本發(fā)明公開(kāi)了基于OVS的虛擬防火墻配置方法，包括如下步驟：使每一物理主機(jī)下的所有虛擬機(jī)之間兩兩隔離或兩兩連接，并將虛擬機(jī)的MAC地址寫(xiě)入openflow流表；根據(jù)所述MAC地址建立白名單流表規(guī)則或黑名單流表規(guī)則，將該白名單流表規(guī)則或黑名單流表規(guī)則下發(fā)至所屬物理主機(jī)的OVS；判斷流經(jīng)該OVS的數(shù)據(jù)包的屬性是否與最高的優(yōu)先權(quán)的白名單流表規(guī)則匹配，若是，則使數(shù)據(jù)包通過(guò)物理主機(jī)OVS上的橋，否則，丟棄該數(shù)據(jù)包。若是，則使數(shù)據(jù)包通過(guò)物理主機(jī)OVS上的橋，否則，丟棄該數(shù)據(jù)包?；贠VS的openfolw流表配置網(wǎng)絡(luò)流量過(guò)濾規(guī)則實(shí)現(xiàn)虛擬防火墻的功能，避免了傳統(tǒng)虛擬防火墻配置需要的防火墻控制器以及防火墻軟件的方式，以達(dá)到規(guī)避傳統(tǒng)虛擬防火墻的缺點(diǎn)的目的，配置策略豐富、靈活。

技術(shù)領(lǐng)域

本發(fā)明涉及一種防火墻安全技術(shù)，尤其涉及一種基于OVS的虛擬防火墻配 置方法。

背景技術(shù)

目前，云資源管理平臺(tái)是通過(guò)網(wǎng)絡(luò)對(duì)物理資源，虛擬資源、業(yè)務(wù)資源進(jìn)行 統(tǒng)一管理的虛擬化平臺(tái)。虛擬機(jī)是云計(jì)算虛擬網(wǎng)絡(luò)通信的重要節(jié)點(diǎn)，虛擬機(jī)安 全可以依靠虛擬機(jī)系統(tǒng)本身的防火墻服務(wù)來(lái)配置，例如linux系統(tǒng)的iptables service。對(duì)于虛擬網(wǎng)絡(luò)的網(wǎng)絡(luò)流量控制防火墻解決方案中，可以分為基于虛擬機(jī) 交換機(jī)的配置訪問(wèn)控制列表控制策略和在虛擬機(jī)內(nèi)運(yùn)行虛擬機(jī)防火墻軟件兩 種。

中國(guó)專利申請(qǐng)201410252561.0公開(kāi)了分布式虛擬防火墻裝置及方法，提出 一種基于虛擬交換機(jī)vSwitch的防火墻模塊，使用防火墻控制器對(duì)網(wǎng)絡(luò)流量進(jìn)行 過(guò)濾的防火墻配置方法。該方法對(duì)于云計(jì)算環(huán)境中的主機(jī)集群，每臺(tái)主機(jī)上都 部署一個(gè)防火墻模塊，在主機(jī)集群的控制節(jié)點(diǎn)上部署防火墻控制器，用于對(duì)整 個(gè)集群環(huán)境中所有的防火墻模塊進(jìn)行統(tǒng)一管理和策略配置。通過(guò)防火墻控制器 還接收用戶或云計(jì)算管理節(jié)點(diǎn)的防火墻策略信息。防火墻模塊接收來(lái)自防火墻 控制器發(fā)送的配置信息和防火墻策略進(jìn)行網(wǎng)絡(luò)流量的檢測(cè)。

但是，現(xiàn)有的先存在以下缺陷：

(1)采用虛擬交換機(jī)vSwitch的防火墻模塊使用防火墻控制器來(lái)實(shí)現(xiàn)防火 墻功能，就必須要保持與防火墻控制器的心跳。防火墻模塊與防火墻控制器需 要建立連接，用戶配置的防火墻策略信息是必須通過(guò)防火墻控制器的可實(shí)施性 預(yù)分析才能將用戶配置的防火墻策略信息發(fā)送給防火墻模塊。一旦連接斷開(kāi)， 就需要用戶根據(jù)控制器反饋信息，進(jìn)行修改。

(2)采用虛擬防火墻軟件方式安裝防火墻，通常需要安裝其他不相干的模 塊，哪怕只用防火墻模塊。而有的防火墻軟件過(guò)濾規(guī)則要逐條過(guò)濾網(wǎng)絡(luò)流量， 性能較差。

發(fā)明內(nèi)容

為了克服現(xiàn)有技術(shù)的不足，本發(fā)明的目的之一在于提供一種基于OVS的虛 擬防火墻配置方法，其可以避免防火墻控制的心跳連接問(wèn)題。

本發(fā)明的目的之二在于提供一種電子設(shè)備，其可以避免防火墻控制的心跳 連接問(wèn)題。

本發(fā)明的目的之三在于提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其可以避免防火墻 控制的心跳連接問(wèn)題。

本發(fā)明的目的之一采用如下技術(shù)方案實(shí)現(xiàn)：

一種基于OVS的虛擬防火墻配置方法，包括如下步驟：

地址寫(xiě)入步驟：使每一物理主機(jī)下的所有虛擬機(jī)之間兩兩隔離或兩兩連接， 并將虛擬機(jī)的MAC地址寫(xiě)入openflow流表；

規(guī)則建立步驟：根據(jù)所述MAC地址建立白名單流表規(guī)則或黑名單流表規(guī) 則，將該白名單流表規(guī)則或黑名單流表規(guī)則下發(fā)至所屬物理主機(jī)的OVS；所述 白名單流表規(guī)則和黑名單流表規(guī)則均包括所屬物理主機(jī)、源類型、源對(duì)象值、 協(xié)議、端口號(hào)、目標(biāo)類型、目標(biāo)對(duì)象值；

判斷步驟：判斷流經(jīng)該OVS的數(shù)據(jù)包的屬性是否與最高的優(yōu)先權(quán)的白名單 流表規(guī)則匹配，若是，則使數(shù)據(jù)包通過(guò)物理主機(jī)OVS上的橋，否則，丟棄該數(shù) 據(jù)包。