CN109040125A - 虚拟机中报文过滤方法和装置 - Google Patents

虚拟机中报文过滤方法和装置 Download PDF

Info

Publication number
CN109040125A
CN109040125A CN201811084789.8A CN201811084789A CN109040125A CN 109040125 A CN109040125 A CN 109040125A CN 201811084789 A CN201811084789 A CN 201811084789A CN 109040125 A CN109040125 A CN 109040125A
Authority
CN
China
Prior art keywords
message
virtual machine
packet filtering
filtering rule
treated
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811084789.8A
Other languages
English (en)
Inventor
孙庆良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhengzhou Yunhai Information Technology Co Ltd
Original Assignee
Zhengzhou Yunhai Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhengzhou Yunhai Information Technology Co Ltd filed Critical Zhengzhou Yunhai Information Technology Co Ltd
Priority to CN201811084789.8A priority Critical patent/CN109040125A/zh
Publication of CN109040125A publication Critical patent/CN109040125A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种虚拟机中报文过滤的方法和装置。所述方法包括:从虚拟机的网卡接收所述虚拟机传输的报文;利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文;利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文。

Description

虚拟机中报文过滤方法和装置
技术领域
本发明涉及信息处理领域,尤指一种虚拟机中报文过滤方法和装置。
背景技术
随着云计算的日益成熟,越来越多的企业开始部署云计算管理平台,用云管平台管理自己的服务器,创建虚拟机,将公司业务迁移上云。云管理平台云海OS集成了VMware、XenServer、InCloud Sphere等不同厂家的虚拟化产品,用统一的界面风格和操作为用户提供了一个大而全的云管理平台。用户在云海OS创建了虚拟机,虚拟机的网卡进出数据是没有限制的,即可以随便进出,这样虚拟机是有安全风险的。
Iptables是Linux内核集成的IP信息包过滤系统,每一条Iptables规则都可以自 定义内容,比如允许哪个协议的数据通过或丢弃,比如来自哪个IP的数据通过或丢弃。
虚拟机向外发出数据时,数据到达网卡前,会经过Linux内核的网络协议栈,协议 栈会调用netfilter模块的各个钩子函数,钩子函数里面就会调用预先设置的Iptables规 则对数据进行处理,或丢弃、或放行、或修改。同样,虚拟机收到一条数据后,也会被预置的 Iptables规则处理一遍。这样,我们就可以通过自定义Iptables规则,对虚拟机进出数据做 控制,比如不允许某些数据进入虚拟机,这样就可以保护虚拟机的安全。
在OpenStack平台有类似的概念,它也是通过Iptables实现对虚拟机进出数据的 过滤和修改。那么对于云管理平台VMware平台,如何实现集成Iptables规则是亟待解决的 问题。
发明内容
为了解决上述技术问题,本发明提供了一种虚拟机中报文过滤方法和装置,能够保护虚拟机网络安全。
为了达到本发明目的,本发明提供了一种虚拟机中报文过滤的装置,包括:
存储模块,用于存储报文过滤规则;
接收模块,与虚拟机的网卡相连,用于从所述网卡接收所述虚拟机传输的报文;
处理模块,与所述存储模块和所述接收模块相连,用于利用所述报文过滤规则,对接收模块接收的报文进行处理,并输出处理后的报文;
Linux Bridge模块,与所述处理模块,用于发送所述处理后的报文。
其中,所述装置还具有如下特点:所述存储模块包括:
获取单元,用于获取为所述虚拟机配置的安全组信息,其中所述安全组包括一个或至少两个报文过滤规则;
存储单元,用于根据所述安全组信息,存储所述安全组对应的报文过滤规则。
其中,所述装置还具有如下特点:所述装置还包括:
检测模块,用于检测所述安全组的报文过滤规则是否发生变化;
更新模块,用于在检测到所述安全组的报文过滤规则发生变化后,将发生变化的信息更新到所述存储模块内对应的报文规则中。
其中,所述装置还具有如下特点:所述处理模块,包括:
判断单元,用于利用所述报文过滤规则,判断所述报文是否符合所述报文过滤规则,得到判断结果;
处理单元,用于将判断结果为符合所述报文过滤规则的报文发送出去。
其中,所述装置还具有如下特点:所述Linux Bridge模块,包括:
识别单元,用于识别所述处理后的报文的传输方向是否为向外部设备发送的数据;
传输单元,用于在所述处理后的报文的传输方向为向外部设备发送的数据后,将所述处理后的报文发送至相连的外部的交换机;否则,控制所述处理后的数据在所述虚拟机内部进行传输。
为了达到本发明目的,本发明还提供了一种虚拟机中报文过滤的方法,包括:
从虚拟机的网卡接收所述虚拟机传输的报文;
利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文;
利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文。
其中,所述方法还具有如下特点:所述利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文之前,所述方法还包括:
获取为所述虚拟机配置的安全组信息,其中所述安全组包括一个或至少两个报文过滤规则;
根据所述安全组信息,存储所述安全组对应的报文过滤规则。
其中,所述方法还具有如下特点:所述根据所述安全组信息,存储所述安全组对应的报文过滤规则之后,所述方法还包括:
检测所述安全组的报文过滤规则是否发生变化;
在检测到所述安全组的报文过滤规则发生变化后,将发生变化的信息更新到预先存储的报文规则中。
其中,所述方法还具有如下特点:所述利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文,包括:
利用所述报文过滤规则,判断所述报文是否符合所述报文过滤规则,得到判断结果;
将判断结果为符合所述报文过滤规则的报文发送出去。
其中,所述方法还具有如下特点:所述利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文,包括:
识别所述处理后的报文的传输方向是否为向外部设备发送的数据;
在所述处理后的报文的传输方向为向外部设备发送的数据后,将所述处理后的报文发送至相连的外部的交换机;否则,控制所述处理后的数据在所述虚拟机内部进行传输。
本发明提供的实施例,通过从虚拟机的网卡接收所述虚拟机传输的报文,利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文,并利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文,在基于VMware的云管理平台上,通过为虚拟机创建Linux Bridge和报文过滤规则,实现了安全组的功能,限制进出虚拟机的数据,从而达到保护虚拟机网络安全的目的。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明提供的虚拟机中报文过滤的方法的流程图;
图2为本发明提供的虚拟机中报文过滤的装置的结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
图1为本发明提供的虚拟机中报文过滤的方法的流程图。图1所示方法包括:
步骤101、从虚拟机的网卡接收所述虚拟机传输的报文;
步骤102、利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文;
步骤103、利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文。
本发明提供的方法实施例,通过从虚拟机的网卡接收所述虚拟机传输的报文,利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文,并利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文,在基于VMware的云管理平台上,通过为虚拟机创建Linux Bridge和报文过滤规则,实现了安全组的功能,限制进出虚拟机的数据,从而达到保护虚拟机网络安全的目的。
下面对本发明提供的方法作进一步说明:
VMware的二层网络和OpenStack是不同的:VMware的二层网络设备是虚拟交换机,OpenStack的二层设备是openswitch bridge,功能都是二层转发,但设备不同。
基于上述问题及技术,本发明提出了一种保护虚拟机网络安全的方法。在VMware 平台上,通过集成Iptables规则限制虚拟机网卡进出数据,从而达到保护虚拟机的目的。
在本发明提供的一个方法实施例中,所述利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文之前,所述方法还包括:
获取为所述虚拟机配置的安全组信息,其中所述安全组包括一个或至少两个报文过滤规则;
根据所述安全组信息,存储所述安全组对应的报文过滤规则。
具体的,该报文过滤规则是根据该虚拟机的工作特性来配置的,因此可以在虚拟机创建过程中,从云平台中预先存储的安全组中,选择与该虚拟机的工作特性匹配的安全组,完成对虚拟机的初始配置,以便虚拟机在启动后可以立即使用该安全组中的规则,提高操作效率;当虚拟机创建完成后,从云平台获取对应的安全组的信息,例如,通过预先设置的路径下载报文过滤规则,并配置本地应用该过滤规则,完成报文过滤规则的设置。
当然,在所述根据所述安全组信息,存储所述安全组对应的报文过滤规则之后,所述方法还包括:
检测所述安全组的报文过滤规则是否发生变化;
在检测到所述安全组的报文过滤规则发生变化后,将发生变化的信息更新到预先存储的报文规则中。
具体的,如前文所述,虚拟机从云平台获取该报文过滤规则,并下载到本地,在本地应用该报文过滤规则;为保证虚拟机应用的报文过滤规则的正确性,以及与云平台记录的规则的一致性,需要按照预先设置的时间策略,检测两者的规则是否一致,并在检测到不一致,将发生变化的信息更新到预先存储的报文规则中。
其中,此处所说的发生变化的规则,可以为云平台增加的新规则;或者,对已有规则的修改;或者,对已存在的规则执行了删除操作。
在完成报文过滤规则的配置后,一旦从网卡接收到数据,则表示虚拟机上有进出网络的数据,则所述利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文,包括:
利用所述报文过滤规则,判断所述报文是否符合所述报文过滤规则,得到判断结果;
将判断结果为符合所述报文过滤规则的报文发送出去。
具体的,在报文传输出去前,利用虚拟机内部的报文过滤规则对报文进行过滤,允许符合规则的报文继续传输;对于不符合规则的报文,则将丢弃该报文,并将该报文的过滤结果进行记录,并及时发出告警提示,以便预防潜在的安全风险。
当然,在完成报文过滤后,利用虚拟机内配置的Linux Bridge进行数据传输,具体实现方式如下:
其中,所述利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文,包括:
识别所述处理后的报文的传输方向是否为向外部设备发送的数据;
在所述处理后的报文的传输方向为向外部设备发送的数据后,将所述处理后的报文发送至相连的外部的交换机;否则,控制所述处理后的数据在所述虚拟机内部进行传输。
具体的,由于处理的数据均是来自于网卡,而网卡本身接收的数据均需通过网络进行传输,这也需要确定该报文具体的传输方向,而Linux Bridge对报文传输方向的确定可以根据该报文的目的地址来确定,如果该报文的目的地址为该虚拟机的地址,则该报文是虚拟机接收的网络数据,否则,该报文为虚拟机向外部发送的数据,从而实现对传输方向的识别,再将报文发送给对应的设备即可。
下面以本发明应用实例提供的方法作进一步说明:
云海OS集成了VMware虚拟化平台,网络方面,VMware内只有由虚拟交换机构建起 来的二层网络,虚拟机连接到虚拟交换机上,实现二层通信。本发明在虚拟机和交换机之间 添加一个Linux Bridge,该Linux Bridge可以添加Iptables规则,进出虚拟机的数据都需 要经过该Linux Bridge上的Iptables规则,并被处理。
此处,将Iptables规则的集合称为安全组。在云海OS平台创建一个安全组,安全组 内可定义多个Iptables规则。在云海OS为虚拟机添加一个安全组,即可将组内的Iptables 规则加到虚拟机与交换机连接的Linux Bridge上,用来过滤、处理进出虚拟机的数据包。
本发明应用实例提供一种保护虚拟机网络安全的方法,其具体实施过程如下:
(1)在云海OS创建一个安全组;
(2)在安全组内添加Iptables规则,每条Iptables规则都可定义协议、远端IP、动 作等,比如定义允许ICMP协议的数据进出,或者允许IP为100.5.5.0/24的设备访问该虚拟 机;
(3)创建虚拟机时,选择安全组,并在创建完虚拟机后在VMware底层创建一个Linux Bridge,并将虚拟机的网卡连接到Linux Bridge上,Linux Bridge再连到交换机;
(4)程序中根据创建虚拟机时选择的安全组,生成对应的Iptables规则命令,下发 给虚拟机所在的主机,在对应的Linux Bridge上创建Iptables规则。此后,进出虚拟机的流 量都会经过Linux Bridge上的Iptables规则过滤、处理。
(5)安全组如果没有定义规则,则拒绝所有数据通过。
本发明应用实例提供的方法,通过使用Iptables工具,在基于VMware的云管理平 台上,通过为虚拟机创建Linux Bridge和Iptables规则,实现了安全组的功能,限制进出虚 拟机的数据,从而达到保护虚拟机网络安全的目的。
图2为本发明提供的虚拟机中报文过滤的装置的结构图。图2所示装置包括:
存储模块201,用于存储报文过滤规则;
接收模块202,与虚拟机的网卡相连,用于从所述网卡接收所述虚拟机传输的报文;
处理模块203,与所述存储模块和所述接收模块相连,用于利用所述报文过滤规则,对接收模块接收的报文进行处理,并输出处理后的报文;
Linux Bridge模块204,与所述处理模块,用于发送所述处理后的报文。
在本发明提供的一个装置实施例中,所述存储模块201包括:
获取单元,用于获取为所述虚拟机配置的安全组信息,其中所述安全组包括一个或至少两个报文过滤规则;
存储单元,用于根据所述安全组信息,存储所述安全组对应的报文过滤规则。
在本发明提供的一个装置实施例中,所述装置还包括:
检测模块,用于检测所述安全组的报文过滤规则是否发生变化;
更新模块,用于在检测到所述安全组的报文过滤规则发生变化后,将发生变化的信息更新到所述存储模块内对应的报文规则中。
在本发明提供的一个装置实施例中,所述处理模块203包括:
判断单元,用于利用所述报文过滤规则,判断所述报文是否符合所述报文过滤规则,得到判断结果;
处理单元,用于将判断结果为符合所述报文过滤规则的报文发送出去。
在本发明提供的一个装置实施例中,所述Linux Bridge模块204包括:
识别单元,用于识别所述处理后的报文的传输方向是否为向外部设备发送的数据;
传输单元,用于在所述处理后的报文的传输方向为向外部设备发送的数据后,将所述处理后的报文发送至相连的外部的交换机;否则,控制所述处理后的数据在所述虚拟机内部进行传输。
本发明提供的装置实施例,通过从虚拟机的网卡接收所述虚拟机传输的报文,利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文,并利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文,在基于VMware的云管理平台上,通过为虚拟机创建Linux Bridge和报文过滤规则,实现了安全组的功能,限制进出虚拟机的数据,从而达到保护虚拟机网络安全的目的。
本领域普通技术人员可以理解上述实施例的全部或部分步骤可以使用计算机程序流程来实现,所述计算机程序可以存储于一计算机可读存储介质中,所述计算机程序在相应的硬件平台上(如系统、设备、装置、器件等)执行,在执行时,包括方法实施例的步骤之一或其组合。
可选地,上述实施例的全部或部分步骤也可以使用集成电路来实现,这些步骤可以被分别制作成一个个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
上述实施例中的各装置/功能模块/功能单元可以采用通用的计算装置来实现,它们可以集中在单个的计算装置上,也可以分布在多个计算装置所组成的网络上。
上述实施例中的各装置/功能模块/功能单元以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。上述提到的计算机可读取存储介质可以是只读存储器,磁盘或光盘等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求所述的保护范围为准。

Claims (10)

1.一种虚拟机中报文过滤的装置,其特征在于,包括:
存储模块,用于存储报文过滤规则;
接收模块,与虚拟机的网卡相连,用于从所述网卡接收所述虚拟机传输的报文;
处理模块,与所述存储模块和所述接收模块相连,用于利用所述报文过滤规则,对接收模块接收的报文进行处理,并输出处理后的报文;
Linux Bridge模块,与所述处理模块,用于发送所述处理后的报文。
2.根据权利要求1所述的装置,其特征在于,所述存储模块包括:
获取单元,用于获取为所述虚拟机配置的安全组信息,其中所述安全组包括一个或至少两个报文过滤规则;
存储单元,用于根据所述安全组信息,存储所述安全组对应的报文过滤规则。
3.根据权利要求1或2所述的装置,其特征在于,所述装置还包括:
检测模块,用于检测所述安全组的报文过滤规则是否发生变化;
更新模块,用于在检测到所述安全组的报文过滤规则发生变化后,将发生变化的信息更新到所述存储模块内对应的报文规则中。
4.根据权利要求1所述的装置,其特征在于,所述处理模块,包括:
判断单元,用于利用所述报文过滤规则,判断所述报文是否符合所述报文过滤规则,得到判断结果;
处理单元,用于将判断结果为符合所述报文过滤规则的报文发送出去。
5.根据权利要求1所述的装置,其特征在于,所述Linux Bridge模块,包括:
识别单元,用于识别所述处理后的报文的传输方向是否为向外部设备发送的数据;
传输单元,用于在所述处理后的报文的传输方向为向外部设备发送的数据后,将所述处理后的报文发送至相连的外部的交换机;否则,控制所述处理后的数据在所述虚拟机内部进行传输。
6.一种虚拟机中报文过滤的方法,其特征在于,包括:
从虚拟机的网卡接收所述虚拟机传输的报文;
利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文;
利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文。
7.根据权利要求6所述的方法,其特征在于,所述利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文之前,所述方法还包括:
获取为所述虚拟机配置的安全组信息,其中所述安全组包括一个或至少两个报文过滤规则;
根据所述安全组信息,存储所述安全组对应的报文过滤规则。
8.根据权利要求6或7所述的方法,其特征在于,所述根据所述安全组信息,存储所述安全组对应的报文过滤规则之后,所述方法还包括:
检测所述安全组的报文过滤规则是否发生变化;
在检测到所述安全组的报文过滤规则发生变化后,将发生变化的信息更新到预先存储的报文规则中。
9.根据权利要求6所述的方法,其特征在于,所述利用预先存储的报文过滤规则,对接收的报文进行处理,并输出处理后的报文,包括:
利用所述报文过滤规则,判断所述报文是否符合所述报文过滤规则,得到判断结果;
将判断结果为符合所述报文过滤规则的报文发送出去。
10.根据权利要求6所述的方法,其特征在于,所述利用虚拟机内预先配置的LinuxBridge发送所述处理后的报文,包括:
识别所述处理后的报文的传输方向是否为向外部设备发送的数据;
在所述处理后的报文的传输方向为向外部设备发送的数据后,将所述处理后的报文发送至相连的外部的交换机;否则,控制所述处理后的数据在所述虚拟机内部进行传输。
CN201811084789.8A 2018-09-18 2018-09-18 虚拟机中报文过滤方法和装置 Pending CN109040125A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811084789.8A CN109040125A (zh) 2018-09-18 2018-09-18 虚拟机中报文过滤方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811084789.8A CN109040125A (zh) 2018-09-18 2018-09-18 虚拟机中报文过滤方法和装置

Publications (1)

Publication Number Publication Date
CN109040125A true CN109040125A (zh) 2018-12-18

Family

ID=64622530

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811084789.8A Pending CN109040125A (zh) 2018-09-18 2018-09-18 虚拟机中报文过滤方法和装置

Country Status (1)

Country Link
CN (1) CN109040125A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113709052A (zh) * 2020-05-21 2021-11-26 中移(苏州)软件技术有限公司 一种网络报文的处理方法、装置、电子设备和存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571698A (zh) * 2010-12-17 2012-07-11 中国移动通信集团公司 一种虚拟机访问权限的控制方法、系统及装置
CN103457933A (zh) * 2013-08-15 2013-12-18 中电长城网际系统应用有限公司 一种虚拟机迁移安全策略动态配置系统和方法
CN103457945A (zh) * 2013-08-28 2013-12-18 中国科学院信息工程研究所 入侵检测方法及系统
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
CN105337789A (zh) * 2014-08-12 2016-02-17 北京启明星辰信息安全技术有限公司 一种监控虚拟网络流量的方法和装置
CN105530259A (zh) * 2015-12-22 2016-04-27 华为技术有限公司 报文过滤方法及设备
CN106559428A (zh) * 2016-11-25 2017-04-05 国云科技股份有限公司 一种防虚拟机ip和mac伪造的方法
CN107682300A (zh) * 2016-08-02 2018-02-09 华为技术有限公司 确定安全组规则链的方法和装置
CN108471383A (zh) * 2018-02-08 2018-08-31 华为技术有限公司 报文转发方法、装置和系统
CN108471397A (zh) * 2018-01-31 2018-08-31 华为技术有限公司 防火墙配置、报文发送方法和装置

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102571698A (zh) * 2010-12-17 2012-07-11 中国移动通信集团公司 一种虚拟机访问权限的控制方法、系统及装置
CN103457933A (zh) * 2013-08-15 2013-12-18 中电长城网际系统应用有限公司 一种虚拟机迁移安全策略动态配置系统和方法
CN103457945A (zh) * 2013-08-28 2013-12-18 中国科学院信息工程研究所 入侵检测方法及系统
CN105337789A (zh) * 2014-08-12 2016-02-17 北京启明星辰信息安全技术有限公司 一种监控虚拟网络流量的方法和装置
CN104394080A (zh) * 2014-11-28 2015-03-04 杭州华三通信技术有限公司 实现安全组功能的方法及装置
CN105530259A (zh) * 2015-12-22 2016-04-27 华为技术有限公司 报文过滤方法及设备
CN107682300A (zh) * 2016-08-02 2018-02-09 华为技术有限公司 确定安全组规则链的方法和装置
CN106559428A (zh) * 2016-11-25 2017-04-05 国云科技股份有限公司 一种防虚拟机ip和mac伪造的方法
CN108471397A (zh) * 2018-01-31 2018-08-31 华为技术有限公司 防火墙配置、报文发送方法和装置
CN108471383A (zh) * 2018-02-08 2018-08-31 华为技术有限公司 报文转发方法、装置和系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113709052A (zh) * 2020-05-21 2021-11-26 中移(苏州)软件技术有限公司 一种网络报文的处理方法、装置、电子设备和存储介质
CN113709052B (zh) * 2020-05-21 2024-02-27 中移(苏州)软件技术有限公司 一种网络报文的处理方法、装置、电子设备和存储介质

Similar Documents

Publication Publication Date Title
CN110535831B (zh) 基于Kubernetes和网络域的集群安全管理方法、装置及存储介质
CN105684391B (zh) 基于标签的访问控制规则的自动生成
US9621592B2 (en) System and method for software defined deployment of security appliances using policy templates
CN102567055B (zh) 满足应用依赖关系
WO2018059186A1 (zh) 一种封装异构功能等价体的装置、方法及设备
US20150379287A1 (en) Containerized applications with security layers
CN109743199A (zh) 基于微服务的容器化管理系统
CN103685608B (zh) 一种自动配置安全虚拟机ip地址的方法及装置
CN104813337B (zh) 硬件管理接口
EP3129884B1 (en) Method and system for providing security aware applications
JP2018502508A (ja) ファイアウォールポリシーをデータセンターアプリケーション内で自動的に適用するためのシステム及び方法
CN108683652A (zh) 一种基于行为权限的处理网络攻击行为的方法及装置
CN110109427A (zh) 基于最小特权的过程控制软件安全架构
CN103946834A (zh) 虚拟网络接口对象
CN104216761B (zh) 一种在能够运行两种操作系统的装置中使用共享设备的方法
CN103500304B (zh) 基于Xen的虚拟机个性化安全监控系统及监控方法
CN104506548B (zh) 一种数据包重定向装置、虚拟机安全保护方法及系统
EP3761595A1 (en) A method and a device comprising an edge cloud agent for providing a service
CN108885572A (zh) 安全驱动程序平台
CN107395461A (zh) 一种基于访问关系的安全状态表示方法及系统
CN107797859A (zh) 一种定时任务的调度方法及一种调度服务器
CN110785757B (zh) 边缘设备和用于运行边缘设备的方法
CN109040125A (zh) 虚拟机中报文过滤方法和装置
CN105683943B (zh) 使用基于逻辑多维标签的策略模型的分布式网络安全
CN103309722A (zh) 一种云计算系统及其应用访问方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20181218