包转发给目的虚拟机,当源虚拟机和目的虚拟机之间不允许进行通信时,将所述通信数据包丢弃,并生成日志?目息O
[0015]一种虚拟机的安全防护方法,包括以下步骤:
步骤一、统一设置虚拟机所在网络中每个虚拟机的默认网关,并按照任意两个虚拟机的IP地址不在同一个逻辑网络的方式配置每个虚拟机的IP地址,使得任意两个虚拟机之间不可直接进行通信;
步骤二、根据虚拟机的地址信息对虚拟机进行分组管理,配置虚拟机的分组信息和通信策略,其中分组信息包括每一个虚拟机所在的分组编号以及组内每一个虚拟机的地址信息,所述通信策略包括各分组之间以及同一分组内各虚拟机之间的通信允许情况;
步骤三、根据虚拟机所在网络中的通信数据包的源地址信息和目的地址信息区分通信数据包是虚拟机之间的通信数据包还是虚拟机与外网之间的通信数据包,若是虚拟机与外网之间的通信数据包,则执行步骤四,若是虚拟机之间的通信数据包,则执行步骤五;
步骤四、将通信数据包进行网络地址转换后直接向目的地转发; 步骤五、提取通信数据包的源地址信息和目的地址信息,并在分组信息中查询得到源地址信息对应的源虚拟机所在的分组编号以及目的地址信息对应的目的虚拟机所在的分组编号,然后根据分组编号在通信策略中查询得到源虚拟机和目的虚拟机之间的通信允许情况,当源虚拟机和目的虚拟机之间允许进行通信时,将所述通信数据包转发给目的虚拟机,当源虚拟机和目的虚拟机之间不允许进行通信时,将所述通信数据包丢弃,并生成日志?目息O
[0016]本发明的有益效果:
I)、本发明提出的虚拟机级安全防护系统,设置虚拟机的IP地址,满足任意两个虚拟机的IP地址不在同一个逻辑网络(例如虚拟机a的IP地址为192.168.1.2/255.255.255.252,虚拟机b的IP地址为192.168.1.5/255.255.255.252,S卩a和b不在同一个逻辑网络),且每个虚拟机的默认网关设置为虚拟机级安全防护系统的IP地址,使得任意两个虚拟机不可直接进行通信,虚拟机之间的通信数据以及虚拟机和外网的通信数据均会被首先发送至作为网关的虚拟机级安全防护系统,然后由虚拟机级安全防护系统转发,由此可以实现对虚拟机的分组管理,为不同的虚拟机设置不同的流量隔离规则,并添加流量清洗、入侵检测等功能,从而全面监控了虚拟机之间的通信流量。
[0017]2)、布置本发明提出的虚拟机级安全防护系统,虚拟机之间不可通过获得的IP地址直接进行通信,从而有效阻止了攻击者在虚拟机之间实施ARP欺骗、网络嗅探等攻击行为,有效提升了对云平台的安全防护。
[0018]3)、布置本发明提出的虚拟机级安全防护系统,用户可以把具有不同安全等级、隶属于不同部门、提供不同服务的虚拟机划分为不同的分组,实现组与组之间的安全隔离,有效提高了用户信息的安全性,同时用户可以通过IP地址或/和MAC地址对分组信息进行修改,实现了按需管控虚拟机间的分组通信。
[0019]4)、经样机使用实践证明,本发明能实现对虚拟机之间的通信流量的全面精细的监控和管理,且本发明所述方案在各类云平台中容易布置、操作简单、安全可靠,具有显著的经济社会效益和广阔的市场推广应用前景。
【附图说明】
[0020]图1是本发明所述虚拟机级安全防护系统的第一优选实施方式的总体结构框图;
图2是本发明所述虚拟机级安全防护系统中分组管理单元的结构框图;
图3是本发明所述虚拟机级安全防护系统中数据单元的结构框图;
图4是本发明所述虚拟机级安全防护系统的第二优选实施方式的总体结构框图; 图中各附图标记的含义如下:
11-分组管理单元,12-数据单元,13-通信处理单元,14-日志单元,15-安全处理单元;
21-分组信息存储模块,22-分组通信策略存储模块;
31-数据包接收模块,32-数据包发送模块。
【具体实施方式】
[0021]以下结合附图对本发明的技术方案进行详细的描述,以使本领域技术人员能够更加清楚地理解本发明的方案,但并不因此限制本发明的保护范围。
[0022]首先说明本发明的技术创新原理,本发明所述的虚拟机级安全防护系统针对虚拟机网络系统布置,“虚拟机级”即是以虚拟机作为最小单位,优选的本发明所述虚拟机级安全防护系统可布置于云环境下,更优选的布置在云环境网络系统的出口处,所述虚拟机级安全防护系统可采用和交换设备串接或并接的方式部署,本发明不对系统的部署方式进行限制,其中交换设备可以但不限于交换机或路由器。需要首先把每个虚拟机的默认网关均设置为所部署的虚拟机级安全防护系统自身的IP地址,即将所述虚拟机级安全防护系统作为虚拟机所在网络的网关。如果虚拟机的I P地址是利用D H C P ( D y n a m i C HostConfigurat1n Protocol,动态主机配置协议)协议分配的,需要配置DHCP服务器使得任意两个虚拟机获得的IP地址不在同一个逻辑网络(例如虚拟机a的IP地址为192.168.1.2/
255.255.255.252,虚拟机b的IP地址为 192.168.1.5/255.255.255.252,S卩a和b不在同一个逻辑网络)。考虑到云环境中某些虚拟机需要配置成静态的IP地址,因此系统也允许在虚拟机的虚拟网卡上手动配置IP地址,但要求手动配置的IP地址不能与其它任何虚拟机的IP地址在同一个逻辑网络,即保证在布置本发明所述虚拟机级安全防护系统的网络中任意两个虚拟机的IP地址不在同一个逻辑网络,从而任意两个虚拟机之间均不能利用获得的IP地址直接进行通信,虚拟机之间的通信数据以及虚拟机和外网的通信数据均会被首先发送至作为网关的本发明所述虚拟机级安全防护系统,然后由虚拟机级安全防护系统以网关身份进行转发。由此可以实现对虚拟机的分组管理与隔离,为不同的虚拟机设置不同的防火墙策略,添加流量审计、入侵检测等功能提供了便利。此外由于虚拟机之间不可通过获得的IP地址直接通信,从而也有效阻止攻击者在虚拟机之间实施ARP欺骗、网络嗅探等攻击行为,有效提升了对云平台的安全防护。
[0023]下面结合附图具体描述本发明所述虚拟机级安全防护系统的结构原理和工作过程,优选的包括如下第一优选实施方式和第二优选实施方式。
[0024]第一优选实施方式
如图1所示,作为第一优选实施方式,本发明所述的虚拟机级安全防护系统包括分组管理单元11、数据单元12、通信处理单元13和日志单元14;其中所述分组管理单元11连接于通信处理单元13,数据单元12连接于通信处理单元13,通信处理单元13连接于数据单元12和日志单元14,所述分组管理单元11接收用户配置信息的输入。
[0025]本发明所述系统支持对云平台中各虚拟机的逻辑隔离,可依据虚拟机的IP地址或/和MAC地址对虚拟机任意分组并进行分组管理,优选的可采用虚拟机的IP地址+MAC地址的形式对各虚拟机进行分组。如图2所示,所述分组管理单元11包括分组信息存储模块21和分组通信策略存储模块22,其中分组信息存储模块21用于存储每一个分组的编号、组内每一个虚拟机的IP地址和MAC地址等分组信息,分组通信策略存储模块22用于存储分组的通信策略,这些通信策略包括:允许哪些分组之间进行通信、不允许哪些分组之间进行通信,默认同一分组内的虚拟机之间允许进行通信;分组信息存储模块21中存储的分组信息和分组通信策略存储模块22中存储的通信策略均由用户输入进行设定,并可根据需要进行定时修改。其中分组信息存储模块21中至少包括一个分组,每个分组至少包括一个虚拟机,极端情况下,如果只有一个分组,则所有虚拟机属于一个分组,所有虚拟机之间允许互相通信,如果每个分组里均只有一个虚拟机,则此时系统相当于以虚拟机为基本单位设置流量隔离规则,用户可根据虚拟机的IP地址和/或MAC地址对分组信息和通信策略进行修改。
[0026]如图3所示,数据单元12包括数据包接收模块31和数据包发送模块32,用于处理虚拟机之间、虚拟机与外网通信产生的通信数据包。数据包接收模块31接收虚拟机和外网发送过来的数据包,依据源IP地址和目的IP地址区分是虚拟机之间的通信还是虚拟机与外网的通信,如果是虚拟机和外网的之间的通信数据包,则依据公知的NAT (Network AddressTranslat1n,网络地址转换)技术进行IP地址转换后发送至数据包发送模块32;如果是虚拟机之间的通信数据包,则转发至通信处理单元13进行处理;数据包发送模块32接收数据包接收模块31和通信处理单元13发送过来