一種適用于虛擬機的網絡防火墻的實現(xiàn)方法【專利摘要】本發(fā)明涉及云計算領域,特別是一種適用于虛擬機的網絡防火墻的實現(xiàn)方法。本發(fā)明必須保證宿主機安裝防火墻軟件,并且開啟ip轉發(fā)。創(chuàng)建的虛擬機通過橋接的方式連接到網絡;然后在宿主機上創(chuàng)建屬于此虛擬機的子鏈表,接著根據(jù)虛擬機選擇網絡防火墻規(guī)則,把防火墻規(guī)則添加到虛擬機的子鏈表。最后把虛擬機的子鏈表鏈接到防火墻的FARWARD表中。假如用戶修改網絡防火墻規(guī)則的時,相應的把防火墻規(guī)則更新到虛擬機子鏈表。本發(fā)明實現(xiàn)防火墻規(guī)則只需要在宿主機上執(zhí)行,虛擬機操作內部無需再安裝防火墻軟件,提供一個節(jié)省資源,靈活方便虛擬機網絡防火墻的方法?!緦@f明】一種適用于虛擬機的網絡防火墻的實現(xiàn)方法【
技術領域:
】[0001]本發(fā)明涉及云計算領域,特別是一種適用于虛擬機的網絡防火墻的實現(xiàn)方法?!?br>背景技術:
】[0002]在云計算時代,通過虛擬機的形式提供彈性計算資源給用戶使用。通常,一個物理主機可以創(chuàng)建多臺的虛擬機,一個管理員需要管理的虛擬機成倍的增長,因此虛擬機網絡安全也面臨著嚴峻的挑戰(zhàn)。面對網絡安全的問題,傳統(tǒng)的解決辦法在每臺虛擬機上安裝網絡防火墻軟件,然后在每臺虛擬機上配置相應的防火墻規(guī)則。這種解決辦法存在以下弊端:[0003]1、網絡防火墻管理配置麻煩,每次設置更新修改網絡防火墻規(guī)則,用戶需要遠程登陸虛擬機逐一的設置。這種方式需要花費大量的人工,而且沒有統(tǒng)一的界面展示修改規(guī)貝U,容易產生混亂。[0004]2、每臺虛擬機需要運行網絡防火墻的軟件,額外占用大量的計算機資源。【
發(fā)明內容】[0005]本發(fā)明解決的技術問題在于提供一種適用虛擬機的網絡防火墻的實現(xiàn)方法,解決傳統(tǒng)方法存在的管理混亂、浪費資源的弊端,提供一個節(jié)省物理資源、靈活方便虛擬機網絡防火墻的解決方案。[0006]本發(fā)明解決上述問題,其特征在于:[0007]包括如下步驟:[0008]步驟1:宿主機安裝防火墻軟件,并且開啟ip轉發(fā);[0009]步驟2:宿主機創(chuàng)建的虛擬機以橋接的方式連接網絡;[0010]步驟3:宿主機上每創(chuàng)建一臺虛擬機就創(chuàng)建新的子鏈表,子鏈表的名字跟虛擬機名字一致;[0011]步驟4:在宿主機上初始化子鏈表規(guī)則,并且鏈接到FORWARD表;[0012]步驟5:用戶通過web頁面修改虛擬機子鏈表的規(guī)則。[0013]所述的宿主機可以創(chuàng)建、刪除虛擬機防火墻,添加、修改虛擬機防火墻的規(guī)則;[0014]所述的防火墻軟件是運行在宿主機,能夠實現(xiàn)上下行訪問策略、ARP防御、DOS防御。[0015]所述的步驟2是虛擬機網絡接口連接到Iinux網橋;所述的網橋相當于在Iinux宿主機上實現(xiàn)了一個虛擬的交換機。[0016]所述FORWARD鏈表允許網絡數(shù)據(jù)包重新轉發(fā)到虛擬機的網絡接口,按虛擬機子鏈表的規(guī)則所定義的方法來進行放行(accept)、拒絕(reject)、丟棄(drop)處理這些數(shù)據(jù)包;[0017]所述的初始化鏈表是為了保障虛擬機的網絡安全性,默認規(guī)則是:虛擬機下行是拒絕訪問的;上行訪問時沒有任何限制的;抵御ARP網關欺騙。[0018]用戶可以通過web頁面修改虛擬機的防火墻規(guī)則。[0019]防火墻規(guī)則只需要在宿主機上執(zhí)行,而不需要在虛擬機上安裝防火墻軟件。[0020]本發(fā)明實現(xiàn)了防火墻規(guī)則只需要在宿主機上執(zhí)行,虛擬機操作內部無需再安裝防火墻軟件,提供一個節(jié)省資源,靈活方便虛擬機網絡防火墻的實現(xiàn)方法。【專利附圖】【附圖說明】[0021]下面結合附圖對本發(fā)明進一步說明:[0022]圖1為本發(fā)明的流程圖;[0023]圖2為本發(fā)明的模型架構圖?!揪唧w實施方式】[0024]如圖1、2所示,本發(fā)明包括如下步驟:[0025]步驟1:宿主機安裝防火墻軟件,并且開啟ip轉發(fā)。[0026]步驟2:宿主機創(chuàng)建的虛擬機以橋接的方式連接網絡;即虛擬機網絡接口連接到Iinux網橋;所述的網橋相當于在Iinux宿主機上實現(xiàn)了一個虛擬的交換機。[0027]步驟3:宿主機上每創(chuàng)建一臺虛擬機就創(chuàng)建新的子鏈表,子鏈表的名字跟虛擬機名字一致。[0028]步驟4:在宿主機上初始化子鏈表規(guī)則,并且鏈接到FORWARD表;所述FORWARD鏈表允許網絡數(shù)據(jù)包重新轉發(fā)到虛擬機的網絡接口,按虛擬機子鏈表的規(guī)則所定義的方法來進行放行(accept)、拒絕(reject)、丟棄(drop)處理這些數(shù)據(jù)包;所述的初始化鏈表是為了保障虛擬機的網絡安全性,默認規(guī)則是:虛擬機下行是拒絕訪問的;上行訪問時沒有任何限制的;抵御ARP網關欺騙。[0029]步驟5:用戶通過web頁面修改虛擬機子鏈表的規(guī)則;即可以通過web頁面修改虛擬機的防火墻規(guī)則。[0030]前述中,宿主機可以創(chuàng)建、刪除虛擬機防火墻,添加、修改虛擬機防火墻的規(guī)則。防火墻軟件是運行在宿主機,能夠實現(xiàn)上下行訪問策略、ARP防御、DOS防御。[0031]防火墻規(guī)則只需要在宿主機上執(zhí)行,而不需要在虛擬機上安裝防火墻軟件。[0032]本發(fā)明涉及的防火墻軟件有多種,下面以iptables為例講述其中一種虛擬機網絡防火墻的實現(xiàn)方式,流程圖如圖1所示,具體實施過程如下[0033]1、在宿主機執(zhí)行以下命令,開啟宿主機ip數(shù)據(jù)包轉發(fā)[0034]#sysctl-wnet.1pv4.1p_forward=I[0035]2、創(chuàng)建虛擬機時,虛擬機網絡接口采用橋接的方式,配置文件如下[0036]〈interfacetype=”bridge,,〉[0037]<filterreffilter=“no-mac-spoofing,,/>[0038]〈sourcebridge="br0"/>[0039]〈modeltype="virtio"/〉[0040]</interface〉[0041]3、假如虛擬機id為1-abcd,然后創(chuàng)建1-abcd子鏈表,然后初始化子鏈表,并鏈接到FOR上ARD表,執(zhí)行命令如下:[0042]#iptables-tfiIter-N1-abcd[0043]#iptables-AFORWARD-j1-abcd[0044]#iptables-A1-abcd-mstate—stateINVALID-jDROP[0045]##iptables-A1-abcd-mstate—stateRELATED,ESTABLISHED-jACCEPT[0046]#iptables-A1-abcd-jDROP[0047]4、給1-abcd子鏈表添加規(guī)則,假如允許windows遠程連接,允許能夠ping虛擬機,那么需要執(zhí)行如下命令[0048]#iptables-1i_abcd3-ptcp—dport3389-jACCEPT[0049]#iptables-1i_abcd4-picmp-micmp-jACCEPT[0050]5、刪除1-abcd子鏈表的某個規(guī)則,比如刪除允許虛擬機被ping的規(guī)則,不允許windows遠程連接,那么需要執(zhí)行的命令如下:[0051]#iptables-D1-abcd-picmp-micmp-jACCEPT[0052]#iptables-Di_abcd4-ptcp—dport3389-jACCEPT[0053]6、虛擬機1-abcd被刪除時,虛擬機i_abcd的防火墻規(guī)則同樣被刪除,執(zhí)行命令如下:[0054]#iptables-DFORWARD1-abcd[0055]#iptables-F1-abcd[0056]#iptables-Xi_abcd。【權利要求】1.一種適用于虛擬機的網絡防火墻的實現(xiàn)方法,其特征在于:包括如下步驟:步驟1:宿主機安裝防火墻軟件,并且開啟ip轉發(fā);步驟2:宿主機創(chuàng)建的虛擬機以橋接的方式連接網絡;步驟3:宿主機上每創(chuàng)建一臺虛擬機就創(chuàng)建新的子鏈表,子鏈表的名字跟虛擬機名字一致;步驟4:在宿主機上初始化子鏈表規(guī)則,并且鏈接到FORWARD表;步驟5:用戶通過web頁面修改虛擬機子鏈表的規(guī)則。2.根據(jù)權利要求1所述的網絡防火墻的實現(xiàn)方法,其特征在于:所述的宿主機可以創(chuàng)建、刪除虛擬機防火墻,添加、修改虛擬機防火墻的規(guī)則;所述的防火墻軟件是運行在宿主機,能夠實現(xiàn)上下行訪問策略、ARP防御、DOS防御。3.根據(jù)權利要求1所述的網絡防火墻的實現(xiàn)方法,其特征在于:所述的步驟2是虛擬機網絡接口連接到Iinux網橋;所述的網橋相當于在Iinux宿主機上實現(xiàn)了一個虛擬的交換機。4.根據(jù)權利要求2所述的網絡防火墻的實現(xiàn)方法,其特征在于:所述的步驟2是虛擬機網絡接口連接到Iinux網橋;所述的網橋相當于在Iinux宿主機上實現(xiàn)了一個虛擬的交換機。5.根據(jù)權利要求1至4任一項所述的網絡防火墻的實現(xiàn)方法,其特征在于:所述FORWARD鏈表允許網絡數(shù)據(jù)包重新轉發(fā)到虛擬機的網絡接口,按虛擬機子鏈表的規(guī)則所定義的方法來進行放行(accept)、拒絕(reject)、丟棄(drop)處理這些數(shù)據(jù)包;所述的初始化鏈表是為了保障虛擬機的網絡安全性,默認規(guī)則是:虛擬機下行是拒絕訪問的;上行訪問時沒有任何限制的;抵御ARP網關欺騙。6.根據(jù)權利要求1至4任一項所述的網絡防火墻的實現(xiàn)方法,其特征在于:用戶可以通過web頁面修改虛擬機的防火墻規(guī)則。7.根據(jù)權利要求5所述的網絡防火墻的實現(xiàn)方法,其特征在于:用戶可以通過web頁面修改虛擬機的防火墻規(guī)則。8.根據(jù)權利要求1至4任一項所述的一種適用于虛擬機的網絡防火墻的方法,其特征在于:防火墻規(guī)則只需要在宿主機上執(zhí)行,而不需要在虛擬機上安裝防火墻軟件。9.根據(jù)權利要求5所述的一種適用于虛擬機的網絡防火墻的方法,其特征在于:防火墻規(guī)則只需要在宿主機上執(zhí)行,而不需要在虛擬機上安裝防火墻軟件。10.根據(jù)權利要求6所述的一種適用于虛擬機的網絡防火墻的方法,其特征在于:防火墻規(guī)則只需要在宿主機上執(zhí)行,而不需要在虛擬機上安裝防火墻軟件?!疚臋n編號】H04L29/06GK104023011SQ201410238596【公開日】2014年9月3日申請日期:2014年5月30日優(yōu)先權日:2014年5月30日【發(fā)明者】張瑜科,楊松,莫展鵬,季統(tǒng)凱申請人:國云科技股份有限公司