分布式安全组模块访问控制方法、系统技术方案

本发明专利技术涉及一种分布式安全组模块访问控制方法、系统，安全组模块包括安全组、安全组模板、安全组规则、安全组关联云主机中的至少一项，其中，所述安全组模块与虚拟机网卡关联形成分布式安全组模块，由于安全组模块为分布式，故可以灵活应对高并发的场景，且由于所述安全组模块与虚拟机网卡关联，通过触发针对安全组模块的操作请求，根据所述操作请求执行针对所述安全组模块的相应操作步骤，使用户从虚拟机的网卡维度对所述安全组模块进行访问控制，可实现不同虚拟网卡间的通讯过滤。

Access control method and system of distributed security group module

【技术实现步骤摘要】
分布式安全组模块访问控制方法、系统
本专利技术涉及分布式安全组，尤其涉及一种分布式安全组模块访问控制方法、系统。
技术介绍
硬件防火墙一般放在网关上，用来隔离子网之间的访问控制。因此，防火墙即服务也是在网络节点上(具体说来是在路由器命名空间中)来访问控制。防火墙可以在安全组之前隔离外部过来的恶意流量，但是对于同个子网内部不同虚拟网卡间的通讯不能过滤(除非它要跨子网)。投入到实际使用环境中，情况却随时都在发生改变。硬件防火墙的规则总会不断地变化和调整着，配置参数也会时常有所改变，操作人员需要修改配置文件，操作复杂。现今的硬件防火墙通常为主备模式，海量并发时防火墙性能急速下降。安全组是一种包过滤功能虚拟防火墙，用于设置单台或多台云服务器的网络访问控制控制，提供网络安全隔离功能，绑定在虚拟机(VM)的网卡上。通过修改安全组的规则，放通相应的入站或出站流量。防火墙是防护软件，属于被动防护，是在被攻击时才进行防护的。安全组以安全策略进行防护，属于主动防护，是在未被攻击时做好安全防护。用户不需要关注底层的技术访问控制，只需要在平台页面上点击相应的按钮，控制策略的改变。而且安全组规则即时生效，用户没有明显感知。且安全组为分布式，可以灵活应对高并发的场景。为了解决现有防火墙存在的问题，本专利技术提供了一种公有云分布式安全组访问控制技术。
技术实现思路
为了解决上述技术问题，本专利技术的目的在于提供一种分布式安全组模块访问控制方法、系统。根据本专利技术的一个方面，提供了一种分布式安全组模块访问控制系统，包括：操作请求接收单元，配置用于接收用户触发的针对安全组模块的操作请求，所述安全组模块包括安全组、安全组模板、安全组规则、安全组关联云主机中的至少一项，其中，所述安全组模块与虚拟机网卡关联形成分布式安全组模块；操作步骤执行单元，配置用于根据所述操作请求执行针对所述安全组模块的相应操作步骤。进一步的，操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组的创建或克隆请求，操作步骤执行单元执行的所述相应操作步骤包括：接收用户触发的针对安全组的创建或克隆请求，及用户输入的创建或克隆配置参数；确定预创建或克隆安全组名称及所述预创建或克隆安全组关联项目是否满足创建或克隆要求，若是，则生成创建或克隆类型并记录到数据库中；根据所述创建或克隆配置参数判断是否在安全组模板上进行创建或克隆，若是，则将安全组模板关联的安全组规则复制至预创建安全组处进行安全组的创建并将创建的安全组记录至数据库中，或将被克隆安全组的安全组规则复制至新建安全组进行安全组的克隆并将克隆的安全组记录至数据库中。操作请求接收单元接收的所述针对所述安全组模块的操作请求包括针对安全组的删除请求，操作步骤执行单元执行的所述相应操作步骤包括：接收用户触发的针对所述安全组的删除请求；确定所述安全组是否关联云主机，若无，则删除所述安全组及其关联的安全组规则，若是，则调用所关联云主机所在物理机agent处理模块，进行删除操作。操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组模板的创建请求，操作步骤执行单元执行的所述相应操作步骤包括：接收用户触发的针对所述安全组模板的创建请求，及用户输入的创建配置参数；确定预创建安全组模板名称及所述预创建安全组模板关联项目是否满足创建要求，若是，则生成创建类型并记录到数据库中。操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组模板的删除请求，操作步骤执行单元执行的所述相应操作步骤包括：接收用户触发的针对所述安全组模板的删除请求；判断所述安全组模板是系统模板还是普通模板，若为系统模板，则不能删除，若为普通模板，则进行删除。操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组规则的优先级排序操作请求，所述相应操作步骤包括：接收用户触发的针对所述安全组规则的优先级排序操作请求；确定采集的与针对安全组规则的所述操作请求相对应的配置参数是否符合规范，若是，则根据安全组的通用唯一识别码查询当前安全组规则的优先级，对所述当前安全组规则进行优先级排序；判断在先安全组是否关联云主机，若是，则调用所关联云主机所在物理机agent处理模块。操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组规则的新建、编辑、插入、导入、删除中任一一项操作请求，操作步骤执行单元执行的所述相应操作步骤包括：接收用户触发的针对所述安全组规则的新建、编辑、插入、导入、删除中任一一项操作请求；确定采集的与针对安全组规则的所述操作请求相对应的配置参数是否符合规范，若是则根据安全组的通用唯一识别码查询当前安全组规则的优先级，对所述当前安全组规则进行与所述操作请求相对应的操作处理，并对处理后的安全组规则进行优先级排序；判断在先安全组是否关联云主机，若是，则调用所关联云主机所在物理机agent处理模块。操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组关联云主机的绑定或解绑请求，操作步骤执行单元执行的所述相应操作步骤包括：接收用户触发的针对安全组关联云主机的绑定或解绑请求，调用所关联云主机所在物理机agent处理模块进行安全组与相应云主机之间的绑定或解绑擦操作。操作步骤执行单元执行的调用所关联云主机所在物理机agent处理模块，包括：获取安全组关联云主机所在物理机，判断所述物理机的agent状态是否正常，若是，则连接物理机agent获取安全组初始模板，及所述物理机上所有关联安全组规则；将所述安全组规则拼装入配置文件，并发送至agent处理模块进行配置。根据本专利技术的另一个方面，提供了一种分布式安全组模块访问控制方法，包括以下步骤：接收用户触发的针对安全组模块的操作请求，所述安全组模块包括安全组、安全组模板、安全组规则、安全组关联云主机中的至少一项，其中，所述安全组模块与虚拟机网卡关联形成分布式安全组模块；根据所述操作请求执行针对所述安全组模块的相应操作步骤。进一步的，所述针对安全组模块的操作请求包括针对所述安全组的创建或克隆请求，所述相应操作步骤包括：接收用户触发的针对安全组的创建或克隆请求，及用户输入的创建或克隆配置参数；确定预创建或克隆安全组名称及所述预创建或克隆安全组关联项目是否满足创建或克隆要求，若是，则生成创建或克隆类型并记录到数据库中；根据所述创建或克隆配置参数判断是否在安全组模板上进行创建或克隆，若是，则将安全组模板关联的安全组规则复制至预创建安全组处进行安全组的创建并将创建的安全组记录至数据库中，或将被克隆安全组的安全组规则复制至新建安全组进行安全组的克隆并将克隆的安全组记录至数据库中。所述针对安全组模块的操作请求包括针对所述安全组的删除请求，所述相应操作步骤包括：接收用户触发的针对安全组的删除请求本文档来自技高网...

【技术保护点】
1.一种分布式安全组模块访问控制系统，其特征是，包括：/n操作请求接收单元，配置用于接收用户触发的针对安全组模块的操作请求，所述安全组模块包括安全组、安全组模板、安全组规则、安全组关联云主机中的至少一项，其中，所述安全组模块与虚拟机网卡关联形成分布式安全组模块；/n操作步骤执行单元，配置用于根据所述操作请求执行针对所述安全组模块的相应操作步骤。/n

【技术特征摘要】
1.一种分布式安全组模块访问控制系统，其特征是，包括：
操作请求接收单元，配置用于接收用户触发的针对安全组模块的操作请求，所述安全组模块包括安全组、安全组模板、安全组规则、安全组关联云主机中的至少一项，其中，所述安全组模块与虚拟机网卡关联形成分布式安全组模块；
操作步骤执行单元，配置用于根据所述操作请求执行针对所述安全组模块的相应操作步骤。


2.根据权利要求1所述的分布式安全组模块访问控制系统，其特征是，操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组的创建或克隆请求，操作步骤执行单元执行的所述相应操作步骤包括：
接收用户触发的针对安全组的创建或克隆请求，及用户输入的创建或克隆配置参数；
确定预创建或克隆安全组名称及所述预创建或克隆安全组关联项目是否满足创建或克隆要求，若是，则生成创建或克隆类型并记录到数据库中；
根据所述创建或克隆配置参数判断是否在安全组模板上进行创建或克隆，若是，则将安全组模板关联的安全组规则复制至预创建安全组处进行安全组的创建并将创建的安全组记录至数据库中，或将被克隆安全组的安全组规则复制至新建安全组进行安全组的克隆并将克隆的安全组记录至数据库中。


3.根据权利要求1所述的分布式安全组模块访问控制系统，其特征是，
操作请求接收单元接收的所述针对所述安全组模块的操作请求包括针对安全组的删除请求，操作步骤执行单元执行的所述相应操作步骤包括：
接收用户触发的针对所述安全组的删除请求；
确定所述安全组是否关联云主机，若无，则删除所述安全组及其关联的安全组规则，若是，则调用所关联云主机所在物理机agent处理模块，进行删除操作。


4.根据权利要求1所述的分布式安全组模块访问控制系统，其特征是，
操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组模板的创建请求，操作步骤执行单元执行的所述相应操作步骤包括：
接收用户触发的针对所述安全组模板的创建请求，及用户输入的创建配置参数；
确定预创建安全组模板名称及所述预创建安全组模板关联项目是否满足创建要求，若是，则生成创建类型并记录到数据库中。


5.根据权利要求1-4任一项所述的分布式安全组模块访问控制系统，其特征是，
操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组模板的删除请求，操作步骤执行单元执行的所述相应操作步骤包括：
接收用户触发的针对所述安全组模板的删除请求；
判断所述安全组模板是系统模板还是普通模板，若为系统模板，则不能删除，若为普通模板，则进行删除。


6.根据权利要求1所述的分布式安全组模块访问控制系统，其特征是，操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组规则的优先级排序操作请求，所述相应操作步骤包括：
接收用户触发的针对所述安全组规则的优先级排序操作请求；
确定采集的与针对安全组规则的所述操作请求相对应的配置参数是否符合规范，若是，则根据安全组的通用唯一识别码查询当前安全组规则的优先级，对所述当前安全组规则进行优先级排序；
判断在先安全组是否关联云主机，若是，则调用所关联云主机所在物理机agent处理模块。


7.根据权利要求1所述的分布式安全组模块访问控制系统，其特征是，操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组规则的新建、编辑、插入、导入、删除中任一一项操作请求，操作步骤执行单元执行的所述相应操作步骤包括：
接收用户触发的针对所述安全组规则的新建、编辑、插入、导入、删除中任一一项操作请求；
确定采集的与针对安全组规则的所述操作请求相对应的配置参数是否符合规范，若是则根据安全组的通用唯一识别码查询当前安全组规则的优先级，对所述当前安全组规则进行与所述操作请求相对应的操作处理，并对处理后的安全组规则进行优先级排序；
判断在先安全组是否关联云主机，若是，则调用所关联云主机所在物理机agent处理模块。


8.根据权利要求1所述的分布式安全组模块访问控制系统，其特征是，操作请求接收单元接收的所述针对安全组模块的操作请求包括针对所述安全组关联云主机的绑定或解绑请求，操作步骤执行单元执行的所述相应操作步骤包括：
接收用户触发的针对安全组关联云主机的绑定或解绑请求，调用所关联云主机所在物理机agent处理模块进行安全组与相应云主机之间的绑定或解绑擦操作。


9.根据权利要求3、6-8任一所述的分布式安全组模块访问控制系统，其特征是，操作步骤执行单元执行的调用所关联云主机所在物理机agent处理模块，包括：
获取安全组关联云主机所在物理机，判断所述物理机的agent状态是否正常，...

【专利技术属性】
技术研发人员：王子桐，
申请(专利权)人：顺丰科技有限公司，
类型：发明
国别省市：广东;44