CN114006707B - 东西向防火墙配置方法、装置和系统 - Google Patents
东西向防火墙配置方法、装置和系统 Download PDFInfo
- Publication number
- CN114006707B CN114006707B CN202010668577.5A CN202010668577A CN114006707B CN 114006707 B CN114006707 B CN 114006707B CN 202010668577 A CN202010668577 A CN 202010668577A CN 114006707 B CN114006707 B CN 114006707B
- Authority
- CN
- China
- Prior art keywords
- east
- west
- firewall
- virtual machine
- configuration information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000012217 deletion Methods 0.000 claims description 29
- 230000037430 deletion Effects 0.000 claims description 29
- 230000006870 function Effects 0.000 claims description 8
- 238000012545 processing Methods 0.000 claims description 8
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 claims 2
- 238000010586 diagram Methods 0.000 description 10
- 238000004891 communication Methods 0.000 description 3
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0246—Exchanging or transporting network management information using the Internet; Embedding network management web servers in network elements; Web-services-based protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供一种东西向防火墙配置方法、装置和系统。东西向防火墙配置装置在接收到租户发送的东西向防火墙创建请求后,从创建请求中获取引流网络配置信息;为东西向防火墙分配引流网络IP地址;将创建请求发送给虚拟机管理设备,以便虚拟机管理设备创建东西向防火墙虚拟机;在接收到虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后,从创建完成指示信息中获取虚拟机配置信息;向SDN控制器发送东西向防火墙创建指令,其中创建指令包括虚拟机配置信息和引流网络配置信息,以便SDN控制器根据引流网络配置信息和虚拟机配置信息创建引流网络,并进行相应的流表配置。本公开能够实现按需提供东西向防火墙服务。
Description
技术领域
本公开涉及云计算领域,特别涉及一种东西向防火墙配置方法、装置和系统。
背景技术
随着云计算等技术的不断发展,云资源池逐渐引入SDN(Software DefinedNetwork,软件定义网络)及计算虚拟化提供虚拟计算、网络等业务。
在相关技术中,SDN网络环境中的东西向业务的防护能力通常由SDN解决方案自带的安全组进行提供。SDN与虚拟防火墙需要相互协同进行网络配置,需要SDN控制器能够感知防火墙生命周期的事件,并能相应更新SDN网络的流表配置,将有需求的租户流量引流到防火墙,进行安全过滤。
发明内容
发明人注意到,目前资源池内的东西向防火墙主要依靠SDN厂商自带的安全组功能进行提供,安全组的配置较为简单,防护能力较低,无法应对复杂的云业务安全需求。
为此,本公开提供一种东西向防火墙配置方案,以实现按需提供东西向防火墙服务。
根据本公开实施例的第一方面,提供一种东西向防火墙配置方法,包括:在接收到租户发送的东西向防火墙创建请求后,从所述创建请求中获取引流网络配置信息;为东西向防火墙分配引流网络IP地址;将所述创建请求发送给虚拟机管理设备,以便所述虚拟机管理设备创建所述东西向防火墙虚拟机;在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后,从所述创建完成指示信息中获取虚拟机配置信息;向软件定义网络SDN控制器发送东西向防火墙创建指令,其中所述创建指令包括所述虚拟机配置信息和所述引流网络配置信息,以便所述SDN控制器根据所述引流网络配置信息和所述虚拟机配置信息创建引流网络,并进行相应的流表配置。
在一些实施例中,所述引流网络配置信息包括所述引流网络的网关信息、无分类域间路由选择CIDR信息和虚拟网络接口VNI信息中的至少一项。
在一些实施例中,所述虚拟机管理设备包括网元管理系统EMS设备或虚拟化网络功能管理VNFM设备。
在一些实施例中,所述虚拟机配置信息包括所述东西向防火墙的虚拟机标识符VMID和端口号中的至少一项。
在一些实施例中,在接收到所述租户发送的东西向防火墙删除请求后,将所述删除请求发送给所述虚拟机管理设备,以便所述虚拟机管理设备删除所述东西向防火墙虚拟机;在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后,向所述SDN控制器发送东西向防火墙删除指令,以便所述SDN控制器删除所述东西向防火墙虚拟机的配置信息,并删除相应流表。
根据本公开实施例的第二方面,提供一种东西向防火墙配置装置,包括:业务接口模块,被配置为接收租户发送的东西向防火墙创建请求;业务处理模块,被配置为在所述业务接口模块接收到所述创建请求后,从所述创建请求中获取引流网络配置信息,为东西向防火墙分配引流网络IP地址,将所述创建请求发送给虚拟机管理设备,以便所述虚拟机管理设备创建所述东西向防火墙虚拟机,在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后,从所述创建完成指示信息中获取虚拟机配置信息,向SDN控制器发送东西向防火墙创建指令,其中所述创建指令包括所述虚拟机配置信息和所述引流网络配置信息,以便所述SDN控制器根据所述引流网络配置信息和所述虚拟机配置信息创建引流网络,并进行相应的流表配置。
在一些实施例中,所述引流网络配置信息包括所述引流网络的网关信息、无分类域间路由选择CIDR信息和虚拟网络接口VNI信息中的至少一项。
在一些实施例中,所述虚拟机管理设备包括网元管理系统EMS设备或虚拟化网络功能管理VNFM设备。
在一些实施例中,所述虚拟机配置信息包括所述东西向防火墙的虚拟机标识符VMID和端口号中的至少一项。
在一些实施例中,业务接口模块还被配置为接收所述租户发送的东西向防火墙删除请求;业务处理模块还被配置为在所述业务接口模块接收到所述租户发送的东西向防火墙删除请求后,将所述东西向防火墙删除请求发送给所述虚拟机管理设备,以便所述虚拟机管理设备删除所述东西向防火墙虚拟机,在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后,向所述SDN控制器发送东西向防火墙删除指令,以便所述SDN控制器删除所述东西向防火墙虚拟机的配置信息,并删除相应流表。
根据本公开实施例的第三方面,提供一种东西向防火墙配置装置,包括:存储器,被配置为存储指令;处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如上述任一实施例所述的方法。
根据本公开实施例的第四方面,提供一种云管理平台,包括如上述任一实施例所述的东西向防火墙配置装置。
根据本公开实施例的第五方面,提供一种东西向防火墙配置系统,包括:如上述任一实施例所述的云管理平台;虚拟机管理设备,被配置为根据所述云管理平台中的东西向防火墙配置装置发送的东西向防火墙创建请求创建东西向防火墙虚拟机,并向所述东西向防火墙配置装置发送东西向防火墙虚拟机创建完成指示信息,其中所述创建完成指示信息中包括虚拟机配置信息;SDN控制器,被配置为在接收到所述东西向防火墙配置装置发送的东西向防火墙创建指令后,根据所述创建指令中包括的引流网络配置信息和虚拟机配置信息创建引流网络,并进行相应的流表配置。
在一些实施例中,虚拟机管理设备还被配置为根据所述东西向防火墙配置装置发送的东西向防火墙删除请求,删除相应的东西向防火墙虚拟机,并向所述东西向防火墙配置装置发送东西向防火墙虚拟机删除成功指示信息;SDN控制器还被配置为根据东西向防火墙配置装置发送的东西向防火墙删除指令,删除相应的东西向防火墙虚拟机配置信息,并删除相应流表。
根据本公开实施例的第六方面,提供一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如上述任一实施例涉及的方法。
通过以下参照附图对本公开的示例性实施例的详细描述,本公开的其它特征及其优点将会变得清楚。
附图说明
为了更清楚地说明本公开实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个实施例的东西向防火墙配置方法的流程示意图;
图2为本公开另一个实施例的东西向防火墙配置方法的流程示意图;
图3为本公开一个实施例的东西向防火墙配置装置的结构示意图;
图4为本公开另一个实施例的东西向防火墙配置装置的结构示意图;
图5为本公开一个实施例的云管理平台的结构示意图;
图6为本公开一个实施例的东西向防火墙配置系统的结构示意图;
图7为本公开一个实施例的东西向防火墙配置系统架构示意图。
具体实施方式
下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本公开一部分实施例,而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本公开保护的范围。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为授权说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不是作为限制。因此,示例性实施例的其它示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
图1为本公开一个实施例的东西向防火墙配置方法的流程示意图。在一些实施例中,下列的东西向防火墙配置方法步骤由东西向防火墙配置装置执行。
在步骤101,在接收到租户发送的东西向防火墙创建请求后,从创建请求中获取引流网络配置信息。
在一些实施例中,引流网络配置信息包括引流网络的网关信息、CIDR(ClasslessInterDomain Routing,无分类域间路由选择)信息和VNI(Virtual Network Interface,虚拟网络接口)信息中的至少一项。
在步骤102,为东西向防火墙分配引流网络IP地址。
在步骤103,将创建请求发送给虚拟机管理设备,以便虚拟机管理设备创建东西向防火墙虚拟机。
在一些实施例中,虚拟机管理设备包括EMS(Element Management System,网元管理系统)设备或VNFM(Virtualized Network Function Manager,虚拟化网络功能管理)设备。
在步骤104,在接收到虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后,从创建完成指示信息中获取虚拟机配置信息。
在一些实施例中,虚拟机配置信息包括东西向防火墙的VMID(Virtual MachineIdentifier,虚拟机标识符)和端口号中的至少一项。
在步骤105,向SDN控制器发送东西向防火墙创建指令,其中创建指令包括虚拟机配置信息和引流网络配置信息,以便SDN控制器根据引流网络配置信息和虚拟机配置信息创建引流网络,并进行相应的流表配置。
在本公开上述实施例提供的东西向防火墙配置方法中,根据租户发送的创建请求创建相应的东西向防火墙虚拟机,创建相应的引流网络并进行相应的流表配置,以便按需为租户提供东西向防火墙服务。
图2为本公开另一实施例的东西向防火墙配置方法的流程示意图。在一些实施例中,下列的东西向防火墙配置方法步骤由东西向防火墙配置装置执行。
在步骤201,在接收到租户发送的东西向防火墙删除请求后,将删除请求发送给虚拟机管理设备,以便虚拟机管理设备删除东西向防火墙虚拟机。
在步骤202,在接收到虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后,向SDN控制器发送东西向防火墙删除指令,以便SDN控制器删除东西向防火墙虚拟机的配置信息,并删除相应流表。
在本公开上述实施例提供的东西向防火墙配置方法中,根据租户发送的删除请求删除相应的东西向防火墙虚拟机,删除相应的引流网络和流表配置,以满足租户对东西向防火墙服务的需求。
图3为本公开一个实施例的东西向防火墙配置装置的结构示意图。如图3所示,东西向防火墙配置装置包括业务接口模块31和业务处理模块32。
业务接口模块31被配置为接收租户发送的东西向防火墙创建请求。
业务处理模块32被配置为在业务接口模块31接收到创建请求后,从创建请求中获取引流网络配置信息,为东西向防火墙分配引流网络IP地址,将创建请求发送给虚拟机管理设备,以便虚拟机管理设备创建东西向防火墙虚拟机,在接收到虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后,从创建完成指示信息中获取虚拟机配置信息,向SDN控制器发送东西向防火墙创建指令,其中创建指令包括虚拟机配置信息和引流网络配置信息,以便SDN控制器根据引流网络配置信息和虚拟机配置信息创建引流网络,并进行相应的流表配置。
在一些实施例中,引流网络配置信息包括引流网络的网关信息、CIDR信息和VNI信息中的至少一项。
在一些实施例中,虚拟机管理设备包括EMS设备或VNFM设备。
在一些实施例中,虚拟机配置信息包括东西向防火墙的VMID和端口号中的至少一项。
在一些实施例中,业务接口模块31还被配置为接收租户发送的东西向防火墙删除请求。
业务处理模块32还被配置为在业务接口模块31接收到租户发送的东西向防火墙删除请求后,将东西向防火墙删除请求发送给虚拟机管理设备,以便虚拟机管理设备删除东西向防火墙虚拟机,在接收到虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后,向SDN控制器发送东西向防火墙删除指令,以便SDN控制器删除东西向防火墙虚拟机的配置信息,并删除相应流表。
图4为本公开另一个实施例的东西向防火墙配置装置的结构示意图。如图4所示,东西向防火墙配置装置包括存储器41和处理器42。
存储器41用于存储指令。处理器42耦合到存储器41。处理器42被配置为基于存储器存储的指令执行实现如图1或图2中任一实施例涉及的方法。
如图4所示,东西向防火墙配置装置还包括通信接口43,用于与其它设备进行信息交互。同时,该装置还包括总线44,处理器42、通信接口43、以及存储器41通过总线44完成相互间的通信。
存储器41可以包含高速RAM(Random Access Memory,随机存取存储器),也可还包括NVM(Non-Volatile Memory,非易失性存储器)。例如至少一个磁盘存储器。存储器41也可以是存储器阵列。存储器41还可能被分块,并且块可按一定的规则组合成虚拟卷。
此外,处理器42可以是一个中央处理器,或者可以是ASIC(Application SpecificIntegrated Circuit,专用集成电路),或者是被配置成实施本公开实施例的一个或多个集成电路。
本公开还提供一种计算机可读存储介质。计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如图1或图2中任一实施例涉及的方法。
图5为本公开一个实施例的云管理平台的结构示意图。如图5所示,云管理平台51中设有东西向防火墙配置装置52。东西向防火墙配置装置52为图3或图4中任一实施例涉及的东西向防火墙配置装置。
图6为本公开一个实施例的东西向防火墙配置系统的结构示意图。如图6所示,东西向防火墙配置系统包括云管理平台61、虚拟机管理设备62和SDN控制器63。云管理平台61为图5中任一实施例涉及的云管理平台。
虚拟机管理设备62被配置为根据云管理平台61中的东西向防火墙配置装置发送的东西向防火墙创建请求创建东西向防火墙虚拟机,并向东西向防火墙配置装置发送东西向防火墙虚拟机创建完成指示信息,其中创建完成指示信息中包括虚拟机配置信息。
在一些实施例中,虚拟机管理设备62包括EMS设备或VNFM设备。
SDN控制器63被配置为在接收到东西向防火墙配置装置发送的东西向防火墙创建指令后,根据创建指令中包括的引流网络配置信息和虚拟机配置信息创建引流网络,并进行相应的流表配置。
在一些实施例中,虚拟机管理设备62还被配置为根据东西向防火墙配置装置发送的东西向防火墙删除请求,删除相应的东西向防火墙虚拟机,并向东西向防火墙配置装置发送东西向防火墙虚拟机删除成功指示信息。
SDN控制器63还被配置为根据东西向防火墙配置装置发送的东西向防火墙删除指令,删除相应的东西向防火墙虚拟机配置信息,并删除相应流表。
图7为本公开一个实施例的东西向防火墙配置系统架构示意图。在图7中,EMS/VNFM通过NVE(Network Virtualization Edge,网络虚拟边缘)设备管理东西向防火墙虚拟机vFM(Virtual Firewall)。SDN控制器通过NVE管理VM(Virtual Machine,虚拟机),并通过虚拟交换机vSwitch与SDN网关交互。
通过实施本公开,能够得到以下有益效果:
1、增加东西向防火墙的业务定义,增加东西向防火墙引流网络的配置;
2、为云管理平台增加“方向”属性,可根据需求配置南北向防火墙或东西向防火墙;
3、SDN控制器开放东西向防火墙的流表配置;
4、无需对现有网络架构进行改动,只需修改云管理平台和SDN控制的代码即可,便于系统管理和维护。
在一些实施例中,上述功能模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(Programmable Logic Controller,简称:PLC)、数字信号处理器(Digital Signal Processor,简称:DSP)、专用集成电路(Application SpecificIntegrated Circuit,简称:ASIC)、现场可编程门阵列(Field-Programmable Gate Array,简称:FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
至此,已经详细描述了本公开的实施例。为了避免遮蔽本公开的构思,没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述,完全可以明白如何实施这里公开的技术方案。
虽然已经通过示例对本公开的一些特定实施例进行了详细说明,但是本领域的技术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本公开的范围。本领域的技术人员应该理解,可在不脱离本公开的范围和精神的情况下,对以上实施例进行修改或者对部分技术特征进行等同替换。本公开的范围由所附权利要求来限定。
Claims (15)
1.一种东西向防火墙配置方法,包括:
在接收到租户发送的东西向防火墙创建请求后,从所述创建请求中获取引流网络配置信息;
为东西向防火墙分配引流网络IP地址;
将所述创建请求发送给虚拟机管理设备,以便所述虚拟机管理设备创建东西向防火墙虚拟机;
在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后,从所述创建完成指示信息中获取虚拟机配置信息;
向软件定义网络SDN控制器发送东西向防火墙创建指令,其中所述创建指令包括所述虚拟机配置信息和所述引流网络配置信息,以便所述SDN控制器根据所述引流网络配置信息和所述虚拟机配置信息创建引流网络,并进行相应的流表配置。
2.根据权利要求1所述的方法,其中:
所述引流网络配置信息包括所述引流网络的网关信息、无分类域间路由选择CIDR信息和虚拟网络接口VNI信息中的至少一项。
3.根据权利要求1所述的方法,其中:
所述虚拟机管理设备包括网元管理系统EMS设备或虚拟化网络功能管理VNFM设备。
4.根据权利要求1所述的方法,其中:
所述虚拟机配置信息包括所述东西向防火墙的虚拟机标识符VMID和端口号中的至少一项。
5.根据权利要求1-4中任一项所述的方法,还包括:
在接收到所述租户发送的东西向防火墙删除请求后,将所述删除请求发送给所述虚拟机管理设备,以便所述虚拟机管理设备删除所述东西向防火墙虚拟机;
在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后,向所述SDN控制器发送东西向防火墙删除指令,以便所述SDN控制器删除所述东西向防火墙虚拟机的配置信息,并删除相应流表。
6.一种东西向防火墙配置装置,包括:
业务接口模块,被配置为接收租户发送的东西向防火墙创建请求;
业务处理模块,被配置为在所述业务接口模块接收到所述创建请求后,从所述创建请求中获取引流网络配置信息,为东西向防火墙分配引流网络IP地址,将所述创建请求发送给虚拟机管理设备,以便所述虚拟机管理设备创建东西向防火墙虚拟机,在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后,从所述创建完成指示信息中获取虚拟机配置信息,向SDN控制器发送东西向防火墙创建指令,其中所述创建指令包括所述虚拟机配置信息和所述引流网络配置信息,以便所述SDN控制器根据所述引流网络配置信息和所述虚拟机配置信息创建引流网络,并进行相应的流表配置。
7.根据权利要求6所述的装置,其中:
所述引流网络配置信息包括所述引流网络的网关信息、无分类域间路由选择CIDR信息和虚拟网络接口VNI信息中的至少一项。
8.根据权利要求6所述的装置,其中:
所述虚拟机管理设备包括网元管理系统EMS设备或虚拟化网络功能管理VNFM设备。
9.根据权利要求6所述的装置,其中:
所述虚拟机配置信息包括所述东西向防火墙的虚拟机标识符VMID和端口号中的至少一项。
10.根据权利要求6-9中任一项所述的装置,其中:
业务接口模块还被配置为接收所述租户发送的东西向防火墙删除请求;
业务处理模块还被配置为在所述业务接口模块接收到所述租户发送的东西向防火墙删除请求后,将所述东西向防火墙删除请求发送给所述虚拟机管理设备,以便所述虚拟机管理设备删除所述东西向防火墙虚拟机,在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后,向所述SDN控制器发送东西向防火墙删除指令,以便所述SDN控制器删除所述东西向防火墙虚拟机的配置信息,并删除相应流表。
11.一种东西向防火墙配置装置,包括:
存储器,被配置为存储指令;
处理器,耦合到存储器,处理器被配置为基于存储器存储的指令执行实现如权利要求1-5中任一项所述的方法。
12.一种云管理平台,包括如权利要求6-11中任一项所述的东西向防火墙配置装置。
13.一种东西向防火墙配置系统,包括:
如权利要求12所述的云管理平台;
虚拟机管理设备,被配置为根据所述云管理平台中的东西向防火墙配置装置发送的东西向防火墙创建请求创建东西向防火墙虚拟机,并向所述东西向防火墙配置装置发送东西向防火墙虚拟机创建完成指示信息,其中所述创建完成指示信息中包括虚拟机配置信息;
SDN控制器,被配置为在接收到所述东西向防火墙配置装置发送的东西向防火墙创建指令后,根据所述创建指令中包括的引流网络配置信息和虚拟机配置信息创建引流网络,并进行相应的流表配置。
14.根据权利要求13所述的系统,其中:
虚拟机管理设备还被配置为根据所述东西向防火墙配置装置发送的东西向防火墙删除请求,删除相应的东西向防火墙虚拟机,并向所述东西向防火墙配置装置发送东西向防火墙虚拟机删除成功指示信息;
SDN控制器还被配置为根据东西向防火墙配置装置发送的东西向防火墙删除指令,删除相应的东西向防火墙虚拟机配置信息,并删除相应流表。
15.一种计算机可读存储介质,其中,计算机可读存储介质存储有计算机指令,指令被处理器执行时实现如权利要求1-5中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010668577.5A CN114006707B (zh) | 2020-07-13 | 2020-07-13 | 东西向防火墙配置方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010668577.5A CN114006707B (zh) | 2020-07-13 | 2020-07-13 | 东西向防火墙配置方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114006707A CN114006707A (zh) | 2022-02-01 |
CN114006707B true CN114006707B (zh) | 2023-11-21 |
Family
ID=79920111
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010668577.5A Active CN114006707B (zh) | 2020-07-13 | 2020-07-13 | 东西向防火墙配置方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114006707B (zh) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9641544B1 (en) * | 2015-09-18 | 2017-05-02 | Palo Alto Networks, Inc. | Automated insider threat prevention |
CN108965000A (zh) * | 2018-07-12 | 2018-12-07 | 成都安恒信息技术有限公司 | 一种私有云sdn引流实现方法 |
CN109218053A (zh) * | 2017-07-03 | 2019-01-15 | 中兴通讯股份有限公司 | 虚拟数据中心的实现方法、系统和存储介质 |
CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
-
2020
- 2020-07-13 CN CN202010668577.5A patent/CN114006707B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9641544B1 (en) * | 2015-09-18 | 2017-05-02 | Palo Alto Networks, Inc. | Automated insider threat prevention |
CN109218053A (zh) * | 2017-07-03 | 2019-01-15 | 中兴通讯股份有限公司 | 虚拟数据中心的实现方法、系统和存储介质 |
CN108965000A (zh) * | 2018-07-12 | 2018-12-07 | 成都安恒信息技术有限公司 | 一种私有云sdn引流实现方法 |
CN110378103A (zh) * | 2019-07-22 | 2019-10-25 | 电子科技大学 | 一种基于OpenFlow协议的微隔离防护方法及系统 |
Non-Patent Citations (1)
Title |
---|
云资源池集成虚拟防火墙方案及关键技术;黄志兰 等;电信科学(第第5期期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN114006707A (zh) | 2022-02-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108293022B (zh) | 一种报文传输的方法、装置和系统 | |
US9344286B2 (en) | Multicast data forwarding method and device supporting virtual terminal | |
CN105610632B (zh) | 一种虚拟网络设备及相关方法 | |
EP3300298B1 (en) | Method and apparatus for switching vnf | |
CN111193773B (zh) | 负载均衡方法、装置、设备及存储介质 | |
CN109995639B (zh) | 一种数据传输方法、装置、交换机及存储介质 | |
CN106953848B (zh) | 一种基于ForCES的软件定义网络实现方法 | |
CN104065759A (zh) | 一种提高nat地址池资源利用效率的方法及装置 | |
WO2016095201A1 (zh) | 业务链的部署方法和装置 | |
US10873636B2 (en) | Session management in a forwarding plane | |
CN109189758B (zh) | 运维流程设计方法、装置和设备、运行方法、装置和主机 | |
CN115118585A (zh) | 一种业务的部署方法、装置及系统 | |
CN107534577B (zh) | 一种网络业务实例化的方法及设备 | |
CN112311669B (zh) | 网络业务切换方法、装置、系统和存储介质 | |
CN108881460B (zh) | 一种云平台统一监控的实现方法和实现装置 | |
EP4083795A1 (en) | Method for deploying virtual machine, and related apparatus | |
CN108512737B (zh) | 一种数据中心ip层互联的方法和sdn控制器 | |
CN107919975B (zh) | 一种业务资源分配方法和装置 | |
CN114006707B (zh) | 东西向防火墙配置方法、装置和系统 | |
CN110311861B (zh) | 一种引导数据流量的方法和装置 | |
KR102168188B1 (ko) | 인텐트 기반의 정책구성을 통한 가상 네트워크 인프라의 프로비저닝을 관리하는 방법 및 수행하는 프로그램이 기록된 컴퓨터 판독이 가능한 기록매체 및 그 관리자 및 시스템 | |
CN113904871B (zh) | 网络切片的接入方法、pcf实体、终端和通信系统 | |
JP6591045B2 (ja) | ネットワークサービスを移行するための方法及びネットワークサービス装置 | |
CN106803804B (zh) | 传输报文的方法和装置 | |
CN114979128A (zh) | 跨区域通信方法、装置及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |