技術領域

本發明涉及計算機技術領域，更具體地，涉及一種基于虛擬網絡的安全域控制方法、以及一種基于虛擬網絡的安全域控制系統。

背景技術

安全域是在同一網絡中，具有相同或者相似的安全保護需求和保護策略、相互信任和相互關聯的網絡要素的集合。在傳統網絡中，一般實現的方式是采用防火墻部署在邊界處來實現，通過防火墻策略控制允許哪些IP訪問此域、不允許哪些IP訪問此域，允許該域訪問哪些IP/網段、不允許訪問哪些IP/網段。

在實際的環境中，很多應該化為同一安全域的計算機分布在各個子網中，無法將他們歸入同一網段以設置邊界來控制。而且在虛擬網絡環境中，網絡是可伸縮的、動態變化的，因此很難用傳統的部署防火墻的方式來構建安全域的功能，并且難以解決虛擬機遷移后的安全域的跟隨問題。

針對相關技術中的問題，目前尚未提出有效的解決方案。

發明內容

針對相關技術中的問題，本發明提出一種基于虛擬網絡的安全域控制方法和系統，能夠在虛擬網絡環境中實現虛擬安全域的功能。

為實現上述目的，一方面，本發明提供了一種基于虛擬網絡的安全域控制方法，包括：安全域控制器接收基于虛擬交換標準OVS的OVS交換機發送的數據包頭，其中，數據包頭為流入OVS交換機的數據流中的數據包的數據包頭；安全域控制器根據數據包頭攜帶的信息以及預設的安全域中的白名單確定出OVS接收到的數據流為安全數據流時，指示OVS交換機放行數據流。

根據本發明，在安全域控制器接收基于虛擬交換標準OVS的OVS交換機發送的數據包頭之前，該方法還包括：OVS交換機判斷是否有與流入的數據流對應的數據流規則，如果為否，則將數據流中的數據包的數據包頭發送給安全域控制器。

根據本發明，安全域控制器根據數據包頭攜帶的信息以及預定的安全域中的白名單確定出OVS接收到的數據流為安全數據流時，指示OVS交換機放行數據流，包括：安全域控制器獲取數據包頭中的目標IP，并判斷目標IP是否對應安全域中的虛擬機；如果是，獲取數據包頭中的源IP和協議信息，并且將源IP和協議信息與安全域中的白名單進行匹配；如果匹配，則建立與數據包的類型相對應的數據流規則，并向OVS交換機發送數據流規則；以及，安全域控制方法還包括OVS交換機在接收到數據流規則后，根據數據流規則放行數據流。

根據本發明，安全域控制方法還包括：如果源IP和協議信息中的任一個與安全域中的白名單不匹配，則建立與數據包的類型相對應的丟棄規則，并向OVS交換機發送該丟棄規則；OVS交換機在接收到丟棄規則后，丟棄數據流。

根據本發明，安全域控制方法還包括：安全域控制器根據數據包頭攜帶的協議信息判斷出數據包為TCP協議數據包時，進一步根據數據包頭攜帶的其他信息檢測數據包是否為SYN包以及數據包的源IP地址是否為安全域內的主機；檢測為是時，根據安全域中的白名單判斷是否允許TCP協議訪問，如果為是，則指示OVS交換機放行數據流；如果為否，則指示OVS交換機丟棄數據流。

另一方面，本發明還提供了一種基于虛擬網絡的安全域控制系統，包括安全域控制器，安全域控制器包括：接收模塊，用于接收基于虛擬交換標準OVS的OVS交換機發送的數據包頭，其中，數據包頭為流入OVS交換機的數據流中的數據包的數據包頭；流控制模塊，用于根據數據包頭攜帶的信息以及預設的安全域中的白名單確定出OVS接收到的數據流為安全數據流時，指示OVS交換機放行數據流。

根據本發明，安全域控制系統還包括OVS交換機，用于在接收到數據流后，判斷是否有與數據流對應的數據流規則，如果為否，則將數據流中的數據包的數據包頭發送給安全域控制器。

根據本發明，安全域控制器的流控制模塊根據數據包頭攜帶的信息以及預定的安全域中的白名單確定出OVS接收到的數據流為安全數據流時，指示OVS交換機放行數據流，包括：獲取數據包頭中的目標IP，并判斷目標IP是否對應安全域中的虛擬機；如果是，獲取數據包頭中的源IP和協議信息，并且將源IP和協議信息與安全域中的白名單進行匹配；如果匹配，則建立與數據包的類型相對應的數據流規則，并向OVS交換機發送數據流規則；以及，OVS交換機還用于在接收到數據流規則后，根據數據流規則放行數據流。

根據本發明，流控制模塊還用于在判斷出源IP和協議信息中的任一個與安全域中的白名單不匹配時，建立與數據包的類型相對應的丟棄規則，并向OVS交換機發送丟棄規則；OVS交換機還用于在接收到丟棄規則后，丟棄數據流。