[发明专利]应用防火墙策略的方法、软件定义网络控制器和介质

说明书

本申请涉及应用防火墙策略的方法、软件定义网络控制器和介质。公开了一种执行应用感知防火墙策略的数据中心的软件定义网络(SDN)控制器。在一个示例中，SDN控制器接收请求以初始化应用的实例，SDN控制器响应于接收请求向定位在数据中心的SDN网关设备与数据中心外部的网络之间的防火墙组件发送消息。在一些示例中，消息包括与应用的实例对应的应用签名以及与应用签名对应的应用防火墙策略。消息指示防火墙组件安装应用防火墙策略以应用于应用的实例的网络流量。

技术领域

本公开总体上涉及计算机网络，并且更具体地涉及在虚拟网络内配置防火墙策略。

背景技术

云数据中心是为外部客户提供对虚拟化应用、服务和数据存储的访问的数据中心。在典型的云数据中心环境中，存在大量互连服务器，其提供运行各种应用的计算(例如，计算节点)和/或存储容量。例如，云数据中心包括为云数据中心的客户托管虚拟化应用和服务的设施。例如，云数据中心托管所有基础设施设备，诸如，网络和存储系统、冗余电源和环境控制。在典型的云数据中心中，存储系统和应用服务器的集群通过由一层或多层物理网络交换机和路由器提供的高速交换结构互连。更复杂的云数据中心提供遍布全球的基础设施，其中订户支持设备位于各种物理托管设施中。

软件定义网络(SDN)平台可以用于云数据中心，并且在某些情况下，可以使用逻辑上集中且物理上分散的SDN控制器以及在虚拟路由器中的分布式转发平面，这些虚拟路由器将来自云数据中心中的物理路由器和交换机的网络扩展为托管在虚拟化服务器中的虚拟覆盖网络。SDN控制器提供虚拟化网络的管理、控制和分析功能，并通过与虚拟路由器通信来编排虚拟路由器。

发明内容

总体上，本公开描述了由数据中心的SDN控制器执行应用感知防火墙策略的技术。在一些示例中，响应于接收到来自用户的访问云数据中心内的虚拟化应用的请求，SDN控制器将云数据中心的一个或多个计算节点上执行的虚拟机内的应用实例化。在实例化过程中，SDN控制器将通用和用户特定的配置应用于应用，诸如，网络和防火墙策略。应用可能被多次实例化和销毁，每次都需要重新配置和重新应用网络和防火墙策略。根据本公开的技术，SDN控制器可以确定应用的防火墙策略，并且利用防火墙策略配置位于数据中心的SDN网关外部的防火墙组件。防火墙组件可以将防火墙策略应用于应用的网络流量。

本文中公开的技术的一个示例包括在云数据中心内执行应用感知防火墙策略的SDN控制器。在一个示例中，SDN控制器从用户接收请求以初始化在云数据中心的一个或多个计算节点上执行的一个或多个虚拟机内的应用的实例。SDN控制器从防火墙组件请求与应用的实例对应的应用签名。SDN控制器从SDN控制器的应用防火墙策略库中检索与应用签名对应的应用防火墙策略。SDN控制器规定防火墙组件中的应用防火墙策略，并且防火墙组件将应用防火墙策略应用于应用的实例的网络流量。防火墙组件可以是物理设备或虚拟设备。在虚拟防火墙的示例中，虚拟防火墙可以存在于云数据中心的云内或云数据中心的云外。在物理防火墙的示例中，物理防火墙存在于云数据中心的云外，在云数据中心的SDN网关与外部网络之间。在不存在SDN网关的示例中，防火墙可以位于云与云数据中心的外部网关之间。

在一些示例中，如果SDN控制器的应用防火墙策略库中不存在与应用签名对应的应用防火墙策略，则SDN控制器生成与应用签名对应的应用防火墙策略。在其他示例中，SDN控制器从管理器接收与应用签名对应的应用防火墙策略。SDN控制器将应用防火墙策略存储在应用防火墙策略库中，以便SDN控制器可以将应用防火墙策略用于应用的后续实例。

因此，当SDN控制器第一次实例化应用的实例时，SDN控制器为应用构建网络和防火墙策略，并配置防火墙组件以将此类网络和防火墙策略应用于应用实例以及同一应用的后续实例。因此，SDN控制器可以创建应用特定的防火墙策略的集中库，并且可以在创建应用的实例时根据需要配置具有应用特定的防火墙策略的防火墙组件。本公开的技术可以简化防火墙组件的管理和配置。因此，本公开的技术可以允许SDN控制器提供用于配置和执行防火墙策略的可扩展且灵活的方法。