[发明专利]一种防火墙设置方法、系统、设备及计算机可读存储介质

权利要求书

1.一种防火墙设置方法，其特征在于，应用于网络虚拟化平台，包括：

确定目标路由器中待配置防火墙的各个目标端口；

创建与各个所述目标端口对应的路由器作为防火墙路由器；

创建逻辑交换机；

基于所述逻辑交换机，将所述目标路由器与对应的所述防火墙路由器相连接；

将所述目标端口添加至对应的所述防火墙路由器中；

其中，所述创建与各个所述目标端口对应的路由器作为防火墙路由器，包括：

通过ovn创建与各个所述目标端口对应的路由器作为所述防火墙路由器；

所述创建逻辑交换机，包括：

通过所述ovn创建所述逻辑交换机；

所述基于所述逻辑交换机，将所述目标路由器与对应的所述防火墙路由器相连接，包括：

基于所述逻辑交换机，通过所述ovn将所述目标路由器与对应的所述防火墙路由器相连接；

所述将所述目标端口添加至对应的所述防火墙路由器中，包括：

通过所述ovn将所述目标端口添加至对应的所述防火墙路由器中；

其中，所述通过所述ovn将所述目标端口添加至对应的所述防火墙路由器中之后，还包括：

获取各个所述目标端口的防火墙策略；

将所述防火墙策略翻译为ovn中逻辑路由器策略中的match；

将所述match封装成目标逻辑路由器策略；

将所述目标逻辑路由器策略下发至对应的所述防火墙路由器中。

2.根据权利要求1所述的方法，其特征在于，所述基于所述逻辑交换机，将所述目标路由器与对应的所述防火墙路由器相连接，包括：

对于待连接的每对所述目标路由器与所述防火墙路由器，均选取第一IP和第二IP；基于所述第一IP在所述目标路由器中创建第一逻辑路由器端口；基于所述第二IP在所述防火墙路由器中创建第二逻辑路由器端口；在所述逻辑交换机上创建第一逻辑交换机端口和第二逻辑交换机端口；将所述第一逻辑交换机端口与所述第一逻辑路由器端口相连接，将所述第二逻辑交换机端口与所述第二逻辑路由器端口相连接。

3.根据权利要求2所述的方法，其特征在于，所述将所述第二逻辑交换机端口与所述第二逻辑路由器端口相连接之后，还包括：

在所述目标路由器中创建第一静态路由，并设置将访问所述目标端口的流量导至所述目标端口对应的所述防火墙路由器；在所述防火墙路由器中创建第二静态路由，并设置将访问所述目标端口的流量导至所述目标路由器。

4.根据权利要求3所述的方法，其特征在于，所述选取第一IP和第二IP，包括：

在预设网段中，选取未被使用过的目标子网，所述目标子网包括30位掩码；

选取所述目标子网的中间两个IP分别作为所述第一IP和所述第二IP。

5.根据权利要求2所述的方法，其特征在于，所述创建与各个所述目标端口对应的路由器作为防火墙路由器，包括：

获取所述目标路由器的路由器ID；

确定所述目标端口对应的防火墙策略ID；

以所述路由器ID和各个所述目标端口对应的所述防火墙策略ID为输入key，创建与各个所述目标端口对应的所述防火墙路由器。

6.根据权利要求5所述的方法，其特征在于，所述创建逻辑交换机，包括：

以所述路由器ID为输入key，创建所述逻辑交换机。

7.根据权利要求1所述的方法，其特征在于，所述将所述目标端口添加至对应的所述防火墙路由器中，包括：

对于每个所述目标端口，均设置所述目标路由器中的所述目标端口不生效；确定所述目标端口所属的目标网段，将所述目标网段添加至所述目标路由器的第一静态路由中，并指向所述目标端口对应的所述防火墙路由器；在所述防火墙路由器中创建第三逻辑路由器端口，并将所述第三逻辑路由器端口的networks属性设置为所述目标端口的IP地址；在所述目标端口对应的所述逻辑交换机上，创建第三逻辑交换机端口，并将所述第三逻辑交换机端口与所述第三逻辑路由器端口相连接。