1.一種云計算中心網絡安全解決方案，其特征在于：通過引入虛擬交換機與虛擬路由器，將物理層面的網絡概念抽象到虛擬層面，在虛擬網絡之上實現隔離、防火墻網絡安全功能，該方案主要包括：搭建二層虛擬網絡，劃分子網，部署虛擬路由器，定義防火墻規則，其中：

搭建二層虛擬網絡,在物理網絡互通的前提下，將服務器網卡抽象為虛擬交換機部件，提供二層網絡服務，基于開源虛擬交換機Open?vSwitch進行開發，將每臺服務器的物理網卡與一臺虛擬交換機一對一綁定，抽象形成二層虛擬交換機部件；?

劃分子網,通過基于VLan與IP池的子網劃分方式，有效節省了物理網絡IP的使用量，充分滿足不同客戶的各種網絡需求，實現虛擬子網間的隔離；通過在虛擬交換機之上以VLan劃分二層虛擬網絡，保證系統內各類業務間的數據分離，將復雜的物理網絡配置過程，抽象到虛擬層面，節省物理網絡IP使用量的同時，簡化了網絡的配置過程；

部署虛擬路由器，通過引入虛擬路由器，將物理層面的三層網絡概念抽象到虛擬層面，將底層網絡的管理功能統一轉交給虛擬路由器，使得網管人員不必關心底層網絡的具體分布情況，直接通過管理虛擬路由器即可管理整個系統網絡的配置與服務，采用自主研發的虛擬路由器，提供NAT、路由、DHCP三層網絡服務，實現虛擬子網之間的互聯與訪問控制；

定義防火墻規則,通過向虛擬路由器發送防火墻控制命令，實現對系統網絡的統一安全管理，本方案所采用的虛擬路由器根據源?IP?地址、目標?IP?地址、源端口、目標端口、協議5?元組對連接進行篩選和分組，在保證云數據中心各個子網網絡性能的同時，保障系統網絡的安全性；

基于虛擬路由器添加防火墻規則，根據源?IP?地址、目標?IP?地址、源端口、目標端口、協議5?元組對連接進行篩選和分組，對虛擬機之間的流量進行基本的防火墻保護。

2.根據權利要求1所述的一種云計算中心網絡安全解決方案，其特征在于：所述搭建二層虛擬網絡，部署步驟如下：

1）使用路由器、交換機、防火墻物理設備，將云數據中心的計算、存儲資源進行連接，保證物理節點之間、管理節點與物理節點之間、節點與存儲之間的網絡互通；

2）配置虛擬交換機，通過物理網卡抽象虛擬交換機部件，通過基于Open?vSwitch的軟件方式，將每臺服務器上的物理網卡與一臺虛擬交換機一對一綁定，形成交換機部件，在交換機上虛擬若干端口，每個端口與云數據中心虛擬機的一塊網卡一對一綁定，通過這種方式，實現虛擬機à虛擬機網卡à虛擬端口à虛擬交換機à物理網卡的網絡連接方式；多個虛擬交換機能夠進行級聯設置，組成一個大的分布式虛擬交換機。

3.根據權利要求1或2所述的一種云計算中心網絡安全解決方案，其特征在于：所述劃分子網，按照不同的網絡連接方式與隔離手段，將虛擬網絡劃分為2大類：

1）公有網絡池：公有網絡池對應虛擬交換機上直連公網的虛擬端口組，虛擬機使用可以訪問公網的IP；

2）私有網絡池：私有網絡池對應虛擬交換機上設置VLan的虛擬端口組，虛擬機使用特定Vlan下的私網IP，只能在局域網范圍內通信，不可訪問公網。

4.根據權利要求3所述的一種云計算中心網絡安全解決方案，其特征在于：所述部署虛擬路由器，通過引入虛擬路由器，單獨創建一個系統虛擬機，在其中添加路由核心服務、管理服務與SSH交互服務，統一封裝成虛擬路由器的形式，為虛擬路由器設置兩個網卡，分別連接私網虛擬交換機的端口與公網虛擬交換機的端口，并設置私網與公網IP，保證虛擬路由器可以與公網、私網連通；虛擬路由器的私網IP，即為所連接的私網虛擬交換機的網關，所有連接該私網虛擬交換機的虛擬機，通過將該虛擬路由器的私網IP設置為自身的網關，實現虛擬路由器對虛擬機網絡的管理，虛擬路由器以虛擬機模版的形式提供，便于快速部署；通過虛擬路由，將各類網絡連接起來，虛擬機使用私網IP，通過虛擬路由器，進行NAT與路由處理，實現與公網或隔離子網間的互聯。

5.根據權利要求4所述的一種云計算中心網絡安全解決方案，其特征在于：通過在虛擬路由中添加防火墻規則，控制不同網絡之間互訪時的流量。

6.根據權利要求5所述的一種云計算中心網絡安全解決方案，其特征在于：所述防火墻規則包括：

1）數據包過濾：源IP過濾、源IP與目的IP過濾、源IP與目的協議過濾、源MAC地址過濾等；

2）網絡過濾：通過URL過濾、內容分類過濾、關鍵字過濾等；

3）入侵防護。