CN104125192A - 虚拟机安全保护系统及方法 - Google Patents
虚拟机安全保护系统及方法 Download PDFInfo
- Publication number
- CN104125192A CN104125192A CN201310143212.0A CN201310143212A CN104125192A CN 104125192 A CN104125192 A CN 104125192A CN 201310143212 A CN201310143212 A CN 201310143212A CN 104125192 A CN104125192 A CN 104125192A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- compartment wall
- fire compartment
- main frame
- agent module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种虚拟机安全保护系统,该系统包括应用在管理服务器中的虚拟机管理模块及应用于防火墙中的防火墙代理模块。该管理服务器通过网络与一台或多台防火墙连接,每台防火墙连接主机中的一台或多台虚拟机。所述虚拟机管理模块向所述防火墙代理模块下达防火墙设置命令。所述防火墙代理模块接收防火墙设置命令,根据防火墙设置命令自动修改该防火墙代理模块所在的防火墙的设置,并向所述虚拟机管理模块回报所述防火墙的设置状态。本发明还提供一种虚拟机安全保护方法。
Description
技术领域
本发明涉及一种网络安全保护系统及方法,尤其是关于一种虚拟机安全保护系统及方法。
背景技术
随着虚拟机运用的提升,为了保护网络的安全性,管理员或虚拟机用户通常使用防火墙作为虚拟机的基本防护系统。在虚拟机的管理中,管理员通常需要管理数量庞大的虚拟机。目前,对虚拟机的防火墙的设定、管理需要管理员逐一连接至相应的防火墙执行设置操作。
发明内容
鉴于以上内容,有必要提供一种虚拟机安全保护系统及方法,可以自动、快捷地对虚拟机的防火墙进行设定、管理。
一种虚拟机安全保护系统,该系统包括应用在管理服务器中的虚拟机管理模块及应用于防火墙中的防火墙代理模块。该管理服务器通过网络与一台或多台防火墙连接,每台防火墙连接主机中的一台或多台虚拟机。所述虚拟机管理模块向所述防火墙代理模块下达防火墙设置命令。所述防火墙代理模块接收防火墙设置命令,根据防火墙设置命令自动修改该防火墙代理模块所在的防火墙的设置,并向所述虚拟机管理模块回报所述防火墙的设置状态。
一种虚拟机安全保护方法,应用于管理服务器,该管理服务器通过网络与一台或多台防火墙连接,每台防火墙连接主机中的一台或多台虚拟机。该方法包括:在管理服务器中提供虚拟机管理模块,所述虚拟机管理模块向每台防火墙下达防火墙设置命令,以控制防火墙自动完成防火墙设置操作;及所述虚拟机管理模块接收每台防火墙完成防火墙设置操作后回复的所述防火墙的设置状态。
相较于现有技术,本发明提供的虚拟机安全保护系统及方法,可以通过管理服务器中的虚拟机管理模块及防火墙中的防火墙代理模块自动对虚拟机的防火墙规则进行设置、管理。
附图说明
图1是本发明虚拟机安全保护系统较佳实施例的系统架构图。
图2是本发明虚拟机安全保护方法较佳实施例的流程图。
主要元件符号说明
| 管理服务器 | 1 |
| 虚拟机管理模块 | 10 |
| 网络 | 2 |
| 主机 | 3、4 |
| 主机代理模块 | 5、6 |
| 防火墙 | 7、8 |
| 虚拟机 | 31、32、41、42 |
| 防火墙代理模块 | 70、80 |
如下具体实施方式将结合上述附图进一步说明本发明。
具体实施方式
参阅图1所示,是本发明虚拟机安全保护系统较佳实施例的系统架构图。该虚拟机安全保护系统包括应用于管理服务器1的虚拟机管理模块10及应用于防火墙的防火墙代理模块,例如图1中所示的防火墙7中的防火墙代理模块70及防火墙8中的防火墙代理模块80。管理服务器1通过网络2与防火墙(例如防火墙7、8)相连接,每个防火墙连接主机的一台或多台虚拟机,对该一台或多台虚拟机提供网络安全保护。例如,在图1中,防火墙7连接主机3上的虚拟机31、32及主机4上的虚拟机41,防火墙8连接主机4上的虚拟机42。主机3包括主机代理模块5,主机4包括主机代理模块6。
在本实施例中,主机为实体机器,管理服务器1可以为独立于所述主机的一台实体机器,也可以为任意一台主机上的虚拟机。所述的模块,例如主机代理模块5、6,防火墙代理模块70、80是包含计算机程序化指令、运行所述计算机程序化指令能够实现特定功能的程序代码。
管理服务器1通过虚拟机管理模块10向防火墙的防火墙代理模块下达防火墙设置命令。防火墙代理模块接收防火墙设置命令,根据防火墙设置命令自动修改该防火墙的设置,并向虚拟机管理模块10回报该防火墙的当前设置状态。所述防火墙设置命令包括新增、修改、删除防火墙规则。例如,虚拟机管理模块10向防火墙7下达的防火墙设置命令是新增一条防火墙规则(例如新增加一条数据封包过滤规则),防火墙代理模块70根据防火墙设置命令自动在防火墙7的设置中增加所述防火墙规则,设置结束后将防火墙7的当前设置状态(例如当前的所有防火墙规则)回报给虚拟机管理模块10。
防火墙的设置完成后,根据设置的规则对虚拟机进行网络安全保护,阻挡来自网络2的违反设置的规则的数据封包进入虚拟机。
管理服务器1还通过虚拟机管理模块10向主机的主机代理模块下达虚拟机控制命令,主机代理模块根据虚拟机控制命令自动对主机上的虚拟机执行相应操作,例如创建新的虚拟机、关闭指定的虚拟机等。
参阅图2所示,是本发明虚拟机安全保护方法较佳实施例的流程图。需要指出的是,步骤S40、S50可以省略。
步骤S10,在管理服务器1上提供虚拟机管理模块10,在虚拟机的各防火墙上提供防火墙代理模块,在各主机上提供主机代理模块。如图1所示,在防火墙7上提供防火墙代理模块70,在防火墙8上提供防火墙代理模块80,在主机3上提供主机代理模块5,在主机4上提供主机代理模块6。虚拟机管理模块10与防火墙代理模块进行通信、数据交互,控制防火墙的设置操作。虚拟机管理模块10与主机代理模块进行通信、数据交互,控制各主机上的虚拟机。
步骤S20,虚拟机管理模块10向防火墙的防火墙代理模块下达防火墙设置命令。在本实施例中,虚拟机管理模块10可以逐一向管理服务器1管理的不同防火墙(如图1中的防火墙7、8)发送防火墙设置命令,也可以同时向管理服务器1管理的不同防火墙发送防火墙设置命令。不同防火墙的防火墙设置命令可能是相同的,也可能是不同的。
步骤S30,防火墙代理模块接收防火墙设置命令,根据防火墙设置命令自动修改防火墙的设置,并向虚拟机管理模块回报防火墙的设置状态。例如,虚拟机管理模块10向防火墙7下达的防火墙设置命令是新增一条防火墙规则(例如新增加一条数据封包过滤规则),防火墙代理模块70根据防火墙设置命令自动在防火墙7的设置中增加所述防火墙规则,设置结束后将防火墙7的当前设置状态(例如当前的所有防火墙规则)回报给虚拟机管理模块10。虚拟机管理模块10向防火墙8下达的防火墙设置命令是删除一条防火墙规则(例如删除一条数据封包过滤规则),防火墙代理模块80根据防火墙设置命令自动从防火墙8的设置中删除所述防火墙规则,设置结束后将防火墙8的当前设置状态(例如当前的所有防火墙规则)回报给虚拟机管理模块10。
步骤S40,虚拟机管理模块10向主机代理模块下达虚拟机控制命令。例如,虚拟机管理模块10向主机3的主机代理5下达关闭虚拟机31的控制命令。
步骤S50,主机代理模块执行虚拟机控制命令对主机上的虚拟机执行相应操作。例如,主机代理5执行虚拟机管理模块10下达的关闭虚拟机31的控制命令关闭虚拟机31。
最后所应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照以上较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。
Claims (9)
1.一种虚拟机安全保护系统,其特征在于,该系统包括应用在管理服务器中的虚拟机管理模块及应用于防火墙中的防火墙代理模块,该管理服务器通过网络与一台或多台防火墙连接,每台防火墙连接主机中的一台或多台虚拟机,其中:
所述虚拟机管理模块向所述防火墙代理模块下达防火墙设置命令;及
所述防火墙代理模块接收防火墙设置命令,根据防火墙设置命令自动修改该防火墙代理模块所在的防火墙的设置,并向所述虚拟机管理模块回报所述防火墙的设置状态。
2.如权利要求1所述的虚拟机安全保护系统,其特征在于,每台主机包括主机代理模块,所述虚拟机管理模块向所述主机代理模块下达虚拟机控制命令,所述主机代理模块执行虚拟机控制命令对主机上的虚拟机执行相应操作。
3.如权利要求1所述的虚拟机安全保护系统,其特征在于,所述管理服务器为独立于所述主机的一台实体机器,或者为任意一台主机上的虚拟机。
4.如权利要求1所述的虚拟机安全保护系统,其特征在于,所述虚拟机管理模块逐一向管理服务器管理的不同防火墙发送所述防火墙设置命令,或者同时向管理服务器管理的不同防火墙发送所述防火墙设置命令。
5.一种虚拟机安全保护方法,应用于管理服务器,该管理服务器通过网络与一台或多台防火墙连接,每台防火墙连接主机中的一台或多台虚拟机,其特征在于,该方法包括:
在管理服务器中提供虚拟机管理模块,所述虚拟机管理模块向每台防火墙下达防火墙设置命令,以控制防火墙自动完成防火墙设置操作;及
所述虚拟机管理模块接收每台防火墙完成防火墙设置操作后回复的所述防火墙的设置状态。
6.如权利要求5所述的虚拟机安全保护方法,其特征在于,该方法还包括:
在每台防火墙上提供防火墙代理模块;及
所述防火墙代理模块接收所述防火墙设置命令,根据所述防火墙设置命令自动修改所述防火墙的设置,并向所述虚拟机管理模块回报所述防火墙的设置状态。
7.如权利要求5所述的虚拟机安全保护方法,其特征在于,该方法还包括:
在每台主机上提供主机代理模块;及
所述虚拟机管理模块向所述主机代理模块下达虚拟机控制命令,所述主机代理模块执行虚拟机控制命令对主机上的虚拟机执行相应操作。
8.如权利要求5所述的虚拟机安全保护方法,其特征在于,所述管理服务器为独立于所述主机的一台实体机器,或者为任意一台主机上的虚拟机。
9.如权利要求5所述的虚拟机安全保护方法,其特征在于,所述虚拟机管理模块逐一向管理服务器管理的不同防火墙发送所述防火墙设置命令,或者同时向管理服务器管理的不同防火墙发送所述防火墙设置命令。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310143212.0A CN104125192A (zh) | 2013-04-23 | 2013-04-23 | 虚拟机安全保护系统及方法 |
| US13/965,234 US20140317717A1 (en) | 2013-04-23 | 2013-08-13 | Firewall settings controlling method |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310143212.0A CN104125192A (zh) | 2013-04-23 | 2013-04-23 | 虚拟机安全保护系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104125192A true CN104125192A (zh) | 2014-10-29 |
Family
ID=51730085
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310143212.0A Pending CN104125192A (zh) | 2013-04-23 | 2013-04-23 | 虚拟机安全保护系统及方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20140317717A1 (zh) |
| CN (1) | CN104125192A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018000537A1 (zh) * | 2016-06-26 | 2018-01-04 | 杨越 | 网络环境下虚拟机安全隔离系统 |
| CN108200038A (zh) * | 2017-12-28 | 2018-06-22 | 山东浪潮云服务信息科技有限公司 | 一种虚拟机安全防护方法、装置、可读介质及存储控制器 |
| CN114679295A (zh) * | 2022-01-26 | 2022-06-28 | 杭州迪普科技股份有限公司 | 防火墙安全配置方法及装置 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6577442B2 (ja) * | 2016-11-01 | 2019-09-18 | 日本電信電話株式会社 | 不正侵入防止装置、不正侵入防止方法および不正侵入防止プログラム |
| CN111464551A (zh) * | 2020-04-10 | 2020-07-28 | 广东电网有限责任公司惠州供电局 | 一种网络安全分析系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1777179A (zh) * | 2004-11-19 | 2006-05-24 | 微软公司 | 用于分发安全策略的方法和系统 |
| CN101321062A (zh) * | 2007-06-07 | 2008-12-10 | 精品科技股份有限公司 | 实时式控管信息安全的方法 |
| US20090249472A1 (en) * | 2008-03-27 | 2009-10-01 | Moshe Litvin | Hierarchical firewalls |
| CN102682242A (zh) * | 2011-03-18 | 2012-09-19 | 丛林网络公司 | 虚拟化系统中的安全强制 |
| CN103026660A (zh) * | 2011-08-01 | 2013-04-03 | 华为技术有限公司 | 网络策略配置方法、管理设备以及网络管理中心设备 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8443440B2 (en) * | 2008-04-05 | 2013-05-14 | Trend Micro Incorporated | System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment |
| US8612744B2 (en) * | 2011-02-10 | 2013-12-17 | Varmour Networks, Inc. | Distributed firewall architecture using virtual machines |
| US8549609B2 (en) * | 2011-05-31 | 2013-10-01 | Red Hat, Inc. | Updating firewall rules |
| US8516241B2 (en) * | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
-
2013
- 2013-04-23 CN CN201310143212.0A patent/CN104125192A/zh active Pending
- 2013-08-13 US US13/965,234 patent/US20140317717A1/en not_active Abandoned
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1777179A (zh) * | 2004-11-19 | 2006-05-24 | 微软公司 | 用于分发安全策略的方法和系统 |
| CN101321062A (zh) * | 2007-06-07 | 2008-12-10 | 精品科技股份有限公司 | 实时式控管信息安全的方法 |
| US20090249472A1 (en) * | 2008-03-27 | 2009-10-01 | Moshe Litvin | Hierarchical firewalls |
| CN102682242A (zh) * | 2011-03-18 | 2012-09-19 | 丛林网络公司 | 虚拟化系统中的安全强制 |
| CN103026660A (zh) * | 2011-08-01 | 2013-04-03 | 华为技术有限公司 | 网络策略配置方法、管理设备以及网络管理中心设备 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018000537A1 (zh) * | 2016-06-26 | 2018-01-04 | 杨越 | 网络环境下虚拟机安全隔离系统 |
| CN108200038A (zh) * | 2017-12-28 | 2018-06-22 | 山东浪潮云服务信息科技有限公司 | 一种虚拟机安全防护方法、装置、可读介质及存储控制器 |
| CN114679295A (zh) * | 2022-01-26 | 2022-06-28 | 杭州迪普科技股份有限公司 | 防火墙安全配置方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140317717A1 (en) | 2014-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2847969B1 (en) | Method and apparatus for supporting access control lists in a multi-tenant environment | |
| CN104685507B (zh) | 向虚拟云基础结构提供虚拟安全装置架构 | |
| EP2776925B1 (en) | Dynamic policy based interface configuration for virtualized environments | |
| CN104125192A (zh) | 虚拟机安全保护系统及方法 | |
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN105634998B (zh) | 针对多租户环境下物理机与虚拟机统一监控的方法及系统 | |
| US20150082417A1 (en) | Firewall configured with dynamic collaboration from network services in a virtual network environment | |
| CN103595826B (zh) | 一种防止虚拟机ip和mac伪造的方法 | |
| CN102884761A (zh) | 用于云计算的虚拟交换覆盖 | |
| CN105592052B (zh) | 一种防火墙规则配置方法及装置 | |
| CN111221619A (zh) | 一种业务开通和编排的方法、装置及设备 | |
| CN103701822A (zh) | 访问控制方法 | |
| CN109995639B (zh) | 一种数据传输方法、装置、交换机及存储介质 | |
| CN104901923A (zh) | 一种虚拟机访问装置和方法 | |
| CN103825876A (zh) | 一种复杂网络环境下的防火墙策略审计系统 | |
| CN105812326A (zh) | 一种异构防火墙策略的集中控制方法和系统 | |
| CN104253767A (zh) | 一种虚拟分片网络的实现方法及一种交换机 | |
| CN106899553A (zh) | 一种基于私有云的工业控制系统安全防护方法 | |
| CN113220422B (zh) | 基于K8s中CNI插件的运行时修改Pod网络接口的方法及系统 | |
| CN104735071A (zh) | 一种虚拟机之间的网络访问控制实现方法 | |
| CN109005198A (zh) | 一种控制器防攻击安全策略生成方法及系统 | |
| CN104660554A (zh) | 一种虚拟机通信数据安全的实现方法 | |
| CN102970376A (zh) | 集群配置方法和装置 | |
| CN104363306A (zh) | 一种企业私有云管理控制方法 | |
| CN104270317A (zh) | 一种路由器运行应用程序的控制方法、系统及路由器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141029 |