[发明专利]一种基于openstack实现安全组黑名单的方法及系统

权利要求书

1.一种基于openstack实现安全组黑名单的方法，其特征在于，通过扩展neutron的service-plugin和openvswitch-agent extension来实现安全组黑名单，

在iptables的raw表中对虚机绑定的tap端口进行标记，根据标记，在iptables的mangle表里将进出虚机的流量导入到安全组黑名单的链中，根据黑名单规则进行匹配；未匹配到的流量将导入iptables的filter表，继续按照neutron原有的安全组规则匹配；

SGB功能实现模块用于管理数据平面节点的iptables和ipset，

1）、在iptables的raw表里给虚机绑定的tap端口打标记；

2）、在mangle表的neutron-openvswi-FORWARD链里根据标记将发往虚机或从虚机发出的流量引导到安全组黑名单的链里；

3）、在mangle表的安全组黑名单链里下发规则来拒绝对应的流量；

4）、若下发的规则里指定了远端安全组，则还需要在ipset里下发规则，将绑定该远端安全组的所有虚机的ip地址聚合到一个ipset中。

2.根据权利要求1所述的基于openstack实现安全组黑名单的方法，其特征在于，若用户指定远端安全组，则利用ipset将远端安全组的所有虚机成员设置成一个ipset。

3.根据权利要求1或2所述的基于openstack实现安全组黑名单的方法，其特征在于，启用SGB策略管理模块，提供REST接口给用户，用户调用创建SGB策略相关接口，下发安全组规则；SGB策略管理模块将规则信息写入SGB数据库模块，并通过SGB消息通知模块将规则信息发送给SGB功能实现模块，SGB功能实现模块通过neutron-openvswitch-agent extension来实现。

4.根据权利要求1所述的基于openstack实现安全组黑名单的方法，其特征在于，SGB功能实现模块配置好安全组黑名单规则后，从虚机出来的流量经过本机所在的计算节点的qbr桥时，会先在mangle表里匹配安全组黑名单规则，匹配到规则后，会被丢弃掉；若没匹配到安全组黑名单规则，则会将流量导入filter表里，继续匹配安全组白名单规则。

5.一种基于openstack实现安全组黑名单的系统，其特征在于，包括SGB策略管理模块、SGB消息通知模块、SGB功能实现模块和SGB数据库模块来实现，

SGB策略管理模块用于对外提供SGB相关接口，并负责SGB策略数据的配置管理，接收来自用户的SGB配置请求，并将策略信息通知给SGB功能实现模块，SGB功能实现模块通过neutron-openvswitch-agent extension来实现；

所述SGB功能实现模块运行在各个节点，接收从SGB策略管理模块发来的规则信息，对iptables和ipset进行配置：

在iptables的raw表里给虚机绑定的tap端口打标记；

在mangle表的neutron-openvswi-FORWARD链里根据标记将发往虚机或从虚机发出的流量引导到安全组黑名单的链里；

在mangle表的安全组黑名单链里下发规则来拒绝对应的流量；

若下发的规则里指定了远端安全组，则还需要在ipset里下发规则，将绑定该远端安全组的所有虚机的ip地址聚合到一个ipset中；

未匹配到的流量将导入iptables的filter表，继续按照neutron原有的安全组规则匹配。

6.根据权利要求5所述的基于openstack实现安全组黑名单的系统，其特征在于，所述SGB消息通知模块在接收到用户的SGB配置请求后，将SGB信息通知给SGB功能实现模块；接收SGB功能实现模块的请求，调用SGB策略管理模块来查询SGB信息；该模块通过RPC远程调用实现；

所述SGB数据库模块用于记录用户的SGB策略配置信息，为SGB策略管理模块和SGB功能实现模块提供数据来源。