一種同一安全域內虛機之間流量的防護方法

2023-04-22 23:56:51 1

一種同一安全域內虛機之間流量的防護方法
【專利摘要】本發明提供一種同一安全域內虛機之間流量的防護方法，其具體實現過程如下：流量接入引擎接受流量攔截引擎提供的流量，把流量引入安全虛機中；流量分析引擎對虛機之間的流量根據預設規則執行訪問控制；響應引擎把流量分析引擎執行的動作交予虛擬安全防護層的響應接入引擎；響應接入引擎負責把安全虛機執行正常響應的流量交予目的虛機。該一種同一安全域內虛機之間流量的防護方法和現有技術相比，可及時發現並維護虛機之間流量的安全性，數據傳輸安全性高，實用性強，易於推廣。
【專利說明】—種同一安全域內虛機之間流量的防護方法
【技術領域】
[0001]本發明涉及計算機信息安全【技術領域】，具體的說是一種實用性強、同一安全域內虛機之間流量的防護方法。
【背景技術】
[0002]雲計算和大數據時代，虛擬化技術應用正以非常快速的速度發展，虛擬化技術中應用最廣泛的當屬伺服器虛擬化，這種技術通過一臺或多臺物理伺服器構建成一個虛擬化環境，在這個虛擬化環境中虛擬出多個虛擬系統，每個虛擬系統對外提供一種或多種服務，各個系統之間相互獨立。
[0003]網絡邊界的虛擬化使傳統網絡邊界的防護手段失效，「東西向」流量監控成為盲點:在傳統的網絡結構中，網絡邊界一般通過物理的伺服器、網絡設備、網絡接口進行識別，防火牆和入侵檢測設備可以採用串接和旁路的方式捕獲進出邊界的流量並按照預設的策略執行防護動作。
[0004]但隨著虛擬化實施之後，系統之間的邊界不單單是以物理設備的形式存在。比如在物理伺服器中虛擬出多個伺服器，這些虛擬機之間以及虛擬機與宿主機之間的通信都只會在伺服器內完成，不會與外部網絡發生交互，傳統的邊界防護設備捕捉不到這些流量，也就不能進行防護；特別多個虛機在同一個安全域內，虛機之間流量通過虛擬交換進行轉發。
[0005]鑑於此，本發明提供了一種使用在虛擬化平臺中部署安全虛機防護虛機之間流量的方法，目的在於解決同一安全域內虛擬交換機之間流量缺乏安全防護的問題。

【發明內容】

[0006]本發明的技術任務是解決現有技術的不足，提供一種安全性強、同一安全域內虛機之間流量的防護方法。
[0007]本發明的技術方案是按以下方式實現的，該一種同一安全域內虛機之間流量的防護方法，包括發送流量的源虛機、接收流量的目的虛機和可安全防護的安全虛機，這裡的虛機是指虛擬交換機，其具體防護過程為:
一、在虛擬化平臺的虛擬層上部署安全虛機，該安全虛機內置流量接入引擎、流量分析引擎和響應引擎；
二、在安全虛機的埠與待防護虛機的虛擬網卡之間部署虛擬安全防護層，該虛擬安全防護層包括流量攔截引擎和響應接入引擎，所述待防護虛機即為源虛機和目的虛機；
三、源虛機發起網絡數據，虛擬防護層的流量攔截引擎截獲源虛機的虛擬網卡到虛擬交換機之間的流量，獲取源虛機、目的虛機和協議信息；
四、虛擬防護層代理端接受虛機網卡的數據，通過數據轉發操作交予安全虛機的流量接入引擎；
五、檢測虛擬流量，由流量分析引擎對虛機之間的流量依據預定義的安全規則進行檢測，並生成響應動作； 六、響應引擎把流量分析引擎執行的動作交予虛擬安全防護層的響應接入引擎；
七、響應接入引擎把安全虛機執行正常響應的流量交予目的虛機。
[0008]所述虛擬安全防護層內還設置有虛機自動發現引擎，該虛機自動發現引擎檢查在虛擬化平臺上的所有虛機並添加到待防護列表中。
[0009]所述安全虛機使用虛擬防火牆，該防火牆過濾虛機之間的流量，隔斷並阻斷所保護的虛機，配合虛擬安全防護層，根據預設的安全規則分析處理所轉發的通信流量，產生響應。
[0010]所述響應包括:正常響應，即轉發和通過；異常響應，即報警和/或丟棄。
[0011]所述預定義的安全規則儲存在策略庫內，該策略庫分為針對全局和單個虛機的全局和個性兩種，在策略庫內設置規則欄位，該規則欄位包括源虛機、目的虛機、協議、埠和動作。
[0012]本發明與現有技術相比所產生的有益效果是:
本發明的一種同一安全域內虛機之間流量的防護方法使用基於虛擬環境的流量訪問控制技術實現對虛機之間訪問控制，通過虛擬化安全防護層將虛機流量牽引到安全虛機中，根據策略庫中的安全策略，對同一安全域內虛機之間的流量進行檢查，只有符合安全規則的流量才可以到達目的虛機，保證了流量轉發傳輸過程的安全性，防護能力強，保證數據安全性，實用性強，易於推廣。
【專利附圖】

【附圖說明】
[0013]附圖1為本發明的實現示意圖。
[0014]附圖2是本發明的實現流程圖。
【具體實施方式】
[0015]下面結合附圖對本發明的一種同一安全域內虛機之間流量的防護方法作以下詳細說明。
[0016]本發明提供了一種同一安全域內虛機之間流量的防護方法，使用基於虛擬環境的流量訪問控制技術實現對虛機之間訪問控制，通過虛擬化安全防護層將虛機流量牽引到安全虛機中，根據策略庫中的安全策略，對同一安全域內虛機之間的流量進行檢查。只有符合安全規則的流量才可以到達目的虛機。基於該設計思路，如附圖1、圖2所示，該方法包括發送流量的源虛機、接收流量的目的虛機和可安全防護的安全虛機，這裡的虛機是指虛擬交換機，其具體防護過程為:
一、在虛擬化平臺的虛擬層上部署安全虛機，該安全虛機內置流量接入引擎、流量分析引擎和響應引擎。
[0017]其中流量接入引擎負責流量接入的功能。
[0018]流量分析引擎負責流量的檢測並生成響應動作。
[0019]響應弓I擎負責執行檢測弓丨擎的動作。
[0020]二、在安全虛機的埠與待防護虛機的虛擬網卡之間部署虛擬安全防護層，該虛擬安全防護層包括流量攔截引擎和響應接入引擎，所述待防護虛機即為源虛機和目的虛機。[0021]也就是說，該虛擬安全防護層部署在虛擬平臺中的虛擬交換機和需要防護的虛機的虛擬網卡之間，通過流量攔截技術，把流量轉發到安全虛機中；並接受安全虛機所傳達的響應。
[0022]三、虛機流量攔截:源虛機發起網絡數據，虛擬防護層的流量攔截引擎截獲源虛機的虛擬網卡到虛擬交換機之間的流量，獲取源虛機、目的虛機和協議信息。
[0023]四、虛機流量接入:虛擬防護層代理端接受虛機網卡的數據，通過數據轉發操作交予安全虛機的流量接入引擎。
[0024]五、虛機流量檢測:安全虛機接受接入引擎轉發的數據，由流量分析引擎對虛機之間的流量依據預定義的安全規則進行檢測，並生成響應動作。
[0025]六、虛機流量響應:響應引擎把流量分析引擎執行的動作交予虛擬安全防護層的響應接入引擎。
[0026]七、響應接入引擎把安全虛機執行正常響應的流量交予目的虛機。
[0027]所述虛擬安全防護層內還設置有虛機自動發現引擎，該虛機自動發現引擎檢查在虛擬化平臺上的所有虛機並添加到待防護列表中；虛擬防護層遍歷已有虛機列表，並自動添加默認全局安全規則。
[0028]所述虛擬防護層具備自動防護功能，即虛機防護層與虛擬層進行通信，自動檢測新建或者複製過來的虛機，並自動應用全局安全策略，滿足數據中心的自動化擴展需求。
[0029]所述安全虛機使用虛擬防火牆，該防火牆過濾虛機之間的流量，隔斷並阻斷所保護的虛機，配合虛擬安全防護層，根據預設的安全規則分析處理所轉發的通信流量，產生響應。
[0030]所述響應包括:正常響應，即轉發和通過；異常響應，即報警和/或丟棄。
[0031]所述預定義的安全規則儲存在策略庫內，該策略庫分為針對全局和單個虛機的全局和個性兩種，在策略庫內設置規則欄位，該規則欄位包括源虛機、目的虛機、協議、埠和動作。
[0032]本發明的的流量防護方法通過在虛擬層部署虛擬安全防護層，對虛機之間的流量進行攔截實現訪問控制。
[0033]以上實施方式僅用於說明本發明，而並非對本發明的限制，有關【技術領域】的普通技術人員，在不脫離本發明的精神和範圍的情況下，還可以做出各種變化和變型，因此所有等同的技術方案也屬於本發明的範疇，本發明的專利保護範圍應由權利要求限定。
【權利要求】
1.一種同一安全域內虛機之間流量的防護方法，其特徵在於包括發送流量的源虛機、接收流量的目的虛機和可安全防護的安全虛機，這裡的虛機是指虛擬交換機，其具體防護過程為: 一、在虛擬化平臺的虛擬層上部署安全虛機，該安全虛機內置流量接入引擎、流量分析引擎和響應引擎； 二、在安全虛機的埠與待防護虛機的虛擬網卡之間部署虛擬安全防護層，該虛擬安全防護層包括流量攔截引擎和響應接入引擎，所述待防護虛機即為源虛機和目的虛機； 三、源虛機發起網絡數據，虛擬防護層的流量攔截引擎截獲源虛機的虛擬網卡到虛擬交換機之間的流量，獲取源虛機、目的虛機和協議信息； 四、虛擬防護層代理端接受虛機網卡的數據，通過數據轉發操作交予安全虛機的流量接入引擎； 五、檢測虛擬流量，由流量分析引擎對虛機之間的流量依據預定義的安全規則進行檢測，並生成響應動作； 六、響應引擎把流量分析引擎執行的動作交予虛擬安全防護層的響應接入引擎； 七、響應接入引擎把安全虛機執行正常響應的流量交予目的虛機。
2.根據權利要求1所述的一種同一安全域內虛機之間流量的防護方法，其特徵在於:所述虛擬安全防護層內還設置有虛機自動發現引擎，該虛機自動發現引擎檢查在虛擬化平臺上的所有虛機並添加 到待防護列表中。
3.根據權利要求2所述的一種同一安全域內虛機之間流量的防護方法，其特徵在於:所述安全虛機使用虛擬防火牆，該防火牆過濾虛機之間的流量，隔斷並阻斷所保護的虛機，配合虛擬安全防護層，根據預設的安全規則分析處理所轉發的通信流量，產生響應。
4.根據權利要求3所述的一種同一安全域內虛機之間流量的防護方法，其特徵在於:所述響應包括:正常響應，即轉發和通過；異常響應，即報警和/或丟棄。
5.根據權利要求3所述的一種同一安全域內虛機之間流量的防護方法，其特徵在於:所述預定義的安全規則儲存在策略庫內，該策略庫分為針對全局和單個虛機的全局和個性兩種，在策略庫內設置規則欄位，該規則欄位包括源虛機、目的虛機、協議、埠和動作。
【文檔編號】H04L29/06GK104023035SQ201410291666
【公開日】2014年9月3日 申請日期:2014年6月26日 優先權日:2014年6月26日
【發明者】魏道通 申請人:浪潮電子信息產業股份有限公司