[发明专利]虚拟防火墙的配置方法、装置以及计算机可读存储介质

说明书

本发明公开了一种虚拟防火墙的配置方法、装置以及计算机可读存储介质，涉及计算机技术领域。本发明根据虚拟机的迁移信息，查找到迁移前第一物理机上第一虚拟防火墙的第一安全策略集，并从中提取出虚拟机的安全策略，将虚拟机的安全策略迁移到虚拟机迁移后的第二物理机上第二虚拟防火墙的第二安全策略集中，同时第一安全策略集中虚拟机的安全策略将被删除。本发明的方法能够使安全策略跟随虚拟机进行迁移，同时，不同物理机上配置的安全策略集不同，迁移前的物理机的安全策略集不再保存迁移的虚拟机的安全策略，降低了虚拟防火墙中的冗余的安全策略的条目数，提升了虚拟防火墙和虚拟机的性能。

技术领域

本发明涉及计算机技术领域，特别涉及一种虚拟防火墙的配置方法、装置以及计算机可读存储介质。

背景技术

分布式虚拟防火墙是一种实现对云资源池内东西流量进行安全防护的解决方案。

分布式虚拟防火墙一般采用虚拟机形态，嵌入在Hypervisor(系统管理程序)层级工作，与受保护虚拟机运行在同一台物理机上。

为解决虚拟机迁移时安全策略的跟随问题，目前业界的分布式虚拟防火墙采用配置相同的全局策略的方案，即每台分布式防火墙不仅加载所在的物理机上虚拟机的安全策略，同时加载其他物理机上虚拟机的安全策略，这样当虚拟机迁移时，防火墙的安全策略不用更改。

发明内容

发明人发现：由于分布式虚拟防火墙不能用硬件加速安全策略匹配过程，因此安全策略条目的数量对虚拟防火墙性能的影响较大。在实际环境中，单台物理机上虚拟机管控所需的安全策略条目数远少于全局的安全策略条目数。因此，虚拟防火墙采用配置相同的全局策略来解决虚拟机迁移时安全策略跟随的问题的方案，导致每个虚拟防火墙存在大量冗余的安全策略条目，影响虚拟防火墙的性能，从而影响在同一物理机上的虚拟机的性能。

本发明所要解决的一个技术问题是：如何使安全策略能够跟随虚拟机迁移时，同时提高虚拟防火墙和虚拟机的性能。

根据本发明的一个实施例，提供的一种虚拟防火墙的配置方法，包括：获取虚拟机的迁移信息，迁移信息包括：虚拟机的标识、虚拟机迁移前所在第一物理机的标识、虚拟机迁移后所在第二物理机的标识；根据第一物理机的标识查找第一物理机对应的第一虚拟防火墙的第一安全策略集；根据虚拟机的标识从第一安全策略集中提取虚拟机对应的安全策略，并从第一安全策略集中将安全策略删除；根据第二物理机的标识查找第二物理机对应的第二虚拟防火墙的第二安全策略集；将提取的虚拟机对应的安全策略迁移到第二安全策略集中。

在一个实施例中，将提取的虚拟机对应的安全策略迁移到第二安全策略集中包括：将虚拟机对应的各安全策略条目与第二安全策略集中各安全策略条目进行比对，去除重复的安全策略条目以及被高优先级的安全策略屏蔽的低优先级安全策略条目，得到虚拟机对应的安全策略与第二安全策略集合并后的安全策略集。

在一个实施例中，将提取的虚拟机对应的安全策略迁移到第二安全策略集中还包括：检测将合并后的安全策略集中是否存在合理性互相冲突的安全策略条目，如果存在，则调整合理性互相冲突的安全策略条目，如果不存在，则将合并后的安全策略集作为更新的第二安全策略集。

在一个实施例中，采用以下方法调整合理性互相冲突的安全策略条目：根据各安全策略条目的优先级，将发生合理性互相冲突的安全策略条目中优先级低的安全策略条目删除。

在一个实施例中，该方法还包括：获取虚拟机的销毁信息，销毁信息包括：虚拟机的标识、虚拟机销毁前所在物理机的标识；根据虚拟机销毁前所在物理机的标识，查找销毁前所在物理机对应的虚拟防火墙的安全策略集；根据虚拟机的标识从销毁前所在物理机对应的虚拟防火墙的安全策略集中将安全策略删除。

在一个实施例中，该方法还包括：根据物理机上的各个虚拟机对应的用户的安全策略配置信息，生成物理机对应的安全策略集，安全策略配置信息包括用户配置的安全策略，以及用户的虚拟机的标识；将安全策略集发送至物理机对应的虚拟防火墙。