[发明专利]基于openstack云平台的软件定义防火墙的部署优化方法

说明书

本发明公开了一种基于openstack云平台的软件定义防火墙的部署优化方法，以防火墙作为FWAAS标准接口的具体实现模块；以租户业务划分业务安全域；独立的业务安全域内实现安全资源池化管理；安全资源池内的安全资源采用预分配机制；使用优化调度模块，能够根据租户对流量的需求，在创建防火墙时，动态地在安全业务域内选取节点，将防火墙实例部署在满足租户需求的安全节点内。本发明方法能够快速响应租户对安全业务的需求；通过优化调度模块为Openstack的FWAAS提供了快速部署安全业务的能力；通过业务安全域模块，分离了不同业务对应的安全需求，租户能够快速获取防火墙实例，从而快速配置安全策略，避免Openstack原有方案中存在防火墙实例部署慢、响应不及时等问题。

技术领域

本发明属于网络安全防护领域，尤其涉及一种基于openstack云平台的软件定义防火墙的部署优化方法。

背景技术

随着云计算的普及，软件定义的数据中心带来的IT变革势不可挡，为此带来的IT效能提升、IT成本的节约已经让各大企事业单位、运营商受益，但同时也使得传统数据中心的网络安全体系架构不再适用云化后的数据中心，软件定义安全(Software DefinedSecurity，SDS)这一概念，其原理是将物理或者虚拟的网络安全设备与其接入模式、部署方式、实现功能进行了解耦，底层抽象为安全资源池里的资源，顶层统一通过软件编程的方式进行智能化、自动化的业务编排和管理，以完成相应的安全功能，从而实现一种灵活的安全防护。

软件定义安全不仅仅为安全设备融合到云化数据中心提供解决方案，其架构模式更能够提高安全设备的运行效能、降低安全设备的运营成本，同时也可将软件定义安全这一新技术运用于传统数据中心，使传统数据中心同样获益。

OpenStack作为开源云计算框架，已经被越来越多的云计算厂商纳入产品体系中，华为、中兴、HP等国内外云计算厂商也纷纷推出基于OpenStack的云计算产品与解决方案；同时，许多知名研究机构以及企业也纷纷应用OpenStack到生产环境中，比如：CERN、NTT、中国移动等。

OpenStack作为一种云计算框架，虽然具备软件定义防火墙(FWaaS)的能力，但是防火墙作为一种安全资源，仅是简单地对防火墙进行了实例化，没有对防火墙实例做优化部署与调度，安全资源部署较慢，部署分布不合理，无法满足租户对安全业务的快速响应。

从OpenStack防火墙的部署角度看，租户所有的虚拟路由器都集中部署在OpenStack中的网络节点上，而防火墙实例实际就是虚拟路由器，网络节点不仅提供虚拟路由服务，还同时提供dhcp、metadata服务；大量集中地将防火墙实例部署在网络节点上，会存在部署瓶颈，从租户的业务角度讲，也存在流量瓶颈。

发明内容

本发明针对OpenStack FWAAS的FWaaS存在的部署与调度不合理问题，提出一种优化解决方案，通过一种分域安全资源池，根据租户的不同业务场景，进行独立的安全业务域划分，将所需要的防火墙实例部署到对应的安全业务域中，避免原有的集中部署到同一个节点上；针对每一个安全业务域，内部实现池化管理，提出一种动态可扩展的安全资源调度方法，使得防火墙实例能够快速完成调度与部署，快速满足租户对安全业务的需求。

本发明的目的是通过以下技术方案来实现的：一种基于openstack云平台的软件定义防火墙的部署优化方法，该方法包括：

1)以防火墙作为FWAAS标准接口的具体实现模块，FWAAS原有支持的防火墙接口通过该防火墙实现；

2)租户通过业务安全域模块根据其自身的业务划分业务安全域，每一个业务安全域都具有独立的业务安全目标，能够独立的进行安全业务的配置、实施、管理和运营；

3)独立的业务安全域内，实现安全资源池化管理，一个安全资源池由一个或者多个安全节点构成，安全节点的规格，根据实际情况进行调整，满足租户对安全业务的需求；