本申请涉及一种虚拟网络的安全防御方法、装置、设备及存储介质,属于网络安全的技术领域,其方法包括:获取主机A向主机B发送的通信报文,所述通信报文包括源IP地址、源MAC地址、目的地址以及目的MAC地址;基于所述源IP地址、源MAC地址、目的地址以及目的MAC地址判断所述主机A和所述主机B是否属于同一虚拟局域网络;若是,则直接将所述通信报文转发至所述主机B;若否,则分别确定所述主机A和主机B所在虚拟局域网络对应的安全级别;基于所述安全级别确定对所述通信报文的处理策略。本申请具有提高虚拟网络的安全的效果。拟网络的安全的效果。拟网络的安全的效果。
【技术实现步骤摘要】
虚拟网络的安全防御方法、装置、设备及存储介质
[0001]本申请涉及网络安全的
,尤其是涉及一种虚拟网络的安全防御方法、装置、设备及存储介质。
技术介绍
[0002]VLAN(Virtual Local Area Network)建立在交换技术的基础上,将按工作性质与需要划分成若干个“逻辑工作组”,一个“逻辑工作组”即一个虚拟网络。
[0003]VLAN的实施是从逻辑上对用户进行了划分,使不同VLAN之中的用户无法直接通言,根据配置协议使不同VLAN之间进行通信。VLAN技术的应用为网络的安全防范提供了一种基于管理方式上的策略方法,我们可以根据企业网络管理的特点有针对性地选择不同的VLAN划分手段,以此来提高局域网络的安全性。
[0004]为保证网络安全,通过需要部署防火墙设备来实现。但防火墙设备一般只是将区域划分成外网、内网和 DMZ (demilitarized zone,隔离区),不能对VLAN之间的通信进行保护,当其中一个VLAN中的主机被攻击时,与之进行通信的其他VLAN中的主机也会通过被攻击的主机遭遇攻击,大大降低了虚拟网络的安全。
技术实现思路
[0005]为了提高虚拟网络的安全,本申请提供一种虚拟网络的安全防御方法、装置、设备及存储介质。
[0006]第一方面,本申请提供一种虚拟网络的安全防御方法,采用如下的技术方案:一种虚拟网络的安全防御方法,包括:获取主机A向主机B发送的通信报文,所述通信报文包括源IP地址、源MAC地址、目的地址以及目的MAC地址;基于所述源IP地址、源MAC地址、目的地址以及目的MAC地址判断所述主机A和所述主机B是否属于同一虚拟局域网络;若是,则直接将所述通信报文转发至所述主机B;若否,则分别确定所述主机A和主机B所在虚拟局域网络对应的安全级别;基于所述安全级别确定对所述通信报文的处理策略。
[0007]通过采用上述技术方案,通过通信报文中的源IP地址、源MAC地址、目的地址以及目的MAC地址确定主机A和主机B是否属于同一虚拟局域网络,当主机A和主机B属于同一虚拟局域网络,直接将通信报文直接转发至主机B,当主机A和主机B不属于同一虚拟局域网络,需要通过主机A和主机B的安全级别确定处理策略,以此增强接收通信报文对应的主机的安全性,进而提高虚拟网络的安全。
[0008]可选的,所述基于所述安全级别确定对所述通信报文的处理策略,包括:将所述主机A所在的虚拟局域网络作为第一虚拟局域网,将所述主机B所在的虚拟局域网络作为第二虚拟局域网;
将第一虚拟局域网对应的安全级别作为第一安全级别,将所述第二虚拟局域网对应的安全级别作为第二安全级别;当所述第一安全级别高于所述第二安全级别时,将所述通信报文直接转发至所述主机B;当所述第一安全等级低于所述第二安全等级时,判断所述第一虚拟局域网是否存在安全隐患;若是,则对所述通信报文进行安全处理,将处理后的通信报文发送给所述主机B。
[0009]通过采用上述技术方案,当第一安全级别高于第二安全级别时,将通信报文直接转发至主机B,当第一安全级别低于第二安全级别时,需要确定第一虚拟局域网是否安全部,从而提高接收通信报文的主机的安全性。
[0010]可选的,所述对所述通信报文进行安全处理,包括:获取安全测试区域的虚拟局域网中的一个测试主机对应的测试IP地址和测试MAC地址;将所述目的IP地址更新为所述测试IP地址,将所述目的MAC地址更新为所述测试MAC地址;基于所述测试IP地址将所述通信报文转发至所述测试主机;判断所述测试主机在预设时间内是否被攻击;若是,则拒绝所述主机A访问主机B;若否,则将所述目的IP地址更新为原目的IP地址,将所述目的MAC地址更新为原目的MAC地址,执行所述将处理后的通信报文发送给所述主机B的步骤。
[0011]通过采用上述技术方案,当第一虚拟局域网存在安全隐患时,通过将目的IP地址更新为测试IP地址,将目的MAC地址更新为测试MAC地址,以此将通信报文转发测试主机上,从而验证通信报文是否存在安全隐患,当通信报文不存在安全隐患时,再将目的IP地址更新为原目的IP地址,将目的MAC地址更新为原目的MAC地址,以将通信报文转发至主机B,从而增强主机B的安全性,进而提高虚拟网络的安全。
[0012]可选的,所述基于所述源IP地址、源MAC地址、目的地址以及目的MAC地址判断所述主机A和所述主机B是否属于同一虚拟局域网络,包括:获取所述虚拟局域网络的划分方式;基于所述划分方式确定所述主机A的第一特征信息和主机B的第二特征信息;判断所述第一特征信息和所述第二特征信息是否满足预设条件;若是,则判定所述主机A和所述主机B属于同一虚拟局域网络。
[0013]通过采用上述技术方案,通过判断第一特征信息和第二特征信息是否满足预设条件,以判定主机A和主机B是都属于同一虚拟局域网,从而保证不同局域网进行通信时安全级别较高的虚拟局域网的安全。
[0014]可选的,所述判断所述第一特征信息和所述第二特征信息是否满足预设条件,包括:当特征信息为VLAN且所述主机A所属的VLAN和所述主机B所属的VLAN相同时,判定所述第一特征信息和所述第二特征信息满足预设条件;当特征信息为网络协议且所述主机A对应的网路协议与主机B对应的网络协议相
同时,判定所述第一特征信息和所述第二特征信息满足预设条件;当特征信息为网络子网且所述主机A所属的网络子网与主机B所属的网络子网相同时,判定所述第一特征信息和所述第二特征信息满足预设条件。
[0015]可选的,所述判断所述第一虚拟局域网是否存在安全隐患,包括:获取所述第一虚拟局域网中的当日网络流量以及历史网络流量;基于所述历史网络流量判断所述当日网络流量是否异常;若是,则判定所述第一虚拟局域网存在安全隐患。
[0016]通过采用上述技术方案,通过将当日网络流量与历史网络流量进行对比,从而确定当日网络流量是否出现异常,进而确定第一虚拟网络是否存在安全隐患。
[0017]可选的,所述方法还包括:获取所述第一虚拟局域网的攻击防御信息库;基于所述攻击防御信息库确定所述第一虚拟局域网在第一预设时间段内是否存在攻击信息;若存在攻击信息,则判定所述第一虚拟局域网存在安全隐患;若不存在攻击信息,则判断所述第一虚拟局域网在第二预设时间段是否与其他虚拟局域网内被攻击的通信主机进行通信;若与其他虚拟局域网内被攻击的通信主机进行通信,则判定所述第一局域网存在安全隐患。
[0018]通过采用上述技术方案,当在第一预设时间段内第一虚拟局域网存在攻击信息时,将通信报文转发至测试主机上进行安全验证,当在第一预设时间段内第一虚拟局域网不存在攻击信息时,判断在第二预设时间段内第一虚拟局域网是否与其他被攻击的虚拟局域网进行通信,当与其他虚拟局域网内被攻击的通信主机进行通信,判定第一局域网存在安全隐患,将通信报文转发至测试主机上进行安全验证,当通信报文不存在安全隐患时再转发给主机B,从而保证了第二虚拟局域网的安全。
[0019]第二方面,本申请提本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种虚拟网络的安全防御方法,其特征在于,包括:获取主机A向主机B发送的通信报文,所述通信报文包括源IP地址、源MAC地址、目的地址以及目的MAC地址;基于所述源IP地址、源MAC地址、目的地址以及目的MAC地址判断所述主机A和所述主机B是否属于同一虚拟局域网络;若是,则直接将所述通信报文转发至所述主机B;若否,则分别确定所述主机A和主机B所在虚拟局域网络对应的安全级别;基于所述安全级别确定对所述通信报文的处理策略。2.根据权利要求1所述的方法,其特征在于,所述基于所述安全级别确定对所述通信报文的处理策略,包括:将所述主机A所在的虚拟局域网络作为第一虚拟局域网,将所述主机B所在的虚拟局域网络作为第二虚拟局域网;将第一虚拟局域网对应的安全级别作为第一安全级别,将所述第二虚拟局域网对应的安全级别作为第二安全级别;当所述第一安全级别高于所述第二安全级别时,将所述通信报文直接转发至所述主机B;当所述第一安全等级低于所述第二安全等级时,判断所述第一虚拟局域网是否存在安全隐患;若是,则对所述通信报文进行安全处理,将处理后的通信报文发送给所述主机B。3.根据权利要求2所述的方法,其特征在于,所述对所述通信报文进行安全处理,包括:获取安全测试区域的虚拟局域网中的一个测试主机对应的测试IP地址和测试MAC地址;将所述目的IP地址更新为所述测试IP地址,将所述目的MAC地址更新为所述测试MAC地址;基于所述测试IP地址将所述通信报文转发至所述测试主机;判断所述测试主机在预设时间内是否被攻击;若是,则拒绝所述主机A访问主机B;若否,则将所述目的IP地址更新为原目的IP地址,将所述目的MAC地址更新为原目的MAC地址,执行所述将处理后的通信报文发送给所述主机B的步骤。4.根据权利要求1或3所述的方法,其特征在于,所述基于所述源IP地址、源MAC地址、目的地址以及目的MAC地址判断所述主机A和所述主机B是否属于同一虚拟局域网络,包括:获取所述虚拟局域网络的划分方式;基于所述划分方式确定所述主机A的第一特征信息和主机B的第二特征信息;判断所述第一特征信息和所述第二特征信息是否满足预设条件;若是,则判定所述主机A和所述主机B属于同一虚拟局域网络。5.根据权利要求4所述的方法,其特征在于,所述判断所述第一特征信息和...
【专利技术属性】
技术研发人员:赵发义,高英利,臧权会,秦海超,曹量,刘洋,贾智源,臧海军,李双良,赵春垒,
申请(专利权)人:天津瑞利通科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。