[发明专利]一种公有云网络流量安全的实现方法

说明书

本发明提供了一种公有云网络流量安全的实现方法，当用户有VPC与VPC或者VPC与云外网络的流量安全的需求时，可以创建一条或者多条安全策略，并配置安全策略的五元组和优先级以及执行动作。用户不需要安全策略后，可将安全策略删除，当VPC未绑定任何安全策略时，VPC会将默认的全放行的规则还原，使VPC不再进行安全保护。本发明有益效果：一种公有云网络流量安全的实现方法，利用防火墙域间策略来实现VPC与VPC、VPC与云外网络互通时增加安全策略的目的，保障了进出VPC的网络流量安全。

技术领域

本发明属于公有云网络领域，尤其是涉及一种公有云网络流量安全的实现方法。

背景技术

虚拟私有云(VPC)是一个公共云计算资源的动态配置池，需要使用加密协议、隧道协议和其他安全程序，一个VPC基本上把提供商的多租户架构变成单租户架构。VPC为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。VPC是用户在云厂商中的购买搭建的一个基础云网络环境，用户通过VPC可以安全、方便快捷的配置和管理内部网络，可以自定义很多的网络产品和配置，根据自己的需求构建一个专属自己的网络拓扑。

VPC为用户提供了一个专属的网络环境，可以弹性配置VPC内部的网络和云服务器，很好的满足了用户对于弹性网络和网络安全的需求。但是作为用户私有的网络环境，如何保证网络流量的安全，是个大问题。

发明内容

有鉴于此，本发明旨在提出一种公有云网络流量安全的实现方法，实现用户可自行配置安全策略，利用云防火墙来实现对VPC与VPC南北向流量、VPC与Internet网络(云外网络)流量的安全保护和限制。

为达到上述目的，本发明的技术方案是这样实现的：

一种公有云网络流量安全的实现方法，其特征在于：

用户创建安全策略，指定源VPC和目的VPC；

程序根据用户创建的安全策略，查源和目的VPC是否有过安全策略，有则按优先级顺序重新排序后下发到防火墙的域间策略上，没有则把VPC默认的全放行的域间策略规则删除，再将创建的安全策略下发到域间策略上，安全策略索引值按照索引值算法去分配；

当用户删除安全策略时，首先将安全策略规则删除，并将索引值回收，再查询同一个VPC下是否还存在安全策略，若存在则无继续操作，若是VPC的最后一条安全策略，则在删除用户创建的安全策略的同时还需要把VPC默认的全放行的安全策略恢复。

进一步的，VPC与VPC之间互通策略如下：

A1、首先创建VPC1和VPC2的安全策略，然后进行步骤A2和步骤A5；

A2、判断VpcZone1-EXTERNAL是否已创建过安全策略规则，如果会则进行步骤A3，否则进行步骤A4,；

A3、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表，然后进行步骤A8；

A4、删除VPC1默认的VpcZone1-EXTERNAL和域间策略，新策略加入待下发的安全策略列表中，然后进行步骤A8；

A5、判断EXTERNAL-VpcZone2是否已创建过安全策略规则，如果是则进行步骤A6，否则进入步骤A7；

A6、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表，然后进行步骤A8；

A7、删除VPC1默认的VpcZone1-EXTERNAL和域间策略，新策略加入待下发的安全策略列表中，然后进行步骤A8；

A8、将最新有序的安全策略列表中的安全策略批量下发到设备上；