CN115842664A - 一种公有云网络流量安全的实现方法 - Google Patents
一种公有云网络流量安全的实现方法 Download PDFInfo
- Publication number
- CN115842664A CN115842664A CN202211479035.9A CN202211479035A CN115842664A CN 115842664 A CN115842664 A CN 115842664A CN 202211479035 A CN202211479035 A CN 202211479035A CN 115842664 A CN115842664 A CN 115842664A
- Authority
- CN
- China
- Prior art keywords
- security policy
- vpc
- security
- index value
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000004590 computer program Methods 0.000 claims description 4
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 206010047289 Ventricular extrasystoles Diseases 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000005129 volume perturbation calorimetry Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种公有云网络流量安全的实现方法,当用户有VPC与VPC或者VPC与云外网络的流量安全的需求时,可以创建一条或者多条安全策略,并配置安全策略的五元组和优先级以及执行动作。用户不需要安全策略后,可将安全策略删除,当VPC未绑定任何安全策略时,VPC会将默认的全放行的规则还原,使VPC不再进行安全保护。本发明有益效果:一种公有云网络流量安全的实现方法,利用防火墙域间策略来实现VPC与VPC、VPC与云外网络互通时增加安全策略的目的,保障了进出VPC的网络流量安全。
Description
技术领域
本发明属于公有云网络领域,尤其是涉及一种公有云网络流量安全的实现方法。
背景技术
虚拟私有云(VPC)是一个公共云计算资源的动态配置池,需要使用加密协议、隧道协议和其他安全程序,一个VPC基本上把提供商的多租户架构变成单租户架构。VPC为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境,提升用户云中资源的安全性,简化用户的网络部署。VPC是用户在云厂商中的购买搭建的一个基础云网络环境,用户通过VPC可以安全、方便快捷的配置和管理内部网络,可以自定义很多的网络产品和配置,根据自己的需求构建一个专属自己的网络拓扑。
VPC为用户提供了一个专属的网络环境,可以弹性配置VPC内部的网络和云服务器,很好的满足了用户对于弹性网络和网络安全的需求。但是作为用户私有的网络环境,如何保证网络流量的安全,是个大问题。
发明内容
有鉴于此,本发明旨在提出一种公有云网络流量安全的实现方法,实现用户可自行配置安全策略,利用云防火墙来实现对VPC与VPC南北向流量、VPC与Internet网络(云外网络)流量的安全保护和限制。
为达到上述目的,本发明的技术方案是这样实现的:
一种公有云网络流量安全的实现方法,其特征在于:
用户创建安全策略,指定源VPC和目的VPC;
程序根据用户创建的安全策略,查源和目的VPC是否有过安全策略,有则按优先级顺序重新排序后下发到防火墙的域间策略上,没有则把VPC默认的全放行的域间策略规则删除,再将创建的安全策略下发到域间策略上,安全策略索引值按照索引值算法去分配;
当用户删除安全策略时,首先将安全策略规则删除,并将索引值回收,再查询同一个VPC下是否还存在安全策略,若存在则无继续操作,若是VPC的最后一条安全策略,则在删除用户创建的安全策略的同时还需要把VPC默认的全放行的安全策略恢复。
进一步的,VPC与VPC之间互通策略如下:
A1、首先创建VPC1和VPC2的安全策略,然后进行步骤A2和步骤A5;
A2、判断VpcZone1-EXTERNAL是否已创建过安全策略规则,如果会则进行步骤A3,否则进行步骤A4,;
A3、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表,然后进行步骤A8;
A4、删除VPC1默认的VpcZone1-EXTERNAL和域间策略,新策略加入待下发的安全策略列表中,然后进行步骤A8;
A5、判断EXTERNAL-VpcZone2是否已创建过安全策略规则,如果是则进行步骤A6,否则进入步骤A7;
A6、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表,然后进行步骤A8;
A7、删除VPC1默认的VpcZone1-EXTERNAL和域间策略,新策略加入待下发的安全策略列表中,然后进行步骤A8;
A8、将最新有序的安全策略列表中的安全策略批量下发到设备上;
A9、等待设备返回配置结果后判断设备配置是否成功,成功则返回最终结果后结束,否则重试向设备重新下发配置后再次等待设备返回配置结果。
进一步的,VPC与云外网络互通策略如下:
B1、创建VPC1到云外网络的安全策略;
B2、判断VpcZone1-EXTERNAL是否已创建过安全策略规则,如果否则进行步骤B3,否则进行步骤B4;
B3、删除VPC1默认的VpcZone1-EXTERNAL和域间略,新策略加入待下发的安全策略列表中,然后执行步骤B5;
B4、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表;
B5、将最新有序的安全策略列表中的安全策略批量下发到设备上;
B6、等待设备返回配置结果;
B7、判断设备配置是否成功,如果是则返回最终结果后结束,否则重试向设备重新下发配置后重新等待设备返回配置结果。
进一步的,安全策略索引值分配流程如下:
C1、分配索引值请求;
C2、判断是否有索引范围,如果否则进行步骤C3,否则进入C4;
C3、报错后抛出异常后结束;
C4、判断同一个域间是否已分配安全策略索引,如果否则进行步骤C5,否则进行步骤C6;
C5、把索引范围的最小值作为分配值,并置成已分配状态,然后返回索引值后结束;
C6、把同一个域间取出已分配的最大索引值,把最大索引值+1作为分配的索引值;
C7、判断分配的索引值是否在索引值范围内,如果是则返回索引值后结束,否则进行步骤C8;
C8、从已回收的索引值中取出最小的值作为最终索引值,并将此索引值设置为已分配后返回索引值后结束。
进一步的,本方案公开了一种电子设备,包括处理器以及与处理器通信连接,且用于存储所述处理器可执行指令的存储器,所述处理器用于执行一种公有云网络流量安全的实现方法。
进一步的,本方案公开了一种服务器,包括至少一个处理器,以及与所述处理器通信连接的存储器,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述处理器执行,以使所述至少一个处理器执行一种公有云网络流量安全的实现方法。
进一步的,本方案公开了一种计算机可读取存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现一种公有云网络流量安全的实现方法。
相对于现有技术,本发明所述的一种公有云网络流量安全的实现方法具有以下有益效果:
(1)本发明所述的一种公有云网络流量安全的实现方法,利用防火墙域间策略来实现VPC与VPC、VPC与云外网络互通时增加安全策略的目的,保障了进出VPC的网络流量安全;
(2)本发明所述的一种公有云网络流量安全的实现方法,防火墙域间策略不支持优先级功能,越靠前优先级越高,利用索引值的分配算法,将索引值与安全策略优先级进行绑定,按优先级排序后再将配置按顺序下发到设备,以此来规避了防火前域间策略优先级功能不好使的问题;
(3)本发明所述的一种公有云网络流量安全的实现方法,巧妙地增加了一个external_vpn的出外网的vpn实例作为中转,可对VPC与VPC互通,VPC与云外网络互通实现兼容;
(4)本发明所述的一种公有云网络流量安全的实现方法,在安全策略删除后,索引值可回收等待再次被使用,缩小了索引值的范围,减少了设备上rule id的使用量。
附图说明
构成本发明的一部分的附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是VPC网络整体拓扑图,系统性的说明了VPC出入流量的整体网络拓扑结构;
图2是VPC与VPC之间的安全策略互通流程图,说明的是VPC与VPC之间创建安全策略的流程;
图3是VPC与云外网络的安全策略互通流程图,说明的是VPC与云外网络之间创建安全策略的流程。
图4是安全策略索引值的分配流程图,说明的是安全策略索引值的分配算法和分配流程。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面将参考附图并结合实施例来详细说明本发明。
本方案是利用配置防火墙安全域与安全域之间域间策略来实现对VPC来访或出访流量的控制。
VPC网络整体拓扑如图1所示:
首先,VPC网络整体拓扑,用户购买的虚机再CVK上,虚机访问Internet网络的流量经CVK到达Leaf交换机,再上送到Border边界交换机,再经过防火墙FW,在防火墙上会将所有VPC的vpn实例(一种识别VPC的标示)转换成统一的external-vpn再访问Internet网络,流量经过FW后又回到Border边界交换机,再次经过Border边界交换机后,就已经出云内VPC了,最后上送到InternetAcc交换机和路由器到达Internet网络。Internet网络访问VPC虚机的流程与虚机出访流程相反,经过路由器和InternetAcc交换机到Border交换机后,再过FW,FW上由external-vpn转换成VPC的vpn实例,再回给Border交换机,Border交换机再给到Leaf交换机,Leaf交换机将流量转发到CVK里的虚拟机。
FW上external-vpn的vpn实例对应的安全域是EXTERNAL,假设VPC对应的安全域是VpcZone,VPC默认的域间策略是全放行的,即VpcZone-EXTERNAL和EXTERNAL-VpcZone下面的安全策略规则都是pass的,对于VPC内的虚机的出访和入访流量不加任何限制,很容易造成网络安全问题。
本方案利用EXTERNAL安全域的作用和功能,利用VpcZone-EXTERNAL和EXTERNAL-VpcZone域间策略对于出入VPC的流量进行管理。
下面介绍具体的实现方案:
1、不同VPC之间安全互通场景(如图2所示)
不同VPC之间东西向流量互通时,可采用对等体和安全组组合来限制流量,保证安全,此方案主要涉及南北向流量安全,VPC与VPC南北向流量互通时,前提是虚机需要绑定弹性公网IP(EIP),以保证流量可顺利到达FW,再进行安全策略的限制。
假设有两个VPC,VPC1和VPC2,两个VPC原始的VpcZone-EXTERNAL和EXTERNAL-VpcZone都是默认放行的,当增加了VPC1访问VPC2增加安全策略时,VpcZone1-EXTERNAL和EXTERNAL-VpcZone2中默认pass的规则都删除,同时将安全策略规则,下发到VpcZone1-EXTERNAL和EXTERNAL-VpcZone2中,EXTERNAL作中转使用,安全策略是单向的,当创建了VPC1到VPC2的策略后,VPC1和VPC2默认都不通云外网络了,当策略规则是pass时,VPC1到VPC2的流量允许放行,但是VPC2回包流量依旧不允许通过,所以此时VPC1中的虚机去访问VPC2中的虚机是不通的,要想双向通,需要再创建一条VPC2到VPC1的放行规则,此时在VpcZone2-EXTERNAL和EXTERNAL-VpcZone1的域间策略被放行,VPC1和VPC2才能双向通。
2、VPC与云外网络安全互通场景(如图3所示)
假设VPC1与云外网络互通,不需要像VPC与VPC互通那样复杂,因为VPC通向云外的都通过EXTERNAL域,所以VPC1通云外,需要VpcZone1-EXTERNAL下把默认的pass规则删除,同时下发通向云外地址的安全策略规则放行,当云外访问VPC1时,删除EXTERNAL-VpcZone1的默认的pass的域间策略,同时配置云外地址到VPC地址的放行的安全策略规则,这样VPC1与云外网络就可以实现双向互通。
3、VPC与VPC、VPC与云外网络组合时的场景
当VPC1既与VPC2互通,又与云外网络互通时,此时只需要以VPC1为中心,将出VPC的域间策略VpcZone1-EXTERNAL下的默认pass规则删除,入VPC的域间策略EXTERNAL-VpcZone1下默认的pass的安全策略规则删除,同时VpcZone1-EXTERNAL和EXTERNAL-VpcZone1下分别配置源和目的是VPC2,源和目的是云外网络地址的域间策略规则,就可以保证VPC1既与VPC2互通,又可保证VPC1与云外网络地址通。
4、安全策略规则配置
具体允许或者拒绝哪些地址通或者不通,可在安全策略中具体配置五元组(源IP、源端口、目的IP、目的端口、网络协议)规则来实现。安全策略的优先级问题,因为设备上同一个域间下,顺序越靠前,优先级越高,所以需要保证,优先级越高,顺序越靠前,可以对安全策略规则进行移动。
5、安全策略索引值分配算法(如图4所示)
在数据库中先存一个rule索引分配表,rule index需要设定一个范围,源和目的相同的作为同一个组,每个组内分配的索引值不能相同。每条安全策略在同一个域间对应的有唯一的一个索引值。分配索引时,先查看范围是否存在,若存在,再查看是否已有分配,若有,则在已分配的索引里面取最大值,分配后的索引值为最大值+1,并且设置为已分配状态,若没有分配,则已范围的起始值为索引值,并设置为已分配。删除安全策略后,对索引值进行回收,设置为已回收状态,若分配时,最大值+1超过了范围最大值,则从已回收的索引值里,取最小的索引值为分配的索引值,并设置为已分配状态。
具体实现流程说明:
业务流程:
1.用户创建安全策略,指定源VPC(IP地址)和目的VPC(IP地址)。
2.程序根据用户创建的安全策略,查源和目的VPC是否有过安全策略,有则按优先级顺序重新排序后下发到防火墙的域间策略上。没有则把VPC默认的全放行的域间策略规则删除,再将创建的安全策略下发到域间策略上,安全策略索引值按照索引值算法去分配。
当用户删除安全策略时,首先将安全策略规则删除,并将索引值回收,再查询同一个VPC下是否还存在安全策略,若存在,则无继续操作,若是VPC的最后一条安全策略,则在删除用户创建的安全策略的同时还需要把VPC默认的全放行的安全策略恢复。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法和系统,可以通过其它的方式实现。例如,以上所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。上述单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种公有云网络流量安全的实现方法,其特征在于:
用户创建安全策略,指定源VPC和目的VPC;
程序根据用户创建的安全策略,查源和目的VPC是否有过安全策略,有则按优先级顺序重新排序后下发到防火墙的域间策略上,没有则把VPC默认的全放行的域间策略规则删除,再将创建的安全策略下发到域间策略上,安全策略索引值按照索引值算法去分配;
当用户删除安全策略时,首先将安全策略规则删除,并将索引值回收,再查询同一个VPC下是否还存在安全策略,若存在则无继续操作,若是VPC的最后一条安全策略,则在删除用户创建的安全策略的同时还需要把VPC默认的全放行的安全策略恢复。
2.根据权利要求1所述的一种公有云网络流量安全的实现方法,其特征在于,VPC与VPC之间互通策略如下:
A1、首先创建VPC1和VPC2的安全策略,然后进行步骤A2和步骤A5;
A2、判断VpcZone1-EXTERNAL是否已创建过安全策略规则,如果会则进行步骤A3,否则进行步骤A4,;
A3、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表,然后进行步骤A8;
A4、删除VPC1默认的VpcZone1-EXTERNAL和域间策略,新策略加入待下发的安全策略列表中,然后进行步骤A8;
A5、判断EXTERNAL-VpcZone2是否已创建过安全策略规则,如果是则进行步骤A6,否则进入步骤A7;
A6、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表,然后进行步骤A8;
A7、删除VPC1默认的VpcZone1-EXTERNAL和域间策略,新策略加入待下发的安全策略列表中,然后进行步骤A8;
A8、将最新有序的安全策略列表中的安全策略批量下发到设备上;
A9、等待设备返回配置结果后判断设备配置是否成功,成功则返回最终结果后结束,否则重试向设备重新下发配置后再次等待设备返回配置结果。
3.根据权利要求1所述的一种公有云网络流量安全的实现方法,其特征在于:VPC与云外网络互通策略如下:
B1、创建VPC1到云外网络的安全策略;
B2、判断VpcZone1-EXTERNAL是否已创建过安全策略规则,如果否则进行步骤B3,否则进行步骤B4;
B3、删除VPC1默认的VpcZone1-EXTERNAL和域间略,新策略加入待下发的安全策略列表中,然后执行步骤B5;
B4、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表;
B5、将最新有序的安全策略列表中的安全策略批量下发到设备上;
B6、等待设备返回配置结果;
B7、判断设备配置是否成功,如果是则返回最终结果后结束,否则重试向设备重新下发配置后重新等待设备返回配置结果。
4.根据权利要求1所述的一种公有云网络流量安全的实现方法,其特征在于:安全策略索引值分配流程如下:
C1、分配索引值请求;
C2、判断是否有索引范围,如果否则进行步骤C3,否则进入C4;
C3、报错后抛出异常后结束;
C4、判断同一个域间是否已分配安全策略索引,如果否则进行步骤C5,否则进行步骤C6;
C5、把索引范围的最小值作为分配值,并置成已分配状态,然后返回索引值后结束;
C6、把同一个域间取出已分配的最大索引值,把最大索引值+1作为分配的索引值;
C7、判断分配的索引值是否在索引值范围内,如果是则返回索引值后结束,否则进行步骤C8;
C8、从已回收的索引值中取出最小的值作为最终索引值,并将此索引值设置为已分配后返回索引值后结束。
5.一种电子设备,包括处理器以及与处理器通信连接,且用于存储所述处理器可执行指令的存储器,其特征在于:所述处理器用于执行上述权利要求1-4任一所述的一种公有云网络流量安全的实现方法。
6.一种服务器,其特征在于:包括至少一个处理器,以及与所述处理器通信连接的存储器,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述处理器执行,以使所述至少一个处理器执行如权利要求1-4任一所述的一种公有云网络流量安全的实现方法。
7.一种计算机可读取存储介质,存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1-4任一项所述的一种公有云网络流量安全的实现方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211479035.9A CN115842664A (zh) | 2022-11-23 | 2022-11-23 | 一种公有云网络流量安全的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211479035.9A CN115842664A (zh) | 2022-11-23 | 2022-11-23 | 一种公有云网络流量安全的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115842664A true CN115842664A (zh) | 2023-03-24 |
Family
ID=85577235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211479035.9A Pending CN115842664A (zh) | 2022-11-23 | 2022-11-23 | 一种公有云网络流量安全的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115842664A (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468568A (zh) * | 2014-12-05 | 2015-03-25 | 国云科技股份有限公司 | 一种虚拟机安全隔离方法 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN105791213A (zh) * | 2014-12-18 | 2016-07-20 | 华为技术有限公司 | 一种策略优化装置及方法 |
| CN106254379A (zh) * | 2016-09-09 | 2016-12-21 | 上海携程商务有限公司 | 网络安全策略的处理系统及处理方法 |
| CN109802960A (zh) * | 2019-01-08 | 2019-05-24 | 深圳中兴网信科技有限公司 | 防火墙策略处理方法及装置、计算机设备和存储介质 |
| CN110401588A (zh) * | 2019-07-15 | 2019-11-01 | 浪潮云信息技术有限公司 | 基于openstack的公有云平台中实现VPC对等连接方法及系统 |
| CN111742524A (zh) * | 2018-02-20 | 2020-10-02 | 华为技术有限公司 | 企业虚拟专用网络(vpn)与云虚拟私有云(vpc)粘连 |
| CN112866251A (zh) * | 2021-01-20 | 2021-05-28 | 哈尔滨工业大学 | 一种多域云防护墙安全策略冲突消解方法及装置 |
| US11240203B1 (en) * | 2018-12-07 | 2022-02-01 | Amazon Technologies, Inc. | Network segmentation by automatically generated security groups |
| CN114205130A (zh) * | 2021-12-03 | 2022-03-18 | 紫光云(南京)数字技术有限公司 | 一种防火墙对象策略规则优先级的实现方法 |
| CN114244555A (zh) * | 2021-11-04 | 2022-03-25 | 华能信息技术有限公司 | 一种安全策略的调整方法 |
| CN114844855A (zh) * | 2022-04-24 | 2022-08-02 | 京东科技信息技术有限公司 | 一种网络互通访问策略的生成方法和装置 |
-
2022
- 2022-11-23 CN CN202211479035.9A patent/CN115842664A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104468568A (zh) * | 2014-12-05 | 2015-03-25 | 国云科技股份有限公司 | 一种虚拟机安全隔离方法 |
| CN105791213A (zh) * | 2014-12-18 | 2016-07-20 | 华为技术有限公司 | 一种策略优化装置及方法 |
| US20160191466A1 (en) * | 2014-12-30 | 2016-06-30 | Fortinet, Inc. | Dynamically optimized security policy management |
| CN106254379A (zh) * | 2016-09-09 | 2016-12-21 | 上海携程商务有限公司 | 网络安全策略的处理系统及处理方法 |
| CN111742524A (zh) * | 2018-02-20 | 2020-10-02 | 华为技术有限公司 | 企业虚拟专用网络(vpn)与云虚拟私有云(vpc)粘连 |
| US11240203B1 (en) * | 2018-12-07 | 2022-02-01 | Amazon Technologies, Inc. | Network segmentation by automatically generated security groups |
| CN109802960A (zh) * | 2019-01-08 | 2019-05-24 | 深圳中兴网信科技有限公司 | 防火墙策略处理方法及装置、计算机设备和存储介质 |
| CN110401588A (zh) * | 2019-07-15 | 2019-11-01 | 浪潮云信息技术有限公司 | 基于openstack的公有云平台中实现VPC对等连接方法及系统 |
| CN112866251A (zh) * | 2021-01-20 | 2021-05-28 | 哈尔滨工业大学 | 一种多域云防护墙安全策略冲突消解方法及装置 |
| CN114244555A (zh) * | 2021-11-04 | 2022-03-25 | 华能信息技术有限公司 | 一种安全策略的调整方法 |
| CN114205130A (zh) * | 2021-12-03 | 2022-03-18 | 紫光云(南京)数字技术有限公司 | 一种防火墙对象策略规则优先级的实现方法 |
| CN114844855A (zh) * | 2022-04-24 | 2022-08-02 | 京东科技信息技术有限公司 | 一种网络互通访问策略的生成方法和装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107409089B (zh) | 一种在网络引擎中实施的方法及虚拟网络功能控制器 | |
| JP6721166B2 (ja) | 仮想ネットワークにおける分散型フロー状態p2p設定のためのシステムおよび方法 | |
| CN105765921B (zh) | 用于利用软件定义网络功能进行diameter路由的方法、系统和设备 | |
| CN106953788B (zh) | 一种虚拟网络控制器及控制方法 | |
| KR101685471B1 (ko) | 단말, 제어 디바이스, 통신 방법, 통신 시스템, 통신 모듈, 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체, 및 정보 처리 디바이스 | |
| US7633864B2 (en) | Method and system for creating a demilitarized zone using network stack instances | |
| CN103650436B (zh) | 业务路径分配方法、路由器和业务执行实体 | |
| US9754297B1 (en) | Network routing metering | |
| US20150200808A1 (en) | Method and system for virtual machine aware policy management | |
| US20140230044A1 (en) | Method and Related Apparatus for Authenticating Access of Virtual Private Cloud | |
| CN108322467B (zh) | 基于ovs的虚拟防火墙配置方法、电子设备及存储介质 | |
| CN106487556B (zh) | 业务功能sf的部署方法及装置 | |
| CN113596159B (zh) | 基于k8s云容器平台的集群通信方法及装置 | |
| CN101964799A (zh) | 点到网隧道方式下地址冲突的解决方法 | |
| JP2014516215A (ja) | 通信システム、制御装置、処理規則設定方法およびプログラム | |
| US20220286409A1 (en) | Method and apparatus for configuring quality of service policy for service, and computing device | |
| EP2645641A1 (en) | Communication system, control device, communication method, and program | |
| CN105721487B (zh) | 信息处理方法及电子设备 | |
| CN105187380A (zh) | 一种安全访问方法及系统 | |
| Hadi et al. | A simple security policy enforcement system for an institution using SDN controller | |
| CN101917414B (zh) | Bgp分类网关设备及利用该设备实现网关功能的方法 | |
| Griffioen et al. | VIP Lanes: High-speed custom communication paths for authorized flows | |
| CN112887330A (zh) | 一种网络acl隔离浮动ip的实现结构及方法 | |
| CN115842664A (zh) | 一种公有云网络流量安全的实现方法 | |
| WO2023016248A1 (zh) | 数据中心的云网络和运营商网络互通的方法和通信装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |