技術領域

本發明涉及計算機信息安全技術領域，具體的說是一種實用性強、同一安全域內虛機之間流量的防護方法。

背景技術

云計算和大數據時代，虛擬化技術應用正以非常快速的速度發展，虛擬化技術中應用最廣泛的當屬服務器虛擬化，這種技術通過一臺或多臺物理服務器構建成一個虛擬化環境，在這個虛擬化環境中虛擬出多個虛擬系統，每個虛擬系統對外提供一種或多種服務，各個系統之間相互獨立。

網絡邊界的虛擬化使傳統網絡邊界的防護手段失效，“東西向”流量監控成為盲點：在傳統的網絡結構中，網絡邊界一般通過物理的服務器、網絡設備、網絡接口進行識別，防火墻和入侵檢測設備可以采用串接和旁路的方式捕獲進出邊界的流量并按照預設的策略執行防護動作。

但隨著虛擬化實施之后，系統之間的邊界不單單是以物理設備的形式存在。比如在物理服務器中虛擬出多個服務器，這些虛擬機之間以及虛擬機與宿主機之間的通信都只會在服務器內完成，不會與外部網絡發生交互，傳統的邊界防護設備捕捉不到這些流量，也就不能進行防護；特別多個虛機在同一個安全域內，虛機之間流量通過虛擬交換進行轉發。

鑒于此，本發明提供了一種使用在虛擬化平臺中部署安全虛機防護虛機之間流量的方法，目的在于解決同一安全域內虛擬交換機之間流量缺乏安全防護的問題。

發明內容

本發明的技術任務是解決現有技術的不足，提供一種安全性強、同一安全域內虛機之間流量的防護方法。

本發明的技術方案是按以下方式實現的，該一種同一安全域內虛機之間流量的防護方法，包括發送流量的源虛機、接收流量的目的虛機和可安全防護的安全虛機，這里的虛機是指虛擬交換機，其具體防護過程為：

一、在虛擬化平臺的虛擬層上部署安全虛機，該安全虛機內置流量接入引擎、流量分析引擎和響應引擎；

二、在安全虛機的端口與待防護虛機的虛擬網卡之間部署虛擬安全防護層，該虛擬安全防護層包括流量攔截引擎和響應接入引擎，所述待防護虛機即為源虛機和目的虛機；

三、源虛機發起網絡數據，虛擬防護層的流量攔截引擎截獲源虛機的虛擬網卡到虛擬交換機之間的流量，獲取源虛機、目的虛機和協議信息；

四、虛擬防護層代理端接受虛機網卡的數據，通過數據轉發操作交予安全虛機的流量接入引擎；

五、檢測虛擬流量，由流量分析引擎對虛機之間的流量依據預定義的安全規則進行檢測，并生成響應動作；

六、響應引擎把流量分析引擎執行的動作交予虛擬安全防護層的響應接入引擎；

七、響應接入引擎把安全虛機執行正常響應的流量交予目的虛機。

所述虛擬安全防護層內還設置有虛機自動發現引擎，該虛機自動發現引擎檢查在虛擬化平臺上的所有虛機并添加到待防護列表中。

所述安全虛機使用虛擬防火墻，該防火墻過濾虛機之間的流量，隔斷并阻斷所保護的虛機，配合虛擬安全防護層，根據預設的安全規則分析處理所轉發的通信流量，產生響應。

所述響應包括：正常響應，即轉發和通過；異常響應，即報警和/或丟棄。

所述預定義的安全規則儲存在策略庫內，該策略庫分為針對全局和單個虛機的全局和個性兩種，在策略庫內設置規則字段，該規則字段包括源虛機、目的虛機、協議、端口和動作。

本發明與現有技術相比所產生的有益效果是：

本發明的一種同一安全域內虛機之間流量的防護方法使用基于虛擬環境的流量訪問控制技術實現對虛機之間訪問控制，通過虛擬化安全防護層將虛機流量牽引到安全虛機中，根據策略庫中的安全策略，對同一安全域內虛機之間的流量進行檢查，只有符合安全規則的流量才可以到達目的虛機，保證了流量轉發傳輸過程的安全性，防護能力強，保證數據安全性，實用性強，易于推廣。

附圖說明

附圖1為本發明的實現示意圖。

附圖2是本發明的實現流程圖。

具體實施方式

下面結合附圖對本發明的一種同一安全域內虛機之間流量的防護方法作以下詳細說明。

本發明提供了一種同一安全域內虛機之間流量的防護方法，使用基于虛擬環境的流量訪問控制技術實現對虛機之間訪問控制，通過虛擬化安全防護層將虛機流量牽引到安全虛機中，根據策略庫中的安全策略，對同一安全域內虛機之間的流量進行檢查。只有符合安全規則的流量才可以到達目的虛機。基于該設計思路，如附圖1、圖2所示，該方法包括發送流量的源虛機、接收流量的目的虛機和可安全防護的安全虛機，這里的虛機是指虛擬交換機，其具體防護過程為：