一种公有云网络流量安全的实现方法与流程

阅读：评论：0

1.本发明属于公有云网络领域，尤其是涉及一种公有云网络流量安全的实现方法。

背景技术：

2.虚拟私有云(vpc)是一个公共云计算资源的动态配置池，需要使用加密协议、隧道协议和其他安全程序，一个vpc基本上把提供商的多租户架构变成单租户架构。vpc为弹性云服务器构建隔离的、用户自主配置和管理的虚拟网络环境，提升用户云中资源的安全性，简化用户的网络部署。vpc是用户在云厂商中的购买搭建的一个基础云网络环境，用户通过vpc可以安全、方便快捷的配置和管理内部网络，可以自定义很多的网络产品和配置，根据自己的需求构建一个专属自己的网络拓扑。
3.vpc为用户提供了一个专属的网络环境，可以弹性配置vpc内部的网络和云服务器，很好的满足了用户对于弹性网络和网络安全的需求。但是作为用户私有的网络环境，如何保证网络流量的安全，是个大问题。

技术实现要素：

4.有鉴于此，本发明旨在提出一种公有云网络流量安全的实现方法，实现用户可自行配置安全策略，利用云防火墙来实现对vpc与vpc南北向流量、vpc与internet网络(云外网络)流量的安全保护和限制。
5.为达到上述目的，本发明的技术方案是这样实现的：
6.一种公有云网络流量安全的实现方法，其特征在于：
7.用户创建安全策略，指定源vpc和目的vpc；
8.程序根据用户创建的安全策略，查源和目的vpc是否有过安全策略，有则按优先级顺序重新排序后下发到防火墙的域间策略上，没有则把vpc默认的全放行的域间策略规则删除，再将创建的安全策略下发到域间策略上，安全策略索引值按照索引值算法去分配；
9.当用户删除安全策略时，首先将安全策略规则删除，并将索引值回收，再查询同一个vpc下是否还存在安全策略，若存在则无继续操作，若是vpc的最后一条安全策略，则在删除用户创建的安全策略的同时还需要把vpc默认的全放行的安全策略恢复。
10.进一步的，vpc与vpc之间互通策略如下：
11.a1、首先创建vpc1和vpc2的安全策略，然后进行步骤a2和步骤a5；
12.a2、判断vpczone1-external是否已创建过安全策略规则，如果会则进行步骤a3，否则进行步骤a4,；
13.a3、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表，然后进行步骤a8；
14.a4、删除vpc1默认的vpczone1-external和域间策略，新策略加入待下发的安全策略列表中，然后进行步骤a8；
15.a5、判断external-vpczone2是否已创建过安全策略规则，如果是则进行步骤a6，
否则进入步骤a7；
16.a6、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表，然后进行步骤a8；
17.a7、删除vpc1默认的vpczone1-external和域间策略，新策略加入待下发的安全策略列表中，然后进行步骤a8；
18.a8、将最新有序的安全策略列表中的安全策略批量下发到设备上；
19.a9、等待设备返回配置结果后判断设备配置是否成功，成功则返回最终结果后结束，否则重试向设备重新下发配置后再次等待设备返回配置结果。
20.进一步的，vpc与云外网络互通策略如下：
21.b1、创建vpc1到云外网络的安全策略；
22.b2、判断vpczone1-external是否已创建过安全策略规则，如果否则进行步骤b3,否则进行步骤b4；
23.b3、删除vpc1默认的vpczone1-external和域间略，新策略加入待下发的安全策略列表中，然后执行步骤b5；
24.b4、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表；
25.b5、将最新有序的安全策略列表中的安全策略批量下发到设备上；
26.b6、等待设备返回配置结果；
27.b7、判断设备配置是否成功，如果是则返回最终结果后结束，否则重试向设备重新下发配置后重新等待设备返回配置结果。
28.进一步的，安全策略索引值分配流程如下：
29.c1、分配索引值请求；
30.c2、判断是否有索引范围，如果否则进行步骤c3，否则进入c4；
31.c3、报错后抛出异常后结束；
32.c4、判断同一个域间是否已分配安全策略索引，如果否则进行步骤c5，否则进行步骤c6；
33.c5、把索引范围的最小值作为分配值，并置成已分配状态，然后返回索引值后结束；
34.c6、把同一个域间取出已分配的最大索引值，把最大索引值+1作为分配的索引值；
35.c7、判断分配的索引值是否在索引值范围内，如果是则返回索引值后结束，否则进行步骤c8；
36.c8、从已回收的索引值中取出最小的值作为最终索引值，并将此索引值设置为已分配后返回索引值后结束。
37.进一步的，本方案公开了一种电子设备，包括处理器以及与处理器通信连接，且用于存储所述处理器可执行指令的存储器，所述处理器用于执行一种公有云网络流量安全的实现方法。
38.进一步的，本方案公开了一种服务器，包括至少一个处理器，以及与所述处理器通信连接的存储器，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，以使所述至少一个处理器执行一种公有云网络流量安全的实现方法。
39.进一步的，本方案公开了一种计算机可读取存储介质，存储有计算机程序，所述计算机程序被处理器执行时实现一种公有云网络流量安全的实现方法。
40.相对于现有技术，本发明所述的一种公有云网络流量安全的实现方法具有以下有益效果：
41.(1)本发明所述的一种公有云网络流量安全的实现方法，利用防火墙域间策略来实现vpc与vpc、vpc与云外网络互通时增加安全策略的目的，保障了进出vpc的网络流量安全；
42.(2)本发明所述的一种公有云网络流量安全的实现方法，防火墙域间策略不支持优先级功能，越靠前优先级越高，利用索引值的分配算法，将索引值与安全策略优先级进行绑定，按优先级排序后再将配置按顺序下发到设备，以此来规避了防火前域间策略优先级功能不好使的问题；
43.(3)本发明所述的一种公有云网络流量安全的实现方法，巧妙地增加了一个external_vpn的出外网的vpn实例作为中转，可对vpc与vpc互通，vpc与云外网络互通实现兼容；
44.(4)本发明所述的一种公有云网络流量安全的实现方法，在安全策略删除后，索引值可回收等待再次被使用，缩小了索引值的范围，减少了设备上rule id的使用量。
附图说明
45.构成本发明的一部分的附图用来提供对本发明的进一步理解，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：
46.图1是vpc网络整体拓扑图，系统性的说明了vpc出入流量的整体网络拓扑结构；
47.图2是vpc与vpc之间的安全策略互通流程图，说明的是vpc与vpc之间创建安全策略的流程；
48.图3是vpc与云外网络的安全策略互通流程图，说明的是vpc与云外网络之间创建安全策略的流程。
49.图4是安全策略索引值的分配流程图，说明的是安全策略索引值的分配算法和分配流程。
具体实施方式
50.需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。
51.下面将参考附图并结合实施例来详细说明本发明。
52.本方案是利用配置防火墙安全域与安全域之间域间策略来实现对vpc来访或出访流量的控制。
53.vpc网络整体拓扑如图1所示：
54.首先，vpc网络整体拓扑，用户购买的虚机再cvk上，虚机访问internet网络的流量经cvk到达leaf交换机，再上送到border边界交换机，再经过防火墙fw，在防火墙上会将所有vpc的vpn实例(一种识别vpc的标示)转换成统一的external-vpn再访问internet网络，流量经过fw后又回到border边界交换机，再次经过border边界交换机后，就已经出云内vpc
了，最后上送到internetacc交换机和路由器到达internet网络。internet网络访问vpc虚机的流程与虚机出访流程相反，经过路由器和internetacc交换机到border交换机后，再过fw，fw上由external-vpn转换成vpc的vpn实例，再回给border交换机，border交换机再给到leaf交换机，leaf交换机将流量转发到cvk里的虚拟机。
55.fw上external-vpn的vpn实例对应的安全域是external，假设vpc对应的安全域是vpczone，vpc默认的域间策略是全放行的，即vpczone-external和external-vpczone下面的安全策略规则都是pass的，对于vpc内的虚机的出访和入访流量不加任何限制，很容易造成网络安全问题。
56.本方案利用external安全域的作用和功能，利用vpczone-external和external-vpczone域间策略对于出入vpc的流量进行管理。
57.下面介绍具体的实现方案：
58.1、不同vpc之间安全互通场景(如图2所示)
59.不同vpc之间东西向流量互通时，可采用对等体和安全组组合来限制流量，保证安全，此方案主要涉及南北向流量安全，vpc与vpc南北向流量互通时，前提是虚机需要绑定弹性公网ip(eip)，以保证流量可顺利到达fw，再进行安全策略的限制。
60.假设有两个vpc，vpc1和vpc2，两个vpc原始的vpczone-external和external-vpczone都是默认放行的，当增加了vpc1访问vpc2增加安全策略时，vpczone1-external和external-vpczone2中默认pass的规则都删除，同时将安全策略规则，下发到vpczone1-external和external-vpczone2中，external作中转使用，安全策略是单向的，当创建了vpc1到vpc2的策略后，vpc1和vpc2默认都不通云外网络了，当策略规则是pass时，vpc1到vpc2的流量允许放行，但是vpc2回包流量依旧不允许通过，所以此时vpc1中的虚机去访问vpc2中的虚机是不通的，要想双向通，需要再创建一条vpc2到vpc1的放行规则，此时在vpczone2-external和external-vpczone1的域间策略被放行，vpc1和vpc2才能双向通。
61.2、vpc与云外网络安全互通场景(如图3所示)
62.假设vpc1与云外网络互通，不需要像vpc与vpc互通那样复杂，因为vpc通向云外的都通过external域，所以vpc1通云外，需要vpczone1-external下把默认的pass规则删除，同时下发通向云外地址的安全策略规则放行，当云外访问vpc1时，删除external-vpczone1的默认的pass的域间策略，同时配置云外地址到vpc地址的放行的安全策略规则，这样vpc1与云外网络就可以实现双向互通。
63.3、vpc与vpc、vpc与云外网络组合时的场景
64.当vpc1既与vpc2互通，又与云外网络互通时，此时只需要以vpc1为中心，将出vpc的域间策略vpczone1-external下的默认pass规则删除，入vpc的域间策略external-vpczone1下默认的pass的安全策略规则删除，同时vpczone1-external和external-vpczone1下分别配置源和目的是vpc2，源和目的是云外网络地址的域间策略规则，就可以保证vpc1既与vpc2互通，又可保证vpc1与云外网络地址通。
65.4、安全策略规则配置
66.具体允许或者拒绝哪些地址通或者不通，可在安全策略中具体配置五元组(源ip、源端口、目的ip、目的端口、网络协议)规则来实现。安全策略的优先级问题，因为设备上同一个域间下，顺序越靠前，优先级越高，所以需要保证，优先级越高，顺序越靠前，可以对安
全策略规则进行移动。
67.5、安全策略索引值分配算法(如图4所示)
68.在数据库中先存一个rule索引分配表，rule index需要设定一个范围，源和目的相同的作为同一个组，每个组内分配的索引值不能相同。每条安全策略在同一个域间对应的有唯一的一个索引值。分配索引时，先查看范围是否存在，若存在，再查看是否已有分配，若有，则在已分配的索引里面取最大值，分配后的索引值为最大值+1，并且设置为已分配状态，若没有分配，则已范围的起始值为索引值，并设置为已分配。删除安全策略后，对索引值进行回收，设置为已回收状态，若分配时，最大值+1超过了范围最大值，则从已回收的索引值里，取最小的索引值为分配的索引值，并设置为已分配状态。
69.具体实现流程说明：
70.业务流程：
71.1.用户创建安全策略，指定源vpc(ip地址)和目的vpc(ip地址)。
72.2.程序根据用户创建的安全策略，查源和目的vpc是否有过安全策略，有则按优先级顺序重新排序后下发到防火墙的域间策略上。没有则把vpc默认的全放行的域间策略规则删除，再将创建的安全策略下发到域间策略上，安全策略索引值按照索引值算法去分配。
73.当用户删除安全策略时，首先将安全策略规则删除，并将索引值回收，再查询同一个vpc下是否还存在安全策略，若存在，则无继续操作，若是vpc的最后一条安全策略，则在删除用户创建的安全策略的同时还需要把vpc默认的全放行的安全策略恢复。
74.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及方法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
75.在本技术所提供的几个实施例中，应该理解到，所揭露的方法和系统，可以通过其它的方式实现。例如，以上所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。上述单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
76.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。
77.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

技术特征：

1.一种公有云网络流量安全的实现方法，其特征在于：用户创建安全策略，指定源vpc和目的vpc；程序根据用户创建的安全策略，查源和目的vpc是否有过安全策略，有则按优先级顺序重新排序后下发到防火墙的域间策略上，没有则把vpc默认的全放行的域间策略规则删除，再将创建的安全策略下发到域间策略上，安全策略索引值按照索引值算法去分配；当用户删除安全策略时，首先将安全策略规则删除，并将索引值回收，再查询同一个vpc下是否还存在安全策略，若存在则无继续操作，若是vpc的最后一条安全策略，则在删除用户创建的安全策略的同时还需要把vpc默认的全放行的安全策略恢复。2.根据权利要求1所述的一种公有云网络流量安全的实现方法，其特征在于，vpc与vpc之间互通策略如下：a1、首先创建vpc1和vpc2的安全策略，然后进行步骤a2和步骤a5；a2、判断vpczone1-external是否已创建过安全策略规则，如果会则进行步骤a3，否则进行步骤a4,；a3、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表，然后进行步骤a8；a4、删除vpc1默认的vpczone1-external和域间策略，新策略加入待下发的安全策略列表中，然后进行步骤a8；a5、判断external-vpczone2是否已创建过安全策略规则，如果是则进行步骤a6，否则进入步骤a7；a6、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表，然后进行步骤a8；a7、删除vpc1默认的vpczone1-external和域间策略，新策略加入待下发的安全策略列表中，然后进行步骤a8；a8、将最新有序的安全策略列表中的安全策略批量下发到设备上；a9、等待设备返回配置结果后判断设备配置是否成功，成功则返回最终结果后结束，否则重试向设备重新下发配置后再次等待设备返回配置结果。3.根据权利要求1所述的一种公有云网络流量安全的实现方法，其特征在于：vpc与云外网络互通策略如下：b1、创建vpc1到云外网络的安全策略；b2、判断vpczone1-external是否已创建过安全策略规则，如果否则进行步骤b3,否则进行步骤b4；b3、删除vpc1默认的vpczone1-external和域间略，新策略加入待下发的安全策略列表中，然后执行步骤b5；b4、当前安全策略与已有的安全策略一起按优先级做总排序组成新的安全策略列表；b5、将最新有序的安全策略列表中的安全策略批量下发到设备上；b6、等待设备返回配置结果；b7、判断设备配置是否成功，如果是则返回最终结果后结束，否则重试向设备重新下发配置后重新等待设备返回配置结果。4.根据权利要求1所述的一种公有云网络流量安全的实现方法，其特征在于：安全策略
索引值分配流程如下：c1、分配索引值请求；c2、判断是否有索引范围，如果否则进行步骤c3，否则进入c4；c3、报错后抛出异常后结束；c4、判断同一个域间是否已分配安全策略索引，如果否则进行步骤c5，否则进行步骤c6；c5、把索引范围的最小值作为分配值，并置成已分配状态，然后返回索引值后结束；c6、把同一个域间取出已分配的最大索引值，把最大索引值+1作为分配的索引值；c7、判断分配的索引值是否在索引值范围内，如果是则返回索引值后结束，否则进行步骤c8；c8、从已回收的索引值中取出最小的值作为最终索引值，并将此索引值设置为已分配后返回索引值后结束。5.一种电子设备，包括处理器以及与处理器通信连接，且用于存储所述处理器可执行指令的存储器，其特征在于：所述处理器用于执行上述权利要求1-4任一所述的一种公有云网络流量安全的实现方法。6.一种服务器，其特征在于：包括至少一个处理器，以及与所述处理器通信连接的存储器，所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述处理器执行，以使所述至少一个处理器执行如权利要求1-4任一所述的一种公有云网络流量安全的实现方法。7.一种计算机可读取存储介质，存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现权利要求1-4任一项所述的一种公有云网络流量安全的实现方法。

技术总结

本发明提供了一种公有云网络流量安全的实现方法，当用户有VPC与VPC或者VPC与云外网络的流量安全的需求时，可以创建一条或者多条安全策略，并配置安全策略的五元组和优先级以及执行动作。用户不需要安全策略后，可将安全策略删除，当VPC未绑定任何安全策略时，VPC会将默认的全放行的规则还原，使VPC不再进行安全保护。本发明有益效果：一种公有云网络流量安全的实现方法，利用防火墙域间策略来实现VPC与VPC、VPC与云外网络互通时增加安全策略的目的，保障了进出VPC的网络流量安全。保障了进出VPC的网络流量安全。保障了进出VPC的网络流量安全。