[发明专利]面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法

说明书

技术领域

本发明属于云计算和网络安全防火墙技术领域，具体涉及一种面向云数据中心环境防火墙即服务的并行防火墙规则异常检测的方法。

背景技术

随着互联网的发展与普及，网络安全问题引起了产业界与学术界的广泛关注。作为内部网络抵御外部威胁的第一道门槛，防火墙的安全性和可靠性至关重要。防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。设置防火墙的目的是为了在内部网络与外部网络之间设立唯一的通道，简化网络安全的管理。

对于流经防火墙的网络流量，防火墙会对其中的数据包进行检测，对那些不符合防火墙策略的数据包进行过滤。实施过滤的原则主要基于数据包中的源/目的地址、源/目的端口号、IP标识和报文传递的方向等具体信息。正因为防火墙的设计简单，非常易于实现，而且价格便宜，所以防火墙被广泛地部署在计算机系统中。也正因为防火墙得到了广泛地应用，所以对如何提高防火墙性能，如何方便地使用防火墙一直是学术研究的热点。

现今，云计算提供“服务”的范围越来越广。除了传统的IaaS，PaaS，SaaS之外，现在已经有了存储即服务(SaaS, Storage as a Service)，网络即服务(NaaS, Network as a Service)，监测即服务(MaaS, Monitoring as a Service)和认证即服务(AaaS, Authentication as a Service)等其他类型的服务。甚至业界已经提出了一切皆服务( XaaS, X as a Service)。这意味着在云数据中心环境下，有越来越多的功能会以“服务”的形式提供给租户。所以为了使未来下一代防火墙能更好地应用在云计算环境中，防火墙需要服务化和虚拟化。防火墙应该作为一种服务提供给消费者，即防火墙即服务(FWaaS, Firewall as a Service)防火墙规则检测是一个智能化的防火墙中必须拥有的一个模块。众所周知，防火墙策略管理是一个非常有挑战的工作，因为防火墙规则之间有着复杂的相互依赖交叉关系。由于云数据中心环境下的网络越来越庞大，防火墙资源被服务化和虚拟化，防火墙的规则也越来越多，尤其云数据中心环境中的租户可以通过租用多条虚拟防火墙来组成自己的并行防火墙，这就出现了多个并行防火墙规则发生冲突的问题。如何保证防火墙规则的正确性和避免冲突是一个难题。因此，本设计侧重于设计面向云数据中心环境防火墙即服务的并行防火墙中规则异常检测的方法。