CN112968879A - 一种实现防火墙管理的方法及设备 - Google Patents
一种实现防火墙管理的方法及设备 Download PDFInfo
- Publication number
- CN112968879A CN112968879A CN202110137162.XA CN202110137162A CN112968879A CN 112968879 A CN112968879 A CN 112968879A CN 202110137162 A CN202110137162 A CN 202110137162A CN 112968879 A CN112968879 A CN 112968879A
- Authority
- CN
- China
- Prior art keywords
- fwaas
- firewall
- sdn
- binding relationship
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000006855 networking Effects 0.000 claims abstract description 15
- 239000002071 nanotube Substances 0.000 claims description 5
- 239000000126 substance Substances 0.000 claims description 3
- 238000012544 monitoring process Methods 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 210000001503 joint Anatomy 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000003032 molecular docking Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/042—Network management architectures or arrangements comprising distributed management centres cooperatively managing the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/38—Flow based routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书实施例公开了一种实现防火墙管理的方法及设备。用以解决OpenStack平台不支持防火墙设备fwaas对接SDN控制器的问题。该方案包括:通过SDN驱动将OpenStack平台与SDN控制器进行对接,在所述SDN控制器上添加防火墙设备,所述OpenStack平台提供Fwaas服务,所述Fwaas服务生成Fwaas数据;将所述Fwaas服务与所述防火墙设备绑定,生成绑定关系,将所述绑定关系存储在SDN数据库;将所述Fwaas数据通过所述SDN驱动发送给所述SDN控制器,以使所述SDN控制器根据所述Fwaas数据通过所述SDN数据库查询所述绑定关系,由所述绑定关系确定所述防火墙设备,根据所述Fwaas数据对所述防火墙设备进行配置;确定所述OpenStack平台与所述防火墙设备的硬件组网,通过所述硬件转发所述OpenStack平台的访问流量。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种实现防火墙管理的方法及设备。
背景技术
近年来,随着云计算技术的快速发展,节点网络规模的急剧膨胀,越来越多的企业选择业务上云,云端安全越来越受到重视。OpenStack是一个开源的云计算管理平台项目,由几个主要的组件组合起来完成具体工作。OpenStack支持几乎所有类型的云环境,项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。
防火墙能够借助硬件和软件的作用,实现对节点不安全网络因素的阻断。在现有的防火墙管理中,通过OpenStack平台驱动直接和防火墙设备对接进行管理,每个驱动只支持一种防火墙设备,具有局限性。
发明内容
本说明书一个或多个实施例提供一种实现防火墙管理的方法及设备。用以解决如下技术问题:OpenStack平台不支持防火墙设备Fwaas对接软件定义网络(SoftwareDefined Network,SDN)控制器的问题。
为解决上述技术问题,本说明书一个或多个实施例是这样实现的:
第一方面,本说明书一个或多个实施例提供一种实现防火墙管理的方法,包括:
通过SDN驱动将OpenStack平台与SDN控制器进行对接,在所述SDN控制器上添加防火墙设备,所述OpenStack平台提供Fwaas服务,所述Fwaas服务生成Fwaas数据;
将所述Fwaas服务与所述防火墙设备绑定,生成绑定关系,将所述绑定关系存储在SDN数据库中;
将所述Fwaas数据通过所述SDN驱动发送给所述SDN控制器,以使所述SDN控制器根据所述Fwaas数据通过所述SDN数据库查询所述绑定关系,由所述绑定关系确定所述防火墙设备,根据所述Fwaas数据对所述防火墙设备进行配置;
确定所述OpenStack平台与所述防火墙设备的硬件组网,通过所述硬件转发所述OpenStack平台的访问流量。
通过SDN控制器与OpenStack平台的对接,可以在SDN控制器管理更多Fwaas服务不包含的业务。能够支持多种类型的防火墙设备。通过硬件组网的方式转发访问流量,提高了转发性能。
可选地,所述在所述SDN控制器上添加防火墙设备,具体包括:
通过SDN纳管设备,在所述SDN控制器上添加所述防火墙设备。
可选地,所述Fwaas数据包括防火墙规则、防火墙策略、路由信息。
可选地,所述将所述Fwaas服务与所述防火墙设备绑定,生成绑定关系,将所述绑定关系存储在SDN数据库中,具体包括:
通过所述Fwaas服务创建所述路由信息,将所述路由信息发送给所述SDN控制器;
确定所述防火墙设备配置资源信息,将所述路由信息与所述资源信息进行绑定,生成绑定关系。
可选地,所述将所述Fwaas数据通过所述SDN驱动发送给所述SDN控制器,以使所述SDN控制器根据所述Fwaas数据通过所述SDN数据库查询所述绑定关系,由所述绑定关系确定所述防火墙设备,根据所述Fwaas数据对所述防火墙设备进行配置,具体包括:
通过所述SDN控制器监听所述SDN数据库,根据所述SDN数据库中的所述Fwaas数据查询所述路由信息,根据所述路由信息查询所述绑定关系,根据所述绑定关系查询所述资源信息,由所述资源信息确定所述防火墙设备。
可选地,所述对所述OpenStack平台与所述防火墙设备进行硬件组网,具体包括:
将所述OpenStack平台与接入交换机相连,将所述接入交换机与核心交换机相连,将所述核心交换机与网关交换机相连,将所述网关交换机与所述防火墙设备相连。
可选地,所述OpenStack平台包括OpenStack节点服务器,一个所述OpenStack节点服务器为多个节点提供服务。
可选地,所述核心交换机与所述网关交换机成对存在,对所述防火墙设备做双机集群系统。
可选地,所述OpenStack平台的访问流量,具体包括:
所述节点访问所述防火墙设备的流量;
所述节点之间互相访问的流量;
所述节点访问外部网络的流量,所述外部网络是指不在所述防火墙设备保护下的网络。
第二方面,本说明书一个或多个实施例提供一种实现防火墙管理的设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行:
通过SDN驱动将OpenStack平台与SDN控制器进行对接,在所述SDN控制器上添加防火墙设备,所述OpenStack平台提供Fwaas服务,所述Fwaas服务生成Fwaas数据;
将所述Fwaas服务与所述防火墙设备绑定,生成绑定关系,将所述绑定关系存储在SDN数据库中;
将所述Fwaas数据通过所述SDN驱动发送给所述SDN控制器,以使所述SDN控制器根据所述Fwaas数据通过所述SDN数据库查询所述绑定关系,由所述绑定关系确定所述防火墙设备,根据所述Fwaas数据对所述防火墙设备进行配置;
确定所述OpenStack平台与所述防火墙设备的硬件组网,通过所述硬件转发所述OpenStack平台的访问流量。
本说明书一个或多个实施例提供一种实现防火墙管理的方法及设备,通过该方案解决了OpenStack平台不支持防火墙设备fwaas对接SDN控制器的问题。通过SDN控制器使用标准接口与云平台对接可以适配多种传统防火墙,实现差异化需求,支持网络虚拟化。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例提供的一种实现防火墙管理的方法流程示意图;
图2为本说明书一个或多个实施例提供的一种实现防火墙管理的方法的具体过程示意图;
图3为本说明书一个或多个实施例提供的一种硬件组网示意图;
图4为本说明书一个或多个实施例提供的一种转发访问流量方式示意图;
图5为本说明书一个或多个实施例提供的一种实现防火墙管理的设备结构示意图。
具体实施方式
本说明书实施例提供一种跨时间段混合派单的方法及设备。
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本说明书实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
图1为本说明书一个或多个实施例提供的一种实现防火墙管理的方法流程示意图。
S101:通过SDN驱动将OpenStack平台与SDN控制器进行对接,在所述SDN控制器上添加防火墙设备,所述OpenStack平台提供Fwaas服务,所述Fwaas服务生成Fwaas数据。
OpenStack平台是一个开源的云计算管理平台项目,支持多种类型的云环境,项目目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。SDN控制器是软件定义网络中的应用程序,负责流量控制。SDN控制器是基于如OpenFlow等协议的,允许服务器告诉交换机向哪里发送数据包。Fwaas服务是OpenStack平台网络的一个高级服务,用户可以在OpenStack平台通过Fwaas服务创建和管理防火墙。
在本说明书一个或多个实施例中,通过SDN纳管设备,在SDN控制器上添加防火墙设备。
SDN控制器提供SDN纳管设备,SDN平台适配防火墙设备类型,通过HTTP/HTTPS/SSH管理和纳管,SDN控制器可以添加指定的防火墙设备类型。SDN控制器上可以添加一个或多个防火墙设备,防火墙设备类型可以不同。
在本说明书一个或多个实施例中,Fwaas数据包括防火墙规则、防火墙策略、路由信息。
Fwaas服务创建防火墙规则、防火墙策略信息以及路由信息,其中防火墙规则和防火墙策略规定了网络规则、访问规则、服务器发布规则。网络规则定义了不同网络间能否进行通讯,以及用何种方式进行通讯。访问规则定义了内、外网的通讯的具体细节。服务器发布规则定义了如何让用户访问服务器。路由信息包括数据的流入、流出、转发等。
S102:将所述Fwaas服务与所述防火墙设备绑定,生成绑定关系,将所述绑定关系存储在SDN数据库中。
图2为本说明书一个或多个实施例提供的一种实现防火墙管理的方法的具体过程示意图。
在本说明书一个或多个实施例中,通过Fwaas服务创建路由信息,将路由信息发送给SDN控制器;确定防火墙设备配置资源信息,将路由信息与资源信息进行绑定,生成绑定关系。
S103:将所述Fwaas数据通过所述SDN驱动发送给所述SDN控制器,以使所述SDN控制器根据所述Fwaas数据通过所述SDN数据库查询所述绑定关系,由所述绑定关系确定所述防火墙设备,根据所述Fwaas数据对所述防火墙设备进行配置。
在本说明书一个或多个实施例中,通过SDN控制器监听SDN数据库,根据SDN数据库中的Fwaas数据查询路由信息,根据路由信息查询绑定关系,根据绑定关系查询资源信息,由资源信息确定防火墙设备。
其中,资源信息包括防火墙接口、网口、IP信息等。OpenStack平台通过Fwaas服务创建防火墙规则、防火墙策略、路由信息等,通过Fwaas服务插件,如fwaas-plugin调用SDN驱动,再由SDN驱动调用SDN控制器北向应用程序接口(Application ProgrammingInterface,API)将防火墙规则、防火墙策略、路由信息等存储到SDN数据库。云平台和防火墙无需针对云场景进行特殊的插件开发。
SDN平台中,SDN控制器通过HTTP/HTTPS/SSH对防火墙设备进行管理和纳管,选择添加指定的防火墙设备类型。防火墙设备类型从软硬件形式上分为软件防火墙、硬件防火墙。从防火墙技术上分为包过滤技术防火墙、应用代理技术防火墙、状态检测技术防火墙。SDN控制器添加指定防火墙设备后,对添加的防火墙设备配置资源信息。
Fwaas服务创建并添加的路由信息的数据会存储到SDN数据库,在SDN平台将路由信息和资源信息进行绑定,将绑定关系存入到SDN数据库。SDN控制器会监听SDN数据库,根据数据库中存储的数据,找到Fwaas服务创建的路由信息,再由路由信息查询绑定关系,根据绑定关系查询资源信息,由资源信息确定具体的防火墙设备。对确定的防火墙设备经由防火墙适配器配置防火墙规则和防火墙策略。OpenStack平台对接SDN控制器后,不再局限于OpenStack平台的Fwaas标准,可以在SDN控制器管理更多Fwaas服务不包含的业务,业务管理更广泛。可以支持多种类型的防火墙设备,打破了Fwaas服务只支持一种类型防火墙设备的局限。
图3为本说明书一个或多个实施例提供的一种硬件组网示意图。
S104:确定所述OpenStack平台与所述防火墙设备的硬件组网,通过所述硬件转发所述OpenStack平台的访问流量。
硬件组网中包括由OpenStack平台提供的OpenStack服务器,ServerLeaf接入交换机、SpineLeaf核心交换机、Gateway网关交换机、防火墙。
在本说明书一个或多个实施例中,将OpenStack平台与接入交换机相连,将接入交换机与核心交换机相连,将核心交换机与网关交换机相连,将网关交换机与防火墙设备相连。
在本说明书一个或多个实施例中,OpenStack平台包括OpenStack节点服务器,一个OpenStack节点服务器服务为多个节点提供服务。
硬件组网采取树形拓扑连接,OpenStack节点服务器与ServerLeaf接入交换机直连,节点流量通过ServerLeaf接入交换机、SpineLeaf核心交换机、Gateway网关交换机后到达防火墙。节点为计算机或者Host主机(OpenStack平台上的虚拟机)。
在本说明书一个或多个实施例中,核心交换机与网关交换机成对存在,对防火墙设备做双机集群系统。
核心交换机与网关交换机成对存在是指核心交换机与网关交换机数量相同。双机集群系统一般有两个或两个以上的节点,且分为活动节点及备用节点。正在执行业务的称为活动节点、作为活动节点的一个备份的则称为备用节点。当活动节点出现问题,导致正在运行的业务(任务)不能正常运行时,备用节点就会侦测到,并立即接续活动节点来执行业务。实现业务的不中断或短暂中断。作为活动节点与备用节点的防火墙设备的类型可以不同。
图4为本说明书一个或多个实施例提供的一种转发访问流量方式示意图。
在本说明书一个或多个实施例中,OpenStack平台的访问流量包括节点访问防火墙设备的流量;节点之间互相访问的流量;节点访问外部网络的流量,外部网络是指不在防火墙设备保护下的网络。
以节点为Host主机为例,Host主机经由①②③④访问防火墙。Host主机所在OpenStack节点服务器与ServerLeaf接入交换机通过vlan100口连接,vlan100口属于虚拟路器A。Gateway网关交换机配置vlan1000与防火墙连接,vlan1000也属于虚拟路由器A。bgp-evpn是一种边界网关协议,10.10.10.X网段的路由通过bgp-evpn发布到ServerLeaf接入交换机,Host主机通过此路由访问防火墙10.10.10.11地址。回程流量通过防火墙设置静态路由1.1.1.10-10.10.10.10(访问1.1.1.10的流量通过10.10.10.10地址转发)访问。
Host主机跨虚拟路由器互相访问,图4中具体过程为①②③④⑤⑥⑦⑧⑨⑩,以Host主机A访问Host主机B为例。在虚拟路由器A下配置路由0.0.0.0-10.10.10.11(访问未识别的目的IP,默认转发到防火墙接口地址10.10.10.11)。Host主机A访问Host主机B时,通过默认路由转发到达防火墙设备,防火墙设备配置允许访问策略allow-policy(⑤⑥)。最后通过vlan2000口和静态路由2.2.2.10-20.20.20.10(访问2.2.2.10的流量通过20.20.20.10地址转发)到达Gateway交换机,后续⑧⑨⑩到达Host主机B的流量参考Host主机经访问防火墙。
Host主机访问外部网络,图4中具体过程为①②③④⑤
以Host主机A访问Internet为例。在虚拟路由器A下配置默认路由0.0.0.0-10.10.10.11(访问未识别的目的IP,默认转发到防火墙设备接口地址10.10.10.11)。A访问外网地址时,通过默认路由转发到达防火墙设备,防火墙设备配置允许访问策略allow-policy(⑤
)。防火墙设备设置源地址转换策略nat-policy,10.10.10.11-192.168.1.10(将Host主机A地址映射成192.168.1.10),最后通过防火墙公网接口ext-internet到达Internet。
图5为本说明书一个或多个实施例提供的一种实现防火墙管理的设备结构示意图,所述设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行:
通过SDN驱动将OpenStack平台与SDN控制器进行对接,在所述SDN控制器上添加防火墙设备,所述OpenStack平台提供Fwaas服务,所述Fwaas服务生成Fwaas数据;
将所述Fwaas服务与所述防火墙设备绑定,生成绑定关系,将所述绑定关系存储在SDN数据库中;
将所述Fwaas数据通过所述SDN驱动发送给所述SDN控制器,以使所述SDN控制器根据所述Fwaas数据通过所述SDN数据库查询所述绑定关系,由所述绑定关系确定所述防火墙设备,根据所述Fwaas数据对所述防火墙设备进行配置;
确定所述OpenStack平台与所述防火墙设备的硬件组网,通过所述硬件转发所述OpenStack平台的访问流量。
本说明书一个或多个实施例采用的上述至少一个技术方案,解决了OpenStack平台不支持防火墙设备fwaas对接SDN控制器的问题。通过SDN使用标准接口与云平台对接可以适配多种传统的防火墙,支持网络虚拟化,云平台和防火墙无需针对云场景进行特殊的插件开发。OpenStack平台对接SDN控制器后,不再局限于Fwaas服务,可以在SDN控制器管理Fwaas服务不包含的业务。OpenStack平台对接SDN控制器的组网和流量的转发方式实现主机间和外网通信,通过硬件转发提高了性能。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述仅为本说明书的一个或多个实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。
Claims (10)
1.一种实现防火墙管理的方法,其特征在于,包括:
通过SDN驱动将OpenStack平台与SDN控制器进行对接,在所述SDN控制器上添加防火墙设备,所述OpenStack平台提供Fwaas服务,所述Fwaas服务生成Fwaas数据;
将所述Fwaas服务与所述防火墙设备绑定,生成绑定关系,将所述绑定关系存储在SDN数据库中;
将所述Fwaas数据通过所述SDN驱动发送给所述SDN控制器,以使所述SDN控制器根据所述Fwaas数据通过所述SDN数据库查询所述绑定关系,由所述绑定关系确定所述防火墙设备,根据所述Fwaas数据对所述防火墙设备进行配置;
确定所述OpenStack平台与所述防火墙设备的硬件组网,通过所述硬件转发所述OpenStack平台的访问流量。
2.根据权利要求1所述的方法,其特征在于,所述在所述SDN控制器上添加防火墙设备,具体包括:
通过SDN纳管设备,在所述SDN控制器上添加所述防火墙设备。
3.根据权利要求1所述的方法,其特征在于,所述Fwaas数据包括防火墙规则、防火墙策略、路由信息。
4.根据权利要求3所述的方法,其特征在于,所述将所述Fwaas服务与所述防火墙设备绑定,生成绑定关系,将所述绑定关系存储在SDN数据库中,具体包括:
通过所述Fwaas服务创建所述路由信息,将所述路由信息发送给所述SDN控制器;
确定所述防火墙设备配置资源信息,将所述路由信息与所述资源信息进行绑定,生成绑定关系。
5.根据权利要求4所述的方法,其特征在于,所述将所述Fwaas数据通过所述SDN驱动发送给所述SDN控制器,以使所述SDN控制器根据所述Fwaas数据通过所述SDN数据库查询所述绑定关系,由所述绑定关系确定所述防火墙设备,根据所述Fwaas数据对所述防火墙设备进行配置,具体包括:
通过所述SDN控制器监听所述SDN数据库,根据所述SDN数据库中的所述Fwaas数据查询所述路由信息,根据所述路由信息查询所述绑定关系,根据所述绑定关系查询所述资源信息,由所述资源信息确定所述防火墙设备。
6.根据权利要求1所述的方法,其特征在于,所述对所述OpenStack平台与所述防火墙设备进行硬件组网,具体包括:
将所述OpenStack平台与接入交换机相连,将所述接入交换机与核心交换机相连,将所述核心交换机与网关交换机相连,将所述网关交换机与所述防火墙设备相连。
7.根据权利要求6所述的方法,其特征在于,所述OpenStack平台包括OpenStack节点服务器,一个所述OpenStack节点服务器为多个节点提供服务。
8.根据权利要求6所述的方法,其特征在于,所述核心交换机与所述网关交换机成对存在,对所述防火墙设备做双机集群系统。
9.根据权利要求7所述的方法,其特征在于,所述OpenStack平台的访问流量,具体包括:
所述节点访问所述防火墙设备的流量;
所述节点之间互相访问的流量;
所述节点访问外部网络的流量,所述外部网络是指不在所述防火墙设备保护下的网络。
10.一种实现防火墙管理的设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行:
通过SDN驱动将OpenStack平台与SDN控制器进行对接,在所述SDN控制器上添加防火墙设备,所述OpenStack平台提供Fwaas服务,所述Fwaas服务生成Fwaas数据;
将所述Fwaas服务与所述防火墙设备绑定,生成绑定关系,将所述绑定关系存储在SDN数据库中;
将所述Fwaas数据通过所述SDN驱动发送给所述SDN控制器,以使所述SDN控制器根据所述Fwaas数据通过所述SDN数据库查询所述绑定关系,由所述绑定关系确定所述防火墙设备,根据所述Fwaas数据对所述防火墙设备进行配置;
确定所述OpenStack平台与所述防火墙设备的硬件组网,通过所述硬件转发所述OpenStack平台的访问流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110137162.XA CN112968879B (zh) | 2021-02-01 | 2021-02-01 | 一种实现防火墙管理的方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110137162.XA CN112968879B (zh) | 2021-02-01 | 2021-02-01 | 一种实现防火墙管理的方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112968879A true CN112968879A (zh) | 2021-06-15 |
| CN112968879B CN112968879B (zh) | 2022-04-12 |
Family
ID=76272689
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110137162.XA Active CN112968879B (zh) | 2021-02-01 | 2021-02-01 | 一种实现防火墙管理的方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112968879B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472799A (zh) * | 2021-07-07 | 2021-10-01 | 新华三大数据技术有限公司 | 一种基于云平台的互联管理方法、装置及设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107003860A (zh) * | 2014-08-19 | 2017-08-01 | 华为技术有限公司 | 一种软件定义网络控制器及其创建方法 |
| CN110120934A (zh) * | 2018-02-06 | 2019-08-13 | 丛林网络公司 | 应用防火墙策略的方法、软件定义网络控制器和介质 |
| US20190268262A1 (en) * | 2015-12-31 | 2019-08-29 | New H3C Technologies Co., Ltd | Controlling packets of virtual machines |
| CN111224821A (zh) * | 2019-12-31 | 2020-06-02 | 北京山石网科信息技术有限公司 | 安全服务部署系统、方法及装置 |
| CN112217902A (zh) * | 2020-10-22 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种防火墙数据同步方法及装置 |
-
2021
- 2021-02-01 CN CN202110137162.XA patent/CN112968879B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107003860A (zh) * | 2014-08-19 | 2017-08-01 | 华为技术有限公司 | 一种软件定义网络控制器及其创建方法 |
| US20190268262A1 (en) * | 2015-12-31 | 2019-08-29 | New H3C Technologies Co., Ltd | Controlling packets of virtual machines |
| CN110120934A (zh) * | 2018-02-06 | 2019-08-13 | 丛林网络公司 | 应用防火墙策略的方法、软件定义网络控制器和介质 |
| CN111224821A (zh) * | 2019-12-31 | 2020-06-02 | 北京山石网科信息技术有限公司 | 安全服务部署系统、方法及装置 |
| CN112217902A (zh) * | 2020-10-22 | 2021-01-12 | 新华三信息安全技术有限公司 | 一种防火墙数据同步方法及装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113472799A (zh) * | 2021-07-07 | 2021-10-01 | 新华三大数据技术有限公司 | 一种基于云平台的互联管理方法、装置及设备 |
| CN113472799B (zh) * | 2021-07-07 | 2023-04-07 | 新华三大数据技术有限公司 | 一种基于云平台的互联管理方法、装置及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112968879B (zh) | 2022-04-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112470436B (zh) | 用于提供多云连通性的系统、方法、以及计算机可读介质 | |
| KR101862274B1 (ko) | 클라우드 컴퓨팅 환경에서의 작업공간으로의 낮은 레이턴시 커넥션 | |
| US11336696B2 (en) | Control access to domains, servers, and content | |
| US9979605B2 (en) | Virtualization mapping | |
| US11463511B2 (en) | Model-based load balancing for network data plane | |
| US9871854B2 (en) | Interaction with a virtual network | |
| US9830179B2 (en) | Interaction with a virtual network | |
| KR101969194B1 (ko) | 네트워킹 장치 가상화를 위한 패킷 처리 오프로딩 기법 | |
| US9342412B2 (en) | Managing replication of computing nodes for provided computer networks | |
| US9710762B2 (en) | Dynamic logging | |
| US9876756B2 (en) | Network access method and device for equipment | |
| CN107770066B (zh) | 一种跨主机、跨VLAN、跨集群的Docker容器导流方法 | |
| EP3509253A1 (en) | Inter-cloud communication method and related device, inter-cloud communication configuration method and related device | |
| CN106850459B (zh) | 一种实现虚拟网络负载均衡的方法及装置 | |
| US9860170B2 (en) | Method, device, and system for packet routing in a network | |
| CN111010340B (zh) | 数据报文转发控制方法、装置及计算装置 | |
| CN111638957A (zh) | 一种集群共享式公有云负载均衡的实现方法 | |
| WO2022083207A1 (zh) | 一种基于OpenStack框架的虚拟防火墙构建方法 | |
| US10181031B2 (en) | Control device, control system, control method, and control program | |
| CN112968879B (zh) | 一种实现防火墙管理的方法及设备 | |
| CN113783781A (zh) | 使虚拟私有云之间网络互通的方法和装置 | |
| CN116155650B (zh) | 数据报文转发方法、设备及电子设备 | |
| JP7388533B2 (ja) | ゲートウェイ装置、方法及びプログラム | |
| TW201526588A (zh) | 用於本地與遠端處理時之設備控制分隔的系統及其方法 | |
| JP6215144B2 (ja) | 制御装置、制御方法、および、制御プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |