[发明专利]应用防火墙策略的方法、软件定义网络控制器和介质

权利要求书

1.一种应用防火墙策略的方法，包括：

由数据中心的软件定义网络控制器接收请求以初始化应用的实例；并且

响应于接收所述请求：

由所述软件定义网络控制器从定位在所述数据中心的软件定义网络网关设备与所述数据中心的外部网络之间的防火墙组件请求与所述应用的所述实例对应的应用签名；

由所述软件定义网络控制器从所述软件定义网络控制器的应用防火墙策略库中检索与所述应用签名对应的应用防火墙策略，所述应用防火墙策略待应用于所述应用的所述实例的网络流量；并且

由所述软件定义网络控制器向所述防火墙组件发送消息，所述消息包括：

与所述应用的所述实例对应的所述应用签名；以及

与所述应用签名对应的所述应用防火墙策略，

其中，所述消息指示所述防火墙组件安装所述应用防火墙策略以应用于所述应用的所述实例的网络流量。

2.根据权利要求1所述的方法，还包括：

由所述软件定义网络控制器确定所述应用防火墙策略库不包括与所述应用签名对应的所述应用防火墙策略；

由所述软件定义网络控制器生成所述应用防火墙策略；并且

将所述应用防火墙策略存储在所述应用防火墙策略库中。

3.根据权利要求1或2所述的方法，还包括：

由所述软件定义网络控制器接收限定所述应用防火墙策略的数据；并且

将所述应用防火墙策略存储在所述应用防火墙策略库中。

4.根据权利要求1或2所述的方法，其中，所述应用的所述实例包括所述应用的第一实例，并且与所述应用的所述实例对应的所述应用签名包括与所述应用的所述第一实例对应的第一应用签名，

所述方法还包括：

由所述软件定义网络控制器接收请求以初始化所述应用的第二实例；

由所述软件定义网络控制器从所述防火墙组件请求与所述应用的所述第二实例对应的第二应用签名，其中，所述第二应用签名与所述第一应用签名相同；

由所述软件定义网络控制器从所述软件定义网络控制器的所述应用防火墙策略库中检索所述应用防火墙策略；并且

由所述软件定义网络控制器向所述防火墙组件提供所述应用防火墙策略。

5.根据权利要求1或2所述的方法，其中，所述应用签名识别所述应用的类型或所述应用的版本号中的至少一项。

6.根据权利要求1或2所述的方法，其中，所述应用防火墙策略限定以下各项中的至少一项：

一个或多个网络地址，所述应用被禁止向这一个或多个网络地址发送网络流量；

一个或多个网络地址，所述应用被禁止从这一个或多个网络地址接收网络流量；

一个或多个网络地址，所述应用被允许向这一个或多个网络地址发送网络流量；或者

一个或多个网络地址，所述应用被允许从这一个或多个网络地址接收网络流量。

7.根据权利要求1或2所述的方法，其中，所述应用是在虚拟机内执行的虚拟应用，并且其中，所述数据中心的一个或多个计算节点执行所述虚拟机。

8.根据权利要求1或2所述的方法，其中，所述消息包括第一消息，所述方法还包括：

由所述软件定义网络控制器向所述防火墙组件发送第二消息，所述第二消息包括：

与所述应用的所述实例对应的所述应用签名；以及

与所述应用签名对应的所述应用防火墙策略，

其中，所述第二消息指示所述防火墙组件移除与所述应用的所述实例对应的所述应用防火墙策略。