本發明專利技術涉及一種自動配置安全虛擬機IP地址的方法及裝置。用于虛擬安全管理中心對安全虛擬機的管理和配置過程,該方法或裝置包括:對安全虛擬機模板進行修改包括:添加或選出第一虛擬網卡設備,將所述第一虛擬網卡設備設置為不啟用;在所述第一虛擬網卡設備的配置項中增加介質訪問控制MAC地址,將該MAC地址的一部分設置為協議識別信息,另一部分設置為需要配置的管理端口的IP地址;安全虛擬機啟動后,根據所述協議識別信息識別出所述第一虛擬網卡設備,從所述第一虛擬網卡設備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標虛擬網卡上。通過該方案可以簡化虛擬化安全產品的部署過程和虛擬化平臺的管理權限分配。
【技術實現步驟摘要】
—種自動配置安全虛擬機IP地址的方法及裝置
本專利技術涉及虛擬化
,尤其涉及虛擬化環境中的安全虛擬機的部署和配置方案。
技術介紹
云計算是計算機和互聯網的又一次新的革命,它將計算和存儲轉移到了云端,用戶可以通過使用輕量級的便攜式終端來進行復雜的計算和大容量的存儲。從技術的角度來看,云計算不僅僅是一種新的概念,并行計算和虛擬化是實現云計算應用的主要技術手段。由于硬件技術的快速發展,使得一臺普通的物理服務器的所具有性能遠遠超過普通的單一用戶對硬件性能的需求。因此,通過虛擬化的手段,將一臺物理服務器虛擬為多臺虛擬機,提供虛擬化服務成為了構建公有云和企業私有云的技術基礎。經過虛擬化后,可以極大的提高軟件系統對硬件資源的利用率,并通過虛擬化平臺對計算、存儲、網絡等資源的統一調度管理,實現按需高效的使用硬件資源。在網絡安全領域,傳統的網絡安全監控通常采用在安全域的網絡邊界、以及需要監聽的安全域內的網絡鏈路上旁路式部署網絡安全監控產品,如入侵檢測系統(IntrusionDetection Systems, IDS)、安全審計系統等。虛擬化在帶來技術變革的同時,也提出了新的虛擬網絡安全監控問題。首先是網絡邊界問題,虛擬化技術對網絡工程的最大影響是使得傳統的物理網絡邊界不再清晰的存在,從而無法找到網絡安全域的網絡流的物理匯聚點;其次是隱蔽通信信道問題,在同一個大二層網絡環境下,同一虛擬交換機上的網絡流量會在虛擬交換機內部直接交換,而不會被轉發到物理鏈路上,連接在物理鏈路上的物理安全設備無法捕獲到這部分流量;虛擬機的遷移問題是另外一個影響安全產品在虛擬化網絡中部署的問題,由于虛擬機的可動態遷移的特性,使得物理網絡安全產品所監控的物理端口不再固定,而被監控的物理端口和連接其上的物理設備又無法跟隨遷移。以上這些問題使得傳統網絡安全監控產品無法找到合適的部署位置來保護虛擬網絡安全域的邊界安全。為了應對虛擬化帶來的這一技術變革和引入的安全威脅,目前安全廠商往往通過把安全產品虛擬化后,以安全虛擬機的方式直接部署到虛擬交換機上,從而直接抓取虛擬交換機上的流量,并且實時感知虛擬機的遷移情況,實現安全虛擬機或安全策略的跟隨遷移,以實時保護業務虛擬機的安全。在通常情況下,出于對于人員職責權限的劃分和人員專業能力的區別,一個業務網絡中的網絡運維管理和安全管理應該分別由專人負責,即存在專門的網絡運維管理人員,其權限和職責是通過網絡管理平臺對網絡上運行著業務系統的硬件設備進行狀態監控和管理,網絡安全則由專門的安全管理人員負責實施和管理,通過專業安全管理平臺和設備負責業務網絡的網絡安全。在傳統的物理環境下,配置安全產品時,直接通過串口線或者網線連接在安全產品上即可,而在虛擬化網絡中,虛擬機無法直接使用物理線纜連接,但是虛擬機形態的安全產品在配置好管理端口 IP地址前無法通過網絡登入,若使用虛擬化管理平臺的控制臺登入安全虛擬機再進行配置,將使得對安全產品的整個配置過程變得復雜,同時不熟悉虛擬化環境的安全管理人員直接使用vCenter等對虛擬網絡和虛擬機進行配置也存在一定的風險。在虛擬化安全產品部署過程中,由于不同的客戶環境會需要配置不同的管理口 IP地址,而在管理口 IP地址被配置完成前,無法通過管理口連接上該安全產品對其進行配置和部署。與傳統物理環境不同的是虛擬化環境中,安全虛擬機也運行在客戶的虛擬化平臺上,因此必須通過客戶的虛擬化平臺的管理工具如vCenter,來登錄到安全虛擬機內部進行管理,這就使得安全虛擬化產品的配置部署過程無法實現完全的自動化,而且登錄業務網絡的管理環境去配置安全產品還需要專門為vCenter分配相應的管理權限,帶來了管理的復雜性。
技術實現思路
本專利技術要解決的技術問題是如何簡化虛擬化安全產品的部署過程和虛擬化平臺的管理權限分配。一種自動配置安全虛擬機IP地址的方法和裝置,用于虛擬安全管理中心對安全虛擬機的管理和配置過程,包括:對安全虛擬機模板進行修改包括:添加或選出第一虛擬網卡設備,將所述第一虛擬網卡設備設置為不啟用;在所述第一虛擬網卡設備的配置項中增加介質訪問控制MAC地址,將該MAC地址的一部分設置為協議識別信息,另一部分設置為需要配置的管理端口的IP地址;安全虛擬機啟動后,根據所述協議識別信息識別出所述第一虛擬網卡設備,從所述第一虛擬網卡設備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標虛擬網卡上。可選地,在對所述安全虛擬機模板進行修改的步驟前還包括:對所述安全虛擬機模板進行復制;對所述安全虛擬機模板進行修改的步驟中是對復制得到的安全虛擬機模板中的模板ovf文件進行修改。可選地,將所述第一虛擬網卡設備設置為不啟用的步驟包括:將所述第一虛擬網卡設備的配置項中的自動定位AUTOMATICALLOCATION項設置為false。可選地,所述ovf文件修改的步驟完成后,再修改所述ovf文件對應的mf文件中的SHAl校驗值,以完成校驗。可選地,所述管理端口的IP地址配置完成的步驟后還包括:所述安全管理中心和所述安全虛擬機進行雙向注冊。一種自動配置安全虛擬機IP地址的裝置,用于虛擬安全管理中心對安全虛擬機的管理和配置過程,包括:運行在虛擬安全管理中心的模板管配模塊、運行在安全虛擬機上的自動配置代理模塊;所述模板管配模塊對安全虛擬機模板進行修改包括:添加或選出第一虛擬網卡設備,將所述第一虛擬網卡設備設置為不啟用;在所述第一虛擬網卡設備的配置項中增加介質訪問控制MAC地址,將該MAC地址的一部分設置為協議識別信息,另一部分設置為需要配置的管理端口的IP地址;安全虛擬機啟動后,所述自動配置代理模塊根據所述協議識別信息識別出所述第一虛擬網卡設備,從所述第一虛擬網卡設備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標虛擬網卡上。可選地,所述安全虛擬機模板管配模塊還包括安全虛擬機模板庫、模板實例化模塊;[0021 ] 所述安全虛擬機模板庫用于存儲安全虛擬機模板;所述模板實例化模塊用于在對所述安全虛擬機模板進行修改前,對所述安全虛擬機模板進行復制;所述模板實例化模塊還用于對復制得到的安全虛擬機模板中的模板ovf文件進行修改。可選地,所述模板管配模塊用于將所述第一網卡設備的配置項中的自動定位AUTOMATICALLOCATION 項設置為 false。可選地,所述模板實例化模塊完成對所述ovf文件的修改后,再修改所述ovf文件對應的mf文件中的SHAl校驗值,以完成校驗。可選地,所述安全管理中心和所述安全虛擬機在所述管理端口的IP地址配置完成后進行雙向注冊。本專利技術公開了一種無需登錄虛擬機的操作系統就可以自動配置虛擬機的IP地址的方法和裝置,通過該方案,在部署安全虛擬機時,安全管理人員可以動態根據用戶的網絡環境,配置安全虛擬機的管理端口的IP地址,而不需要登錄到vCenter來進入安全虛擬機系統后再修改IP,這就為不使用vCenter等虛擬化管理中心部署安全虛擬機提供了可能性,從而利用該方法能夠開發不需要與vCenter耦合在一起的獨立的虛擬化安全管理平臺,并把安全產品的部署與業務系統虛擬機的部署分開,簡化虛擬化安全產品的部署過程和虛擬化平臺的管理權限分配。【附圖說明】圖1安本文檔來自技高網...
【技術保護點】
一種自動配置安全虛擬機IP地址的方法,用于虛擬安全管理中心對安全虛擬機的管理和配置過程,其特征在于,包括:對安全虛擬機模板進行修改包括:添加或選出第一虛擬網卡設備,將所述第一網卡設備設置為不啟用;在所述第一虛擬網卡設備的配置項中增加介質訪問控制MAC地址,將該MAC地址的一部分設置為協議識別信息,另一部分設置為需要配置的管理端口的IP地址;安全虛擬機啟動后,根據所述協議識別信息識別出所述第一虛擬網卡設備,從所述第一虛擬網卡設備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標虛擬網卡上。
【技術特征摘要】
1.一種自動配置安全虛擬機IP地址的方法,用于虛擬安全管理中心對安全虛擬機的管理和配置過程,其特征在于,包括: 對安全虛擬機模板進行修改包括:添加或選出第一虛擬網卡設備,將所述第一網卡設備設置為不啟用;在所述第一虛擬網卡設備的配置項中增加介質訪問控制MAC地址,將該MAC地址的一部分設置為協議識別信息,另一部分設置為需要配置的管理端口的IP地址; 安全虛擬機啟動后,根據所述協議識別信息識別出所述第一虛擬網卡設備,從所述第一虛擬網卡設備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標虛擬網卡上。2.如權利要求1所述的方法,其特征在于,在對所述安全虛擬機模板進行修改的步驟前還包括:對所述安全虛擬機模板進行復制; 對所述安全虛擬機模板進行修改的步驟中是對復制得到的安全虛擬機模板中的模板ovf文件進行修改。3.如權利要求1所述的方法,其特征在于,將所述第一虛擬網卡設備設置為不啟用的步驟包括:將所述第一虛擬網卡設備的配置項中的自動定位AUTOMATICALLOCATION項設置為 false。4.如權利要求2所述的方法,其特征在于,所述ovf文件修改的步驟完成后,再修改所述ovf文件對應的mf文件中的SHAl校驗值,以完成校驗。5.如權利要求1所述的方法,其特征在于,所述管理端口的IP地址配置完成的步驟后還包括:所述安全管理中心和所述安全虛擬機進行雙向注冊。6.一種自動配置安全`虛擬機IP地址的裝置,用于虛擬安全管理中心對安全虛擬機的管理和配置過程,其特征在于,包括: ...
【專利技術屬性】
技術研發人員:李陟,劉新剛,葉潤國,
申請(專利權)人:北京啟明星辰信息技術股份有限公司, 北京啟明星辰信息安全技術有限公司,
類型:發明
國別省市:北京;11
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。