一种实现分布式网络安全防护的方法及系统技术方案

本申请公开了一种分布式网络安全防护的方法及系统，包括：将虚拟防火墙旁挂在虚拟交换机上；对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发数据流量，否则，将该数据流量发往虚拟防火墙；虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，把数据流量转发回业务虚拟机；否则，丢弃数据流量。本发明专利技术通过对不是来自或发往物理防火墙的数据流量进行判断后，业务虚拟机对需要进行过滤的数据流量，发往旁挂虚拟防火墙进行过滤，无需过滤的数据流量直接转发；对网络拓扑改变很小，保证了进入虚拟机系统数据流量全部被过滤，减少了虚拟防火墙对资源的消耗。

【技术实现步骤摘要】

本申请涉及信息安全
，尤指一种实现分布式网络安全防护的方法及系统。
技术介绍
云计算是计算机和互联网的又一次新的革命，它将计算和存储转移到了云端，用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看，云计算不仅仅是一种新的概念，并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展，使得一台普通的物理服务器所具有性能远远超过普通的单一用户对硬件性能的需求。因此，通过虚拟化的手段，将一台物理服务器虚拟为多台虚拟机，提供虚拟化服务成为了构建公有云和企业私有云的技术基础。经过虚拟化后，可以极大的提高软件系统对硬件资源的利用率，并通过虚拟化平台对计算、存储、网络等资源的统一调度管理，实现按需高效的使用硬件资源。由于多台虚拟机共用同一台物理机的资源，不同虚拟机的网络流量可以在一台物理主机内部通过虚拟交换机交换，而无须被转发到物理网络上。即使是不同的物理主机之间的虚拟机交换数据，也由于同一块物理网卡上出入的流量混杂了属于不同网络的虚拟机的流量，这些流量都在一个大二层物理交换机上进行交换，而无法找到网络间清晰的物理边界。因此，虚拟化环境中网络的物理边界消失了。因此，在虚拟化技术在带来便利的同时，也带来了新的安全问题。在虚拟化环境中，由于网络物理边界的消失，无法采用设置网络防火墙的方法，在不同网络之间进行防火墙的部署。如果把防火墙部署在整个虚拟化环境的网络出入口，则无法对虚拟网络内部的流量进行监控。而通常一个虚拟网络内不同业务子网间的流量也需要通过防火墙进行隔离防护。因为对于每个业务子网来说，其网络边界既包括与整个虚拟网络外的其它主机进行通信的链路(南北向流量)，也包括与虚拟网络内其它业务子网内的虚拟主机进行通信的链路(东西向流量)。要实现对各业务子网的所有数据流量都进行监控，需要使所有出入业务子网边界的数据流量通过防火墙。虚拟化环境中，使用软件形态的虚拟防火墙进行数据流量的过滤。虚拟防火墙通常以虚拟机的形态部署在虚拟网络中，它共享使用用户业务环境中的虚拟化资源；防火墙通常采取透明接入的方式，透明接入的方式在网络部署上也存在很大的困难，并且在每台虚拟机前都接入一个虚拟防火墙对资源造成很大的浪费。目前，为避免上述问题，一种做法是：把所有虚拟机都接入到一个虚拟防火墙后，通过该虚拟防火墙对所有数据流量进行过滤；但是，当该虚拟防火墙出现网络故障时，会影响数据流量的正常可靠传输，即，存在很大的单点故障隐患。另一种方法是：不采用透明接入方式，在网关中添加虚拟防火墙；为了对数据流量进行过滤，在网关中添加虚拟防火墙后，需要修改数据流量传输过程的接入IP为虚拟防火墙的IP；即，在网关中添加虚拟防火墙，需要改变网络用户拓扑。
技术实现思路
为了解决上述问题，本专利技术提供一种实现分布式网络安全防护的方法及系统，能够在仅对分布式网络进行简要调整下，设置虚拟防火墙，保证分布式网络的安全可靠运行。为了达到本专利技术的目的，本申请提供一种实现分布式网络安全防护的方法；包括：将虚拟防火墙旁挂在虚拟交换机上；对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量，否则，将该数据流量发往虚拟防火墙；虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，将所述数据流量转发回业务虚拟机；否则，丢弃所述数据流量。进一步地，不是来自或发往物理防火墙的数据流量具体包括：从网络协议栈发出的不是发往物理防火墙的数据流量；接收的发往网络协议栈的不是来自物理防火墙的数据流量。进一步地，该方法之前还包括：所述业务虚拟机确定由网络协议栈发出的数据流量是否发往物理防火墙；或者，发往网络协议栈的数据流量是否来自物理防火墙。进一步地，在转发所述数据流量或，将数据流量发往虚拟防火墙之前，该方法还包括：获取分布式网络的网络拓扑信息；业务虚拟机根据获得的网络拓扑信息，进行所述数据流量的转发或将数据流量发往所述虚拟防火墙。进一步地，该方法之前还包括，在所述各业务虚拟机上，预先设置第一虚拟网卡和第二虚拟网卡；其中，第一虚拟网卡，用于接收、来自物理防火墙的数据流量、不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量、不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；发送、发往物理防火墙的数据流量，不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量；不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；第二虚拟网卡，为安全导流网卡，用于将不是来自或发往物理防火墙且未过滤的数据流量，发往虚拟防火墙；接收由网络协议栈发出的且不是发往物理防火墙的被业务虚拟机确定未过滤的数据流量后、经虚拟防火墙过滤的数据流量。进一步地，数据流量为发往物理防火墙的数据流量，所述根据网络拓扑信息进行数据流量的转发包括：根据网络拓扑信息中物理防火墙的介质访问控制(MAC)地址进行流量转发；数据流量为不是来自或发往物理防火墙且已经过虚拟防火墙过滤的数据流量，所述根据网络拓扑信息进行数据流量的转发包括：根据网络拓扑信息的MAC地址和IP地址，将数据流量发往数据流量的目的地址；数据流量为不是来自或发往物理防火墙的数据流量且未经过虚拟防火墙过滤的数据流量；所述将该数据流量发往虚拟防火墙包括：根据网络拓扑信息中虚拟防火墙的MAC地址进行流量转发。进一步地，当数据流量为不是来自或发往物理防火墙的数据流量，所述判断数据流量是否已经过虚拟防火墙过滤包括：业务虚拟机根据所述网络拓扑信息中虚拟防火墙的MAC地址，判断所述不是来自或发往物理防火墙的数据流量的数据包的源MAC地址是否与记录的虚拟防火墙的MAC地址的对外网口的MAC地址相同，当所述数据流量标记的MAC地址与记录的虚拟防火墙的对外网口的MAC地址相同时，确定所述数据流量已经过虚拟防火墙；否则，确定所述数据流量未经过虚拟防火墙；所述虚拟防火墙的MAC地址包括用于接收数据流量的对内网口的MAC地址和用于向外发送已过滤数据流量的对外网口的MAC地址。进一步地，确定接收的数据流量是否来自于或发往物理防火墙包括：将所述接收数据流量标记的MAC地址或所述数据流量发往的MAC地址与网络拓扑信息中的物理防火墙的MAC地址进行比对，当与记录的物理防火墙的MAC地址相同时，本文档来自技高网...

【技术保护点】
一种实现分布式网络安全防护的方法，其特征在于，包括：将虚拟防火墙旁挂在虚拟交换机上；对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量，否则，将该数据流量发往虚拟防火墙；虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，将所述数据流量转发回业务虚拟机；否则，丢弃所述数据流量。

【技术特征摘要】
1.一种实现分布式网络安全防护的方法，其特征在于，包括：将虚拟防
火墙旁挂在虚拟交换机上；
对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过
虚拟防火墙过滤，如果是，转发所述数据流量，否则，将该数据流量发往虚
拟防火墙；
虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，将
所述数据流量转发回业务虚拟机；否则，丢弃所述数据流量。
2.根据权利要求1所述的方法，其特征在于，所述不是来自或发往物理
防火墙的数据流量具体包括：
从网络协议栈发出的不是发往物理防火墙的数据流量；接收的发往网络
协议栈的不是来自物理防火墙的数据流量。
3.根据权利要求1或2所述的方法，其特征在于，该方法之前还包括：所
述业务虚拟机确定由网络协议栈发出的数据流量是否发往物理防火墙；
或者，发往网络协议栈的数据流量是否来自物理防火墙。
4.根据权利要求1或2所述的方法，其特征在于，在转发所述数据流量或，
将数据流量发往虚拟防火墙之前，该方法还包括：
获取分布式网络的网络拓扑信息；
所述业务虚拟机根据获得的网络拓扑信息，进行所述数据流量的转发或
将数据流量发往所述虚拟防火墙。
5.根据权利要求4所述的方法，其特征在于，该方法之前还包括，在所
述各业务虚拟机上，预先设置第一虚拟网卡和第二虚拟网卡；其中，
第一虚拟网卡，用于接收、来自物理防火墙的数据流量、不是来自或发
往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量、不是
来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；发送、发往
物理防火墙的数据流量，不是来自或发往物理防火墙的发往网络协议栈的已

\t经过虚拟防火墙过滤的数据流量；不是来自或发往物理防火墙的发往网络协
议栈的未过滤的数据流量；
第二虚拟网卡，为安全导流网卡，用于将不是来自或发往物理防火墙且
未过滤的数据流量，发往虚拟防火墙；接收由网络协议栈发出的且不是发往
物理防火墙的被业务虚拟机确定未过滤的数据流量后、经虚拟防火墙过滤的
数据流量。
6.根据权利要求4所述的方法，其特征在于，所述数据流量为发往物理
防火墙的数据流量，所述根据网络拓扑信息进行数据流量的转发包括：
根据所述网络拓扑信息中物理防火墙的介质访问控制MAC地址进行流量
转发；
所述数据流量为不是来自或发往物理防火墙且已经过虚拟防火墙过滤的
数据流量，所述根据网络拓扑信息进行数据流量的转发包括：
根据所述网络拓扑信息的MAC地址和IP地址，将数据流量发往数据流量
的目的地址；
所述数据流量为不是来自或发往物理防火墙的数据流量且未经过虚拟防
火墙过滤的数据流量；所述将该数据流量发往虚拟防火墙包括：
根据所述网络拓扑信息中虚拟防火墙的MAC地址进行流量转发。
7.根据权利要求4所述的方法，其特征在于，当所述数据流量为不是来
自或发往物理防火墙的数据流量，所述判断数据流量是否已经过虚拟防火墙
过滤包括：
所述业务虚拟机根据所述网络拓扑信息中虚拟防火墙的MAC地址，判断
所述不是来自或发往物理防火墙的数据流量的数据包的源MAC地址是否与记
录的虚拟防火墙的MAC地址的对外网口的MAC地址相同，当所述数据流量标
记的MAC地址与记录的虚拟防火墙的对外网口的MAC地址相同时，确定所述
数据流量已经过虚拟防火墙；否则，确定所述数据流量未经过虚拟防火墙；
所述虚拟防火墙的MAC地址包括用于接收数据流量的对内网口的MAC
地址和用于向外发送已过滤数据流量的对外网口的MAC地址。
8.根据权利要求4所述的方法，其特征在于，所述确定接收的数据流量
是否来自于或发往物理防火墙包括：
将所述接收数据流量标记的MAC地址或所述数据流量发往的MAC地址
与网络拓扑信息中的物理防火墙的MAC地址进行比对，当与记录的物理防火
墙的MAC地址相同时，确定所述接收到的数据流量来自或发往物理防火墙。
9.根据权利要求7所述的方法，其特征在于，当所述数据流量经过虚拟
防火墙过滤时，该方法之前还包括：在所述数据流量上添加虚拟防火墙的对
外网口的MAC地址作为源MAC地址进行标记。
10.根据权利要求7所述的方法，其特征在于，当所述数据流量经过物理
防火墙过滤时，该方法之前还包括：在所述数据流量上添加物理防火墙的MAC
地址进行标记。
11.根据权利要求1所述的方法，其特征在于，该方法还包括，按照预设
周期，获取所述虚拟防火墙的工作状态；
当获得的工作状态显示所述虚拟防火墙发生故障时，对所述不是来自或
发往物理防火墙的数据流量，根据数据流量的所发往的业务虚拟机，将所述
数据流量转发至该业务虚拟机。
12.一种实现分布式网络安全防护的系统，其特征在于，包括：物理防
火墙，若干物理主机；各物理主机上包含有若干业务虚拟机、虚拟防火墙；
其中，
各业务虚拟机包含判断单元，用于对不...

【专利技术属性】
技术研发人员：李陟，曲武，
申请(专利权)人：北京启明星辰信息技术股份有限公司，北京启明星辰信息安全技术有限公司，
类型：发明
国别省市：北京;11