CN113489701A - 防火墙配置方法、系统、设备 - Google Patents
防火墙配置方法、系统、设备 Download PDFInfo
- Publication number
- CN113489701A CN113489701A CN202110726827.0A CN202110726827A CN113489701A CN 113489701 A CN113489701 A CN 113489701A CN 202110726827 A CN202110726827 A CN 202110726827A CN 113489701 A CN113489701 A CN 113489701A
- Authority
- CN
- China
- Prior art keywords
- business
- pool
- service
- intention
- computing unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
本申请实施例公开了一种防火墙配置方法、系统、设备和存储介质,方法包括:在将业务意图池集合中的第一业务意图池作为防火墙的防护对象的情况下,以下列方式为第一业务意图池确定第一业务防护规则的源端和/或目的端字段、业务类型字段:将从业务意图池集合中确定的第二业务意图池确定为源端和/或目的端字段的引用对象;将业务类型池作为业务类型字段的引用对象;其中,业务意图池集合中的每一业务意图池包括提供同一业务能力的至少一个计算单元;业务类型池包括至少一个协议和每一协议的至少一个端口;将第一业务意图池的第一业务防护规则转换为第一业务意图池中的每一计算单元可识别的第二业务防护规则。
Description
技术领域
本申请涉及数据安全领域,涉及但不限于一种防火墙配置方法、系统、设备和存储介质。
背景技术
相关技术中分布式防火墙的实现大多基于规则策略,规则直接关联虚拟机。规则中的匹配条件完全要求用户手工配置。部分实现提供策略组的能力。即将规则分类到策略组中,在策略组内创建防护规则,然后将策略组或防护规则关联到被防护的虚拟机。
然而由于虚拟机可能上千级别,需要为每一虚拟机配置对应的防护规则,在防护规则的数目过大时,出现业务变动时防护规则的配置维护困难,运维操作繁杂。
发明内容
有鉴于此,本申请实施例提供一种防火墙配置方法、装置、设备和存储介质。
第一方面,本申请实施例提供一种防火墙配置方法,所述方法包括:在将业务意图池集合中的第一业务意图池作为所述防火墙的防护对象的情况下,以下列方式为所述第一业务意图池确定第一业务防护规则的源端和/或目的端字段、业务类型字段:从所述业务意图池集合中确定第二业务意图池,将所述第二业务意图池确定为所述源端和/或目的端字段的引用对象;将业务类型池作为所述业务类型字段的引用对象;其中,所述业务意图池集合中的每一业务意图池包括提供同一业务能力的至少一个计算单元;所述业务类型池包括至少一个协议和每一所述协议的至少一个端口;将所述第一业务意图池的第一业务防护规则转换为所述第一业务意图池中的每一所述计算单元可识别的第二业务防护规则。
第二方面,本申请实施例提供一种防火墙配置系统,所述系统包括:管理器、全局控制器、至少一个本地控制器和每一所述本地控制器的分布式防火墙,其中:所述管理器,用于在将业务意图池集合中的第一业务意图池作为所述防火墙的防护对象的情况下,以下列方式为所述第一业务意图池确定第一业务防护规则的源端和/或目的端字段、业务类型字段:所述管理器,用于从所述业务意图池集合中确定第二业务意图池,将所述第二业务意图池确定为所述源端和/或目的端字段的引用对象;将业务类型池作为所述业务类型字段的引用对象;其中,所述业务意图池集合中的每一业务意图池包括提供同一业务能力的至少一个计算单元;所述业务类型池包括至少一个协议和每一所述协议的至少一个端口;所述全局控制器,用于将所述第一业务意图池的第一业务防护规则转换为所述第一业务意图池中的每一所述计算单元可识别的第二业务防护规则;将所述第二业务防护规则发送至每一所述计算单元所在的本地控制器;所述至少一个本地控制器,用于接收所述全局控制器发送的第二业务防护规则,将所述第二业务防护规则下发至对应的分布式防火墙。
第三方面,本申请实施例提供一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,所述处理器执行所述程序时实现本申请实施例第一方面所述防火墙配置方法中的步骤。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现本申请实施例第一方面所述防火墙配置方法中的步骤。
本申请实施例中,通过引入业务意图池,将安全防护对象由计算单元(虚拟机)变为业务,使得无需为大量的计算单元维护安全防护规则,只需为优先的业务意图池维护安全防护规则即可,大幅减少了防护规则的规模,以及配置复杂度。降低了规则的维护成本和难度。管理员无需再维护大量规则。
附图说明
图1为本申请实施例一种防火墙配置方法的流程示意图;
图2为本申请实施例一种第一业务防护规则生成方法的流程示意图;
图3为本申请实施例另一种第一业务防护规则生成方法的示意图;
图4为本申请实施例一种第二业务防护规则生成方法的示意图;
图5为本申请实施例一种业务意图池中的计算单元弹性扩展的示意图;
图6为本申请实施例一种防火墙配置系统的组成结构示意图;
图7为本申请实施例一种业务防护规则的下发方法的流程示意图;
图8为本申请实施例一种业务防护规则的拉取方法的流程示意图;
图9为本申请实施例电子设备的一种硬件实体示意图。
具体实施方式
下面结合附图和实施例对本申请的技术方案进一步详细阐述。
图1为本申请实施例一种防火墙配置方法的流程示意图,如图1所示,该方法包括:
步骤102:在将业务意图池集合中的第一业务意图池作为所述防火墙的防护对象的情况下,以下列方式为所述第一业务意图池确定第一业务防护规则的源端和/或目的端字段、业务类型字段:
其中,所述第一业务意图池为所述第一业务防护规则关联的业务意图池,关联是指定防护规则的作用范围,即配置第一业务防护规则的防护对象为第一业务意图池,关联关系记录在数据库或配置文件中,第一业务防护规则最终将下发给这些被防护的对象。需要说明的是,管理员在创建第一业务防护规则时可指定关联的业务意图池,也可创建之后再指定或编辑,还可在创建第一业务防护规则前即指定关联的业务意图池。
步骤104:从所述业务意图池集合中确定第二业务意图池,将所述第二业务意图池确定为所述源端和/或目的端字段的引用对象;将业务类型池作为所述业务类型字段的引用对象;其中,所述业务意图池集合中的每一业务意图池包括提供同一业务能力的至少一个计算单元;所述业务类型池包括至少一个协议和每一所述协议的至少一个端口;
其中,源端字段可引用一或多个管理员已创建的业务意图池(也支持指定IP地址、IP网络或IP地址范围)。创建或编辑第一业务防护规则时可以由管理员选择一或多个已创建的业务意图池作为源端字段。
同理,目的端字段可引用一或多个管理员已创建的业务意图池(也支持指定IP地址、IP网络或IP地址范围)。创建或编辑第一业务防护规则时可以由管理员选择一或多个已创建的业务意图池作为目的端字段。同一个业务意图池可为同一第一业务防护规则的源端字段和目的端字段。
业务类型字段可引用一个业务类型池。创建或编辑第一业务防护规则时由管理员选择一个已创建的业务类型池作为业务类型字段。
进一步地,所述第一业务防护规则还可以包括action字段和enable字段;action字段可以指定第一业务防护规则匹配数据包后对数据的处理方式。action字段的可选值有:drop(丢包)、deny(拒绝)和permit(放行)。可以由管理员在创建或编辑第一业务防护规则时选择配置。enable字段表示是否启用该第一业务防护规则。可选值有:true(启用)和false(禁用),需要说明的是,enable字段为false时,还可以表示为disable。可以由管理员在创建或编辑第一业务防护规则时选择配置。
由于每一业务意图池中包括同一业务能力的至少一个计算单元,每一计算单元可作为分布式防火墙中每一防火墙的防护对象;所述计算单元可以是虚拟机(VirtualMachine,VM)。
图2为本申请实施例一种第一业务防护规则生成方法的流程示意图,参见图2,业务意图池201可以是第一业务防护规则202的防护对象,所述业务意图池201中包括至少一个VM2011;业务意图池201还可以是第一业务防护规则202的源端字段2021和目的端字段2022的引用对象,业务类型池203可以是第一业务防护规则202的业务类型字段2023的引用对象,所述业务类型池203中包括至少一个协议端口组2031,所述协议端口组可表示为Protocl&Port;所述第一业务规则202中还包括action字段2024和enable字段2025。
图3为本申请实施例另一种第一业务防护规则生成方法的示意图,参见图3,业务意图池1可以是第一业务防护规则301的防护对象,所述业务意图池1中包括三个VM:VM4、VM5和VM6;业务意图池2可以是第一业务防护规则301的源端字段3011的引用对象,所述业务意图池2中包括三个VM:VM1、VM2和VM3;业务意图池3可以是第一业务防护规则301的目的端字段3012的引用对象,所述业务意图池3中包括三个VM:VM7、VM8和VM9;业务类型池1可以是第一业务防护规则301的业务类型字段3013的引用对象;所述业务类型池1中包括两个协议端口组:协议1&端口1,协议2&端口2;所述第一业务规则301中还包括action字段3014和enable字段3015。
需要说明的是,第二业务意图池和业务类型池选取不同,则创建出的第一业务防护规则也不同,因此,第一业务意图池关联的第一业务防护规则可以有一个,也可以有多个。
步骤106:将所述第一业务意图池的第一业务防护规则转换为所述第一业务意图池中的每一所述计算单元可识别的第二业务防护规则。
其中,由于配置的第一业务防护规则需要转换为分布式防火墙可识别的底层防护规则才能生效,因此,可以将第一业务防护规则转换为第一业务意图池中的每一计算单元可识别的第二业务防护规则,以使每一计算单元对象的分布式防火墙可识别业务防护规则。
其中,所述第二业务防护规则又可以称为底层防护规则。
本申请实施例中,通过引入业务意图池,将安全防护对象由计算单元(虚拟机)变为业务,使得无需为大量的计算单元维护安全防护规则,只需为优先的业务意图池维护安全防护规则即可,大幅减少了防护规则的规模,以及配置复杂度。降低了规则的维护成本和难度。管理员无需再维护大量规则。
本申请实施例还提供一种防火墙配置方法,所述方法包括以下步骤:
步骤S202:为至少一个业务能力中每一所述业务能力创建对应的业务模板镜像;
步骤S204:将至少一个计算单元作为每一所述业务模板镜像的业务虚拟机实例;
步骤S206:将同一所述业务能力对应的至少一个计算单元确定为一个所述业务意图池;
其中,业务意图池实操时表现为一个操作对象,代表用户的一个业务系统。创建业务意图池时需指定业务模板镜像,此业务模板镜像包含了提供业务的应用系统,可以由业务管理员事先创建好。业务模板镜像创建后将根据配置初始化创建指定数目的业务VM实例集;同一业务能力的至少一个计算单元(即指定数目的业务VM实例集)可以确定为一个业务意图池。
业务意图池可以是用户依据自身实际业务创建的逻辑池(或称业务管理逻辑单元),业务意图池中包含承担同一业务能力的VM组;业务意图池中VM数可根据业务负载情况自动或手动新增或缩减VM实例。比如:提供财务应用的VM集群组成一个业务意图池;提供商品展示的VM集群组成一个业务意图池,当搞活动时业务压力增大,VM集群将自动扩展。此信息需管理员在创建第一业务防护规则前手工配置创建。
步骤S208:将至少一个所述业务意图池确定为所述业务意图池集合;
步骤S210:为至少一个业务类型中每一所述业务类型配置至少一个协议和每一所述协议的至少一个端口;
步骤S212:将所述至少一个业务类型的至少一个协议和每一所述协议的至少一个端口确定为所述业务类型池;
其中,业务类型池实操时表现为一个操作对象,代表一组需允许或禁止的应用,应用表现为协议和端口。即配置业务类型名称、业务使用的协议,如:传输控制协议(Transmission Control Protocol,TCP)和用户数据报协议(User Datagram Protocol,UDP);业务对外提供服务的端口,如:80端口、22端口和443端口。一个业务类型池中可包含多个应用。一个业务类型池中包含一个TCP协议的80端口(即web(全球广域网,World WideWeb)服务)、一个TCP协议的22端口(即ssh(安全外壳协议,Secure Shell)服务)。
业务类型池是对业务类型的管理,是用户需防护或放通的业务类型集合,每个业务类型由若干个Protocol(业务协议)、Port(端口)组成;此信息需要管理员在创建规则前手工配置创建,一个业务类型池包含一或多个协议-端口对。
步骤S214:在将业务意图池集合中的第一业务意图池作为所述防火墙的防护对象的情况下,以下列方式为所述第一业务意图池确定第一业务防护规则的源端和/或目的端字段、业务类型字段:
步骤S216:从所述业务意图池集合中确定第二业务意图池,将所述第二业务意图池确定为所述源端和/或目的端字段的引用对象;将业务类型池作为所述业务类型字段的引用对象;其中,所述业务意图池集合中的每一业务意图池包括提供同一业务能力的至少一个计算单元;所述业务类型池包括至少一个协议和每一所述协议的至少一个端口;
步骤S218:根据所述源端字段的引用对象中每一所述计算单元的IP地址,得到所述源端字段对应的IP列表;
其中,可以遍历源端字段引用的各业务意图池中的VM列表,获取VM列表中所有VM的网际互连协议(Internet Protocol,IP)地址,得到所述源端字段对应的IP列表。
步骤S220:根据所述目的端字段的引用对象中每一所述计算单元的IP地址,得到所述目的端字段对应的IP列表;
其中,可以遍历目的端字段引用的各业务意图池中的VM列表,获取VM列表中所有VM的网际互连协议(Internet Protocol,IP)地址,得到所述目的端字段对应的IP列表。
步骤S222:根据所述业务类型字段的引用对象中的至少一个协议和每一所述协议的至少一个端口,得到所述业务类型字段对应的协议和端口列表;所述协议和端口列表包括多个协议端口组;每一所述协议端口组包括所述协议和对应协议的每一所述端口;
其中,可以根据业务类型字段引用的业务类型池中的协议和端口,计算出实际的协议和端口列表,每个协议和端口组拆解成一条新的第二业务防护规则。
步骤S224:根据所述源端字段对应的IP列表、所述目的端字段对应的IP列表和所述业务类型字段对应的每一所述协议端口组,生成每一所述计算单元可识别的第二业务防护规则;
其中,由于可以将每个协议和端口组拆解成一条新的第二业务防护规则发送给每一计算单元,因此,第二业务防护规则的数目可以为与第一业务防护规则关联的第一业务意图池中VM的数目,以及业务类型池中协议端口组的数目之间的乘积。
图4为本申请实施例一种第二业务防护规则生成方法的示意图,图4中的第二业务防护规则可以是由图3中的第一业务防护规则转换而来的,参见图4,根据所述源端字段的引用对象(业务意图池2)中每一所述计算单元(VM1、VM2和VM3)的IP地址,得到所述源端字段对应的IP列表401:VM1-IP,VM2-IP和VM3-IP;根据所述目的端字段的引用对象(业务意图池3)中每一所述计算单元(VM7、VM8和VM9)的IP地址,得到所述目的端字段对应的IP列表402:VM7-IP,VM8-IP和VM9-IP;根据所述业务类型字段的引用对象(业务类型池1)中的至少一个协议和每一所述协议的至少一个端口,得到所述业务类型字段对应的协议和端口列表;所述协议和端口列表包括第一个协议端口组403(协议1&端口1)和第二协议端口组404(协议2&端口2);根据所述源端字段对应的IP列表、所述目的端字段对应的IP列表和所述业务类型字段对应的每一所述协议端口组,生成每一所述计算单元可识别的第二业务防护规则。
其中,由于可以将每个协议和端口组拆解成一条新的第二业务防护规则发送给每一计算单元,因此,第二业务防护规则的数目可以为与第一业务防护规则关联的业务意图池1中VM的数目3(VM4、VM5和VM6),以及业务类型池中协议端口组的数目2之间的乘积,即第二业务防护规则的数目为6。
步骤S226:确定与所述第一业务防护规则关联的至少一个业务意图池;
步骤S228:确定所述第一业务防护规则和关联的每一所述业务意图池之间的对应关联关系;
步骤S230:将至少一个关联关系存储在数据库中;
步骤S232:响应于所述第一业务防护规则的分发指令被触发,根据所述数据库中的每一所述关联关系,将所述第一业务防护规则转换后的第二业务防护规则分发至对应业务意图池中的每一计算单元。
其中,可以遍历第一业务防护规则关联的第一业务意图池的VM列表,然后将计算出的第二业务防护规则下发给VM列表中各VM网络前端的分布式防火墙。
本申请实施例中,通过根据业务能力创建业务意图池,根据业务类型配置协议和端口,以创建业务类型池,从而可以实现防护对象的业务意图化,大大减少了防护规则的数目;通过业务防护规则各字段引用已创建的业务意图池和业务类型池,从而将业务防护规则和业务意图池和协议、端口联系起来,实现业务防护规则和业务意图池的联动;再通过将业务防护规则和其防护对象的关联关系存储在数据库中,从而可以更高效地将业务防护规则下发至防护对象,提高数据安全性。
本申请实施例还提供一种防火墙配置方法,所述方法包括以下步骤:
步骤S302:在将业务意图池集合中的第一业务意图池作为所述防火墙的防护对象的情况下,以下列方式为所述第一业务意图池确定第一业务防护规则的源端和/或目的端字段、业务类型字段:
步骤S304:从所述业务意图池集合中确定第二业务意图池,将所述第二业务意图池确定为所述源端和/或目的端字段的引用对象;将业务类型池作为所述业务类型字段的引用对象;其中,所述业务意图池集合中的每一业务意图池包括提供同一业务能力的至少一个计算单元;所述业务类型池包括至少一个协议和每一所述协议的至少一个端口;
步骤S306:将所述第一业务意图池的第一业务防护规则转换为所述第一业务意图池中的每一所述计算单元可识别的第二业务防护规则;
步骤S308:在以下至少一种情况下,对所述第一业务防护规则进行更新:
接收到所述第一业务防护规则的创建、编辑和删除指令中的至少一种;
所述防护对象、所述源端的引用对象、所述目的端字段的引用对象中任一的计算单元发生增删;
其中,所述防护对象、所述源端的引用对象和所述目的端字段的引用对象均为业务意图池,在一个实施例中,可以获取所述业务意图池的至少部分计算单元的负载情况;根据所述至少部分计算单元的负载情况,确定所述至少部分计算单元的平均负载;在所述至少部分计算单元的平均负载大于第一预设阈值的情况下,向所述业务意图池中增加至少一个计算单元;在所述至少部分计算单元的平均负载小于第二预设阈值的情况下,从所述业务意图池中销毁至少一个计算单元;所述第二预设阈值不大于所述第一预设阈值。
在一个实施例中,可以监控业务意图池中各VM示例的CPU(Central ProcessingUnit,中央处理器)、内存、流量、存储负载情况,计算各VM的平均负载值,当超过指定阈值(如第一预设阈值)时自动为业务意图池拉起新的VM实例,反之当低于指定阈值(如第二预设阈值)时销毁VM实例。
所述源端和/或目的端字段的引用对象中的计算单元的IP地址发生变更;
所述业务类型池中的协议和/或端口发生变更。
需要说明的是,在对所述第一业务防护规则进行更新的情况下,由于所述第二业务防护规则由所述第一业务防护规则转换而来,因此,第二业务防护规则也对应发生更新。
步骤S310:在向所述防护对象中增加计算单元的情况下,将所述第二业务防护规则发送至增加的计算单元;
其中,若第一业务意图池作为第一业务防护规则的关联对象(即防护对象),第一业务意图池弹性扩增VM时,将查找第一业务意图池关联的所有第一业务防护规则,然后将这些第一业务防护规则转换后的第二业务防护规则下发给新增的VM实例。
图5为本申请实施例一种业务意图池中的计算单元弹性扩展的示意图,参见图5,第一业务意图池可以是业务意图池A,业务意图池A关联了三个第一业务防护规则,分别是规则1至规则3,规则1的源端字段的引用对象为业务意图池A,目的端字段的引用对象为业务意图池B,业务类型字段包括ssh协议和icmp协议(Internet Control MessageProtocol,控制报文协议)等;action字段为permit,enable字段为true,规则1可以表示允许业务意图池A中的VM访问业务意图池B的ssh、icmp等服务。
规则2的源端字段的引用对象为业务意图池A,目的端字段的引用对象为业务意图池B,业务类型字段为all;action字段为deny,enable字段为true,规则2可以表示禁止业务意图池A中VM访问业务意图池B中任何服务。
规则3的源端字段的引用对象为业务意图池A,目的端字段的引用对象为业务意图池C,业务类型字段为all;action字段为deny,enable字段为true,规则3可以表示禁止业务意图池A中VM访问业务意图池C中任何服务。则根据规则1、规则2、规则3计算出第二业务防护规则后,会分别下发给业务意图池A的VM1、VM2、VM3。
当业务意图池A中业务自动或手动扩张新增VM时,则此三条规则将自动应用到新增VM。无需手动为新增VM配置安全规则。
而业务意图池B、业务意图池C只是作为第一业务防护规则的目的端字段的引用对象,则只会用来计算第二业务防护规则的目的端字段对应的IP列表(即将业务意图池转换为对应VM的IP列表)。
步骤S312:在向所述源端和/或目的端字段的引用对象中增加计算单元的情况下,根据所述增加的计算单元的IP地址,对所述源端和/或目的端字段对应的IP列表进行更新;
其中,若业务意图池作为第一业务防护规则的源端字段和/或目的端字段的引用对象,则主要用于计算第二业务防护规则的源端字段和/或目的端字段对应的IP列表;若业务意图池作为第一业务防护规则的源端字段和/或目的端字段被引用,其弹性扩增VM时,将查找所有引用此业务意图池的所有第一业务防护规则,然后更新第一业务防护规则的关联对象的第二业务防护规则。
步骤S314:利用更新后的所述源端和/或目的端字段对应的IP列表和每一所述协议端口组,对所述防护对象的每一所述计算单元可识别的第二业务防护规则进行更新;将所述更新后的第二业务规则发送至所述防护对象的每一所述计算单元;
步骤S316:在所述源端和/或目的端字段的引用对象的计算单元的IP地址发生变更的情况下,根据所述源端和/或目的端字段的引用对象的计算单元变更后的IP地址,对所述源端和/或目的端字段对应的IP列表进行更新;
其中,在所述源端和/或目的端字段的引用对象的VM的IP地址发生变更时,可以通过事件告知系统,系统查找引用此VM所属业务意图池的所有业务防护规则,然后系统根据第一业务防护规则自动计算第二业务防护规则并更新生效。
在一个实施例中,还可以在所述防护对象的VM的IP地址发生变更时,通过事件告知系统,系统查找引用或关联此VM所属业务意图池的所有业务防护规则,然后系统根据第一业务防护规则自动计算第二业务防护规则并更新生效。
步骤S318:利用更新后的所述源端和/或目的端字段对应的IP列表和每一所述协议端口组,对所述防护对象的每一所述计算单元可识别的第二业务防护规则进行更新;将所述更新后的第二业务规则发送至所述防护对象的每一所述计算单元;
步骤S320:在所述业务类型池中的协议和/或端口发生变更的情况下,根据所述业务类型池中的更新后的协议和/或端口,对所述业务类型字段对应的协议和端口列表进行更新;所述协议和端口列表包括多个协议端口组;
步骤S322:利用源端和/或目的端字段对应的IP列表和更新后的每一所述协议端口组,对所述第二业务防护规则进行更新;将所述更新后的第二业务规则发送至所述防护对象的每一所述计算单元。
本申请实施例中,提高了防护规则的业务自适应性。当业务意图池负载过高时,可自动新增VM实例。新增VM自动应用业务意图池的防护规则,无需变动已有防护配置。变更、删除业务意图池中VM时亦同。实现业务弹性伸缩和安全规则联动。安全规则只配置一次,业务弹性伸缩自动应用安全规则。
相关技术中分布式防火墙的实现大多基于规则策略,规则直接关联VM。规则中的匹配条件完全要求用户手工配置。部分实现提供策略组的能力。即将规则分类到策略组中,在策略组内创建防护规则(又可以称为业务防护规则),然后将策略组或规则关联到被防护的虚拟机。然而此类方法存在以下问题:规则内容是静态的,无法适配业务的动态变化;策略组或规则防护关联的虚拟机对象是静态的,无法适配业务动态变化;策略组或规则数目过大时,出现业务变动时防护配置维护困难;所有配置均为静态,过于依赖手工配置,运维操作繁杂。
当今大部分应用为了动态负载、弹性伸缩、高可用,均实现了业务实例的集群化,通常表现为多个提供同一业务的系列VM组成一个集群。而业务之间通常存在安全访问控制。因为业务是弹性的,而防护规则又是独立于业务配置的。所以每次业务新增VM实例时,都需要现时的为VM新增防护规则。
针对此场景,本申请实施例将属于同一业务的集群划为一个业务意图池。然后,安全防护规则作用于业务意图池。当业务意图池中弹性扩张VM时,新的VM将自动应用业务意图池已配置的安全防护规则。而无需再现时为VM配置安全防护规则。
在一个实施例中,针对分布式防火墙规则配置维护繁杂性,安全和业务分离,业务不友好性,提出了以下解决办法:
将防护对象由虚拟机变为用户业务意图池,业务意图池包含了提供同一业务能力的系列VM;业务意图池可根据业务负载情况弹性增减VM。
将防护规则配置中的协议、端口信息变为业务类型池,业务类型池中包含了具体的协议、端口信息列表;
将规则内容中的源端/目的端和流量类型(又可以称为业务类型)业务意图化,分别关联用户业务意图池和业务类型池;
将防护规则关联对象用户业务意图化,即关联用户业务意图池;
基于用户业务意图,自动计算各虚拟机的详细防护规则并自动配置下发。
当用户业务弹性伸缩时,防护规则自动应用到新增的业务实例。
本申请实施例的实现效果如下:
通过防护对象的业务意图化,大大减少了防护规则的数目,可由上千级别(VM数规模)降为几十级别(业务类型规模)。
提高了防护规则的业务自适应性。当业务意图池负载过高时,可自动新增VM实例。新增VM自动应用业务意图池的防护规则,无需变动已有防护配置。变更、删除业务意图池中VM时亦同。
降低了规则的维护成本和难度。管理员无需再维护大量规则。
实现业务弹性伸缩和安全规则联动。安全规则只配置一次,业务弹性伸缩自动应用安全规则。
通过引入业务意图池,将安全防护的对象由VM变为业务。使得无需用户为大量的VM维护安全防护规则,只需为有限的业务意图池维护防护规则即可。大幅减少了防护规则的规模,以及配置复杂度。
业务意图池新增VM成员时,VM自动应用业务意图池已有的安全防护策略。无需为新增VM显示配置一遍安全防护规则或者变更已有防护规则。移除亦同。降低了业务规模变动时安全配置的维护成本,提高了时效性。
当VM的IP地址变更时,通过事件告知系统,系统查找关联或引用此VM所属业务意图池的所有防护规则。然后系统根据找到防护规则自动计算底层防护规则并更新生效。期间用户无需变更任何已有防护规则,从而降低了业务变动的安全维护成本。
通过业务意图池和安全防护规则的绑定,实现了业务弹性伸缩和安全防护的联动。使得用户可聚焦于业务弹性伸缩本身。
本方案除了应用在云化的VM环境,还可用于物理机器和物理分布式防火墙的场景。原理类似,重在对建立业务资源池和物理机器的映射关系。
本方案中的业务意图池,也可通过业务组、业务标签等资源管理分组的方式来替代实现。但业务组、业务标签主要是用于标记VM所属的业务,不具备自动伸缩的能力。需管理员创建好VM后,然后将其加入到业务组或打上业务标签。业务组、业务标签和业务意图池一样,可用于被防护规则的源端、目的端引用以及被规则关联。当前业务组、业务标签的成员发生变更,或成员的IP地址变更,处理方式同业务意图池一样。业务组、业务标签的作用就是对VM进行业务分组,但不具备业务意图池的自动部署,自动伸缩能力。业务规则依旧由源端、目的端、业务类型、action、enable组成,业务组/业务标签可以被业务防护规则的源端、目的端引用,也可被业务防护规则关联。
业务意图池中的VM数可自动或手动增减。
基于前述的实施例,本申请实施例提供一种防火墙配置系统,该系统所包括的各组件,可以通过电子设备中的处理器来实现;当然也可通过具体的逻辑电路实现;在实施的过程中,处理器可以为中央处理器(CPU,Central Processing Unit)、微处理器(MPU,Microprocessor Unit)、数字信号处理器(DSP,Digital Signal Processing)或现场可编程门阵列(FPGA,Field Programmable Gate Array)等。
图6为本申请实施例一种防火墙配置系统的组成结构示意图,参见图6,所述系统包括控制节点600、管理器601、全局控制器602、至少一个本地控制器603和每一所述本地控制器603的分布式防火墙604,所述控制节点600可以理解为运行控制相关组件(可以包括管理器601和全局控制器602)的物理主机,所述计算节点605可以理解为运行本地控制器603上的虚拟机的物理主机,其中:
所述管理器601,用于在将业务意图池集合中的第一业务意图池作为所述防火墙的防护对象的情况下,以下列方式为所述第一业务意图池确定第一业务防护规则的源端和/或目的端字段、业务类型字段:
所述管理器601,用于从所述业务意图池集合中确定第二业务意图池,将所述第二业务意图池确定为所述源端和/或目的端字段的引用对象;将业务类型池作为所述业务类型字段的引用对象;其中,所述业务意图池集合中的每一业务意图池包括提供同一业务能力的至少一个计算单元;所述业务类型池包括至少一个协议和每一所述协议的至少一个端口;
其中,管理器601负责业务意图池、业务类型池、业务防护规则等的生命周期管理。包括业务意图池中VM自动伸缩;业务类型池中业务类型成员的增删;业务防护规则的增、删、改。
所述全局控制器602,用于将所述第一业务意图池的第一业务防护规则转换为所述第一业务意图池中的每一所述计算单元可识别的第二业务防护规则;将所述第二业务防护规则发送至每一所述计算单元所在的本地控制器603;
所述全局控制器602,负责将业务防护规则转换为底层防护规则分发到对应本地控制器603,以及相关事件的响应。相关事件包括业务意图池中新增、移除VM,业务意图池中VM的IP地址发生变更。
所述至少一个本地控制器603,用于接收所述全局控制器602发送的第二业务防护规则,将所述第二业务防护规则下发至对应的分布式防火墙604。
所述本地控制器603,负责将分发到本地的底层防护规则下发,或者主动从全局控制器拉取底层防护规则;所述分布式防火墙,提供分布式防火墙功能的组件。
在一个实施例中,所述本地控制器603,还用于在所述本地控制器603中的目标计算单元连接网络时,向所述全局控制器602发送第一业务防护规则获取请求;
所述全局控制器602,还用于确定与所述目标计算单元所属的业务意图池关联的目标第一业务防护规则;将所述目标第一业务防护规则转换为所述目标计算单元可识别的目标第二业务防护规则;将所述目标第二业务防护规则发送至所述本地控制器603;
所述本地控制器603,用于接收所述全局控制器602发送的目标第二业务防护规则,将所述目标第二业务防护规则下发至对应的分布式防火墙604。
在一个实施例中,所述管理器601,还用于为至少一个业务能力中每一所述业务能力创建对应的业务模板镜像;将至少一个计算单元作为每一所述业务模板镜像的业务虚拟机实例;将同一所述业务能力对应的至少一个计算单元确定为一个所述业务意图池;将至少一个所述业务意图池确定为所述业务意图池集合。
在一个实施例中,所述管理器601,还用于为至少一个业务类型中每一所述业务类型配置至少一个协议和每一所述协议的至少一个端口;将所述至少一个业务类型的至少一个协议和每一所述协议的至少一个端口确定为所述业务类型池。
在一个实施例中,所述全局控制器602,用于根据所述源端字段的引用对象中每一所述计算单元的IP地址,得到所述源端字段对应的IP列表;根据所述目的端字段的引用对象中每一所述计算单元的IP地址,得到所述目的端字段对应的IP列表;根据所述业务类型字段的引用对象中的至少一个协议和每一所述协议的至少一个端口,得到所述业务类型字段对应的协议和端口列表;所述协议和端口列表包括多个协议端口组;每一所述协议端口组包括所述协议和对应协议的每一所述端口;根据所述源端字段对应的IP列表、所述目的端字段对应的IP列表和所述业务类型字段对应的每一所述协议端口组,生成每一所述计算单元可识别的第二业务防护规则。
在一个实施例中,所述管理器601,还用于确定与所述第一业务防护规则关联的至少一个业务意图池;确定所述第一业务防护规则和关联的每一所述业务意图池之间的对应关联关系;将至少一个关联关系存储在数据库中;
所述全局控制器602,还用于响应于所述第一业务防护规则的分发指令被触发,根据所述数据库中的每一所述关联关系,将所述第一业务防护规则转换后的第二业务防护规则分发至对应业务意图池中的每一计算单元。
在一个实施例中,所述管理器601在以下至少一种情况下,对所述第一业务防护规则进行更新:接收到所述第一业务防护规则的创建、编辑和删除指令中的至少一种;所述防护对象、所述源端的引用对象、所述目的端字段的引用对象中任一的计算单元发生增删;所述源端和/或目的端字段的引用对象中的计算单元的IP地址发生变更;所述业务类型池中的协议和/或端口发生变更。
在一个实施例中,所述管理器601用于获取所述业务意图池的至少部分计算单元的负载情况;根据所述至少部分计算单元的负载情况,确定所述至少部分计算单元的平均负载;在所述至少部分计算单元的平均负载大于第一预设阈值的情况下,向所述业务意图池中增加至少一个计算单元;在所述至少部分计算单元的平均负载小于第二预设阈值的情况下,从所述业务意图池中销毁至少一个计算单元;所述第二预设阈值不大于所述第一预设阈值。
在一个实施例中,所述全局管理器602用于在向所述防护对象中增加计算单元的情况下,将所述第二业务防护规则发送至增加的计算单元。
在一个实施例中,所述管理器601,用于在向所述源端和/或目的端字段的引用对象中增加计算单元的情况下,根据所述增加的计算单元的IP地址,对所述源端和/或目的端字段对应的IP列表进行更新;所述全局管理器602,用于利用更新后的所述源端和/或目的端字段对应的IP列表和每一所述协议端口组,对所述防护对象的每一所述计算单元可识别的第二业务防护规则进行更新;所述全局管理器602,用于将所述更新后的第二业务规则发送至所述防护对象的每一所述计算单元。
在一个实施例,所述管理器601,用于在所述源端和/或目的端字段的引用对象的计算单元的IP地址发生变更的情况下,根据所述源端和/或目的端字段的引用对象的计算单元变更后的IP地址,对所述源端和/或目的端字段对应的IP列表进行更新;
所述全局管理器602,用于利用更新后的所述源端和/或目的端字段对应的IP列表和每一所述协议端口组,对所述防护对象的每一所述计算单元可识别的第二业务防护规则进行更新。
在一个实施例中,所述管理器601,用于在所述业务类型池中的协议和/或端口发生变更的情况下,根据所述业务类型池中的更新后的协议和/或端口,对所述业务类型字段对应的协议和端口列表进行更新;所述协议和端口列表包括多个协议端口组;
所述全局管理器602,用于利用源端和/或目的端字段对应的IP列表和更新后的每一所述协议端口组,对所述第二业务防护规则进行更新。
图7为本申请实施例一种业务防护规则的下发方法的流程示意图,参见图7,所述方法包括以下步骤:
步骤702:管理器71接收到业务防护规则的更新和分发指令;
其中,业务防护规则又称业务规则,创建、编辑业务防护规则,业务防护规则引用的业务意图池有VM增减或VM的IP变动,业务防护规则关联的业务意图池成员有增减(自动或手动),均会触发管理器通知全局控制器做业务规则自动计算、分发。
步骤704:所述全局控制器72接收所述管理器71发送的业务防护规则;
步骤706:所述全局控制器72根据所述业务防护规则计算出底层防护规则;
其中,所述全局控制器72根据计算出的源端和/或目的端字段的引用对象的IP列表,业务类型字段的引用对象的协议和端口列表,将业务防护规则转换为底层防护规则。
步骤708:所述全局控制器72根据关联业务意图池的VM计算分发目标接口;
其中,业务意图池即为业务资源池,各VM所在的本地控制器即为各VM的运行节点。
步骤710:分发底层防护规则;
其中,可以将转换后的底层防护规则分发到关联的业务资源池的VM所在的本地控制器73;
步骤712:下发配置;
其中,VM所在的本地控制器73接受到底层防护规则后,将配置的底层防护规则下发到VM连接到分布式防火墙74。
需要说明的是,通过将业务防护规则转换为分布式防火墙74可接收的底层防护规则,再下发配置至分布式防火墙74,从而可进行数据安全防护。
图8为本申请实施例一种业务防护规则的拉取方法的流程示意图,参见图8,所述方法包括以下步骤:
步骤802:本地控制器上的VM连接网络;
其中,本地控制器73上的VM可以连接网络;
步骤804:本地控制器拉取业务防护规则;
其中,VM连接网络触发本地控制器73进行VM相关的业务防护规则拉取,由本地控制器73向全局控制器72发起防护规则请求;
步骤806:全局控制器查找VM关联的业务防护规则;
其中,全局控制器72接受到VM的防护规则请求后,查找VM所属业务意图池关联的业务防护规则。经转换为底层防护规则。
步骤808:全局控制器将底层防护规则返回给本地控制器;
其中,所述全局控制器72将转换后的底层防护规则返回给本地控制器73。
步骤810:本地控制器下发配置;
其中,本地控制器73接受到配置的底层防护规则,将所述底层防护规则下发到VM连接的分布式防火墙71。
需要说明的是,本申请实施例中,如果以软件功能模块的形式实现上述的数据管理方法,并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得电子设备(可以是手机、平板电脑、台式机、个人数字助理、导航仪、数字电话、视频电话、电视机、传感设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本申请实施例不限制于任何特定的硬件和软件结合。
以上系统实施例的描述,与上述方法实施例的描述是类似的,具有同方法实施例相似的有益效果。对于本申请装置实施例中未披露的技术细节,请参照本申请方法实施例的描述而理解。
对应地,本申请实施例提供一种电子设备,图9为本申请实施例电子设备的一种硬件实体示意图,如图9所示,该电子设备900的硬件实体包括:包括存储器901和处理器902,所述存储器901存储有可在处理器902上运行的计算机程序,所述处理器902执行所述程序时实现上述实施例防火墙配置方法中的步骤。
存储器901配置为存储由处理器902可执行的指令和应用,还可以缓存待处理器902以及通话设备900中各模块待处理或已经处理的数据(例如,图像数据、音频数据、语音通信数据和视频通信数据),可以通过闪存(FLASH)或随机访问存储器(Random AccessMemory,RAM)实现。
对应地,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述实施例中提供的防火墙配置方法中的步骤。
这里需要指出的是:以上存储介质和设备实施例的描述,与上述方法实施例的描述是类似的,具有同设备实施例相似的有益效果。对于本申请存储介质和方法实施例中未披露的技术细节,请参照本申请设备实施例的描述而理解。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。应理解,在本申请的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
在本申请所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元;既可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、只读存储器(Read Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的介质。或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得计算机设备(可以是手机、平板电脑、台式机、个人数字助理、导航仪、数字电话、视频电话、电视机、传感设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、磁碟或者光盘等各种可以存储程序代码的介质。
本申请所提供的几个方法实施例中所揭露的方法,在不冲突的情况下可以任意组合,得到新的方法实施例。本申请所提供的几个产品实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的产品实施例。本申请所提供的几个方法或设备实施例中所揭露的特征,在不冲突的情况下可以任意组合,得到新的方法实施例或设备实施例。
以上所述,仅为本申请的实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (15)
1.一种防火墙配置方法,其特征在于,包括:
在将业务意图池集合中的第一业务意图池作为所述防火墙的防护对象的情况下,以下列方式为所述第一业务意图池确定第一业务防护规则的源端和/或目的端字段、业务类型字段:
从所述业务意图池集合中确定第二业务意图池,将所述第二业务意图池确定为所述源端和/或目的端字段的引用对象;将业务类型池作为所述业务类型字段的引用对象;其中,所述业务意图池集合中的每一业务意图池包括提供同一业务能力的至少一个计算单元;所述业务类型池包括至少一个协议和每一所述协议的至少一个端口;
将所述第一业务意图池的第一业务防护规则转换为所述第一业务意图池中的每一所述计算单元可识别的第二业务防护规则。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
为至少一个业务能力中每一所述业务能力创建对应的业务模板镜像;
将至少一个计算单元作为每一所述业务模板镜像的业务虚拟机实例;
将同一所述业务能力对应的至少一个计算单元确定为一个所述业务意图池;
将至少一个所述业务意图池确定为所述业务意图池集合。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
为至少一个业务类型中每一所述业务类型配置至少一个协议和每一所述协议的至少一个端口;
将所述至少一个业务类型的至少一个协议和每一所述协议的至少一个端口确定为所述业务类型池。
4.根据权利要求1所述的方法,其特征在于,所述将所述第一业务意图池的第一业务防护规则转换为所述第一业务意图池中的每一所述计算单元可识别的第二业务防护规则,包括:
根据所述源端字段的引用对象中每一所述计算单元的IP地址,得到所述源端字段对应的IP列表;
根据所述目的端字段的引用对象中每一所述计算单元的IP地址,得到所述目的端字段对应的IP列表;
根据所述业务类型字段的引用对象中的至少一个协议和每一所述协议的至少一个端口,得到所述业务类型字段对应的协议和端口列表;所述协议和端口列表包括多个协议端口组;每一所述协议端口组包括所述协议和对应协议的每一所述端口;
根据所述源端字段对应的IP列表、所述目的端字段对应的IP列表和所述业务类型字段对应的每一所述协议端口组,生成每一所述计算单元可识别的第二业务防护规则。
5.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
确定与所述第一业务防护规则关联的至少一个业务意图池;
确定所述第一业务防护规则和关联的每一所述业务意图池之间的对应关联关系;
将至少一个关联关系存储在数据库中;
响应于所述第一业务防护规则的分发指令被触发,根据所述数据库中的每一所述关联关系,将所述第一业务防护规则转换后的第二业务防护规则分发至对应业务意图池中的每一计算单元。
6.根据权利要求1至4中任一项所述的方法,其特征在于,所述方法还包括:
在以下至少一种情况下,对所述第一业务防护规则进行更新:
接收到所述第一业务防护规则的创建、编辑和删除指令中的至少一种;
所述防护对象、所述源端的引用对象、所述目的端字段的引用对象中任一的计算单元发生增删;
所述源端和/或目的端字段的引用对象中的计算单元的IP地址发生变更;
所述业务类型池中的协议和/或端口发生变更。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
获取所述业务意图池的至少部分计算单元的负载情况;
根据所述至少部分计算单元的负载情况,确定所述至少部分计算单元的平均负载;
在所述至少部分计算单元的平均负载大于第一预设阈值的情况下,向所述业务意图池中增加至少一个计算单元;
在所述至少部分计算单元的平均负载小于第二预设阈值的情况下,从所述业务意图池中销毁至少一个计算单元;所述第二预设阈值不大于所述第一预设阈值。
8.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在向所述防护对象中增加计算单元的情况下,将所述第二业务防护规则发送至增加的计算单元。
9.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在向所述源端和/或目的端字段的引用对象中增加计算单元的情况下,根据所述增加的计算单元的IP地址,对所述源端和/或目的端字段对应的IP列表进行更新;
利用更新后的所述源端和/或目的端字段对应的IP列表和每一所述协议端口组,对所述防护对象的每一所述计算单元可识别的第二业务防护规则进行更新;
将所述更新后的第二业务规则发送至所述防护对象的每一所述计算单元。
10.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在所述源端和/或目的端字段的引用对象的计算单元的IP地址发生变更的情况下,根据所述源端和/或目的端字段的引用对象的计算单元变更后的IP地址,对所述源端和/或目的端字段对应的IP列表进行更新;
利用更新后的所述源端和/或目的端字段对应的IP列表和每一所述协议端口组,对所述防护对象的每一所述计算单元可识别的第二业务防护规则进行更新。
11.根据权利要求6所述的方法,其特征在于,所述方法还包括:
在所述业务类型池中的协议和/或端口发生变更的情况下,根据所述业务类型池中的更新后的协议和/或端口,对所述业务类型字段对应的协议和端口列表进行更新;所述协议和端口列表包括多个协议端口组;
利用源端和/或目的端字段对应的IP列表和更新后的每一所述协议端口组,对所述第二业务防护规则进行更新。
12.一种防火墙配置系统,其特征在于,包括:管理器、全局控制器、至少一个本地控制器和每一所述本地控制器的分布式防火墙,其中:
所述管理器,用于在将业务意图池集合中的第一业务意图池作为所述防火墙的防护对象的情况下,以下列方式为所述第一业务意图池确定第一业务防护规则的源端和/或目的端字段、业务类型字段:
所述管理器,用于从所述业务意图池集合中确定第二业务意图池,将所述第二业务意图池确定为所述源端和/或目的端字段的引用对象;将业务类型池作为所述业务类型字段的引用对象;其中,所述业务意图池集合中的每一业务意图池包括提供同一业务能力的至少一个计算单元;所述业务类型池包括至少一个协议和每一所述协议的至少一个端口;
所述全局控制器,用于将所述第一业务意图池的第一业务防护规则转换为所述第一业务意图池中的每一所述计算单元可识别的第二业务防护规则;将所述第二业务防护规则发送至每一所述计算单元所在的本地控制器;
所述至少一个本地控制器,用于接收所述全局控制器发送的第二业务防护规则,将所述第二业务防护规则下发至对应的分布式防火墙。
13.根据权利要求12所述的系统,其特征在于,
所述本地控制器,还用于在所述本地控制器中的目标计算单元连接网络时,向所述全局控制器发送第一业务防护规则获取请求;
所述全局控制器,还用于确定与所述目标计算单元所属的业务意图池关联的目标第一业务防护规则;将所述目标第一业务防护规则转换为所述目标计算单元可识别的目标第二业务防护规则;将所述目标第二业务防护规则发送至所述本地控制器;
所述本地控制器,用于接收所述全局控制器发送的目标第二业务防护规则,将所述目标第二业务防护规则下发至对应的分布式防火墙。
14.一种电子设备,包括存储器和处理器,所述存储器存储有可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1至11任一项所述防火墙配置方法中的步骤。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现权利要求1至11任一项所述防火墙配置方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110726827.0A CN113489701B (zh) | 2021-06-29 | 2021-06-29 | 防火墙配置方法、系统、设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110726827.0A CN113489701B (zh) | 2021-06-29 | 2021-06-29 | 防火墙配置方法、系统、设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113489701A true CN113489701A (zh) | 2021-10-08 |
CN113489701B CN113489701B (zh) | 2022-09-30 |
Family
ID=77936613
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110726827.0A Active CN113489701B (zh) | 2021-06-29 | 2021-06-29 | 防火墙配置方法、系统、设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113489701B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116208373A (zh) * | 2022-12-30 | 2023-06-02 | 北京天融信网络安全技术有限公司 | 报文过滤配置的方法、装置、电子设备及介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200329011A1 (en) * | 2019-04-10 | 2020-10-15 | Google Llc | Firewall rules intelligence |
CN111835794A (zh) * | 2020-09-17 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
CN112291382A (zh) * | 2020-09-29 | 2021-01-29 | 新华三信息安全技术有限公司 | 一种ip地址分配方法及装置 |
-
2021
- 2021-06-29 CN CN202110726827.0A patent/CN113489701B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200329011A1 (en) * | 2019-04-10 | 2020-10-15 | Google Llc | Firewall rules intelligence |
CN111835794A (zh) * | 2020-09-17 | 2020-10-27 | 腾讯科技(深圳)有限公司 | 防火墙策略控制方法、装置、电子设备及存储介质 |
CN112291382A (zh) * | 2020-09-29 | 2021-01-29 | 新华三信息安全技术有限公司 | 一种ip地址分配方法及装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116208373A (zh) * | 2022-12-30 | 2023-06-02 | 北京天融信网络安全技术有限公司 | 报文过滤配置的方法、装置、电子设备及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113489701B (zh) | 2022-09-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10686756B2 (en) | Method and apparatus for managing MAC address generation for virtualized environments | |
US10320674B2 (en) | Independent network interfaces for virtual network environments | |
CN105979007B (zh) | 加速资源处理方法、装置及网络功能虚拟化系统 | |
CN113906723A (zh) | 多集群入口 | |
US20150128052A1 (en) | Systems and methods for protecting virtualized assets | |
US20130151685A1 (en) | Controlling A Network Interface Using Virtual Switch Proxying | |
US20120054824A1 (en) | Access control policy template generating device, system, method and program | |
US11240115B2 (en) | Network topology display method and network management device | |
US9378039B2 (en) | Virtual machine storage replication schemes | |
US10177962B2 (en) | Network management systems and methods | |
Goyal et al. | Energy efficient hybrid policy in green cloud computing | |
KR20110128137A (ko) | 동적인 셀프 구성 오버레이들 | |
US20210234715A1 (en) | Consistent provision of member node group information on virtual overlay network | |
US11915051B2 (en) | Allocating resources for network function virtualization | |
WO2016183832A1 (zh) | 一种网络业务实例化的方法及设备 | |
CN108073423A (zh) | 一种加速器加载方法、系统和加速器加载装置 | |
CN113703915A (zh) | 访问关系可视化方法、装置、电子设备和存储介质 | |
CN113489701B (zh) | 防火墙配置方法、系统、设备 | |
CN108885686B (zh) | 用于视频分析的基于云的主动调试系统 | |
CN117061352A (zh) | 多模态虚拟网元的实现方法、装置、设备及介质 | |
US10789088B2 (en) | Peer-to-peer license enforcement in virtualized computing environments | |
CN110636149B (zh) | 远程访问方法、装置、路由器及存储介质 | |
CN112288841A (zh) | 一种渲染框架图的创建方法和装置 | |
CN111262771B (zh) | 虚拟私有云通信系统、系统配置方法及控制器 | |
CN110704382B (zh) | 文件部署方法、装置、服务器及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |