一種虛擬機之間的網絡訪問控制實現方法
【專利說明】一種虛擬機之間的網絡訪問控制實現方法
[0001]
技術領域
[0002]本發(fā)明涉及計算機信息安全領域,具體地說是一種用于同一安全域內的虛擬機之間的網絡訪問控制實現方法。
【背景技術】
[0003]云計算和大數據時代,虛擬化技術應用正以非??焖俚乃俣劝l(fā)展,虛擬化技術中應用最廣泛的當屬服務器虛擬化,這種技術通過一臺或多臺物理服務器構建成一個虛擬化環(huán)境,在這個虛擬化環(huán)境中虛擬出多個虛擬系統(tǒng),每個虛擬系統(tǒng)對外提供一種或多種服務,各個系統(tǒng)之間相互獨立。
[0004]網絡邊界的虛擬化使傳統(tǒng)網絡邊界的防護手段失效,“東西向”流量監(jiān)控成為盲點:在傳統(tǒng)的網絡結構中,網絡邊界一般通過物理的服務器、網絡設備、網絡接口進行識別,防火墻和入侵檢測設備可以采用串接和旁路的方式捕獲進出邊界的流量并按照預設的策略執(zhí)行防護動作。
[0005]但隨著虛擬化實施之后,系統(tǒng)之間的邊界不單單是以物理設備的形式存在。比如在物理服務器中虛擬出多個服務器,這些虛擬機之間以及虛擬機與宿主機之間的通信都只會在服務器內完成,不會與外部網絡發(fā)生交互,傳統(tǒng)的邊界防護設備捕捉不到這些流量,也就不能進行防護;特別多個虛機在同一個安全域內,虛機之間流量通過虛擬交換進行轉發(fā)時,更是沒有任何防護設施。
【發(fā)明內容】
[0006]本發(fā)明的技術任務是針對上述現有技術的不足,提供一種虛擬機之間的網絡訪問控制實現方法,目的在于解決虛擬化平臺下虛擬機訪問不可控的問題。
[0007]本發(fā)明的技術任務是按以下方式實現的:一種虛擬機之間的網絡訪問控制實現方法,其特點是在虛擬化平臺的Hypervisor層部署虛擬安全防護層,通過安全防護層對由源虛擬機發(fā)出的數據包根據流表中的流規(guī)則進行匹配,實現虛擬化環(huán)境下虛擬機之間的網絡訪問可控。
[0008]用于實現上述方法的控制系統(tǒng)包括虛擬交換機,安全防護層和虛擬機三個模塊。其中:
(O虛擬交換機利用虛擬化平臺,通過軟件的方式形成交換機部件,完成交換機的工作,虛擬交換機位于虛擬化平臺的Hypervisor層;
(2)安全防護層在虛擬化平臺的Hypervisor層的虛擬交換機之前部署,在虛擬機的虛擬網卡和虛擬交換機端口之間通過流表匹配的方式執(zhí)行規(guī)則轉發(fā);
(3)虛擬機模塊:虛擬機通過在虛擬化環(huán)境下的虛擬網卡與虛擬交換機端口連接的方式接入網絡,通過匹配安全防護層中流表的規(guī)則進行網絡訪問。
[0009]作為優(yōu)選,本發(fā)明方法包括以下步驟:
(1)虛擬機流量攔截
安全防護層攔截源虛擬機的虛擬網卡到虛擬交換機之間的流量,并獲取待匹配信息;
(2)虛擬機規(guī)則匹配
安全防護層代理端接受源擬虛機網卡的流量,待匹配信息與安全防護層中的流表通過優(yōu)先級由高到低的順序進行規(guī)則匹配;
(3)虛擬機流量響應
安全防護層的響應引擎接受規(guī)則匹配的動作,執(zhí)行正常和異常兩種響應。正常響應將按照規(guī)則轉發(fā)到目的虛擬機;異常響應則執(zhí)行丟棄操作。
[0010]進一步的,所述待匹配信息包括源虛擬機、目的虛擬機和協(xié)議。
[0011]步驟(2 )中所述規(guī)則包括:
(1)虛擬交換機規(guī)則:獲取當前虛擬化環(huán)境下的虛擬交換機,為所有虛擬交換機配置統(tǒng)一的默認轉發(fā)規(guī)則,默認所有虛擬交換機的轉發(fā)規(guī)則均為正常轉發(fā),且優(yōu)先級為O ;
(2)虛擬機默認規(guī)則:獲取當前虛擬化環(huán)境下的網絡拓撲,對接入虛擬交換機的虛擬機的虛擬網卡配置統(tǒng)一的默認轉發(fā)規(guī)則,默認所有虛機的轉發(fā)規(guī)則均為丟棄,此規(guī)則優(yōu)先級高于(I)中規(guī)則;
(3)為允許互相訪問的虛擬機之間添加通路,即將兩臺虛擬機的虛擬網卡的地址分別作為源虛擬機地址和目的虛擬機地址,為其添加轉發(fā)規(guī)則為正常轉發(fā),此規(guī)則優(yōu)先級高于
(2)中規(guī)則;
(4)外部網絡對虛擬機的訪問:對于需要對外部網絡提供服務的虛擬機,針對提供服務的協(xié)議添加該虛擬機與外部主機或虛擬機之間的通路,即將虛擬機的虛擬網卡與外部主機(或虛擬機)的ip地址(或mac地址)分別作為源虛擬機地址和目的虛擬機地址,為其添加轉發(fā)規(guī)則為正常轉發(fā),此規(guī)則優(yōu)先級高于(2)中規(guī)則。
[0012]規(guī)則(3) (4)中所述地址為ip地址或mac地址。
[0013]本發(fā)明方法是基于虛擬化環(huán)境下的訪問控制技術實現對虛擬機之間的訪問控制,在虛擬交換機和需防護的虛擬機的虛擬網卡之間部署安全防護層,通過虛擬化安全防護層對由源虛擬機發(fā)出的數據包根據流表中的流規(guī)則進行匹配,只有符合流規(guī)則的流量才可以到達目的虛機,實現了虛擬化環(huán)境下虛擬機之間的網絡訪問可控。
【附圖說明】
[0014]附圖1是本發(fā)明實施例中虛擬機訪問控制規(guī)則匹配流程圖;
附圖2是本發(fā)明實施例中訪問控制實現流程圖。
【具體實施方式】
[0015]參照說明書附圖以具體實施例對本發(fā)明的虛擬機之間的網絡訪問控制實現方法作以下詳細地說明。
[0016]實施例:
本發(fā)明方法在虛擬化平臺的Hypervisor層部署虛擬安全防護層,通過安全防護層對由源虛擬機發(fā)出的數據包根據流表中的流規(guī)則進行匹配,實現虛擬化環(huán)境下虛擬機之間的網絡訪問可控。
[0017]實現上述方法的控制系統(tǒng)包括虛擬交換機,安全防護層和虛擬機三個模塊。
[0018]其中:
(O虛擬交換機利用虛擬化平臺,通過軟件的方式形成交換機部件,完成交換機的工作,虛擬交換機位于虛擬化平臺的Hypervisor層;
(2)安全防護層在虛擬化平臺的Hypervisor層的虛擬交換機之前部署,在虛擬機的虛擬網卡和虛擬交換機端口之間通過流表匹配的方式執(zhí)行規(guī)則轉發(fā);
(3)虛擬機模塊:虛擬機通過在虛擬化環(huán)境下的虛擬網卡與虛擬交換機端口連接的方式接入網絡,通過匹配安全防護層中流表的規(guī)則進行網絡訪問。
[0019]上述方法的具體步驟包括:
一、虛擬機流量攔截
源虛擬機發(fā)起網絡數據,調用虛擬機中的網絡層驅動提出發(fā)送數據包;安全防護層攔截源虛擬機的虛擬網卡到虛擬交換機之間的流量,并獲取源虛擬機、目的虛擬機和協(xié)議等待匹配信息。
[0020]二、虛擬機規(guī)則匹配
安全防護層代理端接受源擬虛機網卡的流量數據,通過源虛擬機、目的虛擬機和協(xié)議等信息與虛擬防護層中的流表通過優(yōu)先級由高到低的順序進行匹配,直到匹配完畢。
[0021]具體規(guī)則包括:
1)虛擬交換機規(guī)則:獲取當前虛擬化環(huán)境下的虛擬交換機,為所有虛擬交換機配置統(tǒng)一的默認轉發(fā)規(guī)則,默認所有虛擬交換機的轉發(fā)規(guī)則均為正常轉發(fā),且優(yōu)先級為O ;
2)虛擬機默認規(guī)則:獲取當前虛擬化環(huán)境下的網絡拓撲,對接入虛擬交換機的虛擬機的虛擬網卡配置統(tǒng)一的默認轉發(fā)規(guī)則,默認所有虛機的轉發(fā)規(guī)則均為丟棄,此規(guī)則優(yōu)先級高于I中規(guī)則;
3)為允許互相訪問的虛擬機之間添加通路,即將兩臺虛擬機的虛擬網卡的ip地址(或mac地址)分別作為源虛擬機地址和目的虛擬機地址,為其添加轉發(fā)規(guī)則為正常轉發(fā),此規(guī)則優(yōu)先級高于2中規(guī)則;
4)外部網絡對虛擬機的訪問:對于需要對外部網絡提供服務的虛擬機,針對提供服務的協(xié)議添加該虛擬機與外部主機(或虛擬機)之間的通路,即將虛擬機的虛擬網卡與外部主機(或虛擬機)的ip地址(或mac地址)分別作為源虛擬機地址和目的虛擬機地址,為其添加轉發(fā)規(guī)則為正常轉發(fā),此規(guī)則優(yōu)先級高于2中規(guī)則。
[0022]規(guī)則匹配順序為:(I)按照源虛擬機與目的虛擬機之間的規(guī)則匹配;(2)按照源虛擬機的規(guī)則匹配;(3)按照虛擬交換機默認規(guī)則進行匹配(如附圖1所示)。
[0023]如附圖2所示,虛擬化環(huán)境下虛擬機之間訪問控制的具體實現過程:(1)虛擬交換機的默認規(guī)則為優(yōu)先級是O的正常轉發(fā)規(guī)則;(2)虛擬機的默認轉發(fā)規(guī)則為優(yōu)先級高于(I)的限制正常轉發(fā)規(guī)則;(3)為允許互相訪問的虛擬機(虛擬機與外部主機/虛擬機也可)之間添加正常轉發(fā)規(guī)則,實現源虛擬機與目的虛擬機(虛擬機與外部主機/虛擬機也可)之間的正常訪問。
[0024]三、虛擬機流量響應
安全防護層的響應引擎接受規(guī)則匹配的動作,執(zhí)行正常和異常兩種響應:正常響應將按照規(guī)則轉發(fā)到目的虛擬機;異常響應則執(zhí)行丟棄操作。
【主權項】
1.一種虛擬機之間的網絡訪問控制實現方法,其特征在于:該方法在虛擬化平臺的Hypervisor層部署虛擬安全防護層,通過安全防護層對由源虛擬機發(fā)出的數據包根據流表中的流規(guī)則進行匹配,實現虛擬化環(huán)境下虛擬機之間的網絡訪問可控。
2.根據權利要求1所述的虛擬機之間的網絡訪問控制實現方法,其特征在于:該方法包括以下步驟: (1)虛擬機流量攔截 安全防護層攔截源虛擬機的虛擬網卡到虛擬交換機之間的流量,并獲取待匹配信息; (2)虛擬機規(guī)則匹配 安全防護層代理端接受源擬虛機網卡的流量,待匹配信息與安全防護層中的流表通過優(yōu)先級由高到低的順序進行規(guī)則匹配; (3)虛擬機流量響應 安全防護層的響應引擎接受規(guī)則匹配的動作,執(zhí)行正常和異常兩種響應。
3.根據權利要求2所述的虛擬機之間的網絡訪問控制實現方法,其特征在于:所述待匹配信息包括源虛擬機、目的虛擬機和協(xié)議。
4.根據權利要求2所述的虛擬機之間的網絡訪問控制實現方法,其特征在于步驟(2)中所述規(guī)則包括: (1)虛擬交換機規(guī)則:獲取當前虛擬化環(huán)境下的虛擬交換機,為所有虛擬交換機配置統(tǒng)一的默認轉發(fā)規(guī)則,默認所有虛擬交換機的轉發(fā)規(guī)則均為正常轉發(fā),且優(yōu)先級為O ; (2)虛擬機默認規(guī)則:獲取當前虛擬化環(huán)境下的網絡拓撲,對接入虛擬交換機的虛擬機的虛擬網卡配置統(tǒng)一的默認轉發(fā)規(guī)則,默認所有虛機的轉發(fā)規(guī)則均為丟棄,此規(guī)則優(yōu)先級高于(I)中規(guī)則; (3)為允許互相訪問的虛擬機之間添加通路,即將兩臺虛擬機的虛擬網卡的地址分別作為源虛擬機地址和目的虛擬機地址,為其添加轉發(fā)規(guī)則為正常轉發(fā),此規(guī)則優(yōu)先級高于(2)中規(guī)則; (4)外部網絡對虛擬機的訪問:對于需要對外部網絡提供服務的虛擬機,針對提供服務的協(xié)議添加該虛擬機與外部主機或虛擬機之間的通路,為其添加轉發(fā)規(guī)則為正常轉發(fā),此規(guī)則優(yōu)先級高于(2)中規(guī)則。
【專利摘要】本發(fā)明公開了一種虛擬機之間的網絡訪問控制實現方法,屬于數據安全領域。該通過對已知漏洞和高危文件的分析,得到各種網站類型中的關鍵文件列表,然后通過主機安全增強系統(tǒng)的文件強制訪問控制功能進行規(guī)則配置和下發(fā),實現對網站的底層防護。與現有技術相比,本發(fā)明方法基于白名單,與其他黑名單形式的防護手段形成了互補,且實現與內核層,作為網站防護體系中的最后一道防線,保證了網站的安全穩(wěn)定,具有很好的推廣應用價值。
【IPC分類】H04L29-06
【公開號】CN104735071
【申請?zhí)枴緾N201510138506
【發(fā)明人】劉龍
【申請人】浪潮集團有限公司
【公開日】2015年6月24日
【申請日】2015年3月27日