CN105592016A - 一种电力信息系统的云环境下虚拟机的保护装置 - Google Patents
一种电力信息系统的云环境下虚拟机的保护装置 Download PDFInfo
- Publication number
- CN105592016A CN105592016A CN201410592508.5A CN201410592508A CN105592016A CN 105592016 A CN105592016 A CN 105592016A CN 201410592508 A CN201410592508 A CN 201410592508A CN 105592016 A CN105592016 A CN 105592016A
- Authority
- CN
- China
- Prior art keywords
- virtual machine
- standard
- network
- protection zone
- virtual switch
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及一种电力信息系统的云环境下虚拟机的保护装置,在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机,虚拟机上分配多块虚拟网卡,并在虚拟机上部署安全软件;第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连,所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,第一标准虚拟交换机通过物理网络适配器与物理网络相连;第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器相连,第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,安全软件用于对未保护区域流向保护区域的网络流量进行监控分析,为电力信息系统中保护区域的虚拟机提供安全保护。
Description
技术领域
本发明涉及网络安全技术领域,特别涉及一种电力信息系统的云环境下虚拟机的保护装置。
背景技术
在传统的物理环境中,对信息系统的防护角度来说,首先需要从业务功能和安全特性两方面划分安全域,安全域是指同一环境内具有相同安全保护需求、相互信任、并具有相同安全访问控制和边界控制策略的网络系统。
通过将所有同等安全等级和安全需求的计算机划入同一网段,并在网络边界处部署防火墙、IDS、IPS等设备,实现访问控制、流量分析和安全策略配置,保证信息网络的安全性。
随着服务器虚拟化技术的普及,底层计算资源的部署方式趋于动态,传统的网络边界逐渐被一体化的硬件资源池取代,网络层的交互数据直接在虚拟化环境的主机内部完成。
现有的VMware云环境系统结构如图1所示,在ESXi主机中部署着标准虚拟交换机vSwitch0,其上挂载着属于不同VLAN的诸多虚拟机。在图1中,VLAN1属于未保护区域,运行着安全性要求较低的系统;VLAN2、VLAN3属于保护区域,运行着安全性要求较高的系统。虚拟机通过虚拟网络适配器与vSwitch0上的端口组(PortGroup)进行连接,vSwitch0通过上行链路以及物理网络适配器连通物理网络,同时所有与外部物理网络的数据交换都必须经过物理网络适配器。
这种结构导致了传统的安全防护手段和产品难以适应新环境的安全需求,无法实时监控虚拟网络的网络流量,侦测潜在威胁,为系统安全运行带来了极大的安全隐患。
尽管VMware公司在安全性上做出了很多的努力,例如在VMwareESXi5.0的版本中集成了基于vSwitch的轻量级防火墙和简单的流量监测功能,以及发布了支持Netflow技术的分布式虚拟交换机(DistributedVirtualSwitch,以下简称DVS)。但是,对于在电力企业中使用标准vSwitch的云环境,VMwareESXi5.0依然难以提供足够的安全保障,具体表现为:一是安全域划分不明确,域边界比较模糊,网络流量进出通道较多,安全防护难度大,不能满足国家电网公司对信息系统“分区分域”的安全防护要求;二是缺乏对流经标准虚拟交换机的网络流量的有效分析方法。严重影响了整个信息网络的安全性。
发明内容
为解决现有技术的问题,本发明提出一种电力信息系统的云环境下虚拟机的保护装置,通过改变虚拟网络的结构,以及在标准虚拟交换机间部署安全软件的方式,为用户提供安全域划分、防火墙保护和网络流量分析功能,保证了云环境下虚拟机的安全性,具有安全、实用等特点。
为实现上述目的,本发明提供了一种电力信息系统的云环境下虚拟机的保护装置,该装置包括:第一标准虚拟交换机和第二标准虚拟交换机;其中,在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机,所述虚拟机上分配多块虚拟网卡,并在虚拟机上部署安全软件;
所述第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连,所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡用于传输所述第一标准虚拟交换机中未保护流量;所述第一标准虚拟交换机通过物理网络适配器与物理网络相连;
所述第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器相连,第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡还用于传输所述第二标准虚拟交换机中保护流量;
所述安全软件用于对未保护区域流向保护区域的网络流量进行监控分析,为电力信息系统中保护区域的虚拟机提供安全保护。
优选地,所述安全软件还用于根据电力信息系统的安全性需求划分逻辑区域,将电力信息系统区分为保护区域与未保护区域。
优选地,所述安全软件还用于建立访问规则,选择允许或阻止特殊的端口访问、协议和流向。
优选地,所述安全软件还用于收集和汇总关于源、目标地、流向和服务相关的信息,用于网络故障诊断和可疑流量分析;其中,包括对保护区域输出的网络流量进行分析。
优选地,所述电力信息系统的云环境采用VMware云平台基础架构。
上述技术方案具有如下有益效果:
根据应用系统特点与安全需求,划分数据敏感性较高的重要业务系统和敏感性较低的系统,建立虚拟防火墙,隔离安全威胁较大的应用系统,对位于安全区域的虚拟机提供安全保障。
建立网络流量的唯一通路,限制物理网络和未保护区域用户直接访问安全域虚拟机,任何流向保护区域的网络流量必须经过安全软件的检查和分析,为虚拟机提供严格的访问控制和安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有的VMware云环境系统结构示意图;
图2为本发明的VMware云环境系统结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的技术方案的工作原理为:首先按业务功能要求与安全需求级别划分应用系统,分为保护区域和未保护区域。对于重要的系统来说,例如:核心业务系统、数据库、安全控制管理、后台维护服务器等,将被部署到保护区域;一些需要公开的服务器设施,例如:企业的Web服务器、FTP服务器和论坛服务器等,将被放置到未保护区域。该区域在本质上是一个安全缓冲区,为重要的信息系统提供了一个安全地带。未保护区域中部署的系统一般不含有机密信息,以便来自物理网络的外部访问者可以访问未保护区域中的服务,但又不会接触到存放在保护区域中的公司机密或私人信息,即使未保护区域中的系统受到破坏或黑客攻击,也不会对保护区域中的重要信息造成影响。
在本发明的技术方案中,保护区域与未保护区域的所有虚拟机通过虚拟网络适配器与标准虚拟交换机端口组相连,标准虚拟交换机通过物理网络适配器和上行链路接入物理网络进行通信。
在本技术方案中,需要设计拥有防火墙和网络流量分析功能的基于VMware虚拟化环境的安全软件,或部署成熟的第三方软件,为云环境提供以下安全功能:
防火墙防护:建立访问规则,选择允许或阻止特殊的端口访问、协议和流向;
网络流量分析:收集和汇总关于源、目标地、流向和服务相关的信息,用于网络故障诊断和可疑流量分析;
安全域划分:根据信息系统的安全性需求划分逻辑区域,区分保护区与未保护区,执行不同的安全策略。实现国家电网公司“分区分域”的防护要求。
接下来,在保护区域与未保护区域间以桥接方式串接一台虚拟机,为该台虚拟机分配多块虚拟网卡,并分别与保护区域和未保护区域中的vSwitch连接。该台虚拟机上部署安全软件对流经的网络流量进行监控和分析。
实施例:
本发明的结构示意参见图2。我们将在图1的基础上对虚拟网络结构进行改造。其中,vSwitch1首先继承了vSwitch0的所有配置,包括端口(组)、网络适配器、挂载的虚拟机、相关策略等。vSwitch1和vSwitch2均为标准虚拟交换机,VM表示服务器,VLAN1、VLAN2、VLAN3表示局域网络。
为保护区域的虚拟机创建虚拟交换机vSwitch2,注意创建时不要分配任何物理网卡。
创建虚拟机,用于之后部署安全软件,为其分配两块虚拟网卡,第一块网卡作为入口,用于传输vSwitch1中未被保护的流量,第二块网卡连接到新创建的vSwitch2上作为被保护流量的出口。
在vSwitch1上创建新的端口用于未被保护流量通过,在vSwitch2上创建端口用于被保护流量通过。新建虚拟机的虚拟网卡分别建立与上述端口的连接。
根据vSwitch1中的网络配置,在新建虚拟交换机vSwitch2中复制属于保护区域的虚拟机的所有对应端口,迁移vSwitch1中属于保护区域的虚拟机至vSwitch2。
完成迁移后,删除vSwitch1中的原始端口。
开启vSwitch1和vSwitch2上端口(组)的“混杂模式”,以便使端口组中的每个端口都能够看到流经vSwitch的流量,比如:未保护区域的网络流量通过虚拟网卡传输至保护区域,保护区域的网络流量通过虚拟网卡传输至未保护区域,或者外部物理网络的流量通过虚拟网卡传输至保护区域等等,使得安全软件可以有效监控网络流量。配置完成后,在新建虚拟机中部署安全软件,该软件可以是利用VMsafe开放的编程接口自主研发,也可以采用成熟的商业套件,例如软件防火墙,配合网络性能监控和故障诊断工具SolarwindsOrion、XangatiforvSphere,网络流量收集分析器MRTG、PRTG、CACTI等,实现对虚拟网络流量的监控、统计和分析,以及防火墙规则的设置,具体如下:
防火墙规则设置:对源IP、目的IP、源端口、目的端口和协议进行配置规则。添加规则允许或阻止特殊的端口访问,协议和流向。通过Web界面,管理控制平台插件,命令行等方式对虚拟防火墙进行配置与管理。
网络流量分析:所有通过安全软件的数据都将被监控,收集和汇总关于源、目标地、流向和服务相关的信息进行分析,实现网络故障诊断、可疑流量分析等。
分析上述实施例可知,在使用标准虚拟交换机的VMwareESXi主机中部署具有防火墙防护、流量分析功能的安全软件;实现虚拟网络中保护区域与未保护区域的划分;将所有从未保护区域流向保护区域的网络流量预先引入安全软件中进行分析;为保护区域的虚拟机提供安全保护,满足国家电网公司对管理信息系统“分区分域”的安全防护要求。与现有技术相比,实现了对VMware云环境下安全域的划分和区域间网络流量的统计与分析,为重要业务系统提供可靠的安全保障。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (5)
1.一种电力信息系统的云环境下虚拟机的保护装置,其特征在于,该装置包括:第一标准虚拟交换机和第二标准虚拟交换机;其中,在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机,所述虚拟机上分配多块虚拟网卡,并在虚拟机上部署安全软件;
所述第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连,所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡用于传输所述第一标准虚拟交换机中未保护流量;所述第一标准虚拟交换机通过物理网络适配器与物理网络相连;
所述第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器相连,第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡还用于传输所述第二标准虚拟交换机中保护流量;
所述安全软件用于对未保护区域流向保护区域的网络流量进行监控分析,为电力信息系统中保护区域的虚拟机提供安全保护。
2.如权利要求1所述的装置,其特征在于,所述安全软件还用于根据电力信息系统的安全性需求划分逻辑区域,将电力信息系统区分为保护区域与未保护区域。
3.如权利要求1所述的装置,其特征在于,所述安全软件还用于建立访问规则,选择允许或阻止特殊的端口访问、协议和流向。
4.如权利要求1所述的装置,其特征在于,所述安全软件还用于收集和汇总关于源、目标地、流向和服务相关的信息,用于网络故障诊断和可疑流量分析;其中,包括对保护区域输出的网络流量进行分析。
5.如权利要求1所述的装置,其特征在于,所述电力信息系统的云环境采用VMware云平台基础架构。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410592508.5A CN105592016B (zh) | 2014-10-29 | 2014-10-29 | 一种电力信息系统的云环境下虚拟机的保护装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410592508.5A CN105592016B (zh) | 2014-10-29 | 2014-10-29 | 一种电力信息系统的云环境下虚拟机的保护装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105592016A true CN105592016A (zh) | 2016-05-18 |
| CN105592016B CN105592016B (zh) | 2019-04-30 |
Family
ID=55931235
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410592508.5A Active CN105592016B (zh) | 2014-10-29 | 2014-10-29 | 一种电力信息系统的云环境下虚拟机的保护装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105592016B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603373A (zh) * | 2016-10-27 | 2017-04-26 | 曙光信息产业(北京)有限公司 | 一种网络设备虚拟化系统 |
| CN107547258A (zh) * | 2017-07-18 | 2018-01-05 | 新华三云计算技术有限公司 | 一种网络策略的实现方法和装置 |
| CN107769938A (zh) * | 2016-08-16 | 2018-03-06 | 北京金山云网络技术有限公司 | 一种Openstack平台支持多网络区域的系统和方法 |
| CN109768871A (zh) * | 2017-11-09 | 2019-05-17 | 阿里巴巴集团控股有限公司 | 配置多个虚拟网卡的方法、宿主机和存储介质 |
| CN112804131A (zh) * | 2021-01-08 | 2021-05-14 | 上海自恒信息科技有限公司 | 一种基于vlan构造的访问控制方法 |
| CN112905303A (zh) * | 2021-03-05 | 2021-06-04 | 深圳市网心科技有限公司 | 一种基于有线网卡的无感知网络桥接方法及其装置 |
| CN114422296A (zh) * | 2022-01-05 | 2022-04-29 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络构建系统、方法、终端及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033986A1 (en) * | 2003-08-07 | 2005-02-10 | Guruprassad Ramarao | Port mapperintegrity checker to improve security of a provisionable network |
| CN1917514A (zh) * | 2006-01-18 | 2007-02-21 | 中国科学院计算技术研究所 | 一种分域溯源式全局网络安全体系的构建方法 |
| CN101022340A (zh) * | 2007-03-30 | 2007-08-22 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
| US20090044270A1 (en) * | 2007-08-07 | 2009-02-12 | Asaf Shelly | Network element and an infrastructure for a network risk management system |
| CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
| CN103258160A (zh) * | 2013-05-30 | 2013-08-21 | 浪潮集团有限公司 | 一种虚拟化环境下的云安全监测方法 |
| US20140052877A1 (en) * | 2012-08-16 | 2014-02-20 | Wenbo Mao | Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters |
| CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护系统及方法 |
| CN104113522A (zh) * | 2014-02-20 | 2014-10-22 | 西安未来国际信息股份有限公司 | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 |
-
2014
- 2014-10-29 CN CN201410592508.5A patent/CN105592016B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050033986A1 (en) * | 2003-08-07 | 2005-02-10 | Guruprassad Ramarao | Port mapperintegrity checker to improve security of a provisionable network |
| CN1917514A (zh) * | 2006-01-18 | 2007-02-21 | 中国科学院计算技术研究所 | 一种分域溯源式全局网络安全体系的构建方法 |
| CN101022340A (zh) * | 2007-03-30 | 2007-08-22 | 武汉烽火网络有限责任公司 | 实现城域以太网交换机接入安全的智能控制方法 |
| US20090044270A1 (en) * | 2007-08-07 | 2009-02-12 | Asaf Shelly | Network element and an infrastructure for a network risk management system |
| CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 |
| US20140052877A1 (en) * | 2012-08-16 | 2014-02-20 | Wenbo Mao | Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters |
| CN103258160A (zh) * | 2013-05-30 | 2013-08-21 | 浪潮集团有限公司 | 一种虚拟化环境下的云安全监测方法 |
| CN104113522A (zh) * | 2014-02-20 | 2014-10-22 | 西安未来国际信息股份有限公司 | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 |
| CN103973676A (zh) * | 2014-04-21 | 2014-08-06 | 蓝盾信息安全技术股份有限公司 | 一种基于sdn的云计算安全保护系统及方法 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107769938A (zh) * | 2016-08-16 | 2018-03-06 | 北京金山云网络技术有限公司 | 一种Openstack平台支持多网络区域的系统和方法 |
| CN107769938B (zh) * | 2016-08-16 | 2021-01-22 | 北京金山云网络技术有限公司 | 一种Openstack平台支持多网络区域的系统和方法 |
| CN106603373A (zh) * | 2016-10-27 | 2017-04-26 | 曙光信息产业(北京)有限公司 | 一种网络设备虚拟化系统 |
| CN107547258A (zh) * | 2017-07-18 | 2018-01-05 | 新华三云计算技术有限公司 | 一种网络策略的实现方法和装置 |
| CN109768871A (zh) * | 2017-11-09 | 2019-05-17 | 阿里巴巴集团控股有限公司 | 配置多个虚拟网卡的方法、宿主机和存储介质 |
| CN112804131A (zh) * | 2021-01-08 | 2021-05-14 | 上海自恒信息科技有限公司 | 一种基于vlan构造的访问控制方法 |
| CN112905303A (zh) * | 2021-03-05 | 2021-06-04 | 深圳市网心科技有限公司 | 一种基于有线网卡的无感知网络桥接方法及其装置 |
| CN112905303B (zh) * | 2021-03-05 | 2024-04-09 | 深圳市网心科技有限公司 | 一种基于有线网卡的无感知网络桥接方法及其装置 |
| CN114422296A (zh) * | 2022-01-05 | 2022-04-29 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络构建系统、方法、终端及存储介质 |
| CN114422296B (zh) * | 2022-01-05 | 2024-02-20 | 北京天一恩华科技股份有限公司 | 一种多场景虚拟网络构建系统、方法、终端及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105592016B (zh) | 2019-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105592016A (zh) | 一种电力信息系统的云环境下虚拟机的保护装置 | |
| CN109922021B (zh) | 安全防护系统以及安全防护方法 | |
| CN103973676B (zh) | 一种基于sdn的云计算安全保护系统及方法 | |
| CN106790091A (zh) | 一种云安全防护系统以及流量清洗方法 | |
| CN102244622B (zh) | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 | |
| CN104378387A (zh) | 一种虚拟化平台下保护信息安全的方法 | |
| CN104468504B (zh) | 虚拟化网络动态信息安全的监控方法及系统 | |
| CN104506507A (zh) | 一种sdn网络的蜜网安全防护系统及方法 | |
| CN106254176A (zh) | 一种基于openvswitch的流量镜像方法 | |
| US20150381660A1 (en) | Dynamically Generating a Packet Inspection Policy for a Policy Enforcement Point in a Centralized Management Environment | |
| CN108040055A (zh) | 一种防火墙组合策略及云服务安全防护 | |
| CN103607399A (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
| CN103354530A (zh) | 虚拟化网络边界数据流汇聚方法及装置 | |
| CN103178988B (zh) | 一种性能优化的虚拟化资源的监控方法和系统 | |
| CN104113522A (zh) | 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计 | |
| Holtz et al. | Building scalable distributed intrusion detection systems based on the mapreduce framework | |
| US20170310702A1 (en) | Biology Based Techniques for Handling Information Security and Privacy | |
| SE539949C2 (sv) | Metod för hantering av gateway-apparater för virtuella privata nätverk | |
| CN109194640A (zh) | 一种虚拟化平台东西向流量隔离防护方法 | |
| CN107204866A (zh) | 基于vxlan技术解决多租户服务链传输的实现方法 | |
| Javed et al. | A partition-driven integrated security architecture for cyberphysical systems | |
| CN104050038B (zh) | 一种基于策略感知的虚拟机迁移方法 | |
| Wu et al. | Edge computing security protection from the perspective of classified protection of cybersecurity | |
| CN110266767A (zh) | 企业上云方法及设备 | |
| Tanaka et al. | IoT system security issues and solution approaches |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |