一种基于OpenDaylight配置Firewall的方法及装置转让专利
申请号 : CN201710827086.9
文献号 : CN107529694B
文献日 : 2019-04-02
发明人 : 徐剑秋 , 熊常春
申请人 : 广州西麦科技股份有限公司
摘要 :
本发明公开了一种基于OpenDaylight配置Firewall的方法及装置,涉及通信技术领域。用以解决现有的Firewall配置需要人工配置,存在容易出现配置错误的问题。该方法包括:收到设备端发送的注册IP地址及设备信息请求信息,向控制器层发送所述注册IP地址及设备信息请求信息;收到向所述设备端配置Firewall的信息,为所述设备端添加源区域,所述源区域内包括至少一个目标区域和至少一个规则集;向所述控制层发送所述配置Firewall的请求信息,所述配置Firewall的请求信息中包括所述源区域,以使所述控制层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数。
权利要求 :
1.一种基于OpenDaylight配置Firewall的方法,其特征在于,包括:收到设备端发送的注册IP地址及设备信息请求信息,向控制器层发送所述注册IP地址及设备信息请求信息;
收到向所述设备端配置Firewall的信息,为所述设备端添加源区域,所述源区域内包括至少一个目标区域和至少一个规则集;向所述控制器层发送所述配置Firewall的请求信息,所述配置Firewall的请求信息中包括所述源区域,以使所述控制器层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数;
其中,所述以使所述控制器层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数,包括:所述控制器层解析所述配置Firewall的请求信息,分别调用所述控制器层的多个接口设置验证所述配置Firewall的请求信息内携带的多个参数,将符合格式要求的多个所述参数转换为具有南向接口的Firewall配置参数,并向所述设备端发送所述Firewall配置参数。
2.如权利要求1所述的方法,其特征在于,所述设备端对应至少一个所述源区域;所述规则集内设置多条访问规则。
3.如权利要求1所述的方法,其特征在于,所述向控制器层发送所述注册IP地址及设备信息请求信息,包括:将所述注册IP地址及设备信息请求信息发送至通讯接口层,所述注册IP地址及设备信息请求信息通过所述通讯接口层转换为与北向接口对应的传入参数,并通过HttpClient发送至所述控制器层。
4.如权利要求1所述的方法,其特征在于,所述以使所述控制器层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数之后,还包括:接收所述设备端返回的与所述Firewall配置参数对应的反馈信息,解析所述反馈信息,并根据所述反馈信息对应的不同结果将所述反馈信息转换为具有不同的标识符的JSON格式。
5.一种基于OpenDaylight配置Firewall的装置,其特征在于,包括:发送单元,用于收到设备端发送的注册IP地址及设备信息请求信息,向控制器层发送所述注册IP地址及设备信息请求信息;
配置单元,用于收到向所述设备端配置Firewall的信息,为所述设备端添加源区域,所述源区域内包括至少一个目标区域和至少一个规则集;向所述控制器层发送所述配置Firewall的请求信息,所述配置Firewall的请求信息中包括所述源区域,以使所述控制器层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数;
其中,所述配置单元具体用于:
所述控制器层解析所述配置Firewall的请求信息,分别调用所述控制器层的多个接口设置验证所述配置Firewall的请求信息内携带的多个参数,将符合格式要求的多个所述参数转换为具有南向接口的Firewall配置参数,并向所述设备端发送所述Firewall配置参数。
6.如权利要求5所述的装置,其特征在于,所述设备端对应至少一个所述源区域;所述规则集内设置多条访问规则。
7.如权利要求5所述的装置,其特征在于,所述发送单元具体用于:
将所述注册IP地址及设备信息请求信息发送至通讯接口层,所述注册IP地址及设备信息请求信息通过所述通讯接口层转换为与北向接口对应的传入参数,并通过HttpClient发送至所述控制器层。
8.如权利要求5所述的装置,其特征在于,所述配置单元还用于:接收所述设备端返回的与所述Firewall配置参数对应的反馈信息,解析所述反馈信息,并根据所述反馈信息对应的不同结果将所述反馈信息转换为具有不同的标识符的JSON格式。
说明书 :
一种基于OpenDaylight配置Firewall的方法及装置
技术领域
[0001] 本发明涉及通信技术领域,更具体的涉及一种基于OpenDaylight配置Firewall的方法及装置。
背景技术
[0002] 防火墙(英文为:Firewall)是一种隔离技术,是在内部网和外部网之间建立起来的一个安全网关,用于保护内部网免受非法用户的侵入。
[0003] 在实际应用中,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。目前,在设备上建立防火墙的方式是通过具体的业务需求,通过人工的方式对设备进行配置,从而配置设备上的防火墙规则信息。在Firewall配置时,一般都需要根据业务需求配置好设备,部署上线以后,如果业务需要发生变动,则需要人工重新修改相应的网络设备上的配置,在修改网络设备配置比较麻烦,也容易出现人为的配置失误的问题。
[0004] 综上所述,现有的Firewall配置需要人工配置,存在容易出现配置错误的问题。
发明内容
[0005] 本发明实施例提供一种基于OpenDaylight配置Firewall的方法及装置,用以解决现有的Firewall配置需要人工配置,存在容易出现配置错误的问题。
[0006] 本发明实施例提供一种基于OpenDaylight配置Firewall的方法,包括:
[0007] 收到设备端发送的注册IP地址及设备信息请求信息,向控制器层发送所述注册IP地址及设备信息请求信息;
[0008] 收到向所述设备端配置Firewall的信息,为所述设备端添加源区域,所述源区域内包括至少一个目标区域和至少一个规则集;向所述控制层发送所述配置Firewall的请求信息,所述配置Firewall的请求信息中包括所述源区域,以使所述控制层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数。
[0009] 优选地,所述设备端对应至少一个所述源区域;所述规则集内设置多条访问规则。
[0010] 优选地,所述向控制器层发送所述注册IP地址及设备信息请求信息,包括:
[0011] 将所述注册IP地址及设备信息请求信息发送至通讯接口层,所述注册IP地址及设备信息请求信息通过所述通讯接口层转换为与北向接口对应的传入参数,并通过HttpClient发送至所述控制器层。
[0012] 优选地,所述以使所述控制层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数,包括:
[0013] 所述控制器层解析所述配置Firewall的请求信息,分别调用所述控制器层的多个接口设置验证所述配置Firewall的请求信息内携带的多个参数,将符合格式要求的多个所述参数转换为具有南向接口的Firewall配置参数,并向所述设备端发送所述Firewall配置参数。
[0014] 优选地,所述以使所述控制层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数之后,还包括:
[0015] 接收所述设备端返回的与所述Firewall配置参数对应的反馈信息,解析所述反馈信息,并根据所述反馈信息对应的不同结果将所述反馈信息转换为具有不同的标识符的JSON格式。
[0016] 本发明实施例还提供一种基于OpenDaylight配置Firewall的装置,包括:
[0017] 发送单元,收到设备端发送的注册IP地址及设备信息请求信息,向控制器层发送所述注册IP地址及设备信息请求信息;
[0018] 配置单元,用于收到向所述设备端配置Firewall的信息,为所述设备端添加源区域,所述源区域内包括至少一个目标区域和至少一个规则集;向所述控制层发送所述配置Firewall的请求信息,所述配置Firewall的请求信息中包括所述源区域,以使所述控制层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数。
[0019] 优选地,所述设备端对应至少一个所述源区域;所述规则集内设置多条访问规则。
[0020] 优选地,所述发送单元具体用于:
[0021] 将所述注册IP地址及设备信息请求信息发送至通讯接口层,所述注册IP地址及设备信息请求信息通过所述通讯接口层转换为与北向接口对应的传入参数,并通过HttpClient发送至所述控制器层。
[0022] 优选地,所述配置单元具体用于:
[0023] 所述控制器层解析所述配置Firewall的请求信息,分别调用所述控制器层的多个接口设置验证所述配置Firewall的请求信息内携带的多个参数,将符合格式要求的多个所述参数转换为具有南向接口的Firewall配置参数,并向所述设备端发送所述Firewall配置参数。
[0024] 优选地,所述配置单元还用于:接收所述设备端返回的与所述Firewall配置参数对应的反馈信息,解析所述反馈信息,并根据所述反馈信息对应的不同结果将所述反馈信息转换为具有不同的标识符的JSON格式。
[0025] 本发明实施例中,提供了一种基于OpenDaylight配置Firewall的方法及装置,该方法包括:收到设备端发送的注册IP地址及设备信息请求信息,向控制器层发送所述注册IP地址及设备信息请求信息;收到向所述设备端配置Firewall的信息,为所述设备端添加源区域,所述源区域内包括至少一个目标区域和至少一个规则集;向所述控制层发送所述配置Firewall的请求信息,所述配置Firewall的请求信息中包括所述源区域,以使所述控制层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数。上述方法中,通过Web界面操作,方便为设备端配置Firewall的信息,其中,为设备端配置的Firewall参数可以同时处理多种情况,灵活性比较好;在实际应用中,一边将Firewall参数保存到数据库中,一边将Firewall参数发送到设备端。由于上述方法可以全程自动化将Firewall参数发送到设备端,不需要人工完成Firewall配置,解决了现有技术中存在容易出现配置错误的问题。
附图说明
[0026] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0027] 图1为本发明实施例提供的一种基于OpenDaylight配置Firewall的方法流程示意图;
[0028] 图2为本发明实施例提供的配置Firewall的逻辑流程示意图;
[0029] 图3为本发明实施例提供的设置Firewall流程示意图;
[0030] 图4为本发明实施例提供的控制器层设置Firewall流程示意图;
[0031] 图5为本发明实施例提供的通讯接口层设置Firewall流程示意图;
[0032] 图6为本发明实施例提供的控制器层解析设备端反馈信息流程示意图;
[0033] 图7为本发明实施例提供的一种基于OpenDaylight配置Firewall的装置结构示意图。
具体实施方式
[0034] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0035] 图1示例性的示出了本发明实施例提供的一种基于OpenDaylight配置Firewall的方法流程示意图,图2为本发明实施例提供的配置Firewall的逻辑流程示意图。以下结合图1~2来详细介绍基于OpenDaylight配置Firewall的方法流程。
[0036] 如图1所示,本发明实施例提供的一种基于OpenDaylight配置Firewall的方法以下步骤:
[0037] 步骤101,收到设备端发送的注册IP地址及设备信息请求信息,向控制器层发送所述注册IP地址及设备信息请求信息。
[0038] 步骤102,收到向所述设备端配置Firewall的信息,为所述设备端添加源区域,所述源区域内包括至少一个目标区域和至少一个规则集;向所述控制层发送所述配置Firewall的请求信息,所述配置Firewall的请求信息中包括所述源区域,以使所述控制层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数。
[0039] 需要说明的是,上述流程中的执行主体为Web层,在实际应用中,Web层主要是负责与用户进行交互,提供友好的操作界面。
[0040] 在步骤101中,Web层收到设备端发送的注册IP地址及设备信息请求信息,Web层通过通讯接口层向控制器层发送注册IP地址及设备信息请求信息。举例来说,如图2所示的第1,2步:VCPE向Web Site注册IP地址及设备信息,Web Site向ODL控制器层增加设备,注册VCPE的IP地址及设备信息;其中,VCPE为设备端,而Web Site即Web层,ODL控制器层为控制器层。
[0041] 在介绍Web层对注册IP地址及设备信息请求信息之前,先介绍通讯接口层,在实际应用中,通讯接口层主要封装Web层和控制器层的业务逻辑处理,与控制器层进行通讯,是连接Web层和控制器层的通道。
[0042] 在本发明实施例中,Web层将注册IP地址及设备信息请求信息发送至通讯接口层,注册IP地址及设备信息请求信息通过所述通讯接口层转换为与北向接口对应的传入参数,并通过HttpClient发送至控制器层。
[0043] 进一步地,Web层向控制器层发送注册IP地址及设备信息请求信息之后,通讯接口层接收控制器层返回的结果,对返回的结果进行解析,并将解析结果封装为上层应用能够识别的数据。需要说明的是,控制器层返回的结果为与注册IP地址及设备信息请求信息对应的反馈信息。
[0044] 需要说明的是,当Web层收到通过通讯接口层反馈的反馈信息之后,可以确定设备端已经完成IP地址注册。
[0045] 在步骤102中,Web层收到用户发送的向设备端配置Firewall的信息的同时,Web层开始为设备端添加源区域。如图2所示的第3步,用户在Web Sit e中设置并下发Firewall信息到VCPE设备中。
[0046] 需要说明的是,在本发明实施例中,Web层收到用户发送的向设备端配置Firewall的信息和为设备端添加源区域是同时进行的,且在实际执行过程中,并没有先后顺序。
[0047] 具体地,为设备端添加的源区域至少可以包括一个目标区域,相应地,一个目标区域至少可以包括一个规则集,且在一个规则集内可以包括多条访问规则。其中,设备端至少可以对应一个源区域。
[0048] 图3为本发明实施例提供的设置Firewall流程示意图,在实际应用中,Firewall信息管理主要包括四层机构,分别为设备,源区域,目标区域和规则集。在Web层在配置Firewall的流程中,主要包括设备与源区域,源区域与目标区域,目标区域与规则集之间的交互。在介绍图3所示的设置Firewall流程之前,先对以下几个问题进行说明:
[0049] 设备是用户的物理设备;其中,设备层提供的操作主要有:激活和注销Firewall的操作。
[0050] 源区域:一个设备可以设置有多个源区域,在实际应用中,源区域包括的字段主要有:zone_name,interface和description。其中,源区域提供的主要操作有:增加,修改和删除。
[0051] 目标区域:一个源区域可以对应多个目标区域,即一个源区域可以对访问其他区域的行为设置规则;在实际应用中,目标区域包括的字段主要有:destination_zone,rule_set_name和description;需要说明的是,目标区域为源区域所包括的多个区域内的一个特定区域,即目标区域是在源区域内设置的区域;目标区域提供的主要操作有:增加,删除和修改。在实际应用中,如果目标区域内已经设置了规则集,则在删除目标区域时,相应地,该目标区域内设置的规则集以及规则集包括的数据也会同时删除。
[0052] 规则集:对一个已经有确定的源区域和目标区域的防火墙而言,可以在规则集中设置多条访问规则。其中,规则包括的字段有:action_mode、destination_port、protocol、icmp_type_name、established_state和related_state。其中,规则集提供增加,修改,删除的操作。
[0053] 需要说明的是,在本发明实施例中,Firewall信息的状态主要包括:未激活、激活中、激活、不一致和失败。
[0054] 如图3所示,在图中设备列表内所包括的路由器A,在源区域列表内分别对应了多个源区域,源区域列表内包括的一个源区域分别对应匹配目标域的规则集列表内多个目标区域和多个规则集,进一步地,一个目标区域可以对应详细规则列表内的多个规则。具体地,如图3所示:路由器A在源区域列表内分别对应了public Zone,Private Zone和DMZ三个源区域;相应地,public Zone在匹配目标域的规则集列表内分别对应了public Zone-dmz zone Rule Set和public Zone-Private Zone Rule Set;进一步地,public Zone-dmz zone Rule Set在详细规则列表内分别对应了Rule1和Rule2两个规则。
[0055] 在本发明实施例中,Web层在配置Firewall的流程中,由于一个设备可以对应多个源区域,一个源区域可以对应多个目标区域,而一个目标区域可以对应多个规则集。因此在为设备端配置Firewall过程中,设备端对应的参数比较多,Web界面可以同时处理多个情况,从而提高了为设备端配置Firewall的灵活性,从而减少了为设备端配置Firewall的失误性。
[0056] 在实际应用中,控制器层作为直接与设备进行交互的一层,对上层应用要定义出北向接口;对于设备层需要调用设备提供的南向接口,来与设备进行交互。控制器层的作用主要包括以下两个方面:一方面,控制器层要处理上层应用传入的参数,解析上层应用传入的参数,并验证上层应用传入的参数是否符合条件,是否符合各个参数的格式,然后,封装为南向接口的传入参数;另一方面,在调用了设备的南向接口后,对返回的结果进行解析。并根据不同的结果转化为控制器层定义的状态码和结果。
[0057] 在本发明实施例中,控制器层收到通讯接口层传输的配置Firewall的请求信息之后,需要解析配置Firewall的请求信息,从配置Firewall的请求信息内获取源区域信息以及Firewall的参数。需要说明的是,配置Firewall的请求信息内携带有源区域信息。如图2所示的第4步,Web Site向ODL控制器层发出设置设备Firewall的请求
[0058] 控制器层需要对配置Firewall的请求信息内的参数进行验证,确认上述参数是否符合条件以及符合各个参数的格式,当确认上述参数符合条件以及格式要求后,将上述参数封装为南向接口的传入参数。
[0059] 进一步地,控制器层调用设备端的南向接口,将封装为南向接口的传入参数发送至设备端,设备端根据传入参数进行Firewall参数配置。如图2所示的第5步,ODL控制器层接收到Firewall的设置请求后,将Firewall的设置信息,发送到VCPE设备中。
[0060] 在本发明实施例中,控制器层向设备端发送Firewall参数,设备端根据传入的Firewall参数完成Firewall参数配置之后,会收到设备端的Firewall参数配置信息的反馈结果,控制器层需要对Firewall参数配置信息的反馈结果进行解析,并根据不同的反馈结果转换为控制器层定义好的状态码和结果。
[0061] 在本发明实施例中,控制器层会提前定义好Firewall参数配置时出现的不同状态码和错误码。进一步地,由于设备端反馈的Firewall参数配置信息反馈结果是无格式的字段数据,而对于通讯接口层而言,不能直接识别无格式的字段数据。因此,控制器层需要先将上述无格式的字段数据进行解析并封装,然后在发送至通讯接口层。在本发明实施例中,控制器层需要将无格式的字段数据解析并封装为通讯接口层能够识别的JSON(英文为:JavaScript Object Not ation)格式的数据。
[0062] 进一步地,由于控制器层反馈的结果包括状态码,错误码和字段,而通讯接口层需要向Web层反馈的结果包括不同的出错情况都有一个状态码,不同的状态码都需要对应不同的原因。因此,在本发明实施例中,通讯接口层还需要对控制器层反馈的结果进行解析和封装,然后发送至Web层。其中,通讯接口层需要将控制器层反馈的包括状态码,错误码和字段的JSON格式转换为包括不同的出错情况对应一个状态码,不同的状态码对应不同的原因的JSON格式。
[0063] 以下表1~表3为本发明实施例提供的控制器层设置的状态码,错误码和字段信息,表4~7为本发明实施例提供的通讯接口层设置的状态码,错误码,字段和接口信息。
[0064] 表1:控制器层状态码
[0065]
[0066]
[0067] 表2:控制器层错误码
[0068]
[0069]
[0070] 表3:控制器层字段
[0071]
[0072] 表4:通讯接口层状态码
[0073]
[0074]
[0075] 表5:通讯接口层错误码
[0076]错误码 描述
101 参数验证不通过
102 设置设备的zone失败
103 设置设备的rule set失败
104 设置设备的match firewall失败
105 删除设备的zone失败
106 删除设备的rule set失败
107 删除设备的match firewall失败
108 查询设备的zone失败
109 查询设备的rule set失败
110 查询设备的match firewall失败
101 参数验证不通过
102 设置设备的zone失败
103 设置设备的rule set失败
104 设置设备的match firewall失败
105 删除设备的zone失败
106 删除设备的rule set失败
107 删除设备的match firewall失败
108 查询设备的zone失败
109 查询设备的rule set失败
110 查询设备的match firewall失败
[0077] 表6:通讯接口层字段
[0078]
[0079]
[0080] 表7:通讯接口层接口
[0081]
[0082]
[0083] 图4为本发明实施例提供的控制器层设置Firewall流程示意图;如图4所示,该方法主要包括以下步骤:
[0084] 步骤401,控制器层检验输入的参数是否符合设置信息的要求,如:设备名是否不为空,Protocol是否是该接口所支持的协议类型等等。如果输入的参数符合设置信息的要求,执行步骤402,如果不符合设置信息的要求,则执行步骤403;
[0085] 步骤402,控制器层查找要设置的设备是否存在控制器层上,如果存在控制器层上,执行步骤405,如果要设置的设备不存在控制器层上,则执行步骤404;
[0086] 步骤403,返回参数错误代码及描述;
[0087] 步骤404,返回设备不在线的信息;
[0088] 步骤405,控制器层解析要配置的信息,并封装为设备南向接口的数据,向设备下发配置信息;
[0089] 步骤406,如果设备返回设置成功,则执行步骤407,如果返回设置不成功,则执行步骤408;
[0090] 步骤407,向通讯接口层返回配置成功的结果。
[0091] 步骤408,向通讯接口层返回设置失败的代码。
[0092] 图5为本发明实施例提供的通讯接口层设置Firewall流程示意图,如图5所示,该方法主要包括以下步骤:
[0093] 步骤501,通讯接口层检验传入的参数是否符合设置业务的格式要求,如:IP地址是否符合格式,Protocol是否是该接口所支持的协议类型等等。如果传入的参数符合设置业务的格式要求,则执行步骤502,如果不符合,则执行步骤509;
[0094] 步骤502,通讯接口层调用控制器层的RPC(英文为:Remote Procedure Calls,中文简称:远程过程调用)接口来设置Zone信息。
[0095] 步骤503,如果控制器层返回设置Zone成功,则执行步骤504,如果控制器层返回设置Zone不成功,则执行步骤509;
[0096] 步骤504,通讯接口层调用控制器层的RPC接口来设置Rule Set信息;
[0097] 步骤505,如果控制器层返回设置Rule Set成功,则执行步骤506,如果控制器层返回设置Rule Set不成功,则执行步骤509;
[0098] 步骤506,通讯接口层调用控制器层的RPC接口来设置Macth信息;
[0099] 步骤507,如果控制器层返回设置Macth成功,则执行步骤508,如果控制器层返回设置Macth不成功,则执行步骤509;
[0100] 步骤508,通讯接口层检设备,是否都设置了Firewall信息,如果都设置了Firewall信息,则向上层应用返回设置Firewall信息成功的结果。
[0101] 步骤509,向上层应用返回相应的错误信息。
[0102] 具体地,控制器层接收到收到设备端的Firewall参数配置信息的反馈结果,需要将反馈结果解析并封装为通讯接口层能够识别的JSON格式数。图6为本发明实施例提供的控制器层解析设备端反馈信息流程示意图,控制器层对Firewall参数配置信息的反馈结果的解析和封装如图6所示:
[0103] 步骤601,控制器层收到Firewall参数配置信息的反馈结果,该反馈结果为无格式的字段数据,通过不同的数据节点,可以从数据模块信息库内获取节点数据模板。
[0104] 步骤602,解析节点数据,根据获取到的节点数据模板,对设备端的无格式数据进行解析。
[0105] 步骤603,提取节点数据根据解析结果,提取节点的数据。
[0106] 步骤604,根据提取的节点数据,将节点数据封装为JSON格式的数据,并将JSON格式的数据返回至通讯接口层。
[0107] 基于同一发明构思,本发明实施例提供了一种基于OpenDaylight配置Firewall的装置,由于该装置解决技术问题的原理与一种基于OpenDaylight配置Firewall的方法相似,因此该装置的实施可以参见方法的实施,重复之处不再赘述。
[0108] 图7为本发明实施例提供的一种基于OpenDaylight配置Firewall的装置结构示意图,如图7所示,该装置主要包括发送单元701和配置单元702。
[0109] 发送单元701,收到设备端发送的注册IP地址及设备信息请求信息,向控制器层发送所述注册IP地址及设备信息请求信息;
[0110] 配置单元702,用于收到向所述设备端配置Firewall的信息,为所述设备端添加源区域,所述源区域内包括至少一个目标区域和至少一个规则集;向所述控制层发送所述配置Firewall的请求信息,所述配置Firewall的请求信息中包括所述源区域,以使所述控制层根据所述配置Firewall的请求信息,向所述设备端发Firewall配置参数。
[0111] 优选地,所述设备端对应至少一个所述源区域;所述规则集内设置多条访问规则。
[0112] 优选地,所述发送单元701具体用于:
[0113] 将所述注册IP地址及设备信息请求信息发送至通讯接口层,所述注册IP地址及设备信息请求信息通过所述通讯接口层转换为与北向接口对应的传入参数,并通过HttpClient发送至所述控制器层。
[0114] 优选地,所述配置单元702具体用于:
[0115] 所述控制器层解析所述配置Firewall的请求信息,分别调用所述控制器层的多个接口设置验证所述配置Firewall的请求信息内携带的多个参数,将符合格式要求的多个所述参数转换为具有南向接口的Firewall配置参数,并向所述设备端发送所述Firewall配置参数。
[0116] 优选地,所述配置单元702还用于:接收所述设备端返回的与所述Firewa ll配置参数对应的反馈信息,解析所述反馈信息,并根据所述反馈信息对应的不同结果将所述反馈信息转换为具有不同的标识符的JSON格式。
[0117] 应当理解,以上一种基于OpenDaylight配置Firewall的装置包括的单元仅为根据该设备装置实现的功能进行的逻辑划分,实际应用中,可以进行上述单元的叠加或拆分。并且该实施例提供的一种基于OpenDaylight配置Firewall的装置所实现的功能与上述实施例提供的一种基于OpenDaylight配置Firewall的方法一一对应,对于该装置所实现的更为详细的处理流程,在上述方法实施例一中已做详细描述,此处不再详细描述。
[0118] 本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0119] 本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0120] 这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0121] 这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0122] 尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0123] 显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。