用于服務器虛擬化的虛擬網關防護方法、安全網關及系統的制作方法

專利名稱：用于服務器虛擬化的虛擬網關防護方法、安全網關及系統的制作方法
技術領域：
本發明涉及計算機領域，尤其涉及一種用于服務器虛擬化的虛擬網關防護方法、 安全網關及系統。
背景技術：
服務器虛擬化是指通過虛擬化層的實現使得在單一物理服務器上可以運行多個虛擬服務器。服務器虛擬化帶來的做大變化就是網絡構架的改變，在傳統的模式下，每個物理機或服務器上都由一套獨立的安全防護方法保護，而在外圍又部署了防火墻等安全防護產品，即使服務器受到攻擊，危害也僅局限在一個隔離區，影響范圍不會太大。但是，由于虛擬化數據中心中采用了新的網絡構架，幾十個操作系統或應用程序均以虛擬機的形式同時部署在物理服務器上，這些虛擬機間同時共享該服務器的硬件資源，虛擬機間的網絡流量不被外圍安全防護設備感知，因此無法利用現有的安全防護方法進行保護，當一臺虛擬機發生問題時，安全問題就會通過網絡蔓延至其他的虛擬機。

發明內容
有鑒于此，本發明提供了一種用于服務器虛擬化的虛擬網關防護方法、安全網關及系統，目的在于解決服務器虛擬化時各虛擬機間缺乏安全防護的問題。為實現上述目的，本發明提供了如下方案一種用于服務器虛擬化的虛擬網關防護方法，包括在所述服務器虛擬化平臺上建立虛擬安全網關并將所述虛擬安全網關接入待保護的虛擬子網絡；所述虛擬安全網關隔離并監測所述虛擬子網絡間的通信流量，當所述通信流量不符合預設的安全策略時，做出異常響應，當所述通信流量符合預設的安全策略時，做出正常響應。優選地，所述建立虛擬安全網關并將所述虛擬安全網關接入待保護的虛擬子網絡的具體過程為將虛擬安全網關導入所述服務器虛擬化平臺中；在所述虛擬安全網關上添加并啟用虛擬網卡，并通過所述虛擬網卡將所述虛擬安全網關接入待保護的虛擬子網絡；在所述虛擬安全網關上配置安全策略。優選地，所述在所述虛擬安全網關上添加并啟用虛擬網卡，并通過所述虛擬網卡將所述虛擬安全網關接入待保護的虛擬子網絡的具體過程為在所述虛擬安全網關上添加并啟用與待保護的虛擬子網絡內的虛擬交換機數量相等的虛擬網卡；建立所述虛擬交換機和所述虛擬網卡間的一一對應關系，以將所述虛擬安全網關接入所述待保護的虛擬子網絡。
優選地，所述安全策略包括所述虛擬子網絡訪問廣域網的規則、廣域網訪問所述虛擬子網絡的規則和所述虛擬子網絡間互訪的規則中的一種或任意幾種的組合。優選地，所述虛擬安全網關隔離并監測所述待保護的虛擬子網絡間的通信流量的具體過程為所述虛擬安全網關接收并隔離所述待保護的虛擬子網絡發送或接收的通信流量；依據預設的安全策略分析處理所述通信流量。優選地，所述異常響應包括報警和/或丟棄；所述正常響應包括通過和/或轉發。一種用于服務器虛擬化的虛擬安全網關，包括隔離監測模塊，用于隔離并監測待保護的虛擬子網絡間的通信流量；響應模塊，用于當所述通信流量不符合預設的安全策略時，做出異常響應，當所述通信流量符合預設的安全策略時，做出正常響應。優選地，所述隔離監測模塊還包括接收單元，用于接收并隔離待保護的虛擬子網絡發送或接收的通信流量；分析單元，用于依據預設的安全策略分析處理所述通信流量。一種用于服務器虛擬化的安全防護系統，包括虛擬安全網關，用于隔離并監測待保護的虛擬子網間的通信流量，當所述通信流量不符合預設的安全策略時，做出異常響應，當所述通信流量符合預設的安全策略時，做出正常響應；虛擬交換機，用于將所述虛擬安全網卡接入待保護的虛擬子網絡。優選地，根據所述的虛擬安全網關或安全防護系統，所述虛擬安全網關還包括虛擬網卡，用于建立與虛擬交換機間的一一對應關系，以將所述虛擬安全網關接入待保護的虛擬子網絡。本發明公開的實施例具有以下有益效果通過在服務器虛擬化平臺建立的虛擬安全網關，監測各個虛擬機間的網絡流量，當有虛擬機有安全問題時，所述虛擬安全網關能夠及時做出響應，避免了整個網絡的虛擬機都受到影響。


為了更清楚地說明本發明實施例或現有技術中的技術方案，下面將對實施例或現有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發明的一些實施例，對于本領域普通技術人員來講，在不付出創造性勞動的前提下，還可以根據這些附圖獲得其他的附圖。圖1為本發明實施例公開的一種用于服務器虛擬化的虛擬網關防護方法流程圖；圖2為本發明實施例公開的在服務器虛擬化平臺上建立虛擬安全網關的流程圖；圖3為本發明實施例公開的建立虛擬安全網關后的服務器虛擬化應用場景示意圖；圖4為本發明實施例公開的虛擬安全網關隔離并監測待保護的虛擬子網絡間交換的數據的流程圖；圖5為本發明實施例公開的一種用于服務器虛擬化的虛擬安全網關結構示意圖；圖6為本發明實施例公開的一種用于服務器虛擬化的安全防護系統結構示意圖。
具體實施方 式本發明總的涉及部署在物理服務器上的網絡安全防護方法。具體而言，本發明涉及在虛擬化的服務器上部署虛擬安全網關，為服務器上不同的虛擬子網絡或虛擬應用提供安全防護，保護內網資源不被非法訪問，阻止未經運行和授權的信息輸出。下面將結合本發明實施例中的附圖，對本發明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發明一部分實施例，而不是全部的實施例。基于本發明中的實施例，本領域普通技術人員在沒有做出創造性勞動前提下所獲得的所有其他實施例，都屬于本發明保護的范圍。本發明公開的一種用于服務器虛擬化的虛擬網關安全防護方法，流程如圖1所示，包括步驟SlOl 在所述服務器虛擬化平臺上建立虛擬安全網關，并將此虛擬安全網關接入待保護的虛擬子網絡。本實施例中的服務器虛擬化平臺是指虛擬機監控器(Virtual Machine Monitor, 簡稱VMM)，其從本質而言是一個操作系統，對底層硬件設備進行了虛擬化，提供了一個屏蔽硬件差異的資源管理、分配及監控平臺。運行在虛擬化平臺VMM上的虛擬機，即Guest OS, 可以是Linux系統、Window系統或者其它應用程序。本發明適用的服務器虛擬化平臺包括但并不限于VMware vSphere平臺、Citrix XenServer 平臺、基于內核的虛擬機(Kernel based Virtual Machine，簡稱KVM)平臺。上述的虛擬安全網關可以看作是能提供分組過濾和訪問控制等安全防護功能的安全虛擬機，它是物理安全網關的虛擬化實現，可以是防火墻、入侵防御系統(Intrusion Prevention System，簡稱IPS)、統一威脅管理系統(Unified Threat Management，簡稱 UTM)及防病毒虛擬網關。本實施例中，虛擬安全網關開發為支持開放虛擬機格式(OVF)標準接口的虛擬器件，OVF是用于封裝和分發在虛擬平臺上運行的虛擬器件的開放標準，采用該標準開發的虛擬安全網關不再需要綁定到任何特定的管理程序或處理器架構，經過簡單的轉換即可支持不同的虛擬化平臺。上述的待保護網絡為處于同一個VMM上的由不同的虛擬機構成的網絡，這些網絡可能只包括一個虛擬機，也可能包括多個虛擬機。步驟S102 所述虛擬安全網關隔離并監測待保護的虛擬子網間的通信流量，當所述通信流量不符合預設的安全策略時，所述虛擬安全網關做出異常響應；當所述通信流量符合預設的安全策略時，做出正常響應。本實施例中所述的通信流量是指所述虛擬子網絡間傳輸的通信數據或是一個虛擬子網絡向其它虛擬子網絡發起的特定動作，例如發起訪問等。所述安全策略指為處于VMM上的虛擬子網絡配置的防止其遭到攻擊、用于安全防護的安全規則，例如，過濾規則、NAT規則、端口映射規則、IP映射規則、代理規則、病毒過濾規則、數據傳輸規則、網絡訪問規則等。本實施例中主要用到的是虛擬子網絡訪問廣域網的規貝"J、廣域網訪問虛擬子網絡的規則、虛擬子網絡間互訪的規則，可以是這些規則中的任意一種，或者任意幾種的組合，但并不限于這些規則，還可以為包過濾規則、NAT規則、端口映射規則、IP映射規則、代理規則、病毒過濾規則等，這些安全規則可以依據具體的安全防護需求進行調整。所述異常響應包括報警和攔截，當通信流量不符合預設的安全策略時，虛擬安全網關做出報警或攔截響應，也可同時做出兩種響應；所述正常響應包括通過和轉發，當通信流量符合預設的安全策略時，虛擬安全網關做出通過或轉發響應，也可以同時做出兩種響
應。 本實施例公開的用于服務器虛擬化的安全防護方法，使用在VMM上建立虛擬安全網關的方式，使VMM上網絡間交換的數據能夠被虛擬安全網關隔離并檢測，起到了對服務器虛擬化平臺安全防護的作用。進一步地，在所述服務器虛擬化平臺上建立虛擬安全網關，并將此虛擬安全網關接入待保護的虛擬子網絡的具體過程如圖2所示，包括步驟S201 將虛擬安全網關導入所述服務器虛擬化平臺中。虛擬機導入到虛擬化平臺的過程是通過虛擬機集中管理軟件提供的虛擬機導入功能實現的，該虛擬機集中管理軟件由虛擬化平臺軟件廠商提供，可以安裝在物理機器或虛擬機中。步驟S202 在所述虛擬安全網關上添加并啟用虛擬網卡，并通過所述虛擬網卡將所述虛擬安全網關接入待保護的虛擬子網絡。添加虛擬網卡的過程也是通過虛擬機集中管理軟件實現的，對虛擬安全網關使用網絡設備添加功能添加并啟用待保護的虛擬子網絡內的虛擬交換機數量相等的虛擬網卡， 然后建立所述虛擬交換機和所述虛擬網卡間的一一對應關系，以將所述虛擬安全網關接入所述待保護的虛擬子網絡。所述的虛擬交換機是指VMM上用于本網絡與其他網絡進行數據交換的虛擬設備。此外，虛擬安全網關也可以實現動態添加和刪除虛擬網卡，以適應服務器虛擬環境下，網絡拓撲的變化和安全需求的變化。步驟S203 在所述虛擬安全網關上配置安全策略。這里的安全策略與上述的安全策略相同，安全策略配置可以選擇從Web界面方式遠程訪問虛擬安全網關，在相應的功能模塊界面添加策略配置規則，或者通過命令行的方式登錄到虛擬安全網關，配置相應的規則。建立虛擬安全網關后的服務器虛擬化應用場景如圖3所示，在底層硬件設備301 上運行進行虛擬機監控程序VMM 302，此服務器監控程序中包括虛擬機305、310和312，虛擬機310和312屬于同一個網絡，并通過各自的虛擬網卡311和313與本網絡內的虛擬交換機304相連，虛擬機305屬于另外一個網絡，并通過虛擬網卡306與本網絡內的虛擬交換機303相連，兩個網絡通過各自的虛擬交換機303和304發送和接收數據，同時虛擬交換機 303和304還與虛擬安全網關307上的虛擬網卡308和309相連，將虛擬安全網關307接入兩個待保護網絡中。
以上建立虛擬安全網關的步驟具有可操作性強、適應性強的特點，通過以上步驟建立的虛擬安全網關相當于建立在VMM上的安全虛擬機，是VMM安全防護的基礎和關鍵性設備，為虛擬服務器上的內網提供細粒度的保護。進一步地，虛擬安全網關隔離并監測待保護的虛擬子網間的通信流量的具體過程如圖4所示，包括步驟S401 所述虛擬安全網關接收并隔離所述待保護的虛擬子網絡發送或接收的通信流量。VMM中的虛擬子網絡通過各自的虛擬交換機向其它虛擬子網絡發送通信流量，并接收其它虛擬子網絡發出的通信流量，虛擬安全網關通過虛擬交換機和虛擬網卡間的一一對應關系，接收這些虛擬子網絡內的虛擬交換機發送或接收的通信流量，然后將所述通信流量暫時隔離在虛擬安全網關中。步驟S402 依據預設的安全策略分析處理所述通信流量。虛擬安全網關將接收到的通信流量與預設的安全策略進行比較分析，當符合安全策略時，依據虛擬交換機和虛擬網卡間的對應關系將通信流量發送給目的虛擬子網絡內的虛擬交換機，當不符合安全策略時，虛擬安全網關做出響應，例如，檢測到分組數據的目的端口為安全策略規定關閉的端口，那么可以對這些數據進行攔截或丟棄，也可以對用戶報警，由用戶選擇處理方式；或者檢測到一個虛擬子網絡對一個其沒有訪問權限的虛擬子網絡發起訪問，那么就可以對用戶報警。具體的響應方式也可由用戶自定義。從上述描述可看出，虛擬安全網關通過與VMM中各個網絡的虛擬交換機相連，能夠檢測到虛擬子網絡間交換的所有數據，消除了服務器虛擬化中的安全防護盲點。與本發明提供的用于服務器虛擬化的安全防護方法相對應，本發明實施例還公開一種用于服務器虛擬化的虛擬安全網關及系統。本發明公開的一種用于服務器虛擬化的虛擬安全網關，其結構如圖5所示，包括隔離監測模塊501，用于隔離并監測待保護的虛擬子網絡間的通信流量；響應模塊502，用于當所述通信流量不符合預設的安全策略時，做出異常響應，當所述通信流量符合預設的安全策略時，做出正常響應。所述虛擬安全網關使用圖2所示的流程建立，用于隔離并監測待保護的虛擬子網絡間的通信流量，當所述通信流量不符合預設的安全策略時做出響應，檢測的具體過程如圖5所示。進一步地，所述隔離監測模塊還包括接收單元5011，用于接收并隔離待保護的虛擬子網絡內的虛擬交換機向其它待保護的虛擬子網絡發送的通信流量；分析單元5012，用于依據預設的安全策略分析處理所述通信流量。本實施例公開的一種用于服務器虛擬化的安全防護系統，結構如圖6所示，包括虛擬安全網關601，用于隔離并監測待保護的虛擬子網絡間的網絡流量，當所述 網絡流量不符合預設的安全策略時，做出異常響應，當所述通信流量符合預設的安全策略時， 做出正常響應；虛擬交換機602，用于將所述虛擬安全網卡接入待保護的虛擬子網絡。本實施例提供的安全防護系統，用于對服務器虛擬化平臺的虛擬交換機提供安全防護，當一個虛擬機發生異常時，保證其它虛擬機不受影響。進一步地，上述兩個實施例公開的虛擬安全網關和安全防護系統中，所述虛擬安全網關還包括虛擬網卡，用于建立與虛擬交換機間的一一對應關系，以將所述虛擬安全網關接入待保護的虛擬子網絡。

本說明書中各個實施例采用遞進的方式描述，每個實施例重點說明的都是與其他實施例的不同之處，各個實施例之間相同相似部分互相參見即可。對于實施例公開的裝置而言，由于其與實施例公開的方法相對應，所以描述的比較簡單，相關之處參見方法部分說明即可。對所公開的實施例的上述說明，使本領域專業技術人員能夠實現或使用本發明。 對這些實施例的多種修改對本領域的專業技術人員來說將是顯而易見的，本文中所定義的一般原理可以在不脫離本發明的精神或范圍的情況下，在其它實施例中實現。因此，本發明將不會被限制于本文所示的這些實施例，而是要符合與本文所公開的原理和新穎特點相一致的最寬的范圍。
權利要求
1.一種用于服務器虛擬化的虛擬網關防護方法，其特征在于，包括在所述服務器虛擬化平臺上建立虛擬安全網關并將所述虛擬安全網關接入待保護的虛擬子網絡；所述虛擬安全網關隔離并監測所述虛擬子網絡間的通信流量，當所述通信流量不符合預設的安全策略時，做出異常響應，當所述通信流量符合預設的安全策略時，做出正常響應。
2.根據權利要求1所述的方法，其特征在于，所述建立虛擬安全網關并將所述虛擬安全網關接入待保護的虛擬子網絡的具體過程為將虛擬安全網關導入所述服務器虛擬化平臺中；在所述虛擬安全網關上添加并啟用虛擬網卡，并通過所述虛擬網卡將所述虛擬安全網關接入待保護的虛擬子網絡；在所述虛擬安全網關上配置安全策略。
3.根據權利要求2所述的方法，其特征在于，所述在所述虛擬安全網關上添加并啟用虛擬網卡，并通過所述虛擬網卡將所述虛擬安全網關接入待保護的虛擬子網絡的具體過程為在所述虛擬安全網關上添加并啟用與待保護的虛擬子網絡內的虛擬交換機數量相等的虛擬網卡；建立所述虛擬交換機和所述虛擬網卡間的一一對應關系，以將所述虛擬安全網關接入所述待保護的虛擬子網絡。
4.根據權利要求1或2所述的方法，其特征在于，所述安全策略包括所述虛擬子網絡訪問廣域網的規則、廣域網訪問所述虛擬子網絡的規則和所述虛擬子網絡間互訪的規則中的一種或任意幾種的組合。
5.根據權利要求1所述的方法，其特征在于，所述虛擬安全網關隔離并監測所述待保護的虛擬子網絡間的通信流量的具體過程為所述虛擬安全網關接收并隔離所述待保護的虛擬子網絡發送或接收的通信流量； 依據預設的安全策略分析處理所述通信流量。
6.根據權利要求1至5任一項所述的方法，其特征在于，所述異常響應包括 報警和/或丟棄；所述正常響應包括 通過和/或轉發。
7.一種用于服務器虛擬化的虛擬安全網關，其特征在于，包括 隔離監測模塊，用于隔離并監測待保護的虛擬子網絡間的通信流量；響應模塊，用于當所述通信流量不符合預設的安全策略時，做出異常響應，當所述通信流量符合預設的安全策略時，做出正常響應。
8.根據權利要求7所述的虛擬安全網關，其特征在于，所述隔離監測模塊還包括 接收單元，用于接收并隔離待保護的虛擬子網絡發送或接收的通信流量； 分析單元，用于依據預設的安全策略分析處理所述通信流量。
9.一種用于服務器虛擬化的安全防護系統，其特征在于，包括虛擬安全網關，用于隔離并監測待保護的虛擬子網間的通信流量，當所述通信流量不符合預設的安全策略時，做出異常響應，當所述通信流量符合預設的安全策略時，做出正常響應；虛擬交換機，用于將所述虛擬安全網卡接入待保護的虛擬子網絡。
10.根據權利要求9所述的虛擬安全網關或安全防護系統，其特征在于，所述虛擬安全網關還包括虛擬網卡，用于建立與虛擬交換機間的一一對應關系，以將所述虛擬安全網關接入待保護的虛擬子網絡。
全文摘要
本發明提供了一種用于服務器虛擬化的虛擬網關防護方法、安全網關及系統，該方法包括在所述服務器虛擬化平臺上建立虛擬安全網關并將所述虛擬安全網關接入待保護的虛擬子網絡；所述虛擬安全網關隔離并監測所述虛擬子網絡間的通信流量，當所述通信流量不符合預設的安全策略時，做出異常響應，當所述通信流量符合預設的安全策略時，做出正常響應。本發明公開的方法通過在服務器虛擬化平臺建立的虛擬安全網關，來隔離和監控各個虛擬機間的網絡流量，當被保護虛擬機遇到安全威脅時，所述虛擬安全網關能夠及時做出響應，避免了整個虛擬網絡內的虛擬機受到影響。
文檔編號H04L12/46GK102244622SQ20111020873
公開日2011年11月16日 申請日期2011年7月25日 優先權日2011年7月25日
發明者孟慶森, 畢學堯, 郭春梅 申請人:北京網御星云信息技術有限公司