CN117544422B - 防火墙虚拟化部署方法及系统 - Google Patents
防火墙虚拟化部署方法及系统 Download PDFInfo
- Publication number
- CN117544422B CN117544422B CN202410026292.XA CN202410026292A CN117544422B CN 117544422 B CN117544422 B CN 117544422B CN 202410026292 A CN202410026292 A CN 202410026292A CN 117544422 B CN117544422 B CN 117544422B
- Authority
- CN
- China
- Prior art keywords
- firewall
- deployment
- virtualization
- virtual machine
- scheme
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 56
- 238000005457 optimization Methods 0.000 claims abstract description 34
- 238000012544 monitoring process Methods 0.000 claims abstract description 17
- 238000004364 calculation method Methods 0.000 claims description 15
- 239000013598 vector Substances 0.000 claims description 15
- 238000004422 calculation algorithm Methods 0.000 claims description 12
- 238000012795 verification Methods 0.000 claims description 11
- 238000004458 analytical method Methods 0.000 claims description 10
- 241000283153 Cetacea Species 0.000 claims description 9
- 238000007621 cluster analysis Methods 0.000 claims description 9
- 238000012545 processing Methods 0.000 claims description 9
- 238000012417 linear regression Methods 0.000 claims description 7
- 238000010606 normalization Methods 0.000 claims description 5
- 238000006243 chemical reaction Methods 0.000 claims description 4
- 238000013507 mapping Methods 0.000 claims description 4
- 230000001902 propagating effect Effects 0.000 claims description 3
- 230000008569 process Effects 0.000 description 30
- 230000006870 function Effects 0.000 description 13
- 230000007246 mechanism Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006872 improvement Effects 0.000 description 4
- 230000035772 mutation Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012423 maintenance Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000013468 resource allocation Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000002411 adverse Effects 0.000 description 2
- 238000010801 machine learning Methods 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000011273 social behavior Effects 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000009395 breeding Methods 0.000 description 1
- 230000001488 breeding effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 230000007614 genetic variation Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及防火墙技术领域,公开了一种防火墙虚拟化部署方法及系统。所述方法包括:获取虚拟化平台的防火墙虚拟化参数和云环境流量参数并创建第一防火墙虚拟化部署方案;调用多个第一虚拟机实例并进行虚拟防火墙部署;进行虚拟机网络性能监控,得到网络性能指标并获取第一防火墙部署影响因数;设置网络流量约束条件并判断第一防火墙部署影响因数是否符合网络流量约束条件,得到目标判断结果;生成第二防火墙虚拟化部署方案并确定第二虚拟机实例;进行虚拟防火墙部署并计算第二防火墙部署影响因数,进行迭代优化,得到目标防火墙虚拟化部署方案,本申请提高了防火墙虚拟化部署的安全性和效率。
Description
技术领域
本申请涉及防火墙领域,尤其涉及一种防火墙虚拟化部署方法及系统。
背景技术
近年来,随着云计算和虚拟化技术的快速发展,企业和组织对于网络安全性的关注逐渐升级。虚拟化平台的广泛应用使得云环境中的网络流量变得复杂多样,同时防火墙作为网络安全的关键组成部分也面临着新的挑战。传统的物理防火墙在虚拟化环境下无法充分发挥作用,因此,防火墙虚拟化技术成为当前研究的热点之一。
然而,现有的防火墙虚拟化方法普遍存在一些问题,如何动态适应不同的网络流量条件、如何有效衡量虚拟防火墙的性能以及如何实现部署的自动化和优化等。这些问题限制了防火墙虚拟化技术在实际应用中的广泛推广和应用。
发明内容
本申请提供了一种防火墙虚拟化部署方法及系统,本申请提高防火墙虚拟化部署的安全性和效率。
第一方面,本申请提供了一种防火墙虚拟化部署方法,所述防火墙虚拟化部署方法包括:
获取虚拟化平台的防火墙虚拟化参数和云环境流量参数,并根据所述防火墙虚拟化参数和所述云环境流量参数创建所述虚拟化平台的第一防火墙虚拟化部署方案,其中,所述第一防火墙虚拟化部署方案包括:防火墙规则和访问控制策略;
根据所述第一防火墙虚拟化部署方案从预置的虚拟机安全组件中调用多个第一虚拟机实例,并根据所述多个第一虚拟机实例对所述虚拟化平台进行虚拟防火墙部署;
对所述多个第一虚拟机实例进行虚拟机网络性能监控,得到每个第一虚拟机实例的网络性能指标,并根据每个第一虚拟机实例对应的网络性能指标获取所述虚拟化平台的第一防火墙部署影响因数;
根据所述云环境流量参数设置网络流量约束条件,并判断所述第一防火墙部署影响因数是否符合所述网络流量约束条件,得到目标判断结果;
根据所述目标判断结果和所述第一防火墙部署影响因数生成第二防火墙虚拟化部署方案,并根据所述第二防火墙虚拟化部署方案从所述虚拟机安全组件中确定第二虚拟机实例;
通过所述第二虚拟机实例对所述虚拟化平台进行虚拟防火墙部署,并实时计算所述虚拟化平台的第二防火墙部署影响因数,并根据所述第二防火墙部署影响因数对所述第二防火墙虚拟化部署方案进行迭代优化,得到目标防火墙虚拟化部署方案。
第二方面,本申请提供了一种防火墙虚拟化部署系统,所述防火墙虚拟化部署系统包括:
获取模块,用于获取虚拟化平台的防火墙虚拟化参数和云环境流量参数,并根据所述防火墙虚拟化参数和所述云环境流量参数创建所述虚拟化平台的第一防火墙虚拟化部署方案,其中,所述第一防火墙虚拟化部署方案包括:防火墙规则和访问控制策略;
部署模块,用于根据所述第一防火墙虚拟化部署方案从预置的虚拟机安全组件中调用多个第一虚拟机实例,并根据所述多个第一虚拟机实例对所述虚拟化平台进行虚拟防火墙部署;
监控模块,用于对所述多个第一虚拟机实例进行虚拟机网络性能监控,得到每个第一虚拟机实例的网络性能指标,并根据每个第一虚拟机实例对应的网络性能指标获取所述虚拟化平台的第一防火墙部署影响因数;
判断模块,用于根据所述云环境流量参数设置网络流量约束条件,并判断所述第一防火墙部署影响因数是否符合所述网络流量约束条件,得到目标判断结果;
生成模块,用于根据所述目标判断结果和所述第一防火墙部署影响因数生成第二防火墙虚拟化部署方案,并根据所述第二防火墙虚拟化部署方案从所述虚拟机安全组件中确定第二虚拟机实例;
优化模块,用于通过所述第二虚拟机实例对所述虚拟化平台进行虚拟防火墙部署,并实时计算所述虚拟化平台的第二防火墙部署影响因数,并根据所述第二防火墙部署影响因数对所述第二防火墙虚拟化部署方案进行迭代优化,得到目标防火墙虚拟化部署方案。
本申请提供的技术方案中,根据虚拟化平台的参数和云环境流量条件动态地创建和调整防火墙部署方案。系统可以迅速适应不同的网络流量需求,从而提高了网络的灵活性。这对于应对网络流量的快速变化和攻击事件的应对至关重要。通过自动化的流程,能够从虚拟机安全组件中调用虚拟机实例,进行虚拟防火墙的部署。这减少了人工干预的需要,降低了部署和维护的成本,并提高了整体效率。此外,实时计算和迭代优化也有助于确保最佳性能和安全性。通过对多个第一虚拟机实例进行虚拟机网络性能监控,提供了准确的网络性能指标。这有助于更好地了解虚拟化平台的实际性能和瓶颈,从而有针对性地优化部署方案。这种精确性可以提高系统的决策和调整能力。通过设置网络流量约束条件,确保防火墙部署不仅仅是安全性的问题,还包括网络性能的考虑。这有助于避免过度消耗网络资源或导致网络延迟过高的情况发生,从而提供更好的用户体验。提供了多层次的优化机制,包括迭代优化、有向图分析和适应度函数的定义等。这些机制允许在不同层次上对防火墙虚拟化部署方案进行性能提升,以满足不同的网络需求和约束条件,进而提高了防火墙虚拟化部署的安全性和效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以基于这些附图获得其他的附图。
图1为本申请实施例中防火墙虚拟化部署方法的一个实施例示意图;
图2为本申请实施例中防火墙虚拟化部署系统的一个实施例示意图。
具体实施方式
本申请实施例提供了一种防火墙虚拟化部署方法及系统。本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”或“具有”及其任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为便于理解,下面对本申请实施例的具体流程进行描述,请参阅图1,本申请实施例中防火墙虚拟化部署方法的一个实施例包括:
步骤101、获取虚拟化平台的防火墙虚拟化参数和云环境流量参数,并根据防火墙虚拟化参数和云环境流量参数创建虚拟化平台的第一防火墙虚拟化部署方案,其中,第一防火墙虚拟化部署方案包括:防火墙规则和访问控制策略;
可以理解的是,本申请的执行主体可以为防火墙虚拟化部署系统,还可以是终端或者服务器,具体此处不做限定。本申请实施例以服务器为执行主体为例进行说明。
具体的,获取虚拟化平台的防火墙虚拟化参数,包括防火墙软件的版本、许可证信息及其性能要求参数。例如,不同版本的防火墙软件支持不同的特性和性能水平,而许可证信息则关系到软件部署的合法性和规模。获取虚拟化平台的云环境流量参数,这些参数直接影响防火墙的配置和性能。这些参数包括预期的流量量、流量类型以及流量的来源和目的地。例如,高流量环境需要更强的性能配置,而不同类型的流量(如视频流、文件传输等)需要不同的处理策略。基于这些参数创建适合的防火墙虚拟化部署规则。根据防火墙虚拟化参数生成第一组部署规则,这些规则涉及如何根据防火墙的软件特性和性能要求在虚拟环境中进行配置。根据云环境流量参数生成第二组部署规则,这些规则则专注于如何根据流量的特性调整防火墙的运行和管理策略。对多个第一防火墙虚拟化部署规则和多个第二防火墙虚拟化部署规则进行规则填充,形成一个完整的、适用于虚拟化平台的第一防火墙虚拟化部署方案。这个方案不仅包括了具体的防火墙规则,还涵盖了访问控制策略,这些策略确保了虚拟化环境中数据的安全性和流量的高效管理。
步骤102、根据第一防火墙虚拟化部署方案从预置的虚拟机安全组件中调用多个第一虚拟机实例,并根据多个第一虚拟机实例对虚拟化平台进行虚拟防火墙部署;
具体的,根据第一防火墙虚拟化部署方案对预置的虚拟机安全组件进行虚拟机实例匹配,得到多个第一虚拟机实例。这个匹配过程不仅涉及到选择符合部署方案要求的虚拟机实例,还需考虑实例的性能参数、兼容性和安全性能。为了有效组织这些虚拟机实例并确保高效的虚拟化部署,构建初始的虚拟部署拓扑图。这个拓扑图反映了各个虚拟机实例之间的相互关系。并对拓扑图进行聚类计算,识别哪些虚拟机实例在整体部署中扮演关键角色,以及它们之间如何相互依赖。这一计算过程依赖于预置的图计算聚类分析模型,这个模型能够高效地处理复杂的网络结构并输出聚类结果。基于聚类结果,对每个第一虚拟机实例的重要度进行计算。这决定了各个虚拟机实例在部署方案中的优先级和资源分配。使用同一聚类分析模型,对初始虚拟部署拓扑图进行有向图边的加权处理,形成一个加权有向图。这个加权过程基于重要度和聚类结果,确保图中的边能够准确反映不同虚拟机实例间的相互关系和重要性。采用聚类分析模型中的最短路径算法,对加权有向图中的第一虚拟机实例进行关系计算,得到关系树形结构,这个结构不仅揭示了虚拟机实例之间的依赖关系,还指导了如何在虚拟化环境中高效地部署这些实例。通过关系树形结构的指导,可以确保每个虚拟机实例都被部署在最适合的位置,以保证整个虚拟化平台的防火墙部署既高效又安全。
步骤103、对多个第一虚拟机实例进行虚拟机网络性能监控,得到每个第一虚拟机实例的网络性能指标,并根据每个第一虚拟机实例对应的网络性能指标获取虚拟化平台的第一防火墙部署影响因数;
具体的,对多个第一虚拟机实例进行网络性能监控,得到每个第一虚拟机实例的网络性能数据集,这些数据集包含关于数据传输速度、延迟、丢包率等关键性能指标的信息。对这些数据进行归一化处理。归一化是将数据缩放到一个标准范围内的过程,能够消除不同实例之间硬件配置和网络条件差异带来的影响,使得不同实例的性能数据可以公平比较。归一化处理后得到的多个网络性能数据集将为后续的分析提供一个统一的比较基准。对归一化后的网络性能数据集进行向量编码转换,将原始的网络性能数据转化为可以被机器学习模型处理的编码向量,每个向量代表一个虚拟机实例的网络性能特征。将网络性能编码向量输入预置的线性回归模型进行性能指标预测。线性回归模型是一种用于预测和分析的统计学方法,它可以基于历史数据来预测未来的性能指标。通过这个模型,可以预测每个第一虚拟机实例的网络性能指标,如预期的最大吞吐量和响应时间等。对每个虚拟机实例的网络性能指标进行影响因数计算,评估每个实例的性能指标对整个虚拟化平台的第一防火墙部署的影响程度。例如,一个网络性能较差的虚拟机实例会成为防火墙部署的瓶颈,降低整体的性能和安全性。通过这些影响因数,可以更加精准地理解和评估各个虚拟机实例在整个部署方案中的作用和重要性。
步骤104、根据云环境流量参数设置网络流量约束条件,并判断第一防火墙部署影响因数是否符合网络流量约束条件,得到目标判断结果;
具体的,根据云环境流量参数设置具体且可量化的网络流量约束条件。这些条件包括:最大允许的带宽使用率,关系到网络的拥塞程度和数据传输速率;网络流量的最大允许延迟,影响数据传输的实时性和应用的响应时间;规定允许的最大数据包丢失率,涉及通信的可靠性;以及为不同类型的流量分配不同的优先级,这有助于在网络资源有限的情况下保证关键应用的性能。设置这些约束条件是为了确保网络环境能够满足业务需求,并在维护网络安全的同时最大化其性能和效率。将第一防火墙部署影响因数与设置的网络流量约束条件进行比较,以判断在特定的网络条件下,防火墙的部署将如何影响网络的性能指标,如带宽使用率、延迟和丢包率等。如果第一防火墙部署影响因数在所有网络流量约束条件的限制之内,则可以得到一个合格的目标判断结果,这意味着防火墙的部署预计不会对网络性能产生不利影响,可以继续进行下一步的部署操作。反之,如果任何一个影响因数超出了约束条件的限制,则会得到一个不合格的判断结果,这说明需要对防火墙的配置或网络环境进行调整,以确保网络的稳定性和性能不会因为防火墙的部署而受到负面影响。
步骤105、根据目标判断结果和第一防火墙部署影响因数生成第二防火墙虚拟化部署方案,并根据第二防火墙虚拟化部署方案从虚拟机安全组件中确定第二虚拟机实例;
具体的,若目标判断结果为合格,即第一防火墙部署的影响因数满足了所有设定的网络流量约束条件,那么根据这些影响因数对预置的防火墙虚拟化部署方案列表进行映射匹配。分析和比较各种预置方案与当前网络状况的兼容性,以及各方案如何满足安全性、性能和资源效率等需求。根据第二防火墙虚拟化部署方案,对虚拟机安全组件进行虚拟机实例匹配。匹配过程需要考虑各种因素,包括虚拟机实例的性能指标、安全特性、配置灵活性以及与选定部署方案的兼容性,找到能够最佳支持第二防火墙虚拟化部署方案的虚拟机实例,确保既能满足安全需求,又能保证网络的稳定性和效率。对目标匹配结果进行虚拟机实例校验,验证所选实例是否确实符合第二防火墙虚拟化部署方案的要求,以及是否存在任何潜在的问题或限制。校验过程包括测试实例的性能,检查配置的正确性,以及评估实例的安全性。只有当虚拟机实例通过了所有必要的校验,才能最终确定为第二虚拟机实例。
步骤106、通过第二虚拟机实例对虚拟化平台进行虚拟防火墙部署,并实时计算虚拟化平台的第二防火墙部署影响因数,并根据第二防火墙部署影响因数对第二防火墙虚拟化部署方案进行迭代优化,得到目标防火墙虚拟化部署方案。
具体的,通过第二虚拟机实例在虚拟化平台上部署虚拟防火墙,并实时计算虚拟化平台的第二防火墙部署影响因数,如网络流量、资源使用率、安全威胁等。根据第二防火墙部署影响因数定义虚拟化平台的适应度函数,这个函数用于评估不同防火墙虚拟化部署方案的适应性和有效性。通过预置的鲸鱼优化算法进行种群初始化,以产生多个第一候选部署方案。鲸鱼优化算法通过模拟鲸鱼的社会行为和智能猎食策略来搜索最优解,适用于解决复杂的优化问题。通过适应度函数分别计算每个第一候选部署方案的第一目标值,并将这些值与设定的两个阈值进行比较。这两个阈值帮助划分不同的部署方案群体,每个群体具有不同的性能特征和优化需求。根据第一目标值与这两个阈值的比较结果,将各个部署方案划分至第一、第二或第三部署方案群体中。对于第一和第二部署方案群体,将执行繁殖、交叉和变异操作,而对第三部署方案群体则仅进行交叉和变异。这些遗传算法操作模拟生物进化过程中的自然选择和遗传变异,有助于探索解空间并产生新的、更优的部署方案。通过这一系列操作,生成了多个第二候选部署方案。对多个第二候选部署方案进行适应度计算,得到每个方案对应的第二目标值,并根据这些值进行迭代分析和最优化求解。通过不断地评估、比较和选择最优方案,以确保找到的目标防火墙虚拟化部署方案既能满足性能要求,又能适应网络环境变化,最终达到既定的安全和效率目标。
本申请实施例中,根据虚拟化平台的参数和云环境流量条件动态地创建和调整防火墙部署方案。系统可以迅速适应不同的网络流量需求,从而提高了网络的灵活性。这对于应对网络流量的快速变化和攻击事件的应对至关重要。通过自动化的流程,能够从虚拟机安全组件中调用虚拟机实例,进行虚拟防火墙的部署。这减少了人工干预的需要,降低了部署和维护的成本,并提高了整体效率。此外,实时计算和迭代优化也有助于确保最佳性能和安全性。通过对多个第一虚拟机实例进行虚拟机网络性能监控,提供了准确的网络性能指标。这有助于更好地了解虚拟化平台的实际性能和瓶颈,从而有针对性地优化部署方案。这种精确性可以提高系统的决策和调整能力。通过设置网络流量约束条件,确保防火墙部署不仅仅是安全性的问题,还包括网络性能的考虑。这有助于避免过度消耗网络资源或导致网络延迟过高的情况发生,从而提供更好的用户体验。提供了多层次的优化机制,包括迭代优化、有向图分析和适应度函数的定义等。这些机制允许在不同层次上对防火墙虚拟化部署方案进行性能提升,以满足不同的网络需求和约束条件,进而提高了防火墙虚拟化部署的安全性和效率。
在一具体实施例中,执行步骤101的过程可以具体包括如下步骤:
(1)获取虚拟化平台的防火墙虚拟化参数,防火墙虚拟化参数包括:防火墙软件的版本、许可证信息及性能要求参数;
(2)获取虚拟化平台的云环境流量参数,云环境流量参数包括:预期的流量量、流量类型和流量的来源和目的地参数;
(3)对防火墙虚拟化参数进行规则创建,生成多个第一防火墙虚拟化部署规则,并对云环境流量参数进行规则创建,生成多个第二防火墙虚拟化部署规则;
(4)对多个第一防火墙虚拟化部署规则和多个第二防火墙虚拟化部署规则进行规则填充,得到虚拟化平台的第一防火墙虚拟化部署方案,其中,第一防火墙虚拟化部署方案包括:防火墙规则和访问控制策略。
具体的,获取虚拟化平台的防火墙虚拟化参数,包括防火墙软件的版本信息,不同版本的防火墙软件支持不同的特性和性能水平;许可证信息,关系到软件部署的合法性和规模;以及性能要求参数,如CPU和内存需求、网络吞吐量等,这些参数直接影响防火墙的性能和稳定性。获取虚拟化平台的云环境流量参数,包括预期的流量量,了解流量量有助于合理分配资源,保证系统的响应速度和处理能力;流量类型,不同类型的流量需要不同的处理策略和安全措施;以及流量的来源和目的地,这关系到如何设置网络的边界和访问控制策略。基于收集到的防火墙虚拟化参数和云环境流量参数,进行规则创建。针对防火墙虚拟化参数生成多个第一防火墙虚拟化部署规则,这些规则涉及如何在虚拟环境中配置防火墙,如何分配资源,如何更新和管理防火墙等,同时,针对云环境流量参数生成多个第二防火墙虚拟化部署规则,这些规则则专注于如何根据流量的特性调整防火墙的运行和管理策略,确保防火墙能有效地处理各种流量,同时维持高效的性能。最终,对多个第一和第二防火墙虚拟化部署规则进行规则填充,形成一个完整且综合的第一防火墙虚拟化部署方案。这个方案不仅包括了具体的防火墙规则,还包括了详细的访问控制策略,确保了网络的安全性和效率。
在一具体实施例中,执行步骤102的过程可以具体包括如下步骤:
(1)根据第一防火墙虚拟化部署方案对预置的虚拟机安全组件进行虚拟机实例匹配,得到多个第一虚拟机实例;
(2)构建多个第一虚拟机实例对应的初始虚拟部署拓扑图,并对初始虚拟部署拓扑图进行聚类计算,得到聚类结果,并计算得到初始虚拟部署拓扑图中每个第一虚拟机实例的重要度;
(3)通过预置图计算聚类分析模型,根据聚类结果及初始虚拟部署拓扑图中每个第一虚拟机实例的重要度对初始虚拟部署拓扑图进行有向图边加权,得到加权有向图;
(4)采用预置图计算聚类分析模型中最短路径算法对加权有向图的第一虚拟机实例进行关系计算,得到关系树形结构,并通过关系树形结构对多个第一虚拟机实例进行虚拟化部署。
具体的,根据第一防火墙虚拟化部署方案的详细要求,如性能指标、安全需求、网络配置等,对预置的虚拟机安全组件进行匹配。这个匹配过程确保选出的虚拟机实例能够满足防火墙的运行需求,包括处理能力、存储空间和网络连接等。例如,如果部署方案要求高吞吐量的流量处理能力,则需要选择配置有更多CPU和更高网络带宽的虚拟机实例。构建多个第一虚拟机实例对应的初始虚拟部署拓扑图。这个拓扑图是一种图形化表示,展示了各个虚拟机实例之间的关系和连接方式,如网络链接、数据流路径等。拓扑图的构建需要综合考虑网络性能、安全隔离、资源分配等因素,以确保整个虚拟化部署既高效又安全。构建初始虚拟部署拓扑图后,进行聚类计算,以确定各个虚拟机实例在整个部署中的相对重要性和角色。聚类计算可以通过预置的图计算聚类分析模型来实现,这种模型能够处理复杂的图结构,通过分析节点间的连接关系和属性,将节点划分到不同的群组中。每个群组代表一种特定类型的虚拟机实例,具有相似的功能和地位。同时,基于其在网络中的位置、承担的流量、安全级别等因素,计算初始虚拟部署拓扑图中每个第一虚拟机实例的重要度。根据聚类结果及每个虚拟机实例的重要度,对初始虚拟部署拓扑图进行有向图边加权。加权是为了更准确地反映各个实例之间的相互影响和依赖关系,权重较高的边表示连接的两个实例间有更强的关联或依赖。例如,如果一个虚拟机实例负责处理所有进入网络的流量,则其与其他实例的连接会被赋予更高的权重。采用预置的图计算聚类分析模型中的最短路径算法,对加权有向图的第一虚拟机实例进行关系计算,确定各个实例之间最有效的连接路径,以优化数据流动和资源分配。计算结果通常以关系树形结构表示,这种结构清晰地展示了从核心到边缘的层次关系和通信路径。根据关系树形结构对多个第一虚拟机实例进行虚拟化部署。根据计算出的最优路径和结构,在虚拟化平台上配置和启动各个虚拟机实例,以及设置相应的网络路由、安全策略和其他配置。在实际部署过程中,还需要进一步的微调和优化,以确保整个系统的性能和安全性能达到最佳。
在一具体实施例中,执行步骤103的过程可以具体包括如下步骤:
(1)对多个第一虚拟机实例进行虚拟机网络性能监控,得到每个第一虚拟机实例的虚拟机网络性能数据集;
(2)分别对虚拟机网络性能数据集进行数据归一化处理,得到多个归一化网络性能数据集;
(3)分别对多个归一化网络性能数据集进行向量编码转换,得到多个网络性能编码向量;
(4)分别将多个网络性能编码向量输入预置的线性回归模型进行性能指标预测,得到每个第一虚拟机实例的网络性能指标;
(5)对每个第一虚拟机实例对应的网络性能指标进行影响因数计算,得到虚拟化平台的第一防火墙部署影响因数。
具体的,对多个第一虚拟机实例进行网络性能监控。收集各种网络性能相关的数据,例如带宽使用率、延迟、吞吐量、错误率和丢包率等。这些数据提供关于其运行状况和效率的重要信息。例如,一个承担重要数据传输任务的虚拟机实例需要监控其网络吞吐量和延迟,以确保数据能够快速且可靠地传输。对虚拟机网络性能数据集进行归一化处理。归一化是将数据转换到一个共同的尺度上,以消除不同量级和单位带来的影响,使得数据之间可以公平比较。对归一化后的网络性能数据集进行向量编码转换。将归一化的数据转化为能够被机器学习模型处理的编码向量格式。每个向量代表一个虚拟机实例的网络性能特征,包含了多个维度的信息,如带宽使用率、延迟等。向量编码不仅使得数据结构化,还能够为后续的分析和预测提供一个标准化的输入格式。将网络性能编码向量输入预置的线性回归模型进行性能指标预测。线性回归是一种统计学方法,通过分析输入变量与目标变量之间的线性关系,来预测输出结果。线性回归模型根据当前的网络性能数据预测未来的性能指标,如预期的最大吞吐量和最低延迟等。对每个第一虚拟机实例的网络性能指标进行影响因数计算,评估每个虚拟机的网络性能对整个第一防火墙部署影响因数的贡献程度。影响因数是一个综合指标,反映了虚拟机网络性能对整个虚拟化平台的影响,包括对网络资源的占用、对其他虚拟机性能的影响、以及对整体网络安全和稳定性的影响。通过计算每个虚拟机的影响因数,可以更准确地评估和优化整个虚拟化部署的性能和安全性。
在一具体实施例中,执行步骤104的过程可以具体包括如下步骤:
(1)根据云环境流量参数设置网络流量约束条件,网络流量约束条件包括:最大允许的带宽使用率、网络流量的最大允许延迟、规定允许的最大数据包丢失率以及为不同类型的流量分配优先级;
(2)对第一防火墙部署影响因数与网络流量约束条件进行比较,以判断第一防火墙部署影响因数是否符合网络流量约束条件,得到目标判断结果,目标判断结果包括:合格或者不合格。
具体的,根据云环境流量参数设置网络流量约束条件。网络流量约束条件包括:最大允许的带宽使用率,限定了在任何给定时间内,通过网络的数据量不应超过网络带宽的某个百分比;网络流量的最大允许延迟则关注数据传输的时效性,确保数据在一个可接受的时间内到达目的地;规定允许的最大数据包丢失率涉及到网络的可靠性,确保数据的传输丢失在一个可控范围内;为不同类型的流量分配优先级则是为了确保在网络资源紧张时,关键业务能够获得足够的带宽和处理优先权。对第一防火墙部署影响因数与网络流量约束条件进行比较。第一防火墙部署影响因数是一个综合指标,反映了防火墙部署对网络流量的影响,包括对网络带宽的占用、对网络延迟的影响以及对数据传输稳定性的影响。这些影响因数需要与前面设定的网络流量约束条件进行比较,以判断防火墙部署是否在可接受的范围内。比较的过程涉及到计算和模拟,特别是在网络环境复杂或者防火墙部署规模较大的情况下。计算和模拟的目的是预测在防火墙部署后,网络的性能指标(如带宽使用率、延迟和数据包丢失率)是否会超出约束条件设定的阈值。如果所有的性能指标都在约束条件的范围内,则可以得到一个合格的目标判断结果,这意味着防火墙的部署预计不会对网络性能产生不利影响,可以继续进行下一步的部署操作。相反,如果任何一个性能指标超出了约束条件的限制,则会得到一个不合格的判断结果,这意味着需要对防火墙的配置或网络环境进行调整,以确保网络的稳定性和性能不会因为防火墙的部署而受到负面影响。
在一具体实施例中,执行步骤105的过程可以具体包括如下步骤:
(1)若目标判断结果为合格,则根据第一防火墙部署影响因数,对预置的防火墙虚拟化部署方案列表进行映射匹配,得到第二防火墙虚拟化部署方案;
(2)根据第二防火墙虚拟化部署方案,对虚拟机安全组件进行虚拟机实例匹配,得到目标匹配结果;
(3)对目标匹配结果进行虚拟机实例校验,得到校验结果,并根据校验结果确定对应的第二虚拟机实例。
具体的,若目标判断结果为合格,即第一防火墙部署影响因数满足所有设定的网络流量约束条件,则根据这些影响因数对预置的防火墙虚拟化部署方案列表进行映射匹配。分析和比较各种预置方案与当前网络环境及安全需求的兼容性,以及各方案如何满足性能、资源效率和可维护性等需求,从而确定最适合当前环境和要求的第二防火墙虚拟化部署方案。根据第二防火墙虚拟化部署方案,对虚拟机安全组件进行虚拟机实例匹配。匹配过程需要考虑各种因素,如虚拟机实例的性能指标、安全特性、配置灵活性以及与选定部署方案的兼容性。目标是找到能够最佳支持第二防火墙虚拟化部署方案的虚拟机实例,确保既能满足安全需求,又能保证网络的稳定性和效率。例如,如果选定的部署方案需要处理大量加密流量,则需要选择配置有强大CPU和足够内存的虚拟机实例以支持高效的加解密操作。对目标匹配结果进行虚拟机实例校验,得到校验结果,并根据校验结果确定对应的第二虚拟机实例。验证所选实例是否确实符合第二防火墙虚拟化部署方案的要求,以及是否存在任何潜在的问题或限制。校验过程包括测试实例的性能,检查配置的正确性,以及评估实例的安全性。当虚拟机实例通过了所有必要的校验,确定为第二虚拟机实例。
在一具体实施例中,执行步骤106的过程可以具体包括如下步骤:
(1)通过第二虚拟机实例对虚拟化平台进行虚拟防火墙部署,并实时计算虚拟化平台的第二防火墙部署影响因数;
(2)根据第二防火墙部署影响因数定义虚拟化平台的适应度函数,并通过预置的鲸鱼优化算法对第二防火墙虚拟化部署方案进行种群初始化,得到多个第一候选部署方案;
(3)通过适应度函数分别计算每个第一候选部署方案的第一目标值,并对第一目标值与第一阈值和第二阈值进行比较,其中,第一阈值<第二阈值;
(4)若第一目标值<第一阈值,则将对应的第一候选部署方案划分至第一部署方案群体,若第一阈值<第一目标值<第二阈值,则将对应的第一候选部署方案划分至第二部署方案群体,若第二阈值<第一目标值,则将对应的第一候选部署方案划分至第三部署方案群体;
(5)对第一部署方案群体和第二部署方案群体进行繁殖、交叉和变异,并对第三部署方案群体进行交叉和变异,得到多个第二候选部署方案;
(6)对多个第二候选部署方案进行适应度计算,得到每个第二候选部署方案对应的第二目标值,并根据第二目标值对多个第二候选部署方案进行迭代分析和最优化求解,得到目标防火墙虚拟化部署方案。
具体的,通过第二虚拟机实例对虚拟化平台进行虚拟防火墙部署。选择合适的虚拟机资源,配置防火墙软件,并确保其与现有网络结构和安全策略兼容。部署过程中,设置防火墙的规则和策略,确保它能有效地监控和过滤流量,防止未授权访问,同时还要保持对合法和必要通信的支持。在部署的同时,实时监控并计算防火墙部署的影响因数,这些因数包括防火墙对网络性能的影响、资源消耗、以及安全性能等。根据第二防火墙部署影响因数定义虚拟化平台的适应度函数。适应度函数是一种评估标准,用来衡量防火墙部署方案的效果和效率。这个函数通常会考虑多个维度的表现,如网络延迟、吞吐量、资源使用率和安全事件响应能力等。通过预置的鲸鱼优化算法对第二防火墙虚拟化部署方案进行种群初始化。鲸鱼优化算法通过模拟鲸鱼的社会行为和智能猎食策略来寻找最优解,从而生成一系列初始的部署方案候选。通过适应度函数分别计算每个第一候选部署方案的第一目标值,并将这些目标值与设定的第一阈值和第二阈值进行比较。这两个阈值用来区分不同的部署方案群体,每个群体代表了不同等级的部署效果。若第一目标值小于第一阈值,则将对应的部署方案划分至第一部署方案群体,表示这些方案的表现较优;若第一目标值介于第一阈值和第二阈值之间,则划分至第二部署方案群体;若大于第二阈值,则划分至第三部署方案群体,表示这些方案需要较大幅度的改进。对于第一和第二部署方案群体,进行繁殖、交叉和变异等操作,生成新的解并增加解空间的多样性。而对于第三部署方案群体,主要进行交叉和变异操作,以快速寻找到更好的解决方案。通过以上步骤,得到多个第二候选部署方案。对第二候选部署方案进行适应度计算,计算出每个方案对应的第二目标值。通过持续的比较和选择,逐步找到最优的防火墙虚拟化部署方案。这个过程需要多轮迭代,每一轮都在尝试提升部署方案的整体表现,最终得到的目标防火墙虚拟化部署方案是在当前条件下最合适、最高效的方案。
上面对本申请实施例中防火墙虚拟化部署方法进行了描述,下面对本申请实施例中防火墙虚拟化部署系统进行描述,请参阅图2,本申请实施例中防火墙虚拟化部署系统一个实施例包括:
获取模块201,用于获取虚拟化平台的防火墙虚拟化参数和云环境流量参数,并根据所述防火墙虚拟化参数和所述云环境流量参数创建所述虚拟化平台的第一防火墙虚拟化部署方案,其中,所述第一防火墙虚拟化部署方案包括:防火墙规则和访问控制策略;
部署模块202,用于根据所述第一防火墙虚拟化部署方案从预置的虚拟机安全组件中调用多个第一虚拟机实例,并根据所述多个第一虚拟机实例对所述虚拟化平台进行虚拟防火墙部署;
监控模块203,用于对所述多个第一虚拟机实例进行虚拟机网络性能监控,得到每个第一虚拟机实例的网络性能指标,并根据每个第一虚拟机实例对应的网络性能指标获取所述虚拟化平台的第一防火墙部署影响因数;
判断模块204,用于根据所述云环境流量参数设置网络流量约束条件,并判断所述第一防火墙部署影响因数是否符合所述网络流量约束条件,得到目标判断结果;
生成模块205,用于根据所述目标判断结果和所述第一防火墙部署影响因数生成第二防火墙虚拟化部署方案,并根据所述第二防火墙虚拟化部署方案从所述虚拟机安全组件中确定第二虚拟机实例;
优化模块206,用于通过所述第二虚拟机实例对所述虚拟化平台进行虚拟防火墙部署,并实时计算所述虚拟化平台的第二防火墙部署影响因数,并根据所述第二防火墙部署影响因数对所述第二防火墙虚拟化部署方案进行迭代优化,得到目标防火墙虚拟化部署方案。
通过上述各个组成部分的协同合作,根据虚拟化平台的参数和云环境流量条件动态地创建和调整防火墙部署方案。系统可以迅速适应不同的网络流量需求,从而提高了网络的灵活性。这对于应对网络流量的快速变化和攻击事件的应对至关重要。通过自动化的流程,能够从虚拟机安全组件中调用虚拟机实例,进行虚拟防火墙的部署。这减少了人工干预的需要,降低了部署和维护的成本,并提高了整体效率。此外,实时计算和迭代优化也有助于确保最佳性能和安全性。通过对多个第一虚拟机实例进行虚拟机网络性能监控,提供了准确的网络性能指标。这有助于更好地了解虚拟化平台的实际性能和瓶颈,从而有针对性地优化部署方案。这种精确性可以提高系统的决策和调整能力。通过设置网络流量约束条件,确保防火墙部署不仅仅是安全性的问题,还包括网络性能的考虑。这有助于避免过度消耗网络资源或导致网络延迟过高的情况发生,从而提供更好的用户体验。提供了多层次的优化机制,包括迭代优化、有向图分析和适应度函数的定义等。这些机制允许在不同层次上对防火墙虚拟化部署方案进行性能提升,以满足不同的网络需求和约束条件,进而提高了防火墙虚拟化部署的安全性和效率。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,系统和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。
Claims (7)
1.一种防火墙虚拟化部署方法,其特征在于,所述防火墙虚拟化部署方法包括:
获取虚拟化平台的防火墙虚拟化参数和云环境流量参数,并根据所述防火墙虚拟化参数和所述云环境流量参数创建所述虚拟化平台的第一防火墙虚拟化部署方案,其中,所述第一防火墙虚拟化部署方案包括:防火墙规则和访问控制策略;
根据所述第一防火墙虚拟化部署方案从预置的虚拟机安全组件中调用多个第一虚拟机实例,并根据所述多个第一虚拟机实例对所述虚拟化平台进行虚拟防火墙部署;
对所述多个第一虚拟机实例进行虚拟机网络性能监控,得到每个第一虚拟机实例的网络性能指标,并根据每个第一虚拟机实例对应的网络性能指标获取所述虚拟化平台的第一防火墙部署影响因数;
根据所述云环境流量参数设置网络流量约束条件,并判断所述第一防火墙部署影响因数是否符合所述网络流量约束条件,得到目标判断结果;
根据所述目标判断结果和所述第一防火墙部署影响因数生成第二防火墙虚拟化部署方案,并根据所述第二防火墙虚拟化部署方案从所述虚拟机安全组件中确定第二虚拟机实例;
通过所述第二虚拟机实例对所述虚拟化平台进行虚拟防火墙部署,并实时计算所述虚拟化平台的第二防火墙部署影响因数,并根据所述第二防火墙部署影响因数对所述第二防火墙虚拟化部署方案进行迭代优化,得到目标防火墙虚拟化部署方案;具体包括:通过所述第二虚拟机实例对所述虚拟化平台进行虚拟防火墙部署,并实时计算所述虚拟化平台的第二防火墙部署影响因数;根据所述第二防火墙部署影响因数定义所述虚拟化平台的适应度函数,并通过预置的鲸鱼优化算法对所述第二防火墙虚拟化部署方案进行种群初始化,得到多个第一候选部署方案;通过所述适应度函数分别计算每个第一候选部署方案的第一目标值,并对所述第一目标值与第一阈值和第二阈值进行比较,其中,第一阈值<第二阈值;若第一目标值<第一阈值,则将对应的第一候选部署方案划分至第一部署方案群体,若第一阈值<第一目标值<第二阈值,则将对应的第一候选部署方案划分至第二部署方案群体,若第二阈值<第一目标值,则将对应的第一候选部署方案划分至第三部署方案群体;对所述第一部署方案群体和所述第二部署方案群体进行繁殖、交叉和变异,并对所述第三部署方案群体进行交叉和变异,得到多个第二候选部署方案;对所述多个第二候选部署方案进行适应度计算,得到每个第二候选部署方案对应的第二目标值,并根据所述第二目标值对所述多个第二候选部署方案进行迭代分析和最优化求解,得到目标防火墙虚拟化部署方案。
2.根据权利要求1所述的防火墙虚拟化部署方法,其特征在于,所述获取虚拟化平台的防火墙虚拟化参数和云环境流量参数,并根据所述防火墙虚拟化参数和所述云环境流量参数创建所述虚拟化平台的第一防火墙虚拟化部署方案,其中,所述第一防火墙虚拟化部署方案包括:防火墙规则和访问控制策略,包括:
获取虚拟化平台的防火墙虚拟化参数,所述防火墙虚拟化参数包括:防火墙软件的版本、许可证信息及性能要求参数;
获取虚拟化平台的云环境流量参数,所述云环境流量参数包括:预期的流量量、流量类型和流量的来源和目的地参数;
对所述防火墙虚拟化参数进行规则创建,生成多个第一防火墙虚拟化部署规则,并对所述云环境流量参数进行规则创建,生成多个第二防火墙虚拟化部署规则;
对所述多个第一防火墙虚拟化部署规则和所述多个第二防火墙虚拟化部署规则进行规则填充,得到所述虚拟化平台的第一防火墙虚拟化部署方案,其中,所述第一防火墙虚拟化部署方案包括:防火墙规则和访问控制策略。
3.根据权利要求2所述的防火墙虚拟化部署方法,其特征在于,所述根据所述第一防火墙虚拟化部署方案从预置的虚拟机安全组件中调用多个第一虚拟机实例,并根据所述多个第一虚拟机实例对所述虚拟化平台进行虚拟防火墙部署,包括:
根据所述第一防火墙虚拟化部署方案对预置的虚拟机安全组件进行虚拟机实例匹配,得到多个第一虚拟机实例;
构建所述多个第一虚拟机实例对应的初始虚拟部署拓扑图,并对所述初始虚拟部署拓扑图进行聚类计算,得到聚类结果,并计算得到所述初始虚拟部署拓扑图中每个第一虚拟机实例的重要度;
通过预置图计算聚类分析模型,根据所述聚类结果及所述初始虚拟部署拓扑图中每个第一虚拟机实例的重要度对所述初始虚拟部署拓扑图进行有向图边加权,得到加权有向图;
采用预置图计算聚类分析模型中最短路径算法对所述加权有向图的第一虚拟机实例进行关系计算,得到关系树形结构,并通过所述关系树形结构对所述多个第一虚拟机实例进行虚拟化部署。
4.根据权利要求1所述的防火墙虚拟化部署方法,其特征在于,所述对所述多个第一虚拟机实例进行虚拟机网络性能监控,得到每个第一虚拟机实例的网络性能指标,并根据每个第一虚拟机实例对应的网络性能指标获取所述虚拟化平台的第一防火墙部署影响因数,包括:
对所述多个第一虚拟机实例进行虚拟机网络性能监控,得到每个第一虚拟机实例的虚拟机网络性能数据集;
分别对所述虚拟机网络性能数据集进行数据归一化处理,得到多个归一化网络性能数据集;
分别对所述多个归一化网络性能数据集进行向量编码转换,得到多个网络性能编码向量;
分别将所述多个网络性能编码向量输入预置的线性回归模型进行性能指标预测,得到每个第一虚拟机实例的网络性能指标;
对每个第一虚拟机实例对应的网络性能指标进行影响因数计算,得到所述虚拟化平台的第一防火墙部署影响因数。
5.根据权利要求1所述的防火墙虚拟化部署方法,其特征在于,所述根据所述云环境流量参数设置网络流量约束条件,并判断所述第一防火墙部署影响因数是否符合所述网络流量约束条件,得到目标判断结果,包括:
根据所述云环境流量参数设置网络流量约束条件,所述网络流量约束条件包括:最大允许的带宽使用率、网络流量的最大允许延迟、规定允许的最大数据包丢失率以及为不同类型的流量分配优先级;
对所述第一防火墙部署影响因数与所述网络流量约束条件进行比较,以判断所述第一防火墙部署影响因数是否符合所述网络流量约束条件,得到目标判断结果,所述目标判断结果包括:合格或者不合格。
6.根据权利要求5所述的防火墙虚拟化部署方法,其特征在于,所述根据所述目标判断结果和所述第一防火墙部署影响因数生成第二防火墙虚拟化部署方案,并根据所述第二防火墙虚拟化部署方案从所述虚拟机安全组件中确定第二虚拟机实例,包括:
若所述目标判断结果为合格,则根据所述第一防火墙部署影响因数,对预置的防火墙虚拟化部署方案列表进行映射匹配,得到第二防火墙虚拟化部署方案;
根据所述第二防火墙虚拟化部署方案,对所述虚拟机安全组件进行虚拟机实例匹配,得到目标匹配结果;
对所述目标匹配结果进行虚拟机实例校验,得到校验结果,并根据所述校验结果确定对应的第二虚拟机实例。
7.一种防火墙虚拟化部署系统,其特征在于,所述防火墙虚拟化部署系统包括:
获取模块,用于获取虚拟化平台的防火墙虚拟化参数和云环境流量参数,并根据所述防火墙虚拟化参数和所述云环境流量参数创建所述虚拟化平台的第一防火墙虚拟化部署方案,其中,所述第一防火墙虚拟化部署方案包括:防火墙规则和访问控制策略;
部署模块,用于根据所述第一防火墙虚拟化部署方案从预置的虚拟机安全组件中调用多个第一虚拟机实例,并根据所述多个第一虚拟机实例对所述虚拟化平台进行虚拟防火墙部署;
监控模块,用于对所述多个第一虚拟机实例进行虚拟机网络性能监控,得到每个第一虚拟机实例的网络性能指标,并根据每个第一虚拟机实例对应的网络性能指标获取所述虚拟化平台的第一防火墙部署影响因数;
判断模块,用于根据所述云环境流量参数设置网络流量约束条件,并判断所述第一防火墙部署影响因数是否符合所述网络流量约束条件,得到目标判断结果;
生成模块,用于根据所述目标判断结果和所述第一防火墙部署影响因数生成第二防火墙虚拟化部署方案,并根据所述第二防火墙虚拟化部署方案从所述虚拟机安全组件中确定第二虚拟机实例;
优化模块,用于通过所述第二虚拟机实例对所述虚拟化平台进行虚拟防火墙部署,并实时计算所述虚拟化平台的第二防火墙部署影响因数,并根据所述第二防火墙部署影响因数对所述第二防火墙虚拟化部署方案进行迭代优化,得到目标防火墙虚拟化部署方案;具体包括:通过所述第二虚拟机实例对所述虚拟化平台进行虚拟防火墙部署,并实时计算所述虚拟化平台的第二防火墙部署影响因数;根据所述第二防火墙部署影响因数定义所述虚拟化平台的适应度函数,并通过预置的鲸鱼优化算法对所述第二防火墙虚拟化部署方案进行种群初始化,得到多个第一候选部署方案;通过所述适应度函数分别计算每个第一候选部署方案的第一目标值,并对所述第一目标值与第一阈值和第二阈值进行比较,其中,第一阈值<第二阈值;若第一目标值<第一阈值,则将对应的第一候选部署方案划分至第一部署方案群体,若第一阈值<第一目标值<第二阈值,则将对应的第一候选部署方案划分至第二部署方案群体,若第二阈值<第一目标值,则将对应的第一候选部署方案划分至第三部署方案群体;对所述第一部署方案群体和所述第二部署方案群体进行繁殖、交叉和变异,并对所述第三部署方案群体进行交叉和变异,得到多个第二候选部署方案;对所述多个第二候选部署方案进行适应度计算,得到每个第二候选部署方案对应的第二目标值,并根据所述第二目标值对所述多个第二候选部署方案进行迭代分析和最优化求解,得到目标防火墙虚拟化部署方案。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410026292.XA CN117544422B (zh) | 2024-01-09 | 2024-01-09 | 防火墙虚拟化部署方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410026292.XA CN117544422B (zh) | 2024-01-09 | 2024-01-09 | 防火墙虚拟化部署方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117544422A CN117544422A (zh) | 2024-02-09 |
| CN117544422B true CN117544422B (zh) | 2024-03-29 |
Family
ID=89788402
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410026292.XA Active CN117544422B (zh) | 2024-01-09 | 2024-01-09 | 防火墙虚拟化部署方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117544422B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872443A (zh) * | 2016-09-28 | 2018-04-03 | 深圳市深信服电子科技有限公司 | 虚拟网络安全防护系统、流量牵引方法及装置 |
| CN113872922A (zh) * | 2020-06-30 | 2021-12-31 | 中兴通讯股份有限公司 | 防火墙虚拟化部署方法、系统、服务器及存储介质 |
| CN115567398A (zh) * | 2022-06-07 | 2023-01-03 | 杭州溪塔科技有限公司 | 一种数据中心网络构建系统及其实现方法 |
| CN116668381A (zh) * | 2023-06-27 | 2023-08-29 | 塔里木大学 | 一种虚拟分布式网络接口控制器 |
-
2024
- 2024-01-09 CN CN202410026292.XA patent/CN117544422B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107872443A (zh) * | 2016-09-28 | 2018-04-03 | 深圳市深信服电子科技有限公司 | 虚拟网络安全防护系统、流量牵引方法及装置 |
| CN113872922A (zh) * | 2020-06-30 | 2021-12-31 | 中兴通讯股份有限公司 | 防火墙虚拟化部署方法、系统、服务器及存储介质 |
| CN115567398A (zh) * | 2022-06-07 | 2023-01-03 | 杭州溪塔科技有限公司 | 一种数据中心网络构建系统及其实现方法 |
| CN116668381A (zh) * | 2023-06-27 | 2023-08-29 | 塔里木大学 | 一种虚拟分布式网络接口控制器 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117544422A (zh) | 2024-02-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Ramírez et al. | Evolutionary composition of QoS-aware web services: a many-objective perspective | |
| US20200272909A1 (en) | Systems and methods for operating a data center based on a generated machine learning pipeline | |
| Ayoubi et al. | An autonomous IoT service placement methodology in fog computing | |
| CA3080050A1 (en) | Training tree-based machine-learning modeling algorithms for predicting outputs and generating explanatory data | |
| US9396160B1 (en) | Automated test generation service | |
| Riahi et al. | A multi-objective decision support framework for virtual machine placement in cloud data centers: a real case study | |
| WO2017016758A1 (en) | Network function virtualization | |
| Aleti | Designing automotive embedded systems with adaptive genetic algorithms | |
| US20230145025A1 (en) | Modeling cloud inefficiencies using domain-specific templates | |
| Samarji et al. | A fault tolerance metaheuristic‐based scheme for controller placement problem in wireless software‐defined networks | |
| CN117997906B (zh) | 节点计算资源分配方法、网络交换子系统及智能计算平台 | |
| Taghizadeh et al. | A metaheuristic‐based data replica placement approach for data‐intensive IoT applications in the fog computing environment | |
| CN117527622A (zh) | 网络交换机的数据处理方法及系统 | |
| Sham et al. | Admission control and resource provisioning in fog-integrated cloud using modified fuzzy inference system | |
| da Silva Pinheiro et al. | A performance modeling framework for microservices-based cloud infrastructures | |
| Rodis et al. | Intelligent and resource-conserving service function chain (SFC) Embedding | |
| CN117544422B (zh) | 防火墙虚拟化部署方法及系统 | |
| Zangiabady et al. | Self‐adaptive online virtual network migration in network virtualization environments | |
| US9124496B2 (en) | System and method for end- or service-node placement optimization | |
| WO2017213065A1 (ja) | サービス管理システム、サービス管理方法、および、記録媒体 | |
| Gonçalves et al. | Optimizing the Cloud Data Center Availability Empowered by Surrogate Models. | |
| Gholamrezaei et al. | Learning‐based multi‐constraint resilient controller placement and assignment in software‐defined networks using covering graph | |
| Park et al. | Gemma: reinforcement learning-based graph embedding and mapping for virtual network applications | |
| Zade et al. | An improved Caledonian crow learning algorithm based on ring topology for security-aware workflow scheduling in cloud computing | |
| Namyar et al. | Finding adversarial inputs for heuristics using multi-level optimization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |