CN101645873B - 一种计算机以及虚拟机环境中实现网络隔离的方法 - Google Patents
一种计算机以及虚拟机环境中实现网络隔离的方法 Download PDFInfo
- Publication number
- CN101645873B CN101645873B CN2008101182177A CN200810118217A CN101645873B CN 101645873 B CN101645873 B CN 101645873B CN 2008101182177 A CN2008101182177 A CN 2008101182177A CN 200810118217 A CN200810118217 A CN 200810118217A CN 101645873 B CN101645873 B CN 101645873B
- Authority
- CN
- China
- Prior art keywords
- network
- operating system
- driver module
- network packet
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供一种计算机以及虚拟机环境中实现网络隔离的方法,计算机包括:硬件平台;物理网卡;虚拟机管理器;第一操作系统,安装在虚拟机管理器上,与所述物理网卡连接,通过所述物理网卡,所述第一操作系统与外部网络间可实现相互传输第一网络包;网络过滤驱动模块,与所述物理网卡连接,用于对经过所述网络过滤驱动模块的网络包进行处理;第二操作系统,安装在虚拟机管理器上,具有所述虚拟机管理器为其分配的第二虚拟网卡,通过所述第二虚拟网卡、所述网络过滤驱动模块及所述物理网卡,所述第二操作系统与所述外部网络间可实现相互传输第二网络包,所述网络过滤驱动模块对所述第二网络包进行处理。本发明保证了第二操作系统的网络安全。
Description
技术领域
本发明涉及计算机领域中的虚拟机环境下网络的安全,特别是指计算机以及虚拟机环境中实现网络隔离的方法。
背景技术
在计算机领域的虚拟机技术领域中,如图1所示,虚拟机系统通常包括安装在计算机硬件平台上的虚拟机管理器(如Xen中的hypervisor)以及多个操作系统,其中一个操作系统为Host OS,即主操作系统,其余为Guest OS,即客户操作系统,在虚拟机环境下,真实网卡即物理网卡通常安装在硬件平台中,该真实网卡能够被Host OS直接访问,但Guest OS必须使用由虚拟机管理器分配给该操作系统的虚拟网卡访问该真实网卡,从而实现Guest OS与外部网络的通信。
再如图1所示,为现有的一种虚拟环境下计算机的网络连接结构图,该图中,在Xen环境下,Host OS和Guest OS通过hypervisor进行桥接之后,访问外网,如Internet网络,hypervisor为Host OS分配一个第一虚拟网卡,为GuestOS分配一个第二虚拟网卡,Host OS通过其具有的第一虚拟网卡与虚拟机管理器中的桥(即Bridge)连接,Guest OS也通过其具有的第二虚拟网卡与虚拟机管理器中的桥(即Bridge)连接,然而该桥相对于外网来说是透明的,黑客可以从该网桥处获得Host OS和Guest OS的虚拟网卡的地址,进而直接对HostOS和/或Guest OS进行攻击,可以说这种结构是极其不安全的。
为了提高虚拟机环境下网络的安全性,有人采用如图2所示的结构,图2为Xen环境下Guest OS通过Host OS的NAT网络过滤驱动(网络地址映射,功能是进行网络包的过滤和转发)模块访问外网,采用这种方式,黑客发现不了Guest OS的虚拟网卡地址,因此无法利用网络直接入侵Guest OS,但于GuestOS与Host OS使用了虚拟网卡连接,Guest OS依然可以被黑客通过Host OS访问,当Host OS被入侵后,Guest OS的安全性也会受到极大威胁。
发明人在实现本发明的过程中,发现现有技术中至少存在如下问题:
在虚拟环境中,Guest OS的网络安全性无法得到很好的保证。
发明内容
本发明要解决的技术问题是提供一种计算机以及虚拟机环境中实现网络隔离的方法,实现虚拟机环境下的主操作系统和客户操作系统的网络隔离,保证客户操作系统的网络安全。
为解决上述技术问题,本发明的实施例提供技术方案如下:
一种计算机,包括:
硬件平台;
物理网卡,安装在所述硬件平台上;
虚拟机管理器,安装在所述硬件平台上;
第一操作系统,安装在所述虚拟机管理器上,与所述物理网卡连接,通过所述物理网卡,所述第一操作系统与外部网络间可实现相互传输第一网络包;
网络过滤驱动模块,与所述物理网卡连接,用于对经过所述网络过滤驱动模块的网络包进行处理;
第二操作系统,安装在所述虚拟机管理器上,具有所述虚拟机管理器为其分配的第二虚拟网卡,通过所述第二虚拟网卡、所述网络过滤驱动模块及所述物理网卡,所述第二操作系统与所述外部网络间可实现相互传输第二网络包,所述网络过滤驱动模块对所述第二网络包进行处理。
优选的,所述网络过滤驱动模块和所述物理网卡安装在所述第一操作系统中,所述网络过滤驱动模块包括:
过滤模块,用于对所述第二网络包进行过滤,获得第三网络包;
转发模块,用于转发所述第三网络包。
优选的,所述计算机还包括:
一安全通道,设置在所述虚拟机管理器中,所述安全通道连接在所述网络过滤驱动模块和所述第二虚拟网卡之间,用于传输在所述网络过滤驱动模块和所述第二虚拟网卡间的网络包。
优选的,所述计算机还包括:
安全协议模块,用于安装安全协议,并与所述安全通道连接,所述安全通道在所述安全协议的控制下进行网络包的传输。
优选的,所述安全协议为:可信平台模块规范中的独立对象授权协议或者特定对象授权协议。
优选的,所述第一操作系统包括:
监视器,与所述网络过滤驱动模块连接,用于对所述网络过滤驱动模块进行网络配置,并监视当前是否有动态调试器存在,若监视到有,则向所述网络过滤驱动模块发出停止工作的命令,所述网络过滤驱动模块接收到该命令后,立即停止当前的工作。
优选的,所述网络过滤驱动模块和所述物理网卡安装在所述虚拟机管理器中,所述第一操作系统还包括:由所述虚拟机管理器分配的且与所述网络过滤驱动模块连接的第一虚拟网卡,所述网络过滤驱动模块将过滤后的所述第一操作系统经由所述第一虚拟网卡向所述外部网络发出的所述第一网络包通过所述物理网卡发送出去,或者通过所述物理网卡将从所述外部网络接收的所述第一网络包转发给所述第一虚拟网卡。
优选的,所述网络过滤驱动模块具体为:能通过加壳手段防止黑客的静态逆向工程的静态破解的模块。
为解决上述技术问题,本发明的实施例还提供一种虚拟机环境中实现网络隔离的方法,所述方法包括如下步骤:
接收来自第一操作系统的第一网络包;对所述第一网络包进行过滤处理,获得第四网络包;
将所述第四网络包通过仅包括物理网卡的第一数据通道发送至外部网络;
接收来自第二操作系统且经由第二虚拟网卡和一安全通道传输来的第二网络包;
对所述第二网络包进行过滤处理,获得第三网络包;
将所述第三网络包通过包括所述物理网卡的第二数据通道发送至所述外部网络。
优选的,所述接收来自第二操作系统且经由第二虚拟网卡和一安全通道传输来的第二网络包的步骤具体为:
所述第二操作系统将发往所述外部网络的所述第二网络包经由第二虚拟网卡发送给所述安全通道,
所述安全通道在安全协议的控制下对所述第二网络包进行传输。
优选的,所述安全协议为:可信平台模块规范中的独立对象授权协议或者特定对象授权协议。
优选的,所述进行过滤处理步骤具体为:
通过加壳手段防止黑客的静态逆向工程的静态破解来对网络包进行过滤处理。
本发明的实施例具有以下有益效果:
上述技术方案通过虚拟环境中的单向网络过滤驱动的网络方案,即Host OS与Guest OS都可以通过网络访问外网(比如Internet),但Host OS与Guest OS不能利用网络进行互相访问(即Host OS不能ping通Guest OS,Guest OS也不能ping通Host OS),完全隔离Host OS与Guest OS之间的网络,Guest OS不会因为Host OS被入侵而受到安全威胁。
附图说明
图1为现有的虚拟环境下计算机的网络连接结构图;
图2为现有的虚拟环境下计算机的另一种网络连接结构图;
图3为本发明的实施例计算机针对图2所示的网络连接结构改进后的图;
图4为图3所示的计算机的一具体实施例结构图;
图5为本发明的实施例计算机针对图1所示的网络连接结构改进后的图;
图6为本发明的实施例虚拟机环境下网络隔离的方法的流程示意图。
具体实施方式
为使本发明的实施例要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明的实施例针对现有技术中虚拟机系统环境中,客户操作系统的安全受到威胁的问题,提供一种计算机以及虚拟机环境中实现网络隔离的方法。
如图3所示,本发明的实施例计算机包括:硬件平台;物理网卡,安装在硬件平台上;虚拟机管理器,安装在硬件平台上;第一操作系统,安装在该虚拟机管理器上,与物理网卡连接,通过物理网卡,第一操作系统与外部网络间可实现相互传输第一网络包;网络过滤驱动模块,与物理网卡连接,用于对经过网络过滤驱动模块的网络包进行处理;第二操作系统,安装在该虚拟机管理器上,具有该虚拟机管理器为其分配的第二虚拟网卡,通过该第二虚拟网卡、网络过滤驱动模块及物理网卡,第二操作系统与外部网络间可实现相互传输第二网络包,网络过滤驱动模块对第二网络包进行处理。这里的硬件平台包括物理网卡,物理硬盘,物理内存等硬件设备。
这里的虚拟机管理器可以如VMWARE,XEN环境的hypervisor等,主要是为安装在计算机上的操作系统虚拟出若干个操作系统,并为这些操作系统提供虚拟硬件的分配和管理。这里的第一操作系统可以为主操作系统(Host OS),也可以为客户操作系统(Guest OS),即被虚拟出来的操作系统,如果为主操作系统,则该操作系统可以对底层的物理硬件设备直接进行访问,而为客户操作系统时,只能对虚拟机管理器为其分配的虚拟硬件进行访问;当然第二操作系统也可以为主操作系统,也可以为客户操作系统,但同时在一个计算机系统中,只能有一个Host OS,可以有多个Guest OS。
为方便描述,以下以第一操作系统为主操作系统,第二操作系统为客户操作系统进行举例描述本发明的实施例。
这里的网络过滤驱动模块可以为如NAT模块,passthru模块等,其作用是过滤和转发操作系统与外部网络(如Internet)收发的网络包,以使计算机的网络环境更加安全。
再如图3所示,在本发明的一个实施例中,上述网络过滤驱动模块以及物理网卡安装在第一操作系统中(如Host OS),在该操作系统中,该网络过滤驱动模块与物理网卡连接;该网络过滤驱动模块包括:过滤模块,用于对上述第二操作系统与外部网络传输的第二网络包进行过滤,获得第三网络包;转发模块,用于转发该第三网络包。具体讲,该网络过滤驱动模块中的转发模块将过滤后的第二操作系统(如Guest OS)向外部网络发出的网络包通过该物理网卡发送出去,或者通过物理网卡将从外部网络接收的网络包转发给第二操作系统的第二虚拟网卡。
在该实施例中,为了进一步提高网络转发的安全性,计算机的虚拟机管理器中还包括一安全通道,该安全通道连接在上述网络过滤驱动模块和第二虚拟网卡之间,用于传输网络过滤驱动模块过滤后的第二操作系统向外部网络发出的网络包或从外部网络接收的网络包。
在该方案中,第一操作系统由于没有虚拟网卡,只能通过物理网卡访问外网,不能访问第二操作系统中的第二虚拟网卡,这样第一操作系统就完全不能通过网络访问第二操作系统;
当第二操作系统需要访问外部网络时,第二虚拟网卡将所有数据通过安全通道转发到NAT模块,NAT模块将数据通过物理网卡发送到外部网络,因此该第二操作系统得以访问外部网络,同时由于第一操作系统没有虚拟网卡,第二操作系统同无法通过网络访问第一操作系统,实现网络完全隔离,完全杜绝了第一操作系统对第二操作系统的安全隐患,同时这种方案中,第一操作系统能直接访问物理网卡,拥有较高的网络效率。
另外,在上述实施例中,虚拟机管理器中还包括一安全协议模块,用于安装安全协议,并与安全通道进行绑定连接,安全通道在安全协议的控制下进行网络包的传输。这里的安全协议可以为:可信平台模块规范(TCG)中的独立对象授权协议(OSAP)或者特定对象授权协议(OIAP),保证该安全通道不被例如重放攻击、中间人攻击等手段攻击。
另外,在上述实施例中,由于网络过滤驱动模块拥有第二操作系统的所有网络连接,也有安全通道的连接方式,黑客可以用动态调试(Windbg等工具)或者静态逆向工程(IDA等工具)威胁安全通道的安全,进而达到攻击第二操作系统的目的。
这时,针对黑客采用动态调试工具威胁网络过滤驱动模块的安全,如图4所示,在第一操作系统还可安装一监视器,与网络过滤驱动模块连接,用于对网络过滤驱动模块进行网络配置,并监视当前是否有动态调试器存在,若监视到有,则向网络过滤驱动模块发出停止工作的命令,网络过滤驱动模块接收到该命令后,立即停止当前的工作。这样网络过滤驱动模块停止被动态调试破解,黑客也就无从截取第二操作系统对外部网络收发的网络包了;
针对黑客采用静态逆向工程工具威胁网络过滤驱动模块的安全,该网络过滤驱动模块可以通过加壳手段防止逆向工程的静态破解。
在该实施例中,通常第一操作系统的防火墙安装在网络过滤驱动模块的上面,因此第一操作系统的防火墙配置对该网络过滤驱动模块不起作用,第二操作系统可以直接连接到外部网络而不需要知道第一操作系统的存在,因此,第一操作系统和第二操作系统采用如上的网络安装结构是完全隔离的,保证了第二操作系统的安全。
如图5所示,在本发明的另一个实施例中,硬件平台的物理网卡还可以安装在虚拟机管理器中,该虚拟机管理器通过访问该物理网卡,与该外部网络进行第一操作系统和第二操作系统的网络包的收发。这里的第一操作系统可以为Host OS,也可以为Guest OS;第二操作系统也可以为Host OS,也可以为GuestOS,但同时在一个计算机系统中,只有一个是Host OS,可以有多个Guest OS。
上述网络过滤驱动模块(如NAT模块)也安装在虚拟机管理器中,并与物理网卡连接;在该实施例中,第一操作系统也具有虚拟机管理器为其分配的第一虚拟网卡,该第一虚拟网卡与该网络过滤驱动模块连接;网络过滤驱动模块将过滤后的第一操作系统经由第一虚拟网卡向外部网络发出的第一网络包通过物理网卡发送出去,或者通过物理网卡将从外部网络接收的第一网络包转发给第一虚拟网卡。
另外,在本实施例中,虚拟机管理器也可包括一监视器,与网络过滤驱动模块连接,用于对网络过滤驱动模块进行网络配置,并监视当前是否有动态调试器存在,若监视到有,则向网络过滤驱动模块发出停止工作的命令,该网络过滤驱动模块接收到该命令后,立即停止当前的工作。这样网络过滤驱动模块停止被动态调试破解,黑客也就无从截取第一操作系统或第二操作系统对外部网络收发的网络包了;该网络过滤驱动模块还可通过加壳手段防止黑客的静态逆向工程的静态破解,来进一步保证网络的安全。
在本实施例中,第一操作系统虽然具有第一虚拟网卡,但该第一虚拟网卡并没有与第二操作系统中的第二虚拟网卡直接连接,而是通过NAT模块分别与外部网络连接,通过该NAT模块实现对外部网络的访问,保证了第二操作系统对外部网络访问的数据的安全性;即使第一操作系统与第二操作系统能够通过NAT模块互相访问,由于NAT的过滤功能,二者之间的访问数据也是安全的,而且为了进一步提高安全性,在虚拟机管理器中还安装有防火墙,但该防火墙安装在网络过滤驱动模块的上面,避免对其他操作系统的影响。
另外,如图6所示,本发明的实施例还提供一种虚拟机环境下网络隔离的方法,包括如下步骤:
步骤S61,接收来自第一操作系统的第一网络包,对该第一网络包进行过滤处理,获得第四网络包;
步骤S62,将该第四网络包通过仅包括物理网卡的第一数据通道发送至外部网络;
步骤S63,接收来自第二操作系统且经由第二虚拟网卡和一安全通道传输来的第二网络包;
步骤S64,对该第二网络包进行过滤处理,获得第三网络包;
步骤S65,将该第三网络包通过包括该物理网卡的第二数据通道发送至外部网络。
其中,上述步骤S63具体为:第二操作系统将发往外部网络的第二网络包经由第二虚拟网卡发送给安全通道;该安全通道在安全协议的控制下对第二网络包进行传输;即,第二操作系统的第二网络包由第二虚拟网卡发送至安全通道,由安全通道将该第二网络包传输至第一操作系统中的网络过滤驱动模块,由该网络过滤驱动模块将该网络包通过物理网卡发送至外部网络,当从外部网络接收网络包时,流程相反,即通过物理网卡接到收网络包后,交由第一操作系统中的网络过滤驱动模块进行过滤,然后转发至安全通道,由安全通道转发给第二操作系统的第二虚拟网卡。这里的安全协议为:可信平台模块规范中的独立对象授权协议或者特定对象授权协议。
上述步骤S61中,对该第一网络包进行过滤处理的步骤具体为:通过加壳手段防止黑客的静态逆向工程的静态破解来对第一网络包进行过滤处理。
上述步骤S64中,对该第二网络包进行过滤处理的步骤具体为:通过加壳手段防止黑客的静态逆向工程的静态破解来对第二网络包进行过滤处理。
上述方法的实施例同样由于第二操作系统对外部网络的网络包通过第二虚拟网卡、网络过滤驱动模块以及物理网卡转发出去;第一操作系统对外部网络的网络包通过第一虚拟网卡、网络过滤驱动模块以及物理网卡转发出去;而第一操作系统与第二操作系统没有直接通过虚拟网卡相互连接,因此实现了第一操作系统和第二操作系统的网络隔离,保证了第二操作系统的安全。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明所述原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (12)
1.一种计算机,包括:
硬件平台;
物理网卡,安装在所述硬件平台上;
虚拟机管理器,安装在所述硬件平台上;
第一操作系统,安装在所述虚拟机管理器上,与所述物理网卡连接,通过所述物理网卡,所述第一操作系统与外部网络间可实现相互传输第一网络包;
网络过滤驱动模块,与所述物理网卡连接,用于对经过所述网络过滤驱动模块的网络包进行处理;
第二操作系统,安装在所述虚拟机管理器上,具有所述虚拟机管理器为其分配的第二虚拟网卡,通过所述第二虚拟网卡、所述网络过滤驱动模块及所述物理网卡,所述第二操作系统与所述外部网络间可实现相互传输第二网络包,所述网络过滤驱动模块对所述第二网络包进行处理。
2.根据权利要求1所述的计算机,其特征在于,所述网络过滤驱动模块和所述物理网卡安装在所述第一操作系统中,所述网络过滤驱动模块包括:
过滤模块,用于对所述第二网络包进行过滤,获得第三网络包;
转发模块,用于转发所述第三网络包。
3.根据权利要求2所述的计算机,其特征在于,所述计算机还包括:
一安全通道,设置在所述虚拟机管理器中,所述安全通道连接在所述网络过滤驱动模块和所述第二虚拟网卡之间,用于传输在所述网络过滤驱动模块和所述第二虚拟网卡间的网络包。
4.根据权利要求3所述的计算机,其特征在于,所述计算机还包括:
安全协议模块,用于安装安全协议,并与所述安全通道连接,所述安全通道在所述安全协议的控制下进行网络包的传输。
5.根据权利要求4所述的计算机,其特征在于,所述安全协议为:可信平台模块规范中的独立对象授权协议或者特定对象授权协议。
6.根据权利要求5所述的计算机,其特征在于,所述第一操作系统包括:
监视器,与所述网络过滤驱动模块连接,用于对所述网络过滤驱动模块进行网络配置,并监视当前是否有动态调试器存在,若监视到有,则向所述网络过滤驱动模块发出停止工作的命令,所述网络过滤驱动模块接收到该命令后,立即停止当前的工作。
7.根据权利要求1所述的计算机,其特征在于,所述网络过滤驱动模块和所述物理网卡安装在所述虚拟机管理器中,所述第一操作系统还包括:
由所述虚拟机管理器分配的且与所述网络过滤驱动模块连接的第一虚拟网卡,所述网络过滤驱动模块将过滤后的所述第一操作系统经由所述第一虚拟网卡向所述外部网络发出的所述第一网络包通过所述物理网卡发送出去,或者通过所述物理网卡将从所述外部网络接收的所述第一网络包转发给所述第一虚拟网卡。
8.根据权利要求1至7中任一项所述的计算机,其特征在于,所述网络过滤驱动模块具体为:能通过加壳手段防止黑客的静态逆向工程的静态破解的模块。
9.一种虚拟机环境中实现网络隔离的方法,其特征在于,所述方法包括如下步骤:
接收来自第一操作系统的第一网络包;对所述第一网络包进行过滤处理,获得第四网络包;
将所述第四网络包通过仅包括物理网卡的第一数据通道发送至外部网络;
接收来自第二操作系统且经由第二虚拟网卡和一安全通道传输来的第二网络包;
对所述第二网络包进行过滤处理,获得第三网络包;
将所述第三网络包通过包括所述物理网卡的第二数据通道发送至所述外部网络。
10.根据权利要求9所述的方法,其特征在于,所述接收来自第二操作系统且经由第二虚拟网卡和一安全通道传输来的第二网络包的步骤具体为:
所述第二操作系统将发往所述外部网络的所述第二网络包经由第二虚拟网卡发送给所述安全通道;
所述安全通道在安全协议的控制下对所述第二网络包进行传输。
11.根据权利要求10所述的方法,其特征在于,所述安全协议为:可信平台模块规范中的独立对象授权协议或者特定对象授权协议。
12.根据权利要求9所述的方法,其特征在于,所述进行过滤处理步骤具体为:
通过加壳手段防止黑客的静态逆向工程的静态破解来对网络包进行过滤处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101182177A CN101645873B (zh) | 2008-08-07 | 2008-08-07 | 一种计算机以及虚拟机环境中实现网络隔离的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101182177A CN101645873B (zh) | 2008-08-07 | 2008-08-07 | 一种计算机以及虚拟机环境中实现网络隔离的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101645873A CN101645873A (zh) | 2010-02-10 |
| CN101645873B true CN101645873B (zh) | 2012-08-22 |
Family
ID=41657593
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101182177A Active CN101645873B (zh) | 2008-08-07 | 2008-08-07 | 一种计算机以及虚拟机环境中实现网络隔离的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101645873B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108595248A (zh) * | 2018-04-24 | 2018-09-28 | 深信服科技股份有限公司 | 一种虚拟化系统通信方法、装置、设备及虚拟化系统 |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102110197B (zh) * | 2009-12-25 | 2013-04-03 | 中国科学院计算技术研究所 | 多核处理器的计算环境中实现tpm的方法及其系统 |
| CN102592102B (zh) * | 2011-12-31 | 2014-09-17 | 深信服网络科技(深圳)有限公司 | 一种终端防泄密控制方法及终端 |
| CN103312578B (zh) * | 2012-03-12 | 2016-12-14 | 联想(北京)有限公司 | 一种获得网卡资源的方法及装置 |
| CN102708330B (zh) * | 2012-05-10 | 2015-07-08 | 深信服网络科技(深圳)有限公司 | 一种防止系统被入侵的方法、入侵防御系统及计算机 |
| CN103064724A (zh) * | 2012-12-14 | 2013-04-24 | 北京伸得纬科技有限公司 | 虚拟机构建方法及装置 |
| CN104102524A (zh) * | 2013-04-12 | 2014-10-15 | 中国银联股份有限公司 | 一种实现虚拟安全载体vse的方法 |
| CN103747070A (zh) * | 2013-12-27 | 2014-04-23 | 上海森步特信息技术有限公司 | 一种网络隔离方法及装置 |
| CN104573505A (zh) * | 2014-12-30 | 2015-04-29 | 北京工业大学 | 一种使用过滤驱动实现单硬盘双操作系统分区隔离的方法 |
| RU2017130338A (ru) * | 2015-02-20 | 2019-03-20 | Пристин Машин, Ллк | Способ разбиения функции обработки данных между уровнями системы |
| CN105049412B (zh) * | 2015-06-02 | 2018-04-03 | 深圳市联软科技股份有限公司 | 一种不同网络间数据安全交换方法、装置及设备 |
| CN106549934B (zh) * | 2015-09-23 | 2020-04-21 | 深圳市全智达科技有限公司 | 网络设备安全系统 |
| CN105871939A (zh) * | 2016-06-26 | 2016-08-17 | 杨越 | 网络环境下虚拟机安全隔离系统 |
| CN111432040A (zh) * | 2019-01-09 | 2020-07-17 | 成都鼎桥通信技术有限公司 | 多系统终端的数据包发送方法及装置 |
| CN114697440B (zh) * | 2020-12-30 | 2023-08-29 | 成都鼎桥通信技术有限公司 | 网络管理方法及移动终端 |
| CN115982081A (zh) * | 2021-10-14 | 2023-04-18 | 华为技术有限公司 | 一种与PCIe设备通信的方法、装置及系统 |
| CN114050992B (zh) * | 2021-10-20 | 2023-08-29 | 北京字节跳动网络技术有限公司 | 多域系统的数据处理方法、装置和设备 |
| CN115175289A (zh) * | 2022-07-29 | 2022-10-11 | 恒玄科技(北京)有限公司 | 一种用于主机的无线网卡和无线通信方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1761252A (zh) * | 2005-11-03 | 2006-04-19 | 上海交通大学 | 远程大规模多用户并发控制的防火墙实验系统的实现方法 |
| US7111303B2 (en) * | 2002-07-16 | 2006-09-19 | International Business Machines Corporation | Virtual machine operating system LAN |
-
2008
- 2008-08-07 CN CN2008101182177A patent/CN101645873B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7111303B2 (en) * | 2002-07-16 | 2006-09-19 | International Business Machines Corporation | Virtual machine operating system LAN |
| CN1761252A (zh) * | 2005-11-03 | 2006-04-19 | 上海交通大学 | 远程大规模多用户并发控制的防火墙实验系统的实现方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108595248A (zh) * | 2018-04-24 | 2018-09-28 | 深信服科技股份有限公司 | 一种虚拟化系统通信方法、装置、设备及虚拟化系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101645873A (zh) | 2010-02-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101645873B (zh) | 一种计算机以及虚拟机环境中实现网络隔离的方法 | |
| EP2570954B1 (en) | Method, device and system for preventing distributed denial of service attack in cloud system | |
| US8190778B2 (en) | Method and apparatus for network filtering and firewall protection on a secure partition | |
| US8417868B2 (en) | Method, apparatus and system for offloading encryption on partitioned platforms | |
| CN101668022B (zh) | 一种建立在虚拟机上的虚拟网络隔离系统及实现方法 | |
| US8566941B2 (en) | Method and system for cloaked observation and remediation of software attacks | |
| CN102244622B (zh) | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 | |
| CA3021285C (en) | Methods and systems for network security | |
| AU2012211053A1 (en) | Internet isolation for avoiding internet security threats | |
| US20120110657A1 (en) | Apparatus and method for host-based network separation | |
| KR101290963B1 (ko) | 가상화 기반 망분리 시스템 및 방법 | |
| US10382456B2 (en) | Remote computing system providing malicious file detection and mitigation features for virtual machines | |
| CN105704087A (zh) | 一种基于虚拟化实现网络安全管理的装置及其管理方法 | |
| US8024797B2 (en) | Method, apparatus and system for performing access control and intrusion detection on encrypted data | |
| US20070150685A1 (en) | Computer architecture for providing physical separation of computing processes | |
| CN105025067A (zh) | 一种信息安全技术研究平台 | |
| US9473518B2 (en) | Securing network communications with logical partitions | |
| US20090063684A1 (en) | Wpar halted attack introspection stack execution detection | |
| Shen et al. | A covert channel using event channel state on xen hypervisor | |
| CN111526124B (zh) | 一种基于内外网的隔离通信系统及方法 | |
| CN102986194A (zh) | 网络安全处理方法、系统和网卡 | |
| JP5548095B2 (ja) | 仮想制御プログラム、情報処理装置及び仮想制御方法 | |
| Zhang et al. | The design of a physical network isolation system | |
| KR101526471B1 (ko) | 호스트 보안 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |