本公开涉及可信虚拟主机的识别方法、电子设备及存储介质,该方法包括接收第一源虚拟主机发送的第一请求报文并启动应答时长的计时,第一请求报文中携带有第一源虚拟主机的第一网络地址以及第一目标虚拟主机的第二网络地址,第一请求报文用于请求第一目标虚拟主机的物理地址;将第一请求报文发送至可信主机识别设备中,以利用可信主机识别设备中维护的可信虚拟主机的网络地址列表对第一源虚拟主机进行可信虚拟主机的识别;若在预设应答时长内接收到可信主机识别设备发送的第一回应报文,在预设应答时长内仅将第一回应报文发送至第一源虚拟主机,第一回应报文中携带有第一目标虚拟主机的无效物理地址。该方法保证了网络通信的安全。的安全。的安全。
【技术实现步骤摘要】
可信虚拟主机的识别方法、电子设备及存储介质
[0001]本公开涉及计算机网络
,具体涉及可信虚拟主机的识别方法、电子设备及存储介质。
技术介绍
[0002]在现有软件定义网络(Software Defined Network,简称为SDN)的安全体系中,为了保证网络通信的安全,一般是把可信虚拟主机加入同一个安全组,从而保证在安全组外的虚拟主机无法对安全组内的虚拟主机进行访问。然而,在该方案中对接入设备的硬件资源要求较高,比如虚拟主机VM1和虚拟主机VM2加入同一个安全组,对应设备上的表项就是匹配源IP和目的IP分别为VM1和VM2的IP,匹配命中的动作为放行。匹配项需要占用硬件访问控制表(Access Control List,简称为ACL)资源。随着安全组的互访配置越来越多,可见ACL资源表项也需要很多,从而导致该方案的应用规模受限于ACL资源表项的数量。
技术实现思路
[0003]有鉴于此,本公开实施例提供了一种可信虚拟主机的识别方法、电子设备及存储介质,以解决网络通信的安全性问题。
[0004]根据第一方面,本公开实施例提供了一种可信虚拟主机的识别方法,应用于第一源虚拟主机的接入设备中,所述方法包括:
[0005]接收所述第一源虚拟主机发送的第一请求报文并启动应答时长的计时,所述第一请求报文中携带有所述第一源虚拟主机的第一网络地址以及第一目标虚拟主机的第二网络地址,所述第一请求报文用于请求所述第一目标虚拟主机的物理地址;
[0006]将所述第一请求报文发送至可信主机识别设备中,以利用所述可信主机识别设备中维护的可信虚拟主机的网络地址列表对所述第一源虚拟主机进行可信虚拟主机的识别;
[0007]若在预设应答时长内接收到所述可信主机识别设备发送的第一回应报文,在所述预设应答时长内仅将所述第一回应报文发送至所述第一源虚拟主机,所述第一回应报文中携带有所述第一目标虚拟主机的无效物理地址。
[0008]本公开实施例提供的可信虚拟主机的识别方法,对于第一源虚拟主机的接入设备而言,其将接收到的第一源虚拟主机的第一请求报文发送至可信主机识别设备中,由于在可信主机识别设备中维护有可信虚拟主机的网络地址列表,利用该网络地址列表即可对第一源虚拟主机进行可信虚拟主机的识别,基于此,若接入设备在预设应答时长内接收到可信主机识别设备发送的第一回应报文,则仅将该第一回应报文发送至第一源虚拟主机中,使得第一源虚拟主机仅能够获得第一目标虚拟主机的无效物理地址,即,在第一源虚拟主机为不可信虚拟主机时,第一源虚拟主机仅能够获取到无效物理地址,从而无法进行发起正常的业务访问,提高了网络通信的安全性。
[0009]根据第二方面,本公开实施例还提供了一种可信虚拟主机的识别方法,应用于SDN控制器或第三方安全设备中,所述SDN控制器中维护有可信虚拟主机的网络地址列表,所述
方法包括:
[0010]接收第二源虚拟主机的接入设备发送的第二请求报文,所述第二请求报文中携带有所述第二源虚拟主机的第三网络地址以及第二目标虚拟主机的第四网络地址,所述第二请求报文用于请求所述第二目标虚拟主机的物理地址,其中,在所述方法应用于第三方安全设备的情况下,虚拟网络内虚拟主机的接入设备的请求代答功能处于关闭状态;
[0011]当所述第三网络地址不在所述可信虚拟主机的网络地址列表中时,向所述接入设备发送第二回应报文,以使得所述接入设备在预设应答时长内仅将所述第二回应报文发送至所述第二源虚拟主机,所述第二回应报文携带有所述第二目标虚拟主机的无效物理地址,所述接入设备的应答时长是从所述接入设备接收到所述第二请求报文开始计时的。
[0012]本公开实施例提供的可信虚拟主机的识别方法,通过在SDN控制器或第三方安全设备中设置有可信虚拟主机的网络地址,若第二源虚拟主机的第三网络地址不在可信虚拟主机的网络地址中时,表示第二源虚拟主机为不可信虚拟主机,对于不可信虚拟主机发送携带有无效物理地址的第二回应报文,使得接入设备在预设应答时长内仅将第二回应报文发送至第二源虚拟主机,相应地,第二源虚拟主机仅能够获取到第二目标虚拟主机的无效物理地址,使得不可信的第二源虚拟主机无法获得第二目标虚拟主机的正确物理地址,从而无法进行发起正常的业务访问,提高了网络通信的安全性。
[0013]根据第三方面,本公开实施例提供了一种可信虚拟主机的识别装置,应用于第一源虚拟主机的接入设备中,所述装置包括:
[0014]第一接收模块,用于接收所述第一源虚拟主机发送的第一请求报文并启动应答时长的计时,所述第一请求报文中携带有所述第一源虚拟主机的第一网络地址以及第一目标虚拟主机的第二网络地址,所述第一请求报文用于请求所述第一目标虚拟主机的物理地址;
[0015]第一发送模块,用于将所述第一请求报文发送至可信主机识别设备中,以利用所述可信主机识别设备中维护的可信虚拟主机的网络地址列表对所述第一源虚拟主机进行可信虚拟主机的识别;
[0016]第二发送模块,用于若在预设应答时长内接收到所述可信主机识别设备发送的第一回应报文,在所述预设应答时长内仅将所述第一回应报文发送至所述第一源虚拟主机,所述第一回应报文中携带有所述第一目标虚拟主机的无效物理地址。
[0017]根据第四方面,本公开实施例还提供了一种可信虚拟主机的识别装置,应用于SDN控制器或第三方安全设备中,所述SDN控制器中维护有可信虚拟主机的网络地址列表,所述装置包括:
[0018]第二接收模块,用于接收第二源虚拟主机的接入设备发送的第二请求报文,所述第二请求报文中携带有所述第二源虚拟主机的第三网络地址以及第二目标虚拟主机的第四网络地址,所述第二请求报文用于请求所述第二目标虚拟主机的物理地址,其中,在所述方法应用于第三方安全设备的情况下,虚拟网络内虚拟主机的接入设备的请求代答功能处于关闭状态;
[0019]第三发送模块,用于当所述第三网络地址不在所述可信虚拟主机的网络地址列表中时,向所述接入设备发送第二回应报文,以使得所述接入设备在预设应答时长内仅将所述第二回应报文发送至所述第二源虚拟主机,所述第二回应报文携带有所述第二目标虚拟
主机的无效物理地址,所述接入设备的应答时长是从所述接入设备接收到所述第二请求报文开始计时的。
[0020]根据第五方面,本公开实施例提供了一种电子设备,包括:存储器和处理器,所述存储器和所述处理器之间互相通信连接,所述存储器中存储有计算机指令,所述处理器通过执行所述计算机指令,从而执行第一方面或者第一方面的任意一种实施方式,或者,执行第二方面中所述的可信虚拟主机的识别方法。
[0021]根据第六方面,本公开实施例提供了一种计算机可读存储介质,所述计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行第一方面或者第一方面的任意一种实施方式,或者,执行第二方面中所述的可信虚拟主机的识别方法。
[0022]需要说明的是,本公开实施例提供的电子设备以及计算机可读存储介质的相应有益效果,请参见上文本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可信虚拟主机的识别方法,其特征在于,应用于第一源虚拟主机的接入设备中,所述方法包括:接收所述第一源虚拟主机发送的第一请求报文并启动应答时长的计时,所述第一请求报文中携带有所述第一源虚拟主机的第一网络地址以及第一目标虚拟主机的第二网络地址,所述第一请求报文用于请求所述第一目标虚拟主机的物理地址;将所述第一请求报文发送至可信主机识别设备中,以利用所述可信主机识别设备中维护的可信虚拟主机的网络地址列表对所述第一源虚拟主机进行可信虚拟主机的识别;若在预设应答时长内接收到所述可信主机识别设备发送的第一回应报文,在所述预设应答时长内仅将所述第一回应报文发送至所述第一源虚拟主机,所述第一回应报文中携带有所述第一目标虚拟主机的无效物理地址。2.根据权利要求1所述的方法,其特征在于,所述方法还包括:若在所述预设应答时长内未接收到所述第一回应报文,获取所述第一目标虚拟主机的物理地址;向所述第一源虚拟主机发送真实回应报文,所述真实回应报文中携带有所述第一目标虚拟主机的物理地址。3.根据权利要求2所述的方法,其特征在于,所述获取所述第一目标虚拟主机的物理地址,包括:基于所述第二网络地址在本地进行查询,确定所述第一目标虚拟主机的物理地址;或者,接收所述第一目标虚拟主机发送的回应报文,以确定所述真实回应报文,所述回应报文为所述第一目标虚拟主机接收到所述第一请求报文后发送的,所述回应报文中携带有所述第一目标虚拟主机的物理地址。4.一种可信虚拟主机的识别方法,其特征在于,应用于SDN控制器或第三方安全设备中,所述SDN控制器或所述第三方安全设备中维护有可信虚拟主机的网络地址列表,所述方法包括:接收第二源虚拟主机的接入设备发送的第二请求报文,所述第二请求报文中携带有所述第二源虚拟主机的第三网络地址以及第二目标虚拟主机的第四网络地址,所述第二请求报文用于请求所述第二目标虚拟主机的物理地址,其中,在所述方法应用于第三方安全设备的情况下,虚拟网络内虚拟主机的接入设备的请求代答功能处于关闭状态;当所述第三网络地址不在所述可信虚拟主机的网络地址列表中时,向所述接入设备发送第二回应报文,以使得所述接入设备在预设应答时长内仅将所述...
【专利技术属性】
技术研发人员:黄云丰,
申请(专利权)人:新华三信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。