CN107995144B - 一种基于安全组的访问控制方法及装置 - Google Patents

一种基于安全组的访问控制方法及装置 Download PDF

Info

Publication number
CN107995144B
CN107995144B CN201610944504.8A CN201610944504A CN107995144B CN 107995144 B CN107995144 B CN 107995144B CN 201610944504 A CN201610944504 A CN 201610944504A CN 107995144 B CN107995144 B CN 107995144B
Authority
CN
China
Prior art keywords
security group
target
virtual machine
access control
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201610944504.8A
Other languages
English (en)
Other versions
CN107995144A (zh
Inventor
李阳
刘涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Kingsoft Cloud Network Technology Co Ltd
Beijing Kingsoft Cloud Technology Co Ltd
Original Assignee
Beijing Kingsoft Cloud Network Technology Co Ltd
Beijing Kingsoft Cloud Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Kingsoft Cloud Network Technology Co Ltd, Beijing Kingsoft Cloud Technology Co Ltd filed Critical Beijing Kingsoft Cloud Network Technology Co Ltd
Priority to CN201610944504.8A priority Critical patent/CN107995144B/zh
Publication of CN107995144A publication Critical patent/CN107995144A/zh
Application granted granted Critical
Publication of CN107995144B publication Critical patent/CN107995144B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明实施例公开了一种基于安全组的访问控制方法及装置。该方法包括:接收针对至少两个目标安全组的配置请求;确定目标虚拟机;建立目标虚拟机分别与每一目标安全组之间的访问控制关系。应用本发明实施例提供的方案进行访问控制,可以提高虚拟机之间的通信效率。

Description

一种基于安全组的访问控制方法及装置
技术领域
本发明涉及信息安全领域,特别涉及一种基于安全组的访问控制方法及装置。
背景技术
安全组是一种虚拟防火墙,用于设置一台或多台虚拟机的网络访问控制,它是重要的网络安全隔离手段,配置在宿主机上,用于在云端划分安全域。通过设定各安全组之间的访问规则,可搭建复杂的多层访问控制体系,达到***整体安全。现有的安全组可按安全组、IP(Internet Protocol,网际协议)地址、端口、通信协议、内外网等条件进行访问控制;针对不同的虚拟机,可以根据需要工作在同一个安全组中,也可以不在同一个安全组中,而同一安全组中的虚拟机,默认是互通的;其中,一个安全组可以对应一台或多台虚拟机,但一台虚拟机只能对应一个安全组,也就是一台虚拟机只能与一个安全组建立访问控制关系,即一台虚拟机只能根据一个安全组来与其它虚拟机实现访问。
基于上述情况,由于同一安全组中的虚拟机是互通的,所以同一安全组内的两个虚拟机之间可以直接进行通信,而不同安全组中的虚拟机则无法按照上述方式直接进行通信。
现有技术中,针对不同安全组内的虚拟机之间的通信,一般是通过设置安全组访问控制规则来实现,具体来说,会为各个安全组设置针对安全组间虚拟机访问控制和IP授权控制的规则,当第一安全组内的第一虚拟机需要与第二安全组内的第二虚拟机进行通信时,可以首先将第一安全组对应的访问控制规则与第二安全组对应的访问控制规则进行匹配,匹配成功的情况下,才允许第一虚拟机与第二虚拟机进行通信。
根据上述方式可以实现同一安全组内虚拟机之间、不同安全组内虚拟机之间的通信,但是,一个VPC(Virtual Private Cloud,虚拟专有网络)中往往包含多个宿主机,而一台宿主机上可以部署多台虚拟机,当虚拟机数量很大,需求复杂时,要实现不同安全组中虚拟机之间的通信,需要为各个安全组配置大量的访问控制规则,随着每一安全组对应的访问控制规则数量增大,规则匹配所需要消耗的时间增多,因而无法快速实现不同安全组中虚拟机之间的通信,导致虚拟机之间的通信效率低。
发明内容
本发明实施例的目的在于提供一种基于安全组的访问控制方法及装置,以提高虚拟机之间的通信效率。具体技术方案如下:
第一方面,本发明实施例提供了一种基于安全组的访问控制方法,应用于宿主机,所述方法包括:
接收针对至少两个目标安全组的配置请求;
确定目标虚拟机;
建立所述目标虚拟机分别与每一所述目标安全组之间的访问控制关系。
可选地,在所述接收针对至少两个目标安全组的配置请求之后,还包括:
获得每一所述目标安全组的访问控制规则;
根据所述目标安全组的访问控制规则之间的逻辑关系,对所获得的规则进行合并处理,生成目标访问控制规则。
可选地,本发明实施例所提供的基于安全组的访问控制方法,还包括:
接收目标报文;
判断第一类安全组和第二类安全组中是否存在相同的安全组,其中,所述第一类安全组与所述目标报文的源虚拟机之间存在访问控制关系,所述第二类安全组为与所述目标报文的目的虚拟机之间存在访问控制关系;
若存在,向所述目的虚拟机发送所述目标报文。
可选地,本发明实施例所提供的基于安全组的访问控制方法,还包括:
若所述第一类安全组和所述第二类安全组中不存在相同的安全组,针对所述目的虚拟机和所述源虚拟机,进行会话匹配;
若会话匹配成功,执行所述向所述目的虚拟机发送所述目标报文的步骤。
可选地,本发明实施例所提供的基于安全组的访问控制方法,还包括:
若会话匹配失败,根据所述第一类安全组与所述第二类安全组,针对所述源虚拟机和所述目的虚拟机,进行安全组访问控制规则匹配;
若安全组访问控制规则匹配失败,丢弃所述目标报文;
若安全组访问控制规则匹配成功,执行所述向所述目的虚拟机发送所述目标报文的步骤。
可选地,在所述执行所述向所述目的虚拟机发送所述目标报文的步骤之后,还包括:
建立所述源虚拟机与所述目的虚拟机间的会话。
可选地,所述判断第一类安全组和第二类安全组中是否存在相同的安全组的步骤,包括:
判断所述目标报文的发送路径是否为第一目标路径,所述第一目标路径为由所述宿主机以外的其他宿主机发送至本地的虚拟机;
若是,解析所述目标报文,并根据解析结果,获得匹配结果标识信息,判断所述匹配结果标识信息是否为第一预设值,如果是,判定所述第一类安全组和第二类安全组中存在相同安全组,如果否,判定所述第一类安全组和第二类安全组中不存在相同安全组。
可选地,在所述向所述目的虚拟机发送所述目标报文的步骤之前,还包括:
判断所述目标报文的发送路径是否为第二目标路径,所述第二目标路径为由本地的虚拟机发送至所述宿主机以外的其他宿主机;
若是,将第二预设值写入所述目标报文,其中,所述第二预设值为用于表明所述第一类安全组和第二类安全组中存在相同安全组的值。
第二方面,本发明实施例提供了一种基于安全组的访问控制装置,应用于宿主机,所述装置包括:
配置请求接收模块,用于接收针对至少两个目标安全组的配置请求;
虚拟机确定模块,用于确定目标虚拟机;
访问控制关系建立模块,用于建立所述目标虚拟机分别与每一所述目标安全组之间的访问控制关系。
可选地,本发明实施例所提供的基于安全组的访问控制装置,还包括:
规则获得模块,用于在所述配置请求接收模块接收针对至少两个目标安全组的配置请求之后,获得每一所述目标安全组的访问控制规则;
规则生成模块,用于根据所述目标安全组的规则之间的逻辑关系,对所获得的规则进行合并处理,生成目标访问控制规则。
可选地,本发明实施例所提供的基于安全组的访问控制装置,还包括:
报文接收模块,用于接收目标报文;
安全组判断模块,用于判断第一类安全组和第二类安全组中是否存在相同的安全组,其中,所述第一类安全组与所述目标报文的源虚拟机之间存在访问控制关系,所述第二类安全组为与所述目标报文的目的虚拟机之间存在访问控制关系;
报文发送模块,用于在所述安全组判断模块的结果为是的情况下,向所述目的虚拟机发送所述目标报文。
可选地,本发明实施例所提供的基于安全组的访问控制装置,还包括:
会话匹配模块,用于在所述安全组判断模块的结果为否的情况下,针对所述源虚拟机和所述目的虚拟机,进行会话匹配;若会话匹配成功,触发所述报文发送模块。
可选地,本发明实施例所提供的基于安全组的访问控制装置,还包括:
规则匹配模块,用于在所述会话匹配模块匹配失败的情况下,根据所述第一类安全组与所述第二类安全组,针对所述源虚拟机和所述目的虚拟机,进行安全组访问控制规则匹配;若安全组访问控制规则匹配成功,触发所述报文发送模块;若安全组访问控制规则匹配失败,触发报文丢弃模块;
所述报文丢弃模块,用于丢弃所述目标报文。
可选地,本发明实施例所提供的基于安全组的访问控制装置,还包括:
会话建立模块,用于在所述报文发送模块向所述目的虚拟机发送所述目标报文之后,建立所述源虚拟机与所述目的虚拟机间的会话。
可选地,所述安全组判断模块,具体用于:
判断所述目标报文的发送路径是否为第一目标路径,所述第一目标路径为由所述宿主机以外的其他宿主机发送至本地的虚拟机;
若是,解析所述目标报文,并根据解析结果,获得匹配结果标识信息,判断所述匹配结果标识信息是否为第一预设值,如果是,判定所述第一类安全组和第二类安全组中存在相同安全组,如果否,判定所述第一类安全组和第二类安全组中不存在相同安全组。
可选地,本发明实施例所提供的基于安全组的访问控制装置,还包括:
信息写入模块,用于在所述报文发送模块发送所述目标报文之前,判断所述目标报文的发送路径是否为第二目标路径,所述第二目标路径为由本地虚拟机发送至所述宿主机以外的其他宿主机;若是,将第二预设值写入所述目标报文,其中,所述第二预设值为用于表明所述第一类安全组和第二类安全组中存在相同安全组的值。
在本发明实施例所提供的基于安全组的访问控制方法中,接收针对至少两个目标安全组的配置请求,然后,确定目标虚拟机,并建立目标虚拟机分别与每一目标安全组之间的访问控制关系。可以看出,应用上述技术方案,可以使得一台虚拟机引用多个安全组,这样,两台虚拟机间只要引用了一个相同的安全组,在他们互相访问时,便会默认互通,不需要进行安全组规则配置及匹配,从而快速实现不同虚拟机之间的通信,提高虚拟机之间的通信效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所提供的基于安全组的访问控制方法的第一种流程示意图;
图2为本发明实施例所提供的基于安全组的访问控制方法的第二种流程示意图;
图3为本发明实施例所提供的基于安全组的访问控制方法的第三种流程示意图;
图4为本发明实施例所提供的基于安全组的访问控制方法的第四种流程示意图;
图5为本发明实施例所提供的基于安全组的访问控制方法的第五种流程示意图;
图6为本发明实施例所提供的基于安全组的访问控制方法的第六种流程示意图;
图7为本发明实施例所提供的基于安全组的访问控制方法的第七种流程示意图;
图8为本发明实施例所提供的基于安全组的访问控制装置的第一种结构示意图;
图9为本发明实施例所提供的基于安全组的访问控制装置的第二种结构示意图;
图10为本发明实施例所提供的基于安全组的访问控制装置的第三种结构示意图;
图11为本发明实施例所提供的基于安全组的访问控制装置的第四种结构示意图;
图12为本发明实施例所提供的基于安全组的访问控制装置的第五种结构示意图;
图13为本发明实施例所提供的基于安全组的访问控制装置的第六种结构示意图;
图14为本发明实施例所提供的基于安全组的访问控制装置的第七种结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
为了提高虚拟机之间的通信效率,本发明实施例提供了一种基于安全组的访问控制方法及装置。
下面首先对本发明实施例所提供的一种基于安全组的访问控制方法进行介绍。
如图1所示,本发明实施例提供的一种基于安全组的访问控制方法,应用于宿主机,包括如下步骤:
S101,接收针对至少两个目标安全组的配置请求。
实际应用中,配置请求除携带目标安全组的信息外,还可以携带要配置多个安全组的目标虚拟机的信息;其中,目标安全组可以是实时创建的,也可以是VPC上已创建的,具体不作限定。
S102,确定目标虚拟机。
需要说明的是,可以根据S101中接收到的配置请求中携带的目标虚拟机信息确定目标虚拟机;还可以直接将宿主机上任一需要引用多个安全组的虚拟机确定为目标虚拟机,举例而言,宿主机上的虚拟机1需要引用多个安全组,以在与其它虚拟机通信的过程中应用本发明实施例所提供的基于安全组的访问控制方法,那么便可以将虚拟机1确定为目标虚拟机。
S103,建立目标虚拟机分别与每一目标安全组之间的访问控制关系。
需要说明的是,在接收针对至少两个目标安全组的配置请求和确定了目标虚拟机后,需要建立目标虚拟机分别与每一目标安全组之间的访问控制关系,即实现目标虚拟机对至少两个目标安全组的引用。实际应用中,可以将目标安全组合并生成新的安全组,然后建立目标虚拟机与新的安全组之间的访问控制关系。
在图1所示实例提供的基于安全组的访问控制方法中,接收针对至少两个目标安全组的配置请求,然后,确定目标虚拟机,并建立目标虚拟机分别与每一目标安全组之间的访问控制关系。可以看出,应用上述技术方案,可以使得一台虚拟机引用多个安全组,这样,两台虚拟机只要引用了一个相同的安全组,在他们互相访问时,便会默认互通,不需要进行安全组规则配置及匹配,从而快速实现不同虚拟机之间的通信,提高虚拟机之间的通信效率。
举例而言,在VPC d1中,已创建安全组1,安全组2,安全组3,安全组4,安全组5,其ID(Identification,身份标识)分别为1、2、3、4、5。
在现有技术中,虚拟机只能引用一个安全组,针对VPC d1中宿主机1上的虚拟机A和宿主机2上的虚拟机B,假设虚拟机A引用安全组1,虚拟机B引用安全组2,其中安全组1包含5条out(出站)方向的访问控制规则,安全组2包含6条in(入站)方向的访问控制规则,且安全组1不允许虚拟机A向虚拟机B发送报文,安全组2不允许虚拟机B接收来自虚拟机A的报文,因此,如果现在想从虚拟机A向虚拟机B发送一个报文P,需要首先在安全组1中添加一条out方向的访问控制规则,在安全组2中添加一条in方向的访问控制规则,以使得虚拟机A被允许向虚拟机B发送报文,并被虚拟机B接收;在通信过程中,宿主机1接收到虚拟机A上送的报文P后,会匹配安全组1在out(出站)方向的每一条规则,看是否允许虚拟机A向虚拟机B发送报文P,匹配成功后进行发送;而宿主机2在接收到报文P后,需要匹配安全组2在in(进站)方向的每一条规则,匹配成功后,发送给虚拟机B。
而应用本发明实施例提供的技术方案,可以预先创建安全组6,其ID为6,具体实现可以为:vgwadm sg add 6domain d1;然后向宿主机1发出安全组1、安全组3和安全组6的配置请求,并将虚拟机A确定为目标虚拟机,宿主机1在接收到配置请求后,建立虚拟机A分别与安全组1、安全组3和安全组6之间的访问控制关系,即实现虚拟机A对安全组1、安全组3和安全组6的引用;向宿主机2发出安全组2和安全组6的配置请求,并将虚拟机B确定为目标虚拟机,宿主机2在接收到配置请求后,建立虚拟机B分别与安全组2和安全组6之间的访问控制关系,即实现虚拟机B对安全组2和安全组6的引用;其中,虚拟机的标识可以为MAC(MediaAccess Control,物理地址)地址,具体的,假设虚拟机A的MAC地址为fe:17:3e:27:03:22,虚拟机B的MAC地址为fe:16:3e:27:9c:22,那么,在实际应用中,针对虚拟机A和虚拟机B,具体的安全组引用实现方法可以如下所示:
vgwadm sg set 1,3,6domain d1dev fe:17:3e:27:03:22;
vgwadm sg set 2,6domain d1dev fe:16:3e:27:9c:22;
这样,虚拟机A引用的安全组和虚拟机B引用的安全组中就都存在安全组6,因此,在虚拟机A和虚拟机B进行通信时,便会默认互通,而不需要进行访问控制规则的添加和匹配,有效地提高了虚拟机A和虚拟机B间的通信效率。
需要强调的是,实际应用中,也可以配置使得虚拟机A引用安全组1和安全组2,或者引用安全组1、安全组2和安全组3等,此处不作限定;同样虚拟机B引用的安全组也不局限于安全组2和安全组6,只需虚拟机A和虚拟机B引用的安全组中有相同的安全组即可,此外,上述所举示例仅为本发明的一具体实例,并不构成对本发明的限定。
更进一步的,在图1所示实施例的基础上,如图2所示,本发明实施例所提供的一种基于安全组的访问控制方法,应用于宿主机,还可以包括:
S104,获得每一目标安全组的访问控制规则。
其中,在目标安全组配置有访问控制规则时,还可以获得每一安全组的访问控制规则,以进行合并处理。
可以理解的是,安全组的访问控制规则一般包括虚拟机的in(入站)方向和/或out(出站)方向的规则,而不同的安全组可以有不同的访问控制规则,访问控制规则可以和安全组一起创建,也可以针对已创建的安全组进行添加。
S105,根据目标安全组的访问控制规则之间的逻辑关系,对所获得的规则进行合并处理,生成目标访问控制规则。
需要说明的是,在获得每一目标安全组的访问控制规则后,可以根据访问控制规则间的逻辑关系,对所获得规则进行合并处理,生成目标访问控制规则,而不是将目标安全组的访问控制规则进行直接叠加,其中,具体合并方法属于现有技术,此处不再赘述,此外,可以理解的是,规则间的逻辑关系与目标安全组的策略相关。如此,可以很大概率地减少目标虚拟机对应的访问控制规则的数量,从而在进行安全组访问控制规则匹配时,降低匹配的次数,提高匹配速度。
举例而言,假设为安全组1配置in方向的访问控制规则,默认对所有的IP地址均放行;为安全组2配置in方向的访问控制规则,允许IP地址192.168.2.1通过80端口进行访问;为安全组3配置in方向的访问控制规则,允许IP地址192.168.2.102通过80端口进行访问,实际应用中,具体实现可以如下所示:
vgwadm sg set 1domain d1rule in 0.0.0.0/0ip;
vgwadm sg set 2domain d1rule in 192.168.2.1/80ip;
vgwadm sg set 3domain d1rule in 192.168.2.102/80ip;
在接收到安全组1、安全组2和安全组3的配置请求后,可以根据安全组1、安全组2和安全组3的访问控制规则间的逻辑关系进行合并,其中,安全组1默认对所有的IP地址均放行,且没有端口的要求,而安全组2只允许IP地址192.168.2.1通过80端口进行访问,安全组3只允许IP地址192.168.2.102通过80端口进行访问,安全组1的允许范围包含了安全组2和安全组3的允许范围,那么,实际应用中,可以取三者的并集来合并生成目标访问控制规则,则目标访问控制规则与安全组1的相同,即安全组1、安全组2和安全组3合并生成的新安全组的访问控制规则,为默认对所有的IP地址均放行,具体配置方法可以如下所示:
vgwadm sg set 1,2,3domain d1rule in 0.0.0.0/0ip;
由于安全组1在in方向的规则是默认对所有的IP地址均放行,约束力较低,那么根据实际需求,还可以取安全组2、安全组3分别与安全组1的交集的并集,生成安全组1、安全组2和安全组3合并生成的新安全组的访问控制规则,即为允许IP地址192.168.2.1和192.168.2.102通过80端口进行访问,具体配置方法可以如下所示:
vgwadm sg set 1,2,3domain d1rule in 192.168.2.1/80ip;
vgwadm sg set 1,2,3domain d1rule in 192.168.2.102/80ip;
需要强调的是,上述所举示例仅为本发明的两个具体实例,并不构成对本发明的限定。实际应用中,还可以综合考虑安全组的策略以及其他因素,进行访问控制规则的合并,具体的合并方法在此不作限定。
在图1所示实施例的基础上,图2所示实施例提供的基于安全组的访问控制方法中,还可以获得每一目标安全组的访问控制规则,然后根据目标安全组的访问控制规则之间的逻辑关系,对所获得的规则进行合并处理,生成目标访问控制规则;应用该技术方案能够减少目标虚拟机对应的访问控制规则的数量,从而在进行安全组访问控制规则匹配时,降低匹配的次数,提高匹配速度,进一步地提高虚拟机之间的通信效率。
更进一步的,在图2所示实施例的基础上,如图3所示,本发明实施例所提供的一种基于安全组的访问控制方法,应用于宿主机,还可以包括:
S106,接收目标报文。
其中,目标报文一般为本地虚拟机上送的报文或者外部其他宿主机上的虚拟机发送过来的报文,而本地虚拟机上送的报文又包括向本地其他虚拟机发送的报文和向外部其他宿主机上的虚拟机发送的报文。
在本发明的一种实现方式中,由外部其他宿主机发送过来的报文和向外部其他宿主机发送的报文可以为VXLAN(Virtual eXtensible Local Area Network,虚拟扩展局域网)报文。
S107,判断第一类安全组与第二类安全组中是否存在相同的安全组,如果是,执行S108。
其中,第一类安全组与该目标报文的源虚拟机之间存在访问控制关系,第二类安全组为与该目标报文的目的虚拟机之间存在访问控制关系。
需要说明的是,应用图1所示实施例提供的技术方案,可以配置使得虚拟机引用多个安全组,而同一安全组中的虚拟机是互通的,因此,在宿主机接收到目标报文后,可以首先判断该目标报文的源虚拟机引用的第一类安全组与目的虚拟机引用的第二类安全组中是否存在相同的安全组,具体地,可以判断第一类安全组与第二类安全组的ID中是否有相等的ID,如果存在,便可以默认源虚拟机和目的虚拟机是互通的,直接向目的虚拟机发送该目标报文,当然,也可以针对安全组的其他唯一标识信息进行判断,在此不作限定。
举例而言,假设,第一类安全组对应的安全组ID分别为1、3、4,第二类安全组对应的安全组ID分别为2、3、5,其中,第一类安全组与第二类安全组中都存在ID为3对应的安全组,因此,可以判定第一类安全组与第二类安全组中存在相同安全组。
其中,第一类安全组可以从本地安全组配置文件中读取获得;实际应用中,可以预先对称地配置源虚拟机和目的虚拟机的安全组信息,分别保存在源端宿主机和目的端宿主机的安全组配置文件中,即,源端宿主机的安全组配置文件中也保存有目的虚拟机的安全组信息,目的端宿主机的安全组配置文件中也保存有源虚拟机的安全组信息,因此,第二类安全组也可以从本地安全组配置文件中读取获得,在此不作限定。
需要说明的是,当该目标报文为外部其他宿主机上的虚拟机发送过来的报文时,本地宿主机即为目的端,实际应用中,为减少匹配次数,可以只在源端进行安全组的匹配,即判断第一类安全组与第二类安全组中是否存在相同的安全组,并将匹配结果写入报文发送到目的端,关于此,在后续实施例中将进行详细介绍;而目的端,即本地宿主机接收到该目标报文后,可以根据报文中携带的信息,直接判断第一类安全组与第二类安全组中是否存在相同的安全组,具体地,所述判断第一类安全组和第二类安全组中是否存在相同的安全组的步骤,可以包括:
判断目标报文的发送路径是否为第一目标路径;
若是,解析该目标报文,并根据解析结果,获得匹配结果标识信息,判断匹配结果标识信息是否为第一预设值,如果是,判定第一类安全组和第二类安全组中存在相同安全组,如果否,判定第一类安全组和第二类安全组中不存在相同安全组。
其中,第一目标路径为由该宿主机以外的其他宿主机发送至本地的虚拟机。
可以理解的是,目标报文可以为外部其他宿主机上的虚拟机发送的VXLAN报文;收到该类目标报文时,便可以解析该目标报文,并根据解析结果获得匹配结果标识信息,进而判断匹配结果标识信息是否为第一预设值,从而判断第一类安全组和第二类安全组中是否存在相同的安全组;其中,第一预设值为用于表明第一类安全组和第二类安全组中存在相同安全组的值,可以进行提前约定,需要强调的是,第一预设值为不会与其它值引起冲突的值。
实际应用中,可以利用数据包标记skb->mark来携带安全组匹配结果,约定当skb->mark为VGW_SEC_GROUP_NULL,即0时,表明在源端安全组匹配成功;当skb->mark为VGW_SEC_GROUP_NOT_MATCH,即240时,表明在源端安全组匹配失败;源端在发送VXLAN报文时,将skb->mark写入VXLAN报文包头中,以使得目的端宿主机在接收到报文时直接得到安全组匹配结果。当然,具体如何在报文中携带安全组匹配结果,在此不作限定。
举例而言,本地宿主机接收到来自其他宿主机上的虚拟机发送的VXLAN报文A,解析该报文后,获得skb->mark,且其值为0,可以表明第一类安全组与第二类安全组中存在相同安全组。
S108,向目的虚拟机发送该目标报文。
其中,S107执行结果为是,即第一类安全组与第二类安全组中存在相同的安全组时,可以表明源虚拟机与目的虚拟机是互通的,那么,便可以直接向目的虚拟机发送该目标报文。
此外,需要强调的是,若源虚拟机或者目的虚拟机没有引用安全组,即第一类安全组或第二类安全组为空,则默认放行报文,直接向目的虚拟机发送该目标报文。
在图2所示实施例的基础上,应用图3所示实施例提供的技术方案,在接收目标报文后,判断第一类安全组与第二类安全组中是否存在相同的安全组,如果是,便向目的虚拟机发送该目标报文,其中,第一类安全组与该目标报文的源虚拟机之间存在访问控制关系,第二类安全组为与该目标报文的目的虚拟机之间存在访问控制关系;与现有技术相比,当VPC网络中存在大量虚拟机时,无需为源虚拟机和目的虚拟机配置大量访问控制规则,且当源虚拟机与目的虚拟机引用的安全组中有相同安全组时,在虚拟机间通信过程中便无需进行规则匹配,默认互通,提高了虚拟机之间的通信效率。
更进一步的,在图3所示实施例的基础上,如图4所示,本发明实施例所提供的一种基于安全组的访问控制方法,应用于宿主机,还可以包括:
S109,针对源虚拟机和目的虚拟机,进行会话匹配,如果匹配成功,执行S108。
需要说明的是,当S107的执行结果为否时,即第一类安全组与第二类安全组中不存在相同安全组时,可以针对源虚拟机和目的虚拟机进行会话匹配,如果会话匹配成功,则执行S108,即向目的虚拟机发送该目标报文。
其中,可以理解的是,安全组是有状态的,会话匹配也可以理解为安全组状态检测,它用于检测会话之间的连接关系,当会话连接存在时,会话匹配成功,表明源虚拟机与目的虚拟机是互通的,可以向目的虚拟机发送该目标报文。
若会话匹配失败,在图4所示基础上,如图5所示,本发明实施例所提供的一种基于安全组的访问控制方法,应用于宿主机,还可以包括:
S110,根据第一类安全组与第二类安全组,针对源虚拟机和目的虚拟机,进行安全组访问控制规则匹配;如果匹配成功,执行S108,如果匹配失败,执行S111。
需要说明的是,当S109执行结果为匹配失败时,则可以根据第一类安全组与第二类安全组,针对源虚拟机和目的虚拟机,进行安全组访问控制规则匹配,如果匹配成功,向目的虚拟机发送该目标报文,否则,执行S111,丢弃该目标报文。其中,关于针对源虚拟机和目的虚拟机进行安全组访问控制规则匹配,具体的,是针对源虚拟机和目的虚拟机分别对应的安全组合并生成的访问控制规则进行匹配,关于具体匹配方法属于现有技术,此处不再赘述。
S111,丢弃该目标报文。
其中,当S110执行结果为匹配失败,表明源虚拟机和目的虚拟机之间是不连通的,无法进行报文的发送,因此可以将该目标报文作丢弃处理。
举例而言,本地宿主机接收报文B,对应的源虚拟机引用的安全组ID分别为1、2、3,目的虚拟机引用的安全组ID分别为4、5、6,可以看出源虚拟机和目的虚拟机引用的安全组中不存在相同安全组,因此进行会话匹配,在本地宿主机的相关表项中进行查找匹配,若会话匹配失败,则进行访问控制规则匹配,若规则匹配也失败了,则丢弃报文B。
在图3所示实施例的基础上,在图4实施例所提供的基于安全组的访问控制方法中,若第一类安全组与第二类安全组中不存在相同安全组,还可以进行会话匹配,若会话匹配成功,则向目的虚拟机发送该目标报文,与现有技术相比,当VPC网络中存在大量虚拟机时,无需为源虚拟机和目的虚拟机配置大量访问控制规则,当会话匹配成功时,在虚拟机间通信过程中便无需进行后续规则匹配,直接进行报文的处理,提高了虚拟机之间的通信效率。
更进一步的,在图5所示实施例的基础上,如图6所示,本发明实施例所提供的一种基于安全组的访问控制方法,应用于宿主机,在S108之后,还可以包括:
S112,建立源虚拟机与目的虚拟机间的会话。
需要说明的是,安全组访问控制规则匹配成功,向目的虚拟机发送目标报文后,表明源虚拟机与目的虚拟机间进行了通信,即源虚拟机与目的虚拟机间是互通的,那么便可以对此进行记录,建立源虚拟机与目的虚拟机间的会话,更新安全组状态,并保存在本地,在下一次通信时,便只需进行会话匹配即可,无需再进行访问控制规则匹配。
实际应用中,可以根据五元组创建源虚拟机与目的虚拟机间的会话,其中,五元组包括源IP地址、源端口、目的IP地址、目的端口以及传输层协议,它可以区分不同的会话,且对应的会话是唯一的,关于具体如何根据五元组建立会话属于现有技术,此处不再赘述。
在图5所示实施例的基础上,在图6实施例所提供的基于安全组的访问控制方法中,若根据第一类安全组与第二类安全组,针对源虚拟机和目的虚拟机,进行安全组访问控制规则匹配,匹配成功,那么便可以在向目的虚拟机发送目标报文后,建立源虚拟机与目的虚拟机间的会话,并保存在本地,在后续通信时,便只需进行会话匹配即可,无需再进行访问控制规则匹配,提高了虚拟机间通信效率。
更进一步的,在图3所示实施例的基础上,如图7所示,本发明实施例所提供的一种基于安全组的访问控制方法,应用于宿主机,在S108之前,还可以包括:
S113,判断目标报文的发送路径是否为第二目标路径,若是,执行S114。
其中,第二目标路径为由本地的虚拟机发送至该宿主机以外的其他宿主机。
需要说明的是,若接收的目标报文的发送路径为由本地的虚拟机至该宿主机以外的其他宿主机,可以表明该目标报文为本地的虚拟机上报的,要发送至外部其他宿主机上的虚拟机的跨宿主机报文,且此时,本地宿主机作为源端宿主机;其中,报文发送路径的具体判断方法属于现有技术,此处不再赘述。
S114,将第二预设值写入该目标报文。
其中,第二预设值为用于表明第一类安全组和第二类安全组中存在相同安全组的值。
需要说明的是,针对本地虚拟机上送的,向外部其他宿主机发送的报文,如VXLAN报文,可以在判断出第一类安全组与第二类安全组中存在相同安全组,即安全组匹配成功后,将约定的用以表明第一类安全组和第二类安全组中存在相同安全组的第二预设值写入该目标报文后发送给目的虚拟机,以使得目的端宿主机在接收到该目标报文后,不需要再进行安全组匹配,而是直接根据解析后的报文获得安全组匹配结果。
实际应用中,可以利用数据包标记skb->mark来携带安全组匹配结果,约定当skb->mark为VGW_SEC_GROUP_NULL,即0时,表明安全组匹配成功,将skb->mark写入VXLAN报文包头中,再发送到目的虚拟机。当然,具体如何在报文中携带安全组匹配结果,在此不作限定。
可以理解的是,S113执行结果为否,且本地宿主机为源端宿主机时,表明该目标报文为本地虚拟机上送的,发送给本地其他虚拟机的报文,即源虚拟机和目的虚拟机属于同一宿主机,此时,本地宿主机也是目的端宿主机,那么,可以在分别针对源虚拟机和目的虚拟机,判断出在源虚拟机和目的虚拟机分别引用的安全组中存在相同安全组后,直接向目的虚拟机发送该目标报文。
在图3所示实施例的基础上,应用图7所示实施例提供的技术方案,还可以在向目的虚拟机发送目标报文前,判断目的虚拟机是否属于该宿主机,若否,将用于表明第一类安全组和第二类安全组中存在相同安全组的第二预设值写入该目标报文,以使得目的端宿主机在接收到报文后,根据报文的解析结果,直接获得安全组匹配的结果,不需要再进行一次安全组匹配,减少匹配次数,进一步提高虚拟机间通信效率。
需要强调的是,针对图4和图5所示实施例提供的基于安全组的访问控制方法中,为更精准地传递源端的相关匹配结果,也可以在向目的虚拟机发送报文前,将会话匹配或者访问控制规则匹配的结果写入目标报文,具体地,可以在使用skb->mark携带匹配结果信息时,会话匹配或者访问控制规则匹配成功后,将skb->mark设置为VGW_SEC_GROUP_NOT_MATCH,即240,目的端在读取到240时,即表明在源端安全组匹配失败,但会话匹配或者访问控制规则匹配成功。
相应于上述方法实施例,本发明实施例提供了一种基于安全组的访问控制装置,如图8所示,所述装置包括:
配置请求接收模块801,用于接收针对至少两个目标安全组的配置请求;
虚拟机确定模块802,用于确定目标虚拟机;
访问控制关系建立模块803,用于建立所述目标虚拟机分别与每一所述目标安全组之间的访问控制关系。
在图8所示实例提供的基于安全组的访问控制方法中,接收针对至少两个目标安全组的配置请求,然后,确定目标虚拟机,并建立目标虚拟机分别与每一目标安全组之间的访问控制关系。可以看出,应用上述技术方案,可以使得一台虚拟机引用多个安全组,这样,两台虚拟机间只要引用了一个相同的安全组,在他们互相访问时,便会默认互通,不需要进行安全组规则配置及匹配,从而快速实现不同虚拟机之间的通信,提高虚拟机之间的通信效率。
更进一步的,在包含配置请求接收模块801,虚拟机确定模块802,访问控制关系建立模块803的基础上,如图9所示,本发明实施例所提供的一种基于安全组的访问控制装置还可以包括:
规则获得模块804,用于在所述配置请求接收模块801接收针对至少两个目标安全组的配置请求之后,获得每一所述目标安全组的访问控制规则;
规则生成模块805,用于根据所述目标安全组的访问控制规则之间的逻辑关系,对所获得的规则进行合并处理,生成目标访问控制规则。
在图8所示实施例的基础上,图9所示实施例提供的基于安全组的访问控制方法中,还可以获得每一目标安全组的访问控制规则,然后根据目标安全组的访问控制规则之间的逻辑关系,对所获得的规则进行合并处理,生成目标访问控制规则;应用该技术方案能够减少目标虚拟机对应的访问控制规则的数量,从而在进行安全组访问控制规则匹配时,降低匹配的次数,提高匹配速度,进一步地提高虚拟机之间的通信效率。
更进一步的,在包含配置请求接收模块801,虚拟机确定模块802,访问控制关系建立模块803,规则获得模块804,规则生成模块805的基础上,如图10所示,本发明实施例所提供的一种基于安全组的访问控制装置还可以包括:
报文接收模块806,用于接收目标报文;
安全组判断模块807,用于判断第一类安全组和第二类安全组中是否存在相同的安全组,其中,所述第一类安全组与所述目标报文的源虚拟机之间存在访问控制关系,所述第二类安全组为与所述目标报文的目的虚拟机之间存在访问控制关系;
报文发送模块808,用于在所述安全组判断模块807的结果为是的情况下,向所述目的虚拟机发送所述目标报文。
在图9所示实施例的基础上,应用图10所示实施例提供的技术方案,在接收目标报文后,判断第一类安全组与第二类安全组中是否存在相同的安全组,如果是,便向目的虚拟机发送该目标报文,其中,第一类安全组与该目标报文的源虚拟机之间存在访问控制关系,第二类安全组为与该目标报文的目的虚拟机之间存在访问控制关系;与现有技术相比,当VPC网络中存在大量虚拟机时,应用图3所示实施例提供的技术方案,无需为源虚拟机和目的虚拟机配置大量访问控制规则,且当源虚拟机与目的虚拟机引用的安全组中有相同安全组时,在虚拟机间通信过程中便无需进行规则匹配,默认互通,提高了虚拟机之间的通信效率。
其中,所述安全组判断模块807,具体可以用于:
判断所述目标报文的发送路径是否为第一目标路径,所述第一目标路径为由所述宿主机以外的其他宿主机发送至本地的虚拟机;
若是,解析所述目标报文,并根据解析结果,获得匹配结果标识信息,判断所述匹配结果标识信息是否为第一预设值,如果是,判定所述第一类安全组和第二类安全组中存在相同安全组,如果否,判定所述第一类安全组和第二类安全组中不存在相同安全组。
更进一步的,在包含配置请求接收模块801,虚拟机确定模块802,访问控制关系建立模块803,规则获得模块804,规则生成模块805,报文接收模块806,安全组判断模块807,报文发送模块808的基础上,如图11所示,本发明实施例所提供的一种基于安全组的访问控制装置还可以包括:
会话匹配模块809,用于在所述安全组判断模块807的判断结果为否的情况下,针对所述源虚拟机和所述目的虚拟机,进行会话匹配;若会话匹配成功,触发所述报文发送模块808。
在图10所示实施例的基础上,在图11实施例所提供的基于安全组的访问控制方法中,若第一类安全组与第二类安全组中不存在相同安全组,还可以进行会话匹配,若会话匹配成功,则向目的虚拟机发送该目标报文,与现有技术相比,当VPC网络中存在大量虚拟机时,无需为源虚拟机和目的虚拟机配置大量访问控制规则,当会话匹配成功时,在虚拟机间通信过程中便无需进行后续规则匹配,直接进行报文的处理,提高了虚拟机之间的通信效率。
更进一步的,在包含配置请求接收模块801,虚拟机确定模块802,访问控制关系建立模块803,规则获得模块804,规则生成模块805,报文接收模块806,安全组判断模块807,报文发送模块808,会话匹配模块809的基础上,如图12所示,本发明实施例所提供的一种基于安全组的访问控制装置还可以包括:
规则匹配模块810,用于在所述会话匹配模块809匹配失败的情况下,根据所述第一类安全组与所述第二类安全组,针对所述源虚拟机和所述目的虚拟机,进行安全组访问控制规则匹配;若安全组访问控制规则匹配成功,触发所述报文发送模块808;若安全组访问控制规则匹配失败,触发报文丢弃模块811;
所述报文丢弃模块811,用于丢弃所述目标报文。
更进一步的,在包含配置请求接收模块801,虚拟机确定模块802,访问控制关系建立模块803,规则获得模块804,规则生成模块805,报文接收模块806,安全组判断模块807,报文发送模块808,会话匹配模块809,规则匹配模块810,报文丢弃模块811的基础上,如图13所示,本发明实施例所提供的一种基于安全组的访问控制装置还可以包括:
会话建立模块812,用于在所述报文发送模块808向所述目的虚拟机发送所述目标报文之后,建立所述源虚拟机与所述目的虚拟机间的会话。
在图12所示实施例的基础上,应用图13实施例所提供的技术方案,若根据第一类安全组与第二类安全组,针对源虚拟机和目的虚拟机,进行安全组访问控制规则匹配,匹配成功,那么便可以在向目的虚拟机发送目标报文后,建立源虚拟机与目的虚拟机间的会话,并保存在本地,在后续通信时,便只需进行会话匹配即可,无需再进行访问控制规则匹配,提高了虚拟机间通信效率。
更进一步的,在包含配置请求接收模块801,虚拟机确定模块802,访问控制关系建立模块803,规则获得模块804,规则生成模块805,报文接收模块806,安全组判断模块807,报文发送模块808的基础上,如图14所示,本发明实施例所提供的一种基于安全组的访问控制装置还可以包括:
信息写入模块813,用于在所述报文发送模块808发送所述目标报文之前,判断所述目标报文的发送路径是否为第二目标路径,所述第二目标路径为由本地的虚拟机发送至所述宿主机以外的其他宿主机;若是,将第二预设值写入所述目标报文,其中,所述第二预设值为用于表明所述第一类安全组和所述第二类安全组中存在相同安全组的值。
在图10所示实施例的基础上,应用图14所示实施例提供的技术方案,还可以在向目的虚拟机发送目标报文前,判断目的虚拟机是否属于该宿主机,若否,将用于表明第一类安全组和第二类安全组中存在相同安全组的第二预设值写入该目标报文,以使得目的端宿主机在接收到报文后,根据报文的解析结果,直接获得安全组匹配的结果,不需要再进行一次安全组匹配,减少匹配次数,进一步提高虚拟机间通信效率。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本领域普通技术人员可以理解实现上述方法实施方式中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于计算机可读取存储介质中,这里所称得的存储介质,如:ROM/RAM、磁碟、光盘等。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本发明的保护范围内。

Claims (16)

1.一种基于安全组的访问控制方法,其特征在于,应用于宿主机,包括:
接收针对至少两个目标安全组的配置请求;
确定目标虚拟机;
建立所述目标虚拟机分别与每一所述目标安全组之间的访问控制关系;
所述建立所述目标虚拟机分别与每一所述目标安全组之间的访问控制关系,包括:
将所述目标安全组合并生成新的安全组,建立所述目标虚拟机与所述新的安全组之间的访问控制关系。
2.根据权利要求1所述的方法,其特征在于,在所述接收针对至少两个目标安全组的配置请求之后,还包括:
获得每一所述目标安全组的访问控制规则;
根据所述目标安全组的访问控制规则之间的逻辑关系,对所获得的规则进行合并处理,生成目标访问控制规则。
3.根据权利要求2所述的方法,其特征在于,还包括:
接收目标报文;
判断第一类安全组和第二类安全组中是否存在相同的安全组,其中,所述第一类安全组与所述目标报文的源虚拟机之间存在访问控制关系,所述第二类安全组为与所述目标报文的目的虚拟机之间存在访问控制关系;
若存在,向所述目的虚拟机发送所述目标报文。
4.根据权利要求3所述的方法,其特征在于,还包括:
若所述第一类安全组和所述第二类安全组中不存在相同的安全组,针对所述源虚拟机和所述目的虚拟机,进行会话匹配;
若会话匹配成功,执行所述向所述目的虚拟机发送所述目标报文的步骤。
5.根据权利要求4所述的方法,其特征在于,还包括:
若会话匹配失败,根据所述第一类安全组与所述第二类安全组,针对所述源虚拟机和所述目的虚拟机,进行安全组访问控制规则匹配;
若安全组访问控制规则匹配失败,丢弃所述目标报文;
若安全组访问控制规则匹配成功,执行所述向所述目的虚拟机发送所述目标报文的步骤。
6.根据权利要求5所述的方法,其特征在于,在所述执行所述向所述目的虚拟机发送所述目标报文的步骤之后,还包括:
建立所述源虚拟机与所述目的虚拟机间的会话。
7.根据权利要求3所述的方法,其特征在于,所述判断第一类安全组和第二类安全组中是否存在相同的安全组的步骤,包括:
判断所述目标报文的发送路径是否为第一目标路径,所述第一目标路径为由所述宿主机以外的其他宿主机发送至本地的虚拟机;
若是,解析所述目标报文,并根据解析结果,获得匹配结果标识信息,判断所述匹配结果标识信息是否为第一预设值,如果是,判定所述第一类安全组和第二类安全组中存在相同安全组,如果否,判定所述第一类安全组和第二类安全组中不存在相同安全组。
8.根据权利要求3所述的方法,其特征在于,在所述向所述目的虚拟机发送所述目标报文的步骤之前,还包括:
判断所述目标报文的发送路径是否为第二目标路径,所述第二目标路径为由本地的虚拟机发送至所述宿主机以外的其他宿主机;
若是,将第二预设值写入所述目标报文,其中,所述第二预设值为用于表明所述第一类安全组和所述第二类安全组中存在相同安全组的值。
9.一种基于安全组的访问控制装置,其特征在于,应用于宿主机,所述装置包括:
配置请求接收模块,用于接收针对至少两个目标安全组的配置请求;
虚拟机确定模块,用于确定目标虚拟机;
访问控制关系建立模块,用于建立所述目标虚拟机分别与每一所述目标安全组之间的访问控制关系;
所述访问控制关系建立模块,具体用于:
将所述目标安全组合并生成新的安全组,建立所述目标虚拟机与所述新的安全组之间的访问控制关系。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
规则获得模块,用于在所述配置请求接收模块接收针对至少两个目标安全组的配置请求之后,获得每一所述目标安全组的访问控制规则;
规则生成模块,用于根据所述目标安全组的访问控制规则之间的逻辑关系,对所获得的规则进行合并处理,生成目标访问控制规则。
11.根据权利要求10所述的装置,其特征在于,所述装置还包括:
报文接收模块,用于接收目标报文;
安全组判断模块,用于判断第一类安全组和第二类安全组中是否存在相同的安全组,其中,所述第一类安全组与所述目标报文的源虚拟机之间存在访问控制关系,所述第二类安全组为与所述目标报文的目的虚拟机之间存在访问控制关系;
报文发送模块,用于在所述安全组判断模块的结果为是的情况下,向所述目的虚拟机发送所述目标报文。
12.根据权利要求11所述的装置,其特征在于,所述装置还包括:
会话匹配模块,用于在所述安全组判断模块的结果为否的情况下,针对所述源虚拟机和所述目的虚拟机,进行会话匹配;若会话匹配成功,触发所述报文发送模块。
13.根据权利要求12所述的装置,其特征在于,所述装置还包括:
规则匹配模块,用于在所述会话匹配模块匹配失败的情况下,根据所述第一类安全组与所述第二类安全组,针对所述源虚拟机和所述目的虚拟机,进行安全组访问控制规则匹配;若安全组访问控制规则匹配成功,触发所述报文发送模块;若安全组访问控制规则匹配失败,触发报文丢弃模块;
所述报文丢弃模块,用于丢弃所述目标报文。
14.根据权利要求13所述的装置,其特征在于,所述装置还包括:
会话建立模块,用于在所述报文发送模块向所述目的虚拟机发送所述目标报文之后,建立所述源虚拟机与所述目的虚拟机间的会话。
15.根据权利要求10所述的装置,其特征在于,所述安全组判断模块,具体用于:
判断所述目标报文的发送路径是否为第一目标路径,所述第一目标路径为由所述宿主机以外的其他宿主机发送至本地的虚拟机;
若是,解析所述目标报文,并根据解析结果,获得匹配结果标识信息,判断所述匹配结果标识信息是否为第一预设值,如果是,判定所述第一类安全组和第二类安全组中存在相同安全组,如果否,判定所述第一类安全组和第二类安全组中不存在相同安全组。
16.根据权利要求10所述的装置,其特征在于,还包括:
信息写入模块,用于在所述报文发送模块发送所述目标报文之前,判断所述目标报文的发送路径是否为第二目标路径,所述第二目标路径为由本地的虚拟机发送至所述宿主机以外的其他宿主机;若是,将第二预设值写入所述目标报文,其中,所述第二预设值为用于表明所述第一类安全组和所述第二类安全组中存在相同安全组的值。
CN201610944504.8A 2016-10-26 2016-10-26 一种基于安全组的访问控制方法及装置 Active CN107995144B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610944504.8A CN107995144B (zh) 2016-10-26 2016-10-26 一种基于安全组的访问控制方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610944504.8A CN107995144B (zh) 2016-10-26 2016-10-26 一种基于安全组的访问控制方法及装置

Publications (2)

Publication Number Publication Date
CN107995144A CN107995144A (zh) 2018-05-04
CN107995144B true CN107995144B (zh) 2020-11-06

Family

ID=62029019

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610944504.8A Active CN107995144B (zh) 2016-10-26 2016-10-26 一种基于安全组的访问控制方法及装置

Country Status (1)

Country Link
CN (1) CN107995144B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108718320B (zh) * 2018-06-14 2021-03-30 浙江远望信息股份有限公司 一种以同类同配置物联网设备合规数据包交集形成数据包通信白名单的方法
CN111224922A (zh) * 2018-11-26 2020-06-02 顺丰科技有限公司 分布式安全组模块访问控制方法、***
CN111277611B (zh) * 2020-02-25 2022-11-22 深信服科技股份有限公司 一种虚拟机联网控制方法、装置、电子设备及存储介质
CN115175194A (zh) * 2021-03-19 2022-10-11 华为技术有限公司 安全通信的方法和装置
CN113810283A (zh) * 2021-09-16 2021-12-17 中国联合网络通信集团有限公司 网络安全配置方法、装置、服务器及存储介质
WO2024037619A1 (zh) * 2022-08-18 2024-02-22 华为云计算技术有限公司 一种基于云计算技术的虚拟实例创建方法和云管理平台
CN115794316A (zh) * 2023-02-03 2023-03-14 青软创新科技集团股份有限公司 用于搭建云计算实验环境的方法、设备、介质及程序产品

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103581183A (zh) * 2013-10-30 2014-02-12 华为技术有限公司 一种虚拟化安全隔离方法与装置
CN104007997A (zh) * 2013-02-22 2014-08-27 中兴通讯股份有限公司 虚拟机安全组的配置方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
FR2958478B1 (fr) * 2010-04-02 2012-05-04 Sergio Loureiro Procede de securisation de donnees et/ou des applications dans une architecture informatique en nuage

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104007997A (zh) * 2013-02-22 2014-08-27 中兴通讯股份有限公司 虚拟机安全组的配置方法及装置
CN103581183A (zh) * 2013-10-30 2014-02-12 华为技术有限公司 一种虚拟化安全隔离方法与装置

Also Published As

Publication number Publication date
CN107995144A (zh) 2018-05-04

Similar Documents

Publication Publication Date Title
CN107995144B (zh) 一种基于安全组的访问控制方法及装置
CN109565500B (zh) 按需安全性架构
CN105591973B (zh) 应用识别方法及装置
US7107609B2 (en) Stateful packet forwarding in a firewall cluster
US20160301603A1 (en) Integrated routing method based on software-defined network and system thereof
US10178129B2 (en) Network security method and device
US11075980B2 (en) Method for operating a node cluster system in a network and node cluster system
US20130294449A1 (en) Efficient application recognition in network traffic
US20090113517A1 (en) Security state aware firewall
US10498618B2 (en) Attributing network address translation device processed traffic to individual hosts
US10749997B2 (en) Prefix matching based packet processing method, switching apparatus, and control apparatus
CN103763194A (zh) 一种报文转发方法及装置
CN106506515B (zh) 一种认证方法和装置
US8082333B2 (en) DHCP proxy for static host
EP1739921A1 (en) Progressive wiretap
WO2017124712A1 (zh) 报文生成方法、报文转发方法及装置
US10785147B2 (en) Device and method for controlling route of traffic flow
US7461140B2 (en) Method and apparatus for identifying IPsec security policy in iSCSI
US8443359B2 (en) Method and system for providing a filter for a router
US11665202B2 (en) Method device and system for policy based packet processing
US8185642B1 (en) Communication policy enforcement in a data network
CN113518032A (zh) 基于SRv6的用户可信标识携带方法及***
CN106067864B (zh) 一种报文处理方法及装置
CN109905325A (zh) 一种流量引导方法及流量识别设备
CN117857668A (zh) 一种上网行为管理方法、装置及上网行为管理设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant