CN103561027A - 虚拟网络隔离的实现方法和实现装置 - Google Patents
虚拟网络隔离的实现方法和实现装置 Download PDFInfo
- Publication number
- CN103561027A CN103561027A CN201310541468.7A CN201310541468A CN103561027A CN 103561027 A CN103561027 A CN 103561027A CN 201310541468 A CN201310541468 A CN 201310541468A CN 103561027 A CN103561027 A CN 103561027A
- Authority
- CN
- China
- Prior art keywords
- module
- virtual machine
- fire compartment
- compartment wall
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Alarm Systems (AREA)
Abstract
本发明公开了一种虚拟网络隔离的实现方法和实现装置,该实现方法包括:对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。该实现方法还包括:预先配置防火墙与虚拟机的固有特征信息之间的对应关系、以及在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系;并且,在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。本发明能够根据虚拟机不同的用途,灵活的改变隔离策略;而且还能够保证每个虚拟机之间隔离策略的稳定性。
Description
技术领域
本发明涉及网络安全领域,具体来说,涉及一种虚拟网络隔离的实现方法和实现装置。
背景技术
当前,许多厂家在一台物理防火墙中放置多个虚拟机,然后在虚拟机上安装防火墙软件,以此来提高物理防火墙的使用率,使一台物理防火墙可以作为多台防火墙使用。这种方法在一定程度上是提高了物理防火墙的使用率,然而在使用时也存在一些不足之处,例如:
目前,在虚拟机中安装的防火墙都是特定的,其是在创建虚拟机时,根据预先拟定的虚拟机的用途去安装的特定防火墙,这种防火墙是不可修改的,然而,人们在实际使用的过程中,有可能会根据自身的需求去改变虚拟机的用途,从而就导致了原先特定的防火墙可能不满足新的用途,起不到有效的隔离作用。此时,就需要重新创建一个新的虚拟机,并且,在这个虚拟机上安装一个与新用途对应的防火墙,而创建一个新的虚拟机,并且根据新的用途建立一个新的防火墙时,会产生一系列的编程及其他繁琐操作,不仅费时费力,而且投入成本较大,对用户的要求比较高。
另外,目前,在虚拟机中安装的防火墙都是根据网络的IP去设定防火墙的规则的,这种根据网络IP去设定防火墙的规则,在使用时不够稳定,当虚拟机进行重启时,虚拟机所分配到的IP有可能会改动,从而就会导致对应的防火墙失效,起不到对应的作用,导致虚拟机之间无法进行有效的隔离和控制。
针对相关技术中虚拟机的网络隔离不够稳定且灵活性差的问题,目前尚未提出有效的解决方案。
发明内容
针对相关技术中虚拟机的网络隔离不够稳定且灵活性差的问题,本发明提出一种虚拟网络隔离的实现方法和实现装置,能够根据虚拟机不同的用途,灵活的改变隔离策略;而且还能够保证每个虚拟机之间隔离策略的稳定性。
本发明的技术方案是这样实现的:
根据本发明的一个方面,提供了一种虚拟网络隔离的实现方法。
该实现方法包括:
对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;
根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。
其中,在根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块时,可根据隔离需求确定需要与虚拟机隔离的其他虚拟机;并根据需要隔离的其他虚拟机,启动模块化防火墙中的相应模块。
此外,该实现方法还包括:预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
另外,该实现方法还包括:在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
此外,该实现方法还包括:在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。
根据本发明的另一方面,提供了一种虚拟网络隔离的实现装置。
该实现装置包括:
生成模块,用于对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;
处理模块,用于根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。
其中,处理模块包括目标确定模块和第一启动模块,目标确定模块,用于根据隔离需求确定需要与虚拟机隔离的其他虚拟机;第一启动模块,用于根据需要隔离的其他虚拟机,启动模块化防火墙中的相应模块。
此外,该实现装置还包括:第一配置模块,用于预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
另外,该实现装置还包括:第二配置模块,用于在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
此外,该实现装置还包括:第二启动模块,用于在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。
本发明通过创建模块化防火墙,使得虚拟机在实际使用时,可根据不同的隔离需求启动模块化防火墙相应的模块来实现对应的隔离策略,极大的提高了虚拟机之间进行网络隔离的灵活性,此外,本发明通过虚拟机的固有特征信息来设置防火墙,而由于虚拟机的固有特征信息是不会改变的,从而极大的提高了虚拟机防火墙的稳定性,进而提高了虚拟机之间网络隔离的稳定性,另外,本发明还创建了与模块化防火墙对应的功能列表,可以让用户直观的根据自身的需求选着对应的隔离策略,大大的提高了用户使用时的方便性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的虚拟网络隔离的实现方法的流程示意图;
图2是根据本发明实施例的虚拟网络隔离的实现装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
根据本发明的实施例,提供了一种虚拟网络隔离的实现方法。
如图1所示,根据本发明实施例的虚拟网络隔离的实现方法包括:
步骤S101,对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;
步骤S103,根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。
其中,在根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块时,可根据隔离需求确定需要与虚拟机隔离的其他虚拟机;并根据需要隔离的其他虚拟机,启动模块化防火墙中的相应模块。
此外,该实现方法还包括:预先配置防火墙与虚拟机的固有特征信息(虚拟机的名称、虚拟机上的唯一标识符、虚拟机的特有属性等等)之间的对应关系。
另外,该实现方法还包括:在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
此外,该实现方法还包括:在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。
通过本发明的上述方案,能够根据虚拟机不同的用途,灵活的改变隔离策略;而且还能够保证每个虚拟机之间隔离策略的稳定性。
根据本发明的实施例,还提供了一种虚拟网络隔离的实现装置。
如图2所示,根据本发明实施例的虚拟网络隔离的实现装置包括:
生成模块21,用于对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;
处理模块22,用于根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。
其中,处理模块22包括目标确定模块(未示出)和第一启动模块(未示出),目标确定模块,用于根据隔离需求确定需要与虚拟机隔离的其他虚拟机;第一启动模块,用于根据需要隔离的其他虚拟机,启动模块化防火墙中的相应模块。
此外,该实现装置还包括:第一配置模块(未示出),用于预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
另外,该实现装置还包括:第二配置模块(未示出),用于在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
此外,该实现装置还包括:第二启动模块(未示出),用于在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。
综上所述,借助于本发明的上述技术方案,通过创建模块化防火墙,使得虚拟机在实际使用时,可根据不同的隔离需求启动模块化防火墙相应的模块来实现对应的隔离策略,极大的提高了虚拟机之间进行网络隔离的灵活性,此外,本发明通过虚拟机的固有特征信息来设置防火墙,而由于虚拟机的固有特征信息是不会改变的,从而极大的提高了虚拟机防火墙的稳定性,进而提高了虚拟机之间网络隔离的稳定性,另外,本发明还创建了与模块化防火墙对应的功能列表,可以让用户直观的根据自身的需求选着对应的隔离策略,大大的提高了用户使用时的方便性。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种虚拟网络隔离的实现方法,其特征在于,包括:
对虚拟机生成模块化防火墙,所述模块化防火墙包括多个模块,每个模块用于将所述虚拟机与其他至少一个虚拟机隔离;
根据所述虚拟机的隔离需求,启动所述模块化防火墙的至少一个模块。
2.根据权利要求1所述的实现方法,其特征在于,根据所述虚拟机的隔离需求,启动所述模块化防火墙的至少一个模块包括:
根据所述隔离需求确定需要与所述虚拟机隔离的其他虚拟机;
根据需要隔离的其他虚拟机,启动所述模块化防火墙中的相应模块。
3.根据权利要求1所述的实现方法,其特征在于,进一步包括:
预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
4.根据权利要求1所述的实现方法,其特征在于,进一步包括:
在对虚拟机生成模块化防火墙之后,根据所述多个模块配置功能列表,所述功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
5.根据权利要求4所述的实现方法,其特征在于,进一步包括:
在配置所述功能列表之后,根据用户需求,将用户在所述功能列表中选择的模块启动。
6.一种虚拟网络隔离的实现装置,其特征在于,包括:
生成模块,用于对虚拟机生成模块化防火墙,所述模块化防火墙包括多个模块,每个模块用于将所述虚拟机与其他至少一个虚拟机隔离;
处理模块,用于根据所述虚拟机的隔离需求,启动所述模块化防火墙的至少一个模块。
7.根据权利要求6所述的实现装置,其特征在于,所述处理模块包括目标确定模块和第一启动模块,其中,
目标确定模块,用于根据所述隔离需求确定需要与所述虚拟机隔离的其他虚拟机;
第一启动模块,用于根据需要隔离的其他虚拟机,启动所述模块化防火墙中的相应模块。
8.根据权利要求6所述的实现装置,其特征在于,进一步包括:
第一配置模块,用于预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
9.根据权利要求1所述的实现装置,其特征在于,进一步包括:
第二配置模块,用于在对虚拟机生成模块化防火墙之后,根据所述多个模块配置功能列表,所述功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
10.根据权利要求9所述的实现装置,其特征在于,进一步包括:
第二启动模块,用于在配置所述功能列表之后,根据用户需求,将用户在所述功能列表中选择的模块启动。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310541468.7A CN103561027A (zh) | 2013-11-05 | 2013-11-05 | 虚拟网络隔离的实现方法和实现装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310541468.7A CN103561027A (zh) | 2013-11-05 | 2013-11-05 | 虚拟网络隔离的实现方法和实现装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103561027A true CN103561027A (zh) | 2014-02-05 |
Family
ID=50015177
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310541468.7A Pending CN103561027A (zh) | 2013-11-05 | 2013-11-05 | 虚拟网络隔离的实现方法和实现装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103561027A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105704087A (zh) * | 2014-11-25 | 2016-06-22 | 甘肃省科学技术情报研究所 | 一种基于虚拟化实现网络安全管理的装置及其管理方法 |
| CN107959585A (zh) * | 2017-11-08 | 2018-04-24 | 新华三信息安全技术有限公司 | 一种防火墙配置方法、装置及电子设备 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1748395A (zh) * | 2003-02-05 | 2006-03-15 | 日本电信电话株式会社 | 防火墙装置 |
| CN101409714A (zh) * | 2008-11-18 | 2009-04-15 | 华南理工大学 | 一种基于虚拟机的防火墙系统 |
| CN101478533A (zh) * | 2008-11-29 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN102394897A (zh) * | 2011-12-18 | 2012-03-28 | 西安安智科技有限公司 | 结合底线策略实现虚拟防火墙安全策略的系统和方法 |
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| CN102780601A (zh) * | 2011-05-13 | 2012-11-14 | 国际商业机器公司 | 管理虚拟网络的方法与系统 |
| US8332927B1 (en) * | 2007-08-10 | 2012-12-11 | Juniper Networks, Inc. | Merging filter rules to reduce forwarding path lookup cycles |
-
2013
- 2013-11-05 CN CN201310541468.7A patent/CN103561027A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1748395A (zh) * | 2003-02-05 | 2006-03-15 | 日本电信电话株式会社 | 防火墙装置 |
| US8332927B1 (en) * | 2007-08-10 | 2012-12-11 | Juniper Networks, Inc. | Merging filter rules to reduce forwarding path lookup cycles |
| CN101409714A (zh) * | 2008-11-18 | 2009-04-15 | 华南理工大学 | 一种基于虚拟机的防火墙系统 |
| CN101478533A (zh) * | 2008-11-29 | 2009-07-08 | 成都市华为赛门铁克科技有限公司 | 一种跨越虚拟防火墙发送和接收数据的方法及系统 |
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN102780601A (zh) * | 2011-05-13 | 2012-11-14 | 国际商业机器公司 | 管理虚拟网络的方法与系统 |
| CN102394897A (zh) * | 2011-12-18 | 2012-03-28 | 西安安智科技有限公司 | 结合底线策略实现虚拟防火墙安全策略的系统和方法 |
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105704087A (zh) * | 2014-11-25 | 2016-06-22 | 甘肃省科学技术情报研究所 | 一种基于虚拟化实现网络安全管理的装置及其管理方法 |
| CN107959585A (zh) * | 2017-11-08 | 2018-04-24 | 新华三信息安全技术有限公司 | 一种防火墙配置方法、装置及电子设备 |
| CN107959585B (zh) * | 2017-11-08 | 2021-09-03 | 新华三信息安全技术有限公司 | 一种防火墙配置方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110502340A (zh) | 一种资源动态调整方法、装置、设备及存储介质 | |
| CN103645909A (zh) | 定时任务的处理方法及装置 | |
| CN106201690A (zh) | 应用运行控制方法及装置 | |
| CN106161086B (zh) | 主控板重启的控制方法及装置 | |
| CN104113435A (zh) | 生成标识的方法及装置 | |
| CN104660553A (zh) | 一种虚拟防火墙的实现方法 | |
| CN104320460A (zh) | 一种大数据处理方法 | |
| CN103490929B (zh) | 一种服务器多适应性固件制作和实施方法 | |
| CN105812175A (zh) | 一种资源管理方法及资源管理设备 | |
| CN103561027A (zh) | 虚拟网络隔离的实现方法和实现装置 | |
| CN105468437A (zh) | 任务窗口的处理方法及装置 | |
| CN101650667A (zh) | 一种虚拟机管理系统及方法 | |
| CN102256211B (zh) | M2m终端基于群组实现应用的方法和系统 | |
| CN102880471A (zh) | 基于命令行的命令执行方法及命令行操作系统 | |
| CN107222618A (zh) | 终端截屏方法及装置 | |
| CN102571595B (zh) | 一种堆叠系统的路由转发信息同步方法和装置 | |
| CN104090746A (zh) | 一种基于安卓系统的应用管理方法及其装置 | |
| CN103532866A (zh) | 虚拟机的流量控制方法和系统 | |
| CN108089917A (zh) | 一种应用进程控制方法及装置 | |
| CN105487921A (zh) | 一种任务栈管理方法及装置 | |
| CN105577310A (zh) | 一种时间触发网络中任务分区与通信调度的同步方法 | |
| CN104615349A (zh) | 一种信息处理的方法及电子设备 | |
| CN106547642B (zh) | 一种数据存储备份的方法及装置 | |
| CN105631316A (zh) | 一种虚拟化资源的管理方法和装置 | |
| CN106339048A (zh) | 带端子式接口式串口服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140205 |
|
| RJ01 | Rejection of invention patent application after publication |