【技术实现步骤摘要】
本申请涉及信息安全
,尤指一种实现分布式网络安全防护的方法及系统。
技术介绍
云计算是计算机和互联网的又一次新的革命,它将计算和存储转移到了云端,用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看,云计算不仅仅是一种新的概念,并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展,使得一台普通的物理服务器所具有性能远远超过普通的单一用户对硬件性能的需求。因此,通过虚拟化的手段,将一台物理服务器虚拟为多台虚拟机,提供虚拟化服务成为了构建公有云和企业私有云的技术基础。经过虚拟化后,可以极大的提高软件系统对硬件资源的利用率,并通过虚拟化平台对计算、存储、网络等资源的统一调度管理,实现按需高效的使用硬件资源。由于多台虚拟机共用同一台物理机的资源,不同虚拟机的网络流量可以在一台物理主机内部通过虚拟交换机交换,而无须被转发到物理网络上。即使是不同的物理主机之间的虚拟机交换数据,也由于同一块物理网卡上出入的流量混杂了属于不同网络的虚拟机的流量,这些流量都在一个大二层物理交换机上进行交换,而无法找到网络间清晰的物理边界。因此,虚拟化环境中网络的物理边界消失了。因此,在虚拟化技术在带来便利的同时,也带来了新的安全问题。在虚拟化环境中,由于网络物理边界的消失,无法采用设置网络防火墙的方法,在不同网络之间进行防火墙的部署。如果把防火墙部署在整个虚拟化环境的网 ...
【技术保护点】
一种实现分布式网络安全防护的方法,其特征在于,包括:将虚拟防火墙旁挂在虚拟交换机上;对不是来自或发往物理防火墙的数据流量,业务虚拟机判断是否已经过虚拟防火墙过滤,如果是,转发所述数据流量,否则,将该数据流量发往虚拟防火墙;虚拟防火墙对接收的数据流量进行过滤,确定为安全的数据流量后,将所述数据流量转发回业务虚拟机;否则,丢弃所述数据流量。
【技术特征摘要】
1.一种实现分布式网络安全防护的方法,其特征在于,包括:将虚拟防
火墙旁挂在虚拟交换机上;
对不是来自或发往物理防火墙的数据流量,业务虚拟机判断是否已经过
虚拟防火墙过滤,如果是,转发所述数据流量,否则,将该数据流量发往虚
拟防火墙;
虚拟防火墙对接收的数据流量进行过滤,确定为安全的数据流量后,将
所述数据流量转发回业务虚拟机;否则,丢弃所述数据流量。
2.根据权利要求1所述的方法,其特征在于,所述不是来自或发往物理
防火墙的数据流量具体包括:
从网络协议栈发出的不是发往物理防火墙的数据流量;接收的发往网络
协议栈的不是来自物理防火墙的数据流量。
3.根据权利要求1或2所述的方法,其特征在于,该方法之前还包括:所
述业务虚拟机确定由网络协议栈发出的数据流量是否发往物理防火墙;
或者,发往网络协议栈的数据流量是否来自物理防火墙。
4.根据权利要求1或2所述的方法,其特征在于,在转发所述数据流量或,
将数据流量发往虚拟防火墙之前,该方法还包括:
获取分布式网络的网络拓扑信息;
所述业务虚拟机根据获得的网络拓扑信息,进行所述数据流量的转发或
将数据流量发往所述虚拟防火墙。
5.根据权利要求4所述的方法,其特征在于,该方法之前还包括,在所
述各业务虚拟机上,预先设置第一虚拟网卡和第二虚拟网卡;其中,
第一虚拟网卡,用于接收、来自物理防火墙的数据流量、不是来自或发
往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量、不是
来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量;发送、发往
物理防火墙的数据流量,不是来自或发往物理防火墙的发往网络协议栈的已
\t经过虚拟防火墙过滤的数据流量;不是来自或发往物理防火墙的发往网络协
议栈的未过滤的数据流量;
第二虚拟网卡,为安全导流网卡,用于将不是来自或发往物理防火墙且
未过滤的数据流量,发往虚拟防火墙;接收由网络协议栈发出的且不是发往
物理防火墙的被业务虚拟机确定未过滤的数据流量后、经虚拟防火墙过滤的
数据流量。
6.根据权利要求4所述的方法,其特征在于,所述数据流量为发往物理
防火墙的数据流量,所述根据网络拓扑信息进行数据流量的转发包括:
根据所述网络拓扑信息中物理防火墙的介质访问控制MAC地址进行流量
转发;
所述数据流量为不是来自或发往物理防火墙且已经过虚拟防火墙过滤的
数据流量,所述根据网络拓扑信息进行数据流量的转发包括:
根据所述网络拓扑信息的MAC地址和IP地址,将数据流量发往数据流量
的目的地址;
所述数据流量为不是来自或发往物理防火墙的数据流量且未经过虚拟防
火墙过滤的数据流量;所述将该数据流量发往虚拟防火墙包括:
根据所述网络拓扑信息中虚拟防火墙的MAC地址进行流量转发。
7.根据权利要求4所述的方法,其特征在于,当所述数据流量为不是来
自或发往物理防火墙的数据流量,所述判断数据流量是否已经过虚拟防火墙
过滤包括:
所述业务虚拟机根据所述网络拓扑信息中虚拟防火墙的MAC地址,判断
所述不是来自或发往物理防火墙的数据流量的数据包的源MAC地址是否与记
录的虚拟防火墙的MAC地址的对外网口的MAC地址相同,当所述数据流量标
记的MAC地址与记录的虚拟防火墙的对外网口的MAC地址相同时,确定所述
数据流量已经过虚拟防火墙;否则,确定所述数据流量未经过虚拟防火墙;
所述虚拟防火墙的MAC地址包括用于接收数据流量的对内网口的MAC
地址和用于向外发送已过滤数据流量的对外网口的MAC地址。
8.根据权利要求4所述的方法,其特征在于,所述确定接收的数据流量
是否来自于或发往物理防火墙包括:
将所述接收数据流量标记的MAC地址或所述数据流量发往的MAC地址
与网络拓扑信息中的物理防火墙的MAC地址进行比对,当与记录的物理防火
墙的MAC地址相同时,确定所述接收到的数据流量来自或发往物理防火墙。
9.根据权利要求7所述的方法,其特征在于,当所述数据流量经过虚拟
防火墙过滤时,该方法之前还包括:在所述数据流量上添加虚拟防火墙的对
外网口的MAC地址作为源MAC地址进行标记。
10.根据权利要求7所述的方法,其特征在于,当所述数据流量经过物理
防火墙过滤时,该方法之前还包括:在所述数据流量上添加物理防火墙的MAC
地址进行标记。
11.根据权利要求1所述的方法,其特征在于,该方法还包括,按照预设
周期,获取所述虚拟防火墙的工作状态;
当获得的工作状态显示所述虚拟防火墙发生故障时,对所述不是来自或
发往物理防火墙的数据流量,根据数据流量的所发往的业务虚拟机,将所述
数据流量转发至该业务虚拟机。
12.一种实现分布式网络安全防护的系统,其特征在于,包括:物理防
火墙,若干物理主机;各物理主机上包含有若干业务虚拟机、虚拟防火墙;
其中,
各业务虚拟机包含判断单元,用于对不...
【专利技术属性】
技术研发人员:李陟,曲武,
申请(专利权)人:北京启明星辰信息技术股份有限公司,北京启明星辰信息安全技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。