CN112511439B - 数据转发方法、装置、设备及计算机可读存储介质 - Google Patents
数据转发方法、装置、设备及计算机可读存储介质 Download PDFInfo
- Publication number
- CN112511439B CN112511439B CN202011345087.8A CN202011345087A CN112511439B CN 112511439 B CN112511439 B CN 112511439B CN 202011345087 A CN202011345087 A CN 202011345087A CN 112511439 B CN112511439 B CN 112511439B
- Authority
- CN
- China
- Prior art keywords
- virtual
- firewall
- public
- data message
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
本申请提供了一种数据转发方法,该方法包括:第一虚拟防火墙在收到访问第二虚拟防火墙的数据报文时,将数据报文通过第一虚拟防火墙对应的虚拟接口对发送给公共防火墙;公共防火墙在接收到数据报文后,将数据报文通过第二虚拟防火墙对应的虚拟接口对,发送给第二虚拟防火墙;第二虚拟防火墙在接收到数据报文后,对数据报文进行转发或丢弃。可见,本申请通过在公共防火墙和虚拟防火墙之间建立虚拟接口对,即,每个虚拟防火墙都与公共防火墙之间建立虚拟接口对,在虚拟接口对中,一端在公共防火墙、另一端在虚拟防火墙,可以利用这些虚拟接口对实现虚拟防火墙之间的互访,这种网络部署方式较为方便、容易。
Description
技术领域
本申请涉及通信技术领域,特别涉及一种数据转发方法、装置、设备及计算机可读存储介质。
背景技术
防火墙一般被部署在网络边界层,通过安全策略对来自不同区域的数据进行安全控制,为大中型企业、学校、数据中心以及运营商提供服务。随着企业业务规模的不断增大,各业务部门也初步形成了相应不同安全级别的安全区域,为了灵活方便的实现企业各业务部门的安全区域划分和安全区域之间有控制的互访,就需要在防火墙上开启虚拟防火墙。
将一台防火墙在逻辑上划分为多个防火墙,划分出的每一防火墙即为虚拟防火墙。每个虚拟防火墙有独立的管理员、安全策略;并且,通常情况下,虚拟防火墙之间相互独立、互不影响、不允许相互访问。
由于虚拟防火墙之间是相互独立的、不允许相互访问的,当虚拟防火墙之间有访问需求时,为此所需的处理部署就比较困难。在现有的部署方式中,一种是通过外网设备进行互访,一般情况下防火墙部署在网络出接口的位置,需要进行地质转化,将内网地址转化成外网地址,访问的时候就需要找到虚拟防火墙对应的地址转化表,部署时就要求管理员了解其他虚拟防火墙的转化表,实现起来比较困难;还有一种是在防火墙上插入一根自环线,两端对应两个需要互访的虚拟防火墙,当存在多个虚拟防火墙的互访需求时,则需要更多的插线,但这样的线路会增加网络故障点,当网络出现问题时,故障排查不方便,而且,当虚拟防火墙之间的访问需求不是很多时,就会造成很大的浪费。
发明内容
有鉴于此,本申请提供了一种数据转发方法、装置、设备及计算机可读存储介质,当虚拟防火墙之间有访问需求时,降低了实现该访问需求的困难度。
具体地,本申请是通过如下技术方案实现的:
一种数据转发方法,所述方法应用于目标防火墙,所述目标防火墙包括公共防火墙和至少两台虚拟防火墙,每一虚拟防火墙的虚拟接口与所述公共防火墙的虚拟接口构成一个虚拟接口对,所述方法包括:
第一虚拟防火墙在收到访问第二虚拟防火墙的数据报文时,将所述数据报文通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙;
所述公共防火墙在接收到所述数据报文后,将所述数据报文通过所述第二虚拟防火墙对应的虚拟接口对发送给所述第二虚拟防火墙;
所述第二虚拟防火墙在接收到所述数据报文后,对所述数据报文进行转发或丢弃;
其中,所述第一虚拟防火墙与所述第二虚拟防火墙是所述至少两台虚拟防火墙中的两个不同虚拟防火墙。
一种数据转发装置,所述装置应用于目标防火墙,所述目标防火墙包括公共防火墙和至少两台虚拟防火墙,每一虚拟防火墙的虚拟接口与所述公共防火墙的虚拟接口构成一个虚拟接口对,所述装置包括:
第一虚拟防火墙,用于在收到访问第二虚拟防火墙的数据报文时,将所述数据报文通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙;
公共防火墙,用于在接收到所述数据报文后,将所述数据报文通过所述第二虚拟防火墙对应的虚拟接口对发送给所述第二虚拟防火墙;
第二虚拟防火墙,用于在接收到所述数据报文后,对所述数据报文进行转发或丢弃;
其中,所述第一虚拟防火墙与所述第二虚拟防火墙是所述至少两个虚拟防火墙中的两个不同虚拟防火墙。
一种电子设备,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行上述数据转发方法。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述数据转发方法。
在以上本申请提供的技术方案中,第一虚拟防火墙在收到访问第二虚拟防火墙的数据报文时,将数据报文通过第一虚拟防火墙对应的虚拟接口对发送给公共防火墙;公共防火墙在接收到数据报文后,将数据报文通过第二虚拟防火墙对应的虚拟接口对,发送给第二虚拟防火墙;第二虚拟防火墙在接收到数据报文后,对数据报文进行转发或丢弃。可见,本申请通过在公共防火墙和虚拟防火墙之间建立虚拟接口对,即,每个虚拟防火墙都与公共防火墙之间建立虚拟接口对,在虚拟接口对中,一端在公共防火墙、另一端在虚拟防火墙,可以利用这些虚拟接口对实现虚拟防火墙之间的互访,这种网络部署方式较为方便、容易。
附图说明
图1为本申请示出的一种数据转发方法的流程示意图;
图2为本申请示出的一种网络设备组网示意图;
图3为本申请示出的一种数据转发装置的组成示意图;
图4为本申请示出的一种电子设备的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
在介绍本申请实施例之前,首先对本申请实施例涉及的以下两个重要技术术语进行介绍。
防火墙:防火墙技术是指一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障;它是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。
虚拟防火墙:虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
本申请实施例将提供一种数据转发方法,具体是一种跨越虚拟防火墙的数据转发方法。该方法主要解决的现有技术问题是,当网络中部署了虚拟防火墙、且虚拟防火墙之间有访问需求时所存在的部署困难的问题。
为便于区分,将实际存在的防火墙设备定义为目标防火墙。
为解决上述部署困难的问题,在本申请实施例中,目标防火墙有一个公共防火墙,当不开启虚拟防火墙时,所有的业务和数据转发都是在公共防火墙上实现,当开启虚拟防火墙时,公共防火墙依然存在,其主要作用是新建虚拟防火墙并给虚拟防火墙分配资源,即,将目标防火墙在逻辑上划分成至少两台虚拟防火墙,并为每一虚拟防火墙分配资源。基于此,当采用本申请实施例提供的跨越虚拟防火墙的数据转发方法时,可以在公共防火墙和虚拟防火墙之间建立虚拟接口对,即,每个虚拟防火墙都与公共防火墙之间建立虚拟接口对,在虚拟接口对中,一端在公共防火墙、另一端在虚拟防火墙;对于任一虚拟防火墙A,该虚拟防火墙A只需要将访问虚拟防火墙B的数据报文,通过虚拟防火墙A的虚拟接口对发送给公共防火墙,然后,公共防火墙再将该数据报文通过虚拟防火墙B的虚拟接口对发送给虚拟防火墙B即可。
下面对本申请实施例提供的数据转发方法进行具体介绍。
本申请实施例提供的数据转发方法,可以应用于任意一台实体防火墙设备,即上述定义的目标防火墙,该目标防火墙包括公共防火墙和至少两台虚拟防火墙,并且,每一虚拟防火墙的虚拟接口与公共防火墙的虚拟接口构成一个虚拟接口对。
具体来讲,可以将目标防火墙在逻辑上划分成两台或两台以上的虚拟防火墙,即至少两台虚拟防火墙,在本申请实施例的一种实现方式中,该至少两台虚拟防火墙可以是公共防火墙创建的;此外,对于每一虚拟防火墙来讲,可以为该虚拟防火墙配置一个虚拟接口,并为公共防火墙配置一个与该虚拟防火墙对应的虚拟接口,这两个虚拟接口组成一个虚拟接口对,且该虚拟接口对是该虚拟防火墙唯一对应的虚拟接口对。
公共防火墙在新建每一虚拟防火墙时,默认新增一个虚拟接口标记通往公共防火墙,同时,在公共防火墙新增一个虚拟接口标记通往对应的虚拟防火墙。其中,公共防火墙的虚拟接口地址,可以默认配置127网段的一个IP地址;虚拟防火墙的虚拟接口地址,可以默认配置127网段的与该虚拟防火墙ID对应的一个IP地址。
在本申请实施例中,为便于描述,将具有相互访问需求的两台虚拟防火墙,定义为第一虚拟防火墙和第二虚拟防火墙,其中,第一虚拟防火墙与第二虚拟防火墙是目标防火墙所包括的至少两台虚拟防火墙中的两个不同虚拟防火墙。
基于此,参见图1,为本申请实施例提供的数据转发方法的流程示意图,该方法包括以下步骤:
S101:第一虚拟防火墙在收到访问第二虚拟防火墙的数据报文时,将该数据报文通过第一虚拟防火墙对应的虚拟接口对发送给公共防火墙。
S102:公共防火墙在接收到该数据报文后,将该数据报文通过第二虚拟防火墙对应的虚拟接口对发送给第二虚拟防火墙。
为便于区分,将第一虚拟防火墙的虚拟接口定义为虚拟接口A,将第二虚拟防火墙的虚拟接口定义为虚拟接口B,将公共防火墙的虚拟接口定义为虚拟接口O。
在本申请实施例中,由于预先在第一虚拟防火墙与公共防火墙之间创建了虚拟接口对(即虚拟接口A和虚拟接口O),这样,当第一虚拟防火墙接收到访问第二虚拟防火墙的数据报文时,第一虚拟防火墙便可以将该数据报文,通过第一虚拟防火墙的虚拟接口A发送至公共防火墙的虚拟接口O,这样,公共防火墙便可以接收到该数据报文。
类似的,由于预先在第二虚拟防火墙与公共防火墙之间创建了虚拟接口对(即虚拟接口B和虚拟接口O),这样,当公共防火墙接收到访问第二虚拟防火墙的数据报文时,公共防火墙便可以将该数据报文,通过公共防火墙的虚拟接口O发送至第二虚拟防火墙的虚拟接口B,这样,第二虚拟防火墙便可以接收到该数据报文。
在本申请实施例的一种实现方式中,S101中的“将该数据报文通过第一虚拟防火墙对应的虚拟接口对发送给公共防火墙”,具体可以包括:通过查找第一虚拟防火墙的路由表,将该数据报文通过第一虚拟防火墙对应的虚拟接口对发送给公共防火墙。
在本实现方式中,第一虚拟防火墙可以维护一个路由表,当第一虚拟防火墙收到访问第二虚拟防火墙的数据报文时,可以查找自己维护的路由表,把该数据报文通过自己的虚拟接口A发送给公共防火墙的虚拟接口O。
相应地,在本申请实施例的一种实现方式中,S102中的“将该数据报文通过第二虚拟防火墙对应的虚拟接口对发送给第二虚拟防火墙”,具体可以包括:通过查找公共防火墙的路由表,将该数据报文通过第二虚拟防火墙对应的虚拟接口对发送给第二虚拟防火墙。
在本实现方式中,公共防火墙可以维护一个路由表,当公共防火墙收到第一虚拟防火墙发送的数据报文时,可以查找自己维护的路由表,把该数据报文通过自己的虚拟接口O发送给第二虚拟防火墙的虚拟接口B。
下面对第一虚拟防火墙的路由表、以及公共防火墙的路由表进行介绍。
当某虚拟防火墙需要访问其它虚拟防火墙时,只需要知道目的地址,通过配置静态路由即可,其中,静态路由的目的网段即为需要访问的目的地址,出接口可以选择该虚拟防火墙的虚拟接口,下一跳地址是公共防火墙的虚拟接口(即,该虚拟防火墙的虚拟接口对中的公共防火墙的虚拟接口)对应的IP地址。
故而,在第一虚拟防火墙的路由表中,可以包括:第一虚拟防火墙使用的虚拟接口(即第一虚拟防火墙的出接口);第一虚拟防火墙与公共防火墙的虚拟接口对中的、公共防火墙使用的虚拟接口对应的IP地址(即下一跳地址);第二虚拟防火墙使用的网段(即目的网段)。
而公共防火墙在新建每一虚拟防火墙时,就配置了每一虚拟防火墙的静态路由,其中,目的网段为每一虚拟防火墙使用的IP地址,出接口包括与每一虚拟防火墙对应的公共防火墙的虚拟接口,下一跳地址包括分配给每一虚拟防火墙的虚拟接口对应的IP地址。
故而,在公共防火墙的路由表中,可以包括:第一虚拟防火墙与公共防火墙的虚拟接口对中的、公共防火墙使用的虚拟接口(即公共防火墙的出接口);第二虚拟防火墙与公共防火墙的虚拟接口对中的、公共防火墙使用的虚拟接口(即公共防火墙的出接口);第一虚拟防火墙使用的虚拟接口对应的IP地址(即下一跳地址);第二虚拟防火墙使用的虚拟接口对应的IP地址(即下一跳地址)。
在本申请实施例的另一种实现方式中,S101中的“将该数据报文通过第一虚拟防火墙对应的虚拟接口对发送给公共防火墙”,具体可以包括:将该数据报文以及公共防火墙的虚拟接口对应的虚拟MAC地址,通过第一虚拟防火墙对应的虚拟接口对发送给公共防火墙。
相应地,在本申请实施例的另一种实现方式中,S102中的“将该数据报文通过第二虚拟防火墙对应的虚拟接口对发送给第二虚拟防火墙”,具体可以包括:将该数据报文以及第二虚拟防火墙的虚拟接口对应的虚拟MAC地址,通过第二虚拟防火墙对应的虚拟接口对发送给第二虚拟防火墙。
在该实现方式中,公共防火墙在新建第一虚拟防火墙时,在第一虚拟防火墙对应的虚拟接口对中,为第一虚拟防火墙的虚拟接口配置一个虚拟MAC地址,也为公共防火墙的虚拟接口配置一个虚拟MAC地址;类似的,公共防火墙在新建第二虚拟防火墙时,在第二虚拟防火墙对应的虚拟接口对中,为第二虚拟防火墙的虚拟接口配置一个虚拟MAC地址,也为公共防火墙的虚拟接口配置一个虚拟MAC地址。故而,在发送数据报文时,可以封装相应的虚拟MAC地址,与该数据报文一起发送,当然,也可以不封装MAC地址,直接查找路由表进行报文转发即可。
S103:第二虚拟防火墙在接收到该数据报文后,对该数据报文进行转发或丢弃。
在本申请实施例中,虚拟防火墙中虚拟接口所在安全区域为虚拟防火墙中优先级最低,这样,虚拟防火墙所有安全区域都可以访问虚拟接口所在安全区域,即访问公共防火墙;同样地,由于安全区域优先级最低,其它虚拟防火墙访问过来的数据默认是不能访问本虚拟防火墙的任何区域,需要通过配置安全策略才能允许访问。并且,公共防火墙的所有虚拟接口默认都在同一安全区域内,不需要限制虚拟防火墙互访的请求,即,默认全部允许,如果需要限制互访请求,也可以通过配置安全策略实现。
基于此,在本申请实施例的一种实现方式中,S103中的“对该数据报文进行转发或丢弃”,具体可以包括:根据预设的安全策略,对该数据报文进行转发或丢弃。
在本实现方式中,当第二虚拟防火墙接收到公共防火墙发送的数据报文后,可以查看预设的安全策略,如果该安全策略表示“允许第一防火墙访问第二防火墙”,则第二虚拟防火墙会将该数据报文,发给该数据报文对应的安全区域,反之,如果该安全策略表示“禁止第一防火墙访问第二防火墙”,则第二虚拟防火墙会将该数据报文直接丢弃。
需要说明的是,上述内容中所述的“安全区域”是指安全的网络区域。
进一步地,在本申请实施例提供的数据转发方法中,还可以包括:
公共防火墙监测每一虚拟防火墙的系统数据;若监测到具有异常系统数据的虚拟防火墙,则删除该虚拟防火墙的路由表。
具体来讲,为保障跨越虚拟防火墙的转发数据减少对虚拟防火墙内转发数据的影响,避免遭受其它虚拟防火墙的攻击,公共防火墙需要定期监测每一虚拟防火墙的CPU使用率、内存使用率、会话数等系统数据。在实际中,对于每一虚拟防火墙来讲,公共防火墙通过虚拟接口(即该虚拟防火墙对应的虚拟接口对中的、公共防火墙的虚拟接口),定期发送目的IP为该虚拟防火墙的检测数据,以监控该虚拟防火墙的系统数据,当发现该虚拟防火墙的CPU使用率、内存使用率、会话数等系统数据超过配置的阈值时,会将该虚拟防火墙的静态路由删除,减少其它虚拟防火墙的数据转发到超过阈值的虚拟防火墙,可以理解的是,可以为不同的系统数据预设各自的阈值,比如,为CPU使用率、内存使用率、会话数分别预设各自的系统数据;此外,当监测到该虚拟防火墙的系统数据恢复到正常值时,再自动添加上该虚拟防火墙的静态路由,从而恢复其它虚拟防火墙与该虚拟防火墙之间的互访。
需要说明的是,采用本申请实施例提供的数据转发方法进行数据转发,对公共防火墙的管理员的管理有一定的复杂度要求,即,需要该管理员知道每个虚拟防火墙使用的IP网段,可以在新建虚拟防火墙时了解到,但是,本方法对于虚拟防火墙的管理员没有要求,降低了虚拟防火墙管理员的管理复杂度。
为了更方便的理解本申请实施例提供的数据转发方法,下面举例说明,参见图2所示的网络设备组网示意图。
公共防火墙PFW新建的两个虚拟防火墙,分别为VFW1和VFW2。
在VFW1上配置静态路由,目的网段为VFW2使用的网段,出接口为1’,下一跳地址为公共防火墙PFW对应的虚拟接口的127网段地址。在公共防火墙PFW上分别配置VFW1和VFW2对应网段的静态路由,出接口分别为1’’和2’’,下一跳地址分别是1’和2’对应分配的127网段地址。在VFW2上配置静态路由,目的网段为VFW1使用的网段,出接口为2’,下一跳地址为公共防火墙PFW对应的虚拟接口的127网段地址,VFW2与VFW1配置的下一跳地址相同。
当VFW1收到数据报文时,查找路由表,若匹配到VFW2的目的网段,则封装1’’对应的虚拟MAC地址,将数据报文和该MAC地址发送给公共防火墙;同样的,公共防火墙查找路由表,封装2’对应的虚拟MAC地址,将数据报文和该MAC地址发送给VFW2;VFW2收到数据报文后,查看安全策略,若允许VFW1的地址访问VFW2的服务,则将数据报文正常转发,反之,则将数据报文直接丢弃。当然,在虚拟防火墙和公共防火墙之间进行数据转发时,也可以不封装MAC地址,直接查找路由表进行转发。
在上述本申请实施例提供的数据转发方法中,第一虚拟防火墙在收到访问第二虚拟防火墙的数据报文时,将数据报文通过第一虚拟防火墙对应的虚拟接口对发送给公共防火墙;公共防火墙在接收到数据报文后,将数据报文通过第二虚拟防火墙对应的虚拟接口对,发送给第二虚拟防火墙;第二虚拟防火墙在接收到数据报文后,对数据报文进行转发或丢弃。可见,本申请实施例通过在公共防火墙和虚拟防火墙之间建立虚拟接口对,即,每个虚拟防火墙都与公共防火墙之间建立虚拟接口对,在虚拟接口对中,一端在公共防火墙、另一端在虚拟防火墙,可以利用这些虚拟接口对实现虚拟防火墙之间的互访,这种网络部署方式较为方便、容易。
参见图3,为本申请实施例提供的一种数据转发装置的组成示意图,该装置应用于目标防火墙,所述目标防火墙包括公共防火墙和至少两台虚拟防火墙,每一虚拟防火墙的虚拟接口与所述公共防火墙的虚拟接口构成一个虚拟接口对,所述装置包括:
第一虚拟防火墙310,用于在收到访问第二虚拟防火墙的数据报文时,将所述数据报文通过所述第一虚拟防火墙310对应的虚拟接口对发送给所述公共防火墙320;
公共防火墙320,用于在接收到所述数据报文后,将所述数据报文通过所述第二虚拟防火墙330对应的虚拟接口对,发送给所述第二虚拟防火墙330;
第二虚拟防火墙330,用于在接收到所述数据报文后,对所述数据报文进行转发或丢弃;
其中,所述第一虚拟防火墙310与所述第二虚拟防火墙330是所述至少两个虚拟防火墙中的两个不同虚拟防火墙。
在本申请实施例的一种实现方式中,第一虚拟防火墙310,具体用于:
通过查找所述第一虚拟防火墙的路由表,将所述数据报文通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙;
相应地,公共防火墙320,具体用于:
通过查找所述公共防火墙的路由表,将所述数据报文通过所述第二虚拟防火墙对应的虚拟接口对,发送给所述第二虚拟防火墙。
在本申请实施例的一种实现方式中,所述第一虚拟防火墙的路由表,包括:
所述第一虚拟防火墙使用的虚拟接口;所述第一虚拟防火墙与所述公共防火墙的虚拟接口对中的、所述公共防火墙使用的虚拟接口对应的IP地址;所述第二虚拟防火墙使用的网段。
在本申请实施例的一种实现方式中,所述公共防火墙的路由表,包括:
所述第一虚拟防火墙与所述公共防火墙的虚拟接口对中的、所述公共防火墙使用的虚拟接口;所述第二虚拟防火墙与所述公共防火墙的虚拟接口对中的、所述公共防火墙使用的虚拟接口;所述第一虚拟防火墙使用的虚拟接口对应的IP地址;所述第二虚拟防火墙使用的虚拟接口对应的IP地址。
在本申请实施例的一种实现方式中,第一虚拟防火墙310,具体用于:
将所述数据报文以及所述公共防火墙的虚拟接口对应的虚拟MAC地址,通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙;
相应地,公共防火墙320,具体用于:
将所述数据报文以及所述第二虚拟防火墙的虚拟接口对应的虚拟MAC地址,通过所述第二虚拟防火墙对应的虚拟接口对,发送给所述第二虚拟防火墙。
在本申请实施例的一种实现方式中,第二虚拟防火墙330,具体用于:
根据预设的安全策略,对所述数据报文进行转发或丢弃。
在本申请实施例的一种实现方式中,公共防火墙320,还用于:
监测每一虚拟防火墙的系统数据;
若监测到具有异常系统数据的虚拟防火墙,则删除该虚拟防火墙的路由表。
在本申请实施例的一种实现方式中,所述至少两台虚拟防火墙是所述公共防火墙创建的。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本申请实施例还提供了一种电子设备,该电子设备的结构示意图如图4所示,该电子设备4000包括至少一个处理器4001、存储器7002和总线4003,至少一个处理器4001均与存储器4002电连接;存储器4002被配置用于存储有至少一个计算机可执行指令,处理器4001被配置用于执行该至少一个计算机可执行指令,从而执行如本申请中任意一个实施例或任意一种可选实施方式提供的任意一种数据转发方法的步骤。
进一步,处理器4001可以是FPGA(Field-Programmable Gate Array,现场可编程门阵列)或者其它具有逻辑处理能力的器件,如MCU(Microcontroller Unit,微控制单元)、CPU(Central Process Unit,中央处理器)。
应用本申请实施例,通过在公共防火墙和虚拟防火墙之间建立虚拟接口对,即,每个虚拟防火墙都与公共防火墙之间建立虚拟接口对,在虚拟接口对中,一端在公共防火墙、另一端在虚拟防火墙,可以利用这些虚拟接口对实现虚拟防火墙之间的互访,这种网络部署方式较为方便、容易。
本申请实施例还提供了另一种计算机可读存储介质,存储有计算机程序,该计算机程序用于被处理器执行时实现本申请中任意一个实施例或任意一种可选实施方式提供的任意一种数据转发方法的步骤。
本申请实施例提供的计算机可读存储介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-Only Memory,只读存储器)、RAM(RandomAccess Memory,随即存储器)、EPROM(Erasable Programmable Read-Only Memory,可擦写可编程只读存储器)、EEPROM(Electrically Erasable Programmable Read-Only Memory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读存储介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
应用本申请实施例,通过在公共防火墙和虚拟防火墙之间建立虚拟接口对,即,每个虚拟防火墙都与公共防火墙之间建立虚拟接口对,在虚拟接口对中,一端在公共防火墙、另一端在虚拟防火墙,可以利用这些虚拟接口对实现虚拟防火墙之间的互访,这种网络部署方式较为方便、容易。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (9)
1.一种数据转发方法,其特征在于,所述方法应用于目标防火墙,所述目标防火墙包括公共防火墙和至少两台虚拟防火墙,每一虚拟防火墙的虚拟接口与所述公共防火墙的虚拟接口构成一个虚拟接口对,所述方法包括:
第一虚拟防火墙在收到访问第二虚拟防火墙的数据报文时,将所述数据报文通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙;
所述公共防火墙在接收到所述数据报文后,将所述数据报文通过所述第二虚拟防火墙对应的虚拟接口对发送给所述第二虚拟防火墙;
所述第二虚拟防火墙在接收到所述数据报文后,根据预设的安全策略,对所述数据报文进行转发或丢弃;
其中,所述第一虚拟防火墙与所述第二虚拟防火墙是所述至少两台虚拟防火墙中的两个不同虚拟防火墙;
所述公共防火墙监测每一虚拟防火墙的系统数据;其中,所述系统数据包括所述虚拟防火墙的CPU使用率、内存使用率或会话数;
若监测到具有异常系统数据超过预设阈值的虚拟防火墙,则删除该虚拟防火墙的路由表。
2.根据权利要求1所述的方法,其特征在于,所述将所述数据报文通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙,包括:
通过查找所述第一虚拟防火墙的路由表,将所述数据报文通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙;
相应地,所述将所述数据报文通过所述第二虚拟防火墙对应的虚拟接口对发送给所述第二虚拟防火墙,包括:
通过查找所述公共防火墙的路由表,将所述数据报文通过所述第二虚拟防火墙对应的虚拟接口对发送给所述第二虚拟防火墙。
3.根据权利要求2所述的方法,其特征在于,所述第一虚拟防火墙的路由表,包括:
所述第一虚拟防火墙使用的虚拟接口;所述第一虚拟防火墙与所述公共防火墙的虚拟接口对中的、所述公共防火墙使用的虚拟接口对应的IP地址;所述第二虚拟防火墙使用的网段。
4.根据权利要求2所述的方法,其特征在于,所述公共防火墙的路由表,包括:
所述第一虚拟防火墙与所述公共防火墙的虚拟接口对中的、所述公共防火墙使用的虚拟接口;所述第二虚拟防火墙与所述公共防火墙的虚拟接口对中的、所述公共防火墙使用的虚拟接口;所述第一虚拟防火墙使用的虚拟接口对应的IP地址;所述第二虚拟防火墙使用的虚拟接口对应的IP地址。
5.根据权利要求1所述的方法,其特征在于,所述将所述数据报文通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙,包括:
将所述数据报文以及所述公共防火墙的虚拟接口对应的虚拟MAC地址,通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙;
相应地,所述将所述数据报文通过所述第二虚拟防火墙对应的虚拟接口对发送给所述第二虚拟防火墙,包括:
将所述数据报文以及所述第二虚拟防火墙的虚拟接口对应的虚拟MAC地址,通过所述第二虚拟防火墙对应的虚拟接口对发送给所述第二虚拟防火墙。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述至少两台虚拟防火墙是所述公共防火墙创建的。
7.一种数据转发装置,其特征在于,所述装置应用于目标防火墙,所述目标防火墙包括公共防火墙和至少两台虚拟防火墙,每一虚拟防火墙的虚拟接口与所述公共防火墙的虚拟接口构成一个虚拟接口对,所述装置包括:
第一虚拟防火墙,用于在收到访问第二虚拟防火墙的数据报文时,将所述数据报文通过所述第一虚拟防火墙对应的虚拟接口对发送给所述公共防火墙;
公共防火墙,用于在接收到所述数据报文后,将所述数据报文通过所述第二虚拟防火墙对应的虚拟接口对发送给所述第二虚拟防火墙;
第二虚拟防火墙,用于在接收到所述数据报文后,根据预设的安全策略,对所述数据报文进行转发或丢弃;
其中,所述第一虚拟防火墙与所述第二虚拟防火墙是所述至少两个虚拟防火墙中的两个不同虚拟防火墙;
所述公共防火墙监测每一虚拟防火墙的系统数据;其中,所述系统数据包括所述虚拟防火墙的CPU使用率、内存使用率或会话数;
若监测到具有异常系统数据超过预设阈值的虚拟防火墙,则删除该虚拟防火墙的路由表。
8.一种电子设备,其特征在于,包括:处理器、存储器;
所述存储器,用于存储计算机程序;
所述处理器,用于通过调用所述计算机程序,执行如权利要求1-6中任一项所述的数据转发方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-6任一项所述的数据转发方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011345087.8A CN112511439B (zh) | 2020-11-25 | 2020-11-25 | 数据转发方法、装置、设备及计算机可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011345087.8A CN112511439B (zh) | 2020-11-25 | 2020-11-25 | 数据转发方法、装置、设备及计算机可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112511439A CN112511439A (zh) | 2021-03-16 |
| CN112511439B true CN112511439B (zh) | 2023-03-14 |
Family
ID=74966095
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011345087.8A Active CN112511439B (zh) | 2020-11-25 | 2020-11-25 | 数据转发方法、装置、设备及计算机可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112511439B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113329022B (zh) * | 2021-05-31 | 2022-08-05 | 北京天融信网络安全技术有限公司 | 一种虚拟防火墙的信息处理方法及电子设备 |
| CN114172695A (zh) * | 2021-11-22 | 2022-03-11 | 闪捷信息科技有限公司 | 串行防火墙报文转发方法、装置、设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949741A (zh) * | 2005-10-11 | 2007-04-18 | 华为技术有限公司 | 一种处理跨越不同防火墙间数据流的方法 |
| CN101478533A (zh) * | 2008-11-29 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| CN107483341A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 一种跨防火墙报文快速转发方法及装置 |
| CN110365697A (zh) * | 2019-07-26 | 2019-10-22 | 新华三大数据技术有限公司 | 一种虚拟防火墙设置方法、装置、电子设备及存储介质 |
| CN111132170A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 虚拟防火墙的通信方法和装置、虚拟防火墙及拓扑结构 |
| CN111786883A (zh) * | 2020-06-16 | 2020-10-16 | 杭州迪普科技股份有限公司 | 一种跨vrf通信的方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10868792B2 (en) * | 2018-03-19 | 2020-12-15 | Fortinet, Inc. | Configuration of sub-interfaces to enable communication with external network devices |
| CN111835794B (zh) * | 2020-09-17 | 2021-01-05 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
-
2020
- 2020-11-25 CN CN202011345087.8A patent/CN112511439B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1949741A (zh) * | 2005-10-11 | 2007-04-18 | 华为技术有限公司 | 一种处理跨越不同防火墙间数据流的方法 |
| CN101478533A (zh) * | 2008-11-29 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| CN107483341A (zh) * | 2017-08-29 | 2017-12-15 | 杭州迪普科技股份有限公司 | 一种跨防火墙报文快速转发方法及装置 |
| CN110365697A (zh) * | 2019-07-26 | 2019-10-22 | 新华三大数据技术有限公司 | 一种虚拟防火墙设置方法、装置、电子设备及存储介质 |
| CN111132170A (zh) * | 2019-12-31 | 2020-05-08 | 奇安信科技集团股份有限公司 | 虚拟防火墙的通信方法和装置、虚拟防火墙及拓扑结构 |
| CN111786883A (zh) * | 2020-06-16 | 2020-10-16 | 杭州迪普科技股份有限公司 | 一种跨vrf通信的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 两台虚拟防火墙如何实现互访,请描述设计和配置?;栗子老师;《https://blog.51cto.com/u_13817711/2523097》;20200823;第1-2页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112511439A (zh) | 2021-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108471397B (zh) | 防火墙配置、报文发送方法和装置 | |
| US7826393B2 (en) | Management computer and computer system for setting port configuration information | |
| CN105634998B (zh) | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 | |
| EP3358807B1 (en) | Firewall cluster | |
| WO2019074638A1 (en) | SYSTEMS AND METHODS FOR CONTROLLING SWITCHES TO RECORD NETWORK PACKETS USING TRAFFIC MONITORING NETWORK | |
| US11283683B2 (en) | Network modification impact prediction | |
| US10778465B1 (en) | Scalable cloud switch for integration of on premises networking infrastructure with networking services in the cloud | |
| CN112511439B (zh) | 数据转发方法、装置、设备及计算机可读存储介质 | |
| US11252183B1 (en) | System and method for ransomware lateral movement protection in on-prem and cloud data center environments | |
| US11044138B2 (en) | DHCP agent assisted routing and access control | |
| Chang et al. | Deciduous: Decentralized source identification for network-based intrusions | |
| US9258213B2 (en) | Detecting and mitigating forwarding loops in stateful network devices | |
| EP2738985A1 (en) | Ethernet interface protection method and network side device | |
| Khan et al. | FML: A novel forensics management layer for software defined networks | |
| US7721324B1 (en) | Securing management operations in a communication fabric | |
| CN109743316A (zh) | 数据传输方法、出口路由器、防火墙及双台防火墙系统 | |
| US10944665B1 (en) | Auto-discovery and provisioning of IP fabric underlay networks for data centers | |
| CN116545665A (zh) | 一种安全引流方法、系统、设备及介质 | |
| US20210058371A1 (en) | Method for data center network segmentation | |
| JP7156310B2 (ja) | 通信装置、通信システム、通信制御方法、プログラム | |
| CN109428863B (zh) | 容器服务的安全防护方法、数据处理方法、装置及设备 | |
| EP4181431A1 (en) | Service transmission method and apparatus, network device, and storage medium | |
| KR101747032B1 (ko) | 소프트웨어 정의 네트워킹 환경에서의 모듈형 제어 장치 및 그 동작 방법 | |
| CN112866031B (zh) | 路由配置方法、装置、设备及计算机可读存储介质 | |
| US11676045B2 (en) | Network node with reconfigurable rule-based routing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |