[发明专利]一种基于OpenStack框架的虚拟防火墙构建方法及存储介质

权利要求书

1.一种基于OpenStack框架的虚拟防火墙构建方法，其特征在于，包括：

通过预设规则对VPP矢量数据包处理服务的防火墙规则进行修改，得到修改后的VPP矢量数据包处理服务，其中，所述修改后的VPP矢量数据包处理服务通过修改后的防火墙规则进行数据包控制，所述修改后的VPP矢量数据包处理服务中设置有基于数据平面开发框架DPDK构建的转发栈；

对所述VPP矢量数据包处理服务中虚拟路由器的实现代码进行修改，得到修改后的虚拟器，并为所述修改后的虚拟器创建虚拟路由转发索引；

对所述VPP矢量数据包处理服务中数据包控制的下发规则流程代码进行修改，并将修改后的下发规则与所述虚拟路由转发索引绑定；

设置所述VPP矢量数据包处理服务的防火墙配置界面，用以绑定对应的虚拟路由转发索引，所述防火墙配置界面用于对每个虚拟路由转发索引的防火墙规则进行配置，所述防火墙配置界面中包含有处理数据包时的判断条件及处理方式；根据所述修改后的VPP矢量数据包处理服务替换所述OpenStack框架的路由服务。

2.根据权利要求1所述的一种基于OpenStack框架的虚拟防火墙构建方法，其特征在于，所述判断条件包括判断参数以及参数判断规则，其中所述判断参数包括协议信息、端口信息以及地址信息，所述参数判断规则是根据用户基于所述防火墙配置界面输入的操作命令确定的。

3.根据权利要求2所述的一种基于OpenStack框架的虚拟防火墙构建方法，其特征在于，所述处理方式包括予以转发及忽略转发请求。

4.根据权利要求1-3中任一项所述的一种基于OpenStack框架的虚拟防火墙构建方法，其特征在于，在根据所述修改后的VPP矢量数据包服务替换所述OpenStack框架的路由服务之后，所述方法还包括：

当检测到三层转发请求时，启用所述修改后的VPP矢量数据包服务对所述三层转发请求对应的数据包进行访问控制。

5.根据权利要求4所述的基于OpenStack框架的虚拟防火墙构建方法，其特征在于，所述当检测到三层转发请求时，启用所述修改后的VPP矢量数据包服务对所述三层转发请求对应的数据包进行访问控制，具体包括：

通过所述修改后的VPP矢量数据包服务判断所述三层转发请求确定访问目标；

根据所述访问目标对应的虚拟路由器转发索引确定防火墙规则；

根据所述防火墙规则确定所述三层转发请求对应的数据包是否应予转发；

若应转发，则将所述三层转发请求对应的数据包转发至所述访问目标；

若不应转发，则忽略所述三层转发请求对应的数据包。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机可读指令，所述计算机可读 指令在被处理器调用和运行时，所述计算机可读 指令促使所述处理器运行所述权利要求1至5任一项所述的方法。