实施例对此不作穷尽枚举。
[0091]以上实施例对本发明提供的方法进行了说明,实际应用中,前述虚拟防火墙可以是网站级的虚拟WAF。虚拟WAF除包含前述安全规则库所具有的功能外,还具有虚拟机审计、虚拟机访问控制、架构设计、Web应用加固等基本功能。下面,以虚拟WAF为例,给出本发明的两种特殊的应用场景。
[0092]场景一:跨虚拟交换设备的数据流量监控
[0093]如图6所示,在一台宿主机中,虚拟机1、2、3隶属于虚拟交换设备X,虚拟机4、5、
6、7隶属于虚拟交换设备Y。虚拟交换设备X上部署有虚拟WAF a,虚拟交换设备Y上部署有虚拟WAF bo当虚拟机I向虚拟机4发送数据流量k时,数据流量k由虚拟机I发出,经由虚拟交换设备X到达虚拟WAF a进行清洗,再由虚拟交换设备X到达虚拟交换设备Y,并进一步经由虚拟交换设备Y到达虚拟WAF b再次进行清洗,最后再由虚拟交换设备Y到达虚拟机4。
[0094]其中,为防止两次数据清洗导致的资源浪费,数据流量k上可以进行字段标记:若虚拟WAF a未对其进行清洗,则将数据流量k标记为“ I ”,以便虚拟交换设备Y根据该标记将数据流量k牵引到虚拟WAF b进行清洗;若虚拟WAF a已对其进行清洗,则将数据流量k标记为“0”,以便虚拟交换设备Y根据该标记将数据流量k直接发送给虚拟机4。
[0095]场景二:跨宿主机的数据流量监控
[0096]如图7所示,在宿主机M中,虚拟机1、2、3隶属于虚拟交换设备X,在宿主机N中,虚拟机4、5、6、7隶属于虚拟交换设备Y。虚拟交换设备X上部署有虚拟WAF a,虚拟交换设备Y上部署有虚拟WAF bo当虚拟机I向虚拟机4发送数据流量k时,监控与清洗数据流量k的实现方式与上述场景一的实现方式相同,此处不再赘述。
[0097]进一步的,作为对上述方法的实现,本发明另一实施例还提供了一种基于云平台的虚拟化流量监控装置,该装置可以位于宿主机中,该宿主机又称为物理机或虚拟服务器。如图8所示,该装置包括:
[0098]部署单元81,用于在宿主机中部署虚拟防火墙;
[0099]监控单元82,用于通过虚拟交换设备监控源虚拟机产生的数据流量,并根据云平台下发的牵引策略将监控到的数据流量牵引到部署单元81部署的虚拟防火墙中;
[0100]处理单元83,用于通过部署单元81部署的虚拟防火墙对监控单元82牵引的数据流量进行清洗,获得安全数据流量;
[0101]发送单元84,用于将处理单元83处理得到的安全数据流量转发给对应的目标虚拟机。
[0102]进一步的,部署单元81用于:将虚拟防火墙部署在虚拟交换设备上。
[0103]进一步的,部署单元81用于:
[0104]获取作为监控对象的虚拟机的网段;
[0105]将虚拟防火墙动态部署在对应网段的虚拟交换设备上。
[0106]进一步的,如图9所示,监控单元82,包括:
[0107]分流模块821,用于根据牵引策略对数据流量进行分流;
[0108]牵引模块822,用于将分流模块821分流获得的分流数据选择性的牵引到虚拟防火墙中。
[0109]进一步的,监控单元82使用的牵引策略包括基于下述至少一个维度对数据流量进行分流:
[0110]数据包类型、数据包大小、源虚拟机分组、目标虚拟机分组以及时段。
[0111]进一步的,处理单元83用于对数据流量进行下述至少一种处理:
[0112]异常请求检测、增强输入验证、修补安全漏洞、异常规则/模型检测、状态管理、隐藏表单域保护、抗入侵规避处理、响应监视及信息泄露保护。
[0113]进一步的,发送单元84用于:根据数据包字段的目的网间协议IP地址将安全数据流量转发给对应的目标虚拟机。
[0114]进一步的,如图9所示,该装置进一步包括:
[0115]更新单元85,用于通过云平台对部署单元81部署的虚拟防火墙的安全规则库进行更新。
[0116]进一步的,如图9所示,该装置进一步包括:
[0117]标记单元86,用于在处理单元83获得安全数据流量之后,对安全数据流量进行字段标记;
[0118]监控单元82,用于根据云平台下发的牵引策略,将标记单元86未做字段标记的数据流量牵引到虚拟防火墙中;
[0119]发送单元84,用于将标记单元86已做字段标记的安全数据流量转发给对应的目标虚拟机。
[0120]进一步的,部署单元81部署的虚拟防火墙为虚拟WAF。
[0121]本发明提供的基于云平台的虚拟化流量监控装置,可以在宿主机中部署用于流量清洗的虚拟防火墙,由虚拟交换设备对虚拟机之间交换的数据流量进行监控,并牵引到虚拟防火墙中进行清洗,由此保证数据流量的安全性。与现有技术相比,本发明能够通过部署在宿主机中的虚拟防火墙保障虚拟环境下的网络安全。
[0122]本发明的实施例公开了:
[0123]Al、一种基于云平台的虚拟化流量监控方法,其特征在于,所述方法包括:
[0124]在宿主机中部署虚拟防火墙;
[0125]通过虚拟交换设备监控源虚拟机产生的数据流量,并根据云平台下发的牵引策略将监控到的所述数据流量牵引到所述虚拟防火墙中;
[0126]通过所述虚拟防火墙对所述数据流量进行清洗,获得安全数据流量;
[0127]将所述安全数据流量转发给对应的目标虚拟机。
[0128]A2、根据权利要求Al所述的方法,其特征在于,所述在宿主机中部署虚拟防火墙,包括:
[0129]将所述虚拟防火墙部署在所述虚拟交换设备上。
[0130]A3、根据权利要求A2所述的方法,其特征在于,所述将所述虚拟防火墙部署在所述虚拟交换设备上,包括:
[0131]获取作为监控对象的虚拟机的网段;
[0132]将所述虚拟防火墙动态部署在对应所述网段的虚拟交换设备上。
[0133]A4、根据权利要求Al所述的方法,其特征在于,所述根据云平台下发的牵引策略将监控到的所述数据流量牵引到所述虚拟防火墙中,包括:
[0134]根据所述牵引策略对所述数据流量进行分流;
[0135]将分流数据选择性的牵引到所述虚拟防火墙中。
[0136]A5、根据权利要求A4所述的方法,其特征在于,所述牵引策略包括基于下述至少一个维度对数据流量进行分流:
[0137]数据包类型、数据包大小、源虚拟机分组、目标虚拟机分组以及时段。
[0138]A6、根据权利要求Al所述的方法,其特征在于,所述通过所述虚拟防火墙对所述数据流量进行清洗,包括对所述数据流量进行下述至少一种处理:
[0139]异常请求检测、增强输入验证、修补安全漏洞、异常规则/模型检测、状态管理、隐藏表单域保护、抗入侵规避处理、响应监视及信息泄露保护。
[0140]A7、根据权利要求A6所述的方法,其特征在于,所述将所述安全数据流量转发给对应的目标虚拟机,包括:
[0141]根据数据包字段的目的网间协议IP地址将所述安全数据流量转发给对应的目标虚拟机。
[0142]AS、根据权利要求A6所述的方法,其特征在于,所述方法进一步包括:
[0143]通过所述云平台对所述虚拟防火墙的安全规则库进行更新。
[0144]A9、根据权利要求Al至AS中任一项所述的方法,其特征在于,在所述获得安全数据流量之后,所述方法进一步包括:
[0145]对所述安全数据流量进行字段标记;
[0146]所述根据云平台下发的牵引策略将监控到的所述数据流量牵引到所述虚拟防火墙中,包括:
[0147]根据云平台下发的牵引策略,将未做字段标记的数据流量牵引到所述虚拟防火墙中;
[0148]所述将所述安全数据流量转发给对应的目标虚拟机,包括:
[0149]将已做字段标记的安全数据流量转发给对应的目标虚拟机。
[0150]A10、根据权利要求Al至AS中任一项所述的方法,其特征在于,所述虚拟防火墙为虚拟Web应用防火墙WAF。
[0151]B11、一种基于云平台的虚拟化流量监控装置,其特征在于,所述装置包括:
[0152]部署单元,用于在宿主机中部署虚拟防火墙;
[0153]监控单元,用于通过虚拟交换设备监控源虚拟机产生的数据流量,并根据云平台下发的牵引策略将监控到的所述数据流量牵引到所述部署单元部署的所述虚拟防火墙中;
[0154]处理单元,用于通过所述部署单元部署的所述虚拟防火墙对所述监控单元牵引的所述数据流量进行清洗,获得安全数据流量;
[0155]发送单元,用于将所述处理单元处理得到的所述安全数据流量转发给对应的目标虚拟机。
[0156]B12、根据权利要求Bll所述的装置,其特征在于,所述部署单元用于:将所述虚拟防火墙部署在所述虚拟交换设备上。
[0157]B13、根据权利要求B12所述的装置,其特征在于,所述部署单元用于:
[0158]获取作为监控对象的虚拟机的网段;
[0159]将所述虚拟防火墙动态部署在对应所述网段的虚拟交换设备上。
[0160]B14、根据权利要求Bll所述的装置,其特征在于,所述监控单元,包括:
[0161]分流模块,用于根据所述牵引策略对所述数据流量进行分流;
[0162]牵引模块,用于将所述分流模块分流获得的分流数据选择性的牵引到所述虚拟防火墙中。
[0163]B15、根据权利要求B14所述的装置,其特