东西向防火墙配置方法、装置和系统与流程

1.本公开涉及云计算领域，特别涉及一种东西向防火墙配置方法、装置和系统。


背景技术：

2.随着云计算等技术的不断发展，云资源池逐渐引入sdn(software defined network，软件定义网络)及计算虚拟化提供虚拟计算、网络等业务。
3.在相关技术中，sdn网络环境中的东西向业务的防护能力通常由sdn解决方案自带的安全组进行提供。sdn与虚拟防火墙需要相互协同进行网络配置，需要sdn控制器能够感知防火墙生命周期的事件，并能相应更新sdn网络的流表配置，将有需求的租户流量引流到防火墙，进行安全过滤。


技术实现要素：

4.发明人注意到，目前资源池内的东西向防火墙主要依靠sdn厂商自带的安全组功能进行提供，安全组的配置较为简单，防护能力较低，无法应对复杂的云业务安全需求。
5.为此，本公开提供一种东西向防火墙配置方案，以实现按需提供东西向防火墙服务。
6.根据本公开实施例的第一方面，提供一种东西向防火墙配置方法，包括：在接收到租户发送的东西向防火墙创建请求后，从所述创建请求中获取引流网络配置信息；为东西向防火墙分配引流网络ip地址；将所述创建请求发送给虚拟机管理设备，以便所述虚拟机管理设备创建所述东西向防火墙虚拟机；在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后，从所述创建完成指示信息中获取虚拟机配置信息；向软件定义网络sdn控制器发送东西向防火墙创建指令，其中所述创建指令包括所述虚拟机配置信息和所述引流网络配置信息，以便所述sdn控制器根据所述引流网络配置信息和所述虚拟机配置信息创建引流网络，并进行相应的流表配置。
7.在一些实施例中，所述引流网络配置信息包括所述引流网络的网关信息、无分类域间路由选择cidr信息和虚拟网络接口vni信息中的至少一项。
8.在一些实施例中，所述虚拟机管理设备包括网元管理系统ems设备或虚拟化网络功能管理vnfm设备。
9.在一些实施例中，所述虚拟机配置信息包括所述东西向防火墙的虚拟机标识符vmid和端口号中的至少一项。
10.在一些实施例中，在接收到所述租户发送的东西向防火墙删除请求后，将所述删除请求发送给所述虚拟机管理设备，以便所述虚拟机管理设备删除所述东西向防火墙虚拟机；在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后，向所述sdn控制器发送东西向防火墙删除指令，以便所述sdn控制器删除所述东西向防火墙虚拟机的配置信息，并删除相应流表。
11.根据本公开实施例的第二方面，提供一种东西向防火墙配置装置，包括：业务接口
模块，被配置为接收租户发送的东西向防火墙创建请求；业务处理模块，被配置为在所述业务接口模块接收到所述创建请求后，从所述创建请求中获取引流网络配置信息，为东西向防火墙分配引流网络ip地址，将所述创建请求发送给虚拟机管理设备，以便所述虚拟机管理设备创建所述东西向防火墙虚拟机，在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后，从所述创建完成指示信息中获取虚拟机配置信息，向sdn控制器发送东西向防火墙创建指令，其中所述创建指令包括所述虚拟机配置信息和所述引流网络配置信息，以便所述sdn控制器根据所述引流网络配置信息和所述虚拟机配置信息创建引流网络，并进行相应的流表配置。
12.在一些实施例中，所述引流网络配置信息包括所述引流网络的网关信息、无分类域间路由选择cidr信息和虚拟网络接口vni信息中的至少一项。
13.在一些实施例中，所述虚拟机管理设备包括网元管理系统ems设备或虚拟化网络功能管理vnfm设备。
14.在一些实施例中，所述虚拟机配置信息包括所述东西向防火墙的虚拟机标识符vmid和端口号中的至少一项。
15.在一些实施例中，业务接口模块还被配置为接收所述租户发送的东西向防火墙删除请求；业务处理模块还被配置为在所述业务接口模块接收到所述租户发送的东西向防火墙删除请求后，将所述东西向防火墙删除请求发送给所述虚拟机管理设备，以便所述虚拟机管理设备删除所述东西向防火墙虚拟机，在接收到所述虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后，向所述sdn控制器发送东西向防火墙删除指令，以便所述sdn控制器删除所述东西向防火墙虚拟机的配置信息，并删除相应流表。
16.根据本公开实施例的第三方面，提供一种东西向防火墙配置装置，包括：存储器，被配置为存储指令；处理器，耦合到存储器，处理器被配置为基于存储器存储的指令执行实现如上述任一实施例所述的方法。
17.根据本公开实施例的第四方面，提供一种云管理平台，包括如上述任一实施例所述的东西向防火墙配置装置。
18.根据本公开实施例的第五方面，提供一种东西向防火墙配置系统，包括：如上述任一实施例所述的云管理平台；虚拟机管理设备，被配置为根据所述云管理平台中的东西向防火墙配置装置发送的东西向防火墙创建请求创建东西向防火墙虚拟机，并向所述东西向防火墙配置装置发送东西向防火墙虚拟机创建完成指示信息，其中所述创建完成指示信息中包括虚拟机配置信息；sdn控制器，被配置为在接收到所述东西向防火墙配置装置发送的东西向防火墙创建指令后，根据所述创建指令中包括的引流网络配置信息和虚拟机配置信息创建引流网络，并进行相应的流表配置。
19.在一些实施例中，虚拟机管理设备还被配置为根据所述东西向防火墙配置装置发送的东西向防火墙删除请求，删除相应的东西向防火墙虚拟机，并向所述东西向防火墙配置装置发送东西向防火墙虚拟机删除成功指示信息；sdn控制器还被配置为根据东西向防火墙配置装置发送的东西向防火墙删除指令，删除相应的东西向防火墙虚拟机配置信息，并删除相应流表。
20.根据本公开实施例的第六方面，提供一种计算机可读存储介质，其中，计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如上述任一实施例涉及的方法。
21.通过以下参照附图对本公开的示例性实施例的详细描述，本公开的其它特征及其优点将会变得清楚。
附图说明
22.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
23.图1为本公开一个实施例的东西向防火墙配置方法的流程示意图；
24.图2为本公开另一个实施例的东西向防火墙配置方法的流程示意图；
25.图3为本公开一个实施例的东西向防火墙配置装置的结构示意图；
26.图4为本公开另一个实施例的东西向防火墙配置装置的结构示意图；
27.图5为本公开一个实施例的云管理平台的结构示意图；
28.图6为本公开一个实施例的东西向防火墙配置系统的结构示意图；
29.图7为本公开一个实施例的东西向防火墙配置系统架构示意图。
具体实施方式
30.下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本公开一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本公开及其应用或使用的任何限制。基于本公开中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。
31.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本公开的范围。
32.同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
33.对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。
34.在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。因此，示例性实施例的其它示例可以具有不同的值。
35.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。
36.图1为本公开一个实施例的东西向防火墙配置方法的流程示意图。在一些实施例中，下列的东西向防火墙配置方法步骤由东西向防火墙配置装置执行。
37.在步骤101，在接收到租户发送的东西向防火墙创建请求后，从创建请求中获取引流网络配置信息。
38.在一些实施例中，引流网络配置信息包括引流网络的网关信息、cidr(classless interdomain routing，无分类域间路由选择)信息和vni(virtual network interface，虚拟网络接口)信息中的至少一项。
39.在步骤102，为东西向防火墙分配引流网络ip地址。
40.在步骤103，将创建请求发送给虚拟机管理设备，以便虚拟机管理设备创建东西向防火墙虚拟机。
41.在一些实施例中，虚拟机管理设备包括ems(element management system，网元管理系统)设备或vnfm(virtualized network function manager，虚拟化网络功能管理)设备。
42.在步骤104，在接收到虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后，从创建完成指示信息中获取虚拟机配置信息。
43.在一些实施例中，虚拟机配置信息包括东西向防火墙的vmid(virtual machine identifier，虚拟机标识符)和端口号中的至少一项。
44.在步骤105，向sdn控制器发送东西向防火墙创建指令，其中创建指令包括虚拟机配置信息和引流网络配置信息，以便sdn控制器根据引流网络配置信息和虚拟机配置信息创建引流网络，并进行相应的流表配置。
45.在本公开上述实施例提供的东西向防火墙配置方法中，根据租户发送的创建请求创建相应的东西向防火墙虚拟机，创建相应的引流网络并进行相应的流表配置，以便按需为租户提供东西向防火墙服务。
46.图2为本公开另一实施例的东西向防火墙配置方法的流程示意图。在一些实施例中，下列的东西向防火墙配置方法步骤由东西向防火墙配置装置执行。
47.在步骤201，在接收到租户发送的东西向防火墙删除请求后，将删除请求发送给虚拟机管理设备，以便虚拟机管理设备删除东西向防火墙虚拟机。
48.在步骤202，在接收到虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后，向sdn控制器发送东西向防火墙删除指令，以便sdn控制器删除东西向防火墙虚拟机的配置信息，并删除相应流表。
49.在本公开上述实施例提供的东西向防火墙配置方法中，根据租户发送的删除请求删除相应的东西向防火墙虚拟机，删除相应的引流网络和流表配置，以满足租户对东西向防火墙服务的需求。
50.图3为本公开一个实施例的东西向防火墙配置装置的结构示意图。如图3所示，东西向防火墙配置装置包括业务接口模块31和业务处理模块32。
51.业务接口模块31被配置为接收租户发送的东西向防火墙创建请求。
52.业务处理模块32被配置为在业务接口模块31接收到创建请求后，从创建请求中获取引流网络配置信息，为东西向防火墙分配引流网络ip地址，将创建请求发送给虚拟机管理设备，以便虚拟机管理设备创建东西向防火墙虚拟机，在接收到虚拟机管理设备发送的东西向防火墙虚拟机创建完成指示信息后，从创建完成指示信息中获取虚拟机配置信息，向sdn控制器发送东西向防火墙创建指令，其中创建指令包括虚拟机配置信息和引流网络配置信息，以便sdn控制器根据引流网络配置信息和虚拟机配置信息创建引流网络，并进行相应的流表配置。
53.在一些实施例中，引流网络配置信息包括引流网络的网关信息、cidr信息和vni信息中的至少一项。
54.在一些实施例中，虚拟机管理设备包括ems设备或vnfm设备。
55.在一些实施例中，虚拟机配置信息包括东西向防火墙的vmid和端口号中的至少一项。
56.在一些实施例中，业务接口模块31还被配置为接收租户发送的东西向防火墙删除请求。
57.业务处理模块32还被配置为在业务接口模块31接收到租户发送的东西向防火墙删除请求后，将东西向防火墙删除请求发送给虚拟机管理设备，以便虚拟机管理设备删除东西向防火墙虚拟机，在接收到虚拟机管理设备发送的东西向防火墙虚拟机删除成功指示信息后，向sdn控制器发送东西向防火墙删除指令，以便sdn控制器删除东西向防火墙虚拟机的配置信息，并删除相应流表。
58.图4为本公开另一个实施例的东西向防火墙配置装置的结构示意图。如图4所示，东西向防火墙配置装置包括存储器41和处理器42。
59.存储器41用于存储指令。处理器42耦合到存储器41。处理器42被配置为基于存储器存储的指令执行实现如图1或图2中任一实施例涉及的方法。
60.如图4所示，东西向防火墙配置装置还包括通信接口43，用于与其它设备进行信息交互。同时，该装置还包括总线44，处理器42、通信接口43、以及存储器41通过总线44完成相互间的通信。
61.存储器41可以包含高速ram(random access memory，随机存取存储器)，也可还包括nvm(non-volatile memory，非易失性存储器)。例如至少一个磁盘存储器。存储器41也可以是存储器阵列。存储器41还可能被分块，并且块可按一定的规则组合成虚拟卷。
62.此外，处理器42可以是一个中央处理器，或者可以是asic(application specific integrated circuit，专用集成电路)，或者是被配置成实施本公开实施例的一个或多个集成电路。
63.本公开还提供一种计算机可读存储介质。计算机可读存储介质存储有计算机指令，指令被处理器执行时实现如图1或图2中任一实施例涉及的方法。
64.图5为本公开一个实施例的云管理平台的结构示意图。如图5所示，云管理平台51中设有东西向防火墙配置装置52。东西向防火墙配置装置52为图3或图4中任一实施例涉及的东西向防火墙配置装置。
65.图6为本公开一个实施例的东西向防火墙配置系统的结构示意图。如图6所示，东西向防火墙配置系统包括云管理平台61、虚拟机管理设备62和sdn控制器63。云管理平台61为图5中任一实施例涉及的云管理平台。
66.虚拟机管理设备62被配置为根据云管理平台61中的东西向防火墙配置装置发送的东西向防火墙创建请求创建东西向防火墙虚拟机，并向东西向防火墙配置装置发送东西向防火墙虚拟机创建完成指示信息，其中创建完成指示信息中包括虚拟机配置信息。
67.在一些实施例中，虚拟机管理设备62包括ems设备或vnfm设备。
68.sdn控制器63被配置为在接收到东西向防火墙配置装置发送的东西向防火墙创建指令后，根据创建指令中包括的引流网络配置信息和虚拟机配置信息创建引流网络，并进行相应的流表配置。
69.在一些实施例中，虚拟机管理设备62还被配置为根据东西向防火墙配置装置发送的东西向防火墙删除请求，删除相应的东西向防火墙虚拟机，并向东西向防火墙配置装置
发送东西向防火墙虚拟机删除成功指示信息。
70.sdn控制器63还被配置为根据东西向防火墙配置装置发送的东西向防火墙删除指令，删除相应的东西向防火墙虚拟机配置信息，并删除相应流表。
71.图7为本公开一个实施例的东西向防火墙配置系统架构示意图。在图7中，ems/vnfm通过nve(network virtualization edge，网络虚拟边缘)设备管理东西向防火墙虚拟机vfm(virtual firewall)。sdn控制器通过nve管理vm(virtual machine，虚拟机)，并通过虚拟交换机vswitch与sdn网关交互。
72.通过实施本公开，能够得到以下有益效果：
73.1、增加东西向防火墙的业务定义，增加东西向防火墙引流网络的配置；
74.2、为云管理平台增加“方向”属性，可根据需求配置南北向防火墙或东西向防火墙；
75.3、sdn控制器开放东西向防火墙的流表配置；
76.4、无需对现有网络架构进行改动，只需修改云管理平台和sdn控制的代码即可，便于系统管理和维护。
77.在一些实施例中，上述功能模块可以实现为用于执行本公开所描述功能的通用处理器、可编程逻辑控制器(programmable logic controller，简称：plc)、数字信号处理器(digital signal processor，简称：dsp)、专用集成电路(application specific integrated circuit，简称：asic)、现场可编程门阵列(field-programmable gate array，简称：fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件或者其任意适当组合。
78.至此，已经详细描述了本公开的实施例。为了避免遮蔽本公开的构思，没有描述本领域所公知的一些细节。本领域技术人员根据上面的描述，完全可以明白如何实施这里公开的技术方案。
79.虽然已经通过示例对本公开的一些特定实施例进行了详细说明，但是本领域的技术人员应该理解，以上示例仅是为了进行说明，而不是为了限制本公开的范围。本领域的技术人员应该理解，可在不脱离本公开的范围和精神的情况下，对以上实施例进行修改或者对部分技术特征进行等同替换。本公开的范围由所附权利要求来限定。