技術(shù)領(lǐng)域

本申請涉及通信技術(shù)領(lǐng)域，尤其涉及一種FWaaS安全域配置方法及裝置。

背景技術(shù)

OpenStack是一個(gè)開源的云計(jì)算管理平臺項(xiàng)目，由幾個(gè)主要的組件組合起來完成具體工作。其目標(biāo)是提供實(shí)施簡單、可大規(guī)模擴(kuò)展、豐富、標(biāo)準(zhǔn)統(tǒng)一的云計(jì)算管理平臺。OpenStack覆蓋了網(wǎng)絡(luò)、虛擬化、操作系統(tǒng)、服務(wù)器等各個(gè)方面，通過所包含的多個(gè)組件，提供計(jì)算、網(wǎng)絡(luò)、存儲等核心服務(wù)，以及FWaaS(FireWall as a Service，防火墻即服務(wù))等擴(kuò)展服務(wù)。其中OpenStack自身的FWaaS，由于FWaaS配置界面不能配置類似于傳統(tǒng)防火墻的安全域功能，即OpenStack自身的FWaaS不包含安全域配置功能，導(dǎo)致FWaaS功能不夠完善，存在缺陷。相應(yīng)的由于OpenStack中FWaaS無法配置安全域功能，在網(wǎng)絡(luò)設(shè)備這一側(cè)目前只能通過硬編碼的方式來生成安全域，使每一個(gè)虛擬防火墻都有一個(gè)特定名稱的安全域，其生成的安全域具有單一性，且是在后臺運(yùn)行無法展示出來，對于網(wǎng)絡(luò)設(shè)備擁有的硬件設(shè)備安全域，無法發(fā)揮其應(yīng)有的功能。

發(fā)明內(nèi)容

有鑒于此，本申請?zhí)峁┮环NFWaaS安全域配置方法及裝置。

具體地，本申請是通過如下技術(shù)方案實(shí)現(xiàn)的：

一種FWaaS安全域配置方法，應(yīng)用于OpenStack，所述方法包括：

獲取待配置的FWaaS規(guī)則，其包含源安全域字段和目的安全域字段；

獲取為內(nèi)網(wǎng)安全域預(yù)先設(shè)置的內(nèi)網(wǎng)標(biāo)識和為外網(wǎng)安全域預(yù)先設(shè)置的外網(wǎng)標(biāo)識；

為所述待配置的FWaaS規(guī)則中的源安全域字段配置內(nèi)網(wǎng)標(biāo)識或外網(wǎng)標(biāo)識，以及為所述待配置的FWaaS規(guī)則中的目的安全域字段配置內(nèi)網(wǎng)標(biāo)識或外網(wǎng)標(biāo)識。

一種基于FWaaS安全域配置方法的FWaaS安全域生成方法，應(yīng)用于網(wǎng)絡(luò)設(shè)備，所述方法包括：

獲取所述OpenStack下發(fā)的策略，所述策略由用戶在OpenStack中配置好的FWaaS規(guī)則形成；

獲取用戶指定的目標(biāo)虛擬路由器；

將預(yù)先創(chuàng)建的虛擬防火墻與所述策略以及所述目標(biāo)虛擬路由器關(guān)聯(lián)；

在所述預(yù)先創(chuàng)建的虛擬防火墻與所述策略以及所述目標(biāo)虛擬路由器關(guān)聯(lián)之后，生成所述目標(biāo)虛擬路由器對應(yīng)的FWaaS安全域。

一種FWaaS安全域配置裝置，應(yīng)用于OpenStack，所述裝置包括：

FWaaS規(guī)則獲取單元，用于獲取待配置的FWaaS規(guī)則，其包含源安全域字段和目的安全域字段；

標(biāo)識獲取單元，用于獲取為內(nèi)網(wǎng)安全域預(yù)先設(shè)置的內(nèi)網(wǎng)標(biāo)識和為外網(wǎng)安全域預(yù)先設(shè)置的外網(wǎng)標(biāo)識；

FWaaS規(guī)則配置單元，用于為所述待配置的FWaaS規(guī)則中的源安全域字段配置內(nèi)網(wǎng)標(biāo)識或外網(wǎng)標(biāo)識，以及為所述待配置的FWaaS規(guī)則中的目的安全域字段配置內(nèi)網(wǎng)標(biāo)識或外網(wǎng)標(biāo)識。

一種基于FWaaS安全域配置裝置的FWaaS安全域生成裝置，應(yīng)用于網(wǎng)絡(luò)設(shè)備，所述裝置包括：

策略獲取單元，用于獲取所述OpenStack下發(fā)的策略，所述策略由用戶在OpenStack中配置好的FWaaS規(guī)則形成；

目標(biāo)虛擬路由器獲取單元，用于獲取用戶指定的目標(biāo)虛擬路由器；

關(guān)聯(lián)單元，用于將預(yù)先創(chuàng)建的虛擬防火墻與所述策略以及所述目標(biāo)虛擬路由器關(guān)聯(lián)；

FWaaS安全域生成單元，用于在所述預(yù)先創(chuàng)建的虛擬防火墻與所述策略以及所述目標(biāo)虛擬路由器關(guān)聯(lián)之后，生成所述目標(biāo)虛擬路由器對應(yīng)的FWaaS安全域。

本方案根據(jù)虛擬路由器提供的內(nèi)網(wǎng)與外網(wǎng)的交互服務(wù)，確定內(nèi)網(wǎng)為內(nèi)網(wǎng)安全域，確定外網(wǎng)為外網(wǎng)安全域，并為內(nèi)網(wǎng)安全域與外網(wǎng)安全域設(shè)置相應(yīng)的內(nèi)網(wǎng)標(biāo)識和外網(wǎng)標(biāo)識；將獲取的待配置的FWaaS規(guī)則中的源安全域字段配置內(nèi)網(wǎng)標(biāo)識或外網(wǎng)標(biāo)識，待配置的FWaaS規(guī)則中的目的安全域字段可以配置內(nèi)網(wǎng)標(biāo)識或外網(wǎng)標(biāo)識。將所述配置好的FWaaS規(guī)則形成策略下發(fā)到網(wǎng)絡(luò)設(shè)備，將預(yù)先創(chuàng)建的虛擬防火墻與所述策略以及用戶指定的目標(biāo)虛擬路由器關(guān)聯(lián)之后，生成所述目標(biāo)虛擬路由器對應(yīng)的FWaaS安全域。與現(xiàn)有技術(shù)方案相比，OpenStack中FWaaS配置界面可以配置FWaaS安全域，可以充分發(fā)揮硬件設(shè)備安全域應(yīng)有的功能。生成的FWaaS安全域，一臺虛擬路由器對應(yīng)兩個(gè)安全域，可以區(qū)分源安全域和目的安全域；用戶層面無接口概念，可以降低運(yùn)維難度；可以隨時(shí)查看與FWaaS規(guī)則對應(yīng)的FWaaS安全域。

附圖說明