技術(shù)領(lǐng)域

本發(fā)明屬于信息安全的網(wǎng)絡(luò)訪問控制領(lǐng)域。

技術(shù)背景

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它可通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

按防火墻的應(yīng)用部署位置，可以分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。邊界防火墻位于內(nèi)、外部網(wǎng)絡(luò)的邊界，所起的作用的對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)邊界內(nèi)部網(wǎng)絡(luò)；個(gè)人防火墻安裝于單臺(tái)主機(jī)中，防護(hù)的也只是單臺(tái)主機(jī)；混合式防火墻是一整套防火墻系統(tǒng)，由若干個(gè)軟、硬件組件組成，分布于內(nèi)、外部網(wǎng)絡(luò)邊界和內(nèi)部各主機(jī)之間，既對(duì)內(nèi)、外部網(wǎng)絡(luò)之間通信進(jìn)行過濾，又對(duì)網(wǎng)絡(luò)內(nèi)部各主機(jī)間的通信進(jìn)行過濾。

受到應(yīng)用范圍、部署難度和成本等因素的限制，在個(gè)人計(jì)算機(jī)中通常使用個(gè)人防火墻。這種防火墻通常是軟件實(shí)現(xiàn)，與操作系統(tǒng)的內(nèi)核協(xié)議棧相互配合完成網(wǎng)絡(luò)訪問的過濾。

目前，由于個(gè)人防火墻安裝在操作系統(tǒng)之中，它們主要有四大不足：一、重裝操作系統(tǒng)之后需要再次安裝防火墻，期間存在一個(gè)防護(hù)真空；二、防火墻軟件的實(shí)現(xiàn)依賴于特定操作系統(tǒng)，對(duì)于不同的操作系統(tǒng)需要實(shí)現(xiàn)多套防火墻；三、防火墻本身的安全性依賴于操作系統(tǒng)，一旦操作系統(tǒng)存在漏洞或后門，黑客可能繞過防火墻而訪問私密數(shù)據(jù)；四、本地操作可以關(guān)閉防火墻，用戶的誤操作或執(zhí)行了木馬程序，都可能導(dǎo)致防火墻功能被屏蔽，從而顯露在網(wǎng)絡(luò)攻擊之下。所以，傳統(tǒng)的個(gè)人防火墻部署方式在靈活性和安全性方面都有隱患。

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有個(gè)人防火墻技術(shù)上的不足，設(shè)計(jì)了一種集成于個(gè)人計(jì)算機(jī)之中，不依賴于具體操作系統(tǒng)，并且支持多網(wǎng)隔離的個(gè)人防火墻設(shè)計(jì)方案。

為了實(shí)現(xiàn)發(fā)明目的，采用的技術(shù)方案如下：

一種基于虛擬機(jī)的防火墻系統(tǒng)，包括內(nèi)核系統(tǒng)，防火墻和客戶操作系統(tǒng)，所述內(nèi)核系統(tǒng)設(shè)置在磁盤的安全分區(qū)中，一般用戶無法訪問，客戶操作系統(tǒng)為由用戶直接使用的操作系統(tǒng)，內(nèi)核系統(tǒng)和客戶操作系統(tǒng)之間采用虛擬網(wǎng)絡(luò)連接，使得客戶操作系統(tǒng)的網(wǎng)絡(luò)訪問都經(jīng)過內(nèi)核系統(tǒng)轉(zhuǎn)發(fā)，所述防火墻安裝在內(nèi)核系統(tǒng)上，用于過濾所有經(jīng)過的網(wǎng)絡(luò)數(shù)據(jù)，使得客戶操作系統(tǒng)的網(wǎng)絡(luò)訪問經(jīng)內(nèi)核系統(tǒng)轉(zhuǎn)發(fā)后受到防火墻的控制。

上述技術(shù)方案中，所述內(nèi)核系統(tǒng)采用在Linux上安裝Xen補(bǔ)丁，使之成為一個(gè)Xen宿主系統(tǒng)，所述Xen宿主系統(tǒng)用于創(chuàng)建和管理虛擬機(jī)，所述客戶操作系統(tǒng)安裝在Xen宿主系統(tǒng)所創(chuàng)建的虛擬機(jī)中。

所述防火墻安裝在Xen宿主系統(tǒng)的內(nèi)核協(xié)議棧里。

本發(fā)明所述Xen宿主系統(tǒng)創(chuàng)建多個(gè)虛擬機(jī)，每個(gè)虛擬機(jī)安裝和運(yùn)行一個(gè)客戶操作系統(tǒng)，所述Xen宿主系統(tǒng)能夠支持同時(shí)安裝和運(yùn)行多個(gè)客戶操作系統(tǒng)。

所述Xen宿主系統(tǒng)為每一個(gè)客戶操作系統(tǒng)創(chuàng)建了一塊或多塊虛擬網(wǎng)卡，所述虛擬網(wǎng)卡與連接不同類型網(wǎng)絡(luò)的物理網(wǎng)卡相連接，客戶操作系統(tǒng)的網(wǎng)絡(luò)訪問經(jīng)過物理網(wǎng)卡的轉(zhuǎn)發(fā)實(shí)現(xiàn)不同類型網(wǎng)絡(luò)的連接訪問。

所述虛擬網(wǎng)卡與物理網(wǎng)卡的連接方式采用網(wǎng)橋或路由器實(shí)現(xiàn)。

所述防火墻的規(guī)則庫(kù)和日志信息記錄在磁盤的保護(hù)分區(qū)中，使得一般的磁盤驅(qū)動(dòng)程序無法訪問到，Xen宿主系統(tǒng)通過調(diào)用UEFI?BIOS中的Runtime?Service能夠訪問保護(hù)分區(qū)，所述Xen宿主系統(tǒng)還增加一個(gè)Hypercall來封裝并轉(zhuǎn)發(fā)Runtime?Service，使得防火墻通過調(diào)用Hypercall來實(shí)現(xiàn)調(diào)用Xen宿主系統(tǒng)。