本发明专利技术公开了一种虚拟防火墙划分方法,将物理防火墙根系统内核划分一个以上的命名空间,并确定为不同的虚拟系统;为各虚拟系统分别配置网络资源,并为各虚拟系统分别创建网络策略配置;所述网络资源包括物理接口,所述物理接口用于区分进入网络资源的数据包对应的虚拟系统;这样,当数据包进入网络资源的物理接口时,可以根据数据包进入网络资源的物理接口,确定所述物理接口对应的虚拟系统,并采用对应的虚拟系统的网络策略配置处理所述数据包。本发明专利技术还公开了一种虚拟防火墙划分装置。
【技术实现步骤摘要】
本专利技术涉及虚拟防火墙技术,尤其涉及一种虚拟防火墙划分方法和装置。
技术介绍
随着企业业务规模的不断扩张,各业务部门的职能和权责划分也越来越清晰,各业务部门拥有与其业务对应的不同安全级别的网络访问权限,针对不同安全级别的网络访问权限需要有不同的防火墙来控制管理;而简单增加物理防火墙,显然会提高投入成本。因此,虚拟防火墙应运而生。所谓虚拟防火墙,是通过虚拟技术从物理防火墙中逻辑地划分出的防火墙;可以在一台物理防火墙上运行多个防火墙的实例,每个虚拟防火墙可以看作是一台独立的设备;采用虚拟防火墙能极大减少企业的防火墙投入成本。现有的虚拟防火墙采用的技术方案有:一、在物理防火墙基础上添加多台虚拟防火墙,根据不同虚拟防火墙和可识别网络标识符,对报文进行重新封装和解封处理。二、物理防火墙与多台物理服务器连接,通过虚拟机将防火墙逻辑地划分为多台虚拟防火墙,并与不同物理服务器连接。但是,现有虚拟防火墙都需要占用独立的硬件资源;并且在发送报文时需要对报文进行重新封装,接收报文时需要对报文进行解封装,加长了处理时间。因此,如何建立一种虚拟防火墙,能有效提高硬件资源的利用率、缩短报文处理时间,是亟待解决的问题。
技术实现思路
有鉴于此,本专利技术实施例期望提供一种虚拟防火墙划分方法和装置,能在物理防火墙基础上方便地建立虚拟防火墙,便于管理,并能有效提高硬件资源
的利用效率、缩短报文处理时间。为达到上述目的,本专利技术的技术方案是这样实现的:本专利技术实施例提供了一种虚拟防火墙划分方法,所述方法包括:将物理防火墙根系统内核划分一个以上的命名空间,并确定为不同的虚拟系统;为各虚拟系统分别配置网络资源,并为所述各虚拟系统分别创建网络策略配置,所述网络资源包括物理接口;所述物理接口用于确定进入网络资源的数据包对应的虚拟系统,并由所述对应虚拟系统的网络策略配置处理所述数据包。上述方案中,所述方法还包括:根据所述命名空间的标识,采用套接字分别建立所述各虚拟系统对应的通信通道。上述方案中,所述为所述各虚拟系统分别创建网络策略配置,包括:通过所述通信通道访问对应的虚拟系统,配置所述对应的虚拟系统的网络策略配置,并将所述网络策略配置保存到中间件;生效所述网络策略配置,并下发到所述对应的虚拟系统的内核。上述方案中,所述将所述网络策略配置保存到中间件,包括:将所述各虚拟防火墙的网络策略配置分别保存到所述中间件不同的路径中。上述方案中,所述将物理防火墙根系统内核划分一个以上的命名空间,包括:将物理防火墙根系统内核划分一个以上的网络命名空间。本专利技术实施例还提供了一种虚拟防火墙划分装置,所述装置包括:划分模块、第一配置模块;其中,所述划分模块,用于将物理防火墙根系统内核划分一个以上的命名空间,并确定为不同的虚拟系统;所述第一配置模块,用于为各虚拟系统分别配置网络资源,并为所述各虚拟系统创建网络策略配置,所述网络资源包括物理接口;所述物理接口用于确定进入网络资源的数据包对应的虚拟系统,并由所述
对应虚拟系统的网络策略配置处理所述数据包。上述方案中,所述装置还包括:第二配置模块,用于根据所述命名空间的标识,采用套接字分别建立所述各虚拟系统的对应的通信通道。上述方案中,所述第一配置模块,具体用于:通过所述通信通道访问对应的虚拟系统,配置所述对应的虚拟系统的网络策略配置,并将所述网络策略配置保存到中间件;生效所述网络策略配置,并下发到所述对应的虚拟系统的内核;所述第一配置模块,还用于将所述各虚拟防火墙的网络策略配置分别保存到所述中间件不同的路径中。上述方案中,所述划分模块,具体用于将物理防火墙根系统内核划分一个以上的网络命名空间。本专利技术实施例所提供的虚拟防火墙划分方法和装置,将物理防火墙根系统内核划分一个以上的命名空间,并确定为不同的虚拟系统;为各虚拟系统分别配置网络资源,并为各虚拟系统分别创建网络策略配置;所述网络资源包括物理接口,所述物理接口用于区分进入网络资源的数据包对应的虚拟系统;这样,当数据包进入网络资源的物理接口时,可以根据数据包进入网络资源的物理接口,确定所述物理接口对应的虚拟系统,并采用对应的虚拟系统的网络策略配置处理所述数据包。如此,通过命名空间方式建立的各虚拟系统作为多个虚拟防火墙,能共享系统资源,提高了系统资源的利用率;并且,根据数据包进入接口对应的虚拟系统的网络策略配置处理数据包,无需再对数据包进行封装和解封装,缩短了报文处理时间。附图说明图1为本专利技术实施例虚拟防火墙划分方法的流程示意图;图2为本专利技术实施例配置虚拟防火墙步骤的流程示意图;图3为本专利技术实施例创建虚拟防火墙步骤的流程示意图;图4为本专利技术实施例虚拟防火墙划分装置的组成结构示意图。具体实施方式本专利技术实施例中,将物理防火墙根系统内核划分一个以上的命名空间,并确定为不同的虚拟系统;为各虚拟系统分别配置网络资源,并为各虚拟系统分别创建网络策略配置;所述物理接口用于确定进入网络资源的数据包对应的虚拟系统,并由所述对应虚拟系统的网络策略配置处理所述数据包。下面结合实施例对本专利技术再作进一步详细的说明。本专利技术实施例提供的虚拟防火墙划分方法,如图1所示,所述方法包括:步骤101:将物理防火墙根系统内核划分一个以上的命名空间,并确定为不同的虚拟系统;通常,物理防火墙采用Linux作为操作系统,Linux可以支持六种不同类型的命名空间,多个命名空间共同使用一个内核,并在一台物理计算机上运行;命名空间提供的是对全局资源的一种抽象,将资源分别放到不同的容器中,各容器彼此隔离;如此,用户创建的进程能够与硬件系统分离得更加彻底,从而不需要使用更多的底层虚拟化技术。因此,可以采用命名空间方式建立虚拟系统,使得各个命名空间的资源利用率更高;其中,六种不同的命名空间包括:挂接(mount)命名空间、UNIX分时系统(UTS,UNIX Timesharing System)命名空间、进程间通信(IPC,Inter-Process Communication)命名空间、用户命名空间、进程控制(PID ProcessIdentifier)命名空间、网络命名空间;这里,可以将物理防火墙根系统内核划分一个以上的命名空间,其中,所述命名空间可以是网络命名空间;将划分的各命名空间确定为虚拟系统;如此,所述各虚拟系统可以共享全局资源,并且独立运行、相互隔离。在创建虚拟系统时,先在物理防火墙根系统内核中创建一个虚拟的网络层,相当于对物理防火墙根系统的一个复制,以此来进行网络隔离。步骤102:为各虚拟系统分别配置网络资源,并为各虚拟系统分别创建网络策略配置;这里,划分虚拟系统后,为各虚拟系统分配相应的网络资源,所述网络资
源包括:物理接口等,所述物理接口可以是以太网网口或网纤口等;由于虚拟系统是相互隔离的,因此,分配的所述网络资源只有与其对应的虚拟系统可以进行访问控制。实际应用中,可以在物理防火墙根系统中创建虚拟系统,在创建虚拟系统之前,先进入到物理防火墙根系统中,并在物理防火墙根系统中创建多份虚拟系统;在创建虚拟系统时,先在内核中创建一个虚拟的网络层,相当于对物理防火墙根系统的一个复制,以此来进行网络隔离;然后将相应网络资源,如物理接口等,划分给虚拟系统。其中,创建的虚拟系统可以由内核、用户态和界面本文档来自技高网...
【技术保护点】
一种虚拟防火墙划分方法,其特征在于,所述方法包括:将物理防火墙根系统内核划分一个以上的命名空间,并确定为不同的虚拟系统;为各虚拟系统分别配置网络资源,并为所述各虚拟系统分别创建网络策略配置,所述网络资源包括物理接口;所述物理接口用于确定进入网络资源的数据包对应的虚拟系统,并由所述对应虚拟系统的网络策略配置处理所述数据包。
【技术特征摘要】
1.一种虚拟防火墙划分方法,其特征在于,所述方法包括:将物理防火墙根系统内核划分一个以上的命名空间,并确定为不同的虚拟系统;为各虚拟系统分别配置网络资源,并为所述各虚拟系统分别创建网络策略配置,所述网络资源包括物理接口;所述物理接口用于确定进入网络资源的数据包对应的虚拟系统,并由所述对应虚拟系统的网络策略配置处理所述数据包。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:根据所述命名空间的标识,采用套接字分别建立所述各虚拟系统对应的通信通道。3.根据权利要求2所述的方法,其特征在于,所述为所述各虚拟系统分别创建网络策略配置,包括:通过所述通信通道访问对应的虚拟系统,配置所述对应的虚拟系统的网络策略配置,并将所述网络策略配置保存到中间件;生效所述网络策略配置,并下发到所述对应的虚拟系统的内核。4.根据权利要求3所述的方法,其特征在于,所述将所述网络策略配置保存到中间件,包括:将所述各虚拟防火墙的网络策略配置分别保存到所述中间件不同的路径中。5.根据权利要求1至4任一项所述的方法,其特征在于,所述将物理防火墙根系统内核划分一个以上的命名空间,包括:将物理防火墙根系统内核划分一个以上的...
【专利技术属性】
技术研发人员:陈鑫,金科,张洪钏,董浩波,曾琳,
申请(专利权)人:北京网康科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。