本申请公开了一种防火墙设置方法、装置、设备及存储介质,本申请支持用户通过客户端调用防火墙服务接口,创建包含有逻辑防火墙信息的防火墙模型,将逻辑防火墙信息翻译成逻辑流表信息,该逻辑流表信息是以流表形式记录的逻辑防火墙信息,将逻辑流表信息翻译成交换机能够执行的指令,由交换机执行所述指令,以实现防火墙功能。本申请采用流表来实现逻辑防火墙信息,通过流表仅需要很少的资源即可实现防火墙功能,相比于现有的通用软件防火墙大大降低了资源的占用率。并且,当有新的防火墙规则出现时,仅需要针对该新增规则添加一条新的流表信息,经过翻译后即可被交换机执行,不需要对已有的防火墙进行重新部署,使得防火墙更新更加简单、快捷。快捷。快捷。
【技术实现步骤摘要】
防火墙设置方法、装置、设备及存储介质
[0001]本申请涉及互联网安全
,更具体的说,是涉及一种防火墙设置方法、装置、设备及存储介质。
技术介绍
[0002]防火墙是一种安全设备,它在网络的出口或者入口处。所有的内网向外网的流量或者外网流向内网的流量都必须经过防火墙,防火墙根据自身配置的规则,决定是否放行数据包。因此防火墙能够针对数据包做过滤,起到保护内网的作用。
[0003]现有的防火墙一般是基于软件编程实现的通用软件防火墙,如iptables,ipfire,clearOS等,这种通过软件编程由代码形成的软件防火墙,其部署的时候会占据大量的计算资源以及内存资源。并且防火墙功能是固定的,当有新的防火墙规则出现时,需要重新开发新的软件防火墙,并重新部署,操作复杂。
技术实现思路
[0004]鉴于上述问题,提出了本申请以便提供一种防火墙设置方法、装置、设备及存储介质,以解决现有通用软件防火墙所存在的部署占据资源量大,且更新方式复杂的问题。具体方案如下:
[0005]一种防火墙设置方法,包括:
[0006]接收客户端通过调用防火墙服务接口所创建的包含有逻辑防火墙信息的防火墙模型;
[0007]将所述逻辑防火墙信息翻译成逻辑流表信息,所述逻辑流表信息是以流表形式记录的逻辑防火墙信息;
[0008]将所述逻辑流表信息翻译成交换机能够执行的指令,并由所述交换机执行所述指令,以实现防火墙功能。
[0009]优选地,所述接收客户端通过调用防火墙服务接口所创建的包含有逻辑防火墙信息的防火墙模型,包括:
[0010]响应客户端调用防火墙服务接口并创建防火墙模型的请求,将客户端所创建的包含有逻辑防火墙信息的防火墙模型插入软件定义网络SDN的北向数据库中。
[0011]优选地,所述将所述逻辑防火墙信息翻译成逻辑流表信息,包括:
[0012]调用软件定义网络SDN的流表翻译中间件,将所述逻辑防火墙信息翻译成逻辑流表信息;
[0013]将所述逻辑流表信息插入SDN的南向数据库中。
[0014]优选地,所述将所述逻辑流表信息翻译成交换机能够执行的指令,包括:
[0015]调用所述SDN的控制器,从所述南向数据库中读取插入的所述逻辑流表信息,并将所述逻辑流表信息翻译成交换机能够执行的指令。
[0016]优选地,所述交换机上承载有虚拟交换机、虚拟路由器和防火墙,所述防火墙、所
述虚拟路由器和所述虚拟交换机依次连接,且所述虚拟交换机与部署的虚拟机连接;
[0017]所述虚拟路由器通过流表实现,所述南向数据库中存储有所述虚拟路由器的流表;
[0018]所述将所述逻辑流表信息插入SDN的南向数据库中,包括:
[0019]将所述逻辑流表信息插入所述南向数据库中所述虚拟路由器的流表中。
[0020]优选地,所述逻辑流表信息包括用于实现虚拟路由器的入口方向的防火墙的入口方向逻辑流表信息,以及,用于实现虚拟路由器的出口方向的防火墙的出口方向逻辑流表信息;
[0021]所述将所述逻辑流表信息插入所述南向数据库中所述虚拟路由器的流表中,包括:
[0022]将所述入口方向逻辑流表信息插入所述南向数据库中所述虚拟路由器的入口流表中,以及,
[0023]将所述出口方向逻辑流表信息插入所述南向数据库中所述虚拟路由器的出口流表中。
[0024]优选地,所述将所述入口方向逻辑流表信息插入所述南向数据库中所述虚拟路由器的入口流表中,包括:
[0025]将所述入口方向逻辑流表信息插入所述南向数据库中所述虚拟路由器的入口流表中,用于实现路由功能的各条流表项之前的位置;
[0026]所述将所述出口方向逻辑流表信息插入所述南向数据库中所述虚拟路由器的出口流表中,包括:
[0027]将所述出口方向逻辑流表信息插入所述南向数据库中所述虚拟路由器的出口流表中,用于实现路由功能的各条流表项之后的位置。
[0028]优选地,所述逻辑流表信息包含基于用户设置的第一防火墙规则,即过滤满足用户设置的过滤规则的数据包,并放行不满足用户设置的过滤规则的数据包。
[0029]优选地,所述逻辑流表信息还包括基于状态匹配的第二防火墙规则,即针对基于所述第一防火墙规则过滤的数据包,对所述数据包的状态进行匹配,若确定与设定目标状态匹配,则将所述数据包丢弃,否则,将所述数据包放行。
[0030]一种防火墙设置装置,包括:
[0031]防火墙创建单元,用于接收客户端通过调用防火墙服务接口所创建的包含有逻辑防火墙信息的防火墙模型;
[0032]逻辑防火墙信息翻译单元,用于将所述逻辑防火墙信息翻译成逻辑流表信息,所述逻辑流表信息是以流表形式记录的逻辑防火墙信息;
[0033]逻辑流表信息翻译单元,用于将所述逻辑流表信息翻译成交换机能够执行的指令,并由所述交换机执行所述指令,以实现防火墙功能。
[0034]一种防火墙设置设备,包括:存储器和处理器;
[0035]所述存储器,用于存储程序;
[0036]所述处理器,用于执行所述程序,实现如上所述的防火墙设置方法的各个步骤。
[0037]一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如上所述的防火墙设置方法的各个步骤。
[0038]借由上述技术方案,本申请支持用户通过客户端调用防火墙服务接口,并创建包含有逻辑防火墙信息的防火墙模型,进而将逻辑防火墙信息翻译成逻辑流表信息,该逻辑流表信息是以流表形式记录的逻辑防火墙信息,将所述逻辑流表信息翻译成交换机能够执行的指令,进而可以由所述交换机执行所述指令,以实现防火墙功能。本申请采用OpenFlow通信协议下的流表来实现逻辑防火墙信息,通过流表仅需要很少的资源即可实现防火墙功能,相比于现有的通用软件防火墙大大降低了资源的占用率。并且,当有新的防火墙规则出现时,仅需要针对该新增规则添加一条新的流表信息,经过翻译后即可被交换机执行,不需要对已有的防火墙进行重新部署,使得防火墙更新更加简单、快捷。
附图说明
[0039]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本申请的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0040]图1为本申请实施例提供的防火墙设置方法的一流程示意图;
[0041]图2示例了一种私有云总体网络拓扑架构示意图;
[0042]图3示例了另一种私有云总体网络拓扑架构示意图;
[0043]图4示例了一种防火墙模型数据组成结构示意图;
[0044]图5示例了一种基于SDN实现防火墙设置的过程示意图;
[0045]图6为本申请实施例公开的一种防火墙设置装置结构示意图;
[0046]图7为本申请实施例提供的防火墙设置设备的结构示意图。
具体本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种防火墙设置方法,其特征在于,包括:接收客户端通过调用防火墙服务接口所创建的包含有逻辑防火墙信息的防火墙模型;将所述逻辑防火墙信息翻译成逻辑流表信息,所述逻辑流表信息是以流表形式记录的逻辑防火墙信息;将所述逻辑流表信息翻译成交换机能够执行的指令,并由所述交换机执行所述指令,以实现防火墙功能。2.根据权利要求1所述的方法,其特征在于,所述接收客户端通过调用防火墙服务接口所创建的包含有逻辑防火墙信息的防火墙模型,包括:响应客户端调用防火墙服务接口并创建防火墙模型的请求,将客户端所创建的包含有逻辑防火墙信息的防火墙模型插入软件定义网络SDN的北向数据库中。3.根据权利要求1所述的方法,其特征在于,所述将所述逻辑防火墙信息翻译成逻辑流表信息,包括:调用软件定义网络SDN的流表翻译中间件,将所述逻辑防火墙信息翻译成逻辑流表信息;将所述逻辑流表信息插入SDN的南向数据库中。4.根据权利要求3所述的方法,其特征在于,所述将所述逻辑流表信息翻译成交换机能够执行的指令,包括:调用所述SDN的控制器,从所述南向数据库中读取插入的所述逻辑流表信息,并将所述逻辑流表信息翻译成交换机能够执行的指令。5.根据权利要求3所述的方法,其特征在于,所述交换机上承载有虚拟交换机、虚拟路由器和防火墙,所述防火墙、所述虚拟路由器和所述虚拟交换机依次连接,且所述虚拟交换机与部署的虚拟机连接;所述虚拟路由器通过流表实现,所述南向数据库中存储有所述虚拟路由器的流表;所述将所述逻辑流表信息插入SDN的南向数据库中,包括:将所述逻辑流表信息插入所述南向数据库中所述虚拟路由器的流表中。6.根据权利要求5所述的方法,其特征在于,所述逻辑流表信息包括用于实现虚拟路由器的入口方向的防火墙的入口方向逻辑流表信息,以及,用于实现虚拟路由器的出口方向的防火墙的出口方向逻辑流表信息;所述将所述逻辑流表信息插入所述南向数据库中所述虚拟路由器的流表中,包括:将所述入口方向逻辑流表信息插入所述南向数据库中所...
【专利技术属性】
技术研发人员:刘年超,
申请(专利权)人:科大讯飞股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。