一种FWaaS安全域配置方法及装置与流程

本申请涉及通信
技术领域：
，尤其涉及一种fwaas安全域配置方法及装置。
背景技术：
：openstack是一个开源的云计算管理平台项目，由几个主要的组件组合起来完成具体工作。其目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。openstack覆盖了网络、虚拟化、操作系统、服务器等各个方面，通过所包含的多个组件，提供计算、网络、存储等核心服务，以及fwaas(firewallasaservice，防火墙即服务)等扩展服务。其中openstack自身的fwaas，由于fwaas配置界面不能配置类似于传统防火墙的安全域功能，即openstack自身的fwaas不包含安全域配置功能，导致fwaas功能不够完善，存在缺陷。相应的由于openstack中fwaas无法配置安全域功能，在网络设备这一侧目前只能通过硬编码的方式来生成安全域，使每一个虚拟防火墙都有一个特定名称的安全域，其生成的安全域具有单一性，且是在后台运行无法展示出来，对于网络设备拥有的硬件设备安全域，无法发挥其应有的功能。技术实现要素：有鉴于此，本申请提供一种fwaas安全域配置方法及装置。具体地，本申请是通过如下技术方案实现的：一种fwaas安全域配置方法，应用于openstack，所述方法包括：获取待配置的fwaas规则，其包含源安全域字段和目的安全域字段；获取为内网安全域预先设置的内网标识和为外网安全域预先设置的外网标识；为所述待配置的fwaas规则中的源安全域字段配置内网标识或外网标识，以及为所述待配置的fwaas规则中的目的安全域字段配置内网标识或外网标识。一种基于fwaas安全域配置方法的fwaas安全域生成方法，应用于网络设备，所述方法包括：获取所述openstack下发的策略，所述策略由用户在openstack中配置好的fwaas规则形成；获取用户指定的目标虚拟路由器；将预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联；在所述预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联之后，生成所述目标虚拟路由器对应的fwaas安全域。一种fwaas安全域配置装置，应用于openstack，所述装置包括：fwaas规则获取单元，用于获取待配置的fwaas规则，其包含源安全域字段和目的安全域字段；标识获取单元，用于获取为内网安全域预先设置的内网标识和为外网安全域预先设置的外网标识；fwaas规则配置单元，用于为所述待配置的fwaas规则中的源安全域字段配置内网标识或外网标识，以及为所述待配置的fwaas规则中的目的安全域字段配置内网标识或外网标识。一种基于fwaas安全域配置装置的fwaas安全域生成装置，应用于网络设备，所述装置包括：策略获取单元，用于获取所述openstack下发的策略，所述策略由用户在openstack中配置好的fwaas规则形成；目标虚拟路由器获取单元，用于获取用户指定的目标虚拟路由器；关联单元，用于将预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联；fwaas安全域生成单元，用于在所述预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联之后，生成所述目标虚拟路由器对应的fwaas安全域。本方案根据虚拟路由器提供的内网与外网的交互服务，确定内网为内网安全域，确定外网为外网安全域，并为内网安全域与外网安全域设置相应的内网标识和外网标识；将获取的待配置的fwaas规则中的源安全域字段配置内网标识或外网标识，待配置的fwaas规则中的目的安全域字段可以配置内网标识或外网标识。将所述配置好的fwaas规则形成策略下发到网络设备，将预先创建的虚拟防火墙与所述策略以及用户指定的目标虚拟路由器关联之后，生成所述目标虚拟路由器对应的fwaas安全域。与现有技术方案相比，openstack中fwaas配置界面可以配置fwaas安全域，可以充分发挥硬件设备安全域应有的功能。生成的fwaas安全域，一台虚拟路由器对应两个安全域，可以区分源安全域和目的安全域；用户层面无接口概念，可以降低运维难度；可以随时查看与fwaas规则对应的fwaas安全域。附图说明为了更清楚地说明本申请实施例的技术方案，下面将对实施例描述中所需要的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。图1是本申请一示例性实施例示出的一种安全域划分示意图；图2是本申请一示例性实施例示出的fwaas安全域配置方法的一种实施流程图；图3是本申请一示例性实施例示出的fwaas安全域生成方法的一种实施流程图；图4是本申请一示例性实施例示出的一种应用场景示意图；图5是本申请一示例性实施例示出的fwaas安全域配置装置的一种结构示意图；图6是本申请一示例性实施例示出的fwaas安全域生成装置的一种结构示意图。具体实施方式这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。首先对本申请实施例提供的一种fwaas安全域配置方法进行说明，该方法可以包括以下步骤：获取待配置的fwaas规则，其包含源安全域字段和目的安全域字段；获取为内网安全域预先设置的内网标识和为外网安全域预先设置的外网标识；为所述待配置的fwaas规则中的源安全域字段配置内网标识或外网标识，以及为所述待配置的fwaas规则中的目的安全域字段配置内网标识或外网标识。在
背景技术：
中提到，openstack是云服务管理平台，根据openstack中虚拟路由器提供的内网与外网的交互服务，虚拟路由器连接的内网，其所包含的网络设备使用的ip地址同属于一个ip段，虚拟路由器连接的外网，其所包含的网络设备使用的ip地址属于的ip段，与内网设备的ip段不同，根据此特点可以确定内网为内网安全域，外网为外网安全域，相应的为内网安全域设置内网标识，外网安全域设置外网标识。这里所说的内网安全域与外网安全域是逻辑概念，相应的这里根据不同ip段划分内网安全域与外网安全域仅仅是示例性的，也存在其它的划分方法，这里不再一一赘述。获取待配置的fwaas规则，其中包含源安全域字段和目的安全域字段，源安全域字段和目的安全域字段一般默认为空，当然也可以是上述所说的内网标识和外网标识任意其中一种；获取上述所说的内网标识和外网标识；为待配置的fwaas规则进行配置，其中待配置的fwaas规则中的源安全域字段可以配置内网标识或外网标识，待配置的fwaas规则中的目的安全域字段同样可以配置内网标识或外网标识。本发明一种fwaas安全域配置方法，下面先对如何划分内网安全域与外网安全域举例进行说明，其具体包括以下步骤：根据openstack中虚拟路由器提供的内网与外网的交互服务，以及虚拟路由器连接的内网与外网中的不同ip段，确定内网为内网安全域，确定外网为外网安全域，并为内网安全域与外网安全域设置对应的内网标识和外网标识；在一实施例中，如图1所示的示例性应用场景示意图，图中虚拟路由器提供内网与外网的交互服务，虚拟路由器用vrouter来表示，内网用户需要通过虚拟路由器访问外网，同理外网用户需要通过虚拟路由器访问内网。由于虚拟路由器连接的内网与外网中的ip段不同，即内网用户所使用的ip地址同属于同一个ip段，例如ip段可以为192.168.1.0/24，也就是192.168.1.1-192.168.1.255，内网用户可以任意选择其中某个ip地址，或者指定其中某个ip地址，相应的外网用户的ip段可以为192.168.2.0/24，也就是192.168.2.1-192.168.2.255。根据此特点可以确定内网为内网安全域，外网为外网安全域，并为内网安全域与外网安全域设置相应的内网标识和外网标识，其中对应关系如下表1所示。安全域名称标识内网安全域intranetzone外网安全域extranetzone表1如图2所示为本申请fwaas安全域配置方法的一种实施流程图，其中具体包括以下步骤：s101，获取待配置的fwaas规则，其包含源安全域字段和目的安全域字段；在一实施例中，获取待配置的fwaas规则，fwaas规则可以配置源安全域和目的安全域，因此fwaas规则包含源安全域字段和目的安全域字段，fwaas规则中的源安全域字段和目的安全域字段都有其自身对应的可配置内容。s102，获取为内网安全域预先设置的内网标识和为外网安全域预先设置的外网标识；在上述提到过，为内网安全域与外网安全域设置相应的内网标识和外网标识，其中对应关系如表1所示，基于上述获取的待配置的fwaas规则，要对fwaas规则中的源安全域字段和目的安全域字段进行配置，因此需要获取上述设置好的内网标识和外网标识，即获取内网安全域对应的内网标识intranetzone，外网安全域对应的外网标识extranetzone。s103，为所述待配置的fwaas规则中的源安全域字段配置内网标识或外网标识，以及为所述待配置的fwaas规则中的目的安全域字段配置内网标识或外网标识。在一实施例中，在成功获取上述内网标识intranetzone与外网标识extranetzone后，为所述待配置的fwaas规则中的源安全域字段与目的安全域字段进行配置。所述待配置的fwaas规则中的源安全域字段可以配置内网标识或外网标识，即源安全域字段可以配置内网标识intranetzone，又或者可以配置外网标识extranetzone；所述待配置的fwaas规则中的目的安全域字段同样也可以配置内网标识或外网标识，即目的安全域字段可以配置内网标识intranetzone，又或者可以配置外网标识extranetzone。相应的在对所述待配置的fwaas规则进行配置，存在三种合法的源安全域字段和目的安全域字段配置方法，相应的源安全域字段与目的安全域字段和内网标识、外网标识的对应关系如下表2所示。源安全域字段目的安全域字段intranetzoneintranetzoneextranetzoneintranetzoneintranetzoneextranetzone表2源安全域字段和目的安全域字段配置方法存在合法配置，相应的也就存在不合法的配置方法，即如果源安全域字段和目的安全域字段同时都配置了外网标识extranetzone。根据上述所说的openstack中虚拟路由器提供的内网与外网的交互服务，其中也包含内网与内网的交互服务，但是不提供外网与外网的交互服务，这种形式理论上不存在的，虚拟路由器提供的是内网与外网的交互服务，因此这种配置方法是不合法的。在对fwaas规则中的源安全域字段和目的安全域字段配置完成后需要对配置结果进行检测，首先检测fwaas规则中的源安全域字段和目的安全域字段配置内容是否一致，即是不是同时是内网标识或者外网标识。在fwaas规则中的源安全域字段和目的安全域字段配置内容一致的情况下，检测所述配置内容是否为外网标识。在fwaas规则中的源安全域字段和目的安全域字段配置内容一致且配置内容为外网标识的情况下，可以判定该配置结果不合法。如图3所示，基于上述的一种fwaas安全域配置方法，对应的fwaas安全域生成方法包括以下步骤：s201，获取所述openstack下发的策略，所述策略由用户在openstack中配置好的fwaas规则形成；在一实施例中，基于上述的fwaas安全域配置方法，用户在openstack配置界面选择待配置的fwaas规则，对fwaas规则中的源安全域字段和目的安全域字段进行配置，其中源安全域字段和目的安全域字段可分别配置内网标识或外网标识，在所述配置结果合法时形成策略下发给网络设备，网络设备获取由openstack下发的策略。例如用户为fwaas规则中的源安全域字段配置的是内网标识，为fwaas规则中的目的安全域字段配置的是外网标识，将此配置好的fwaas规则形成策略下发到网络设备，在网络设备这一侧可以获取到由openstack下发的策略。s202，获取用户指定的目标虚拟路由器；在一实施例中，在用户自身所处的网络环境中，如图4所示的应用场景示意图，网络设备在当前网络所使用的ip地址是唯一的，因此虚拟路由器在当前网络的ip地址也是唯一的，用户可以根据此特征来指定目标虚拟路由器，当然最简便的方式还是根据路由器名称来指定目标虚拟路由器，当然也可以根据路由器的mac地址来指定，这里不再一一赘述，总之可以根据虚拟路由器自身的一些区别于其它虚拟路由器的特征来指定目标虚拟路由器。如上述图4所示的应用场景示意图，可以根据路由器名称指定虚拟路由器vrouter1为目标虚拟路由器。s203，将预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联；在一实施例中，通常为了降低投资成本，可以将一台防火墙在逻辑上划分为多台虚拟的防火墙，每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。因此需要预先创建虚拟防火墙，暂且以vfw1代表预先创建的虚拟防火墙，将所述预先创建的虚拟防火墙vfw1与上述获取的由openstack下发的策略，以及上述根据路由器名称指定的目标虚拟路由器router1关联。所述关联也就意味着三者相互连接、相互影响。s204，在所述预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联之后，生成所述目标虚拟路由器对应的fwaas安全域。在所述预先创建的虚拟防火墙vfw1与上述获取的由openstack下发的策略，以及上述根据路由器名称指定的目标虚拟路由器router1关联之后，根据所述fwaas规则中生成所述目标虚拟路由器对应的fwaas安全域。由上述所说的fwaas规则，源安全域字段配置的是内网标识，即intranetzone，目的安全域字段配置的是外网标识，即extranetzone，生成所述目标虚拟路由器router1对应的fwaas安全域，生成的内网安全域名称可以是路由器名称加内网标识，生成的外网安全域名称可以是路由器名称加外网标识，例如内网安全域名称可以是router1加intranetzone，外网安全域名称可以是router1加extranetzone。并且安全域名称、域内动作、描述。安全域优先级等可以修改。其中在生成fwaas安全域时，内网安全域包含的接口，例如虚拟路由器关联子网产生的interface接口(vlan接口等)，还有硬件防火墙设备与网关设备对接时产生的内网接口等，外网安全域包含的接口，例如虚拟路由器的通用网关接口，硬件防火墙设备与网关设备对接时产生的外网接口等，根据客户的需求，通过编码的方式添加到所述fwaas安全域，并且对用户不可见，这样的话在用户层面无接口概念，可以降低运维难度。在生成所述fwaas安全域后，目标虚拟路由器router1拥有两个安全域，分别是内网安全域与外网安全域，此时fwaas规则中的源安全域字段是内网标识，目的安全域字段是外网标识，需要将内网标识替换为内网安全域，外网标识替换为外网安全域，并且在后台操作。当用户需要查看安全域时，通过获取后台数据就可以查看当前安全域。采取以上技术方案，openstack中fwaas配置界面可以配置fwaas安全域，可以充分发挥硬件设备安全域应有的功能。生成的fwaas安全域，一台虚拟路由器对应两个安全域，可以区分源安全域和目的安全域；用户层面无接口概念，可以降低运维难度；可以随时查看与fwaas规则对应的fwaas安全域。本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。与前述一种fwaas安全域配置方法实施例相对应，本申请还提供了一种fwaas安全域配置装置的实施例，如图5所示，包括fwaas规则获取单元310、标识获取单元320、fwaas规则配置单元330。所述fwaas规则获取单元310，用于获取待配置的fwaas规则，其包含源安全域字段和目的安全域字段；所述标识获取单元320，用于获取为内网安全域预先设置的内网标识和为外网安全域预先设置的外网标识；所述fwaas规则配置单元330，用于为所述待配置的fwaas规则中的源安全域字段配置内网标识或外网标识，以及为所述待配置的fwaas规则中的目的安全域字段配置内网标识或外网标识。在本申请的一种具体实施方式中，所述装置还包括：检测单元340、不合法fwaas规则设置单元350所述检测单元340，用于为所述待配置的fwaas规则中的源安全域字段和目的安全域字段配置完成后得到的fwaas规则，检测所述得到的fwaas规则中的源安全域字段和目的安全域字段配置内容是否一致；所述不合法fwaas规则设置单元350，用于在检测到所述得到的fwaas规则中的源安全域字段和目的安全域字段配置内容一致且为外网标识的情况下，将该fwaas规则设置为不合法fwaas规则。与前述一种基于fwaas安全域配置方法的fwaas安全域生成方法实施例相对应，本申请还提供了一种基于fwaas安全域配置装置的fwaas安全域生成装置的实施例，如图6所示，包括策略获取单元410、目标虚拟路由器获取单元420、关联单元430、fwaas安全域生成单元440。所述策略获取单元410，用于获取所述openstack下发的策略，所述策略由用户在openstack中配置好的fwaas规则形成；所述目标虚拟路由器获取单元420，用于获取用户指定的目标虚拟路由器；所述关联单元430，用于将预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联；所述fwaas安全域生成单元440，用于在所述预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联之后，生成所述目标虚拟路由器对应的fwaas安全域。在本申请的一种具体实施方式中，所述装置还包括：接口添加单元450、替换单元460所述接口添加单元450，用于将用户需要的内网安全域包含的接口以及外网安全域包含的接口添加到所述目标虚拟路由器对应的fwaas安全域；所述替换单元460，用于根据所述生成的所述目标虚拟路由器对应的fwaas安全域，对所述配置好的fwaas规则包含的源安全域字段和目的安全域字段中，所配置的内网标识和外网标识替换为对应的内网安全域或外网安全域。上述系统中各个单元的作用实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。对于系统实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。本发明可以在由计算机执行的计算值可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。以上所述仅是本发明的具体实施方式，应当指出，对于本
技术领域：
的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。当前第1页12