CN112887330B - 一种网络acl隔离浮动ip的实现装置及方法 - Google Patents

一种网络acl隔离浮动ip的实现装置及方法 Download PDF

Info

Publication number
CN112887330B
CN112887330B CN202110214225.7A CN202110214225A CN112887330B CN 112887330 B CN112887330 B CN 112887330B CN 202110214225 A CN202110214225 A CN 202110214225A CN 112887330 B CN112887330 B CN 112887330B
Authority
CN
China
Prior art keywords
network
acl
floating
isolation
virtual private
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202110214225.7A
Other languages
English (en)
Other versions
CN112887330A (zh
Inventor
马雪敏
江燕
李彦君
胡章丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Inspur Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Cloud Information Technology Co Ltd filed Critical Inspur Cloud Information Technology Co Ltd
Priority to CN202110214225.7A priority Critical patent/CN112887330B/zh
Publication of CN112887330A publication Critical patent/CN112887330A/zh
Application granted granted Critical
Publication of CN112887330B publication Critical patent/CN112887330B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明特别涉及一种网络ACL隔离浮动IP的实现装置及方法。该网络ACL隔离浮动IP的实现装置及方法,包括北向接口,数据库,隔离开关配置模块和网络ACL管理模块;所述隔离开关配置模块和网络ACL管理模块均连接到数据库与OpenStack平台,所述北向接口通过隔离开关配置模块和网络ACL管理模块访问数据库和OpenStack平台。该网络ACL隔离浮动IP的实现装置及方法,不依赖某一单独的物理硬件设备,可灵活管理配置,能够根据需求设置是否开启网络ACL隔离浮动IP开关,动态增减,操作简单快捷,安全性较高,保障了云主机之间的网络安全,能够避免单台云主机被攻击带来的全网沦陷。

Description

一种网络ACL隔离浮动IP的实现装置及方法
技术领域
本发明涉及云计算与计算机网络技术领域,特别涉及一种网络ACL隔离浮动IP的实现装置及方法。
背景技术
目前各行业开始逐渐将业务系统通过云计算平台进行整合,出于安全考虑,他们都可以使用VPC(Virtual Private Cloud,虚拟私有云)技术进行网络上安全隔离。虚拟私有网络技术可以让租户在云内拥有一个与其他租户之间逻辑隔离的区域,并在这个区域内使用各种云资源,租户可以完全自由掌控云上虚拟网络,但这种隔离只是为租户提供一个私有空间,那么当一个租户上云以后需要考虑如何保证云主机之间的网络安全,很多用户会在一个虚拟私有网络内部署上百个云主机,有数据库、ECS等等各种类型的主机,还会包含各种不同的业务系统。当对外开放的云主机因为安全漏洞等因素被入侵以后便会对整个虚拟私有网络带来安全威胁。
本发明提出了一种网络ACL(Access Control List,访问控制列表)隔离浮动IP的方法。
发明内容
本发明为了弥补现有技术的缺陷,提供了一种简单高效的网络ACL隔离浮动IP的实现装置及方法。
本发明是通过如下技术方案实现的:
一种网络ACL隔离浮动IP的实现装置,其特征在于:包括北向接口,数据库,隔离开关配置模块和网络ACL管理模块;所述隔离开关配置模块和网络ACL管理模块均连接到数据库与OpenStack平台,所述北向接口通过隔离开关配置模块和网络ACL管理模块访问数据库和OpenStack平台;
所述北向接口用于向外提供REST(Representational State Transfer,表现层状态转化) API(Application Program Interface,应用程序接口),为用户提供发起创建网络,开启网络ACL隔离浮动IP请求和管理网络ACL的接口;
所述数据库模块用于存储用户通过北向接口建立的相关信息;
所述隔离开关配置模块用于配置云主机是否开启网络ACL隔离浮动IP功能;
所述网络ACL管理模块用于管理网络ACL。
所述数据库模块存储信息包括用户信息、虚拟私有网络信息、子网信息、网络ACL信息以及网络ACL规则信息。
所述隔离开关配置模块作为云环境网络ACL隔离浮动IP的开关,当变量isolationFip值为true时,表示开启网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络则默认给该虚拟私有网络创建一个网络ACL,并绑定该虚拟私有网络下对应的子网,虚拟私有网络对应的云主机之间浮动IP ping不通。
当变量isolationFip值为false时,表示关闭网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络,则不操作网络ACL,虚拟私有网络对应的云主机之间浮动IP能够ping通。
当变量isolationFip值为true时,在网络ACL下创建两条拒绝策略和两条全部放通策略,将虚拟私有网络下的子网绑定到网络ACL上后,当虚拟私有网络下的虚机互通时将会按照上述策略处理流量;
两条拒绝策略分别为拒绝源地址为浮动IP网段的流量且优先级为1,拒绝目的地址为浮动IP网段的流量且优先级为2;
两条全部放通策略分别为允许源地址为0.0.0.0/0的流量且优先级为3,允许目的地址为0.0.0.0/0的流量且优先级为4。
所述网络ACL管理模块的功能包括查询网络ACL列表、查看网络ACL详情、创建网络ACL、删除网络ACL、更新网络ACL名称,查看网络ACL规则列表、创建网络ACL规则、删除网络ACL规则、修改网络ACL规则,查询网络ACL绑定的子网列表、绑定网络ACL和子网以及解绑网络ACL和子网。
该网络ACL隔离浮动IP的方法,包括以下步骤:
(1)租户创建VxLAN网络时,默认同时为该VxLAN网络创建一个网络ACL;
(2)为创建的ACL创建两条拒绝策略,一条策略为拒绝源地址为浮动IP网段的流量且优先级为1,另一条策略为拒绝目的地址为浮动IP网段的流量且优先级为2;
(3)为ACL创建两条全部放通策略,一条策略为允许源地址为0.0.0.0/0的流量且优先级为3,一条策略为允许目的地址为0.0.0.0/0的流量且优先级为4;
(4)在VxLAN网络下创建两个子网,并将虚拟私有网络下的子网分别绑定上该网络ACL;
(5)分别创建两个子网对应的云服务器,两台云服务器分别绑定上弹性公网IP;此时云主机能够连通外网,如果不隔离浮动IP将会导致安全威胁,虚拟私有网络内虚机能够通过内网IP互通,浮动IP地址ping不通,因而通过网络ACL能够实现隔离浮动IP的目的,保证云主机安全。
所述步骤(5)中,解绑子网对应的网络ACL,删除网络ACL和网络ACL规则,即可关闭网络ACL隔离浮动IP的功能,使虚拟私有网络对应的云主机能够ping通浮动IP。
本发明的有益效果是:该网络ACL隔离浮动IP的实现装置及方法,不依赖某一单独的物理硬件设备,可灵活管理配置,能够根据需求设置是否开启网络ACL隔离浮动IP开关,动态增减,操作简单快捷,安全性较高,保障了云主机之间的网络安全,能够避免单台云主机被攻击带来的全网沦陷。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
附图1为本发明网络ACL隔离浮动IP的实现装置示意图。
具体实施方式
为了使本技术领域的人员更好的理解本发明中的技术方案,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚,完整的描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施 例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
该网络ACL隔离浮动IP的实现装置,包括北向接口,数据库,隔离开关配置模块和网络ACL管理模块;所述隔离开关配置模块和网络ACL管理模块均连接到数据库与OpenStack平台,所述北向接口通过隔离开关配置模块和网络ACL管理模块访问数据库和OpenStack平台;
所述北向接口用于向外提供REST(Representational State Transfer,表现层状态转化) API(Application Program Interface,应用程序接口),为用户提供发起创建网络,开启网络ACL隔离浮动IP请求和管理网络ACL的接口;
例如,北向接口可以提供租户ID、网段CIDR、区域,来实现创建网络、创建子网、删除子网、删除虚拟私有网络、创建虚拟私有网络下对应的网络ACL、子网绑定网络ACL、子网解绑网络ACL、删除网络ACL。
所述数据库模块用于存储用户通过北向接口建立的相关信息;
所述隔离开关配置模块用于配置云主机是否开启网络ACL隔离浮动IP功能;
所述网络ACL管理模块用于管理网络ACL。
所述数据库模块存储信息包括用户信息、虚拟私有网络信息、子网信息、网络ACL信息以及网络ACL规则信息。
所述隔离开关配置模块作为云环境网络ACL隔离浮动IP的开关,当变量isolationFip值为true时,表示开启网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络则默认给该虚拟私有网络创建一个网络ACL,并绑定该虚拟私有网络下对应的子网,虚拟私有网络对应的云主机之间浮动IP ping不通。
当变量isolationFip值为false时,表示关闭网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络,则不操作网络ACL,虚拟私有网络对应的云主机之间浮动IP能够ping通。
当变量isolationFip值为true时,在网络ACL下创建两条拒绝策略和两条全部放通策略,将虚拟私有网络下的子网绑定到网络ACL上后,当虚拟私有网络下的虚机互通时将会按照上述策略处理流量;
两条拒绝策略分别为拒绝源地址为浮动IP网段的流量且优先级为1,拒绝目的地址为浮动IP网段的流量且优先级为2;
两条全部放通策略分别为允许源地址为0.0.0.0/0的流量且优先级为3,允许目的地址为0.0.0.0/0的流量且优先级为4。
所述网络ACL管理模块的功能包括查询网络ACL列表、查看网络ACL详情、创建网络ACL、删除网络ACL、更新网络ACL名称,查看网络ACL规则列表、创建网络ACL规则、删除网络ACL规则、修改网络ACL规则,查询网络ACL绑定的子网列表、绑定网络ACL和子网以及解绑网络ACL和子网。
该网络ACL隔离浮动IP的方法,包括以下步骤:
(1)租户创建VxLAN网络时,默认同时为该VxLAN网络创建一个网络ACL;
(2)为创建的ACL创建两条拒绝策略,一条策略为拒绝源地址为浮动IP网段的流量且优先级为1,另一条策略为拒绝目的地址为浮动IP网段的流量且优先级为2;
(3)为ACL创建两条全部放通策略,一条策略为允许源地址为0.0.0.0/0的流量且优先级为3,一条策略为允许目的地址为0.0.0.0/0的流量且优先级为4;
(4)在VxLAN网络下创建两个子网,并将虚拟私有网络下的子网分别绑定上该网络ACL;
(5)分别创建两个子网对应的云服务器,两台云服务器分别绑定上弹性公网IP;此时云主机能够连通外网,如果不隔离浮动IP将会导致安全威胁,虚拟私有网络内虚机能够通过内网IP互通,浮动IP地址ping不通,因而通过网络ACL能够实现隔离浮动IP的目的,保证云主机安全。
所述步骤(5)中,解绑子网对应的网络ACL,删除网络ACL和网络ACL规则,即可关闭网络ACL隔离浮动IP的功能,使虚拟私有网络对应的云主机能够ping通浮动IP。
实施例
在一个network1(网络)下有一子网subnet1(子网1)和subnet2(子网2),用户在两个子网下分别新建一个虚机,命名为vm1和vm2,并绑定弹性公网IP。
1、配置云环境网络ACL隔离浮动IP的开关,isolationFip=true。
2、调用北向接口创建虚拟私有网络和两个子网并开启该虚拟私有网络的网络ACL隔离浮动IP的功能。
3、北向接口管理模块首先将network、subent和网络ACL信息写入数据库。
4、网络ACL管理模块将给该虚拟私有网络创建一个网络ACL,并在该ACL下创建两条拒绝策略和两条全部放通策略,将子网分别绑定到网络ACL上。
5、创建虚拟私有网络对应的云主机,绑定弹性公网IP,验证云主机网络互通,云主机内ping内网IP可以互通,浮动IP ping不通。
至此,网络ACL隔离浮动IP完成。
以上所述的实施例,只是本发明具体实施方式的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。

Claims (8)

1.一种网络ACL隔离浮动IP的实现装置,其特征在于:包括北向接口,数据库,隔离开关配置模块和网络ACL管理模块;所述隔离开关配置模块和网络ACL管理模块均连接到数据库与OpenStack平台,所述北向接口通过隔离开关配置模块和网络ACL管理模块访问数据库和OpenStack平台;
所述北向接口用于向外提供REST API,为用户提供发起创建网络,开启网络ACL隔离浮动IP请求和管理网络ACL的接口;
所述数据库模块用于存储用户通过北向接口建立的相关信息;
所述隔离开关配置模块用于配置云主机是否开启网络ACL隔离浮动IP功能;
所述网络ACL管理模块用于管理网络ACL。
2.根据权利要求1所述的网络ACL隔离浮动IP的实现装置,其特征在于:所述数据库模块存储信息包括用户信息、虚拟私有网络信息、子网信息、网络ACL信息以及网络ACL规则信息。
3.根据权利要求1所述的网络ACL隔离浮动IP的实现装置,其特征在于:所述隔离开关配置模块作为云环境网络ACL隔离浮动IP的开关,当变量isolationFip值为true时,表示开启网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络则默认给该虚拟私有网络创建一个网络ACL,并绑定该虚拟私有网络下对应的子网,虚拟私有网络对应的云主机之间浮动IP ping不通。
4.根据权利要求3所述的网络ACL隔离浮动IP的实现装置,其特征在于:当变量isolationFip值为false时,表示关闭网络ACL隔离浮动IP功能;若用户此时创建虚拟私有网络,则不操作网络ACL,虚拟私有网络对应的云主机之间浮动IP能够ping通。
5.根据权利要求3所述的网络ACL隔离浮动IP的实现装置,其特征在于:当变量isolationFip值为true时,在网络ACL下创建两条拒绝策略和两条全部放通策略,将虚拟私有网络下的子网绑定到网络ACL上后,当虚拟私有网络下的虚机互通时将会按照上述策略处理流量;
两条拒绝策略分别为拒绝源地址为浮动IP网段的流量且优先级为1,拒绝目的地址为浮动IP网段的流量且优先级为2;
两条全部放通策略分别为允许源地址为0.0.0.0/0的流量且优先级为3,允许目的地址为0.0.0.0/0的流量且优先级为4。
6.根据权利要求1所述的网络ACL隔离浮动IP的实现装置,其特征在于:所述网络ACL管理模块的功能包括查询网络ACL列表、查看网络ACL详情、创建网络ACL、删除网络ACL、更新网络ACL名称,查看网络ACL规则列表、创建网络ACL规则、删除网络ACL规则、修改网络ACL规则,查询网络ACL绑定的子网列表、绑定网络ACL和子网以及解绑网络ACL和子网。
7.一种网络ACL隔离浮动IP的方法,其特征在于:包括以下步骤:
(1)租户创建VxLAN网络时,默认同时为该VxLAN网络创建一个网络ACL;
(2)为创建的ACL创建两条拒绝策略,一条策略为拒绝源地址为浮动IP网段的流量且优先级为1,另一条策略为拒绝目的地址为浮动IP网段的流量且优先级为2;
(3)为ACL创建两条全部放通策略,一条策略为允许源地址为0.0.0.0/0的流量且优先级为3,一条策略为允许目的地址为0.0.0.0/0的流量且优先级为4;
(4)在VxLAN网络下创建两个子网,并将虚拟私有网络下的子网分别绑定上该网络ACL;
(5)分别创建两个子网对应的云服务器,两台云服务器分别绑定上弹性公网IP;此时云主机能够连通外网,虚拟私有网络内虚机能够通过内网IP互通,浮动IP地址ping不通。
8.根据权利要求7所述的网络ACL隔离浮动IP的方法,其特征在于:所述步骤(5)中,解绑子网对应的网络ACL,删除网络ACL和网络ACL规则,即可关闭网络ACL隔离浮动IP的功能,使虚拟私有网络对应的云主机能够ping通浮动IP。
CN202110214225.7A 2021-02-26 2021-02-26 一种网络acl隔离浮动ip的实现装置及方法 Active CN112887330B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110214225.7A CN112887330B (zh) 2021-02-26 2021-02-26 一种网络acl隔离浮动ip的实现装置及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110214225.7A CN112887330B (zh) 2021-02-26 2021-02-26 一种网络acl隔离浮动ip的实现装置及方法

Publications (2)

Publication Number Publication Date
CN112887330A CN112887330A (zh) 2021-06-01
CN112887330B true CN112887330B (zh) 2022-05-31

Family

ID=76054561

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110214225.7A Active CN112887330B (zh) 2021-02-26 2021-02-26 一种网络acl隔离浮动ip的实现装置及方法

Country Status (1)

Country Link
CN (1) CN112887330B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113364774B (zh) * 2021-06-04 2022-07-15 安徽云图信息技术有限公司 数据安全治理协同平台
CN114039949B (zh) * 2021-12-24 2024-03-26 上海观安信息技术股份有限公司 云服务浮动ip绑定方法及系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
CN104468568A (zh) * 2014-12-05 2015-03-25 国云科技股份有限公司 一种虚拟机安全隔离方法
CN105900518A (zh) * 2013-08-27 2016-08-24 华为技术有限公司 用于移动网络功能虚拟化的系统及方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106487556B (zh) * 2015-08-28 2020-05-22 中兴通讯股份有限公司 业务功能sf的部署方法及装置
CN112003964B (zh) * 2020-08-27 2023-01-10 北京浪潮数据技术有限公司 一种基于多架构的ip地址的分配方法、装置和介质

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
CN105900518A (zh) * 2013-08-27 2016-08-24 华为技术有限公司 用于移动网络功能虚拟化的系统及方法
CN104468568A (zh) * 2014-12-05 2015-03-25 国云科技股份有限公司 一种虚拟机安全隔离方法

Also Published As

Publication number Publication date
CN112887330A (zh) 2021-06-01

Similar Documents

Publication Publication Date Title
US11088944B2 (en) Serverless packet processing service with isolated virtual network integration
US20220329457A1 (en) Virtual smart network interface card for edge device
EP3235186B1 (en) Vlant tagging in a virtual environment
CN108322467B (zh) 基于ovs的虚拟防火墙配置方法、电子设备及存储介质
AU2014315117B2 (en) System and method for managing configuration of virtual switches in a virtual machine network
US9294351B2 (en) Dynamic policy based interface configuration for virtualized environments
EP2779531B1 (en) System and method for abstracting network policy from physical interfaces and creating portable network policy
CN103026660B (zh) 网络策略配置方法、管理设备以及网络管理中心设备
US20190386956A1 (en) Dynamically opening ports for trusted application processes hosted in containers
US9535730B2 (en) Communication apparatus and configuration method
WO2020024413A1 (zh) 一种云计算平台部署的控制方法、服务器及存储介质
JP2020515987A (ja) 分離されたネットワークスタックにわたるインテリジェントなスレッド管理
EP3905588A1 (en) Cloud platform deployment method and apparatus, server and storage medium
US9432254B1 (en) Cloning virtual network resources and templates
CN105100026A (zh) 一种报文安全转发方法及装置
CN112887330B (zh) 一种网络acl隔离浮动ip的实现装置及方法
US11178218B2 (en) Bidirectional communication clusters
CN106953848B (zh) 一种基于ForCES的软件定义网络实现方法
US9225631B2 (en) Implementation of protocol in virtual link aggregate group
CN101964799A (zh) 点到网隧道方式下地址冲突的解决方法
US9009782B2 (en) Steering traffic among multiple network services using a centralized dispatcher
CN110830574B (zh) 一种基于docker容器实现内网负载均衡的方法
US20160057109A1 (en) Secure communication channel using a blade server
US9935834B1 (en) Automated configuration of virtual port channels
CN106878204A (zh) 一种虚拟机的创建方法和装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant