【技术实现步骤摘要】
本专利技术实施方式属于网络通信
,特别是一种软件定义网络(SoftwareDefinedNetwork,SDN)中实现虚拟防火墙的方法和装置。
技术介绍
SDN技术通过将网络设备的控制平面与数据平面分离,从而实现网络流量的灵活控制。相应地,SDN架构中包括SDN控制器和SDN交换机,其中:SDN控制器和SDN交换机之间通过优选为开放流(OpenFlow协议)的SDN管理通道进行通信,SDN控制器根据用户的配置或者动态运行的协议生成流表下发到SDN交换机,SDN交换机依据SDN控制器下发的流表进行报文处理。SDN技术在云计算和网络安全中都有诸多应用。云计算给数据中心的网络安全带来了诸多挑战,主要体现在:(1)、网络边界的模糊化、威胁种类的变化以及大流量的攻击,对数据中心网络产生巨大冲击;(2)、虚拟化平台运行在操作系统与物理设备之间,其本身设计存在的漏洞风险将成为云计算的致命弱点;(3)、不同安全需求的租户可能运行在同一台物理机上,这种租户共享带来的安全问题,传统安全措施难以处理;(4)、在数据管理方面,应用系统和资源所有权的分离,导致云平台管理员有可能访问用户数据,造成人为数据泄露。目前,现有技术中通常使用物理防火墙来解决数据中心虚拟机内部流量和虚拟机之间流量的安全检查问题。首先,物理防火墙会导致成本问题。而且,将虚拟机内部流量和虚拟机之间流量引入到物理防火墙进行安全检查,物理防火墙检查完毕...
【技术保护点】
一种软件定义网络SDN中实现虚拟防火墙的方法,其特征在于,该方法适用于第一虚拟交换机,所述第一虚拟交换机下挂有第一虚拟防火墙,该方法包括:将第一虚拟防火墙的端口发送到SDN控制器;接收SDN控制器发送的第一流表,所述第一流表用于指示将第一虚拟交换机通过非所述第一虚拟防火墙的端口接收到的、目的地址或源地址为指定虚拟机的流量发送到第一虚拟防火墙的端口以由所述第一虚拟防火墙执行安全审核。
【技术特征摘要】
1.一种软件定义网络SDN中实现虚拟防火墙的方法,其特征在于,该
方法适用于第一虚拟交换机,所述第一虚拟交换机下挂有第一虚拟防火墙,该
方法包括:
将第一虚拟防火墙的端口发送到SDN控制器;
接收SDN控制器发送的第一流表,所述第一流表用于指示将第一虚拟交换
机通过非所述第一虚拟防火墙的端口接收到的、目的地址或源地址为指定虚拟
机的流量发送到第一虚拟防火墙的端口以由所述第一虚拟防火墙执行安全审核。
2.根据权利要求1所述的方法,其特征在于,还包括:
当指定虚拟机发生迁移时,接收SDN控制器发送的用于指示删除所述第一
流表的第二流表。
3.根据权利要求1或2所述的方法,其特征在于,进一步包括:
从SDN控制器接收安全策略;
发送所述安全策略到所述第一虚拟防火墙,从而由所述第一虚拟防火墙基
于所述安全策略对发送到第一虚拟防火墙的端口的流量执行所述安全审核。
4.根据权利要求1或2所述的方法,其特征在于,所述第一虚拟防火墙为
虚拟可扩展局域网VxLAN的防火墙或虚拟局域网VLAN的防火墙。
5.一种软件定义网络SDN中实现虚拟防火墙的装置,其特征在于,该装
置应用于第一虚拟交换机,所述第一虚拟交换机下挂有第一虚拟防火墙,该装
置包括:
端口上报模块,用于将第一虚拟防火墙的端口发送到SDN控制器;
流表接收模块,用于接收SDN控制器发送的第一流表,所述第一流表用于
指示将第一虚拟交换机通过非所述第一虚拟防火墙的端口接收到的、目的地址
或源地址为指定虚拟机的流量发送到第一虚拟防火墙的端口以由所述第一虚拟
防火墙执行安全审核。
6.根据权利要求5所述的装置,其特征在于,该装置还包括:
迁移模块,用于当指定虚拟机发生迁移时,接收SDN控制器发送的用于指
示删除所述第一流表的第二流表。
7.根据权利要求5所述的装置,其特征在于,还包括:
安全策略接收模块,用于从SDN控制器接收安全策略,并发送所述安全策
略到所述第一虚拟防火墙,从而由所述第一虚拟防火墙基于所述安全策略对发
送到第一虚拟防火墙的端口的流量执行所述安全审核。
8.一种软件定义网络SDN中实现虚拟防火墙的方法,其特征在于,该方
法适用于SDN控制器,该方法包括:
从第一虚拟交换机接收第一虚拟防火墙的端口,其中第一虚拟防火墙下挂
在第一虚拟交换机上;
向所述第一虚拟交换机下发第一流表,所述第一流表用于指示将第一虚拟
交换机通过非所述第一虚拟防火墙的端口接收到的、目的地址或源地址为指定
虚拟机的流量发送到第一虚拟防火墙的端口以由所述第一虚拟防火墙执行安全
审核。
9.根据权利要求8所...
【专利技术属性】
技术研发人员:张寅飞,温涛,林涛,任维春,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。