一种虚拟防火墙划分方法和装置的制造方法

一种虚拟防火墙划分方法和装置的制造方法
【专利摘要】本发明公开了一种虚拟防火墙划分方法，将物理防火墙根系统内核划分一个以上的命名空间，并确定为不同的虚拟系统；为各虚拟系统分别配置网络资源，并为各虚拟系统分别创建网络策略配置；所述网络资源包括物理接口，所述物理接口用于区分进入网络资源的数据包对应的虚拟系统；这样，当数据包进入网络资源的物理接口时，可以根据数据包进入网络资源的物理接口，确定所述物理接口对应的虚拟系统，并采用对应的虚拟系统的网络策略配置处理所述数据包。本发明还公开了一种虚拟防火墙划分装置。
【专利说明】
一种虚拟防火墙划分方法和装置
技术领域
[0001 ]本发明涉及虚拟防火墙技术，尤其涉及一种虚拟防火墙划分方法和装置。
【背景技术】
[0002]随着企业业务规模的不断扩张，各业务部门的职能和权责划分也越来越清晰，各业务部门拥有与其业务对应的不同安全级别的网络访问权限，针对不同安全级别的网络访问权限需要有不同的防火墙来控制管理;而简单增加物理防火墙，显然会提高投入成本。因此，虚拟防火墙应运而生。所谓虚拟防火墙，是通过虚拟技术从物理防火墙中逻辑地划分出的防火墙;可以在一台物理防火墙上运行多个防火墙的实例，每个虚拟防火墙可以看作是一台独立的设备;采用虚拟防火墙能极大减少企业的防火墙投入成本。
[0003]现有的虚拟防火墙采用的技术方案有:一、在物理防火墙基础上添加多台虚拟防火墙，根据不同虚拟防火墙和可识别网络标识符，对报文进行重新封装和解封处理。二、物理防火墙与多台物理服务器连接，通过虚拟机将防火墙逻辑地划分为多台虚拟防火墙，并与不同物理服务器连接。
[0004]但是，现有虚拟防火墙都需要占用独立的硬件资源;并且在发送报文时需要对报文进行重新封装，接收报文时需要对报文进行解封装，加长了处理时间。
[0005]因此，如何建立一种虚拟防火墙，能有效提高硬件资源的利用率、缩短报文处理时间，是亟待解决的问题。

【发明内容】

[0006]有鉴于此，本发明实施例期望提供一种虚拟防火墙划分方法和装置，能在物理防火墙基础上方便地建立虚拟防火墙，便于管理，并能有效提高硬件资源的利用效率、缩短报文处理时间。
[0007]为达到上述目的，本发明的技术方案是这样实现的:
[0008]本发明实施例提供了一种虚拟防火墙划分方法，所述方法包括:
[0009]将物理防火墙根系统内核划分一个以上的命名空间，并确定为不同的虚拟系统；
[0010]为各虚拟系统分别配置网络资源，并为所述各虚拟系统分别创建网络策略配置，所述网络资源包括物理接口 ；
[0011]所述物理接口用于确定进入网络资源的数据包对应的虚拟系统，并由所述对应虚拟系统的网络策略配置处理所述数据包。
[0012]上述方案中，所述方法还包括:根据所述命名空间的标识，采用套接字分别建立所述各虚拟系统对应的通信通道。
[0013]上述方案中，所述为所述各虚拟系统分别创建网络策略配置，包括:
[0014]通过所述通信通道访问对应的虚拟系统，配置所述对应的虚拟系统的网络策略配置，并将所述网络策略配置保存到中间件；
[0015]生效所述网络策略配置，并下发到所述对应的虚拟系统的内核。
[0016]上述方案中，所述将所述网络策略配置保存到中间件，包括:
[0017]将所述各虚拟防火墙的网络策略配置分别保存到所述中间件不同的路径中。
[0018]上述方案中，所述将物理防火墙根系统内核划分一个以上的命名空间，包括:将物理防火墙根系统内核划分一个以上的网络命名空间。
[0019]本发明实施例还提供了一种虚拟防火墙划分装置，所述装置包括:划分模块、第一配置模块;其中，
[0020]所述划分模块，用于将物理防火墙根系统内核划分一个以上的命名空间，并确定为不同的虚拟系统；
[0021]所述第一配置模块，用于为各虚拟系统分别配置网络资源，并为所述各虚拟系统创建网络策略配置，所述网络资源包括物理接口 ；
[0022]所述物理接口用于确定进入网络资源的数据包对应的虚拟系统，并由所述对应虚拟系统的网络策略配置处理所述数据包。
[0023]上述方案中，所述装置还包括:第二配置模块，用于根据所述命名空间的标识，采用套接字分别建立所述各虚拟系统的对应的通信通道。
[0024]上述方案中，所述第一配置模块，具体用于:
[0025]通过所述通信通道访问对应的虚拟系统，配置所述对应的虚拟系统的网络策略配置，并将所述网络策略配置保存到中间件；
[0026]生效所述网络策略配置，并下发到所述对应的虚拟系统的内核；
[0027]所述第一配置模块，还用于将所述各虚拟防火墙的网络策略配置分别保存到所述中间件不同的路径中。
[0028]上述方案中，所述划分模块，具体用于将物理防火墙根系统内核划分一个以上的网络命名空间。
[0029]本发明实施例所提供的虚拟防火墙划分方法和装置，将物理防火墙根系统内核划分一个以上的命名空间，并确定为不同的虚拟系统;为各虚拟系统分别配置网络资源，并为各虚拟系统分别创建网络策略配置;所述网络资源包括物理接口，所述物理接口用于区分进入网络资源的数据包对应的虚拟系统;这样，当数据包进入网络资源的物理接口时，可以根据数据包进入网络资源的物理接口，确定所述物理接口对应的虚拟系统，并采用对应的虚拟系统的网络策略配置处理所述数据包。如此，通过命名空间方式建立的各虚拟系统作为多个虚拟防火墙，能共享系统资源，提高了系统资源的利用率;并且，根据数据包进入接口对应的虚拟系统的网络策略配置处理数据包，无需再对数据包进行封装和解封装，缩短了报文处理时间。
【附图说明】
[0030]图1为本发明实施例虚拟防火墙划分方法的流程示意图；
[0031 ]图2为本发明实施例配置虚拟防火墙步骤的流程示意图；
[0032]图3为本发明实施例创建虚拟防火墙步骤的流程示意图；
[0033]图4为本发明实施例虚拟防火墙划分装置的组成结构示意图。
【具体实施方式】
[0034]本发明实施例中，将物理防火墙根系统内核划分一个以上的命名空间，并确定为不同的虚拟系统;为各虚拟系统分别配置网络资源，并为各虚拟系统分别创建网络策略配置;所述物理接口用于确定进入网络资源的数据包对应的虚拟系统，并由所述对应虚拟系统的网络策略配置处理所述数据包。
[0035]下面结合实施例对本发明再作进一步详细的说明。
[0036]本发明实施例提供的虚拟防火墙划分方法，如图1所示，所述方法包括:
[0037]步骤101:将物理防火墙根系统内核划分一个以上的命名空间，并确定为不同的虚拟系统；
[0038]通常，物理防火墙采用Linux作为操作系统，Linux可以支持六种不同类型的命名空间，多个命名空间共同使用一个内核，并在一台物理计算机上运行;命名空间提供的是对全局资源的一种抽象，将资源分别放到不同的容器中，各容器彼此隔离；如此，用户创建的进程能够与硬件系统分离得更加彻底，从而不需要使用更多的底层虚拟化技术。因此，可以采用命名空间方式建立虚拟系统，使得各个命名空间的资源利用率更高;其中，六种不同的命名空间包括:挂接(mount)命名空间、UNIX分时系统(UTS，UNIX Timesharing System)命名空间、进程间通信(IPC，Inter-Process Communicat1n)命名空间、用户命名空间、进程控制(PID ProcessIdentifier)命名空间、网络命名空间；
[0039]这里，可以将物理防火墙根系统内核划分一个以上的命名空间，其中，所述命名空间可以是网络命名空间;将划分的各命名空间确定为虚拟系统;如此，所述各虚拟系统可以共享全局资源，并且独立运行、相互隔离。在创建虚拟系统时，先在物理防火墙根系统内核中创建一个虚拟的网络层，相当于对物理防火墙根系统的一个复制，以此来进行网络隔离。
[0040]步骤102:为各虚拟系统分别配置网络资源，并为各虚拟系统分别创建网络策略配置；
[0041]这里，划分虚拟系统后，为各虚拟系统分配相应的网络资源，所述网络资源包括:物理接口等，所述物理接口可以是以太网网口或网纤口等；由于虚拟系统是相互隔离的，因此，分配的所述网络资源只有与其对应的虚拟系统可以进行访问控制。
[0042]实际应用中，可以在物理防火墙根系统中创建虚拟系统，在创建虚拟系统之前，先进入到物理防火墙根系统中，并在物理防火墙根系统中创建多份虚拟系统;在创建虚拟系统时，先在内核中创建一个虚拟的网络层，相当于对物理防火墙根系统的一个复制，以此来进行网络隔离;然后将相应网络资源，如物理接口等，划分给虚拟系统。其中，创建的虚拟系统可以由内核、用户态和界面构成。
[0043]创建各虚拟系统后，可以为各虚拟系统创建网络策略配置，使所述虚拟系统成为具有虚拟防火墙功能。其中，所述网络策略配置包括:路由、会话、过滤策略等;可以采用用户界面通过各虚拟系统对应的通信通道创建网络策略配置；由于每个命名空间都有一个独立的标识，因此，可以根据虚拟系统的标识建立对应的通信通道来访问对应的虚拟系统;这里，可以采用套接字分别建立与各虚拟防火墙的对应的通信通道;通过访问不同的通信通道，可以在根系统和虚拟系统之间、虚拟系统和虚拟系统之间切换;并且，切换前的系统与切换后的系统，在功能和配置上相互不影响。
[0044]实际应用中，创建虚拟系统的网络策略配置的步骤，如图2所示，包括:
[0045]步骤1021:进入虚拟系统；
[0046]这里，所述虚拟系统指任意一个虚拟系统，可通过虚拟系统对应的通信通道进入虚拟系统中；
[0047]步骤1022:建立会话；
[0048]这里，先设置环境变量，然后建立会话，创建所述网络策略配置；
[0049]步骤1023:保存配置；
[0050]其中，所述保存是将配置传递到中间件，并保存在所述中间件对应路径中；这里，所述中间件是用来专门保存防火墙的配置的，并完成和界面以及内核的通信；
[0051 ] 步骤1024:切换上下文环境；
[0052]步骤1025:将配置下发到内核；
[0053]这里，需要生效配置逻辑，并传递到虚拟系统的内核中。
[0054]各虚拟系统可以共用同一网络策略配置模板，创建的网络策略配置可以保存在中间件的不同路径中；各虚拟系统根据自身的网络策略配置开启相应的进程与服务等，保证各虚拟系统独立不可见性。这里，可以采用vyatta软件来保存配置同时执行生效逻辑。
[0055]如此，虚拟系统结合网络资源和网络策略配置组成了虚拟防火墙;虚拟防火墙根据数据包进入的所述网络资源中的物理接口，确定所述物理接口对应的虚拟系统，根据所述对应的虚拟系统的网络策略配置处理所述数据包；
[0056]这里，由于所述物理接口属于相应的虚拟系统，并且各虚拟系统是互相隔离的；因此，每个物理接口都对应于自身所属虚拟系统中的网络策略配置;发送到某个物理接口的数据包可以直接采用该物理接口对应的网络策略配置进行处理，不需要进行解包判断网络标识符再封包的步骤;因此可以缩短报文处理时间。
[0057 ]下面结合具体示例对本发明起到作用作进一步详细的描述
[0058]实际应用中，仓Il建虚拟防火墙的具体步骤，如图3所示，包括:
[0059]步骤301:进入物理防火墙根系统(root);
[0060]这里，由于虚拟防火墙只能在物理防火墙根系统中进行创建，因此，在创建虚拟系统之前，必须先进入到物理防火墙根系统中；
[0061 ] 步骤302:创建虚拟系统；
[0062]具体的，在物理防火墙根系统中可以创建多份虚拟系统，并将相应资源，如物理接口，划分给虚拟系统；
[0063]步骤303:创建网络策略配置，并隔离路径保存；
[0064]这里，所述隔离路径保存是指:将创建的网络策略配置保存在中间件的不同路径中；虚拟系统之间可以共用同一配置模板，但保存路径不同，以起到隔离效果；
[0065]步骤304:开启相应服务和进程，生效保存的网络策略配置；
[0066]步骤305:下发内核；
[0067]这里，将生效的网络策略配置发送到虚拟系统的内核;进一步的，虚拟系统结合网络策略配置可形成一个虚拟防火墙。
[0068]下面结合具体应用场景对本发明实施例起到作用作进一步详细的描述。
[0069]应用场景一:将一台独立的防火墙隔离成多个虚拟防火墙，以供多个企业使用，每个企业有完全隔离的资源系统，各自有各自的独立物理接口，业务流量完全独立；
[0070]这里，当有数据包进入到某个物理接口时，通过数据包所接入的物理接口即可获知该数据包是属于哪个虚拟防火墙的，接出物理接口也在此虚拟防火墙内部，所以，虚拟防火墙可以独立处理此流量。
[0071]应用场景二:将一台独立的防火墙隔离成多个虚拟防火墙，以供一个企业内部的多个业务部门使用，而多个业务部门之间共用一个接出物理接口访问外部网络；
[0072]这种场景下，可以将访问外部网络的接出物理接口分配到物理防火墙根系统组成的根防火墙中，当有数据包进到虚拟防火墙的某个物理接口时，通过数据包所接入物理接口即可获知该数据包是属于哪个虚拟防火墙的，但最后的接出物理接口属于根防火墙，所以，此流量经过虚拟防火墙和根防火墙的虚接口传输到根防火墙，最终由根防火墙接出物理接口发送到外部网络。其中，所述虚接口为划分虚拟空间后，建立的根系统与虚拟系统之间的数据通道，可以通过Linux系统自身提供的功能实现。每个数据包首先进入到对应的虚拟防火墙中，再根据会话、防火墙策略等来决定该数据包的下一个动作。
[0073]本发明实施例提供的虚拟防火墙划分装置，如图4所示，所述装置包括:划分模块41、第一配置模块42;其中，
[0074]所述划分模块41，用于将物理防火墙根系统内核划分一个以上的命名空间，并确定为不同的虚拟系统；
[0075]通常，物理防火墙采用Linux作为操作系统，Linux可以支持六种不同类型的命名空间，多个命名空间共同只使用一个内核，并在一台物理计算机上运行;命名空间提供的是对全局资源的一种抽象，将资源分别放到不同的容器中，各容器彼此隔离;如此，用户创建的进程能够与硬件系统分离得更加彻底，从而不需要使用更多的底层虚拟化技术。因此，可以采用命名空间方式建立虚拟系统，使得各个命名空间的资源利用率更高;其中，六种不同的命名空间包括:mount命名空间、UTS命名空间、IPC命名空间、用户命名空间、PID命名空间、网络命名空间；
[0076]这里，可以将物理防火墙根系统内核划分一个以上的命名空间，其中，所述命名空间可以是网络命名空间;将划分的各命名空间确定为虚拟系统;如此，所述各虚拟系统可以共享全局资源，并且独立运行、相互隔离。在创建虚拟系统时，先在物理防火墙根系统内核中创建一个虚拟的网络层，相当于对物理防火墙根系统的一个复制，以此来进行网络隔离。
[0077]所述第一配置模块42，用于为各虚拟系统分别配置网络资源，并为各虚拟系统分别创建网络策略配置；
[0078]这里，划分虚拟系统后，为各虚拟系统分配相应的网络资源，所述网络资源包括:物理接口等，所述物理接口可以是以太网网口或网纤口等；由于虚拟系统是相互隔离的，因此，分配的所述网络资源只有与其对应的虚拟系统可以进行访问控制。
[0079]实际应用中，可以在物理防火墙根系统中创建虚拟系统，在创建虚拟系统之前，先进入到物理防火墙根系统中，并在物理防火墙根系统中创建多份虚拟系统;在创建虚拟系统时，先在内核中创建一个虚拟的网络层，相当于对物理防火墙根系统的一个复制，以此来进行网络隔离;然后将相应网络资源，如物理接口等，划分给虚拟系统。其中，创建的虚拟系统可以由内核、用户态和界面构成。
[0080]创建各虚拟系统后，可以为各虚拟系统创建网络策略配置，使所述虚拟系统成为具有虚拟防火墙功能。其中，所述网络策略配置包括:路由、会话、过滤策略等;可以采用用户界面通过各虚拟系统对应的通信通道创建网络策略配置；
[0081]本发明实施例提供的虚拟防火墙划分装置，还可以包括第二配置模块43，用于建立通信通道；由于每个命名空间都有一个独立的标识，因此，可以根据虚拟系统的标识建立对应的通信通道来访问对应的虚拟系统;这里，可以采用套接字分别建立与各虚拟防火墙的对应的通信通道;通过访问不同的通信通道，可以在根系统和虚拟系统之间，虚拟系统和虚拟系统之间切换;并且，切换前的系统与切换后的系统，在功能和配置上相互不影响。
[0082]实际应用中，创建虚拟系统的网络策略配置的步骤，如图2所示，包括:
[0083]步骤1021:进入虚拟系统；
[0084]这里，所述虚拟系统指人一个虚拟系统，可通过虚拟系统对应的通信通道进入虚拟系统中；
[0085]步骤1022:建立会话；
[0086]这里，先设置环境变量，然后建立会话，创建所述网络策略配置；
[0087]步骤1023:保存配置；
[0088]其中，所述保存是将配置传递到中间件，并保存在所述中间件对应路径中；这里，所述中间件是用来专门保存防火墙的配置的，并完成和界面以及内核的通信；
[0089]步骤1024:切换上下文环境；
[0090]步骤1025:将配置下发到内核；
[0091 ]这里，需要生效配置逻辑，并传递到虚拟系统的内核中。
[0092]各虚拟系统可以共用同一网络策略配置模板，创建的网络策略配置可以保存在中间件的不同路径中；各虚拟系统根据自身的网络策略配置开启相应的进程与服务等，保证各虚拟系统独立不可见性。这里，可以采用vyatta软件来保存配置同时执行生效逻辑。
[0093]如此，虚拟系统结合网络资源和网络策略配置组成了虚拟防火墙;虚拟防火墙根据数据包进入的所述网络资源中的物理接口，确定所述接口对应的虚拟系统，根据所述对应的虚拟系统的网络策略配置处理所述数据包。
[0094]这里，由于所述物理接口属于相应的虚拟系统，并且各虚拟系统是互相隔离的；因此，每个物理接口都对应于自身所属虚拟系统中的网络策略配置;发送到物理接口的数据包可以直接采用该物理接口对应的网络策略配置进行处理，不需要进行解包判断网络标识符再封包的步骤;因此可以缩短报文处理时间。
[0095]在实际应用中，所述划分模块41、第一配置模块42和第二配置模块43均可由物理防火墙中的中央处理器(CPU)、微处理器(MPU)、数字信号处理器(DSP)、或现场可编程门阵列(FPGA)等实现。
[0096]以上所述，仅为本发明的佳实施例而已，并非用于限定本发明的保护范围，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。
【主权项】
1.一种虚拟防火墙划分方法，其特征在于，所述方法包括: 将物理防火墙根系统内核划分一个以上的命名空间，并确定为不同的虚拟系统； 为各虚拟系统分别配置网络资源，并为所述各虚拟系统分别创建网络策略配置，所述网络资源包括物理接口； 所述物理接口用于确定进入网络资源的数据包对应的虚拟系统，并由所述对应虚拟系统的网络策略配置处理所述数据包。2.根据权利要求1所述的方法，其特征在于，所述方法还包括:根据所述命名空间的标识，采用套接字分别建立所述各虚拟系统对应的通信通道。3.根据权利要求2所述的方法，其特征在于，所述为所述各虚拟系统分别创建网络策略配置，包括: 通过所述通信通道访问对应的虚拟系统，配置所述对应的虚拟系统的网络策略配置，并将所述网络策略配置保存到中间件； 生效所述网络策略配置，并下发到所述对应的虚拟系统的内核。4.根据权利要求3所述的方法，其特征在于，所述将所述网络策略配置保存到中间件，包括: 将所述各虚拟防火墙的网络策略配置分别保存到所述中间件不同的路径中。5.根据权利要求1至4任一项所述的方法，其特征在于，所述将物理防火墙根系统内核划分一个以上的命名空间，包括:将物理防火墙根系统内核划分一个以上的网络命名空间。6.一种虚拟防火墙划分装置，其特征在于，所述装置包括:划分模块、第一配置模块;其中， 所述划分模块，用于将物理防火墙根系统内核划分一个以上的命名空间，并确定为不同的虚拟系统； 所述第一配置模块，用于为各虚拟系统分别配置网络资源，并为所述各虚拟系统创建网络策略配置，所述网络资源包括物理接口 ； 所述物理接口用于确定进入网络资源的数据包对应的虚拟系统，并由所述对应虚拟系统的网络策略配置处理所述数据包。7.根据权利要求6所述的装置，其特征在于，所述装置还包括:第二配置模块，用于根据所述命名空间的标识，采用套接字分别建立所述各虚拟系统的对应的通信通道。8.根据权利要求7所述的装置，其特征在于，所述第一配置模块，具体用于: 通过所述通信通道访问对应的虚拟系统，配置所述对应的虚拟系统的网络策略配置，并将所述网络策略配置保存到中间件； 生效所述网络策略配置，并下发到所述对应的虚拟系统的内核； 所述第一配置模块，还用于将所述各虚拟防火墙的网络策略配置分别保存到所述中间件不同的路径中。9.根据权利要求6至8任一项所述的装置，其特征在于，所述划分模块，具体用于将物理防火墙根系统内核划分一个以上的网络命名空间。
【文档编号】H04L29/06GK105939356SQ201610421252
【公开日】2016年9月14日
【申请日】2016年6月13日
【发明人】陈鑫, 金科, 张洪钏, 董浩波, 曾琳
【申请人】北京网康科技有限公司