一種實現分布式網絡安全防護的方法及系統技術方案
【技術實現步驟摘要】
本申請涉及信息安全
,尤指一種實現分布式網絡安全防護的方法及系統。
技術介紹
云計算是計算機和互聯網的又一次新的革命,它將計算和存儲轉移到了云端,用戶可以通過使用輕量級的便攜式終端來進行復雜的計算和大容量的存儲。從技術的角度來看,云計算不僅僅是一種新的概念,并行計算和虛擬化是實現云計算應用的主要技術手段。由于硬件技術的快速發展,使得一臺普通的物理服務器所具有性能遠遠超過普通的單一用戶對硬件性能的需求。因此,通過虛擬化的手段,將一臺物理服務器虛擬為多臺虛擬機,提供虛擬化服務成為了構建公有云和企業私有云的技術基礎。經過虛擬化后,可以極大的提高軟件系統對硬件資源的利用率,并通過虛擬化平臺對計算、存儲、網絡等資源的統一調度管理,實現按需高效的使用硬件資源。由于多臺虛擬機共用同一臺物理機的資源,不同虛擬機的網絡流量可以在一臺物理主機內部通過虛擬交換機交換,而無須被轉發到物理網絡上。即使是不同的物理主機之間的虛擬機交換數據,也由于同一塊物理網卡上出入的流量混雜了屬于不同網絡的虛擬機的流量,這些流量都在一個大二層物理交換機上進行交換,而無法找到網絡間清晰的物理邊界。因此,虛擬化環境中網絡的物理邊界消失了。因此,在虛擬化技術在帶來便利的同時,也帶來了新的安全問題。在虛擬化環境中,由于網絡物理邊界的消失,無法采用設置網絡防火墻的方法,在不同網絡之間進行防火墻的部署。如果把防火墻部署在整個虛擬化環境的網...
【技術保護點】
一種實現分布式網絡安全防護的方法,其特征在于,包括:將虛擬防火墻旁掛在虛擬交換機上;對不是來自或發往物理防火墻的數據流量,業務虛擬機判斷是否已經過虛擬防火墻過濾,如果是,轉發所述數據流量,否則,將該數據流量發往虛擬防火墻;虛擬防火墻對接收的數據流量進行過濾,確定為安全的數據流量后,將所述數據流量轉發回業務虛擬機;否則,丟棄所述數據流量。
【技術特征摘要】
1.一種實現分布式網絡安全防護的方法,其特征在于,包括:將虛擬防
火墻旁掛在虛擬交換機上;
對不是來自或發往物理防火墻的數據流量,業務虛擬機判斷是否已經過
虛擬防火墻過濾,如果是,轉發所述數據流量,否則,將該數據流量發往虛
擬防火墻;
虛擬防火墻對接收的數據流量進行過濾,確定為安全的數據流量后,將
所述數據流量轉發回業務虛擬機;否則,丟棄所述數據流量。
2.根據權利要求1所述的方法,其特征在于,所述不是來自或發往物理
防火墻的數據流量具體包括:
從網絡協議棧發出的不是發往物理防火墻的數據流量;接收的發往網絡
協議棧的不是來自物理防火墻的數據流量。
3.根據權利要求1或2所述的方法,其特征在于,該方法之前還包括:所
述業務虛擬機確定由網絡協議棧發出的數據流量是否發往物理防火墻;
或者,發往網絡協議棧的數據流量是否來自物理防火墻。
4.根據權利要求1或2所述的方法,其特征在于,在轉發所述數據流量或,
將數據流量發往虛擬防火墻之前,該方法還包括:
獲取分布式網絡的網絡拓撲信息;
所述業務虛擬機根據獲得的網絡拓撲信息,進行所述數據流量的轉發或
將數據流量發往所述虛擬防火墻。
5.根據權利要求4所述的方法,其特征在于,該方法之前還包括,在所
述各業務虛擬機上,預先設置第一虛擬網卡和第二虛擬網卡;其中,
第一虛擬網卡,用于接收、來自物理防火墻的數據流量、不是來自或發
往物理防火墻的發往網絡協議棧的已經過虛擬防火墻過濾的數據流量、不是
來自或發往物理防火墻的發往網絡協議棧的未過濾的數據流量;發送、發往
物理防火墻的數據流量,不是來自或發往物理防火墻的發往網絡協議棧的已
\t經過虛擬防火墻過濾的數據流量;不是來自或發往物理防火墻的發往網絡協
議棧的未過濾的數據流量;
第二虛擬網卡,為安全導流網卡,用于將不是來自或發往物理防火墻且
未過濾的數據流量,發往虛擬防火墻;接收由網絡協議棧發出的且不是發往
物理防火墻的被業務虛擬機確定未過濾的數據流量后、經虛擬防火墻過濾的
數據流量。
6.根據權利要求4所述的方法,其特征在于,所述數據流量為發往物理
防火墻的數據流量,所述根據網絡拓撲信息進行數據流量的轉發包括:
根據所述網絡拓撲信息中物理防火墻的介質訪問控制MAC地址進行流量
轉發;
所述數據流量為不是來自或發往物理防火墻且已經過虛擬防火墻過濾的
數據流量,所述根據網絡拓撲信息進行數據流量的轉發包括:
根據所述網絡拓撲信息的MAC地址和IP地址,將數據流量發往數據流量
的目的地址;
所述數據流量為不是來自或發往物理防火墻的數據流量且未經過虛擬防
火墻過濾的數據流量;所述將該數據流量發往虛擬防火墻包括:
根據所述網絡拓撲信息中虛擬防火墻的MAC地址進行流量轉發。
7.根據權利要求4所述的方法,其特征在于,當所述數據流量為不是來
自或發往物理防火墻的數據流量,所述判斷數據流量是否已經過虛擬防火墻
過濾包括:
所述業務虛擬機根據所述網絡拓撲信息中虛擬防火墻的MAC地址,判斷
所述不是來自或發往物理防火墻的數據流量的數據包的源MAC地址是否與記
錄的虛擬防火墻的MAC地址的對外網口的MAC地址相同,當所述數據流量標
記的MAC地址與記錄的虛擬防火墻的對外網口的MAC地址相同時,確定所述
數據流量已經過虛擬防火墻;否則,確定所述數據流量未經過虛擬防火墻;
所述虛擬防火墻的MAC地址包括用于接收數據流量的對內網口的MAC
地址和用于向外發送已過濾數據流量的對外網口的MAC地址。
8.根據權利要求4所述的方法,其特征在于,所述確定接收的數據流量
是否來自于或發往物理防火墻包括:
將所述接收數據流量標記的MAC地址或所述數據流量發往的MAC地址
與網絡拓撲信息中的物理防火墻的MAC地址進行比對,當與記錄的物理防火
墻的MAC地址相同時,確定所述接收到的數據流量來自或發往物理防火墻。
9.根據權利要求7所述的方法,其特征在于,當所述數據流量經過虛擬
防火墻過濾時,該方法之前還包括:在所述數據流量上添加虛擬防火墻的對
外網口的MAC地址作為源MAC地址進行標記。
10.根據權利要求7所述的方法,其特征在于,當所述數據流量經過物理
防火墻過濾時,該方法之前還包括:在所述數據流量上添加物理防火墻的MAC
地址進行標記。
11.根據權利要求1所述的方法,其特征在于,該方法還包括,按照預設
周期,獲取所述虛擬防火墻的工作狀態;
當獲得的工作狀態顯示所述虛擬防火墻發生故障時,對所述不是來自或
發往物理防火墻的數據流量,根據數據流量的所發往的業務虛擬機,將所述
數據流量轉發至該業務虛擬機。
12.一種實現分布式網絡安全防護的系統,其特征在于,包括:物理防
火墻,若干物理主機;各物理主機上包含有若干業務虛擬機、虛擬防火墻;
其中,
各業務虛擬機包含判斷單元,用于對不...
【專利技術屬性】
技術研發人員:李陟,曲武,
申請(專利權)人:北京啟明星辰信息技術股份有限公司,北京啟明星辰信息安全技術有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。