技術領域

本發明涉及計算機中防火墻技術領域，尤其是涉及一種虛擬防火墻的實現方法。

背景技術

防火墻是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。防火墻可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件。

XenServer是為了高效地管理虛擬機服務器而設計的，可提供經濟高效的服務器整合和業務連續性，XenServer是在云計算環境中可提供創建和管理虛擬基礎架構所需的所有功能，深得企業信賴，但XenServer與在與防火墻相關的計算機技術領域卻是一片空白。

目前的防火墻一般是物理防火墻，是一臺物理設備，在傳統網絡環境下普遍采用。還有一些廠家推出了所謂的虛擬防火墻，實現方法是在傳統的物理防火墻中放置多個虛擬機，在虛擬機中安裝防火墻軟件。這種方法的表現仍然是一臺物理設備，只不過一臺防火墻可以作為多臺防火墻來使用，但是不能夠解決同一臺物理機上的虛擬機之間的網絡隔離和控制，因為虛擬機之間的通信完全在一臺服務器內部，不會流到物理防火墻中，所以也就不能夠起到防火墻的作用。

名詞解釋：XenServer是思杰公司(Citrix)推出的一款服務器虛擬化系統，是服務器“虛擬化系統”而不是“軟件”，與傳統虛擬機類軟件不同的是它無需底層原生操作系統的支持，也就是說XenServer本身就具備了操作系統的功能，是能直接安裝在服務器上引導啟動并運行的。

發明內容

本發明的目的在于設計一種虛擬防火墻的實現方法，解決上述問題。為了實現上述目的，本發明采用的技術方案如下：

一種虛擬防火墻的實現方法，同一網絡中的兩臺以上不同的虛擬機位于同一物理機上，包括如下步驟：

步驟101，在所述同一網絡中設有虛擬化安全系統；所述虛擬化安全系統制定防火墻規則；在所述同一物理機上設有虛擬防火墻模塊；

步驟102，所述虛擬化安全系統根據所述防火墻規則在所述虛擬機上設置虛擬防火墻策略并將所述虛擬防火墻策略通知所述虛擬防火墻模塊；

步驟103，所述虛擬防火墻模塊根據所述虛擬防火墻策略通知生成物理防火墻策略，所述虛擬防火墻策略與所述物理防火墻策略相關聯，實現所述虛擬機通信時受到所述物理防火墻的控制。

優選的，步驟104，在所述同一物理機上設有的XenServer，所述虛擬化安全系統通過所述XenServer感知在所述同一網絡中的虛擬機是否遷移；

步驟104.a，若感知到所述虛擬機已遷移，生成遷移結果；進行步驟105；

步驟104.b，若感知到所述虛擬機未遷移，則繼續感知，直到感知到所述虛擬機發生遷移為止，返回步驟104.a；

步驟105，所述虛擬化安全系統根據所述防火墻規則將所述遷移結果通知物理機上設置的虛擬防火墻模塊；

步驟106，所述虛擬防火墻模塊對已遷移的所述虛擬機相關聯的物理防火墻策略進行刪除處理，完成所述虛擬機遷移處理。

優選的，所述虛擬機為無代理服務的虛擬機。

本發明與現有技術相比，具有如下有益效果：

1、通過本發明，在實現虛擬機之間的安全通信。

2、通過本發明，簡化了為虛擬機配備安裝防火墻軟件，高效的利用了

物理防火墻的作用。

3、通過本發明，在虛擬機環境中批量使用，可以靈活使用，便于在其它

虛擬化環境中快速創建并根據實際情況進行防火墻配置定制達到靈活

應用。

附圖說明

圖1示例性的示出了本發明一種虛擬防火墻的實現方法的流程示意圖。

具體實施方式

為了更好的理解本發明所解決的技術問題、所提供的技術方案，以下結合附圖及實施例，對本發明進行進一步詳細說明。此處所描述的具體實施例僅用以解釋本發明的實施，但并不用于限定本發明。

如圖1所示的一種虛擬防火墻的實現方法，同一網絡中的兩臺以上不同的虛擬機位于同一物理機上，所述虛擬機為無代理服務的虛擬機，包括如下步驟：

步驟101，在所述同一網絡中設有虛擬化安全系統；所述虛擬化安全系統制定防火墻規則；在所述同一物理機上設有虛擬防火墻模塊；

步驟102，所述虛擬化安全系統根據所述防火墻規則在所述虛擬機上設置虛擬防火墻策略并將所述虛擬防火墻策略通知所述虛擬防火墻模塊；