本发明涉及网络安全,具体涉及一种防火墙配置方法、装置、计算机设备及存储介质。
背景技术:
1、云计算网络平台作为一种基于互联网的新型分布式计算模式,凭借其高效、可靠、易维护的特点,被广泛应用在大数据应用场景或跨平台应用场景等。云计算网络平台因虚拟化、大规模、开放性等特征,面临的安全威胁和挑战远大于传统网络信息系统,同时带来更多安全风险。
2、目前,在云计算网络平台内,主要通过安全组实现流量过滤机制,为使用云计算网络平台的用户提供安全保护,但是,安全组一般只支持白名单,规则不够灵活,导致云计算网络平台的安全性较低,可能无法满足云计算网络平台日益增长的安全需求。
技术实现思路
1、有鉴于此,本发明提供了一种防火墙配置方法、装置、计算机设备及存储介质,以解决云计算网络平台的安全性较低的问题。
2、第一方面,本发明提供了一种防火墙配置方法,所述方法包括:创建防火墙组,其中,所述防火墙组与端口组对应,所述防火墙组关联进出端口的进防火墙策略和出防火墙策略,所述进防火墙策略和所述出防火墙策略均包括多个防火墙规则,所述防火墙规则用于指示端口对满足第一匹配条件的数据包执行相应的动作,所述动作包括允许数据包通过或拒绝数据包通过;在所述端口组关联云计算网络平台的多个第一访问控制规则,其中,所述第一访问控制规则通过转换所述防火墙规则确定;在目标端口被添加到所述防火墙组的情况下,将所述目标端口关联到所述端口组,以使所述云计算网络平台向所述目标端口发送防火墙流表,其中,所述防火墙流表用于指示所述目标端口对进出的数据包执行相应动作。
3、本实施例提供的防火墙配置方法,创建防火墙组之后,在端口组关联云计算网络平台的多个第一访问控制规则,然后在目标端口被添加到防火墙组的情况下,将目标端口关联到与防火墙组对应的端口组,使云计算网络平台向目标端口发送防火墙流表,实现数据包的过滤操作。本实施例能够在端口配置防火墙,使端口不仅能够对经过的数据包进行放行操作,还能够对经过的数据包进行拒绝操作,黑名单和白名单同时支持,从而提高云计算网络平台的安全性,同时,适应的场景更多,能够满足用户更多样化的需求。
4、在一种可选的实施方式中,所述将所述目标端口关联到所述端口组,包括:通过预设引用关系将所述目标端口关联到所述端口组。
5、在本实施例中,通过预设引用关系将目标端口关联到端口组,方便对防火墙规则进行修改,减少数据处理逻辑。
6、在一种可选的实施方式中,所述端口组存储在所述云计算网络平台的数据库,所述方法还包括:在所述目标端口被删除时,解除所述目标端口和所述端口组之间的预设引用关系。
7、在本实施例中,由于在ovn北向数据里面有端口到端口组的预设引用关系,在目标端口被删除时,需要解除目标端口和端口组之间的预设引用关系,而且,解除目标端口和端口组之间的预设引用关系,能够使端口和访问控制列表的关系也自动解绑,将第一访问控制规则从删除的端口中去除。
8、在一种可选的实施方式中,所述方法还包括:创建安全组,其中,所述安全组与所述端口组对应,所述安全组包括多个安全组规则,所述安全组规则用于指示端口对满足第二匹配条件的数据包进行允许通过操作;在所述端口组关联所述云计算网络平台的多个第二访问控制规则,其中,所述第二访问控制规则通过转换所述安全组规则确定;为所述第一访问控制规则配置第一标识和第一优先级,以及为所述第二访问控制规则配置第二标识和第二优先级,其中,所述第一标识和所述第二标识不同,所述第一优先级大于所述第二优先级;将所述多个第一访问控制规则和所述多个第二访问控制规则存储在所述云计算网络平台的不同位置;在所述目标端口被添加到所述安全组的情况下,将所述目标端口关联到所述端口组,以使所述云计算网络平台向所述目标端口发送安全组流表,其中,所述安全组流表用于指示所述目标端口对满足所述第二匹配条件的数据包进行允许通过操作。
9、本实施例提供的防火墙配置方法,通过在ovn的北向数据库的acl表添加标识,来区分防火墙组及安全组的不同访问控制列表,在生成南向逻辑流表时,根据不同的标识,将acl规则分别转义成不同的逻辑流表,避免流表层的规则冲突,使安全组和防火墙共存,实现了云内网络安全的多层防护。通过添加优先级,将防火墙的流表置于安全组流表之前,无论进出流量,可以先通过防火墙规则过滤数据包,然后通过安全组规则过滤数据包,能够实现流量过滤的多层控制,进而进一步提升云计算平台的安全性。
10、在一种可选的实施方式中,所述多个防火墙规则配置有优先级,所述方法还包括:在目标防火墙策略中删除或插入目标防火墙规则时,调整第一防火墙规则对应的第一访问控制规则的优先级,得到更新后的优先级顺序,其中,目标防火墙策略为所述进防火墙策略或所述出防火墙策略,所述第一防火墙规则为所述目标防火墙策略下除所述目标防火墙规则之外的多个防火墙规则,所述目标防火墙规则配置有优先级;根据更新后的优先级顺序,插入或删除目标访问控制规则,其中,所述目标访问控制规则通过转换所述目标防火墙规则确定。
11、本实施例提供的防火墙配置方法,在目标防火墙策略中删除或插入目标防火墙规则时,首先调整第一防火墙规则对应的第一访问控制规则的优先级,在得到更新后的优先级顺序之后,再根据更新后的优先级顺序,插入或删除目标访问控制规则,实现了原子操作,防止流量在修改过程中泄露,降低对正在经过的网络流量的过滤影响。
12、在一种可选的实施方式中,所述第一访问控制规则包括优先级、方向、匹配阈和所述动作,其中,所述优先级用于指示所述多个第一访问控制规则之间的匹配顺序,所述方向用于指示所述多个第一访问控制规则的匹配方向,所述匹配阈用于指示所述多个第一访问控制规则的匹配范围。
13、在一种可选的实施方式中,所述防火墙规则的匹配属性包括源端口、目的端口、源互联网协议地址、目的互联网协议地址、协议类型和地址组中的至少一种。
14、在本实施例中,当地址组被定义后,可以在多个防火墙规则中被引用,简化的规则的定义,可以大大减少规则的条目数,降低生成防火墙规则的复杂度。而且,防火墙规则更加丰富,可以同时支持源互联网协议地址、目的互联网协议地址及端口等属性做规则匹配,在跨子网场景应用。
15、第二方面,本发明提供了一种防火墙配置装置,所述装置包括:第一创建模块,用于创建防火墙组,其中,所述防火墙组与端口组对应,所述防火墙组关联进出端口的进防火墙策略和出防火墙策略,所述进防火墙策略和所述出防火墙策略均包括多个防火墙规则,所述防火墙规则用于指示端口对满足第一匹配条件的数据包执行相应的动作,所述动作包括允许数据包通过或拒绝数据包通过;第一关联模块,用于在所述端口组关联云计算网络平台的多个第一访问控制规则,其中,所述第一访问控制规则通过转换所述防火墙规则确定;第二关联模块,用于在目标端口被添加到所述防火墙组的情况下,将所述目标端口关联到所述端口组,以使所述云计算网络平台向所述目标端口发送防火墙流表,其中,所述防火墙流表用于指示所述目标端口对进出的数据包执行相应动作。
16、在一种可选的实施方式中,所述第二关联模块,包括:第一关联单元,用于通过预设引用关系将所述目标端口关联到所述端口组。
17、在一种可选的实施方式中,所述端口组存储在所述云计算网络平台的数据库,所述装置还包括:解除模块,用于在所述目标端口被删除时,解除所述目标端口和所述端口组之间的预设引用关系。
18、在一种可选的实施方式中,所述装置还包括:第二创建模块,用于创建安全组,其中,所述安全组与所述端口组对应,所述安全组包括多个安全组规则,所述安全组规则用于指示端口对满足第二匹配条件的数据包进行允许通过操作;第三关联模块,用于在所述端口组关联所述云计算网络平台的多个第二访问控制规则,其中,所述第二访问控制规则通过转换所述安全组规则确定;配置模块,用于为所述第一访问控制规则配置第一标识和第一优先级,以及为所述第二访问控制规则配置第二标识和第二优先级,其中,所述第一优先级大于所述第二优先级;存储模块,用于将所述多个第一访问控制规则和所述多个第二访问控制规则存储在所述云计算网络平台的不同位置;第四关联模块,用于在所述目标端口被添加到所述安全组的情况下,将所述目标端口关联到所述端口组,以使所述云计算网络平台向所述目标端口发送安全组流表,其中,所述安全组流表用于指示所述目标端口对满足所述第二匹配条件的数据包进行允许通过操作。
19、在一种可选的实施方式中,所述多个防火墙规则配置有优先级,所述装置还包括:调整模块,用于在目标防火墙策略中删除或插入目标防火墙规则时,调整第一防火墙规则对应的第一访问控制规则的优先级,得到更新后的优先级顺序,其中,目标防火墙策略为所述进防火墙策略或所述出防火墙策略,所述第一防火墙规则为所述目标防火墙策略下除所述目标防火墙规则之外的多个防火墙规则,所述目标防火墙规则配置有优先级;处理模块,用于根据更新后的优先级顺序,插入或删除目标访问控制规则,其中,所述目标访问控制规则通过转换所述目标防火墙规则确定。
20、在一种可选的实施方式中,所述第一访问控制规则包括优先级、方向、匹配阈和所述动作,其中,所述优先级用于指示所述多个第一访问控制规则之间的匹配顺序,所述方向用于指示所述多个第一访问控制规则的匹配方向,所述匹配阈用于指示所述多个第一访问控制规则的匹配范围。
21、在一种可选的实施方式中,所述防火墙规则的匹配属性包括源端口、目的端口、源互联网协议地址、目的互联网协议地址、协议类型和地址组中的至少一种。
22、第三方面,本发明提供了一种计算机设备,包括:存储器和处理器,存储器和处理器之间互相通信连接,存储器中存储有计算机指令,处理器通过执行计算机指令,从而执行上述第一方面或其对应的任一实施方式的方法。
23、第四方面,本发明提供了一种计算机可读存储介质,该计算机可读存储介质上存储有计算机指令,计算机指令用于使计算机执行上述第一方面或其对应的任一实施方式的方法。
1.一种防火墙配置方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述将所述目标端口关联到所述端口组,包括:
3.根据权利要求2所述的方法,其特征在于,所述端口组存储在所述云计算网络平台的数据库,所述方法还包括:
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述方法还包括:
5.根据权利要求1至3中任一项所述的方法,其特征在于,所述多个防火墙规则配置有优先级,所述方法还包括:
6.根据权利要求1至3中任一项所述的方法,其特征在于,
7.根据权利要求1至3中任一项所述的方法,其特征在于,
8.一种防火墙配置装置,其特征在于,所述装置包括:
9.一种计算机设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机指令,所述计算机指令用于使计算机执行权利要求1至7中任一项所述的方法。
