[发明专利]一种分布式防火墙定义方法及系统

说明书

本发明公开了一种分布式防火墙定义方法及系统，该方法包括：防火墙组件实时监听防火墙事件，并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中；OVN数据库将防火墙配置信息转换为相应的策略路由，利用策略路由对自身所存储的数据进行防火墙事件对应的处理，并将进行防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器；OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块，OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。可见，本申请能够实现安全防护隔离的同时，避免出现网络拥塞等网络问题。

技术领域

本发明涉及防火墙技术领域，更具体地说，涉及一种分布式防火墙定义方法及系统。

背景技术

Openstack（开源框架，应用于云计算领域中）云计算的快速发展，带来资源整合优势的同时也带来较多的使用风险，比如网络带宽的瓶颈问题；对于网络带宽问题，通常采用各种限速或者流量过滤分流的方法来解决，但是这些方法面临的网络威胁较大，因此如何合理而又高效的实现网络带宽的合理分配，同时保证网络安全是当前无法回避的问题。

目前在基于Openstack框架部署私有云平台的应用场景中，通常是通过在Openstack原生的Virtual Router（虚拟路由器）上添加iptables（ip规则表）规则，来实现对进出虚拟网络数据包的控制；这种借助于原生Virtual Router上添加iptables规则的方式，由于对于流量的过滤集中在L3 agent上，因此导致当突发流量时，无法实现安全防护隔离的同时，还会出现如网络拥塞等网络问题。

发明内容

本发明的目的是提供一种分布式防火墙定义方法及系统，能够实现安全防护隔离的同时，避免出现网络拥塞等网络问题。

为了实现上述目的，本发明提供如下技术方案：

一种分布式防火墙定义方法，包括：

防火墙组件实时监听防火墙事件，并将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库中；

所述OVN数据库将所述防火墙配置信息转换为相应的策略路由，利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理，并将进行所述防火墙事件对应处理导致自身所存储的数据中发生变化的数据分别发送至位于各计算节点上的OVN控制器；

所述OVN控制器将接收到的数据发送至所在计算节点上的OVS守护模块，所述OVS守护模块将接收到的数据存储在内存中用于实现报文的转发。

优选的，所述防火墙组件将当前监听到的防火墙事件对应防火墙配置信息发送至OVN数据库之前，还包括：

所述防火墙组件确定当前监听到的防火墙事件为防火墙创建事件，判断网络服务器中是否存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器，如果是，则基于所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器提取构造相应策略路由所需的各项参数信息，并确定提取的各项参数信息为相应的防火墙配置信息，如果否，则退出所述防火墙创建事件的处理；

相应的，所述OVN数据库利用所述策略路由对自身所存储的数据进行所述防火墙事件对应的处理，包括：

所述OVN数据库存储所述策略路由。

优选的，所述防火墙组件确定网络服务器中存在所述防火墙创建事件对应防火墙的防火墙策略、防火墙策略规则以及关联路由器之后，还包括：

所述防火墙组件遍历与所述防火墙创建事件对应防火墙的关联路由器，并在遍历到任意关联路由器时，在该任意关联路由器下创建预设默认的防火墙策略规则。

优选的，所述OVN数据库存储所述策略路由之前，还包括：