分布式虚拟防火墙装置及方法
【技术领域】
[0001]本发明涉及计算机网络技术领域,尤其涉及一种分布式虚拟防火墙装置及方法。
【背景技术】
[0002]传统的云网络安全解决方案中,对于虚拟网络的东西向网络流量控制,可分为基于虚拟交换机的配置访问控制列表(Access Control List,简称ACL)控制策略和在虚拟机内运行虚拟防火墙软件两种解决方案。基于虚拟交换机的ACL控制策略的实现方案,存在可配置策略不够丰富、灵活及控制策略无法识别业务层数据的不足的缺点;而基于虚机的防火墙软件,存在组网要求苛刻、配置策略复杂以及存在性能瓶颈等缺点。
【发明内容】
[0003]本发明要解决的技术问题是,提供一种分布式虚拟防火墙装置及方法,用以解决现有技术中存在可配置策略不够丰富、灵活及控制策略无法识别业务层数据的不足等问题。
[0004]一方面,本发明提供了所述防火墙控制器,部署在云计算管理节点上,将配置信息和防火墙策略信息下发给所述防火墙模块;
[0005]所述防火墙模块,部署在主机节点上,根据接收到的所述配置信息和所述防火墙策略信息,对虚拟交换机vSwitch中的网络流量进行过滤或转发。
[0006]进一步的,所述防火墙控制器,还用于接收用户设置的防火墙策略信息,将满足预设条件的所述防火墙策略信息发送给所述防火墙模块。
[0007]进一步的,所述将满足预设条件的所述防火墙策略信息发送给所述防火墙模块,包括:
[0008]所述防火墙控制器将所述防火墙策略信息与预设的实施性标准进行比较,当所述防火墙策略信息符合所述实施性标准时,所述防火墙控制器将所述防火墙策略信息发送给所述防火墙模块。
[0009]进一步的,所述防火墙控制器将所述防火墙策略信息与预设的实施性标准进行比较,包括:
[0010]所述防火墙控制器采用递归树Trie的方式将所述防火墙策略信息与所述预设的实施性标准进行比较。
[0011]进一步的,所述防火墙控制器通过Rest API接口或代理程序执行命令行接口,将所述配置信息和所述防火墙策略信息下发给所述防火墙模块;所述防火墙模块通过钩子函数hook抓取所述vSwitch中的网络流量。
[0012]另一方面,本发明还提供一种分布式虚拟防火墙方法,包括:
[0013]将配置信息和防火墙策略信息下发给防火墙模块;
[0014]根据接收到的所述配置信息和所述防火墙策略信息,对虚拟交换机vSwitch中的网络流量进行检测过滤。
[0015]进一步的,所述方法还包括:接收用户设置的防火墙策略信息,将满足预设条件的防火墙策略信息发送给所述防火墙模块。
[0016]进一步的,所述将满足预设条件的防火墙策略信息发送给所述防火墙模块,包括:
[0017]所述防火墙策略信息与预设的实施性标准进行比较,当所述防火墙策略信息符合所述实施性标准时,将所述防火墙策略信息发送给所述防火墙模块。
[0018]进一步的,所述将所述防火墙策略信息与预设的实施性标准进行比较,包括:
[0019]采用递归树Trie的方式将所述防火墙策略信息与所述预设的实施性标准进行比较。
[0020]进一步的,防火墙控制器通过Rest API接口或代理程序执行命令行接口,将所述配置信息和所述防火墙策略信息下发给所述防火墙模块,所述防火墙模块通过钩子函数hook抓取所述vSwitch中的网络流量。
[0021]采用上述技术方案,本发明至少具有下列优点:
[0022]本发明提供的分布式虚拟防火墙装置及方法,通过防火墙模块根据接收到的配置信息和防火墙策略,可以快速的对虚拟交换机vSwtich上的网络流量进行检测过滤,规避了组网中的性能瓶颈,具有配置策略丰富、灵活等特点。
【附图说明】
[0023]图1为本发明第一实施例中分布式虚拟防火墙装置示意图;
[0024]图2为本发明第二实施例中分布式虚拟防火墙方法的流程图;
[0025]图3为本发明第三实施例中系统部署架构的应用示意图。
【具体实施方式】
[0026]为了解决现有技术中解决现有技术中存在可配置策略不够丰富、灵活及控制策略无法识别业务层数据的不足等问题,本发明提供了一种分布式虚拟防火墙装置及方法,以下结合附图以及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不限定本发明。
[0027]本发明第一实施例,一种分布式虚拟防火墙装置。
[0028]图1为本发明第一实施例中分布式虚拟防火墙装置示意图。
[0029]如图1所示,实施例中本发明提供的分布式虚拟防火墙装置包括:防火墙模块10和防火墙控制器20。
[0030]具体的,实施例中本发明提供的分布式虚拟防火墙装置优选运用在云计算环境中。对于云计算环境中的主机集群,每台主机上部署一个防火墙模块10,在主机集群的控制节点上部署防火墙控制器20,用于对整个集群环境中所有的防火墙模块进行统一管理和策略配置。其中:
[0031]防火墙模块10用于接收防火墙控制器20发送的配置信息和防火墙策略信息,并根据配置信息和防火墙策略信息,对主机虚拟化层内核中运行的虚拟交换机vSwitch中的网络流量进行检测过滤。
[0032]具体的,在云计算环境中,本发明提供的防火墙模块10在主机的虚拟机监视器Hypervisor虚拟化核心层。防火墙模块10在虚拟交换机vSwitch的数据接收统一入口处植入钩子函数hook,防火墙模块10通过hook函数抓取运行在主机虚拟化层内核的虚拟交换机vSwitch的所有虚拟网络流量,并对网络流量进行2-7层的统一检测过滤,实现了云计算网络中东西流量的灵活控制。当hook函数对运行在主机虚拟化层内核的虚拟交换机vSwitch的所有虚拟网络流量抓取处理完成后,对于需要vSwitch正常转发的网络流量,仍然在hook点出交由vSwtich正常转发处理。
[0033]进一步的,实施例中本发明提供的防火墙模块10不仅支持对网络协议报头的处理,也支持根据用户配置的关键字进行处理,以对网络流量内容进行处理并将处理的过程和结果进行记录。
[0034]防火墙控制器20,部署在云计算管理节点上,用于将配置信息和防火墙策略信息下发给所述防火墙模块10。
[0035]具体的,实施例中防火墙控制器20通过表述性状态转移Rest API接口或通过代理程序执行命令接口,对防火墙模块10进行配置信息和防火墙策略的下发。其中,防火墙控制器20还用于接收用户或云计算管理节点的防火墙策略信息,将满足预设条件的所述防火墙策略信息发送给防火墙模块10。即防火墙控制器20将防火墙策略信息与预设的实施性标准进行比较,当防火墙策略信息符合实施性标准时,防火墙控制器20将防火墙策略信息发送给防火墙模块10。实施例中防火墙控制器20优选采用递归树Trie的方式将防火墙策略信息与预设的实施性标准进行比较,对用户配置防火墙策略请求信息的一致性进行检查,防火墙控制器20进行预分析并且得出可实施性结果后,再将该防火墙策略信息发送到与该策略相关的防火墙模块10,而不是将所有用户配置的防火墙策略信息都发送到所有防火墙模块10,这样就保证了发送到防火墙模块10上的防火墙策略信息的正确性和可实施性,以便防火墙模块10可以按照接收到的防火墙策略信息对网络流量的进行有效的检测过滤。如果用户配置的防火墙策略请求信息没有通过防火墙控制器20预设的实施性标准,那么防火墙控制器20将发送反馈信息给用户,用户可根据反馈信息对防火墙策略请求信息进行修改,以满足防火墙控制器预设的实施性标准。
[0036]进一步的,防火墙控制器20与防火墙模块10在功能上和部署上可完全解耦,保证防火墙控制器20与防火墙模块10均可独立运行。并且还可以配置在防火墙模块10和防火墙控制器20间的心跳,当防火墙模块10检测到防火墙控制器20存在或正常工作时,防火墙模块10与防火墙控制器20建立连接,防火墙模块10接收来自防火墙控制器20发送的配置信息和防火墙策略进行网络流量的检测。当防火墙模块10没有检测到防火墙控制器20或检测到防火墙控制器20没有正常工作时,防火墙模块10可以按照自身的配置信息或用户配置的防火墙策略对网络流量进行检测过滤。
[0037]实施例中本发明提供的防火墙控制器20支持双机主备份方式运行,实现了系统的高可用性。
[0038]本发明第二实施例,一种云计算中分布式虚拟防火墙方法。
[0039]图2为本发明第二实施例中云计算中分布式虚拟防火墙方法的流程图。
[0040]如图2所示,步骤201,将配置信息和防火墙策略的下发给防火墙模块。
[0041]具体的,本发明提供的云计算中分布式虚拟防火墙优选运用在云计算环境中。对于云计算环境中的主机集群,每