本發明公開了一種基于分布式安全域的微分段防護方法，通過防火墻引流實現微分段：受保護的虛擬機連接防火墻對應的引流網絡，當被防護的虛擬機與其他虛擬機通信時需要經過防火墻進行引流；通過分布式安全域實現云環境下的微分段防護：在云環境的主機上部署分布式防火墻，通過管理節點對分布式防火墻進行統一管理，虛擬機之間通過分布式防火墻引流實現微防護，所有防火墻配置相同的安全域，使得虛擬機之間的訪問和對外訪問均會被統一的防護策略保護。本發明將分布式防火墻和分布式安全域應用于云環境下的微分段防護，在云環境下同一vlan網絡進行微分段隔離，實現東西流量防護；通過分布式安全域的方式對云環境下的微分段配置防護策略。

技術領域

本發明屬于網絡安全防護領域，尤其涉及一種基于分布式安全域的微分段防護方法。

背景技術

云計算的相關技術特點及其應用模式正在使網絡邊界變得模糊，這使云數據中心對于邊界安全防護的需求和以往的應用場景相比有所不同。對于解決云數據中心的邊界安全問題，傳統網關技術水土不服，而此時更需要為“云化”的數據中心提供一套針對性的、量體裁衣的安全解決方案。

在云計算環境中，計算資源(虛擬機)高度集中，并且具有動態遷移的屬性，很容易跨越既定的安全邊界，這些使得傳統物理環境中基于網絡拓撲劃分管理區域的方式不再適用。

再者，一旦邊界防護被突破，則諸如蠕蟲病毒之類的惡意代碼可以很容易由被感染的機器擴散到區域內部其他機器。或者被當作肉機，使得攻擊者可以肆無忌憚地入侵其他機器，進而演變為APT攻擊，造成更大的破壞。

而將傳統的物理防火墻直接部署到云計算環境中，可以解決進出數據中心(南北向)流量的過濾，但對于數據中心內部主機及虛機之間(東西向)流量的防護則有些勉為其難。即便是對于不同網段的流量，也需要轉到主機外側的防火墻，過濾之后再返回給主機內部的目的虛機，這顯然存在著性能缺陷。而在同網段內部，流量在虛擬交換機內部完成轉發，外置防火墻根本獲取不到，安全防護無從談起。

來自Cisco的最新的全球云指數報告顯示，數據中心中的東西向流量比重持續增加，到2020年占比將超過85％。這種情況下，微分段可以很好解決云環境中的安全防護。

微分段(微隔離)摒棄了傳統的安全域的概念，直接將安全的邊界聚焦到單機層面，可以針對單個虛機部署安全策略，大大縮小了安全防護區域的范圍。這樣，即便是某個VM(虛機)感染了惡意代碼，由于同網絡內部的虛機皆處于被防護狀態，可以有效阻止惡意代碼進一步擴散。在微分段架構中，相當于為每個虛機單獨部署了一臺防火墻。

傳統網絡中，為了安全管理需要，往往進行安全域劃分。安全域劃分原則為：將所有相同安全等級、具有相同安全需求的計算機劃入同一網段內，在網段的邊界處進行訪問控制。一般實現方法是采用防火墻部署在邊界處來實現，通過防火墻策略控制允許哪些IP訪問此域、不允許哪些訪問此域；允許此域訪問哪些IP/網段、不允許訪問哪些IP/網段。一般將應用、服務器、數據庫等歸入最高安全域，辦公網歸為中級安全域，連接外網的部分歸為低級安全域。在不同域之間設置策略進行控制。

發明內容

本發明針對現有技術的不足，提供一種基于分布式安全域的微分段防護方法。

為實現上述目的，本發明提供如下技術方案：

(1)通過防火墻引流實現微分段：當虛擬機添加防護時，受保護的虛擬機連接防火墻對應的引流網絡，通過防火墻將不同vlan之間的vlan標記互相轉換，當被防護的虛擬機與其他虛擬機通信時需要經過防火墻進行引流，對受保護的虛擬機實現微分段；

(2)通過分布式安全域實現云環境下的微分段防護：在云環境的主機上部署分布式防火墻，并通過管理節點對分布式防火墻進行統一管理，虛擬機之間通過分布式防火墻引流實現微防護；所有防火墻配置相同的安全域：包括相同的接口和相同的防護策略，使得虛擬機之間的訪問和對外訪問均會被統一的防護策略保護。