一种建立在虚拟机上的虚拟网络隔离系统及实现方法技术方案

本发明专利技术公开了一种建立在虚拟机上的虚拟网络隔离系统，包括路由器／防火墙、物理服务器以及多个客户机，所述物理服务器内包括有多个虚拟机，所述物理服务器内还设置有隔离墙；所述虚拟机内置有端口通讯限制模块。本发明专利技术还公开了一种建立在虚拟机上的虚拟网络隔离方法，其包括以下步骤：（１）首先在虚拟机之间建立隔离墙；（２）在虚拟机里面安装虚拟集线器和Ｔｕｎｎｅｌ虚拟网卡，并让该虚拟机的Ｔｕｎｎｅｌ虚拟网卡接入虚拟集线器；建立端口通讯限制；（３）设置虚拟机对应的端口映射；（４）在各客户机上安装Ｔｕｎｎｅｌ虚拟网卡，配置Ｉｎｔｅｒｎｅｔ　ＩＰ地址并接入虚拟集线器。本发明专利技术提供了安全、成本低、速度快、方便维护的网络环境。

Virtual network isolation system based on virtual machine and implementing method thereof

The invention discloses a virtual network isolation system based on virtual machine, including router / firewall, physical server and multiple clients, the physical server comprises a plurality of virtual machines, the physical servers are arranged in the wall; the virtual machine has a built-in communication port limit module. The invention also discloses a method for establishing the virtual machine virtual network isolation method, which comprises the following steps: (1) first build a wall between virtual machines; (2) to install a virtual hub and Tunnel virtual network in the virtual machine, and let the Tunnel virtual network access virtual hub of the virtual machine; establish port communication restrictions; (3) port mapping set the corresponding virtual machine; (4) install Tunnel virtual network card in each client, configure the Internet IP address and access the virtual hub. The invention provides a network environment with the advantages of safety, low cost, fast speed and convenient maintenance.

【技术实现步骤摘要】

本专利技术涉及一种虚拟网络安全访问
，特别涉及一种建立在虚拟机 上的虚拟网络隔离系统及其实现方法。
技术介绍
目前，为节省成本、方便管理，企业开始使用虚拟机(Virtual Machine)技 术构建虚拟机网络系统，如图1所示，该技术是在物理机上通过软件模拟出多 个具有完整硬件系统功能的完整计算机系统，这些虚拟机完全就像真正的计算 机那样进行工作。而虚拟机中的VM (Virtual Machine,虚拟机)虚拟网卡和物 理机的真实网卡之间采用桥接(Bridging)方式，虚拟系统的IP地址与真实系 统的IP地址属于同一网段，虚拟系统相当于物理网络内的一台独立的计算机， 网络内其他计算机可访问虚拟系统，虚拟系统也可访问网络内其他计算机。而 客户端则主要通过IPSec、 SSL、 MPLS等VPN (Virtual Private Network虚拟专 用网络)方式连接到各个虚拟机中，虚拟服务器对客户端的接入进行了身份验 证。该方案节省成本、方便管理，同时保证客户端数据传送的安全，然而存在 着以下缺点1、由于虚拟机中的VM虚拟网卡和物理机的真实网卡之间采用桥 接方式，各虚拟机之间可以互相访问，甚至访问到物理机；这将可能造成不同 部门的虚拟机之间的数据泄漏。2、客户端虽然采用VPN接入进行身份验证， 保证客户端数据传送的安全，但对于数据本身的安全性却无法验证；如果客户 端传入带有病毒的文件，那么虚拟机及其连接的网络将受到感染，这种安全隐 患甚至将影响到物理服务器。3、硬件VPN设备成本高，而软件VPN服务端配 置麻烦。
技术实现思路
为了克服现有技术的缺点与不足，本专利技术的目的在于提供一种建立在虚拟 机上的虚拟网络隔离系统，为用户提供安全、成本低、速度快、方便维护的网 络环境。本专利技术目的是通过下述技术方案实现的， 一种建立在虚拟机上的虚拟网络隔离系统，包括路由器\防火墙、物理服务器以及多个客户机，所述物理服务器 内包括有多个虚拟机，每个虚拟机服务于部分客户机，所述虚拟机内设置有VM 虚拟网卡，所述物理服务器内还设置有位于各虚拟机间，用于隔离虚拟机、使虚拟机之间的信息无法互相发送和接收的隔离墙；所述客户机通过路由器\防火墙与虚拟机，具体是与物理服务器里其所属的 虚拟机相连。为更好的实现本专利技术，建立在虚拟机上的虚拟网络隔离系统还包括端口通 讯限制模块，所述端口通讯限制模块用于限制各客户机与其所属的虚拟机之间 的端口通讯。所述端口通讯限制模块包括多个用于接入到Tunnd (加密隧道)虚拟集线器、构成虚拟局域网一部分 的Tu皿el虚拟网卡;所述Tunnel虚拟网卡内置于客户机及客户机所属的虚拟机；用于多个Tunnel虚拟网卡的接入、组成虚拟局域网的Tunnel虚拟集线器， 所述Tunnel虚拟集线器内置于虚拟机中。本专利技术的另一目的在于提供一种建立在虚拟机上的虚拟网络隔离方法，包 括以下步骤(1) 首先在虚拟机之间建立虚拟机隔离墙；(2) 在虚拟机里面安装虚拟集线器和Tunnel虚拟网卡，并让该虚拟机的 Timnd虚拟网卡接入虚拟集线器；在虚拟机里面为各个客户机设置Tunnel的接 入账号和密码，在虚拟机的Tunnel虚拟网卡上建立端口通讯限制；(3) 在路由器/防火墙里，设置虚拟机对应的端口映射；使得访问该端口的 客户机都能被引导到对应的虚拟机；(4) 在各客户机上安装Tunnel虚拟网卡，配置其所属虚拟机所在的Internet IP地址及保存其Tunnel的接入账号和密码，并让该Tunnel虚拟网卡接入所属虚 拟机的虚拟集线器。为更好的实现本专利技术，所述步骤(1)具体包括以下步骤(1.1) 将VM虚拟网卡所在网络的IP子网信息、任意端口、任意协议这些 配置信息，配合阻止的筛选器操作，写入一个新建的vm.ini配置文件中；(1.2) 把vm.ini配置文件中的配置信息构造成Ipseccmd (Internet协议安 全命令行)命令，把这些命令作为ProcessStartlnfo (进程启动信息)对象的一个属性，然后把该ProcessStartlnfo (进程启动信息)对象作为Process (进程)对 象的一个参数启动一个进程，通过Ipseccmd动态模式，把vm.ini配置文件的信 息写入IP安全策略。所述步骤(2)具体包括以下步骤(2.1) 在虚拟机里面安装虚拟集线器和Tunnel虚拟网卡，并让该虚拟机的 Tunnel虚拟网卡接入虚拟集线器；(2.2) 在虚拟机里面为各个客户机设置Tunnel的接入账号和密码；并设置 Tunnel端口，不同虚拟机Tunnel端口不能相同；(2.3) 将Tunnel虚拟网卡所在网络的IP子网信息、任意端口及任意协议这 些配置信息，配合阻止的筛选器操作，写入一个新建的tl.ini配置文件中；把Tunnel虚拟网卡的子网IP、需要通过的端口、需要通过的协议这些配置 信息，配合许可的筛选器操作，写入另外一个新建的t2.ini配置文件中；(2.4) 将tl.ini和t2.ini配置文件中的配置信息构造成Ipseccmd命令，把这 些命令作为ProcessStartlnfo (进程启动信息)对象的一个属性，然后把该 ProcessStartlnfo (进程启动信息)对象作为Process (进程)对象的一个参数启动 一个进程，通过Ipseccmd动态模式，把配置文件的信息写入IP安全策略。所述步骤(4)后进一步包括(5)在虚拟机中设置表示层虚拟化(TSRemoteApp)，并为登陆表示层虚拟 化新建用户、密码，同时赋予该用户登陆权限。 所述步骤(4)后进一步包括(5 )在虚拟机中设置DHCP (Dynamic Host Configuration Protocol动态主机 分配协议)，设置Tunnel虚拟网卡启用DHCP功能；配置子网掩码为 255.255.255.0，网关为空。 所述步骤(4)后进一步包括(5 )在虚拟机中安装USB接口映射客户机以及在客户机安装USB接口映射 虚拟机，并连接它们；如果插入的USB设备需要驱动，必需在虚拟机和客户机 安装相同的驱动程序，使得客户机上的USB设备映射到虚拟机上面。所述步骤(3)还包括在路由器/防火墙里设置用于对该虚拟机做流量限制和 客户端连接数限制的Qos流量控制。本专利技术的工作原理是利用IPSec (Internet协议安全)实现虚拟机隔离墙和 Tunnel (加密隧道)虚拟网卡的端口通讯限制，结合现有的虚拟服务器、端口映射、Qos流量控制、虚拟集线器(Virtual Hub)等技术作为主要辅助，配合现有 的表示层虚拟《七(TS RemoteApp)、 DHCP(Dynamic Host Configuration Protocol 动态主机分配协议)、USB接口映射等技术作为次要辅助，为用户提供安全、高 速、低成本、方便维护的网络环境。本专利技术与现有技术相比，具有如下优点和有益效果第一、基于虚拟网络隔离，安全性大幅度提高虚拟机隔离墙解决了虚拟 机与虚拟机之间和虚拟机与物理服务器之间的安全隐患问题，实现了虚拟机与 虚拟机之间和虚拟机与物理服务器之间的完全隔离，防止虚拟机之间的数据的泄密；Tunnel虚拟网卡的端口通讯限制避免了客户端对本文档来自技高网...

【技术保护点】
一种建立在虚拟机上的虚拟网络隔离系统，包括路由器＼防火墙、物理服务器以及多个客户机，所述物理服务器内包括有多个虚拟机，每个虚拟机服务于部分客户机，所述虚拟机内设置有ＶＭ虚拟网卡，其特征在于，所述物理服务器内还设置有　　　　位于各虚拟机间，用于隔离虚拟机、使虚拟机之间的信息无法互相发送和接收的隔离墙；　　　　所述客户机通过路由器＼防火墙与虚拟机，具体是与物理服务器里其所属的虚拟机相连。

【技术特征摘要】
1、一种建立在虚拟机上的虚拟网络隔离系统，包括路由器＼防火墙、物理服务器以及多个客户机，所述物理服务器内包括有多个虚拟机，每个虚拟机服务于部分客户机，所述虚拟机内设置有VM虚拟网卡，其特征在于，所述物理服务器内还设置有位于各虚拟机间，用于隔离虚拟机、使虚拟机之间的信息无法互相发送和接收的隔离墙；所述客户机通过路由器\防火墙与虚拟机，具体是与物理服务器里其所属的虚拟机相连。2、 根据权利要求1所述建立在虚拟机上的虚拟网络隔离系统，其特征在于， 所述建立在虚拟机上的虚拟网络隔离系统还包括有端口通讯限制模块，所述端口通讯限制模块用于限制各客户机与其所属的虚拟机之间的端口通讯。3、 根据权利要求2所述建立在虚拟机上的虚拟网络隔离系统，其特征在于， 所述端口通讯限制模块包括多个用于接入到Tunnd虚拟集线器、构成虚拟局域网一部分的Tunnel虚拟 网卡；所述Tunnd虚拟网卡内置于客户机及客户机所属的虚拟机；用于多个Tunnd虚拟网卡的接入、组成虚拟局域网的Tunnel虚拟集线器， 所述Tunnel虚拟集线器内置于虚拟机中。4、 一种建立在虚拟机上的虚拟网络隔离方法，其特征在于，包括以下步骤:(1) 首先在虚拟机之间建立虚拟机隔离墙；(2) 在虚拟机里面安装虚拟集线器和Tunnel虚拟网卡，并让该虚拟机的 Tunnel虚拟网卡接入虚拟集线器；在虚拟机里面为各个客户机设置Tunnel的接 入账号和密码，在虚拟机的Tunnel虚拟网卡上建立端口通讯限制；(3) 在路由器/防火墙里，设置虚拟机对应的端口映射；(4) 在各客户机上安装Tunnel虚拟网卡，配置其所属虚拟机所在的Internet IP地址及保存其Tunnel的接入账号和密码，并让该Tunnel虚拟网卡接入所属虚 拟机的虚拟集线器。5、 根据权利要求4所述建立在虚拟机上的虚拟网络隔离方法，其特征在于， 所述步骤(1)具体包括以下步骤(1.1)将VM虚拟网卡所在网络的IP子网信息、任意端口、任意协议这些 配置信息，配合阻止的筛选器操作，写入一个新建的vm.ini配置文件中；(1.2)把vm.ini配置文件中的配置信息构造成Ipseccmd命令，把这些命令 作为ProcessStartlnfo对象...

【专利技术属性】
技术研发人员：陈博东，曾祥俊，倪晓玲，
申请(专利权)人：陈博东，
类型：发明
国别省市：81[中国|广州]