1.本发明涉及防火墙
技术领域:
:,更具体地说,涉及一种分布式防火墙定义方法及系统。
背景技术:
::2.openstack(开源框架,应用于云计算领域中)云计算的快速发展,带来资源整合优势的同时也带来较多的使用风险,比如网络带宽的瓶颈问题;对于网络带宽问题,通常采用各种限速或者流量过滤分流的方法来解决,但是这些方法面临的网络威胁较大,因此如何合理而又高效的实现网络带宽的合理分配,同时保证网络安全是当前无法回避的问题。3.目前在基于openstack框架部署私有云平台的应用场景中,通常是通过在openstack原生的virtualrouter(虚拟路由器)上添加iptables(ip规则表)规则,来实现对进出虚拟网络数据包的控制;这种借助于原生virtualrouter上添加iptables规则的方式,由于对于流量的过滤集中在l3agent上,因此导致当突发流量时,无法实现安全防护隔离的同时,还会出现如网络拥塞等网络问题。技术实现要素:4.本发明的目的是提供一种分布式防火墙定义方法及系统,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。5.为了实现上述目的,本发明提供如下技术方案:一种分布式防火墙定义方法,包括:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中;所述ovn数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器;所述ovn控制器将接收到的数据发送至所在计算节点上的ovs守护模块,所述ovs守护模块将接收到的数据存储在内存中用于实现报文的转发。6.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库之前,还包括:所述防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出所述防火墙创建事件的处理;相应的,所述ovn数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:所述ovn数据库存储所述策略路由。7.优选的,所述防火墙组件确定网络服务器中存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还包括:所述防火墙组件遍历与所述防火墙创建事件对应防火墙的关联路由器,并在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。8.优选的,所述ovn数据库存储所述策略路由之前,还包括:所述ovn数据库判断自身是否存储有所述策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储所述策略路由的步骤。9.优选的,所述防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还包括:所述防火墙组件设置所述防火墙创建事件对应防火墙的状态为生效状态,并将所述防火墙创建事件对应防火墙为生效状态的信息同步至所述网络服务器中,以供实现对所述防火墙创建事件对应防火墙的使用。10.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还包括:所述防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从所述网络服务器中获取所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;相应的,所述ovn数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:所述ovn数据库将自身存储的与所述策略路由相同的数据删除。11.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还包括:所述防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将所述防火墙更新事件在所述网络服务器中及所述ovn数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向所述ovn数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从所述ovn数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。12.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中,包括:所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn北向数据库中,所述ovn北向数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并且所述ovn北向数据库的守护进程在监听到所述ovn北向数据库中存储的数据发生变化后,将所述ovn北向数据库中发生变化的数据发送至ovn南向数据库中,以指示所述ovn南向数据库存储接收到的数据后,将自身所存储的数据中发生变化的数据发送至所述ovn控制器。13.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还包括:所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息转换成所述ovn数据库对应的ovn驱动能够识别的规则代码;所述ovn数据库将所述防火墙配置信息转换为相应的策略路由,包括:所述ovn北向数据库将所述防火墙配置信息转换为相应的策略路由;所述ovn南向数据库存储接收到的数据之前,还包括:所述ovn南向数据库将接收到的数据转换成逻辑流表;所述ovs守护模块存储接收到的数据之前,还包括:所述ovs守护模块将接收到的数据解析为ovs物理流表。14.优选的,所述防火墙组件、所述ovn北向数据库、所述ovn南向数据库及所述ovn控制器发送需要发送的数据之前,还包括:将需要发送的数据封装成ovsdb消息格式。15.一种分布式防火墙定义系统,包括:防火墙组件,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中;所述ovn数据库,用于:将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器;所述ovn控制器,用于:将接收到的数据发送至所在计算节点上的ovs守护模块;所述ovs守护模块,用于:将接收到的数据存储在内存中用于实现报文的转发。16.本发明提供了一种分布式防火墙定义方法及系统,该方法包括:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中;所述ovn数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器;所述ovn控制器将接收到的数据发送至所在计算节点上的ovs守护模块,所述ovs守护模块将接收到的数据存储在内存中用于实现报文的转发。本技术在防火墙组件监听到防火墙事件后,将监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中,ovn数据库在将防火墙配置事件对应防火墙配置信息转换为策略路由后,利用策略路由对自身存储的数据进行防火墙事件对应处理,并将处理导致的自身存储数据中发生变化的数据发送至位于各个计算节点的ovn控制器,ovn控制器将接收到的数据转发给自身所在计算节点的ovs守护模块,以使得ovs守护模块存储接收的数据用于后续实现报文的转发。可见,本技术基于ovn驱动的策略路由实现分布式防火墙功能,不同现有技术防火墙流量集中处理,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。附图说明17.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。18.图1为本发明实施例提供的一种分布式防火墙定义方法的流程图;图2为本发明实施例提供的一种分布式防火墙定义方法中默认的防火墙策略规则的示意图;图3为本发明实施例提供的一种分布式防火墙定义装置的结构示意图。具体实施方式19.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。20.请参阅图1,其示出了本发明实施例提供的一种分布式防火墙定义方法的流程图,可以包括:s11:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中。21.本技术实施例的分布式防火墙定义方法可以通过openstack多架构的软件定义实现,具体为在openstack多架构的集群环境中,利用openstack多架构中neutron组件所加载的防火墙插件的底层驱动程序,通过加载ovn(openvirtualnetwork,开发虚拟网络)驱动中的策略路由程序来实现软件定义的分布式防火墙功能。其中,neutron‑fwaas插件(防火墙组件)接收来自neutron(openvswitch中的网络核心组件)的防火墙相关配置及防火墙事件,如防火墙创建事件、防火墙删除事件、防火墙更新事件、防火墙关联策略、防火墙关联规则以及防火墙关联路由器(本技术实施例中路由器具体均可以为虚拟路由器)等,进而在每次监听到防火墙事件后,则将当前监听到的防火墙事件对应配置(防火墙配置信息则为表示防火墙事件对应配置的信息)发送至ovn数据库中。22.另外,本技术实施例中分布式防火墙定义方法实际为在外界用户或者其他人员实现对防火墙的配置后,将实现的对防火墙的配置通过ovn数据库部署至ovs‑vswitchd(ovs守护模块)中,以使得ovs‑vswitchd基于实现的对防火墙的配置实现后续报文的转发,从而实现对网络流量的控制。23.s12:ovn数据库将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器。24.ovn数据库在接收到防火墙配置信息后,将当前接收到的防火墙配置信息转换为相应的策略理由,然后利用策略路由对自身所存储的数据进行防火墙事件对应的处理;具体来说,防火墙事件为防火墙创建事件,则将策略路由存储至ovn数据库中,防火墙事件为防火墙删除事件,则将策略路由从ovn数据库中删除,防火墙事件为防火墙更新事件,则利用策略路由对ovn数据库中的相应数据进行更新。在ovn数据库利用防火墙配置信息转换所得策略路由对自身存储的数据进行处理后,则可以确定对自身存储的数据进行处理导致ovn数据库中发生变化的数据,然后将发生变化的数据发送至位于各个计算节点上的ovn控northddeamon监听到ovnnorthbounddb的数据发生变化,会把ovnnorthbounddb中发生变化的数据封装成ovsdb的消息格式后,发送到ovnsouthbounddb(ovn南向数据库)中,ovnsouthbounddb收到消息后,解析消息并把防火墙相关的配置转换成逻辑流表存储在ovnsouthbounddb中,同时向ovncontrol(ovn控制器)发送同步ovsdb消息,此时位于各计算节点上的ovncontrol服务监听到ovnsouthbounddb数据有变化后,接收消息并解析消息的内容到ovs‑vswitchd中,ovs‑vswitchd会把接收的消息解析为ovs物理流表存储在内存中用于后续报文的转发,从而有效实现对网络流量的控制。29.其中,ovn驱动能够识别的规则代码即为ovnnorthbounddb能够识别的数据格式,也即为策略路由能够识别的数据格式,而将防火墙配置信息转换为相应的策略路由则可以为从防火墙配置信息中提取中策略路由所需的各项信息,如ip、mac、端口、协议及动作等,然后将这些信息按照策略路由所需的方式进行组装,则完成防火墙配置信息至相应策略路由的转换。另外,物理流表和逻辑流表与现有技术中对应概念的含义相同,两者是一种相对应的关系,物理流表通过openflow的流表格式实现,逻辑流表通过logicalflow的形式存在,两者最大的不同在于logicalflow对整个网络的行为进行了详细的描述并且能够扩展到任意数量的主机上,而openflow则是针对本节点的主机生效;在本技术实施例中ovn数据库通过logicalflow对网络进行编辑,然后这些logicalflow又会分发到每台机器上运行在ovncontrol中,ovncontrol根据当前的物理环境(本地端口在哪以及如何到达其他机器等)将这些logicalflow编译到openflow中。30.本发明实施例提供的一种分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库之前还可以包括:防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出防火墙创建事件的处理;相应的,ovn数据库利用策略路由对自身所存储的数据进行防火墙事件对应的处理,可以包括:ovn数据库存储策略路由。31.防火墙组件确定网络服务器中存在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还可以包括:防火墙组件遍历与防火墙创建事件对应防火墙的关联路由器,在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。32.ovn数据库将防火墙配置信息转换为相应的策略路由之前,还可以包括:ovn数据库判断自身是否存储有策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储策略路由的步骤。33.防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还可以包括:防火墙组件设置防火墙创建事件对应防火墙的状态为生效状态,并将防火墙创建事件对应防火墙为生效状态的信息同步至网络服务器中,以供实现对防火墙创建事件对应防火墙的使用。34.本实施例中neutron‑fwaas插件中的neutron‑fwaas‑plugin注册防火墙事件监听机制,如防火墙创建事件、防火墙删除事件及防火墙更新事件;并且在neutron‑fwass插件中新增ovnfirewalldriverhander功能代码,以由该ovnfirewalldriverhander监听防火墙事件。如果ovnfirewalldriverhander监听到防火墙创建事件,则执行防火墙创建事件相应部署的过程可以包括:确定外界用户或者其他人员是否已经完成防火墙创建事件对应防火墙的配置:确认neutronserver传来的防火墙策略(即防火墙创建事件对应防火墙的防火墙策略)在系统的网络服务器中是否存在,如果存在则继续执行,否则退出;在确认防火墙策略在网络服务器中存在后,确认该防火墙策略的防火墙策略规则在网络服务器中是否存在,如果存在则继续执行,否则退出;在确认防火墙策略规则在网络服务器中存在后,确认防火墙创建事件对应防火墙关联的路由器是否存在,如果存在则继续执行,否则退出。35.在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则及关联的路由器均存在的情况下,遍历防火墙创建事件对应防火墙所关联的路由器(关联的路由器的信息可以存储于路由器列表中),向每个路由器下创建如图2所示的两个默认防火墙策略规则,以保证每个路由器下均具有系统需要为其设置的统一的防火墙策略规则。然后基于防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则及关联的路由器提取出构造相应策略路由所需的各项信息,如协议号、端口号、ip地址、动作等,将这些信息作为相应的防火墙配置信息,然后调用ovnclient向ovn驱动发送添加策略路由的请求,ovn数据库将防火墙配置信息转换为相应策略路由存储后,依次向后传递存储策略路由导致的数据变化,直至ovs守护模块将策略路由相应的物理流表存储用于后续报文的转发;同时还会设置防火墙创建事件对应防火墙的状态为active(生效状态),并同步更新到neutron(网络服务器)的marildb数据库中,以保证能够对相应防火墙进行使用等操作。36.另外在ovn数据库需要存储策略路由之前,还会判断ovn数据库中是否已经存在此条目,如果存在此条目,则利用当前转换得到的策略路由刷新已经存在的条目,如果不存在此条目,则存储当前转换得到的策略路由,并在ovn数据库中将当前存储的策略路由关联到所关联的路由器的id上,从而保证ovn数据库中存储的为有效的信息。37.本发明实施例提供的分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还可以包括:防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从网络服务器中获取防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;相应的,ovn数据库利用策略路由对自身所存储的数据进行防火墙事件对应的处理,可以包括:ovn数据库将自身存储的与策略路由相同的数据删除。38.需要说明的是,本技术实施例中如果ovnfirewalldriverhander监听到防火墙删除事件,则执行删除的具体流程可以包括:遍历防火墙删除事件对应防火墙所关联的路由器(可以通过遍历路由器列表实现),接着基于防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则及关联路由器构造策略路由相关的各项信息,将这些信息作为相应的防火墙配置信息;然后调用ovnclient向ovn驱动发送请求以使得ovn数据库基于防火墙配置信息实现相应的防火墙部署。相应的,在ovn数据库接收到防火墙配置信息并转换为相应的策略路由后,则可以直接将遍历的上述路由器下存在的当前转换得到的策略路由进行删除,还可以将这些路由器下默认的防火墙策略规则删除,然后依次向后传递删除策略路由及默认防火墙策略规则导致的数据变化,直至ovs守护模块将相应的物理流表删除,从而有效快速的实现防火墙的删除。39.本发明实施例提供的分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还可以包括:防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将防火墙更新事件在网络服务器中及ovn数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向ovn数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从ovn数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。40.如果ovnfirewalldriverhander监听到防火墙更新事件,则执行更新的具体流程可以包括:将防火墙更新事件对应防火墙在网络服务器中的防火墙策略规则与在ovn数据库中的防火墙策略规则进行比对,如果有存在于网络服务器但未存在于ovn数据库中的防火墙策略规则,则说明需要将该防火墙策略规则添加至ovn数据库中,因此按照防火墙创建事件进行相应处理,此时该防火墙策略规则对应防火墙则为防火墙创建事件对应的防火墙,进而实现后续防火墙创建操作;如果有存储于ovn数据库中但未存在于网络服务器中的防火墙策略规则,则说明需要将该防火墙策略从ovn数据库中删除,因此按照防火墙删除事件进行相应处理,此时该防火墙策略规则对应防火墙则为防火墙删除事件对应的防火墙,进而实现后续防火墙删除操作;如果两者中防火墙策略规则是相同的,则确定无需实现相应的防火墙部署。从而通过这种方式有效实现防火墙更新事件。41.综上可见,本技术在openstack部署的多架构集群环境中,利用ovn驱动中的策略路由实现分布式防火墙服务,用户通过下发防火墙策略规则关联到路由器中,且生效于虚拟路由器中各个接口;由于是基于ovn实现的,ovn的底层替换掉了原有的openstack架构中的关于neutron的各个agent,统一通过ovsdb协议下发ovn流表实现通信及流量转发,从而减轻了neutronserver与各个agent交互带来资源损耗以及信息同步管理问题;而且ovn的实现是分布式的架构,所以基于此实现的防火墙也是分布式的防火墙,对于虚拟机租户网络跨网段经过路由器时,流量无需统一转发至网络节点或者控制节点处理,在本节点即可完成三层流量转发规则,从而避免了由于原来必须去网络节点或者控制节点的l3agent中集中处理的带宽瓶颈问题;同时防火墙规则的是关联到路由器上的,所有用户在下发防火墙规则时也是生效于各个节点上,这样也避免了原有架构的防火墙集中处理带来的性能瓶颈问题,从而可达到三层网络高性能转发以及分布式防火墙的服务高性能,解决虚拟机组网网络分布式控制各个集群中安全防护策略,可有效隔离网络安全问题,把网络安全问题规避到某一个节点上,从而防止整个集群的损坏,增强了用户的实用性,让openstack云环境中的防火墙安全策略虚更加弹性扩展。也即本技术基于ovn的策略路由实现的防火墙是分布式的防火墙,对于openstack多架构的集群中,流量的管控处理更佳灵活,网络流量的问题定位更佳精准,且对于一些的突发带宽的流量限制,可以到达更高更有的性能,使得虚拟机的网络和物理网络的隔离更加安全。42.本发明实施例还提供了一种分布式防火墙定义系统,如图3所示,具体可以包括:防火墙组件11,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中;ovn数据库12,用于:将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器;ovn控制器13,用于:将接收到的数据发送至所在计算节点上的ovs守护模块;ovs守护模块14,用于:将接收到的数据存储在内存中用于实现报文的转发。43.需要说明的是,本发明实施例提供的一种分布式防火墙定义系统中相关部分的说明请参见本发明实施例提供的一种分布式防火墙定义方法中对应部分的详细说明,在此不再赘述。另外本发明实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。44.对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。当前第1页12当前第1页12
技术领域:
:,更具体地说,涉及一种分布式防火墙定义方法及系统。
背景技术:
::2.openstack(开源框架,应用于云计算领域中)云计算的快速发展,带来资源整合优势的同时也带来较多的使用风险,比如网络带宽的瓶颈问题;对于网络带宽问题,通常采用各种限速或者流量过滤分流的方法来解决,但是这些方法面临的网络威胁较大,因此如何合理而又高效的实现网络带宽的合理分配,同时保证网络安全是当前无法回避的问题。3.目前在基于openstack框架部署私有云平台的应用场景中,通常是通过在openstack原生的virtualrouter(虚拟路由器)上添加iptables(ip规则表)规则,来实现对进出虚拟网络数据包的控制;这种借助于原生virtualrouter上添加iptables规则的方式,由于对于流量的过滤集中在l3agent上,因此导致当突发流量时,无法实现安全防护隔离的同时,还会出现如网络拥塞等网络问题。技术实现要素:4.本发明的目的是提供一种分布式防火墙定义方法及系统,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。5.为了实现上述目的,本发明提供如下技术方案:一种分布式防火墙定义方法,包括:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中;所述ovn数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器;所述ovn控制器将接收到的数据发送至所在计算节点上的ovs守护模块,所述ovs守护模块将接收到的数据存储在内存中用于实现报文的转发。6.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库之前,还包括:所述防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出所述防火墙创建事件的处理;相应的,所述ovn数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:所述ovn数据库存储所述策略路由。7.优选的,所述防火墙组件确定网络服务器中存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还包括:所述防火墙组件遍历与所述防火墙创建事件对应防火墙的关联路由器,并在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。8.优选的,所述ovn数据库存储所述策略路由之前,还包括:所述ovn数据库判断自身是否存储有所述策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储所述策略路由的步骤。9.优选的,所述防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还包括:所述防火墙组件设置所述防火墙创建事件对应防火墙的状态为生效状态,并将所述防火墙创建事件对应防火墙为生效状态的信息同步至所述网络服务器中,以供实现对所述防火墙创建事件对应防火墙的使用。10.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还包括:所述防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从所述网络服务器中获取所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的所述防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;相应的,所述ovn数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,包括:所述ovn数据库将自身存储的与所述策略路由相同的数据删除。11.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还包括:所述防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将所述防火墙更新事件在所述网络服务器中及所述ovn数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向所述ovn数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从所述ovn数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。12.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中,包括:所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn北向数据库中,所述ovn北向数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并且所述ovn北向数据库的守护进程在监听到所述ovn北向数据库中存储的数据发生变化后,将所述ovn北向数据库中发生变化的数据发送至ovn南向数据库中,以指示所述ovn南向数据库存储接收到的数据后,将自身所存储的数据中发生变化的数据发送至所述ovn控制器。13.优选的,所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还包括:所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息转换成所述ovn数据库对应的ovn驱动能够识别的规则代码;所述ovn数据库将所述防火墙配置信息转换为相应的策略路由,包括:所述ovn北向数据库将所述防火墙配置信息转换为相应的策略路由;所述ovn南向数据库存储接收到的数据之前,还包括:所述ovn南向数据库将接收到的数据转换成逻辑流表;所述ovs守护模块存储接收到的数据之前,还包括:所述ovs守护模块将接收到的数据解析为ovs物理流表。14.优选的,所述防火墙组件、所述ovn北向数据库、所述ovn南向数据库及所述ovn控制器发送需要发送的数据之前,还包括:将需要发送的数据封装成ovsdb消息格式。15.一种分布式防火墙定义系统,包括:防火墙组件,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中;所述ovn数据库,用于:将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器;所述ovn控制器,用于:将接收到的数据发送至所在计算节点上的ovs守护模块;所述ovs守护模块,用于:将接收到的数据存储在内存中用于实现报文的转发。16.本发明提供了一种分布式防火墙定义方法及系统,该方法包括:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中;所述ovn数据库将所述防火墙配置信息转换为相应的策略路由,利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理,并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器;所述ovn控制器将接收到的数据发送至所在计算节点上的ovs守护模块,所述ovs守护模块将接收到的数据存储在内存中用于实现报文的转发。本技术在防火墙组件监听到防火墙事件后,将监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中,ovn数据库在将防火墙配置事件对应防火墙配置信息转换为策略路由后,利用策略路由对自身存储的数据进行防火墙事件对应处理,并将处理导致的自身存储数据中发生变化的数据发送至位于各个计算节点的ovn控制器,ovn控制器将接收到的数据转发给自身所在计算节点的ovs守护模块,以使得ovs守护模块存储接收的数据用于后续实现报文的转发。可见,本技术基于ovn驱动的策略路由实现分布式防火墙功能,不同现有技术防火墙流量集中处理,能够实现安全防护隔离的同时,避免出现网络拥塞等网络问题。附图说明17.为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。18.图1为本发明实施例提供的一种分布式防火墙定义方法的流程图;图2为本发明实施例提供的一种分布式防火墙定义方法中默认的防火墙策略规则的示意图;图3为本发明实施例提供的一种分布式防火墙定义装置的结构示意图。具体实施方式19.下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。20.请参阅图1,其示出了本发明实施例提供的一种分布式防火墙定义方法的流程图,可以包括:s11:防火墙组件实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中。21.本技术实施例的分布式防火墙定义方法可以通过openstack多架构的软件定义实现,具体为在openstack多架构的集群环境中,利用openstack多架构中neutron组件所加载的防火墙插件的底层驱动程序,通过加载ovn(openvirtualnetwork,开发虚拟网络)驱动中的策略路由程序来实现软件定义的分布式防火墙功能。其中,neutron‑fwaas插件(防火墙组件)接收来自neutron(openvswitch中的网络核心组件)的防火墙相关配置及防火墙事件,如防火墙创建事件、防火墙删除事件、防火墙更新事件、防火墙关联策略、防火墙关联规则以及防火墙关联路由器(本技术实施例中路由器具体均可以为虚拟路由器)等,进而在每次监听到防火墙事件后,则将当前监听到的防火墙事件对应配置(防火墙配置信息则为表示防火墙事件对应配置的信息)发送至ovn数据库中。22.另外,本技术实施例中分布式防火墙定义方法实际为在外界用户或者其他人员实现对防火墙的配置后,将实现的对防火墙的配置通过ovn数据库部署至ovs‑vswitchd(ovs守护模块)中,以使得ovs‑vswitchd基于实现的对防火墙的配置实现后续报文的转发,从而实现对网络流量的控制。23.s12:ovn数据库将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器。24.ovn数据库在接收到防火墙配置信息后,将当前接收到的防火墙配置信息转换为相应的策略理由,然后利用策略路由对自身所存储的数据进行防火墙事件对应的处理;具体来说,防火墙事件为防火墙创建事件,则将策略路由存储至ovn数据库中,防火墙事件为防火墙删除事件,则将策略路由从ovn数据库中删除,防火墙事件为防火墙更新事件,则利用策略路由对ovn数据库中的相应数据进行更新。在ovn数据库利用防火墙配置信息转换所得策略路由对自身存储的数据进行处理后,则可以确定对自身存储的数据进行处理导致ovn数据库中发生变化的数据,然后将发生变化的数据发送至位于各个计算节点上的ovn控northddeamon监听到ovnnorthbounddb的数据发生变化,会把ovnnorthbounddb中发生变化的数据封装成ovsdb的消息格式后,发送到ovnsouthbounddb(ovn南向数据库)中,ovnsouthbounddb收到消息后,解析消息并把防火墙相关的配置转换成逻辑流表存储在ovnsouthbounddb中,同时向ovncontrol(ovn控制器)发送同步ovsdb消息,此时位于各计算节点上的ovncontrol服务监听到ovnsouthbounddb数据有变化后,接收消息并解析消息的内容到ovs‑vswitchd中,ovs‑vswitchd会把接收的消息解析为ovs物理流表存储在内存中用于后续报文的转发,从而有效实现对网络流量的控制。29.其中,ovn驱动能够识别的规则代码即为ovnnorthbounddb能够识别的数据格式,也即为策略路由能够识别的数据格式,而将防火墙配置信息转换为相应的策略路由则可以为从防火墙配置信息中提取中策略路由所需的各项信息,如ip、mac、端口、协议及动作等,然后将这些信息按照策略路由所需的方式进行组装,则完成防火墙配置信息至相应策略路由的转换。另外,物理流表和逻辑流表与现有技术中对应概念的含义相同,两者是一种相对应的关系,物理流表通过openflow的流表格式实现,逻辑流表通过logicalflow的形式存在,两者最大的不同在于logicalflow对整个网络的行为进行了详细的描述并且能够扩展到任意数量的主机上,而openflow则是针对本节点的主机生效;在本技术实施例中ovn数据库通过logicalflow对网络进行编辑,然后这些logicalflow又会分发到每台机器上运行在ovncontrol中,ovncontrol根据当前的物理环境(本地端口在哪以及如何到达其他机器等)将这些logicalflow编译到openflow中。30.本发明实施例提供的一种分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库之前还可以包括:防火墙组件确定当前监听到的防火墙事件为防火墙创建事件,判断网络服务器中是否存在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器,如果是,则基于防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息,如果否,则退出防火墙创建事件的处理;相应的,ovn数据库利用策略路由对自身所存储的数据进行防火墙事件对应的处理,可以包括:ovn数据库存储策略路由。31.防火墙组件确定网络服务器中存在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后,还可以包括:防火墙组件遍历与防火墙创建事件对应防火墙的关联路由器,在遍历到任意关联路由器时,在该任意关联路由器下创建预设默认的防火墙策略规则。32.ovn数据库将防火墙配置信息转换为相应的策略路由之前,还可以包括:ovn数据库判断自身是否存储有策略路由,如果是,则利用当前转换得到的策略路由对已经存储的策略路由进行刷新,否则,执行存储策略路由的步骤。33.防火墙组件确定提取的各项参数信息为相应的防火墙配置信息之后,还可以包括:防火墙组件设置防火墙创建事件对应防火墙的状态为生效状态,并将防火墙创建事件对应防火墙为生效状态的信息同步至网络服务器中,以供实现对防火墙创建事件对应防火墙的使用。34.本实施例中neutron‑fwaas插件中的neutron‑fwaas‑plugin注册防火墙事件监听机制,如防火墙创建事件、防火墙删除事件及防火墙更新事件;并且在neutron‑fwass插件中新增ovnfirewalldriverhander功能代码,以由该ovnfirewalldriverhander监听防火墙事件。如果ovnfirewalldriverhander监听到防火墙创建事件,则执行防火墙创建事件相应部署的过程可以包括:确定外界用户或者其他人员是否已经完成防火墙创建事件对应防火墙的配置:确认neutronserver传来的防火墙策略(即防火墙创建事件对应防火墙的防火墙策略)在系统的网络服务器中是否存在,如果存在则继续执行,否则退出;在确认防火墙策略在网络服务器中存在后,确认该防火墙策略的防火墙策略规则在网络服务器中是否存在,如果存在则继续执行,否则退出;在确认防火墙策略规则在网络服务器中存在后,确认防火墙创建事件对应防火墙关联的路由器是否存在,如果存在则继续执行,否则退出。35.在防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则及关联的路由器均存在的情况下,遍历防火墙创建事件对应防火墙所关联的路由器(关联的路由器的信息可以存储于路由器列表中),向每个路由器下创建如图2所示的两个默认防火墙策略规则,以保证每个路由器下均具有系统需要为其设置的统一的防火墙策略规则。然后基于防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则及关联的路由器提取出构造相应策略路由所需的各项信息,如协议号、端口号、ip地址、动作等,将这些信息作为相应的防火墙配置信息,然后调用ovnclient向ovn驱动发送添加策略路由的请求,ovn数据库将防火墙配置信息转换为相应策略路由存储后,依次向后传递存储策略路由导致的数据变化,直至ovs守护模块将策略路由相应的物理流表存储用于后续报文的转发;同时还会设置防火墙创建事件对应防火墙的状态为active(生效状态),并同步更新到neutron(网络服务器)的marildb数据库中,以保证能够对相应防火墙进行使用等操作。36.另外在ovn数据库需要存储策略路由之前,还会判断ovn数据库中是否已经存在此条目,如果存在此条目,则利用当前转换得到的策略路由刷新已经存在的条目,如果不存在此条目,则存储当前转换得到的策略路由,并在ovn数据库中将当前存储的策略路由关联到所关联的路由器的id上,从而保证ovn数据库中存储的为有效的信息。37.本发明实施例提供的分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还可以包括:防火墙组件确定当前监听到的防火墙事件为防火墙删除事件,从网络服务器中获取防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器,基于获取的防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则以及路由器构造策略路由所需的各项参数信息,并确定提取的各项参数信息为相应的防火墙配置信息;相应的,ovn数据库利用策略路由对自身所存储的数据进行防火墙事件对应的处理,可以包括:ovn数据库将自身存储的与策略路由相同的数据删除。38.需要说明的是,本技术实施例中如果ovnfirewalldriverhander监听到防火墙删除事件,则执行删除的具体流程可以包括:遍历防火墙删除事件对应防火墙所关联的路由器(可以通过遍历路由器列表实现),接着基于防火墙删除事件对应防火墙的防火墙策略、防火墙策略规则及关联路由器构造策略路由相关的各项信息,将这些信息作为相应的防火墙配置信息;然后调用ovnclient向ovn驱动发送请求以使得ovn数据库基于防火墙配置信息实现相应的防火墙部署。相应的,在ovn数据库接收到防火墙配置信息并转换为相应的策略路由后,则可以直接将遍历的上述路由器下存在的当前转换得到的策略路由进行删除,还可以将这些路由器下默认的防火墙策略规则删除,然后依次向后传递删除策略路由及默认防火墙策略规则导致的数据变化,直至ovs守护模块将相应的物理流表删除,从而有效快速的实现防火墙的删除。39.本发明实施例提供的分布式防火墙定义方法,防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中之前,还可以包括:防火墙组件确定当前监听到的防火墙事件为防火墙更新事件,将防火墙更新事件在网络服务器中及ovn数据库中分别对应的防火墙策略规则进行比对,如果基于比对的结果确定需要向ovn数据库中添加防火墙策略规则,则按照当前监听到的防火墙事件为防火墙创建事件进行相应处理,如果基于比对的结果确定需要从ovn数据库中删除防火墙策略规则,则按照当前监听到的防火墙事件为防火墙删除事件进行相应处理。40.如果ovnfirewalldriverhander监听到防火墙更新事件,则执行更新的具体流程可以包括:将防火墙更新事件对应防火墙在网络服务器中的防火墙策略规则与在ovn数据库中的防火墙策略规则进行比对,如果有存在于网络服务器但未存在于ovn数据库中的防火墙策略规则,则说明需要将该防火墙策略规则添加至ovn数据库中,因此按照防火墙创建事件进行相应处理,此时该防火墙策略规则对应防火墙则为防火墙创建事件对应的防火墙,进而实现后续防火墙创建操作;如果有存储于ovn数据库中但未存在于网络服务器中的防火墙策略规则,则说明需要将该防火墙策略从ovn数据库中删除,因此按照防火墙删除事件进行相应处理,此时该防火墙策略规则对应防火墙则为防火墙删除事件对应的防火墙,进而实现后续防火墙删除操作;如果两者中防火墙策略规则是相同的,则确定无需实现相应的防火墙部署。从而通过这种方式有效实现防火墙更新事件。41.综上可见,本技术在openstack部署的多架构集群环境中,利用ovn驱动中的策略路由实现分布式防火墙服务,用户通过下发防火墙策略规则关联到路由器中,且生效于虚拟路由器中各个接口;由于是基于ovn实现的,ovn的底层替换掉了原有的openstack架构中的关于neutron的各个agent,统一通过ovsdb协议下发ovn流表实现通信及流量转发,从而减轻了neutronserver与各个agent交互带来资源损耗以及信息同步管理问题;而且ovn的实现是分布式的架构,所以基于此实现的防火墙也是分布式的防火墙,对于虚拟机租户网络跨网段经过路由器时,流量无需统一转发至网络节点或者控制节点处理,在本节点即可完成三层流量转发规则,从而避免了由于原来必须去网络节点或者控制节点的l3agent中集中处理的带宽瓶颈问题;同时防火墙规则的是关联到路由器上的,所有用户在下发防火墙规则时也是生效于各个节点上,这样也避免了原有架构的防火墙集中处理带来的性能瓶颈问题,从而可达到三层网络高性能转发以及分布式防火墙的服务高性能,解决虚拟机组网网络分布式控制各个集群中安全防护策略,可有效隔离网络安全问题,把网络安全问题规避到某一个节点上,从而防止整个集群的损坏,增强了用户的实用性,让openstack云环境中的防火墙安全策略虚更加弹性扩展。也即本技术基于ovn的策略路由实现的防火墙是分布式的防火墙,对于openstack多架构的集群中,流量的管控处理更佳灵活,网络流量的问题定位更佳精准,且对于一些的突发带宽的流量限制,可以到达更高更有的性能,使得虚拟机的网络和物理网络的隔离更加安全。42.本发明实施例还提供了一种分布式防火墙定义系统,如图3所示,具体可以包括:防火墙组件11,用于:实时监听防火墙事件,并将当前监听到的防火墙事件对应防火墙配置信息发送至ovn数据库中;ovn数据库12,用于:将防火墙配置信息转换为相应的策略路由,利用策略路由对自身所存储的数据进行防火墙事件对应的处理,并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的ovn控制器;ovn控制器13,用于:将接收到的数据发送至所在计算节点上的ovs守护模块;ovs守护模块14,用于:将接收到的数据存储在内存中用于实现报文的转发。43.需要说明的是,本发明实施例提供的一种分布式防火墙定义系统中相关部分的说明请参见本发明实施例提供的一种分布式防火墙定义方法中对应部分的详细说明,在此不再赘述。另外本发明实施例提供的上述技术方案中与现有技术中对应技术方案实现原理一致的部分并未详细说明,以免过多赘述。44.对所公开的实施例的上述说明,使本领域技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其它实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。当前第1页12当前第1页12
再多了解一些
本文用于企业家、创业者技术爱好者查询,结果仅供参考。
