专利名称:一种防火墙策略控制的方法及装置的制作方法
技术领域:
本发明涉及数据通信技术领域,尤指一种数据中心虚拟设备之间实现防火墙策略控制的方法和装置。
背景技术:
在云计算数据中心,一台物理服务器通常被虚拟化为几个虚拟设备。各个虚拟设备被分配给不同的用户提供不同的服务,用户有时需要实现同一物理服务器的不同虚拟设备间的访问和控制。然而,由于各个虚拟设备共享一个物理以太网口,而防火墙的策略控制都是基于安全域(安全域实质是一个端口的集合),因而,将不同虚拟设备间的访问和控制引流到防火墙后,防火墙无法根据物理端口找到相应的域,进而无法进行策略控制和深度·的安全处理。如图I所示,其为现有技术云计算数据中心某台物理服务器S I被虚拟化为4台虚拟设备(VMfVM4)的应用场景图。在该应用场景中,各虚拟设备被分配给不同的用户提供不同的服务,同时虚拟设备VMl和VM2的用户之间需要进行数据的交互和访问。为了安全控制,用户需要在虚拟设备VMl和VM2间实现防火墙策略控制,只允许固定内容的报文通过。由于在本应用场景下,各虚拟设备共享一个物理以太网端口,当策略控制引流到防火墙后,防火墙无法根据该端口找到相应的安全域,因而无法进行策略控制和深度的安全处理。为了解决这个问题,需要引入一种新的机制实现数据中心虚拟机之间访问的防火墙策略控制。
发明内容
有鉴于此,本发明提供一种防火墙策略控制的方法和装置。让用户在防火墙上配置生成一个虚拟接口,通过该虚拟接口找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。为达到上述目的,本发明的技术方案具体是这样实现的一种防火墙策略控制的方法,其中该方法应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,且多个虚拟设备之间需要实现防火墙策略控制,其中所述方法包括如下步骤步骤I、用户在防火墙上配置生成一个虚拟接口,其中所述虚拟接口具体包括虚拟接口 ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系;步骤2、防火墙根据虚拟接口找到相应的安全域,进而进行安全策略的控制。本发明同时提供了一种防火墙策略控制的装置,其中所述装置应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,所述网络系统进一步包括有防火墙设备,所述装置即可以独立于防火墙设备,又可以作为独立的模块嵌入于防火墙之中,其用于该等多个虚拟设备之间需要实现防火墙策略控制,其中所述装置包括配置模块,用于让用户在所述装置上配置生成一个虚拟接口,其中所述虚拟接口具体包括虚拟接口 ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系;
安全模块,用于所述装置根据配置模块生成的虚拟接口找到相应的安全域,进而进行相应的安全策略的控制。由上述技术方案可见,本发明通过让用户在防火墙上配置生成一个虚拟接口,通过该虚拟接口找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。
图I是现有技术某台物理服务器被虚拟化为4台虚拟设备的应用场景图示意图;图2是本发明防火墙策略控制的方法流程图;图3是本发明防火墙策略控制的装置示意图;
图4是本发明某台物理服务器被虚拟化为4台虚拟设备的应用场景图示意图;图5是图4所不的应用场景防火墙策略控制流程图。
具体实施例方式为了实现本发明目的,本发明采用的核心思想为首先接收用户的配置,在防火墙上生成一个虚拟接口,该虚拟接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发,将该虚拟接口加入到安全域。进一步地,该虚拟接口包括基于IP的地址组或者MAC的地址组。其中地址组用于判断报文的源和目的地址,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口位改虚拟接口,通过虚拟接口找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。为了更加清楚和明白,以下结合实施例对本发明技术方案进行详细说明。如图2所示,为本发明防火墙策略控制的方法流程图,其中该方法应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,且多个虚拟设备之间需要实现防火墙策略控制。所述方法包括步骤I、用户在防火墙上配置生成一个虚拟接口。具体地,在本发明实现方案中,首先让用户在防火墙上配置生成一个虚拟接口,其中该接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发,另外,虚拟接口可以根据需要配置加入到特定的安全域,同时用户可以配置一个特定的IP地址组或者MAC地址组(虚拟设备的IP和MAC对用户来说都是可见的)与该虚拟接口对应。需要说明的是,如果用户的网络环境为使用DHCP Server动态获取虚拟设备的IP地址时,需要用户配置的IP地址组与DHCP Server的策略对应好,以保证与IP地址组对应的地址只能分给需要控制的一类虚拟设备,而不能随机分配。当用户在防火墙上完成上述配置以后,以IP地址组为例,所有源IP地址为该IP地址组范围的报文,报文的入接口防火墙就认为该虚拟接口,所有目的IP地址为该虚拟接口 IP地址组范围的报文,其报文的出接口防火墙就认为该虚拟接口。所述虚拟接口实质是一种具有物理接口部分特征的软件实现,类似于虚拟专利网VPN中的VLAN接口。为了实现本发明,所述虚拟接口应至少包含以下信息
{虚拟接口 IDIP地址组或者MAC地址组安全域}步骤2、防火墙可以根据虚拟接口找到相应的安全域,进而进行安全策略的控制。由于防火墙的安全策略控制都配置在安全域上,而前述步骤I中配置的虚拟接口 包括了虚拟接口 ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系,因此,在本步骤中,首先利用地址组判断报文的源和目的地址是否在用户配置的虚拟接口的IP地址组或者MAC地址组范围内,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口位改虚拟接口,通过虚拟接口找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。本发明同时提供了一种防火墙控制策略的装置,其中所述装置应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,所述网络系统进一步包括有防火墙设备,所述装置即可以独立于防火墙设备,又可以作为独立的模块嵌入于防火墙之中,其用于多个虚拟设备之间需要实现防火墙策略控制。如图3所示,所述装置包括配置模块,用于让用户在所述装置上配置生成一个虚拟接口 ;具体地,在本发明实现方案中,首先让用户通过配置模块在所述装置上配置生成一个虚拟接口,其中该接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发,另外,虚拟接口可以根据需要配置加入到特定的安全域,同时用户可以配置一个特定的IP地址组或者MAC地址组(虚拟设备的IP和MAC对用户来说都是可见的)与该虚拟接口对应。需要说明的是,如果用户的网络环境为使用DHCP Server动态获取虚拟设备的IP地址时,需要用户配置的IP地址组与DHCP Server的策略对应好,以保证与IP地址组对应的地址只能分给需要控制的一类虚拟设备,而不能随机分配。当用户在所述装置上完成上述配置以后,以IP地址组为例,所有源IP地址为该IP地址组范围的报文,报文的入接口防火墙就认为该虚拟接口,所有目的IP地址为该虚拟接口 IP地址组范围的报文,其报文的出接口防火墙就认为该虚拟接口。所述虚拟接口实质是一种具有物理接口部分特征的软件实现,类似于虚拟专利网VPN中的VLAN接口。为了实现本发明,所述虚拟接口应至少包含以下信息{虚拟接口 IDIP地址组或者MAC地址组安全域} 安全模块,用于所述装置根据配置模块生成的虚拟接口找到相应的安全域,进而进行相应的安全策略的控制。具体地,由于网络系统中的安全策略控制一般都配置在安全域上,而前述配置模块配置的虚拟接口包括了虚拟接口 ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系,因此,所述安全模块通过虚拟接口可以找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。所述装置还包括接口模块,用于接受虚拟设备发起的报文,当所述接口模块收到虚拟设备发起的报文时,根据前述安全模块下发的地址组与虚拟接口之间的匹配关系,所述接口模块首先可以利用地址组判断报文的源和目的地址是否在用户配置的虚拟接口的IP地址组或者MAC地址组范围内,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口位改虚拟接口,并将该修改后的IP报文发送给前述安全模块。转发模块,用于根据所述装置学习记录的MAC转发表确认该报文发送的最终物理端口后,把报文从该物理端口发出。如图4所示,为本发明某台物理服务器SI被虚拟化为4台虚拟设备(VMf VM4)的应用场景图示意图。在该应用场景中,各虚拟设备被分配给不同的用户提供不同的服务,其 中虚拟设备VMl和VM2的用户之间需要进行互访,假设防火墙控制策略为只允许TCP端口为X的报文互访,其他报文不允许访问。为了实现上述目的,用户按照本发明提供的技术方案,首先在防火墙上配置VMl的IP地址加入到地址组IG1,进一步配置地址组IGl属于虚拟接口 VII,同时把虚拟接口VIl加入到安全域SZl。把VM2的IP地址配置加入到地址组IG2,把地址组IG22配置属于虚拟接口 VI2,同时把虚拟接口 VI2加入到安全域SZ2。安全域SZl与SZ2之间配置防火墙控制策略为允许TCP端口为X (X可以根据用户需要,自己配置)的报文通过,其他报文则拒绝通过。如图5所不,其为图4所不的应用场景防火墙策略控制流程图。当虚拟设备VMl对VM2发起端口为X的TCP连接,防火墙从服务器SI物理接口接收到报文以后,其接口模块根据安全模块下发的地址组与虚拟接口之间的匹配关系,判断该源IP地址属于地址组IG1,由于用户已配置IGl属于虚拟接口 VII,因此修改该报文的源端口为虚拟接口 VII,根据报文的目的IP地址确认属于地址组IG2,修改该报文的出端口为虚拟端口 VI2,进而将该修改后的报文发送给安全模块进行安全业务处理。所述安全模块根据报文标示的源虚拟接口、目的虚拟接口,进而确认该虚拟设备VMl发送的IP报文的源安全域为SZl,确认目的安全域为SZ2,安全模块判断该IP报文的安全策略为通过,最后,防火墙上的转发模块根据学习记录的MAC转发表确认该报文发送的最终物理端口为物理服务器SI上的端口后,从该物理端口发出。当虚拟设备VMl对VM2发起端口为Y的TCP连接,防火墙从物理接口接收到报文以后,其接口模块根据安全模块下发的地址组与虚拟接口之间的匹配关系,判断该源IP地址属于地址组IG1,由于用户已配置IGl属于虚拟接口 VII,因此修改该报文的源端口为虚拟接口 VII,根据报文的目的IP地址确认属于地址组IG2,修改该报文的出端口为虚拟端口VI2,进而将该修改后的报文发送给安全模块进行安全业务处理。所述安全模块根据报文标示的源虚拟接口、目的虚拟接口,进而确认该虚拟设备VMl发送的IP报文的源安全域为SZl,确认目的安全域为SZ2,由于防火墙上控制策略为只允许TCP端口为X的报文互访,其他报文不允许访问。因此,判断安全策略为拒绝,报文被丢弃同时作相应的统计。以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围,凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等,均应包含在本发明的保护范 围之内。
权利要求
1.ー种防火墙策略控制的方法,其中该方法应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,且多个虚拟设备之间需要实现防火墙策略控制,其特征在干,所述方法包括如下步骤 步骤I、根据用户配置的在防火墙上生成一个虚拟接ロ,其中所述虚拟接ロ具体包括虚拟接ロ ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系; 步骤2、防火墙根据虚拟接ロ找到相应的安全域,进而进行安全策略的控制。
2.如权利要求I所述的方法,其特征在于,所述步骤I中的虚拟接ロ仅用于标示报文的入接口和出接ロ,但不參与实际的报文转发。
3.如权利要求I所述的方法,其特征在于,所述步骤2根据虚拟接ロ找到相应的安全域,进而进行安全策略的控制,具体为 首先利用地址组判断报文的源和目的地址是否在用户配置的虚拟接ロ的IP地址组或者MAC地址组范围内,当报文的源地址为地址组范围内的地址时,将其入接ロ修改为该虚拟接ロ,报文目的地址为地址组范围内的地址时,将报文出接ロ位改虚拟接ロ,通过虚拟接ロ找到对应的安全域,从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。
4.如权利要求1-3中的任何一项所述的方法,其特征在于,如果用户的网络环境为使用DHCP Server动态获取虚拟设备的IP地址时,需要用户配置的IP地址组与DHCP Server的策略对应好,以保证与IP地址组对应的地址只能分给需要控制的ー类虚拟设备,而不能随机分配。
5.ー种防火墙策略控制的装置,其中所述装置应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中,所述网络系统进一歩包括有防火墙设备,所述装置即可以独立于防火墙设备,又可以作为独立的模块嵌入于防火墙之中,其用于多个虚拟设备之间需要实现防火墙策略控制,其特征在于,所述装置包括 配置模块,用于让用户在所述装置上配置生成一个虚拟接ロ,其中所述虚拟接ロ具体包括虚拟接ロ ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系; 安全模块,用于所述装置根据配置模块生成的虚拟接ロ找到相应的安全域,进而进行相应的安全策略的控制。
6.如权利要求5所述的装置,其特征在于,所述装置进ー步包括接ロ模块,用于接受虚拟设备发起的报文,当所述接ロ模块收到虚拟设备发起的报文时,根据前述安全模块下发的地址组与虚拟接ロ之间的匹配关系,所述接ロ模块首先利用地址组判断报文的源和目的地址是否在用户配置的虚拟接ロ的IP地址组或者MAC地址组范围内,当报文的源地址为地址组范围内的地址时,将其入接ロ修改为该虚拟接ロ,报文目的地址为地址组范围内的地址时,将报文出接ロ位改虚拟接ロ,并将该修改后的IP报文发送给前述安全模块。
7.如权利要求5所述的装置,其特征在于,所述装置进ー步包括转发模块,用于根据所述装置学习记录的MAC转发表确认该报文发送的最終物理端ロ后,把报文从该物理端ロ发出。
8.如权利要求5所述的装置,其特征在于,所述虚拟接ロ仅用于标示报文的入接口和出接ロ,但不參与实际的报文转发。
9.如权利要求8所述的装置,其特征在于,如果用户的网络环境为使用DHCPServer动态获取虚拟设备的IP地址时,需要用户配置的IP地址组与DHCP Server的策略对应好,以 保证与IP地址组对应的地址只能分给需要控制的ー类虚拟设备,而不能随机分配。
全文摘要
本发明公开了一种防火墙策略控制的方法及装置,首先让用户在防火墙上配置生成一个虚拟接口,该虚拟接口仅用于标示报文的入接口和出接口,但不参与实际的报文转发,将该虚拟接口加入到安全域。进一步地,该虚拟接口包括基于IP的地址组或者MAC的地址组。其中地址组用于判断报文的源和目的地址,当报文的源地址为地址组范围内的地址时,将其入接口修改为该虚拟接口,报文目的地址为地址组范围内的地址时,将报文出接口位改虚拟接口,通过虚拟接口找到对应的安全域,从而实现同一台物理设备不同虚拟设备之间的防火墙策略控制。
文档编号H04L29/08GK102710669SQ20121022671
公开日2012年10月3日 申请日期2012年6月29日 优先权日2012年6月29日
发明者王其勇 申请人:杭州华三通信技术有限公司