技術領域

本發明涉及云網絡和虛擬防火墻技術領域，特別涉及一種劃分虛擬防火墻的方法和劃分虛擬防火墻的設備。

背景技術

通常，一個大型的云網絡可以支持數以百計的租賃用戶，每個租賃用戶又可以同時運行多個應用，用戶之間的流量都是相互隔離的。但是在大型的云環境中，如果為每個用戶分配一臺實際的防火墻，則需要數以百計的防火墻，這顯然是不現實的。另外，傳統的虛擬防火墻都是通過VLAN（(Virtual Local Area Network，虛擬局域網）、接口和目的地址來進行區分流量，由于其數量均是有限，因此不適合大型的云網絡。

發明內容

本發明鑒于上述情況而作出，其目的是提供一種劃分虛擬防火墻的方法，通過虛擬防火墻的方式來進行安全業務的隔離，降低了硬件部署成本，滿足大型云網絡的需求。

為實現上述目的，本發明的實施方式提供一種劃分虛擬防火墻的方法，包括如下步驟：

在云網絡中添加多臺虛擬防火墻，并設置所述虛擬防火墻的可識別報文類型和可識別網絡標識符ID；

在檢測到云網絡的設備接收到報文時，判斷所述報文的類型是否為所述可識別報文類型，如果是則進一步判斷所述報文攜帶的網絡標識符ID是否為所述可識別網絡標識符ID，其中，所述報文包括網絡標識符ID和內層報文；

如果所述報文攜帶的網絡標識符ID為所述可識別網絡標識符ID，則剝去所述報文的網絡標識符ID，將所述報文的內層報文發送至相應的所述虛擬防火墻；

所述虛擬防火墻對所述內層報文進行業務處理，并在處理完成后對所述內層報文添加對應的原始網絡標識符ID以封裝成處理后報文，并發送所述處理后報文。

根據本發明的一個方面，所述可識別報文類型為使用通用路由封裝的網絡虛擬化NVGRE或虛擬可擴展局域網VxLAN。

根據本發明的另一個方面，所述可識別網絡標識符ID為NVGRE或VxLAN的24位租賃網絡標識符。

根據本發明的又一方面，所述網絡標識符ID位于所述報文的頭部。

本發明提供的劃分虛擬防火墻的方法通過虛擬防火墻的方式來進行安全業務的隔離，并且降低了硬件部署成本。本發明采用NVGRE或VXLAN的方式劃分的共享式虛擬防火墻，避免了采用接口方式區分防火墻流量而引起的接口利用率降低的問題。并網，本發明提供的劃分虛擬防火墻的方法，可以支持較大數量的用戶，從而滿足大型云網絡的需求。

本發明的另一個目的是提供一種劃分虛擬防火墻的設備，通過虛擬防火墻的方式來進行安全業務的隔離，降低了硬件部署成本，滿足大型云網絡的需求。

為實現上述目的，本發明的實施方式提供一種劃分虛擬防火墻的設備，包括：添加模塊，用于在云網絡中添加多臺虛擬防火墻；可識別內容設置模塊，所述可識別內容設置模塊連接至虛擬防火墻，用于設置所述虛擬防火墻的可識別報文類型和可識別網絡標識符ID；報文檢測模塊，用于檢測云網絡的設備是否接收到報文；可識別內容判斷模塊，所述可識別內容判斷模塊連接至所述報文檢測模塊和所述可識別內容設置模塊，用于在所述報文檢測模塊檢測到云網絡的設備接收到報文時，判斷所述報文的類型是否為所述可識別報文類型，如果是則進一步判斷所述報文攜帶的網絡標識符ID是否為所述可識別網絡標識符ID，其中，所述報文包括網絡標識符ID和內層報文；網絡標識符處理模塊，所述網絡標識符處理模塊連接至所述可識別內容判斷模塊，用于剝去所述報文的網絡標識符ID；報文傳輸模塊，所述報文傳輸模塊連接至所述網絡標識符處理模塊和所述虛擬防火墻，用于將剝去網絡標識符ID的內層報文發送至相應的所述虛擬防火墻，其中，所述虛擬防火墻對所述內層報文進行業務處理，并在處理完成后對所述內層報文添加對應的原始網絡標識符ID以封裝成處理后報文，并發送所述處理后報文。

根據本發明的一個方面，所述可識別報文類型為使用通用路由封裝的網絡虛擬化NVGRE或虛擬可擴展局域網VxLAN。

根據本發明的另一個方面，所述可識別網絡標識符ID為NVGRE或VxLAN的24位租賃網絡標識符。

根據本發明的又一方面，所述網絡標識符ID位于所述報文的頭部。

本發明提供的劃分虛擬防火墻的設備通過虛擬防火墻的方式來進行安全業務的隔離，并且降低了硬件部署成本。本發明采用NVGRE或VXLAN的方式劃分的共享式虛擬防火墻，避免了采用接口方式區分防火墻流量而引起的接口利用率降低的問題。并網，本發明提供的劃分虛擬防火墻的方法，可以支持較大數量的用戶，從而滿足大型云網絡的需求。

附圖說明