CN105577702A - 一种虚拟机级安全防护系统及方法 - Google Patents
一种虚拟机级安全防护系统及方法 Download PDFInfo
- Publication number
- CN105577702A CN105577702A CN201610145483.3A CN201610145483A CN105577702A CN 105577702 A CN105577702 A CN 105577702A CN 201610145483 A CN201610145483 A CN 201610145483A CN 105577702 A CN105577702 A CN 105577702A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- data packet
- packet
- communication data
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出一种虚拟机级安全防护系统及方法,所述系统包括分组管理单元、数据单元、通信处理单元和日志单元,通信处理单元连接于分组管理单元、数据单元和日志单元;分组管理单元中存储有各虚拟机的分组管理策略,数据单元用于收发通信数据包并将虚拟机之间的通信数据包发送至通信处理单元,通信处理单元根据分组管理单元中的分组管理策略控制虚拟机之间的通信过程,并向日志单元生成日志信息。本发明所述方案能对虚拟机之间通信产生的流量进行全面精细的汇聚管理和监控,并能够实现虚拟机间的分组通信管理,通过这种流量汇聚管理和分组通信管理最终实现了对虚拟机级网络系统的安全防护,具有广阔的推广应用前景。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种虚拟机级安全防护系统及方法,尤其是一种应用于云环境下的虚拟机级安全防护系统及方法。
背景技术
随着计算机网络和信息技术的发展,社会信息化进程不断加速,网络在当今社会中扮演着越来越重要的角色,成为了涵盖政府、商业、金融、通信等重要领域的国家战略资源。大数据、云计算等技术已成为信息技术领域发展的最重要方向。与此同时,网络安全威胁也是屡屡出现,攻击者通过技术手段和社会工程等多种方法进入网络系统,进而窃取秘密数据、破坏系统、恶意欺骗等,不但影响了普通民众的工作生活,也成为了威胁经济、社会甚至国家安全的重大问题。
当前,云平台已经改变了政府、企业、各事业单位相应的资源与管理的方式。在获取更快、更好、更经济的计算、存储等物理资源时,云平台是当之无愧的最合适之选。云平台可以统一管理、调度相关物理资源,利用资源请求的峰值周期规律,平衡工作负载,从而降低整体成本,同时大大提高信息系统部署、运维的灵活性。然而,随着基于云平台的网络应用不断发展,针对云平台的威胁也层出不穷。
在现有云环境中,承载用户真正价值的已不是某台物理设备,而是分散在不同的计算、存储资源中,以虚拟机(VirtualMachine,简称VM)的形式逻辑存在,且不断扩展、变化、重组、迁移。传统的网络安全产品主要以物理设备为安全防护的基本单元,无法适应云环境下以虚拟机为承载体的逻辑防护,无法对宿主机内部虚拟机之间通信产生的流量进行全面精细的管理和监控。在实际应用中,同一台宿主机内部的虚拟机可能会具有不同的功能和安全等级,如何通过流量实现对虚拟机的分组管理、隔离以及安全监控,是当前互联网安全领域亟待解决的云安全问题之一。
发明内容
有鉴于此,本发明提出了一种虚拟机级安全防护系统及方法,能对虚拟机之间通信产生的流量进行全面精细的汇聚管理和监控,并能够实现虚拟机间的分组通信管理,通过这种流量汇聚管理和分组通信管理最终实现了对虚拟机所在网络系统(即虚拟机级)的安全防护,具有广阔的推广应用前景。
为实现上述发明目的,本发明所提供的技术方案是:
一种虚拟机级安全防护系统,包括:分组管理单元11、数据单元12、通信处理单元13和日志单元14,所述通信处理单元13连接于所述分组管理单元11、数据单元12和日志单元14;所述分组管理单元11中存储有各虚拟机的分组管理策略,所述数据单元12用于收发通信数据包并将虚拟机之间的通信数据包发送至通信处理单元13,所述通信处理单元13根据分组管理单元11中的分组管理策略控制虚拟机之间的通信过程,并向所述日志单元14生成日志信息。
进一步的根据本发明所述的虚拟机级安全防护系统,其中所述分组管理单元11中存储的分组管理策略包括分组信息和通信策略,所述分组信息包括每一个虚拟机所在的分组编号以及组内每一个虚拟机的地址信息,所述通信策略包括各分组之间以及同一分组内各虚拟机之间的通信允许情况;所述通信处理单元13接收数据单元12发送过来的通信数据包,提取通信数据包的源地址信息和目的地址信息,并在分组管理单元11的分组信息中查询得到源地址信息对应的源虚拟机所在的分组编号以及目的地址信息对应的目的虚拟机所在的分组编号,然后根据分组编号在分组管理单元11的通信策略中查询得到源虚拟机和目的虚拟机之间的通信允许情况,当源虚拟机和目的虚拟机之间允许进行通信时,所述通信处理单元13将通信数据包转发给数据单元12,由数据单元12将通信数据包发送给目的虚拟机,当源虚拟机和目的虚拟机之间不允许进行通信时,所述通信处理单元13直接将通信数据包丢弃,并生成日志信息输出给日志单元14。
进一步的根据本发明所述的虚拟机级安全防护系统,其中所述虚拟机的地址信息包括虚拟机的IP地址和/或虚拟机的MAC地址,所述通信数据包的源地址信息包括源IP地址和/或源MAC地址,所述通信数据包的目的地址信息包括目的IP地址和/或目的MAC地址,用户根据虚拟机的IP地址和/或虚拟机的MAC地址对虚拟机进行分组管理,并设置分组管理单元11中的分组信息和通信策略,所述分组信息中每一个虚拟机的地址信息都对应于唯一的一个分组编号,所述通信策略中处于同一分组内的各虚拟机之间允许进行通信。
进一步的根据本发明所述的虚拟机级安全防护系统,其中所述分组管理单元11包括分组信息存储模块21和分组通信策略存储模块22,所述分组管理策略中的分组信息存储于所述分组信息存储模块21中,所述分组管理策略中的通信策略存储于所述分组通信策略存储模块22,所述通信处理单元13通过查询访问所述分组信息存储模块21得到源虚拟机和目的虚拟机所在的分组编号,通过查询访问所述分组通信策略存储模块22得到源虚拟机和目的虚拟机之间的通信允许情况。
进一步的根据本发明所述的虚拟机级安全防护系统,其中所述通信处理单元13在以下两种情况下生成日志信息并输出给日志单元14:当源虚拟机和目的虚拟机之间允许进行通信且所述通信处理单元13转发给数据单元的通信数据包是源虚拟机和目的虚拟机一次通信过程中的第一个数据包时,所述通信处理单元13生成日志信息并输出给日志单元14;当源虚拟机和目的虚拟机之间不允许进行通信时,所述通信处理单元13在将通信数据包丢弃后生成日志信息并输出给日志单元14。
进一步的根据本发明所述的虚拟机级安全防护系统,其中所述日志信息至少包括通信数据包的源地址信息、通信数据包的目的地址信息、通信协议、通信数据包的到达时间、源虚拟机所在的分组编号、目的虚拟机所在的分组编号、源虚拟机和目的虚拟机间的通信策略。
进一步的根据本发明所述的虚拟机级安全防护系统,其中所述数据单元12包括数据包接收模块31和数据包发送模块32,所述数据包接收模块31接收虚拟机和外网发送过来的通信数据包,并根据通信数据包的源地址信息和目的地址信息区分通信数据包是虚拟机之间的通信数据包还是虚拟机与外网之间的通信数据包,若是虚拟机与外网之间的通信数据包,则对通信数据包进行网络地址转换后发送至数据包发送模块32,若是虚拟机之间的通信数据包,则将通信数据包转发至通信处理单元13;所述数据包发送模块32接收数据包接收模块31或通信处理单元13发送过来的通信数据包,并将通信数据包发送至目的地。
进一步的根据本发明所述的虚拟机级安全防护系统,其中所述虚拟机级安全防护系统还包括有安全处理单元15,所述安全处理单元15连接于所述通信处理单元13、日志单元14和数据单元12,所述通信处理单元13接收数据单元发送过来的通信数据包后,在判定源虚拟机和目的虚拟机之间允许进行通信时,所述通信处理单元13将所述通信数据包发送至所述安全处理单元15进行安全检查,当所述通信数据包满足安全检查标准时,所述安全处理单元15将所述通信数据包发送至数据单元12,由数据单元12将通信数据包发送给目的虚拟机,当所述通信数据包不满足安全检查标准时,所述安全处理单元15将所述通信数据包直接丢弃,并生成日志信息输出给日志单元14。
一种基于本发明所述虚拟机级安全防护系统进行的虚拟机级安全防护方法,包括以下步骤:
步骤一、将所述虚拟机级安全防护系统布置于虚拟机所在网络中,并将每个虚拟机的默认网关设置为所述虚拟机级安全防护系统的IP地址,并按照任意两个虚拟机的IP地址不在同一个逻辑网络的方式配置每个虚拟机的IP地址,使得任意两个虚拟机之间不可直接进行通信;
步骤二、根据虚拟机的地址信息配置虚拟机的分组信息和通信策略,其中分组信息包括每一个虚拟机所在的分组编号以及组内每一个虚拟机的地址信息,所述通信策略包括各分组之间以及同一分组内各虚拟机之间的通信允许情况;
步骤三、根据通信数据包的源地址信息和目的地址信息区分通信数据包是虚拟机之间的通信数据包还是虚拟机与外网之间的通信数据包,若是虚拟机与外网之间的通信数据包,则执行步骤四,若是虚拟机之间的通信数据包,则执行步骤五;
步骤四、将通信数据包进行网络地址转换后直接向目的地转发;
步骤五、提取通信数据包的源地址信息和目的地址信息,并在分组信息中查询得到源地址信息对应的源虚拟机所在的分组编号以及目的地址信息对应的目的虚拟机所在的分组编号,然后根据分组编号在通信策略中查询得到源虚拟机和目的虚拟机之间的通信允许情况,当源虚拟机和目的虚拟机之间允许进行通信时,将所述通信数据包转发给目的虚拟机,当源虚拟机和目的虚拟机之间不允许进行通信时,将所述通信数据包丢弃,并生成日志信息。
一种虚拟机的安全防护方法,包括以下步骤:
步骤一、统一设置虚拟机所在网络中每个虚拟机的默认网关,并按照任意两个虚拟机的IP地址不在同一个逻辑网络的方式配置每个虚拟机的IP地址,使得任意两个虚拟机之间不可直接进行通信;
步骤二、根据虚拟机的地址信息对虚拟机进行分组管理,配置虚拟机的分组信息和通信策略,其中分组信息包括每一个虚拟机所在的分组编号以及组内每一个虚拟机的地址信息,所述通信策略包括各分组之间以及同一分组内各虚拟机之间的通信允许情况;
步骤三、根据虚拟机所在网络中的通信数据包的源地址信息和目的地址信息区分通信数据包是虚拟机之间的通信数据包还是虚拟机与外网之间的通信数据包,若是虚拟机与外网之间的通信数据包,则执行步骤四,若是虚拟机之间的通信数据包,则执行步骤五;
步骤四、将通信数据包进行网络地址转换后直接向目的地转发;
步骤五、提取通信数据包的源地址信息和目的地址信息,并在分组信息中查询得到源地址信息对应的源虚拟机所在的分组编号以及目的地址信息对应的目的虚拟机所在的分组编号,然后根据分组编号在通信策略中查询得到源虚拟机和目的虚拟机之间的通信允许情况,当源虚拟机和目的虚拟机之间允许进行通信时,将所述通信数据包转发给目的虚拟机,当源虚拟机和目的虚拟机之间不允许进行通信时,将所述通信数据包丢弃,并生成日志信息。
本发明的有益效果:
1)、本发明提出的虚拟机级安全防护系统,设置虚拟机的IP地址,满足任意两个虚拟机的IP地址不在同一个逻辑网络(例如虚拟机a的IP地址为192.168.1.2/255.255.255.252,虚拟机b的IP地址为192.168.1.5/255.255.255.252,即a和b不在同一个逻辑网络),且每个虚拟机的默认网关设置为虚拟机级安全防护系统的IP地址,使得任意两个虚拟机不可直接进行通信,虚拟机之间的通信数据以及虚拟机和外网的通信数据均会被首先发送至作为网关的虚拟机级安全防护系统,然后由虚拟机级安全防护系统转发,由此可以实现对虚拟机的分组管理,为不同的虚拟机设置不同的流量隔离规则,并添加流量清洗、入侵检测等功能,从而全面监控了虚拟机之间的通信流量。
2)、布置本发明提出的虚拟机级安全防护系统,虚拟机之间不可通过获得的IP地址直接进行通信,从而有效阻止了攻击者在虚拟机之间实施ARP欺骗、网络嗅探等攻击行为,有效提升了对云平台的安全防护。
3)、布置本发明提出的虚拟机级安全防护系统,用户可以把具有不同安全等级、隶属于不同部门、提供不同服务的虚拟机划分为不同的分组,实现组与组之间的安全隔离,有效提高了用户信息的安全性,同时用户可以通过IP地址或/和MAC地址对分组信息进行修改,实现了按需管控虚拟机间的分组通信。
4)、经样机使用实践证明,本发明能实现对虚拟机之间的通信流量的全面精细的监控和管理,且本发明所述方案在各类云平台中容易布置、操作简单、安全可靠,具有显著的经济社会效益和广阔的市场推广应用前景。
附图说明
图1是本发明所述虚拟机级安全防护系统的第一优选实施方式的总体结构框图;
图2是本发明所述虚拟机级安全防护系统中分组管理单元的结构框图;
图3是本发明所述虚拟机级安全防护系统中数据单元的结构框图;
图4是本发明所述虚拟机级安全防护系统的第二优选实施方式的总体结构框图;
图中各附图标记的含义如下:
11-分组管理单元,12-数据单元,13-通信处理单元,14-日志单元,15-安全处理单元;
21-分组信息存储模块,22-分组通信策略存储模块;
31-数据包接收模块,32-数据包发送模块。
具体实施方式
以下结合附图对本发明的技术方案进行详细的描述,以使本领域技术人员能够更加清楚地理解本发明的方案,但并不因此限制本发明的保护范围。
首先说明本发明的技术创新原理,本发明所述的虚拟机级安全防护系统针对虚拟机网络系统布置,“虚拟机级”即是以虚拟机作为最小单位,优选的本发明所述虚拟机级安全防护系统可布置于云环境下,更优选的布置在云环境网络系统的出口处,所述虚拟机级安全防护系统可采用和交换设备串接或并接的方式部署,本发明不对系统的部署方式进行限制,其中交换设备可以但不限于交换机或路由器。需要首先把每个虚拟机的默认网关均设置为所部署的虚拟机级安全防护系统自身的IP地址,即将所述虚拟机级安全防护系统作为虚拟机所在网络的网关。如果虚拟机的IP地址是利用DHCP(DynamicHostConfigurationProtocol,动态主机配置协议)协议分配的,需要配置DHCP服务器使得任意两个虚拟机获得的IP地址不在同一个逻辑网络(例如虚拟机a的IP地址为192.168.1.2/255.255.255.252,虚拟机b的IP地址为192.168.1.5/255.255.255.252,即a和b不在同一个逻辑网络)。考虑到云环境中某些虚拟机需要配置成静态的IP地址,因此系统也允许在虚拟机的虚拟网卡上手动配置IP地址,但要求手动配置的IP地址不能与其它任何虚拟机的IP地址在同一个逻辑网络,即保证在布置本发明所述虚拟机级安全防护系统的网络中任意两个虚拟机的IP地址不在同一个逻辑网络,从而任意两个虚拟机之间均不能利用获得的IP地址直接进行通信,虚拟机之间的通信数据以及虚拟机和外网的通信数据均会被首先发送至作为网关的本发明所述虚拟机级安全防护系统,然后由虚拟机级安全防护系统以网关身份进行转发。由此可以实现对虚拟机的分组管理与隔离,为不同的虚拟机设置不同的防火墙策略,添加流量审计、入侵检测等功能提供了便利。此外由于虚拟机之间不可通过获得的IP地址直接通信,从而也有效阻止攻击者在虚拟机之间实施ARP欺骗、网络嗅探等攻击行为,有效提升了对云平台的安全防护。
下面结合附图具体描述本发明所述虚拟机级安全防护系统的结构原理和工作过程,优选的包括如下第一优选实施方式和第二优选实施方式。
第一优选实施方式
如图1所示,作为第一优选实施方式,本发明所述的虚拟机级安全防护系统包括分组管理单元11、数据单元12、通信处理单元13和日志单元14;其中所述分组管理单元11连接于通信处理单元13,数据单元12连接于通信处理单元13,通信处理单元13连接于数据单元12和日志单元14,所述分组管理单元11接收用户配置信息的输入。
本发明所述系统支持对云平台中各虚拟机的逻辑隔离,可依据虚拟机的IP地址或/和MAC地址对虚拟机任意分组并进行分组管理,优选的可采用虚拟机的IP地址+MAC地址的形式对各虚拟机进行分组。如图2所示,所述分组管理单元11包括分组信息存储模块21和分组通信策略存储模块22,其中分组信息存储模块21用于存储每一个分组的编号、组内每一个虚拟机的IP地址和MAC地址等分组信息,分组通信策略存储模块22用于存储分组的通信策略,这些通信策略包括:允许哪些分组之间进行通信、不允许哪些分组之间进行通信,默认同一分组内的虚拟机之间允许进行通信;分组信息存储模块21中存储的分组信息和分组通信策略存储模块22中存储的通信策略均由用户输入进行设定,并可根据需要进行定时修改。其中分组信息存储模块21中至少包括一个分组,每个分组至少包括一个虚拟机,极端情况下,如果只有一个分组,则所有虚拟机属于一个分组,所有虚拟机之间允许互相通信,如果每个分组里均只有一个虚拟机,则此时系统相当于以虚拟机为基本单位设置流量隔离规则,用户可根据虚拟机的IP地址和/或MAC地址对分组信息和通信策略进行修改。
如图3所示,数据单元12包括数据包接收模块31和数据包发送模块32,用于处理虚拟机之间、虚拟机与外网通信产生的通信数据包。数据包接收模块31接收虚拟机和外网发送过来的数据包,依据源IP地址和目的IP地址区分是虚拟机之间的通信还是虚拟机与外网的通信,如果是虚拟机和外网的之间的通信数据包,则依据公知的NAT(NetworkAddressTranslation,网络地址转换)技术进行IP地址转换后发送至数据包发送模块32;如果是虚拟机之间的通信数据包,则转发至通信处理单元13进行处理;数据包发送模块32接收数据包接收模块31和通信处理单元13发送过来的数据包,依据目的IP地址进行判断,如果是虚拟机发往外网的通信数据包,则把数据包发送至外网,如果是发往内网中某个虚拟机的通信数据包,则把数据包发送至目的IP地址对应的虚拟机。
通信处理单元13处理虚拟机之间的通信数据包,进而实现对虚拟机的分组管理。通信处理单元13接收数据单元12中的数据包接收模块31发送过来的数据包,提取数据包的源IP地址、源MAC地址、目的IP地址和目的MAC地址,为便于叙述和理解,下面把发送数据包的虚拟机称为源虚拟机,将接收数据包的虚拟机称为目的虚拟机,实际应用中,任何一台虚拟机都能发送和接收数据包,所以每一个虚拟机既可以作为源虚拟机又可以作为目的虚拟机。通信处理单元13依据数据包的源IP地址和源MAC地址查询分组管理单元11中的分组信息存储模块21,得到发送所述数据包的源虚拟机所在的分组编号,并依据数据包的目的IP地址和目的MAC地址查询分组管理单元11中的分组信息存储模块21,得到接收所述数据包的目的虚拟机所在的分组编号;然后根据得到的分组编号查询分组通信策略存储模块22中存储的分组管理策略,如前所述的在分组通信策略存储模块22中存储的通信策略包括允许哪些分组之间进行通信、不允许哪些分组之间进行通信,各分组由其分组编号唯一确定,因此根据源虚拟机所在的分组编号和目的虚拟机所在的分组编号即可在分组通信策略存储模块22查询得到源虚拟机所在的分组和目的虚拟机所在的分组之间能否进行通信,如果源虚拟机所在的分组和目的虚拟机所在的分组允许通信,则通信处理单元13把该数据包发送给数据单元12的数据包发送模块32,由数据包发送模块32把数据包发送至目的IP地址对应的目的虚拟机,同时如果该数据包是源虚拟机和目的虚拟机一次通信过程中的第一个数据包,则通信处理单元13同时生成日志信息发送至日志单元14,其中日志信息包括但不限于源IP地址、源端口、目的IP地址、目的端口、通信协议、数据包的到达时间、源虚拟机所在分组、目的虚拟机所在分组以及这两个分组的分组管理策略(允许通信);如果根据分组编号在分组通信策略存储模块22中查询到源虚拟机所在的分组和目的虚拟机所在的分组之间不允许通信,则通信处理单元13直接把该数据包丢弃,同时生成日志信息发送至日志单元14,其中日志信息包括但不限于源IP地址、源端口、目的IP地址、目的端口、通信协议、数据包的到达时间、源虚拟机所在分组、目的虚拟机所在分组以及这两个分组的分组管理策略(不允许通信)。
所述日志单元14接收并存储通信处理单元13发过来的日志信息,日志信息有助于网络管理员分析攻击行为并调整虚拟机的安全防护策略。例如攻击者控制了某台虚拟机并以该虚拟机为跳板对其它虚拟机进行扫描探测,则短时间内可能会出现大量的不允许通信的日志信息,管理员通过分析日志信息(IP地址和端口等)就可以定位攻击源并初步确定攻击者的意图以及攻击者可能用到的攻击工具,便于后续采取进一步的安全防护策略。
这样布置本发明所述虚拟机级安全防护系统,实现了对虚拟机之间的分组通信以及通信流量的精细监控,并达到了对虚拟机的分组管理和逻辑隔离。用户可以根据虚拟机的IP地址和/或MAC地址(优选采用IP地址+MAC地址的形式)对虚拟机进行任意分组,同时配置相应的分组管理策略,使某些组之间可以互相通信,而某些组之间不允许通信,这样非常方便了对局域网内虚拟机的管理。同时在这种分组通信管理中实现了对虚拟机之间通信流量的汇聚管理和精确监控,解决了传统虚拟机间直接通信、流量无法监测的问题。
本发明进一步的提出一种基于虚拟机级安全防护系统实施的虚拟机安全防护方法,尤其是云环境下的虚拟机安全防护方法,包括以下步骤:
步骤(1)、把云环境下每个虚拟机的默认网关设置为所布置的虚拟机级安全防护系统的IP地址,并按照任意两个虚拟机的IP地址不在同一个逻辑网络的方式配置每个虚拟机的IP地址。如果虚拟机的IP地址是利用DHCP协议分配的,需要配置DHCP服务器使得任意两个虚拟机获得的IP地址均不在同一个逻辑网络(例如虚拟机a的IP地址为192.168.1.2/255.255.255.252,虚拟机b的IP地址为192.168.1.5/255.255.255.252,即a和b不在同一个逻辑网络);如果存在静态IP下的虚拟机,给需要静态设置IP地址的虚拟机手动配置IP地址,同样要求手动配置的IP地址不能与其它任何虚拟机的IP地址在同一个逻辑网络;
步骤(2)、依据虚拟机的IP地址或/和MAC地址(优选的采用IP地址+MAC地址的形式)配置虚拟机的分组信息和通信策略,其中分组信息包括每一个分组的编号、组内每一个虚拟机的IP地址和MAC地址,通信策略包括允许哪些分组之间进行通信、不允许哪些分组之间进行通信,默认同一分组内的虚拟机之间允许进行通信;
步骤(3)、依据数据包的源IP地址和目的IP地址区分是虚拟机之间的通信还是虚拟机与外网的通信,按照以下方式对虚拟机与外网的通信数据包、虚拟机之间的通信数据包进行处理:
(3-1):如果是虚拟机和外网的之间的通信数据包,则依据公知的NAT(NetworkAddressTranslation,网络地址转换)技术进行数据包IP地址转换后直接转发;
(3-2):如果是虚拟机之间的通信,依据数据包的源IP地址和源MAC地址查询虚拟机的分组信息,确定源虚拟机所在的分组,依据数据包的目的IP地址和目的MAC地址查询虚拟机的分组信息,确定目的虚拟机所在的分组;然后查询虚拟机分组管理策略,如果源虚拟机所在的分组和目的虚拟机所在的分组允许通信,则把该数据包转发至目的虚拟机,同时生成日志信息,如果源虚拟机所在的分组和目的虚拟机所在的分组不允许通信,则直接把该数据包丢弃,同时生成日志信息。
第二优选实施方式
本发明的第二优选实施方式所述的虚拟机级安全防护系统与上述第一优选实施方式的区别在于,在通信处理单元13后面进一步添加安全处理单元15,如图4所示。通信处理单元13接收数据单元12发送过来的虚拟机之间的通信数据包,首先查询分组管理单元11,判断源虚拟机和目的虚拟机是否允许通信,如果不允许通信则直接把该数据包丢弃,同时生成日志信息发送至日志单元14(这一过程与上述第一实施方式的对应过程相同),如果源虚拟机和目的虚拟机允许通信,则通信处理单元13进一步把该数据包发送至安全处理单元15,由安全处理单元15对数据包进行进一步的安全检查处理,具体的安全处理单元15实现的功能可以但不限于网络行为审计、流量清洗和恶意代码检测等。待安全处理单元15对允许通信的虚拟机之间的数据包进行安全处理后,如果数据包满足安全标准,则作为正常数据包发送至数据单元12的数据包发送模块32,由数据包发送模块32把数据包发送至目的IP地址对应的目的虚拟机,如果该数据包是源虚拟机和目的虚拟机一次通信过程中的第一个数据包则同时由安全处理单元15生成日志信息发送至日志单元14,如果数据包不满足安全标准,安全处理单元15则将其判定为有攻击行为的数据包并直接丢弃,同时将安全处理的结果生成日志信息发送至日志单元14。
布置本发明提出的虚拟机级安全防护系统,能够使虚拟机之间不可通过获得的IP地址直接进行通信,从而有效阻止了攻击者在虚拟机之间实施ARP欺骗、网络嗅探等攻击行为,提升了虚拟机的安全防护,同时布置本发明所述系统后,用户可以把具有不同安全等级、隶属于不同部门、提供不同服务的虚拟机划分为不同的分组,实现组与组之间的安全隔离,有效提高了用户信息的安全性,同时用户可以通过IP地址或/和MAC地址对分组信息进行修改,实现了按需管控虚拟机间的分组通信;经样机使用实践证明,本发明尤其能够很好地应用于云环境中,实现对虚拟机之间通信流量的全面精细监控和管理,且本发明所述方案在各类云平台中容易布置、操作简单、安全可靠,具有显著的经济社会效益和广阔的市场推广应用前景。
以上仅是对本发明的优选实施方式进行了描述,并不将本发明的技术方案限制于此,本领域技术人员在本发明的主要技术构思的基础上所作的任何公知变形都属于本发明所要保护的技术范畴,本发明具体的保护范围以权利要求书的记载为准。
Claims (10)
1.一种虚拟机级安全防护系统,其特征在于,包括:分组管理单元(11)、数据单元(12)、通信处理单元(13)和日志单元(14),所述通信处理单元(13)连接于所述分组管理单元(11)、数据单元(12)和日志单元(14);所述分组管理单元(11)中存储有各虚拟机的分组管理策略,所述数据单元(12)用于收发通信数据包并将虚拟机之间的通信数据包发送至通信处理单元(13),所述通信处理单元(13)根据分组管理单元(11)中的分组管理策略控制虚拟机之间的通信过程,并向所述日志单元(14)生成日志信息。
2.根据权利要求1所述的虚拟机级安全防护系统,其特征在于,所述分组管理单元(11)中存储的分组管理策略包括分组信息和通信策略,所述分组信息包括每一个虚拟机所在的分组编号以及组内每一个虚拟机的地址信息,所述通信策略包括各分组之间以及同一分组内各虚拟机之间的通信允许情况;所述通信处理单元(13)接收数据单元(12)发送过来的通信数据包,提取通信数据包的源地址信息和目的地址信息,并在分组管理单元(11)的分组信息中查询得到源地址信息对应的源虚拟机所在的分组编号以及目的地址信息对应的目的虚拟机所在的分组编号,然后根据分组编号在分组管理单元(11)的通信策略中查询得到源虚拟机和目的虚拟机之间的通信允许情况,当源虚拟机和目的虚拟机之间允许进行通信时,所述通信处理单元(13)将通信数据包转发给数据单元(12),由数据单元(12)将通信数据包发送给目的虚拟机,当源虚拟机和目的虚拟机之间不允许进行通信时,所述通信处理单元(13)直接将通信数据包丢弃,并生成日志信息输出给日志单元(14)。
3.根据权利要求2所述的虚拟机级安全防护系统,其特征在于,所述虚拟机的地址信息包括虚拟机的IP地址和/或虚拟机的MAC地址,所述通信数据包的源地址信息包括源IP地址和/或源MAC地址,所述通信数据包的目的地址信息包括目的IP地址和/或目的MAC地址,用户根据虚拟机的IP地址和/或虚拟机的MAC地址对虚拟机进行分组管理,并设置分组管理单元(11)中的分组信息和通信策略,所述分组信息中每一个虚拟机的地址信息都对应于唯一的一个分组编号,所述通信策略中处于同一分组内的各虚拟机之间允许进行通信。
4.根据权利要求2或3所述的虚拟机级安全防护系统,其特征在于,所述分组管理单元(11)包括分组信息存储模块(21)和分组通信策略存储模块(22),所述分组管理策略中的分组信息存储于所述分组信息存储模块(21)中,所述分组管理策略中的通信策略存储于所述分组通信策略存储模块(22),所述通信处理单元(13)通过查询访问所述分组信息存储模块(21)得到源虚拟机和目的虚拟机所在的分组编号,通过查询访问所述分组通信策略存储模块(22)得到源虚拟机和目的虚拟机之间的通信允许情况。
5.根据权利要求2-4任一项所述的虚拟机级安全防护系统,其特征在于,所述通信处理单元(13)在以下两种情况下生成日志信息并输出给日志单元(14):当源虚拟机和目的虚拟机之间允许进行通信且所述通信处理单元(13)转发给数据单元的通信数据包是源虚拟机和目的虚拟机一次通信过程中的第一个数据包时,所述通信处理单元(13)生成日志信息并输出给日志单元(14);当源虚拟机和目的虚拟机之间不允许进行通信时,所述通信处理单元(13)在将通信数据包丢弃后生成日志信息并输出给日志单元(14)。
6.根据权利要求2-5任一项所述的虚拟机级安全防护系统,其特征在于,所述日志信息至少包括通信数据包的源地址信息、通信数据包的目的地址信息、通信协议、通信数据包的到达时间、源虚拟机所在的分组编号、目的虚拟机所在的分组编号、源虚拟机和目的虚拟机间的通信策略。
7.根据权利要求1-6任一项所述的虚拟机级安全防护系统,其特征在于,所述数据单元(12)包括数据包接收模块(31)和数据包发送模块(32),所述数据包接收模块(31)接收虚拟机和外网发送过来的通信数据包,并根据通信数据包的源地址信息和目的地址信息区分通信数据包是虚拟机之间的通信数据包还是虚拟机与外网之间的通信数据包,若是虚拟机与外网之间的通信数据包,则对通信数据包进行网络地址转换后发送至数据包发送模块(32),若是虚拟机之间的通信数据包,则将通信数据包转发至通信处理单元(13);所述数据包发送模块(32)接收数据包接收模块(31)或通信处理单元(13)发送过来的通信数据包,并将通信数据包发送至目的地。
8.根据权利要求2-7任一项所述的虚拟机级安全防护系统,其特征在于,所述虚拟机级安全防护系统还包括有安全处理单元(15),所述安全处理单元(14)连接于所述通信处理单元(13)、日志单元(14)和数据单元(12),所述通信处理单元(13)接收数据单元发送过来的通信数据包后,在判定源虚拟机和目的虚拟机之间允许进行通信时,所述通信处理单元(13)将所述通信数据包发送至所述安全处理单元(14)进行安全检查,当所述通信数据包满足安全检查标准时,所述安全处理单元(14)将所述通信数据包发送至数据单元(12),由数据单元(12)将通信数据包发送给目的虚拟机,当所述通信数据包不满足安全检查标准时,所述安全处理单元(14)将所述通信数据包直接丢弃,并生成日志信息输出给日志单元(14)。
9.一种基于权利要求2-8任一项所述虚拟机级安全防护系统进行的虚拟机级安全防护方法,其特征在于,包括以下步骤:
步骤一、将所述虚拟机级安全防护系统布置于虚拟机所在网络中,并将每个虚拟机的默认网关设置为所述虚拟机级安全防护系统的IP地址,并按照任意两个虚拟机的IP地址不在同一个逻辑网络的方式配置每个虚拟机的IP地址,使得任意两个虚拟机之间不可直接进行通信;
步骤二、根据虚拟机的地址信息配置虚拟机的分组信息和通信策略,其中分组信息包括每一个虚拟机所在的分组编号以及组内每一个虚拟机的地址信息,所述通信策略包括各分组之间以及同一分组内各虚拟机之间的通信允许情况;
步骤三、根据通信数据包的源地址信息和目的地址信息区分通信数据包是虚拟机之间的通信数据包还是虚拟机与外网之间的通信数据包,若是虚拟机与外网之间的通信数据包,则执行步骤四,若是虚拟机之间的通信数据包,则执行步骤五;
步骤四、将通信数据包进行网络地址转换后直接向目的地转发;
步骤五、提取通信数据包的源地址信息和目的地址信息,并在分组信息中查询得到源地址信息对应的源虚拟机所在的分组编号以及目的地址信息对应的目的虚拟机所在的分组编号,然后根据分组编号在通信策略中查询得到源虚拟机和目的虚拟机之间的通信允许情况,当源虚拟机和目的虚拟机之间允许进行通信时,将所述通信数据包转发给目的虚拟机,当源虚拟机和目的虚拟机之间不允许进行通信时,将所述通信数据包丢弃,并生成日志信息。
10.一种虚拟机的安全防护方法,其特征在于,包括以下步骤:
步骤一、统一设置虚拟机所在网络中每个虚拟机的默认网关,并按照任意两个虚拟机的IP地址不在同一个逻辑网络的方式配置每个虚拟机的IP地址,使得任意两个虚拟机之间不可直接进行通信;
步骤二、根据虚拟机的地址信息对虚拟机进行分组管理,配置虚拟机的分组信息和通信策略,其中分组信息包括每一个虚拟机所在的分组编号以及组内每一个虚拟机的地址信息,所述通信策略包括各分组之间以及同一分组内各虚拟机之间的通信允许情况;
步骤三、根据虚拟机所在网络中的通信数据包的源地址信息和目的地址信息区分通信数据包是虚拟机之间的通信数据包还是虚拟机与外网之间的通信数据包,若是虚拟机与外网之间的通信数据包,则执行步骤四,若是虚拟机之间的通信数据包,则执行步骤五;
步骤四、将通信数据包进行网络地址转换后直接向目的地转发;
步骤五、提取通信数据包的源地址信息和目的地址信息,并在分组信息中查询得到源地址信息对应的源虚拟机所在的分组编号以及目的地址信息对应的目的虚拟机所在的分组编号,然后根据分组编号在通信策略中查询得到源虚拟机和目的虚拟机之间的通信允许情况,当源虚拟机和目的虚拟机之间允许进行通信时,将所述通信数据包转发给目的虚拟机,当源虚拟机和目的虚拟机之间不允许进行通信时,将所述通信数据包丢弃,并生成日志信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610145483.3A CN105577702A (zh) | 2016-03-15 | 2016-03-15 | 一种虚拟机级安全防护系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610145483.3A CN105577702A (zh) | 2016-03-15 | 2016-03-15 | 一种虚拟机级安全防护系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105577702A true CN105577702A (zh) | 2016-05-11 |
Family
ID=55887357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610145483.3A Pending CN105577702A (zh) | 2016-03-15 | 2016-03-15 | 一种虚拟机级安全防护系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105577702A (zh) |
Cited By (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111176795A (zh) * | 2020-01-09 | 2020-05-19 | 武汉思普崚技术有限公司 | 一种分布式虚拟网络的动态迁移方法及系统 |
| CN111212079A (zh) * | 2020-01-09 | 2020-05-29 | 武汉思普崚技术有限公司 | 一种基于业务的微隔离流量牵引方法及系统 |
| CN111224989A (zh) * | 2020-01-09 | 2020-06-02 | 武汉思普崚技术有限公司 | 一种虚拟微隔离网络的攻击面防护方法及系统 |
| CN111224990A (zh) * | 2020-01-09 | 2020-06-02 | 武汉思普崚技术有限公司 | 一种分布式微隔离网络的流量牵引方法及系统 |
| CN111262840A (zh) * | 2020-01-09 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种虚拟网络的攻击面转移方法及系统 |
| CN111262841A (zh) * | 2020-01-09 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种虚拟微隔离网络的资源调度方法及系统 |
| CN111258711A (zh) * | 2020-01-09 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种多协议的网络微隔离方法及系统 |
| CN111277568A (zh) * | 2020-01-09 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种分布式虚拟网络的隔离攻击方法及系统 |
| CN111273995A (zh) * | 2020-01-09 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种虚拟微隔离网络的安全调度方法及系统 |
| CN111443986A (zh) * | 2020-01-09 | 2020-07-24 | 武汉思普崚技术有限公司 | 一种分布式虚拟环境的微隔离防护方法及系统 |
| CN111541791A (zh) * | 2020-03-16 | 2020-08-14 | 武汉猎鹰网安科技有限公司 | 网络安全中平台的流量压力测试系统 |
| CN111614790A (zh) * | 2019-02-26 | 2020-09-01 | 杭州海康威视系统技术有限公司 | 虚拟机地址配置系统、方法及装置 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102801729A (zh) * | 2012-08-13 | 2012-11-28 | 福建星网锐捷网络有限公司 | 虚拟机报文转发方法、网络交换设备及通信系统 |
| CN103139159A (zh) * | 2011-11-28 | 2013-06-05 | 上海贝尔股份有限公司 | 云计算架构中的虚拟机之间的安全通信 |
| CN103458003A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
| CN103581324A (zh) * | 2013-11-11 | 2014-02-12 | 中国联合网络通信集团有限公司 | 一种云计算资源池系统及其实现方法 |
| CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
| US20140379928A1 (en) * | 2013-06-24 | 2014-12-25 | Electronics & Telecommunications Research Institute | Method for implementing network using distributed virtual switch, apparatus for performing the same, and network system based on distributed virtual switch |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
-
2016
- 2016-03-15 CN CN201610145483.3A patent/CN105577702A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103139159A (zh) * | 2011-11-28 | 2013-06-05 | 上海贝尔股份有限公司 | 云计算架构中的虚拟机之间的安全通信 |
| CN102801729A (zh) * | 2012-08-13 | 2012-11-28 | 福建星网锐捷网络有限公司 | 虚拟机报文转发方法、网络交换设备及通信系统 |
| US20140379928A1 (en) * | 2013-06-24 | 2014-12-25 | Electronics & Telecommunications Research Institute | Method for implementing network using distributed virtual switch, apparatus for performing the same, and network system based on distributed virtual switch |
| CN103458003A (zh) * | 2013-08-15 | 2013-12-18 | 中电长城网际系统应用有限公司 | 一种自适应云计算环境虚拟安全域访问控制方法和系统 |
| CN103581324A (zh) * | 2013-11-11 | 2014-02-12 | 中国联合网络通信集团有限公司 | 一种云计算资源池系统及其实现方法 |
| CN103746997A (zh) * | 2014-01-10 | 2014-04-23 | 浪潮电子信息产业股份有限公司 | 一种云计算中心网络安全解决方案 |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111614790A (zh) * | 2019-02-26 | 2020-09-01 | 杭州海康威视系统技术有限公司 | 虚拟机地址配置系统、方法及装置 |
| CN111614790B (zh) * | 2019-02-26 | 2022-08-05 | 杭州海康威视系统技术有限公司 | 虚拟机地址配置系统、方法及装置 |
| CN111258711A (zh) * | 2020-01-09 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种多协议的网络微隔离方法及系统 |
| CN111224990A (zh) * | 2020-01-09 | 2020-06-02 | 武汉思普崚技术有限公司 | 一种分布式微隔离网络的流量牵引方法及系统 |
| CN111262840A (zh) * | 2020-01-09 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种虚拟网络的攻击面转移方法及系统 |
| CN111262841A (zh) * | 2020-01-09 | 2020-06-09 | 武汉思普崚技术有限公司 | 一种虚拟微隔离网络的资源调度方法及系统 |
| CN111176795A (zh) * | 2020-01-09 | 2020-05-19 | 武汉思普崚技术有限公司 | 一种分布式虚拟网络的动态迁移方法及系统 |
| CN111277568A (zh) * | 2020-01-09 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种分布式虚拟网络的隔离攻击方法及系统 |
| CN111273995A (zh) * | 2020-01-09 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种虚拟微隔离网络的安全调度方法及系统 |
| CN111443986A (zh) * | 2020-01-09 | 2020-07-24 | 武汉思普崚技术有限公司 | 一种分布式虚拟环境的微隔离防护方法及系统 |
| CN111224989A (zh) * | 2020-01-09 | 2020-06-02 | 武汉思普崚技术有限公司 | 一种虚拟微隔离网络的攻击面防护方法及系统 |
| CN111176795B (zh) * | 2020-01-09 | 2022-05-03 | 武汉思普崚技术有限公司 | 一种分布式虚拟网络的动态迁移方法及系统 |
| CN111212079A (zh) * | 2020-01-09 | 2020-05-29 | 武汉思普崚技术有限公司 | 一种基于业务的微隔离流量牵引方法及系统 |
| CN111541791A (zh) * | 2020-03-16 | 2020-08-14 | 武汉猎鹰网安科技有限公司 | 网络安全中平台的流量压力测试系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105577702A (zh) | 一种虚拟机级安全防护系统及方法 | |
| Chen et al. | Software-defined mobile networks security | |
| CN103607399B (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| Wang et al. | Fog computing: Issues and challenges in security and forensics | |
| AU2015296791B2 (en) | Method and system for providing a virtual asset perimeter | |
| CN103746885A (zh) | 一种面向下一代防火墙的测试系统和测试方法 | |
| CN114302402A (zh) | 一种基于5g的电力调控业务安全通信方法 | |
| Marchetto et al. | Formally verified latency-aware vnf placement in industrial internet of things | |
| Kim et al. | Secure collecting, optimizing, and deploying of firewall rules in software-defined networks | |
| Bose et al. | Blockchain as a service for software defined networks: A denial of service attack perspective | |
| Sheikh et al. | Zero trust using network micro segmentation | |
| Khan et al. | FML: A novel forensics management layer for software defined networks | |
| Sun et al. | Detecting and mitigating ARP attacks in SDN-based cloud environment | |
| Demirci et al. | Software-defined networking for improving security in smart grid systems | |
| Bahsi et al. | A cyber attack taxonomy for microgrid systems | |
| Liu et al. | NetObfu: A lightweight and efficient network topology obfuscation defense scheme | |
| CN114024767B (zh) | 密码定义网络安全体系构建方法、体系架构及数据转发方法 | |
| Kwon et al. | Mondrian: Comprehensive Inter-domain Network Zoning Architecture. | |
| CN109639735A (zh) | 一种IPv6工业无线网络安全等级的测试方法 | |
| Mutaher et al. | OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES. | |
| Xin et al. | Design improvement for tor against low-cost traffic attack and low-resource routing attack | |
| Mazher et al. | The Security Threats and Solutions of Network Functions Virtualization: A Review | |
| ORaw et al. | Restricting data flows to secure against remote attack | |
| Krishnan et al. | Improving security in a virtual network by using attribute based encryption algorithm | |
| Wang et al. | SICS: Secure and dynamic middlebox outsourcing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170320 Address after: Chaoyang District City, Jiuxianqiao, 100016 Beijing Road No. 14 Building 5 floor room 98112 Applicant after: Beijing Weida Information Technology Co., Ltd. Address before: 710065 Shaanxi Province, Xi'an Yanta District Jinye road green waters B building room 1902 Applicant before: Geng Tongtong |
|
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20160511 |