一种防火墙部署方法及装置制造方法及图纸

本申请公开了一种防火墙部署方法及装置，该方法包括：NSM功能模块接收防火墙部署指令，并根据防火墙部署指令，向至少一个防火墙管理功能模块发送请求消息，请求消息中包括防火墙性能需求；以及，接收至少一个防火墙管理功能模块返回的符合防火墙性能需求的防火墙的性能信息，并进行综合决策，确定出待部署防火墙。由此可知，本申请中，NSM功能模块接收的为至少一个防火墙管理功能模块返回的符合防火墙性能需求的防火墙的性能信息，从而避免了大量上报所引起的信令开销；且，由于NSM功能模块是根据符合防火墙性能需求的防火墙的性能信息进行综合决策，从而能够降低NSM功能模块综合决策的运算开销。

A Firewall Deployment Method and Device

This application discloses a Firewall deployment method and device. The method includes: the NSM function module receives the Firewall deployment instructions and sends a request message to at least one firewall management function module according to the Firewall deployment instructions, which includes the firewall performance requirements; and receiving the return of at least one firewall management function module to meet the firewall performance requirements. The performance information of the firewall is obtained, and a comprehensive decision is made to determine the firewall to be deployed. Therefore, in this application, the NSM function module receives the performance information of the firewall that meets the performance requirements of the firewall returned by at least one firewall management function module, thus avoiding the signaling overhead caused by a large number of reports; moreover, because the NSM function module makes a comprehensive decision based on the performance information of the firewall that meets the performance requirements of the firewall, it can reduce the NSM. Operational overhead of functional module synthesis decision-making.

【技术实现步骤摘要】
一种防火墙部署方法及装置
本专利技术涉及通信
，特别涉及一种防火墙部署方法及装置。
技术介绍
传统的电信系统通过各种专用的硬件设备组成，不同的应用采用不同的硬件设备。随着网络规模的增长，系统越来越复杂，带来了诸多的挑战，包括新增业务的开发上线、系统的运维、资源利用率等。为了应对这些挑战及利用IT业界的虚拟化技术及云计算技术，在2012年10月22日召开的“SDNandOpenFlowWorldCongress”会议上，全球主要的13个电信运营商联合发布了网络功能虚拟化(NetworkFunctionsVirtualization，NFV)白皮书，并宣布在欧洲电信标准化协会(EuropeanTelecommunicationsStandardsInstitute，ETSI)成立NFVISG，制定NFV的需求及技术框架。NFVISG定义的网络功能虚拟化(NetworkFunctionsVirtualization，NFV)的框架中包括：NFV管理和编排系统(NFVManagementandOrchestration，NFVMANO)、NFV基础设施层(NFVInfrastructure，NFVI)、多个虚拟网络功能(VirtualNetworkFunction，VNF)、多个网元管理(ElementManagement，EM)、网络服务、VNF和基础设施描述(NetworkService,VNFandInfrastructureDescription)，以及业务支持管理系统(Operation-SupportSystem/BusinessSupportSystem，OSS/BSS)。其中，NFV管理和编排系统包括NFV编排器(NFVOrchestrator，NFVO)，一个或多个VNF管理(VNFManager，VNFM)和虚拟化基础设施管理器(VirtualizedInfrastructureManager，VIM)。通过NFVISG制定的标准，可以实现网络的虚拟化、灵活部署、灵活扩容等能力，与此同时，NFV系统中的安全问题也更加复杂化。
技术实现思路
本申请提供一种防火墙部署方法，用于解决NFV系统中在网元边缘部署防火墙的技术问题。第一方面，本申请提供一种防火墙部署方法，包括：网络安全管理NSM功能模块接收防火墙部署指令；所述NSM功能模块根据所述防火墙部署指令，向至少一个防火墙管理功能模块发送请求消息，所述请求消息中包括防火墙性能需求；所述NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息，所述至少一个防火墙管理功能模块中的任一防火墙管理功能模块返回的响应消息中包括所述任一防火墙管理功能模块从所述任一防火墙管理功能模块管理的一个或多个防火墙中选择出的符合所述防火墙性能需求的防火墙的性能信息；所述NSM功能模块根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策，确定出与所述防火墙部署指令对应的待部署防火墙。如此，NSM功能模块向至少一个防火墙管理功能模块发送防火墙性能需求，并接收至少一个防火墙管理功能模块返回的符合防火墙性能需求的防火墙的性能信息，相比于现有技术来说，防火墙管理功能模块无需上报其管理的所有防火墙的性能信息，从而避免了大量上报所引起的信令开销；且，由于NSM功能模块是根据防火墙管理功能模块返回的符合防火墙性能需求的防火墙的性能信息进行综合决策，从而能够降低NSM功能模块综合决策的运算开销。在一种可能的设计中，所述请求消息中还包括根据所述防火墙部署指令得到的请求标识；所述NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息，包括：所述NSM功能模块接收所述至少一个防火墙管理功能模块返回的响应消息；所述NSM功能模块针对于所述任一防火墙管理功能模块返回的任一响应消息，若确定所述任一响应消息中包括与所述请求标识对应的响应标识，则确定所述任一响应消息为所述任一防火墙管理功能模块根据所述请求消息返回的响应消息。如此，NSM功能模块发送的请求消息中包括请求标识，从而可以根据响应消息中是否包括与请求消息对应的响应标识来识别响应消息和请求消息的对应关系，保证全局的统一识别和调度。在一种可能的设计中，所述至少一个防火墙管理功能模块包括虚拟网络层的防火墙管理功能模块、基础设施层的防火墙管理功能模块和物理层的防火墙管理功能模块中的任一个或任意多个。第二方面，本申请提供一种防火墙部署方法，所述方法包括：防火墙管理功能模块接收NSM功能模块发送的请求消息，所述请求消息中包括防火墙性能需求；所述防火墙管理功能模块从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙，并向所述NSM功能模块返回响应消息，所述响应消息中包括选择出的防火墙的性能信息。如此，防火墙管理功能模块接收到防火墙性能需求后，可通过本地决策选择出符合所述防火墙性能需求的防火墙，并上报选择出的防火墙的性能信息，相比于现有技术来说，防火墙管理功能模块无需上报其管理的所有防火墙的性能信息，从而避免了大量上报所引起的信令开销。在一种可能的设计中，所述防火墙管理功能模块向所述NSM功能模块返回响应消息，包括：所述防火墙管理功能模块若确定所述请求消息中包括请求标识，则向所述NSM功能模块返回的响应消息中包括与所述请求标识对应的响应标识。在一种可能的设计中，所述防火墙管理功能模块为虚拟网络层的防火墙管理功能模块或基础设施层的防火墙管理功能模块或物理层的防火墙管理功能模块。第三方面，本申请提供一种服务器，所述服务器包括NSM功能模块；所述NSM功能模块包括接收单元、发送单元和处理单元；所述接收单元，用于接收防火墙部署指令；所述发送单元，用于根据所述防火墙部署指令，向至少一个防火墙管理功能模块发送请求消息，所述请求消息中包括防火墙性能需求；所述接收单元，还用于接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息，所述至少一个防火墙管理功能模块中的任一防火墙管理功能模块返回的响应消息中包括所述任一防火墙管理功能模块从所述任一防火墙管理功能模块管理的一个或多个防火墙中选择出的符合所述防火墙性能需求的防火墙的性能信息；所述处理单元，用于根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策，确定出与所述防火墙部署指令对应的待部署防火墙。在一种可能的设计中，所述请求消息中还包括根据所述防火墙部署指令得到的请求标识；所述接收单元具体用于：接收所述至少一个防火墙管理功能模块返回的响应消息；所述处理单元具体用于：针对于所述任一防火墙管理功能模块返回的任一响应消息，若确定所述任一响应消息中包括与所述请求标识对应的响应标识，则确定所述任一响应消息为所述任一防火墙管理功能模块根据所述请求消息返回的响应消息。第三方面，本申请提供一种服务器，所述服务器包括包括防火墙管理功能模块；所述防火墙管理功能模块包括接收单元，发送单元和处理单元；所述接收单元，用于接收NSM功能模块发送的请求消息，所述请求消息中包括防火墙性能需求；所述处理单元，用于从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙；所述发送单元，用于向所述NSM功能模块返回响应消息，所述响应消息中包括所述处理单元选本文档来自技高网...

【技术保护点】
1.一种防火墙部署方法，其特征在于，所述方法包括：网络安全管理NSM功能模块接收防火墙部署指令；所述NSM功能模块根据所述防火墙部署指令，向至少一个防火墙管理功能模块发送请求消息，所述请求消息中包括防火墙性能需求；所述NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息，所述至少一个防火墙管理功能模块中的任一防火墙管理功能模块返回的响应消息中包括所述任一防火墙管理功能模块从所述任一防火墙管理功能模块管理的一个或多个防火墙中选择出的符合所述防火墙性能需求的防火墙的性能信息；所述NSM功能模块根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策，确定出与所述防火墙部署指令对应的待部署防火墙。

【技术特征摘要】
1.一种防火墙部署方法，其特征在于，所述方法包括：网络安全管理NSM功能模块接收防火墙部署指令；所述NSM功能模块根据所述防火墙部署指令，向至少一个防火墙管理功能模块发送请求消息，所述请求消息中包括防火墙性能需求；所述NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息，所述至少一个防火墙管理功能模块中的任一防火墙管理功能模块返回的响应消息中包括所述任一防火墙管理功能模块从所述任一防火墙管理功能模块管理的一个或多个防火墙中选择出的符合所述防火墙性能需求的防火墙的性能信息；所述NSM功能模块根据所述至少一个防火墙管理功能模块返回的防火墙的性能信息进行决策，确定出与所述防火墙部署指令对应的待部署防火墙。2.根据权利要求1所述的方法，其特征在于，所述请求消息中还包括根据所述防火墙部署指令得到的请求标识；所述NSM功能模块接收所述至少一个防火墙管理功能模块根据所述请求消息返回的响应消息，包括：所述NSM功能模块接收所述至少一个防火墙管理功能模块返回的响应消息；所述NSM功能模块针对于所述任一防火墙管理功能模块返回的任一响应消息，若确定所述任一响应消息中包括与所述请求标识对应的响应标识，则确定所述任一响应消息为所述任一防火墙管理功能模块根据所述请求消息返回的响应消息。3.根据权利要求1或2中所述的方法，其特征在于，所述至少一个防火墙管理功能模块包括虚拟网络层的防火墙管理功能模块、基础设施层的防火墙管理功能模块和物理层的防火墙管理功能模块中的任一个或任意多个。4.一种防火墙部署方法，其特征在于，所述方法包括：防火墙管理功能模块接收NSM功能模块发送的请求消息，所述请求消息中包括防火墙性能需求；所述防火墙管理功能模块从管理的一个或多个防火墙中选择出符合所述防火墙性能需求的防火墙，并向所述NSM功能模块返回响应消息，所述响应消息中包括选择出的防火墙的性能信息。5.根据权利要求4所述的方法，其特征在于，所述防火墙管理功能模块向所述NSM功能模块返回响应消息，包括：所述防火墙管理功能模块若确定所述请求消息中包括请求标识，则向所述NSM功能模块返回的响应消息中包括与所述请求标识对应的响应标识。6.根据权利要求4或5所述的方法，其特征在于，所述防火墙管理功能模块为虚拟网络层的防火墙管理功能模...

【专利技术属性】
技术研发人员：李飞，刘艳，夏海涛，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：广东,44