CN113810283A - 网络安全配置方法、装置、服务器及存储介质 - Google Patents
网络安全配置方法、装置、服务器及存储介质 Download PDFInfo
- Publication number
- CN113810283A CN113810283A CN202111085280.7A CN202111085280A CN113810283A CN 113810283 A CN113810283 A CN 113810283A CN 202111085280 A CN202111085280 A CN 202111085280A CN 113810283 A CN113810283 A CN 113810283A
- Authority
- CN
- China
- Prior art keywords
- security domain
- security
- target
- virtual
- configuration data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000001514 detection method Methods 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 abstract description 12
- 238000013461 design Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 238000004590 computer program Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 101150017256 DVR1 gene Proteins 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络安全配置方法、装置、服务器及存储介质,该方法包括:接收虚拟网络服务组件发送的配置数据,并根据关系列表确定所有路由配置数据对应的所有目标虚拟机,控制目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由,根据用户的配置数据设置虚拟机对应的安全域类型以及根据配置数据生成路由规则,并将在不同安全域类型的虚拟机上传输的数据汇聚至安全防护设备,将路由规则发送至安全防护设备,使得安全防护设备根据路由规则监控数据的传输安全,提高虚拟私有云网络的安全性。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种网络安全配置方法、装置、服务器及存储介质。
背景技术
虚拟私有云(Virtual Private Cloud,VPC)为云计算的混合模型,是公共云提供商将其公共云基础架构的特定部分隔离,以供私人使用的、不与任何其他客户共享的云资源。
现有技术中,在由分布式路由组成的VPC网络模型中,通常采用在计算节点连接的接入交换机上配置访问控制列表(Access Control Lists,ACL)的方法,实现对云资源池内部东西向流量的安全检测和防护。
然而,接入交换机的容量有限,可能会出现在接入交换机上配置ACL失败的情况,导致VPC网络无法通过ACL控制网络的访问权限,影响虚拟私有云网络的安全性。
发明内容
本发明提供一种网络安全配置方法、装置、服务器及存储介质,通过控制虚拟机根据路由标识和安全域类型创建虚拟路由,使得安全防护设备根据路由规则对虚拟路由传输的数据进行安全检测,提高了虚拟私有云网络的安全性。
第一方面,本发明提供一种网络安全配置方法,包括:
接收虚拟网络服务组件发送的配置数据,其中所述配置数据包含至少一条路由配置数据、域间策略以及关系列表,每条路由配置数据包括路由标识以及安全域类型,其中所述关系列表包含了至少一个安全域类型与子网的对应关系;根据所述关系列表确定所有路由配置数据对应的所有目标虚拟机,并控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由;根据所述域间策略确定路由规则,并将所述路由规则发送至安全防护设备,以使所述安全防护设备根据所述路由规则对所有虚拟路由传输的数据进行安全检测。
在一种可能的设计中,所述控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由,包括:根据网络配置协议控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由。
在一种可能的设计中,在所述控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由之后,还包括:接收管理数据,并根据所述管理数据确定目标安全域;根据所述关系列表确定所述目标安全域对应的目标子网,并将所述管理数据发送至所述目标子网对应的虚拟机,使得所述目标子网的虚拟机根据管理数据对所述目标安全域进行管理。
在一种可能的设计中,所述管理数据包含待删除的安全域类型和/或待修改的安全域类型。
在一种可能的设计中,所述域间策略包括策略标识、目的安全域标识、源安全域标识、目的端口、源端口、目的子网虚拟机地址、源子网虚拟机地址、网络协议版本以及协议类型;所述安全域类型还包括安全域标识、安全域名称、用户标识以及域详情信息。
第二方面,本发明提供一种网络安全配置装置,包括:
接收模块,用于接收虚拟网络服务组件发送的配置数据,其中所述配置数据包含至少一条路由配置数据、域间策略以及关系列表,每条路由配置数据包括路由标识以及安全域类型,其中所述关系列表包含了至少一个安全域类型与子网的对应关系;控制模块,用于根据所述关系列表确定所有路由配置数据对应的所有目标虚拟机,并控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由;发送模块,用于根据所述域间策略确定路由规则,并将所述路由规则发送至安全防护设备,以使所述安全防护设备根据所述路由规则对所有虚拟路由传输的数据进行安全检测。
在一种可能的设计中,所述控制模块,具体用于根据网络配置协议控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由。
在一种可能的设计中,所述装置还包括确定模块,所述确定模块用于接收管理数据,并根据所述管理数据确定目标安全域;根据所述关系列表确定所述目标安全域对应的目标子网,并将所述管理数据发送至所述目标子网对应的虚拟机,控制所述目标子网对应的虚拟机根据管理数据对所述目标安全域进行管理。
第三方面,本发明提供一种配置服务器,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如上第一方面以及第一方面各种可能的设计所述的网络安全配置方法。
第四方面,本发明提供一种计算机存储介质,所述计算机存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上第一方面以及第一方面各种可能的设计所述的网络安全配置方法。
本发明提供的网络安全配置方法、装置、服务器及存储介质,通过根据关系列表确定所有路由配置数据对应的所有目标虚拟机,并控制目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由,并根据域间策略确定路由规则,并将路由规则发送至安全防护设备,以使安全防护设备根据路由规则对所有虚拟路由传输的数据进行安全检测。通过将不同安全域类型之间传输的数据汇聚至安全防护设备,使得安全防护设备根据路由规则监控数据的传输安全,提高虚拟私有云网络的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的VPC网络模型结构示意图;
图2为本发明实施例提供的网络安全配置方法流程示意图一;
图3为本发明实施例提供的网络安全配置方法流程示意图二;
图4为本发明实施例提供的网络安全配置装置的结构示意图;
图5为本发明实施例提供的配置服务器的硬件结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
VPC指的是虚拟私有云,是云计算的混合模型,在公共云提供商的基础架构内提供私有云解决方案。公共云提供商将其公共云基础架构的特定部分隔离,以供私人使用。VPC基础架构由公共云供应商管理,但是分配给VPC的资源不会与任何其他客户共享。用户可以通过VPC方便地管理、配置内部网络,进行安全、快捷的网络变更。同时,用户可以自定义安全组内与组间弹性云服务器的访问规则,加强弹性云服务器的安全保护。在云计算环境租户VPC网络模型中,将用户虚拟机与外部网络之间的交互流量称作南北流量,将VPC内部跨子网虚拟机之间交互的流量,称之为东西流量。现有技术中,在由分布式路由组成的VPC网络模型中,通常采用在计算节点连接的接入交换机上配置ACL的方法,实现对云资源池内部东西向流量的安全检测和防护。然而,接入交换机的容量有限,不仅需要创建虚拟机,还需要为VPC网络提供接入,可能会出现在接入交换机上配置ACL失败的情况,导致VPC网络无法通过ACL控制网络的访问权限,影响虚拟私有云网络的安全性。
为了解决上述技术问题,本发明实施例提出以下技术方案:根据用户的配置数据设置虚拟机对应的安全域类型以及根据配置数据生成路由规则,并将在不同安全域类型的虚拟机上传输的数据汇聚至安全防护设备,将路由规则发送至安全防护设备,使得安全防护设备根据路由规则监控数据的传输安全,提高虚拟私有云网络的安全性。
图1是本发明实施例提供的VPC网络模型结构示意图。如图1所示,本发明实施例提供的VPC网络模型包括虚拟网络服务组件、配置服务器、安全防护设备、若干个子网subnet以及每个子网对应的虚拟机VM。具体的,虚拟网络服务组件,用于获取用户输入的配置数据,并将配置数据发送至配置服务器。配置服务器,用于根据配置数据中的路由标识以及安全域类型控制子网对应的虚拟机创建虚拟路由,根据配置数据确定路由规则,并将路由规则发送至安全防护设备。安全防护设备,用于根据配置服务器发送的路由规则对不同安全域之间传输的数据进行安全性检测。
图2为本发明实施例提供的网络安全配置方法流程示意图一,本实施例的执行主体可以为图1所示实施例中的配置服务器,本实施例此处不做特别限制。如图2所示,该方法包括:
S201:接收虚拟网络服务组件发送的配置数据,其中配置数据包含至少一条路由配置数据、域间策略以及关系列表,每条路由配置数据包括路由标识以及安全域类型,其中关系列表包含了至少一个安全域类型与子网的对应关系。
在本发明实施例中,虚拟网络服务组件为OpenStack软件中的网络组件neutron。其中,OpenStack是一个为私有云和公有云提供可扩展的弹性的云计算服务的云平台管理软件。neutron是OpenStack中提供云计算环境下的虚拟网络功能的组件。在本发明实施例中,通过为VPC网络的用户提供配置虚拟网络的上位机端口,使得用户根据网络需求上传网络的配置数据。neutron根据获取的配置数据并通过配置服务器根据配置数据创建虚拟网络。示例性的,配置服务器可以为软件定义网络(Software Defined Network,SDN)控制器。
在本发明实施例中,路由配置数据中的路由标识为创建的分布式虚拟路由器(Distributed Virtual Router,DVR)的标识。路由配置数据中的安全域类型为DVR中包含的虚拟路由转发(Virtual Routing Forwarding,VRF)的安全域类型。由于配置数据是用户根据网络配置需求配置的,即用户会根据子网的安全属性不同而设定VRF为不同的安全域类型。示例性的,关系列表中VRF的安全域类型为trust对应的子网安全性最高。VRF的安全域类型为DMZ时对应的子网安全性较低。域间策略为用户根据需求配置,设定不同安全域类型的子网的数据交互策略。示例性的,还可以根据用户的特殊需求,将具备特殊需求的子网对应的安全域的类型设置为特殊的类型,安全域类型以及安全域类型的数量不受限制。
示例性的,安全域类型还包括安全域标识、安全域名称、用户标识以及域详情信息,如表1所示。
表1
| 标号 | 字段 | 描述 |
| 1 | uuid | 安全域标识 |
| 2 | name | 安全域名称 |
| 3 | tenant_id | 用户标识 |
| 4 | description | 域详情信息 |
S202:根据关系列表确定所有路由配置数据对应的所有目标虚拟机,并控制目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由。
在本发明实施例中,关系列表包含了至少一个安全域类型与子网的对应关系,根据关系列表确定所有路由配置数据对应的所有目标子网,并根据所有目标确定所有目标虚拟机。其中目标子网即用户本次配置网络时涉及到的所有子网,每个子网都是由虚拟机实现的,则可以根据关系列表确定所有路由配置数据对应的所有目标虚拟机。路由配置数据中包含待配置的路由标识以及安全域类型,根据关系列表确定安全域类型对应的目标虚拟机,因此可控制目标虚拟机创建虚拟路由。具体的,根据路由配置数据中的路由标识设定虚拟路由DVR的标识,根据安全域类型设置VRF的类型,示例性的,可以将VRF的类型设置为DMZ和/或trust。
S203:根据域间策略确定路由规则,并将路由规则发送至安全防护设备,以使安全防护设备根据路由规则对所有虚拟路由传输的数据进行安全检测。
示例性的,域间策略包括策略标识、目的安全域标识、源安全域标识、目的端口、源端口、目的子网虚拟机地址、源子网虚拟机地址、网络协议版本以及协议类型。域间策略还可以包含规则描述等内容。具体的,域间策略的内容如表2所示。
表2
在本发明实施例中,根据域间策略确定路由规则。具体的,可根据域间策略中给定的源地址和目的地址的访问策略确定不同流向数据的网络访问路由规则。并将生成的网络访问的路由规则发送至安全防护设备。当根据传输数据的源地址和目的地址确定的传输路由是经过安全域类型相同的VRF时,则数据在虚拟路由DVR之间直接进行传输。若传输的数据是经过安全域类型不同的VRF时,传输的数据会经由VRF转发至安全防护设备。示例性的,安全防护设备为防火墙服务器,防火墙服务器根据路由规则中设定的网络访问规则对传输数据的源地址和目的地址进行筛选,保证了网络访问的安全性。
示例性的,如图1所示,若数据1传输的源地址为VM4,目的地址为VM1时,由于VM4和VM1对应的VRF的安全域类型相同,均为DMZ类型的安全域,则数据1的传输路由为依次经过DVR2、DVR3和DVR1中的DMZ类型的VRF。若数据2传输的源地址为VM4,目的地址为VM2时,由于VM4和VM2对应的VRF的安全域类型不同,VM4对应的VRF的安全域类性为DMZ,而VM2对应的VRF的安全域类型为trust,则数据2的传输路由为DVR2中DMZ类型的VRF、DVR3中DMZ类型的VRF、安全防护设备,安全防护设备根据路由规则查询VM2与VM4之间的数据访问权限,若数据2的传输路径符合路由规则,即存在subnet4与subnet2之间的数据访问权限,则安全防护设备再将数据2按照由DVR3中trust类型的VRF、DVR1中trust类型的VRF的路径进行传输,将数据2发送至VM2。
本实施例提供的网络安全配置方法,根据用户的配置数据设置虚拟机对应的安全域类型以及根据配置数据生成路由规则,并将在不同安全域类型的虚拟机上传输的数据汇聚至安全防护设备,将路由规则发送至安全防护设备,使得安全防护设备根据路由规则监控数据的传输安全,提高虚拟私有云网络的安全性。
图3为本发明实施例提供的网络安全配置方法流程示意图二。在本发明实施例中,在图2提供的实施例的基础上,S202中控制目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由之后的进一步的实现方法进行了详细说明。如图3所示,该方法包括:
S301:接收管理数据,并根据管理数据确定目标安全域。
在本发明实施例中,用户可根据需求修改配置的VPC网络的路由属性。具体的,用户将管理数据上传至虚拟网络服务组件,通过虚拟网络管理组件获取管理数据,示例性的,管理数据包含待删除的安全域类型和/或待修改的安全域类型。
S302:根据关系列表确定目标安全域对应的目标子网,并将管理数据发送至目标子网对应的虚拟机,控制目标子网对应的虚拟机根据管理数据对目标安全域进行管理。
在本发明实施例中,通过关系列表确定管理数据中的目标安全域对应的子网,即待管理的目标子网,并将管理数据发送至目标子网对应的虚拟机,使得目标子网对应的虚拟机根据管理数据对目标安全域进行管理。示例性的,管理数据包含待删除的安全域类型和/或待修改的安全域类型,控制目标子网对应的虚拟机根据待删除的安全域类型和/或待修改的安全域类型对目标安全域进行删除或者修改。
本实施例提供的网络安全配置方法,通过控制目标子网对应的虚拟机根据管理数据对目标安全域进行管理,使得用户在配置完网络的网络访问路由之后,可根据需求对路由的安全域类型进行修改或者删除,使得用户可以根据需求灵活配置新的网络访问规则,提高了VPC网络的实用性。
图4为本发明实施例提供的网络安全配置装置的结构示意图。如图4所示,该网络安全配置装置包括:接收模块401、控制模块402及发送模块403。
接收模块401,用于接收虚拟网络服务组件发送的配置数据,其中所述配置数据包含至少一条路由配置数据、域间策略以及关系列表,每条路由配置数据包括路由标识以及安全域类型,其中所述关系列表包含了至少一个安全域类型与子网的对应关系;
控制模块402,用于根据所述关系列表确定所有路由配置数据对应的所有目标虚拟机,并控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由;
发送模块403,用于根据所述域间策略确定路由规则,并将所述路由规则发送至安全防护设备,以使所述安全防护设备根据所述路由规则对所有虚拟路由传输的数据进行安全检测。
在一种可能的实现方式中,所述控制模块402具体用于根据网络配置协议控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由。
在一种可能的实现方式中,网络安全配置装置还包括确定模块,所述确定模块用于接收管理数据,并根据所述管理数据确定目标安全域;根据所述关系列表确定所述目标安全域对应的目标子网,并将所述管理数据发送至所述目标子网对应的虚拟机,控制所述目标子网对应的虚拟机根据管理数据对所述目标安全域进行管理。
本实施例提供的装置,可用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,本实施例此处不再赘述。
图5为本发明实施例提供的配置服务器的硬件结构示意图。如图5所示,本实施例的配置服务器包括:处理器501以及存储器502;其中
存储器502,用于存储计算机执行指令;
处理器501,用于执行存储器存储的计算机执行指令,以实现上述实施例中配置服务器所执行的各个步骤。具体可以参见前述方法实施例中的相关描述。
可选地,存储器502既可以是独立的,也可以跟处理器501集成在一起。
当存储器502独立设置时,该配置服务器还包括总线503,用于连接所述存储器502和处理器501。
本发明实施例还提供一种计算机存储介质,所述计算机存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如上所述的网络安全配置方法。
本发明实施例还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时,实现如上所述的网络安全配置方法。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备和方法,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个模块可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或模块的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个模块单独物理存在,也可以两个或两个以上模块集成在一个单元中。上述模块成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能模块的形式实现的集成的模块,可以存储在一个计算机可读取存储介质中。上述软件功能模块存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器执行本申请各个实施例所述方法的部分步骤。
应理解,上述处理器可以是中央处理单元(Central Processing Unit,简称CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specific Integrated Circuit,简称ASIC)等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合发明所公开的方法的步骤可以直接体现为硬件处理器执行完成,或者用处理器中的硬件及软件模块组合执行完成。
存储器可能包含高速RAM存储器,也可能还包括非易失性存储NVM,例如至少一个磁盘存储器,还可以为U盘、移动硬盘、只读存储器、磁盘或光盘等。
总线可以是工业标准体系结构(Industry Standard Architecture,简称ISA)总线、外部设备互连(Peripheral Component Interconnect,简称PCI)总线或扩展工业标准体系结构(Extended Industry Standard Architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,本申请附图中的总线并不限定仅有一根总线或一种类型的总线。
上述存储介质可以是由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。存储介质可以是通用或专用计算机能够存取的任何可用介质。
一种示例性的存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于专用集成电路(Application Specific Integrated Circuits,简称ASIC)中。当然,处理器和存储介质也可以作为分立组件存在于电子设备或主控设备中。
本领域普通技术人员可以理解:实现上述各方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成。前述的程序可以存储于一计算机可读取存储介质中。该程序在执行时,执行包括上述各方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (10)
1.一种网络安全配置方法,其特征在于,包括:
接收虚拟网络服务组件发送的配置数据,其中所述配置数据包含至少一条路由配置数据、域间策略以及关系列表,每条路由配置数据包括路由标识以及安全域类型,其中所述关系列表包含了至少一个安全域类型与子网的对应关系;
根据所述关系列表确定所有路由配置数据对应的所有目标虚拟机,并控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由;
根据所述域间策略确定路由规则,并将所述路由规则发送至安全防护设备,以使所述安全防护设备根据所述路由规则对所有虚拟路由传输的数据进行安全检测。
2.根据权利要求1所述的方法,其特征在于,所述控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由,包括:
根据网络配置协议控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由。
3.根据权利要求1所述的方法,其特征在于,在所述控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由之后,还包括:
接收管理数据,并根据所述管理数据确定目标安全域;
根据所述关系列表确定所述目标安全域对应的目标子网,并将所述管理数据发送至所述目标子网对应的虚拟机,控制所述目标子网对应的虚拟机根据管理数据对所述目标安全域进行管理。
4.根据权利要求3所述的方法,其特征在于,所述管理数据包含待删除的安全域类型和/或待修改的安全域类型。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述域间策略包括策略标识、目的安全域标识、源安全域标识、目的端口、源端口、目的子网虚拟机地址、源子网虚拟机地址、网络协议版本以及协议类型;
所述安全域类型还包括安全域标识、安全域名称、用户标识以及域详情信息。
6.一种网络安全配置装置,其特征在于,包括:
接收模块,用于接收虚拟网络服务组件发送的配置数据,其中所述配置数据包含至少一条路由配置数据、域间策略以及关系列表,每条路由配置数据包括路由标识以及安全域类型,其中所述关系列表包含了至少一个安全域类型与子网的对应关系;
控制模块,用于根据所述关系列表确定所有路由配置数据对应的所有目标虚拟机,并控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由;
发送模块,用于根据所述域间策略确定路由规则,并将所述路由规则发送至安全防护设备,以使所述安全防护设备根据所述路由规则对所有虚拟路由传输的数据进行安全检测。
7.根据权利要求6所述的装置,其特征在于,所述控制模块,具体用于根据网络配置协议控制所述目标虚拟机根据对应的路由配置数据中的路由标识以及安全域类型创建虚拟路由。
8.根据权利要求6所述的装置,其特征在于,所述装置还包括确定模块,所述确定模块用于接收管理数据,并根据所述管理数据确定目标安全域;根据所述关系列表确定所述目标安全域对应的目标子网,并将所述管理数据发送至所述目标子网对应的虚拟机,控制所述目标子网对应的虚拟机根据管理数据对所述目标安全域进行管理。
9.一种配置服务器,其特征在于,包括:至少一个处理器和存储器;
所述存储器存储计算机执行指令;
所述至少一个处理器执行所述存储器存储的计算机执行指令,使得所述至少一个处理器执行如权利要求1至5任一项所述的网络安全配置方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质中存储有计算机执行指令,当处理器执行所述计算机执行指令时,实现如权利要求1至5任一项所述的网络安全配置方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111085280.7A CN113810283A (zh) | 2021-09-16 | 2021-09-16 | 网络安全配置方法、装置、服务器及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111085280.7A CN113810283A (zh) | 2021-09-16 | 2021-09-16 | 网络安全配置方法、装置、服务器及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113810283A true CN113810283A (zh) | 2021-12-17 |
Family
ID=78895515
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111085280.7A Pending CN113810283A (zh) | 2021-09-16 | 2021-09-16 | 网络安全配置方法、装置、服务器及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113810283A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023216035A1 (zh) * | 2022-05-07 | 2023-11-16 | Oppo广东移动通信有限公司 | 安全域管理方法、装置、设备、存储介质及程序产品 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160218917A1 (en) * | 2015-01-26 | 2016-07-28 | Telefonaktiebolaget L M Ericsson (Publ) | SDN Based Interdomain and Intradomain Traffic Engineering |
| CN107888597A (zh) * | 2017-11-16 | 2018-04-06 | 杭州迪普科技股份有限公司 | 一种FWaaS安全域配置方法及装置 |
| CN107995144A (zh) * | 2016-10-26 | 2018-05-04 | 北京金山云网络技术有限公司 | 一种基于安全组的访问控制方法及装置 |
| CN109254831A (zh) * | 2018-09-06 | 2019-01-22 | 山东师范大学 | 基于云管理平台的虚拟机网络安全管理方法 |
| CN109858288A (zh) * | 2018-12-26 | 2019-06-07 | 中国科学院信息工程研究所 | 实现虚拟机安全隔离的方法与装置 |
| CN109995816A (zh) * | 2017-12-29 | 2019-07-09 | 中移(苏州)软件技术有限公司 | 基于云计算平台的信息导入方法、装置和通信设备 |
| CN110474913A (zh) * | 2019-08-20 | 2019-11-19 | 福建伊时代信息科技股份有限公司 | 一种云环境下的虚拟化防护方法及终端 |
| CN111181861A (zh) * | 2020-01-13 | 2020-05-19 | 山东汇贸电子口岸有限公司 | 策略路由实现方法和装置 |
-
2021
- 2021-09-16 CN CN202111085280.7A patent/CN113810283A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160218917A1 (en) * | 2015-01-26 | 2016-07-28 | Telefonaktiebolaget L M Ericsson (Publ) | SDN Based Interdomain and Intradomain Traffic Engineering |
| CN107995144A (zh) * | 2016-10-26 | 2018-05-04 | 北京金山云网络技术有限公司 | 一种基于安全组的访问控制方法及装置 |
| CN107888597A (zh) * | 2017-11-16 | 2018-04-06 | 杭州迪普科技股份有限公司 | 一种FWaaS安全域配置方法及装置 |
| CN109995816A (zh) * | 2017-12-29 | 2019-07-09 | 中移(苏州)软件技术有限公司 | 基于云计算平台的信息导入方法、装置和通信设备 |
| CN109254831A (zh) * | 2018-09-06 | 2019-01-22 | 山东师范大学 | 基于云管理平台的虚拟机网络安全管理方法 |
| CN109858288A (zh) * | 2018-12-26 | 2019-06-07 | 中国科学院信息工程研究所 | 实现虚拟机安全隔离的方法与装置 |
| CN110474913A (zh) * | 2019-08-20 | 2019-11-19 | 福建伊时代信息科技股份有限公司 | 一种云环境下的虚拟化防护方法及终端 |
| CN111181861A (zh) * | 2020-01-13 | 2020-05-19 | 山东汇贸电子口岸有限公司 | 策略路由实现方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 黄良良等: "基于Xen硬件虚拟机的安全通信机制研究", 《计算机安全》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2023216035A1 (zh) * | 2022-05-07 | 2023-11-16 | Oppo广东移动通信有限公司 | 安全域管理方法、装置、设备、存储介质及程序产品 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11323487B1 (en) | Scalable policy management for virtual networks | |
| US10728288B2 (en) | Policy-driven workload launching based on software defined networking encryption policies | |
| US11451467B2 (en) | Global-scale connectivity using scalable virtual traffic hubs | |
| US11088944B2 (en) | Serverless packet processing service with isolated virtual network integration | |
| US11470001B2 (en) | Multi-account gateway | |
| CN111917893B (zh) | 虚拟私有云与云下数据中心通信、配置方法及相关装置 | |
| US11418546B1 (en) | Scalable port range management for security policies | |
| US9602335B2 (en) | Independent network interfaces for virtual network environments | |
| US11606254B2 (en) | Automatic configuring of VLAN and overlay logical switches for container secondary interfaces | |
| US10051007B2 (en) | Network traffic control device, and security policy configuration method and apparatus thereof | |
| US20190182256A1 (en) | Private network layering in provider network environments | |
| US11700236B2 (en) | Packet steering to a host-based firewall in virtualized environments | |
| CN114338606B (zh) | 一种公有云的网络配置方法及相关设备 | |
| US10742554B2 (en) | Connectivity management using multiple route tables at scalable virtual traffic hubs | |
| CN113810283A (zh) | 网络安全配置方法、装置、服务器及存储介质 | |
| Mikovic et al. | Enabling sdn experimentation in network testbeds | |
| US11296981B2 (en) | Serverless packet processing service with configurable exception paths | |
| Alaluna et al. | Secure and dependable multi-cloud network virtualization | |
| CN113904871A (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 | |
| US20240106832A1 (en) | Remote data planes for virtual private label clouds | |
| US10848418B1 (en) | Packet processing service extensions at remote premises | |
| CN115686818A (zh) | 弹性网络接口eni的配置方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20211217 |