虚拟网络安全防护系统、流量牵引方法及装置制造方法及图纸

本发明专利技术实施例公开了一种虚拟网络安全防护系统、流量牵引方法及装置，用于给虚拟化平台上的虚拟网络提供安全防护。本发明专利技术实施例的虚拟网络安全防护系统包括：虚拟下一代防火墙管理平台(CSSP)、引流插件、虚拟下一代防火墙(vNGAF)。本发明专利技术实施例通过在每台虚拟化主机上部署vNGAF和引流插件，由CSSP向vNGAF下发安全策略，并下发引流规则给引流插件；引流插件根据引流规则将虚拟机的流量重定向至vNGAF；vNGAF根据安全策略对流量进行处理后发送给引流插件，由引流插件将流量发送到目标虚拟机或虚拟交换机的目标端口。本发明专利技术实施例通过分布式部署vNGAF的方式，能在虚拟化主机之间，以及虚拟机之间实现七层安全防护，从而能为虚拟化平台上的虚拟网络提供安全防护。

Virtual network security protection system, flow traction method and device

The embodiment of the invention discloses a virtual network security protection system, a flow traction method and a device, which are used for providing security protection to virtual network on virtualization platform. The virtual network security protection system of the embodiment of the invention includes: the virtual next generation firewall management platform (CSSP), the drainage plug-in unit and the virtual next generation firewall (vNGAF). The embodiment of the invention in each virtual host to deploy vNGAF and drainage plug from CSSP to vNGAF issued a security policy, and issued rules for drainage drainage plug; drainage drainage plug according to the rules will be redirected to the vNGAF virtual machine flow; vNGAF security policy based on the amount of convection after treatment sent to the drainage plug the drainage plug to send traffic to the destination virtual machine or virtual switch port. The embodiment of the invention realizes seven levels of security protection between the virtualized host and the virtual machine by means of the distributed deployment of vNGAF, so as to provide security protection for the virtual network on the virtualization platform.

【技术实现步骤摘要】
虚拟网络安全防护系统、流量牵引方法及装置
本专利技术涉及计算机
，尤其涉及一种虚拟网络安全防护系统、流量牵引方法及装置。
技术介绍
虚拟化作为当今热点技术之一，已经广泛应用于云计算平台、虚拟存储、虚拟操作系统、虚拟桌面、虚拟终端等领域。虚拟化的安全也越来越显得重要。在如图1所示的场景下，同一个虚拟数据中心上，存在多台虚拟机(VirtualManufacturing，VM)，VM1、VM2、VM3，每台VM负责一种业务，如VM1为WEB服务器，VM2为邮件服务器，VM3为MYSQL服务器。假设要对VM1、VM2、VM3进行安全防护，但是VM1、VM2、VM3之间却又存在数据交互；如WEB服务器，邮件服务器需要访问MYSQL服务器的上的资源。现有的安全防护技术主要包括：第一种：通过虚拟化厂商提供的网络安全组件(如VWARE提供的vShield组件)配置访问控制列表(英文：AccessControlLists，简称：ACL)策略实现。此技术只能进行VM之间的隔离，无法实现七层安全防护；如在网关发现某台虚拟机已经存在安全风险时，此安全防护技术无法阻止安全风险在内网的进一步的扩散。如上图的VM1存在安全风险，可能会感染VM2和VM3，此时无法有效防止VM1的安全风险扩散到VM2和VM3。第二种：通过购买知名安全厂商的物理防火墙或者虚拟防火墙，通过网络配置，如划分vlan或者路由技术，将多个虚拟主机上的多个虚拟机的流量引到物理防火墙或虚拟防火墙，再通过配置防火墙策略实现。此技术需要更改原有的网络拓扑结构，部署复杂，不利于网络扩容和升级；当虚拟机数量增多时，防火墙无法承受巨大的流量，而购买多台防火墙花费巨大；且采用此方案后，若防火墙出现故障，会直接导致虚拟机业务中断。
技术实现思路
本专利技术实施例提供了一种虚拟网络安全防护系统、流量牵引方法及装置，用于给虚拟化平台上的虚拟网络提供安全解决方案。第一方面，本专利技术实施例提供了一种虚拟网络安全防护系统，其特征在于，该系统包括虚拟下一代防火墙管理平台、引流插件、虚拟下一代防火墙，其中，引流插件和虚拟下一代防火墙部署于虚拟化主机上，该虚拟化主机上部署了至少一个虚拟机；其中，虚拟下一代防火墙管理平台，用于下发安全策略给虚拟下一代防火墙，并下发引流规则给引流插件；引流插件，用于根据引流规则将虚拟机的流量重定向至虚拟下一代防火墙；虚拟下一代防火墙用于根据安全策略对虚拟机的流量进行处理；引流插件，还用于接收虚拟下一代防火墙进行处理后放行的流量，将放行的流量发送到目标虚拟机或虚拟交换机的目标端口。可选的，虚拟下一代防火墙，具体用于根据安全策略处理虚拟机的流量，判断是否对虚拟机的流量进行放行，若确定对虚拟机的流量进行放行，则将虚拟机的流量发送至引流插件。可选的，虚拟下一代防火墙管理平台，具体用于获取用户设置的安全策略，下发安全策略给虚拟下一代防火墙，并根据安全策略生成引流规则，下发引流规则给引流插件。可选的，引流插件，具体用于当确定放行的流量为访问虚拟机的流量时，根据存储的虚拟机的MAC地址与虚拟交换机端口的映射表确定目标MAC地址，将访问虚拟机的流量发往目标MAC地址对应的目标虚拟机。可选的，引流插件，具体用于当确定放行的流量为虚拟机发起的流量时，根据存储的虚拟机的MAC地址与虚拟交换机端口的映射表确定虚拟交换机的目标端口，将虚拟机发起的流量发往虚拟交换机的目标端口。可选的，该虚拟网络安全防护系统还包括：虚拟授权服务器，用于获取授权信息，根据授权信息给至少一个虚拟下一代防火墙提供授权服务。可选的，所述虚拟授权服务器，具体用于从物理U-key获取授权信息，根据所述授权信息给至少一个所述虚拟下一代防火墙提供授权服务，所述授权信息包括安全功能启用许可信息和允许部署的虚拟下一代防火墙的信息。可选的，所述虚拟授权服务器，具体用于通过网络从公网获取授权信息，根据所述授权信息给至少一个所述虚拟下一代防火墙提供授权服务，所述授权信息包括安全功能启用许可信息和允许部署的虚拟下一代防火墙的信息。第二方面，本专利技术实施例提供了一种虚拟化平台的流量牵引方法，其特征在于，该方法应用于虚拟网络安全防护系统，虚拟网络安全防护系统包括虚拟下一代防火墙、引流插件、虚拟下一代防火墙管理平台，其中，引流插件和虚拟下一代防火墙位于虚拟化主机上，虚拟化主机上部署了至少一个虚拟机，该方法包括：引流插件接收虚拟下一代防火墙管理平台下发的引流规则；引流插件根据引流规则将虚拟机的流量重定向到虚拟下一代防火墙，虚拟下一代防火墙用于对虚拟机的流量进行处理；引流插件接收虚拟下一代防火墙进行处理后放行的流量，将放行的流量发送到虚拟交换机的目标端口或目标虚拟机。可选的，引流插件将放行的流量发送到虚拟交换机的目标端口或目标虚拟机包括：若放行的流量为虚拟机发起的流量，则引流插件根据存储的虚拟机的MAC地址与虚拟交换机端口的映射表确定虚拟交换机的目标端口，将虚拟机发起的流量发往虚拟交换机的目标端口。可选的，引流插件将放行的流量发送到虚拟交换机的目标端口或目标虚拟机包括：若放行的流量为访问虚拟机的流量，则引流插件根据存储的虚拟机的MAC地址与虚拟交换机端口的映射表确定目标MAC地址，将访问虚拟机的流量发往目标MAC地址对应的目标虚拟机。第三方面，本专利技术实施例提供了一种虚拟化平台的流量牵引装置，所述流量牵引装置的具体实现对应于上述第二方面提供的流量牵引方法的功能。所述功能可以通过硬件实现，也可以通过硬件执行相应的软件程序实现。硬件和软件包括一个或多个与上述功能相对应的单元模块，所述单元模块可以是软件和/或硬件。一种可能的实现中，所述流量牵引装置包括：接收单元，用于接收虚拟下一代防火墙管理平台下发的引流规则；重定向单元，用于根据引流规则将虚拟机的流量重定向到虚拟下一代防火墙，虚拟下一代防火墙用于对虚拟机的流量进行处理；接收单元，还用于接收虚拟下一代防火墙进行处理后放行的流量；发送单元，用于将放行的流量发送到目标虚拟机或虚拟交换机的目标端口。从以上技术方案可以看出，本专利技术实施例具有以下优点：本专利技术实施例中，通过在每台虚拟化主机上部署一个虚拟下一代防火墙，并安装引流插件，由虚拟下一代防火墙管理平台向虚拟下一代防火墙下发安全策略，并下发引流规则给所述引流插件；当虚拟机的流量流经引流插件时，引流插件根据引流规则将虚拟机的流量重定向至虚拟下一代防火墙；虚拟下一代防火墙根据安全策略对所述虚拟机的流量进行处理，将放行的流量发送给引流插件，再由引流插件将所述放行的流量发送到目标虚拟机或虚拟交换机的目标端口。本专利技术实施例通过分布式部署虚拟下一代防火墙的方式，在虚拟化主机之间，以及虚拟机之间实现七层安全防护；并且本专利技术实施例采用分布式部署的方式，无需改变原有的网络拓扑结构，部署简单，有利于网络扩容和升级；且每台虚拟化主机上部署一个虚拟下一代防火墙，即时当虚拟机数量增多时，虚拟下一代防火墙也不会因此而过载，从而无需购买多台防火墙，可以节省成本。附图说明图1为现有技术中虚拟化示意图；图2为本专利技术实施例中虚拟化平台上的虚拟网络安全解决方案部署示意图；图3为本专利技术实施例中虚拟网络防护系统的实现原理示意图；图4为本专利技术实施例中虚拟网络防护系统的流量处理流程示意图；图5为本专利技术实本文档来自技高网...

【技术保护点】
一种虚拟网络安全防护系统，其特征在于，包括虚拟下一代防火墙管理平台、引流插件、虚拟下一代防火墙，其中，所述引流插件和所述虚拟下一代防火墙位于虚拟化主机上，所述虚拟化主机上部署了至少一个虚拟机；所述虚拟下一代防火墙管理平台，用于下发安全策略给所述虚拟下一代防火墙，并下发引流规则给所述引流插件；所述引流插件，用于根据所述引流规则将所述虚拟机的流量重定向至所述虚拟下一代防火墙；所述虚拟下一代防火墙用于根据所述安全策略对所述虚拟机的流量进行处理；所述引流插件，还用于接收所述虚拟下一代防火墙进行处理后放行的流量，将所述放行的流量发送到目标虚拟机或虚拟交换机的目标端口。

【技术特征摘要】
1.一种虚拟网络安全防护系统，其特征在于，包括虚拟下一代防火墙管理平台、引流插件、虚拟下一代防火墙，其中，所述引流插件和所述虚拟下一代防火墙位于虚拟化主机上，所述虚拟化主机上部署了至少一个虚拟机；所述虚拟下一代防火墙管理平台，用于下发安全策略给所述虚拟下一代防火墙，并下发引流规则给所述引流插件；所述引流插件，用于根据所述引流规则将所述虚拟机的流量重定向至所述虚拟下一代防火墙；所述虚拟下一代防火墙用于根据所述安全策略对所述虚拟机的流量进行处理；所述引流插件，还用于接收所述虚拟下一代防火墙进行处理后放行的流量，将所述放行的流量发送到目标虚拟机或虚拟交换机的目标端口。2.根据权利要求1所述的系统，其特征在于：所述虚拟下一代防火墙，具体用于根据所述安全策略处理所述虚拟机的流量，判断是否对所述虚拟机的流量进行放行，若确定对所述虚拟机的流量进行放行，则将所述虚拟机的流量发送至所述引流插件。3.根据权利要求1所述的系统，其特征在于：所述虚拟下一代防火墙管理平台，具体用于获取用户设置的安全策略，下发安全策略给所述虚拟下一代防火墙，并根据所述安全策略生成引流规则，下发所述引流规则给所述引流插件。4.根据权利要求1所述的系统，其特征在于：所述引流插件，具体用于当确定所述放行的流量为访问虚拟机的流量时，根据存储的虚拟机的MAC地址与虚拟交换机端口的映射表确定所述目标MAC地址，将所述访问虚拟机的流量发往所述目标MAC地址对应的目标虚拟机。5.根据权利要求1至4中任一项所述的系统，其特征在于：所述引流插件，具体用于当确定所述放行的流量为所述虚拟机发起的流量时，根据存储的虚拟机的MAC地址与虚拟交换机端口的映射表确定所述虚拟交换机的目标端口，将所述虚拟机发起的流量发往所述虚拟交换机的目标端口。6.根据权利要求1至4中任一项所述的系统，其特征在于，所述虚拟网络安全防护系统还包括：虚拟授权服务器，用于获取授权信息，根据所述授权信息给至少一个所述虚拟下一代防火墙提供授权服务。7.一种虚拟化平台的流量牵引方法，其特征在于，所述方法应用于虚拟网络安全防护系统，所...

【专利技术属性】
技术研发人员：张结辉，
申请(专利权)人：深圳市深信服电子科技有限公司，
类型：发明
国别省市：广东,44