[发明专利]一种防火墙策略控制的方法及装置

说明书

技术领域

本发明涉及数据通信技术领域，尤指一种数据中心虚拟设备之间实现防火墙策略控制的方法和装置。

背景技术

在云计算数据中心，一台物理服务器通常被虚拟化为几个虚拟设备。各个虚拟设备被分配给不同的用户提供不同的服务，用户有时需要实现同一物理服务器的不同虚拟设备间的访问和控制。然而，由于各个虚拟设备共享一个物理以太网口，而防火墙的策略控制都是基于安全域（安全域实质是一个端口的集合），因而，将不同虚拟设备间的访问和控制引流到防火墙后，防火墙无法根据物理端口找到相应的域，进而无法进行策略控制和深度的安全处理。

如图1所示，其为现有技术云计算数据中心某台物理服务器S 1被虚拟化为4台虚拟设备（VM1~VM4）的应用场景图。在该应用场景中，各虚拟设备被分配给不同的用户提供不同的服务，同时虚拟设备VM1和VM2的用户之间需要进行数据的交互和访问。为了安全控制，用户需要在虚拟设备VM1和VM2间实现防火墙策略控制，只允许固定内容的报文通过。由于在本应用场景下，各虚拟设备共享一个物理以太网端口，当策略控制引流到防火墙后，防火墙无法根据该端口找到相应的安全域，因而无法进行策略控制和深度的安全处理。为了解决这个问题，需要引入一种新的机制实现数据中心虚拟机之间访问的防火墙策略控制。

发明内容

有鉴于此，本发明提供一种防火墙策略控制的方法和装置。让用户在防火墙上配置生成一个虚拟接口，通过该虚拟接口找到对应的安全域，从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。

为达到上述目的，本发明的技术方案具体是这样实现的：

一种防火墙策略控制的方法，其中该方法应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中，且多个虚拟设备之间需要实现防火墙策略控制，其中所述方法包括如下步骤：

步骤1、用户在防火墙上配置生成一个虚拟接口，其中所述虚拟接口具体包括虚拟接口ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系；

步骤2、防火墙根据虚拟接口找到相应的安全域，进而进行安全策略的控制。

本发明同时提供了一种防火墙策略控制的装置，其中所述装置应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中，所述网络系统进一步包括有防火墙设备，所述装置即可以独立于防火墙设备，又可以作为独立的模块嵌入于防火墙之中，其用于该等多个虚拟设备之间需要实现防火墙策略控制，其中所述装置包括：

配置模块，用于让用户在所述装置上配置生成一个虚拟接口，其中所述虚拟接口具体包括虚拟接口ID、IP地址组或者MAC地址组以及安全域信息及其之间的对应关系；

安全模块，用于所述装置根据配置模块生成的虚拟接口找到相应的安全域，进而进行相应的安全策略的控制。

由上述技术方案可见，本发明通过让用户在防火墙上配置生成一个虚拟接口，通过该虚拟接口找到对应的安全域，从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。

附图说明

图1是现有技术某台物理服务器被虚拟化为4台虚拟设备的应用场景图示意图；

图2是本发明防火墙策略控制的方法流程图；

图3是本发明防火墙策略控制的装置示意图；

图4是本发明某台物理服务器被虚拟化为4台虚拟设备的应用场景图示意图；

图5是图4所示的应用场景防火墙策略控制流程图。

具体实施方式

为了实现本发明目的，本发明采用的核心思想为：首先接收用户的配置，在防火墙上生成一个虚拟接口，该虚拟接口仅用于标示报文的入接口和出接口，但不参与实际的报文转发，将该虚拟接口加入到安全域。进一步地，该虚拟接口包括基于IP的地址组或者MAC的地址组。其中地址组用于判断报文的源和目的地址，当报文的源地址为地址组范围内的地址时，将其入接口修改为该虚拟接口，报文目的地址为地址组范围内的地址时，将报文出接口位改虚拟接口，通过虚拟接口找到对应的安全域，从而实现云计算数据中心同一台物理设备不同虚拟设备之间的防火墙策略控制。

为了更加清楚和明白，以下结合实施例对本发明技术方案进行详细说明。如图2所示，为本发明防火墙策略控制的方法流程图，其中该方法应用于同一物理设备同时被虚拟化为多个虚拟设备构成的网络系统中，且多个虚拟设备之间需要实现防火墙策略控制。所述方法包括：

步骤1、用户在防火墙上配置生成一个虚拟接口。