[发明专利]一种裸金属安全控制方法

说明书

本发明提供了一种裸金属安全控制方法，内网流量上墙的方案主要是通过添加静态路由，让整个VPC的流量默认先到达防火墙，在防火墙上做安全控制，通过在防火墙上下发安全策略，到达防火墙的流量进行匹配，由防火墙上的策略来决定当前的流量是内网流量或者外网流量，根据匹配的结果对当前的流量进行处理。本发明有益效果：裸金属支持安全控制，为裸金属提供可控的访问控制规则，同时无需增加新的设备和智能网卡支持安全控制功能，节约成本。

技术领域

本发明属于网络技术安全领域，尤其是涉及一种裸金属安全控制方法。

背景技术

裸金属服务的优势是用户独占计算资源，无虚拟化性能开销和特性损失，同时提供硬盘备份能力，裸金属服务器之间高吞吐、低时延网络，为租户提供优秀的计算能力。但是目前安全策略都是在ovs流表里面限制的。通过黑白名单进行安全的管控，但是裸金属不支持ovs流表做限制，通过ovs流表做安全控制不可行。

发明内容

有鉴于此，本发明旨在提出一种裸金属安全控制方法，以解决上述问题中的不足之处。

为达到上述目的，本发明的技术方案是这样实现的：

一种裸金属安全控制方法，内网流量上墙的方案主要是通过添加静态路由，让整个VPC的流量默认先到达防火墙，在防火墙上做安全控制，通过在防火墙上下发安全策略，到达防火墙的流量进行匹配，由防火墙上的策略来决定当前的流量是内网流量或者外网流量，根据匹配的结果对当前的流量进行处理。

进一步的，包括以下步骤：

S1、虚机上线找到裸金属所连接的交换机；

S2、在此交换机上下发VPC的基本配置；

S3、VPC基本配置下发成功后，如果支持内网流量上墙的需求，则下发该VPC下子网流量默认的流向为防火墙，在防火墙上下发内网回程的路由；

S4、充分利用防火墙特性，在防火墙上下发安全控制的策略。

一种电子设备，包括处理器以及与处理器通信连接，且用于存储所述处理器可执行指令的存储器，所述处理器用于执行上述一种裸金属安全控制方法。

一种服务器，包括至少一个处理器，以及与所述处理器通信连接的存储器，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，以使所述至少一个处理器执行一种裸金属安全控制方法。

一种计算机可读取存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现一种裸金属安全控制方法。

相对于现有技术，本发明所述的一种裸金属安全控制方法具有以下有益效果：

(1)本发明所述的裸金属支持安全控制，为裸金属提供可控的访问控制规则。

(2)本发明所述的一种裸金属安全控制方法无需增加新的设备和智能网卡支持安全控制功能，节约成本。

附图说明

构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明实施例所述的现有的网络东西向的模型示意图；

图2为本发明实施例所述的一种裸金属安全控制方法示意图。

具体实施方式

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面将参考附图并结合实施例来详细说明本发明。