CN113329022A - 一种虚拟防火墙的信息处理方法及电子设备 - Google Patents
一种虚拟防火墙的信息处理方法及电子设备 Download PDFInfo
- Publication number
- CN113329022A CN113329022A CN202110598565.4A CN202110598565A CN113329022A CN 113329022 A CN113329022 A CN 113329022A CN 202110598565 A CN202110598565 A CN 202110598565A CN 113329022 A CN113329022 A CN 113329022A
- Authority
- CN
- China
- Prior art keywords
- virtual firewall
- address
- request message
- target
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种虚拟防火墙的信息处理方法及电子设备,所述方法应用于具有多个虚拟防火墙的电子设备中,所述方法包括:当目标虚拟防火墙接收到用户端发送的请求报文时,确定所述请求报文类型;在确定所述请求报文类型为目标类型的情况下,所述目标虚拟防火墙将所述请求报文发送至第一虚拟防火墙,使所述第一虚拟防火墙进行应答,其中,所述第一虚拟防火墙上部署有远程管理服务,用于应答所述目标类型的请求报文,所述目标虚拟防火墙的管理接口均分配有IP地址;所述目标虚拟防火墙接收由所述第一虚拟防火墙发送的应答报文,并将所述应答报文转发至所述用户端。本发明虚拟防火墙的信息处理方法能够有效管理虚拟机防火墙,保证虚拟防火墙整机稳定性。
Description
技术领域
本发明实施例涉及智能设备领域,特别涉及一种虚拟防火墙的信息处理方法及电子设备。
背景技术
随着企业规模的不断壮大,部门,分支机构的增多,各部门和分支机构间的职能和权责划分也越来越细,且对安全需求也多样化起来。为了满足不同的安全需求,企业需要增加防火墙的部署量。如果全部部署为物理防火墙成本会很高,显然不可取。
为了降低企业成本,企业一般会采购支持虚拟技术的防火墙,在一台物理防火墙上虚拟出多台虚拟防火墙的设备来满足需求,每台虚拟防火墙可以看作是一***立的防火墙设备来使用。当一台物理设备虚拟出的虚拟防火墙过多时,对防火墙整机的性能和稳定性就提出了更高的要求。其中虚拟防火墙的本地管理对防火墙整机的性能和稳定性带来了不少负面的影响。
目前,虚拟防火墙的本地管理通常采用的方案包括利用namespace技术来解决远程管理服务的虚拟化,或利用IP协议栈的技术来解决远程管理服务的虚拟化。可是,利用namespace(命名空间)技术,需要在每个虚拟防火墙下启动远程管理服务,如此会导致服务冗余,从而影响防火墙的整机性能。而若利用IP协议栈将远程管理服务移植到IP协议栈上,极有可能导致远程管理服务以及IP协议栈都不稳定,从而更加影响防火墙整机***的稳定性。
发明内容
本发明提供了一种能够有效管理虚拟机防火墙,保证物理防火墙整机稳定性的虚拟防火墙的信息处理方法。
本发明实施例提供了一种虚拟防火墙的信息处理方法,应用于电子设备中,所述电子设备中具有多个虚拟防火墙,所述方法包括:
当目标虚拟防火墙接收到用户端发送的请求报文时,确定所述请求报文类型;
在确定所述请求报文类型为目标类型的情况下,所述目标虚拟防火墙将所述请求报文发送至第一虚拟防火墙,使所述第一虚拟防火墙进行应答,其中,所述第一虚拟防火墙上部署有远程管理服务,用于应答所述目标类型的请求报文,所述目标虚拟防火墙的管理接口均分配有IP地址;
所述目标虚拟防火墙接收由所述第一虚拟防火墙发送的应答报文,并将所述应答报文转发至所述用户端。
可选地,在所述目标虚拟防火墙接收到用户端发送的请求报文之前,还包括:
在物理防火墙处于启动状态下,对每个虚拟防火墙的管理接口分配IP地址;
在所述第一虚拟防火墙上部署所述远程管理服务。
可选地,所述IP地址包括所述管理接口的内部IP地址以及管理IP地址。
可选地,所述当目标虚拟防火墙接收到用户端发送的请求报文时,确定所述请求报文类型,包括:
当目标虚拟防火墙接收到用户端发送的请求报文时,确定所述请求报文的目的IP地址与所述目标虚拟防火墙的管理IP地址是否一致,若一致,则确定所述请求报文的类型为所述目标类型。
可选地,所述在确定所述请求报文类型为目标类型的情况下,所述目标虚拟防火墙将所述请求报文发送至第一虚拟防火墙,包括:
所述目标虚拟防火墙在确定请求报文类型为目标类型的情况下,将所述请求报文的源IP地址转换为所述目标虚拟防火墙的内部IP地址,并将所述请求报文的目的IP地址转换为所述第一虚拟防火墙的内部IP地址;
转换所述请求报文的源端口的IP地址为所述目标虚拟防火墙的内部IP地址;
记录本次对所述请求报文的地址转换信息;
将地址转换后的所述请求报文发送至所述第一虚拟防火墙。
可选地,所述方法还包括:
所述第一虚拟防火墙接收并处理所述请求报文,以生成所述应答报文;
所述第一虚拟防火墙根据接收到的所述请求报文的IP地址确定所述应答报文的目的IP地址为所述目标虚拟防火墙的内部IP地址;
所述第一虚拟防火墙基于确定的所述目的IP地址将所述应答报文发送至所述目标虚拟防火墙。
可选地,所述目标虚拟防火墙接收由所述第一虚拟防火墙发送的应答报文,并将所述应答报文转发至所述用户端,包括:
所述目标虚拟防火墙接收到所述应答报文后,基于记录的所述请求报文的地址转换信息将所述应答报文的IP地址及源端口的IP地址分别对应还原为所述请求报文携带的IP地址;
基于所述请求报文携带的IP地址将地址还原后的所述应答报文发送至所述用户端。
本发明另一实施例同时提供一种电子设备,包括物理防火墙,以及多个虚拟防火墙,所述多个虚拟包括:
第一虚拟防火墙,其上部署有远程管理服务,用于应答目标类型的请求报文,生成并转发应答报文;
目标虚拟防火墙,其用于在接收到用户端发送的请求报文时,确定所述请求报文类型,在确定所述请求报文类型为所述目标类型的情况下,将所述请求报文发送至第一虚拟防火墙,使所述第一虚拟防火墙进行应答,其中,所述目标虚拟防火墙的管理接口均分配有IP地址,在所述目标虚拟防火墙接收到由所述第一虚拟防火墙发送的应答报文后,将所述应答报文转发至所述用户端。
可选地,还包括:
处理器,其用于在物理防火墙处于启动状态下,对每个所述虚拟防火墙的管理接口分配IP地址,并在所述第一虚拟防火墙上部署所述远程管理服务。
可选地,所述IP地址包括所述管理接口的内部IP地址以及管理IP地址。
基于上述实施例的公开可以获知,本发明实施例具备的有益效果包括指定第一虚拟防火墙部署有远程管理服务,同时对每个虚拟防火墙的管理接口分配IP地址,当目标虚拟防火墙接收到请求报文,并确定该请求报文的类型为目标类型时,则将重定向至第一虚拟防火墙中,使第一虚拟防火墙基于远程管理服务处理该请求报文,生成应答报文。目标虚拟防火墙接收到该应答报文后,便可将该应答报文转发至用户端。由于并不是每个虚拟防火墙均部署有远程管理服务,故有效避免了服务冗余,也无需借由第三方物理设备或虚拟设备来提供远程管理服务,因此能够有效提高虚拟防火墙,物理防火墙的整机稳定性及性能。
附图说明
图1为根据一示例性实施例示出的虚拟防火墙的信息处理方法的方法流程图。
图2为根据一示例性实施例示出的虚拟防火墙的信息处理方法的方法流程图。
图3为根据一示例性实施例示出的虚拟防火墙的信息处理方法的方法流程图。
图4为根据一示例性实施例示出的虚拟防火墙的信息处理方法的方法流程图。
图5为根据一示例性实施例示出的电子设备的结构框图。
具体实施方式
下面,结合附图对本发明的具体实施例进行详细的描述,但不作为本发明的限定。
应理解的是,可以对此处公开的实施例做出各种修改。因此,下述说明书不应该视为限制,而仅是作为实施例的范例。本领域的技术人员将想到在本公开的范围和精神内的其他修改。
包含在说明书中并构成说明书的一部分的附图示出了本公开的实施例,并且与上面给出的对本公开的大致描述以及下面给出的对实施例的详细描述一起用于解释本公开的原理。
通过下面参照附图对给定为非限制性实例的实施例的优选形式的描述,本发明的这些和其它特性将会变得显而易见。
还应当理解,尽管已经参照一些具体实例对本发明进行了描述,但本领域技术人员能够确定地实现本发明的很多其它等效形式,它们具有如权利要求所述的特征并因此都位于借此所限定的保护范围内。
当结合附图时,鉴于以下详细说明,本公开的上述和其他方面、特征和优势将变得更为显而易见。
此后参照附图描述本公开的具体实施例;然而,应当理解,所公开的实施例仅仅是本公开的实例,其可采用多种方式实施。熟知和/或重复的功能和结构并未详细描述以避免不必要或多余的细节使得本公开模糊不清。因此,本文所公开的具体的结构性和功能性细节并非意在限定,而是仅仅作为权利要求的基础和代表性基础用于教导本领域技术人员以实质上任意合适的详细结构多样地使用本公开。
本说明书可使用词组“在一种实施例中”、“在另一个实施例中”、“在又一实施例中”或“在其他实施例中”,其均可指代根据本公开的相同或不同实施例中的一个或多个。
下面,结合附图详细的说明本发明实施例。
图1为根据一示例性实施例示出的虚拟防火墙的信息处理方法的方法流程图,如图1所示,本发明实施例提供一种虚拟防火墙的信息处理方法,应用于电子设备中,该电子设备中具有多个虚拟防火墙,所述方法包括:
当目标虚拟防火墙的管理接口接收到用户端发送的请求报文时,确定请求报文类型,所述目标虚拟防火墙的管理接口分配有IP地址;
在确定请求报文类型为目标类型的情况下,目标虚拟防火墙将请求报文发送至第一虚拟防火墙,使第一虚拟防火墙进行应答,其中,第一虚拟防火墙上部署有远程管理服务,用于应答目标类型的请求报文;
目标虚拟防火墙的管理接口接收由第一虚拟防火墙发送的应答报文,并将应答报文转发至用户端。
例如,电子设备上基于物理防火墙而创建了多个虚拟防火墙,该多个虚拟防火墙中,仅第一虚拟防火墙配置有远程管理服务,如可以是基于ssh协议(Secure Shell,安全外壳协议)、telnet协议等实现远程管理服务。而其余虚拟防火墙,则不配置该项服务。其中,第一虚拟防火墙的设置数量不定,可以为一个,也可以为多个,具体可根据实际管理需求而定,如虚拟防火墙过多时,可增加第一虚拟防火墙的数量,反之,若虚拟防火墙较少时,则可减少第一虚拟防火墙的数量。每个创建的虚拟防火墙均具有管理接口,且均分配有IP地址,以用于表征各个虚拟防火墙的身份,并实现报文的接收及转发。当用户基于用户端向目标虚拟防火墙发送请求报文时,如用户基于用户端上的ssh向目标虚拟防火墙发送请求报文时,该目标虚拟防火墙会确定该请求报文的类型,当确定为目标类型时,则将其重定向至第一虚拟防火墙,使第一虚拟防火墙对该请求报文进行处理,并生成应答报文,接着,第一虚拟防火墙基于目标虚拟防火墙的IP地址将应答报文发送至目标虚拟防火墙,使其将该应答报文转发至客户端。
基于上述内容可以获知,本实施例具备的有益效果包括指定第一虚拟防火墙部署有远程管理服务,同时对每个虚拟防火墙的管理接口分配IP地址,当目标虚拟防火墙接收到请求报文,并确定该请求报文的类型为目标类型时,则将重定向至第一虚拟防火墙中,使第一虚拟防火墙基于远程管理服务处理该请求报文,生成应答报文。目标虚拟防火墙接收到该应答报文后,便可将该应答报文转发至用户端。由于本实施例中的多个虚拟防火墙并不是均部署有远程管理服务,仅第一虚拟防火墙具有该服务,故有效避免了服务冗余,降低了各个虚拟防火墙的应答负荷,而且也无需借由第三方物理设备或虚拟设备来提供远程管理服务,进而避免了因第三方设备的不稳定而影响虚拟防火墙整机稳定性的现象,因此基于本实施例的方法能够有效提高虚拟防火墙,以及物理防火墙的整机稳定性及性能。
进一步地,本实施例中在目标虚拟防火墙接收到用户端发送的请求报文之前,还包括:
在物理防火墙处于启动状态下,对每个虚拟防火墙的管理接口分配IP地址;
在第一虚拟防火墙上部署远程管理服务。
本实施例中的IP地址包括管理接口的内部IP地址以及管理IP地址,远程管理服务可以基于ssh协议(Secure Shell,安全外壳协议)、telnet协议等实现,也可为其他能够实现远程管理服务的应用程序实现,具体不定。具体应用时,可在物理防火墙处于启动状态下、本地管理资源初始化时,为每个虚拟防火墙的管理接口分配一唯一的内部IP地址,以及管理IP地址,并在第一虚拟防火墙上添加对应的静态neigh,并配置、启动ssh、telnet等服务。
进一步地,本实施例中,当目标虚拟防火墙的管理接口接收到用户端发送的请求报文时,确定请求报文类型,包括:
当目标虚拟防火墙接收到用户端发送的请求报文时,确定请求报文的目的IP地址与目标虚拟防火墙的管理IP地址是否一致,若一致,则确定请求报文的类型为目标类型。
例如,目标虚拟防火墙实际上可以接收到多种不同类型的报文,有些报文需要目标虚拟防火墙自行处理,如所负责的网络区域中产生的关于网络安全的报文,则需要由该目标虚拟防火墙自行处理。故,为了区分接收到的报文,本实施例中的目标虚拟防火墙需要对接收的报文进行类型判断,当判断为目标类型时,如管理类请求报文时,则确定,该报文需交由第一虚拟防火墙处理。实际应用时,目标虚拟防火墙可通过判断请求报文的目的IP地址是否与自身的管理接口的管理IP一致,若一致,则可确定为目标类型,需交由第一虚拟防火墙处理。
进一步地,如图2所示,本实施例中在确定请求报文类型为目标类型的情况下,目标虚拟防火墙将请求报文发送至第一虚拟防火墙,包括:
目标虚拟防火墙在确定请求报文类型为目标类型的情况下,将请求报文的源IP地址转换为目标虚拟防火墙的内部IP地址,并将请求报文的目的IP地址转换为第一虚拟防火墙的内部IP地址;
转换请求报文的源端口的IP地址为目标虚拟防火墙的内部IP地址;
记录本次对请求报文的地址转换信息;
将地址转换后的请求报文发送至第一虚拟防火墙。
具体地,当目标虚拟防火墙确定请求报文类型为目标类型时,需要对请求报文的源IP地址进行网络地址转换,具体可以基于NAT(Network Address Translation,网络地址转换)协议实现。实际应用时,目标虚拟防火墙会确定请求报文的源IP地址,源端口地址,以及目的IP地址,然后将源IP地址、源端口地址均修改为自身管理接口的内部IP地址,然后将目的IP地址转换为第一虚拟服务器的管理接口的内部IP地址。同时记录对应该请求报文的地址转换信息,即,请求报文及源端口的源IP地址改为何地址,目的IP地址改为何地址。待地址转换完成后,目标虚拟防火墙便可将该请求报文发送至第一虚拟防火墙的管理接口中。
可选地,本实施例中的方法还包括:
第一虚拟防火墙接收并处理请求报文,以生成应答报文;
第一虚拟防火墙根据接收到的请求报文的IP地址确定应答报文的目的IP地址为目标虚拟防火墙的内部IP地址;
第一虚拟防火墙基于确定的目的IP地址将应答报文发送至目标虚拟防火墙。
例如,第一虚拟防火墙的管理接口接收到请求报文后,会对其进行处理,并生成应答报文。接着第一虚拟防火墙需要确定接收到的请求报文的源IP地址,经核实后可确定该源IP地址为目标虚拟防火墙的内部IP地址,此时,第一虚拟防火墙便可知确定应答报文的目的IP地址为目标虚拟防火墙的内部IP地址,也即,该应答报文需发送至目标虚拟防火墙中,进而完成应答报文的发送。
进一步地,本实施例中的目标虚拟防火墙接收由第一虚拟防火墙发送的应答报文,并将应答报文转发至用户端,包括:
目标虚拟防火墙接收到应答报文后,基于记录的请求报文的地址转换信息将应答报文的IP地址及源端口的IP地址分别对应还原为请求报文携带的IP地址;
基于请求报文携带的IP地址将地址还原后的应答报文发送至用户端。
具体地,当目标虚拟防火墙接收到应答报文后,会查找对应的请求报文的地址转换记录信息,接着基于地址转换记录信息,将应答报文的源端口及目的IP地址还原为原请求报文的源IP地址,接着将应答报文的源IP地址转换为目标虚拟防火墙的管理IP地址,待地址转换完成后,便可将该应答报文发送至用户端,实现响应。
为了更详细地介绍本实施例的方法,以下结合具体实例进行说明:
具体实施:
本实施以三个虚拟防火墙为例进行实施说明,具体包括:
1)物理防火墙启动后分别给虚拟防火墙的管理接口分配内部IP地址:eth0:10.1.1.254、eth1:10.1.1.1、eth2:10.1.1.2。同时配置虚拟防火墙的管理接口的管理IP地址:eth0:2.2.2.1、eth1:1.1.1.1、eth2:1.1.1.2。虚拟防火墙本地管理部署可参考图3和图4。
2)用户(1.1.1.3)通过SSH管理虚拟防火墙1(即目标虚拟防火墙),并发起请求1.1.1.3∶9090→1.1.1.1∶22。
3)虚拟防火墙1收到请求报文后,确定请求报文的目的IP地址与自身的管理接口的管理IP地址相同时,则确定需将请求报文重定向到第一虚拟防火墙。
4)虚拟防火墙1对请求报文做源IP地址及目的IP地址的NAT转换,具体为将请求报文的源IP地址转换为虚拟防火墙1的内部IP地址,源端口也需同步转换。接着将请求报文的目的IP地址转换为第一虚拟防火墙的内部IP地址。同时,虚拟防火墙1记录转换结果,经转换后的请求报文为:10.1.1.1∶898910.1.1.254∶22。
5)报文做NAT后把报文发送到第一虚拟防火墙,使第一虚拟防火墙做相应的请求应答处理,例如请求报文为关于管理流量的请求,则第一虚拟防火墙则进行流量控制,并据此生成应答报文。待报文处理后,第一虚拟防火墙根据接收的请求报文确定应答报文的目的IP地址,并经判断请求报文中的10.1.1.1属于虚拟防火墙1,故确定将应答报文发往虚拟防火墙1。
6)虚拟防火墙1收到应答报文后,查找记录的NAT转换结果,接着基于转换结果将应答报文的IP地址和端口还原为1.1.1.1∶221.1.1.3∶9090发送出去。
如图5所示,本发明同时提供一种电子设备,包括物理防火墙,以及多个虚拟防火墙,多个虚拟包括:
第一虚拟防火墙,其上部署有远程管理服务,用于应答目标类型的请求报文,生成并转发应答报文;
目标虚拟防火墙,其用于在接收到用户端发送的请求报文时,确定请求报文类型,在确定请求报文类型为目标类型的情况下,将请求报文发送至第一虚拟防火墙,使第一虚拟防火墙进行应答,其中,目标虚拟防火墙的管理接口均分配有IP地址,在目标虚拟防火墙接收到由第一虚拟防火墙发送的应答报文后,将应答报文转发至用户端。
本实施例具备的有益效果包括指定第一虚拟防火墙部署有远程管理服务,同时对每个虚拟防火墙的管理接口分配IP地址,当目标虚拟防火墙接收到请求报文,并确定该请求报文的类型为目标类型时,则将重定向至第一虚拟防火墙中,使第一虚拟防火墙基于远程管理服务处理该请求报文,生成应答报文。目标虚拟防火墙接收到该应答报文后,便可将该应答报文转发至用户端。由于本实施例中的多个虚拟防火墙并不是均部署有远程管理服务,仅第一虚拟防火墙具有该服务,故有效避免了服务冗余,降低了各个虚拟防火墙的应答负荷,而且也无需借由第三方物理设备或虚拟设备来提供远程管理服务,进而避免了因第三方设备的不稳定而影响虚拟防火墙整机稳定性的现象,因此基于本实施例的方法能够有效提高虚拟防火墙,以及物理防火墙的整机稳定性及性能。
可选地,本实施例的电子设备还包括:
处理器,其用于在物理防火墙处于启动状态下,对每个虚拟防火墙的管理接口分配IP地址,并在第一虚拟防火墙上部署远程管理服务。
可选地,本实施例中的IP地址包括管理接口的内部IP地址以及管理IP地址。
可选地,所述当目标虚拟防火墙的管理接口接收到用户端发送的请求报文时,确定所述请求报文类型,包括:
当目标虚拟防火墙的管理接口接收到用户端发送的请求报文时,确定所述请求报文的目的IP地址与所述目标虚拟防火墙的管理IP地址是否一致,若一致,则确定所述请求报文的类型为所述目标类型。
可选地,所述在确定所述请求报文类型为目标类型的情况下,所述目标虚拟防火墙将所述请求报文发送至第一虚拟防火墙,包括:
所述目标虚拟防火墙在确定请求报文类型为目标类型的情况下,将所述请求报文的源IP地址转换为所述目标虚拟防火墙的内部IP地址,并将所述请求报文的目的IP地址转换为所述第一虚拟防火墙的内部IP地址;
转换所述请求报文的源端口的IP地址为所述目标虚拟防火墙的内部IP地址;
记录本次对所述请求报文的地址转换信息;
将地址转换后的所述请求报文发送至所述第一虚拟防火墙。
可选地,本实施例的第一虚拟防火墙还用于:
所述第一虚拟防火墙接收并处理所述请求报文,以生成所述应答报文;
所述第一虚拟防火墙根据接收到的所述请求报文的IP地址确定所述应答报文的目的IP地址为所述目标虚拟防火墙的内部IP地址;
所述第一虚拟防火墙基于确定的所述目的IP地址将所述应答报文发送至所述目标虚拟防火墙。
可选地,所述目标虚拟防火墙的管理接口接收由所述第一虚拟防火墙发送的应答报文,并将所述应答报文转发至所述用户端,包括:
所述目标虚拟防火墙接收到所述应答报文后,基于记录的所述请求报文的地址转换信息将所述应答报文的IP地址及源端口的IP地址分别对应还原为所述请求报文携带的IP地址;
基于所述请求报文携带的IP地址将地址还原后的所述应答报文发送至所述用户端。
本发明另一实施例还提供一种电子装置,包括:
一个或多个处理模块;
存储模块,配置为存储一个或多个程序;
当该一个或多个程序被该一个或多个处理模块执行时,使得该一个或多个处理模块实现上述方法。
本申请一实施例还提供一种存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上所述的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
本申请实施例还提供了一种计算机程序产品,所述计算机程序产品被有形地存储在计算机可读介质上并且包括计算机可读指令,所述计算机可执行指令在被执行时使至少一个处理器执行诸如上文所述实施例中的方法。应理解,本实施例中的各个方案具有上述方法实施例中对应的技术效果,此处不再赘述。
需要说明的是,本申请的计算机存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读介质例如可以但不限于是电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储介质(RAM)、只读存储介质(ROM)、可擦式可编程只读存储介质(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储介质(CD-ROM)、光存储介质件、磁存储介质件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输配置为由指令执行***、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、天线、光缆、RF等等,或者上述的任意合适的组合。
应当理解,虽然本申请是按照各个实施例描述的,但并非每个实施例仅包含一个独立的技术方案,说明书的这种叙述方式仅仅是为清楚起见,本领域技术人员应当将说明书作为一个整体,各实施例中的技术方案也可以经适当组合,形成本领域技术人员可以理解的其他实施方式。
以上实施例仅为本发明的示例性实施例,不用于限制本发明,本发明的保护范围由权利要求书限定。本领域技术人员可以在本发明的实质和保护范围内,对本发明做出各种修改或等同替换,这种修改或等同替换也应视为落在本发明的保护范围内。
Claims (10)
1.一种虚拟防火墙的信息处理方法,应用于电子设备中,所述电子设备中具有多个虚拟防火墙,所述方法包括:
当目标虚拟防火墙的管理接口接收到用户端发送的请求报文时,确定所述请求报文类型,所述目标虚拟防火墙的管理接口分配有IP地址;
在确定所述请求报文类型为目标类型的情况下,所述目标虚拟防火墙将所述请求报文发送至第一虚拟防火墙,使所述第一虚拟防火墙进行应答,其中,所述第一虚拟防火墙上部署有远程管理服务,用于应答所述目标类型的请求报文;
所述目标虚拟防火墙的管理接口接收由所述第一虚拟防火墙发送的应答报文,并将所述应答报文转发至所述用户端。
2.根据权利要求1所述的方法,其中,在所述目标虚拟防火墙接收到用户端发送的请求报文之前,还包括:
在物理防火墙处于启动状态下,对每个虚拟防火墙的管理接口分配IP地址;
在所述第一虚拟防火墙上部署所述远程管理服务。
3.根据权利要求1所述的方法,其中,所述IP地址包括所述管理接口的内部IP地址以及管理IP地址。
4.根据权利要求3所述的方法,其中,所述当目标虚拟防火墙的管理接口接收到用户端发送的请求报文时,确定所述请求报文类型,包括:
当目标虚拟防火墙的管理接口接收到用户端发送的请求报文时,确定所述请求报文的目的IP地址与所述目标虚拟防火墙的管理IP地址是否一致,若一致,则确定所述请求报文的类型为所述目标类型。
5.根据权利要求3所述的方法,其中,所述在确定所述请求报文类型为目标类型的情况下,所述目标虚拟防火墙将所述请求报文发送至第一虚拟防火墙,包括:
所述目标虚拟防火墙在确定请求报文类型为目标类型的情况下,将所述请求报文的源IP地址转换为所述目标虚拟防火墙的内部IP地址,并将所述请求报文的目的IP地址转换为所述第一虚拟防火墙的内部IP地址;
转换所述请求报文的源端口的IP地址为所述目标虚拟防火墙的内部IP地址;
记录本次对所述请求报文的地址转换信息;
将地址转换后的所述请求报文发送至所述第一虚拟防火墙。
6.根据权利要求5所述的方法,其中,所述方法还包括:
所述第一虚拟防火墙接收并处理所述请求报文,以生成所述应答报文;
所述第一虚拟防火墙根据接收到的所述请求报文的IP地址确定所述应答报文的目的IP地址为所述目标虚拟防火墙的内部IP地址;
所述第一虚拟防火墙基于确定的所述目的IP地址将所述应答报文发送至所述目标虚拟防火墙。
7.根据权利要求5所述的方法,其中,所述目标虚拟防火墙的管理接口接收由所述第一虚拟防火墙发送的应答报文,并将所述应答报文转发至所述用户端,包括:
所述目标虚拟防火墙接收到所述应答报文后,基于记录的所述请求报文的地址转换信息将所述应答报文的IP地址及源端口的IP地址分别对应还原为所述请求报文携带的IP地址;
基于所述请求报文携带的IP地址将地址还原后的所述应答报文发送至所述用户端。
8.一种电子设备,包括物理防火墙,以及多个虚拟防火墙,所述多个虚拟防火墙包括:
第一虚拟防火墙,其上部署有远程管理服务,用于应答目标类型的请求报文,生成并转发应答报文;
目标虚拟防火墙,其用于在管理接口接收到用户端发送的请求报文时,确定所述请求报文类型,在确定所述请求报文类型为所述目标类型的情况下,将所述请求报文发送至第一虚拟防火墙,使所述第一虚拟防火墙进行应答,其中,所述目标虚拟防火墙的管理接口分配有IP地址,在所述目标虚拟防火墙的管理接口接收到由所述第一虚拟防火墙发送的应答报文后,将所述应答报文转发至所述用户端。
9.根据权利要求8所述的电子设备,其中,还包括:
处理器,其用于在物理防火墙处于启动状态下,对每个所述虚拟防火墙的管理接口分配IP地址,并在所述第一虚拟防火墙上部署所述远程管理服务。
10.根据权利要求8所述的电子设备,其中,所述IP地址包括所述管理接口的内部IP地址以及管理IP地址。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110598565.4A CN113329022B (zh) | 2021-05-31 | 2021-05-31 | 一种虚拟防火墙的信息处理方法及电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110598565.4A CN113329022B (zh) | 2021-05-31 | 2021-05-31 | 一种虚拟防火墙的信息处理方法及电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113329022A true CN113329022A (zh) | 2021-08-31 |
| CN113329022B CN113329022B (zh) | 2022-08-05 |
Family
ID=77422488
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110598565.4A Active CN113329022B (zh) | 2021-05-31 | 2021-05-31 | 一种虚拟防火墙的信息处理方法及电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113329022B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172695A (zh) * | 2021-11-22 | 2022-03-11 | 闪捷信息科技有限公司 | 串行防火墙报文转发方法、装置、设备及存储介质 |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104364761A (zh) * | 2012-06-15 | 2015-02-18 | 思杰***有限公司 | 用于在集群网络中转发流量的***和方法 |
| US20160205033A1 (en) * | 2013-09-22 | 2016-07-14 | Huawei Technologies Co., Ltd. | Pool element status information synchronization method, pool register, and pool element |
| CN105939356A (zh) * | 2016-06-13 | 2016-09-14 | 北京网康科技有限公司 | 一种虚拟防火墙划分方法和装置 |
| CN107733800A (zh) * | 2017-11-29 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种sdn网络报文传输方法及其装置 |
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | ***通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| CN108347481A (zh) * | 2018-01-31 | 2018-07-31 | 温州庄吉服饰有限公司 | 一种远程服务安全*** |
| CN108600415A (zh) * | 2018-05-28 | 2018-09-28 | 郑州云海信息技术有限公司 | 一种虚拟网络访问外网的方法、***及sdn控制器 |
| CN109962914A (zh) * | 2019-03-12 | 2019-07-02 | 杭州迪普科技股份有限公司 | 一种防火墙配置方法及装置 |
| CN109981367A (zh) * | 2019-03-28 | 2019-07-05 | 湖南大学 | 基于内网穿透的虚机paas服务管理的方法 |
| CN110365697A (zh) * | 2019-07-26 | 2019-10-22 | 新华三大数据技术有限公司 | 一种虚拟防火墙设置方法、装置、电子设备及存储介质 |
| CN110995768A (zh) * | 2019-12-31 | 2020-04-10 | 奇安信科技集团股份有限公司 | 构建及生成防火墙方法、装置、设备、介质及程序产品 |
| US20200356618A1 (en) * | 2019-02-25 | 2020-11-12 | Luminati Networks Ltd. | System and method for url fetching retry mechanism |
| CN112511439A (zh) * | 2020-11-25 | 2021-03-16 | 杭州迪普科技股份有限公司 | 数据转发方法、装置、设备及计算机可读存储介质 |
| CN112866214A (zh) * | 2021-01-04 | 2021-05-28 | 广州品唯软件有限公司 | 防火墙策略下发方法、装置、计算机设备和存储介质 |
-
2021
- 2021-05-31 CN CN202110598565.4A patent/CN113329022B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104364761A (zh) * | 2012-06-15 | 2015-02-18 | 思杰***有限公司 | 用于在集群网络中转发流量的***和方法 |
| US20160205033A1 (en) * | 2013-09-22 | 2016-07-14 | Huawei Technologies Co., Ltd. | Pool element status information synchronization method, pool register, and pool element |
| CN105939356A (zh) * | 2016-06-13 | 2016-09-14 | 北京网康科技有限公司 | 一种虚拟防火墙划分方法和装置 |
| CN107733800A (zh) * | 2017-11-29 | 2018-02-23 | 郑州云海信息技术有限公司 | 一种sdn网络报文传输方法及其装置 |
| CN107948205A (zh) * | 2017-12-31 | 2018-04-20 | ***通信集团江苏有限公司 | 防火墙策略生成方法、装置、设备及介质 |
| CN108347481A (zh) * | 2018-01-31 | 2018-07-31 | 温州庄吉服饰有限公司 | 一种远程服务安全*** |
| CN108600415A (zh) * | 2018-05-28 | 2018-09-28 | 郑州云海信息技术有限公司 | 一种虚拟网络访问外网的方法、***及sdn控制器 |
| US20200356618A1 (en) * | 2019-02-25 | 2020-11-12 | Luminati Networks Ltd. | System and method for url fetching retry mechanism |
| CN109962914A (zh) * | 2019-03-12 | 2019-07-02 | 杭州迪普科技股份有限公司 | 一种防火墙配置方法及装置 |
| CN109981367A (zh) * | 2019-03-28 | 2019-07-05 | 湖南大学 | 基于内网穿透的虚机paas服务管理的方法 |
| CN110365697A (zh) * | 2019-07-26 | 2019-10-22 | 新华三大数据技术有限公司 | 一种虚拟防火墙设置方法、装置、电子设备及存储介质 |
| CN110995768A (zh) * | 2019-12-31 | 2020-04-10 | 奇安信科技集团股份有限公司 | 构建及生成防火墙方法、装置、设备、介质及程序产品 |
| CN112511439A (zh) * | 2020-11-25 | 2021-03-16 | 杭州迪普科技股份有限公司 | 数据转发方法、装置、设备及计算机可读存储介质 |
| CN112866214A (zh) * | 2021-01-04 | 2021-05-28 | 广州品唯软件有限公司 | 防火墙策略下发方法、装置、计算机设备和存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114172695A (zh) * | 2021-11-22 | 2022-03-11 | 闪捷信息科技有限公司 | 串行防火墙报文转发方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113329022B (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11190375B2 (en) | Data packet processing method, host, and system | |
| EP3404878B1 (en) | Virtual network apparatus, and related method | |
| CN113326228B (zh) | 基于远程直接数据存储的报文转发方法、装置及设备 | |
| CN109302466B (zh) | 数据处理方法、相关设备及计算机存储介质 | |
| US10320788B2 (en) | Method for transferring authorization information, relay device, and server | |
| US10992637B2 (en) | Detecting hardware address conflicts in computer networks | |
| CN108259632B (zh) | 一种cgn实现方法及装置 | |
| CN111212134A (zh) | 一种请求报文处理方法、装置、边缘计算***和电子设备 | |
| US11870701B2 (en) | Data transmission method, switch, and site | |
| CN112583618B (zh) | 为业务提供网络服务的方法、装置和计算设备 | |
| US20240272932A1 (en) | Method and apparatus for live migration based on remote direct memory access, and device | |
| WO2020181735A1 (zh) | 一种提供网络地址转换nat服务的方法及控制器 | |
| CN112583655B (zh) | 数据传输方法、装置、电子设备及可读存储介质 | |
| WO2016008379A1 (zh) | 存储阵列自动化配置方法、装置及存储*** | |
| CN112968965B (zh) | Nfv网络节点的元数据服务方法、服务器及存储介质 | |
| CN112187958A (zh) | 微服务注册、发现转发的方法及装置 | |
| CN113329022B (zh) | 一种虚拟防火墙的信息处理方法及电子设备 | |
| CN114257651A (zh) | 请求响应方法、装置、网络设备及计算机可读存储介质 | |
| WO2024114022A1 (zh) | 会话控制方法、***及smf网元 | |
| CN113163024A (zh) | 报文处理方法、服务器及存储介质 | |
| CN113489775B (zh) | 一种基于vpp的七层负载均衡服务器及负载均衡方法 | |
| CN112511440B (zh) | 报文转发方法、***、存储介质和电子设备 | |
| CN114666846A (zh) | 一种通信方法及网关设备 | |
| WO2024001549A9 (zh) | 地址配置方法和电子设备 | |
| CN111641724B (zh) | 一种lvs负载均衡器在云下的应用方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |