【技术实现步骤摘要】
一种面向云主机全流量网络访问防护的方法及装置
[0001]本专利技术涉及云计算以及信息安全
,具体涉及一种面向云主机全流量网络访问防护的方法及装置。
技术介绍
[0002]防火墙是一个由计算机硬件和软件组成的系统,部署于网络边界,是内部网络和外部网络之间的连接桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术,几乎所有的企业内部网络与外部网络(如因特网)相连接的边界设都会放置防火墙,防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。但是面对云主机,传统网络防火墙技术已经不满足网络安全的要求。
[0003]云主机是云计算在基础设施应用上的重要组成部分,位于云计算产业链金字塔底层,产品源自云计算平台。该平台整合了互联网应用三大核心要素:计算、存储、网络,面向用户提供公用化的互联网基础设施服务。云主机是一种类似VPS主机的虚拟化技术,VPS是采用虚拟软件,VZ或VM在一台主机上虚拟出多个类似独立主机的部分,能够实现单机多用户,每个部分都可以做单独的操作系统,管理方法同主机一样。而云主机是在一组集群主机上虚拟出多个类似独立主机的部分,集群中每个主机上都有云主机的一个镜像,从而大大提高了虚拟主机的安全稳定性。随着云主机的应用与发展,网络安全的问题也不容忽视,尤其是多台云主机之间的网络安全问题。
[0004]目前,通过云主机所在宿主机配置防火墙防护策略,可以满足部分云主机微隔离 ...
【技术保护点】
【技术特征摘要】
1.一种面向云主机全流量网络访问防护的方法,其特征在于,所述全流量网络访问防护是指全流量的网络安全防护,包括:云主机防火墙、传统数据中心防火墙的南北向流量访问防护以及云计算平台的分布式防火墙的东西向流量访问防护;所述的南北向流量访问防护是指:通过利用云计算自动化技术对单个或利用云计算服务编排技术对一组业务系统的云资源的传统数据中心防火墙及云主机防火墙进行分别配置实施的南北向流量访问防护,所述分别配置是指对传统数据中心防火墙所开放的api接口以及对云主机防火墙的端口级别、协议级别、源IP及目标IP级别等方式的南北向流量访问防护策略的配置、自动调度及下发;所述的东西向流量访问防护是指:根据云资源层面的异构云基础环境的网络协议,通过在云计算平台上建立支撑分布式防火墙的增强适配模块,并实现在云计算平台上对多云异构环境下的云主机进行东西向流量访问防护策略的统一配置,进而实现东西向流量访问的防护;通过在云计算平台上对所述东西向和所述南北向流量访问防护的入口的统一配置,结合云计算平台中云租户、云主机业务分组和预置的规则策略,实现所述的南北向流量访问防护和所述的东西向流量访问防护的无缝交互,进一步对全流量网络访问防护策略进行自动化配置,从而实现对单个或多云资源的全流量的网络访问的防护。2.根据权利要求1所述的全流量网络访问防护的方法,其特征还在于,包括以下步骤:S1建立分布式防火墙的响应规则,根据云资源层面的异构云基础环境的网络协议,在云计算平台的云主机上建立分布式防火墙的响应规则,通过获取的东西向流量访问防护策略的配置、自动调度及下发的命令后,自动实现对所述东西向流量访问防护;其中,所述分布式防火墙是预先在云计算平台上云资源层面,根据异构云基础环境的网络协议,通过增强适配模块来部署的支持异种网络的分布式防火墙;S2建立全流量防火墙的响应规则,通过云服务编排及自动化技术对传统数据中心防火墙所开放的api接口以及对云主机防火墙的端口级别、协议级别、源IP及目标IP级别等的配置,建立所述南北向流量访问的响应规则;并同时通过对所述东西向和所述南北向防护的入口的统一配置,结合在云计算平台中云租户、云主机业务分组和预置的规则策略,实现所述东西向流量访问防护与所述南北向流量访问防护的双向流量防护策略的融合优化、自动划分、自动配置,进而建立所述全流量防火墙的响应规则;S3配置全流量防护策略,云租户根据需求在终端显示界面分别配置相关所述南北向流量访问防护策略或所述东西向流量访问防护策略,配置完成后,自动生成全流量网络访问防护策略需求订单;S4获取全流量防护策略需求并响应,基于云租户在云计算平台提交的所述全流量网络访问防护策略需求订单,云主机自动读取所述全流量网络访问防护策略,并根据读取的策略自动响应步骤S1、S2中的规则,通过不断获取步骤S3中的配置全流量防护策略,进行自适应配置、自动调度及下发命令,实现实时自动执行所述的全流量网络访问防护。3.根据权利要求1或2所述的全流量网络访问防护的方法,其特征还在于,在所述步骤S4获取全流量防护策略需求并响应中,所述自动执行,包括在未开启防火墙时,则自动开启。4.根据权利要求1或2或3所述的全流量网络访问防护的方法,其特征还在于,在所述步
骤S4获取全流量防护策略需求并响应中,根据获取的所述云租户统一在云平台进行的申请、审核,最终通过云服务编排和自动化技术,自动响应所述全流量网络访问防护策略的下发和生效,起到自动的防护能力;上述所有操作均有日志记录和查阅回溯,提供日后运维排错的定位用途。5.一种面向云主机的实现南北向流量访问防护的方法,其特征在于,通过利用云计算自动化技术对单个或利用云计算服务编排技术对一组业务系统的云资源的云主机防火墙进行配置实施的南北向流量访问防护,所述配置是指对云主机防火墙的入站出站策略的配置,进而实现南北向流量访问防护策略的配置、自动调度及下发;所述云主机防火墙的入站出站策略的配置对象包括:端口级别、协议级别、源IP及目标IP级别。6.另一种面向云主机的实现南...
【专利技术属性】
技术研发人员:吴中岱,王骏翔,郭磊,胡蓉,韩冰,刘晋,
申请(专利权)人:中远海运科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。