CN111641597A - 一种针对云环境的防火墙动态安全防护系统及方法 - Google Patents
一种针对云环境的防火墙动态安全防护系统及方法 Download PDFInfo
- Publication number
- CN111641597A CN111641597A CN202010394271.5A CN202010394271A CN111641597A CN 111641597 A CN111641597 A CN 111641597A CN 202010394271 A CN202010394271 A CN 202010394271A CN 111641597 A CN111641597 A CN 111641597A
- Authority
- CN
- China
- Prior art keywords
- module
- firewall
- information
- cloud platform
- address group
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
本发明提供了一种针对云环境的防火墙动态安全防护系统及方法,包括CLI模块、WEB模块、认证取值模块、过滤存储模块以及VM信息释放模块;所述CLI模块用于负责动态地址组、认证模块、ACL和安全策略对动态地址组的引用配置查看工作;所述WEB模块用于负责动态地址组、认证模块配置查看工作,以及和命令行模块的通信工作;所述认证取值模块用于负责收集命令行配置云平台的管理节点信息。本发明所述的一种针对云环境的防火墙动态安全防护系统及方法能够有效的对云平台进行安全防护,同时由于能够适应云平台虚拟机变化带来的网络变化,从而有效的提高了网络安全防护效率。
Description
技术领域
本发明属于防火墙安全领域,尤其是涉及一种针对云环境的防火墙动态安全防护系统及方法。
背景技术
当今时代,云计算已经成为互联网行业的一个潮流,云计算技术的发展非常迅猛。随着云计算的发展,云平台的安全防护方式也需要引起关注。然而传统防火墙设备的安全防护方法已经不能完全满足云平台的需求了,因为以往的防火墙是针对固定的IP地址、IP网段或者地址组进行安全防护,而云平台中虚拟机的变化比较频繁,每一次云平台的网络变化都会要求防火墙重新配置安全防护业务。这种防火墙的安全防护方式过于死板,比较麻烦。
发明内容
有鉴于此,本发明旨在提出一种针对云环境的防火墙动态安全防护系统及方法,本发明涉及防火墙和云平台两个独立平台,其中防火墙类似客户端,云平台类似服务端,防火墙向云平台进行登录认证后,可以获取到VM(virtual machine虚拟机)的信息,之后将VM的IP地址进行过滤并添加到动态地址组内部,防火墙在配置ACL或安全策略时引用动态地址组。
防火墙端会定时获取云平台的VM数据来更新动态地址组的IP地址,保证云平台下VM的IP地址发生变化后,防火墙能够相应的调整地址组来更新安全策略。
为达到上述目的,本发明的技术方案是这样实现的:
一种针对云环境的防火墙动态安全防护系统,包括CLI模块、WEB模块、认证取值模块、过滤存储模块以及VM信息释放模块;
所述CLI模块用于负责动态地址组、认证模块、ACL和安全策略对动态地址组的引用配置查看工作;
所述WEB模块用于负责动态地址组、认证模块配置查看工作,以及和命令行模块的通信工作;
所述认证取值模块用于负责收集命令行配置云平台的管理节点信息;
所述过滤存储模块用于将认证取值模块中保存的VM信息进行过滤,找到符合动态地址组中VM匹配变量的VM后将这些VM的IP地址进行保存,并与动态地址组内存储的IP地址进行对比更新操作;
所述VM信息释放模块用于负责云平台下VM信息的释放,在动态地址组过滤完所需要的IP地址后,将VM信息释放。
进一步的,所述CLI模块还用于与WEB模块进行通信工作。
进一步的,所述WEB模块还用于与命令行模块进行通信工作。
进一步的,所述认证取值模块还用于根据云平台的管理节点信息向云平台发起认证请求,认证通过后调用云平台的对外API获取VM的信息保存到本地内存中,用于后续过滤模块来过滤出需要的IP地址。
进一步的,VM信息释放模块用于保证防火墙持续获取最新的VM信息。
进一步的,配置操作方法:防火墙通过命令行或者web配置云平台信息以及动态地址组信息;
认证操作方法:防火墙认证模块根据配置的云平台信息向云平台发起认证请求;
取值操作方法:防火墙向云平台认证成功后,定时发送取值请求来获取VM的信息;
过滤操作方法:动态地址组根据VM参数匹配条件过滤出VM的IP地址。
IP存储操作方法:动态地址组将过滤操作中筛选出的IP地址存储到动态地址组中;
ACL/安全策略引用方法:防火墙通过命令行或web创建ACL/安全策略,配置源/目的地址资源时引用动态地址组;
ACL/安全策略引用动态地址组实现方法:ACL/安全策略引用动态地址组后,将动态地址组中存储的IP地址作为流量过滤条件,判断报文的源目的IP和动态地址组中的IP地址是否匹配来判断该报文是否匹配命中本条ACL/安全策略。
VM信息释放操作方法:防火墙将动态地址组过滤完成后的云平台下的VM信息链表进行释放。
进一步的,在配置操作方法中,防火墙通过命令行以及web配置云平台信息以及动态地址组信息,云平台信息包括:云平台类型、IP地址、用户名和密码。
进一步的,取值操作方法中,防火墙向云平台认证成功后,默认定时时长为间隔10s。
相对于现有技术,本发明所述的一种针对云环境的防火墙动态安全防护系统及方法具有以下优势:
本发明所述的一种针对云环境的防火墙动态安全防护系统及方法能够有效的对云平台进行安全防护,同时由于能够适应云平台虚拟机变化带来的网络变化,从而有效的提高了网络安全防护效率。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1为本发明实施例所述的各模块关系图示意图;
图2为本发明实施例所述的一种针对云环境的防火墙动态安全防护系统及方法示意图。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在本发明的描述中,需要理解的是,术语“中心”、“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”等的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中,除非另有说明,“多个”的含义是两个或两个以上。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以通过具体情况理解上述术语在本发明中的具体含义。
下面将参考附图并结合实施例来详细说明本发明。
如图1和图2所示,一种针对云环境的防火墙动态安全防护系统,包括CLI模块、WEB模块、认证取值模块、过滤存储模块以及VM信息释放模块;
所述CLI模块用于负责动态地址组、认证模块、ACL和安全策略对动态地址组的引用配置查看工作;
所述WEB模块用于负责动态地址组、认证模块配置查看工作,以及和命令行模块的通信工作;
所述认证取值模块用于负责收集命令行配置云平台的管理节点信息;
所述过滤存储模块用于将认证取值模块中保存的VM信息进行过滤,找到符合动态地址组中VM匹配变量的VM后将这些VM的IP地址进行保存,并与动态地址组内存储的IP地址进行对比更新操作;
所述VM信息释放模块用于负责云平台下VM信息的释放,在动态地址组过滤完所需要的IP地址后,将VM信息释放。
所述CLI模块还用于与WEB模块进行通信工作。
所述WEB模块还用于与命令行模块进行通信工作。
所述认证取值模块还用于根据云平台的管理节点信息向云平台发起认证请求,认证通过后调用云平台的对外API获取VM的信息保存到本地内存中,用于后续过滤模块来过滤出需要的IP地址。
VM信息释放模块用于保证防火墙持续获取最新的VM信息。
一种针对云环境的防火墙动态安全防护系统的数据处理方法,包括:
配置操作方法:防火墙通过命令行或者web配置云平台信息以及动态地址组信息;
认证操作方法:防火墙认证模块根据配置的云平台信息向云平台发起认证请求;
取值操作方法:防火墙向云平台认证成功后,定时发送取值请求来获取VM的信息;
过滤操作方法:动态地址组根据VM参数匹配条件过滤出VM的IP地址。
IP存储操作方法:动态地址组将过滤操作中筛选出的IP地址存储到动态地址组中;
ACL/安全策略引用方法:防火墙通过命令行或web创建ACL/安全策略,配置源/目的地址资源时引用动态地址组;
ACL/安全策略引用动态地址组实现方法:ACL/安全策略引用动态地址组后,将动态地址组中存储的IP地址作为流量过滤条件,判断报文的源目的IP和动态地址组中的IP地址是否匹配来判断该报文是否匹配命中本条ACL/安全策略。
VM信息释放操作方法:防火墙将动态地址组过滤完成后的云平台下的VM信息链表进行释放。
在配置操作方法中,防火墙通过命令行以及web配置云平台信息以及动态地址组信息,云平台信息包括:云平台类型、IP地址、用户名和密码。
取值操作方法中,防火墙向云平台认证成功后,默认定时时长为间隔10s。
本发明涉及防火墙和云平台两个独立平台,其中防火墙类似客户端,云平台类似服务端,防火墙向云平台进行登录认证后,可以获取到VM(virtual machine虚拟机)的信息,之后将VM的IP地址进行过滤并添加到动态地址组内部,防火墙在配置ACL或安全策略时引用动态地址组。
防火墙端会定时获取云平台的VM数据来更新动态地址组的IP地址,保证云平台下VM的IP地址发生变化后,防火墙能够相应的调整地址组来更新安全策略。
本发明的硬件拓扑说明如下:
防火墙部署在云平台环境的出口端,所有VM都需要通过防火墙的流量控制才能够访问外网,且防火墙有接口能够和云平台的管理节点路由可达。防火墙端定时去获取云平台所管理的VM信息(网段、UUID、操作系统等),VM状态或者IP地址发生变化时,防火墙端就能够感知到,根据VM的变化来调整动态地址组内的IP配置,达到动态调整安全策略的目的而无需管理员每次都进行手动修改。
本发明软件结构主要为命令行模块、WEB模块、认证取值模块和过滤存储模块,模块关系如下图中的防火墙部分所示:
CLI模块:主要负责动态地址组、认证模块、ACL和安全策略对动态地址组的引用等配置查看工作,还有和WEB模块的通信工作。
WEB模块:主要负责动态地址组、认证模块等配置查看工作,以及和命令行模块的通信工作。
认证取值模块:主要负责收集命令行配置云平台的管理节点信息,之后根据云平台的管理节点信息向云平台发起认证请求,认证通过后会调用云平台的对外API获取VM的信息保存到本地内存中,用于后续过滤模块来过滤出需要的IP地址。
过滤存储模块:主要负责将取值模块中保存的VM信息进行过滤,找到符合动态地址组中VM匹配变量的VM,然后将这些VM的IP地址进行保存,并与动态地址组内存储的IP地址进行对比更新操作。
VM信息释放模块:主要负责云平台下VM信息的释放,在动态地址组过滤完所需要的IP地址后,需要将VM信息释放,否则下次防火墙获取到新的VM信息后,会重复挂接到VM信息链表上,且对VM的添加删除操作感知不敏感,所以需要释放上一次的VM信息,以便每次获取到的VM信息都是最新的。
3、软件系统总体数据流处理:
1)配置操作:防火墙通过命令行或者web配置云平台信息(云平台类型、IP地址、用户名和密码),动态地址组信息【组名和VM参数匹配条件(网段、UUID、操作系统等)】。
2)认证操作:防火墙认证模块根据配置的云平台信息向云平台发起认证请求。
3)取值操作:防火墙向云平台认证成功后,定时(默认时间间隔10s,也可以手动修改)发送取值请求来获取VM的信息。
4)过滤操作:动态地址组根据VM参数匹配条件过滤出VM的IP地址。
5)IP存储操作:动态地址组将第4部分过滤操作中筛选出的IP地址存储到动态地址组中。
6)ACL/安全策略引用:防火墙通过命令行或web创建ACL/安全策略,配置源/目的地址资源时引用动态地址组。
7)ACL/安全策略引用动态地址组实现:ACL/安全策略引用动态地址组后,会将动态地址组中存储的IP地址作为流量过滤条件,判断报文的源目的IP和动态地址组中的IP地址是否匹配来判断该报文是否匹配命中本条ACL/安全策略。
8)VM信息释放操作:防火墙将动态地址组过滤完成后的云平台下的VM信息链表进行释放。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种针对云环境的防火墙动态安全防护系统,其特征在于:包括CLI模块、WEB模块、认证取值模块、过滤存储模块以及VM信息释放模块;
所述CLI模块用于负责动态地址组、认证模块、ACL和安全策略对动态地址组的引用配置查看工作;
所述WEB模块用于负责动态地址组、认证模块配置查看工作,以及和命令行模块的通信工作;
所述认证取值模块用于负责收集命令行配置云平台的管理节点信息;
所述过滤存储模块用于将认证取值模块中保存的VM信息进行过滤,找到符合动态地址组中VM匹配变量的VM后将这些VM的IP地址进行保存,并与动态地址组内存储的IP地址进行对比更新操作;
所述VM信息释放模块用于负责云平台下VM信息的释放,在动态地址组过滤完所需要的IP地址后,将VM信息释放。
2.根据权利要求1所述的一种针对云环境的防火墙动态安全防护系统,其特征在于:所述CLI模块还用于与WEB模块进行通信工作。
3.根据权利要求1所述的一种针对云环境的防火墙动态安全防护系统,其特征在于:所述WEB模块还用于与命令行模块进行通信工作。
4.根据权利要求1所述的一种针对云环境的防火墙动态安全防护系统,其特征在于:所述认证取值模块还用于根据云平台的管理节点信息向云平台发起认证请求,认证通过后调用云平台的对外API获取VM的信息保存到本地内存中,用于后续过滤模块来过滤出需要的IP地址。
5.根据权利要求1所述的一种针对云环境的防火墙动态安全防护系统,其特征在于:VM信息释放模块用于保证防火墙持续获取最新的VM信息。
6.基于权利要求1所述的一种针对云环境的防火墙动态安全防护系统的数据处理方法,其特征在于,包括:
配置操作方法:防火墙通过命令行或者web配置云平台信息以及动态地址组信息;
认证操作方法:防火墙认证模块根据配置的云平台信息向云平台发起认证请求;
取值操作方法:防火墙向云平台认证成功后,定时发送取值请求来获取VM的信息;
过滤操作方法:动态地址组根据VM参数匹配条件过滤出VM的IP地址。
IP存储操作方法:动态地址组将过滤操作中筛选出的IP地址存储到动态地址组中;
ACL/安全策略引用方法:防火墙通过命令行或web创建ACL/安全策略,配置源/目的地址资源时引用动态地址组;
ACL/安全策略引用动态地址组实现方法:ACL/安全策略引用动态地址组后,将动态地址组中存储的IP地址作为流量过滤条件,判断报文的源目的IP和动态地址组中的IP地址是否匹配来判断该报文是否匹配命中本条ACL/安全策略。
VM信息释放操作方法:防火墙将动态地址组过滤完成后的云平台下的VM信息链表进行释放。
7.根据权利要求6所述的一种针对云环境的防火墙动态安全防护系统的数据处理方法,其特征在于:在配置操作方法中,防火墙通过命令行以及web配置云平台信息以及动态地址组信息,云平台信息包括:云平台类型、IP地址、用户名和密码。
8.根据权利要求6所述的一种针对云环境的防火墙动态安全防护系统的数据处理方法,其特征在于:取值操作方法中,防火墙向云平台认证成功后,默认定时时长为间隔10s。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010394271.5A CN111641597A (zh) | 2020-05-11 | 2020-05-11 | 一种针对云环境的防火墙动态安全防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010394271.5A CN111641597A (zh) | 2020-05-11 | 2020-05-11 | 一种针对云环境的防火墙动态安全防护系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111641597A true CN111641597A (zh) | 2020-09-08 |
Family
ID=72331015
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010394271.5A Pending CN111641597A (zh) | 2020-05-11 | 2020-05-11 | 一种针对云环境的防火墙动态安全防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111641597A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491822A (zh) * | 2020-11-13 | 2021-03-12 | 中盈优创资讯科技有限公司 | 一种安全策略自动下发的方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791311A (zh) * | 2016-04-14 | 2016-07-20 | 汉柏科技有限公司 | 云平台防火墙的安全防护方法和装置 |
| US20180013792A1 (en) * | 2016-07-11 | 2018-01-11 | Verisign, Inc. | Associating a policy-based firewall with a dynamic dns hostname |
| US20190081927A1 (en) * | 2017-09-12 | 2019-03-14 | Wayne Taylor | Methods, systems, and media for modifying firewalls based on dynamic ip addresses |
-
2020
- 2020-05-11 CN CN202010394271.5A patent/CN111641597A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105791311A (zh) * | 2016-04-14 | 2016-07-20 | 汉柏科技有限公司 | 云平台防火墙的安全防护方法和装置 |
| US20180013792A1 (en) * | 2016-07-11 | 2018-01-11 | Verisign, Inc. | Associating a policy-based firewall with a dynamic dns hostname |
| US20190081927A1 (en) * | 2017-09-12 | 2019-03-14 | Wayne Taylor | Methods, systems, and media for modifying firewalls based on dynamic ip addresses |
| CN111095862A (zh) * | 2017-09-12 | 2020-05-01 | 新纳聚克斯集团 | 基于动态ip地址修改防火墙的方法、系统和介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112491822A (zh) * | 2020-11-13 | 2021-03-12 | 中盈优创资讯科技有限公司 | 一种安全策略自动下发的方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8607320B2 (en) | Systems, methods and computer-readable media for regulating remote access to a data network | |
| US8510803B2 (en) | Dynamic network access control method and apparatus | |
| US6466571B1 (en) | Radius-based mobile internet protocol (IP) address-to-mobile identification number mapping for wireless communication | |
| US7876683B2 (en) | Managing hierarchically organized subscriber profiles | |
| US7404205B2 (en) | System for controlling client-server connection requests | |
| US7801998B2 (en) | Establishing and maintaining a connection by a client to a server within a network | |
| EP4325988A1 (en) | Session processing method and device | |
| US20090217353A1 (en) | Method, system and device for network access control supporting quarantine mode | |
| CN105635084B (zh) | 终端认证装置及方法 | |
| CN108322467B (zh) | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 | |
| US10237301B2 (en) | Management of cellular data usage during denial of service (DoS) attacks | |
| EP1956463A2 (en) | Method and apparatus for providing network security based on device security status | |
| CN110933097B (zh) | 面向多服务网关的限流与自动扩缩容方法 | |
| US20080056161A1 (en) | Management computer and computer system for setting port configuration information | |
| US20180198786A1 (en) | Associating layer 2 and layer 3 sessions for access control | |
| US9553891B1 (en) | Device blocking tool | |
| CN113596159A (zh) | 基于k8s云容器平台的集群通信方法及装置 | |
| CN111641597A (zh) | 一种针对云环境的防火墙动态安全防护系统及方法 | |
| WO2014036885A1 (zh) | 一种实现地址共享的方法、装置和系统 | |
| CN110011850B (zh) | 云计算系统中服务的管理方法和装置 | |
| US9628480B2 (en) | Device blocking tool | |
| CN112217770B (zh) | 一种安全检测方法、装置、计算机设备及存储介质 | |
| CN109218415B (zh) | 一种分布式节点管理的方法、节点及存储介质 | |
| CN111226415B (zh) | 用于与服务处理器通信的系统和方法 | |
| CN106656921A (zh) | 一种安全策略服务器的地址获取方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200908 |