The invention discloses a virtual machine communication system and a virtual machine. The virtual machine communication system includes the first router in the virtual machine environment, the second router in the cloud computing operating system and the virtual machine in the virtual machine environment. The first router is connected to the first network and is equipped with the first network card, in which the IP address of the first network card is the gateway address of the first network, and the second router is the gateway address of the first network and the second network phase. Connected and equipped with a second network card; virtual machine includes: acquisition module, which is used to acquire the IP address and/or MAC address of received message when using the first router to transmit data with the second router; identification module, which is used to identify whether the message is transmitted by virtual machine according to the acquired IP address and/or MAC address and the pre-acquired identification strategy. Result: The control module is used to determine whether to continue the message according to the recognition result.
【技术实现步骤摘要】
虚拟机通信系统和虚拟机
本专利技术涉及信息处理领域,尤指一种虚拟机通信系统和虚拟机。
技术介绍
随着云计算的日益成熟,越来越多的企业开始部署云计算管理平台,用云管平台管理自己的服务器,创建虚拟机,将公司业务迁移上云。云管理平台云海OS集成了VMware、XenServer、InCloudSphere等不同厂家的虚拟化产品,用统一的界面风格和操作为用户提供了一个大而全的云管理平台。用户在云海OS创建了虚拟机,虚拟机的网卡进出数据是没有限制的,即可以随便进出,这样虚拟机是有安全风险的。Iptables是Linux内核集成的IP信息包过滤系统,每一条Iptables规则都可以自定义内容,比如允许哪个协议的数据通过或丢弃,比如来自哪个IP的数据通过或丢弃。虚拟机向外发出数据时,数据到达网卡前,会经过Linux内核的网络协议栈,协议栈会调用netfilter模块的各个钩子函数,钩子函数里面就会调用预先设置的Iptables规则对数据进行处理,或丢弃、或放行、或修改。同样,虚拟机收到一条数据后,也会被预置的Iptables规则处理一遍。这样,我们就可以通过自定义Iptables规则,对虚拟机进出数据做控制,比如不允许某些数据进入虚拟机,这样就可以保护虚拟机的安全。IP/Mac欺骗是一种常见的网络攻击手段,当有人入侵一台虚拟机,将虚拟机发出的数据包的IP地址或者Mac地址修改了,便会造成一种欺骗,让数据接收者以为数据来源是其它的虚拟机,给潜在的危险数据带来可乘之机,让破坏者用IP/mac欺骗的原理对机器实施更大的危害。因此,如何提高虚拟机的安全是亟待解决的问题。专利技术 ...
【技术保护点】
1.一种虚拟机通信系统,其特征在于,包括虚拟机环境中的第一路由器和云计算操作系统中的第二路由器以及虚拟机环境下的虚拟机;其中:所述第一路由器,与所述第一网络相连,且配置有第一网卡,其中第一网卡的IP地址为第一网络的网关地址;所述第二路由器,与所述第一网络和第二网络相连,且配置有第二网卡,其中所述第二网卡的IP地址为第二网络的网关地址;其中所述第一网络和所述第二网络属于不同网段;所述虚拟机,包括:获取模块,用于在使用所述第一路由器与所述第二路由器进行数据传输时,获取接收到的报文的IP地址和/或MAC地址;识别模块,用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略,识别是否为所述虚拟机传输的报文,得到识别结果;控制模块,用于根据所述识别结果,确定是否继续所述报文。
【技术特征摘要】
1.一种虚拟机通信系统,其特征在于,包括虚拟机环境中的第一路由器和云计算操作系统中的第二路由器以及虚拟机环境下的虚拟机;其中:所述第一路由器,与所述第一网络相连,且配置有第一网卡,其中第一网卡的IP地址为第一网络的网关地址;所述第二路由器,与所述第一网络和第二网络相连,且配置有第二网卡,其中所述第二网卡的IP地址为第二网络的网关地址;其中所述第一网络和所述第二网络属于不同网段;所述虚拟机,包括:获取模块,用于在使用所述第一路由器与所述第二路由器进行数据传输时,获取接收到的报文的IP地址和/或MAC地址;识别模块,用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略,识别是否为所述虚拟机传输的报文,得到识别结果;控制模块,用于根据所述识别结果,确定是否继续所述报文。2.根据权利要求1所述的系统,其特征在于,所述第一路由器为Linux系统下的名称空间namespace模块。3.根据权利要求1或2所述的系统,其特征在于:所述第一路由器配置有所述第一网络的路由表;所述第一路由器还用于在接收到的从所述第二网络发送的数据后,根据所述第一网络的路由器,将接收的数据进行发送。4.根据权利要求1所述的系统,其特征在于:所述第二路由器配置有所述第一网络和所述第二网络的路由表;所述第二路由器还用于在接收到的从第二网络发送的数据后,根据所述第一网络的路由表,将接收的数据发送给所述第一路由器;和/或,在接收到从第一网络发送的数据后,根据所述第二网络的路由表,将数据发送给所述第一网络中对应的虚拟机。5.根据权利要求1所述的系统,其特征在于,所述虚拟机还包括:存储...
【专利技术属性】
技术研发人员:孙庆良,
申请(专利权)人:郑州云海信息技术有限公司,
类型:发明
国别省市:河南,41
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。