The invention discloses a virtual network isolation system based on virtual machine, including router / firewall, physical server and multiple clients, the physical server comprises a plurality of virtual machines, the physical servers are arranged in the wall; the virtual machine has a built-in communication port limit module. The invention also discloses a method for establishing the virtual machine virtual network isolation method, which comprises the following steps: (1) first build a wall between virtual machines; (2) to install a virtual hub and Tunnel virtual network in the virtual machine, and let the Tunnel virtual network access virtual hub of the virtual machine; establish port communication restrictions; (3) port mapping set the corresponding virtual machine; (4) install Tunnel virtual network card in each client, configure the Internet IP address and access the virtual hub. The invention provides a network environment with the advantages of safety, low cost, fast speed and convenient maintenance.
【技术实现步骤摘要】
本专利技术涉及一种虚拟网络安全访问
,特别涉及一种建立在虚拟机 上的虚拟网络隔离系统及其实现方法。
技术介绍
目前,为节省成本、方便管理,企业开始使用虚拟机(Virtual Machine)技 术构建虚拟机网络系统,如图1所示,该技术是在物理机上通过软件模拟出多 个具有完整硬件系统功能的完整计算机系统,这些虚拟机完全就像真正的计算 机那样进行工作。而虚拟机中的VM (Virtual Machine,虚拟机)虚拟网卡和物 理机的真实网卡之间采用桥接(Bridging)方式,虚拟系统的IP地址与真实系 统的IP地址属于同一网段,虚拟系统相当于物理网络内的一台独立的计算机, 网络内其他计算机可访问虚拟系统,虚拟系统也可访问网络内其他计算机。而 客户端则主要通过IPSec、 SSL、 MPLS等VPN (Virtual Private Network虚拟专 用网络)方式连接到各个虚拟机中,虚拟服务器对客户端的接入进行了身份验 证。该方案节省成本、方便管理,同时保证客户端数据传送的安全,然而存在 着以下缺点1、由于虚拟机中的VM虚拟网卡和物理机的真实网卡之间采用桥 接方式,各虚拟机之间可以互相访问,甚至访问到物理机;这将可能造成不同 部门的虚拟机之间的数据泄漏。2、客户端虽然采用VPN接入进行身份验证, 保证客户端数据传送的安全,但对于数据本身的安全性却无法验证;如果客户 端传入带有病毒的文件,那么虚拟机及其连接的网络将受到感染,这种安全隐 患甚至将影响到物理服务器。3、硬件VPN设备成本高,而软件VPN服务端配 置麻烦。
技术实现思路
为了克服现有技术的缺点与 ...
【技术保护点】
一种建立在虚拟机上的虚拟网络隔离系统,包括路由器\防火墙、物理服务器以及多个客户机,所述物理服务器内包括有多个虚拟机,每个虚拟机服务于部分客户机,所述虚拟机内设置有VM虚拟网卡,其特征在于,所述物理服务器内还设置有 位于各虚拟机间,用于隔离虚拟机、使虚拟机之间的信息无法互相发送和接收的隔离墙; 所述客户机通过路由器\防火墙与虚拟机,具体是与物理服务器里其所属的虚拟机相连。
【技术特征摘要】
1、一种建立在虚拟机上的虚拟网络隔离系统,包括路由器\防火墙、物理服务器以及多个客户机,所述物理服务器内包括有多个虚拟机,每个虚拟机服务于部分客户机,所述虚拟机内设置有VM虚拟网卡,其特征在于,所述物理服务器内还设置有位于各虚拟机间,用于隔离虚拟机、使虚拟机之间的信息无法互相发送和接收的隔离墙;所述客户机通过路由器\防火墙与虚拟机,具体是与物理服务器里其所属的虚拟机相连。2、 根据权利要求1所述建立在虚拟机上的虚拟网络隔离系统,其特征在于, 所述建立在虚拟机上的虚拟网络隔离系统还包括有端口通讯限制模块,所述端口通讯限制模块用于限制各客户机与其所属的虚拟机之间的端口通讯。3、 根据权利要求2所述建立在虚拟机上的虚拟网络隔离系统,其特征在于, 所述端口通讯限制模块包括多个用于接入到Tunnd虚拟集线器、构成虚拟局域网一部分的Tunnel虚拟 网卡;所述Tunnd虚拟网卡内置于客户机及客户机所属的虚拟机;用于多个Tunnd虚拟网卡的接入、组成虚拟局域网的Tunnel虚拟集线器, 所述Tunnel虚拟集线器内置于虚拟机中。4、 一种建立在虚拟机上的虚拟网络隔离方法,其特征在于,包括以下步骤:(1) 首先在虚拟机之间建立虚拟机隔离墙;(2) 在虚拟机里面安装虚拟集线器和Tunnel虚拟网卡,并让该虚拟机的 Tunnel虚拟网卡接入虚拟集线器;在虚拟机里面为各个客户机设置Tunnel的接 入账号和密码,在虚拟机的Tunnel虚拟网卡上建立端口通讯限制;(3) 在路由器/防火墙里,设置虚拟机对应的端口映射;(4) 在各客户机上安装Tunnel虚拟网卡,配置其所属虚拟机所在的Internet IP地址及保存其Tunnel的接入账号和密码,并让该Tunnel虚拟网卡接入所属虚 拟机的虚拟集线器。5、 根据权利要求4所述建立在虚拟机上的虚拟网络隔离方法,其特征在于, 所述步骤(1)具体包括以下步骤(1.1)将VM虚拟网卡所在网络的IP子网信息、任意端口、任意协议这些 配置信息,配合阻止的筛选器操作,写入一个新建的vm.ini配置文件中;(1.2)把vm.ini配置文件中的配置信息构造成Ipseccmd命令,把这些命令 作为ProcessStartlnfo对象...
【专利技术属性】
技术研发人员:陈博东,曾祥俊,倪晓玲,
申请(专利权)人:陈博东,
类型:发明
国别省市:81[中国|广州]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。