一种应用于云计算网络的waf防火墙配置的制作方法
【专利摘要】本发明涉及一种应用于云计算网络的waf防火墙配置,与互联网连接,包括云计算网络、虚拟交换机、核心物理交换机和旁路waf防火墙,所述的云计算网络通过虚拟网卡与虚拟交换机相连接,所述的虚拟交换机通过trunk通道与核心物理交换机连接,所述的核心物理交换机的一个输出端通过光纤与互联网连接,另一端通过trunk通道与旁路waf防火墙的trust接口连接,所述的旁路waf防火墙的untrust接口过光纤与互联网连接。与现有技术相比,本发明具有结构简单、市场价值高等优点。
【专利说明】-种应用于云计算网络的waf防火墙配置
【技术领域】
[0001] 本发明涉及一种防火墙配置,尤其是涉及一种应用于云计算网络的waf防火墙配 置。
【背景技术】
[0002] 在云计算领域中的基础架构即服务商业模式(IaaS)中,云计算服务商通过云计 算虚拟化操作系统(如Wmware系统,hyper-V系统)把机架式服务器虚拟化成N片虚拟主 机提供web网站服务,将这些虚拟云主机租赁给企业客户使用,客户有时需要实现同一物 理服务器的不同虚拟设备间的访问和控制,然而,由于各个虚拟设备常常是靠共享一个物 理以太网口与互联网相连,而防火墙配置也是基于一个集合端口,当不同虚拟设备间的方 位和控制引流到防火墙后,会出现防火墙无法根据物理端口找到相应域的情况,防火墙也 无法进行策略控制和深度安全处理,所以急需一种既可以合理分配云计算系统的虚拟主机 端口、又可以有效进行防控的防火墙。
[0003] 中国专利03139719.0公开了一种防火墙装置及其设置方法,该防火墙装置包括 防火墙硬件结构和防火墙软件系统,其中该防火墙硬件结构包括至少三个网络端口,该防 火墙软件系统包括一命令行接口、一 WEB管理接口、一设置管理模组、一 Lib共享数据库和 一工具管理模组,存在不适用云计算网络虚拟化成多个虚拟主机的应用场合、无法进行并 行计算处理、可能因单点错误造成服务中断等不足。
【发明内容】
[0004] 本发明的目的就是为了克服上述现有技术存在的缺陷而提供一种结构简单、市场 价值高的应用于云计算网络的waf防火墙配置。
[0005] 本发明的目的可以通过以下技术方案来实现:
[0006] 一种应用于云计算网络的waf防火墙配置,与互联网连接,包括云计算网络、虚拟 交换机、核心物理交换机和旁路waf防火墙,所述的云计算网络通过虚拟网卡与虚拟交换 机相连接,所述的虚拟交换机通过trunk通道与核心物理交换机连接,所述的核心物理交 换机的一个输出端通过光纤与互联网连接,另一端通过trunk通道与旁路waf防火墙的 trust接口连接,所述的旁路waf防火墙的untrust接口过光纤与互联网连接;
[0007] 云计算网络的连接通道经虚拟交换机集中部署在核心物理交换机的接口上,旁路 waf防火墙设备旁路到核心物理交换机上,web的网关IP地址透明穿过旁路waf防火墙,云 计算网络用户的互联网web访问的双向流量都能够透传 waf防火墙装置。
[0008] 所述的云计算网络包括多个web虚拟主机,所述的web虚拟主机分别与虚拟交换 机连接的通道构成一个VLAN, VLAN包括多个对应web虚拟主机的vlan id,每个用户租赁 的虚拟web划分在一个独立的vlan id中。
[0009] 所述的虚拟交换机与核心物理交换机之间、核心物理交换机与旁路waf防火墙之 间的trunk通道划分为多个独立的的vlan id,两个trunk通道的vlan id分别与VLAN的 vlan id--对应。
[0010] 所述的旁路waf防火墙的trust接口和untrust接口通过802. IQ协议划分vlan 子接口,分成各自隔离的vlan通道。
[0011] 所述的旁路waf防火墙包括主板、CPU、内存和硬盘存储器。
[0012] 与现有技术相比,本发明具有以下优点:
[0013] 1)本发明保证云计算网络用户访问互联网的数据安全、可靠、透明地传输。虚拟 交换机通过多链路捆绑trunk方式连到服务商的核心交换机,透明防火墙的trust接口和 untrust接口通过划分vlan子接口,每个web虚拟主机的数据进行封装并形成各自隔离传 输通道,保证用户的数据传输安全性;web的网关IP地址透明穿过waf防火墙,部署在核心 交换机的接口上,从而保证web访问的双向流量都能够透传 waf防火墙装置。
[0014] 2)本发明实现云计算网络中各web虚拟主机受独立的web应用硬件级防火墙保 护,解决了对租用云计算虚拟主机的web网站安全防护的问题。每台web虚拟主机通过虚 拟网卡和虚拟交换机连接,通过将核心物理交换机旁路到透明waf防火墙设备,最后用户 的数据通过旁路waf防火墙设备抵到互联网,供用户访问,体现了云计算系统按需付费的 商业盈利模式。
【专利附图】
【附图说明】
[0015] 图1为一种应用于云计算网络的waf防火墙配置结构示意图。
[0016] 图中:1、云计算网络2、虚拟交换机3、核心物理交换机4、旁路waf防火墙5、互联 网6、web虚拟主机。
【具体实施方式】
[0017] 下面结合附图和具体实施例对本发明进行详细说明。
[0018] 如图1所示,一种应用于云计算网络的waf防火墙配置,与互联网5连接,包括云 计算网络1、虚拟交换机2、核心物理交换机3和旁路waf防火墙4,所述的云计算网络1通 过虚拟网卡与虚拟交换机2相连接,所述的虚拟交换机2通过trunk通道与核心物理交换 机3连接,所述的核心物理交换机3的一个输出端通过光纤与互联网5连接,另一端通过 trunk通道与旁路waf防火墙4的trust接口连接,所述的旁路waf防火墙4的untrust接 口过光纤与互联网5连接;
[0019] 其中,虚拟交换机2可采用可扩展的Hyper-v虚拟交换机,核心物理交换机3可采 用H3C S10500系列交换机。
[0020] 云计算网络1的连接通道经虚拟交换机2集中部署在核心物理交换机3的接口 上,旁路waf防火墙4设备旁路到核心物理交换机3上,web的网关IP地址透明穿过旁路 waf防火墙4,云计算网络1用户的互联网5web访问的双向流量都能够透传 waf防火墙装 置。
[0021] 云计算网络包括多个web虚拟主机6,所述的web虚拟主机6分别与虚拟交换 机2连接的通道构成一个VLAN,VLAN包括多个对应web虚拟主机2的独立的vlan id,如 vlanlOO,vlanlOl,vlanl02等等,每个用户租赁的虚拟web划分在一个独立的vlan中,这 些独立vlan通道和核心物理交换机3的trunk通道中vlan id是一致的。
[0022] 虚拟交换机2与核心物理交换机3之间、核心物理交换机3与旁路waf防火墙4 之间的trunk通道划分为多个独立的的vlanid,两个trunk通道的vlan id分别与VLAN的 vlan id--对应。
[0023] 由于核心物理交换机3不能提供应用层的安全防护功能,故将旁路waf防火墙4 通过trunk通道与核心物理交换机3连接,并使旁路waf防火墙4上通过封装802. 1Q协 议的vlan端口和核心物理交换机3、虚拟交换机2以及云计算网络1中的每片虚拟web的 vlan id都是一致。
[0024] 旁路waf防火墙4采用支持透明化和服务质量差异化服务功能的web应用防火墙 设备,包括主板、CPU、内存和硬盘存储器,主板可选用普通计算机的主板或服务器主板,CPU 可选用双Intel至强2. 4G,内存可选用2G ECC/REG,硬盘存储器可选用SCSI硬盘。waf防 火墙即web应用防火墙,一种区别于传统网络层防火墙,基于application层面的基于web 文件防护的应用层防火墙,专为web应用服务提供应用程序级的安全防护设备;利用专用 的应用层web安全设备基于http的API、dynamic profile、SSL安全加密offload、data compression特性对web网站应用提供端到端的数据安全保障,而服务提供商可根据该装 置系统为用户提供集中的web应用防火墙防护,提供一种数据中心网络服务商的安全增值 业务产品。
[0025] 通过以上发明及设计,为云计算服务商在开展IaaS(基础架构及服务)服务模式 时,解决了 web服务器应用层面的数据防护,为服务商提供了 waf防火墙增值服务的运营模 式,本发明在云计算服务商中拥有较好的市场价值和节约运营成本。
【权利要求】
1. 一种应用于云计算网络的waf防火墙配置,与互联网(5)连接,其特征在于,包括云 计算网络(1)、虚拟交换机(2)、核心物理交换机(3)和旁路waf防火墙(4),所述的云计算 网络(1)通过虚拟网卡与虚拟交换机(2)相连接,所述的虚拟交换机(2)通过trunk通道 与核心物理交换机(3)连接,所述的核心物理交换机(3)的一个输出端通过光纤与互联网 (5)连接,另一端通过trunk通道与旁路waf防火墙(4)的trust接口连接,所述的旁路waf 防火墙(4)的untrust接口过光纤与互联网(5)连接; 云计算网络(1)的连接通道经虚拟交换机(2)集中部署在核心物理交换机(3)的接口 上,旁路waf防火墙(4)设备旁路到核心物理交换机(3)上,web的网关IP地址透明穿过旁 路waf防火墙(4),云计算网络(1)用户的互联网(5) web访问的双向流量都能够透传 waf 防火墙装置。
2. 根据权利要求1所述的一种应用于云计算网络的waf防火墙配置,其特征在于,所述 的云计算网络(1)包括多个web虚拟主机¢),所述的web虚拟主机(6)分别与虚拟交换机 (2)连接的通道构成一个VLAN,VLAN包括多个对应web虚拟主机(6)的vlan id,每个用户 租赁的虚拟web划分在一个独立的vlan id中。
3. 根据权利要求2所述的一种应用于云计算网络的waf防火墙配置,其特征在于,所述 的虚拟交换机(2)与核心物理交换机(3)之间、核心物理交换机(3)与旁路waf防火墙(4) 之间的trunk通道划分为多个独立的的vlan id,两个trunk通道的vlan id分别与VLAN 的vlan id--对应。
4. 根据权利要求1所述的一种应用于云计算网络的waf防火墙配置,其特征在于,所述 的旁路waf防火墙(4)的trust接口和untrust接口通过802. 1Q协议划分vlan子接口, 分成各自隔离的vlan通道。
5. 根据权利要求1所述的一种应用于云计算网络的waf防火墙配置,其特征在于,所述 的旁路waf防火墙(4)包括主板、CPU、内存和硬盘存储器。
【文档编号】H04L29/06GK104113527SQ201410276431
【公开日】2014年10月22日 申请日期:2014年6月19日 优先权日:2014年6月19日
【发明者】胡益明, 郑杰 申请人:上海地面通信息网络有限公司