一种私有云防火墙配置的方法及设备与流程

本申请涉及计算机领域，尤其涉及一种私有云防火墙配置的方法及设备。

背景技术：

1、随着云计算的发展，越来越多的企业实现了互联网基础设施的云化，但随着设施规模不断扩大、架构不断变得复杂，一系列云上网络安全问题也接踵而至，云上网络安全问题越来越严峻。

2、以私有云为例，网络流量可以以“东西”和“南北”的形象化方式进行划分：东西向流量通常指云内各云主机之间的网络通信流量；而南北向流量可代指云内资源通过三层网关与互联网进行通信的流量，或通过二层网络设备的两个数据中心之间的通信的流量。但伴随在“南北向流量”中的“外部威胁”常见的有黑客入侵、挖矿和恶意流量等。不论内部还是外部威胁，都对用户的业务系统存在巨大安全隐患。目前，业界常见的管控“东西向流量”的功能(模式)有：安全组、分布式防火墙、微分段等；管控“南北向流量”的有：边界防火墙、vpc防火墙、nat防火墙等。但这些在实际的复杂环境中难以集中以及不易使用，运维难度高。

3、在现有解决方案中，如图1所示，是需要定义两个安全组，配置到两组云主机网卡，安全组a，规则是允许访问web云主机的ip和端口，规则配置到所有云主机a的出方向；安全组b，规则是允许云主机a的地址访问web服务器，其他地址不允许访问web服务器，规则配置web云主机的入方向。这种方案配置管理复杂，容易出错。

技术实现思路

1、本申请的一个目的是提供一种私有云防火墙配置的方法及设备，解决现有技术中防火墙在复杂环境中难以集中以及不易使用，运维难度高、出错概率高的问题。

2、根据本申请的一个方面，提供了一种私有云防火墙配置的方法，该方法包括：

3、定义云主机对应的安全区域的属性，其中，所述属性包括区域类型、所属的网络类型及虚拟网卡；

4、确定需进行安全域间访问的源安全域和目的安全域；

5、基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，将安全区域间的访问规则配置到所述云主机接口；

6、基于所述云主机接口配置好的访问规则建立防火墙。

7、进一步地，所述区域类型包括内部区域和外部区域，其中，定义云主机对应的安全区域的属性，包括：

8、根据所述区域类型定义云主机对应的安全区域所属的网络类型，其中，所述网络类型包括vpc网络和扁平网络。

9、进一步地，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

10、若源安全域所属的网络类型为vpc网络，目的安全域的区域类型为外部区域，则源安全域访问目的安全域的云主机接口为vpc路由器的私网接口的入方向，目的安全域访问源安全域时的云主机接口为vpc路由器的公网接口的入方向。

11、进一步地，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

12、若源安全域所属的网络类型为扁平网络，目的安全域的区域类型为外部区域，则源安全域访问目的安全域时的云主机接口为源安全域内云主机网卡的出方向，目的安全域访问源安全域时的云主机接口为源安全域内云主机网卡的入方向。

13、进一步地，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

14、若源安全域所属的网络类型与所述目的安全域所属的网络类型均为扁平网络，或源安全域与目的安全域为同一vpc网络下的vpc区域；

15、则源安全域访问目的安全域时的云主机接口为源安全域内云主机网卡的出方向和目的安全域内云主机网卡的入方向；

16、目的安全域访问源安全域时的云主机接口为目的安全域内云主机网卡的出方向和源安全域内云主机网卡的入方向。

17、进一步地，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

18、若源安全域所属的网络类型为扁平网络，目的安全域所属的网络类型为vpc网络，则源安全域访问目的安全域时的云主机接口为源安全域内云主机网卡的出方向和vpc路由器外部接口的入方向，目的安全域访问源安全域时的云主机接口为vpc路由器内部接口的入方向和源安全域内云主机网卡的入方向。

19、进一步地，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

20、若源安全域属于第一vpc网络，目的安全域属于第二vpc网络，且两个vpc网络存在于同一vpc路由器下，则源安全域访问目的安全域时的云主机接口为vpc路由器对接第一vpc网络的接口的入方向和vpc路由器对接第二vpc网络的接口的出方向，目的安全域访问源安全域时的云主机接口为vpc路由器对接第二vpc网络的接口的入方向和vpc路由器对接第一vpc网络的接口的出方向。

21、进一步地，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

22、若源安全域属于第一vpc路由器下的第一vpc网络，目的安全域属于第二vpc路由器下的第二vpc网络，则源安全域访问目的安全域时的云主机接口为所述第一vpc路由器内部接口的入方向和第二vpc路由器外部接口的入方向，目的安全域访问源安全域时的云主机接口为所述第二vpc路由器内部接口的入方向和第一vpc路由器外部接口的入方向。

23、根据本申请又一个方面，还提供了一种私有云防火墙配置的设备，所述设备包括：

24、一个或多个处理器；以及

25、存储有计算机可读指令的存储器，所述计算机可读指令在被执行时使所述处理器执行如前述所述方法的操作。

26、根据本申请再一个方面，还提供了一种计算机可读介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现如前述所述的方法。

27、与现有技术相比，本申请通过定义云主机对应的安全区域的属性，其中，所述属性包括区域类型、所属的网络类型及虚拟网卡；确定需进行安全域间访问的源安全域和目的安全域；基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，将安全区域间的访问规则配置到所述云主机接口；基于所述云主机接口配置好的访问规则建立防火墙。从而用户无需逐个网卡配置访问规则，是可以根据区域的属性自动计算出配置哪些接口，极大简化网络业务的编排难度，降低出错概率。

技术特征：

1.一种私有云防火墙配置的方法，其特征在于，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述区域类型包括内部区域和外部区域，其中，定义云主机对应的安全区域的属性，包括：

3.根据权利要求2所述的方法，其特征在于，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

4.根据权利要求2所述的方法，其特征在于，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

5.根据权利要求2所述的方法，其特征在于，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

6.根据权利要求2所述的方法，其特征在于，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

7.根据权利要求2所述的方法，其特征在于，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

8.根据权利要求2所述的方法，其特征在于，基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，包括：

9.一种私有云防火墙配置的设备，其特征在于，所述设备包括：

10.一种计算机可读介质，其上存储有计算机可读指令，所述计算机可读指令可被处理器执行以实现如权利要求1至8中任一项所述的方法。

技术总结
本申请的目的是提供一种私有云防火墙配置的方法及设备，本申请通过定义云主机对应的安全区域的属性，其中，所述属性包括区域类型、所属的网络类型及虚拟网卡；确定需进行安全域间访问的源安全域和目的安全域；基于所述安全区域的属性计算出配置的源安全域与目的安全域间访问时的云主机接口，将安全区域间的访问规则配置到所述云主机接口；基于所述云主机接口配置好的访问规则建立防火墙。从而用户无需逐个网卡配置访问规则，是可以根据区域的属性自动计算出配置哪些接口，极大简化网络业务的编排难度，降低出错概率。

技术研发人员：阮诗新,刘杰,刘鹏超
受保护的技术使用者：上海云轴信息科技有限公司
技术研发日：
技术公布日：2024/1/15