一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置的制作方法
【專利摘要】本發(fā)明涉及一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置,與互聯(lián)網(wǎng)連接,包括云計(jì)算網(wǎng)絡(luò)、虛擬交換機(jī)、核心物理交換機(jī)和旁路waf防火墻,所述的云計(jì)算網(wǎng)絡(luò)通過虛擬網(wǎng)卡與虛擬交換機(jī)相連接,所述的虛擬交換機(jī)通過trunk通道與核心物理交換機(jī)連接,所述的核心物理交換機(jī)的一個(gè)輸出端通過光纖與互聯(lián)網(wǎng)連接,另一端通過trunk通道與旁路waf防火墻的trust接口連接,所述的旁路waf防火墻的untrust接口過光纖與互聯(lián)網(wǎng)連接。與現(xiàn)有技術(shù)相比,本發(fā)明具有結(jié)構(gòu)簡單、市場(chǎng)價(jià)值高等優(yōu)點(diǎn)。
【專利說明】-種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及一種防火墻配置,尤其是涉及一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配 置。
【背景技術(shù)】
[0002] 在云計(jì)算領(lǐng)域中的基礎(chǔ)架構(gòu)即服務(wù)商業(yè)模式(IaaS)中,云計(jì)算服務(wù)商通過云計(jì) 算虛擬化操作系統(tǒng)(如Wmware系統(tǒng),hyper-V系統(tǒng))把機(jī)架式服務(wù)器虛擬化成N片虛擬主 機(jī)提供web網(wǎng)站服務(wù),將這些虛擬云主機(jī)租賃給企業(yè)客戶使用,客戶有時(shí)需要實(shí)現(xiàn)同一物 理服務(wù)器的不同虛擬設(shè)備間的訪問和控制,然而,由于各個(gè)虛擬設(shè)備常常是靠共享一個(gè)物 理以太網(wǎng)口與互聯(lián)網(wǎng)相連,而防火墻配置也是基于一個(gè)集合端口,當(dāng)不同虛擬設(shè)備間的方 位和控制引流到防火墻后,會(huì)出現(xiàn)防火墻無法根據(jù)物理端口找到相應(yīng)域的情況,防火墻也 無法進(jìn)行策略控制和深度安全處理,所以急需一種既可以合理分配云計(jì)算系統(tǒng)的虛擬主機(jī) 端口、又可以有效進(jìn)行防控的防火墻。
[0003] 中國專利03139719.0公開了一種防火墻裝置及其設(shè)置方法,該防火墻裝置包括 防火墻硬件結(jié)構(gòu)和防火墻軟件系統(tǒng),其中該防火墻硬件結(jié)構(gòu)包括至少三個(gè)網(wǎng)絡(luò)端口,該防 火墻軟件系統(tǒng)包括一命令行接口、一 WEB管理接口、一設(shè)置管理模組、一 Lib共享數(shù)據(jù)庫和 一工具管理模組,存在不適用云計(jì)算網(wǎng)絡(luò)虛擬化成多個(gè)虛擬主機(jī)的應(yīng)用場(chǎng)合、無法進(jìn)行并 行計(jì)算處理、可能因單點(diǎn)錯(cuò)誤造成服務(wù)中斷等不足。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的就是為了克服上述現(xiàn)有技術(shù)存在的缺陷而提供一種結(jié)構(gòu)簡單、市場(chǎng) 價(jià)值高的應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置。
[0005] 本發(fā)明的目的可以通過以下技術(shù)方案來實(shí)現(xiàn):
[0006] 一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置,與互聯(lián)網(wǎng)連接,包括云計(jì)算網(wǎng)絡(luò)、虛擬 交換機(jī)、核心物理交換機(jī)和旁路waf防火墻,所述的云計(jì)算網(wǎng)絡(luò)通過虛擬網(wǎng)卡與虛擬交換 機(jī)相連接,所述的虛擬交換機(jī)通過trunk通道與核心物理交換機(jī)連接,所述的核心物理交 換機(jī)的一個(gè)輸出端通過光纖與互聯(lián)網(wǎng)連接,另一端通過trunk通道與旁路waf防火墻的 trust接口連接,所述的旁路waf防火墻的untrust接口過光纖與互聯(lián)網(wǎng)連接;
[0007] 云計(jì)算網(wǎng)絡(luò)的連接通道經(jīng)虛擬交換機(jī)集中部署在核心物理交換機(jī)的接口上,旁路 waf防火墻設(shè)備旁路到核心物理交換機(jī)上,web的網(wǎng)關(guān)IP地址透明穿過旁路waf防火墻,云 計(jì)算網(wǎng)絡(luò)用戶的互聯(lián)網(wǎng)web訪問的雙向流量都能夠透?jìng)?waf防火墻裝置。
[0008] 所述的云計(jì)算網(wǎng)絡(luò)包括多個(gè)web虛擬主機(jī),所述的web虛擬主機(jī)分別與虛擬交換 機(jī)連接的通道構(gòu)成一個(gè)VLAN, VLAN包括多個(gè)對(duì)應(yīng)web虛擬主機(jī)的vlan id,每個(gè)用戶租賃 的虛擬web劃分在一個(gè)獨(dú)立的vlan id中。
[0009] 所述的虛擬交換機(jī)與核心物理交換機(jī)之間、核心物理交換機(jī)與旁路waf防火墻之 間的trunk通道劃分為多個(gè)獨(dú)立的的vlan id,兩個(gè)trunk通道的vlan id分別與VLAN的 vlan id--對(duì)應(yīng)。
[0010] 所述的旁路waf防火墻的trust接口和untrust接口通過802. IQ協(xié)議劃分vlan 子接口,分成各自隔離的vlan通道。
[0011] 所述的旁路waf防火墻包括主板、CPU、內(nèi)存和硬盤存儲(chǔ)器。
[0012] 與現(xiàn)有技術(shù)相比,本發(fā)明具有以下優(yōu)點(diǎn):
[0013] 1)本發(fā)明保證云計(jì)算網(wǎng)絡(luò)用戶訪問互聯(lián)網(wǎng)的數(shù)據(jù)安全、可靠、透明地傳輸。虛擬 交換機(jī)通過多鏈路捆綁trunk方式連到服務(wù)商的核心交換機(jī),透明防火墻的trust接口和 untrust接口通過劃分vlan子接口,每個(gè)web虛擬主機(jī)的數(shù)據(jù)進(jìn)行封裝并形成各自隔離傳 輸通道,保證用戶的數(shù)據(jù)傳輸安全性;web的網(wǎng)關(guān)IP地址透明穿過waf防火墻,部署在核心 交換機(jī)的接口上,從而保證web訪問的雙向流量都能夠透?jìng)?waf防火墻裝置。
[0014] 2)本發(fā)明實(shí)現(xiàn)云計(jì)算網(wǎng)絡(luò)中各web虛擬主機(jī)受獨(dú)立的web應(yīng)用硬件級(jí)防火墻保 護(hù),解決了對(duì)租用云計(jì)算虛擬主機(jī)的web網(wǎng)站安全防護(hù)的問題。每臺(tái)web虛擬主機(jī)通過虛 擬網(wǎng)卡和虛擬交換機(jī)連接,通過將核心物理交換機(jī)旁路到透明waf防火墻設(shè)備,最后用戶 的數(shù)據(jù)通過旁路waf防火墻設(shè)備抵到互聯(lián)網(wǎng),供用戶訪問,體現(xiàn)了云計(jì)算系統(tǒng)按需付費(fèi)的 商業(yè)盈利模式。
【專利附圖】
【附圖說明】
[0015] 圖1為一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置結(jié)構(gòu)示意圖。
[0016] 圖中:1、云計(jì)算網(wǎng)絡(luò)2、虛擬交換機(jī)3、核心物理交換機(jī)4、旁路waf防火墻5、互聯(lián) 網(wǎng)6、web虛擬主機(jī)。
【具體實(shí)施方式】
[0017] 下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明進(jìn)行詳細(xì)說明。
[0018] 如圖1所示,一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置,與互聯(lián)網(wǎng)5連接,包括云 計(jì)算網(wǎng)絡(luò)1、虛擬交換機(jī)2、核心物理交換機(jī)3和旁路waf防火墻4,所述的云計(jì)算網(wǎng)絡(luò)1通 過虛擬網(wǎng)卡與虛擬交換機(jī)2相連接,所述的虛擬交換機(jī)2通過trunk通道與核心物理交換 機(jī)3連接,所述的核心物理交換機(jī)3的一個(gè)輸出端通過光纖與互聯(lián)網(wǎng)5連接,另一端通過 trunk通道與旁路waf防火墻4的trust接口連接,所述的旁路waf防火墻4的untrust接 口過光纖與互聯(lián)網(wǎng)5連接;
[0019] 其中,虛擬交換機(jī)2可采用可擴(kuò)展的Hyper-v虛擬交換機(jī),核心物理交換機(jī)3可采 用H3C S10500系列交換機(jī)。
[0020] 云計(jì)算網(wǎng)絡(luò)1的連接通道經(jīng)虛擬交換機(jī)2集中部署在核心物理交換機(jī)3的接口 上,旁路waf防火墻4設(shè)備旁路到核心物理交換機(jī)3上,web的網(wǎng)關(guān)IP地址透明穿過旁路 waf防火墻4,云計(jì)算網(wǎng)絡(luò)1用戶的互聯(lián)網(wǎng)5web訪問的雙向流量都能夠透?jìng)?waf防火墻裝 置。
[0021] 云計(jì)算網(wǎng)絡(luò)包括多個(gè)web虛擬主機(jī)6,所述的web虛擬主機(jī)6分別與虛擬交換 機(jī)2連接的通道構(gòu)成一個(gè)VLAN,VLAN包括多個(gè)對(duì)應(yīng)web虛擬主機(jī)2的獨(dú)立的vlan id,如 vlanlOO,vlanlOl,vlanl02等等,每個(gè)用戶租賃的虛擬web劃分在一個(gè)獨(dú)立的vlan中,這 些獨(dú)立vlan通道和核心物理交換機(jī)3的trunk通道中vlan id是一致的。
[0022] 虛擬交換機(jī)2與核心物理交換機(jī)3之間、核心物理交換機(jī)3與旁路waf防火墻4 之間的trunk通道劃分為多個(gè)獨(dú)立的的vlanid,兩個(gè)trunk通道的vlan id分別與VLAN的 vlan id--對(duì)應(yīng)。
[0023] 由于核心物理交換機(jī)3不能提供應(yīng)用層的安全防護(hù)功能,故將旁路waf防火墻4 通過trunk通道與核心物理交換機(jī)3連接,并使旁路waf防火墻4上通過封裝802. 1Q協(xié) 議的vlan端口和核心物理交換機(jī)3、虛擬交換機(jī)2以及云計(jì)算網(wǎng)絡(luò)1中的每片虛擬web的 vlan id都是一致。
[0024] 旁路waf防火墻4采用支持透明化和服務(wù)質(zhì)量差異化服務(wù)功能的web應(yīng)用防火墻 設(shè)備,包括主板、CPU、內(nèi)存和硬盤存儲(chǔ)器,主板可選用普通計(jì)算機(jī)的主板或服務(wù)器主板,CPU 可選用雙Intel至強(qiáng)2. 4G,內(nèi)存可選用2G ECC/REG,硬盤存儲(chǔ)器可選用SCSI硬盤。waf防 火墻即web應(yīng)用防火墻,一種區(qū)別于傳統(tǒng)網(wǎng)絡(luò)層防火墻,基于application層面的基于web 文件防護(hù)的應(yīng)用層防火墻,專為web應(yīng)用服務(wù)提供應(yīng)用程序級(jí)的安全防護(hù)設(shè)備;利用專用 的應(yīng)用層web安全設(shè)備基于http的API、dynamic profile、SSL安全加密offload、data compression特性對(duì)web網(wǎng)站應(yīng)用提供端到端的數(shù)據(jù)安全保障,而服務(wù)提供商可根據(jù)該裝 置系統(tǒng)為用戶提供集中的web應(yīng)用防火墻防護(hù),提供一種數(shù)據(jù)中心網(wǎng)絡(luò)服務(wù)商的安全增值 業(yè)務(wù)產(chǎn)品。
[0025] 通過以上發(fā)明及設(shè)計(jì),為云計(jì)算服務(wù)商在開展IaaS(基礎(chǔ)架構(gòu)及服務(wù))服務(wù)模式 時(shí),解決了 web服務(wù)器應(yīng)用層面的數(shù)據(jù)防護(hù),為服務(wù)商提供了 waf防火墻增值服務(wù)的運(yùn)營模 式,本發(fā)明在云計(jì)算服務(wù)商中擁有較好的市場(chǎng)價(jià)值和節(jié)約運(yùn)營成本。
【權(quán)利要求】
1. 一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置,與互聯(lián)網(wǎng)(5)連接,其特征在于,包括云 計(jì)算網(wǎng)絡(luò)(1)、虛擬交換機(jī)(2)、核心物理交換機(jī)(3)和旁路waf防火墻(4),所述的云計(jì)算 網(wǎng)絡(luò)(1)通過虛擬網(wǎng)卡與虛擬交換機(jī)(2)相連接,所述的虛擬交換機(jī)(2)通過trunk通道 與核心物理交換機(jī)(3)連接,所述的核心物理交換機(jī)(3)的一個(gè)輸出端通過光纖與互聯(lián)網(wǎng) (5)連接,另一端通過trunk通道與旁路waf防火墻(4)的trust接口連接,所述的旁路waf 防火墻(4)的untrust接口過光纖與互聯(lián)網(wǎng)(5)連接; 云計(jì)算網(wǎng)絡(luò)(1)的連接通道經(jīng)虛擬交換機(jī)(2)集中部署在核心物理交換機(jī)(3)的接口 上,旁路waf防火墻(4)設(shè)備旁路到核心物理交換機(jī)(3)上,web的網(wǎng)關(guān)IP地址透明穿過旁 路waf防火墻(4),云計(jì)算網(wǎng)絡(luò)(1)用戶的互聯(lián)網(wǎng)(5) web訪問的雙向流量都能夠透?jìng)?waf 防火墻裝置。
2. 根據(jù)權(quán)利要求1所述的一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置,其特征在于,所述 的云計(jì)算網(wǎng)絡(luò)(1)包括多個(gè)web虛擬主機(jī)¢),所述的web虛擬主機(jī)(6)分別與虛擬交換機(jī) (2)連接的通道構(gòu)成一個(gè)VLAN,VLAN包括多個(gè)對(duì)應(yīng)web虛擬主機(jī)(6)的vlan id,每個(gè)用戶 租賃的虛擬web劃分在一個(gè)獨(dú)立的vlan id中。
3. 根據(jù)權(quán)利要求2所述的一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置,其特征在于,所述 的虛擬交換機(jī)(2)與核心物理交換機(jī)(3)之間、核心物理交換機(jī)(3)與旁路waf防火墻(4) 之間的trunk通道劃分為多個(gè)獨(dú)立的的vlan id,兩個(gè)trunk通道的vlan id分別與VLAN 的vlan id--對(duì)應(yīng)。
4. 根據(jù)權(quán)利要求1所述的一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置,其特征在于,所述 的旁路waf防火墻(4)的trust接口和untrust接口通過802. 1Q協(xié)議劃分vlan子接口, 分成各自隔離的vlan通道。
5. 根據(jù)權(quán)利要求1所述的一種應(yīng)用于云計(jì)算網(wǎng)絡(luò)的waf防火墻配置,其特征在于,所述 的旁路waf防火墻(4)包括主板、CPU、內(nèi)存和硬盤存儲(chǔ)器。
【文檔編號(hào)】H04L29/06GK104113527SQ201410276431
【公開日】2014年10月22日 申請(qǐng)日期:2014年6月19日 優(yōu)先權(quán)日:2014年6月19日
【發(fā)明者】胡益明, 鄭杰 申請(qǐng)人:上海地面通信息網(wǎng)絡(luò)有限公司