一种面向云主机全流量网络访问防护的方法及装置制造方法及图纸

本发明专利技术涉及云计算及信息安全技术领域，具体涉及一种面向云主机全流量网络访问防护的方法及装置。本发明专利技术在传统南北向流量防护下，通过云计算服务编排及自动化技术实现了云资源东西向层面的一道防护能力，与南北向流量防护互补形成全流量网络访问防护。具体采用建立分布式防火墙的响应规则，建立全流量防火墙的响应规则，配置全流量防护策略以及获取全流量防护策略需求并响应，从而自动化实现全流量网络访问的防护。本发明专利技术还提供对应的装置，解决了传统防火墙技术的专业性要求较高，防护方式存在防护策略配置冲突，及多台云主机间的防护策略配置缺乏协同性、操作步骤繁琐等问题。操作步骤繁琐等问题。

【技术实现步骤摘要】
一种面向云主机全流量网络访问防护的方法及装置


[0001]本专利技术涉及云计算以及信息安全
，具体涉及一种面向云主机全流量网络访问防护的方法及装置。

技术介绍

[0002]防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是内部网络和外部网络之间的连接桥梁，同时对进出网络边界的数据进行保护，防止恶意入侵、恶意代码的传播等，保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术，几乎所有的企业内部网络与外部网络(如因特网)相连接的边界设都会放置防火墙，防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。但是面对云主机，传统网络防火墙技术已经不满足网络安全的要求。
[0003]云主机是云计算在基础设施应用上的重要组成部分，位于云计算产业链金字塔底层，产品源自云计算平台。该平台整合了互联网应用三大核心要素：计算、存储、网络，面向用户提供公用化的互联网基础设施服务。云主机是一种类似VPS主机的虚拟化技术，VPS是采用虚拟软件，VZ或VM在一台主机上虚拟出多个类似独立主机的部分，能够实现单机多用户，每个部分都可以做单独的操作系统，管理方法同主机一样。而云主机是在一组集群主机上虚拟出多个类似独立主机的部分，集群中每个主机上都有云主机的一个镜像，从而大大提高了虚拟主机的安全稳定性。随着云主机的应用与发展，网络安全的问题也不容忽视，尤其是多台云主机之间的网络安全问题。
[0004]目前，通过云主机所在宿主机配置防火墙防护策略，可以满足部分云主机微隔离的需求，但无法完成细化策略和叠加策略的需求。传统云主机的南北向防护通过本地防火墙完成，对于普通非专业
的云租户存在较高的技术要求。而且，云主机东西向和南北向流量的防护策略易存在冲突，东西向防护、南北向防护如果在配置过程中，针对同一类型或网络段区域进行相同配置时，会存在实际网络通路上的冲突。例如，云主机防护配置了允许10.18.*.*网段对80端口的访问请求，而东西向流量中只允许了10.19.*.*网段对80端口的访问，则会发生均无法访问的问题。多台云主机间相关东西向和南北向流量防护的策略查询、新建、修改、排错的操作繁琐且缺乏协同性，对云租户存在较高的专业技术要求。

技术实现思路

[0005]为解决传统防火墙技术不能满足现云主机的安全防护，传统云主机的南北向防护通过本地防火墙的专业技术性要求较高，云主机东西向和南北向流量的防护方式容易存在防护策略配置的冲突，以及多台云主机间相关的东西向和南北向流量的防护策略配置缺乏协同性、操作步骤繁琐等问题，本专利技术开发了一种面向云主机全流量网络访问防护的方法及装置。
[0006]本专利技术请求保护以下技术方案：
[0007]利用云计算服务编排技术，通过“自助交互式”的方式实现云计算平台与云主机操
作系统主机防火墙和云计算虚拟化平台的分布式防火墙的无缝交互，完成云主机间的微隔离，达到自动化网络防护策略配置，支持区域的自动划分、默认规则的自动配置、自定义添加规则及其类型等操作。
[0008]云主机操作系统的防火墙负责管理南北向流量管理；在传统数据中心级别的传统三层防护下，通过自助式云主机防火墙的策略下发和配置应用，实现在云主机资源在东西向流量有效管控的同时，叠加一层南北向流量的防护力度。明确各防火墙功能定位，同时也能有效的解决防护策略易存在冲突的问题。
[0009]相关策略的的查询、新建、修改统一交由云平台管理，云租户可通过既定的流程进行相关策略的自主查询、申请、自动下发等操作，大幅简化了云租户的操作步骤，并提供了直观的查询界面，便于多设备间的策略的协同配置。
[0010]具体的：
[0011]本专利技术提供了一种面向云主机全流量网络访问防护的方法，其特征在于，所述全流量网络访问防护是指全流量的网络安全防护，包括：云主机防火墙、传统数据中心防火墙的南北向流量访问防护以及云计算平台的分布式防火墙的东西向流量访问防护；
[0012]所述的南北向流量访问防护是指：通过利用云计算自动化技术对单个或利用云计算服务编排技术对一组业务系统的云资源的传统数据中心防火墙及云主机防火墙进行分别配置实施的南北向流量访问防护，所述分别配置是指对传统数据中心防火墙所开放的api接口以及对云主机防火墙的端口级别、协议级别、源IP及目标IP级别等方式的南北向流量访问防护策略的配置、自动调度及下发；
[0013]所述的东西向流量访问防护是指：根据云资源层面的异构云基础环境的网络协议，通过在云计算平台上建立支撑分布式防火墙的增强适配模块，并实现在云计算平台上对多云异构环境下的云主机进行东西向流量访问防护策略的统一配置，进而实现东西向流量访问的防护；
[0014]通过在云计算平台上对所述东西向和所述南北向流量访问防护的入口的统一配置，结合云计算平台中云租户、云主机业务分组和预置的规则策略，实现所述的南北向流量访问防护和所述的东西向流量访问防护的无缝交互，进一步对全流量网络访问防护策略进行自动化配置，从而实现对单个或多云资源的全流量的网络访问的防护。
[0015]进一步的，包括以下步骤：
[0016]S1建立分布式防火墙的响应规则，根据云资源层面的异构云基础环境的网络协议，在云计算平台的云主机上建立分布式防火墙的响应规则，通过获取的东西向流量访问防护策略的配置、自动调度及下发的命令后，自动实现对所述东西向流量访问防护；其中，所述分布式防火墙是预先在云计算平台上云资源层面，根据异构云基础环境的网络协议，通过增强适配模块来部署的支持异种网络的分布式防火墙；
[0017]S2建立全流量防火墙的响应规则，通过云服务编排及自动化技术对传统数据中心防火墙所开放的api接口以及对云主机防火墙的端口级别、协议级别、源IP及目标IP级别等的配置，建立所述南北向流量访问的响应规则；并同时通过对所述东西向和所述南北向防护的入口的统一配置，结合在云计算平台中云租户、云主机业务分组和预置的规则策略，实现所述东西向流量访问防护与所述南北向流量访问防护的双向流量防护策略的融合优化、自动划分、自动配置，进而建立所述全流量防火墙的响应规则；
[0018]S3配置全流量防护策略，云租户根据需求在终端显示界面分别配置相关所述南北向流量访问防护策略或所述东西向流量访问防护策略，配置完成后，自动生成全流量网络访问防护策略需求订单；
[0019]S4获取全流量防护策略需求并响应，基于云租户在云计算平台提交的所述全流量网络访问防护策略需求订单，云主机自动读取所述全流量网络访问防护策略，并根据读取的策略自动响应步骤S1、S2中的规则，通过不断获取步骤S3中的配置全流量防护策略，进行自适应配置、自动调度及下发命令，实现实时自动执行所述的全流量网络访问防护。
[0020]进一步的，在所述步骤S4获取全流量防护策略需求并响应中，所述自动执行，包括在未开启防火墙时，则自动开启。
[0021]进一步的，在所述步骤S4获取全流量防护策略需求并响应中，根据获取的所本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种面向云主机全流量网络访问防护的方法，其特征在于，所述全流量网络访问防护是指全流量的网络安全防护，包括：云主机防火墙、传统数据中心防火墙的南北向流量访问防护以及云计算平台的分布式防火墙的东西向流量访问防护；所述的南北向流量访问防护是指：通过利用云计算自动化技术对单个或利用云计算服务编排技术对一组业务系统的云资源的传统数据中心防火墙及云主机防火墙进行分别配置实施的南北向流量访问防护，所述分别配置是指对传统数据中心防火墙所开放的api接口以及对云主机防火墙的端口级别、协议级别、源IP及目标IP级别等方式的南北向流量访问防护策略的配置、自动调度及下发；所述的东西向流量访问防护是指：根据云资源层面的异构云基础环境的网络协议，通过在云计算平台上建立支撑分布式防火墙的增强适配模块，并实现在云计算平台上对多云异构环境下的云主机进行东西向流量访问防护策略的统一配置，进而实现东西向流量访问的防护；通过在云计算平台上对所述东西向和所述南北向流量访问防护的入口的统一配置，结合云计算平台中云租户、云主机业务分组和预置的规则策略，实现所述的南北向流量访问防护和所述的东西向流量访问防护的无缝交互，进一步对全流量网络访问防护策略进行自动化配置，从而实现对单个或多云资源的全流量的网络访问的防护。2.根据权利要求1所述的全流量网络访问防护的方法，其特征还在于，包括以下步骤：S1建立分布式防火墙的响应规则，根据云资源层面的异构云基础环境的网络协议，在云计算平台的云主机上建立分布式防火墙的响应规则，通过获取的东西向流量访问防护策略的配置、自动调度及下发的命令后，自动实现对所述东西向流量访问防护；其中，所述分布式防火墙是预先在云计算平台上云资源层面，根据异构云基础环境的网络协议，通过增强适配模块来部署的支持异种网络的分布式防火墙；S2建立全流量防火墙的响应规则，通过云服务编排及自动化技术对传统数据中心防火墙所开放的api接口以及对云主机防火墙的端口级别、协议级别、源IP及目标IP级别等的配置，建立所述南北向流量访问的响应规则；并同时通过对所述东西向和所述南北向防护的入口的统一配置，结合在云计算平台中云租户、云主机业务分组和预置的规则策略，实现所述东西向流量访问防护与所述南北向流量访问防护的双向流量防护策略的融合优化、自动划分、自动配置，进而建立所述全流量防火墙的响应规则；S3配置全流量防护策略，云租户根据需求在终端显示界面分别配置相关所述南北向流量访问防护策略或所述东西向流量访问防护策略，配置完成后，自动生成全流量网络访问防护策略需求订单；S4获取全流量防护策略需求并响应，基于云租户在云计算平台提交的所述全流量网络访问防护策略需求订单，云主机自动读取所述全流量网络访问防护策略，并根据读取的策略自动响应步骤S1、S2中的规则，通过不断获取步骤S3中的配置全流量防护策略，进行自适应配置、自动调度及下发命令，实现实时自动执行所述的全流量网络访问防护。3.根据权利要求1或2所述的全流量网络访问防护的方法，其特征还在于，在所述步骤S4获取全流量防护策略需求并响应中，所述自动执行，包括在未开启防火墙时，则自动开启。4.根据权利要求1或2或3所述的全流量网络访问防护的方法，其特征还在于，在所述步
骤S4获取全流量防护策略需求并响应中，根据获取的所述云租户统一在云平台进行的申请、审核，最终通过云服务编排和自动化技术，自动响应所述全流量网络访问防护策略的下发和生效，起到自动的防护能力；上述所有操作均有日志记录和查阅回溯，提供日后运维排错的定位用途。5.一种面向云主机的实现南北向流量访问防护的方法，其特征在于，通过利用云计算自动化技术对单个或利用云计算服务编排技术对一组业务系统的云资源的云主机防火墙进行配置实施的南北向流量访问防护，所述配置是指对云主机防火墙的入站出站策略的配置，进而实现南北向流量访问防护策略的配置、自动调度及下发；所述云主机防火墙的入站出站策略的配置对象包括：端口级别、协议级别、源IP及目标IP级别。6.另一种面向云主机的实现南...

【专利技术属性】
技术研发人员：吴中岱，王骏翔，郭磊，胡蓉，韩冰，刘晋，
申请(专利权)人：中远海运科技股份有限公司，
类型：发明
国别省市：