WO2023056722A1 - 一种分布式防火墙定义方法及系统 - Google Patents
一种分布式防火墙定义方法及系统 Download PDFInfo
- Publication number
- WO2023056722A1 WO2023056722A1 PCT/CN2022/074415 CN2022074415W WO2023056722A1 WO 2023056722 A1 WO2023056722 A1 WO 2023056722A1 CN 2022074415 W CN2022074415 W CN 2022074415W WO 2023056722 A1 WO2023056722 A1 WO 2023056722A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- firewall
- ovn
- database
- event
- policy
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/58—Association of routers
- H04L45/586—Association of routers of virtual routers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/70—Virtual switches
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Definitions
- the OVN controller sends the received data to the OVS guard module on the computing node where it is located, and the OVS guard module stores the received data in the memory for message forwarding.
- a distributed firewall definition system comprising:
- the distributed firewall definition method of the embodiment of the present application can be realized through the software definition of OpenStack multi-architecture, specifically in the cluster environment of Openstack multi-architecture, using the underlying driver of the firewall plug-in loaded by the Neutron component in the Openstack multi-architecture, by loading The policy routing program in the OVN (OpenVirtualNetwork, development virtual network) driver realizes the software-defined distributed firewall function.
- OpenStack multi-architecture specifically in the cluster environment of Openstack multi-architecture
- OVN OpenVirtualNetwork, development virtual network
- the OVN database After the OVN database receives the firewall configuration information, it converts the currently received firewall configuration information into the corresponding policy routing, and then uses the policy routing to process the firewall event corresponding to the data stored by itself; specifically, the firewall event is a firewall event Create an event, then store the policy route in the OVN database, if the firewall event is a firewall deletion event, delete the policy route from the OVN database, and if the firewall event is a firewall update event, use the policy route to update the corresponding data in the OVN database .
- the firewall event is a firewall event Create an event, then store the policy route in the OVN database, if the firewall event is a firewall deletion event, delete the policy route from the OVN database, and if the firewall event is a firewall update event, use the policy route to update the corresponding data in the OVN database .
- the Neutron-Fwaas-Plugin in the Neutron-Fwaas plug-in registers the firewall event monitoring mechanism, such as the firewall creation event, the firewall deletion event and the firewall update event; To monitor firewall events by the OVN Firewall Driver Hander. If the OVN Firewall Driver Hander listens to the firewall creation event, the process of executing the corresponding deployment of the firewall creation event may include:
- the firewall component determines that the currently monitored firewall event is a firewall update event, compares the firewall update event in the network server and the corresponding firewall policy rules in the OVN database, and if based on the result of the comparison, it is determined that a firewall needs to be added to the OVN database If it is determined based on the comparison result that the firewall policy rule needs to be deleted from the OVN database, the firewall delete event will be correspondingly processed according to the currently monitored firewall event. deal with.
- the firewall component 11 is used to: monitor the firewall event in real time, and send the firewall configuration information corresponding to the firewall event that is currently monitored to the OVN database;
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种分布式防火墙定义方法及系统,该方法包括:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;OVN数据库将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块,OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。可见,本申请能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。
Description
本申请要求于2021年10月9日提交的、申请号为202111173614.6、发明名称为“一种分布式防火墙定义方法及系统”的中国专利申请的优先权,其全部内容通过引用结合在本申请中。
本申请涉及防火墙技术领域,更具体地说,涉及一种分布式防火墙定义方法及系统。
Openstack(开源框架,应用于云计算领域中)云计算的快速发展,带来资源整合优势的同时也带来较多的使用风险,比如网络带宽的瓶颈问题;对于网络带宽问题,通常采用各种限速或者流量过滤分流的方法来解决,但是这些方法面临的网络威胁较大,因此如何合理而又高效的实现网络带宽的合理分配,同时保证网络安全是当前无法回避的问题。
目前在基于Openstack框架部署私有云平台的应用场景中,通常是通过在Openstack原生的Virtual Router(虚拟路由器)上添加iptables(ip规则表)规则,来实现对进出虚拟网络数据包的控制;这种借助于原生Virtual Router上添加iptables规则的方式,由于对于流量的过滤集中在L3agent上,因此导致当突发流量时,无法实现安全防护隔离的同时,还会出现如网络拥塞等网络问题。
发明内容
本申请的目的是提供一种分布式防火墙定义方法及系统,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。
为了实现上述目的,本申请提供如下技术方案:
一种分布式防火墙定义方法,包括:
防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;
所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;
所述OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块,所述OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。
可选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库之前,还包括:
所述防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出所述防火墙创建事件的处理;
相应的,所述OVN数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:
所述OVN数据库存储所述策略路由。
可选的,所述防火墙组件确定网络服务器中存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还包括:
所述防火墙组件遍历与所述防火墙创建事件对应防火墙的关联路由器,并在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。
可选的,所述OVN数据库存储所述策略路由之前,还包括:
所述OVN数据库判断自身是否存储有所述策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储所述策略路由的步骤。
可选的,所述防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还包括:
所述防火墙组件设置所述防火墙创建事件对应防火墙的状态为生效状态,并将所述防火墙创建事件对应防火墙为生效状态的信息同步至所述网络服务器中,以供实现对所述防火墙创建事件对应防火墙的使用。
可选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:
所述防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从所述网络服务器中获取所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;
相应的,所述OVN数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:
所述OVN数据库将自身存储的与所述策略路由相同的数据删除。
可选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:
所述防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将所述防火墙更新事件在所述网络服务器中及所述OVN数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向所述OVN数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从所述OVN数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。
可选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,包括:
所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN北向数据库中,所述OVN北向数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并且所述OVN北向数据库的守护进程在监听到所述OVN北向数据库中存储的数据发生变化后,将所述OVN北向数据库中发生变化的数据发送至OVN南向数据库中,以指示所述OVN南向数据库存储接收到的数据后,将自身所存储的数据中发生变化的数据发送至所述OVN控制器。
可选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:
所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息转换成所述OVN数据库对应的OVN驱动能够识别的规则代码;
所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,包括:
所述OVN北向数据库将所述防火墙配置信息转换为相应的策略路由;
所述OVN南向数据库存储接收到的数据之前,还包括:
所述OVN南向数据库将接收到的数据转换成逻辑流表;
所述OVS守护模块存储接收到的数据之前,还包括:
所述OVS守护模块将接收到的数据解析为OVS物理流表。
可选的,所述防火墙组件、所述OVN北向数据库、所述OVN南向数据库及所述OVN控制器发送需要发送的数据之前,还包括:
将需要发送的数据封装成OVSDB消息格式。
一种分布式防火墙定义系统,包括:
防火墙组件,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;
所述OVN数据库,用于:将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;
所述OVN控制器,用于:将接收到的数据发送至所在计算节点上的OVS守护模块;
所述OVS守护模块,用于:将接收到的数据存储在内存中用于实现报文的转发。
本申请提供了一种分布式防火墙定义方法及系统,该方法包括:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;所述OVN控制 器将接收到的数据发送至所在计算节点上的OVS守护模块,所述OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。本申请在防火墙组件监听到防火墙事件后,将监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,OVN数据库在将防火墙配置事件对应防火墙配置信息转换为策略路由后,利用策略路由对自身存储的数据进行防火墙事件对应处理,并将处理导致的自身存储数据中发生变化的数据发送至位于各个计算节点的OVN控制器,OVN控制器将接收到的数据转发给自身所在计算节点的OVS守护模块,以使得OVS守护模块存储接收的数据用于后续实现报文的转发。可见,本申请基于OVN驱动的策略路由实现分布式防火墙功能,不同于现有技术防火墙流量集中处理,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例提供的一种分布式防火墙定义方法的流程图;
图2为本申请实施例提供的一种分布式防火墙定义方法中默认的防火墙策略规则的示意图;
图3为本申请实施例提供的一种分布式防火墙定义装置的结构示意图。
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
请参阅图1,其示出了本申请实施例提供的一种分布式防火墙定义方法的流程图,可以包括:
S11:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中。
本申请实施例的分布式防火墙定义方法可以通过OpenStack多架构的软件定义实现,具体为在Openstack多架构的集群环境中,利用Openstack多架构中Neutron组件所加载的防火墙插件的底层驱动程序,通过加载OVN(OpenVirtualNetwork,开发虚拟网络)驱动中的策略路由程序来实现软件定义的分布式防火墙功能。其中,Neutron-Fwaas插件(防火墙组件)接收来自Neutron(Openvswitch中的网络核心组件)的防火墙相关配置及防火墙事件,如防火墙创建事件、防火墙删除事件、防火墙更新事件、防火墙关联策略、防火墙关联规则以及防火墙关联路由器(本申请实施例中路由器具体均可以为虚拟路由器)等,进而在每次监听到防火墙事件后,则将当前监听到的防火墙事件对应配置(防火墙配置信息则为表示防火墙事件对应配置的信息)发送至OVN数据库中。
另外,本申请实施例中分布式防火墙定义方法实际为在外界用户或者其他人员实现对防火墙的配置后,将实现的对防火墙的配置通过OVN数据库部署至OVS-Vswitchd(OVS守护模块)中,以使得OVS-Vswitchd基于实现的对防火墙的配置实现后续报文的转发,从而实现对网络流量的控制。
S12:OVN数据库将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器。
OVN数据库在接收到防火墙配置信息后,将当前接收到的防火墙配置信息转换为相应的策略路由,然后利用策略路由对自身所存储的数据进行防火墙事件对应的处理;具体来说,防火墙事件为防火墙创建事件,则将策略路由存储至OVN数据库中,防火墙事件为防火墙删除事件,则将策略路由从OVN数据库中删除,防火墙事件为防火墙更新事件,则利用策略路由对OVN数据库中的相应数据进行更新。在OVN数据库利用防火墙配置信息转换所得策略路由对自身存储的数据进行处理后,则可以确定对自身存储的数据进行处理导致OVN数据库中发生变化的数据,然后将发生变化的数据发送至位于各个计算节点上的OVN控制器,以使得各OVN控制器能够将发生变化的数据发送 至自身所在计算节点上的OVS守护模块,使得OVS守护模块能够存储接收到的数据用于后续报文转发,从而实现防火墙事件对应配置至位于各节点上的OVS守护模块的部署,也即实现防火墙的分布式定义。
S13:OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块,OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。
本申请在防火墙组件监听到防火墙事件后,将监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,OVN数据库在将防火墙配置事件对应防火墙配置信息转换为策略路由后,利用策略路由对自身存储的数据进行防火墙事件对应处理,并将处理导致的自身存储数据中发生变化的数据发送至位于各个计算节点的OVN控制器,OVN控制器将接收到的数据转发给自身所在计算节点的OVS守护模块,以使得OVS守护模块存储接收的数据用于后续实现报文的转发。可见,本申请基于OVN驱动的策略路由实现分布式防火墙功能,不同于现有技术防火墙流量集中处理,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。
本申请实施例提供的一种分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,可以包括:
防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN北向数据库中,OVN北向数据库将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并且OVN北向数据库的守护进程在监听到OVN北向数据库中存储的数据发生变化后,将OVN北向数据库中发生变化的数据发送至OVN南向数据库中,以指示OVN南向数据库存储接收到的数据后,将自身所存储的数据中发生变化的数据发送至OVN控制器;
防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还可以包括:
防火墙组件将当前监听到的防火墙事件对应防火墙配置信息转换成OVN数据库对应的OVN驱动能够识别的规则代码;
OVN数据库将防火墙配置信息转换为相应的策略路由,可以包括:
OVN北向数据库将防火墙配置信息转换为相应的策略路由;
OVN南向数据库存储接收到的数据之前,还可以包括:
OVN南向数据库将接收到的数据转换成逻辑流表;
OVS守护模块存储接收到的数据之前,还可以包括:
OVS守护模块将接收到的数据解析为OVS物理流表;
防火墙组件、OVN北向数据库、OVN南向数据库及OVN控制器发送需要发送的数据之前,还可以包括:
将需要发送的数据封装成OVSDB消息格式。
需要说明的是,本申请实施例中Neutron-Fwaas插件监听到防火墙事件后,可以将监听到的防火墙事件对应防火墙配置信息转换成OVN驱动能够识别的规则代码,并将转换所得规则代码封装成OVSDB的消息格式后,通过OVSDB Client(OVSDB客户端)向OVN Northbound DB(OVN北向数据库)发送消息,OVN Northbound DB接收到消息后,解析消息内容转换成策略路由的规则格式后把消息存储在OVN Northbound DB中,同时守护进程OVN Northd Deamon监听到OVN Northbound DB的数据发生变化,会把OVN Northbound DB中发生变化的数据封装成OVSDB的消息格式后,发送到OVN Southbound DB(OVN南向数据库)中,OVN Southbound DB收到消息后,解析消息并把防火墙相关的配置转换成逻辑流表存储在OVN Southbound DB中,同时向OVN Control(OVN控制器)发送同步OVSDB消息,此时位于各计算节点上的OVN Control服务监听到OVN Southbound DB数据有变化后,接收消息并解析消息的内容到OVS-Vswitchd中,OVS-Vswitchd会把接收的消息解析为OVS物理流表存储在内存中用于后续报文的转发,从而有效实现对网络流量的控制。
其中,OVN驱动能够识别的规则代码即为OVN Northbound DB能够识别的数据格式,也即为策略路由能够识别的数据格式,而将防火墙配置信息转换为相应的策略路由则可以为从防火墙配置信息中提取中策略路由所需的各项信息,如IP、mac、端口、协议及动作等,然后将这些信息按照策略路由所需的方式进行组装,则完成防火墙配置信息至相应策略路由的转换。另外,物理流表和逻辑流表与现有技术中对应概念的含义相同,两者是一种相对应的关系,物理流表通过Open Flow的流表格式实现,逻辑流表通过Logical Flow的形式存在,两者最大的不同在于logical flow对整个网络的行为进行了详细的描述并且能够扩展到任意数量的主机上,而Open Flow则是针对本节点的主机生效;在本申请实施例中OVN数据库通过logical flow对网络进行编辑,然后 这些logical flow又会分发到每台机器上运行在OVN Control中,OVN Control根据当前的物理环境(本地端口在哪以及如何到达其他机器等)将这些logical flow编译到Open Flow中。
本申请实施例提供的一种分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库之前还可以包括:
防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出防火墙创建事件的处理;
相应的,OVN数据库利用策略路由对自身所存储的数据进行防火墙事件对应的处理,可以包括:
OVN数据库存储策略路由。
防火墙组件确定网络服务器中存在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还可以包括:
防火墙组件遍历与防火墙创建事件对应防火墙的关联路由器,在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。
OVN数据库将防火墙配置信息转换为相应的策略路由之前,还可以包括:
OVN数据库判断自身是否存储有策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储策略路由的步骤。
防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还可以包括:
防火墙组件设置防火墙创建事件对应防火墙的状态为生效状态,并将防火墙创建事件对应防火墙为生效状态的信息同步至网络服务器中,以供实现对防火墙创建事件对应防火墙的使用。
本实施例中Neutron-Fwaas插件中的Neutron-Fwaas-Plugin注册防火墙事件监听机制,如防火墙创建事件、防火墙删除事件及防火墙更新事件;并且在Neutron-Fwass插件中新增OVN Firewall Driver Hander功能代码,以由该OVN Firewall Driver Hander监听防火墙事件。如果OVN Firewall Driver Hander监听到防火墙创建事件,则执行防火墙创建事件相应部署的过程可以包括:
确定外界用户或者其他人员是否已经完成防火墙创建事件对应防火墙的配置:确认Neutron Server传来的防火墙策略(即防火墙创建事件对应防火墙的防火墙策略)在系统的网络服务器中是否存在,如果存在则继续执行,否则退出;在确认防火墙策略在网络服务器中存在后,确认该防火墙策略的防火墙策略规则在网络服务器中是否存在,如果存在则继续执行,否则退出;在确认防火墙策略规则在网络服务器中存在后,确认防火墙创建事件对应防火墙关联的路由器是否存在,如果存在则继续执行,否则退出。
在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则及关联的路由器均存在的情况下,遍历防火墙创建事件对应防火墙所关联的路由器(关联的路由器的信息可以存储于路由器列表中),向每个路由器下创建如图2所示的两个默认防火墙策略规则,以保证每个路由器下均具有系统需要为其设置的统一的防火墙策略规则。然后基于防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则及关联的路由器提取出构造相应策略路由所需的各项信息,如协议号、端口号、ip地址、动作等,将这些信息作为相应的防火墙配置信息,然后调用OVN Client向OVN驱动发送添加策略路由的请求,OVN数据库将防火墙配置信息转换为相应策略路由存储后,依次向后传递存储策略路由导致的数据变化,直至OVS守护模块将策略路由相应的物理流表存储用于后续报文的转发;同时还会设置防火墙创建事件对应防火墙的状态为ACTIVE(生效状态),并同步更新到Neutron(网络服务器)的Marildb数据库中,以保证能够对相应防火墙进行使用等操作。
另外在OVN数据库需要存储策略路由之前,还会判断OVN数据库中是否已经存在此条目,如果存在此条目,则利用当前转换得到的策略路由刷新已经存在的条目,如果不存在此条目,则存储当前转换得到的策略路由,并在OVN数据库中将当前存储的策略路由关联到所关联的路由器的ID上,从而保证OVN数据库中存储的为有效的信息。
本申请实施例提供的分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还可以包括:
防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从网络服 务器中获取防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;
相应的,OVN数据库利用策略路由对自身所存储的数据进行防火墙事件对应的处理,可以包括:
OVN数据库将自身存储的与策略路由相同的数据删除。
需要说明的是,本申请实施例中如果OVN Firewall Driver Hander监听到防火墙删除事件,则执行删除的具体流程可以包括:
遍历防火墙删除事件对应防火墙所关联的路由器(可以通过遍历路由器列表实现),接着基于防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则及关联路由器构造策略路由相关的各项信息,将这些信息作为相应的防火墙配置信息;然后调用OVN Client向OVN驱动发送请求以使得OVN数据库基于防火墙配置信息实现相应的防火墙部署。相应的,在OVN数据库接收到防火墙配置信息并转换为相应的策略路由后,则可以直接将遍历的上述路由器下存在的当前转换得到的策略路由进行删除,还可以将这些路由器下默认的防火墙策略规则删除,然后依次向后传递删除策略路由及默认防火墙策略规则导致的数据变化,直至OVS守护模块将相应的物理流表删除,从而有效快速的实现防火墙的删除。
本申请实施例提供的分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还可以包括:
防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将防火墙更新事件在网络服务器中及OVN数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向OVN数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从OVN数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。
如果OVN Firewall Driver Hander监听到防火墙更新事件,则执行更新的具体流程可以包括:
将防火墙更新事件对应防火墙在网络服务器中的防火墙策略规则与在 OVN数据库中的防火墙策略规则进行比对,如果有存在于网络服务器但未存在于OVN数据库中的防火墙策略规则,则说明需要将该防火墙策略规则添加至OVN数据库中,因此按照防火墙创建事件进行相应处理,此时该防火墙策略规则对应防火墙则为防火墙创建事件对应的防火墙,进而实现后续防火墙创建操作;如果有存储于OVN数据库中但未存在于网络服务器中的防火墙策略规则,则说明需要将该防火墙策略从OVN数据库中删除,因此按照防火墙删除事件进行相应处理,此时该防火墙策略规则对应防火墙则为防火墙删除事件对应的防火墙,进而实现后续防火墙删除操作;如果两者中防火墙策略规则是相同的,则确定无需实现相应的防火墙部署。从而通过这种方式有效实现防火墙更新事件。
综上可见,本申请在Openstack部署的多架构集群环境中,利用OVN驱动中的策略路由实现分布式防火墙服务,用户通过下发防火墙策略规则关联到路由器中,且生效于虚拟路由器中各个接口;由于是基于OVN实现的,OVN的底层替换掉了原有的Openstack架构中的关于Neutron的各个agent,统一通过OVSDB协议下发OVN流表实现通信及流量转发,从而减轻了Neutron Server与各个agent交互带来资源损耗以及信息同步管理问题;而且OVN的实现是分布式的架构,所以基于此实现的防火墙也是分布式的防火墙,对于虚拟机租户网络跨网段经过路由器时,流量无需统一转发至网络节点或者控制节点处理,在本节点即可完成三层流量转发规则,从而避免了由于原来必须去网络节点或者控制节点的L3agent中集中处理的带宽瓶颈问题;同时防火墙规则的是关联到路由器上的,所有用户在下发防火墙规则时也是生效于各个节点上,这样也避免了原有架构的防火墙集中处理带来的性能瓶颈问题,从而可达到三层网络高性能转发以及分布式防火墙的服务高性能,解决虚拟机组网网络分布式控制各个集群中安全防护策略,可有效隔离网络安全问题,把网络安全问题规避到某一个节点上,从而防止整个集群的损坏,增强了用户的实用性,让Openstack云环境中的防火墙安全策略虚更加弹性扩展。也即本申请基于OVN的策略路由实现的防火墙是分布式的防火墙,对于Openstack多架构的集群中,流量的管控处理更佳灵活,网络流量的问题定位更佳精准,且对于一些的突发带宽的流量限制,可以到达更高更有的性能,使得虚拟机的网络和物理网络的隔离更加安全。
本申请实施例还提供了一种分布式防火墙定义系统,如图3所示,具体可以包括:
防火墙组件11,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;
OVN数据库12,用于:将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;
OVN控制器13,用于:将接收到的数据发送至所在计算节点上的OVS守护模块;
OVS守护模块14,用于:将接收到的数据存储在内存中用于实现报文的转发。
需要说明的是,本申请实施例提供的一种分布式防火墙定义系统中相关部分的说明请参见本申请实施例提供的一种分布式防火墙定义方法中对应部分的详细说明,在此不再赘述。另外本申请实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。
对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本申请的发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (11)
- 一种分布式防火墙定义方法,其特征在于,包括:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;所述OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块,所述OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。
- 根据权利要求1所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库之前,还包括:所述防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出所述防火墙创建事件的处理;相应的,所述OVN数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:所述OVN数据库存储所述策略路由。
- 根据权利要求2所述的方法,其特征在于,所述防火墙组件确定网络服务器中存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还包括:所述防火墙组件遍历与所述防火墙创建事件对应防火墙的关联路由器,并在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。
- 根据权利要求3所述的方法,其特征在于,所述OVN数据库存储所述策略路由之前,还包括:所述OVN数据库判断自身是否存储有所述策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储所述策略路由的步骤。
- 根据权利要求4所述的方法,其特征在于,所述防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还包括:所述防火墙组件设置所述防火墙创建事件对应防火墙的状态为生效状态,并将所述防火墙创建事件对应防火墙为生效状态的信息同步至所述网络服务器中,以供实现对所述防火墙创建事件对应防火墙的使用。
- 根据权利要求2所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:所述防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从所述网络服务器中获取所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;相应的,所述OVN数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:所述OVN数据库将自身存储的与所述策略路由相同的数据删除。
- 根据权利要求6所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:所述防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将所述防火墙更新事件在所述网络服务器中及所述OVN数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向所述OVN数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从所述OVN数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。
- 根据权利要求7所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中,包括:所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN北向数据库中,所述OVN北向数据库将所述防火墙配置信息转换为相 应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并且所述OVN北向数据库的守护进程在监听到所述OVN北向数据库中存储的数据发生变化后,将所述OVN北向数据库中发生变化的数据发送至OVN南向数据库中,以指示所述OVN南向数据库存储接收到的数据后,将自身所存储的数据中发生变化的数据发送至所述OVN控制器。
- 根据权利要求8所述的方法,其特征在于,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中之前,还包括:所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息转换成所述OVN数据库对应的OVN驱动能够识别的规则代码;所述OVN数据库将所述防火墙配置信息转换为相应的策略路由,包括:所述OVN北向数据库将所述防火墙配置信息转换为相应的策略路由;所述OVN南向数据库存储接收到的数据之前,还包括:所述OVN南向数据库将接收到的数据转换成逻辑流表;所述OVS守护模块存储接收到的数据之前,还包括:所述OVS守护模块将接收到的数据解析为OVS物理流表。
- 根据权利要求9所述的方法,其特征在于,所述防火墙组件、所述OVN北向数据库、所述OVN南向数据库及所述OVN控制器发送需要发送的数据之前,还包括:将需要发送的数据封装成OVSDB消息格式。
- 一种分布式防火墙定义系统,其特征在于,包括:防火墙组件,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中;所述OVN数据库,用于:将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器;所述OVN控制器,用于:将接收到的数据发送至所在计算节点上的OVS守护模块;所述OVS守护模块,用于:将接收到的数据存储在内存中用于实现报文的转发。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111173614.6A CN113612807B (zh) | 2021-10-09 | 2021-10-09 | 一种分布式防火墙定义方法及系统 |
| CN202111173614.6 | 2021-10-09 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2023056722A1 true WO2023056722A1 (zh) | 2023-04-13 |
Family
ID=78310889
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2022/074415 WO2023056722A1 (zh) | 2021-10-09 | 2022-01-27 | 一种分布式防火墙定义方法及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN113612807B (zh) |
| WO (1) | WO2023056722A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113612807B (zh) * | 2021-10-09 | 2021-12-03 | 苏州浪潮智能科技有限公司 | 一种分布式防火墙定义方法及系统 |
| CN115277349B (zh) * | 2022-07-18 | 2024-01-02 | 天翼云科技有限公司 | 一种配置分布式网关的方法、开放虚拟网络及存储介质 |
| CN115314356B (zh) * | 2022-08-09 | 2023-11-24 | 中电云计算技术有限公司 | 一种基于ovn的跨地域分布式sdn控制装置和方法 |
| CN115378868B (zh) * | 2022-08-18 | 2023-09-19 | 中电云数智科技有限公司 | 一种基于snat资源池实现报文处理的系统及方法 |
| CN115664870B (zh) * | 2022-12-28 | 2023-04-07 | 北京志翔科技股份有限公司 | 跨分布式节点的桌面访问方法、装置、系统以及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471397A (zh) * | 2018-01-31 | 2018-08-31 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
| US20200274852A1 (en) * | 2019-02-26 | 2020-08-27 | Juniper Networks, Inc. | Automatic configuration of perimeter firewalls based on security group information of sdn virtual firewalls |
| CN112351034A (zh) * | 2020-11-06 | 2021-02-09 | 科大讯飞股份有限公司 | 防火墙设置方法、装置、设备及存储介质 |
| CN112769829A (zh) * | 2021-01-11 | 2021-05-07 | 科大讯飞股份有限公司 | 云物理机的部署方法、相关设备及可读存储介质 |
| CN113612807A (zh) * | 2021-10-09 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种分布式防火墙定义方法及系统 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2748716B1 (en) * | 2011-11-15 | 2018-05-16 | Nicira Inc. | Network control system for configuring middleboxes |
| EP3072263B1 (en) * | 2013-11-18 | 2017-10-25 | Telefonaktiebolaget LM Ericsson (publ) | Multi-tenant isolation in a cloud environment using software defined networking |
| US11012420B2 (en) * | 2017-11-15 | 2021-05-18 | Nicira, Inc. | Third-party service chaining using packet encapsulation in a flow-based forwarding element |
| US11153119B2 (en) * | 2019-10-15 | 2021-10-19 | Cisco Technology, Inc. | Dynamic discovery of peer network devices across a wide area network |
| CN112491789B (zh) * | 2020-10-20 | 2022-12-27 | 苏州浪潮智能科技有限公司 | 一种基于OpenStack框架的虚拟防火墙构建方法及存储介质 |
| CN112291252B (zh) * | 2020-11-02 | 2022-06-24 | 浪潮云信息技术股份公司 | 一种南北向流量对称性引流的实现架构及方法 |
-
2021
- 2021-10-09 CN CN202111173614.6A patent/CN113612807B/zh active Active
-
2022
- 2022-01-27 WO PCT/CN2022/074415 patent/WO2023056722A1/zh unknown
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108471397A (zh) * | 2018-01-31 | 2018-08-31 | 华为技术有限公司 | 防火墙配置、报文发送方法和装置 |
| US20200274852A1 (en) * | 2019-02-26 | 2020-08-27 | Juniper Networks, Inc. | Automatic configuration of perimeter firewalls based on security group information of sdn virtual firewalls |
| CN112351034A (zh) * | 2020-11-06 | 2021-02-09 | 科大讯飞股份有限公司 | 防火墙设置方法、装置、设备及存储介质 |
| CN112769829A (zh) * | 2021-01-11 | 2021-05-07 | 科大讯飞股份有限公司 | 云物理机的部署方法、相关设备及可读存储介质 |
| CN113612807A (zh) * | 2021-10-09 | 2021-11-05 | 苏州浪潮智能科技有限公司 | 一种分布式防火墙定义方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113612807B (zh) | 2021-12-03 |
| CN113612807A (zh) | 2021-11-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2023056722A1 (zh) | 一种分布式防火墙定义方法及系统 | |
| US20200358745A1 (en) | Firewall Configuration Method and Apparatus and Packet Sending Method and Apparatus | |
| US7826393B2 (en) | Management computer and computer system for setting port configuration information | |
| EP2725737B1 (en) | Network policy configuration method, management device and network management centre device | |
| EP3337097B1 (en) | Network element upgrading method and device | |
| US9710762B2 (en) | Dynamic logging | |
| US10454880B2 (en) | IP packet processing method and apparatus, and network system | |
| JP2019500822A (ja) | 仮想マシンパケット制御 | |
| US9743367B2 (en) | Link layer discovery protocol (LLDP) on multiple nodes of a distributed fabric | |
| US11805011B2 (en) | Bulk discovery of devices behind a network address translation device | |
| CN112187532A (zh) | 一种节点管控方法及系统 | |
| WO2017143695A1 (zh) | 一种子网互通方法和装置 | |
| WO2015188331A1 (zh) | 转发控制方法、驱动器及sdn网络 | |
| EP4024771A1 (en) | Network measurement system and method, device and storage medium | |
| WO2020029793A1 (zh) | 一种上网行为管理系统、设备及方法 | |
| CN116545665A (zh) | 一种安全引流方法、系统、设备及介质 | |
| WO2018113633A1 (zh) | 报文转发方法、报文转发控制器、bras、计算机存储介质 | |
| CN112751701B (zh) | 用于管理网络装置的系统、方法及计算机可读介质 | |
| JP5063726B2 (ja) | 仮想ノード装置のコンフィグ制御方法 | |
| CN114189485A (zh) | 一种交换机的网口管理方法、系统及计算机可读存储介质 | |
| JP2017208718A (ja) | 通信装置および通信方法 | |
| JP6871108B2 (ja) | ファイアウォール装置の制御装置及びプログラム | |
| CN106878051B (zh) | 一种多机备份实现方法及装置 | |
| CN116016034B (zh) | 一种基于sdn的业务路径调度方法及装置 | |
| WO2022193897A1 (zh) | 一种业务的部署方法、装置及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 22877750 Country of ref document: EP Kind code of ref document: A1 |