CN112887330B - 一种网络acl隔离浮动ip的实现装置及方法 - Google Patents
一种网络acl隔离浮动ip的实现装置及方法 Download PDFInfo
- Publication number
- CN112887330B CN112887330B CN202110214225.7A CN202110214225A CN112887330B CN 112887330 B CN112887330 B CN 112887330B CN 202110214225 A CN202110214225 A CN 202110214225A CN 112887330 B CN112887330 B CN 112887330B
- Authority
- CN
- China
- Prior art keywords
- network
- acl
- floating
- isolation
- virtual private
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000007667 floating Methods 0.000 title claims abstract description 68
- 238000002955 isolation Methods 0.000 title claims abstract description 48
- 238000000034 method Methods 0.000 title claims abstract description 15
- 238000004891 communication Methods 0.000 claims description 3
- 230000000977 initiatory effect Effects 0.000 claims description 3
- 238000011161 development Methods 0.000 abstract description 2
- 230000018109 developmental process Effects 0.000 abstract description 2
- 238000005516 engineering process Methods 0.000 description 2
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000001537 electron coincidence spectroscopy Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明特别涉及一种网络ACL隔离浮动IP的实现装置及方法。该网络ACL隔离浮动IP的实现装置及方法,包括北向接口,数据库,隔离开关配置模块和网络ACL管理模块;所述隔离开关配置模块和网络ACL管理模块均连接到数据库与OpenStack平台,所述北向接口通过隔离开关配置模块和网络ACL管理模块访问数据库和OpenStack平台。该网络ACL隔离浮动IP的实现装置及方法,不依赖某一单独的物理硬件设备,可灵活管理配置,能够根据需求设置是否开启网络ACL隔离浮动IP开关,动态增减,操作简单快捷,安全性较高,保障了云主机之间的网络安全,能够避免单台云主机被攻击带来的全网沦陷。
Description
技术领域
本发明涉及云计算与计算机网络技术领域,特别涉及一种网络ACL隔离浮动IP的实现装置及方法。
背景技术
目前各行业开始逐渐将业务系统通过云计算平台进行整合,出于安全考虑,他们都可以使用VPC(Virtual Private Cloud,虚拟私有云)技术进行网络上安全隔离。虚拟私有网络技术可以让租户在云内拥有一个与其他租户之间逻辑隔离的区域,并在这个区域内使用各种云资源,租户可以完全自由掌控云上虚拟网络,但这种隔离只是为租户提供一个私有空间,那么当一个租户上云以后需要考虑如何保证云主机之间的网络安全,很多用户会在一个虚拟私有网络内部署上百个云主机,有数据库、ECS等等各种类型的主机,还会包含各种不同的业务系统。当对外开放的云主机因为安全漏洞等因素被入侵以后便会对整个虚拟私有网络带来安全威胁。
本发明提出了一种网络ACL(Access Control List,访问控制列表)隔离浮动IP的方法。
发明内容
本发明为了弥补现有技术的缺陷,提供了一种简单高效的网络ACL隔离浮动IP的实现装置及方法。
本发明是通过如下技术方案实现的:
一种网络ACL隔离浮动IP的实现装置,其特征在于:包括北向接口,数据库,隔离开关配置模块和网络ACL管理模块;所述隔离开关配置模块和网络ACL管理模块均连接到数据库与OpenStack平台,所述北向接口通过隔离开关配置模块和网络ACL管理模块访问数据库和OpenStack平台;
所述北向接口用于向外提供REST(Representational State Transfer,表现层状态转化) API(Application Program Interface,应用程序接口),为用户提供发起创建网络,开启网络ACL隔离浮动IP请求和管理网络ACL的接口;
所述数据库模块用于存储用户通过北向接口建立的相关信息;
所述隔离开关配置模块用于配置云主机是否开启网络ACL隔离浮动IP功能;
所述网络ACL管理模块用于管理网络ACL。
所述数据库模块存储信息包括用户信息、虚拟私有网络信息、子网信息、网络ACL信息以及网络ACL规则信息。
所述隔离开关配置模块作为云环境网络ACL隔离浮动IP的开关,当变量isolationFip值为true时,表示开启网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络则默认给该虚拟私有网络创建一个网络ACL,并绑定该虚拟私有网络下对应的子网,虚拟私有网络对应的云主机之间浮动IP ping不通。
当变量isolationFip值为false时,表示关闭网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络,则不操作网络ACL,虚拟私有网络对应的云主机之间浮动IP能够ping通。
当变量isolationFip值为true时,在网络ACL下创建两条拒绝策略和两条全部放通策略,将虚拟私有网络下的子网绑定到网络ACL上后,当虚拟私有网络下的虚机互通时将会按照上述策略处理流量;
两条拒绝策略分别为拒绝源地址为浮动IP网段的流量且优先级为1,拒绝目的地址为浮动IP网段的流量且优先级为2;
两条全部放通策略分别为允许源地址为0.0.0.0/0的流量且优先级为3,允许目的地址为0.0.0.0/0的流量且优先级为4。
所述网络ACL管理模块的功能包括查询网络ACL列表、查看网络ACL详情、创建网络ACL、删除网络ACL、更新网络ACL名称,查看网络ACL规则列表、创建网络ACL规则、删除网络ACL规则、修改网络ACL规则,查询网络ACL绑定的子网列表、绑定网络ACL和子网以及解绑网络ACL和子网。
该网络ACL隔离浮动IP的方法,包括以下步骤:
(1)租户创建VxLAN网络时,默认同时为该VxLAN网络创建一个网络ACL;
(2)为创建的ACL创建两条拒绝策略,一条策略为拒绝源地址为浮动IP网段的流量且优先级为1,另一条策略为拒绝目的地址为浮动IP网段的流量且优先级为2;
(3)为ACL创建两条全部放通策略,一条策略为允许源地址为0.0.0.0/0的流量且优先级为3,一条策略为允许目的地址为0.0.0.0/0的流量且优先级为4;
(4)在VxLAN网络下创建两个子网,并将虚拟私有网络下的子网分别绑定上该网络ACL;
(5)分别创建两个子网对应的云服务器,两台云服务器分别绑定上弹性公网IP;此时云主机能够连通外网,如果不隔离浮动IP将会导致安全威胁,虚拟私有网络内虚机能够通过内网IP互通,浮动IP地址ping不通,因而通过网络ACL能够实现隔离浮动IP的目的,保证云主机安全。
所述步骤(5)中,解绑子网对应的网络ACL,删除网络ACL和网络ACL规则,即可关闭网络ACL隔离浮动IP的功能,使虚拟私有网络对应的云主机能够ping通浮动IP。
本发明的有益效果是:该网络ACL隔离浮动IP的实现装置及方法,不依赖某一单独的物理硬件设备,可灵活管理配置,能够根据需求设置是否开启网络ACL隔离浮动IP开关,动态增减,操作简单快捷,安全性较高,保障了云主机之间的网络安全,能够避免单台云主机被攻击带来的全网沦陷。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
附图1为本发明网络ACL隔离浮动IP的实现装置示意图。
具体实施方式
为了使本技术领域的人员更好的理解本发明中的技术方案,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚,完整的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施 例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
该网络ACL隔离浮动IP的实现装置,包括北向接口,数据库,隔离开关配置模块和网络ACL管理模块;所述隔离开关配置模块和网络ACL管理模块均连接到数据库与OpenStack平台,所述北向接口通过隔离开关配置模块和网络ACL管理模块访问数据库和OpenStack平台;
所述北向接口用于向外提供REST(Representational State Transfer,表现层状态转化) API(Application Program Interface,应用程序接口),为用户提供发起创建网络,开启网络ACL隔离浮动IP请求和管理网络ACL的接口;
例如,北向接口可以提供租户ID、网段CIDR、区域,来实现创建网络、创建子网、删除子网、删除虚拟私有网络、创建虚拟私有网络下对应的网络ACL、子网绑定网络ACL、子网解绑网络ACL、删除网络ACL。
所述数据库模块用于存储用户通过北向接口建立的相关信息;
所述隔离开关配置模块用于配置云主机是否开启网络ACL隔离浮动IP功能;
所述网络ACL管理模块用于管理网络ACL。
所述数据库模块存储信息包括用户信息、虚拟私有网络信息、子网信息、网络ACL信息以及网络ACL规则信息。
所述隔离开关配置模块作为云环境网络ACL隔离浮动IP的开关,当变量isolationFip值为true时,表示开启网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络则默认给该虚拟私有网络创建一个网络ACL,并绑定该虚拟私有网络下对应的子网,虚拟私有网络对应的云主机之间浮动IP ping不通。
当变量isolationFip值为false时,表示关闭网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络,则不操作网络ACL,虚拟私有网络对应的云主机之间浮动IP能够ping通。
当变量isolationFip值为true时,在网络ACL下创建两条拒绝策略和两条全部放通策略,将虚拟私有网络下的子网绑定到网络ACL上后,当虚拟私有网络下的虚机互通时将会按照上述策略处理流量;
两条拒绝策略分别为拒绝源地址为浮动IP网段的流量且优先级为1,拒绝目的地址为浮动IP网段的流量且优先级为2;
两条全部放通策略分别为允许源地址为0.0.0.0/0的流量且优先级为3,允许目的地址为0.0.0.0/0的流量且优先级为4。
所述网络ACL管理模块的功能包括查询网络ACL列表、查看网络ACL详情、创建网络ACL、删除网络ACL、更新网络ACL名称,查看网络ACL规则列表、创建网络ACL规则、删除网络ACL规则、修改网络ACL规则,查询网络ACL绑定的子网列表、绑定网络ACL和子网以及解绑网络ACL和子网。
该网络ACL隔离浮动IP的方法,包括以下步骤:
(1)租户创建VxLAN网络时,默认同时为该VxLAN网络创建一个网络ACL;
(2)为创建的ACL创建两条拒绝策略,一条策略为拒绝源地址为浮动IP网段的流量且优先级为1,另一条策略为拒绝目的地址为浮动IP网段的流量且优先级为2;
(3)为ACL创建两条全部放通策略,一条策略为允许源地址为0.0.0.0/0的流量且优先级为3,一条策略为允许目的地址为0.0.0.0/0的流量且优先级为4;
(4)在VxLAN网络下创建两个子网,并将虚拟私有网络下的子网分别绑定上该网络ACL;
(5)分别创建两个子网对应的云服务器,两台云服务器分别绑定上弹性公网IP;此时云主机能够连通外网,如果不隔离浮动IP将会导致安全威胁,虚拟私有网络内虚机能够通过内网IP互通,浮动IP地址ping不通,因而通过网络ACL能够实现隔离浮动IP的目的,保证云主机安全。
所述步骤(5)中,解绑子网对应的网络ACL,删除网络ACL和网络ACL规则,即可关闭网络ACL隔离浮动IP的功能,使虚拟私有网络对应的云主机能够ping通浮动IP。
实施例
在一个network1(网络)下有一子网subnet1(子网1)和subnet2(子网2),用户在两个子网下分别新建一个虚机,命名为vm1和vm2,并绑定弹性公网IP。
1、配置云环境网络ACL隔离浮动IP的开关,isolationFip=true。
2、调用北向接口创建虚拟私有网络和两个子网并开启该虚拟私有网络的网络ACL隔离浮动IP的功能。
3、北向接口管理模块首先将network、subent和网络ACL信息写入数据库。
4、网络ACL管理模块将给该虚拟私有网络创建一个网络ACL,并在该ACL下创建两条拒绝策略和两条全部放通策略,将子网分别绑定到网络ACL上。
5、创建虚拟私有网络对应的云主机,绑定弹性公网IP,验证云主机网络互通,云主机内ping内网IP可以互通,浮动IP ping不通。
至此,网络ACL隔离浮动IP完成。
以上所述的实施例,只是本发明具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
Claims (8)
1.一种网络ACL隔离浮动IP的实现装置,其特征在于:包括北向接口,数据库,隔离开关配置模块和网络ACL管理模块;所述隔离开关配置模块和网络ACL管理模块均连接到数据库与OpenStack平台,所述北向接口通过隔离开关配置模块和网络ACL管理模块访问数据库和OpenStack平台;
所述北向接口用于向外提供REST API,为用户提供发起创建网络,开启网络ACL隔离浮动IP请求和管理网络ACL的接口;
所述数据库模块用于存储用户通过北向接口建立的相关信息;
所述隔离开关配置模块用于配置云主机是否开启网络ACL隔离浮动IP功能;
所述网络ACL管理模块用于管理网络ACL。
2.根据权利要求1所述的网络ACL隔离浮动IP的实现装置,其特征在于:所述数据库模块存储信息包括用户信息、虚拟私有网络信息、子网信息、网络ACL信息以及网络ACL规则信息。
3.根据权利要求1所述的网络ACL隔离浮动IP的实现装置,其特征在于:所述隔离开关配置模块作为云环境网络ACL隔离浮动IP的开关,当变量isolationFip值为true时,表示开启网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络则默认给该虚拟私有网络创建一个网络ACL,并绑定该虚拟私有网络下对应的子网,虚拟私有网络对应的云主机之间浮动IP ping不通。
4.根据权利要求3所述的网络ACL隔离浮动IP的实现装置,其特征在于:当变量isolationFip值为false时,表示关闭网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络,则不操作网络ACL,虚拟私有网络对应的云主机之间浮动IP能够ping通。
5.根据权利要求3所述的网络ACL隔离浮动IP的实现装置,其特征在于:当变量isolationFip值为true时,在网络ACL下创建两条拒绝策略和两条全部放通策略,将虚拟私有网络下的子网绑定到网络ACL上后,当虚拟私有网络下的虚机互通时将会按照上述策略处理流量;
两条拒绝策略分别为拒绝源地址为浮动IP网段的流量且优先级为1,拒绝目的地址为浮动IP网段的流量且优先级为2;
两条全部放通策略分别为允许源地址为0.0.0.0/0的流量且优先级为3,允许目的地址为0.0.0.0/0的流量且优先级为4。
6.根据权利要求1所述的网络ACL隔离浮动IP的实现装置,其特征在于:所述网络ACL管理模块的功能包括查询网络ACL列表、查看网络ACL详情、创建网络ACL、删除网络ACL、更新网络ACL名称,查看网络ACL规则列表、创建网络ACL规则、删除网络ACL规则、修改网络ACL规则,查询网络ACL绑定的子网列表、绑定网络ACL和子网以及解绑网络ACL和子网。
7.一种网络ACL隔离浮动IP的方法,其特征在于:包括以下步骤:
(1)租户创建VxLAN网络时,默认同时为该VxLAN网络创建一个网络ACL;
(2)为创建的ACL创建两条拒绝策略,一条策略为拒绝源地址为浮动IP网段的流量且优先级为1,另一条策略为拒绝目的地址为浮动IP网段的流量且优先级为2;
(3)为ACL创建两条全部放通策略,一条策略为允许源地址为0.0.0.0/0的流量且优先级为3,一条策略为允许目的地址为0.0.0.0/0的流量且优先级为4;
(4)在VxLAN网络下创建两个子网,并将虚拟私有网络下的子网分别绑定上该网络ACL;
(5)分别创建两个子网对应的云服务器,两台云服务器分别绑定上弹性公网IP;此时云主机能够连通外网,虚拟私有网络内虚机能够通过内网IP互通,浮动IP地址ping不通。
8.根据权利要求7所述的网络ACL隔离浮动IP的方法,其特征在于:所述步骤(5)中,解绑子网对应的网络ACL,删除网络ACL和网络ACL规则,即可关闭网络ACL隔离浮动IP的功能,使虚拟私有网络对应的云主机能够ping通浮动IP。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110214225.7A CN112887330B (zh) | 2021-02-26 | 2021-02-26 | 一种网络acl隔离浮动ip的实现装置及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110214225.7A CN112887330B (zh) | 2021-02-26 | 2021-02-26 | 一种网络acl隔离浮动ip的实现装置及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112887330A CN112887330A (zh) | 2021-06-01 |
CN112887330B true CN112887330B (zh) | 2022-05-31 |
Family
ID=76054561
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110214225.7A Active CN112887330B (zh) | 2021-02-26 | 2021-02-26 | 一种网络acl隔离浮动ip的实现装置及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112887330B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113364774B (zh) * | 2021-06-04 | 2022-07-15 | 安徽云图信息技术有限公司 | 数据安全治理协同平台 |
CN114039949B (zh) * | 2021-12-24 | 2024-03-26 | 上海观安信息技术股份有限公司 | 云服务浮动ip绑定方法及系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
CN104468568A (zh) * | 2014-12-05 | 2015-03-25 | 国云科技股份有限公司 | 一种虚拟机安全隔离方法 |
CN105900518A (zh) * | 2013-08-27 | 2016-08-24 | 华为技术有限公司 | 用于移动网络功能虚拟化的系统及方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106487556B (zh) * | 2015-08-28 | 2020-05-22 | 中兴通讯股份有限公司 | 业务功能sf的部署方法及装置 |
CN112003964B (zh) * | 2020-08-27 | 2023-01-10 | 北京浪潮数据技术有限公司 | 一种基于多架构的ip地址的分配方法、装置和介质 |
-
2021
- 2021-02-26 CN CN202110214225.7A patent/CN112887330B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
CN105900518A (zh) * | 2013-08-27 | 2016-08-24 | 华为技术有限公司 | 用于移动网络功能虚拟化的系统及方法 |
CN104468568A (zh) * | 2014-12-05 | 2015-03-25 | 国云科技股份有限公司 | 一种虚拟机安全隔离方法 |
Also Published As
Publication number | Publication date |
---|---|
CN112887330A (zh) | 2021-06-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11088944B2 (en) | Serverless packet processing service with isolated virtual network integration | |
US20220329457A1 (en) | Virtual smart network interface card for edge device | |
EP3235186B1 (en) | Vlant tagging in a virtual environment | |
CN108322467B (zh) | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 | |
AU2014315117B2 (en) | System and method for managing configuration of virtual switches in a virtual machine network | |
US9294351B2 (en) | Dynamic policy based interface configuration for virtualized environments | |
EP2779531B1 (en) | System and method for abstracting network policy from physical interfaces and creating portable network policy | |
CN103026660B (zh) | 网络策略配置方法、管理设备以及网络管理中心设备 | |
US20190386956A1 (en) | Dynamically opening ports for trusted application processes hosted in containers | |
US9535730B2 (en) | Communication apparatus and configuration method | |
WO2020024413A1 (zh) | 一种云计算平台部署的控制方法、服务器及存储介质 | |
JP2020515987A (ja) | 分離されたネットワークスタックにわたるインテリジェントなスレッド管理 | |
EP3905588A1 (en) | Cloud platform deployment method and apparatus, server and storage medium | |
US9432254B1 (en) | Cloning virtual network resources and templates | |
CN105100026A (zh) | 一种报文安全转发方法及装置 | |
CN112887330B (zh) | 一种网络acl隔离浮动ip的实现装置及方法 | |
US11178218B2 (en) | Bidirectional communication clusters | |
CN106953848B (zh) | 一种基于ForCES的软件定义网络实现方法 | |
US9225631B2 (en) | Implementation of protocol in virtual link aggregate group | |
CN101964799A (zh) | 点到网隧道方式下地址冲突的解决方法 | |
US9009782B2 (en) | Steering traffic among multiple network services using a centralized dispatcher | |
CN110830574B (zh) | 一种基于docker容器实现内网负载均衡的方法 | |
US20160057109A1 (en) | Secure communication channel using a blade server | |
US9935834B1 (en) | Automated configuration of virtual port channels | |
CN106878204A (zh) | 一种虚拟机的创建方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |