CN105704087B - 一种基于虚拟化实现网络安全管理的装置及其管理方法 - Google Patents
一种基于虚拟化实现网络安全管理的装置及其管理方法 Download PDFInfo
- Publication number
- CN105704087B CN105704087B CN201410685973.3A CN201410685973A CN105704087B CN 105704087 B CN105704087 B CN 105704087B CN 201410685973 A CN201410685973 A CN 201410685973A CN 105704087 B CN105704087 B CN 105704087B
- Authority
- CN
- China
- Prior art keywords
- virtual
- module
- virtual machine
- analysis
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于虚拟化实现网络安全管理的装置及其管理方法,该装置包括防火墙功能模块、路由功能模块、支持冗余的交换机模块,还包括LAN虚拟网络安全管理平台控件和ESX主机,LAN虚拟网络安全管理平台控件由虚拟机管理端、虚拟防火墙模块、虚拟路由模块和虚拟入侵监测模块组成。本发明基于VMware vShield Zones建立虚拟防火墙,通过安全和网关服务实现对虚拟机的隔离,提供控制区、外网和参数保护等功能实现对多用户应用环境的支持;通过VMware vSphere平台建立虚拟路由功能以及控制ESX主机内的虚拟机;采用基于Xen的半虚拟化实现在虚拟机环境中的网络入侵检测功能,提升网络安全。
Description
技术领域
本发明涉及网络安全管理。
背景技术
虚拟化技术(Virtualization)是指一种物理资源封装的手段,是构建云计算的基础技术之一。从逻辑角度来对资源进行配置,是物理实际的逻辑抽象,让所有的资源透明地运行在各种各样的物理平台上,资源的管理都按逻辑方式进行,完全实现资源的自动分配。根据不同属性,可以对虚拟化进行不同的分类。按实现层次可以分为硬件虚拟化、操作系统虚拟化、应用程序虚拟化。按应用领域可以分为服务器虚拟化、防火墙虚拟化、存储虚拟化、网络虚拟化、桌面虚拟化等。
现有寄宿虚拟化实现网络安全管理,用户通过防火墙、路由器、冗余交换机等安全来访问内部网络中基于寄宿虚拟化技术的宿主主机。这种技术实现网络安全管理不足之处在于:(1)硬件资源利用率和成本较高,性能往往较低,不能有效的降低并发数,满足不了大用户量的访问控制。(2)未明确支持硬件虚拟化技术,网络功能需要加载服务,容易导致宿主机的网络设备混乱,系统资源占用率高,网络安全防护能力低。(3)寄宿虚拟化技术目前采用的主流产品是VMware Workstation,安装于宿主主机内的操作系统上,一旦宿主主机出现安全问题,宿主主机无法工作,导致虚拟服务器无法运行,网络安全性和稳定性相对较差。
现有原生虚拟化实现网络安全管理:和寄宿虚拟化技术实现网络安全管理过程大致相同,不同之处在于原生虚拟化产品(目前主流产品是VMware ESX Server)直接安装于服务器上。不足之处在于:(1)它硬件的驱动程序集中在Hypervisor一层,被Hypervisor上的所有的虚拟机所共同使用,当一个虚拟机的OS需要访问硬件时,它通过Hypervisor中的driver model来访问,有些驱动程序和一些第三方代码在一个很敏感的区域内,它在安全性和兼容性上存在缺陷。(2)无法对网络入侵进行24小时不间断监视和保护,降低了虚拟机网络安全访问和管理能力。
发明内容
本发明的目的是提供一种基于虚拟化实现网络安全管理的装置。
本发明的另一个目的是提供一种优化虚拟化环境下构建网络安全管理的方法。
一种基于虚拟化实现网络安全管理的装置,包括防火墙功能模块、路由功能模块、支持冗余的交换机模块,还包括LAN虚拟网络安全管理平台控件和ESX主机,LAN虚拟网络安全管理平台控件由虚拟机管理端、虚拟防火墙模块、虚拟路由模块和虚拟入侵监测模块组成,防火墙功能模块、路由功能模块和支持冗余的交换机模块与LAN网络连接,虚拟机管理端与ESX主机间依次连接有虚拟防火墙模块、虚拟路由模块和虚拟入侵监测模块。
一种基于虚拟化实现网络安全管理的装置进行管理的方法,包括如下步骤:
1)在外部客户机和内部服务器之间部署具有防火墙功能模块(1)、路由功能模块(2)、支持冗余的交换机模块(3);为每一种服务器建立一个外网安全访问的线路;并根据实际需要设置访问权限以及访问路由,供外网用户进行访问;
2)在LAN网中建立虚拟防火墙模块(52)、虚拟路由模块(53)和虚拟入侵监测模块(54),通过虚拟防火墙模块对虚拟机的进行隔离,为虚拟机内部和外部网络流量提供基本的虚拟网络防火墙,它作为一个可加载的内核模块和虚拟设备部署在主机上。
3)通过虚拟路由器模块分配路由指向请求访问不同资源上的虚拟机;
4)通过虚拟入侵监测模块对访问进行实时性监测;在LAN网中建立基于Xen的半虚拟化技术实现在虚拟机环境中的网络入侵检测功能,提升网络安全能力。其中:采用分域动态构建规则链技术,为不同的虚拟机提供不同级别的安全保护。防御来自内部网络和外部网络的威胁,进一步提升网络高效运行提供保障;
5)构建虚拟服务器;通过LAN虚拟网络安全管理平台控件实现对ESX主机的界面化控制管理及虚拟路由功能。
本发明基于VMware vShield Zones建立虚拟防火墙,通过安全和网关服务实现对虚拟机的隔离,提供控制区、外网和参数保护等功能实现对多用户应用环境的支持;通过VMware vSphere平台建立虚拟路由功能以及控制ESX主机内的虚拟机;采用基于Xen的半虚拟化技术实现在虚拟机环境中的网络入侵检测功能,提升网络安全。从而构建虚拟环境下的网络安全管理体系。
本发明的方法可以取得如下的有益效果:
1)在外部客户机和内部服务器之间部署具有防火墙、路由功能的物理设备,提高了物理网络安全性及资源管理的可操作性。
2)采用基于VMware vShield Zones技术实现防火墙虚拟化,对虚拟机的隔离,提供控制区、外网和参数保护等功能实现对多用户应用环境的支持,提高了虚拟环境下的网络安全。
3)采用基于Xen的半虚拟化技术实现在虚拟机环境中的网络入侵检测功能。涵盖从客户虚拟机资源的动态获取,到对于虚拟机的资源进行分析,再到发现有root-kit存在时采取相应措施的完整过程。从而提升监测大量虚拟机的监测效率。
4)采用VMware ESX Server技术构建虚拟服务器,减低了物理服务器的数量,提高了服务器的性能;采用VMware vSphere平台实现对ESX主机的界面化控制管理及虚拟路由功能,提高了虚拟机的可控性及控制管理易维护性。
附图说明
图1是一种基于虚拟化实现网络安全管理的装置的结构示意图;
图2是一种基于虚拟化实现网络安全管理方法的流程图。
具体实施方式
下面的实施例可以进一步说明本发明,但不以任何方式限制本发明。
一种基于虚拟化实现网络安全管理的装置,包括防火墙功能模块1、路由功能模块2、支持冗余的交换机模块3,它还包括LAN虚拟网络安全管理平台控件和ESX主机6,LAN虚拟网络安全管理平台控件由虚拟机管理端(VMware vSphere)51、虚拟防火墙模块(VMwarevShield Zones)52、虚拟路由模块53和虚拟入侵监测模块54组成,防火墙功能模块1、路由功能模块2和支持冗余的交换机模块3与LAN网络连接,虚拟机管理端(VMware vSphere)51与ESX主机6间依次连接有虚拟防火墙模块(VMware vShield Zones)52、虚拟路由模块53和虚拟入侵监测模块54。
一种基于虚拟化实现网络安全管理的装置进行管理的方法,首先,通过连通WAN、LAN网络的安全管理控件,客户端用户首先从WAN网络通过物理防火墙、物理路由器及支持冗余的交换机实现对LAN网络的安全访问。其中:可以对WAN网络用户通过防护墙及交换设备访问LAN网络的请求和权限进行设置,对带有恶意信息或者第三方恶意软件进行过滤和拦截。
其次,通过LAN虚拟网络安全管理平台控件对用户访问ESX主机中不同的虚拟机进行安全访问设置、权限设置、路由设置、过滤设置及入侵监测扫描。
实施例1:图2示出了一种基于虚拟化实现网络安全管理方法的流程:
1)首先,WAN用户进入LAN网后,首先通过虚拟防火墙模块(VMware vShieldZones)对虚拟机的进行隔离,提供控制区、外网和参数保护等,对访问权限及恶意信息及通过driver model中的恶意的第三方程序进行过滤设置和拦截设置。
2)其次,通过虚拟路由器模块分配路由指向请求访问不同资源上的虚拟机,即根据实际需要在VMware vSphere将路由设置为不同形式桥接方式,建立虚拟路由。
3)最后,通过基于Xen半虚拟化技术的虚拟入侵监测模块对访问进行实时性监测。过程流程为:当启动监测以后,遍历每台客户虚拟机,根据客户虚拟机的需求,分析策略部分给出属于该客户虚拟机的一个分析测试集。监测分析部分逐个运行分析测试集中的测试。在分析的过程中,监测分析部分的扫描模块会向资源获取部分发出请求来获取客户虚拟机特定资源。然后分析模块对拿到的数据进行相应的检测测试,以判断客户虚拟机是否受到了root-kit的攻击。如果测试未通过,则说明客户虚拟机受到了攻击,攻击处理模块采取相应的行动,检测失败;否则,监测分析部分继续选择下一个分析测试进行运行。如此循环,直到分析测试集中的所有测试通过为止。
最后,安全的访问客户机请求ESX主机中不同资源的虚拟机。通过VMwarevSphere管理平台可以对ESX主机中不同的虚拟机进行安全管理操作,其中包括:虚拟机的迁移、虚拟机的CPU、虚拟机内存、虚拟机网络、虚拟机路由等虚拟机管理进行设置。从而大幅度提高网络安全管理的能力。
Claims (2)
1.一种基于虚拟化实现网络安全管理的装置,包括防火墙功能模块(1)、路由功能模块(2)、支持冗余的交换机模块(3),其特征在于:它还包括LAN虚拟网络安全管理平台控件和ESX主机(6),LAN虚拟网络安全管理平台控件由虚拟机管理端(51)、虚拟防火墙模块(52)、虚拟路由模块(53)和虚拟入侵监测模块(54)组成,防火墙功能模块(1)、路由功能模块(2)和支持冗余的交换机模块(3)与LAN网络(4)连接,虚拟机管理端(51)与ESX主机(6)间依次连接有虚拟防火墙模块(52)、虚拟路由模块(53)和虚拟入侵监测模块(54);
根据实际需要在虚拟机管理端将路由设置为不同形式桥接方式,建立虚拟路由,通过虚拟路由器模块分配路由指向请求访问不同资源上的虚拟机;
通过基于Xen半虚拟化技术的虚拟入侵监测模块对访问进行实时性监测;过程流程为:当启动监测以后,遍历每台客户虚拟机,根据客户虚拟机的需求,分析策略部分给出属于该客户虚拟机的一个分析测试集,监测分析部分逐个运行分析测试集中的测试;在分析的过程中,监测分析部分的扫描模块会向资源获取部分发出请求来获取客户虚拟机特定资源;然后分析模块对拿到的数据进行相应的检测测试,以判断客户虚拟机是否受到了root-kit的攻击;如果测试未通过,则说明客户虚拟机受到了攻击,攻击处理模块采取相应的行动,检测失败;否则,监测分析部分继续选择下一个分析测试进行运行;如此循环,直到分析测试集中的所有测试通过为止。
2.一种基于虚拟化实现网络安全管理的方法,其特征在于包括如下步骤:
1)在外部客户机和内部服务器之间部署具有防火墙功能模块(1)、路由功能模块(2)、支持冗余的交换机模块(3);
2)在LAN网中建立虚拟防火墙模块(52)、虚拟路由模块(53)和虚拟入侵监测模块(54),通过虚拟防火墙模块对虚拟机的进行隔离;
3)根据实际需要在虚拟机管理端将路由设置为不同形式桥接方式,建立虚拟路由,通过虚拟路由器模块分配路由指向请求访问不同资源上的虚拟机;
4)通过虚拟入侵监测模块对访问进行实时性监测;过程流程为:当启动监测以后,遍历每台客户虚拟机,根据客户虚拟机的需求,分析策略部分给出属于该客户虚拟机的一个分析测试集,监测分析部分逐个运行分析测试集中的测试;在分析的过程中,监测分析部分的扫描模块会向资源获取部分发出请求来获取客户虚拟机特定资源;然后分析模块对拿到的数据进行相应的检测测试,以判断客户虚拟机是否受到了root-kit的攻击;如果测试未通过,则说明客户虚拟机受到了攻击,攻击处理模块采取相应的行动,检测失败;否则,监测分析部分继续选择下一个分析测试进行运行;如此循环,直到分析测试集中的所有测试通过为止;
5)构建虚拟服务器;通过LAN虚拟网络安全管理平台控件实现对ESX主机的界面化控制管理及虚拟路由功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410685973.3A CN105704087B (zh) | 2014-11-25 | 2014-11-25 | 一种基于虚拟化实现网络安全管理的装置及其管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410685973.3A CN105704087B (zh) | 2014-11-25 | 2014-11-25 | 一种基于虚拟化实现网络安全管理的装置及其管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105704087A CN105704087A (zh) | 2016-06-22 |
| CN105704087B true CN105704087B (zh) | 2018-12-11 |
Family
ID=56940690
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410685973.3A Active CN105704087B (zh) | 2014-11-25 | 2014-11-25 | 一种基于虚拟化实现网络安全管理的装置及其管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105704087B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107104966B (zh) * | 2017-04-25 | 2020-07-17 | 刘正达 | 基于网络结构动态调整的家用无线网络安全的实现方法 |
| CN108900551A (zh) * | 2018-08-16 | 2018-11-27 | 中国联合网络通信集团有限公司 | Sdn/nfv网络安全防护方法及装置 |
| CN109450871B (zh) * | 2018-10-22 | 2021-02-23 | 龙岩学院 | 一种分布式虚拟防火墙装置及其系统部署方法 |
| CN109861972B (zh) * | 2018-12-21 | 2022-09-09 | 陕西商洛发电有限公司 | 一种工业信息控制一体化平台的安全架构系统 |
| CN110532063B (zh) * | 2019-08-13 | 2022-04-01 | 南京芯驰半导体科技有限公司 | 一种同时支持总线虚拟化和功能安全的系统及方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20120151209A1 (en) * | 2010-12-09 | 2012-06-14 | Bae Systems National Security Solutions Inc. | Multilevel security server framework |
| CN103561027A (zh) * | 2013-11-05 | 2014-02-05 | 曙光云计算技术有限公司 | 虚拟网络隔离的实现方法和实现装置 |
-
2014
- 2014-11-25 CN CN201410685973.3A patent/CN105704087B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN104023034A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于软件定义网络的安全防御系统及防御方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105704087A (zh) | 2016-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10623418B2 (en) | Internet of Things security appliance | |
| US9166988B1 (en) | System and method for controlling virtual network including security function | |
| CN105704087B (zh) | 一种基于虚拟化实现网络安全管理的装置及其管理方法 | |
| US10887346B2 (en) | Application-level sandboxing | |
| CN106203126B (zh) | 一种基于模拟环境的漏洞验证方法及系统 | |
| WO2016082501A1 (zh) | 一种云计算系统中云应用攻击行为处理方法、装置及系统 | |
| CN101257413B (zh) | 用于能够实现安全的位置感知平台的方法、装置和系统 | |
| US20180173549A1 (en) | Virtual network function performance monitoring | |
| WO2020028213A1 (en) | Remediation of flush reload attacks | |
| CN109861972B (zh) | 一种工业信息控制一体化平台的安全架构系统 | |
| CN102523215A (zh) | 基于kvm虚拟化平台的虚拟机在线杀毒系统 | |
| CN104468504B (zh) | 虚拟化网络动态信息安全的监控方法及系统 | |
| CN104951354A (zh) | 一种基于动态迁移的虚拟机调度算法安全性验证方法 | |
| Shtern et al. | An architecture for overlaying private clouds on public providers | |
| Huang et al. | Security impacts of virtualization on a network testbed | |
| Jithin et al. | Virtual machine isolation: A survey on the security of virtual machines | |
| CN103258160A (zh) | 一种虚拟化环境下的云安全监测方法 | |
| CN106469275A (zh) | 虚拟机杀毒方法及装置 | |
| CN105025067A (zh) | 一种信息安全技术研究平台 | |
| Chen et al. | Research and practice of dynamic network security architecture for IaaS platforms | |
| Zhang et al. | Xen-based virtual honeypot system for smart device | |
| CN204334621U (zh) | 一种网络安全管理装置 | |
| CN109039823A (zh) | 一种网络系统防火墙检测方法、装置、设备及存储介质 | |
| Mansukhani et al. | The Security Challenges and Countermeasures of Virtual Cloud | |
| Pătraşcu et al. | Digital forensics in Cloud computing |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |