[发明专利]一种SDN网络中安全资源管控方法和装置

说明书

本发明实施例公开了一种SDN网络中安全资源管控方法和装置，所述方法包括：将网关与网关外串联的防火墙使用VLAN的方式互联；将虚拟机发送至外网的流量数据通过所述VLAN方式从所述网关转发到所述防火墙；通过所述防火墙对所述流量数据进行安全控制后转发到外网。实现对虚拟机网络流量的安全管控。

技术领域

本发明实施例涉及网络安全控制技术，尤指一种SDN网络中安全资源管控方法和装置。

背景技术

SDN(Software Defined Networks，软件定义网络)是一种新型的网络架构，通过将控制平面和数据平面分离，实现网络流量的灵活控制。SDN控制器为了实现对外网流量的安全控制，通常需要具有防火墙功能。如何通过SDN控制器对防火墙资源进行有效的管理，进行业务的部署，成为SDN网络中一个重要的研究方向。通常SDN控制器对安全资源的管理的方案如下：

一、通过部署openstack网络节点的方案，该方案通过实现软件防火墙完成对流量的安全控制，但是由于是软件的方式，不能支持大规模的网络部署，网络流量较大的情况下转发能力有限；

二、通过部署物理安全设备的方案，该方案通过在网关外部署安全防火墙，通过VXLAN(Virtual Extensible Local Area Network，虚拟扩展局域网)网络转发的方式实现安全流量的管控，但是由于传统的安全防火墙设备不支持VXLAN转发，不能使用该方案进行部署。

发明内容

本发明实施例提供了一种SDN网络中安全资源管控方法和装置，实现对虚拟机网络流量的安全管控。

为了达到本发明实施例目的，本发明实施例提供了一种SDN网络中安全资源管控方法，包括：

将网关与网关外串联的防火墙使用VLAN的方式互联；

将虚拟机发送至外网的流量数据通过所述VLAN方式从所述网关转发到所述防火墙；

通过所述防火墙对所述流量数据进行安全控制后转发到外网。

优选地，将网关与网关外串联的防火墙使用VLAN的方式互联包括：

提供网关和防火墙的转发配置资源池，所述转发配置资源池包括虚拟路由器、至少一个虚拟局域网VLAN标识和至少两个互联IP地址；

将所述转发配置资源池中的虚拟路由器分别绑定所述网关和所述防火墙；

从所述转发配置资源池中为所述网关和所述防火墙分配一个虚拟局域网VLAN标识，并通过所述虚拟路由器下发到所述网关和所述防火墙；

通过所述VLAN标识在所述网关和所述防火墙分别创建VLAN接口；

从所述转发配置资源池中为所述网关和所述防火墙分别分配IP地址作为互联地址，并通过所述虚拟路由器分别下发到所述网关的VLAN接口和所述防火墙的VLAN接口。

优选地，所述防火墙为防火墙设备或从防火墙设备申请分离出来的虚拟防火墙。

优选地，通过防火墙对所述流量数据进行安全控制后转发到外网包括：

所述虚拟防火墙配置允许或禁止流量数据通过的防火墙规则；

当流量数据到达所述虚拟防火墙时，所述虚拟防火墙根据所述防火墙规则对所述流量数据进行匹配；并根据所述防火墙规则确定放行或禁止流量数据。

优选地，所述方法之前还包括：

通过路由器选择网关。

第二方面，本发明还提供一种SDN网络中安全资源管控装置，包括：

互联模块，设置为将网关与网关外串联的防火墙使用VLAN的方式互联；