logo好方法网

基于SDN虚拟防火墙的安全组信息的边界防火墙的自动配置

发布时间:2020-09-28 发布人:admin 分类:专利技术 资料大小:1.86M 资料格式:pdf 举报 版权申诉

技术摘要:
本公开涉及基于SDN虚拟防火墙的安全组信息的边界防火墙的自动配置。描述了用于基于与在数据中心内的一个或多个软件定义网络(SDN)内操作的内部虚拟防火墙相关联的安全组信息来配置被定位在数据中心的边界上的一个或多个边界防火墙的技术。例如,安全管理系统(SMS)可以访  全部
背景技术:
在典型的云数据中心环境中,存在提供计算和/或存储能力以运行各种应用的大 量的相互连接的服务器。例如,数据中心可以包括托管用于订户(即,数据中心的客户)的应 用和服务的设施。数据中心可以例如托管所有基础设施设备,诸如联网和存储系统、冗余功 率和环境控制。在典型的数据中心中,存储系统和应用服务器的集群通过由物理网络交换 机和路由器的一个或多个层提供的交换机结构相互连接。更复杂的数据中心利用被定位在 各种物理主机设施中的订户支持设备来提供遍布全世界的基础设施。 虚拟化数据中心正变为现代信息技术(IT)基础设施的核心基础。特别地,现代数 据中心具有广泛利用的虚拟化环境,其中虚拟主机(诸如虚拟机或容器)在物理计算设备的 底层计算平台上部署和执行。在一些示例中,基础设施可以包括与各种虚拟资源(诸如虚拟 服务器、代理和/或策略控制器)连接和通信的物理设备的组合,物理设备可以被称为“底层 资源”,并且所述虚拟资源可以被称为“覆盖资源”。 安全设备(诸如防火墙)为数据中心提供网络安全。防火墙可以包括虚拟防火墙或 者物理防火墙。虚拟防火墙(诸如在虚拟机上托管的防火墙)为在虚拟网络中流动的网络流 量提供网络安全。物理防火墙(诸如在硬件上实现的防火墙)为在物理网络中流动的网络流 量提供网络安全。不同的供应者可以提供安全设备,其可以在一些实例中为开放系统互连 (OSI)模型的不同层提供网络安全。
技术实现要素:
总体而言,本公开描述了用于基于与在数据中心内的一个或多个软件定义网络 (SDN)内操作的内部虚拟防火墙相关联的安全组信息来配置被定位在数据中心的边缘上的 一个或多个边界防火墙的技术。例如,第一实体可以提供集中式网络控制器(CNC)(例如, SDN控制器)以促进数据中心内的一个或多个虚拟网络(即,软件定义网络)的操作。更特别 地,用户可以使用CNC管理在数据中心的一个或多个计算节点(例如,服务器)上执行的虚拟 防火墙和虚拟机。CNC用于定义安全组信息,其定义待由通过虚拟防火墙实现的一个或多个 安全策略保护的虚拟机集群。虚拟防火墙为数据中心的虚拟网络(诸如在数据中心内的虚 拟机集群之间流动的流量,在此被称为“东-西”流量)提供网络安全。第二实体可以提供被 定位在数据中心的边缘上的边界防火墙,其为数据中心的物理网络(诸如进入和/或外出数 据中心的流量,在此被称为“南-北”流量)提供网络安全。根据本公开中所描述的技术,边界 5 CN 111614605 A 说 明 书 2/10 页 防火墙的配置可以利用安全组信息,其被配置用于虚拟防火墙将网络安全扩展到数据中心 的边界水平。 在此所公开的技术的一个示例包括第二实体的安全管理系统,其被用于创建、维 护和应用用于边界防火墙的网络安全策略。安全管理系统可以与第一实体的CNC对接以获 得被配置用于虚拟防火墙的安全组信息。安全管理系统可以映射安全组信息作为地址组信 息,并且创建使用地址组信息的防火墙策略。安全管理系统将防火墙策略发布到边界防火 墙,使得边界防火墙为在从安全组信息标识的虚拟机集群与数据中心外部的设备之间流动 的流量提供网络安全。以这种方式,被配置用于虚拟防火墙为用于虚拟机集群的东-西流量 提供网络安全的安全组信息可以被用于将边界防火墙配置用于为用于虚拟机集群的南-北 流量提供网络安全。 在一个示例中,在此所描述的技术的一个或多个方面包括一种方法,包括:利用数 据中心的安全管理系统访问用于数据中心内的软件定义网络的集中式网络控制器,以获得 用于软件定义网络的虚拟防火墙的安全组信息,其中安全组信息指定由虚拟防火墙保护的 软件定义网络的虚拟机集群,虚拟防火墙为在虚拟机集群上执行的应用之间流动的流量提 供网络安全;以及利用安全管理系统基于来自软件定义网络的虚拟防火墙的安全组信息来 利用一个或多个安全策略自动地配置被定位在数据中心的边缘上的边界防火墙,其中物理 防火墙为在软件定义网络与数据中心外部的设备之间流动的流量提供网络安全。 在另一示例中,在此所描述的技术的一个或多个方面包括一种数据中心的安全管 理系统,其被配置为:访问数据中心内的软件定义网络的集中式网络控制器,以获得用于软 件定义网络的虚拟防火墙的安全组信息,其中安全组信息指定由虚拟防火墙保护的软件定 义网络的虚拟机集群,虚拟防火墙为在虚拟机集群上执行的应用之间流动的流量提供网络 安全;以及利用安全管理系统基于来自软件定义网络的虚拟防火墙的安全组信息来利用或 多个安全策略自动地配置被定位在数据中心的边缘上的物理防火墙,其中物理防火墙为在 软件定义网络与数据中心外部的设备之间流动的流量提供网络安全。 在又一示例中,在此所描述的技术的一个或多个方面包括一种非暂态计算机可读 介质,其包括指令,所述指令当执行时使得执行安全管理系统(SMS)的数据中心的一个或多 个处理器:访问用于数据中心内的软件定义网络的集中式网络控制器,以获得用于软件定 义网络的虚拟防火墙的安全组信息,其中安全组信息指定由虚拟防火墙保护的软件定义网 络的虚拟机集群,虚拟防火墙为在虚拟机集群上执行的应用之间流动的流量提供网络安 全;以及利用安全管理系统基于来自软件定义网络的虚拟防火墙的安全组信息来利用或多 个安全策略自动地配置被定位在数据中心的边缘上的物理防火墙,其中物理防火墙为在软 件定义网络与数据中心外部的设备之间流动的流量提供网络安全。 在附图和以下描述中阐述本公开的技术的一个或多个示例的细节。本技术的其它 特征、目标和优点将从描述和附图并且从权利要求变得显而易见。 附图说明 图1是图示具有其中可以实现在此所描述的技术的示例的数据中心的示例网络的 块图。 图2是根据本公开中所描述的技术的图示示例安全管理系统的块图。 6 CN 111614605 A 说 明 书 3/10 页 图3是根据本公开的技术的图示示例物理防火墙的块图。 图4是根据本公开的技术的图示示例操作的流程图。 相似附图标记贯穿附图和描述指代相似元件。
    分享到:
    收藏

    相关推荐