CN109194640A - 一种虚拟化平台东西向流量隔离防护方法 - Google Patents
一种虚拟化平台东西向流量隔离防护方法 Download PDFInfo
- Publication number
- CN109194640A CN109194640A CN201810978475.6A CN201810978475A CN109194640A CN 109194640 A CN109194640 A CN 109194640A CN 201810978475 A CN201810978475 A CN 201810978475A CN 109194640 A CN109194640 A CN 109194640A
- Authority
- CN
- China
- Prior art keywords
- flow
- virtual machine
- cloud platform
- vxlan
- security protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/565—Conversion or adaptation of application format or content
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种虚拟化平台东西向流量隔离防护方法,为保障云平台下虚拟机之间的流量安全,本方案利用SDN及VXLAN技术将需要保护的云平台虚拟机的流量引导到服务器外部,让流量经过FW、IPS、IDS等安全防护产品进行流量保护,然后再返回到云平台下的另一台云平台虚拟机,从而实现东西向流量的隔离防护。本发明通过引入导流插件虚拟机和独立的vxlan隧道,解决了传统云环境下虚拟机之间的东西向流量无法控制和安全防护问题,可以应用到现有的主流云平台中。
Description
技术领域
本发明涉及一种虚拟化平台网络安全领域,特别涉及一种虚拟化平台内部虚拟机之间东西向流量的安全防护方法。
背景技术
随着计算机网络虚拟化的发展,传统的网络安全系统不能适应网络虚拟化的安全防控要求。由于云平台都是封闭的,云系统内的安全问题显得尤为重要,由于在同一主机内同网段的虚拟机之间的通信不出主机,传统的网络安全系统,很难实现云主机东西向的流量保护。随着云计算的发展,传统的网络安全保护方案及现有的云安全解决方案更多的是在解决南北向的安全防护问题,很少涉及东西向流量的隔离和保护。即使有涉及东西向流量的安全防护技术开发,也主要解决涉及云主机内虚拟主机与安全节点之间的流量控制与防护问题。
发明内容
本发明提供了一种虚拟化平台东西向流量隔离防护方法,通过为虚拟机建立导流插件虚拟机和独立的vxlan隧道,使云平台虚拟机互相之间网络流量是隔离的,并通过安全模块进行安全保护。本发明的具体技术方案如下:
一种虚拟化平台东西向流量隔离防护方法,其特征在于,包括以下步骤:
⑴在需要防护的云平台下创建导流插件虚拟机,导流插件虚拟机的网络流量配置为Trunk All;
⑵在云平台的分布式交换机下创建独立的vlan,并分配给需要防护的云平台虚拟机;
⑶在每个导流插件虚拟机里,配置vxlan网关,使用相同的网关IP,针对每一个不同的vlan,配置不同的vxlan端口;
⑷在需要防护的云平台主机以外建立安全防护资源池,所述安全防护资源池包含vxlan网关和安全防护产品,与需要安全防护的云平台虚拟机vxlan端口和IP都一一对应,保证每个云平台虚拟机的流量都可以引流到所述安全防护资源池中;
⑸每个云平台虚拟机的流量在通过vxlan解包后的流量是普通流量,再通过所述安全防护产品进行安全防护;
⑹完成安全防护后的流量,根据流量的目的vlanID,再将流量转换成对应的vxlan报文,返回到原云平台对应的虚拟主机,完成同一云平台下不同虚拟机间安全流量的引流和防护。
进一步的,所述虚拟机的流量引流使用openFlow协议。
进一步的,所述安全防护产品包括WAF、FW、IPS、IDS安全系统。
进一步的,所述安全防护产品支持网络流量的完全透传功能。
本发明的有益效果在于,通过引入导流插件虚拟机和独立的vxlan隧道,解决了传统云环境下虚拟机之间的东西向流量无法控制的问题;通过将流量引入安全模块,解决了云环境中东西向流量的安全防护问题;本发明采用的SDN及vxlan技术能够实现对网络流量的灵活控制,可以应用到现有的主流云平台中。
附图说明
图1为本发明的一种虚拟化平台东西向流量隔离防护方法流程图;
图2为本发明的一种虚拟化平台东西向流量隔离防护方法的结构原理图。
具体实施方式
下面结合附图对本发明作进一步说明。
附图1为本发明的一种虚拟化平台东西向流量隔离防护方法流程图,同时参考附图2。当云平台下虚拟机之间的通讯需要进行防护时,以vm1与vm2之间的通讯为例,具体包括以下步骤:
1、在云平台下创建Trunk All网络portGroup,使用该portgroup创建导流插件虚拟机。由于该导流虚拟机的网络接口是Trunk All,则云平台下其他虚拟机的网络流量都会通过导流虚拟机;
2、当vm1与vm2虚拟机之间的通讯需要进行防护时,在一个分布式交换机下创建一个独立的vlan,并分配给需要防护的虚拟机vm1。
3、在导流插件虚拟机里配置vxlan网关,将其他虚拟机的vlan报文转换成vxlan报文,valanID和vxlan的端口一一对应,然后,通过vxlan隧道,将流量引流到安全资源池。在导流插件虚拟机里,配置vxlan网关,使用相同的网关IP,针对每个vlan在导流插件虚拟机里边创建一个vlanIf,然后创建一个vxlan隧道接口,配置一个独立的vxlan的dstport,把新增的valanIf和vxlan隧道配置到同一个ovsbr1网桥上,可以完成一个独立的vlan对应一条独立的vxlan隧道,从而完成从vlan网络流量到vxlan网络流量的转换,网络流量互相之间是隔离的;如果网络平台虚拟机互相之间需要通信,网络流量就一定会导出到目的的安全防护产品。
4、在需要防护的云平台主机以外建立安全资源池,该安全资源池主要包含vxlan网关虚拟机和安全防护产品,所述安全防护产品包括WAF、FW、IPS、IDS安全系统。vxlan网关虚拟机和每个需要安全防护的网络平台虚拟机的vxlan端口和IP都一一对应,保证每个网络平台虚拟机的流量都可以引流到安全防护资源池中。
5、安全资源池的vxlan网关将vxlan报文转换成普通vlan报文,网络平台虚拟机流量在通过vxlan网关解包后的流量是普通流量,可以通过安全防护产品,比如WAF、FW、IDS、IPS进行安全防护。
6、虚拟化安全防护产品。
7、在安全资源池中,使用普通的两层和三层的普通报文转发机制是无法引导流量到安全产品中的,就需要使用openFlow协议将流量引流到WAF、IPS、WAF、WF安全系统的防护网口,在防护完成后再把流量引流到vxlan模块,进行vlan到vxlan流量的转换;安全资源池中使用其中一个网口作为vxlan隧道对接网口,和每一台需要防护的网络平台虚拟机的vxlan隧道进行对接,将所有的对接接口都放置在同一个OVS1交换机里,同时,安全防护产品的虚拟网卡也配置在该OVS1交换机上;通过使用OpenFlow协议控制vxlan隧道对接后的普通网络报文按照顺序可以分别从安全防护产品的业务网卡流入,通过安全防护后的网络报文再根据被防护虚拟机的网卡mac再分别流入对应的vxlan网口,从而完成安全流量的防护。
8、完成安全防护后的流量,我们根据流量的目的vlanID,再将流量转换成对应的vxlan报文,然后返回到原云平台虚拟机vm2,这样就完成了安全流量的引流和防护。
当进行东西向东的安全防护时,所有vxlan隧道接口进行vxlan报文转换后,我们通过OpenFlow协议控制,从同一个方向流进安全防护产品的同一个网口,就会导致网络协议的请求和返回消息都从同一个网卡进入安全产品,会导致VM1和vm2虚拟机之间的通信报文的流向全部是同一个方向,这种流程不符合普通的二层网络协议。因此,需要安全防护产品支持网络流量的完全透传功能,才能完成完整的安全防护流程。
图2为本发明的一种虚拟化平台东西向流量隔离防护方法的结构原理图。
当vm1需要访问vm2并进行安全防护时,其通过的结构组件与流量方向包括:1、vm1的网络使用vlan 100发出请求报文,该报文会通过虚拟交换机vswitch1流向导流插件虚拟机;2、导流插件虚拟机通过vlanIf100接收到该报文,将报文转换成vxlan报文;3、vxlan报文端口100,通过导流隧道,将该报文发送到安全资源池的vxlan隧道接口;4、安全资源池的vxlan网关将vxlan报文转换成普通vlan报文后,我们通过OpenFlow协议控制网络流向,将网络流量指向IPS、WAF等安全防护产品,进行安全流量过滤;5、过滤完成后,被防护虚拟机的网卡mac再分别流入对应的vxlan网口;6、网络流量再返回被防护云平台的导流插件虚拟机;7、导流插件虚拟机再将vxlan报文转换成内部的vlan报文;2、导流插件虚拟机通过vlanIf101将报文送到目标虚拟机vm2,就此完成了vm1和vm2之间的一次正常网络通信。
Claims (4)
1.一种虚拟化平台东西向流量隔离防护方法,其特征在于,包括以下步骤:
⑴在需要防护的云平台下创建导流插件虚拟机,导流插件虚拟机的网络流量配置为Trunk All;
⑵在云平台的分布式交换机下创建独立的vlan,并分配给需要防护的云平台虚拟机;
⑶在每个导流插件虚拟机里,配置vxlan网关,使用相同的网关IP,针对每一个不同的vlan,配置不同的vxlan端口;
⑷在需要防护的云平台主机以外建立安全防护资源池,所述安全防护资源池包含vxlan网关和安全防护产品,与需要安全防护的云平台虚拟机vxlan端口和IP都一一对应,保证每个云平台虚拟机的流量都可以引流到所述安全防护资源池中;
⑸每个云平台虚拟机的流量在通过vxlan解包后的流量是普通流量,再通过所述安全防护产品进行安全防护;
⑹完成安全防护后的流量,根据流量的目的vlanID,再将流量转换成对应的vxlan报文,返回到原云平台对应的虚拟主机,完成同一云平台下不同虚拟机间安全流量的引流和防护。
2.如权利要求1所述的一种虚拟化平台东西向流量隔离防护方法,其特征在于,所述虚拟机的流量引流使用openFlow协议。
3.如权利要求2所述的一种虚拟化平台东西向流量隔离防护方法,其特征在于,所述安全防护产品包括WAF、FW、IPS、IDS安全系统。
4.如权利要求1至3中任一权利要求所述一种虚拟化平台东西向流量隔离防护方法,其特征在于,所述安全防护产品支持网络流量的完全透传功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810978475.6A CN109194640A (zh) | 2018-08-27 | 2018-08-27 | 一种虚拟化平台东西向流量隔离防护方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810978475.6A CN109194640A (zh) | 2018-08-27 | 2018-08-27 | 一种虚拟化平台东西向流量隔离防护方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109194640A true CN109194640A (zh) | 2019-01-11 |
Family
ID=64916027
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810978475.6A Pending CN109194640A (zh) | 2018-08-27 | 2018-08-27 | 一种虚拟化平台东西向流量隔离防护方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109194640A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112702265A (zh) * | 2021-01-18 | 2021-04-23 | 北京安数云信息技术有限公司 | 一种提供虚拟化场景下分布式引流的解决方法 |
| CN113660177A (zh) * | 2021-09-23 | 2021-11-16 | 深信服科技股份有限公司 | 一种流量控制方法、装置、系统及可读存储介质 |
| CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
| US11502872B1 (en) | 2021-06-07 | 2022-11-15 | Cisco Technology, Inc. | Isolation of clients within a virtual local area network (VLAN) in a fabric network |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104821922A (zh) * | 2015-02-12 | 2015-08-05 | 杭州华三通信技术有限公司 | 一种流量分担方法和设备 |
| CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
| US20160261496A1 (en) * | 2013-10-31 | 2016-09-08 | Hangzhou H3C Technologies Co., Ltd. | Packet forwarding in data center network |
| CN106230749A (zh) * | 2016-08-30 | 2016-12-14 | 锐捷网络股份有限公司 | 一种在虚拟可扩展局域网中转发报文的方法和汇聚交换机 |
| CN107454010A (zh) * | 2017-09-25 | 2017-12-08 | 国云科技股份有限公司 | 一种云平台东西流量管控方法 |
| CN107770064A (zh) * | 2016-08-19 | 2018-03-06 | 华为技术有限公司 | 一种跨网络通信的方法、设备 |
| CN108173694A (zh) * | 2017-12-29 | 2018-06-15 | 深信服科技股份有限公司 | 一种数据中心的安全资源池接入方法及系统 |
-
2018
- 2018-08-27 CN CN201810978475.6A patent/CN109194640A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20160261496A1 (en) * | 2013-10-31 | 2016-09-08 | Hangzhou H3C Technologies Co., Ltd. | Packet forwarding in data center network |
| CN104821922A (zh) * | 2015-02-12 | 2015-08-05 | 杭州华三通信技术有限公司 | 一种流量分担方法和设备 |
| CN105049450A (zh) * | 2015-08-24 | 2015-11-11 | 北京汉柏科技有限公司 | 一种基于虚拟网络环境的云安全系统及其部署框架 |
| CN107770064A (zh) * | 2016-08-19 | 2018-03-06 | 华为技术有限公司 | 一种跨网络通信的方法、设备 |
| CN106230749A (zh) * | 2016-08-30 | 2016-12-14 | 锐捷网络股份有限公司 | 一种在虚拟可扩展局域网中转发报文的方法和汇聚交换机 |
| CN107454010A (zh) * | 2017-09-25 | 2017-12-08 | 国云科技股份有限公司 | 一种云平台东西流量管控方法 |
| CN108173694A (zh) * | 2017-12-29 | 2018-06-15 | 深信服科技股份有限公司 | 一种数据中心的安全资源池接入方法及系统 |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112702265A (zh) * | 2021-01-18 | 2021-04-23 | 北京安数云信息技术有限公司 | 一种提供虚拟化场景下分布式引流的解决方法 |
| US11502872B1 (en) | 2021-06-07 | 2022-11-15 | Cisco Technology, Inc. | Isolation of clients within a virtual local area network (VLAN) in a fabric network |
| CN113660177A (zh) * | 2021-09-23 | 2021-11-16 | 深信服科技股份有限公司 | 一种流量控制方法、装置、系统及可读存储介质 |
| CN114944952A (zh) * | 2022-05-20 | 2022-08-26 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
| CN114944952B (zh) * | 2022-05-20 | 2023-11-07 | 深信服科技股份有限公司 | 一种数据处理方法、装置、系统、设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109194640A (zh) | 一种虚拟化平台东西向流量隔离防护方法 | |
| CN104685500B (zh) | 在覆盖网络中应用安全性策略的方法和系统 | |
| CN108964959A (zh) | 一种用于虚拟化平台的网卡直通系统及数据包监管方法 | |
| CN102255903B (zh) | 一种云计算虚拟网络与物理网络隔离安全方法 | |
| CN105100026B (zh) | 一种报文安全转发方法及装置 | |
| CN107278362B (zh) | 云计算系统中报文处理的方法、主机和系统 | |
| CN102244622B (zh) | 用于服务器虚拟化的虚拟网关防护方法、安全网关及系统 | |
| CN104283755B (zh) | 一种虚拟专用云接入方法及系统 | |
| WO2017173952A1 (zh) | 一种实现虚拟机统一管理及互通的方法、装置和系统 | |
| CN106254176A (zh) | 一种基于openvswitch的流量镜像方法 | |
| CN111064649B (zh) | 一种分层端口绑定实现方法、装置、控制设备及存储介质 | |
| CN106034052B (zh) | 一种对虚拟机间二层流量进行监控的系统及方法 | |
| CN105592016B (zh) | 一种电力信息系统的云环境下虚拟机的保护装置 | |
| CN107547278B (zh) | 一种将OpenStack与企业虚拟化环境对接的装置及方法 | |
| CN107018058A (zh) | 一种云环境下共用vlan和vxlan通信的方法及系统 | |
| CN107113219A (zh) | 虚拟环境中的vlan标记 | |
| CN105933248B (zh) | 基本虚拟网络环境内的服务插入 | |
| CN107809365B (zh) | 一种基于OpenStack架构提供VPN服务的实现方法 | |
| CN107959614A (zh) | 一种基于网络命名空间的多租户自定义组网方法、系统 | |
| CN109995639A (zh) | 一种数据传输方法、装置、交换机及存储介质 | |
| CN107204866A (zh) | 基于vxlan技术解决多租户服务链传输的实现方法 | |
| CN104767741A (zh) | 一种基于轻型虚拟机的计算服务分离与安全保护系统 | |
| CN106462469A (zh) | 用于网络技术无关多云弹性扩展及隔离的框架 | |
| Fernandez et al. | A pattern for network functions virtualization | |
| CN109889533B (zh) | 云环境下的安全防御方法及系统、计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20190111 |
|
| WD01 | Invention patent application deemed withdrawn after publication |