本發(fā)明公開了一種虛擬防火墻的配置方法、裝置以及計(jì)算機(jī)可讀存儲介質(zhì)，涉及計(jì)算機(jī)技術(shù)領(lǐng)域。本發(fā)明根據(jù)虛擬機(jī)的遷移信息，查找到遷移前第一物理機(jī)上第一虛擬防火墻的第一安全策略集，并從中提取出虛擬機(jī)的安全策略，將虛擬機(jī)的安全策略遷移到虛擬機(jī)遷移后的第二物理機(jī)上第二虛擬防火墻的第二安全策略集中，同時(shí)第一安全策略集中虛擬機(jī)的安全策略將被刪除。本發(fā)明的方法能夠使安全策略跟隨虛擬機(jī)進(jìn)行遷移，同時(shí)，不同物理機(jī)上配置的安全策略集不同，遷移前的物理機(jī)的安全策略集不再保存遷移的虛擬機(jī)的安全策略，降低了虛擬防火墻中的冗余的安全策略的條目數(shù)，提升了虛擬防火墻和虛擬機(jī)的性能。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域，特別涉及一種虛擬防火墻的配置方法、裝置以及計(jì)算機(jī)可讀存儲介質(zhì)。

背景技術(shù)

分布式虛擬防火墻是一種實(shí)現(xiàn)對云資源池內(nèi)東西流量進(jìn)行安全防護(hù)的解決方案。

分布式虛擬防火墻一般采用虛擬機(jī)形態(tài)，嵌入在Hypervisor(系統(tǒng)管理程序)層級工作，與受保護(hù)虛擬機(jī)運(yùn)行在同一臺物理機(jī)上。

為解決虛擬機(jī)遷移時(shí)安全策略的跟隨問題，目前業(yè)界的分布式虛擬防火墻采用配置相同的全局策略的方案，即每臺分布式防火墻不僅加載所在的物理機(jī)上虛擬機(jī)的安全策略，同時(shí)加載其他物理機(jī)上虛擬機(jī)的安全策略，這樣當(dāng)虛擬機(jī)遷移時(shí)，防火墻的安全策略不用更改。

發(fā)明內(nèi)容

發(fā)明人發(fā)現(xiàn)：由于分布式虛擬防火墻不能用硬件加速安全策略匹配過程，因此安全策略條目的數(shù)量對虛擬防火墻性能的影響較大。在實(shí)際環(huán)境中，單臺物理機(jī)上虛擬機(jī)管控所需的安全策略條目數(shù)遠(yuǎn)少于全局的安全策略條目數(shù)。因此，虛擬防火墻采用配置相同的全局策略來解決虛擬機(jī)遷移時(shí)安全策略跟隨的問題的方案，導(dǎo)致每個(gè)虛擬防火墻存在大量冗余的安全策略條目，影響虛擬防火墻的性能，從而影響在同一物理機(jī)上的虛擬機(jī)的性能。

本發(fā)明所要解決的一個(gè)技術(shù)問題是：如何使安全策略能夠跟隨虛擬機(jī)遷移時(shí)，同時(shí)提高虛擬防火墻和虛擬機(jī)的性能。

根據(jù)本發(fā)明的一個(gè)實(shí)施例，提供的一種虛擬防火墻的配置方法，包括：獲取虛擬機(jī)的遷移信息，遷移信息包括：虛擬機(jī)的標(biāo)識、虛擬機(jī)遷移前所在第一物理機(jī)的標(biāo)識、虛擬機(jī)遷移后所在第二物理機(jī)的標(biāo)識；根據(jù)第一物理機(jī)的標(biāo)識查找第一物理機(jī)對應(yīng)的第一虛擬防火墻的第一安全策略集；根據(jù)虛擬機(jī)的標(biāo)識從第一安全策略集中提取虛擬機(jī)對應(yīng)的安全策略，并從第一安全策略集中將安全策略刪除；根據(jù)第二物理機(jī)的標(biāo)識查找第二物理機(jī)對應(yīng)的第二虛擬防火墻的第二安全策略集；將提取的虛擬機(jī)對應(yīng)的安全策略遷移到第二安全策略集中。

在一個(gè)實(shí)施例中，將提取的虛擬機(jī)對應(yīng)的安全策略遷移到第二安全策略集中包括：將虛擬機(jī)對應(yīng)的各安全策略條目與第二安全策略集中各安全策略條目進(jìn)行比對，去除重復(fù)的安全策略條目以及被高優(yōu)先級的安全策略屏蔽的低優(yōu)先級安全策略條目，得到虛擬機(jī)對應(yīng)的安全策略與第二安全策略集合并后的安全策略集。

在一個(gè)實(shí)施例中，將提取的虛擬機(jī)對應(yīng)的安全策略遷移到第二安全策略集中還包括：檢測將合并后的安全策略集中是否存在合理性互相沖突的安全策略條目，如果存在，則調(diào)整合理性互相沖突的安全策略條目，如果不存在，則將合并后的安全策略集作為更新的第二安全策略集。

在一個(gè)實(shí)施例中，采用以下方法調(diào)整合理性互相沖突的安全策略條目：根據(jù)各安全策略條目的優(yōu)先級，將發(fā)生合理性互相沖突的安全策略條目中優(yōu)先級低的安全策略條目刪除。

在一個(gè)實(shí)施例中，該方法還包括：獲取虛擬機(jī)的銷毀信息，銷毀信息包括：虛擬機(jī)的標(biāo)識、虛擬機(jī)銷毀前所在物理機(jī)的標(biāo)識；根據(jù)虛擬機(jī)銷毀前所在物理機(jī)的標(biāo)識，查找銷毀前所在物理機(jī)對應(yīng)的虛擬防火墻的安全策略集；根據(jù)虛擬機(jī)的標(biāo)識從銷毀前所在物理機(jī)對應(yīng)的虛擬防火墻的安全策略集中將安全策略刪除。

在一個(gè)實(shí)施例中，該方法還包括：根據(jù)物理機(jī)上的各個(gè)虛擬機(jī)對應(yīng)的用戶的安全策略配置信息，生成物理機(jī)對應(yīng)的安全策略集，安全策略配置信息包括用戶配置的安全策略，以及用戶的虛擬機(jī)的標(biāo)識；將安全策略集發(fā)送至物理機(jī)對應(yīng)的虛擬防火墻。