[发明专利]一种基于openstack实现安全组黑名单的方法及系统

说明书

本发明公开了基于openstack实现安全组黑名单的方法及系统，属于云计算和计算机网络技术领域，通过扩展neutron的service‑plugin和openvswitch‑agentextension来实现安全组黑名单，在iptables的raw表中对虚机绑定的tap端口进行标记，根据标记，在iptables的mangle表里将进出虚机的流量导入到安全组黑名单的链中，根据黑名单规则进行匹配；未匹配到的流量将导入iptables的filter表，继续按照neutron原有的安全组规则匹配。本发明让openstack不仅支持创建安全组白名单，而且支持安全组黑名单，实现了更灵活的安全组机制。

技术领域

本发明涉及云计算和计算机网络技术领域，具体地说是一种基于openstack实现安全组黑名单的方法及系统。

背景技术

在openstack中，虚机通过绑定安全组来限制自身与外界的通信。Openstack的安全组通过linux iptables实现，通过下发相应的iptables规则来放行或拒绝进出虚机的流量。

安全组分为白名单和黑名单两种。白名单的默认规则是drop掉所有的流量，优先级最低，通过下发优先级更高的accept规则，来放行相应规则的流量；黑名单的默认规则是accept所有的流量，优先级最低，通过下发优先级更高的drop规则，来拒绝相应规则的流量。目前openstack仅支持安全组白名单。

发明内容

本发明的技术任务是针对以上不足之处，提供一种基于openstack实现安全组黑名单的方法及系统，让openstack不仅支持创建安全组白名单，而且支持安全组黑名单，实现了更灵活的安全组机制。

本发明解决其技术问题所采用的技术方案是：

一种基于openstack实现安全组黑名单的方法，该方法通过扩展neutron的service-plugin和openvswitch-agent extension来实现安全组黑名单，

在iptables的raw表中对虚机绑定的tap端口进行标记，根据标记，在iptables的mangle表里将进出虚机的流量导入到安全组黑名单的链中，根据黑名单规则进行匹配；未匹配到的流量将导入iptables的filter表，继续按照neutron原有的安全组规则匹配。

该方法依据neutron的扩展性，通过service插件提供策略管理功能。用户可以仅使用安全组黑名单或白名单，也可以黑名单白名单混合使用，从而实现安全策略的灵活配置。

进一步的，若用户指定远端安全组，则利用ipset将远端安全组的所有虚机成员设置成一个ipset。

优选的，启用SGB策略管理模块，即neutron的service-plugin插件，提供REST接口给用户，用户调用创建SGB策略相关接口，下发安全组规则；

SGB策略管理模块将规则信息写入SGB数据库模块，并通过SGB消息通知模块将规则信息发送给SGB功能实现模块；

SGB功能实现模块通过neutron-openvswitch-agent extension来实现。

所述安全组规则包括协议号、端口、方向、远程安全组和远程CIDR。

进一步的，所述SGB功能实现模块用于管理数据平面节点（计算节点）的iptables和ipset，

1）、在iptables的raw表里给虚机绑定的tap端口打标记；

2）、在mangle表的neutron-openvswi-FORWARD链里根据标记将发往虚机或从虚机发出的流量引导到安全组黑名单的链里；

3）、在mangle表的安全组黑名单链里下发规则来拒绝对应的流量；