本發明公開了一種分布式防火墻定義方法及系統，該方法包括：防火墻組件實時監聽防火墻事件，并將當前監聽到的防火墻事件對應防火墻配置信息發送至OVN數據庫中；OVN數據庫將防火墻配置信息轉換為相應的策略路由，利用策略路由對自身所存儲的數據進行防火墻事件對應的處理，并將進行防火墻事件對應處理導致自身所存儲的數據中發生變化的數據分別發送至位于各計算節點上的OVN控制器；OVN控制器將接收到的數據發送至所在計算節點上的OVS守護模塊，OVS守護模塊將接收到的數據存儲在內存中用于實現報文的轉發。可見，本申請能夠實現安全防護隔離的同時，避免出現網絡擁塞等網絡問題。

技術領域

本發明涉及防火墻技術領域，更具體地說，涉及一種分布式防火墻定義方法及系統。

背景技術

Openstack（開源框架，應用于云計算領域中）云計算的快速發展，帶來資源整合優勢的同時也帶來較多的使用風險，比如網絡帶寬的瓶頸問題；對于網絡帶寬問題，通常采用各種限速或者流量過濾分流的方法來解決，但是這些方法面臨的網絡威脅較大，因此如何合理而又高效的實現網絡帶寬的合理分配，同時保證網絡安全是當前無法回避的問題。

目前在基于Openstack框架部署私有云平臺的應用場景中，通常是通過在Openstack原生的Virtual Router（虛擬路由器）上添加iptables（ip規則表）規則，來實現對進出虛擬網絡數據包的控制；這種借助于原生Virtual Router上添加iptables規則的方式，由于對于流量的過濾集中在L3 agent上，因此導致當突發流量時，無法實現安全防護隔離的同時，還會出現如網絡擁塞等網絡問題。

發明內容

本發明的目的是提供一種分布式防火墻定義方法及系統，能夠實現安全防護隔離的同時，避免出現網絡擁塞等網絡問題。

為了實現上述目的，本發明提供如下技術方案：

一種分布式防火墻定義方法，包括：

防火墻組件實時監聽防火墻事件，并將當前監聽到的防火墻事件對應防火墻配置信息發送至OVN數據庫中；

所述OVN數據庫將所述防火墻配置信息轉換為相應的策略路由，利用所述策略路由對自身所存儲的數據進行所述防火墻事件對應的處理，并將進行所述防火墻事件對應處理導致自身所存儲的數據中發生變化的數據分別發送至位于各計算節點上的OVN控制器；

所述OVN控制器將接收到的數據發送至所在計算節點上的OVS守護模塊，所述OVS守護模塊將接收到的數據存儲在內存中用于實現報文的轉發。

優選的，所述防火墻組件將當前監聽到的防火墻事件對應防火墻配置信息發送至OVN數據庫之前，還包括：

所述防火墻組件確定當前監聽到的防火墻事件為防火墻創建事件，判斷網絡服務器中是否存在所述防火墻創建事件對應防火墻的防火墻策略、防火墻策略規則以及關聯路由器，如果是，則基于所述防火墻創建事件對應防火墻的防火墻策略、防火墻策略規則以及關聯路由器提取構造相應策略路由所需的各項參數信息，并確定提取的各項參數信息為相應的防火墻配置信息，如果否，則退出所述防火墻創建事件的處理；

相應的，所述OVN數據庫利用所述策略路由對自身所存儲的數據進行所述防火墻事件對應的處理，包括：

所述OVN數據庫存儲所述策略路由。

優選的，所述防火墻組件確定網絡服務器中存在所述防火墻創建事件對應防火墻的防火墻策略、防火墻策略規則以及關聯路由器之后，還包括：

所述防火墻組件遍歷與所述防火墻創建事件對應防火墻的關聯路由器，并在遍歷到任意關聯路由器時，在該任意關聯路由器下創建預設默認的防火墻策略規則。

優選的，所述OVN數據庫存儲所述策略路由之前，還包括：