The embodiment of the invention discloses a virtual network security protection system, a flow traction method and a device, which are used for providing security protection to virtual network on virtualization platform. The virtual network security protection system of the embodiment of the invention includes: the virtual next generation firewall management platform (CSSP), the drainage plug-in unit and the virtual next generation firewall (vNGAF). The embodiment of the invention in each virtual host to deploy vNGAF and drainage plug from CSSP to vNGAF issued a security policy, and issued rules for drainage drainage plug; drainage drainage plug according to the rules will be redirected to the vNGAF virtual machine flow; vNGAF security policy based on the amount of convection after treatment sent to the drainage plug the drainage plug to send traffic to the destination virtual machine or virtual switch port. The embodiment of the invention realizes seven levels of security protection between the virtualized host and the virtual machine by means of the distributed deployment of vNGAF, so as to provide security protection for the virtual network on the virtualization platform.
【技术实现步骤摘要】
虚拟网络安全防护系统、流量牵引方法及装置
本专利技术涉及计算机
,尤其涉及一种虚拟网络安全防护系统、流量牵引方法及装置。
技术介绍
虚拟化作为当今热点技术之一,已经广泛应用于云计算平台、虚拟存储、虚拟操作系统、虚拟桌面、虚拟终端等领域。虚拟化的安全也越来越显得重要。在如图1所示的场景下,同一个虚拟数据中心上,存在多台虚拟机(VirtualManufacturing,VM),VM1、VM2、VM3,每台VM负责一种业务,如VM1为WEB服务器,VM2为邮件服务器,VM3为MYSQL服务器。假设要对VM1、VM2、VM3进行安全防护,但是VM1、VM2、VM3之间却又存在数据交互;如WEB服务器,邮件服务器需要访问MYSQL服务器的上的资源。现有的安全防护技术主要包括:第一种:通过虚拟化厂商提供的网络安全组件(如VWARE提供的vShield组件)配置访问控制列表(英文:AccessControlLists,简称:ACL)策略实现。此技术只能进行VM之间的隔离,无法实现七层安全防护;如在网关发现某台虚拟机已经存在安全风险时,此安全防护技术无法阻止安全风险在内网的进一步的扩散。如上图的VM1存在安全风险,可能会感染VM2和VM3,此时无法有效防止VM1的安全风险扩散到VM2和VM3。第二种:通过购买知名安全厂商的物理防火墙或者虚拟防火墙,通过网络配置,如划分vlan或者路由技术,将多个虚拟主机上的多个虚拟机的流量引到物理防火墙或虚拟防火墙,再通过配置防火墙策略实现。此技术需要更改原有的网络拓扑结构,部署复杂,不利于网络扩容和升级;当虚拟机数量增多时,防火墙 ...
【技术保护点】
一种虚拟网络安全防护系统,其特征在于,包括虚拟下一代防火墙管理平台、引流插件、虚拟下一代防火墙,其中,所述引流插件和所述虚拟下一代防火墙位于虚拟化主机上,所述虚拟化主机上部署了至少一个虚拟机;所述虚拟下一代防火墙管理平台,用于下发安全策略给所述虚拟下一代防火墙,并下发引流规则给所述引流插件;所述引流插件,用于根据所述引流规则将所述虚拟机的流量重定向至所述虚拟下一代防火墙;所述虚拟下一代防火墙用于根据所述安全策略对所述虚拟机的流量进行处理;所述引流插件,还用于接收所述虚拟下一代防火墙进行处理后放行的流量,将所述放行的流量发送到目标虚拟机或虚拟交换机的目标端口。
【技术特征摘要】
1.一种虚拟网络安全防护系统,其特征在于,包括虚拟下一代防火墙管理平台、引流插件、虚拟下一代防火墙,其中,所述引流插件和所述虚拟下一代防火墙位于虚拟化主机上,所述虚拟化主机上部署了至少一个虚拟机;所述虚拟下一代防火墙管理平台,用于下发安全策略给所述虚拟下一代防火墙,并下发引流规则给所述引流插件;所述引流插件,用于根据所述引流规则将所述虚拟机的流量重定向至所述虚拟下一代防火墙;所述虚拟下一代防火墙用于根据所述安全策略对所述虚拟机的流量进行处理;所述引流插件,还用于接收所述虚拟下一代防火墙进行处理后放行的流量,将所述放行的流量发送到目标虚拟机或虚拟交换机的目标端口。2.根据权利要求1所述的系统,其特征在于:所述虚拟下一代防火墙,具体用于根据所述安全策略处理所述虚拟机的流量,判断是否对所述虚拟机的流量进行放行,若确定对所述虚拟机的流量进行放行,则将所述虚拟机的流量发送至所述引流插件。3.根据权利要求1所述的系统,其特征在于:所述虚拟下一代防火墙管理平台,具体用于获取用户设置的安全策略,下发安全策略给所述虚拟下一代防火墙,并根据所述安全策略生成引流规则,下发所述引流规则给所述引流插件。4.根据权利要求1所述的系统,其特征在于:所述引流插件,具体用于当确定所述放行的流量为访问虚拟机的流量时,根据存储的虚拟机的MAC地址与虚拟交换机端口的映射表确定所述目标MAC地址,将所述访问虚拟机的流量发往所述目标MAC地址对应的目标虚拟机。5.根据权利要求1至4中任一项所述的系统,其特征在于:所述引流插件,具体用于当确定所述放行的流量为所述虚拟机发起的流量时,根据存储的虚拟机的MAC地址与虚拟交换机端口的映射表确定所述虚拟交换机的目标端口,将所述虚拟机发起的流量发往所述虚拟交换机的目标端口。6.根据权利要求1至4中任一项所述的系统,其特征在于,所述虚拟网络安全防护系统还包括:虚拟授权服务器,用于获取授权信息,根据所述授权信息给至少一个所述虚拟下一代防火墙提供授权服务。7.一种虚拟化平台的流量牵引方法,其特征在于,所述方法应用于虚拟网络安全防护系统,所...
【专利技术属性】
技术研发人员:张结辉,
申请(专利权)人:深圳市深信服电子科技有限公司,
类型:发明
国别省市:广东,44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。