CN103354530A - 虚拟化网络边界数据流汇聚方法及装置 - Google Patents

虚拟化网络边界数据流汇聚方法及装置 Download PDF

Info

Publication number
CN103354530A
CN103354530A CN2013103035385A CN201310303538A CN103354530A CN 103354530 A CN103354530 A CN 103354530A CN 2013103035385 A CN2013103035385 A CN 2013103035385A CN 201310303538 A CN201310303538 A CN 201310303538A CN 103354530 A CN103354530 A CN 103354530A
Authority
CN
China
Prior art keywords
network
data flow
security
tenant
virtual
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2013103035385A
Other languages
English (en)
Other versions
CN103354530B (zh
Inventor
李陟
刘新刚
叶润国
汪宏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Venus Information Security Technology Co Ltd
Beijing Venus Information Technology Co Ltd
Original Assignee
Beijing Venus Information Security Technology Co Ltd
Beijing Venus Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Venus Information Security Technology Co Ltd, Beijing Venus Information Technology Co Ltd filed Critical Beijing Venus Information Security Technology Co Ltd
Priority to CN201310303538.5A priority Critical patent/CN103354530B/zh
Publication of CN103354530A publication Critical patent/CN103354530A/zh
Application granted granted Critical
Publication of CN103354530B publication Critical patent/CN103354530B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开了一种虚拟化网络边界数据流汇聚方法及装置,涉及信息安全技术领域。本发明公开的装置中:安全策略模块,维护管理不同租户的网络边界安全策略;虚拟化网络数据流捕获模块,监听虚拟交换机上的网络数据流,捕获安全策略指定网络接口的数据包;网络边界数据流过滤网模块,根据各租户的网络边界安全策略,为各租户分别建立基于网络数据流过滤的过滤网,以及将捕获的网络数据包通过此数据包对应的租户的过滤网进行过滤,将过滤后得到的属于该租户的安全域边界的网络数据流进行封装,并发送给该租户对应的网络安全产品。本发明还公开了一种虚拟化网络边界数据流汇聚方法。本申请技术方案有效解决了多租户环境下虚拟化网络安全域边界网络数据流的汇聚问题。

Description

虚拟化网络边界数据流汇聚方法及装置
技术领域
本发明涉及信息安全技术领域,尤其涉及虚拟化网络中的网络数据流监控的方案。
背景技术
云计算是计算机和互联网的又一次新的革命,它将计算和存储转移到了云端,用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看,云计算不仅仅是一种新的概念,并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展,使得一台普通的物理服务器的所具有性能远远超过普通的单一用户对硬件性能的需求。因此,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟机,提供虚拟化服务成为了构建公有云和企业私有云的技术基础。
虚拟化在带来技术变革的同时,也提出了新的虚拟网络安全监控问题。传统的网络安全监控通常采用在安全域的网络边界、以及需要监听的安全域内的网络链路上旁路式部署网络安全监控产品,如入侵检测系统(IntrusionDetection Systems,IDS)、安全审计系统等。虚拟化技术对网络工程的最大影响是使得传统的物理网络边界不再清晰的存在,从而无法找到网络安全域的网络数据流的物理汇聚点,也就使得传统网络安全监控产品无法找到合适的部署位置来保护虚拟网络安全域的边界安全。也就是说传统物理网络安全产品不具有在虚拟化网络环境中捕获特定虚拟网络安全域边界网络数据流的能力。如图1所示,虚拟机3、虚拟机4和虚拟机8为需要被检测和审计的目标主机,传统的物理安全检测和审计设备只能通过捕获物理交换机端口镜像的网络数据流对特定主机进行检测和审计。
在虚拟化网络中,同一个安全域中的虚拟机可能分布于不同的物理主机上,并连接在不同的物理交换机上。在云计算的多租户环境下,同一个物理主机上还可能存在有多个属于不同安全域的虚拟机。这都使得传统物理网络安全监控设备无法有效监控被保护安全域的所有网络数据流,同时虚拟机的迁移更使得只能固定连接在某个交换机上的物理网络安全监控设备失去作用。对某个被保护的网络安全域而言,可以通过在每个域内虚拟机所在物理主机上部署一个安全虚拟机来实现对该网络安全域的全流量监控。这样虽然能够实现对一个安全域的边界以及域内的全流量监控,但是在多租户环境下,一台物理机上可能存在多个属于不同安全域的虚拟机,这样就需要同时在该物理主机上部署多个安全虚拟机,来分别完成对每个不同安全域的安全监控。这样做显然存在严重的性能问题,安全虚拟机数量的增加会抢占同属于一台物理机上的业务虚拟机的计算和存储资源。由于安全虚拟机通常具有较高的计算负载,因此在实际生产环境中,简单的部署多个安全虚拟机的方式并不可行。
Intel VT-d(Virtualization Technology for Directed I/O)即基于虚拟化技术的直接I/O,AMD称为IOMMU(I/O Memory Management Unit)即I/O内存管理单元,是一种基于北桥芯片的硬件辅助虚拟化技术,通过在北桥芯片中内置提供DMA(Direct Memory Access)即直接内存存取虚拟化和IRQ(Interrupt Request)即中断请求虚拟化硬件,实现了DMA和中断的重映射,(Remapping)从而能够直接将I/O设备分配给虚拟机,使得虚拟机内部的驱动程序可以直接和硬件设备进行通信,而不需要经过虚拟机监控器的管理。使用VT-d技术可以极大的提高虚拟机的虚拟化I/O能力,达到跟物理机近似的I/O性能。PCI透传技术是基于Intel VT-d或IOMMU的一种PCI设备直接IO技术,该技术向一个特定客户操作系统提供一种PCI设备的隔离,使得该设备能够被那个客户操作系统独占,从而使得透传设备可以获得近乎本机的性能。
发明内容
本发明所要解决的技术问题是,提供一种虚拟化网络边界数据流汇聚方法及装置,以提高网络安全产品的检测效率。
为了解决上述技术问题,本发明公开了一种虚拟化网络边界数据流汇聚装置,至少包括安全策略模块、虚拟化网络数据流捕获模块和网络边界数据流过滤网模块,其中:
所述安全策略模块,运行于安全虚拟机的用户态,维护并管理不同租户的网络边界安全策略;
所述虚拟化网络数据流捕获模块,运行于安全虚拟机的内核态,监听虚拟交换机上的网络数据流,从中捕获网络边界安全策略指定网络接口的数据包,并将捕获的数据包提交到所述网络边界数据流过滤网模块,其中,网络边界安全策略指定网络接口指不同租户的网络边界安全策略对应的虚拟交换机上的网络接口;
所述网络边界数据流过滤网模块,运行于安全虚拟机的内核态,根据所述安全策略模块下发的各租户的网络边界安全策略,为各租户分别建立基于网络数据流的过滤网,以及将所述虚拟化网络数据流捕获模块提交的数据包通过此数据包对应的租户的过滤网进行过滤,将过滤后得到的属于该租户的安全域边界的网络数据流进行封装,并发送给该租户对应的网络安全产品,以进行检测和分析。
较佳地,上述装置中,所述网络边界安全策略包括虚拟网络安全域边界网络数据流汇聚策略和虚拟机网络数据流过滤策略。
较佳地,上述装置中,所述虚拟化网络数据流捕获模块,监听虚拟交换机上的网络数据流指:
所述虚拟化网络数据流捕获模块,对安全虚拟机所连接的虚拟交换机上的所述网络边界安全策略中租户的网络安全域拓扑信息包含的虚拟机的网络数据流进行监听。
较佳地,上述装置中,所述虚拟网络安全域边界网络数据流汇聚策略至少包括租户的网络安全域网络拓扑信息及安全域对应的安全检测设备的地址。所述虚拟机网络数据流过滤策略至少包括需要监控的虚拟主机IP地址和需要被监控的网络数据流的识别信息。
较佳地,上述装置中,所述网络边界数据流过滤网模块将所述虚拟化网络数据流捕获模块提交的数据包通过此数据包对应的租户的过滤网进行过滤指:
所述网络边界数据流过滤网模块根据对应的租户的网络边界安全策略中过滤策略,从所监听的虚拟交换机的数据包中仅将需要被送到安全设备进行深度包检测的数据包作为过滤后得到的属于该租户的安全域边界的网络数据流。
较佳地,上述装置中,所述网络边界数据流过滤网模块将封装的网络数据流发送给该租户对应的网络安全产品指:所述网络边界数据流过滤网模块根据租户的网络边界安全策略中虚拟网络安全域边界网络数据流汇聚策略,将封装的网络数据流发送给该租户对应的网络安全产品。
较佳地,上述装置还包括:
网络边界数据流管道模块,运行于安全虚拟机的内核态,基于租户的虚拟网络安全域边界网络数据流汇聚策略建立起本装置到租户部署对应的安全检测产品的一条网络数据流传输量管道,所述网络边界数据流过滤网模块通过所述网络边界数据流管道模块建立的管道将封装后的网络数据流发送到相应的网络安全产品。
本发明还公开了一种虚拟化网络边界数据流汇聚方法,该方法包括:
虚拟化网络边界数据流汇聚装置根据不同租户的网络边界安全策略,监听虚拟交换机上的网络数据流,从中捕获网络边界安全策略指定网络接口的数据包,将所捕获的数据包通过预先建立的此数据包对应租户的过滤网进行过滤,将过滤得到的属于对应租户的安全域边界的网络数据流进行封装,并发送给与对应租户对应的网络安全产品,以进行检测和分析。
较佳地,上述方法中,所述网络边界安全策略包括租户的虚拟网络安全域边界网络数据流汇聚策略和虚拟机网络数据流过滤策略。
较佳地,上述方法中,所述虚拟化网络边界数据流汇聚装置根据不同租户的网络边界安全策略,监听虚拟交换机上的网络数据流指:
所述虚拟化网络边界数据流汇聚装置,对所述网络边界安全策略中租户的网络安全域拓扑信息包含的虚拟交换机的网络数据流进行监听。
较佳地,上述方法中,所述虚拟网络安全域边界网络数据流汇聚策略至少包括租户的网络安全域网络拓扑信息及安全域对应的安全检测设备的地址。所述虚拟机网络数据流过滤策略至少包括需要监控的虚拟主机IP地址和需要被监控的网络数据流的识别信息。
较佳地,上述方法中,所述虚拟化网络边界数据流汇聚装置将所捕获的数据包通过预先建立的此数据包对应租户的过滤网进行过滤指:
所述虚拟化网络边界数据流量汇聚装置根据对应的租户的网络边界安全策略中过滤策略,从所监听的虚拟交换机的数据包中仅将需要被送到安全设备进行深度包检测的数据包作为过滤后得到的属于该租户的安全域边界的网络数据流。
较佳地,上述方法中,所述虚拟化网络边界数据流汇聚装置将封装的网络数据流发送给与对应租户对应的网络安全产品指:所述虚拟化网络边界数据流汇聚装置根据租户的虚拟网络安全域边界网络数据流汇聚策略,将封装的网络流发送给该租户对应的网络安全产品。
本申请技术方案有效解决了多租户环境下虚拟化网络安全域边界网络数据流的汇聚问题,结合边界网络安全检测和审计产品的应用,可以有效的降低网络带宽的冗余负载,提高网络安全产品的检测效率,同时极大的降低了虚拟化安全产品对业务系统资源的消耗和影响,也提高了网络安全产品部署的灵活性。该方法的另外一个优势是不需要特殊VMM的API支持,比如VMWare EPSEC API,具有很好的平台适应性,可以同时应用于ESXI、KVM、XEN等多种虚拟化平台上。
附图说明
图1为现有技术中虚拟化网络,物理网络安全产品对网络安全域边界数据流的汇聚问题示意图;
图2为本实施例中虚拟化网络边界数据流汇聚系统的结构示意图;
图3为本实施例中虚拟化网络边界数据流汇聚系统的硬件部署示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文将结合附图对本发明技术方案作进一步详细说明。需要说明的是,在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。
实施例1
在虚拟化网络中,由于网络物理边界的消失,使得原来由单一链路连接的一台物理服务器被虚拟化成一组分布于不同物理主机上的虚拟机服务器。由于同一台物理机上的两台虚拟机之间的通信可能不会将数据转发到物理交换机上,而直接由虚拟交换机进行内部转发,这就让连接在物理服务器上的IDS无法监控到由虚拟交换机内部转发的流量,为了解决这个问题,需要在每个虚拟交换机上部署一台虚拟IDS,通过其上的虚拟网卡监听虚拟交换机上的流量,保证被监控虚拟机的全部流量能够被监听,但是若一台物理机上存在多个不同租户的、不同安全等级的监控对象,就需要同时部署多个虚拟IDS来为每个不同的安全监控需求提供安全监控服务,这样IDS会大量的占用物理主机上本来可分配给业务虚拟机的系统计算资源,严重影响业被监控务系统的正常使用。因此,本申请发明人提出一种虚拟化网络中基于可配置网络边界安全策略的安全域边界网络数据流的汇聚装置,通过一种新的系统架构方式,实现在多租户环境下,对虚拟网络全流量的捕获,根据网络边界安全策略导出所保护网络安全域的边界数据流到指定安全产品进行检测。
该装置至少包括安全策略模块、虚拟化网络数据流捕获模块和网络边界数据流过滤网模块。优选方案中,该装置还可包括网络边界数据流管道模块。
下面具体介绍各模块的功能。
安全策略模块可运行于安全虚拟机的用户态,维护并管理不同租户的网络边界安全策略。
网络边界安全策略主要包括租户的网络安全域拓扑信息、租户的网络安全检测和审计产品的部署信息。安全策略模块在启动时或接收到网络边界安全策略的更新后,可通过IOCTL系统调用配置网络边界流量过滤网。
虚拟化网络数据流捕获模块,运行于安全虚拟机的内核态,通过虚拟网卡监听虚拟交换机上的网络数据流,在虚拟网卡驱动层把捕获的数据包提交到网络边界数据流过滤网模块进行过滤筛选。
网络边界数据流过滤网模块运行于安全虚拟机的内核态,该模块根据安全策略配置管理模块下发的租户的网络边界安全策略,为各租户分别建立基于网络数据流的过滤网,将虚拟化网络数据流捕获模块通过虚拟网卡驱动层捕获到的数据包中属于特定租户安全域边界的网络流进行封装后,放入该租户对应的网络边界数据流管道中。
网络边界数据流管道模块运行于安全虚拟机的内核态,该模块基于租户网络安全检测和审计产品信息建立起到该产品的一条网络数据流管道,通过该管道把封装后的原始报文发送到相应的网络安全产品,进行检测和分析。其中,物理安全产品包括可执行旁路式安全检测和审计的所有类型的网络安全产品。
需要说明的是,在初始状态下,上述装置中网络边界数据流过滤网模块根据网络边界安全策略中的监控区域、要监控虚拟主机IP地址进行网络数据流的汇聚。策略配置完成后,虚拟化网络数据流捕获模块通过虚拟网卡从虚拟交换机上开始捕获数据包,被捕获的数据包进入流量过滤网模块后,先被按照不同的安全域进行了分流,再根据安全检测设备的管道进行汇聚。汇聚后的流量通过网络边界数据流管道传输到物理网络安全产品中进行检测和分析,这次传输由安装于虚拟化网络边界数据流汇聚装置上的PCI透传网卡在驱动层直接完成。
另外,本实施例中安全策略模块可通过租户安全策略管配门户来获取不同租户的网络边界安全策略。且租户安全策略管配门户可向网络安全管理员提供对其网络安全策略的配置和管理的接口。允许用户录入其要保护的逻辑上的网络安全域拓扑信息,如安全域内主机的IP地址。同时,租户安全策略管配门户还向租户提供一个可视化的网络安全产品配置界面,允许用户将已配置在网络中的物理安全产品与其要保护的安全域关联起来。
实施例2
本实施例提供一种虚拟化网络边界数据流汇聚方法,包括如下操作:
虚拟化网络边界数据流汇聚装置根据不同租户的网络边界安全策略,监听虚拟交换机上的网络数据流,从中捕获网络边界安全策略指定网络接口的数据包,将所捕获的数据包通过预先建立的此数据包对应租户的过滤网进行过滤,将过滤得到的属于对应租户的安全域边界的网络数据流进行封装,并发送给与对应租户对应的网络安全产品,以进行检测和分析。
上述方法中,网络边界安全策略至少包括虚拟网络安全域边界网络数据流汇聚策略和虚拟机网络数据流过滤策略。所述虚拟网络安全域边界网络数据流汇聚策略至少包括租户的网络安全域网络拓扑信息及安全域对应的安全检测设备的地址。所述虚拟机网络数据流过滤策略至少包括需要监控的虚拟主机IP地址和需要被监控的网络数据流的识别信息。其中,租户的网络安全域网络拓扑信息给出了属于当前安全域中对应主机的地址,而需要监控的虚拟主机IP地址则主要是给出本虚拟化服务器上被需要被监控的虚拟主机的IP地址,在过滤数据包时,这相当于一个白名单机制,不在名单上的就直接丢弃。而需要被监控的网络数据流的识别信息是给出当前被监控虚拟机所产生的数据包是否需要被送到安全设备进行深度包检测,主要通过网络数据流的五元组来标示,其相当于一个基于流的黑名单,在名单上的数据包就直接丢弃。每个安全检测设备的地址都对应了一个安全域的信息,即给出了需要把该安全域下对应的虚拟主机的数据包转发到对应的安全产品上。
实际操作中,虚拟化网络边界数据流汇聚装置根据不同租户的网络边界安全策略,监听虚拟交换机上的网络数据流是:对安全虚拟机所连接的虚拟交换机上的所述网络边界安全策略中租户的网络安全域拓扑信息包含的虚拟机的网络数据流进行监听。
虚拟化网络边界数据流汇聚装置将所捕获的数据包通过预先建立的此数据包对应租户的过滤网进行过滤是:根据对应的租户的网络边界安全策略中虚拟机网络数据流过滤策略,从所监听的虚拟交换机的数据包中仅将需要被送到安全设备进行深度包检测的数据包作为过滤后得到的属于该租户的安全域边界的网络数据流。
虚拟化网络边界数据流汇聚装置将封装的网络数据流发送给与对应租户对应的网络安全产品是:根据租户的网络边界安全策略中安全域对应的安全检测设备的地址,将封装的网络数据流发送给该租户对应的网络安全产品。在有些实施过程中,上述方法的实现可对应一安全虚拟机,此安全虚拟机可以在每台物理虚拟化服务器上部署一台,并根据该物理主机上的虚拟交换机数量部署相同数量的虚拟网卡,监听对应虚拟交换机上的网络流。在VMWare的虚拟化系统中,通过vCenter把被监控虚拟机的网络接口和安全虚拟机的对应虚拟网卡设置在同一个混杂端口组,在XEN或KVM系统中,通过配置虚拟交换机的端口镜像功能来实现对特定网络接口的监听。在安全虚拟机通过虚拟网卡捕获到数据包后,将根据事先配置的租户的网络边界安全策略,对捕获的流量进行过滤筛选和识别,把过滤后符合条件的数据包通过一块基于PCI透传技术驱动的网卡直接发送到外部物理安全监控产品。本实施例中,上述方法可通过租户安全策略管配门户来获取不同租户的网络边界安全策略。而用户安全策略管配门户可以设置有某个安全域的监控范围和粒度,包括:监控区域(仅安全域边界流量、包括安全域内部的全流量或指定虚拟主机流量)、需要监控的虚拟主机IP、不需要监控的虚拟主机IP、网络流的最少检测包个数、停止汇聚网络流的协议类型、检出后的最大检测包个数等。其中需要监控的虚拟主机IP、不需要监控的虚拟主机IP作为初始安全策略下发到安全虚拟机的安全策略模块;网络流的最少检测包个数,停止汇聚网络流的协议类型,检出后的最大检测包个数下发给物理网络安全产品。
物理网络安全产品根据下发的网络边界安全策略对某个网络数据流的数据包进行深度检测,若发现该流量属于停止汇聚网络流的协议类型,如大规模的音频、视频媒体流量,在达到网络流的最少检测包数后(若该流量不属于停止汇聚网络流的协议类型,在认定该流量包含恶意代码后),将通知安全策略模块,并下发策略关闭网络流过滤网对应的流量入口,不再把该网络数据流放入网络边界的数据流管道。
在本例中,需要把物理交换机上的端口C和端口H分别镜像到端口A,以保证被检测所有虚拟主机的流量都能够被安全设备1所捕获。而由于虚拟化服务器上其它虚拟机的存在,使得如虚拟机1、虚拟机2、虚拟机5、虚拟机6和虚拟机7的流量也被一起镜像到了安全设备1,这样程度增加了安全设备1抓包口的流量负载,一旦超过其最大负载就会产生丢包,从而可能会对被检测和审计对象产生漏报,这也提供了一种对这类安全产品进行DOS攻击的可能。
实施例3
本实施例以如图2所示的系统架构为例,介绍一种虚拟化网络边界数据流汇聚装置的工作原理。
先介绍整个系统的工作过程。
首先,物理IDS引擎向租户安全策略管配门户进行注册
然后,管理员通过租户安全策略管配门户根据租户实际的虚拟网络安全域信息,为IDS配置其管理的安全域信息以及该安全域的检测和审计策略。
接着,向所有虚拟化服务器上的虚拟化网络边界数据流汇聚装置下发网络边界安全策略(此处为全局策略),更新虚拟化网络边界数据流汇聚装置中的网络边界安全策略。
下面再具体介绍虚拟化网络边界数据流汇聚装置的工作过程。
安全策略模块根据网络边界安全策略通过IOCTL系统调用设置网络边界数据流过滤网模块,通过IOCTL系统调用网络边界数据流管道模块创建网络边界数据流管道;还通过IOCTL系统调用开启虚拟化网络数据流捕获模块。
网络边界数据流过滤网模块从捕获的流量中读取数据包进行过滤筛选,虚拟机网络数据流过滤策略和虚拟网络安全域边界网络数据流汇聚策略,将需要相应IDS检测的数据包放到该IDS对应的网络数据流管道中,再通过与IDS之间建立起的流量管道将需要被检测的数据包(即过滤筛选后得到的数据包)发送到对应的物理IDS引擎。
物理IDS引擎根据检测结果通过管理接口向对应的安全虚拟机的安全策略模块下发虚拟机网络数据流过滤策略(也可称为本地策略),安全策略模块将该策略反馈到网络边界数据流过滤网模块以提高网络边界数据流的汇聚性能。
下面再结合图3介绍虚拟化网络数据流边界的汇聚装置的网络数据流和系统的硬件部署结构。如图3,业务虚拟机1-3部署于虚拟化服务器1上,并连接在虚拟交换机1上,业务虚拟机4-6部署于虚拟化服务器2上,并连接在虚拟交换机2上。虚拟机2、虚拟机3、虚拟机4和虚拟机5同属于租户安全域1,虚拟机1和虚拟机6同属于租户安全域2。物理安全设备1用于监控和审计安全域1的安全,物理安全设备2用于监控和审计安全域2的安全。安全虚拟机1部署于虚拟化服务器1上,通过虚拟网卡1抓取虚拟交换机1上的业务虚拟机的全部网络流量,安全虚拟机2部署于虚拟化服务器2,通过虚拟网卡抓取虚拟交换机2上的业务虚拟机的全部网络流量,通过安装于该安全虚拟机上的多租户安全代理子模块对这些流量进行过滤和管道化后,把属于安全域1的流量发送到物理安全设备1,把属于安全域2的流量发送到物理安全域2。
从上述实施例可以看出,本申请技术方案在多租户环境下,提供了一种高效可用的虚拟化网络安全监控方案,使得网络安全检测和审计产品能够只捕获被保护的网络的边界数据流,最小化安全虚拟机对构建于虚拟网络环境中的业务系统的性能影响,同时提供高可扩展的网络安全监控能力。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本申请不限制于任何特定形式的硬件和软件的结合。
以上所述,仅为本发明的较佳实例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (15)

1.一种虚拟化网络边界数据流汇聚装置,其特征在于,至少包括安全策略模块、虚拟化网络数据流捕获模块和网络边界数据流过滤网模块,其中:
所述安全策略模块,运行于安全虚拟机的用户态,维护并管理不同租户的网络边界安全策略;
所述虚拟化网络数据流捕获模块,运行于安全虚拟机的内核态,监听虚拟交换机上的网络数据流,从中捕获网络边界安全策略指定网络接口的数据包,并将捕获的数据包提交到所述网络边界数据流过滤网模块,其中,网络边界安全策略指定网络接口指不同租户的网络边界安全策略对应的虚拟交换机上的网络接口;
所述网络边界数据流过滤网模块,运行于安全虚拟机的内核态,根据所述安全策略模块下发的各租户的网络边界安全策略,为各租户分别建立基于网络数据流的过滤网,以及将所述虚拟化网络数据流捕获模块提交的数据包通过此数据包对应的租户的过滤网进行过滤,将过滤后得到的属于该租户的安全域边界的网络数据流进行封装,并发送给该租户对应的网络安全产品,以进行检测和分析。
2.如权利要求1所述的装置,其特征在于,所述网络边界安全策略包括虚拟网络安全域边界网络数据流汇聚策略和虚拟机网络数据流过滤策略。
3.如权利要求1所述的装置,其特征在于,所述虚拟化网络数据流捕获模块,监听虚拟交换机上的网络数据流指:
所述虚拟化网络数据流捕获模块,对安全虚拟机所连接的虚拟交换机上的所述网络边界安全策略中租户的网络安全域拓扑信息包含的虚拟机的网络数据流进行监听。
4.如权利要求2所述的装置,其特征在于,
所述虚拟网络安全域边界网络数据流汇聚策略至少包括租户的网络安全域网络拓扑信息及安全域对应的安全检测设备的地址。
5.如权利要求2所述的装置,其特征在于,
所述虚拟机网络数据流过滤策略至少包括需要监控的虚拟主机IP地址和需要被监控的网络数据流的识别信息。
6.如权利要求5所述的装置,其特征在于,所述网络边界数据流过滤网模块将所述虚拟化网络数据流捕获模块提交的数据包通过此数据包对应的租户的过滤网进行过滤指:
所述网络边界数据流过滤网模块根据对应的租户的网络边界安全策略中的虚拟机网络数据流过滤策略,从所监听的虚拟交换机的数据包中仅将需要被送到安全设备进行深度包检测的数据包过滤出来,作为属于该租户的安全域边界的网络数据流。
7.如权利要求4所述的装置,其特征在于,所述网络边界数据流过滤网模块将封装的网络数据流发送给该租户对应的网络安全产品指:所述网络边界数据流过滤网模块根据租户的网络边界安全策略中虚拟网络安全域边界网络数据流汇聚策略,将封装的网络流发送给该租户对应的网络安全产品。
8.如权利要求7所述的该装置,其特征在于,该装置还包括:
网络边界数据流管道模块,运行于安全虚拟机的内核态,基于租户的虚拟网络安全域边界网络数据流汇聚策略建立起本装置到租户部署对应的安全检测产品的一条网络数据流传输管道,所述网络边界数据流过滤网模块通过所述网络边界数据流管道模块建立的管道将封装后的网络数据流发送到相应的网络安全产品。
9.一种虚拟化网络边界数据流汇聚方法,其特征在于,该方法包括:
虚拟化网络边界数据流汇聚装置根据不同租户的网络边界安全策略,监听虚拟交换机上的网络数据流,从中捕获网络边界安全策略指定网络接口的数据包,将所捕获的数据包通过预先建立的此数据包对应租户的过滤网进行过滤,将过滤得到的属于对应租户的安全域边界的网络数据流进行封装,并发送给与对应租户对应的网络安全产品,以进行检测和分析。
10.如权利要求9所述的方法,其特征在于,所述网络边界安全策略包括虚拟网络安全域边界网络数据流汇聚策略和虚拟机网络数据流过滤策略。
11.如权利要求10所述的方法,其特征在于,所述虚拟化网络边界数据流汇聚装置根据不同租户的网络边界安全策略,监听虚拟交换机上的网络数据流指:
所述虚拟化网络边界数据流汇聚装置,对所述网络边界安全策略中租户的网络安全域拓扑信息包含的虚拟交换机的网络数据流进行监听。
12.如权利要求10所述的方法,其特征在于,
所述虚拟网络安全域边界网络数据流汇聚策略至少包括租户的网络安全域网络拓扑信息及安全域对应的安全检测设备的地址。
13.如权利要求10所述的方法,其特征在于,
所述虚拟机网络数据流过滤策略至少包括需要监控的虚拟主机IP地址和需要被监控的网络数据流的识别信息。
14.如权利要求13所述的方法,其特征在于,所述虚拟化网络边界数据流汇聚装置将所捕获的数据包通过预先建立的此数据包对应租户的过滤网进行过滤指:
所述虚拟化网络边界数据流汇聚装置根据对应的租户的网络边界安全策略中过滤策略,从所监听的虚拟交换机的数据包中仅将需要被送到安全设备进行深度包检测的数据包作为过滤后得到的属于该租户的安全域边界的网络数据流。
15.如权利要求12所述的方法,其特征在于,所述虚拟化网络边界数据流汇聚装置将封装的网络数据流发送给与对应租户对应的网络安全产品指:
所述虚拟化网络边界数据流汇聚装置根据租户的虚拟网络安全域边界网络数据流汇聚策略,将封装的网络数据流发送给该租户对应的网络安全产品。
CN201310303538.5A 2013-07-18 2013-07-18 虚拟化网络边界数据流汇聚方法及装置 Active CN103354530B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201310303538.5A CN103354530B (zh) 2013-07-18 2013-07-18 虚拟化网络边界数据流汇聚方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201310303538.5A CN103354530B (zh) 2013-07-18 2013-07-18 虚拟化网络边界数据流汇聚方法及装置

Publications (2)

Publication Number Publication Date
CN103354530A true CN103354530A (zh) 2013-10-16
CN103354530B CN103354530B (zh) 2016-08-10

Family

ID=49310845

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201310303538.5A Active CN103354530B (zh) 2013-07-18 2013-07-18 虚拟化网络边界数据流汇聚方法及装置

Country Status (1)

Country Link
CN (1) CN103354530B (zh)

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103763309A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的安全域控制方法和系统
CN104113521A (zh) * 2014-02-20 2014-10-22 西安未来国际信息股份有限公司 一种分布组件化入侵检测系统的设计
CN104363230A (zh) * 2014-11-14 2015-02-18 山东乾云启创信息科技有限公司 一种在桌面虚拟化中防护洪水攻击的方法
CN104580120A (zh) * 2013-10-28 2015-04-29 北京启明星辰信息技术股份有限公司 一种可按需服务的虚拟化网络入侵检测方法和装置
CN104917653A (zh) * 2015-06-26 2015-09-16 北京奇虎科技有限公司 基于云平台的虚拟化流量监控方法及装置
CN105100178A (zh) * 2014-05-23 2015-11-25 中兴通讯股份有限公司 一种自适应重定向加速处理方法及装置
WO2015176682A1 (en) * 2014-05-22 2015-11-26 Hangzhou H3C Technologies Co., Ltd. Forwarding a packet
CN105262768A (zh) * 2015-11-04 2016-01-20 上海科技网络通信有限公司 一种云计算平台中基于混合模型的行为检测系统与方法
CN105337789A (zh) * 2014-08-12 2016-02-17 北京启明星辰信息安全技术有限公司 一种监控虚拟网络流量的方法和装置
CN105847255A (zh) * 2016-03-24 2016-08-10 广东三盟信息科技有限公司 一种基于虚拟交换网络的虚拟安全域的划分方法及装置
CN105978904A (zh) * 2016-06-30 2016-09-28 联想(北京)有限公司 一种入侵检测方法及电子设备
CN106685860A (zh) * 2015-11-06 2017-05-17 阿里巴巴集团控股有限公司 网络虚拟化方法及设备
CN106844144A (zh) * 2016-12-29 2017-06-13 广州凯耀资产管理有限公司 一种虚拟机安全监控方法
CN106911710A (zh) * 2017-03-30 2017-06-30 福州大学 面向cloudstack的数据流量监听方法
CN107153565A (zh) * 2016-03-03 2017-09-12 华为技术有限公司 配置资源的方法及其网络设备
CN109525581A (zh) * 2018-11-19 2019-03-26 中国移动通信集团广东有限公司 一种云资源安全管控方法及系统
CN110752994A (zh) * 2019-10-28 2020-02-04 深信服科技股份有限公司 一种流量分类处理方法、装置、设备及可读存储介质
CN110912731A (zh) * 2019-10-29 2020-03-24 广州丰石科技有限公司 基于nfv采用dpi技术实现业务识别和拓扑分析的系统和方法
CN111708602A (zh) * 2020-05-07 2020-09-25 中国人民解放军战略支援部队信息工程大学 基于虚拟边界识别的租户敏感信息流动态控制方法及系统
CN114553798A (zh) * 2022-01-14 2022-05-27 奇安信科技集团股份有限公司 流量镜像方法、装置、电子设备、介质及产品

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101409714A (zh) * 2008-11-18 2009-04-15 华南理工大学 一种基于虚拟机的防火墙系统
CN101562609A (zh) * 2009-05-27 2009-10-21 西北大学 Vpn网络安全漏洞检测全局准入控制系统
CN101951384A (zh) * 2010-09-29 2011-01-19 南京信息工程大学 一种分布式安全域逻辑边界保护方法
CN101958903A (zh) * 2010-10-09 2011-01-26 南京博同科技有限公司 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法
CN102739645A (zh) * 2012-04-23 2012-10-17 杭州华三通信技术有限公司 虚拟机安全策略的迁移方法及装置
CN103067380A (zh) * 2012-12-26 2013-04-24 北京启明星辰信息技术股份有限公司 一种虚拟安全设备的部署配置方法及系统
EP2606450A2 (en) * 2010-08-18 2013-06-26 Intel Corporation Method and apparatus for enforcing a mandatory security policy on an operating system (os) independent anti-virus (av) scanner

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101409714A (zh) * 2008-11-18 2009-04-15 华南理工大学 一种基于虚拟机的防火墙系统
CN101562609A (zh) * 2009-05-27 2009-10-21 西北大学 Vpn网络安全漏洞检测全局准入控制系统
EP2606450A2 (en) * 2010-08-18 2013-06-26 Intel Corporation Method and apparatus for enforcing a mandatory security policy on an operating system (os) independent anti-virus (av) scanner
CN101951384A (zh) * 2010-09-29 2011-01-19 南京信息工程大学 一种分布式安全域逻辑边界保护方法
CN101958903A (zh) * 2010-10-09 2011-01-26 南京博同科技有限公司 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法
CN102739645A (zh) * 2012-04-23 2012-10-17 杭州华三通信技术有限公司 虚拟机安全策略的迁移方法及装置
CN103067380A (zh) * 2012-12-26 2013-04-24 北京启明星辰信息技术股份有限公司 一种虚拟安全设备的部署配置方法及系统

Cited By (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580120A (zh) * 2013-10-28 2015-04-29 北京启明星辰信息技术股份有限公司 一种可按需服务的虚拟化网络入侵检测方法和装置
CN103763309A (zh) * 2013-12-31 2014-04-30 曙光云计算技术有限公司 基于虚拟网络的安全域控制方法和系统
CN104113521A (zh) * 2014-02-20 2014-10-22 西安未来国际信息股份有限公司 一种分布组件化入侵检测系统的设计
WO2015176682A1 (en) * 2014-05-22 2015-11-26 Hangzhou H3C Technologies Co., Ltd. Forwarding a packet
CN105100178A (zh) * 2014-05-23 2015-11-25 中兴通讯股份有限公司 一种自适应重定向加速处理方法及装置
WO2015176457A1 (zh) * 2014-05-23 2015-11-26 中兴通讯股份有限公司 一种自适应重定向加速处理方法及装置
CN105100178B (zh) * 2014-05-23 2019-12-20 中兴通讯股份有限公司 一种自适应重定向加速处理方法及装置
CN105337789A (zh) * 2014-08-12 2016-02-17 北京启明星辰信息安全技术有限公司 一种监控虚拟网络流量的方法和装置
CN104363230A (zh) * 2014-11-14 2015-02-18 山东乾云启创信息科技有限公司 一种在桌面虚拟化中防护洪水攻击的方法
CN104363230B (zh) * 2014-11-14 2018-01-12 山东乾云启创信息科技股份有限公司 一种在桌面虚拟化中防护洪水攻击的方法
CN104917653A (zh) * 2015-06-26 2015-09-16 北京奇虎科技有限公司 基于云平台的虚拟化流量监控方法及装置
CN105262768A (zh) * 2015-11-04 2016-01-20 上海科技网络通信有限公司 一种云计算平台中基于混合模型的行为检测系统与方法
CN106685860B (zh) * 2015-11-06 2020-09-11 阿里巴巴集团控股有限公司 网络虚拟化方法及设备
CN106685860A (zh) * 2015-11-06 2017-05-17 阿里巴巴集团控股有限公司 网络虚拟化方法及设备
CN107153565A (zh) * 2016-03-03 2017-09-12 华为技术有限公司 配置资源的方法及其网络设备
US10616133B2 (en) 2016-03-03 2020-04-07 Huawei Technologies Co., Ltd. Resource configuration method and network device thereof
CN107153565B (zh) * 2016-03-03 2020-06-16 华为技术有限公司 配置资源的方法及其网络设备
CN105847255A (zh) * 2016-03-24 2016-08-10 广东三盟信息科技有限公司 一种基于虚拟交换网络的虚拟安全域的划分方法及装置
CN105978904A (zh) * 2016-06-30 2016-09-28 联想(北京)有限公司 一种入侵检测方法及电子设备
CN105978904B (zh) * 2016-06-30 2019-07-05 联想(北京)有限公司 一种入侵检测方法及电子设备
CN106844144A (zh) * 2016-12-29 2017-06-13 广州凯耀资产管理有限公司 一种虚拟机安全监控方法
CN106911710A (zh) * 2017-03-30 2017-06-30 福州大学 面向cloudstack的数据流量监听方法
CN109525581A (zh) * 2018-11-19 2019-03-26 中国移动通信集团广东有限公司 一种云资源安全管控方法及系统
CN109525581B (zh) * 2018-11-19 2021-01-26 中国移动通信集团广东有限公司 一种云资源安全管控方法及系统
CN110752994A (zh) * 2019-10-28 2020-02-04 深信服科技股份有限公司 一种流量分类处理方法、装置、设备及可读存储介质
CN110752994B (zh) * 2019-10-28 2022-03-22 深信服科技股份有限公司 一种流量分类处理方法、装置、设备及可读存储介质
CN110912731A (zh) * 2019-10-29 2020-03-24 广州丰石科技有限公司 基于nfv采用dpi技术实现业务识别和拓扑分析的系统和方法
CN110912731B (zh) * 2019-10-29 2022-07-26 广州丰石科技有限公司 基于nfv采用dpi技术实现业务识别和拓扑分析的系统和方法
CN111708602A (zh) * 2020-05-07 2020-09-25 中国人民解放军战略支援部队信息工程大学 基于虚拟边界识别的租户敏感信息流动态控制方法及系统
CN111708602B (zh) * 2020-05-07 2023-04-18 中国人民解放军战略支援部队信息工程大学 基于虚拟边界识别的租户敏感信息流动态控制方法及系统
CN114553798A (zh) * 2022-01-14 2022-05-27 奇安信科技集团股份有限公司 流量镜像方法、装置、电子设备、介质及产品

Also Published As

Publication number Publication date
CN103354530B (zh) 2016-08-10

Similar Documents

Publication Publication Date Title
CN103354530A (zh) 虚拟化网络边界数据流汇聚方法及装置
US10476845B2 (en) Traffic handling for containers in a virtualized computing environment
JP6523463B2 (ja) 仮想ネットワークをモニタリングするシステム及び方法
US9166988B1 (en) System and method for controlling virtual network including security function
CN104378387A (zh) 一种虚拟化平台下保护信息安全的方法
US9680728B2 (en) Arrangements for monitoring network traffic on a cloud-computing environment and methods thereof
EP2909780B1 (en) Providing a virtual security appliance architecture to a virtual cloud infrastructure
EP2867811B1 (en) Method, system, and device for securely handling virtual function driver communications with a physical function driver
TWI453624B (zh) 資訊安全防護主機
CN102255903B (zh) 一种云计算虚拟网络与物理网络隔离安全方法
Zarrabi et al. Internet intrusion detection system service in a cloud
CN102043917A (zh) 云系统分布式拒绝服务攻击防护方法以及装置和系统
CN103685608B (zh) 一种自动配置安全虚拟机ip地址的方法及装置
CN101465770A (zh) 入侵检测系统部署方法
CN105337789A (zh) 一种监控虚拟网络流量的方法和装置
CN105100026A (zh) 一种报文安全转发方法及装置
CN105592016B (zh) 一种电力信息系统的云环境下虚拟机的保护装置
US11743161B2 (en) Container network interface monitoring
CN103067356B (zh) 保障业务虚拟机安全的系统及方法
CN104580120A (zh) 一种可按需服务的虚拟化网络入侵检测方法和装置
KR20190006022A (ko) 컴퓨터 네트워크의 트래픽 로깅
US20190132330A1 (en) Method and arrangement for configuring a secure domain in a network functions virtualization infrastructure
CN103023912A (zh) 一种防止基于虚拟机进行网络攻击的方法
US10599856B2 (en) Network security for data storage systems
CN104125214A (zh) 一种实现软件定义安全的安全架构系统及安全控制器

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant