本发明专利技术提供一种虚拟机互访安全控制方法及对应装置,该方法包括:A、根据预设的过滤规则对虚拟机发送的二层报文进行过滤,如果该二层报文命中所述过滤规则,则转C进行处理;B、根据二层报文的目的MAC地址对该二层报文进行转发;C、与负责安全处理的外部网络设备建立隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;D、接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文并转B进行转发。本发明专利技术可以避免对外部网络设备进行修改而引发的实现成本高昂的问题,并且服务器的改进也很简单。
【技术实现步骤摘要】
一种虚拟机互访安全控制方法及装置
本专利技术涉及虚拟化技术,尤其涉及一种虚拟机互访安全控制方法及装置。
技术介绍
数据中心通常包括三个主要的组成部分:计算、网络和存储;这三个部分都在向虚拟化方向发展。其中作为计算资源的服务器的虚拟化是云计算中的核心技术之一,也是目前发展最为成熟的虚拟化技术。传统服务器由于服务器性能和网络通信端口的不匹配等问题导致服务器计算性能可能被闲置。而服务器的虚拟化技术,则可以将单台物理服务器虚拟出多台虚拟机并独立安装各自的操作系统和应用程序,从而有效提升服务器本身硬件资源的利用效率。
技术实现思路
有鉴于此,本专利技术提供一种虚拟机互访安全控制装置,应用于物理服务器上,其中该物理服务器上预先创建有至少两个虚拟机,该装置包括:隧道处理模块、虚拟交换模块以及虚拟过滤模块;其中:虚拟过滤模块,用于根据预设的过滤规则对虚拟机发送的二层报文进行过滤,如果该二层报文命中所述过滤规则,则将该二层报文提交隧道处理模块进行处理;虚拟交换模块,用于根据二层报文的目的MAC地址对该二层报文进行转发;隧道处理模块,用于与负责安全处理的外部网络设备建立隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;其中该隧道处理模块进一步用于接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文,并将该二层报文提交给虚拟交换模块。本专利技术还提供一种虚拟机互访安全控制方法,应用于物理服务器上,其中该物理服务器上预先创建有至少两个虚拟机,其中该方法包括以下步骤:步骤A、根据预设的过滤规则对虚拟机发送的二层报文进行过滤,如果该二层报文命中所述过滤规则,则转步骤C进行处理;步骤B、根据二层报文的目的MAC地址对该二层报文进行转发;步骤C、与负责安全处理的外部网络设备建立隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;步骤D、接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文并转步骤B进行转发。本专利技术巧妙地利用隧道技术实现将虚拟机互访报文重定向到外部网络设备上进行安全检查,在实现上巧妙利用了各种成熟机制,可以避免对外部网络设备进行修改而引发的实现成本高昂的问题,并且服务器端的设计方案更加简洁且成本更低。附图说明图1是一种典型的物理服务器虚拟化之后的架构示意图。图2是一种实施方式中服务器与外部网络设备逻辑层面交互示意图。图3是一种实施方式中安全控制过程的处理流程图。具体实施方式请参考图1,服务器的虚拟化架构是在物理服务器上引入虚拟化层,其是一种中间层虚拟化软件,主要用于创建虚拟机(VirtualMachine,VM),并为虚拟机分配合理的硬件资源,比如CPU中的一个或者多个内核(即CPU中集成的一个或多个完整的计算引擎)分配给虚拟机1等。虚拟机从逻辑功能上看,与传统的物理服务器并无区别,拥有自己的操作系统,并可以在操作系统之上安装各种应用。在数据中心的物理服务器被广泛虚拟化后,安全问题也就相应产生了。在计算机网络以及软件技术中,任何新增的功能都可能存在安全问题而需要加以考虑。虚拟化软件相当于在已知传统安全威胁(如针对操作系统和应用程序的攻击)基础上引入了新的安全威胁。例如:针对虚拟化软件及对应管理平台的漏洞攻击。在虚拟化环境下,单台物理服务器上的各虚拟机之间可能存在直接的二层流量交换,通常这种二层交换并不需要经过外置的二层交换机,管理员对于该部分报文流量既不可控也不可见。因此管理员面临的挑战是如何确保虚拟机之间的互相访问符合预定的安全策略。如果该虚拟机之间的访问互访被允许,如何判断这些访问是否存在攻击行为。目前针对上述问题有一些解决方案,比如Cisco公司提出的Cisco802.1BR技术,该技术方案的设计思路是将虚拟机互访报文流量重定向到外部接入交换机或其他网络设备上的外置安全模块进行安全控制。在该方案中,将流量重定向到接入交换机的方式需要同时在Hypervisor层面、服务器网卡层面和接入交换机层面做出修改,具体来说:802.1BR技术需要在hypervisor层面进行重定向修改,并且每一个虚拟机需要有相应的虚拟通道和位于接入交换机上的虚拟端口,需要接入交换机做较大的修改来支持,技术实现难度大。请参考图2以及图3,本专利技术在一个实施方式中提供一种实现虚拟机互访控制装置以及对应的处理方法。该装置应用于物理服务器上,其中该物理服务器可采用当前各种流行的硬件架构,包括CPU、内存、存储器以及网卡等基本硬件。该装置包括:隧道处理模块、虚拟过滤模块以及虚拟交换模块。请参考图2中的虚拟机交互内部虚拟网络交互示意,在一种实施方式中,该装置可以理解为对服务器内部的虚拟交换机VSwitch功能的改进,该装置运行在服务器上执行如下的处理过程。步骤101,服务器的虚拟化模块创建一个或者多个虚拟机,为虚拟机分配硬件资源;步骤102,隧道处理模块,与负责安全处理的外部网络设备建立隧道连接;步骤103,从自身的虚拟二层端口接收第一虚拟机发送的二层报文并将该二层报文提交给虚拟过滤模块处理;步骤104,虚拟过滤模块根据预设过滤规则对该二层报文进行过滤,如果该二层报文命中所述过滤规则,则转步骤105由隧道处理模块对该二层报文进行处理,否则丢弃该报文或者转步骤109由虚拟交换模块继续处理。步骤105,隧道处理模块,用于对二层报文进行隧道封装形成隧道报文,并通过隧道连接发送给所述负责安全处理的外部网络设备;步骤106,外部网络设备从隧道上接收到来自服务器的隧道报文,对该隧道报文中进行解封装获得其中的二层报文;步骤107,外部网络设备利用自身的安全处理模块按照预定的安全规则对该二层报文进行安全处理;并将通过安全处理的二层报文进行封装形成隧道报文,然后通过隧道连接发送给服务器;步骤108,隧道处理模块接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文,并将该二层报文提交给虚拟交换模块;步骤109,虚拟交换模块,根据二层报文的目的MAC地址对该二层报文进行转发。在本实施方式中,各个模块以及虚拟结构均可以理解为计算机程序在CPU上运行形成的逻辑模块或者结构,其代表了计算机程序的实体功能。目前,在数据中心中的主流物理服务器通常可以创建多个虚拟机,每个虚拟机所分配到的硬件资源不尽相同,各个虚拟机使用的操作系统以及上层应用也不尽相同。有的虚拟机可以作为Web服务器,有的虚拟机作为数据库服务器,有的虚拟机作为网络应用服务器,比如DNS服务器或者DHCP服务器,有的虚拟机可能作为其他应用服务器。这些虚拟机通常由虚拟化模块来创建,虚拟化模块可以依据用户的需求来分配硬件资源,而其上的操作系统以及应用通常由用户自行安装。在传统网络中,几个物理上相互靠近的物理服务器需要接入网络时,人们通常使用交换机来实现这一目标。由于虚拟机本质功能上与服务器是相同的,虚拟机接入网络则由物理服务器内部虚拟交换机来实现。在本实施方式中,虚拟交换机也由作为中间层虚拟化软件的虚拟化模块创建,其包括虚拟交换模块,连接各个虚拟机的虚拟端口,虚拟过滤模块以及隧道处理模块。虚拟交换机包括了很多普通本文档来自技高网...
【技术保护点】
一种虚拟机互访安全控制装置,应用于物理服务器上,其中该物理服务器上预先创建有至少两个虚拟机,该装置包括:隧道处理模块、虚拟交换模块以及虚拟过滤模块;其特征在于:虚拟过滤模块,用于根据预设的过滤规则对虚拟机发送的二层报文进行过滤,如果该二层报文命中所述过滤规则,则将该二层报文提交隧道处理模块进行处理;虚拟交换模块,用于根据二层报文的目的MAC地址对该二层报文进行转发;隧道处理模块,用于与负责安全处理的外部网络设备建立隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;其中该隧道处理模块进一步用于接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文,并将该二层报文提交给虚拟交换模块。
【技术特征摘要】
1.一种虚拟机互访安全控制装置,应用于物理服务器上,其中该物理服务器上预先创建有至少两个虚拟机,该装置包括:隧道处理模块、虚拟交换模块以及虚拟过滤模块;其特征在于:虚拟过滤模块,用于根据预设的过滤规则对虚拟机发送的二层报文进行过滤,将命中不同过滤规则的二层报文提交给隧道处理模块对应的隧道接口进行处理;如果所述二层报文没有命中过滤规则,将该二层报文提交给虚拟交换模块或者将该二层报文丢弃;虚拟交换模块,用于根据二层报文的目的MAC地址对该二层报文进行转发;隧道处理模块,用于使用多个隧道接口与负责安全处理的外部网络设备建立多条隧道连接,对收到的二层报文进行隧道封装形成隧道报文,通过隧道连接将该隧道报文发送给所述负责安全处理的外部网络设备;其中该隧道处理模块进一步用于接收外部网络发送的隧道报文,对该隧道报文进行解封装获得通过安全处理的二层报文,并将该二层报文提交给虚拟交换模块。2...
【专利技术属性】
技术研发人员:孙松儿,韩小平,
申请(专利权)人:杭州华三通信技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。