基于openstack云平台的软件定义防火墙的部署优化方法技术

本发明专利技术公开了一种基于openstack云平台的软件定义防火墙的部署优化方法，以防火墙作为FWAAS标准接口的具体实现模块；以租户业务划分业务安全域；独立的业务安全域内实现安全资源池化管理；安全资源池内的安全资源采用预分配机制；使用优化调度模块，能够根据租户对流量的需求，在创建防火墙时，动态地在安全业务域内选取节点，将防火墙实例部署在满足租户需求的安全节点内。本发明专利技术方法能够快速响应租户对安全业务的需求；通过优化调度模块为Openstack的FWAAS提供了快速部署安全业务的能力；通过业务安全域模块，分离了不同业务对应的安全需求，租户能够快速获取防火墙实例，从而快速配置安全策略，避免Openstack原有方案中存在防火墙实例部署慢、响应不及时等问题。 1

Software defined Firewall deployment optimization method based on openstack cloud platform

This invention discloses a deployment optimization method of software definition firewall based on openstack cloud platform, which uses firewalls as the concrete realization module of the FWAAS standard interface; divides the business security domain from the tenant business; realizes the pool management of security resources in the independent business security domain; the security resources in the safe resource pool are pre divided. The optimization scheduling module can dynamically select nodes in the secure business domain and deploy the firewall instances to the security nodes that meet the tenant needs according to the demand for the traffic and when the firewall is created. This method can quickly respond to the needs of the tenant for security services; the capability of fast deployment of security services is provided by the optimized scheduling module for Openstack's FWAAS; the security requirements of different services are separated through the business security domain module, and the tenant can quickly obtain a firewall instance and thus quickly configure the security policy. To avoid the slow deployment and slow response of firewall in Openstack's original scheme. One

【技术实现步骤摘要】
基于openstack云平台的软件定义防火墙的部署优化方法
本专利技术属于网络安全防护领域，尤其涉及一种基于openstack云平台的软件定义防火墙的部署优化方法。
技术介绍
随着云计算的普及，软件定义的数据中心带来的IT变革势不可挡，为此带来的IT效能提升、IT成本的节约已经让各大企事业单位、运营商受益，但同时也使得传统数据中心的网络安全体系架构不再适用云化后的数据中心，软件定义安全(SoftwareDefinedSecurity，SDS)这一概念，其原理是将物理或者虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。软件定义安全不仅仅为安全设备融合到云化数据中心提供解决方案，其架构模式更能够提高安全设备的运行效能、降低安全设备的运营成本，同时也可将软件定义安全这一新技术运用于传统数据中心，使传统数据中心同样获益。OpenStack作为开源云计算框架，已经被越来越多的云计算厂商纳入产品体系中，华为、中兴、HP等国内外云计算厂商也纷纷推出基于OpenStack的云计算产品与解决方案；同时，许多知名研究机构以及企业也纷纷应用OpenStack到生产环境中，比如：CERN、NTT、中国移动等。OpenStack作为一种云计算框架，虽然具备软件定义防火墙(FWaaS)的能力，但是防火墙作为一种安全资源，仅是简单地对防火墙进行了实例化，没有对防火墙实例做优化部署与调度，安全资源部署较慢，部署分布不合理，无法满足租户对安全业务的快速响应。从OpenStack防火墙的部署角度看，租户所有的虚拟路由器都集中部署在OpenStack中的网络节点上，而防火墙实例实际就是虚拟路由器，网络节点不仅提供虚拟路由服务，还同时提供dhcp、metadata服务；大量集中地将防火墙实例部署在网络节点上，会存在部署瓶颈，从租户的业务角度讲，也存在流量瓶颈。
技术实现思路
本专利技术针对OpenStackFWAAS的FWaaS存在的部署与调度不合理问题，提出一种优化解决方案，通过一种分域安全资源池，根据租户的不同业务场景，进行独立的安全业务域划分，将所需要的防火墙实例部署到对应的安全业务域中，避免原有的集中部署到同一个节点上；针对每一个安全业务域，内部实现池化管理，提出一种动态可扩展的安全资源调度方法，使得防火墙实例能够快速完成调度与部署，快速满足租户对安全业务的需求。本专利技术的目的是通过以下技术方案来实现的：一种基于openstack云平台的软件定义防火墙的部署优化方法，该方法包括：1)以防火墙作为FWAAS标准接口的具体实现模块，FWAAS原有支持的防火墙接口通过该防火墙实现；2)租户通过业务安全域模块根据其自身的业务划分业务安全域，每一个业务安全域都具有独立的业务安全目标，能够独立的进行安全业务的配置、实施、管理和运营；3)独立的业务安全域内，实现安全资源池化管理，一个安全资源池由一个或者多个安全节点构成，安全节点的规格，根据实际情况进行调整，满足租户对安全业务的需求；4)安全资源池内的安全资源采用预分配机制，提前创建防火墙实例，等待安全业务的调度；5)租户在创建防火墙时，使用优化调度模块根据其对防火墙性能的需求，动态地在安全业务域内选取安全节点，并在安全节点中选取空闲的提前创建好的防火墙实例，返回给租户。进一步地，使用OpenStackFWAAS插件功能模块，OpenStackFWAAS插件功能模块对租户提供软件定义防火墙的功能，且满足OpenStackFWAAS标准接口。进一步地，所述优化调度模块处理租户对于防火墙实例的请求，负责防火墙实例的创建、编辑、销毁；动态地在所属业务安全域的安全资源池中选取节点，租户可对性能指标定制化，将一个或多个性能指标进行组合并确定优先级，优化调度模块按照指标优先级，将防火墙实例部署在满足条件的节点上。进一步地，业务安全域模块负责防火墙实例的统一管理，预创建防火墙实例，并根据优化调度模块的选择结果，快速给租户分配防火墙实例；根据实际的安全业务需求，动态扩展防火墙实例的数目，当安全业务需求量增加时，安全池会动态创建出防火墙实例，当安全业务需求量减少时，安全池内会销毁一定数量的防火墙实例，在满足最小安全业务的同时，保证安全资源池内资源的高效复用。本专利技术的有益效果是：本专利技术基于OpenStackFWAAS组件，提出支持多租户基于不同安全业务域的防火墙实例的调度与部署优化方法，快速响应租户对安全业务的需求。通过优化调度模块为Openstack的FWAAS提供了快速部署安全业务的能力；通过业务安全域模块，分离了不同业务对应的安全需求，租户能够快速获取防火墙实例，从而快速配置安全策略，避免Openstack原有方案中存在防火墙实例部署慢、响应不及时等问题。附图说明图1为本专利技术基于openstack云平台的软件定义防火墙的部署优化方法实现框图。具体实施方式下面结合附图和具体实施例对本专利技术作进一步详细说明。如图1所示，本专利技术提供的一种基于openstack云平台的软件定义防火墙的部署优化方法，包括：1)以防火墙作为FWAAS标准接口的具体实现模块，FWAAS原有支持的防火墙接口通过该防火墙实现。2)租户通过业务安全域模块根据其自身的业务划分业务安全域，每一个业务安全域都具有独立的业务安全目标，能够独立的进行安全业务的配置、实施、管理和运营。3)独立的业务安全域内，实现安全资源池化管理，一个安全资源池由一个或者多个安全节点构成，安全节点的规格，可根据实际情况进行调整，满足租户对安全业务的需求。比如，对性能要求较高的安全业务，安全节点的规格就较高(cpu、内存、网络带宽)。4)为了快速开通安全业务，安全资源池内的安全资源采用预分配机制，提前创建防火墙实例，等待安全业务的调度。5)租户在创建防火墙时，使用优化调度模块根据其对防火墙性能的需求，动态地在安全业务域内选取安全节点，并在安全节点中选取空闲的提前创建好的防火墙实例，返回给租户。本实例以租户对流量的需求为例，比如吞吐量、带宽等指标，指标可根据实际情况进行选取。6)使用OpenStackFWAAS插件功能模块，OpenStackFWAAS插件功能模块对租户提供软件定义防火墙的功能，且满足OpenStackFWAAS标准接口。具体地：1)OpenStackFWAAS插件功能模块用于接收租户对防火墙的请求，比如防火墙的创建、更新、删除，安全策略的插入、删除、编辑。2)优化调度模块是本专利技术框架中最重要的一个模块，处理租户对于防火墙实例的请求，负责防火墙实例的创建、编辑、销毁；基于吞吐量、带宽等性能指标，动态地在所属业务安全域的安全资源池中选取节点，租户可对性能指标定制化，将一个或多个性能指标进行组合并确定优先级，优化调度模块按照指标优先级，将防火墙实例部署在满足条件的节点上3)业务安全域模块负责防火墙实例的统一管理，预创建防火墙实例，并根据优化调度模块的选择结果，快速给租户分配防火墙实例；根据实际的安全业务需求，动态扩展防火墙实例的数目，当安全业务需求量增加时，安全池会动态创建出防火墙实例，当安全业务需求量减少时，安全池本文档来自技高网...

【技术保护点】
1.一种基于openstack云平台的软件定义防火墙的部署优化方法，其特征在于，包括：

【技术特征摘要】
1.一种基于openstack云平台的软件定义防火墙的部署优化方法，其特征在于，包括：1)以防火墙作为FWAAS标准接口的具体实现模块，FWAAS原有支持的防火墙接口通过该防火墙实现；2)租户通过业务安全域模块根据其自身的业务划分业务安全域，每一个业务安全域都具有独立的业务安全目标，能够独立的进行安全业务的配置、实施、管理和运营；3)独立的业务安全域内，实现安全资源池化管理，一个安全资源池由一个或者多个安全节点构成，安全节点的规格，根据实际情况进行调整，满足租户对安全业务的需求；4)安全资源池内的安全资源采用预分配机制，提前创建防火墙实例，等待安全业务的调度；5)租户在创建防火墙时，使用优化调度模块根据其对防火墙性能的需求，动态地在安全业务域内选取安全节点，并在安全节点中选取空闲的提前创建好的防火墙实例，返回给租户。2.根据权利要求1所述的一种基于openstack云平台的软件定义防火墙的部署优化方法，其特征在于，使用OpenStackFWAAS插件功能模块，OpenStack...

【专利技术属性】
技术研发人员：叶卫，蔡昊洋，王以良，王红凯，郭亚琼，陈超，龚小刚，沈潇军，戚伟强，沈志豪，裴旭斌，耿继朴，陈可，王剑，刘秀，喻谦，曾君军，王豪磊，
申请(专利权)人：国家电网公司，国网浙江省电力公司，
类型：发明
国别省市：北京,11