一种云计算中心网络安全解决方案的制作方法
【专利摘要】本发明公开了一种云计算中心网络安全解决方案,通过引入虚拟交换机与虚拟路由器,将物理层面的网络概念抽象到虚拟层面,在虚拟网络之上实现隔离、防火墙网络安全功能,该方案主要包括:搭建二层虚拟网络,划分子网,部署虚拟路由器,定义防火墙规则。本发明通过将网络科学的划分为公有网络池、私有网络池两大类,并根据不同的网络分类,分层制定部署方案,在更加满足客户灵活需求的同时,实现网络的分类、分层化管理。通过引入虚拟路由器,将物理网络抽象到虚拟层面,有效节省了物理网络IP的使用量,将底层网络的管理功能统一转交给虚拟路由器,使得网管人员直接通过管理虚拟路由器即可管理整个系统网络的配置与服务,管理更加简便快捷。
【专利说明】—种云计算中心网络安全解决方案
【技术领域】
[0001]本发明涉及云计算的应用领域,具体涉及一种云计算中心网络安全解决方案。
技术背景
[0002]随着信息科技的发展,云计算逐步成为业界的发展热点,国内外各大厂商的云计算服务平台也开始纷纷投入到科学、教育、文化、卫生、政府、高性能计算、电子商务、物联网等多个领域进行使用。
[0003]云计算的一大重要特点,即是通过网络技术,将分布在各地的数据中心中的服务器、存储、网络设备通过管理软件集合起来协同工作,共同对外提供计算与存储等服务。在云数据中心,安全的网络环境不仅是必需的,而且已经成为企业成功的先决条件。黑客入侵、数据篡改、网络环境遭到破坏,将对企业的整个生产经营活动产生巨大影响。
[0004]然而随着计算机病毒、黑客以及拒绝服务攻击等破坏手段的盛行,网络安全已经逐渐成为企业不可不考虑的因素。如何在保证网络构架本身效率的同时,保护虚拟化网络环境中硬件、软件及系统中的数据不因偶然或者恶意的原因而遭到破坏、更改、泄露,成为各云计算厂商亟待解决的核心问题。
[0005]为了提供适当的安全体系和管理计划,动态拦截或放行网络流量,有效降低网络安全对网络性能的影响,保证云计算环境下的软、硬件不受恶意破坏,我们提出了一种易扩展、易开发、易维护的云数据中心网络安全解决方案。
【发明内容】
[0006]本发明要解决的技术问题是:本发明针对现有的云数据中心网络安全性差、难于管理的弊端,提出一种基于虚拟路由器的云数据中心网络安全保护方案。
[0007]传统的数据中心一般采用通过Vlan隔离网络、物理路由连通子网、物理防火墙过滤流量的网络部署方案。这种方案虽然在一定程度上保证了客户物理网络环境的安全,但采购物理路由器、防火墙会耗费相当一部分资金,且很难运用于以虚拟机为中心的云计算数据中心,无法方便地控制虚拟机之间的流量。
[0008]传统的VNC开源程序,通过直接连接服务器VNC端口,获取虚拟机桌面,具有如下缺点:
1)无法穿越多网络环境;
2)无法实现VNC数据分流,导致网络带宽占用率很大;
3)对于VMwanXen等虚拟化底层,有不同程度的双鼠标现象出现,无法做到双鼠标的根本消除。
[0009]本发明所采用的技术方案为:
一种云计算中心网络安全解决方案,通过引入虚拟交换机与虚拟路由器,将物理层面的网络概念抽象到虚拟层面,在虚拟网络之上实现隔离、防火墙等网络安全功能,节省网络成本,具备高扩展性、安全性、兼容性、适用性、实用性。该方案主要包括:搭建二层虚拟网络,划分子网,部署虚拟路由器,定义防火墙规则,其中: 搭建二层虚拟网络,是该方案的二层网络实现基础。在物理网络互通的前提下,将服务器网卡抽象为虚拟交换机部件,提供二层网络服务,基于开源虚拟交换机Open vSwitch进行开发,将每台服务器的物理网卡与一台虚拟交换机一对一绑定,抽象形成二层虚拟交换机部件;兼容各大厂商的路由器、交换机、网卡等物理网络设备,具有较高的抽象性与适用性。
[0010]划分子网,是该方案实现虚拟网络隔离的基础。通过基于VLan与IP池的子网划分方式,有效节省了物理网络IP的使用量,充分满足不同客户的各种网络需求,实现虚拟子网间的隔离;通过在虚拟交换机之上以VLan划分二层虚拟网络,保证系统内各类业务间的数据分离,将复杂的物理网络配置过程,抽象到虚拟层面,节省物理网络IP使用量的同时,简化了网络的配置过程;
部署虚拟路由器,是该方案的三层网络实施环节。通过引入虚拟路由器,将物理层面的三层网络概念抽象到虚拟层面,将底层网络的管理功能统一转交给虚拟路由器,使得网管人员不必关心底层网络的具体分布情况,直接通过管理虚拟路由器即可管理整个系统网络的配置与服务,配置更加灵活,成本更加低廉,管理更加便捷。采用自主研发的虚拟路由器,提供三层网络服务(NAT、路由、DHCP)等,实现虚拟子网之间的互联与访问控制,部署科学、灵活、高效、节省成本。
[0011]定义防火墙规则,是本方案实现网络安全的核心环节。通过向虚拟路由器发送防火墙控制命令,实现对系统网络的统一安全管理,本方案所采用的虚拟路由器根据5元组(源IP地址、目标IP地址、源端口、目标端口、协议)对连接进行筛选和分组,在保证云数据中心各个子网网络性能的同时,保障系统网络的安全性;
基于虚拟路由器添加防火墙规则,根据5元组(源IP地址、目标IP地址、源端口、目标端口、协议)对连接进行筛选和分组,对虚拟机之间的流量进行基本的防火墙保护;可在虚拟机迁移时动态地保护应用程序,并可以支持众多协议(包括FTP、RPC、TCP/IP协议
O
[0012]所述搭建二层虚拟网络,部署步骤如下:
O如图2,使用路由器、交换机、防火墙等物理设备,将云数据中心的计算(服务器)、存储(磁盘阵列)等资源进行连接,保证物理节点之间、管理节点与物理节点之间、节点与存储之间的网络可以互通;
对于网络性能要求较高的云数据中心,可以在物理上将系统的网络划分为业务网、控制网、数据网三种网络(如图2),以保证系统内各类业务间的数据分离。
[0013]2)配置虚拟交换机,即通过物理网卡抽象虚拟交换机部件,如图3,通过基于OpenvSwitch的软件方式,将每台服务器上的物理网卡与一台虚拟交换机一对一绑定,形成交换机部件,在交换机上虚拟若干端口,每个端口与云数据中心虚拟机的一块网卡一对一绑定,通过这种方式,实现虚拟机?虚拟机网卡?虚拟端口 ?虚拟交换机?物理网卡的网络连接方式;多个虚拟交换机可以进行级联设置,组成一个大的分布式虚拟交换机。跟传统的物理交换机相比,这种虚拟交换机具备众多优点,一是配置更加灵活,每块物理网卡抽象出的虚拟交换机,均可灵活配置虚拟端口,端口的数目可以灵活选择;二是成本更加低廉,通过虚拟交换机,往往可以获得昂贵的物理交换机才能达到的性能;三是对客户透明,客户只需配置虚拟机的网卡,即可实现虚拟机网络的自动连接,不必关心底层虚拟网络设备的连接方式。
[0014]所述划分子网,按照不同的网络连接方式与隔离手段,将虚拟网络划分为2大类,以满足不同客户的网络需求:
O公有网络池:如图4,公有网络池对应虚拟交换机上直连公网的虚拟端口组,虚拟机使用可以访问公网的IP;
2)私有网络池:如图5,私有网络池对应虚拟交换机上设置VLan的虚拟端口组,虚拟机使用特定Vlan下的私网IP,只能在局域网范围内通信,不可访问公网。
[0015]所述部署虚拟路由器,通过引入虚拟路由器,如图6,单独创建一个系统虚拟机,在其中添加路由核心服务、管理服务与SSH交互服务,统一封装成虚拟路由器的形式,为虚拟路由器设置两个网卡,分别连接私网虚拟交换机的端口与公网虚拟交换机的端口,并设置私网与公网IP,保证虚拟路由器可以与公网、私网连通;虚拟路由器的私网IP (如192.168.6.254),即为所连接的私网虚拟交换机的网关,所有连接该私网虚拟交换机的虚拟机,通过将该虚拟路由器的私网IP (如192.168.6.254)设置为自身的网关,实现虚拟路由器对虚拟机网络的管理,虚拟路由器以虚拟机模版(ovf格式)的形式提供,便于快速部署;通过虚拟路由,将各类网络连接起来。如图7,虚拟机使用私网IP,通过虚拟路由器,进行NAT与路由处理,实现与公网或隔离子网间的互联。由于系统中的网络均是虚拟的概念,因此有效节省了系统中不必要的IP使用。
[0016]所述定义防火墙规则,是该方案实现网络安全的核心环节。由于所有私有网络池的虚拟机网关均设置为虚拟路由器的私网网卡IP,因此在跨网络(跨网络指同Vlan不同网段之间、不同vlan之间)访问时,所有的外网(不同网段或不同vlan的网络)流量都必须先通过虚拟路由器,再流入虚拟机;类似的,所有的内网流量要到达外网(不同网段或不同vlan的网络)也要先通过虚拟路由器,如图7。因此,通过在虚拟路由中添加防火墙规则,即可控制不同网络之间互访时的流量。
[0017]如图8,虚拟化网络环境不外乎分为公共区域、私有区域、隔离区域三大类区域。不同区域间,以及同区域的不同网段间互访,均可通过添加防火墙规则进行限制。
[0018]所述防火墙规则包括:
1)数据包过滤:源IP过滤、源IP与目的IP过滤、源IP与目的协议过滤、源MAC地址过滤等;
2)网络过滤:通过URL过滤、内容分类过滤、关键字过滤等;
3)入侵防护:IPS等。
[0019]注:侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补IDS存在于前摄及假阳性/阴性等性质方面的弱点。IPS能够识别事件的侵入、关联、冲击、方向和适当的分析,然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
[0020]网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。
[0021]本发明的有益效果为:
1、通过深入调研客户的网络需求,将网络科学的划分为公有网络池、私有网络池两大类,并根据不同的网络分类,分层制定部署方案,在更加满足客户灵活需求的同时,实现网络的分类、分层化管理,部署更加科学、简洁,便于管理。
[0022]2、通过引入自主研发的虚拟路由器,将物理网络抽象到虚拟层面,一方面,有效节省了物理网络IP的使用量;另一方面,将底层网络的管理功能统一转交给虚拟路由器,使得网管人员不必关心底层网络的具体分布情况,直接通过管理虚拟路由器即可管理整个系统网络的配置与服务,管理更加简便快捷。
[0023]3、基于三层虚拟路由器之上添加防火墙规则,根据5元组(源IP地址、目标IP地址、源端口、目标端口、协议)对连接进行筛选和分组,对虚拟机之间的流量进行基本的防火墙保护,大大增强了云计算环境下的网络安全。
【专利附图】
【附图说明】
[0024]图1为本发明的实现流程示意图;
图2为基础网络环境图;
图3为虚拟交换机逻辑示意图;
图4为公有网络池不意图;
图5为私有网络池不意图;
图6为虚拟路由器组成架构图;
图7为虚拟路由网络示意图;
图8为防火墙隔离流量示意图。
【具体实施方式】
[0025]下面参照附图,通过【具体实施方式】对本发明进一步说明:
本发明的体系结构主要包括:搭建二层虚拟网络,划分子网,部署虚拟路由器,定义防火墙规则。
[0026]其中,搭建二层虚拟网络是该方案的二层网络实现基础。部署步骤如下:
O如图2,使用路由器、交换机、防火墙等物理设备,将云数据中心的计算(服务器)、存储(磁盘阵列)等资源进行连接,保证物理节点之间、管理节点与物理节点之间、节点与存储之间的网络可以互通。对于网络性能要求较高的云数据中心,可以在物理上将系统的网络划分为业务网、控制网、数据网三种网络(如图2),以保证系统内各类业务间的数据分离。
[0027]2)配置虚拟交换机,即通过物理网卡抽象虚拟交换机部件。如图3,通过基于OpenvSwitch的软件方式,将每台服务器上的物理网卡与一台虚拟交换机一对一绑定,形成交换机部件。在交换机上虚拟若干端口,每个端口与云数据中心虚拟机的一块网卡一对一绑定。通过这种方式,实现 虚拟机?虚拟机网卡?虚拟端口 ?虚拟交换机?物理网卡的网络连接方式。多个虚拟交换机可以进行级联设置,组成一个大的分布式虚拟交换机。跟传统的物理交换机相比,这种虚拟交换机具备众多优点,一是配置更加灵活,每块物理网卡抽象出的虚拟交换机,均可灵活配置虚拟端口,端口的数目可以灵活选择;二是成本更加低廉,通过虚拟交换机,往往可以获得昂贵的物理交换机才能达到的性能;三是对客户透明,客户只需配置虚拟机的网卡,即可实现虚拟机网络的自动连接,不必关心底层虚拟网络设备的连接方式。[0028]划分子网是本方案实现虚拟网络隔离的基础。按照不同的网络连接方式与隔离手段,将虚拟网络划分为2大类,以满足不同客户的网络需求:
O公有网络池:如图4,公有网络池对应虚拟交换机上直连公网的虚拟端口组,虚拟机使用可以访问公网的IP。
[0029]2)私有网络池:如图5,私有网络池对应虚拟交换机上设置VLan的虚拟端口组,虚拟机使用特定Vlan下的私网IP,只能在局域网范围内通信,不可访问公网。
[0030]部署虚拟路由器是该方案的三层网络实施环节。引入自主研发的虚拟路由器,如图6,单独创建一个系统虚拟机,在其中添加路由核心服务、管理服务与SSH交互服务,统一封装成虚拟路由器的形式。为虚拟路由器设置两个网卡,分别连接私网虚拟交换机的端口与公网虚拟交换机的端口,并设置私网与公网IP,保证虚拟路由器可以与公网、私网连通。虚拟路由器的私网IP (如192.168.6.254),即为所连接的私网虚拟交换机的网关。所有连接该私网虚拟交换机的虚拟机,通过将该虚拟路由器的私网IP (如192.168.6.254)设置为自身的网关,实现虚拟路由器对虚拟机网络的管理。虚拟路由器以虚拟机模版(ovf格式)的形式提供,便于快速部署。
[0031]通过虚拟路由,将各类网络连接起来。如图7,虚拟机使用私网IP,通过虚拟路由器,进行NAT与路由处理,实现与公网或隔离子网间的互联。由于系统中的网络均是虚拟的概念,因此有效节省了系统中不必要的IP使用。
[0032]定义防火墙规则是该方案实现网络安全的核心环节。由于所有私有网络池的虚拟机网关均设置为虚拟路由器的私网网卡IP,因此在跨网络(跨网络指同Vlan不同网段之间、不同vlan之间)访问时,所有的外网(不同网段或不同vlan的网络)流量都必须先通过虚拟路由器,再流入虚拟机;类似的,所有的内网流量要到达外网(不同网段或不同vlan的网络)也要先通过虚拟路由器,如图7。因此,通过在虚拟路由中添加防火墙规则,即可控制不同网络之间互访时的流量。
[0033]如图8,虚拟化网络环境不外乎分为公共区域、私有区域、隔离区域三大类区域。不同区域间,以及同区域的不同网段间互访,均可通过添加防火墙规则进行限制。具体的防火墙规则包括:
1)数据包过滤:源IP过滤、源IP与目的IP过滤、源IP与目的协议过滤、源MAC地址过滤等;
2)网络过滤:通过URL过滤、内容分类过滤、关键字过滤等;
入侵防护:ips等。
【权利要求】
1.一种云计算中心网络安全解决方案,其特征在于:通过引入虚拟交换机与虚拟路由器,将物理层面的网络概念抽象到虚拟层面,在虚拟网络之上实现隔离、防火墙网络安全功能,该方案主要包括:搭建二层虚拟网络,划分子网,部署虚拟路由器,定义防火墙规则,其中: 搭建二层虚拟网络,在物理网络互通的前提下,将服务器网卡抽象为虚拟交换机部件,提供二层网络服务,基于开源虚拟交换机Open VSwitch进行开发,将每台服务器的物理网卡与一台虚拟交换机一对一绑定,抽象形成二层虚拟交换机部件; 划分子网,通过基于VLan与IP池的子网划分方式,有效节省了物理网络IP的使用量,充分满足不同客户的各种网络需求,实现虚拟子网间的隔离;通过在虚拟交换机之上以VLan划分二层虚拟网络,保证系统内各类业务间的数据分离,将复杂的物理网络配置过程,抽象到虚拟层面,节省物理网络IP使用量的同时,简化了网络的配置过程; 部署虚拟路由器,通过引入虚拟路由器,将物理层面的三层网络概念抽象到虚拟层面,将底层网络的管理功能统一转交给虚拟路由器,使得网管人员不必关心底层网络的具体分布情况,直接通过管理虚拟路由器即可管理整个系统网络的配置与服务,采用自主研发的虚拟路由器,提供NAT、路由、DHCP三层网络服务,实现虚拟子网之间的互联与访问控制; 定义防火墙规则,通过向虚拟路由器发送防火墙控制命令,实现对系统网络的统一安全管理,本方案所采用的虚拟路由器根据源IP地址、目标IP地址、源端口、目标端口、协议5元组对连接进行筛选和分组,在保证云数据中心各个子网网络性能的同时,保障系统网络的安全性; 基于虚拟路由器添加防火墙规则,根据源IP地址、目标IP地址、源端口、目标端口、协议5元组对连接进行 筛选和分组,对虚拟机之间的流量进行基本的防火墙保护。
2.根据权利要求1所述的一种云计算中心网络安全解决方案,其特征在于:所述搭建二层虚拟网络,部署步骤如下: 1)使用路由器、交换机、防火墙物理设备,将云数据中心的计算、存储资源进行连接,保证物理节点之间、管理节点与物理节点之间、节点与存储之间的网络互通; 2)配置虚拟交换机,通过物理网卡抽象虚拟交换机部件,通过基于OpenvSwitch的软件方式,将每台服务器上的物理网卡与一台虚拟交换机一对一绑定,形成交换机部件,在交换机上虚拟若干端口,每个端口与云数据中心虚拟机的一块网卡一对一绑定,通过这种方式,实现虚拟机?虚拟机网卡?虚拟端口 ?虚拟交换机?物理网卡的网络连接方式;多个虚拟交换机能够进行级联设置,组成一个大的分布式虚拟交换机。
3.根据权利要求1或2所述的一种云计算中心网络安全解决方案,其特征在于:所述划分子网,按照不同的网络连接方式与隔离手段,将虚拟网络划分为2大类: O公有网络池:公有网络池对应虚拟交换机上直连公网的虚拟端口组,虚拟机使用可以访问公网的IP ; 2)私有网络池:私有网络池对应虚拟交换机上设置VLan的虚拟端口组,虚拟机使用特定Vlan下的私网IP,只能在局域网范围内通信,不可访问公网。
4.根据权利要求3所述的一种云计算中心网络安全解决方案,其特征在于:所述部署虚拟路由器,通过引入虚拟路由器,单独创建一个系统虚拟机,在其中添加路由核心服务、管理服务与SSH交互服务,统一封装成虚拟路由器的形式,为虚拟路由器设置两个网卡,分别连接私网虚拟交换机的端口与公网虚拟交换机的端口,并设置私网与公网IP,保证虚拟路由器可以与公网、私网连通;虚拟路由器的私网IP,即为所连接的私网虚拟交换机的网关,所有连接该私网虚拟交换机的虚拟机,通过将该虚拟路由器的私网IP设置为自身的网关,实现虚拟路由器对虚拟机网络的管理,虚拟路由器以虚拟机模版的形式提供,便于快速部署;通过虚拟路由,将各类网络连接起来,虚拟机使用私网IP,通过虚拟路由器,进行NAT与路由处理,实现与公网或隔离子网间的互联。
5.根据权利要求4所述的一种云计算中心网络安全解决方案,其特征在于:通过在虚拟路由中添加防火墙规则,控制不同网络之间互访时的流量。
6.根据权利要求5所述的一种云计算中心网络安全解决方案,其特征在于:所述防火墙规则包括: . 1)数据包过滤:源IP过滤、源IP与目的IP过滤、源IP与目的协议过滤、源MAC地址过滤等; . 2)网络过滤:通过URL过滤、内容分类过滤、关键字过滤等; . 3)入侵防护。
【文档编号】H04L29/06GK103746997SQ201410011353
【公开日】2014年4月23日 申请日期:2014年1月10日 优先权日:2014年1月10日
【发明者】吕广杰, 朱波 申请人:浪潮电子信息产业股份有限公司