实现虚拟防火墙的方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全领域,尤其涉及一种实现虚拟防火墙的方法及装置。
【背景技术】
[0002]在传统的解决方案中,当系统需要多套防火墙防护时,一般是部署多台防火墙进行防护。传统的方式是在CE设备前各部署一台防火墙,各自进行管理及配置,比如在MPLSVPN网络中,各VPN之间需要做安全保护,传统的解决方案存在明显的不足:
[0003]企业需要部署和管理多台独立防火墙,导致拥有和维护成本较高,网络管理的复杂度较大;集中放置的多个独立防火墙将占用较多的机架空间,并且给综合布线带来额外的复杂度;由于业务的发展,MPLS VPN或者VLAN的划分可能会发生新的变化,MPLS VPN或者VLAN是逻辑的实现,仅仅改动配置即可方便满足该需求。而传统防火墙需要发生物理上的变化,对用户后期备件以及管理造成很大的困难。
【发明内容】
[0004]本发明提供一种实现虚拟防火墙的方法及装置,主要目的在于解决如何在单一的硬件平台上实现多个虚拟防火墙实例的技术问题。
[0005]为实现上述目的,本发明提供的一种实现虚拟防火墙的方法,所述方法包括:
[0006]根据接收到的数据流量的第一信息获取虚拟防火墙实例的标识;
[0007]在根据所述数据流量的第二信息无法查找到与所述数据流量匹配的会话表项的情况下,根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组;
[0008]根据所述数据流量、所述虚拟防火墙的配置参数以及所述ACL规则组生成会话表项,并将所述数据流量中的会话的相关安全服务参数保存在所述会话表项中。
[0009]优选地,所述第一信息至少包括所述数据流量的报文中的五元组、VLAN信息或者IP信息;所述第二信息至少包括所述数据流量的报文中的五元组。
[0010]优选地,所述根据接收到的数据流量的第一信息获取虚拟防火墙实例的标识,包括:
[0011]判断是否能根据所述数据流量的接口信息和预先存储的接口映射表,获取所述虚拟防火墙实例的标识,所述接口映射表包括所述数据流量的接口信息和所述虚拟防火墙实例的标识之间的对应关系;若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组。
[0012]优选地,所述若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组之后,还包括:
[0013]若否,则判断是否能根据所述数据流量的第一报文信息和预先存储的VLAN映射表,获取所述虚拟防火墙实例的标识,所述第一报文信息至少包括VLAN信息,所述VLAN映射表包括所述数据流量的VLAN信息和所述虚拟防火墙实例的标识之间的对应关系;若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组;
[0014]优选地,所述若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组之后,还包括:
[0015]若否,则判断是否能根据所述数据流量的第一报文信息、预先存储的第一 VPN映射表和预先存储的第二 VPN映射表,获取所述虚拟防火墙实例的标识,所述第一报文信息至少包括VLAN信息,所述第一 VPN映射表包括所述VLAN信息和VPN信息的对应关系,所述第二VPN映射表包括所述VPN信息和所述虚拟防火墙实例的标识之间的对应关系;若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组;
[0016]优选地,所述若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组之后,还包括:
[0017]若否,则判断是否能根据所述数据流量的第二报文信息和所述预先存储的IP映射表,获取所述虚拟防火墙实例的标识,所述第二报文信息至少包括IP地址,所述IP映射表包括所述IP地址与所述IP地址经HASH运算得到的所述虚拟防火墙实例的标识之间的对应关系;若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组。
[0018]优选地,所述根据接收到的数据流量的第一信息获取虚拟防火墙实例的标识之后,包括:
[0019]根据所述第二信息查找与所述数据流量匹配的会话表项;
[0020]所述根据所述第二信息查找与所述数据流量匹配的会话表项,包括:
[0021]对所述第二信息进行HASH运算得到值H,所述值H的低N比特用于查找CAM表的索引,所述值H的高N比特用于查找所述CAM表的标识;
[0022]若能与预先存储的CAM表匹配,则获取匹配到的所述CAM表的内容,并根据所述内容与所述第二信息进行匹配,若相同,则确定根据所述第二信息能查找与所述数据流量匹配的会话表项;若不同,则确定根据所述第二信息无法查找与所述数据流量匹配的会话表项;
[0023]若无法与预先存储的CAM表匹配,则确定根据所述第二信息无法查找与所述数据流量匹配的会话表项。
[0024]优选地,所述方法还包括:
[0025]在创建虚拟防火墙实例VFWv时,将总资源池PA中的资源总队列QA中的资源对象先执行出队操作,再入队操作到资源队列Qv ;
[0026]在删除所述虚拟防火墙实例VFWv时,将资源池Pv中的资源队列Qv中的资源对象先执行出队操作,再入队操作到资源总队列QA ;
[0027]其中,所述Qv为所述虚拟防火墙实例的资源池的每一个类型中的一个队列或者栈;所述QA为所述虚拟防火墙实例的资源池的每一个类型对应的资源;所述PA为所述虚拟防火墙实例的总资源池;所述Pv为所述虚拟防火墙实例VFWv对应的资源池中的资源。
[0028]此外,为实现上述目的,本发明还提供一种实现虚拟防火墙的装置,所述装置包括:
[0029]获取单元,用于根据接收到的数据流量的第一信息获取虚拟防火墙实例的标识;
[0030]第一查找单元,用于在根据所述数据流量的第二信息无法查找到与所述数据流量匹配的会话表项的情况下,根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组;
[0031]生成单元,用于根据所述数据流量、所述虚拟防火墙的配置参数以及所述ACL规则组生成会话表项,并将所述数据流量中的会话的相关安全服务参数保存在所述会话表项中。
[0032]优选地,所述第一信息至少包括所述数据流量的报文中的五元组、VLAN信息或者IP信息;所述第二信息至少包括所述数据流量的报文中的五元组。
[0033]优选地,所述获取单元,用于:
[0034]判断是否能根据所述数据流量的接口信息和预先存储的接口映射表,获取所述虚拟防火墙实例的标识,所述接口映射表包括所述数据流量的接口信息和所述虚拟防火墙实例的标识之间的对应关系;若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组。
[0035]优选地,所述获取单元,还用于:
[0036]若否,则判断是否能根据所述数据流量的第一报文信息和预先存储的VLAN映射表,获取所述虚拟防火墙实例的标识,所述第一报文信息至少包括VLAN信息,所述VLAN映射表包括所述数据流量的VLAN信息和所述虚拟防火墙实例的标识之间的对应关系;若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组。
[0037]优选地,所述获取单元,还用于:
[0038]若否,则判断是否能根据所述数据流量的第一报文信息、预先存储的第一 VPN映射表和预先存储的第二 VPN映射表,获取所述虚拟防火墙实例的标识,所述第一报文信息至少包括VLAN信息,所述第一 VPN映射表包括所述VLAN信息和VPN信息的对应关系,所述第二VPN映射表包括所述VPN信息和所述虚拟防火墙实例的标识之间的对应关系;若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组。
[0039]优选地,所述获取单元,还用于:
[0040]若否,则判断是否能根据所述数据流量的第二报文信息和所述预先存储的IP映射表,获取所述虚拟防火墙实例的标识,所述第二报文信息至少包括IP地址,所述IP映射表包括所述IP地址与所述IP地址经HASH运算得到的所述虚拟防火墙实例的标识之间的对应关系;若是,则执行根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组。
[0041]优选地,所述装置还包括第二查找单元,用于:
[0042]根据所述第二信息查找与所述数据流量匹配的会话表项;
[0043]所述第二查找单元,用于:
[0044]对所述第二信息进行HASH运算得到值H,所述值H的低N比特用于查找CAM表的索引,所述值H的高N比特用于查找所述CAM表的标识;
[0045]若能与预先存储的CAM表匹配,则获取匹配到的所述CAM表的内容,并根据所述内容与所述第二信息进行匹配,若相同,则确定根据所述第二信息能查找与所述数据流量匹配的会话表项;若不同,则确定根据所述第二信息无法查找与所述数据流量匹配的会话表项;
[0046]若无法与预先存储的CAM表匹配,则确定根据所述第二信息无法查找与所述数据流量匹配的会话表项。
[0047]优选地,所述装置还包括:
[0048]创建单元,用于在创建虚拟防火墙实例VFWv时,将总资源池PA中的资源总队列QA中的资源对象先执行出队操作,再入队操作到资源队列Qv ;
[0049]删除单元,用于在删除所述虚拟防火墙实例VFWv时,将资源池Pv中的资源队列Qv中的资源对象先执行出队操作,再入队操作到资源总队列QA ;
[0050]其中,所述Qv为所述虚拟防火墙实例的资源池的每一个类型中的一个队列或者栈;所述QA为所述虚拟防火墙实例的资源池的每一个类型对应的资源;所述PA为所述虚拟防火墙实例的总资源池;所述Pv为所述虚拟防火墙实例VFWv对应的资源池中的资源。
[0051]本实施例通过根据接收到的数据流量的第一信息获取虚拟防火墙实例的标识;在根据所述数据流量的第二信息无法查找到与所述数据流量匹配的会话表项的情况下,根据所述虚拟防火墙实例的标识查找所述虚拟防火墙的配置参数,并根据所述数据流量的报文信息查找ACL规则组;根据所述数据流量、所述虚拟防火墙的配置参数以及所述ACL规则组生成会话表项,并将所述数据流量中的会话的相关安全服务参数保存在所述会话表项中,从而可以实现通过它可将一个物理防火墙划分为多个逻辑防火墙来用,每个逻辑防火墙可以独立申请资源,并配置不同的安全策略,以满足用户不同的安全需求;同时,本发明提供了一种在一个单一的硬件平台上实现多个