一种纳管多种防火墙资源的云管理平台和方法与流程

本发明属于防火墙领域，更具体地，涉及一种纳管多种防火墙资源的云管理平台和方法。

背景技术：

随着云计算技术的快速发展和普及，越来越多的企业选择业务上云。但是由于大型企业通常使用多种类型的云平台，云平台类型包括公有云(publiccloud)、私有云(privatecloud)和云原生，具体的网络资源架构也采用多家厂商的方案。企业迫切需要构建统一的云管理平台来管理复杂的云基础设施。云管理平台可以实现多云的统一管理、实现跨云资源调度和编排、实现多云的统一监控和运维。防火墙作为一种重要的安全防护资源需要被云管理平台所统一管理，但是由于不同类型、不同厂家的防火墙配置防火墙参数差异大、配置实现不同，导致由云管理平台统一纳管多种防火墙资源存在很大困难。现有的云管理平台框架对于多种防火墙资源灵活编排调度和第三方防火墙资源的扩展都不能很好的支持。

技术实现要素：

针对现有技术的以上缺陷或改进需求，本发明提供了一种纳管多种防火墙资源的云管理平台和方法，其目的在于该云管理平台建立有统一的防火墙资源模型，所有类型的防火墙配置均可以通过统一的防火墙资源模型来实现。在实际创建防火墙的过程中，根据防火墙所属的云平台的类型，调用相应类型的网络资源，解决了多种类型防火墙资源配置使用差异过大，实现了管理多种类型、多厂家的防火墙的功能，由此解决云管理平台难以统一纳管配置防火墙的技术问题。

为实现上述目的，按照本发明的一个方面，提供了一种纳管多种防火墙资源的云管理平台，所述云管理平台包括：资源抽象层、网络编排层、驱动管理层和底层资源层，其中，所述资源抽象层上预先建立有防火墙资源模型；

所述资源抽象层用于接收待创建防火墙的各项属性信息，并生成防火墙资源请求，其中，所述各项属性信息是通过配置所述防火墙资源模型而得到的；

所述网络编排层用于根据所述资源请求确定待创建防火墙所属的云平台类型，并根据所述云平台类型对网络资源进行编排；

所述驱动管理层用于对所述待创建防火墙的各项属性信息进行参数转换，还用于调用所述底层资源层的应用程序接口，以将所述待创建防火墙的各项属性信息传递给所述底层资源层；

所述底层资源层用于依据所述待创建防火墙的各项属性信息创建相应的防火墙。

优选地，所述资源抽象层包括资源配置模块和资源管理模块；

所述资源配置模块用于建立和扩展所述防火墙资源模型，以使用户根据所述待创建防火墙的实际需求配置所述防火墙资源模型的各项属性，以得到创建防火墙的资源请求；

所述资源管理模块用于对所述待创建防火墙的各项属性信息进行校验。

优选地，所述网络编排层包括资源选择单元和多种类型的编排器，所述驱动管理层包括多种类型的client单元和多种类型的sdk单元；

所述资源选择单元用于根据所述资源请求中的vpc属性确定所述待创建防火墙所属的云平台类型，根据所述云平台类型选择相应的编排器；

所述编排器用于根据所述云平台类型编排与所述资源请求相匹配的client单元和sdk单元。

优选地，所述驱动管理层包括管理单元，所述管理单元用于接收所述待创建防火墙的各项属性信息，对各项属性信息进行参数校验，还用于依据所述底层资源层所支持的格式对各项属性信息进行格式转换，并将经过格式转换的各项属性信息发送至相应类型的client单元；

所述client单元用于将经过格式转换的各项属性信息发送至相应类型的sdk单元；

所述sdk单元用于调用所述底层资源层的应用程序接口，以将所述待创建防火墙的各项属性信息传递给所述底层资源层。

优选地，所述编排器包括：openstack编排器、vmware编排器、openstacknsp编排器、vmwarensp编排器、sdn编排器和openstacksdn编排器；

所述client单元包括：openstackclient单元、vmwareclient单元、sdnclient单元和nspclient单元；

所述sdk单元包括：openstacksdk单元，vmwaresdk单元、sdnsdk单元和nspsdk单元。

优选地，所述底层资源层支持多种类型的云平台，所述云平台包括openstack平台、vmware平台、openstacknsp混合平台、vmwarensp混合平台、sdn平台和openstacksdn混合平台。

按照本发明的另一方面，提供了一种纳管多种防火墙资源的方法，所述方法应用于云管理平台，所述云管理平台包括：资源抽象层、网络编排层、驱动管理层和底层资源层，其中，所述资源抽象层上预先建立有防火墙资源模型；

所述方法包括：

所述资源抽象层接收待创建防火墙的各项属性信息，并生成防火墙资源请求，其中，所述各项属性信息是通过配置所述防火墙资源模型而得到的；

所述网络编排层根据所述资源请求确定待创建防火墙所属的云平台类型，并根据所述云平台类型对网络资源进行编排；

所述驱动管理层对所述待创建防火墙的各项属性信息进行参数转换，并调用所述底层资源层的应用程序接口，以将所述待创建防火墙的各项属性信息传递给所述底层资源层；

所述底层资源层依据所述待创建防火墙的各项属性信息创建相应的防火墙。

优选地，所述资源抽象层包括资源配置模块和资源管理模块；

所述方法还包括：

通过所述资源配置模块建立和扩展所述防火墙资源模型，以使用户根据所述待创建防火墙的实际需求配置所述防火墙资源模型的各项属性，以得到创建防火墙的资源请求；

通过所述资源管理模块对所述待创建防火墙的各项属性信息进行校验，在校验通过后，将所述资源请求发送至所述网络编排层。

优选地，所述网络编排层包括资源选择单元和多种类型的编排器，所述驱动管理层包括多种类型的client单元和多种类型的sdk单元；

所述网络编排层根据所述资源请求确定待创建防火墙所属的云平台类型，并根据所述云平台类型对网络资源进行编排包括：

所述资源选择单元根据所述资源请求中的vpc属性确定所述待创建防火墙所属的云平台类型，根据所述云平台类型选择相应的编排器；

所述编排器根据所述云平台类型编排与所述资源请求相匹配的client单元和sdk单元。

优选地，所述驱动管理层包括管理单元；

所述驱动管理层对所述待创建防火墙的各项属性信息进行参数转换，并调用所述底层资源层的应用程序接口，以将所述待创建防火墙的各项属性信息传递给所述底层资源层包括：

所述管理单元接收所述待创建防火墙的各项属性信息，对各项属性信息进行参数校验；

依据所述底层资源层所支持的格式对各项属性信息进行格式转换，并将经过格式转换的各项属性信息发送至相应类型的client单元；

所述client单元将经过格式转换的各项属性信息发送至相应类型的sdk单元；

所述sdk单元调用所述底层资源层的应用程序接口，以将所述待创建防火墙的各项属性信息传递给所述底层资源层。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，具有如下有益效果：本发明提供一种纳管多种防火墙资源的云管理平台和方法，所述云管理平台包括：资源抽象层、网络编排层、驱动管理层和底层资源层，其中，所述资源抽象层上预先建立有防火墙资源模型；所述资源抽象层用于接收待创建防火墙的各项属性信息，并生成防火墙资源请求，其中，所述各项属性信息是通过配置所述防火墙资源模型而得到的；所述网络编排层用于根据所述资源请求确定待创建防火墙所属的云平台类型，并根据所述云平台类型对网络资源进行编排；所述驱动管理层用于对所述待创建防火墙的各项属性信息进行参数转换，还用于调用所述底层资源层的应用程序接口，以将所述待创建防火墙的各项属性信息传递给所述底层资源层；所述底层资源层用于依据所述待创建防火墙的各项属性信息创建相应的防火墙。

本发明提供了一种纳管多种防火墙资源的云管理平台，该云管理平台建立有统一的防火墙资源模型，对于用户侧而言，只需要根据防火墙的实际需求，配置防火墙资源模型的各项属性，即可创建满足需求的防火墙，不必关注实际需要调用的网络资源，所有类型的防火墙配置均可以通过统一的防火墙资源模型来实现。在实际创建防火墙的过程中，根据防火墙所属的云平台的类型，调用相应类型的网络资源，解决了多种类型防火墙资源配置使用差异过大，云管理平台难以统一纳管配置的问题，实现了管理多种类型、多厂家的防火墙的功能。

附图说明

图1是本发明实施例提供的一种纳管多种防火墙资源的云管理平台的结构示意图；

图2是本发明实施例提供的一种资源抽象层的结构示意图；

图3是本发明实施例提供的一种网络编排层的结构示意图；

图4是本发明实施例提供的一种驱动管理层的结构示意图；

图5是本发明实施例提供的一种纳管多种防火墙资源的方法的流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。

实施例1：

参阅图1，本实施例提供一种纳管多种防火墙资源的云管理平台，所述云管理平台包括：资源抽象层、网络编排层、驱动管理层和底层资源层，其中，所述资源抽象层上预先建立有防火墙资源模型。

下面首先说明一下防火墙资源模型的结构：防火墙资源模型包括多个可配置资源项，可配置资源项具体包括防火墙、防火墙策略、防火墙规则、防火墙服务端口组、防火墙ip地址组和防火墙规则自动化配置。

各个可配置资源项的具体属性如下：

防火墙：包括名称、描述、管理状态、入方向防火墙策略、出方向防火墙策略、角色、状态、配置状态和所属vpc(virtualprivatecloud，简写为vpc)。

在此需要说明的是，vpc是公有云上自定义的逻辑隔离网络空间，是一块用户可自定义的网络空间，与在数据中心运行的传统网络相似，托管在vpc内的是部署在私有云上的服务资源，其中，服务资源包括云主机、负载均衡和云数据库等。用户可以自定义网段划分、ip地址和路由策略等，并通过安全组和网络防火墙等实现多层安全防护。

防火墙策略：包括名称、描述、防火墙规则列表和所属vpc。

防火墙规则：包括名称、描述、开启状态、源ip地址组、目的ip地址组、源服务端口组、目的服务端口组、协议、ip版本、动作和所属vpc。

防火墙服务端口组：包括名称、描述、端口列表、端口起始值、端口终止值和所属vpc。

防火墙ip地址组：包括名称、描述、地址列表、地址范围、地址网段和所属vpc。

防火墙规则自动化配置：包括名称、描述、源ip地址列表、目的ip地址列表、源服务端口组、目的服务端口组、协议、ip版本、动作、状态和所属vpc。

其中，通过防火墙规则自动化配置可以输入要放行的多个网段，通过处理下发多个网段的防火墙规则，不需要每个网段单独配置。

在实际使用中，用户可以根据防火墙的实际需求(防火墙实例)，对所述防火墙资源模型的各项属性进行配置，以创建相应的防火墙。

所述资源抽象层用于接收待创建防火墙的各项属性信息，并根据所述各项属性信息生成防火墙资源请求，其中，所述各项属性信息是通过配置所述防火墙资源模型而得到的。

所述网络编排层用于根据所述资源请求确定待创建防火墙所属的云平台类型，并根据所述云平台类型对网络资源进行编排

所述驱动管理层用于对所述待创建防火墙的各项属性信息进行参数转换，还用于调用所述底层资源层的应用程序接口，以将所述待创建防火墙的各项属性信息传递给所述底层资源层。

所述底层资源层用于依据所述待创建防火墙的各项属性信息创建相应的防火墙。

本实施例提供了一种纳管多种防火墙资源的云管理平台，该云管理平台建立有统一的防火墙资源模型，对于用户侧而言，只需要根据防火墙的实际需求，配置防火墙资源模型的各项属性，即可创建满足需求的防火墙，不必关注实际需要调用的网络资源，所有类型的防火墙配置均可以通过统一的防火墙资源模型来实现。在实际创建防火墙的过程中，根据防火墙所属的云平台的类型，调用相应类型的网络资源，解决了多种类型防火墙资源配置使用差异过大，云管理平台难以统一纳管配置的问题，实现了管理多种类型、多厂家的防火墙的功能。

该云管理平台支持轻量级的网络编排功能，由于底层的异构资源在使用中会日趋复杂，所支持的云平台类型会日益增多，该云管理平台将所有的网络资源都通过统一的防火墙资源模型和应用程序接口来管理，通过编排层去调度底层资源。用户不必关注底层防火墙资源类型，只需要通过上层的防火墙实例去配置管理。

实施例2：

基于前述实施例1，下面结合图2～图4具体说明各层的结构。

如图2所示，所述资源抽象层包括资源配置模块、资源管理模块和数据库模块，所述资源配置模块用于建立和扩展所述防火墙资源模型，以使用户根据所述待创建防火墙的实际需求配置所述防火墙资源模型的各项属性，以得到创建防火墙的资源请求。

在实际使用中，可以通过所述资源配置模块扩展所述防火墙资源模型，扩展了云管理平台所支持的防火墙类型，还可以支持第三方防火墙资源的扩展，提高了防火墙资源在云管理平台的易用性。

所述数据库模块用于记录待创建的防火墙的各项属性信息。

所述资源管理模块用于对所述待创建防火墙的各项属性信息进行校验，例如，校验参数的类型和范围是否合法，参数组合是否合法，以保证能够依据各项属性信息在底层资源层创建相应的防火墙。在所述待创建防火墙的各项属性信息通过校验后，将所述待创建防火墙的各项属性信息发送至网络编排层。

所述资源管理模块还用于资源状态管理，在接收到底层资源层反馈的资源状态，更新待创建防火墙对应的状态，并通过数据库模块更新到数据库，以便于用户查询防火墙是否正常可用。

所述网络编排层包括资源选择单元和多种类型的编排器，所述资源选择单元用于根据所述资源请求中的vpc属性确定所述待创建防火墙所属的云平台类型，根据所述云平台类型选择相应类型的编排器，编排器将各项属性信息发送至所述驱动管理层，并调用相应类型的client单元和相应类型的sdk(softwaredevelopmentkit，简写为sdk)单元。

所述驱动管理层包括管理单元、client单元和sdk单元，所述管理单元用于接收所述待创建防火墙的各项属性信息，对各项属性信息进行参数校验，还用于依据所述底层资源层所支持的格式对各项属性信息进行格式转换，并将经过格式转换的各项属性信息发送至相应类型的client单元。

所述client单元用于将经过格式转换的各项属性信息发送至相应类型的sdk单元，sdk单元用于调用底层资源层的应用程序接口api(applicationprogramminginterface，简写为api)完成具体的资源配置。

所述底层资源层用于根据api调用的各项属性信息来配置防火墙资源，在完成资源操作，将防火墙的状态反馈到资源管理模块，其中，防火墙的状态用于表示防火墙的资源是否正常可用。

资源管理模块用于基于底层资源层反馈状态，更新待创建防火墙对应的状态，并通过数据库模块更新到数据库，以便于用户查询防火墙是否正常可用。

在具体应用场景下，所述底层资源层支持多种类型的云平台，所述云平台包括openstack平台、vmware平台、openstacknsp混合平台、vmwarensp(networkinterconnectionandserviceplatformsoftware，简写为nsp)混合平台、sdn(softwaredefinednetwork，简写为sdn)平台和openstacksdn混合平台。其中，nsp是一款第三方厂家的网络资源管理软件；sdn的中文全称为软件定义网络，是网络虚拟化的一种实现方式。

在实际使用中，所述编排器用于根据所述云平台类型编排与所述资源请求相匹配的client单元和sdk单元，编排器的类型、client单元的类型和sdk单元的类型与云平台类型为一一对应关系。

在实际应用场景下，所述编排器包括：openstack编排器、vmware编排器、openstacknsp编排器、vmwarensp编排器、sdn编排器和openstacksdn编排器。

所述openstack编排器用于编排openstack平台的网络资源，所述vmware编排器用于编排vmware平台的网络资源，所述openstacknsp编排器用于编排openstack与nsp(第三方厂商网络实现方案)混合平台的网络资源，所述vmwarensp编排器用于编排vmware与nsp混合平台的网络资源，所述sdn编排器用于编排sdn平台的网络资源。所述openstacksdn编排器用于编排openstack与sdn混合平台网络资源。

与之相应的，所述client单元包括：openstackclient单元、vmwareclient单元、sdnclient单元、nspclient单元；

所述sdk单元包括：openstacksdk单元，vmwaresdk单元、sdnsdk单元和nspsdk单元。

所述编排器还用于编排client单元和sdk单元的调用顺序，例如在nsp+openstack(第三方厂商方案)混合平台中创建防火墙，需要先创建openstack防火墙资源，然后创建nsp防火墙资源。与之相对应的，选择openstacknsp编排器，通过openstacknsp编排器先调用openstackclient单元和openstacksdk单元，创建openstack防火墙资源；再调用nspclient单元和nspsdk单元，创建nsp防火墙资源。

在本实施例中，分层的防火墙资源管理框架，可以灵活对多种云平台网络资源进行编排，而且，可以根据需要扩展防火墙资源模型，然后按照新增加的模型添加对应的编排器、client单元和sdk单元，扩展了云管理平台所支持的防火墙类型，还可以支持第三方防火墙资源的扩展，提高了防火墙资源在云管理平台的易用性。

实施例3：

结合实施例1和实施例2，本实施例提供一种纳管多种防火墙资源的方法，所述方法应用于云管理平台，所述云管理平台包括：资源抽象层、网络编排层、驱动管理层和底层资源层，其中，所述资源抽象层上预先建立有防火墙资源模型；

如图所示，所述方法包括如下步骤：

步骤10：所述资源抽象层接收待创建防火墙的各项属性信息，并生成防火墙资源请求，其中，所述各项属性信息是通过配置所述防火墙资源模型而得到的。

步骤11：所述网络编排层根据所述资源请求确定待创建防火墙所属的云平台类型，并根据所述云平台类型对网络资源进行编排。

具体地，所述网络编排层包括资源选择单元和多种类型的编排器，所述驱动管理层包括多种类型的client单元和多种类型的sdk单元。在步骤11中，具体实现过程为：所述资源选择单元根据所述资源请求中的vpc属性确定所述待创建防火墙所属的云平台类型，根据所述云平台类型选择相应的编排器；所述编排器根据所述云平台类型编排与所述资源请求相匹配的client单元和sdk单元。

步骤12：所述驱动管理层对所述待创建防火墙的各项属性信息进行参数转换，并调用所述底层资源层的应用程序接口，以将所述待创建防火墙的各项属性信息传递给所述底层资源层。

具体地，所述驱动管理层包括管理单元、client单元和sdk单元。所述管理单元接收所述待创建防火墙的各项属性信息，对各项属性信息进行参数校验；依据所述底层资源层所支持的格式对各项属性信息进行格式转换，并将经过格式转换的各项属性信息发送至相应类型的client单元；所述client单元将经过格式转换的各项属性信息发送至相应类型的sdk单元；所述sdk单元调用所述底层资源层的应用程序接口，以将所述待创建防火墙的各项属性信息传递给所述底层资源层。

步骤13：所述底层资源层依据所述待创建防火墙的各项属性信息创建相应的防火墙。

本实施例提供了一种纳管多种防火墙资源的云管理平台，该云管理平台建立有统一的防火墙资源模型，对于用户侧而言，只需要根据防火墙的实际需求，配置防火墙资源模型的各项属性，即可创建满足需求的防火墙，不必关注实际需要调用的网络资源，所有类型的防火墙配置均可以通过统一的防火墙资源模型来实现。在实际创建防火墙的过程中，根据防火墙所属的云平台的类型，调用相应类型的网络资源，解决了多种类型防火墙资源配置使用差异过大，云管理平台难以统一纳管配置的问题，实现了管理多种类型、多厂家的防火墙的功能。

该云管理平台支持轻量级的网络编排功能，由于底层的异构资源在使用中会日趋复杂，所支持的云平台类型会日益增多，该云管理平台将所有的网络资源都通过统一的防火墙资源模型和应用程序接口来管理，通过编排层去调度底层资源。用户不必关注底层防火墙资源类型，只需要通过上层的防火墙实例去配置管理。

在优选的实施例中，所述资源抽象层包括资源配置模块和资源管理模块；所述方法还包括：通过所述资源配置模块建立和扩展所述防火墙资源模型，以使用户根据所述待创建防火墙的实际需求配置所述防火墙资源模型的各项属性，以得到创建防火墙的资源请求；通过所述资源管理模块对所述待创建防火墙的各项属性信息进行校验，在校验通过后，将所述资源请求发送至所述网络编排层。

在本实施例中，分层的防火墙资源管理框架，可以灵活对多种云平台网络资源进行编排，而且，可以根据需要扩展防火墙资源模型，然后按照新增加的模型添加对应的编排器、client单元和sdk单元，扩展了云管理平台所支持的防火墙类型，还可以支持第三方防火墙资源的扩展，提高了防火墙资源在云管理平台的易用性。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。