一種網(wǎng)絡(luò)安全管理裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本實用新型屬于網(wǎng)絡(luò)安全管理領(lǐng)域。
【背景技術(shù)】
[0002]現(xiàn)有寄宿虛擬化實現(xiàn)網(wǎng)絡(luò)安全管理,用戶通過防火墻、路由器、冗余交換機(jī)等安全來訪問內(nèi)部網(wǎng)絡(luò)中基于寄宿虛擬化的宿主主機(jī)。其實現(xiàn)網(wǎng)絡(luò)安全管理不足之處在于:(1)硬件資源利用率和成本較高,性能往往較低,不能有效的降低并發(fā)數(shù),滿足不了大用戶量的訪問控制。(2)未明確支持硬件虛擬化,網(wǎng)絡(luò)功能需要加載服務(wù),容易導(dǎo)致宿主機(jī)的網(wǎng)絡(luò)設(shè)備混亂,系統(tǒng)資源占用率高,網(wǎng)絡(luò)安全防護(hù)能力低。(3)寄宿虛擬化目前采用的主流產(chǎn)品是VMware Workstat1n,安裝于宿主主機(jī)內(nèi)的操作系統(tǒng)上,一旦宿主主機(jī)出現(xiàn)安全問題,宿主主機(jī)無法工作,導(dǎo)致虛擬服務(wù)器無法運(yùn)行,網(wǎng)絡(luò)安全性和穩(wěn)定性相對較差。
[0003]現(xiàn)有原生虛擬化實現(xiàn)網(wǎng)絡(luò)安全管理:和寄宿虛擬化實現(xiàn)網(wǎng)絡(luò)安全管理過程大致相同,不同之處在于原生虛擬化產(chǎn)品(目前主流產(chǎn)品是VMware ESX Server)直接安裝于服務(wù)器上。不足之處在于無法對網(wǎng)絡(luò)入侵進(jìn)行24小時不間斷監(jiān)視和保護(hù),降低了虛擬機(jī)網(wǎng)絡(luò)安全訪問和管理能力。
【實用新型內(nèi)容】
[0004]本實用新型的目的是提供一種網(wǎng)絡(luò)安全管理裝置。
[0005]一種網(wǎng)絡(luò)安全管理裝置,該裝置包括防火墻、路由器、冗余交換機(jī),它還包括虛擬防火墻、虛擬路由器和ESX主機(jī),防火墻、路由器和冗余交換機(jī)與LAN網(wǎng)絡(luò)連接,虛擬防火墻、虛擬路由器相連并與ESX主機(jī)相連。
[0006]本實用新型可以取得如下的有益效果:
[0007]I)在外部客戶機(jī)和內(nèi)部服務(wù)器之間部署具有防火墻、路由功能的物理設(shè)備,提高了物理網(wǎng)絡(luò)安全性及資源管理的可操作性;
[0008]2)實現(xiàn)防火墻虛擬化,對虛擬機(jī)的隔離,提供控制區(qū)、外網(wǎng)和參數(shù)保護(hù)等功能實現(xiàn)對多用戶應(yīng)用環(huán)境的支持,提高了虛擬環(huán)境下的網(wǎng)絡(luò)安全;
[0009]3)實現(xiàn)在虛擬機(jī)環(huán)境中的網(wǎng)絡(luò)入侵檢測功能;
[0010]4)構(gòu)建虛擬服務(wù)器,減低了物理服務(wù)器的數(shù)量,提高了服務(wù)器的性能。
【附圖說明】
[0011]圖1是一種網(wǎng)絡(luò)安全管理裝置的結(jié)構(gòu)示意圖。
【具體實施方式】
[0012]下面的實施例可以進(jìn)一步說明本實用新型,但不以任何方式限制本實用新型。
[0013]一種網(wǎng)絡(luò)安全管理裝置,包括防火墻1、路由器2、冗余交換機(jī)3,它還包括虛擬防火墻52、虛擬路由器53和ESX主機(jī)6,防火墻1、路由器2和冗余交換機(jī)3與LAN網(wǎng)絡(luò)4連接,虛擬防火墻52和虛擬路由器53相連并與ESX主機(jī)6相連。
[0014]一種基于虛擬化實現(xiàn)網(wǎng)絡(luò)安全管理的流程如下:
[0015]I)首先,WAN用戶進(jìn)入LAN網(wǎng)后,首先通過虛擬防火墻(VMware vShield Zones)對虛擬機(jī)的進(jìn)行隔離,提供控制區(qū)、外網(wǎng)和參數(shù)保護(hù)等,對訪問權(quán)限及惡意信息進(jìn)行過濾設(shè)置和攔截設(shè)置。
[0016]2)其次,通過虛擬路由器分配路由指向請求訪問不同資源上的虛擬機(jī),即根據(jù)實際需要在VMware vSphere將路由設(shè)置為不同形式橋接方式,建立虛擬路由。
[0017]3)最后,對訪問進(jìn)行實時性監(jiān)測。過程流程為:當(dāng)啟動監(jiān)測以后,遍歷每臺客戶虛擬機(jī),根據(jù)客戶虛擬機(jī)的需求,分析策略部分給出屬于該客戶虛擬機(jī)的一個分析測試集。監(jiān)測分析部分逐個運(yùn)行分析測試集中的測試。如果測試未通過,則說明客戶虛擬機(jī)受到了攻擊,采取相應(yīng)的行動,檢測失?。环駝t,監(jiān)測分析部分繼續(xù)選擇下一個分析測試進(jìn)行運(yùn)行。如此循環(huán),直到分析測試集中的所有測試通過為止。
[0018]最后,安全的訪問客戶機(jī)請求ESX主機(jī)中不同資源的虛擬機(jī)。
【主權(quán)項】
1.一種網(wǎng)絡(luò)安全管理裝置,包括防火墻(I)、路由器(2)、冗余交換機(jī)(3),其特征在于:它還包括虛擬防火墻(52)、虛擬路由器(53)和ESX主機(jī)(6),防火墻(I)、路由器(2)和冗余交換機(jī)(3)與LAN網(wǎng)絡(luò)(4)連接,虛擬防火墻(52)和虛擬路由器(53)相連并與ESX主機(jī)(6)相連。
【專利摘要】本實用新型公開了一種網(wǎng)絡(luò)安全管理裝置,該裝置包括防火墻、路由器、冗余交換機(jī),它還包括虛擬防火墻、虛擬路由器和ESX主機(jī),防火墻、路由器和冗余交換機(jī)與LAN網(wǎng)絡(luò)連接,虛擬防火墻、虛擬路由器相連并與ESX主機(jī)相連。本實用新型建立虛擬防火墻,對虛擬機(jī)隔離,建立虛擬路由功能以及控制ESX主機(jī)內(nèi)的虛擬機(jī),實現(xiàn)在虛擬機(jī)環(huán)境中的網(wǎng)絡(luò)入侵檢測功能,提升網(wǎng)絡(luò)安全。
【IPC分類】H04L29-06
【公開號】CN204334621
【申請?zhí)枴緾N201420715272
【發(fā)明人】楊生舉, 趙凡, 施韶亭, 趙昕暉, 蒙杰
【申請人】甘肅省科學(xué)技術(shù)情報研究所
【公開日】2015年5月13日
【申請日】2014年11月25日