CN103685608B

CN103685608B - 一种自动配置安全虚拟机ip地址的方法及装置

Info

Publication number: CN103685608B
Application number: CN201310723045.7A
Authority: CN
Inventors: 李陟; 刘新刚; 叶润国
Original assignee: Beijing Venus Information Security Technology Co Ltd; Beijing Venus Information Technology Co Ltd
Current assignee: Beijing Venus Information Security Technology Co Ltd; Beijing Venus Information Technology Co Ltd
Priority date: 2013-12-24
Filing date: 2013-12-24
Publication date: 2017-10-20
Anticipated expiration: 2033-12-24
Also published as: CN103685608A

Abstract

本发明涉及一种自动配置安全虚拟机IP地址的方法及装置。用于虚拟安全管理中心对安全虚拟机的管理和配置过程，该方法或装置包括：对安全虚拟机模板进行修改包括：添加或选出第一虚拟网卡设备，将所述第一虚拟网卡设备设置为不启用；在所述第一虚拟网卡设备的配置项中增加介质访问控制MAC地址，将该MAC地址的一部分设置为协议识别信息，另一部分设置为需要配置的管理端口的IP地址；安全虚拟机启动后，根据所述协议识别信息识别出所述第一虚拟网卡设备，从所述第一虚拟网卡设备的MAC地址中读取所述IP地址，将该IP地址配置到管理端口所用的目标虚拟网卡上。通过该方案可以简化虚拟化安全产品的部署过程和虚拟化平台的管理权限分配。

Description

一种自动配置安全虚拟机IP地址的方法及装置

技术领域

本发明涉及虚拟化技术领域，尤其涉及虚拟化环境中的安全虚拟机的部署和配置方案。

背景技术

云计算是计算机和互联网的又一次新的革命，它将计算和存储转移到了云端，用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看，云计算不仅仅是一种新的概念，并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展，使得一台普通的物理服务器的所具有性能远远超过普通的单一用户对硬件性能的需求。因此，通过虚拟化的手段，将一台物理服务器虚拟为多台虚拟机，提供虚拟化服务成为了构建公有云和企业私有云的技术基础。经过虚拟化后，可以极大的提高软件系统对硬件资源的利用率，并通过虚拟化平台对计算、存储、网络等资源的统一调度管理，实现按需高效的使用硬件资源。

在网络安全领域，传统的网络安全监控通常采用在安全域的网络边界、以及需要监听的安全域内的网络链路上旁路式部署网络安全监控产品，如入侵检测系统(IntrusionDetection Systems,IDS)、安全审计系统等。虚拟化在带来技术变革的同时，也提出了新的虚拟网络安全监控问题。首先是网络边界问题，虚拟化技术对网络工程的最大影响是使得传统的物理网络边界不再清晰的存在，从而无法找到网络安全域的网络流的物理汇聚点；其次是隐蔽通信信道问题，在同一个大二层网络环境下，同一虚拟交换机上的网络流量会在虚拟交换机内部直接交换，而不会被转发到物理链路上，连接在物理链路上的物理安全设备无法捕获到这部分流量；虚拟机的迁移问题是另外一个影响安全产品在虚拟化网络中部署的问题，由于虚拟机的可动态迁移的特性，使得物理网络安全产品所监控的物理端口不再固定，而被监控的物理端口和连接其上的物理设备又无法跟随迁移。以上这些问题使得传统网络安全监控产品无法找到合适的部署位置来保护虚拟网络安全域的边界安全。为了应对虚拟化带来的这一技术变革和引入的安全威胁，目前安全厂商往往通过把安全产品虚拟化后，以安全虚拟机的方式直接部署到虚拟交换机上，从而直接抓取虚拟交换机上的流量，并且实时感知虚拟机的迁移情况，实现安全虚拟机或安全策略的跟随迁移，以实时保护业务虚拟机的安全。

在通常情况下，出于对于人员职责权限的划分和人员专业能力的区别，一个业务网络中的网络运维管理和安全管理应该分别由专人负责，即存在专门的网络运维管理人员，其权限和职责是通过网络管理平台对网络上运行着业务系统的硬件设备进行状态监控和管理，网络安全则由专门的安全管理人员负责实施和管理，通过专业安全管理平台和设备负责业务网络的网络安全。在传统的物理环境下，配置安全产品时，直接通过串口线或者网线连接在安全产品上即可，而在虚拟化网络中，虚拟机无法直接使用物理线缆连接，但是虚拟机形态的安全产品在配置好管理端口IP地址前无法通过网络登入，若使用虚拟化管理平台的控制台登入安全虚拟机再进行配置，将使得对安全产品的整个配置过程变得复杂，同时不熟悉虚拟化环境的安全管理人员直接使用vCenter等对虚拟网络和虚拟机进行配置也存在一定的风险。

在虚拟化安全产品部署过程中，由于不同的客户环境会需要配置不同的管理口IP地址，而在管理口IP地址被配置完成前，无法通过管理口连接上该安全产品对其进行配置和部署。与传统物理环境不同的是虚拟化环境中，安全虚拟机也运行在客户的虚拟化平台上，因此必须通过客户的虚拟化平台的管理工具如vCenter，来登录到安全虚拟机内部进行管理，这就使得安全虚拟化产品的配置部署过程无法实现完全的自动化，而且登录业务网络的管理环境去配置安全产品还需要专门为vCenter分配相应的管理权限，带来了管理的复杂性。

发明内容

本发明要解决的技术问题是如何简化虚拟化安全产品的部署过程和虚拟化平台的管理权限分配。

一种自动配置安全虚拟机IP地址的方法和装置，用于虚拟安全管理中心

对安全虚拟机的管理和配置过程，包括：

对安全虚拟机模板进行修改包括：添加或选出第一虚拟网卡设备，将所述第一虚拟网卡设备设置为不启用；在所述第一虚拟网卡设备的配置项中增加介质访问控制MAC地址，将该MAC地址的一部分设置为协议识别信息，另一部分设置为需要配置的管理端口的IP地址；

安全虚拟机启动后，根据所述协议识别信息识别出所述第一虚拟网卡设备，从所述第一虚拟网卡设备的MAC地址中读取所述IP地址，将该IP地址配置到管理端口所用的目标虚拟网卡上。

可选地，在对所述安全虚拟机模板进行修改的步骤前还包括：对所述安全虚拟机模板进行复制；

对所述安全虚拟机模板进行修改的步骤中是对复制得到的安全虚拟机模板中的模板ovf文件进行修改。

可选地，将所述第一虚拟网卡设备设置为不启用的步骤包括：将所述第一虚拟网卡设备的配置项中的自动定位AUTOMATICALLOCATION项设置为false。

可选地，所述ovf文件修改的步骤完成后，再修改所述ovf文件对应的mf文件中的SHA1校验值，以完成校验。

可选地，所述管理端口的IP地址配置完成的步骤后还包括：所述安全管理中心和所述安全虚拟机进行双向注册。

一种自动配置安全虚拟机IP地址的装置，用于虚拟安全管理中心对安全虚拟机的管理和配置过程，包括：

运行在虚拟安全管理中心的模板管配模块、运行在安全虚拟机上的自动配置代理模块；

所述模板管配模块对安全虚拟机模板进行修改包括：添加或选出第一虚拟网卡设备，将所述第一虚拟网卡设备设置为不启用；在所述第一虚拟网卡设备的配置项中增加介质访问控制MAC地址，将该MAC地址的一部分设置为协议识别信息，另一部分设置为需要配置的管理端口的IP地址；

安全虚拟机启动后，所述自动配置代理模块根据所述协议识别信息识别出所述第一虚拟网卡设备，从所述第一虚拟网卡设备的MAC地址中读取所述IP地址，将该IP地址配置到管理端口所用的目标虚拟网卡上。

可选地，所述模板管配模块还包括安全虚拟机模板库、模板实例化模块；

所述安全虚拟机模板库用于存储安全虚拟机模板；

所述模板实例化模块用于在对所述安全虚拟机模板进行修改前，对所述安全虚拟机模板进行复制；

所述模板实例化模块还用于对复制得到的安全虚拟机模板中的模板ovf文件进行修改。

可选地，所述模板管配模块用于将所述第一虚拟网卡设备的配置项中的自动定位AUTOMATICALLOCATION项设置为false。

可选地，所述模板实例化模块完成对所述ovf文件的修改后，再修改所述ovf文件对应的mf文件中的SHA1校验值，以完成校验。

可选地，所述安全管理中心和所述安全虚拟机在所述管理端口的IP地址配置完成后进行双向注册。

本发明公开了一种无需登录虚拟机的操作系统就可以自动配置虚拟机的IP地址的方法和装置，通过该方案，在部署安全虚拟机时，安全管理人员可以动态根据用户的网络环境，配置安全虚拟机的管理端口的IP地址，而不需要登录到vCenter来进入安全虚拟机系统后再修改IP，这就为不使用vCenter等虚拟化管理中心部署安全虚拟机提供了可能性，从而利用该方法能够开发不需要与vCenter耦合在一起的独立的虚拟化安全管理平台，并把安全产品的部署与业务系统虚拟机的部署分开，简化虚拟化安全产品的部署过程和虚拟化平台的管理权限分配。

附图说明

图1安全虚拟机IP地址自动配置方法的流程图；

图2安全虚拟机IP地址自动配置系统结构图；

图3虚拟化安全管理中心端的逻辑序列图；

图4安全虚拟机内的逻辑序列图；

图5虚拟化安全管理中心和安全虚拟机间的逻辑序列图。

具体实施方式

下面将结合附图及实施例对本发明的技术方案进行更详细的说明。

需要说明的是，如果不冲突，本发明实施例以及实施例中的各个特征可以相互结合，均在本发明的保护范围之内。另外，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是安全虚拟机IP地址自动配置方法的流程图；

一种自动配置安全虚拟机IP地址的方法，用于虚拟安全管理中心对安全虚拟机的管理和配置过程，包括：

安全虚拟机启动后，根据所述协议识别信息识别出所述第一虚拟网卡设备，从所述第一虚拟网卡设备的MAC地址中读取所述IP地址，将该IP地址配置到管理端口使用的目标虚拟网卡上。

在物理网络环境中部署物理安全产品时，安全服务人员可以通过直接接入网线或者串口线的方式连接到部署的安全产品上对其进行管理端口的配置，而在虚拟化平台中，由于安全产品变成了虚拟机的形态，因此无法直接连接物理的线缆到特定的物理端口，若通过虚拟化管理平台提供的管理接口进行配置，需要获取相应的管理权限，同时虚拟机是以软件的形态存在，本身可提供自动的配置和部署能力，因此通过统一的安全管理平台直接配置安全虚拟机才是一种最符合虚拟化平台安全管理特性的安全部署方案，为了解决被部署的安全虚拟机的管理端口IP地址无法自动配置的问题，本申请发明人提出一种自动配置安全虚拟机IP地址的方法和装置，利用虚拟机的硬件属性可以通过虚拟机管理平台进行修改的特性，把安全虚拟机中的一块不启用，或者添加一块新的虚拟网卡设备称作第一虚拟网卡设备，将其MAC地址作为传递管理端口IP地址的媒介，使用事先定义的管理端口IP地址传递协议来实现安全虚拟机启动后对该IP地址的识别和获取。

该装置至少包括安全虚拟机模板管配模块和安全虚拟机自动配置代理模块。

如图2所示，下面具体介绍整个系统的结构和各模块的功能。

一种自动配置安全虚拟机IP地址的装置，用于虚拟安全管理中心对安全虚拟机的管理和配置过程，其特征在于，包括：

模板管配模块运行于安全管理中心内，对安全管理中心的应用系统提供安全虚拟机模板自动部署的接口，对于安全管理中心的应用系统来说，直接调用该接口，传入管理端口IP地址作为参数，就可以实现安全虚拟机的自动部署。

所述安全虚拟机模板管配模块还包括安全虚拟机模板库、模板实例化模块；

所述安全虚拟机模板库用于存储安全虚拟机模板；

所述模板管配模块包括的子模块还有模板管理模块、安全虚拟机部署模块。其中模板管理模块负责提供对外接口和实现整个安全虚拟机自动化部署的主流程；

安全虚拟机模板库提供对本地存储的安全虚拟机模板的获取、复制、修改等功能；模板实例化模块实现对复制后的安全虚拟机模板按照需要配置的IP地址进行修改，重新计算SHA1校验值等操作；安全虚拟机部署模块提供对修改好的安全虚拟机模板的远程部署能力。

安全虚拟机内以软件的形式运行着虚拟化安全产品的业务系统，自动配置代理模块在该系统的底层提供在系统初始化时的管理端口IP地址自动配置服务，系统在初始化时，将根据事先定义的管理端口IP地址传递协议，从专用的第一虚拟网卡设备的MAC地址处分析获得由安全管理中心指定的管理端口IP，并调用操作系统命令配置到相应的管理端口使用的目标虚拟网卡上。

下面以如图3、图4和图5所示的序列图为例，介绍整个系统的工作过程。

图3是安全管理中心内的流程序列图，安全管理业务逻辑层是安全管理中心的业务处理模块，用户通过其界面写入安全虚拟机管理端口IP和其它相关的配置到数据库中，并由该模块调用模板管理模块提供的接口发起安全虚拟机的部署请求。在接收到部署请求后，模板管理模块先从数据库中读出需要部署的安全虚拟机的配置，从安全虚拟机模板库取得安全虚拟机模板文件，再调用模板实例化模块根据配置修改安全虚拟机的模板，最后调用安全虚拟机部署模块执行远程的安全虚拟机部署。通信协议层负责提供对外通信的统一接口，在部署完成后，返回部署成功的消息给管理中心的调用模块。

下面详细描述修改安全虚拟机的模板的具体过程：

在配置一台安全虚拟机时，安全管理中心从存储在本地的安全虚拟机模板库中取出安全虚拟机的模板，所述安全虚拟机模板即标准的ovf格式的虚拟机模板，可以被直接导入到虚拟化平台中。该模板默认被配置了n块虚拟网卡设备，n<10，第一块虚拟网卡设备默认作为管理网卡设备，将第n块虚拟网卡设备作为传递IP地址用的第一虚拟网卡设备。

所述“第一虚拟网卡设备”中的“第一”并不表示序号和顺序，而表示所选的虚拟网卡设备和未选虚拟网卡设备的区分关系。

在取得安全虚拟机模板后，先对该模板进行复制，并以文件的形式打开复制后的模板，修改所述第一虚拟虚拟网卡设备的配置项，增加<rasd:Address>MAC</rasd:Address>属性，其中MAC为自定义的MAC地址，地址的前16位定义为FF:AA，作为协议识别，后32位定义为实际需要配置在管理端口上的IP地址。

同时还需要修改所述第一虚拟网卡设备的自动定位AutomaticAllocation属性为false，以保证安全虚拟机在加电启动后，不会把用于传递IP地址的所述第一虚拟网卡设备当作真实使用的网卡连接在网上，避免发生MAC地址冲突或者错误的可能。

修改完ovf文件后，再修改该ovf文件对应的mf文件中ovf文件的SHA1校验值，并保存文件，完成对复制模板的修改。

把修改完的安全虚拟机模板通过vCenter的vSphere Web Service SDK远程导入到需要部署安全虚拟机的ESXi服务器上。

所述的vCenter,vSphere和ESXi服务器都是在vmware平台上。

图4是安全虚拟机被部署到虚拟化平台后，启动初始化后的流程序列图，安全虚拟机在启动后会自动运行其中安装的安全产品应用系统，系统初始化时，首先将调用自动配置代理模块进行管理端口的IP配置，

自动配置代理模块将首先从操作系统获取所有虚拟网卡设备的信息，根据定义的IP地址传递协议解析出管理端口的IP地址，把其中MAC地址的前16位为FF:AA的那块第一虚拟网卡设备识别出来，将其MAC地址后32位读出并配置在管理端口使用的目标虚拟网卡上。

并对管理端口使用的所述目标虚拟网卡进行配置，配置完成后开始运行安全产品的业务逻辑。

并启动注册服务的守护进程等待安全管理中心的注册请求，至此完成对安全虚拟机IP的自动配置。

图5是在管理端口的IP地址配置完成后，安全管理中心和安全虚拟机之间进行双向注册的流程序列图，在安全管理中心部署完安全虚拟机后，就将对其所配置的安全虚拟机的管理端口IP地址进行轮询的发送注册管理中心的请求，当安全虚拟机的管理端口的IP地址也配置完成后，就将对此请求进行响应，并通过获得的安全管理中心的IP地址，向安全管理中心发起安全虚拟机的注册请求，以完成双向的注册，之后安全管理中心就可以通过管理端口向该安全虚拟机自动下发更加复杂的配置管理项，以完成整个安全虚拟机安全策略的整体配置。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

当然，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明的权利要求的保护范围。

Claims

1.一种自动配置安全虚拟机IP地址的方法，用于虚拟安全管理中心对安全虚拟机的管理和配置过程，其特征在于，包括：

2.如权利要求1所述的方法，其特征在于，在对所述安全虚拟机模板进行修改的步骤前还包括：对所述安全虚拟机模板进行复制；

3.如权利要求1所述的方法，其特征在于，将所述第一虚拟网卡设备设置为不启用的步骤包括：将所述第一虚拟网卡设备的配置项中的自动定位AUTOMATICALLOCATION项设置为false。

4.如权利要求2所述的方法，其特征在于，所述ovf文件修改的步骤完成后，再修改所述ovf文件对应的mf文件中的SHA1校验值，以完成校验。

5.如权利要求1所述的方法，其特征在于，所述管理端口的IP地址配置完成的步骤后还包括：所述安全管理中心和所述安全虚拟机进行双向注册。

6.一种自动配置安全虚拟机IP地址的装置，用于虚拟安全管理中心对安全虚拟机的管理和配置过程，其特征在于，包括：

7.一种如权利要求6所述的装置，其特征在于，所述模板管配模块还包括安全虚拟机模板库、模板实例化模块；

所述安全虚拟机模板库用于存储安全虚拟机模板；

8.一种如权利要求6所述的装置，其特征在于，所述模板管配模块用于将所述第一虚拟网卡设备的配置项中的自动定位AUTOMATICALLOCATION项设置为false。

9.一种如权利要求7所述的装置，其特征在于，所述模板实例化模块完成对所述ovf文件的修改后，再修改所述ovf文件对应的mf文件中的SHA1校验值，以完成校验。

10.一种如权利要求6所述的装置，其特征在于，所述安全管理中心和所述安全虚拟机在所述管理端口的IP地址配置完成后进行双向注册。