一种同一安全域内虚机之间流量的防护方法
【专利摘要】本发明提供一种同一安全域内虚机之间流量的防护方法,其具体实现过程如下:流量接入引擎接受流量拦截引擎提供的流量,把流量引入安全虚机中;流量分析引擎对虚机之间的流量根据预设规则执行访问控制;响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎;响应接入引擎负责把安全虚机执行正常响应的流量交予目的虚机。该一种同一安全域内虚机之间流量的防护方法和现有技术相比,可及时发现并维护虚机之间流量的安全性,数据传输安全性高,实用性强,易于推广。
【专利说明】—种同一安全域内虚机之间流量的防护方法
【技术领域】
[0001]本发明涉及计算机信息安全【技术领域】,具体的说是一种实用性强、同一安全域内虚机之间流量的防护方法。
【背景技术】
[0002]云计算和大数据时代,虚拟化技术应用正以非常快速的速度发展,虚拟化技术中应用最广泛的当属服务器虚拟化,这种技术通过一台或多台物理服务器构建成一个虚拟化环境,在这个虚拟化环境中虚拟出多个虚拟系统,每个虚拟系统对外提供一种或多种服务,各个系统之间相互独立。
[0003]网络边界的虚拟化使传统网络边界的防护手段失效,“东西向”流量监控成为盲点:在传统的网络结构中,网络边界一般通过物理的服务器、网络设备、网络接口进行识别,防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量并按照预设的策略执行防护动作。
[0004]但随着虚拟化实施之后,系统之间的边界不单单是以物理设备的形式存在。比如在物理服务器中虚拟出多个服务器,这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成,不会与外部网络发生交互,传统的边界防护设备捕捉不到这些流量,也就不能进行防护;特别多个虚机在同一个安全域内,虚机之间流量通过虚拟交换进行转发。
[0005]鉴于此,本发明提供了一种使用在虚拟化平台中部署安全虚机防护虚机之间流量的方法,目的在于解决同一安全域内虚拟交换机之间流量缺乏安全防护的问题。
【发明内容】
[0006]本发明的技术任务是解决现有技术的不足,提供一种安全性强、同一安全域内虚机之间流量的防护方法。
[0007]本发明的技术方案是按以下方式实现的,该一种同一安全域内虚机之间流量的防护方法,包括发送流量的源虚机、接收流量的目的虚机和可安全防护的安全虚机,这里的虚机是指虚拟交换机,其具体防护过程为:
一、在虚拟化平台的虚拟层上部署安全虚机,该安全虚机内置流量接入引擎、流量分析引擎和响应引擎;
二、在安全虚机的端口与待防护虚机的虚拟网卡之间部署虚拟安全防护层,该虚拟安全防护层包括流量拦截引擎和响应接入引擎,所述待防护虚机即为源虚机和目的虚机;
三、源虚机发起网络数据,虚拟防护层的流量拦截引擎截获源虚机的虚拟网卡到虚拟交换机之间的流量,获取源虚机、目的虚机和协议信息;
四、虚拟防护层代理端接受虚机网卡的数据,通过数据转发操作交予安全虚机的流量接入引擎;
五、检测虚拟流量,由流量分析引擎对虚机之间的流量依据预定义的安全规则进行检测,并生成响应动作; 六、响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎;
七、响应接入引擎把安全虚机执行正常响应的流量交予目的虚机。
[0008]所述虚拟安全防护层内还设置有虚机自动发现引擎,该虚机自动发现引擎检查在虚拟化平台上的所有虚机并添加到待防护列表中。
[0009]所述安全虚机使用虚拟防火墙,该防火墙过滤虚机之间的流量,隔断并阻断所保护的虚机,配合虚拟安全防护层,根据预设的安全规则分析处理所转发的通信流量,产生响应。
[0010]所述响应包括:正常响应,即转发和通过;异常响应,即报警和/或丢弃。
[0011]所述预定义的安全规则储存在策略库内,该策略库分为针对全局和单个虚机的全局和个性两种,在策略库内设置规则字段,该规则字段包括源虚机、目的虚机、协议、端口和动作。
[0012]本发明与现有技术相比所产生的有益效果是:
本发明的一种同一安全域内虚机之间流量的防护方法使用基于虚拟环境的流量访问控制技术实现对虚机之间访问控制,通过虚拟化安全防护层将虚机流量牵引到安全虚机中,根据策略库中的安全策略,对同一安全域内虚机之间的流量进行检查,只有符合安全规则的流量才可以到达目的虚机,保证了流量转发传输过程的安全性,防护能力强,保证数据安全性,实用性强,易于推广。
【专利附图】
【附图说明】
[0013]附图1为本发明的实现示意图。
[0014]附图2是本发明的实现流程图。
【具体实施方式】
[0015]下面结合附图对本发明的一种同一安全域内虚机之间流量的防护方法作以下详细说明。
[0016]本发明提供了一种同一安全域内虚机之间流量的防护方法,使用基于虚拟环境的流量访问控制技术实现对虚机之间访问控制,通过虚拟化安全防护层将虚机流量牵引到安全虚机中,根据策略库中的安全策略,对同一安全域内虚机之间的流量进行检查。只有符合安全规则的流量才可以到达目的虚机。基于该设计思路,如附图1、图2所示,该方法包括发送流量的源虚机、接收流量的目的虚机和可安全防护的安全虚机,这里的虚机是指虚拟交换机,其具体防护过程为:
一、在虚拟化平台的虚拟层上部署安全虚机,该安全虚机内置流量接入引擎、流量分析引擎和响应引擎。
[0017]其中流量接入引擎负责流量接入的功能。
[0018]流量分析引擎负责流量的检测并生成响应动作。
[0019]响应弓I擎负责执行检测弓丨擎的动作。
[0020]二、在安全虚机的端口与待防护虚机的虚拟网卡之间部署虚拟安全防护层,该虚拟安全防护层包括流量拦截引擎和响应接入引擎,所述待防护虚机即为源虚机和目的虚机。[0021]也就是说,该虚拟安全防护层部署在虚拟平台中的虚拟交换机和需要防护的虚机的虚拟网卡之间,通过流量拦截技术,把流量转发到安全虚机中;并接受安全虚机所传达的响应。
[0022]三、虚机流量拦截:源虚机发起网络数据,虚拟防护层的流量拦截引擎截获源虚机的虚拟网卡到虚拟交换机之间的流量,获取源虚机、目的虚机和协议信息。
[0023]四、虚机流量接入:虚拟防护层代理端接受虚机网卡的数据,通过数据转发操作交予安全虚机的流量接入引擎。
[0024]五、虚机流量检测:安全虚机接受接入引擎转发的数据,由流量分析引擎对虚机之间的流量依据预定义的安全规则进行检测,并生成响应动作。
[0025]六、虚机流量响应:响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎。
[0026]七、响应接入引擎把安全虚机执行正常响应的流量交予目的虚机。
[0027]所述虚拟安全防护层内还设置有虚机自动发现引擎,该虚机自动发现引擎检查在虚拟化平台上的所有虚机并添加到待防护列表中;虚拟防护层遍历已有虚机列表,并自动添加默认全局安全规则。
[0028]所述虚拟防护层具备自动防护功能,即虚机防护层与虚拟层进行通信,自动检测新建或者复制过来的虚机,并自动应用全局安全策略,满足数据中心的自动化扩展需求。
[0029]所述安全虚机使用虚拟防火墙,该防火墙过滤虚机之间的流量,隔断并阻断所保护的虚机,配合虚拟安全防护层,根据预设的安全规则分析处理所转发的通信流量,产生响应。
[0030]所述响应包括:正常响应,即转发和通过;异常响应,即报警和/或丢弃。
[0031]所述预定义的安全规则储存在策略库内,该策略库分为针对全局和单个虚机的全局和个性两种,在策略库内设置规则字段,该规则字段包括源虚机、目的虚机、协议、端口和动作。
[0032]本发明的的流量防护方法通过在虚拟层部署虚拟安全防护层,对虚机之间的流量进行拦截实现访问控制。
[0033]以上实施方式仅用于说明本发明,而并非对本发明的限制,有关【技术领域】的普通技术人员,在不脱离本发明的精神和范围的情况下,还可以做出各种变化和变型,因此所有等同的技术方案也属于本发明的范畴,本发明的专利保护范围应由权利要求限定。
【权利要求】
1.一种同一安全域内虚机之间流量的防护方法,其特征在于包括发送流量的源虚机、接收流量的目的虚机和可安全防护的安全虚机,这里的虚机是指虚拟交换机,其具体防护过程为: 一、在虚拟化平台的虚拟层上部署安全虚机,该安全虚机内置流量接入引擎、流量分析引擎和响应引擎; 二、在安全虚机的端口与待防护虚机的虚拟网卡之间部署虚拟安全防护层,该虚拟安全防护层包括流量拦截引擎和响应接入引擎,所述待防护虚机即为源虚机和目的虚机; 三、源虚机发起网络数据,虚拟防护层的流量拦截引擎截获源虚机的虚拟网卡到虚拟交换机之间的流量,获取源虚机、目的虚机和协议信息; 四、虚拟防护层代理端接受虚机网卡的数据,通过数据转发操作交予安全虚机的流量接入引擎; 五、检测虚拟流量,由流量分析引擎对虚机之间的流量依据预定义的安全规则进行检测,并生成响应动作; 六、响应引擎把流量分析引擎执行的动作交予虚拟安全防护层的响应接入引擎; 七、响应接入引擎把安全虚机执行正常响应的流量交予目的虚机。
2.根据权利要求1所述的一种同一安全域内虚机之间流量的防护方法,其特征在于:所述虚拟安全防护层内还设置有虚机自动发现引擎,该虚机自动发现引擎检查在虚拟化平台上的所有虚机并添加 到待防护列表中。
3.根据权利要求2所述的一种同一安全域内虚机之间流量的防护方法,其特征在于:所述安全虚机使用虚拟防火墙,该防火墙过滤虚机之间的流量,隔断并阻断所保护的虚机,配合虚拟安全防护层,根据预设的安全规则分析处理所转发的通信流量,产生响应。
4.根据权利要求3所述的一种同一安全域内虚机之间流量的防护方法,其特征在于:所述响应包括:正常响应,即转发和通过;异常响应,即报警和/或丢弃。
5.根据权利要求3所述的一种同一安全域内虚机之间流量的防护方法,其特征在于:所述预定义的安全规则储存在策略库内,该策略库分为针对全局和单个虚机的全局和个性两种,在策略库内设置规则字段,该规则字段包括源虚机、目的虚机、协议、端口和动作。
【文档编号】H04L29/06GK104023035SQ201410291666
【公开日】2014年9月3日 申请日期:2014年6月26日 优先权日:2014年6月26日
【发明者】魏道通 申请人:浪潮电子信息产业股份有限公司