本发明公开了基于openstack实现安全组黑名单的方法及系统，属于云计算和计算机网络技术领域，通过扩展neutron的service‑plugin和openvswitch‑agentextension来实现安全组黑名单，在iptables的raw表中对虚机绑定的tap端口进行标记，根据标记，在iptables的mangle表里将进出虚机的流量导入到安全组黑名单的链中，根据黑名单规则进行匹配；未匹配到的流量将导入iptables的filter表，继续按照neutron原有的安全组规则匹配。本发明让openstack不仅支持创建安全组白名单，而且支持安全组黑名单，实现了更灵活的安全组机制。