60]在一个可能的设计中,该设备还包括:
[0061]第四发送单元,用于向每个该虚拟交换机管理的防火墙虚拟机发送预设的防火墙 安全策略。
[0062]第五方面,提供一种报文过滤设备,该设备位于第一虚拟交换机管理的防火墙虚 拟机中;该第一虚拟交换机是由数据中心中的软件定义网络SDN控制模块管理的,该第一虚 拟交换机还管理有至少一个业务虚拟机,该设备包括:
[0063]第一接收单元,用于接收该SDN控制模块发送的流表规则,该流表规则是该SDN控 制模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包 括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指 示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信 息指示租用了防火墙服务的租户标识所指示的租户;
[0064] 第二接收单元,用于接收该第一虚拟交换机发送的报文,该报文是指与该第一业 务虚拟机交互的报文;
[0065] 安全过滤单元,用于根据预设的防火墙安全策略,对该报文进行安全过滤;
[0066] 发送单元,用于根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟 交换机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。
[0067] 在一个可能的设计中,该设备还包括:
[0068]第三接收单元,用于接收该SDN控制模块发送的该预设的防火墙安全策略。
[0069]在一个可能的设计中,该设备还包括:
[0070]上报单元,用于周期性地向该SDN控制模块上报该防火墙虚拟机中存储的该第一 虚拟交换机管理的业务虚拟机的握手信息。
[0071 ]第六方面,提供一种报文过滤设备,该设备位于数据中心中的软件定义网络SDN控 制模块管理的第一虚拟交换机;该第一虚拟交换机管理有防火墙虚拟机以及至少一个业务 虚拟机,该设备包括:
[0072]第一接收单元,用于接收SDN控制模块发送的流表规则,该流表规则是该SDN控制 模块根据数据中心管理模块发送的租户配置信息为第一租户配置的,该租户配置信息包 括:至少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指 示信息用于指示该租户标识指定的租户是否租用防火墙服务,该第一租户为该租用指示信 息指示租用了防火墙服务的租户标识所指示的租户;
[0073] 第一转发单元,用于根据该流表规则,将与该第一业务虚拟机交互的报文,先转发 至该第一虚拟交换机管理的防火墙虚拟机,以便于该防火墙虚拟机根据预设的防火墙安全 策略,对该报文进行安全过滤,该第一业务虚拟机为该第一租户的标识对应的虚拟机标识 所指示的虚拟机。
[0074] 在一个可能的设计中,该第一转发单元,还用于:
[0075] 根据该流表规则,判断该报文中的目的端口标识所指示的目的端口是否为该数据 中心内业务虚拟机的端口;
[0076] 当该报文中的目的端口标识所指示的目的端口为该数据中心内业务虚拟机的端 口时,将该报文转发至该第一虚拟交换机管理的防火墙虚拟机。
[0077] 在一个可能的设计中,该设备还包括:
[0078] 第二接收单元,用于接收该防火墙虚拟机发送的通过安全过滤后的该报文;
[0079] 第二转发单元转发单元,用于根据该流表规则,对通过安全过滤后的该报文进行 转发。
[0080] 第七方面,提供一种计算机设备,该计算机设备包括处理器和存储器,该处理器与 该存储器通过总线连接;
[0081] 该存储器用于存储计算机执行指令,当该计算机设备运行时,该处理器执行该存 储器存储的该计算机执行指令来实现SDN控制模块,并使得该SDN控制模块执行第一方面所 述的报文过滤方法。
[0082]第八方面,提供一种计算机设备,该计算机设备包括处理器和存储器,该处理器与 该存储器通过总线连接;
[0083]该存储器用于存储计算机执行指令,当该计算机设备运行时,该处理器执行该存 储器存储的该计算机执行指令来实现防火墙虚拟机,并使得该防火墙虚拟机执行第二方面 任一所述的报文过滤方法。
[0084]第九方面,提供一种计算机设备,该计算机设备包括处理器和存储器,该处理器与 该存储器通过总线连接;
[0085]该存储器用于存储计算机执行指令,当该计算机设备运行时,该处理器执行该存 储器存储的该计算机执行指令来实现第一虚拟交换机,并使得该第一虚拟交换机执行第三 方面任一所述的报文过滤方法。
[0086]第十方面,提供一种报文过滤系统,该系统包括:软件定义网络SDN控制模块、该 SDN控制模块管理的第一虚拟交换机以及该第一虚拟交换机管理的防火墙虚拟机;
[0087]该SDN控制模块包括第四方面任一所述的报文过滤设备;
[0088] 该防火墙虚拟机包括第五方面任一所述的报文过滤设备;
[0089] 该第一虚拟交换机包括第六方面任一所述的报文过滤设备。
[0090] 第十一方面,提供一种报文过滤系统,该系统包括:软件定义网络SDN控制模块、该 SDN控制模块管理的第一虚拟交换机以及该第一虚拟交换机管理的防火墙虚拟机;
[0091 ]该SDN控制模块为第七方面所述的计算机设备;
[0092]该防火墙虚拟机为第八方面所述的计算机设备;
[0093]该第一虚拟交换机为第九方面所述的计算机设备。
【附图说明】
[0094] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使 用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于 本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他 的附图。
[0095] 图1-1是相关技术中数据中心内的业务虚拟机的报文转发路径示意图;
[0096] 图1-2是本发明实施例提供的一种数据中心的内部网络的系统架构图;
[0097] 图2是本发明实施例提供的一种报文过滤方法流程图;
[0098] 图3是本发明实施例提供的另一种报文过滤方法流程图;
[0099] 图4是本发明实施例提供的又一种报文过滤方法流程图;
[0100]图5-1是本发明实施例提供的再一种报文过滤方法流程图;
[0101] 图5-2是本发明实施例示出的一种业务虚拟机报文转发路径示意图;
[0102] 图6-1是本发明实施例提供的一种报文过滤设备的结构示意图;
[0103] 图6-2是本发明实施例提供的另一种报文过滤设备的结构示意图;
[0104] 图7-1是本发明实施例提供的又一种报文过滤设备的结构示意图;
[0105] 图7-2是本发明实施例提供的再一种报文过滤设备的结构示意图;
[0106] 图8-1是本发明实施例提供的再一种报文过滤设备的结构示意图;
[0107] 图8-2是本发明实施例提供的再一种报文过滤设备的结构示意图;
[0108] 图9是本发明实施例提供的一种计算机设备的结构示意图;
[0109] 图10是本发明实施例提供的另一种计算机设备的结构示意图;
[0110] 图11是本发明实施例提供的又一种计算机设备的结构示意图。
【具体实施方式】
[0111] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方 式作进一步地详细描述。
[0112] 图1-1是相关技术中数据中心内的业务虚拟机的报文转发路径示意图,如图1-1所 示,该数据中心的内部网络中包括至少一个虚拟交换机10,每个虚拟交换机管理有至少一 个业务虚拟机11,数据中心的内部网络和外部网络之间部署有至少一个集中防火墙13,该 集中防火墙13可以为物理防火墙,即一台物理设备,也可以为软件防火墙,即在传统物理防 火墙中部署多个虚拟机,在每个虚拟机中安装防火墙软件。其中,每个虚拟交换机中存储有 该虚拟交换机所管理的各个业务虚拟机的流表规则。当该数据中心内的业务虚拟机VM1需 要访问外部网络时,其报文的转发路径可以如图1-1中的双箭头实线15所示,即虚拟交换机 接收到VM1的报文后,可以根据存储的该VM1的流表规则,将报文通过交换机12转发至集中 防火墙13,由集中防火墙13对该报文进行过滤处理后,再转发至外部网络;当数据中心内的 业务虚拟机VM3需要访问数据中心内的业务虚拟机VM4时,其报文的转发路径可以如图中双 箭头实线14所示,即虚拟交换机接收到VM3发送的报文后,可以根据存储的该VM3的流表规 贝1J,将报文通过交换机12转发至集中防火墙13,由集中防火墙13对该报文进行过滤处理后, 再转发至VM4。其中,该交换机12可以为数据中心内的核心层交换机或者汇聚层交换机等。 因此,该数据中心的内部网络中的业务虚拟机的互访,或者内部网络中的业务虚拟机访问 外部网络时,业务流都需要经过集中防火墙进行过滤转发。由于集中防火墙的流量转发能 力是有限的,因此数据中心内部网络的扩容会受到该集中防火墙流量转发能力的限制,数 据中心业务扩展时的灵活性较低。
[0113] 图1-2是本发明实施例提供的一种数据中心的内部网络的系统架构图,如图1所 示,该数据中心内部网络包括数据中心管理模块01、软件定义网络(英文:Software Defined Network;简称:SDN)控制模块02以及该SDN控制模块02管理的至少一个虚拟交换 机03,其中每个虚拟交换机管理有防火墙虚拟机031以及至少一个业务虚拟机032。在本发 明实施例中,在部署数据中心的内部网络时,可以在每个虚拟交换机中预留一个防火墙虚 拟机端口,并在每个虚拟交换机所在的主机中部署一台防火墙虚拟机,该防火墙虚拟机中 安装有防火墙软件。虚拟交换机可以通过预留的防火墙虚拟机端口与防火墙虚拟机进行通 信。进一步的,SDN控制模块还可以为每个虚拟交换机管理的防火墙虚拟机分配管理面互联 网协议(英文:Internet Protocol;简称:IP)地址,以便管理该每个防火墙虚拟机,例如,向 该防火墙虚拟机发送流表规则和防火墙安全策略等。
[0114] 在本发明实施例中,由于数据中心中每个虚拟交换机所在的主机中均部署有一台 防火墙虚拟机,该防火墙虚拟机可以对业务虚拟机的业务流进行过滤转发,因此该数据中 心的内部网络和外部网络之间可以不再部署集中防火墙,或者可以减少部署的集中防火墙 的个数。数据中心内部网络的扩容不再受到该集中防火墙流量转发能力的限制,提高了数 据中心业务扩展时的灵活性。
[0115] 图2是本发明实施例提供的一种报文过滤方法流程图,该方法可以应用于图1-2所 示的SDN控制模块中,该SDN控制模块管理有至少一个虚拟交换机,每个该虚拟交换机管理 有防火墙虚拟机以及至少一个业务虚拟机,如图2所示,该方法包括:
[0116]步骤201、接收数据中心管理模块发送的租户配置信息,该租户配置信息包括:至 少一个租户标识,以及每个该租户标识对应的虚拟机标识和租用指示信息,该租用指示信 息用于指示该租户标识指定的租户是否租用防火墙服务。
[0117]步骤202、根据该租户配置信息为第一租户配置流表规则,该第一租户为该租用指 示信息指示租用了防火墙服务的租户标识所指示的租户。
[0118]步骤203、根据该租户配置信息,确定第一虚拟交换机,该第一虚拟交换机管理有 该第一租户的标识对应的虚拟机标识所指示的第一业务虚拟机。
[0119]步骤204、将该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟 交换机根据该第一租户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一 虚拟交换机管理的防火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该 报文进行安全过滤。
[0120]其中,与该第一业务虚拟机交互的报文可以包括:该第一业务虚拟机向数据中心 内其他业务虚拟机发送的报文、数据中心内其他业务虚拟机向该第一业务虚拟机发送的报 文以及该第一业务虚拟机访问数据中心外部网络时所发送的报文。
[0121]综上所述,本发明实施例提供的报文过滤方法,SDN控制模块可以接收数据中心管 理模块发送的租户配置信息,并根据该租户配置信息为第一租户配置流表规则,该第一租 户为租用指示信息指示租用了防火墙服务的租户标识所指示的租户,SDN控制模块可以将 该第一租户的流表规则发送至该第一虚拟交换机,以便于该第一虚拟交换机根据该第一租 户的流表规则,将与该第一业务虚拟机交互的报文,先转发至该第一虚拟交换机管理的防 火墙虚拟机,以使得该防火墙虚拟机根据预设的防火墙安全策略对该报文进行安全过滤。 因此,数据中心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理 的防火墙虚拟机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火 墙,因此数据中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据 中心业务扩展时的灵活性。
[0122] 图3是本发明实施例提供的另一种报文过滤方法流程图,该方法可以应用于第一 虚拟交换机管理的防火墙虚拟机,该第一虚拟交换机是由数据中心中的SDN控制模块管理 的,该第一虚拟交换机还管理有至少一个业务虚拟机,该方法包括:
[0123] 步骤301、接收SDN控制模块发送的流表规则,该流表规则是该SDN控制模块根据数 据中心管理模块发送的租户配置信息为第一租户配置的。
[0124] 该租户配置信息包括:至少一个租户标识,以及每个该租户标识对应的虚拟机标 识和租用指示信息,该租用指示信息用于指示租户标识指定的租户是否租用防火墙服务, 该第一租户为该租用指示信息指示租用了防火墙服务的租户标识所指示的租户。
[0125] 步骤302、接收第一虚拟交换机发送的报文,该报文是指与第一业务虚拟机交互的 报文。
[0126] 步骤303、根据预设的防火墙安全策略,对该报文进行安全过滤。
[0127] 步骤304、根据该流表规则,将通过安全过滤后的该报文转发至该第一虚拟交换 机,以便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。
[0128] 综上所述,本发明实施例提供的报文过滤方法,防火墙虚拟机接收到SDN控制模块 发送的流表规则后,可以根据该流表规则将安全过滤后的报文转发至第一虚拟交换机,以 便该第一虚拟交换机根据该流表规则对通过安全过滤后的该报文进行转发。因此,数据中 心内部的业务虚拟机之间通讯时,报文的转发过滤可以在虚拟交换机所管理的防火墙虚拟 机中进行,而无需再通过数据中心内部网络与外部网络之间部署的集中防火墙,因此数据 中心内部网络的扩容不再受到集中防火墙流量转发能力的限制,提高了数据中心业务扩展 时的灵活性。
[0129] 图4是本发明实施例提供的又一种报文过滤方法流程图,该方法可以应用于SDN控 制模块管理的第一虚拟交换机,该第一