安全组信息来利用一个或多个安全策略自动地配置被定位在所述数据中心的边缘上的边界防火墙,其中所述边界防火墙为在所述软件定义网络与所述数据中心外部的设备之间流动的流量提供网络安全,
其中自动地配置所述边界防火墙包括:使用从所述安全组信息转换的地址组信息自动地构建所述一个或多个安全策略,
其中所述安全管理系统以符合所述边界防火墙的所述要求的语法对所述地址组信息进行配置。
7.根据权利要求6所述的安全管理系统,其中为了访问所述集中式网络控制器,所述安全管理系统还被配置为:
从所述第二实体的所述集中式网络控制器接收与所述虚拟机集群相关联的动态成员准则;以及
将与所述虚拟机集群相关联的所述动态成员准则映射到所述地址组信息。
8.根据权利要求7所述的安全管理系统,其中所述动态成员准则包括安全标签、VM名称和逻辑交换机名称中的至少一项。
9.根据权利要求6所述的安全管理系统,其中所述安全管理系统还被配置为:
响应于所述安全组信息中的改变,基于所述安全组信息中的所述改变来更新所述地址组信息。
10.根据权利要求6-9中的任一项所述的安全管理系统,
其中所述虚拟防火墙是跨所述数据中心的多个服务器实现的分布式防火墙。
11.一种非暂态计算机可读介质,其包括指令,所述指令当被执行时使得执行由数据中心的第一实体提供的安全管理系统(SMS)的数据中心的一个或多个处理器:
访问用于所述数据中心内的软件定义网络的、由所述数据中心的第二实体提供的集中式网络控制器,以获得用于所述软件定义网络的虚拟防火墙的安全组信息,
其中所述安全组信息指定由所述虚拟防火墙保护的所述软件定义网络的虚拟机集群,所述虚拟防火墙为在所述虚拟机集群上执行的应用之间流动的流量提供网络安全,以及
其中所述集中式网络控制器以符合所述虚拟防火墙的要求的语法对所述安全组信息进行配置;以及
利用所述安全管理系统基于来自所述软件定义网络的所述虚拟防火墙的所述安全组信息来利用一个或多个安全策略自动地配置被定位在所述数据中心的边缘上的边界防火墙,其中所述边界防火墙为在所述软件定义网络与所述数据中心外部的设备之间流动的流量提供网络安全,
其中自动地配置所述边界防火墙包括:使用从所述安全组信息转换的地址组信息自动地构建所述一个或多个安全策略,
其中所述安全管理系统以符合所述边界防火墙的所述要求的语法对所述地址组信息进行配置。
12.根据权利要求11所述的计算机可读介质,其中为了访问所述软件定义网络的所述集中式网络控制器,所述指令还使得所述一个或多个处理器:
从所述第二实体的所述集中式网络控制器接收与所述虚拟机集群相关联的动态成员准则;以及
将与所述虚拟机集群相关联的所述动态成员准则映射到所述地址组信息。
13.根据权利要求12所述的计算机可读介质,其中所述动态成员准则包括安全标签、VM名称和逻辑交换机名称中的至少一项。
14.根据权利要求11所述的计算机可读介质,其中所述指令还使得所述一个或多个处理器:
响应于所述安全组信息中的改变,基于所述安全组信息中的所述改变来更新所述地址组信息。
15.根据权利要求11-14中的任一项所述的计算机可读介质,
其中所述虚拟防火墙是跨所述数据中心的多个服务器实现的分布式防火墙。
CN201910560752.6A 2019-02-26 2019-06-26 用于配置防火墙的方法、安全管理系统和计算机可读介质 Active CN111614605B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/286,190 US11159487B2 (en) 2019-02-26 2019-02-26 Automatic configuration of perimeter firewalls based on security group information of SDN virtual firewalls
US16/286,190 2019-02-26

Publications (2)

Publication Number Publication Date
CN111614605A CN111614605A (zh) 2020-09-01
CN111614605B true CN111614605B (zh) 2022-08-05

Family

ID=67001545

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910560752.6A Active CN111614605B (zh) 2019-02-26 2019-06-26 用于配置防火墙的方法、安全管理系统和计算机可读介质

Country Status (3)

Country Link
US (1) US11159487B2 (zh)
EP (1) EP3703330B1 (zh)
CN (1) CN111614605B (zh)

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11563722B2 (en) * 2019-08-22 2023-01-24 Hewlett Packard Enterprise Development Lp Firewall coordination in a network
US11288018B2 (en) * 2020-03-25 2022-03-29 Verizon Patent And Licensing Inc. Method and system for deploying a virtual distributed unit on a network device
US11057274B1 (en) * 2020-04-09 2021-07-06 Verizon Patent And Licensing Inc. Systems and methods for validation of virtualized network functions
US11522834B2 (en) * 2020-04-11 2022-12-06 Juniper Networks, Inc. Autotuning a virtual firewall
US11252564B2 (en) * 2020-04-15 2022-02-15 Phillips 66 Company Methods and systems for a secure wireless network for industrial process monitoring and business applications
CN112162828B (zh) * 2020-10-29 2023-03-24 杭州谐云科技有限公司 一种基于云边场景的容器网络协同系统和协同方法
EP3993331B1 (en) * 2020-10-30 2023-05-03 Palo Alto Networks, Inc. Flow metadata exchanges between network and security functions for a security service
US11785048B2 (en) 2020-10-30 2023-10-10 Palo Alto Networks, Inc. Consistent monitoring and analytics for security insights for network and security functions for a security service
US11095612B1 (en) 2020-10-30 2021-08-17 Palo Alto Networks, Inc. Flow metadata exchanges between network and security functions for a security service
CN112491822A (zh) * 2020-11-13 2021-03-12 中盈优创资讯科技有限公司 一种安全策略自动下发的方法及装置
CN112583841B (zh) * 2020-12-23 2023-03-24 交控科技股份有限公司 虚拟机安全防护方法及系统、电子设备和存储介质
US11765129B2 (en) 2021-01-28 2023-09-19 Okta, Inc. Automated creation of trusted network perimeter
CN113315754B (zh) * 2021-04-25 2022-07-12 中国民生银行股份有限公司 容器出访防火墙智能联动方法及装置、设备、介质
US11665139B2 (en) * 2021-04-30 2023-05-30 Palo Alto Networks, Inc. Distributed offload leveraging different offload devices
US11477165B1 (en) * 2021-05-28 2022-10-18 Palo Alto Networks, Inc. Securing containerized applications
CN113949537B (zh) * 2021-09-26 2023-11-21 杭州谐云科技有限公司 一种基于eBPF的防火墙管理方法和系统
WO2023050070A1 (zh) * 2021-09-28 2023-04-06 中远海运科技股份有限公司 一种面向云主机全流量网络访问防护的方法及装置
CN113612807B (zh) * 2021-10-09 2021-12-03 苏州浪潮智能科技有限公司 一种分布式防火墙定义方法及系统
US11831516B2 (en) * 2021-11-01 2023-11-28 Microsoft Technology Licensing, Llc Logical grouping of network resources and control at scale
CN114553492B (zh) * 2022-01-25 2023-07-07 杭州迪普科技股份有限公司 基于云平台的操作请求处理方法及装置
WO2023194701A1 (en) * 2022-04-05 2023-10-12 Sophos Limited Security of network traffic in a containerized computing environment
US11870815B2 (en) 2022-04-05 2024-01-09 Sophos Limited Security of network traffic in a containerized computing environment
CN115361189A (zh) * 2022-08-12 2022-11-18 华能澜沧江水电股份有限公司 一种基于分布式防火墙安全策略智能管理的方法及系统
CN116192742A (zh) * 2022-12-15 2023-05-30 四川天邑康和通信股份有限公司 一种基于应用的路由加速方法及系统
US11979746B1 (en) 2023-07-21 2024-05-07 Palo Alto Networks, Inc. Selective intelligent enforcement in mobile networks

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103763310A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的防火墙服务系统及方法
CN104378387A (zh) * 2014-12-09 2015-02-25 浪潮电子信息产业股份有限公司 一种虚拟化平台下保护信息安全的方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10484334B1 (en) * 2013-02-26 2019-11-19 Zentera Systems, Inc. Distributed firewall security system that extends across different cloud computing networks
US9106693B2 (en) 2013-03-15 2015-08-11 Juniper Networks, Inc. Attack detection and prevention using global device fingerprinting
US20170223060A1 (en) * 2014-08-28 2017-08-03 Hewlett Packard Enterprise Development Lp Security control
US9787641B2 (en) 2015-06-30 2017-10-10 Nicira, Inc. Firewall rule management
US20170126727A1 (en) 2015-11-03 2017-05-04 Juniper Networks, Inc. Integrated security system having threat visualization
US10757105B2 (en) * 2017-06-12 2020-08-25 At&T Intellectual Property I, L.P. On-demand network security system
US10862850B2 (en) * 2017-06-15 2020-12-08 Nicira, Inc. Network-address-to-identifier translation in virtualized computing environments
US10785190B2 (en) * 2017-12-13 2020-09-22 Adaptiv Networks Inc. System, apparatus and method for providing a unified firewall manager
US10728121B1 (en) * 2018-05-23 2020-07-28 Juniper Networks, Inc. Dashboard for graphic display of computer network topology

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103763310A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的防火墙服务系统及方法
CN104378387A (zh) * 2014-12-09 2015-02-25 浪潮电子信息产业股份有限公司 一种虚拟化平台下保护信息安全的方法

Also Published As

Publication number Publication date
EP3703330A1 (en) 2020-09-02
CN111614605A (zh) 2020-09-01
US11159487B2 (en) 2021-10-26
US20200274852A1 (en) 2020-08-27
EP3703330B1 (en) 2021-09-22

Similar Documents

Publication Publication Date Title
CN111614605B (zh) 用于配置防火墙的方法、安全管理系统和计算机可读介质
CN110120934B (zh) 应用防火墙策略的方法、软件定义网络控制器和介质
CN108696402B (zh) 虚拟路由器的基于会话的业务统计记录
EP3932041B1 (en) Remote smart nic-based service acceleration
US10742557B1 (en) Extending scalable policy management to supporting network devices
US20210344692A1 (en) Providing a virtual security appliance architecture to a virtual cloud infrastructure
US10542577B2 (en) Connectivity checks in virtualized computing environments
US20210218652A1 (en) Container-based connectivity check in software-defined networking (sdn) environments
EP3611883A1 (en) Secure forwarding of tenant workloads in virtual networks
US10938681B2 (en) Context-aware network introspection in software-defined networking (SDN) environments
US9304801B2 (en) Elastic enforcement layer for cloud security using SDN
CN107770066B (zh) 一种跨主机、跨VLAN、跨集群的Docker容器导流方法
US20180027009A1 (en) Automated container security
EP3611882A1 (en) System and method for transferring packets between kernel modules in different network stacks
US11824897B2 (en) Dynamic security scaling
US11652727B2 (en) Service chaining with physical network functions and virtualized network functions
EP3944568A1 (en) Generating route distinguishers for virtual private network addresses based on physical hardware addresses
US11228603B1 (en) Learning driven dynamic threat treatment for a software defined networking environment
Garg et al. Review on architecture and security issues in SDN
US20220385570A1 (en) Policy enforcement for bare metal servers by top of rack switches
Chandramouli Deployment-driven Security Configuration for Virtual Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant