CN102739645A - 虚拟机安全策略的迁移方法及装置 - Google Patents

虚拟机安全策略的迁移方法及装置 Download PDF

Info

Publication number
CN102739645A
CN102739645A CN2012101214579A CN201210121457A CN102739645A CN 102739645 A CN102739645 A CN 102739645A CN 2012101214579 A CN2012101214579 A CN 2012101214579A CN 201210121457 A CN201210121457 A CN 201210121457A CN 102739645 A CN102739645 A CN 102739645A
Authority
CN
China
Prior art keywords
virtual machine
migration
safety means
unit
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012101214579A
Other languages
English (en)
Other versions
CN102739645B (zh
Inventor
孙松儿
吕振峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
New H3C Technologies Co Ltd
Original Assignee
Hangzhou H3C Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou H3C Technologies Co Ltd filed Critical Hangzhou H3C Technologies Co Ltd
Priority to CN201210121457.9A priority Critical patent/CN102739645B/zh
Publication of CN102739645A publication Critical patent/CN102739645A/zh
Priority to EP12875383.7A priority patent/EP2842285A4/en
Priority to US14/372,727 priority patent/US20150229641A1/en
Priority to PCT/CN2012/085239 priority patent/WO2013159518A1/en
Application granted granted Critical
Publication of CN102739645B publication Critical patent/CN102739645B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/70Virtual switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/4557Distribution of virtual machine instances; Migration and load balancing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2209/00Indexing scheme relating to G06F9/00
    • G06F2209/50Indexing scheme relating to G06F9/50
    • G06F2209/5013Request control

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种虚拟机安全策略迁移装置,应用于数据中心的安全管理服务器上,包括:迁移感知单元,用于接收来自虚拟机管理装置的虚拟机迁移报告,该报告包括虚拟机的位置参数;定位单元,用于根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备;安全策略管理单元,用于获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。本发明实现了虚拟机在安全设备上的安全策略自动跟随着虚拟机迁移而无缝迁移,免除了管理员因为虚拟机迁移而进行的安全设备手工配置操作,这对虚拟机迁移事件较多的大型数据中心来说意义非常显著。

Description

虚拟机安全策略的迁移方法及装置
技术领域
本发明涉及一种数据中心虚拟化技术,尤其涉及数据中心虚拟服务器安全策略迁移方法及装置。
背景技术
随着互联网的发展,虚拟化技术已经广泛应用在各级数据中心,尤其是服务器虚拟化技术更是被广大用户所接受并成功实施。虚拟化技术可以在单台物理服务器上虚拟化出多个相互独立的虚拟机(VM,Virtual Machine),这些VM可以被当作一台独立的服务器,与物理服务器一样有自己的IP地址和MAC地址,有自己的操作系统和各种应用程序;现阶段流行的虚拟化软件主要有VMware、Xen、微软的Hypervisor-V以及开源的KVM虚拟化平台。用的状况。
主流虚拟化技术还支持VM在不同物理服务器之间的迁移,甚至是可以保证虚拟机原先提供的业务服务不中断的在线迁移。在虚拟机迁移到新的物理服务器后,管理员需要在安全设备(比如防火墙)上部署VM的安全策略。然而管理员的操作面临很多问题,管理员首先需要知道迁移后的VM是否被新的安全设备所管理,比如说在同一个数据中心内做迁移时,可能迁移前后VM都在同一个安全设备的保护之下,因此不需要在安全设备上做任何配置调整。如果管理员判断VM在新的位置下会由新的防火墙来进行安全防护,那么管理员需要在新的防火墙上进行手动进行配置调整,而且还要删除原来防火墙下的配置,操作起来速度缓慢,并且可能会导致业务服务长时间中断,这使得VM的在线迁移失去了意义。此外,由于防火墙的安全策略配置起来是比较复杂且专业,稍有不慎可能导致较大的安全风险,因此要求管理员反复地手工操作可能引发较大的安全风险。由此看来,目前VM的迁移过程给数据中心的管理人员带来了很大的困扰。
发明内容
有鉴于此,本发明提供一种虚拟机安全策略迁移装置,应用于数据中心的安全管理服务器上,该装置包括:迁移感知单元、定位单元以及安全策略管理单元;其中,
迁移感知单元,用于接收来自虚拟机管理装置的虚拟机迁移报告,所述虚拟机迁移报告至少包括虚拟机的位置参数;
定位单元,用于根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备;
安全策略管理单元,用于获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。
本发明还提供一种虚拟机安全策略迁移方法,应用于数据中心的安全管理服务器上,该方法包括:
A、接收来自虚拟机管理装置的虚拟机迁移报告,所述虚拟机迁移报告至少包括虚拟机的位置参数;
B、根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备;
C、获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。
本发明通过虚拟机管理装置(也就是VM侧管理服务器一侧)与虚拟机安全策略迁移装置(也就是安全管理服务器一侧)之间的联动实现了VM在安全设备上的安全策略自动跟随着VM迁移而无缝迁移,免除了管理员因为VM迁移而进行的安全设备手工配置操作,这对VM迁移事件较多的大型数据中心来说意义非常显著。
附图说明
图1是本发明一种典型的数据中心VM迁移示意图。
图2是本发明一种实施方式中安全管理服务器的硬件结构图。
图3是本发明一种实施方式中虚拟机安全策略迁移装置逻辑结构图。
图4是本发明一种实施方式中虚拟机安全策略迁移流程图。
具体实施方式
本发明通过虚拟机管理装置与安全设备管理装置的配合来解决VM的安全策略迁移问题。以下结合附图详细介绍本发明在一种实施方式中的具体实现。
很多大型用户(如各大互联网公司)会在在多个不同地点建设有多个数据中心站点DC Site(如图1中的DC1以及DC2)。每个数据中心站点的服务器可以由虚拟机管理装置(未图示),比如运行在一台独立服务器上的KVM虚拟化软件,进行单个或者批量的VM创建与管理工作,这一工作通常包括在VM所在的物理服务器上为VM分配包括CPU在内的各种底层硬件资源以及各种软件资源,设置和管理VM所属接入端口的各种网络属性,如VLAN ID和QOS策略等Profile规则等。VM创建好之后就可以通过网络对外提供业务服务了。请参考图1,在典型的应用环境中,各个VM通过接入层交换机和汇聚交换机连接到安全设备(如防火墙)进而连接到外部网络(如互联网)。
如前所述,在安全设备上需要针对这些VM部署对应的安全策略,以保证从内网与外网之间的通信是受控,尤其是需要避免受到来自外网的攻击。以防火墙为例,安全策略可以覆盖到非常广义的范畴。最简单的安全策略是所有的防火墙都具有的基于IP地址过滤功能。这项任务要检查IP包头,根据其源IP地址和目的IP地址做出报文放行或丢弃决定。如今主流的防火墙在网络层面的安全策略已经能够包括源IP地址、目的IP地址、协议类型、源端口、目的端口、等在内的多个要素的任意组合。很多防火墙还包括应用层面的安全策略,比如针对应用程序名称或者特定的协议报文载荷中的字段进行报文过滤,还可以基于TTL值、来源的网域名称等要素进行过滤。而网络层面的安全策略与应用层面的安全策略又可以组合起来使用。由于不同VM承担的业务服务可能不尽相同,因此管理员在防火墙等安全设备上为其所部署的安全策略也不尽相同,但本发明的实现并不受限于安全策略的具体内容。
在数据中心的管理过程中,由于一些特定的原因,比如调整物理服务器硬件资源在VM上的分配,或者需要进行物理服务器硬件资源维护,或者为了进行系统备份操作,都可能需要对相关的VM进行迁移,因此对于KVM来说,VM迁移是常见的管理操作。KVM需要通过配置VM的迁移策略,将VM从DC1的某个服务器迁移到DC2的另外的物理服务器。在本发明中,除了VM自身以外,网络上层所部署的安全设备上的VM安全策略迁移装置10也会在KVM的配合下自动感知VM的迁移动作,并完成安全策略的相应迁移。以下结合图1图2、图3以及图4,以计算机程序实现为例来描述本发明的虚拟机安全策略迁移装置10是如何在虚拟机管理装置的配合下实现安全设备上的安全策略跟随VM迁移而无缝迁移的。需要说明的是,本发明并不局限于VM在不同数据中心站点之间的迁移,即便是同一个数据中心站点(可能部署了多个安全设备)内部进行迁移也是同样适用的。
图3示出了本发明一种实施方式中虚拟机安全策略迁移装置10的逻辑结构图,该装置包括迁移感知单元11、定位单元12以及安全策略管理单元13。虚拟机安全策略迁移装置10在本实施方式中是计算机程序在安全管理服务器CPU上运行所形成的逻辑装置。而所述安全管理服务器可以各种通用的服务器,其硬件架构如图2所示。同样的道理,虚拟机管理装置在本实施方式中是计算机程序在VM管理服务器CPU上运行所形成的逻辑装置,本发明未给出其逻辑结构图,然而本领域普通技术人员可以轻易地根据下文的描述结合现有技术抽象出与本发明思路一致的逻辑结构。
步骤101,虚拟机管理装置启动VM迁移并向虚拟机安全策略迁移装置10的感知单元发送迁移报告。
虚拟机管理装置对VM进行迁移的细节本发明不再一一描述。在本发明中,迁移报告的发送时机可以有多种选择,可以在迁移完成后再发送,也可以在迁移启动前或者迁移过程中来发送。在较佳的实施方式中,可以选择在迁移完成后来发送VM迁移报告,虽然在理论上来说迁移完成后发送可能会对VM及时对外提供业务服务产生影响,但是后续的安全策略迁移将是自动完成的,所需时间很短,因此这种影响很轻微。而且迁移后再发送可以避免其他方式中迁移不成功而触发的安全策略的错误迁移。
所述VM迁移报告至少包括VM位置参数;该位置参数可以包括VM的IP地址、VM的MAC地址、迁移前后的物理服务器IP地址、迁移前后VM的接入端口ID以及迁移前后VM的VLAN ID中任意一种或多种。迁移报告可以由各种私有或者公有的协议报文来承载,而消息的格式在较佳的事实方式中可以采用JSON格式,该消息包含的具体内容如下:
{″Version″:″1.0″,″Type″:1,″Src_Host_IP″:″192.168.0.1″,″Src_Host_Name″:″src-host″,″Dest_Host_IP″:″192.168.2.2″,″Dest_Host_Name″:″dest-host″,″VM_Ip″:″10.10.0.1″,″VM_Name″:″vm-name″,″VM_Vlan″:500,″VM_IF_name″:″eth0/0″,″VM_Port_Profile_index″:1234,″VM_MAC″:″11-22-33-cc-dd-ee″,}
Version表示版本号,其取值1.0,1.1等等。
Type表示报文类型,可以取值为1,表示这是虚拟机迁移后的上报消息。
Src_Host_IP表示虚拟机迁移前所在物理服务器的IP地址。
Src_Host_name表示虚拟机迁移前所在物理服务器的名称。
Dest_Host_IP表示虚拟机迁移后所在物理服务器的IP地址。
Dest_Host_name表示虚拟机迁移后所在实服务器名称。
VM_IP表示虚拟机的IP地址。
VM_Name表示虚拟机的名称描述。
VM_Vlan表示虚拟机所属的VLAN ID,取值范围是1-4094。
VM_IF_Port表示虚拟机接入的交换机的端口ID。
VM_Port_Profile_index表示虚拟机对应接入的交换机端口的QOS等策略的profile索引。
VM_MAC表示虚拟机MAC地址信息,格式为“xx-xx-xx-xx-xx-xx”。
其中物理服务器以及虚拟机的名称主要是为了在交互界面上提供给管理员更为直观的标识,因为IP地址对于管理员来说并不容易记忆。迁移报告中的各种位置参数并不是要求全部发送,这取决于厂商在管理平面的技术实现方式。
步骤102,根据所述VM的位置参数确定迁移前该虚拟机所归属的原安全设备以及迁移后该虚拟机所归属的新安全设备。
有了上述VM位置参数以后,定位单元可以根据所述VM的位置参数确定迁移前该虚拟机所归属的原安全设备以及迁移后该虚拟机所归属的新安全设备。在较佳的实施方式中,考虑到虚拟机管理装置以及安全策略迁移装置10可能是由不同厂商提供的,因此为了更好地与对端兼容,虚拟机管理装置可以将尽可能多的VM位置参数放在迁移报告中发送过来,这样一来定位单元的实现就会更加灵活,不同厂商在定位单元的实现上各有不同,不同的算法所需要的VM位置参数也自然不尽相同。
以最为简单的方式为例,请参考图1,安全管理服务器上保存有各个防火墙所管辖的物理服务器的IP地址,比如说防火墙1所管辖的物理服务器的IP地址段是192.168.1.2-192.168.1.100,防火墙3所管辖的物理服务器的IP地址段192.168.1.101-192.168.1.200。假设迁移前VM所在的物理服务器的IP地址是192.168.1.20,迁移后VM所在的物理服务器的IP地址是192.168.1.120,由此定位单元可以获知VM迁移之前归属于防火墙1,VM迁移之后归属于防火墙3。
再比如说,假设安全管理服务器上保存有各个安全设备所辖区域的网络拓扑信息,定位单元可以判断迁移报告中的VM接入交换机的端口ID或者VM所属的VLAN ID在哪个安全设备所辖区域的网络拓扑信息中,进而可以得知迁移之前VM所归属的安全设备以及迁移之后VM所归属的安全设备。再比如说,假设安全管理服务器上保存有各个安全设备所辖区域的网络拓扑信息,定位单元可以使用MAC地址定位技术来确定VM是从哪个交换机接入到网络中来,进而根据网络拓扑确定VM所归属的安全设备。同样的道理,在定位单元实现时,可以采用其他算法结合不同的VM位置参数(或者位置参数的组合)来确定VM归属的安全设备,在此不再一一列举。
进一步来说,考虑到虚拟机管理装置以及安全策略迁移装置10可能是由不同厂商提供的,因此为了更好地与对端兼容,定位单元中可以预置多个定位子单元(如图3所示的那样),这些定位子单元分别使用不同的VM位置参数来确定VM归属的安全设备,也就是说即便虚拟机管理装置发送的迁移报告中的VM位置参数种类很少,定位单元依然可以借助多种定位算法(也就是多个内置的定位子单元)来确定VM所归属的安全设备。同样的道理,即便不同的虚拟机管理装置发送的迁移报告中的VM位置参数种类不同,由于预置多个定位子单元,可以应对对端的变化,具有更好的兼容性。
步骤103,判断所述原安全设备与所述新安全设备是否为同一个安全设备,如果是则返回,否则通知安全策略处理单元进行处理。
在有的数据中心中,一个防火墙这样的安全设备可能管辖着较大的区域,有可能VM迁移之后归属的安全设备没有变化,因此再做进一步处理之前还需要判断迁移前后VM归属的安全设备是否是同一台,比如说比较一下设备的标识。如果是同一台,那么就不需要做处理,返回即可;如果不是同一台,可以通知安全策略处理单元进行进一步处理。
步骤104,获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。
安全管理服务器与各个安全设备之间存在管理通道。安全策略管理单元可以借助该管理通道从VM所归属的原安全设备读取其上的为VM配置的安全策略,然后再下发到VM所归属的新安全设备。当然,很显然原安全设备上的VM的安全策略也是安全策略管理单元下发的,因此安全策略管理单元很可能本来在安全管理服务器上保存有该VM的安全策略,因此安全策略管理单元还可以从安全管理服务器的存储单元中获取到。由于新的安全设备使用了与原安全设备同样的安全策略,因此实现了安全策略跟随VM迁移而无缝迁移,对于VM对外提供业务服务的影响很小,外部访问VM的用户基本不会感知到VM有任何变化。进一步来说,在成功将VM的安全策略下发到VM归属的新安全设备后,原安全设备不再需要VM的安全策略了,安全策略管理单元还可以将原安全设备上的安全策略对应移除,比如删除或者使之处于无效装置,以节约原安全设备的空间,减少其业务处理时间。
本发明通过虚拟机管理装置(也就是VM侧管理服务器一侧)与虚拟机安全策略迁移装置(也就是安全管理服务器一侧)之间的联动实现了VM在安全设备上的安全策略自动跟随着VM迁移而无缝迁移,免除了管理员因为VM迁移而进行的安全设备手工配置操作,这对VM迁移事件较多的大型数据中心来说意义非常显著。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明保护的范围之内。

Claims (10)

1.一种虚拟机安全策略迁移装置,应用于数据中心的安全管理服务器上,其特征在于,该装置包括:迁移感知单元、定位单元以及安全策略管理单元;其中,
迁移感知单元,用于接收来自虚拟机管理装置的虚拟机迁移报告,所述虚拟机迁移报告至少包括虚拟机的位置参数;
定位单元,用于根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备;
安全策略管理单元,用于获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。
2.如权利要求1所述的装置,其特征在于,所述定位单元进一步用于,判断所述原安全设备与所述新安全设备是否为同一个安全设备,如果是则返回,否则通知安全策略处理单元进行处理。
3.如权利要求2所述的装置,其特征在于,所述安全策略管理单元进一步用于在原安全设备与所述新安全设备不是同一个安全设备时移除原安全设备上的安全策略。
4.如权利要求1所述的装置,其特征在于,所述虚拟机位置参数包括虚拟机IP地址、虚拟机MAC地址、迁移前后的物理服务器IP地址、迁移前后VM的接入端口ID以及迁移前后VM的VLAN ID中任意一种或多种。
5.如权利要求4所述的装置,其特征在于,所述定位单元至少包括多个定位子单元,所述多个定位子单元分别使用不同的位置参数或者不同的位置参数的组合确定虚拟机所归属的安全设备。
6.一种虚拟机安全策略迁移方法,应用于数据中心的安全管理服务器上,其特征在于,该方法包括:
A、接收来自虚拟机管理装置的虚拟机迁移报告,所述虚拟机迁移报告至少包括虚拟机的位置参数;
B、根据所述虚拟机的位置参数确定迁移前该虚拟机所归属的原安全设备以及虚拟机迁移后该虚拟机所归属的新安全设备;
C、获取配置在原安全设备上的该虚拟机的安全策略,并将所述安全策略下发到新安全设备上。
7.如权利要求6所述的方法,其特征在于,所述步骤B进一步包括,判断所述原安全设备与所述新安全设备是否为同一个安全设备,如果是则返回,否则转步骤C。
8.如权利要求7所述的方法,其特征在于,所述步骤C进一步包括:在原安全设备与所述新安全设备不是同一个安全设备时移除原安全设备上的安全策略。
9.如权利要求6所述的方法,其特征在于,所述虚拟机位置参数包括虚拟机IP地址、虚拟机MAC地址、迁移前后的物理服务器IP地址、迁移前后VM的接入端口ID以及迁移前后VM的VLAN ID中任意一种或多种。
10.如权利要求9所述的方法,其特征在于,所述步骤B进一步包括,从多个定位算法中选择一个定位算法,其中所述多个定位算法分别使用不同的位置参数或者不同的位置参数的组合确定虚拟机所归属的安全设备。
CN201210121457.9A 2012-04-23 2012-04-23 虚拟机安全策略的迁移方法及装置 Active CN102739645B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN201210121457.9A CN102739645B (zh) 2012-04-23 2012-04-23 虚拟机安全策略的迁移方法及装置
EP12875383.7A EP2842285A4 (en) 2012-04-23 2012-11-26 MIGRATION OF THE SAFETY POLICY OF A VIRTUAL MACHINE
US14/372,727 US20150229641A1 (en) 2012-04-23 2012-11-26 Migration of a security policy of a virtual machine
PCT/CN2012/085239 WO2013159518A1 (en) 2012-04-23 2012-11-26 Migration of a security policy of a virtual machine

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210121457.9A CN102739645B (zh) 2012-04-23 2012-04-23 虚拟机安全策略的迁移方法及装置

Publications (2)

Publication Number Publication Date
CN102739645A true CN102739645A (zh) 2012-10-17
CN102739645B CN102739645B (zh) 2016-03-16

Family

ID=46994431

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210121457.9A Active CN102739645B (zh) 2012-04-23 2012-04-23 虚拟机安全策略的迁移方法及装置

Country Status (4)

Country Link
US (1) US20150229641A1 (zh)
EP (1) EP2842285A4 (zh)
CN (1) CN102739645B (zh)
WO (1) WO2013159518A1 (zh)

Cited By (27)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103067380A (zh) * 2012-12-26 2013-04-24 北京启明星辰信息技术股份有限公司 一种虚拟安全设备的部署配置方法及系统
CN103229489A (zh) * 2012-12-21 2013-07-31 华为技术有限公司 虚拟机控制策略的配置方法和交换机
CN103354530A (zh) * 2013-07-18 2013-10-16 北京启明星辰信息技术股份有限公司 虚拟化网络边界数据流汇聚方法及装置
WO2013159518A1 (en) * 2012-04-23 2013-10-31 Hangzhou H3C Technologies Co., Ltd. Migration of a security policy of a virtual machine
CN103399791A (zh) * 2013-07-23 2013-11-20 北京华胜天成科技股份有限公司 一种基于云计算的虚拟机迁移方法和装置
WO2013170698A1 (zh) * 2012-05-16 2013-11-21 华为技术有限公司 虚拟机vm迁移后的报文处理的方法及其设备
CN103457933A (zh) * 2013-08-15 2013-12-18 中电长城网际系统应用有限公司 一种虚拟机迁移安全策略动态配置系统和方法
CN103516802A (zh) * 2013-09-30 2014-01-15 中国科学院计算技术研究所 一种实现跨异构虚拟交换机无缝迁移的方法和装置
CN103595826A (zh) * 2013-11-01 2014-02-19 国云科技股份有限公司 一种防止虚拟机ip和mac伪造的方法
CN104050038A (zh) * 2014-06-27 2014-09-17 国家计算机网络与信息安全管理中心 一种基于策略感知的虚拟机迁移方法
CN104660553A (zh) * 2013-11-19 2015-05-27 北京天地超云科技有限公司 一种虚拟防火墙的实现方法
CN104685507A (zh) * 2012-10-21 2015-06-03 迈克菲股份有限公司 向虚拟云基础结构提供虚拟安全装置架构
WO2015081766A1 (zh) * 2013-12-04 2015-06-11 蓝盾信息安全技术有限公司 一种基于sdn的虚拟机安全策略迁移的系统及方法
CN104717181A (zh) * 2013-12-13 2015-06-17 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法
CN104753852A (zh) * 2013-12-25 2015-07-01 中国移动通信集团公司 一种虚拟化平台、安全防护方法及装置
CN105227541A (zh) * 2015-08-21 2016-01-06 华为技术有限公司 一种安全策略动态迁移方法及装置
CN105262604A (zh) * 2014-06-24 2016-01-20 华为技术有限公司 虚拟机迁移方法及设备
CN105515933A (zh) * 2015-11-30 2016-04-20 中电科华云信息技术有限公司 基于OpenStack实现VMware网络功能的管理方法
WO2016206380A1 (zh) * 2015-06-25 2016-12-29 中兴通讯股份有限公司 Ip迁移方法及装置、虚拟化网络系统
CN106685974A (zh) * 2016-12-31 2017-05-17 北京神州绿盟信息安全科技股份有限公司 一种安全防护服务建立、提供方法及装置
CN107566319A (zh) * 2016-06-30 2018-01-09 中央大学 虚拟机器即时转移方法
CN107918732A (zh) * 2017-11-12 2018-04-17 长沙曙通信息科技有限公司 一种桌面虚拟化虚拟机迁移安全策略管理方法
CN108092810A (zh) * 2017-12-13 2018-05-29 锐捷网络股份有限公司 一种虚拟机管理方法、vtep设备及管理设备
CN108363611A (zh) * 2017-11-02 2018-08-03 北京紫光恒越网络科技有限公司 虚拟机的安全管理方法、装置及全方位虚拟化系统
CN108471394A (zh) * 2017-02-23 2018-08-31 蓝盾信息安全技术有限公司 一种使用区块链实现的虚拟机迁移的安全保护方法
CN110086681A (zh) * 2014-11-27 2019-08-02 华为技术有限公司 虚拟网络策略的配置方法、系统及其虚拟网元和网管系统
CN111510435A (zh) * 2020-03-25 2020-08-07 新华三大数据技术有限公司 一种网络安全策略迁移方法及装置

Families Citing this family (42)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
WO2014056200A1 (zh) * 2012-10-12 2014-04-17 华为技术有限公司 网络数据流检测状态的同步方法和设备
US9602312B2 (en) * 2013-07-08 2017-03-21 Nicira, Inc. Storing network state at a network controller
JP6287274B2 (ja) * 2014-01-31 2018-03-07 富士通株式会社 監視装置、監視方法及び監視プログラム
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US10243848B2 (en) 2015-06-27 2019-03-26 Nicira, Inc. Provisioning logical entities in a multi-datacenter environment
US9755903B2 (en) 2015-06-30 2017-09-05 Nicira, Inc. Replicating firewall policy across multiple data centers
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
US10917436B2 (en) 2018-03-20 2021-02-09 Cisco Technology, Inc. On-demand security policy provisioning
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11777793B2 (en) 2020-04-06 2023-10-03 Vmware, Inc. Location criteria for security groups
US11088919B1 (en) 2020-04-06 2021-08-10 Vmware, Inc. Data structure for defining multi-site logical network
US11088902B1 (en) * 2020-04-06 2021-08-10 Vmware, Inc. Synchronization of logical network state between global and local managers
US11736383B2 (en) 2020-04-06 2023-08-22 Vmware, Inc. Logical forwarding element identifier translation between datacenters
US11683233B2 (en) 2020-04-06 2023-06-20 Vmware, Inc. Provision of logical network data from global manager to local managers
US11601474B2 (en) 2020-09-28 2023-03-07 Vmware, Inc. Network virtualization infrastructure with divided user responsibilities
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101257413A (zh) * 2006-10-17 2008-09-03 英特尔公司 用于能够实现安全的位置感知平台的方法、装置和系统
CN101924693A (zh) * 2009-04-01 2010-12-22 威睿公司 用于在虚拟机间迁移进程的方法和系统
CN102025535A (zh) * 2010-11-17 2011-04-20 福建星网锐捷网络有限公司 虚拟机管理方法、装置及网络设备
US20110238820A1 (en) * 2010-03-23 2011-09-29 Fujitsu Limited Computer, communication device, and communication control system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8108668B2 (en) * 2006-06-26 2012-01-31 Intel Corporation Associating a multi-context trusted platform module with distributed platforms
US8381209B2 (en) * 2007-01-03 2013-02-19 International Business Machines Corporation Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls
US20090249471A1 (en) * 2008-03-27 2009-10-01 Moshe Litvin Reversible firewall policies
JP5454135B2 (ja) * 2009-12-25 2014-03-26 富士通株式会社 仮想マシン移動制御装置、仮想マシン移動制御方法および仮想マシン移動制御プログラム
US8560663B2 (en) * 2011-09-30 2013-10-15 Telefonaktiebolaget L M Ericsson (Publ) Using MPLS for virtual private cloud network isolation in openflow-enabled cloud computing
CN102387205B (zh) * 2011-10-21 2013-12-25 杭州华三通信技术有限公司 一种虚拟机位置定位方法和装置
CN102413041B (zh) * 2011-11-08 2015-04-15 华为技术有限公司 安全策略迁移的方法、装置和系统
CN102739645B (zh) * 2012-04-23 2016-03-16 杭州华三通信技术有限公司 虚拟机安全策略的迁移方法及装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101257413A (zh) * 2006-10-17 2008-09-03 英特尔公司 用于能够实现安全的位置感知平台的方法、装置和系统
CN101924693A (zh) * 2009-04-01 2010-12-22 威睿公司 用于在虚拟机间迁移进程的方法和系统
US20110238820A1 (en) * 2010-03-23 2011-09-29 Fujitsu Limited Computer, communication device, and communication control system
CN102025535A (zh) * 2010-11-17 2011-04-20 福建星网锐捷网络有限公司 虚拟机管理方法、装置及网络设备

Cited By (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013159518A1 (en) * 2012-04-23 2013-10-31 Hangzhou H3C Technologies Co., Ltd. Migration of a security policy of a virtual machine
WO2013170698A1 (zh) * 2012-05-16 2013-11-21 华为技术有限公司 虚拟机vm迁移后的报文处理的方法及其设备
CN104685507A (zh) * 2012-10-21 2015-06-03 迈克菲股份有限公司 向虚拟云基础结构提供虚拟安全装置架构
US9571507B2 (en) 2012-10-21 2017-02-14 Mcafee, Inc. Providing a virtual security appliance architecture to a virtual cloud infrastructure
CN104685507B (zh) * 2012-10-21 2018-02-09 迈克菲股份有限公司 向虚拟云基础结构提供虚拟安全装置架构
US11025647B2 (en) 2012-10-21 2021-06-01 Mcafee, Llc Providing a virtual security appliance architecture to a virtual cloud infrastructure
CN103229489A (zh) * 2012-12-21 2013-07-31 华为技术有限公司 虚拟机控制策略的配置方法和交换机
CN103229489B (zh) * 2012-12-21 2016-05-25 华为技术有限公司 虚拟机控制策略的配置方法和交换机
CN103067380B (zh) * 2012-12-26 2015-11-18 北京启明星辰信息技术股份有限公司 一种虚拟安全设备的部署配置方法及系统
CN103067380A (zh) * 2012-12-26 2013-04-24 北京启明星辰信息技术股份有限公司 一种虚拟安全设备的部署配置方法及系统
CN103354530A (zh) * 2013-07-18 2013-10-16 北京启明星辰信息技术股份有限公司 虚拟化网络边界数据流汇聚方法及装置
CN103399791A (zh) * 2013-07-23 2013-11-20 北京华胜天成科技股份有限公司 一种基于云计算的虚拟机迁移方法和装置
CN103457933A (zh) * 2013-08-15 2013-12-18 中电长城网际系统应用有限公司 一种虚拟机迁移安全策略动态配置系统和方法
CN103457933B (zh) * 2013-08-15 2016-11-02 中电长城网际系统应用有限公司 一种虚拟机迁移安全策略动态配置系统和方法
CN103516802A (zh) * 2013-09-30 2014-01-15 中国科学院计算技术研究所 一种实现跨异构虚拟交换机无缝迁移的方法和装置
CN103516802B (zh) * 2013-09-30 2017-02-08 中国科学院计算技术研究所 一种实现跨异构虚拟交换机无缝迁移的方法和装置
CN103595826A (zh) * 2013-11-01 2014-02-19 国云科技股份有限公司 一种防止虚拟机ip和mac伪造的方法
CN103595826B (zh) * 2013-11-01 2016-11-02 国云科技股份有限公司 一种防止虚拟机ip和mac伪造的方法
CN104660553A (zh) * 2013-11-19 2015-05-27 北京天地超云科技有限公司 一种虚拟防火墙的实现方法
WO2015081766A1 (zh) * 2013-12-04 2015-06-11 蓝盾信息安全技术有限公司 一种基于sdn的虚拟机安全策略迁移的系统及方法
CN104717181B (zh) * 2013-12-13 2018-10-23 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法
CN104717181A (zh) * 2013-12-13 2015-06-17 中国电信股份有限公司 虚拟安全网关的安全策略配置系统与方法
CN104753852A (zh) * 2013-12-25 2015-07-01 中国移动通信集团公司 一种虚拟化平台、安全防护方法及装置
CN105262604A (zh) * 2014-06-24 2016-01-20 华为技术有限公司 虚拟机迁移方法及设备
CN105262604B (zh) * 2014-06-24 2019-01-08 华为技术有限公司 虚拟机迁移方法及设备
CN104050038A (zh) * 2014-06-27 2014-09-17 国家计算机网络与信息安全管理中心 一种基于策略感知的虚拟机迁移方法
CN104050038B (zh) * 2014-06-27 2018-04-10 国家计算机网络与信息安全管理中心 一种基于策略感知的虚拟机迁移方法
CN110086681A (zh) * 2014-11-27 2019-08-02 华为技术有限公司 虚拟网络策略的配置方法、系统及其虚拟网元和网管系统
WO2016206380A1 (zh) * 2015-06-25 2016-12-29 中兴通讯股份有限公司 Ip迁移方法及装置、虚拟化网络系统
CN105227541B (zh) * 2015-08-21 2018-12-07 华为技术有限公司 一种安全策略动态迁移方法及装置
CN105227541A (zh) * 2015-08-21 2016-01-06 华为技术有限公司 一种安全策略动态迁移方法及装置
CN105515933A (zh) * 2015-11-30 2016-04-20 中电科华云信息技术有限公司 基于OpenStack实现VMware网络功能的管理方法
CN107566319A (zh) * 2016-06-30 2018-01-09 中央大学 虚拟机器即时转移方法
CN107566319B (zh) * 2016-06-30 2021-01-26 中央大学 虚拟机器即时转移方法
CN106685974A (zh) * 2016-12-31 2017-05-17 北京神州绿盟信息安全科技股份有限公司 一种安全防护服务建立、提供方法及装置
CN108471394A (zh) * 2017-02-23 2018-08-31 蓝盾信息安全技术有限公司 一种使用区块链实现的虚拟机迁移的安全保护方法
CN108363611A (zh) * 2017-11-02 2018-08-03 北京紫光恒越网络科技有限公司 虚拟机的安全管理方法、装置及全方位虚拟化系统
CN107918732A (zh) * 2017-11-12 2018-04-17 长沙曙通信息科技有限公司 一种桌面虚拟化虚拟机迁移安全策略管理方法
CN108092810A (zh) * 2017-12-13 2018-05-29 锐捷网络股份有限公司 一种虚拟机管理方法、vtep设备及管理设备
CN111510435A (zh) * 2020-03-25 2020-08-07 新华三大数据技术有限公司 一种网络安全策略迁移方法及装置
CN111510435B (zh) * 2020-03-25 2022-02-22 新华三大数据技术有限公司 一种网络安全策略迁移方法及装置

Also Published As

Publication number Publication date
EP2842285A1 (en) 2015-03-04
CN102739645B (zh) 2016-03-16
US20150229641A1 (en) 2015-08-13
WO2013159518A1 (en) 2013-10-31
EP2842285A4 (en) 2015-11-04

Similar Documents

Publication Publication Date Title
CN102739645A (zh) 虚拟机安全策略的迁移方法及装置
US10868771B2 (en) Methods and systems for creating and managing network groups
JP6771650B2 (ja) クラウドコンピューティングシステムにおいて仮想マシンが物理サーバにアクセスするための方法、装置、およびシステム
CN104205051B (zh) 用于虚拟机的移动处理的方法和装置
CN109254831B (zh) 基于云管理平台的虚拟机网络安全管理方法
US9225661B1 (en) Remote console access in a scalable cloud computing environment
CN102160036B (zh) 服务环境中虚拟机的安全动态迁移
CN110214311A (zh) 虚拟计算元件的微分段
WO2017004097A1 (en) Automatically preventing and remediating network abuse
CN104718723A (zh) 用于虚拟网络中的联网和安全服务的框架
CN103685608B (zh) 一种自动配置安全虚拟机ip地址的方法及装置
US10652280B2 (en) User interface features for enterprise security management
CN103095574A (zh) 网络系统的管理方法、网络系统以及管理服务器
US9686237B2 (en) Secure communication channel using a blade server
JP5928197B2 (ja) ストレージシステム管理プログラム及びストレージシステム管理装置
Lowe Networking All-in-one for Dummies
US11063982B2 (en) Object scope definition for enterprise security management tool
JP2015156168A (ja) データセンタのリソース配分システム及びデータセンタのリソース配分方法
CN105704042A (zh) 报文处理方法、bng及bng集群系统
US9774600B1 (en) Methods, systems, and computer readable mediums for managing infrastructure elements in a network system
US10979455B2 (en) Solution definition for enterprise security management
US10158674B2 (en) Multi-level affinitization for enterprise security management
US20150372854A1 (en) Communication control device, communication control program, and communication control method
CN104753852A (zh) 一种虚拟化平台、安全防护方法及装置
JP4650607B2 (ja) ネットワーク管理システム、ネットワーク管理方法及びネットワーク管理用プログラム

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address

Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No.

Patentee after: Xinhua three Technology Co., Ltd.

Address before: 310053 Hangzhou hi tech Industrial Development Zone, Zhejiang province science and Technology Industrial Park, No. 310 and No. six road, HUAWEI, Hangzhou production base

Patentee before: Huasan Communication Technology Co., Ltd.

CP03 Change of name, title or address