一种虚拟机之间的网络访问控制实现方法
【专利说明】一种虚拟机之间的网络访问控制实现方法
[0001]
技术领域
[0002]本发明涉及计算机信息安全领域,具体地说是一种用于同一安全域内的虚拟机之间的网络访问控制实现方法。
【背景技术】
[0003]云计算和大数据时代,虚拟化技术应用正以非常快速的速度发展,虚拟化技术中应用最广泛的当属服务器虚拟化,这种技术通过一台或多台物理服务器构建成一个虚拟化环境,在这个虚拟化环境中虚拟出多个虚拟系统,每个虚拟系统对外提供一种或多种服务,各个系统之间相互独立。
[0004]网络边界的虚拟化使传统网络边界的防护手段失效,“东西向”流量监控成为盲点:在传统的网络结构中,网络边界一般通过物理的服务器、网络设备、网络接口进行识别,防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量并按照预设的策略执行防护动作。
[0005]但随着虚拟化实施之后,系统之间的边界不单单是以物理设备的形式存在。比如在物理服务器中虚拟出多个服务器,这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成,不会与外部网络发生交互,传统的边界防护设备捕捉不到这些流量,也就不能进行防护;特别多个虚机在同一个安全域内,虚机之间流量通过虚拟交换进行转发时,更是没有任何防护设施。
【发明内容】
[0006]本发明的技术任务是针对上述现有技术的不足,提供一种虚拟机之间的网络访问控制实现方法,目的在于解决虚拟化平台下虚拟机访问不可控的问题。
[0007]本发明的技术任务是按以下方式实现的:一种虚拟机之间的网络访问控制实现方法,其特点是在虚拟化平台的Hypervisor层部署虚拟安全防护层,通过安全防护层对由源虚拟机发出的数据包根据流表中的流规则进行匹配,实现虚拟化环境下虚拟机之间的网络访问可控。
[0008]用于实现上述方法的控制系统包括虚拟交换机,安全防护层和虚拟机三个模块。其中:
(O虚拟交换机利用虚拟化平台,通过软件的方式形成交换机部件,完成交换机的工作,虚拟交换机位于虚拟化平台的Hypervisor层;
(2)安全防护层在虚拟化平台的Hypervisor层的虚拟交换机之前部署,在虚拟机的虚拟网卡和虚拟交换机端口之间通过流表匹配的方式执行规则转发;
(3)虚拟机模块:虚拟机通过在虚拟化环境下的虚拟网卡与虚拟交换机端口连接的方式接入网络,通过匹配安全防护层中流表的规则进行网络访问。
[0009]作为优选,本发明方法包括以下步骤:
(1)虚拟机流量拦截
安全防护层拦截源虚拟机的虚拟网卡到虚拟交换机之间的流量,并获取待匹配信息;
(2)虚拟机规则匹配
安全防护层代理端接受源拟虚机网卡的流量,待匹配信息与安全防护层中的流表通过优先级由高到低的顺序进行规则匹配;
(3)虚拟机流量响应
安全防护层的响应引擎接受规则匹配的动作,执行正常和异常两种响应。正常响应将按照规则转发到目的虚拟机;异常响应则执行丢弃操作。
[0010]进一步的,所述待匹配信息包括源虚拟机、目的虚拟机和协议。
[0011]步骤(2 )中所述规则包括:
(1)虚拟交换机规则:获取当前虚拟化环境下的虚拟交换机,为所有虚拟交换机配置统一的默认转发规则,默认所有虚拟交换机的转发规则均为正常转发,且优先级为O ;
(2)虚拟机默认规则:获取当前虚拟化环境下的网络拓扑,对接入虚拟交换机的虚拟机的虚拟网卡配置统一的默认转发规则,默认所有虚机的转发规则均为丢弃,此规则优先级高于(I)中规则;
(3)为允许互相访问的虚拟机之间添加通路,即将两台虚拟机的虚拟网卡的地址分别作为源虚拟机地址和目的虚拟机地址,为其添加转发规则为正常转发,此规则优先级高于
(2)中规则;
(4)外部网络对虚拟机的访问:对于需要对外部网络提供服务的虚拟机,针对提供服务的协议添加该虚拟机与外部主机或虚拟机之间的通路,即将虚拟机的虚拟网卡与外部主机(或虚拟机)的ip地址(或mac地址)分别作为源虚拟机地址和目的虚拟机地址,为其添加转发规则为正常转发,此规则优先级高于(2)中规则。
[0012]规则(3) (4)中所述地址为ip地址或mac地址。
[0013]本发明方法是基于虚拟化环境下的访问控制技术实现对虚拟机之间的访问控制,在虚拟交换机和需防护的虚拟机的虚拟网卡之间部署安全防护层,通过虚拟化安全防护层对由源虚拟机发出的数据包根据流表中的流规则进行匹配,只有符合流规则的流量才可以到达目的虚机,实现了虚拟化环境下虚拟机之间的网络访问可控。
【附图说明】
[0014]附图1是本发明实施例中虚拟机访问控制规则匹配流程图;
附图2是本发明实施例中访问控制实现流程图。
【具体实施方式】
[0015]参照说明书附图以具体实施例对本发明的虚拟机之间的网络访问控制实现方法作以下详细地说明。
[0016]实施例:
本发明方法在虚拟化平台的Hypervisor层部署虚拟安全防护层,通过安全防护层对由源虚拟机发出的数据包根据流表中的流规则进行匹配,实现虚拟化环境下虚拟机之间的网络访问可控。
[0017]实现上述方法的控制系统包括虚拟交换机,安全防护层和虚拟机三个模块。
[0018]其中:
(O虚拟交换机利用虚拟化平台,通过软件的方式形成交换机部件,完成交换机的工作,虚拟交换机位于虚拟化平台的Hypervisor层;
(2)安全防护层在虚拟化平台的Hypervisor层的虚拟交换机之前部署,在虚拟机的虚拟网卡和虚拟交换机端口之间通过流表匹配的方式执行规则转发;
(3)虚拟机模块:虚拟机通过在虚拟化环境下的虚拟网卡与虚拟交换机端口连接的方式接入网络,通过匹配安全防护层中流表的规则进行网络访问。
[0019]上述方法的具体步骤包括:
一、虚拟机流量拦截
源虚拟机发起网络数据,调用虚拟机中的网络层驱动提出发送数据包;安全防护层拦截源虚拟机的虚拟网卡到虚拟交换机之间的流量,并获取源虚拟机、目的虚拟机和协议等待匹配信息。
[0020]二、虚拟机规则匹配
安全防护层代理端接受源拟虚机网卡的流量数据,通过源虚拟机、目的虚拟机和协议等信息与虚拟防护层中的流表通过优先级由高到低的顺序进行匹配,直到匹配完毕。
[0021]具体规则包括:
1)虚拟交换机规则:获取当前虚拟化环境下的虚拟交换机,为所有虚拟交换机配置统一的默认转发规则,默认所有虚拟交换机的转发规则均为正常转发,且优先级为O ;
2)虚拟机默认规则:获取当前虚拟化环境下的网络拓扑,对接入虚拟交换机的虚拟机的虚拟网卡配置统一的默认转发规则,默认所有虚机的转发规则均为丢弃,此规则优先级高于I中规则;
3)为允许互相访问的虚拟机之间添加通路,即将两台虚拟机的虚拟网卡的ip地址(或mac地址)分别作为源虚拟机地址和目的虚拟机地址,为其添加转发规则为正常转发,此规则优先级高于2中规则;
4)外部网络对虚拟机的访问:对于需要对外部网络提供服务的虚拟机,针对提供服务的协议添加该虚拟机与外部主机(或虚拟机)之间的通路,即将虚拟机的虚拟网卡与外部主机(或虚拟机)的ip地址(或mac地址)分别作为源虚拟机地址和目的虚拟机地址,为其添加转发规则为正常转发,此规则优先级高于2中规则。
[0022]规则匹配顺序为:(I)按照源虚拟机与目的虚拟机之间的规则匹配;(2)按照源虚拟机的规则匹配;(3)按照虚拟交换机默认规则进行匹配(如附图1所示)。
[0023]如附图2所示,虚拟化环境下虚拟机之间访问控制的具体实现过程:(1)虚拟交换机的默认规则为优先级是O的正常转发规则;(2)虚拟机的默认转发规则为优先级高于(I)的限制正常转发规则;(3)为允许互相访问的虚拟机(虚拟机与外部主机/虚拟机也可)之间添加正常转发规则,实现源虚拟机与目的虚拟机(虚拟机与外部主机/虚拟机也可)之间的正常访问。
[0024]三、虚拟机流量响应
安全防护层的响应引擎接受规则匹配的动作,执行正常和异常两种响应:正常响应将按照规则转发到目的虚拟机;异常响应则执行丢弃操作。
【主权项】
1.一种虚拟机之间的网络访问控制实现方法,其特征在于:该方法在虚拟化平台的Hypervisor层部署虚拟安全防护层,通过安全防护层对由源虚拟机发出的数据包根据流表中的流规则进行匹配,实现虚拟化环境下虚拟机之间的网络访问可控。
2.根据权利要求1所述的虚拟机之间的网络访问控制实现方法,其特征在于:该方法包括以下步骤: (1)虚拟机流量拦截 安全防护层拦截源虚拟机的虚拟网卡到虚拟交换机之间的流量,并获取待匹配信息; (2)虚拟机规则匹配 安全防护层代理端接受源拟虚机网卡的流量,待匹配信息与安全防护层中的流表通过优先级由高到低的顺序进行规则匹配; (3)虚拟机流量响应 安全防护层的响应引擎接受规则匹配的动作,执行正常和异常两种响应。
3.根据权利要求2所述的虚拟机之间的网络访问控制实现方法,其特征在于:所述待匹配信息包括源虚拟机、目的虚拟机和协议。
4.根据权利要求2所述的虚拟机之间的网络访问控制实现方法,其特征在于步骤(2)中所述规则包括: (1)虚拟交换机规则:获取当前虚拟化环境下的虚拟交换机,为所有虚拟交换机配置统一的默认转发规则,默认所有虚拟交换机的转发规则均为正常转发,且优先级为O ; (2)虚拟机默认规则:获取当前虚拟化环境下的网络拓扑,对接入虚拟交换机的虚拟机的虚拟网卡配置统一的默认转发规则,默认所有虚机的转发规则均为丢弃,此规则优先级高于(I)中规则; (3)为允许互相访问的虚拟机之间添加通路,即将两台虚拟机的虚拟网卡的地址分别作为源虚拟机地址和目的虚拟机地址,为其添加转发规则为正常转发,此规则优先级高于(2)中规则; (4)外部网络对虚拟机的访问:对于需要对外部网络提供服务的虚拟机,针对提供服务的协议添加该虚拟机与外部主机或虚拟机之间的通路,为其添加转发规则为正常转发,此规则优先级高于(2)中规则。
【专利摘要】本发明公开了一种虚拟机之间的网络访问控制实现方法,属于数据安全领域。该通过对已知漏洞和高危文件的分析,得到各种网站类型中的关键文件列表,然后通过主机安全增强系统的文件强制访问控制功能进行规则配置和下发,实现对网站的底层防护。与现有技术相比,本发明方法基于白名单,与其他黑名单形式的防护手段形成了互补,且实现与内核层,作为网站防护体系中的最后一道防线,保证了网站的安全稳定,具有很好的推广应用价值。
【IPC分类】H04L29-06
【公开号】CN104735071
【申请号】CN201510138506
【发明人】刘龙
【申请人】浪潮集团有限公司
【公开日】2015年6月24日
【申请日】2015年3月27日