一种基于编排服务的防火墙编排方法、系统及存储介质

本发明涉及网络安全，特别是涉及一种基于编排服务的防火墙编排方法、系统及存储介质。

背景技术：

1、编排服务可以让用户根据自己的业务需求情况，去编排各种所需资源，用户只需要对所需资源的属性进行一定的赋值即可，然后生成编排模板，再通过编排模板去生成模板中编排的资源的实例。用户可以根据自己的需要重复使用编排模板多次生成用户所需的资源的实例并完成自动化部署。

2、当前基于社区版编排服务在编排防火墙时，若不指定防火墙作用的路由器参数，即在编排防火墙hot(heat orchestrationtemplate，编排服务模板)时，在模板文件中不声明路由器参数，则编排的防火墙默认作用其所在项目下所有的路由器，由于一个路由器同一时间只能由一个防火墙进行防护，当其中的某些路由器已被其他已存在的防火墙作用时，就会导致该编排防火墙失败，如图1所示。

3、经过分析openstack网络服务neutron中创建防火墙的代码业务逻辑，发现当创建防火墙时，对于参数router_ids(此参数为创建防火墙时路由器参数)作了如下说明：(1)router_ids不被声明，则默认创建的防火墙作用于项目下的所有路由器；(2)router_ids被声明为指定的路由器列表时，则创建的防火墙作用于router_ids参数所指定的路由器；(3)router_ids被声明为空(即路由器列表为空)时，则防火墙被创建出来后不作用于项目下的任何路由器，且防火墙状态为inactive(非活跃)。

4、在neutron模块中创建防火墙时，通过cli命令“neutron firewall-create”创建防火墙时，如果想创建不作用于任何路由器的防火墙，则需要添加参数--no-routers，然后cli命令行接口去调用neutron_client，去执行网络相关请求。

5、而在当前的编排服务编排防火墙逻辑中，router_ids参数没有被显式的声明在资源os::neutron::firewall的属性中，该参数被统一放在属性value_specs中，在使用时，需要把router_ids以及其值以key-vlaue的形式放入value_specs这个字典类型的属性中)则在使用编排服务进行防火墙资源编排时，用户想要创建一个不作用于任何路由器的防火墙，则一般会在模板中不添加router_ids参数，那么对防火墙资源的编排就会出现因为路由器被其他防火墙作用而创建失败的情况；也有可能被成功创建，但却作用在项目下的所有路由器，显然无论哪种结果，都不是用户所期望的。

6、综上所述，目前编排服务编排防火墙的业务逻辑有问题，对于router_ids参数的说明不够清晰，会导致出现编排实际结果与业务期望不符的情况，因此需要对目前编排服务编排防火墙的现有业务逻辑进行优化改进。

技术实现思路

1、本发明的目的是提供一种基于编排服务的防火墙编排方法、系统及存储介质，可提高防火墙作用路由器范围的准确性。

2、为实现上述目的，本发明提供了如下方案：

3、一种基于编排服务的防火墙编排方法，包括：

4、在编排服务的防火墙资源中显式增加一个路由器属性声明；所述路由器属性包括作用范围键值对及路由器编号键值对；

5、获取用户输入的作用范围值及路由器编号列表；所述作用范围值为全部路由器标识、指定路由器标识或空标识；

6、根据所述作用范围值及所述路由器编号列表，生成router_ids参数；

7、基于router_ids参数创建对应作用范围的防火墙。

8、可选地，所述防火墙资源为os::neutron::firewall。

9、可选地，根据所述作用范围值及所述路由器编号列表，生成router_ids参数，具体包括：

10、在所述作用范围值为全部路由器标识时，不生成router_ids参数；

11、在所述作用范围值为指定路由器标识时，根据所述路由器编号列表生成router_ids参数；

12、在所述防火墙作用范围为空标识时，所述router_ids参数的值为空。

13、可选地，基于router_ids参数创建对应作用范围的防火墙，具体包括：

14、调用neutron_client的创建防火墙接口，并传入router_ids参数，以创建对应作用范围的防火墙。

15、可选地，在所述作用范围值为全部路由器标识时，不传入router_ids参数；

16、在所述作用范围值为指定路由器标识时，传入的router_ids参数为路由器编号列表；

17、在所述防火墙作用范围为空标识时，传入的router_ids参数为空列表。

18、为实现上述目的，本发明还提供了如下方案：

19、一种基于编排服务的防火墙编排系统，包括：

20、属性声明单元，用于在编排服务的防火墙资源中显式增加一个路由器属性声明；所述路由器属性包括作用范围键值对及路由器编号键值对；

21、参数获取单元，用于获取用户输入的作用范围值及路由器编号列表；所述作用范围值为全部路由器标识、指定路由器标识或空标识；

22、参数生成单元，用于根据所述作用范围值及所述路由器编号列表，生成router_ids参数；

23、创建单元，用于基于router_ids参数创建对应作用范围的防火墙。

24、为实现上述目的，本发明还提供了如下方案：

25、一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时实现上述的基于编排服务的防火墙编排方法。

26、根据本发明提供的具体实施例，本发明公开了以下技术效果：

27、本发明在编排服务的防火墙资源中显式增加一个路由器属性声明，在对防火墙进行编排时，根据传入的路由器属性生成router_ids参数，路由器属性包括包括作用范围及路由器编号列表，作用范围分为全部路由器标识、指定路由器标识或空标识，然后基于router_ids参数创建对应作用范围的防火墙，明确了作用路由器的范围，避免了因路由器参数指定不明确导致防火墙编排失败或编排不符合预期的情况发生。

技术特征：

1.一种基于编排服务的防火墙编排方法，其特征在于，所述基于编排服务的防火墙编排方法包括：

2.根据权利要求1所述的基于编排服务的防火墙编排方法，其特征在于，所述防火墙资源为os::neutron::firewall。

3.根据权利要求1所述的基于编排服务的防火墙编排方法，其特征在于，根据所述作用范围值及所述路由器编号列表，生成router_ids参数，具体包括：

4.根据权利要求1所述的基于编排服务的防火墙编排方法，其特征在于，基于router_ids参数创建对应作用范围的防火墙，具体包括：

5.根据权利要求4所述的基于编排服务的防火墙编排方法，其特征在于，在所述作用范围值为全部路由器标识时，不传入router_ids参数；

6.一种基于编排服务的防火墙编排系统，其特征在于，所述基于编排服务的防火墙编排系统包括：

7.根据权利要求6所述的基于编排服务的防火墙编排系统，其特征在于，所述防火墙资源为os::neutron::firewall。

8.一种计算机可读存储介质，其特征在于，其存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至5中任一项所述的基于编排服务的防火墙编排方法。

技术总结本发明提供一种基于编排服务的防火墙编排方法、系统及存储介质，属于网络安全技术领域，方法包括：在编排服务的防火墙资源中显式增加一个路由器属性声明；路由器属性包括作用范围键值对及路由器编号键值对；获取用户输入的作用范围值及路由器编号列表；作用范围值为全部路由器标识、指定路由器标识或空标识；根据作用范围值及路由器编号列表，生成router_ids参数；基于router_ids参数创建对应作用范围的防火墙。本发明通过在防火墙资源中显式声明路由器属性，明确了编排的防火墙作用路由器的范围，同时与Neutron模块创建防火墙的流程保持了统一，从而提高了编排防火墙的成功率。技术研发人员：李栋,宁玉富,杨菲菲受保护的技术使用者：山东青年政治学院技术研发日：技术公布日：2024/8/1