一種實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的方法及系統(tǒng)的制作方法
【專利摘要】本申請(qǐng)公開了一種分布式網(wǎng)絡(luò)安全防護(hù)的方法及系統(tǒng)����,包括:將虛擬防火墻旁掛在虛擬交換機(jī)上;對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量����,業(yè)務(wù)虛擬機(jī)判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾���,如果是�,轉(zhuǎn)發(fā)數(shù)據(jù)流量�,否則,將該數(shù)據(jù)流量發(fā)往虛擬防火墻�;虛擬防火墻對(duì)接收的數(shù)據(jù)流量進(jìn)行過(guò)濾,確定為安全的數(shù)據(jù)流量后���,把數(shù)據(jù)流量轉(zhuǎn)發(fā)回業(yè)務(wù)虛擬機(jī)���;否則,丟棄數(shù)據(jù)流量���。本發(fā)明通過(guò)對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量進(jìn)行判斷后��,業(yè)務(wù)虛擬機(jī)對(duì)需要進(jìn)行過(guò)濾的數(shù)據(jù)流量����,發(fā)往旁掛虛擬防火墻進(jìn)行過(guò)濾�,無(wú)需過(guò)濾的數(shù)據(jù)流量直接轉(zhuǎn)發(fā);對(duì)網(wǎng)絡(luò)拓?fù)涓淖兒苄?,保證了進(jìn)入虛擬機(jī)系統(tǒng)數(shù)據(jù)流量全部被過(guò)濾,減少了虛擬防火墻對(duì)資源的消耗����。
【專利說(shuō)明】一種實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本申請(qǐng)涉及信息安全【技術(shù)領(lǐng)域】����,尤指一種實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的方法及系統(tǒng)�����。
【背景技術(shù)】
[0002]云計(jì)算是計(jì)算機(jī)和互聯(lián)網(wǎng)的又一次新的革命���,它將計(jì)算和存儲(chǔ)轉(zhuǎn)移到了云端,用戶可以通過(guò)使用輕量級(jí)的便攜式終端來(lái)進(jìn)行復(fù)雜的計(jì)算和大容量的存儲(chǔ)����。從技術(shù)的角度來(lái)看,云計(jì)算不僅僅是一種新的概念�����,并行計(jì)算和虛擬化是實(shí)現(xiàn)云計(jì)算應(yīng)用的主要技術(shù)手段���。由于硬件技術(shù)的快速發(fā)展�����,使得一臺(tái)普通的物理服務(wù)器所具有性能遠(yuǎn)遠(yuǎn)超過(guò)普通的單一用戶對(duì)硬件性能的需求��。因此�����,通過(guò)虛擬化的手段����,將一臺(tái)物理服務(wù)器虛擬為多臺(tái)虛擬機(jī),提供虛擬化服務(wù)成為了構(gòu)建公有云和企業(yè)私有云的技術(shù)基礎(chǔ)��。經(jīng)過(guò)虛擬化后�,可以極大的提高軟件系統(tǒng)對(duì)硬件資源的利用率,并通過(guò)虛擬化平臺(tái)對(duì)計(jì)算���、存儲(chǔ)���、網(wǎng)絡(luò)等資源的統(tǒng)一調(diào)度管理,實(shí)現(xiàn)按需高效的使用硬件資源����。
[0003]由于多臺(tái)虛擬機(jī)共用同一臺(tái)物理機(jī)的資源,不同虛擬機(jī)的網(wǎng)絡(luò)流量可以在一臺(tái)物理主機(jī)內(nèi)部通過(guò)虛擬交換機(jī)交換�����,而無(wú)須被轉(zhuǎn)發(fā)到物理網(wǎng)絡(luò)上。即使是不同的物理主機(jī)之間的虛擬機(jī)交換數(shù)據(jù)��,也由于同一塊物理網(wǎng)卡上出入的流量混雜了屬于不同網(wǎng)絡(luò)的虛擬機(jī)的流量�����,這些流量都在一個(gè)大二層物理交換機(jī)上進(jìn)行交換�,而無(wú)法找到網(wǎng)絡(luò)間清晰的物理邊界��。因此��,虛擬化環(huán)境中網(wǎng)絡(luò)的物理邊界消失了�����。因此�,在虛擬化技術(shù)在帶來(lái)便利的同時(shí),也帶來(lái)了新的安全問題�。在虛擬化環(huán)境中,由于網(wǎng)絡(luò)物理邊界的消失�����,無(wú)法采用設(shè)置網(wǎng)絡(luò)防火墻的方法��,在不同網(wǎng)絡(luò)之間進(jìn)行防火墻的部署��。如果把防火墻部署在整個(gè)虛擬化環(huán)境的網(wǎng)絡(luò)出入口,則無(wú)法對(duì)虛擬網(wǎng)絡(luò)內(nèi)部的流量進(jìn)行監(jiān)控�����。而通常一個(gè)虛擬網(wǎng)絡(luò)內(nèi)不同業(yè)務(wù)子網(wǎng)間的流量也需要通過(guò)防火墻進(jìn)行隔離防護(hù)�����。因?yàn)閷?duì)于每個(gè)業(yè)務(wù)子網(wǎng)來(lái)說(shuō)����,其網(wǎng)絡(luò)邊界既包括與整個(gè)虛擬網(wǎng)絡(luò)外的其它主機(jī)進(jìn)行通信的鏈路(南北向流量),也包括與虛擬網(wǎng)絡(luò)內(nèi)其它業(yè)務(wù)子網(wǎng)內(nèi)的虛擬主機(jī)進(jìn)行通信的鏈路(東西向流量)��。要實(shí)現(xiàn)對(duì)各業(yè)務(wù)子網(wǎng)的所有數(shù)據(jù)流量都進(jìn)行監(jiān)控����,需要使所有出入業(yè)務(wù)子網(wǎng)邊界的數(shù)據(jù)流量通過(guò)防火墻。虛擬化環(huán)境中����,使用軟件形態(tài)的虛擬防火墻進(jìn)行數(shù)據(jù)流量的過(guò)濾。
[0004]虛擬防火墻通常以虛擬機(jī)的形態(tài)部署在虛擬網(wǎng)絡(luò)中��,它共享使用用戶業(yè)務(wù)環(huán)境中的虛擬化資源;防火墻通常采取透明接入的方式����,透明接入的方式在網(wǎng)絡(luò)部署上也存在很大的困難,并且在每臺(tái)虛擬機(jī)前都接入一個(gè)虛擬防火墻對(duì)資源造成很大的浪費(fèi)�����。目前�����,為避免上述問題���,一種做法是:把所有虛擬機(jī)都接入到一個(gè)虛擬防火墻后,通過(guò)該虛擬防火墻對(duì)所有數(shù)據(jù)流量進(jìn)行過(guò)濾�����;但是�,當(dāng)該虛擬防火墻出現(xiàn)網(wǎng)絡(luò)故障時(shí),會(huì)影響數(shù)據(jù)流量的正?���?煽總鬏敚矗嬖诤艽蟮膯吸c(diǎn)故障隱患����。另一種方法是:不采用透明接入方式,在網(wǎng)關(guān)中添加虛擬防火墻�����;為了對(duì)數(shù)據(jù)流量進(jìn)行過(guò)濾�����,在網(wǎng)關(guān)中添加虛擬防火墻后����,需要修改數(shù)據(jù)流量傳輸過(guò)程的接入IP為虛擬防火墻的IP ;即,在網(wǎng)關(guān)中添加虛擬防火墻�����,需要改變網(wǎng)絡(luò)用戶拓?fù)洹?br>
【發(fā)明內(nèi)容】
[0005]為了解決上述問題����,本發(fā)明提供一種實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的方法及系統(tǒng),能夠在僅對(duì)分布式網(wǎng)絡(luò)進(jìn)行簡(jiǎn)要調(diào)整下�����,設(shè)置虛擬防火墻,保證分布式網(wǎng)絡(luò)的安全可靠運(yùn)行����。
[0006]為了達(dá)到本發(fā)明的目的,本申請(qǐng)?zhí)峁┮环N實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的方法�;包括:將虛擬防火墻旁掛在虛擬交換機(jī)上;
[0007]對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量��,業(yè)務(wù)虛擬機(jī)判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾��,如果是�,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量��,否則�,將該數(shù)據(jù)流量發(fā)往虛擬防火墻;
[0008]虛擬防火墻對(duì)接收的數(shù)據(jù)流量進(jìn)行過(guò)濾�,確定為安全的數(shù)據(jù)流量后,將所述數(shù)據(jù)流量轉(zhuǎn)發(fā)回業(yè)務(wù)虛擬機(jī)�����;否則����,丟棄所述數(shù)據(jù)流量���。
[0009]進(jìn)一步地,不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量具體包括:
[0010]從網(wǎng)絡(luò)協(xié)議棧發(fā)出的不是發(fā)往物理防火墻的數(shù)據(jù)流量�;接收的發(fā)往網(wǎng)絡(luò)協(xié)議棧的不是來(lái)自物理防火墻的數(shù)據(jù)流量。
[0011]進(jìn)一步地����,該方法之前還包括:所述業(yè)務(wù)虛擬機(jī)確定由網(wǎng)絡(luò)協(xié)議棧發(fā)出的數(shù)據(jù)流量是否發(fā)往物理防火墻;
[0012]或者���,發(fā)往網(wǎng)絡(luò)協(xié)議棧的數(shù)據(jù)流量是否來(lái)自物理防火墻���。
[0013]進(jìn)一步地,在轉(zhuǎn)發(fā)所述數(shù)據(jù)流量或���,將數(shù)據(jù)流量發(fā)往虛擬防火墻之前����,該方法還包括:
[0014]獲取分布式網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)湫畔ⅲ?br>
[0015]業(yè)務(wù)虛擬機(jī)根據(jù)獲得的網(wǎng)絡(luò)拓?fù)湫畔?,進(jìn)行所述數(shù)據(jù)流量的轉(zhuǎn)發(fā)或?qū)?shù)據(jù)流量發(fā)往所述虛擬防火墻。
[0016]進(jìn)一步地��,該方法之前還包括,在所述各業(yè)務(wù)虛擬機(jī)上�����,預(yù)先設(shè)置第一虛擬網(wǎng)卡和第二虛擬網(wǎng)卡�;其中,
[0017]第一虛擬網(wǎng)卡����,用于接收、來(lái)自物理防火墻的數(shù)據(jù)流量�、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量����;發(fā)送��、發(fā)往物理防火墻的數(shù)據(jù)流量���,不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量��;不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量���;
[0018]第二虛擬網(wǎng)卡�����,為安全導(dǎo)流網(wǎng)卡��,用于將不是來(lái)自或發(fā)往物理防火墻且未過(guò)濾的數(shù)據(jù)流量���,發(fā)往虛擬防火墻;接收由網(wǎng)絡(luò)協(xié)議棧發(fā)出的且不是發(fā)往物理防火墻的被業(yè)務(wù)虛擬機(jī)確定未過(guò)濾的數(shù)據(jù)流量后�����、經(jīng)虛擬防火墻過(guò)濾的數(shù)據(jù)流量�����。
[0019]進(jìn)一步地���,數(shù)據(jù)流量為發(fā)往物理防火墻的數(shù)據(jù)流量����,所述根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)包括:
[0020]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅形锢矸阑饓Φ慕橘|(zhì)訪問控制(MAC)地址進(jìn)行流量轉(zhuǎn)發(fā)�;
[0021]數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻且已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量,所述根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)包括:
[0022]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒌腗AC地址和IP地址�����,將數(shù)據(jù)流量發(fā)往數(shù)據(jù)流量的目的地址;
[0023]數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量且未經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量�;所述將該數(shù)據(jù)流量發(fā)往虛擬防火墻包括:
[0024]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址進(jìn)行流量轉(zhuǎn)發(fā)。
[0025]進(jìn)一步地��,當(dāng)數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量��,所述判斷數(shù)據(jù)流量是否已經(jīng)過(guò)虛擬防火墻過(guò)濾包括:
[0026]業(yè)務(wù)虛擬機(jī)根據(jù)所述網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址�����,判斷所述不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量的數(shù)據(jù)包的源MAC地址是否與記錄的虛擬防火墻的MAC地址的對(duì)外網(wǎng)口的MAC地址相同�����,當(dāng)所述數(shù)據(jù)流量標(biāo)記的MAC地址與記錄的虛擬防火墻的對(duì)外網(wǎng)口的MAC地址相同時(shí)�,確定所述數(shù)據(jù)流量已經(jīng)過(guò)虛擬防火墻�;否則,確定所述數(shù)據(jù)流量未經(jīng)過(guò)虛擬防火墻���;
[0027]所述虛擬防火墻的MAC地址包括用于接收數(shù)據(jù)流量的對(duì)內(nèi)網(wǎng)口的MAC地址和用于向外發(fā)送已過(guò)濾數(shù)據(jù)流量的對(duì)外網(wǎng)口的MAC地址���。
[0028]進(jìn)一步地��,確定接收的數(shù)據(jù)流量是否來(lái)自于或發(fā)往物理防火墻包括:
[0029]將所述接收數(shù)據(jù)流量標(biāo)記的MAC地址或所述數(shù)據(jù)流量發(fā)往的MAC地址與網(wǎng)絡(luò)拓?fù)湫畔⒅械奈锢矸阑饓Φ腗AC地址進(jìn)行比對(duì)����,當(dāng)與記錄的物理防火墻的MAC地址相同時(shí)�,確定所述接收到的數(shù)據(jù)流量來(lái)自或發(fā)往物理防火墻。
[0030]進(jìn)一步地��,當(dāng)數(shù)據(jù)流量經(jīng)過(guò)虛擬防火墻過(guò)濾時(shí)�,該方法之前還包括:在數(shù)據(jù)流量上添加虛擬防火墻的對(duì)外網(wǎng)口的MAC地址作為源MAC地址進(jìn)行標(biāo)記。
[0031]進(jìn)一步地���,當(dāng)數(shù)據(jù)流量經(jīng)過(guò)物理防火墻過(guò)濾時(shí)����,該方法之前還包括:在所述數(shù)據(jù)流量上添加物理防火墻的MAC地址進(jìn)行標(biāo)記����。
[0032]進(jìn)一步地,周期����,獲取所述虛擬防火墻的工作狀態(tài);
[0033]當(dāng)獲得的工作狀態(tài)顯示所述虛擬防火墻發(fā)生故障時(shí),對(duì)所述不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量�,根據(jù)數(shù)據(jù)流量的所發(fā)往的業(yè)務(wù)虛擬機(jī),將所述數(shù)據(jù)流量轉(zhuǎn)發(fā)至該業(yè)務(wù)虛擬機(jī)��。
[0034]另一方面�,本申請(qǐng)還提供一種實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的系統(tǒng),包括:物理防火墻�����,若干物理主機(jī)�;各物理主機(jī)上包含有若干業(yè)務(wù)虛擬機(jī)、虛擬防火墻�����;其中���,
[0035]各業(yè)務(wù)虛擬機(jī)包含判斷單元���,用于對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量,判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾�,如果是�,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量;否則����,將該數(shù)據(jù)流量發(fā)往虛擬防火墻�����;
[0036]物理防火墻�����,用于接收來(lái)自外網(wǎng)的發(fā)往分布式網(wǎng)絡(luò)的業(yè)務(wù)虛擬機(jī)的數(shù)據(jù)流量����;接收來(lái)自業(yè)務(wù)虛擬機(jī)的發(fā)往外網(wǎng)的數(shù)據(jù)流量����;
[0037]虛擬防火墻,旁掛于虛擬交換機(jī)�����,用于對(duì)接收的數(shù)據(jù)流量進(jìn)行過(guò)濾�����,確定為安全的數(shù)據(jù)流量后,把所述數(shù)據(jù)流量轉(zhuǎn)發(fā)回業(yè)務(wù)虛擬機(jī)�����;否則�����,丟棄所述數(shù)據(jù)流量��。
[0038]進(jìn)一步地����,判斷單元具體用于,判斷從網(wǎng)絡(luò)協(xié)議棧發(fā)出的不是發(fā)往物理防火墻的數(shù)據(jù)流量��,是否已經(jīng)過(guò)虛擬防火墻��;判斷接收的發(fā)往網(wǎng)絡(luò)協(xié)議棧的不是來(lái)自物理防火墻的數(shù)據(jù)流量�,是否已經(jīng)過(guò)虛擬防火墻;
[0039]如果是�����,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量����;否則,將該數(shù)據(jù)流量發(fā)往虛擬防火墻�����。
[0040]進(jìn)一步地��,判斷單元還用于��,確定由網(wǎng)絡(luò)協(xié)議棧發(fā)出的數(shù)據(jù)流量是否發(fā)往物理防火墻��;或者��,
[0041]發(fā)往網(wǎng)絡(luò)協(xié)議棧的數(shù)據(jù)流量是否來(lái)自物理防火墻�。
[0042]進(jìn)一步地,該系統(tǒng)還包括網(wǎng)絡(luò)拓?fù)鋯卧?�,用于在轉(zhuǎn)發(fā)所述數(shù)據(jù)流量或���,將數(shù)據(jù)流量發(fā)往虛擬防火墻之前���,
[0043]獲取分布式網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)湫畔ⅲ?br>
[0044]業(yè)務(wù)虛擬機(jī)根據(jù)獲得的網(wǎng)絡(luò)拓?fù)湫畔ⅲM(jìn)行所述數(shù)據(jù)流量的轉(zhuǎn)發(fā)或?qū)?shù)據(jù)流量發(fā)往所述虛擬防火墻����。
[0045]進(jìn)一步地��,各業(yè)務(wù)虛擬機(jī)還設(shè)置有第一虛擬網(wǎng)卡和第二虛擬網(wǎng)卡�����;其中��,
[0046]第一虛擬網(wǎng)卡�,為虛擬機(jī)的業(yè)務(wù)網(wǎng)卡��,用于接收�����、來(lái)自物理防火墻的數(shù)據(jù)流量�、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量����;發(fā)送、發(fā)往物理防火墻的數(shù)據(jù)流量��,不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量�����;不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量;
[0047]第二虛擬網(wǎng)卡���,為安全導(dǎo)流網(wǎng)卡��,用于將不是來(lái)自或發(fā)往物理防火墻且未過(guò)濾的數(shù)據(jù)流量����,發(fā)往虛擬防火墻����;接收����、由網(wǎng)絡(luò)協(xié)議棧發(fā)出的且不是發(fā)往物理防火墻的被業(yè)務(wù)虛擬機(jī)確定未過(guò)濾的數(shù)據(jù)流量后、經(jīng)虛擬防火墻過(guò)濾的數(shù)據(jù)流量���。
[0048]進(jìn)一步地����,數(shù)據(jù)流量為發(fā)往物理防火墻的數(shù)據(jù)流量�����,所述第一虛擬網(wǎng)卡具體用于,
[0049]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅形锢矸阑饓Φ慕橘|(zhì)訪問控制MAC地址進(jìn)行流量轉(zhuǎn)發(fā)�;
[0050]數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻且已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量,所述第一虛擬網(wǎng)卡具體用于����,
[0051]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒌腗AC地址和IP地址,將數(shù)據(jù)流量發(fā)往數(shù)據(jù)流量的目的地址��;
[0052]數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量且未經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量�;所述第二虛擬網(wǎng)卡具體用于,
[0053]根據(jù)網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址進(jìn)行流量轉(zhuǎn)發(fā)���。
[0054]進(jìn)一步地�,當(dāng)數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量�����,所述判斷單元具體用于�����,
[0055]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址��,判斷不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量的數(shù)據(jù)包的源MAC地址是否與記錄的虛擬防火墻的MAC地址的對(duì)外網(wǎng)口的MAC地址相同,當(dāng)所述數(shù)據(jù)流量標(biāo)記的MAC地址與記錄的虛擬防火墻的對(duì)外網(wǎng)口的MAC地址相同時(shí)�,確定所述數(shù)據(jù)流量已經(jīng)過(guò)虛擬防火墻;否則��,確定所述數(shù)據(jù)流量未經(jīng)過(guò)虛擬防火墻�����;
[0056]所述虛擬防火墻的MAC地址包括用于接收數(shù)據(jù)流量的對(duì)內(nèi)網(wǎng)口的MAC地址和用于向外發(fā)送已過(guò)濾數(shù)據(jù)流量的對(duì)外網(wǎng)口的MAC地址��。
[0057]進(jìn)一步地��,判斷單元具體用于��,
[0058]將接收數(shù)據(jù)流量標(biāo)記的MAC地址或所述數(shù)據(jù)流量發(fā)往的MAC地址與網(wǎng)絡(luò)拓?fù)湫畔⒅械奈锢矸阑饓Φ腗AC地址進(jìn)行比對(duì)����,當(dāng)與記錄的物理防火墻的MAC地址相同時(shí)�����,確定所述接收到的數(shù)據(jù)流量來(lái)自或發(fā)往物理防火墻��;
[0059]對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量����,判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾�,如果是���,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量���;否則,將該數(shù)據(jù)流量發(fā)往虛擬防火墻���。
[0060]進(jìn)一步地�����,該系統(tǒng)還包括標(biāo)記單元��,用于當(dāng)所述數(shù)據(jù)流量經(jīng)過(guò)虛擬防火墻過(guò)濾時(shí)���,在所述數(shù)據(jù)流量上添加虛擬防火墻的對(duì)外網(wǎng)口的MAC地址作為源MAC地址進(jìn)行標(biāo)記。
[0061]進(jìn)一步地�,標(biāo)記單元還用于,
[0062]當(dāng)數(shù)據(jù)流量經(jīng)過(guò)物理防火墻過(guò)濾時(shí)�����,在所述數(shù)據(jù)流量上添加物理防火墻的MAC地址進(jìn)行標(biāo)記。
[0063]進(jìn)一步地���,該系統(tǒng)還包括周期檢測(cè)單元�����,用于按照預(yù)設(shè)周期��,獲取所述虛擬防火墻的工作狀態(tài)���;
[0064]當(dāng)獲得的工作狀態(tài)顯示所述虛擬防火墻發(fā)生故障時(shí),對(duì)所述不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量��,根據(jù)數(shù)據(jù)流量的所發(fā)往的業(yè)務(wù)虛擬機(jī)����,將所述數(shù)據(jù)流量轉(zhuǎn)發(fā)至該業(yè)務(wù)虛擬機(jī)�。
[0065]與現(xiàn)有技術(shù)相比,本發(fā)明提供的技術(shù)方案��,包括:將虛擬防火墻旁掛在虛擬交換機(jī)上�;對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量,業(yè)務(wù)虛擬機(jī)判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾,如果是�,轉(zhuǎn)發(fā)數(shù)據(jù)流量,否則��,將該數(shù)據(jù)流量發(fā)往虛擬防火墻�����;虛擬防火墻對(duì)接收的數(shù)據(jù)流量進(jìn)行過(guò)濾��,確定為安全的數(shù)據(jù)流量后�,把數(shù)據(jù)流量轉(zhuǎn)發(fā)回業(yè)務(wù)虛擬機(jī);否則���,丟棄數(shù)據(jù)流量��。本發(fā)明通過(guò)業(yè)務(wù)虛擬機(jī)對(duì)需要進(jìn)行過(guò)濾的數(shù)據(jù)流量����,發(fā)往虛擬防火墻進(jìn)行過(guò)濾���,讓虛擬防火墻僅需要過(guò)濾不經(jīng)過(guò)物理防火墻的虛擬化網(wǎng)絡(luò)內(nèi)部流量����;通過(guò)業(yè)務(wù)虛擬機(jī)對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量進(jìn)行判斷后,配合旁掛虛擬防火墻進(jìn)行安全過(guò)濾�����,對(duì)網(wǎng)絡(luò)拓?fù)涓淖兒苄?�,不僅能夠保證進(jìn)入虛擬機(jī)系統(tǒng)的全部網(wǎng)絡(luò)流量被過(guò)濾��,也減少了虛擬防火墻對(duì)虛擬化資源的消耗��。
【專利附圖】
【附圖說(shuō)明】
[0066]附圖用來(lái)提供對(duì)本申請(qǐng)技術(shù)方案的進(jìn)一步理解���,并且構(gòu)成說(shuō)明書的一部分����,與本申請(qǐng)的實(shí)施例一起用于解釋本申請(qǐng)的技術(shù)方案��,并不構(gòu)成對(duì)本申請(qǐng)技術(shù)方案的限制���。
[0067]圖1為本發(fā)明實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的方法的流程圖;
[0068]圖2為本發(fā)明實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的系統(tǒng)的結(jié)構(gòu)框圖����。
【具體實(shí)施方式】
[0069]為使本申請(qǐng)的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白,下文中將結(jié)合附圖對(duì)本申請(qǐng)的實(shí)施例進(jìn)行詳細(xì)說(shuō)明���。需要說(shuō)明的是��,在不沖突的情況下�,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合����。
[0070]圖1為本發(fā)明實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的方法的流程圖,將虛擬防火墻旁掛在虛擬交換機(jī)上�����。
[0071]如圖1所示,還包括:
[0072]步驟100�����、對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量���,業(yè)務(wù)虛擬機(jī)判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾�����,如果是�����,執(zhí)行步驟101:轉(zhuǎn)發(fā)數(shù)據(jù)流量�;否則,執(zhí)行步驟102:將該數(shù)據(jù)流量發(fā)往虛擬防火墻�;
[0073]需要說(shuō)明的是,將數(shù)據(jù)流量發(fā)往虛擬防火墻是通過(guò)虛擬防火墻的介質(zhì)訪問控制(MAC)實(shí)現(xiàn)的����,通過(guò)MAC地址進(jìn)行數(shù)據(jù)傳輸,屬于本領(lǐng)域技術(shù)人員的公知常識(shí)�,在此不再贅述。
[0074]本步驟中���,不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量具體包括:
[0075]從網(wǎng)絡(luò)協(xié)議棧發(fā)出的不是發(fā)往物理防火墻的數(shù)據(jù)流量�����;
[0076]接收的發(fā)往網(wǎng)絡(luò)協(xié)議棧的不是來(lái)自物理防火墻的數(shù)據(jù)流量����。
[0077]本發(fā)明方法之前還包括:業(yè)務(wù)虛擬機(jī)確定由網(wǎng)絡(luò)協(xié)議棧發(fā)出的數(shù)據(jù)流量是否發(fā)往物理防火墻����;
[0078]或者,發(fā)往網(wǎng)絡(luò)協(xié)議棧的數(shù)據(jù)流量是否來(lái)自物理防火墻�����。
[0079]在轉(zhuǎn)發(fā)數(shù)據(jù)流量或����,將數(shù)據(jù)流量發(fā)往虛擬防火墻之前,本發(fā)明方法還包括:
[0080]獲取分布式網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)湫畔ⅲ?br>
[0081]業(yè)務(wù)虛擬機(jī)根據(jù)獲得的網(wǎng)絡(luò)拓?fù)湫畔?����,進(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)或?qū)?shù)據(jù)流量發(fā)往虛擬防火墻����。
[0082]本發(fā)明方法之前還包括,在各業(yè)務(wù)虛擬機(jī)上�����,預(yù)先設(shè)置第一虛擬網(wǎng)卡和第二虛擬網(wǎng)卡�����;其中�,
[0083]第一虛擬網(wǎng)卡����,為虛擬機(jī)的業(yè)務(wù)網(wǎng)卡����,用于接收、來(lái)自物理防火墻的數(shù)據(jù)流量���、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量�、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量�;發(fā)送、發(fā)往物理防火墻的數(shù)據(jù)流量�����,不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量����;不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量;
[0084]第二虛擬網(wǎng)卡�����,為安全導(dǎo)流網(wǎng)卡����,用于將不是來(lái)自或發(fā)往物理防火墻且未過(guò)濾的數(shù)據(jù)流量�����,發(fā)往虛擬防火墻;接收��、由網(wǎng)絡(luò)協(xié)議棧發(fā)出的且不是發(fā)往物理防火墻的被業(yè)務(wù)虛擬機(jī)確定未過(guò)濾的數(shù)據(jù)流量后��、經(jīng)虛擬防火墻過(guò)濾的數(shù)據(jù)流量��。
[0085]需要說(shuō)明的是���,由于分布式網(wǎng)絡(luò)中數(shù)據(jù)流量較大�,因此��,在對(duì)數(shù)據(jù)流量進(jìn)行判斷和分析過(guò)程中��,通過(guò)設(shè)置第一虛擬網(wǎng)卡和第二虛擬網(wǎng)卡�����,并設(shè)置相應(yīng)的數(shù)據(jù)流量收發(fā)��,和僅采用第一虛擬網(wǎng)卡,在判斷為未過(guò)濾的數(shù)據(jù)流量時(shí)��,仍然需要通過(guò)第一虛擬網(wǎng)卡將數(shù)據(jù)流量發(fā)往虛擬防火墻����,造成第一虛擬網(wǎng)卡數(shù)據(jù)流量壓力過(guò)大,通過(guò)第二虛擬網(wǎng)卡的設(shè)置��,可以使數(shù)據(jù)流量收發(fā)在第一虛擬網(wǎng)卡和第二虛擬網(wǎng)卡中得到緩解����。
[0086]數(shù)據(jù)流量為發(fā)往物理防火墻的數(shù)據(jù)流量,根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)包括:
[0087]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅形锢矸阑饓Φ慕橘|(zhì)訪問控制(MAC)地址進(jìn)行流量轉(zhuǎn)發(fā)�。
[0088]數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻且已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量,根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)包括:
[0089]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒌腗AC地址和IP地址�,將數(shù)據(jù)流量發(fā)往數(shù)據(jù)流量的目的地址;
[0090]數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量且未經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量���;將該數(shù)據(jù)流量發(fā)往虛擬防火墻包括:
[0091]根據(jù)網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址進(jìn)行流量轉(zhuǎn)發(fā)��。
[0092]需要說(shuō)明的是���,這里涉及到數(shù)據(jù)流量中的數(shù)據(jù)包內(nèi)數(shù)據(jù)傳輸過(guò)程的MAC地址和IP地址等修改,該部分修改屬于網(wǎng)絡(luò)傳輸過(guò)程中常用的修改方式,為本領(lǐng)域技術(shù)人員的慣用技術(shù)手段�。數(shù)據(jù)流量的目的地址是指網(wǎng)絡(luò)上下一跳的MAC地址,通過(guò)IP地址��,查到此MAC地址�,并把數(shù)據(jù)包的目的MAC地址改成此MAC地址,數(shù)據(jù)包在被虛擬防火墻送到網(wǎng)絡(luò)上前��,需要指定數(shù)據(jù)包的目的MAC��,確定數(shù)據(jù)流量的傳輸方向�����,這里�,數(shù)據(jù)流量在被送到虛擬防火墻前�����,目的MAC已經(jīng)被改成虛擬防火墻的目的MAC 了�,目的MAC的獲得,由虛擬防火墻從網(wǎng)絡(luò)拓?fù)湫畔⒅腥〉?�,通過(guò)數(shù)據(jù)包里的目的IP查到目的MAC�����。
[0093]當(dāng)數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量,判斷數(shù)據(jù)流量是否已經(jīng)過(guò)虛擬防火墻過(guò)濾包括:
[0094]業(yè)務(wù)虛擬機(jī)根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址�����,判斷不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量的數(shù)據(jù)包的源MAC地址是否與記錄的虛擬防火墻的MAC地址的對(duì)外網(wǎng)口的MAC地址相同����,當(dāng)數(shù)據(jù)流量標(biāo)記的MAC地址與記錄的虛擬防火墻的對(duì)外網(wǎng)口的MAC地址相同時(shí),確定數(shù)據(jù)流量已經(jīng)過(guò)虛擬防火墻��;否則��,確定數(shù)據(jù)流量未經(jīng)過(guò)虛擬防火墻�����;
[0095]虛擬防火墻的MAC地址包括用于接收數(shù)據(jù)流量的對(duì)內(nèi)網(wǎng)口的MAC地址和用于向外發(fā)送已過(guò)濾數(shù)據(jù)流量的對(duì)外網(wǎng)口的MAC地址���。
[0096]確定接收的數(shù)據(jù)流量是否來(lái)自于或發(fā)往物理防火墻包括:
[0097]將接收數(shù)據(jù)流量標(biāo)記的MAC地址或數(shù)據(jù)流量發(fā)往的MAC地址與網(wǎng)絡(luò)拓?fù)湫畔⒅械奈锢矸阑饓Φ腗AC地址進(jìn)行比對(duì)��,當(dāng)與記錄的物理防火墻的MAC地址相同時(shí)����,確定所述接收到的數(shù)據(jù)流量來(lái)自或發(fā)往物理防火墻。
[0098]當(dāng)數(shù)據(jù)流量經(jīng)過(guò)虛擬防火墻過(guò)濾時(shí)��,本發(fā)明方法之前還包括:在數(shù)據(jù)流量上添加虛擬防火墻的對(duì)外網(wǎng)口的MAC地址作為源MAC地址進(jìn)行標(biāo)記�。
[0099]當(dāng)數(shù)據(jù)流量經(jīng)過(guò)物理防火墻過(guò)濾時(shí),本發(fā)明方法之前還包括:在所述數(shù)據(jù)流量上添加物理防火墻的MAC地址進(jìn)行標(biāo)記����。
[0100]步驟102、虛擬防火墻對(duì)接收的數(shù)據(jù)流量進(jìn)行過(guò)濾�����,確定為安全的數(shù)據(jù)流量后�����,將數(shù)據(jù)流量轉(zhuǎn)發(fā)回業(yè)務(wù)虛擬機(jī)����;否則�,丟棄數(shù)據(jù)流量。
[0101]需要說(shuō)明的是�,數(shù)據(jù)流量的安全與否,是通過(guò)虛擬防火墻進(jìn)行過(guò)濾實(shí)現(xiàn)的�����,屬于本領(lǐng)域技術(shù)人員的公知常識(shí),在此不再贅述��。
[0102]本發(fā)明方法還包括����,按照預(yù)設(shè)周期,獲取所述虛擬防火墻的工作狀態(tài)��;
[0103]當(dāng)獲得的工作狀態(tài)顯示所述虛擬防火墻發(fā)生故障時(shí)����,對(duì)所述不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量,根據(jù)數(shù)據(jù)流量的所發(fā)往的業(yè)務(wù)虛擬機(jī)���,將所述數(shù)據(jù)流量轉(zhuǎn)發(fā)至該業(yè)務(wù)虛擬機(jī)�。
[0104]需要說(shuō)明的是�����,這里預(yù)設(shè)的周期��,是根據(jù)本領(lǐng)域技術(shù)人員對(duì)數(shù)據(jù)流量的收發(fā)情況及數(shù)據(jù)流量安全情況設(shè)定的周期�,根據(jù)實(shí)際情況可以進(jìn)行相應(yīng)的調(diào)整����。通過(guò)對(duì)虛擬防火墻故障的獲取�,進(jìn)一步避免分布式網(wǎng)絡(luò)出現(xiàn)單點(diǎn)故障隱患的問題。
[0105]圖2為本發(fā)明實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的系統(tǒng)的結(jié)構(gòu)框圖���,如圖2所示����,包括:
[0106]包括:物理防火墻����,若干物理主機(jī);各物理主機(jī)上包含有若干業(yè)務(wù)虛擬機(jī)���、虛擬防火墻;其中�,
[0107]各業(yè)務(wù)虛擬機(jī)包含判斷單元,用于對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量����,判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾,如果是��,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量;否則���,將該數(shù)據(jù)流量發(fā)往虛擬防火墻���。
[0108]判斷單元具體用于,判斷從網(wǎng)絡(luò)協(xié)議棧發(fā)出的不是發(fā)往物理防火墻的數(shù)據(jù)流量����,是否已經(jīng)過(guò)虛擬防火墻;判斷接收的發(fā)往網(wǎng)絡(luò)協(xié)議棧的不是來(lái)自物理防火墻的數(shù)據(jù)流量�,是否已經(jīng)過(guò)虛擬防火墻;
[0109]如果是���,轉(zhuǎn)發(fā)數(shù)據(jù)流量��;否則��,將該數(shù)據(jù)流量發(fā)往虛擬防火墻�����。
[0110]判斷單元還用于���,確定由網(wǎng)絡(luò)協(xié)議棧發(fā)出的數(shù)據(jù)流量是否發(fā)往物理防火墻����;或者�����,
[0111]發(fā)往網(wǎng)絡(luò)協(xié)議棧的數(shù)據(jù)流量是否來(lái)自物理防火墻���。
[0112]當(dāng)數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量����,判斷單元具體用于����,
[0113]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址,判斷不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量的數(shù)據(jù)包的源MAC地址是否與記錄的虛擬防火墻的MAC地址的對(duì)外網(wǎng)口的MAC地址相同��,當(dāng)所述數(shù)據(jù)流量標(biāo)記的MAC地址與記錄的虛擬防火墻的對(duì)外網(wǎng)口的MAC地址相同時(shí)�����,確定所述數(shù)據(jù)流量已經(jīng)過(guò)虛擬防火墻����;否則,確定所述數(shù)據(jù)流量未經(jīng)過(guò)虛擬防火墻��;
[0114]虛擬防火墻的MAC地址包括用于接收數(shù)據(jù)流量的對(duì)內(nèi)網(wǎng)口的MAC地址和用于向外發(fā)送已過(guò)濾數(shù)據(jù)流量的對(duì)外網(wǎng)口的MAC地址�。
[0115]將接收數(shù)據(jù)流量標(biāo)記的MAC地址或所述數(shù)據(jù)流量發(fā)往的MAC地址與網(wǎng)絡(luò)拓?fù)湫畔⒅械奈锢矸阑饓Φ腗AC地址進(jìn)行比對(duì),當(dāng)與記錄的物理防火墻的MAC地址相同時(shí)��,確定所述接收到的數(shù)據(jù)流量來(lái)自或發(fā)往物理防火墻����。
[0116]對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量,判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾�����,如果是�,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量;否則�����,將該數(shù)據(jù)流量發(fā)往虛擬防火墻�����。
[0117]物理防火墻�����,用于接收來(lái)自外網(wǎng)的發(fā)往分布式網(wǎng)絡(luò)的業(yè)務(wù)虛擬機(jī)的數(shù)據(jù)流量;接收來(lái)自業(yè)務(wù)虛擬機(jī)的發(fā)往外網(wǎng)的數(shù)據(jù)流量��。
[0118]虛擬防火墻�,旁掛于虛擬交換機(jī),用于對(duì)接收的數(shù)據(jù)流量進(jìn)行過(guò)濾�,確定為安全的數(shù)據(jù)流量后,把所述數(shù)據(jù)流量轉(zhuǎn)發(fā)回業(yè)務(wù)虛擬機(jī)�;否則,丟棄所述數(shù)據(jù)流量���。
[0119]本發(fā)明系統(tǒng)還包括網(wǎng)絡(luò)拓?fù)鋯卧?��,用于在轉(zhuǎn)發(fā)所述數(shù)據(jù)流量或,將數(shù)據(jù)流量發(fā)往虛擬防火墻之前�,
[0120]獲取分布式網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)湫畔ⅲ?br>
[0121]業(yè)務(wù)虛擬機(jī)根據(jù)獲得的網(wǎng)絡(luò)拓?fù)湫畔ⅲM(jìn)行所述數(shù)據(jù)流量的轉(zhuǎn)發(fā)或?qū)?shù)據(jù)流量發(fā)往所述虛擬防火墻��。
[0122]各業(yè)務(wù)虛擬機(jī)還設(shè)置有第一虛擬網(wǎng)卡和第二虛擬網(wǎng)卡����;其中,
[0123]第一虛擬網(wǎng)卡,為虛擬機(jī)的業(yè)務(wù)網(wǎng)卡��,用于接收�、來(lái)自物理防火墻的數(shù)據(jù)流量��、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量�、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量;發(fā)送��、發(fā)往物理防火墻的數(shù)據(jù)流量�,不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量;不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量���;
[0124]第二虛擬網(wǎng)卡���,為安全導(dǎo)流網(wǎng)卡,用于將不是來(lái)自或發(fā)往物理防火墻且未過(guò)濾的數(shù)據(jù)流量���,發(fā)往虛擬防火墻��;接收���、由網(wǎng)絡(luò)協(xié)議棧發(fā)出的且不是發(fā)往物理防火墻的被業(yè)務(wù)虛擬機(jī)確定未過(guò)濾的數(shù)據(jù)流量后、經(jīng)虛擬防火墻過(guò)濾的數(shù)據(jù)流量。
[0125]數(shù)據(jù)流量為發(fā)往物理防火墻的數(shù)據(jù)流量�,第一虛擬網(wǎng)卡具體用于,
[0126]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅形锢矸阑饓Φ慕橘|(zhì)訪問控制MAC地址進(jìn)行流量轉(zhuǎn)發(fā)�����;
[0127]數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻且已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量�����,所述第一虛擬網(wǎng)卡具體用于��,
[0128]根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒌腗AC地址和IP地址���,將數(shù)據(jù)流量發(fā)往數(shù)據(jù)流量的目的地址��;
[0129]數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量且未經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量��;所述第二虛擬網(wǎng)卡具體用于�,
[0130]根據(jù)網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址進(jìn)行流量轉(zhuǎn)發(fā)�����。
[0131]本發(fā)明系統(tǒng)還包括標(biāo)記單元��,用于當(dāng)所述數(shù)據(jù)流量經(jīng)過(guò)虛擬防火墻過(guò)濾時(shí),在所述數(shù)據(jù)流量上添加虛擬防火墻的對(duì)外網(wǎng)口的MAC地址作為源MAC地址進(jìn)行標(biāo)記�����。
[0132]標(biāo)記單元還用于����,當(dāng)數(shù)據(jù)流量經(jīng)過(guò)物理防火墻過(guò)濾時(shí)���,在所述數(shù)據(jù)流量上添加物理防火墻的MAC地址進(jìn)行標(biāo)記����。
[0133]本發(fā)明系統(tǒng)還包括周期檢測(cè)單元��,用于按照預(yù)設(shè)周期��,獲取所述虛擬防火墻的工作狀態(tài)�;
[0134]當(dāng)獲得的工作狀態(tài)顯示所述虛擬防火墻發(fā)生故障時(shí),對(duì)所述不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量�����,根據(jù)數(shù)據(jù)流量的所發(fā)往的業(yè)務(wù)虛擬機(jī)���,將所述數(shù)據(jù)流量轉(zhuǎn)發(fā)至該業(yè)務(wù)虛擬機(jī)�。
[0135]需要說(shuō)明的是,虛擬防火墻的建立���,還可以根據(jù)業(yè)務(wù)虛擬機(jī)的種類以及其他分類標(biāo)準(zhǔn)設(shè)置多個(gè)����。
[0136]為清楚的陳述本發(fā)明���,以下通過(guò)具體實(shí)施例對(duì)本發(fā)明方法進(jìn)行清楚詳細(xì)的說(shuō)明�,實(shí)施例并不用于限制本發(fā)明保護(hù)的范圍�。
[0137]實(shí)施例1
[0138]本實(shí)施例以在分布式網(wǎng)絡(luò)中一個(gè)物理主機(jī)的驅(qū)動(dòng)網(wǎng)卡上建立一個(gè)虛擬防火墻為例,對(duì)分布式網(wǎng)絡(luò)安全防護(hù)的方法進(jìn)行說(shuō)明�。
[0139]一個(gè)分布式網(wǎng)絡(luò)的數(shù)據(jù)流量在進(jìn)入分布式網(wǎng)絡(luò)時(shí),必將通過(guò)部署在分布式網(wǎng)絡(luò)的出入口的物理防火墻���,建立一個(gè)虛擬防火墻�,將虛擬防火墻旁掛在虛擬交換機(jī)上����。
[0140]對(duì)經(jīng)過(guò)物理防火墻或虛擬防火墻的數(shù)據(jù)流量通過(guò)經(jīng)過(guò)的物理防火墻或虛擬防火墻的MAC地址進(jìn)行標(biāo)記。
[0141]物理防火墻負(fù)責(zé)對(duì)南北向數(shù)據(jù)流量的過(guò)濾��,各業(yè)務(wù)虛擬機(jī)分別包含有各自的判斷模塊,負(fù)責(zé)對(duì)經(jīng)過(guò)業(yè)務(wù)虛擬機(jī)第一虛擬網(wǎng)卡的東西向數(shù)據(jù)流量進(jìn)行判斷:
[0142]獲取并記錄分布式網(wǎng)絡(luò)中物理防火墻和虛擬防火墻的MAC地址�。
[0143]當(dāng)從物理防火墻過(guò)濾后的南北向流量和接收的來(lái)自其他業(yè)務(wù)虛擬機(jī)的東西向流量,進(jìn)入業(yè)務(wù)虛擬機(jī)的第一虛擬網(wǎng)卡后�����,傳輸?shù)脚袛嗄K����,通過(guò)MAC地址標(biāo)記���,確定是否已經(jīng)過(guò)物理防火墻或虛擬防火墻的過(guò)濾���,通過(guò)網(wǎng)絡(luò)拓?fù)湫畔⒅袑?duì)外網(wǎng)口的MAC地址與數(shù)據(jù)流量的源MAC地址進(jìn)行比對(duì),相同時(shí)��,為已過(guò)濾�����,如果已過(guò)濾�����,則將數(shù)據(jù)流量發(fā)往第一虛擬網(wǎng)卡,按照網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行轉(zhuǎn)發(fā)�����;否則�����,通過(guò)第二虛擬網(wǎng)卡發(fā)往虛擬防火墻��,過(guò)濾后����,發(fā)往第一虛擬網(wǎng)卡。
[0144]由網(wǎng)絡(luò)協(xié)議棧發(fā)往其他業(yè)務(wù)虛擬機(jī)的數(shù)據(jù)流量或發(fā)往物理防火墻的數(shù)據(jù)流量����,經(jīng)判斷模塊判斷,對(duì)未經(jīng)過(guò)過(guò)濾的數(shù)據(jù)流量���,將該部分?jǐn)?shù)據(jù)流量通過(guò)第二虛擬網(wǎng)卡發(fā)往虛擬防火墻���,對(duì)已過(guò)濾的數(shù)據(jù)流量,經(jīng)第二虛擬網(wǎng)卡發(fā)往第一虛擬網(wǎng)卡���,通過(guò)第一虛擬網(wǎng)卡發(fā)往其他業(yè)務(wù)虛擬機(jī)�����;對(duì)發(fā)往物理防火墻的數(shù)據(jù)流量直接進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)�;
[0145]以上數(shù)據(jù)轉(zhuǎn)發(fā)通過(guò),網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行��,具體的轉(zhuǎn)發(fā)地址變換等�,屬于本領(lǐng)域技術(shù)人員的慣用技術(shù)手段。
[0146]為了避免由于虛擬防火墻自身故障導(dǎo)致的網(wǎng)絡(luò)通信的中斷����,定期的獲取虛擬防火墻的工作狀態(tài)��,當(dāng)虛擬防火墻發(fā)生故障��,則判斷模塊對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量����,根據(jù)數(shù)據(jù)流量的所發(fā)往的業(yè)務(wù)虛擬機(jī),直接進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)���。對(duì)發(fā)往或來(lái)自物理防火墻的數(shù)據(jù)流量�,直接進(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)。
[0147]本發(fā)明所提出的分布式部署方案具有更好的容錯(cuò)能力���,避免了單點(diǎn)故障隱患��;當(dāng)虛擬機(jī)發(fā)生遷移時(shí)����,分布式的部署方案中���,業(yè)務(wù)虛擬機(jī)和虛擬防火墻的設(shè)置�����,可以在分布式網(wǎng)絡(luò)中實(shí)現(xiàn)良好的遷移��。避免了網(wǎng)絡(luò)拓?fù)涞男薷慕o分布式網(wǎng)絡(luò)帶來(lái)的影響�,因此分布式防火墻部署方案對(duì)虛擬化環(huán)境的拓?fù)鋭?dòng)態(tài)變化也具有更好的適應(yīng)性��。
[0148]雖然本申請(qǐng)所揭露的實(shí)施方式如上�����,但所述的內(nèi)容僅為便于理解本申請(qǐng)而采用的實(shí)施方式,并非用以限定本申請(qǐng)����,如本發(fā)明實(shí)施方式中的具體的實(shí)現(xiàn)方法。任何本申請(qǐng)所屬領(lǐng)域內(nèi)的技術(shù)人員����,在不脫離本申請(qǐng)所揭露的精神和范圍的前提下,可以在實(shí)施的形式及細(xì)節(jié)上進(jìn)行任何的修改與變化��,但本申請(qǐng)的專利保護(hù)范圍���,仍須以所附的權(quán)利要求書所界定的范圍為準(zhǔn)����。
【權(quán)利要求】
1.一種實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的方法����,其特征在于���,包括:將虛擬防火墻旁掛在虛擬交換機(jī)上���; 對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量,業(yè)務(wù)虛擬機(jī)判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾����,如果是�����,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量�,否則�����,將該數(shù)據(jù)流量發(fā)往虛擬防火墻���; 虛擬防火墻對(duì)接收的數(shù)據(jù)流量進(jìn)行過(guò)濾�����,確定為安全的數(shù)據(jù)流量后����,將所述數(shù)據(jù)流量轉(zhuǎn)發(fā)回業(yè)務(wù)虛擬機(jī)���;否則�����,丟棄所述數(shù)據(jù)流量���。
2.根據(jù)權(quán)利要求1所述的方法���,其特征在于,所述不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量具體包括: 從網(wǎng)絡(luò)協(xié)議棧發(fā)出的不是發(fā)往物理防火墻的數(shù)據(jù)流量����;接收的發(fā)往網(wǎng)絡(luò)協(xié)議棧的不是來(lái)自物理防火墻的數(shù)據(jù)流量。
3.根據(jù)權(quán)利要求1或2所述的方法�,其特征在于,該方法之前還包括:所述業(yè)務(wù)虛擬機(jī)確定由網(wǎng)絡(luò)協(xié)議棧發(fā)出的數(shù)據(jù)流量是否發(fā)往物理防火墻�����; 或者�,發(fā)往網(wǎng)絡(luò)協(xié)議棧的數(shù)據(jù)流量是否來(lái)自物理防火墻。
4.根據(jù)權(quán)利要求1或2所述的方法����,其特征在于���,在轉(zhuǎn)發(fā)所述數(shù)據(jù)流量或�����,將數(shù)據(jù)流量發(fā)往虛擬防火墻之前��,該方法還包括: 獲取分布式網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)湫畔ⅲ? 所述業(yè)務(wù)虛擬機(jī)根據(jù)獲得的網(wǎng)絡(luò)拓?fù)湫畔?��,進(jìn)行所述數(shù)據(jù)流量的轉(zhuǎn)發(fā)或?qū)?shù)據(jù)流量發(fā)往所述虛擬防火墻��。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于�����,該方法之前還包括�����,在所述各業(yè)務(wù)虛擬機(jī)上�,預(yù)先設(shè)置第一虛擬網(wǎng)卡和第二虛擬網(wǎng)卡;其中����, 第一虛擬網(wǎng)卡�,用于接收�、來(lái)自物理防火墻的數(shù)據(jù)流量、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量��、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量�;發(fā)送、發(fā)往物理防火墻的數(shù)據(jù)流量�����,不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量�;不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量; 第二虛擬網(wǎng)卡���,為安全導(dǎo)流網(wǎng)卡���,用于將不是來(lái)自或發(fā)往物理防火墻且未過(guò)濾的數(shù)據(jù)流量,發(fā)往虛擬防火墻����;接收由網(wǎng)絡(luò)協(xié)議棧發(fā)出的且不是發(fā)往物理防火墻的被業(yè)務(wù)虛擬機(jī)確定未過(guò)濾的數(shù)據(jù)流量后、經(jīng)虛擬防火墻過(guò)濾的數(shù)據(jù)流量���。
6.根據(jù)權(quán)利要求4所述的方法�����,其特征在于���,所述數(shù)據(jù)流量為發(fā)往物理防火墻的數(shù)據(jù)流量,所述根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)包括: 根據(jù)所述網(wǎng)絡(luò)拓?fù)湫畔⒅形锢矸阑饓Φ慕橘|(zhì)訪問控制MAC地址進(jìn)行流量轉(zhuǎn)發(fā)�; 所述數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻且已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量,所述根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⑦M(jìn)行數(shù)據(jù)流量的轉(zhuǎn)發(fā)包括: 根據(jù)所述網(wǎng)絡(luò)拓?fù)湫畔⒌腗AC地址和IP地址���,將數(shù)據(jù)流量發(fā)往數(shù)據(jù)流量的目的地址�; 所述數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量且未經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量����;所述將該數(shù)據(jù)流量發(fā)往虛擬防火墻包括: 根據(jù)所述網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址進(jìn)行流量轉(zhuǎn)發(fā)。
7.根據(jù)權(quán)利要求4所述的方法�����,其特征在于��,當(dāng)所述數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量���,所述判斷數(shù)據(jù)流量是否已經(jīng)過(guò)虛擬防火墻過(guò)濾包括: 所述業(yè)務(wù)虛擬機(jī)根據(jù)所述網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址����,判斷所述不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量的數(shù)據(jù)包的源MAC地址是否與記錄的虛擬防火墻的MAC地址的對(duì)外網(wǎng)口的MAC地址相同,當(dāng)所述數(shù)據(jù)流量標(biāo)記的MAC地址與記錄的虛擬防火墻的對(duì)外網(wǎng)口的MAC地址相同時(shí)�����,確定所述數(shù)據(jù)流量已經(jīng)過(guò)虛擬防火墻�����;否則���,確定所述數(shù)據(jù)流量未經(jīng)過(guò)虛擬防火墻��; 所述虛擬防火墻的MAC地址包括用于接收數(shù)據(jù)流量的對(duì)內(nèi)網(wǎng)口的MAC地址和用于向外發(fā)送已過(guò)濾數(shù)據(jù)流量的對(duì)外網(wǎng)口的MAC地址����。
8.根據(jù)權(quán)利要求4所述的方法����,其特征在于,所述確定接收的數(shù)據(jù)流量是否來(lái)自于或發(fā)往物理防火墻包括: 將所述接收數(shù)據(jù)流量標(biāo)記的MAC地址或所述數(shù)據(jù)流量發(fā)往的MAC地址與網(wǎng)絡(luò)拓?fù)湫畔⒅械奈锢矸阑饓Φ腗AC地址進(jìn)行比對(duì)����,當(dāng)與記錄的物理防火墻的MAC地址相同時(shí)�,確定所述接收到的數(shù)據(jù)流量來(lái)自或發(fā)往物理防火墻���。
9.根據(jù)權(quán)利要求7所述的方法,其特征在于���,當(dāng)所述數(shù)據(jù)流量經(jīng)過(guò)虛擬防火墻過(guò)濾時(shí)���,該方法之前還包括:在所述數(shù)據(jù)流量上添加虛擬防火墻的對(duì)外網(wǎng)口的MAC地址作為源MAC地址進(jìn)行標(biāo)記。
10.根據(jù)權(quán)利要求7所述的方法�����,其特征在于�,當(dāng)所述數(shù)據(jù)流量經(jīng)過(guò)物理防火墻過(guò)濾時(shí),該方法之前還包括:在所述數(shù)據(jù)流量上添加物理防火墻的MAC地址進(jìn)行標(biāo)記�����。
11.根據(jù)權(quán)利要求1所述的方法���,其特征在于����,該方法還包括,按照預(yù)設(shè)周期�����,獲取所述虛擬防火墻的工作狀態(tài)����; 當(dāng)獲得的工作狀態(tài)顯示所述虛擬防火墻發(fā)生故障時(shí),對(duì)所述不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量��,根據(jù)數(shù)據(jù)流量的所發(fā)往的業(yè)務(wù)虛擬機(jī)�����,將所述數(shù)據(jù)流量轉(zhuǎn)發(fā)至該業(yè)務(wù)虛擬機(jī)��。
12.—種實(shí)現(xiàn)分布式網(wǎng)絡(luò)安全防護(hù)的系統(tǒng)���,其特征在于����,包括:物理防火墻,若干物理主機(jī)�;各物理主機(jī)上包含有若干業(yè)務(wù)虛擬機(jī)、虛擬防火墻���;其中����, 各業(yè)務(wù)虛擬機(jī)包含判斷單元����,用于對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量�����,判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾�,如果是,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量��;否則��,將該數(shù)據(jù)流量發(fā)往虛擬防火m ; 物理防火墻�����,用于接收來(lái)自外網(wǎng)的發(fā)往分布式網(wǎng)絡(luò)的業(yè)務(wù)虛擬機(jī)的數(shù)據(jù)流量;接收來(lái)自業(yè)務(wù)虛擬機(jī)的發(fā)往外網(wǎng)的數(shù)據(jù)流量����; 虛擬防火墻,旁掛于虛擬交換機(jī)���,用于對(duì)接收的數(shù)據(jù)流量進(jìn)行過(guò)濾�,確定為安全的數(shù)據(jù)流量后�,把所述數(shù)據(jù)流量轉(zhuǎn)發(fā)回業(yè)務(wù)虛擬機(jī);否則���,丟棄所述數(shù)據(jù)流量���。
13.根據(jù)權(quán)利要求12所述的系統(tǒng),其特征在于����,所述判斷單元具體用于,判斷從網(wǎng)絡(luò)協(xié)議棧發(fā)出的不是發(fā)往物理防火墻的數(shù)據(jù)流量�,是否已經(jīng)過(guò)虛擬防火墻;判斷接收的發(fā)往網(wǎng)絡(luò)協(xié)議棧的不是來(lái)自物理防火墻的數(shù)據(jù)流量�����,是否已經(jīng)過(guò)虛擬防火墻; 如果是�,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量;否則�,將該數(shù)據(jù)流量發(fā)往虛擬防火墻。
14.根據(jù)權(quán)利要求12或13所述的系統(tǒng)����,其特征在于,所述判斷單元還用于�,確定由網(wǎng)絡(luò)協(xié)議棧發(fā)出的數(shù)據(jù)流量是否發(fā)往物理防火墻;或者���, 發(fā)往網(wǎng)絡(luò)協(xié)議棧的數(shù)據(jù)流量是否來(lái)自物理防火墻��。
15.根據(jù)權(quán)利要求12或13所述的系統(tǒng)����,其特征在于���,該系統(tǒng)還包括網(wǎng)絡(luò)拓?fù)鋯卧糜谠谵D(zhuǎn)發(fā)所述數(shù)據(jù)流量或���,將數(shù)據(jù)流量發(fā)往虛擬防火墻之前����, 獲取分布式網(wǎng)絡(luò)的網(wǎng)絡(luò)拓?fù)湫畔ⅲ? 所述業(yè)務(wù)虛擬機(jī)根據(jù)獲得的網(wǎng)絡(luò)拓?fù)湫畔ⅲM(jìn)行所述數(shù)據(jù)流量的轉(zhuǎn)發(fā)或?qū)?shù)據(jù)流量發(fā)往所述虛擬防火墻�。
16.根據(jù)權(quán)利要求15所述的系統(tǒng),其特征在于����,各所述業(yè)務(wù)虛擬機(jī)還設(shè)置有第一虛擬網(wǎng)卡和第二虛擬網(wǎng)卡;其中��, 第一虛擬網(wǎng)卡���,為虛擬機(jī)的業(yè)務(wù)網(wǎng)卡����,用于接收�����、來(lái)自物理防火墻的數(shù)據(jù)流量�����、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量���、不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量�;發(fā)送、發(fā)往物理防火墻的數(shù)據(jù)流量���,不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量����;不是來(lái)自或發(fā)往物理防火墻的發(fā)往網(wǎng)絡(luò)協(xié)議棧的未過(guò)濾的數(shù)據(jù)流量��; 第二虛擬網(wǎng)卡�����,為安全導(dǎo)流網(wǎng)卡�,用于將不是來(lái)自或發(fā)往物理防火墻且未過(guò)濾的數(shù)據(jù)流量,發(fā)往虛擬防火墻�;接收、由網(wǎng)絡(luò)協(xié)議棧發(fā)出的且不是發(fā)往物理防火墻的被業(yè)務(wù)虛擬機(jī)確定未過(guò)濾的數(shù)據(jù)流量后�、經(jīng)虛擬防火墻過(guò)濾的數(shù)據(jù)流量���。
17.根據(jù)權(quán)利要求16所述的系統(tǒng)�,其特征在于��,所述數(shù)據(jù)流量為發(fā)往物理防火墻的數(shù)據(jù)流量,所述第一虛擬網(wǎng)卡具體用于���, 根據(jù)所述網(wǎng)絡(luò)拓?fù)湫畔⒅形锢矸阑饓Φ慕橘|(zhì)訪問控制MAC地址進(jìn)行流量轉(zhuǎn)發(fā)�����; 所述數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻且已經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量��,所述第一虛擬網(wǎng)卡具體用于�, 根據(jù)所述網(wǎng)絡(luò)拓?fù)湫畔⒌腗AC地址和IP地址�����,將數(shù)據(jù)流量發(fā)往數(shù)據(jù)流量的目的地址�;所述數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量且未經(jīng)過(guò)虛擬防火墻過(guò)濾的數(shù)據(jù)流量;所述第二虛擬網(wǎng)卡具體用于�, 根據(jù)網(wǎng)絡(luò)根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址進(jìn)行流量轉(zhuǎn)發(fā)。
18.根據(jù)權(quán)利要求15所述的系統(tǒng)�,其特征在于,當(dāng)所述數(shù)據(jù)流量為不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量���,所述判斷單元具體用于��, 根據(jù)網(wǎng)絡(luò)拓?fù)湫畔⒅刑摂M防火墻的MAC地址���,判斷不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量的數(shù)據(jù)包的源MAC地址是否與記錄的虛擬防火墻的MAC地址的對(duì)外網(wǎng)口的MAC地址相同�,當(dāng)所述數(shù)據(jù)流量標(biāo)記的MAC地址與記錄的虛擬防火墻的對(duì)外網(wǎng)口的MAC地址相同時(shí)����,確定所述數(shù)據(jù)流量已經(jīng)過(guò)虛擬防火墻;否則����,確定所述數(shù)據(jù)流量未經(jīng)過(guò)虛擬防火墻; 所述虛擬防火墻的MAC地址包括用于接收數(shù)據(jù)流量的對(duì)內(nèi)網(wǎng)口的MAC地址和用于向外發(fā)送已過(guò)濾數(shù)據(jù)流量的對(duì)外網(wǎng)口的MAC地址��。
19.根據(jù)權(quán)利要求15所述的系統(tǒng)��,其特征在于�����,所述判斷單元具體用于�, 將所述接收數(shù)據(jù)流量標(biāo)記的MAC地址或所述數(shù)據(jù)流量發(fā)往的MAC地址與網(wǎng)絡(luò)拓?fù)湫畔⒅械奈锢矸阑饓Φ腗AC地址進(jìn)行比對(duì),當(dāng)與記錄的物理防火墻的MAC地址相同時(shí)�,確定所述接收到的數(shù)據(jù)流量來(lái)自或發(fā)往物理防火墻; 對(duì)不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量��,判斷是否已經(jīng)過(guò)虛擬防火墻過(guò)濾����,如果是,轉(zhuǎn)發(fā)所述數(shù)據(jù)流量�;否則,將該數(shù)據(jù)流量發(fā)往虛擬防火墻���。
20.根據(jù)權(quán)利要求18所述的系統(tǒng)���,其特征在于,該系統(tǒng)還包括標(biāo)記單元��,用于當(dāng)所述數(shù)據(jù)流量經(jīng)過(guò)虛擬防火墻過(guò)濾時(shí)��,在所述數(shù)據(jù)流量上添加虛擬防火墻的對(duì)外網(wǎng)口的MAC地址作為源MAC地址進(jìn)行標(biāo)記��。
21.根據(jù)權(quán)利要求20所述的系統(tǒng)�,其特征在于,所述標(biāo)記單元還用于�����, 當(dāng)所述數(shù)據(jù)流量經(jīng)過(guò)物理防火墻過(guò)濾時(shí)��,在所述數(shù)據(jù)流量上添加物理防火墻的MAC地址進(jìn)行標(biāo)記�。
22.根據(jù)權(quán)利要求12所述的系統(tǒng)��,其特征在于�����,該系統(tǒng)還包括周期檢測(cè)單元��,用于按照預(yù)設(shè)周期�,獲取所述虛擬防火墻的工作狀態(tài)�; 當(dāng)獲得的工作狀態(tài)顯示所述虛擬防火墻發(fā)生故障時(shí),對(duì)所述不是來(lái)自或發(fā)往物理防火墻的數(shù)據(jù)流量����,根據(jù)數(shù)據(jù)流量的所發(fā)往的業(yè)務(wù)虛擬機(jī),將所述數(shù)據(jù)流量轉(zhuǎn)發(fā)至該業(yè)務(wù)虛擬機(jī)�。
【文檔編號(hào)】H04L29/06GK104301321SQ201410568541
【公開日】2015年1月21日 申請(qǐng)日期:2014年10月22日 優(yōu)先權(quán)日:2014年10月22日
【發(fā)明者】李陟, 曲武 申請(qǐng)人:北京啟明星辰信息技術(shù)股份有限公司, 北京啟明星辰信息安全技術(shù)有限公司