[发明专利]用于配置防火墙的方法、安全管理系统和计算机可读介质

说明书

本公开涉及基于SDN虚拟防火墙的安全组信息的边界防火墙的自动配置。描述了用于基于与在数据中心内的一个或多个软件定义网络(SDN)内操作的内部虚拟防火墙相关联的安全组信息来配置被定位在数据中心的边界上的一个或多个边界防火墙的技术。例如，安全管理系统(SMS)可以访问用于数据中心内的SDN的集中式网络控制器(CNC)以获得用于SDN的虚拟防火墙的安全组信息，其中安全组信息指定由虚拟防火墙保护的软件定义网络的虚拟机集群；以及利用SMS基于来自SDN的虚拟防火墙的安全组信息来利用一个或多个安全策略自动地配置被定位在数据中心的边缘上的边界防火墙。

相关申请的交叉引用

本申请要求于2019年2月26日提交的美国申请第16/286,190号的权益，其全部内容通过引用并入本文。

技术领域

本公开总体上涉及计算机网络，并且更特别地涉及配置防火墙策略。

背景技术

在典型的云数据中心环境中，存在提供计算和/或存储能力以运行各种应用的大量的相互连接的服务器。例如，数据中心可以包括托管用于订户(即，数据中心的客户)的应用和服务的设施。数据中心可以例如托管所有基础设施设备，诸如联网和存储系统、冗余功率和环境控制。在典型的数据中心中，存储系统和应用服务器的集群通过由物理网络交换机和路由器的一个或多个层提供的交换机结构相互连接。更复杂的数据中心利用被定位在各种物理主机设施中的订户支持设备来提供遍布全世界的基础设施。

虚拟化数据中心正变为现代信息技术(IT)基础设施的核心基础。特别地，现代数据中心具有广泛利用的虚拟化环境，其中虚拟主机(诸如虚拟机或容器)在物理计算设备的底层计算平台上部署和执行。在一些示例中，基础设施可以包括与各种虚拟资源(诸如虚拟服务器、代理和/或策略控制器)连接和通信的物理设备的组合，物理设备可以被称为“底层资源”，并且所述虚拟资源可以被称为“覆盖资源”。

安全设备(诸如防火墙)为数据中心提供网络安全。防火墙可以包括虚拟防火墙或者物理防火墙。虚拟防火墙(诸如在虚拟机上托管的防火墙)为在虚拟网络中流动的网络流量提供网络安全。物理防火墙(诸如在硬件上实现的防火墙)为在物理网络中流动的网络流量提供网络安全。不同的供应者可以提供安全设备，其可以在一些实例中为开放系统互连(OSI)模型的不同层提供网络安全。

发明内容

总体而言，本公开描述了用于基于与在数据中心内的一个或多个软件定义网络(SDN)内操作的内部虚拟防火墙相关联的安全组信息来配置被定位在数据中心的边缘上的一个或多个边界防火墙的技术。例如，第一实体可以提供集中式网络控制器(CNC)(例如，SDN控制器)以促进数据中心内的一个或多个虚拟网络(即，软件定义网络)的操作。更特别地，用户可以使用CNC管理在数据中心的一个或多个计算节点(例如，服务器)上执行的虚拟防火墙和虚拟机。CNC用于定义安全组信息，其定义待由通过虚拟防火墙实现的一个或多个安全策略保护的虚拟机集群。虚拟防火墙为数据中心的虚拟网络(诸如在数据中心内的虚拟机集群之间流动的流量，在此被称为“东-西”流量)提供网络安全。第二实体可以提供被定位在数据中心的边缘上的边界防火墙，其为数据中心的物理网络(诸如进入和/或外出数据中心的流量，在此被称为“南-北”流量)提供网络安全。根据本公开中所描述的技术，边界防火墙的配置可以利用安全组信息，其被配置用于虚拟防火墙将网络安全扩展到数据中心的边界水平。

在此所公开的技术的一个示例包括第二实体的安全管理系统，其被用于创建、维护和应用用于边界防火墙的网络安全策略。安全管理系统可以与第一实体的CNC对接以获得被配置用于虚拟防火墙的安全组信息。安全管理系统可以映射安全组信息作为地址组信息，并且创建使用地址组信息的防火墙策略。安全管理系统将防火墙策略发布到边界防火墙，使得边界防火墙为在从安全组信息标识的虚拟机集群与数据中心外部的设备之间流动的流量提供网络安全。以这种方式，被配置用于虚拟防火墙为用于虚拟机集群的东-西流量提供网络安全的安全组信息可以被用于将边界防火墙配置用于为用于虚拟机集群的南-北流量提供网络安全。