台主机上都部署一个防火墙模块,在主机集群的控制节点上部署防火墙控制器,用于对整个集群环境中所有的防火墙模块进行统一管理和策略配置。
[0042]实施中优选防火墙控制器通过表述性状态转移Rest API接口或通过代理程序执行命令接口,对防火墙模块进行配置信息和防火墙策略的下发。其中,防火墙控制器还接收用户或云计算管理节点的防火墙策略信息,将满足预设条件的所述防火墙策略信息发送给防火墙模块。防火墙控制器将防火墙策略信息与预设的实施性标准进行比较,当防火墙策略信息符合实施性标准时,防火墙控制器将防火墙策略信息发送给防火墙模块。实施例中防火墙控制器优选采用递归树Trie的方式将防火墙策略信息与预设的实施性标准进行比较,对用户配置防火墙策略请求信息的一致性进行检查,防火墙控制器进行预分析并且得出可实施性结果后,再将该防火墙策略信息发送到与该策略相关的防火墙模块,而不是将所有用户配置的防火墙策略信息都发送到所有防火墙模块,这样就保证了发送到防火墙模块上的防火墙策略信息的正确性和可实施性,以便防火墙模块可以按照接收到的防火墙策略信息对网络流量的进行有效的检测过滤。如果用户配置的防火墙策略请求信息没有通过防火墙控制器预设的实施性标准,那么防火墙控制器将发送反馈信息给用户,用户可根据反馈信息对防火墙策略请求信息进行修改,以满足防火墙控制器预设的实施性标准。
[0043]步骤202,根据接收到的所述配置信息和所述防火墙策略,对虚拟交换机vSwitch中的网络流量进行检测过滤。
[0044]具体的,在云计算环境中,本发明提供的防火墙模块基于主机的虚拟机监视器Hypervisor虚拟化核心层。防火墙模块在虚拟交换机vSwitch的数据接收统一入口处植入钩子函数hook,防火墙模块通过hook函数抓取运行在主机虚拟化层内核的虚拟交换机vSwitch的所有虚拟网络流量,并对网络流量进行2-7层的统一检测过滤,实现云计算网络中东西流量的灵活控制。当hook函数对运行在主机虚拟化层内核的虚拟交换机vSwitch的所有虚拟网络流量抓取处理完成后,对于需要vSwitch正常转发的网络流量,仍然在hook点出交由vSwtich正常转发处理。
[0045]进一步的,实施例中本发明提供的防火墙模块不仅支持对网络协议报头的处理,也支持根据用户配置的关键字进行处理,以对网络流量内容进行处理并将处理结果进行记录。
[0046]进一步的,防火墙控制器与防火墙模块在功能上和部署上可完全解耦,保证防火墙控制器与防火墙模块均可独立运行。并且还可以配置在防火墙模块和防火墙控制器间的心跳,当防火墙模块检测到防火墙控制器存在或正常工作时,防火墙模块与防火墙控制器建立连接,防火墙模块接收来自防火墙控制器发送的配置信息和防火墙策略进行网络流量的检测。当防火墙模块没有检测到防火墙控制器或检测到防火墙控制器没有正常工作时,防火墙模块可以按照自身的配置信息或用户配置的防火墙策略对网络流量进行检测过滤。
[0047]实施例中本发明提供的防火墙控制器支持双机主备份方式运行,实现了系统的高可用性。
[0048]本发明第三实施例,在系统部署架构和具体实现中的应用。
[0049]图3为本发明第三实施例中系统部署架构的应用示意图。
[0050]如图3所示,实施例中上层表示云计算管理节点,在云计算管理节点上部署防火墙控制器。其中,实施例中采用主备的方式,即采用防火墙控制器主机Controll和防火墙控制器备用机Control2的方式进行,使在防火墙主机出现问题的情况下,可以由防火墙备用机运行,保证了整个系统的正常运行。
[0051]在图3所示中的下层为主机节点,在主机节点上部署防火墙模块,其中防火墙模块与对应的虚拟交换机vSwitch相连接。图中优选给出了三个主机节点,在其它实施例中可以有多个主机节点,本发明主机节点的个数不限于此。
[0052]如图3中第一个主机节点所示,防火墙模块FWl根据防火墙控制器Controll下发的配置信息和防火墙策略对虚拟交换机vSwitchl进行网络流量监测过滤,并且防火墙模块FWl还可以根据用户配置的防火墙策略请求信息对虚拟交换机vSwitchl进行网络流量检测过滤。其中,用户配置的防火墙策略信息必须通过防火墙控制器的可实施性预分析才能将用户配置的防火墙策略信息发送给防火墙模块FW1,如果用户配置的防火墙策略信息没有通过防火墙控制器预设的实施性标准,那么防火墙控制器将发送反馈信息给用户,用户可根据反馈信息对防火墙策略请求信息进行修改,以便满足防火墙控制器预设的实施性标准。实施例中,对于其他主机节点上的防火墙模块对虚拟交换机vSwitch的网络流量检测过滤控制过程这里不再一一列举。
[0053]本发明提供的分布式虚拟防火墙装置及方法,通过防火墙模块根据接收到的配置信息和防火墙策略,可以快速的对虚拟交换机vSwtich上的网络流量进行检测过滤,规避了组网中性能瓶颈,具有配置策略丰富、灵活等特点。
[0054]通过【具体实施方式】的说明,应当可对本发明为达成预定目的所采取的技术手段及功效得以更加深入且具体的了解,然而所附图示仅是提供参考与说明之用,并非用来对本发明加以限制。
【主权项】
1.一种分布式虚拟防火墙装置,其特征在于,包括:防火墙控制器和防火墙模块; 所述防火墙控制器,部署在云计算管理节点上,将配置信息和防火墙策略信息下发给所述防火墙模块; 所述防火墙模块,部署在主机节点上,根据接收到的所述配置信息和所述防火墙策略信息,对虚拟交换机VSwitCh中的网络流量进行过滤或转发。2.根据权利要求1所述的分布式虚拟防火墙装置,其特征在于,所述防火墙控制器,还用于接收用户设置的防火墙策略信息,将满足预设条件的所述防火墙策略信息发送给所述防火墙模块。3.根据权利要求2所述的分布式虚拟防火墙装置,其特征在于,所述将满足预设条件的所述防火墙策略信息发送给所述防火墙模块,包括: 所述防火墙控制器将所述防火墙策略信息与预设的实施性标准进行比较,当所述防火墙策略信息符合所述实施性标准时,所述防火墙控制器将所述防火墙策略信息发送给所述防火墙模块。4.根据权利要求3所述的分布式虚拟防火墙装置,其特征在于,所述防火墙控制器将所述防火墙策略信息与预设的实施性标准进行比较,包括: 所述防火墙控制器采用递归树Trie的方式将所述防火墙策略信息与所述预设的实施性标准进行比较。5.根据权利要求1所述的分布式虚拟防火墙装置,其特征在于,所述防火墙控制器通过Rest API接口或代理程序执行命令行接口,将所述配置信息和所述防火墙策略信息下发给所述防火墙模块;所述防火墙模块通过钩子函数hook抓取所述vSwitch中的网络流量。6.一种分布式虚拟防火墙方法,其特征在于,包括: 将配置信息和防火墙策略信息下发给防火墙模块; 根据接收到的所述配置信息和所述防火墙策略信息,对虚拟交换机vSwitch中的网络流量进行检测过滤。7.根据权利要求6所述的分布式虚拟防火墙方法,其特征在于,所述方法还包括:接收用户设置的防火墙策略信息,将满足预设条件的防火墙策略信息发送给所述防火墙模块。8.根据权利要求7所述的分布式虚拟防火墙方法,其特征在于,所述将满足预设条件的防火墙策略信息发送给所述防火墙模块,包括: 所述防火墙策略信息与预设的实施性标准进行比较,当所述防火墙策略信息符合所述实施性标准时,将所述防火墙策略信息发送给所述防火墙模块。9.根据权利要求8所述的分布式虚拟防火墙方法,其特征在于,所述将所述防火墙策略信息与预设的实施性标准进行比较,包括: 采用递归树Trie的方式将所述防火墙策略信息与所述预设的实施性标准进行比较。10.根据权利要求6所述的分布式虚拟防火墙方法,其特征在于,防火墙控制器通过Rest API接口或代理程序执行命令行接口,将所述配置信息和所述防火墙策略信息下发给所述防火墙模块,所述防火墙模块通过钩子函数hook抓取所述vSwitch中的网络流量。
【专利摘要】本发明提出了一种分布式虚拟防火墙装置及方法,其装置包括:防火墙控制器和防火墙模块;防火墙控制器部署在云计算管理节点上,将配置信息和防火墙策略信息下发给所述防火墙模块;防火墙模块部署在主机节点上,根据接收到的配置信息和防火墙策略信息,对虚拟交换机vSwitch中的网络流量进行检测过滤。本发明提供的分布式虚拟防火墙装置及方法,通过防火墙模块根据接收到的配置信息和防火墙策略,可以快速的对虚拟交换机vSwtich上的网络流量进行检测过滤,规避了组网中的性能瓶颈,具有配置策略丰富、灵活等特点。
【IPC分类】H04L29/06
【公开号】CN105141571
【申请号】CN201410252561
【发明人】耿兴元, 王良家, 丁杰
【申请人】中兴通讯股份有限公司
【公开日】2015年12月9日
【申请日】2014年6月9日
【公告号】WO2015188579A1