CN105100026B - 一种报文安全转发方法及装置 - Google Patents
一种报文安全转发方法及装置 Download PDFInfo
- Publication number
- CN105100026B CN105100026B CN201410218519.7A CN201410218519A CN105100026B CN 105100026 B CN105100026 B CN 105100026B CN 201410218519 A CN201410218519 A CN 201410218519A CN 105100026 B CN105100026 B CN 105100026B
- Authority
- CN
- China
- Prior art keywords
- message
- strategy
- vfw
- drainage
- virtual
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/64—Hybrid switching systems
- H04L12/6418—Hybrid transport
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/131—Protocols for games, networked simulations or virtual reality
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种报文安全转发方法,应用于虚拟防火墙VFW中,该方法包括:VFW根据自身配置的安全策略,通知虚拟交换机建立相应的引流策略,所述引流策略用于指示虚拟交换机将接收到源虚拟机发送的匹配该引流策略的报文引导至VFW;VFW接收到所述虚拟交换机转发的报文时,基于自身配置的安全策略对报文进行安全处理,并将处理后的符合安全策略的报文经由虚拟交换机转发至目的虚拟机;其中,所述VFW和虚拟交换机基于虚拟化平台构建于同一物理机中。本发明还公开了一种报文安全转发装置。采用本发明能够避免流量转发到外部处理。
Description
技术领域
本发明涉及网络通信技术领域,特别涉及一种报文安全转发方法及装置。
背景技术
随着云计算技术的快速发展,数据中心虚拟化逐步深入人心,面对资源的虚拟化,其安全问题也越来越受到关注。传统的防火墙设备能够对网络中的流量进行安全防护及业务隔离,但在虚拟环境中,服务器内部多个虚拟机(Virtual Machine,VM)间的流量通常在服务器内部存在,而不会传送到服务器外部的物理防火墙中,导致物理防火墙无法对其进行安全防护。
为解决服务器内虚拟机间流量的安全防护问题,现有技术主要是利用“体外循环”方案,即将服务器内部虚拟机流量全部牵引到服务器外部,然后引导给专用的安全设备对其进行过滤和防护等安全处理。现有技术实现过程中,服务器内部流量要引导到外部处理,增加了流量处理的负荷,会影响服务器和交换机性能;同时流量引导要外部接入交换机配合,需要专用的物理交换设备。
发明内容
本发明的目的在于提供一种报文安全转发方法及装置,能够避免流量转发到外部处理。
为实现上述发明目的,本发明提供了一种一种报文安全转发方法,应用于虚拟防火墙VFW中,该方法包括:
VFW根据自身配置的安全策略,通知虚拟交换机建立相应的引流策略,所述引流策略用于指示虚拟交换机将接收到源虚拟机发送的匹配该引流策略的报文引导至VFW;
VFW接收到所述虚拟交换机转发的报文时,基于自身配置的安全策略对报文进行安全处理,并将处理后的符合安全策略的报文经由虚拟交换机转发至目的虚拟机;
其中,所述VFW和虚拟交换机基于虚拟化平台构建于同一物理机中。
为实现上述发明目的,本发明还提供了一种报文安全转发方法,应用于虚拟交换机中,该方法包括:
虚拟交换机接收源虚拟机发送的报文,并将该报文与自身建立的引流策略进行匹配,所述引流策略为根据VFW基于自身配置的安全策略下发的通知相应建立;
虚拟交换机在确定该报文匹配有引流策略时,根据引流策略将该报文引导至VFW,以便由VFW对该报文进行安全处理;
其中,所述VFW和虚拟交换机基于虚拟化平台构建于同一物理机中。
为实现上述发明目的,本发明还提供了一种报文安全转发装置,所述装置应用于虚拟防火墙VFW中,该装置包括:
通知单元,用于根据自身配置的安全策略,通知虚拟交换机建立相应的引流策略,所述引流策略用于指示虚拟交换机将接收到源虚拟机发送的匹配该引流策略的报文引导至VFW;
处理单元,用于接收到所述虚拟交换机转发的报文时,基于自身配置的安全策略对报文进行安全处理,并将处理后的符合安全策略的报文经由虚拟交换机转发至目的虚拟机;
其中,所述VFW和虚拟交换机基于虚拟化平台构建于同一物理机中。
为实现上述发明目的,本发明还提供了一种报文安全转发装置,所述装置应用于虚拟交换机中,该装置包括:
匹配单元,用于接收源虚拟机发送的报文,并将该报文与自身建立的引流策略进行匹配,所述引流策略为根据VFW基于自身配置的安全策略下发的通知相应建立;
引流单元,用于在确定该报文匹配有引流策略时,根据引流策略将该报文引导至VFW,以便由VFW对该报文进行安全处理;
其中,所述VFW和虚拟交换机基于虚拟化平台构建于同一物理机中。
综上所述,本发明实施例基于虚拟化平台创建虚拟防火墙(VFW),使得VFW可根据自身配置的安全策略,通知虚拟交换机建立相应的引流策略,所述引流策略用于指示虚拟交换机将接收到源虚拟机发送的匹配该引流策略的报文引导至VFW,这样,物理机内的虚拟机之间的需要进行安全处理的报文,可被引流到VFW进行处理。通过本发明的方案,在虚拟环境中,使得VFW可基于自身配置的安全策略,实现对服务器内部VM间流量的安全防护,避免了流量转发到外部处理。
附图说明
图1为本发明实施例在服务器中基于KVM的典型部署模型示意图。
图2为本发明实施例报文安全转发方法的流程示意图。
图3为本发明实施例报文安全转发装置应用于VFW的结构示意图。
图4为本发明实施例报文安全转发装置应用于虚拟交换机的结构示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明所述方案作进一步地详细说明。
本发明的核心思想是,在物理机,例如服务器上,基于虚拟化平台创建虚拟防火墙,虚拟防火墙作为一个特殊的虚拟机运行在虚拟平台中,该创建的虚拟防火墙可具有与传统物理防火墙相同的安全防护功能。当服务器内部虚拟机VM间访问流量需要进行安全防护时,管理员可在VFW上配置相应的安全策略,而VFW可自动配置虚拟交换机(vSwtich)中的引流策略,并可以流表形式保存在vSwtich中,vSwitch可根据流表内容对流量进行匹配,从而可将特定VM的报文引流到VFW中,由VFW对VM间流量进行安全防护处理,最后经VFW处理过的流量再回到vSwtich中进行正常转发。通过本方案,在虚拟环境中,可使用VFW实现对服务器内部VM间流量的防护,避免流量转发到外部处理,造成服务器和物理交换机性能浪费。
其中,上述的虚拟化平台可包括VMware,Xen,KVM等,本发明实施例将以KVM虚拟化平台中的实现为例进行说明,其中,虚拟机、VFW、虚拟交换机等均可在虚拟化平台中构建出来。
图1为本发明实施例在服务器中基于KVM虚拟化平台的典型部署模型示意图。从图1可以看出,在服务器(Physical Server)中基于KVM虚拟化软件管理程序(Hypervisor),创建虚拟交换机vSwitch、多个虚拟机VM和虚拟防火墙VFW。其中,虚拟机VM具有传统计算机设备的功能,虚拟交换机vSwitch具有传统交换机的功能,虚拟防火墙则具有传统防火墙的功能,虚拟防火墙也是虚拟机的一种,是利用KVM虚拟出来的虚拟网卡,通过端口与虚拟交换机连接。实际应用中,可根据需要在虚拟化平台上构建出所需功能的各种虚拟设备。
本发明虚拟防火墙与现有的物理防火墙的功能等同,具有防攻击、隔离网络等作用,并可供用户,例如管理员进行安全策略的配置。从图1中流量的走向可以看出,来自服务器中的源虚拟机的流量,发送到虚拟交换机后,被引入VFW,经过VFW的安全防护处理后,流量再次返回虚拟交换机,由虚拟交换机发送到服务器中的目的虚拟机。源虚拟机和目的虚拟机位于同一物理服务器上,他们之间的流量可不需要经过外部的物理防火墙进行安全处理,而是由内部的VFW进行安全处理。
基于图1的描述,本发明实施例提供了一种报文安全转发方法,应用于VFW中,其流程示意图如图2所示,该方法包括:
步骤21、VFW根据自身配置的安全策略,通知虚拟交换机建立相应的引流策略,所述引流策略用于指示虚拟交换机将接收到源虚拟机发送的匹配该引流策略的报文引导至VFW。
如上所述,VFW和虚拟交换机基于虚拟化平台构建于同一物理机中。
其中,管理员可通过虚拟防护墙管理器(VFW Manager)配置VFW的安全策略,安全策略可包括访问控制和安全防范等多个方面的安全处理,安全防范具体可包括对流量是否包含泛洪(flood)攻击进行过滤等;访问控制在VFW中可支持基于VM,IP,MAC,主机名等信息划分安全域,通过配置安全域间的规则,可以实现对安全域间流量的防护。例如,同一网段,同一业务划分到同一安全域,这样,同一安全域内的VM间可允许流量交互,不同安全域间VM不允许流量交互,或有流量限制等。VFW上的安全策略配置完成后,VFW就可以知道需要对哪些流量进行安全防护处理,从而可以通过制定引流策略给虚拟交换机,使得虚拟交换机可将相应的流量引流至VFW进行处理。
举例来说,在服务器中的多个VM,根据功能可以将VM划分为WEB服务器、APP服务器和数据库服务器等,如果VFW基于IP划分安全域,则安全策略在访问控制方面可以设置为:从WEB服务器到APP服务器的流量允许通过,具体可以为源IP(WEB服务器)到目的IP(APP服务器)的流量允许通过。
接下来,VFW在用户配置好安全策略后,可根据安全策略中需要防护的内容(即需要进行安全防护的流量),通知虚拟交换机建立相应的引流策略,以便虚拟交换机将需要防护的流量引导到VFW中。具体地,VFW通过将带有引流策略的消息发送给虚拟交换机,通知虚拟交换机建立相应的引流策略,而消息的格式在较佳的实施方式中可以采用JSON格式,该消息包含的具体内容举例如下:
{"Version":"1.0","Type":1,"Src_IP":"192.168.0.1","Src_Name":"src-vm","Dest_IP":"192.168.2.2","Dest_Name":"dest-vm","Src_MAC":"11-22-33-cc-dd-ee","Dest_MAC":"11-22-33-cc-dd-ff","Vlan":500,"In_port":"eth0/0","Protocol":"tcp","Src_port":8080,"Dest_port":443,"Pri":100,"Action":"vfw","Aging":20,}
其中:
Version:版本号,取值1.0,1.1等。
Type:报文类型,可取值为1,2,3,表示引流策略配置报文“增加”,“修改”,“删除”。
Src_IP:源虚拟机IP地址。
Src_name:源虚拟机名称或id。
Dest_IP:目的虚拟机IP地址。
Dest_name:目的虚拟机名称或id。
Src_MAC:源虚拟机MAC地址信息,格式“xx-xx-xx-xx-xx-xx”
Dest_MAC:目的虚拟机MAC地址信息,格式“xx-xx-xx-xx-xx-xx”
VLAN:虚拟机所属Vlan ID。
In_port:虚拟机所在vSwtich接口。
Protocol:协议。
Src_port:协议源端口。
Dest_port:协议目的端口。
Pri:策略优先级,该策略匹配优先等级。
Action:匹配策略后的动作,vfw代表转发到vfw所在端口。
Aging:老化时间,当流量为空持续时间超过老化时间后,该策略自动删除。
虚拟交换机接收到上述带有引流策略的消息后,可以流表形式对引流策略进行保存,相对应地,流表项内容可以包括:匹配字段、优先级、匹配动作、老化时间和匹配次数等。其中,对于虚拟交换机将需要防护的流量引导到VFW中的引流策略,其老化时间可以设置为无。具体如表1所示:
表1
其中,上述的引流策略与VFW自身配置的安全策略相对应,并可由VFW携带在消息中发送给虚拟交换机,也就是说,安全策略中需要进行流量防护的流量,都会在引流策略中体现,以使得虚拟交换机可基于引流策略将流量引导至VFW,由VFW进行安全处理,其中,每个需要防护的流量可以以流表项方式体现,即每个流表项可表示某一流量,或某一类流量。
例如,安全策略中,需要对发送至某一虚拟机的所有流量,对某两个虚拟机之间的流量进行安全防护,如禁止流量传送,或对流量传送进行协议检查等时,则可将发送至某一虚拟机的所有流量,某两个虚拟机之间的流量都制定相应的引流策略,以便虚拟交换机接收到相应的流量后,可匹配引流策略中相应的流表项,进而可将流量引流至VFW,由VFW进行处理。具体来说,用户在VFW上配置安全策略后,VFW就可以知道各VM之间流量是否需要进行安全防护,对于需要防护的流量均生成相应的引流策略,以将相应流量引流至VFW进行安全防护处理。
举例来说,用户配置的安全策略中,对源IP:192.168.0.1的虚拟机到目的IP:192.168.2.2的虚拟机之间的流量进行安全防护,并允许他们之间的流量通过,那么可建立相应的引流策略,并在相应的流表项中设定匹配字段:Src_IP:192.168.0.1,Dest_IP:192.168.2.2;优先级:100;匹配动作:转发到vfw所在端口。这样,虚拟交换机接收到源IP为192.168.0.1,目的IP为192.168.2.2的报文后,进行流表匹配,根据流表的动作项将流量转发到VFW所在端口,从而实现将需要防护的内容引入到VFW的目的。在具体实现上,可以为VFW所在端口做一个特殊分类,即在VFW的虚拟网卡上加一个端口属性:Port Profile:VFW,这样,就无需关心VFW具体的端口号,便于虚拟机在不同服务器中迁移。
又举例来说,假设用户在VFW配置安全策略时,将VM1、VM2、VM3配置成一个安全域,域外的其它VM发送到该安全域的流量均需要进行安全防护,此时,可生成相应的引流策略,将域外VM发送至VM1、VM2、VM3的流量均生成相应的引流表项,使得虚拟交换机可接收到相应流量时,可匹配的相应的流表项,并将流量引导至VFW。
步骤22、VFW接收到所述虚拟交换机转发的报文时,基于自身配置的安全策略对报文进行安全处理,并将处理后的符合安全策略的报文经由虚拟交换机转发至目的虚拟机。
根据步骤21中的具体所述,源IP为192.168.0.1,目的IP为192.168.2.2的报文引入VFW后,VFW根据安全策略(源IP:192.168.0.1到目的IP:192.168.2.2的流量允许通过),且判断该报文不是攻击报文,所以,该报文为VFW允许通过的报文,所以,直接发送给虚拟交换机将报文正常转发至目的地。
从上述方法可以看出,源虚拟机和目的虚拟机位于同一物理服务器内,本发明在物理服务器内部构建VFW,从源虚拟机发出的流量经VFW进行安全防护后,转发至同一物理服务器中的目的虚拟机,从而实现了同一物理服务器内部的VM之间的流量的安全防护。
本发明将需要防护的流量都引入VFW中,由VFW进行安全处理,根据是否符合访问控制和安全防范等方面,进行判断,将符合安全策略的报文经由虚拟交换机转发至目的虚拟机,将不符合安全策略的报文丢弃。
进一步地,VFW在自身的安全策略改变时,可通知虚拟机更新相应的引流策略,所述更新具体可包括删除、新增或修改。具体而言,当用户在VFW配置新的安全策略或者变更原有的安全策略时,可生成相应的新增引流策略来代替原有的引流策略,以对虚拟交换机中的相应的引流策略进行删除、新增或修改。例如,新增安全策略,需要对于VM1和VM2之间的流量进行安全防护,那么就会生成VM1和VM2之间的流量的引流策略,作为新增表项,VFW可通知虚拟交换机来新增表项;又例如,删除原来的安全策略,不需要对VM1和VM2之间的流量进行安全防护,那么原来生成的VM1和VM2之间的流量的引流策略,就可以删除,VFW可通知虚拟交换机删除该表项,等等。
优选地,当VFW对虚拟交换机引流过来的流量进行安全检测,检测到某流量内容安全时,可以自动刷新vSwtich流表内容,配置该流量动作项为直接正常转发,而不必转到VFW中进行处理,减少了经VFW处理的流量,提高处理效率,同时也能保证流量安全。以前面的例子进行说明,VFW进行安全策略(源IP:192.168.0.1到目的IP:192.168.2.2的流量允许通过)匹配,且判断该报文不是攻击报文,所以,该报文为VFW允许通过的报文,则,通知虚拟交换机增加新的引流策略,新的引流策略所对应的流表内容更新为:匹配字段:Src_IP:192.168.0.1,Dest_IP:192.168.2.2;优先级:200;匹配动作:直接转发。从增加的新的流表内容可以看出,匹配字段与之前与该报文匹配的引流策略没有变化,只是匹配优先级高于之前的流表,这样交换机中存在两个可匹配该报文所属流量的流表,即之前与该报文匹配的引流策略,以及增加的与之对应的新的引流策略。也就是说,VFW对报文进行处理,且该报文符合自身配置的安全策略时,通知所述虚拟交换机增加新的引流策略,该新的引流策略与匹配该报文的引流策略对应,且该新的引流策略的匹配优先级高于匹配该报文的引流策略的优先级;所述新的引流策略用于指示所述虚拟交换机对接收到的与该报文属于同一流量的报文直接转发至目的虚拟机。所以,匹配动作指示这样的报文进入虚拟交换机后直接转发到目的地,而不再经过VFW,提高处理效率。需要说明的是,这里所述的新的引流策略,是指匹配动作为直接转发的引流策略,其是与交换机中已有的匹配动作为引导至VFW的引流策略对应,实际中,也可将其称为转发策略,这里为了便于与此前建立的对应的引流策略比较说明,所以使用新的引流策略,这与前述的对引流策略进行更新中的新增也不同,新增是增加原来没有的引流策略,而这里的新的引流策略是指与已有的引流策略对应,只是匹配动作不同,且优先级高。
需要说明的是,本发明可对增加的新的引流策略设置老化时间,以便在该报文所属流量终止后在老化时间超时时自动删除新的引流策略。也就是说,当该直接转发的流量终止后,根据新的引流策略中设置的老化时间,虚拟交换机会自动删除该直接转发的引流策略;新流量会继续匹配原有的引流策略,将流量引导到VFW端口,通过这种动态调整方式,以兼顾安全和处理效率。可以看出,本发明中新增加的引流策略是用于形成转发流表,所以可以给转发流表设置老化时间。而引导至VFW的引流策略,不需要设置老化时间,这种引流策略会一直存在,在转发流表老化后,将流量引导到VFW端口。
另外,VFW所配置的安全策略,以及虚拟交换机所建立的引流策略,不限于上述举例,基于源IP和目的IP进行引流,还可以基于如下方式进行:
基于源虚拟机MAC和目的虚拟机MAC进行引流;基于源虚拟机名称(id)和目的虚拟机名称(id)进行引流;
或者,基于目的虚拟机MAC进行引流;基于目的虚拟机IP进行引流;基于目的虚拟机名称(id)进行引流。
另外,需要说明的是,第一点、本发明主要解决的是,对于同一物理服务器内部的各虚拟机之间的安全访问处理。对于来自该物理服务器外部的流量,在具体实现上也可以经过在该物理服务器上构建的VFW。为区别来自物理服务器内部还是外部的流量,可以设置VFW拒绝接收来自该物理服务器外部的流量,则在该物理服务器的VFW上,最优的安全策略设置方式为,指定安全策略的源ip、目的ip为本服务器内的虚拟机,则可以限定为内部流量经过VFW处理。
第二点、虚拟机在不同的物理服务器中可以迁移,虚拟机迁移之后,仍然可以实现流量安全交互。一种具体实现可以为:假设初始虚拟机1和虚拟机2位于同一物理服务器1上,该物理服务器1上构建有VFW1,虚拟机2迁移到物理服务器2上,物理服务器2上构建有VFW2,则配置VFW2的安全策略与VFW1相同。这样,来自虚拟机1的流量依次经过VFW1和VFW2,到达虚拟机2。从而实现了虚拟机迁移后的安全防护。还有一种实现方式可以为:由于虚拟机2由物理服务器1迁移到物理服务器2上,则将物理服务器1上的相应安全策略删除,这样,来自物理服务器1上虚拟机1的流量,经过服务器外部的物理防火墙到达物理服务器2上的虚拟机2,同样也实现了虚拟机迁移后的安全防护。
基于同样的发明构思,本发明还提出一种报文安全转发装置,参见图3,图3为本发明具体实施例中应用于上述方法的报文安全转发装置的结构示意图。该装置应用于VFW,包括:
通知单元301,用于根据自身配置的安全策略,通知虚拟交换机建立相应的引流策略,所述引流策略用于指示虚拟交换机将接收到源虚拟机发送的匹配该引流策略的报文引导至VFW;
处理单元302,用于接收到所述虚拟交换机转发的报文时,基于自身配置的安全策略对报文进行安全处理,并将处理后的符合安全策略的报文经由虚拟交换机转发至目的虚拟机;
其中,所述VFW和虚拟交换机基于虚拟化平台构建于同一物理机中。
进一步地,所述通知单元301,还用于在自身的安全策略改变时,通知虚拟机更新相应的引流策略,所述更新包括删除、新增或修改。
所述通知单元301,具体用于通过将带有引流策略的消息发送给虚拟交换机,通知虚拟交换机建立或更新相应的引流策略;
所述引流策略在虚拟交换机中以流表形式保存,所述流表内容包括:匹配字段、优先级、匹配动作和匹配次数。
所述通知单元301,还用于在对报文进行处理,且该报文符合自身配置的安全策略时,通知所述虚拟交换机增加新的引流策略,该新的引流策略与匹配该报文的引流策略对应,且该新的引流策略的匹配优先级高于匹配该报文的引流策略的优先级;
所述新的引流策略用于指示所述虚拟交换机对接收到的与该报文属于同一流量的报文直接转发至目的虚拟机。
所述通知单元301,还用于对增加的新的引流策略设置老化时间,以便在该报文所属流量终止后在老化时间超时时自动删除该新的引流策略。
本发明还提出一种报文安全转发装置,参见图4,图4为本发明具体实施例中应用于上述方法的报文安全转发装置的结构示意图。该装置应用于虚拟交换机,包括:
匹配单元401,用于接收源虚拟机发送的报文,并将该报文与自身建立的引流策略进行匹配,所述引流策略为根据VFW基于自身配置的安全策略下发的通知相应建立;
引流单元402,用于在确定该报文匹配有引流策略时,根据引流策略将该报文引导至VFW,以便由VFW对该报文进行安全处理;
其中,所述VFW和虚拟交换机基于虚拟化平台构建于同一物理机中。
优选地,该装置进一步包括:
接收单元403,用于接收VFW发送的增加新的引流策略,该新的引流策略与匹配该报文的引流策略对应,且该新的引流策略的匹配优先级高于匹配该报文的引流策略的优先级;
所述新的引流策略用于指示所述虚拟交换机对接收到的与该报文属于同一流量的报文直接转发至目的虚拟机。
本发明提供的技术方案,会带来如下好处:
一、在虚拟环境中,使用VFW实现对服务器内部VM间流量的防护,避免流量转发到外部处理,造成服务器和物理交换机性能浪费;
二、通过自动刷新引流策略方式实现对流量防护的快速处理,提高了安全防护效率。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种报文安全转发方法,应用于虚拟防火墙VFW中,其特征在于,该方法包括:
VFW根据自身配置的安全策略,通知虚拟交换机建立相应的引流策略,所述引流策略用于指示虚拟交换机将接收到源虚拟机发送的匹配该引流策略的报文引导至VFW;
VFW接收到所述虚拟交换机转发的报文时,基于自身配置的安全策略对报文进行安全处理,并将处理后的符合安全策略的报文经由虚拟交换机转发至目的虚拟机;
其中,所述VFW、虚拟机和虚拟交换机基于虚拟化平台构建于同一物理机中。
2.如权利要求1所述的方法,其特征在于,该方法还包括:
所述VFW在自身的安全策略改变时,通知虚拟机更新相应的引流策略,所述更新包括删除、新增或修改。
3.如权利要求2所述的方法,其特征在于,所述VFW通过将带有引流策略的消息发送给虚拟交换机,通知虚拟交换机建立或更新相应的引流策略;
所述引流策略在虚拟交换机中以流表形式保存,所述流表内容包括:匹配字段、优先级、匹配动作和匹配次数。
4.如权利要求1所述的方法,其特征在于,该方法还包括:
VFW对报文进行处理,且该报文符合自身配置的安全策略时,通知所述虚拟交换机增加新的引流策略,该新的引流策略与匹配该报文的引流策略对应,且该新的引流策略的匹配优先级高于匹配该报文的引流策略的优先级;
所述新的引流策略用于指示所述虚拟交换机对接收到的与该报文属于同一流量的报文直接转发至目的虚拟机。
5.如权利要求4所述的方法,其特征在于,该方法还包括:
对增加的新的引流策略设置老化时间,以便在该报文所属流量终止后在老化时间超时时自动删除该新的引流策略。
6.一种报文安全转发方法,应用于虚拟交换机中,其特征在于,该方法包括:
虚拟交换机接收源虚拟机发送的报文,并将该报文与自身建立的引流策略进行匹配,所述引流策略为根据VFW基于自身配置的安全策略下发的通知相应建立;
虚拟交换机在确定该报文匹配有引流策略时,根据引流策略将该报文引导至VFW,以便由VFW对该报文进行安全处理;
其中,所述VFW、虚拟机和虚拟交换机基于虚拟化平台构建于同一物理机中。
7.如权利要求6所述的方法,其特征在于,该方法还包括:
虚拟交换机接收VFW发送的增加新的引流策略,该新的引流策略与匹配该报文的引流策略对应,且该新的引流策略的匹配优先级高于匹配该报文的引流策略的优先级;
所述新的引流策略用于指示所述虚拟交换机对接收到的与该报文属于同一流量的报文直接转发至目的虚拟机。
8.一种报文安全转发装置,所述装置应用于虚拟防火墙VFW中,该装置包括:
通知单元,用于根据自身配置的安全策略,通知虚拟交换机建立相应的引流策略,所述引流策略用于指示虚拟交换机将接收到源虚拟机发送的匹配该引流策略的报文引导至VFW;
处理单元,用于接收到所述虚拟交换机转发的报文时,基于自身配置的安全策略对报文进行安全处理,并将处理后的符合安全策略的报文经由虚拟交换机转发至目的虚拟机;
其中,所述VFW、虚拟机和虚拟交换机基于虚拟化平台构建于同一物理机中。
9.如权利要求8所述的装置,其特征在于,所述通知单元,还用于在自身的安全策略改变时,通知虚拟机更新相应的引流策略,所述更新包括删除、新增或修改。
10.如权利要求9所述的装置,其特征在于,所述通知单元,具体用于通过将带有引流策略的消息发送给虚拟交换机,通知虚拟交换机建立或更新相应的引流策略;
所述引流策略在虚拟交换机中以流表形式保存,所述流表内容包括:匹配字段、优先级、匹配动作和匹配次数。
11.如权利要求8所述的装置,其特征在于,所述通知单元,还用于在对报文进行处理,且该报文符合自身配置的安全策略时,通知所述虚拟交换机增加新的引流策略,该新的引流策略与匹配该报文的引流策略对应,且该新的引流策略的匹配优先级高于匹配该报文的引流策略的优先级;
所述新的引流策略用于指示所述虚拟交换机对接收到的与该报文属于同一流量的报文直接转发至目的虚拟机。
12.如权利要求11所述的装置,其特征在于,所述通知单元,还用于对增加的新的引流策略设置老化时间,以便在该报文所属流量终止后在老化时间超时时自动删除该新的引流策略。
13.一种报文安全转发装置,所述装置应用于虚拟交换机中,该装置包括:
匹配单元,用于接收源虚拟机发送的报文,并将该报文与自身建立的引流策略进行匹配,所述引流策略为根据VFW基于自身配置的安全策略下发的通知相应建立;
引流单元,用于在确定该报文匹配有引流策略时,根据引流策略将该报文引导至VFW,以便由VFW对该报文进行安全处理;
其中,所述VFW、虚拟机和虚拟交换机基于虚拟化平台构建于同一物理机中。
14.如权利要求13所述的装置,其特征在于,该装置进一步包括:
接收单元,用于接收VFW发送的增加新的引流策略,该新的引流策略与匹配该报文的引流策略对应,且该新的引流策略的匹配优先级高于匹配该报文的引流策略的优先级;
所述新的引流策略用于指示所述虚拟交换机对接收到的与该报文属于同一流量的报文直接转发至目的虚拟机。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410218519.7A CN105100026B (zh) | 2014-05-22 | 2014-05-22 | 一种报文安全转发方法及装置 |
| PCT/CN2015/079556 WO2015176682A1 (en) | 2014-05-22 | 2015-05-22 | Forwarding a packet |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410218519.7A CN105100026B (zh) | 2014-05-22 | 2014-05-22 | 一种报文安全转发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105100026A CN105100026A (zh) | 2015-11-25 |
| CN105100026B true CN105100026B (zh) | 2018-07-20 |
Family
ID=54553448
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410218519.7A Active CN105100026B (zh) | 2014-05-22 | 2014-05-22 | 一种报文安全转发方法及装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN105100026B (zh) |
| WO (1) | WO2015176682A1 (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530259B (zh) * | 2015-12-22 | 2019-01-18 | 华为技术有限公司 | 报文过滤方法及设备 |
| CN105681313B (zh) * | 2016-01-29 | 2018-11-09 | 博雅网信(北京)科技有限公司 | 一种针对虚拟化环境的流量检测系统及方法 |
| CN106131020B (zh) * | 2016-07-17 | 2020-05-01 | 合肥赑歌数据科技有限公司 | 一种防火墙虚拟化的模块以及管理方法 |
| CN106101011B (zh) * | 2016-08-22 | 2019-12-06 | 新华三技术有限公司 | 一种报文处理方法及装置 |
| CN106534346B (zh) * | 2016-12-07 | 2019-12-10 | 北京奇虎科技有限公司 | 基于虚拟waf的流量控制方法、装置及系统 |
| CN106909439A (zh) * | 2017-02-27 | 2017-06-30 | 郑州云海信息技术有限公司 | 一种虚拟机的迁移控制方法及装置 |
| CN107276798B (zh) * | 2017-06-12 | 2020-08-04 | 苏州浪潮智能科技有限公司 | 一种虚拟化网络服务功能链的实现方法及装置 |
| CN107888500B (zh) * | 2017-11-03 | 2020-04-17 | 东软集团股份有限公司 | 报文转发方法及装置、存储介质、电子设备 |
| CN109922021B (zh) * | 2017-12-12 | 2022-03-08 | 中国电信股份有限公司 | 安全防护系统以及安全防护方法 |
| CN109639551B (zh) * | 2018-11-15 | 2020-11-03 | 北京六方云信息技术有限公司 | 虚拟化引流装置和方法 |
| CN109587063B (zh) * | 2018-12-29 | 2021-08-31 | 奇安信科技集团股份有限公司 | 一种数据的引流方法及装置 |
| CN110213181B (zh) * | 2019-04-28 | 2021-01-29 | 华为技术有限公司 | 虚拟网络中的数据引流装置及数据引流方法 |
| CN110247928B (zh) * | 2019-06-29 | 2020-09-15 | 河南信大网御科技有限公司 | 一种拟态交换机安全流量控制装置及方法 |
| CN110365577B (zh) * | 2019-07-24 | 2021-10-15 | 绿盟科技集团股份有限公司 | 一种安全资源池的引流系统及安全检查方法 |
| CN111510435B (zh) * | 2020-03-25 | 2022-02-22 | 新华三大数据技术有限公司 | 一种网络安全策略迁移方法及装置 |
| CN113810348B (zh) * | 2020-06-17 | 2023-04-07 | 华为技术有限公司 | 网络安全检测方法、系统、设备及控制器 |
| CN114172718B (zh) * | 2021-12-03 | 2024-01-23 | 北京天融信网络安全技术有限公司 | 安全策略配置方法、装置、电子设备及存储介质 |
| CN114363027B (zh) * | 2021-12-27 | 2023-05-12 | 武汉思普崚技术有限公司 | 一种用于引流、回流、远程访问的控制方法及装置 |
| CN114567481B (zh) * | 2022-02-28 | 2024-03-12 | 天翼安全科技有限公司 | 一种数据传输方法、装置、电子设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
| CN103763310A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2458154B (en) * | 2008-03-07 | 2012-06-27 | Hewlett Packard Development Co | Routing across a virtual network |
| CN102244622B (zh) * | 2011-07-25 | 2015-03-11 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
| US9178715B2 (en) * | 2012-10-01 | 2015-11-03 | International Business Machines Corporation | Providing services to virtual overlay network traffic |
| CN103354530B (zh) * | 2013-07-18 | 2016-08-10 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN103458003B (zh) * | 2013-08-15 | 2016-11-16 | 中电长城网际系统应用有限公司 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
-
2014
- 2014-05-22 CN CN201410218519.7A patent/CN105100026B/zh active Active
-
2015
- 2015-05-22 WO PCT/CN2015/079556 patent/WO2015176682A1/en active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102710669A (zh) * | 2012-06-29 | 2012-10-03 | 杭州华三通信技术有限公司 | 一种防火墙策略控制的方法及装置 |
| CN103763310A (zh) * | 2013-12-31 | 2014-04-30 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
| CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105100026A (zh) | 2015-11-25 |
| WO2015176682A1 (en) | 2015-11-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105100026B (zh) | 一种报文安全转发方法及装置 | |
| US11893409B2 (en) | Securing a managed forwarding element that operates within a data compute node | |
| US20210344692A1 (en) | Providing a virtual security appliance architecture to a virtual cloud infrastructure | |
| US11323487B1 (en) | Scalable policy management for virtual networks | |
| US20210409453A1 (en) | Method and apparatus for distributing firewall rules | |
| EP2920916B1 (en) | Virtual device context (vdc) integration for network services | |
| US10333827B2 (en) | Adaptive session forwarding following virtual machine migration detection | |
| US20160323245A1 (en) | Security session forwarding following virtual machine migration | |
| WO2019055101A1 (en) | LIMITATION OF NETWORK TRAFFIC FLOW IN COMPUTER SYSTEMS | |
| US20160188378A1 (en) | Method of Facilitating Live Migration of Virtual Machines | |
| US10116622B2 (en) | Secure communication channel using a blade server | |
| JP5928197B2 (ja) | ストレージシステム管理プログラム及びストレージシステム管理装置 | |
| US10181031B2 (en) | Control device, control system, control method, and control program | |
| US20160080287A1 (en) | Governing bare metal guests | |
| KR101543735B1 (ko) | 엔에프브이(nfv)를 위한 패킷 처리 시스템 및 방법 | |
| JP6149444B2 (ja) | アプリケーション起動制御方法とシステムと装置とプログラム | |
| CN109885380A (zh) | 会话的处理方法及装置、存储介质和电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |