一种适配于多平台实体防火墙的云门户系统及其控制方法

摘要

本发明公开了一种适配于多平台实体防火墙的云门户系统，其调用所述实体防火墙AP I实现与所述实体防火墙的对接，所述云门户系统包括：云门户应用层(1)，其用以实现一个或多个平台策略审批并划分防火墙网络安全域，基于平台策略匹配相适应地防火墙网络安全域；调用模块(2)，其调用与所述平台相对应的实体防火墙API；其中，所述云门户应用层(1)配合所述调用模块(2)实现一个或多个平台的实体防火墙的对接与统一管理。本发明结构简单、使用方便、功能强大，能够大大减少人力物力成本，减少层层审批所需的时间，从而提升工作效率。

说明书

技术领域

本发明属于计算机技术应用领域，具体地，涉及一种适配于多平台实体防火墙的云门户系统及其控制方法。

背景技术

目前，云计算正成为信息领域研究的热点，随着云用户越来越多，用户使用场景也越来越复杂。其中云防火墙(Cloud Firewall)是云环境下的SaaS化防火墙，可统一管理互联网到业务的访问控制策略(南北向)和业务与业务之间的微隔离策略(东西向)。云防火墙主要由以下两个控制模块组成，一、南北向流量控制模块：主要用于实现互联网到主机间的访问控制。二、东西向流量控制模块：主要是利用安全组对主机之间的交互流量进行控制。

随着各种安全技术、云计算/大数据以及ICT融合技术的发展，企业的网络规模越来越大，组网越来越复杂，相应的网络管理、安全运维等投入也越来越高，尤其是中小型企业在安全部署、运维方面显得越发力不从心。通过云管理平台提供的各种管理手段和服务，解决中小型客户安全设备部署、运维困难等问题，大大节省企业在安全业务上的资金和人力投入，对于企业来说网络安全是至关重要的，各个网段的隔离策略都需要统一控制调配，而尤其是公司规模较大、用户较多时，各个部门或者分公司网段的隔离与疏通需要网络组人员花费大量时间和人力划分网段，层层审批。从而导致申请一条网络策略需要花费很长时间才能落地，严重影响工作效率。

现有的云防火墙方案分为几步：一、云管平台，调用Openstack Api发起请求；二、Openstack通过Fwaas调用SDN Plugin(目前已对接的厂商华为、华三或者山石网科均以虚墙模式下发防火墙策略)；三、SDN最终下发请求到对应的防火墙设备。但是现有的云防火墙方案存在策略数量及操作限制，对于公司策略划分较细的情况，会严重影响工作的开展。随着云数据中心的规模和密度日益增大，这一矛盾会更加突出，急需一种简单高效、易于实现的方案，能够实现用户申请网络策略后自动化审批并下发到设备，实现策略快速落地。

而目前，并没有一种能够解决上述技术问题的技术方案，具体地，并没有一种适配于多平台实体防火墙的云门户系统及其控制方法。

发明内容

针对现有技术存在的技术缺陷，本发明的目的是提供一种适配于多平台实体防火墙的云门户系统及其控制方法，根据本发明的一个方面，其调用所述实体防火墙API实现与所述实体防火墙的对接，所述云门户系统包括：

云门户应用层，其用以实现一个或多个平台策略审批并划分防火墙网络安全域，基于平台策略匹配相适应地防火墙网络安全域；

调用模块，其调用与所述平台相对应的实体防火墙API；

其中，所述云门户应用层配合所述调用模块实现一个或多个平台的实体防火墙的对接与统一管理。

进一步地，所述平台至少包括华为USG6650、华为USG9520、新华三F5010、新华三M9006、山石网科SG-6000-E2300、山石网科SG-6000-E6168、Palo Alto Networks防火墙、Check Point防火墙。

进一步地，对一个或多个平台的实体防火墙实现统一管理至少包括统一云门户系统策略审批入口以使得基于用户所提出的策略审批匹配与所述策略审批所在的平台相对应的API接口、策略参数以及策略数目。

进一步地，检测并将线下实体设备和/或非云门户划分防火墙网络安全域的防火墙设备接入云门户系统统一管理。

进一步地，云门户系统基于Spring boot开源框架开发。

根据本发明的另一个方面，提供了一种适配于多平台实体防火墙的云门户系统的控制方法，其应用于所述的云门户系统，包括如下步骤：

a.接收来自一个或多个平台的一个或多个平台策略；

b.基于平台策略匹配相适应地防火墙网络安全域；

c.调用与所述平台相对应的实体防火墙API并完成与一个或多个平台的对接。

优选地，在所述步骤a的同时或之前或之后，还包括步骤i：云门户应用层划分防火墙网络安全域。

目前开发测试过程中我们发现由于公司生产上用到的防火墙设备分别采用了不同的厂商，最多的便是华三、华为、山石网科，厂商的不同导致支持的策略数量及操作限制也不同：目前因为华三和华为都有自己的云产品，且是基于Openstack开源框架实现的云防火墙方案，但是底层设备实现的策略下发方式对多I p以及多端口实现方式不同，导致云平台对接时因为较大差异需要分别进行处理。各大厂商对于设备支持的策略数量各有不同，而且同时下发和修改策略时经常出现各种性能问题(并发性能差)，难以满足现有需求。各个厂商的策略Ip地址所属安全域都需要手动选择，不能实现根据分配纳管网段智能匹配，不满足自动化需求，用户操作不方便且会增加网络管理员工作负担。目前云计算领域由于只有基础框架，底层实现各个厂家没有进行统一导致应用多个厂商设备时会出现各种较复杂的问题，也没有发现有效的解决方案可以解决该问题，随着云数据中心的规模和密度日益增大，这一矛盾更加突出。

目前大多数的云防火墙基本是基于Openstack开源框架实现的，通过fwaas调用SDN plugin以虚墙模式下发防火墙策略，本发明基本上是首创。本发明与以往云防火墙方案相比有以下优点：1、策略下发到实墙而不是虚墙，可以解决策略数量限制及相关性能问题；2、架构上直接对接实体设备，不需要通过Openstack多层组件调用，提升了效率；3、对于多个厂商设备的差异性，在云门户做兼容，实现多厂商设备统一管理；4、对安全域划分网段申请策略时自动匹配，实现自动化；5、可对接线下实体设备，将非云设备也纳管到云平台统一管理，本发明结构简单、使用方便、功能强大，能够大大减少人力物力成本，减少层层审批所需的时间，从而提升工作效率。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1示出了本发明的具体实施方式的，一种适配于多平台实体防火墙的云门户系统的拓扑结构示意图；以及

图2示出了本发明的另一具体实施方式的，一种适配于多平台实体防火墙的云门户系统的控制方法的具体流程示意图。

具体实施方式

为了更好的使本发明的技术方案清晰地表示出来，下面结合附图对本发明作进一步说明。

图1示出了本发明的具体实施方式的，一种适配于多平台实体防火墙的云门户系统的拓扑结构示意图，本发明将结合系统以及方法从两个方面来对本发明的具体实施方案进行描述，具体地，所述适配于多平台实体防火墙的云门户系统，其调用所述实体防火墙API实现与所述实体防火墙的对接，在现有的技术中，通常是云管平台调用Openstack Api发起请求，然后Openstack通过Fwaas调用SDN Plugin，SDN最终下发请求到对应的防火墙设备，而在本发明中，直接策略下发到实墙而不是虚墙，可以解决策略数量限制及相关性能问题，通过一个云门户系统管理多个平台，同时兼容其他线下设备，进而减少人力物力成本，减少层层审批所需的时间，从而提升工作效率。

具体地，所述云门户系统包括：云门户应用层1，其用以实现一个或多个平台策略审批并划分防火墙网络安全域，基于平台策略匹配相适应地防火墙网络安全域，本方案主要针对生产上大批量策略申请、自动化策略落地、策略迁移等问题，为满足生产上的需求，提出了云门户直接对接实体防火墙的解决方案。本发明提出的云门户直接对接实体防火墙的解决方案是在上层应用层解决自动审批问题，并且划分好防火墙网络安全域，根据用户申请的策略自动匹配对应的安全域，从而实现策略申请和迁移的自动化落地，并在上层解决各个厂商设备参数不同的问题，提升了策略申请效率。且针对现有的云防火墙架构导致的虚墙性能问题，直接将策略下发到实墙上，从而解决了虚墙对策略数量的限制及相关性能问题。

进一步地，所述云门户系统包括调用模块2，其调用与所述平台相对应的实体防火墙API，云门户直接对接实体防火墙，直接调用防火墙API技术实现上不存在技术难点。本发明在应用层解决了厂商API差异性，策略直接下发到实体防火墙而不是下发到虚拟防火墙，大大提升了申请策略的效率，实现简单，本发明采用已有开源技术框架，开发投入成本低廉，投入较少的成本就能实现策略申请自动化。所述云门户应用层1配合所述调用模块2实现一个或多个平台的实体防火墙的对接与统一管理。

进一步地，在现有技术中，太保云门户系统通过CMP连接一个或多个H3COpenst.ack云平台，而每个所述H3C Openst.ack云平台通过API连接不同的实体防火墙，在本申请的云门户系统对接实体防火墙方案设计中，云门户直接调用实体防火墙API，业务逻辑在云门户处理，根据在云门户划分的安全域网段与防火墙安全域匹配，实现网络策略自动化快速落地。

进一步地，所述平台包括但不限于华为USG6650、华为USG9520、新华三F5010、新华三M9006、山石网科SG-6000-E2300、山石网科SG-6000-E6168、Palo Alto Networks防火墙、Check Point防火墙，而这些实体防火墙可以随着科技时代的不断进步而产生产品迭代，但无论被应用于何种型号、何种厂商的实体防火墙都属于本发明所需要保护的客体，在此不予赘述。

进一步地，对一个或多个平台的实体防火墙实现统一管理至少包括统一云门户系统策略审批入口以使得基于用户所提出的策略审批匹配与所述策略审批所在的平台相对应的API接口、策略参数以及策略数目，在这样的实施例中，各大厂商的实体防火墙设备最大的差异在于API接口和策略参数的不同，以及支持的策略数目差异等，通过在云门户系统对接设备，规避这些差异性，使得对用户不可见，进一步地，统一入口，用户只需要提出请求，由云平台程序来匹配对应下发的防火墙并调用其相关API接口，实现自动化管理。

进一步地，检测并将线下实体设备和/或非云门户划分防火墙网络安全域的防火墙设备接入云门户系统统一管理，同时在对接云资源相关联的防火墙之余，可以将与所述实体防火墙所在的公司下面其他系统相关联的防火墙设备对接到云门户系统，最终实现只有一个防火墙策略申请入口，兼容管理多厂商设备，达到策略申请自动化的目的。

进一步地，云门户系统基于Spring boot开源框架开发，而传统的云防火墙是基于Openstack开源框架开发的。

图2示出了本发明的另一具体实施方式的，一种适配于多平台实体防火墙的云门户系统的控制方法的具体流程示意图。一种适配于多平台实体防火墙的云门户系统的控制方法，其应用于所述的云门户系统，包括如下步骤：

首先，进入步骤S101，接收来自一个或多个平台的一个或多个平台策略，本领域技术人员理解，所述平台即为包括但不限于华为USG6650、华为USG9520、新华三F5010、新华三M9006、山石网科SG-6000-E2300、山石网科SG-6000-E6168、Palo Alto Networks防火墙、Check Point防火墙的这些具有实体防火墙的设备，所述一个或多个平台优选地与所述云门户系统相通讯，所述平台策略即为各个平台根据自身需求所提供的策略数据，而所述平台策略将决定平台的API接口、策略参数以及支持的策略数目。

然后，进入步骤S102，基于平台策略匹配相适应地防火墙网络安全域，在这样的实施例中，云门户系统的云门户应用层实现一个或多个平台策略审批并划分防火墙网络安全域，基于平台策略匹配相适应地防火墙网络安全域。

最后，进入步骤S103，调用与所述平台相对应的实体防火墙API并完成与一个或多个平台的对接，本发明在应用层解决了厂商API差异性，策略直接下发到实体防火墙而不是下发到虚拟防火墙，大大提升了申请策略的效率，业务逻辑在云门户处理，根据在云门户划分的安全域网段与防火墙安全域匹配，实现网络策略自动化快速落地。而这样设计的架构一方面通过避免了原生框架的冗长组件调用，直接对接的架构简单快捷；另一方面可以将不属于云服务划分网段范围的防火墙设备也纳管到云门户，实现统一管理。此外直接对接实体设备较策略下发到虚墙而言，策略数量及下发效率都得到了较大的提升。对于不同厂商的设备差异性可在云门户做兼容，从而实现统一纳管新老设备的需求。

进一步地，作为本发明的一个优选的实施例，在所述步骤S101之前，云门户应用层划分防火墙网络安全域，此时所述云门户应用层将提前划分防火墙网络安全域以使得在接收到一个或多个平台的一个或多个平台策略，可以基于在先划分的防火墙网络安全域实现快速落地。

进一步地，作为本发明的另一个优选的实施例，在所述步骤S101之中，云门户应用层划分防火墙网络安全域，此时所述云门户应用层将在接收到一个或多个平台的一个或多个平台策略之时划分防火墙网络安全域，而这样处理的好处是为了更机动的处理每个平台的每个策略。

进一步地，作为本发明的另一个优选的实施例，在所述步骤S101之后，云门户应用层划分防火墙网络安全域，此时所述云门户应用层将在接收到一个或多个平台的一个或多个平台策略之后划分防火墙网络安全域，而这样处理的好处是为了在单位时间内集中大批量的平台策略后统一进行此时段的分配，从而实现更好的分配路径规划。

需要说明的是，上述各装置实施例的具体实施方式与前述对应方法实施例的具体实施方式相同，在此不再赘述。综上所述，本发明的技术方案，结合系统与方法从而实现了申请策略的效率提升。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实施例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本发明并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

此外，本领域技术人员理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域技术人员理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。词语“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变形或修改，这并不影响本发明的实质内容。