本发明实施例涉及防火墙
技术领域:
:,具体涉及基于Openstack云平台的防火墙的管理方法及系统。
背景技术:
::Openstack是一个开源的云计算框架,能够提供实施简单、可大规模扩展、丰富、标准统一的云计算管理服务。Openstack已经被越来越多的云计算厂商纳入产品体系中,云计算厂商纷纷推出了基于Openstack的云计算产品与解决方案。Openstack作为一种云计算框架,其安全性解决方案尤其重要,虽然,Openstack提供了防火墙组件(防火墙即服务(FireWallasaService,FWaaS)),但其安全性解决方案并不成熟,其功能非常简单,还不能够具备下一代防火墙所具备的专业化安全能力。目前,Openstack的防火墙实现方案是基于Linuxnamespace技术实现虚拟路由器,基于IPtable在虚拟路由器中承载防火墙功能。在该方案中,一个数据包从主机物理网卡传递到虚拟路由器,需要经过虚拟交换机、namespace上虚拟端口设备,因此,虚拟端口设备、虚拟交换机的带宽就会成为虚拟路由器流量带宽的限制因素,一旦虚拟端口设备、虚拟交换机配置好之后,就无法随意地动态调整其端口带宽,很难满足多用户的动态的南北网络流量变化的需求。技术实现要素:本发明实施例提供了基于Openstack云平台的防火墙的管理方法,能够动态地根据不同用户的实际需求,创建具备防火墙功能的虚拟路由器,能够动态地管理用户的虚拟路由器。另外,本发明实施例还提供了一种防火墙的管理系统,用于保证上述方法在实际中的应用及实现。在本发明实施例第一方面提供了一种防火墙的管理系统,所述系统包括:虚拟路由器插件模块、FWaaS插件代理模块、防火墙驱动模块和安全管理模块;其中,所述虚拟路由器插件模块,用于接收第一请求,所述第一请求是关于虚拟路由器的创建请求,解析所述第一请求得到虚拟路由器的创建需求信息,将所述创建需求信息发送至所述安全管理模块;所述FWaaS插件代理模块,用于接收第二请求,所述第二请求是关于防火墙的创建请求,将所述第二请求发送至所述防火墙驱动模块;所述防火墙驱动模块,用于解析所述第二请求得到防火墙安全规则配置信息和被选择的虚拟路由器的标识信息,并将所述防火墙安全规则配置信息和所述标识信息发送至所述安全管理模块;所述安全管理模块,用于根据所述创建需求信息,从安全资源池中选择可配置的计算节点,以虚拟机形态在所述计算节点上创建虚拟路由器;并根据所述标识信息查找虚拟路由器,将所述防火墙安全规则配置信息写入查找到的虚拟路由器中。可选的,所述虚拟路由器还被配置为支持防火墙的高级安全防御功能;则所述安全管理模块,还用于接收第三请求,根据所述第三请求统一控制用户的虚拟路由器的高级安全防御功能;所述第三请求是关于防火墙高级安全防御功能的管理请求。可选的,所述高级安全防御功能包括以下一种或者多种功能:反病毒功能、防护分布式拒绝服务功能、统一威胁管理功能、反垃圾邮件功能。可选的,所述虚拟路由器是采用支持网卡的单根I/O虚拟化技术实现的。可选的,所述虚拟路由器插件模块,还用于:接收第四请求,将所述第四请求发送至所述安全管理模块;所述第四请求是关于虚拟路由器的操作请求;所述第四请求中携带有需要被操作的虚拟路由器的标识信息和第一操作类型;所述第一操作类型包括:删除或者更新;则所述安全管理模块,还用于:根据所述第四请求中携带的标识信息查找对应的虚拟路由器,根据所述第一操作类型对查找到的虚拟路由器执行相应操作。可选的,FWaaS插件代理模块,还用于:接收第五请求,将所述第五请求发送至所述防火墙驱动模块;所述第五请求是关于防火墙的操作请求;所述第五请求中携带有需要被操作的防火墙与虚拟路由器之间的对应关系和第二操作类型;所述第二操作类型包括:删除或者更新;则所述防火墙驱动模块,还用于:解析所述第五请求得到所述对应关系和所述第二操作类型,并将所述对应关系和所述第二操作类型发送至所述安全管理模块;则所述安全管理模块,还用于:根据所述对应关系查找到对应的虚拟路由器,根据所述第二操作类型对查找到的虚拟路由器中的防火墙执行相应操作。可选的,所述创建需求信息包括以下一种或多种组合:吞吐量、CPU、内存或带宽。在本发明实施例第二方面提供了一种防火墙的管理方法,所述方法包括:接收第一请求,解析所述第一请求得到虚拟路由器的创建需求信息;所述第一请求是关于虚拟路由器的创建请求;根据所述创建需求信息,从安全资源池中选择可配置的计算节点,以虚拟机形态在所述计算节点上创建虚拟路由器;接收第二请求,所述第二请求是关于防火墙的创建请求;解析所述第二请求得到防火墙安全规则配置信息和被选择的虚拟路由器的标识信息;根据所述标识信息查找虚拟路由器,将所述防火墙安全规则配置信息写入查找到的虚拟路由器中。可选的,所述虚拟路由器还被配置为支持防火墙的高级安全防御功能,所述方法还包括:接收第三请求,根据所述第三请求统一控制用户的虚拟路由器的高级安全防御功能;所述第三请求是关于防火墙高级安全防御功能的管理请求。可选的,所述高级安全防御功能包括以下一种或者多种功能:反病毒功能、防护分布式拒绝服务功能、统一威胁管理功能、反垃圾邮件功能。可选的,所述虚拟路由器是采用支持网卡的单根I/O虚拟化技术实现的。可选的,所述方法还包括:接收第四请求,将所述第四请求发送至所述安全管理模块;所述第四请求是关于虚拟路由器的操作请求;所述第四请求中携带有需要被操作的虚拟路由器的标识信息和第一操作类型;所述第一操作类型包括:删除或者更新;根据所述第四请求中携带的标识信息查找对应的虚拟路由器,根据所述第一操作类型对查找到的虚拟路由器执行相应操作。可选的,所述方法还包括:接收第五请求,所述第五请求是关于防火墙的操作请求,所述第五请求中携带有需要被操作的防火墙与虚拟路由器之间的对应关系和第二操作类型;所述第二操作类型包括:删除或者更新;解析所述第五请求得到所述对应关系和所述第二操作类型;根据所述对应关系查找到对应的虚拟路由器,根据所述第二操作类型对查找到的虚拟路由器中的防火墙执行相应操作。可选的,所述创建需求信息包括以下一种或多种组合:吞吐量、CPU、内存或带宽。与现有技术相比,本发明提供的技术方案具有如下优点:本发明实施例提供的技术方案,针对现有技术存在的无法动态地根据用户实际需求定制防火墙,不能满足用户需求的问题,提出了一种防火墙的管理系统,该系统主要是利用安全管理模块,统一管理安全资源池中的计算节点,根据用户提出的创建需求信息,从安全资源池中选择可配置的计算节点,以虚拟机形态在所述计算节点上创建虚拟路由器;然后,该安全管理模块再在用户选择的虚拟路由器上配置防火墙,以实现防火墙的包过滤功能。可以看出:本发明实施例提供的技术方案,为用户提供的动态定制防火墙的通道,用户可以根据实际需求确定虚拟路由器的创建需求信息,从而能够实现动态定制满足需求的虚拟路由器,在该虚拟路由器上再创建满足需求的防火墙。进一步地,本申请实施例还提出了基于SR-IOV技术,使得虚拟机能够直接从物理网卡收发数据包,绕开虚拟交换机、虚拟端口的带宽限制,充分发挥虚拟机的高性能特性。更进一步地,本申请实施例还提出了以虚拟机的形式部署虚拟路由器,使得虚拟路由器能够承载有高级安全防御功能。附图说明为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种防火墙的管理系统的结构图;图2为本发明实施例提供的一种防火墙的管理系统的应用场景示例图;图3为本发明实施例提供的一种防火墙的管理系统硬件结构图;图4为本发明实施例提供的一种防火墙的管理方法的流程图。具体实施方式首先对本发明的思想进行阐述。现有技术中是在namespace(命名空间)上实现虚拟路由器,在虚拟路由器上承载防火墙的包过滤功能(防火墙的基本防御功能),这种方式并不能够面向用户,考虑不同用户的不同需求,无法支持动态按需的管理用户的防火墙。针对现有技术存在的无法动态地根据用户实际需求定制防火墙,不能满足用户需求的问题,本发明提出了防火墙的管理系统,该系统能够面向用户,为用户提供了确定创建需求的通道,该系统主要是利用安全管理模块,统一管理安全资源池中的计算节点,根据用户提出的创建需求信息,从安全资源池中选择可配置的计算节点,以虚拟机形态在所述计算节点上创建虚拟路由器;然后,该安全管理模块再在用户选择的虚拟路由器上配置防火墙,以实现防火墙的包过滤功能。这样,该系统就能够实现动态按需的管理用户的虚拟路由器。本发明发明人通过研究发现现有技术的namespace是linux操作系统级别的容器技术,而高性能的防火墙属于专业设备,具有丰富的高级安全防御功能、专业化的安全能力,防火墙厂商开发这些功能时,由于其软硬件平台的特殊性、复杂性,使得高级安全防御功能几乎不能够直接移植到linux系统中,因此,也不能够直接移植到linuxnamespace上。基于此,本发明发明人才提出了通过虚拟机技术实现虚拟路由器和防火墙的技术方案。本发明提供的防火墙的管理方法同样是基于上述技术思路来实现的,能够达到同样的技术效果。为了使本
技术领域:
:的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。下面结合图1先对本发明提供的一种防火墙的管理系统进行解释说明。参见图1,图1是本发明实施例提供的一种防火墙的管理系统的结构图,如图1所示,该系统可以包括:虚拟路由器插件模块101、FWaaS插件代理模块102、防火墙驱动模块103、以及安全管理模块104。下面基于该系统的工作原理对其内部各个模块的功能及其连接关系进行解释说明。其中,虚拟路由器插件模块101,用于接收第一请求,解析所述第一请求得到虚拟路由器的创建需求信息,将所述创建需求信息发送至安全管理模块104;其中,所述第一请求是关于虚拟路由器的创建请求,所述第一请求中至少携带有虚拟路由器的创建需求信息。用户在使用该系统时,在该系统提供的用户界面上,触发关于虚拟路由器的创建操作,并确定虚拟路由器的创建需求信息,这里的创建需求信息可以是虚拟路由器的吞吐量、CPU、内存、带宽等任一或者多种性能要求信息。该系统根据用户在用户界面上的操作,生成第一请求,在第一请求中携带关于虚拟路由器的创建需求信息。用户再在该系统提供的用户界面上确定出在哪个虚拟路由器上创建防火墙,并确定防火墙安全规则配置信息,该防火墙安全规则配置信息可以包括:源IP、目的IP、源端口、目的端口、动作(允许或者拒绝);该系统根据用户在用户界面上的操作,生成第二请求,在第二请求中携带防火墙安全规则配置信息和被选择的虚拟路由器的标识信息。由FWaaS插件代理模块处理该第二请求。其中,FWaaS插件代理模块102,用于接收第二请求,将所述第二请求发送至防火墙驱动模块103;所述第二请求是关于防火墙的创建请求。防火墙驱动模块103,用于解析所述第二请求得到防火墙安全规则配置信息和被选择的虚拟路由器的标识信息,并将所述防火墙安全规则配置信息和所述标识信息发送至所述安全管理模块104。这里需要说明的是,本申请中的FWaaS插件代理模块是基于Openstack提供了防火墙组件要求所实现的插件。其中,安全管理模块104,用于根据所述创建需求信息,从安全资源池中选择可配置的计算节点,以虚拟机形态在所述计算节点上创建虚拟路由器;所述安全管理模块还用于根据所述标识信息查找虚拟路由器,将所述防火墙安全规则配置信息写入查找到的虚拟路由器中。这里需要说明的是,该系统中的安全管理模块在实现时,可以通过调用OpenstacknovaAPI,实现虚拟路由器的创建、删除、更新等处理。进一步地,本发明发明人还考虑到,目前Openstack还处于发展中,各种机制还不够健全,对防火墙的设置还仅停留在包过滤功能上,但在实际应用中,用户对防火墙的需求并不仅停留在包过滤功能上,而是有越来越高级的防火墙需求,因此,为了进一步推进Openstack的发展,满足用户对防火墙的高级防御功能的需求,发明人还提出优选的解决方案,下面结合图2对该优选方案进行解释说明。参见图2,图2是本发明实施例提供的一种防火墙的管理系统的应用场景示例图,在图2所示的场景中,防火墙的管理系统中安全管理模块提供了关于高级安全防御功能的控制通道,用户通过该控制通道,就能够控制虚拟路由器的高级安全防御功能。在实现时,在虚拟路由器中增加防火墙的高级安全防御功能。这里的高级安全防御功能是指除包过滤功能之外的安全防御功能,如:反病毒(Anti-Virus,AV)、防分布式拒绝服务(DistributedDenialofService,DDOS)、统一威胁管理(UnifiedThreatManagement,UTM)、反垃圾邮件功能等下一代防火墙所具备的安全功能。在上述虚拟路由器配置的基础上,则所述安全管理模块104,还用于:接收第三请求,根据所述第三请求统一控制用户的虚拟路由器的高级安全防御功能;其中,所述第三请求是关于防火墙高级安全防御功能的管理请求。如果,安全管理模块单独配置在一个服务器上,则该服务器为用户提供用户界面,用户在该用户界面上可以触发第三请求,例如,用户在该界面上选择相关的虚拟路由器,以及需要启用的高级安全防御功能,则该服务器生成的第三请求就包含被选择的虚拟路由器的信息以及需要启用的高级安全防御功能的信息,安全管理模块根据该第三请求就可以统一控制用户的虚拟路由器的高级安全防御功能。该系统为用户提供了根据实际需求主动控制高级安全防御功能的通道,能够满足不同的用户的不同需求,对于用户而言,该系统具有较好的用户体验。进一步地,本发明发明人还考虑到,在现有技术的基于namespace实现的虚拟路由器的方案中,一般数据包从主机物理网卡传递到虚拟路由器,需要经过虚拟交换机、namespace上虚拟端口设备,因此,虚拟交换机、namespace上的虚拟端口设备的带宽就直接限制了虚拟路由器的带宽大小,并且,在namespace中,一旦虚拟交换机安装配置后,就无法再动态地调整其端口的带宽,因此,不能够适应多用户高吞吐量的南北网络流量变化。本发明发明人提出了以下方案:在实现时,配置虚拟路由器支持网络的单根I/O虚拟化技术(SR-IOV);该SR-IOV虚拟网卡技术使得防火墙虚拟机直接读取物理网卡上的数据包,从而能够绕开虚拟交换机、虚拟端口的带宽限制,这就极大地提升了防火墙的带宽,能够适应多用户高吞吐量的南北网络流量变化。进一步地,发明人还考虑到用户在Openstack上部署虚拟路由器之后,可能对虚拟路由器的需求有所改变,为了方便用户修订已部署的虚拟路由器,本发明还提供了以下方案:在实现时,所述虚拟路由器插件模块101,还用于:接收第四请求,所述第四请求是关于虚拟路由器的操作请求,将所述第四请求发送至所述安全管理模块;所述第四请求中携带有需要被操作的虚拟路由器的标识信息和第一操作类型;所述第一操作类型包括:删除或者更新;则所述安全管理模块104,还用于:根据所述第四请求中携带的标识信息查找对应的虚拟路由器,根据所述第一操作类型对查找到的虚拟路由器执行相应操作。进一步地,发明人还考虑到用户在Openstack上部署防火墙之后,可能对防火墙的需求有所改变,为了方便用户修订已部署的防火墙,本发明还提供了以下方案:在实现时,所述FWaaS插件代理模块102,还用于:接收第五请求,所述第五请求是关于防火墙的操作请求,并将所述第五请求发送至所述防火墙驱动模块;所述第五请求中携带有需要被操作的防火墙与虚拟路由器之间的对应关系和第二操作类型;所述第二操作类型包括:删除或者更新;则所述防火墙驱动模块103,还用于:解析所述第五请求得到所述对应关系和所述第二操作类型,并将所述对应关系和所述第二操作类型发送至所述安全管理模块;则所述安全管理模块104,还用于:根据所述对应关系查找到对应的虚拟路由器,根据所述第二操作类型对查找到的虚拟路由器中的防火墙执行相应操作。在实现时,用户在安全管理模块所在的服务器提供的用户界面上选择需要被操作的防火墙与虚拟路由器的标识信息之间的对应关系和操作类型,触发关于防火墙的相关操作,服务器生成第五请求,在第五请求中携带有需要被操作的防火墙与虚拟路由器之间的对应关系和第二操作类型;所述第二操作类型包括:删除或者更新;当操作类型是删除时,则安全管理模块根据接收到的第五请求中携带的对应关系,查找到承载该防火墙的虚拟路由器,进而删除该虚拟路由器中的该防火墙。当操作类型是更新时,则安全管理模块根据接收到的第五请求中携带的对应关系,查找到承载该防火墙的虚拟路由器,进而根据第五请求中携带的新的配置信息,更新该虚拟路由器中的防火墙的配置情况。通过上述描述,可以知道本发明提供的系统具有如下优点:(1)本发明提供的系统,针对现有技术存在的无法动态地根据用户实际需求定制防火墙,不能满足用户需求的问题,提出了利用安全管理模块,统一管理安全资源池中的计算节点,根据用户提出的创建需求信息,从安全资源池中选择可配置的计算节点,以虚拟机形态在所述计算节点上创建虚拟路由器;然后,该安全管理模块再在用户选择的虚拟路由器上配置防火墙,以实现防火墙的包过滤功能。可以看出本发明实施例提供的技术方案,为用户提供的动态定制防火墙的通道,用户可以根据实际需求确定虚拟路由器的创建需求信息,从而能够实现动态定制满足需求的虚拟路由器,在该虚拟路由器上再创建满足需求的防火墙。这样,安全管理模块管理的安全资源池就可以看作是用户南北流量的防御体系。可以看出本发明提供的系统,为用户提供的动态定制防火墙的通道,用户可以根据实际需求确定虚拟路由器的创建需求信息,从而利用本发明实施例的技术方案,实现动态定制满足需求的虚拟路由器。安全管理模块能够根据用户对南北流量的网络需求,比如吞吐量、带宽等,在部署虚拟机时,动态地在安全资源池中选取计算节点,将虚拟路由器部署在满足用户需求的计算节点上,比如针对用户对虚拟路由器的性能要求较高的情况,安全管理中心会将虚拟路由器部署在高性能的计算节点上。(2)进一步地,本发明提供的系统还提出了基于SR-IOV技术,使得虚拟机能够直接从物理网卡收发数据包,绕开虚拟交换机、虚拟端口的带宽限制,充分发挥虚拟机的高性能特性。(3)进一步地,本发明提供的系统还提出了以虚拟机的形式部署虚拟路由器,使得虚拟路由器承载有高级安全防御功能。由安全管理模块对虚拟路由器上部署的防火墙的多种高级安全防御功能进行统一管理,弥补原有FWaaS高级安全功能的缺失。为了方便本领域技术人员进一步了解本发明提供的防火墙的管理系统的部署情况,接下来结合图3对本发明提供的图1所示的防火墙的管理系统的硬件部署情况进行解释说明。参见图3,图3为本发明实施例提供的一种防火墙的管理系统硬件结构图。在图3所示的系统中,虚拟路由器插件模块101、FWaaS插件代理模块102、防火墙驱动模块103集成在服务器1中,安全管理模块104集成在服务器2中,这里需要说明的是,图3中所示的服务器1和服务器2的连接,用于表示服务器1和服务器2可以通过有线方式进行通信,也可以通过无线方式进行通信。另外,服务器2中的安全管理模块104用于管理安全资源池,安全资源池包括多个计算节点,其中,N是指大于或等于2的正整数。其中,计算节点是Openstack云平台中的计算节点,计算节点一般都是以服务器的硬件形式存在。在实际部署中,计算节点与安全管理模块之间也可以通过有线方式通信,也可以通过无线方式通信。安全管理模块管理计算节点,主要是定期或实时获取安全资源池中的计算节点的资源大小、工作性能、网络状态等性能状态信息,记录每个计算节点的这些性能状态信息,以基于这些性能状态信息动态配置计算节点。在实现时,安全管理模块可以定期向计算节点发送查询请求,安全管理模块可以采用一对一地方式向某个计算节点发送查询请求,当然,安全管理模块也可以采用群发地方式向安全资源池中的所有计算节点发送查询请求,计算节点响应于查询请求,向安全管理模块反馈自身的性能状态信息。当然,在实现时,安全资源池的计算节点也可以主动地定期向安全管理模块上报自身的性能状态信息,以使安全管理模块及时了解计算节点的实际工作性能状态情况。当然,图3仅为一种示例,在实现时,本发明提供的系统中的虚拟路由器插件模块101、FWaaS插件代理模块102、防火墙驱动模块103、安全管理模块104也可以集成在同一服务器中,该服务器需要为用户提供用户界面,用户通过该用户界面分别触发第一请求和第二请求。但,本发明发明人考虑到,安全管理模块104需要管理安全资源池,与安全资源池中的所有计算节点通信,维护这些计算节点的性能状态。并且,整个系统的工作性能主要取决于安全管理模块的工作性能,因此,为了保障该安全管理模块的运行性能,优选地,可以采用图3所示的方式将该安全管理模块独立地部署在一个服务器中。这样,整个系统就是通过服务器间的通信来实现各个模块的功能。当然,在实现时,系统中的虚拟路由器插件模块101、FWaaS插件代理模块102、防火墙驱动模块103、安全管理模块104这四个模块也可以分别独立部署在四个服务器中。基于上述系统的工作技术原理,本发明还提供了一种防火墙的管理方法,接下来对该方法进行解释说明。参见图4示出的本发明实施例提供的一种防火墙的管理方法的流程图,如图4所示,该方法包括:步骤401至步骤405。步骤401:接收第一请求,解析所述第一请求得到虚拟路由器的创建需求信息;所述第一请求是关于虚拟路由器的创建请求。步骤402:根据所述创建需求信息,从安全资源池中选择可配置的计算节点,以虚拟机形态在所述计算节点上创建虚拟路由器。步骤403:接收第二请求,所述第二请求是关于防火墙的创建请求。步骤404:解析所述第二请求得到防火墙安全规则配置信息和被选择的虚拟路由器的标识信息。步骤405:根据所述标识信息查找虚拟路由器,将所述防火墙安全规则配置信息写入查找到的虚拟路由器中。在实现时,可选的,所述虚拟路由器还被配置为支持防火墙的高级安全防御功能,所述方法还包括:接收第三请求,根据所述第三请求统一控制用户的虚拟路由器的高级安全防御功能;所述第三请求是关于防火墙高级安全防御功能的管理请求。在实现时,可选的,所述高级安全防御功能包括以下一种或者多种功能:反病毒功能、防护分布式拒绝服务功能、统一威胁管理功能、反垃圾邮件功能。在实现时,可选的,所述虚拟路由器是采用支持网卡的单根I/O虚拟化技术实现的。在实现时,可选的,所述方法还包括:接收第四请求,将所述第四请求发送至所述安全管理模块;所述第四请求是关于虚拟路由器的操作请求;所述第四请求中携带有需要被操作的虚拟路由器的标识信息和第一操作类型;所述第一操作类型包括:删除或者更新;根据所述第四请求中携带的标识信息查找对应的虚拟路由器,根据所述第一操作类型对查找到的虚拟路由器执行相应操作。在实现时,可选的,所述方法还包括:接收第五请求,所述第五请求是关于防火墙的操作请求,所述第五请求中携带有需要被操作的防火墙与虚拟路由器之间的对应关系和第二操作类型;所述第二操作类型包括:删除或者更新;解析所述第五请求得到所述对应关系和所述第二操作类型;根据所述对应关系查找到对应的虚拟路由器,根据所述第二操作类型对查找到的虚拟路由器中的防火墙执行相应操作。在实现时,可选的,所述创建需求信息包括以下一种或多种组合:吞吐量、CPU、内存或带宽。在实现时,图4所示方法可以由图1所示的系统来实现,其中,不同的步骤可能由系统中不同的功能模块来实现,具体可以参见上文关于图1中各个功能模块的具体描述,此次不再赘述。本领域技术人员可以理解的是,以上对一种防火墙的管理方法及系统实施例进行了示例性说明,以上不视为对本发明的限制,本领域技术人员在不付出创造性劳动下获得的其他实现方式均属于本发明的保护范围。需要说明的是,在本文中,诸如第一、第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理模块,即可以位于一个地方,或者也可以分布到多个网络模块上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。以上所述仅是本发明的具体实施方式,应当指出,对于本
技术领域:
:的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。当前第1页1 2 3 当前第1页1 2 3