[发明专利]分布式虚拟防火墙装置及方法

说明书

技术领域

本发明涉及计算机网络技术领域，尤其涉及一种分布式虚拟防火墙装置及方法。

背景技术

传统的云网络安全解决方案中，对于虚拟网络的东西向网络流量控制，可分为基于虚拟交换机的配置访问控制列表(AccessControlList，简称ACL)控制策略和在虚拟机内运行虚拟防火墙软件两种解决方案。基于虚拟交换机的ACL控制策略的实现方案，存在可配置策略不够丰富、灵活及控制策略无法识别业务层数据的不足的缺点；而基于虚机的防火墙软件，存在组网要求苛刻、配置策略复杂以及存在性能瓶颈等缺点。

发明内容

本发明要解决的技术问题是，提供一种分布式虚拟防火墙装置及方法，用以解决现有技术中存在可配置策略不够丰富、灵活及控制策略无法识别业务层数据的不足等问题。

一方面，本发明提供了所述防火墙控制器，部署在云计算管理节点上，将配置信息和防火墙策略信息下发给所述防火墙模块；

所述防火墙模块，部署在主机节点上，根据接收到的所述配置信息和所述防火墙策略信息，对虚拟交换机vSwitch中的网络流量进行过滤或转发。

进一步的，所述防火墙控制器，还用于接收用户设置的防火墙策略信息，将满足预设条件的所述防火墙策略信息发送给所述防火墙模块。

进一步的，所述将满足预设条件的所述防火墙策略信息发送给所述防火墙模块，包括：

所述防火墙控制器将所述防火墙策略信息与预设的实施性标准进行比较，当所述防火墙策略信息符合所述实施性标准时，所述防火墙控制器将所述防火墙策略信息发送给所述防火墙模块。

进一步的，所述防火墙控制器将所述防火墙策略信息与预设的实施性标准进行比较，包括：

所述防火墙控制器采用递归树Trie的方式将所述防火墙策略信息与所述预设的实施性标准进行比较。

进一步的，所述防火墙控制器通过RestAPI接口或代理程序执行命令行接口，将所述配置信息和所述防火墙策略信息下发给所述防火墙模块；所述防火墙模块通过钩子函数hook抓取所述vSwitch中的网络流量。

另一方面，本发明还提供一种分布式虚拟防火墙方法，包括：

将配置信息和防火墙策略信息下发给防火墙模块；

根据接收到的所述配置信息和所述防火墙策略信息，对虚拟交换机vSwitch中的网络流量进行检测过滤。

进一步的，所述方法还包括：接收用户设置的防火墙策略信息，将满足预设条件的防火墙策略信息发送给所述防火墙模块。

进一步的，所述将满足预设条件的防火墙策略信息发送给所述防火墙模块，包括：

所述防火墙策略信息与预设的实施性标准进行比较，当所述防火墙策略信息符合所述实施性标准时，将所述防火墙策略信息发送给所述防火墙模块。

进一步的，所述将所述防火墙策略信息与预设的实施性标准进行比较，包括：

采用递归树Trie的方式将所述防火墙策略信息与所述预设的实施性标准进行比较。

进一步的，防火墙控制器通过RestAPI接口或代理程序执行命令行接口，将所述配置信息和所述防火墙策略信息下发给所述防火墙模块，所述防火墙模块通过钩子函数hook抓取所述vSwitch中的网络流量。

采用上述技术方案，本发明至少具有下列优点：

本发明提供的分布式虚拟防火墙装置及方法，通过防火墙模块根据接收到的配置信息和防火墙策略，可以快速的对虚拟交换机vSwtich上的网络流量进行检测过滤，规避了组网中的性能瓶颈，具有配置策略丰富、灵活等特点。

附图说明

图1为本发明第一实施例中分布式虚拟防火墙装置示意图；

图2为本发明第二实施例中分布式虚拟防火墙方法的流程图；

图3为本发明第三实施例中系统部署架构的应用示意图。

具体实施方式

为了解决现有技术中解决现有技术中存在可配置策略不够丰富、灵活及控制策略无法识别业务层数据的不足等问题，本发明提供了一种分布式虚拟防火墙装置及方法，以下结合附图以及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不限定本发明。

本发明第一实施例，一种分布式虚拟防火墙装置。

图1为本发明第一实施例中分布式虚拟防火墙装置示意图。

如图1所示，实施例中本发明提供的分布式虚拟防火墙装置包括：防火墙模块10和防火墙控制器20。