CN113612807A - 一种分布式防火墙定义方法及系统 - Google Patents
一种分布式防火墙定义方法及系统 Download PDFInfo
- Publication number
- CN113612807A CN113612807A CN202111173614.6A CN202111173614A CN113612807A CN 113612807 A CN113612807 A CN 113612807A CN 202111173614 A CN202111173614 A CN 202111173614A CN 113612807 A CN113612807 A CN 113612807A
- Authority
- CN
- China
- Prior art keywords
- firewall
- ovn
- database
- event
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 230000008569 process Effects 0.000 claims abstract description 15
- 238000012545 processing Methods 0.000 claims description 37
- 238000012217 deletion Methods 0.000 claims description 20
- 230000037430 deletion Effects 0.000 claims description 20
- 238000012544 monitoring process Methods 0.000 claims description 8
- 238000006243 chemical reaction Methods 0.000 claims description 5
- 230000003287 optical effect Effects 0.000 claims description 5
- 239000000284 extract Substances 0.000 claims description 3
- 238000002955 isolation Methods 0.000 abstract description 6
- 239000000306 component Substances 0.000 description 40
- 230000006870 function Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 239000008358 core component Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种分布式防火墙定义方法及系统,该方法包括:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;OVN数据库将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块,OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。可见,本申请能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。
Description
技术领域
本发明涉及防火墙技术领域,更具体地说,涉及一种分布式防火墙定义方法及系统。
背景技术
Openstack(开源框架,应用于云计算领域中)云计算的快速发展,带来资源整合优势的同时也带来较多的使用风险,比如网络带宽的瓶颈问题;对于网络带宽问题,通常采用各种限速或者流量过滤分流的方法来解决,但是这些方法面临的网络威胁较大,因此如何合理而又高效的实现网络带宽的合理分配,同时保证网络安全是当前无法回避的问题。
目前在基于Openstack框架部署私有云平台的应用场景中,通常是通过在Openstack原生的Virtual Router(虚拟路由器)上添加iptables(ip规则表)规则,来实现对进出虚拟网络数据包的控制;这种借助于原生Virtual Router上添加iptables规则的方式,由于对于流量的过滤集中在L3 agent上,因此导致当突发流量时,无法实现安全防护隔离的同时,还会出现如网络拥塞等网络问题。
发明内容
本发明的目的是提供一种分布式防火墙定义方法及系统,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。
为了实现上述目的,本发明提供如下技术方案:
一种分布式防火墙定义方法,包括:
防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;
所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;
所述OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块,所述OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。
优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库之前,还包括:
所述防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出所述防火墙创建事件的处理;
相应的,所述OVN数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:
所述OVN数据库存储所述策略路由。
优选的,所述防火墙组件确定网络服务器中存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还包括:
所述防火墙组件遍历与所述防火墙创建事件对应防火墙的关联路由器,并在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。
优选的,所述OVN数据库存储所述策略路由之前,还包括:
所述OVN数据库判断自身是否存储有所述策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储所述策略路由的步骤。
优选的,所述防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还包括:
所述防火墙组件设置所述防火墙创建事件对应防火墙的状态为生效状态,并将所述防火墙创建事件对应防火墙为生效状态的信息同步至所述网络服务器中,以供实现对所述防火墙创建事件对应防火墙的使用。
优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:
所述防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从所述网络服务器中获取所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;
相应的,所述OVN数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:
所述OVN数据库将自身存储的与所述策略路由相同的数据删除。
优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:
所述防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将所述防火墙更新事件在所述网络服务器中及所述OVN数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向所述OVN数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从所述OVN数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。
优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,包括:
所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN北向数据库中,所述OVN北向数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并且所述OVN北向数据库的守护进程在监听到所述OVN北向数据库中存储的数据发生变化后,将所述OVN北向数据库中发生变化的数据发送至OVN南向数据库中,以指示所述OVN南向数据库存储接收到的数据后,将自身所存储的数据中发生变化的数据发送至所述OVN控制器。
优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:
所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息转换成所述OVN数据库对应的OVN驱动能够识别的规则代码;
所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,包括:
所述OVN北向数据库将所述防火墙配置信息转换为相应的策略路由;
所述OVN南向数据库存储接收到的数据之前,还包括:
所述OVN南向数据库将接收到的数据转换成逻辑流表;
所述OVS守护模块存储接收到的数据之前,还包括:
所述OVS守护模块将接收到的数据解析为OVS物理流表。
优选的,所述防火墙组件、所述OVN北向数据库、所述OVN南向数据库及所述OVN控制器发送需要发送的数据之前,还包括:
将需要发送的数据封装成OVSDB消息格式。
一种分布式防火墙定义系统,包括:
防火墙组件,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;
所述OVN数据库,用于:将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;
所述OVN控制器,用于:将接收到的数据发送至所在计算节点上的OVS守护模块;
所述OVS守护模块,用于:将接收到的数据存储在内存中用于实现报文的转发。
本发明提供了一种分布式防火墙定义方法及系统,该方法包括:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;所述OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块,所述OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。本申请在防火墙组件监听到防火墙事件后,将监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,OVN数据库在将防火墙配置事件对应防火墙配置信息转换为策略路由后,利用策略路由对自身存储的数据进行防火墙事件对应处理,并将处理导致的自身存储数据中发生变化的数据发送至位于各个计算节点的OVN控制器,OVN控制器将接收到的数据转发给自身所在计算节点的OVS守护模块,以使得OVS守护模块存储接收的数据用于后续实现报文的转发。可见,本申请基于OVN驱动的策略路由实现分布式防火墙功能,不同现有技术防火墙流量集中处理,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例提供的一种分布式防火墙定义方法的流程图;
图2为本发明实施例提供的一种分布式防火墙定义方法中默认的防火墙策略规则的示意图;
图3为本发明实施例提供的一种分布式防火墙定义装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,其示出了本发明实施例提供的一种分布式防火墙定义方法的流程图,可以包括:
S11:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中。
本申请实施例的分布式防火墙定义方法可以通过OpenStack多架构的软件定义实现,具体为在Openstack多架构的集群环境中,利用Openstack多架构中Neutron组件所加载的防火墙插件的底层驱动程序,通过加载OVN(OpenVirtualNetwork,开发虚拟网络)驱动中的策略路由程序来实现软件定义的分布式防火墙功能。其中,Neutron-Fwaas插件(防火墙组件)接收来自Neutron(Openvswitch中的网络核心组件)的防火墙相关配置及防火墙事件,如防火墙创建事件、防火墙删除事件、防火墙更新事件、防火墙关联策略、防火墙关联规则以及防火墙关联路由器(本申请实施例中路由器具体均可以为虚拟路由器)等,进而在每次监听到防火墙事件后,则将当前监听到的防火墙事件对应配置(防火墙配置信息则为表示防火墙事件对应配置的信息)发送至OVN数据库中。
另外,本申请实施例中分布式防火墙定义方法实际为在外界用户或者其他人员实现对防火墙的配置后,将实现的对防火墙的配置通过OVN数据库部署至OVS-Vswitchd(OVS守护模块)中,以使得OVS-Vswitchd基于实现的对防火墙的配置实现后续报文的转发,从而实现对网络流量的控制。
S12:OVN数据库将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器。
OVN数据库在接收到防火墙配置信息后,将当前接收到的防火墙配置信息转换为相应的策略理由,然后利用策略路由对自身所存储的数据进行防火墙事件对应的处理;具体来说,防火墙事件为防火墙创建事件,则将策略路由存储至OVN数据库中,防火墙事件为防火墙删除事件,则将策略路由从OVN数据库中删除,防火墙事件为防火墙更新事件,则利用策略路由对OVN数据库中的相应数据进行更新。在OVN数据库利用防火墙配置信息转换所得策略路由对自身存储的数据进行处理后,则可以确定对自身存储的数据进行处理导致OVN数据库中发生变化的数据,然后将发生变化的数据发送至位于各个计算节点上的OVN控制器,以使得各OVN控制器能够将发生变化的数据发送至自身所在计算节点上的OVS守护模块,使得OVS模块能够存储接收到的数据用于后续报文转发,从而实现防火墙事件对应配置至位于各节点上的OVS守护模块的部署,也即实现防火墙的分布式定义。
S13:OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块,OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。
本申请在防火墙组件监听到防火墙事件后,将监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,OVN数据库在将防火墙配置事件对应防火墙配置信息转换为策略路由后,利用策略路由对自身存储的数据进行防火墙事件对应处理,并将处理导致的自身存储数据中发生变化的数据发送至位于各个计算节点的OVN控制器,OVN控制器将接收到的数据转发给自身所在计算节点的OVS守护模块,以使得OVS守护模块存储接收的数据用于后续实现报文的转发。可见,本申请基于OVN驱动的策略路由实现分布式防火墙功能,不同现有技术防火墙流量集中处理,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。
本发明实施例提供的一种分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,可以包括:
防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN北向数据库中,OVN北向数据库将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并且OVN北向数据库的守护进程在监听到OVN北向数据库中存储的数据发生变化后,将OVN北向数据库中发生变化的数据发送至OVN南向数据库中,以指示OVN南向数据库存储接收到的数据后,将自身所存储的数据中发生变化的数据发送至OVN控制器;
防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还可以包括:
防火墙组件将当前监听到的防火墙事件对应防火墙配置信息转换成OVN数据库对应的OVN驱动能够识别的规则代码;
OVN数据库将防火墙配置信息转换为相应的策略路由,可以包括:
OVN北向数据库将防火墙配置信息转换为相应的策略路由;
OVN南向数据库存储接收到的数据之前,还可以包括:
OVN南向数据库将接收到的数据转换成逻辑流表;
OVS守护模块存储接收到的数据之前,还可以包括:
OVS守护模块将接收到的数据解析为OVS物理流表;
防火墙组件、OVN北向数据库、OVN南向数据库及OVN控制器发送需要发送的数据之前,还可以包括:
将需要发送的数据封装成OVSDB消息格式。
需要说明的是,本申请实施例中Neutron-Fwaas插件监听到防火墙事件后,可以将监听到的防火墙事件对应防火墙配置信息转换成OVN驱动能够识别的规则代码,并将转换所得规则代码封装成OVSDB的消息格式后,通过OVSDB Client(OVSDB客户端)向OVNNorthbound DB(OVN北向数据库)发送消息,OVN Northbound DB接收到消息后,解析消息内容转换成策略路由的规则格式后把消息存储在OVN Northbound DB中,同时守护进程OVNNorthd Deamon监听到OVN Northbound DB的数据发生变化,会把OVN Northbound DB中发生变化的数据封装成OVSDB的消息格式后,发送到OVN Southbound DB(OVN南向数据库)中,OVN Southbound DB收到消息后,解析消息并把防火墙相关的配置转换成逻辑流表存储在OVN Southbound DB中,同时向OVN Control(OVN控制器)发送同步OVSDB消息,此时位于各计算节点上的OVN Control服务监听到OVN Southbound DB数据有变化后,接收消息并解析消息的内容到OVS-Vswitchd中,OVS-Vswitchd会把接收的消息解析为OVS物理流表存储在内存中用于后续报文的转发,从而有效实现对网络流量的控制。
其中,OVN驱动能够识别的规则代码即为OVN Northbound DB能够识别的数据格式,也即为策略路由能够识别的数据格式,而将防火墙配置信息转换为相应的策略路由则可以为从防火墙配置信息中提取中策略路由所需的各项信息,如IP、mac、端口、协议及动作等,然后将这些信息按照策略路由所需的方式进行组装,则完成防火墙配置信息至相应策略路由的转换。另外,物理流表和逻辑流表与现有技术中对应概念的含义相同,两者是一种相对应的关系,物理流表通过Open Flow的流表格式实现,逻辑流表通过Logical Flow的形式存在,两者最大的不同在于logical flow对整个网络的行为进行了详细的描述并且能够扩展到任意数量的主机上,而Open Flow则是针对本节点的主机生效;在本申请实施例中OVN数据库通过logical flow对网络进行编辑,然后这些logical flow又会分发到每台机器上运行在 OVN Control中,OVN Control根据当前的物理环境(本地端口在哪以及如何到达其他机器等)将这些logical flow编译到Open Flow中。
本发明实施例提供的一种分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库之前还可以包括:
防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出防火墙创建事件的处理;
相应的,OVN数据库利用策略路由对自身所存储的数据进行防火墙事件对应的处理,可以包括:
OVN数据库存储策略路由。
防火墙组件确定网络服务器中存在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还可以包括:
防火墙组件遍历与防火墙创建事件对应防火墙的关联路由器,在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。
OVN数据库将防火墙配置信息转换为相应的策略路由之前,还可以包括:
OVN数据库判断自身是否存储有策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储策略路由的步骤。
防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还可以包括:
防火墙组件设置防火墙创建事件对应防火墙的状态为生效状态,并将防火墙创建事件对应防火墙为生效状态的信息同步至网络服务器中,以供实现对防火墙创建事件对应防火墙的使用。
本实施例中Neutron-Fwaas插件中的Neutron-Fwaas-Plugin注册防火墙事件监听机制,如防火墙创建事件、防火墙删除事件及防火墙更新事件;并且在Neutron-Fwass插件中新增OVN Firewall Driver Hander功能代码,以由该OVN Firewall Driver Hander监听防火墙事件。如果OVN Firewall Driver Hander监听到防火墙创建事件,则执行防火墙创建事件相应部署的过程可以包括:
确定外界用户或者其他人员是否已经完成防火墙创建事件对应防火墙的配置:确认Neutron Server传来的防火墙策略(即防火墙创建事件对应防火墙的防火墙策略)在系统的网络服务器中是否存在,如果存在则继续执行,否则退出;在确认防火墙策略在网络服务器中存在后,确认该防火墙策略的防火墙策略规则在网络服务器中是否存在,如果存在则继续执行,否则退出;在确认防火墙策略规则在网络服务器中存在后,确认防火墙创建事件对应防火墙关联的路由器是否存在,如果存在则继续执行,否则退出。
在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则及关联的路由器均存在的情况下,遍历防火墙创建事件对应防火墙所关联的路由器(关联的路由器的信息可以存储于路由器列表中),向每个路由器下创建如图2所示的两个默认防火墙策略规则,以保证每个路由器下均具有系统需要为其设置的统一的防火墙策略规则。然后基于防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则及关联的路由器提取出构造相应策略路由所需的各项信息,如协议号、端口号、ip地址、动作等,将这些信息作为相应的防火墙配置信息,然后调用OVN Client向OVN驱动发送添加策略路由的请求,OVN数据库将防火墙配置信息转换为相应策略路由存储后,依次向后传递存储策略路由导致的数据变化,直至OVS守护模块将策略路由相应的物理流表存储用于后续报文的转发;同时还会设置防火墙创建事件对应防火墙的状态为ACTIVE(生效状态),并同步更新到Neutron(网络服务器)的Marildb数据库中,以保证能够对相应防火墙进行使用等操作。
另外在OVN数据库需要存储策略路由之前,还会判断OVN数据库中是否已经存在此条目,如果存在此条目,则利用当前转换得到的策略路由刷新已经存在的条目,如果不存在此条目,则存储当前转换得到的策略路由,并在OVN数据库中将当前存储的策略路由关联到所关联的路由器的ID上,从而保证OVN数据库中存储的为有效的信息。
本发明实施例提供的分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还可以包括:
防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从网络服务器中获取防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;
相应的,OVN数据库利用策略路由对自身所存储的数据进行防火墙事件对应的处理,可以包括:
OVN数据库将自身存储的与策略路由相同的数据删除。
需要说明的是,本申请实施例中如果OVN Firewall Driver Hander监听到防火墙删除事件,则执行删除的具体流程可以包括:
遍历防火墙删除事件对应防火墙所关联的路由器(可以通过遍历路由器列表实现),接着基于防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则及关联路由器构造策略路由相关的各项信息,将这些信息作为相应的防火墙配置信息;然后调用OVNClient向OVN 驱动发送请求以使得OVN数据库基于防火墙配置信息实现相应的防火墙部署。相应的,在OVN数据库接收到防火墙配置信息并转换为相应的策略路由后,则可以直接将遍历的上述路由器下存在的当前转换得到的策略路由进行删除,还可以将这些路由器下默认的防火墙策略规则删除,然后依次向后传递删除策略路由及默认防火墙策略规则导致的数据变化,直至OVS守护模块将相应的物理流表删除,从而有效快速的实现防火墙的删除。
本发明实施例提供的分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还可以包括:
防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将防火墙更新事件在网络服务器中及OVN数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向OVN数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从OVN数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。
如果OVN Firewall Driver Hander监听到防火墙更新事件,则执行更新的具体流程可以包括:
将防火墙更新事件对应防火墙在网络服务器中的防火墙策略规则与在OVN数据库中的防火墙策略规则进行比对,如果有存在于网络服务器但未存在于OVN数据库中的防火墙策略规则,则说明需要将该防火墙策略规则添加至OVN数据库中,因此按照防火墙创建事件进行相应处理,此时该防火墙策略规则对应防火墙则为防火墙创建事件对应的防火墙,进而实现后续防火墙创建操作;如果有存储于OVN数据库中但未存在于网络服务器中的防火墙策略规则,则说明需要将该防火墙策略从OVN数据库中删除,因此按照防火墙删除事件进行相应处理,此时该防火墙策略规则对应防火墙则为防火墙删除事件对应的防火墙,进而实现后续防火墙删除操作;如果两者中防火墙策略规则是相同的,则确定无需实现相应的防火墙部署。从而通过这种方式有效实现防火墙更新事件。
综上可见,本申请在Openstack部署的多架构集群环境中,利用OVN驱动中的策略路由实现分布式防火墙服务,用户通过下发防火墙策略规则关联到路由器中,且生效于虚拟路由器中各个接口;由于是基于OVN实现的,OVN的底层替换掉了原有的Openstack架构中的关于Neutron的各个agent,统一通过OVSDB协议下发OVN流表实现通信及流量转发,从而减轻了Neutron Server与各个agent交互带来资源损耗以及信息同步管理问题;而且OVN的实现是分布式的架构,所以基于此实现的防火墙也是分布式的防火墙,对于虚拟机租户网络跨网段经过路由器时,流量无需统一转发至网络节点或者控制节点处理,在本节点即可完成三层流量转发规则,从而避免了由于原来必须去网络节点或者控制节点的L3 agent中集中处理的带宽瓶颈问题;同时防火墙规则的是关联到路由器上的,所有用户在下发防火墙规则时也是生效于各个节点上,这样也避免了原有架构的防火墙集中处理带来的性能瓶颈问题,从而可达到三层网络高性能转发以及分布式防火墙的服务高性能,解决虚拟机组网网络分布式控制各个集群中安全防护策略,可有效隔离网络安全问题,把网络安全问题规避到某一个节点上,从而防止整个集群的损坏,增强了用户的实用性,让Openstack 云环境中的防火墙安全策略虚更加弹性扩展。也即本申请基于OVN的策略路由实现的防火墙是分布式的防火墙,对于Openstack多架构的集群中,流量的管控处理更佳灵活,网络流量的问题定位更佳精准,且对于一些的突发带宽的流量限制,可以到达更高更有的性能,使得虚拟机的网络和物理网络的隔离更加安全。
本发明实施例还提供了一种分布式防火墙定义系统,如图3所示,具体可以包括:
防火墙组件11,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;
OVN数据库12,用于:将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;
OVN控制器13,用于:将接收到的数据发送至所在计算节点上的OVS守护模块;
OVS守护模块14,用于:将接收到的数据存储在内存中用于实现报文的转发。
需要说明的是,本发明实施例提供的一种分布式防火墙定义系统中相关部分的说明请参见本发明实施例提供的一种分布式防火墙定义方法中对应部分的详细说明,在此不再赘述。另外本发明实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
1.一种分布式防火墙定义方法,其特征在于,包括:
防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;
所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;
所述OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块,所述OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。
2.根据权利要求1所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库之前,还包括:
所述防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出所述防火墙创建事件的处理;
相应的,所述OVN数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:
所述OVN数据库存储所述策略路由。
3.根据权利要求2所述的方法,其特征在于,所述防火墙组件确定网络服务器中存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还包括:
所述防火墙组件遍历与所述防火墙创建事件对应防火墙的关联路由器,并在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。
4.根据权利要求3所述的方法,其特征在于,所述OVN数据库存储所述策略路由之前,还包括:
所述OVN数据库判断自身是否存储有所述策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储所述策略路由的步骤。
5.根据权利要求4所述的方法,其特征在于,所述防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还包括:
所述防火墙组件设置所述防火墙创建事件对应防火墙的状态为生效状态,并将所述防火墙创建事件对应防火墙为生效状态的信息同步至所述网络服务器中,以供实现对所述防火墙创建事件对应防火墙的使用。
6.根据权利要求2所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:
所述防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从所述网络服务器中获取所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;
相应的,所述OVN数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:
所述OVN数据库将自身存储的与所述策略路由相同的数据删除。
7.根据权利要求6所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:
所述防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将所述防火墙更新事件在所述网络服务器中及所述OVN数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向所述OVN数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从所述OVN数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。
8.根据权利要求7所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,包括:
所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN北向数据库中,所述OVN北向数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并且所述OVN北向数据库的守护进程在监听到所述OVN北向数据库中存储的数据发生变化后,将所述OVN北向数据库中发生变化的数据发送至OVN南向数据库中,以指示所述OVN南向数据库存储接收到的数据后,将自身所存储的数据中发生变化的数据发送至所述OVN控制器。
9.根据权利要求8所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:
所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息转换成所述OVN数据库对应的OVN驱动能够识别的规则代码;
所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,包括:
所述OVN北向数据库将所述防火墙配置信息转换为相应的策略路由;
所述OVN南向数据库存储接收到的数据之前,还包括:
所述OVN南向数据库将接收到的数据转换成逻辑流表;
所述OVS守护模块存储接收到的数据之前,还包括:
所述OVS守护模块将接收到的数据解析为OVS物理流表。
10.根据权利要求9所述的方法,其特征在于,所述防火墙组件、所述OVN北向数据库、所述OVN南向数据库及所述OVN控制器发送需要发送的数据之前,还包括:
将需要发送的数据封装成OVSDB消息格式。
11.一种分布式防火墙定义系统,其特征在于,包括:
防火墙组件,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;
所述OVN数据库,用于:将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;
所述OVN控制器,用于:将接收到的数据发送至所在计算节点上的OVS守护模块;
所述OVS守护模块,用于:将接收到的数据存储在内存中用于实现报文的转发。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111173614.6A CN113612807B (zh) | 2021-10-09 | 2021-10-09 | 一种分布式防火墙定义方法及系统 |
PCT/CN2022/074415 WO2023056722A1 (zh) | 2021-10-09 | 2022-01-27 | 一种分布式防火墙定义方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111173614.6A CN113612807B (zh) | 2021-10-09 | 2021-10-09 | 一种分布式防火墙定义方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113612807A true CN113612807A (zh) | 2021-11-05 |
CN113612807B CN113612807B (zh) | 2021-12-03 |
Family
ID=78310889
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111173614.6A Active CN113612807B (zh) | 2021-10-09 | 2021-10-09 | 一种分布式防火墙定义方法及系统 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113612807B (zh) |
WO (1) | WO2023056722A1 (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115277349A (zh) * | 2022-07-18 | 2022-11-01 | 天翼云科技有限公司 | 一种配置分布式网关的方法、开放虚拟网络及存储介质 |
CN115314356A (zh) * | 2022-08-09 | 2022-11-08 | 中电云数智科技有限公司 | 一种基于ovn的跨地域分布式sdn控制装置和方法 |
CN115378868A (zh) * | 2022-08-18 | 2022-11-22 | 中电云数智科技有限公司 | 一种基于snat资源池实现报文处理的系统及方法 |
CN115664870A (zh) * | 2022-12-28 | 2023-01-31 | 北京志翔科技股份有限公司 | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 |
WO2023056722A1 (zh) * | 2021-10-09 | 2023-04-13 | 苏州浪潮智能科技有限公司 | 一种分布式防火墙定义方法及系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103930882A (zh) * | 2011-11-15 | 2014-07-16 | Nicira股份有限公司 | 具有中间盒的网络架构 |
US20150139238A1 (en) * | 2013-11-18 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Multi-tenant isolation in a cloud environment using software defined networking |
US20190149512A1 (en) * | 2017-11-15 | 2019-05-16 | Nicira, Inc. | Third-party service chaining using packet encapsulation in a flow-based forwarding element |
CN111614605A (zh) * | 2019-02-26 | 2020-09-01 | 瞻博网络公司 | 基于sdn虚拟防火墙的安全组信息的边界防火墙的自动配置 |
CN112291252A (zh) * | 2020-11-02 | 2021-01-29 | 浪潮云信息技术股份公司 | 一种南北向流量对称性引流的实现架构及方法 |
CN112491789A (zh) * | 2020-10-20 | 2021-03-12 | 苏州浪潮智能科技有限公司 | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 |
US20210112034A1 (en) * | 2019-10-15 | 2021-04-15 | Cisco Technology, Inc. | Dynamic discovery of peer network devices across a wide area network |
CN112769829A (zh) * | 2021-01-11 | 2021-05-07 | 科大讯飞股份有限公司 | 云物理机的部署方法、相关设备及可读存储介质 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108471397B (zh) * | 2018-01-31 | 2020-12-15 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
CN112351034B (zh) * | 2020-11-06 | 2023-07-25 | 科大讯飞股份有限公司 | 防火墙设置方法、装置、设备及存储介质 |
CN113612807B (zh) * | 2021-10-09 | 2021-12-03 | 苏州浪潮智能科技有限公司 | 一种分布式防火墙定义方法及系统 |
-
2021
- 2021-10-09 CN CN202111173614.6A patent/CN113612807B/zh active Active
-
2022
- 2022-01-27 WO PCT/CN2022/074415 patent/WO2023056722A1/zh unknown
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103930882A (zh) * | 2011-11-15 | 2014-07-16 | Nicira股份有限公司 | 具有中间盒的网络架构 |
US20150139238A1 (en) * | 2013-11-18 | 2015-05-21 | Telefonaktiebolaget L M Ericsson (Publ) | Multi-tenant isolation in a cloud environment using software defined networking |
US20190149512A1 (en) * | 2017-11-15 | 2019-05-16 | Nicira, Inc. | Third-party service chaining using packet encapsulation in a flow-based forwarding element |
CN111614605A (zh) * | 2019-02-26 | 2020-09-01 | 瞻博网络公司 | 基于sdn虚拟防火墙的安全组信息的边界防火墙的自动配置 |
US20210112034A1 (en) * | 2019-10-15 | 2021-04-15 | Cisco Technology, Inc. | Dynamic discovery of peer network devices across a wide area network |
CN112491789A (zh) * | 2020-10-20 | 2021-03-12 | 苏州浪潮智能科技有限公司 | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 |
CN112291252A (zh) * | 2020-11-02 | 2021-01-29 | 浪潮云信息技术股份公司 | 一种南北向流量对称性引流的实现架构及方法 |
CN112769829A (zh) * | 2021-01-11 | 2021-05-07 | 科大讯飞股份有限公司 | 云物理机的部署方法、相关设备及可读存储介质 |
Non-Patent Citations (2)
Title |
---|
MENGYAO ZHU等: "OpenStack Oriented Networking-VPP Network Optimization Method", 《2021 ASIA-PACIFIC CONFERENCE ON COMMUNICATIONS TECHNOLOGY AND COMPUTER SCIENCE (ACCTCS)》 * |
钟航: "VXLAN环境下支持状态防火墙的Open vSwitch性能优化研究与实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑(月刊)》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023056722A1 (zh) * | 2021-10-09 | 2023-04-13 | 苏州浪潮智能科技有限公司 | 一种分布式防火墙定义方法及系统 |
CN115277349A (zh) * | 2022-07-18 | 2022-11-01 | 天翼云科技有限公司 | 一种配置分布式网关的方法、开放虚拟网络及存储介质 |
CN115277349B (zh) * | 2022-07-18 | 2024-01-02 | 天翼云科技有限公司 | 一种配置分布式网关的方法、开放虚拟网络及存储介质 |
CN115314356A (zh) * | 2022-08-09 | 2022-11-08 | 中电云数智科技有限公司 | 一种基于ovn的跨地域分布式sdn控制装置和方法 |
CN115314356B (zh) * | 2022-08-09 | 2023-11-24 | 中电云计算技术有限公司 | 一种基于ovn的跨地域分布式sdn控制装置和方法 |
CN115378868A (zh) * | 2022-08-18 | 2022-11-22 | 中电云数智科技有限公司 | 一种基于snat资源池实现报文处理的系统及方法 |
CN115378868B (zh) * | 2022-08-18 | 2023-09-19 | 中电云数智科技有限公司 | 一种基于snat资源池实现报文处理的系统及方法 |
CN115664870A (zh) * | 2022-12-28 | 2023-01-31 | 北京志翔科技股份有限公司 | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 |
CN115664870B (zh) * | 2022-12-28 | 2023-04-07 | 北京志翔科技股份有限公司 | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 |
Also Published As
Publication number | Publication date |
---|---|
CN113612807B (zh) | 2021-12-03 |
WO2023056722A1 (zh) | 2023-04-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113612807B (zh) | 一种分布式防火墙定义方法及系统 | |
EP3882772A1 (en) | Fault root cause determining method and apparatus, and computer storage medium | |
CN109561108B (zh) | 一种基于策略的容器网络资源隔离控制方法 | |
CN100583811C (zh) | 虚拟网络设备 | |
CN108933686B (zh) | 一种网络切片方法、计算机设备及存储介质 | |
CN103368769B (zh) | 用于提高网络装置之间的兼容性的方法和设备 | |
US20170264496A1 (en) | Method and device for information processing | |
US10050859B2 (en) | Apparatus for processing network packet using service function chaining and method for controlling the same | |
EP3562107A1 (en) | Broadcast packet processing method and processing apparatus, controller, and switch | |
CN107306215B (zh) | 一种数据处理方法、系统及节点 | |
JP5111256B2 (ja) | 通信システムおよびサーバ装置 | |
WO2021047011A1 (zh) | 数据处理方法及装置、计算机存储介质 | |
CN111628934A (zh) | 一种sd-wan网络中实现域名访问加速的方法及装置 | |
CN112671644B (zh) | 一种基于mpls的sdn业务隔离及选路的方法 | |
US20230254244A1 (en) | Path determining method and apparatus, and computer storage medium | |
CN112003825A (zh) | 一种基于sdn的虚拟网络隔离方法及sdn控制器 | |
CN115002803B (zh) | 终端管理的方法、装置以及电子设备 | |
US10541914B2 (en) | Data packet forwarding method and network device | |
CN113472625B (zh) | 基于移动互联网的透明桥接方法、系统、设备及存储介质 | |
JP5063726B2 (ja) | 仮想ノード装置のコンフィグ制御方法 | |
CN114189485A (zh) | 一种交换机的网口管理方法、系统及计算机可读存储介质 | |
CN113395334A (zh) | 服务功能链在线更新方法、系统及设备 | |
CN116016034B (zh) | 一种基于sdn的业务路径调度方法及装置 | |
US20230262149A1 (en) | Data node, data node management method, and data node management program | |
CN106878051A (zh) | 一种多机备份实现方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |