虚拟防火墙的配置方法、装置以及计算机可读存储介质与流程

本发明涉及计算机技术领域，特别涉及一种虚拟防火墙的配置方法、装置以及计算机可读存储介质。

背景技术：

分布式虚拟防火墙是一种实现对云资源池内东西流量进行安全防护的解决方案。

分布式虚拟防火墙一般采用虚拟机形态，嵌入在hypervisor(系统管理程序)层级工作，与受保护虚拟机运行在同一台物理机上。

为解决虚拟机迁移时安全策略的跟随问题，目前业界的分布式虚拟防火墙采用配置相同的全局策略的方案，即每台分布式防火墙不仅加载所在的物理机上虚拟机的安全策略，同时加载其他物理机上虚拟机的安全策略，这样当虚拟机迁移时，防火墙的安全策略不用更改。

技术实现要素：

发明人发现：由于分布式虚拟防火墙不能用硬件加速安全策略匹配过程，因此安全策略条目的数量对虚拟防火墙性能的影响较大。在实际环境中，单台物理机上虚拟机管控所需的安全策略条目数远少于全局的安全策略条目数。因此，虚拟防火墙采用配置相同的全局策略来解决虚拟机迁移时安全策略跟随的问题的方案，导致每个虚拟防火墙存在大量冗余的安全策略条目，影响虚拟防火墙的性能，从而影响在同一物理机上的虚拟机的性能。

本发明所要解决的一个技术问题是：如何使安全策略能够跟随虚拟机迁移时，同时提高虚拟防火墙和虚拟机的性能。

根据本发明的一个实施例，提供的一种虚拟防火墙的配置方法，包括：获取虚拟机的迁移信息，迁移信息包括：虚拟机的标识、虚拟机迁移前所在第一物理机的标识、虚拟机迁移后所在第二物理机的标识；根据第一物理机的标识查找第一物理机对应的第一虚拟防火墙的第一安全策略集；根据虚拟机的标识从第一安全策略集中提取虚拟机对应的安全策略，并从第一安全策略集中将安全策略删除；根据第二物理机的标识查找第二物理机对应的第二虚拟防火墙的第二安全策略集；将提取的虚拟机对应的安全策略迁移到第二安全策略集中。

在一个实施例中，将提取的虚拟机对应的安全策略迁移到第二安全策略集中包括：将虚拟机对应的各安全策略条目与第二安全策略集中各安全策略条目进行比对，去除重复的安全策略条目以及被高优先级的安全策略屏蔽的低优先级安全策略条目，得到虚拟机对应的安全策略与第二安全策略集合并后的安全策略集。

在一个实施例中，将提取的虚拟机对应的安全策略迁移到第二安全策略集中还包括：检测将合并后的安全策略集中是否存在合理性互相冲突的安全策略条目，如果存在，则调整合理性互相冲突的安全策略条目，如果不存在，则将合并后的安全策略集作为更新的第二安全策略集。

在一个实施例中，采用以下方法调整合理性互相冲突的安全策略条目：根据各安全策略条目的优先级，将发生合理性互相冲突的安全策略条目中优先级低的安全策略条目删除。

在一个实施例中，该方法还包括：获取虚拟机的销毁信息，销毁信息包括：虚拟机的标识、虚拟机销毁前所在物理机的标识；根据虚拟机销毁前所在物理机的标识，查找销毁前所在物理机对应的虚拟防火墙的安全策略集；根据虚拟机的标识从销毁前所在物理机对应的虚拟防火墙的安全策略集中将安全策略删除。

在一个实施例中，该方法还包括：根据物理机上的各个虚拟机对应的用户的安全策略配置信息，生成物理机对应的安全策略集，安全策略配置信息包括用户配置的安全策略，以及用户的虚拟机的标识；将安全策略集发送至物理机对应的虚拟防火墙。

在一个实施例中，根据物理机上的各个虚拟机对应的用户的安全策略配置信息，生成物理机对应的安全策略集包括：将用户配置的安全策略根据用户的虚拟机的标识，以虚拟机为单位进行分解，得到各个虚拟机对应的安全策略；将位于同一物理机上的各个虚拟机对应的安全策略进行合并，生成物理机对应的安全策略集。

根据本发明的另一个实施例，提供的一种虚拟防火墙的配置装置，包括：迁移信息获取模块，用于获取虚拟机的迁移信息，迁移信息包括：虚拟机的标识、虚拟机迁移前所在第一物理机的标识、虚拟机迁移后所在第二物理机的标识；第一查找模块，用于根据第一物理机的标识查找第一物理机对应的第一虚拟防火墙的第一安全策略集；安全策略提取模块，用于根据虚拟机的标识从第一安全策略集中提取虚拟机对应的安全策略，并从第一安全策略集中将安全策略删除；第二查找模块，用于根据第二物理机的标识查找第二物理机对应的第二虚拟防火墙的第二安全策略集；安全策略迁移模块，用于将提取的虚拟机对应的安全策略迁移到第二安全策略集中。

在一个实施例中，安全策略迁移模块用于将虚拟机对应的各安全策略条目与第二安全策略集中各安全策略条目进行比对，去除重复的安全策略条目以及被高优先级的安全策略屏蔽的低优先级安全策略条目，得到虚拟机对应的安全策略与第二安全策略集合并后的安全策略集。

在一个实施例中，安全策略迁移模块还用于检测将合并后的安全策略集中是否存在合理性互相冲突的安全策略条目，如果存在，则调整合理性互相冲突的安全策略条目，如果不存在，则将合并后的安全策略集作为更新的第二安全策略集。

在一个实施例中，安全策略迁移模块用于根据各安全策略条目的优先级，将发生合理性互相冲突的安全策略条目中优先级低的安全策略条目删除。

在一个实施例中，该装置还包括：安全策略销毁模块，用于获取虚拟机的销毁信息，销毁信息包括：虚拟机的标识、虚拟机销毁前所在物理机的标识，根据虚拟机销毁前所在物理机的标识，查找销毁前所在物理机对应的虚拟防火墙的安全策略集，根据虚拟机的标识从销毁前所在物理机对应的虚拟防火墙的安全策略集中将安全策略删除。

在一个实施例中，该装置还包括：安全策略配置模块，用于根据物理机上的各个虚拟机对应的用户的安全策略配置信息，生成物理机对应的安全策略集，安全策略配置信息包括用户配置的安全策略，以及用户的虚拟机的标识；将安全策略集发送至物理机对应的虚拟防火墙。

在一个实施例中，安全策略配置模块用于将用户配置的安全策略根据用户的虚拟机的标识，以虚拟机为单位进行分解，得到各个虚拟机对应的安全策略，将位于同一物理机上的各个虚拟机对应的安全策略进行合并，生成物理机对应的安全策略集。

根据本发明的又一个实施例，提供的一种虚拟防火墙的配置装置，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器设备中的指令，执行如前述任一个实施例的虚拟防火墙的配置方法。

根据本发明的再一个实施例，提供的一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述任一个实施例的虚拟防火墙的配置方法的步骤。

本发明根据虚拟机的迁移信息，查找到迁移前第一物理机上第一虚拟防火墙的第一安全策略集，并从中提取出虚拟机的安全策略，将虚拟机的安全策略迁移到虚拟机迁移后的第二物理机上第二虚拟防火墙的第二安全策略集中，同时第一安全策略集中虚拟机的安全策略将被删除。本发明的方法能够使安全策略跟随虚拟机进行迁移，同时，不同物理机上配置的安全策略集不同，迁移前的物理机的安全策略集不再保存迁移的虚拟机的安全策略，降低了虚拟防火墙中的冗余的安全策略的条目数，提升了虚拟防火墙和虚拟机的性能。

通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出本发明的一个实施例的虚拟防火墙的配置方法的流程示意图。

图2示出本发明的另一个实施例的虚拟防火墙的配置方法的流程示意图。

图3示出本发明的又一个实施例的虚拟防火墙的配置方法的流程示意图。

图4示出本发明的一个实施例的虚拟防火墙的配置装置的结构示意图。

图5示出本发明的另一个实施例的虚拟防火墙的配置装置的结构示意图。

图6示出本发明的又一个实施例的虚拟防火墙的配置装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

针对现有技术中采用虚拟防火墙采用配置相同的全局策略的方案来解决虚拟机迁移时安全策略跟随的问题，导致每个虚拟防火墙存在大量冗余的安全策略条目，影响虚拟防火墙和虚拟机的性能的问题，提出本方案。

下面结合图1描述本发明的虚拟防火墙的安全策略的配置方法。

图1为本发明虚拟防火墙的安全策略的配置方法一个实施例的流程图。如图1所示，该实施例的方法包括：

步骤s102，获取虚拟机的迁移信息。

可以设置虚拟机管理系统，对虚拟机的各种状态进行记录和存储，从虚拟机管理系统获取虚拟机的迁移信息。迁移信息包括：虚拟机的标识、虚拟机迁移前所在第一物理机的标识、虚拟机迁移后所在第二物理机的标识。虚拟的标识例如为虚拟机的ip(internetprotocol，网络互联协议)地址或mac(mediaaccesscontrol，媒体访问控制)地址等。

步骤s104，根据第一物理机的标识查找第一物理机对应的第一虚拟防火墙的第一安全策略集。

通常情况一台物理机对应一个虚拟防火墙，不同物理机的虚拟防火墙配置不同的安全策略集。如果一台物理机对应多个虚拟防火墙，则需要查找多个安全策略集。

步骤s106，根据虚拟机的标识从第一安全策略集中提取虚拟机对应的安全策略，并从第一安全策略集中将安全策略删除。

一台虚拟机可以对应多条安全策略条目，安全策略条目可以包括源地址、目的地址、功能引擎、协议类型、处置策略等，根据虚拟机的标识可以查找源地址或目的地址表示该虚拟机的安全策略，将这些安全策略条目提取出来。

源地址是指，表示网络数据包来源的地址信息，可在ip地址、ipv6地址、mac地址、虚拟网卡id或名称、虚拟机id或名称、物理机id或名称、集群id或名称中选择地址类别并配置。目的地址是指，表示网络数据包目标的地址信息，可在ip地址、ipv6地址、mac地址、虚拟网卡id或名称、虚拟机id或名称、物理机id或名称、集群id或名称中选择地址类别并配置。功能引擎是指，所需虚拟防火墙提供的安全功能，可在访问控制、病毒防护、入侵防御中选择配置。协议类型是指，所需虚拟防火墙进行监控的数据包的协议类型，包括网络层协议(例如，arp、rarp、icmp、igmp等)及应用层协议(例如，http、telnet、ftp等)。如功能引擎选择为入侵防御，协议类型还可以细化到具体虚拟防火墙支持检测的应用程序。处置策略是指，所需虚拟防火墙对符合检测条件的数据包进行的处置操作，可在允许通过、告警、丢弃、阻断会话、记录、回放会话等操作中选择配置。

针对只适用于该虚拟机的安全策略条目则整条进行删除，针对同时适用于多台虚拟机的安全策略条目，则对该安全策略条目进行分析，根据虚拟机的标识从该安全策略条目删除仅适用于该虚拟机的安全策略条目。例如源地址为ip地址段包含迁移的虚拟机的ip地址，则需要根据虚拟机的ip地址判断去除虚拟机的ip地址后是否需要修改ip地址段，使其不包含迁移的虚拟机的ip地址，同时对应的其他安全策略项(例如协议类型)判断是否需要根据迁移的虚拟机进行对应的删除。

步骤s108，根据第二物理机的标识查找第二物理机对应的第二虚拟防火墙的第二安全策略集。

步骤s110，将提取的虚拟机对应的安全策略迁移到第二安全策略集中。

根据虚拟机对应的各安全策略条目的优先级以及与第二安全策略集中的安全策略条目的重复情况，将虚拟机对应的安全策略与第二安全策略集进行合并。安全策略条目的优先级可以根据实际需求进行设置。

优选的，将虚拟机对应的各安全策略条目与第二安全策略集中各安全策略条目进行比对，去除重复的安全策略条目以及被高优先级的安全策略屏蔽的低优先级安全策略条目，得到虚拟机对应的安全策略与第二安全策略集合并后的安全策略集。

进一步，以虚拟机为最小单位，对第二安全策略集进行拆分，形成虚拟机到虚拟机的点对点第二安全策略条目列表，在第二安全策略条目列表中，高优先级安全策略条目在前。按照处置策略将第二安全策略条目列表中的安全策略条目分类，得到多个第二安全策略条目类，在每一个第二安全策略条目类中，高优先级安全策略条目在前。将迁移的虚拟机对应的安全策略条目类与第二安全策略条目类做集合并处理，即：将虚拟机对应的安全策略条目类与第二安全策略条目类的安全策略条目进行合并，生成多个新的安全策略条目类。分别将依据不同处置策略分类得到的多个新的安全策略条目类之间做集合差处理，即：去除各新的安全策略条目类中重复的安全策略条目，生成新的安全策略条目集合。

将虚拟机对应的安全策略与第二安全策略集进行合并之后还可以对合并后的安全策略集检测合理性。检测将合并后的安全策略集中是否存在合理性互相冲突的安全策略条目，如果存在，则调整合理性互相冲突的安全策略条目，如果不存在，则将合并后的安全策略集作为更新的第二安全策略集。

优选的，对合并后的安全策略集做遍历检查，查询是否存在由于安全策略不一致(例如，处置策略毛存)而导致合理性发生冲突的安全策略条目；若合理性发生冲突，则依据用户安全策略对合理性发生冲突的安全策略条目进行自动调整，例如，删除发生冲突的安全策略条目中低优先级的安全策略条目；若合理性发生冲突的调整次数超出预设阈值，则向用户和管理员发送告警信息；若不存在由于安全策略不一致而导致合理性发生冲突的安全策略，则通过合理性检测，

上述检测安全策略合理性的方法同样适用于第一安全策略集，即可以在删除迁移的虚拟机对应的安全策略之后，对第一安全策略集进行合理性检测，保证安全策略的合理性。

上述实施例的方法根据虚拟机的迁移信息，查找到迁移前第一物理机上第一虚拟防火墙的第一安全策略集，并从中提取出虚拟机的安全策略，将虚拟机的安全策略迁移到虚拟机迁移后的第二物理机上第二虚拟防火墙的第二安全策略集中，同时第一安全策略集中虚拟机的安全策略将被删除。上述实施例的方法能够使安全策略跟随虚拟机进行迁移，同时，不同物理机上配置的安全策略集不同，迁移前的物理机的安全策略集不再保存迁移的虚拟机的安全策略，降低了虚拟防火墙中的冗余的安全策略的条目数，提升了虚拟防火墙和虚拟机的性能。

本发明还提供一种虚拟机销毁后，对于安全策略的处理方法，下面结合图2进行描述。

图2为本发明虚拟防火墙的安全策略的配置方法另一个实施例的流程图。如图2所示，该实施例的方法包括：

步骤s202，获取虚拟机的销毁信息。

销毁信息包括：虚拟机的标识、虚拟机销毁前所在物理机的标识。

步骤s204，根据虚拟机销毁前所在物理机的标识，查找销毁前所在物理机对应的虚拟防火墙的安全策略集。

步骤s206，根据虚拟机的标识从销毁前所在物理机对应的虚拟防火墙的安全策略集中将安全策略删除。

对销毁的虚拟机的安全策略进行删除后，可以检测新的安全策略集的合理性。具体检测方法可以参考步骤s110中对应的方法，在此不再赘述。

上述实施例的方法，对于销毁的虚拟机的安全策略进行删除，减少所在物理机的安全策略条目数，提高了虚拟防火墙和虚拟机的性能。

每台物理机上配置不同的安全策略集，在一个实施例中，根据物理机上的各个虚拟机对应的用户的安全策略配置信息，生成物理机对应的安全策略集，安全策略配置信息例如包括用户配置的安全策略，以及用户的虚拟机的标识。为物理机配置安全策略的过程可以发生在虚拟防火墙初始分配安全策略时。

下面结合图3对如何为每台物理机配置安全策略集进行描述。

图3为本发明虚拟防火墙的安全策略的配置方法又一个实施例的流程图。如图3所示，该实施例的方法包括：

步骤s302，获取用户配置的安全策略信息。

用户配置的安全策略信息包括具体的安全策略，以及安全策略对应的虚拟机的信息，还可以包括安全策略的优先级等信息。虚拟机的信息包括虚拟机的标识。

步骤s304，将用户配置的安全策略根据用户的虚拟机的标识，以虚拟机为单位进行分解，得到各个虚拟机对应的安全策略。

具体分解过程例如采用以下方法：

根据虚拟机的标识(例如ip地址)，以虚拟机为最小单位，分别对各用户配置的安全策略进行分解，形成虚拟机到虚拟机的点对点安全策略条目列表，在安全策略条目列表中，各安全策略条目依据用户配置安全策略时设置的优先级排序，高优先级安全策略条目在前。为每条安全策略条目标注优先级。为每条安全策略条目标注虚拟机标识。

步骤s306，将位于同一物理机上的各个虚拟机对应的安全策略进行合并，生成物理机对应的安全策略集。

对物理机上的安全策略进行合并时，去除安全策略条目列表中低优先级被高优先级完全屏蔽掉的安全策略条目，去除重复的安全策略条目。

还可以参考步骤s110中的方法对合并之后的安全策略集进行合理性检测，确保物理机上安全策略集的合理性。

步骤s308，将安全策略集发送至物理机对应的虚拟防火墙。

上述实施例的方法，根据用户配置的安全策略对应的各个虚拟机将安全策略进行分解，再对同一物理机上的虚拟机对应的安全策略进行合并，实现了不同的物理机仅配置与自身相关的安全策略，不需要配置全局的安全策略，降低了物理机上安全策略条目的冗余，提升了虚拟防火墙和虚拟机的性能。

本发明还提供一种虚拟防火墙的配置装置，下面结合图4进行描述。

图4为本发明虚拟防火墙的安全策略的配置装置一个实施例的结构图。如图4所示，该装置40包括：

迁移信息获取模块402，用于获取虚拟机的迁移信息，迁移信息包括：虚拟机的标识、虚拟机迁移前所在第一物理机的标识、虚拟机迁移后所在第二物理机的标识。

第一查找模块404，用于根据第一物理机的标识查找第一物理机对应的第一虚拟防火墙的第一安全策略集。

安全策略提取模块406，用于根据虚拟机的标识从第一安全策略集中提取虚拟机对应的安全策略，并从第一安全策略集中将安全策略删除。

第二查找模块408，用于根据第二物理机的标识查找第二物理机对应的第二虚拟防火墙的第二安全策略集。

安全策略迁移模块410，用于将提取的虚拟机对应的安全策略迁移到第二安全策略集中。

在一个实施例中，安全策略迁移模块410用于将虚拟机对应的各安全策略条目与第二安全策略集中各安全策略条目进行比对，去除重复的安全策略条目以及被高优先级的安全策略屏蔽的低优先级安全策略条目，得到虚拟机对应的安全策略与第二安全策略集合并后的安全策略集。

在一个实施例中，安全策略迁移模块410还用于检测将合并后的安全策略集中是否存在合理性互相冲突的安全策略条目，如果存在，则调整合理性互相冲突的安全策略条目，如果不存在，则将合并后的安全策略集作为更新的第二安全策略集。

在一个实施例中，安全策略迁移模块410用于根据各安全策略条目的优先级，将发生合理性互相冲突的安全策略条目中优先级低的安全策略条目删除。

在一个实施例中，该装置40还可以包括：

安全策略销毁模块412，用于获取虚拟机的销毁信息，销毁信息包括：虚拟机的标识、虚拟机销毁前所在物理机的标识，根据虚拟机销毁前所在物理机的标识，查找销毁前所在物理机对应的虚拟防火墙的安全策略集，根据虚拟机的标识从销毁前所在物理机对应的虚拟防火墙的安全策略集中将安全策略删除。

在一个实施例中，该装置40还可以包括：安全策略配置模块414，用于根据物理机上的各个虚拟机对应的用户的安全策略配置信息，生成物理机对应的安全策略集，安全策略配置信息包括用户配置的安全策略，以及用户的虚拟机的标识；将安全策略集发送至物理机对应的虚拟防火墙。

优选的，安全策略配置模块414用于将用户配置的安全策略根据用户的虚拟机的标识，以虚拟机为单位进行分解，得到各个虚拟机对应的安全策略，将位于同一物理机上的各个虚拟机对应的安全策略进行合并，生成物理机对应的安全策略集。

本发明的实施例中的虚拟防火墙的配置装置可各由各种计算设备或计算机系统来实现，下面结合图5以及图6进行描述。

图5为本发明虚拟防火墙的配置装置的一个实施例的结构图。如图5所示，该实施例的装置50包括：存储器510以及耦接至该存储器510的处理器520，处理器520被配置为基于存储在存储器110中的指令，执行本发明中任意一个实施例中的虚拟防火墙的配置方法。

其中，存储器510例如可以包括系统存储器、固定非易失性存储介质等。系统存储器例如存储有操作系统、应用程序、引导装载程序(bootloader)、数据库以及其他程序等。

图6为本发明虚拟防火墙的配置装置的另一个实施例的结构图。如图6所示，该实施例的装置60包括：存储器610以及处理器620，分别与图5中存储器510以及处理器520类似。还可以包括输入输出接口630、网络接口640、存储接口650等。这些接口630，640，650以及存储器610和处理器620之间例如可以通过总线660连接。其中，输入输出接口630为显示器、鼠标、键盘、触摸屏等输入输出设备提供连接接口。网络接口640为各种联网设备提供连接接口，例如可以连接到数据库服务器或者云端存储服务器等。存储接口650为sd卡、u盘等外置存储设备提供连接接口。

本领域内的技术人员应当明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用非瞬时性存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解为可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅为本发明的较佳实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。