[发明专利]一种FWaaS安全域配置方法及装置

说明书

技术领域

本申请涉及通信技术领域，尤其涉及一种FWaaS安全域配置方法及装置。

背景技术

OpenStack是一个开源的云计算管理平台项目，由几个主要的组件组合起来完成具体工作。其目标是提供实施简单、可大规模扩展、丰富、标准统一的云计算管理平台。OpenStack覆盖了网络、虚拟化、操作系统、服务器等各个方面，通过所包含的多个组件，提供计算、网络、存储等核心服务，以及FWaaS(FireWall as a Service，防火墙即服务)等扩展服务。其中OpenStack自身的FWaaS，由于FWaaS配置界面不能配置类似于传统防火墙的安全域功能，即OpenStack自身的FWaaS不包含安全域配置功能，导致FWaaS功能不够完善，存在缺陷。相应的由于OpenStack中FWaaS无法配置安全域功能，在网络设备这一侧目前只能通过硬编码的方式来生成安全域，使每一个虚拟防火墙都有一个特定名称的安全域，其生成的安全域具有单一性，且是在后台运行无法展示出来，对于网络设备拥有的硬件设备安全域，无法发挥其应有的功能。

发明内容

有鉴于此，本申请提供一种FWaaS安全域配置方法及装置。

具体地，本申请是通过如下技术方案实现的：

一种FWaaS安全域配置方法，应用于OpenStack，所述方法包括：

获取待配置的FWaaS规则，其包含源安全域字段和目的安全域字段；

获取为内网安全域预先设置的内网标识和为外网安全域预先设置的外网标识；

为所述待配置的FWaaS规则中的源安全域字段配置内网标识或外网标识，以及为所述待配置的FWaaS规则中的目的安全域字段配置内网标识或外网标识。

一种基于FWaaS安全域配置方法的FWaaS安全域生成方法，应用于网络设备，所述方法包括：

获取所述OpenStack下发的策略，所述策略由用户在OpenStack中配置好的FWaaS规则形成；

获取用户指定的目标虚拟路由器；

将预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联；

在所述预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联之后，生成所述目标虚拟路由器对应的FWaaS安全域。

一种FWaaS安全域配置装置，应用于OpenStack，所述装置包括：

FWaaS规则获取单元，用于获取待配置的FWaaS规则，其包含源安全域字段和目的安全域字段；

标识获取单元，用于获取为内网安全域预先设置的内网标识和为外网安全域预先设置的外网标识；

FWaaS规则配置单元，用于为所述待配置的FWaaS规则中的源安全域字段配置内网标识或外网标识，以及为所述待配置的FWaaS规则中的目的安全域字段配置内网标识或外网标识。

一种基于FWaaS安全域配置装置的FWaaS安全域生成装置，应用于网络设备，所述装置包括：

策略获取单元，用于获取所述OpenStack下发的策略，所述策略由用户在OpenStack中配置好的FWaaS规则形成；

目标虚拟路由器获取单元，用于获取用户指定的目标虚拟路由器；

关联单元，用于将预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联；

FWaaS安全域生成单元，用于在所述预先创建的虚拟防火墙与所述策略以及所述目标虚拟路由器关联之后，生成所述目标虚拟路由器对应的FWaaS安全域。

本方案根据虚拟路由器提供的内网与外网的交互服务，确定内网为内网安全域，确定外网为外网安全域，并为内网安全域与外网安全域设置相应的内网标识和外网标识；将获取的待配置的FWaaS规则中的源安全域字段配置内网标识或外网标识，待配置的FWaaS规则中的目的安全域字段可以配置内网标识或外网标识。将所述配置好的FWaaS规则形成策略下发到网络设备，将预先创建的虚拟防火墙与所述策略以及用户指定的目标虚拟路由器关联之后，生成所述目标虚拟路由器对应的FWaaS安全域。与现有技术方案相比，OpenStack中FWaaS配置界面可以配置FWaaS安全域，可以充分发挥硬件设备安全域应有的功能。生成的FWaaS安全域，一台虚拟路由器对应两个安全域，可以区分源安全域和目的安全域；用户层面无接口概念，可以降低运维难度；可以随时查看与FWaaS规则对应的FWaaS安全域。

附图说明