本发明专利技术实施例提供一种虚拟网络的安全防护系统、方法、服务器及可读存储介质,属于虚拟网络技术领域。该系统包括:检测模块、管理模块以及防御模块,其中,所述检测模块用于在所述虚拟机的镜像流量异常时,上报所述虚拟机的信息至所述管理模块;所述管理模块用于响应于所述虚拟机的信息,下发引流策略至所述防御模块;所述防御模块用于根据所述引流策略,引流镜像流量异常的虚拟机的流量;对所引流的流量进行处理,以丢弃或回注所引流的流量。本发明专利技术节省了网络带宽和CPU资源,让虚拟机运行在一个受保护的安全网络环境下。
【技术实现步骤摘要】
虚拟网络的安全防护系统、方法、服务器及可读存储介质
本专利技术涉及虚拟网络
,具体地涉及一种虚拟网络的安全防护系统、方法、服务器及可读存储介质。
技术介绍
在云环境中,虚拟机运行在作为计算节点的硬件服务器上。为了应对云环境中的安全威胁和攻击,保护虚拟机上的业务系统,需要对虚拟机的网络流量进行检查和防护。现行的做法,是将虚拟机的网络流量,引出虚拟机所在的硬件服务器,交给专用的安全设备进行处理,处理完成后,安全设备再将虚拟机流量转发回到虚拟机上。这种做法相对简单,但是由于虚拟机流量引出硬件服务器后,为了与原有物理网络或者在有租户的业务场景下,与其他租户的虚拟机流量进行隔离,往往需要使用隧道技术,将虚拟机报文进行封装,隧道技术需要在原有虚拟机报文上添加了隧道协议的头部数据,增加了报文的无效载荷,直接放大了网络流量,同时也需要大量的CPU资源处理隧道封装和解封装。特别是当有流量交互的多个虚拟机,都运行在一个硬件服务器上时,为了检查虚拟机流量,也需要将本来没有必要出服务器的流量也引出了服务器。这种方法带来了网络带宽和CPU资源的极大的浪费。
技术实现思路
本专利技术实施例的目的是提供一种虚拟网络的安全防护系统、方法、服务器及可读存储介质,该虚拟网络的安全防护系统、方法、服务器及可读存储介质节省了网络带宽和CPU资源,让虚拟机运行在一个受保护的安全网络环境下。为了实现上述目的,本专利技术实施例提供一种虚拟网络的安全防护系统,该系统包括:检测模块、管理模块以及防御模块,其中,所述检测模块用于在所述虚拟机的镜像流量异常时,上报所述虚拟机的信息至所述管理模块;所述管理模块用于响应于所述虚拟机的信息,下发引流策略至所述防御模块;所述防御模块用于根据所述引流策略,引流镜像流量异常的虚拟机的流量;对所引流的流量进行处理,以丢弃或回注所引流的流量。优选地,所述检测模块和所述防御模块设置在服务器内。优选地,所述检测模块和所述防御模块与同一计算节点上的虚拟机处于同一个虚拟网络的二层广播域内。优选地,所述检测模块还用于:在所述镜像流量中包括攻击报文的特征或所述镜像流量的地址和攻击者的地址相同时,确定所述镜像流量异常。优选地,所述防御模块用于:根据覆盖网络协议栈的多层防御技术和/或用户设置的安全策略,确定是否丢弃或回注所引流的流量。本专利技术实施例还提供一种虚拟网络的安全防护方法,该方法包括:在所述虚拟机的镜像流量异常时,上报所述虚拟机的信息;根据响应于所上报的虚拟机信息而下发的引流策略,引流镜像流量异常的虚拟机的流量;以及对所引流的流量进行处理,以丢弃或回注所引流的流量。优选地,该方法包括:在所述镜像流量中包括攻击报文的特征或所述镜像流量的地址和攻击者的地址相同时,确定所述镜像流量异常。优选地,所述对所引流的流量进行处理包括:根据覆盖网络协议栈的多层防御技术和/或用户设置的安全策略,确定是否丢弃或回注所引流的流量。本专利技术实施例还提供一种机器可读存储介质,该机器可读存储介质上存储有指令,该指令用于使得机器执行上文所述的虚拟网络的安全防护方法。本专利技术实施例还提供一种服务器,其特征在于,该服务器包括上文所述的虚拟网络的安全防护系统。通过上述技术方案,实现了虚拟机网络流量的镜像和检测,从而可以不需要将虚机流量引出到计算节点之外进行处理,节省了网络带宽和CPU资源。同时,也让虚拟机运行在一个受保护的安全网络环境下。本专利技术实施例的其它特征和优点将在随后的具体实施方式部分予以详细说明。附图说明附图是用来提供对本专利技术实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本专利技术实施例,但并不构成对本专利技术实施例的限制。在附图中:图1是本专利技术一实施例提供的虚拟网络的安全防护系统的结构示意图;图2是本专利技术一实施例提供的虚拟网络的安全防护方法的流程图;图3是本专利技术另一实施例提供的虚拟网络的安全防护方法的流程图。附图标记说明1检测模块2管理模块3防御模块4虚拟机5服务器具体实施方式以下结合附图对本专利技术实施例的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本专利技术实施例,并不用于限制本专利技术实施例。图1是本专利技术一实施例提供的虚拟网络的安全防护系统的结构示意图。如图1所示,该系统包括:检测模块1、管理模块2以及防御模块3,其中,所述检测模块1用于在所述虚拟机4的镜像流量异常时,上报所述虚拟机4的信息至所述管理模块2;所述管理模块2用于响应于所述虚拟机4的信息,下发引流策略至所述防御模块3;所述防御模块3用于根据所述引流策略,引流镜像流量异常的虚拟机4的流量;对所引流的流量进行处理,以丢弃或回注所引流的流量。例如,在云数据中心的服务器5的计算节点上安装检测模块1和防御模块3,检测模块1和防御模块3与本计算节点上的虚拟机4,处于同一个虚拟网络的二层广播域内。管理模块2可任意位置部署,与计算节点网络可达。检测模块1、防御模块3以及管理模块2可以是实体模块,也可以是虚拟模块。首先,检测模块1对虚拟机4的镜像流量进行检测。如果未发现虚拟机4的镜像流量异常,则不做任何处理。如果发现虚拟机4的镜像流量异常时,代表了被攻击。例如虚拟机4的镜像流量中包含攻击报文的特征,或者虚拟机4的流量的地址和攻击者的网络地址匹配等。此时可以上报受攻击的虚拟机4的信息,例如地址(IP地址或者MAC地址)到管理模块2。随后,管理模块2自动向防御模块3下发引流策略。引流策略是指应用多种技术牵引流量到期望的目的地,例如隧道封装,策略路由等技术。引流策略中可以包含被攻击需要引流的虚拟机4信息、攻击的方法和时间等信息。防御模块3根据引流策略将去往被攻击地址(对应虚拟机4)的流量引流到自身。然后,通过多层防御技术,例如覆盖网络协议栈的多层防御技术,以及用户为保证虚拟机4业务正常处理,而配置和实施的安全策略,对流量进行处理,例如丢弃或者回注到虚拟网络中。例如某一个虚拟机4配置了不允许访问FTP服务器5的安全策略,那么防御模块3在检测到访问FTP服务器5的类型的虚拟机4的流量以后,就会丢弃该类型的虚拟机4的流量。最后防御模块3上报攻击日志到管理模块2,管理模块2上报流量防御效果。通过上述技术方案,实现了虚拟机网络流量的镜像和检测,从而可以不需要将虚机流量引出到计算节点之外进行处理,节省了网络带宽和CPU资源。同时,也让虚拟机运行在一个受保护的安全网络环境下。图2是本专利技术一实施例提供的虚拟网络的安全防护方法的流程图。如图2所示,该方法包括:步骤S21,在所述虚拟机的镜像流量异常时,上报所述虚拟机的信息;步骤S22,根据响应于所上报的虚拟机信息而下发的引流策略,引流镜像流量异常的虚拟机的流量;以及步骤S23,对所引流的流量进行处理,以丢弃或回注所引流的流量。图3是本专利技术另一实施例提供的虚拟网络的安全防护方法的流程图。如图3所示,该方法包本文档来自技高网...
【技术保护点】
1.一种虚拟网络的安全防护系统,其特征在于,该系统包括:/n检测模块、管理模块以及防御模块,其中,/n所述检测模块用于在所述虚拟机的镜像流量异常时,上报所述虚拟机的信息至所述管理模块;/n所述管理模块用于响应于所述虚拟机的信息,下发引流策略至所述防御模块;/n所述防御模块用于根据所述引流策略,引流镜像流量异常的虚拟机的流量;对所引流的流量进行处理,以丢弃或回注所引流的流量。/n
【技术特征摘要】
1.一种虚拟网络的安全防护系统,其特征在于,该系统包括:
检测模块、管理模块以及防御模块,其中,
所述检测模块用于在所述虚拟机的镜像流量异常时,上报所述虚拟机的信息至所述管理模块;
所述管理模块用于响应于所述虚拟机的信息,下发引流策略至所述防御模块;
所述防御模块用于根据所述引流策略,引流镜像流量异常的虚拟机的流量;对所引流的流量进行处理,以丢弃或回注所引流的流量。
2.根据权利要求1所述的虚拟网络的安全防护系统,其特征在于,所述检测模块和所述防御模块设置在服务器内。
3.根据权利要求2所述的虚拟网络的安全防护系统,其特征在于,所述检测模块和所述防御模块与同一计算节点上的虚拟机处于同一个虚拟网络的二层广播域内。
4.根据权利要求1所述的虚拟网络的安全防护系统,其特征在于,所述检测模块还用于:
在所述镜像流量中包括攻击报文的特征或所述镜像流量的地址和攻击者的地址相同时,确定所述镜像流量异常。
5.根据权利要求1所述的虚拟网络的安全防护系统,其特征在于,所述防御模块用于:
根据覆盖网络协议栈的多层防御技...
【专利技术属性】
技术研发人员:吴小刚,王智民,
申请(专利权)人:北京六方云信息技术有限公司,北京六方云科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。