发明内容
有鉴于此,本发明实施例的目的在于提供一种宿主机及虚拟主机的读写请求处理方法、系统,以降低虚拟主机被扫描攻击的风险,提高云服务器管理平台的安全性。
第一方面,本发明实施例提供了一种虚拟主机的读写请求处理方法,应用于虚拟主机的读写请求处理系统,所述读写请求处理系统包括路由器、宿主机和所述宿主机上承载的至少一个虚拟主机,所述至少一个虚拟主机中包括目标虚拟主机,所述路由器中存储有预建立的路由表,所述路由表中记录有所述宿主机的内网地址及所述目标虚拟主机的公网网协IP地址;所述宿主机中存储有预建立的地址映射表,所述地址映射表中记录有所述目标虚拟主机的所述公网IP地址和内网IP地址的对应关系;所述方法包括:
所述宿主机获得读写请求数据包,所述读写请求数据包中包含有作为目的地址的所述目标虚拟主机的公网IP地址;所述读写请求数据包为所述路由器根据所述读写请求数据包中的所述目标虚拟主机的公网IP地址、及所述路由表中的所述宿主机的内网地址转发的读写请求数据包;
所述宿主机根据所述预建立的地址映射表,将所述目的地址转换为所述目标虚拟主机的内网IP地址;
将所述目的地址转换后的读写请求数据包转发至所述目标虚拟主机内网IP地址对应的所述目标虚拟主机。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,所述宿主机所承载的虚拟主机为多个,每个虚拟主机有一个内网IP地址,且任意两个内网IP地址属于不同的内网网段。
结合第一方面,本发明实施例提供了第一方面的第二种可能的实施方式,其中,所述读写请求处理系统还包括用户终端,所述读写请求数据包中还包含有所述用户终端的公网地址;所述方法还包括:
所述宿主机获得所述目标虚拟主机发出的响应请求数据包,所述响应请求数据包中包含有源地址和所述用户终端的公网地址;
所述宿主机判断所述源地址是否为所述目标虚拟主机的内网IP地址,如果是,则将所述目标虚拟主机的内网IP地址转换为所述目标虚拟主机的公网IP地址,得到地址转换后的响应请求数据包;
所述宿主机将所述地址转换后的响应请求数据包发送至所述用户终端的公网地址对应的所述用户终端。
第二方面,本发明实施例还提供了另一种虚拟主机的读写请求处理方法,应用于虚拟主机的读写请求处理系统,所述读写请求处理系统包括路由器、宿主机和所述宿主机上承载的至少一个虚拟主机,所述至少一个虚拟主机中包括目标虚拟主机,所述路由器中存储有预建立的路由表,所述路由表中记录有所述宿主机的内网地址及所述目标虚拟主机的公网网协IP地址;所述宿主机中存储有预建立的地址映射表,所述地址映射表中记录有所述目标虚拟主机的所述公网IP地址和内网IP地址的对应关系;所述方法包括:
所述路由器获得读写请求数据包,所述读写请求数据包中包含有目的地址;
所述路由器判断所述读写请求数据包中的目的的在是否为所述目标虚拟主机的公网IP地址;
如果判断结果为是,则所述路由器根据所述读写请求数据包中的所述目标虚拟主机的公网IP地址、及所述路由表中的所述宿主机的内网地址,将所述读写请求数据包转发至所述宿主机,以使得所述宿主机接收到所述读写请求数据包,将所述目的地址转换为所述目标虚拟主机的内网IP地址后发送至所述目标虚拟主机。
第三方面,本发明实施例还提供了一种宿主机,应用于虚拟主机的读写请求处理系统,所述读写请求处理系统包括路由器、宿主机和所述宿主机上承载的至少一个虚拟主机,所述至少一个虚拟主机中包括目标虚拟主机,所述路由器中存储有预建立的路由表,所述路由表中记录有所述宿主机的内网地址及所述目标虚拟主机的公网IP地址;所述宿主机中存储有预建立的地址映射表,所述宿主机包括:
存储单元,用于存储预建立的地址映射表,所述地址映射表中记录有所述目标虚拟主机的所述公网IP地址和内网IP地址的对应关系;
数据包获得单元,用于获得读写请求数据包,所述读写请求数据包中包含有作为目的地址的所述目标虚拟主机的公网IP地址;所述读写请求数据包为所述路由器根据所述读写请求数据包中的所述目标虚拟主机的公网IP地址、及所述路由表中的所述宿主机的内网地址转发的读写请求数据包;
地址转换单元,用于根据所述预建立的地址映射表,将所述目的地址转换为所述目标虚拟主机的内网IP地址;
发送单元,用于将所述目的地址转换后的读写请求数据包转发至所述目标虚拟主机内网IP地址对应的所述目标虚拟主机。
结合第三方面,本发明实施例还提供了第三方面的第一种可能的实施方式,所述宿主机所承载的虚拟主机为多个,每个虚拟主机有一个内网IP地址,且任意两个内网IP地址属于不同的内网网段。
结合第三方面,本发明实施例还提供了第三方面的第二种可能的实施方式,所述读写请求数据包中还包含有所述用户终端的公网地址;所述宿主机还包括地址判断单元;
所述数据包获得单元,还用于获得所述目标虚拟主机发出的响应请求数据包,所述响应请求数据包中包含有源地址和所述用户终端的公网地址;
所述地址判断单元,用于判断所述响应请求数据包中的所述源地址是否为所述目标虚拟主机的内网IP地址;
所述地址转换单元,还用于当所述地址判断单元的判断结果为是时,将所述目标虚拟主机的内网IP地址转换为所述目标虚拟主机的公网IP地址,得到地址转换后的响应请求数据包;
所述发送单元,还用于将所述地址转换后的响应请求数据包发送至所述用户终端的公网地址对应的所述用户终端。
第四方面,本发明实施例还提供了一种虚拟主机的读写请求处理系统,包括:路由器、宿主机和所述宿主机上承载的至少一个虚拟主机,所述至少一个虚拟主机中包括目标虚拟主机,所述路由器中存储有预建立的路由表,所述路由表中记录有所述宿主机的内网地址及所述目标虚拟主机的公网网协IP地址;所述宿主机中存储有预建立的地址映射表,所述地址映射表中记录有所述目标虚拟主机的所述公网IP地址和内网IP地址的对应关系;其中,
所述路由器获得读写请求数据包,所述读写请求数据包中包含有目的地址;
所述路由器判断所述读写请求数据包中的目的地址是否为所述目标虚拟主机的公网IP地址,如果是,则根据所述读写请求数据包中的所述目标虚拟主机的公网IP地址、及所述路由表中的所述宿主机的内网地址,将所述读写请求数据包转发至所述宿主机;
所述宿主机接收所述读写请求数据包,根据所述预建立的地址映射表,将所述目的地址转换为所述目标虚拟主机的内网IP地址;将所述目的地址转换后的读写请求数据包转发至所述目标虚拟主机内网IP地址对应的所述目标虚拟主机。
结合第四方面,本发明实施例还提供了第四方面的第一种可能的实施方式,所述宿主机所承载的虚拟主机为多个,每个虚拟主机有一个内网IP地址,且任意两个内网IP地址属于不同的内网网段。
结合第四方面,本发明实施例还提供了第四方面的第二种可能的实施方式,所述系统还包括用户终端和交换机,所述交换机中存储有所述目标虚拟主机的公网IP地址,所述读写请求数据包中还包含有所述用户终端的公网地址;
所述宿主机获得所述目标虚拟主机发出的响应请求数据包,所述响应请求数据包中包含有源地址和所述用户终端的公网地址;
所述宿主机判断所述响应请求数据包中的源地址是否为所述目标虚拟主机的内网IP地址,如果是,则将所述目标虚拟主机的内网IP地址转换为所述目标虚拟主机的公网IP地址,将地址转换后的响应请求数据包;如果不是,则直接将所述响应请求数据包发送至所述交换机;
所述交换机判断接收到的响应请求数据包的源地址是否为所述目标虚拟主机的公网IP地址,如果是,则将接收到的响应请求数据包发送至所述用户终端的公网地址对应的所述用户终端。
本发明实施例提供的虚拟主机的读写请求处理方法及系统、宿主机,与现有技术中的虚拟主机和宿主机工作在同一个公网网段,虚拟主机容易被扫描攻击相比,虚拟主机的公网IP地址由路由器所分配,外网用户向虚拟主机发送的读写请求数据包只能通过路由器转发至目标虚拟主机,并且,路由器拒绝(不转发)任何目的地址不是虚拟主机的公网IP地址的请求,工作网内服务器的宿主机,只会将目的地址是虚拟主机的外网IP地址的读写请求数据包进行目的地址转换并将目的地址转换后的请求发送至目标虚拟主机,隔绝了来自公网的访问。极大的降低了虚拟主机被黑客扫描攻击的风险。
云管理平台中的宿主机和虚拟主机都工作在内部网络,虚拟主机与宿主机之间通过内部网络通信,虚拟主机在内部虚拟网络中对读写请求数据包进行处理,给出响应请求数据包,宿主机只会将响应请求数据包的源地址为目标虚拟主机的内网IP地址转换为目标虚拟主机的公网IP地址,如果是被攻击的虚拟主机发出的、源地址已进行篡改了的响应请求数据包则直接转发至交换机,交换机中的安全策略只会将源地址为目标虚拟主机的公网IP地址的请求发送至外网,拒绝任何源地址不是云主机公网ip的请求,保障所有工作网内服务器、宿主机都无法对公网进行访问,实现整个云管理平台与公网完全隔绝,保障整个云管理平台的安全。
进一步,宿主机所承载的所有的虚拟主机都工作在不同的内网网段,虚拟主机之间不能相互通信,即使某个虚拟主机被攻击,也可以保障其他虚拟主机不因为该虚拟主机而受攻击,保证了整个云管理平台的安全。
为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
具体实施方式
下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
云主机(即虚拟主机)是整合了计算、存储与网络资源的虚拟主机租用服务。一个物理主机(宿主机)可以承载多个云主机,云主机通过物理主机的网络设备桥接到物理主机的工作网络中。目前云主机运营商采用的主要方式,所有的云主机及宿主机都工作在同一个公网网段内。云主机容易被恶意用户扫描发现,增大云主机被攻击的风险。云主机之间可以相互通信,当一个云主机被恶意攻击后,一个宿主机的所有云主机都可能被恶意攻击。有鉴于此,发明人经过不断研究,提出了本发明实施例提供的虚拟主机的读写请求处理方法及系统。
在描述本发明实施例提供的虚拟主机的读写请求处理方法及系统之前,首先对本发明实施例提供的虚拟主机的读写请求处理方法、及系统中涉及的虚拟主机的创建做简单介绍。
虚拟主机运营商的云主机管理平台创建内部网络,为每个物理主机分配一个内网地址,平台中的物理主机工作在内部网络中。内部网络中的所有物理主机均共享一个合法外部网协(Internet Protocol,IP)地址实现对Internet的访问。
创建虚拟主机时,路由器为待创建的虚拟主机分配一个公网IP地址。物理主机创建虚拟主机时,物理主机首先创建一个内部虚拟网络,该内部虚拟网络拥有自己的私有网段,物理主机为待创建的虚拟主机分配一个固定的内网IP地址,将该内网IP地址通过硬件地址(Media Access Control,MAC地址)绑定方式写入在内部虚拟网络里,虚拟主机创建后,虚拟主机连接到内部虚拟网络。在内部虚拟网络里,物理主机承载的所有的虚拟主机全都工作在内部虚拟网络中,虚拟主机与物理主机之间通过内网IP地址进行通信,与公网隔绝,且同一个物理主机承载的多个虚拟主机之间互不通信。
本发明实施例提供的虚拟主机的读写请求处理方法及装置应用于读写请求处理系统。参阅图1,虚拟主机的读写请求处理系统包括用户终端、交换机、路由器、宿主机和所述宿主机上承载的至少一个虚拟主机,所述至少一个虚拟主机中包括目标虚拟主机。其中,
用户终端发出的读写请求数据包通过所述交换机发送至路由器;所述读写请求数据包中包含有目的地址及源始地址,所述源始地址为所述用户终端的公网地址。
所述路由器中存储有预建立的路由表,所述路由表中记录有所述宿主机的内网地址及所述目标虚拟主机的公网IP地址。所述路由器获得读写请求数据包后,判断所述读写请求数据包中的目的地址是否为所述目标虚拟主机的公网IP地址,如果是,则根据所述读写请求数据包中的所述目标虚拟主机的公网IP地址、及所述路由表中的所述宿主机的内网地址转发至宿主机。
如果读写请求数据包中的目的地址不是所述目标虚拟主机的公网IP地址,则路由器不转发该读写请求数据包,即拒绝任何目的地址不是目标虚拟主机的公网IP地址的请求,隔绝来自公网(非目标虚拟主机用户)的访问,降低内网中的宿主机、目标虚拟主机被黑客扫描攻击的风险,保障目标虚拟主机的安全。
宿主机中存储有预建立的地址映射表,所述地址映射表中记录有所述目标虚拟主机的公网IP地址和内网IP地址的对应关系。宿主机接收到读写请求数据包后,根据所述预建立的地址映射表,将所述目的地址转换为所述目标虚拟主机的内网IP地址,将所述目的地址转换后的读写请求数据包转发至所述目标虚拟主机内网IP地址对应的所述目标虚拟主机。
例如,用户终端发送的读写请求数据包的源始地址为182.138.1.1,目的地址为124.156.1.8,其中,源始地址为用户终端的公网地址,目的地址为目标虚拟主机的外网IP地址。读写请求数据包通过交换机发送到路由器,路由器判断读写请求数据包中的目的地址是所述目标虚拟主机的公网IP地址,于是将读写请求数据包转发至宿主机。目标虚拟主机的内网IP地址为192.168.2.2,宿主机首先将目标虚拟主机的外网IP地址124.156.1.8转换为目标虚拟主机的内网IP地址192.168.2.2,然后将目的地址转换后的读写请求数据包发送至目标虚拟主机。
目标虚拟主机在内部虚拟网络中对所述读写请求数据包进行处理,给出响应请求数据包。
所述宿主机获得所述目标虚拟主机发出的响应请求数据包,所述响应请求数据包中包含有源地址和所述用户终端的公网地址。所述宿主机首先判断所述响应请求数据包中的源地址是否为所述目标虚拟主机的内网IP地址,如果是,则将所述目标虚拟主机的内网IP地址转换为所述目标虚拟主机的公网IP地址,将地址转换后的响应请求数据包发送至所述交换机;如果不是,则直接将所述响应请求数据包发送至所述交换机。
交换机首先判断接收到的响应请求数据包的源地址是否为所述目标虚拟主机的公网IP地址,如果是,则将接收到的响应请求数据包发送至所述用户终端的公网地址对应的所述用户终端;如果不是则拒绝发送。
例如,目标虚拟主机发送的响应请求数据包的源地址为192.168.2.2(即目标虚拟主机的内网IP地址),响应请求数据包的目的地址为182.138.1.1(即用户终端的公网地址)。目标虚拟主机将响应请求数据包发送至宿主机,宿主机判断响应请求数据包的源地址是目标虚拟主机的内网IP地址,于是将目标虚拟主机的内网IP地址192.168.2.2转换为目标虚拟主机的外网IP地址124.156.1.8,然后将地址转换后的响应请求数据包发送至交换机,通过交换机发送到用户终端。
本发明实施例提供的虚拟主机的读写请求处理系统中,宿主机和目标虚拟主机都工作在内部网络中,外网用户的读写请求数据包只能通过所述路由器转发至目标虚拟主机,且路由器拒绝(不转发)任何目的地址不是虚拟主机的公网IP地址的请求,工作网内服务器的宿主机,只会将目的地址是虚拟主机的外网IP地址的读写请求数据包进行目的地址转换并将目的地址转换后的请求发送至目标虚拟主机,隔绝了来自公网的访问。极大的降低了虚拟主机被黑客扫描攻击的风险。
目标虚拟主机在内部网络中对读写请求数据包进行处理,给出响应请求数据包。如果目标虚拟主机没有被攻击,则响应请求数据包的源地址为目标虚拟主机的内网IP地址,但是如果目标虚拟主机被攻击,则响应请求数据包的源地址不是目标虚拟主机的内网IP地址,而是被篡改的地址(通过不断的篡改地址以攻击其他用户,甚至获取其他虚拟主机的公网IP地址)。只有当只对响应请求数据包的源地址是目标虚拟主机的内网IP地址时,宿主机才会将目标虚拟主机的内网IP地址转换为目标虚拟主机的公网IP地址,如果响应请求数据包的源地址不是目标虚拟主机的内网IP地址,那么交换机就会拦截该响应请求数据包,禁止发送出去,即拒绝任何源地址不是云主机公网IP的请求,保障所有工作网内服务器、宿主机都无法对公网进行访问,实现整个云管理平台与公网完全隔绝,保障整个云管理平台的安全。
可选的,所述宿主机上承载的虚拟主机为多个,每个虚拟主机有一个内网IP地址,且任意两个内网IP地址属于不同的内网网段。通过为每个虚拟主机配置一个内网IP地址,且任意两个内网IP地址属于不同的内网网段,使得虚拟主机之间不能相互通信,因此,即使当某个虚拟主机被攻击也不会导致其他虚拟主机受攻击,保障整个云管理平台中的安全。
参阅图2,本发明实施例提供的虚拟主机的读写请求处理方法,应用于虚拟主机的读写请求处理系统,所述读写请求处理系统包括路由器、宿主机和所述宿主机上承载的至少一个虚拟主机,所述至少一个虚拟主机中包括目标虚拟主机。所述宿主机中存储有预建立的地址映射表,所述地址映射表中记录有所述目标虚拟主机的所述公网IP地址和内网IP地址的对应关系。所述方法包括:
步骤S101:所述宿主机获得所述路由器转发的读写请求数据包,所述读写请求数据包中包含有作为目的地址的所述目标虚拟主机的公网IP地址。
虚拟主机运行在宿主机上。本步骤中,所述路由器中存储有预建立的路由表,所述路由表中记录有宿主机的内网地址及目标虚拟主机的公网IP地址。所述路由器转发所述读写请求数据包至所述读写请求处理装置,包括:
所述路由器获得读写请求数据包,所述读写请求数据包中包含有目的地址;判断所述读写请求数据包中的目的地址是否为所述目标虚拟主机的公网IP地址;如果是,则所述路由器根据所述读写请求数据包中的所述目标虚拟主机的公网IP地址、及所述路由表中的所述宿主机的内网地址,将所述读写请求数据包转发至所述宿主机。
步骤S102:所述宿主机根据所述预建立的地址映射表,将所述目的地址转换为所述目标虚拟主机的内网IP地址。为了目标降低虚拟主机被恶意外网用户扫描到的概率,降低目标虚拟主机被恶意攻击的风险,目标虚拟主机所依托的物理主机(宿主机)建立了内部虚拟网络,使得目标虚拟主机工作在内部虚拟网络中,因此宿主机需要将所述目的地址转换为所述目标虚拟主机的内网IP地址,以便于将读写请求数据包转发到目标虚拟主机内网IP地址对应的所述目标虚拟主机。
步骤S103:所述宿主机将所述目的地址转换后的读写请求数据包转发至所述目标虚拟主机内网IP地址对应的所述目标虚拟主机,实现公网IP地址的读写请求转发到目标虚拟主机的内网IP地址上进行处理。
通过本发明实施例提供的虚拟主机的读写请求处理方法,目标虚拟主机的公网IP地址由路由器所分配,外网用户向目标虚拟主机发送的读写请求数据包只能通过路由器转发至相应的目标虚拟主机,外网用户发送的读写请求数据包无法直接传送至目标虚拟主机;拒绝(不转发)任何目的地址不是虚拟主机的公网IP地址的请求,工作网内服务器的宿主机,只会将目的地址是虚拟主机的外网IP地址的读写请求数据包进行目的地址转换并将目的地址转换后的请求发送至目标虚拟主机,隔绝了来自公网的访问,极大的降低了虚拟主机被黑客扫描攻击的风险。
此外,宿主机上承载的虚拟主机可以有多个,每个虚拟主机都有一个内网IP地址,且每个虚拟主机都工作在内部虚拟网络的不同网段,虚拟主机之间不能相互通信,即使某个虚拟主机被攻击,也可以及时将被攻击的虚拟主机撤出内部虚拟网络,将其隔离,避免其他虚拟主机因其受攻击。
此外,宿主机拥有内部网络地址,工作在云管理平台内部网络,实现了云管理平台与外部网络隔绝,为整个云管理平台的安全提供保障。
目标虚拟主机接收到所述目的地址转换后的读写请求数据包,处理后会发出响应请求数据包。所述读写请求数据包中还包含有所述用户终端的公网地址,以便于将目标虚拟主机发出的响应请求数据包发送至用户终端。可选的,本发明实施例提供的虚拟主机的读写请求处理方法,还包括:
步骤S104:所述宿主机获得所述虚拟主机发出的响应请求数据包,所述响应请求数据包中包含有源地址和所述用户终端的公网地址。
步骤S105:所述宿主机判断所述响应请求数据包中的源地址是否为所述目标虚拟主机的内网IP地址,如果是,则进入步骤S106,如果不是,则直接进入步骤S107。
步骤S106:所述宿主机将所述目标虚拟主机的内网IP地址转换为所述目标虚拟主机的公网IP地址,得到地址转换后的响应请求数据包。
步骤S107:所述宿主机根据用户终端的公网地址,发送数据包:将地址转换后的响应请求数据包发送至交换机,以便于交换机将地址转换后的响应请求数据包发送至所述用户终端的公网地址对应的所述用户终端,或者直接将响应请求数据包发送至交换机,以便于交换机将响应请求数据包发送至所述用户终端的公网地址对应的所述用户终端。
参阅图3,本发明实施例还提供了又一种虚拟主机的读写请求处理方法,所述方法应用于虚拟主机的读写请求处理系统,所述读写请求处理系统包括路由器、宿主机和所述宿主机上承载的至少一个虚拟主机,所述至少一个虚拟主机中包括目标虚拟主机,所述路由器中存储有预建立的路由表,所述路由表中记录有所述宿主机的内网地址及所述目标虚拟主机的公网网协IP地址;所述宿主机中存储有预建立的地址映射表,所述地址映射表中记录有所述目标虚拟主机的所述公网IP地址和内网IP地址的对应关系。所述方法包括:
步骤S201:所述路由器获得读写请求数据包,所述读写请求数据包中包含有目的地址。
步骤S202:所述路由器判断所述读写请求数据包中的目的地址是否为所述目标虚拟主机的公网IP地址,如果是,则进入步骤S203,如果否,则结束整个方法流程。如果读写请求数据包中的目的地址不是所述目标虚拟主机的公网IP地址,则路由器不转发该读写请求数据包,拒绝任何目的地址不是目标虚拟主机的公网IP地址的请求,隔绝来自公网(非目标虚拟主机用户)的访问。
步骤S203:所述路由器根据所述读写请求数据包中的所述目标虚拟主机的公网IP地址、及所述路由表中的所述宿主机的内网地址,将所述读写请求数据包转发至所述宿主机,以使得所述宿主机接收到所述读写请求数据包,将所述目的地址转换为所述目标虚拟主机的内网IP地址后发送至所述目标虚拟主机。
参阅图4,本发明实施例还提供了一种宿主机。所述宿主机应用于虚拟主机的读写请求处理系统,所述读写请求处理系统包括路由器、宿主机和所述宿主机上承载的至少一个虚拟主机,所述至少一个虚拟主机中包括目标虚拟主机,所述路由器中存储有预建立的路由表,所述路由表中记录有所述宿主机的内网地址及所述目标虚拟主机的公网IP地址;所述宿主机中存储有预建立的地址映射表,所述宿主机包括:
存储单元401,用于存储预建立的地址映射表,所述地址映射表中记录有所述目标虚拟主机的所述公网IP地址和内网IP地址的对应关系。
数据包获得单元402,用于获得读写请求数据包,所述读写请求数据包中包含有作为目的地址的所述目标虚拟主机的公网IP地址;所述读写请求数据包为所述路由器根据所述读写请求数据包中的所述目标虚拟主机的公网IP地址、及所述路由表中的所述宿主机的内网地址转发的读写请求数据包。
地址转换单元403,用于根据所述预建立的地址映射表,将所述目的地址转换为所述目标虚拟主机的内网IP地址。
发送单元404,用于将所述目的地址转换后的读写请求数据包转发至所述目标虚拟主机内网IP地址对应的所述目标虚拟主机。
可选的,所述数据包获得单元402,还用于获得所述目标虚拟主机发出的响应请求数据包,所述响应请求数据包中包含有源地址和所述用户终端的公网地址。
所述宿主机还包括地址判断单元405,用于判断所述响应请求数据包中的所述源地址是否为所述目标虚拟主机的内网IP地址,给出判断结果。
所述地址转换单元403,还用于当所述地址判断单元的判断结果为是时,将所述目标虚拟主机的内网IP地址转换为所述目标虚拟主机的公网IP地址,得到地址转换后的响应请求数据包。如果所述地址判断单元的判断结果为否时,所述地址转换单元403不对目标虚拟主机的内网IP地址转换进行地址转换。
所述发送单元404,还用于将所述地址转换后的响应请求数据包发送至交换机,以便于交换机将地址转换后的响应请求数据包发送至所述用户终端的公网地址对应的所述用户终端。如果是没有进行地址转换的响应请求数据包,则发送单元404直接将响应请求数据包发送至交换机,以便于交换机将响应请求数据包发送至所述用户终端的公网地址对应的所述用户终端。
只有当只对响应请求数据包的源地址是目标虚拟主机的内网IP地址时,宿主机才会将目标虚拟主机的内网IP地址转换为目标虚拟主机的公网IP地址,如果响应请求数据包的源地址不是目标虚拟主机的内网IP地址,那么交换机就会拦截该响应请求数据包,禁止发送出去,即拒绝任何源地址不是云主机公网IP的请求,保障所有工作网内服务器、宿主机都无法对公网进行访问,实现整个云管理平台与公网隔绝,保障整个云管理平台的安全。
除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对步骤并不限制本发明的范围。
本发明实施例所提供的宿主机,其实现原理及产生的技术效果和前述方法实施例相同,为简要描述,宿主机实施例部分未提及之处,可参考前述方法实施例中相应内容。
在这里示出和描述的所有示例中,任何具体值或网络地址应被解释为仅仅是示例性的,而不是作为限制,因此,示例性实施例的其他示例可以具有不同的值。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
参见图5,本发明实施例还提供一种宿主机500,包括:处理器504,存储器501,总线502和通信接口503,所述处理器504、通信接口503和存储器501通过总线502连接;处理器504用于执行存储器501中存储的可执行模块,例如计算机程序。
其中,存储器501可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口503(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线502可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器501用于存储程序505,所述处理器504在获得到执行指令后,执行所述程序505,程序505的结构单元可以参见图4,前述本发明实施例以宿主机为执行主体的实施例揭示的流程定义的装置所执行的方法可以应用于处理器504中,或者由处理器504实现。
处理器504可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器504中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器504可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器501,处理器504读取存储器501中的信息,结合其硬件完成上述方法的步骤。
本发明实施例所提供的虚拟主机的读写请求处理方法的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施例中所述的方法,具体实现可参见方法实施例,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。