[发明专利]分布式安全组模块访问控制方法、系统

说明书

本发明涉及一种分布式安全组模块访问控制方法、系统，安全组模块包括安全组、安全组模板、安全组规则、安全组关联云主机中的至少一项，其中，所述安全组模块与虚拟机网卡关联形成分布式安全组模块，由于安全组模块为分布式，故可以灵活应对高并发的场景，且由于所述安全组模块与虚拟机网卡关联，通过触发针对安全组模块的操作请求，根据所述操作请求执行针对所述安全组模块的相应操作步骤，使用户从虚拟机的网卡维度对所述安全组模块进行访问控制，可实现不同虚拟网卡间的通讯过滤。

技术领域

本发明涉及分布式安全组，尤其涉及一种分布式安全组模块访问控制方法、系统。

背景技术

硬件防火墙一般放在网关上，用来隔离子网之间的访问控制。因此，防火墙即服务也是在网络节点上(具体说来是在路由器命名空间中)来访问控制。防火墙可以在安全组之前隔离外部过来的恶意流量，但是对于同个子网内部不同虚拟网卡间的通讯不能过滤(除非它要跨子网)。

投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变，操作人员需要修改配置文件，操作复杂。

现今的硬件防火墙通常为主备模式，海量并发时防火墙性能急速下降。

安全组是一种包过滤功能虚拟防火墙，用于设置单台或多台云服务器的网络访问控制控制，提供网络安全隔离功能，绑定在虚拟机(VM)的网卡上。通过修改安全组的规则，放通相应的入站或出站流量。

防火墙是防护软件，属于被动防护，是在被攻击时才进行防护的。安全组以安全策略进行防护，属于主动防护，是在未被攻击时做好安全防护。用户不需要关注底层的技术访问控制，只需要在平台页面上点击相应的按钮，控制策略的改变。而且安全组规则即时生效，用户没有明显感知。且安全组为分布式，可以灵活应对高并发的场景。

为了解决现有防火墙存在的问题，本发明提供了一种公有云分布式安全组访问控制技术。

发明内容

为了解决上述技术问题，本发明的目的在于提供一种分布式安全组模块访问控制方法、系统。

根据本发明的一个方面，提供了一种分布式安全组模块访问控制系统，包括：

操作请求接收单元，配置用于接收用户触发的针对安全组模块的操作请求，所述安全组模块包括安全组、安全组模板、安全组规则、安全组关联云主机中的至少一项，其中，所述安全组模块与虚拟机网卡关联形成分布式安全组模块；

操作步骤执行单元，配置用于根据所述操作请求执行针对所述安全组模块的相应操作步骤。

进一步的，操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组的创建或克隆请求，操作步骤执行单元执行的所述相应操作步骤包括：

接收用户触发的针对安全组的创建或克隆请求，及用户输入的创建或克隆配置参数；

确定预创建或克隆安全组名称及所述预创建或克隆安全组关联项目是否满足创建或克隆要求，若是，则生成创建或克隆类型并记录到数据库中；

根据所述创建或克隆配置参数判断是否在安全组模板上进行创建或克隆，若是，则将安全组模板关联的安全组规则复制至预创建安全组处进行安全组的创建并将创建的安全组记录至数据库中，或将被克隆安全组的安全组规则复制至新建安全组进行安全组的克隆并将克隆的安全组记录至数据库中。

操作请求接收单元接收的所述针对所述安全组模块的操作请求包括针对安全组的删除请求，操作步骤执行单元执行的所述相应操作步骤包括：

接收用户触发的针对所述安全组的删除请求；

确定所述安全组是否关联云主机，若无，则删除所述安全组及其关联的安全组规则，若是，则调用所关联云主机所在物理机agent处理模块，进行删除操作。