网络隔离管理方法 装置 计算机设备及存储介质与流程

本发明涉及网络安全

技术领域：

：，尤其涉及一种网络隔离管理方法、装置、计算机设备及存储介质。

背景技术：

：：在公有云上搭建it基础架构是很多初创公司的首选，这样既可以省去建设满足生产系统安全稳定运行的高成本数据中心的负担，也可以减轻日常运维部门同事的工作量，还能实现资源弹性伸缩，方便、快捷、高效、稳定是公有云给我们it基础架构带来的诸多益处的体现。基于虚拟化技术私有云的it基础架构部署本地化开发测试环境，是大多数公有云用户优先考虑的it基础架构解决方案。用户可以利用此it基础架构环境实现代码设计、开发、测试和产品成功交付的效果。现有的解决方案都是开发测试人员的pc终端电脑与虚拟化服务器均处于同一个局域网络内部、两者之间互相访问权限基本全部开放。开发测试人员的pc终端电脑通过访问一台虚拟化服务器，虚拟化服务器配置反向代理规则并负责把各类开发测试终端的url请求按照匹配规则转发至后台虚拟化服务器中部署的服务来进行处理，最终返回处理结果给终端。如上所述自建idc(internetdatacenter，互联网数据中心)的it基础架构解决方案没有实现像公有云一样的拥有vpc私有网络进行终端与服务器端的网络隔离、没有统一的网关出入口进行流量控制和统计分析、没有相关的安全组策略针对客户端访问进行权限管控、内网无法模拟和复现部分跨服务的请求故障。技术实现要素：本发明实施例提供了一种网络隔离管理方法、装置、计算机设备及存储介质，旨在解决现有的自建idc系统无法实现用户终端与虚拟化服务器之间的网络隔离的问题。第一方面，本发明实施例提供了一种网络隔离管理方法，所述网络隔离管理方法应用于自建idc系统中的内网网关服务器中，所述自建idc系统包括用户终端、内网网关服务器以及虚拟化服务器，所述内网网关服务器包括第一网卡以及第二网卡，所述网络隔离管理方法包括：将所述第一网卡的ip地址配置为预设的第一ip地址，其中，所述用户终端的ip地址配置为所述第一ip地址；将所述第二网卡的ip地址配置为预设的第二ip地址，其中，所述虚拟化服务器的ip地址配置为所述第二ip地址。其进一步的技术方案为，所述网络隔离管理方法还包括：开启所述内网网关服务器的ipv4数据转发功能，并为所述内网网关服务器配置iptablessnat规则。其进一步的技术方案为，所述网络隔离管理方法还包括：为所述内网网关服务器配置nginx反向代理规则，以使所述内网网关服务器将所述用户终端的url请求转发给所述虚拟化服务器。其进一步的技术方案为，所述网络隔离管理方法还包括：统计所述虚拟化服务器的网络流量。其进一步的技术方案为，所述网络隔离管理方法还包括：为所述内网网关服务器配置iptables规则。第二方面，本发明实施例还提供了一种网络隔离管理装置，所述网络隔离管理装置应用于自建idc系统中的内网网关服务器，所述自建idc系统包括用户终端、内网网关服务器以及虚拟化服务器，所述内网网关服务器包括第一网卡以及第二网卡，所述网络隔离管理装置包括：第一配置单元，用于将所述第一网卡的ip地址配置为预设的第一ip地址，其中，所述用户终端的ip地址配置为所述第一ip地址；第二配置单元，用于将所述第二网卡的ip地址配置为预设的第二ip地址，其中，所述虚拟化服务器的ip地址配置为所述第二ip地址。其进一步的技术方案为，所述网络隔离管理装置还包括：开启单元，用于开启所述内网网关服务器的ipv4数据转发功能，并为所述内网网关服务器配置iptablessnat规则。其进一步的技术方案为，所述网络隔离管理装置还包括：第三配置单元，用于为所述内网网关服务器配置nginx反向代理规则，以使所述内网网关服务器将所述用户终端的url请求转发给所述虚拟化服务器。其进一步的技术方案为，所述网络隔离管理装置还包括：统计单元，用于统计所述虚拟化服务器的网络流量。其进一步的技术方案为，所述网络隔离管理装置还包括：第四配置单元，用于为所述内网网关服务器配置iptables规则。第三方面，本发明实施例还提供了一种计算机设备，其包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现上述方法。第四方面，本发明实施例还提供了一种计算机可读存储介质，所述存储介质存储有计算机程序，所述计算机程序当被处理器执行时可实现上述方法。本发明实施例提供了一种网络隔离管理方法、装置、计算机设备及存储介质。其中，所述网络隔离管理方法应用于自建idc系统中的内网网关服务器中，所述自建idc系统包括用户终端、内网网关服务器以及虚拟化服务器，所述内网网关服务器包括第一网卡以及第二网卡，所述网络隔离管理方法包括：将所述第一网卡的ip地址配置为预设的第一ip地址，其中，所述用户终端的ip地址配置为所述第一ip地址；将所述第二网卡的ip地址配置为预设的第二ip地址，其中，所述虚拟化服务器的ip地址配置为所述第二ip地址。本发明实施例的技术方案，内网网关服务器包括第一网卡以及第二网卡，通过分别将第一网卡以及第二网卡的ip地址配置与用户终端以及虚拟化服务器相同，能够实现对用户终端与虚拟化服务器进行网络隔离。内网网关服务器可统一对的网关的出入口进行流量控制和统计分析。同时，内网网关服务器拥有相关的安全组策略针对客户端访问进行权限管控、在公有云遇到的相关故障皆可以于内网中模拟和复现。附图说明为了更清楚地说明本发明实施例技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本发明实施例提供的一种网络隔离管理方法的流程示意图；图2为本发明实施例提供的一种网络隔离管理装置的示意性框图；图3为本发明另一实施例提供的一种网络隔离管理装置的示意性框图；图4为本发明实施例提供的一种计算机设备的示意性框图。具体实施方式下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解，在本发明说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所描述条件或事件]”或“响应于检测到[所描述条件或事件]”。本发明实施例提出一种网络隔离管理方法，该网络隔离管理方法应用于自建idc(internetdatacenter，互联网数据中心)系统中的内网网关服务器。所述自建idc系统包括用户终端、内网网关服务器以及虚拟化服务器，所述内网网关服务器包括第一网卡以及第二网卡。请参阅图1，图1是本发明实施例提供的一种网络隔离管理方法的流程示意图。如图1所示，该方法包括以下步骤s1-s2。s1、将内网网关服务器的第一网卡的ip地址配置为预设的第一ip地址，其中，所述用户终端的ip地址配置为所述第一ip地址。具体实施中，将内网网关服务器的第一网卡的ip地址配置为预设的第一ip地址。并且，用户终端的ip地址也配置为所述第一ip地址。由此，内网网关服务器的第一网卡的ip地址与所述用户终端的ip地址相同。第一ip地址可由本领域技术人员进行设定，例如，在一实施例中，第一ip地址设定为：172.16.xx.xx。s2、将网网关服务器的第二网卡的ip地址配置为预设的第二ip地址，其中，所述虚拟化服务器的ip地址配置为所述第二ip地址。具体实施中，将内网网关服务器的第二网卡的ip地址配置为预设的第二ip地址。并且，虚拟化服务器的ip地址也配置为所述第二ip地址。由此，内网网关服务器的第二网卡的ip地址与所述虚拟化服务器的ip地址相同。第二ip地址可由本领域技术人员进行设定，例如，在一实施例中，第二ip地址设定为：10.0.xx.xx。通过以上步骤s1-s2可实现对用户终端以及虚拟化服务器进行网络隔离，提高网络的安全性。在一实施例中，所述网络隔离管理方法还包括如下步骤：开启所述内网网关服务器的ipv4数据转发功能，并为所述内网网关服务器配置iptablessnat规则。具体实施中，开启内网网关服务器的ipv4数据转发功能，并为内网网关服务器配置iptablessnat规则，以实现对所述内网网关服务器的出口流量进行统一管理。在一实施例中，所述网络隔离管理方法还包括如下步骤：为所述内网网关服务器配置nginx反向代理规则，以使所述内网网关服务器将所述用户终端的url请求转发给所述虚拟化服务器。具体实施中，为所述内网网关服务器配置nginx反向代理规则，以使所述内网网关服务器将所述用户终端的url请求依据预设的相关算法转发至所述虚拟化服务器，实现url请求的转发。在一实施例中，所述网络隔离管理方法还包括如下步骤：统计所述虚拟化服务器的网络流量。具体实施中，虚拟化服务器配置与内网网关服务器的第二网卡配置同一网段ip地址(10.0.xx.xx)，虚拟化服务器的网关指向内网网关服务器。由此，所有内网的虚拟化服务器的出口流量全部必须经过内网网关服务器，以便于内网网关服务器对各虚拟化服务器的流量进行控制和统计分析。在一实施例中，所述网络隔离管理方法还包括如下步骤：为所述内网网关服务器配置iptables规则。具体实施中，为所述内网网关服务器配置iptables规则，以对用户终端的端口访问功能进行权限管控，提高网络的安全性。本发明实施例的技术方案，内网网关服务器包括第一网卡以及第二网卡，通过分别将第一网卡以及第二网卡的ip地址配置与用户终端以及虚拟化服务器相同，能够实现对用户终端与虚拟化服务器进行网络隔离。内网网关服务器可统一对的网关的出入口进行流量控制和统计分析。同时，内网网关服务器拥有相关的安全组策略针对客户端访问进行权限管控、在公有云遇到的相关故障皆可以于内网中模拟和复现。图2是本发明实施例提供的一种网络隔离管理装置70的示意性框图。如图2所示，对应于以上网络隔离管理方法，本发明还提供一种网络隔离管理装置70。该网络隔离管理装置70包括用于执行上述网络隔离管理方法的单元，所述网络隔离管理装置70应用于自建idc系统中的内网网关服务器，所述自建idc系统包括用户终端、内网网关服务器以及虚拟化服务器，所述内网网关服务器包括第一网卡以及第二网卡。具体地，请参阅图2，该网络隔离管理装置70包括第一配置单元71以及第二配置单元72。第一配置单元71，用于将所述第一网卡的ip地址配置为预设的第一ip地址，其中，所述用户终端的ip地址配置为所述第一ip地址。第二配置单元72，用于将所述第二网卡的ip地址配置为预设的第二ip地址，其中，所述虚拟化服务器的ip地址配置为所述第二ip地址。在一实施例中，如图3所示，所网络隔离管理装置70还包括开启单元73、第三配置单元74、统计单元75以及第四配置单元76。开启单元73，用于开启所述内网网关服务器的ipv4数据转发功能，并为所述内网网关服务器配置iptablessnat规则。第三配置单元74，用于为所述内网网关服务器配置nginx反向代理规则，以使所述内网网关服务器将所述用户终端的url请求转发给所述虚拟化服务器。统计单元75，用于统计所述虚拟化服务器的网络流量。第四配置单元76，用于为所述内网网关服务器配置iptables规则。需要说明的是，所属领域的技术人员可以清楚地了解到，上述网络隔离管理装置70和各单元的具体实现过程，可以参考前述方法实施例中的相应描述，为了描述的方便和简洁，在此不再赘述。上述网络隔离管理装置70可以实现为一种计算机程序的形式，该计算机程序可以在如图4所示的计算机设备上运行。请参阅图4，图4是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500是服务器，服务器可以是独立的服务器，也可以是多个服务器组成的服务器集群。所述服务器为自建idc系统中的内网网关服务器，所述自建idc系统包括用户终端、内网网关服务器以及虚拟化服务器，所述内网网关服务器包括第一网卡以及第二网卡。参阅图4，该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505，其中，存储器可以包括非易失性存储介质503和内存储器504。该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032被执行时，可使得处理器502执行一种网络隔离管理方法。该处理器502用于提供计算和控制能力，以支撑整个计算机设备500的运行。该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境，该计算机程序5032被处理器502执行时，可使得处理器502执行一种网络隔离管理方法。该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解，图4中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备500的限定，具体的计算机设备500可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。其中，所述处理器502用于运行存储在存储器中的计算机程序5032，以实现如下步骤：将所述第一网卡的ip地址配置为预设的第一ip地址，其中，所述用户终端的ip地址配置为所述第一ip地址；将所述第二网卡的ip地址配置为预设的第二ip地址，其中，所述虚拟化服务器的ip地址配置为所述第二ip地址。在一实施例中，处理器502还实现如下步骤：开启所述内网网关服务器的ipv4数据转发功能，并为所述内网网关服务器配置iptablessnat规则。在一实施例中，处理器502还实现如下步骤：为所述内网网关服务器配置nginx反向代理规则，以使所述内网网关服务器将所述用户终端的url请求转发给所述虚拟化服务器。在一实施例中，处理器502还实现如下步骤：统计所述虚拟化服务器的网络流量。在一实施例中，处理器502还实现如下步骤：为所述内网网关服务器配置iptables规则。应当理解，在本申请实施例中，处理器502可以是中央处理单元(centralprocessingunit，cpu)，该处理器502还可以是其他通用处理器、数字信号处理器(digitalsignalprocessor，dsp)、专用集成电路(applicationspecificintegratedcircuit，asic)、现成可编程门阵列(field-programmablegatearray，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成。该计算机程序可存储于一存储介质中，该存储介质为计算机可读存储介质。该计算机程序被该计算机系统中的至少一个处理器执行，以实现上述方法的实施例的流程步骤。因此，本发明还提供一种存储介质。该存储介质应用于自建idc系统中的内网网关服务器，所述自建idc系统包括用户终端、内网网关服务器以及虚拟化服务器，所述内网网关服务器包括第一网卡以及第二网卡。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序。该计算机程序被处理器执行时使处理器执行如下步骤：将所述第一网卡的ip地址配置为预设的第一ip地址，其中，所述用户终端的ip地址配置为所述第一ip地址；将所述第二网卡的ip地址配置为预设的第二ip地址，其中，所述虚拟化服务器的ip地址配置为所述第二ip地址。在一实施例中，所述处理器在执行所述计算机程序时还实现如下步骤：开启所述内网网关服务器的ipv4数据转发功能，并为所述内网网关服务器配置iptablessnat规则。在一实施例中，所述处理器在执行所述计算机程序时还实现如下步骤：为所述内网网关服务器配置nginx反向代理规则，以使所述内网网关服务器将所述用户终端的url请求转发给所述虚拟化服务器。在一实施例中，所述处理器在执行所述计算机程序时还实现如下步骤：统计所述虚拟化服务器的网络流量。在一实施例中，所述处理器在执行所述计算机程序时还实现如下步骤：为所述内网网关服务器配置iptables规则。所述存储介质可以是u盘、移动硬盘、只读存储器(read-onlymemory，rom)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的。例如，各个单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，终端，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。在上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详细描述的部分，可以参见其他实施例的相关描述。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，尚且本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本

技术领域：

：的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。当前第1页1 2 3 当前第1页1 2 3 

技术特征：

1.一种网络隔离管理方法，其特征在于，所述网络隔离管理方法应用于自建idc系统中的内网网关服务器中，所述自建idc系统包括用户终端、内网网关服务器以及虚拟化服务器，所述内网网关服务器包括第一网卡以及第二网卡，所述网络隔离管理方法包括：

将所述第一网卡的ip地址配置为预设的第一ip地址，其中，所述用户终端的ip地址配置为所述第一ip地址；

将所述第二网卡的ip地址配置为预设的第二ip地址，其中，所述虚拟化服务器的ip地址配置为所述第二ip地址。

2.根据权利要求1所述的网络隔离管理方法，其特征在于，所述网络隔离管理方法还包括：

开启所述内网网关服务器的ipv4数据转发功能，并为所述内网网关服务器配置iptablessnat规则。

3.根据权利要求1所述的网络隔离管理方法，其特征在于，所述网络隔离管理方法还包括：

为所述内网网关服务器配置nginx反向代理规则，以使所述内网网关服务器将所述用户终端的url请求转发给所述虚拟化服务器。

4.根据权利要求1所述的网络隔离管理方法，其特征在于，所述网络隔离管理方法还包括：

统计所述虚拟化服务器的网络流量。

5.根据权利要求1所述的网络隔离管理方法，其特征在于，所述网络隔离管理方法还包括：

为所述内网网关服务器配置iptables规则。

6.一种网络隔离管理装置，其特征在于，所述网络隔离管理装置应用于自建idc系统中的内网网关服务器，所述自建idc系统包括用户终端、内网网关服务器以及虚拟化服务器，所述内网网关服务器包括第一网卡以及第二网卡，所述网络隔离管理装置包括：

第一配置单元，用于将所述第一网卡的ip地址配置为预设的第一ip地址，其中，所述用户终端的ip地址配置为所述第一ip地址；

第二配置单元，用于将所述第二网卡的ip地址配置为预设的第二ip地址，其中，所述虚拟化服务器的ip地址配置为所述第二ip地址。

7.根据权利要求6所述的网络隔离管理装置，其特征在于，所述网络隔离管理装置还包括：

开启单元，用于开启所述内网网关服务器的ipv4数据转发功能，并为所述内网网关服务器配置iptablessnat规则。

8.根据权利要求6所述的网络隔离管理装置，其特征在于，所述网络隔离管理装置还包括：

第三配置单元，用于为所述内网网关服务器配置nginx反向代理规则，以使所述内网网关服务器将所述用户终端的url请求转发给所述虚拟化服务器。

9.一种计算机设备，其特征在于，所述计算机设备包括存储器及处理器，所述存储器上存储有计算机程序，所述处理器执行所述计算机程序时实现如权利要求1-5中任一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述存储介质存储有计算机程序，所述计算机程序当被处理器执行时可实现如权利要求1-5中任一项所述的方法。

技术总结

本发明实施例公开了一种网络隔离管理方法、装置、计算机设备及存储介质。该网络隔离管理方法应用于自建IDC系统中的内网网关服务器中，自建IDC系统包括用户终端、内网网关服务器以及虚拟化服务器，内网网关服务器包括第一网卡以及第二网卡，所述网络隔离管理方法包括：将第一网卡的IP地址配置为预设的第一IP地址，其中，用户终端的IP地址配置为第一IP地址；将第二网卡的IP地址配置为预设的第二IP地址，其中，虚拟化服务器的IP地址配置为第二IP地址。本发明实施例的技术方案，内网网关服务器包括第一网卡以及第二网卡，通过分别将第一网卡以及第二网卡的IP地址配置与用户终端以及虚拟化服务器相同，能够实现对用户终端与虚拟化服务器进行网络隔离。

技术研发人员：朱建湘;谢竹沐;吕学德

受保护的技术使用者：深圳前海环融联易信息科技服务有限公司

技术研发日：.11.18

技术公布日：.02.28