本发明专利技术涉及一种电力信息系统的云环境下虚拟机的保护装置,在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机,虚拟机上分配多块虚拟网卡,并在虚拟机上部署安全软件;第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连,所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,第一标准虚拟交换机通过物理网络适配器与物理网络相连;第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器相连,第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,安全软件用于对未保护区域流向保护区域的网络流量进行监控分析,为电力信息系统中保护区域的虚拟机提供安全保护。
【技术实现步骤摘要】
本专利技术涉及网络安全
,特别涉及一种电力信息系统的云环境下虚拟机的 保护装置。
技术介绍
在传统的物理环境中,对信息系统的防护角度来说,首先需要从业务功能和安全 特性两方面划分安全域,安全域是指同一环境内具有相同安全保护需求、相互信任、并具有 相同安全访问控制和边界控制策略的网络系统。 通过将所有同等安全等级和安全需求的计算机划入同一网段,并在网络边界处部 署防火墙、IDS、IPS等设备,实现访问控制、流量分析和安全策略配置,保证信息网络的安全 性。 随着服务器虚拟化技术的普及,底层计算资源的部署方式趋于动态,传统的网络 边界逐渐被一体化的硬件资源池取代,网络层的交互数据直接在虚拟化环境的主机内部完 成。 现有的VMware云环境系统结构如图1所示,在ESXi主机中部署着标准虚拟交换 机vSwitch 0,其上挂载着属于不同VLAN的诸多虚拟机。在图1中,VLAN 1属于未保护 区域,运行着安全性要求较低的系统;VLAN2、VLAN3属于保护区域,运行着安全性要求较高 的系统。虚拟机通过虚拟网络适配器与vSwitch 0上的端口组(Port Group)进行连接, vSwitch 0通过上行链路以及物理网络适配器连通物理网络,同时所有与外部物理网络的 数据交换都必须经过物理网络适配器。 这种结构导致了传统的安全防护手段和产品难以适应新环境的安全需求,无法实 时监控虚拟网络的网络流量,侦测潜在威胁,为系统安全运行带来了极大的安全隐患。 尽管VMware公司在安全性上做出了很多的努力,例如在VMware ESXi 5. 0的版本 中集成了基于vSwitch的轻量级防火墙和简单的流量监测功能,以及发布了支持Netflow 技术的分布式虚拟交换机(Distributed Virtual Switch,以下简称DVS)。但是,对于在电 力企业中使用标准vSwitch的云环境,VMware ESXi 5.0依然难以提供足够的安全保障,具 体表现为:一是安全域划分不明确,域边界比较模糊,网络流量进出通道较多,安全防护难 度大,不能满足国家电网公司对信息系统"分区分域"的安全防护要求;二是缺乏对流经标 准虚拟交换机的网络流量的有效分析方法。严重影响了整个信息网络的安全性。
技术实现思路
为解决现有技术的问题,本专利技术提出一种电力信息系统的云环境下虚拟机的保护 装置,通过改变虚拟网络的结构,以及在标准虚拟交换机间部署安全软件的方式,为用户提 供安全域划分、防火墙保护和网络流量分析功能,保证了云环境下虚拟机的安全性,具有安 全、实用等特点。 为实现上述目的,本专利技术提供了一种电力信息系统的云环境下虚拟机的保护装 置,该装置包括:第一标准虚拟交换机和第二标准虚拟交换机;其中,在第一标准虚拟交换 机和第二标准虚拟交换机之间设置一虚拟机,所述虚拟机上分配多块虚拟网卡,并在虚拟 机上部署安全软件; 所述第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配 器相连,所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连, 所述虚拟网卡用于传输所述第一标准虚拟交换机中未保护流量;所述第一标准虚拟交换机 通过物理网络适配器与物理网络相连; 所述第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器 相连,第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚 拟网卡还用于传输所述第二标准虚拟交换机中保护流量; 所述安全软件用于对未保护区域流向保护区域的网络流量进行监控分析,为电力 信息系统中保护区域的虚拟机提供安全保护。 优选地,所述安全软件还用于根据电力信息系统的安全性需求划分逻辑区域,将 电力信息系统区分为保护区域与未保护区域。 优选地,所述安全软件还用于建立访问规则,选择允许或阻止特殊的端口访问、协 议和流向。 优选地,所述安全软件还用于收集和汇总关于源、目标地、流向和服务相关的信 息,用于网络故障诊断和可疑流量分析;其中,包括对保护区域输出的网络流量进行分析。 优选地,所述电力信息系统的云环境米用VMware云平台基础架构。 上述技术方案具有如下有益效果: 根据应用系统特点与安全需求,划分数据敏感性较高的重要业务系统和敏感性较 低的系统,建立虚拟防火墙,隔离安全威胁较大的应用系统,对位于安全区域的虚拟机提供 安全保障。 建立网络流量的唯一通路,限制物理网络和未保护区域用户直接访问安全域虚拟 机,任何流向保护区域的网络流量必须经过安全软件的检查和分析,为虚拟机提供严格的 访问控制和安全防护。【附图说明】 为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现 有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本 专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以 根据这些附图获得其他的附图。 图1为现有的VMware云环境系统结构示意图; 图2为本专利技术的VMware云环境系统结构示意图。【具体实施方式】 下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于 本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他 实施例,都属于本专利技术保护的范围。 本专利技术的技术方案的工作原理为:首先按业务功能要求与安全需求级别划分应用 系统,分为保护区域和未保护区域。对于重要的系统来说,例如:核心业务系统、数据库、安 全控制管理、后台维护服务器等,将被部署到保护区域;一些需要公开的服务器设施,例如: 企业的Web服务器、FTP服务器和论坛服务器等,将被放置到未保护区域。该区域在本质上 是一个安全缓冲区,为重要的信息系统提供了一个安全地带。未保护区域中部署的系统一 般不含有机密信息,以便来自物理网络的外部访问者可以访问未保护区域中的服务,但又 不会接触到存放在保护区域中的公司机密或私人信息,即使未保护区域中的系统受到破坏 或黑客攻击,也不会对保护区域中的重要信息造成影响。 在本专利技术的技术方案中,保护区域与未保护区域的所有虚拟机通过虚拟网络适配 器与标准虚拟交换机端口组相连,标准虚拟交换机通过物理网络适配器和上行链路接入物 理网络进行通信。 在本技术方案中,需要设计拥有防火墙和网络流量分析功能的基于VMware虚拟 化环境的安全软件,或部署成熟的第三方软件,为云环境提供以下安当前第1页1 2 本文档来自技高网...
【技术保护点】
一种电力信息系统的云环境下虚拟机的保护装置,其特征在于,该装置包括:第一标准虚拟交换机和第二标准虚拟交换机;其中,在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机,所述虚拟机上分配多块虚拟网卡,并在虚拟机上部署安全软件;所述第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连,所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡用于传输所述第一标准虚拟交换机中未保护流量;所述第一标准虚拟交换机通过物理网络适配器与物理网络相连;所述第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器相连,第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡还用于传输所述第二标准虚拟交换机中保护流量;所述安全软件用于对未保护区域流向保护区域的网络流量进行监控分析,为电力信息系统中保护区域的虚拟机提供安全保护。
【技术特征摘要】
【专利技术属性】
技术研发人员:陈乐然,王刚,陈威,徐小天,石磊,
申请(专利权)人:国家电网公司,华北电力科学研究院有限责任公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。