一種虛擬防火墻的實現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機中防火墻技術(shù)領(lǐng)域,尤其是涉及一種虛擬防火墻的實現(xiàn)方法��。
【背景技術(shù)】
[0002]防火墻是一項協(xié)助確保信息安全的設(shè)備�,會依照特定的規(guī)則,允許或是限制傳輸?shù)臄?shù)據(jù)通過����。防火墻可以是一臺專屬的硬件也可以是架設(shè)在一般硬件上的一套軟件。
[0003]XenServer是為了高效地管理虛擬機服務(wù)器而設(shè)計的����,可提供經(jīng)濟高效的服務(wù)器整合和業(yè)務(wù)連續(xù)性,XenServer是在云計算環(huán)境中可提供創(chuàng)建和管理虛擬基礎(chǔ)架構(gòu)所需的所有功能���,深得企業(yè)信賴�����,但XenServer與在與防火墻相關(guān)的計算機技術(shù)領(lǐng)域卻是一片空白���。
[0004]目前的防火墻一般是物理防火墻�����,是一臺物理設(shè)備����,在傳統(tǒng)網(wǎng)絡(luò)環(huán)境下普遍采用��。還有一些廠家推出了所謂的虛擬防火墻��,實現(xiàn)方法是在傳統(tǒng)的物理防火墻中放置多個虛擬機����,在虛擬機中安裝防火墻軟件。這種方法的表現(xiàn)仍然是一臺物理設(shè)備�����,只不過一臺防火墻可以作為多臺防火墻來使用����,但是不能夠解決同一臺物理機上的虛擬機之間的網(wǎng)絡(luò)隔離和控制,因為虛擬機之間的通信完全在一臺服務(wù)器內(nèi)部���,不會流到物理防火墻中��,所以也就不能夠起到防火墻的作用��。
[0005]名詞解釋=XenServer是思杰公司(Citrix)推出的一款服務(wù)器虛擬化系統(tǒng),是服務(wù)器“虛擬化系統(tǒng)”而不是“軟件”���,與傳統(tǒng)虛擬機類軟件不同的是它無需底層原生操作系統(tǒng)的支持,也就是說XenServer本身就具備了操作系統(tǒng)的功能��,是能直接安裝在服務(wù)器上引導(dǎo)啟動并運行的�����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于設(shè)計一種虛擬防火墻的實現(xiàn)方法�,解決上述問題。為了實現(xiàn)上述目的�����,本發(fā)明采用的技術(shù)方案如下:
[0007]—種虛擬防火墻的實現(xiàn)方法����,同一網(wǎng)絡(luò)中的兩臺以上不同的虛擬機位于同一物理機上,包括如下步驟:
[0008]步驟101��,在所述同一網(wǎng)絡(luò)中設(shè)有虛擬化安全系統(tǒng);所述虛擬化安全系統(tǒng)制定防火墻規(guī)則���;在所述同一物理機上設(shè)有虛擬防火墻模塊�����;
[0009]步驟102��,所述虛擬化安全系統(tǒng)根據(jù)所述防火墻規(guī)則在所述虛擬機上設(shè)置虛擬防火墻策略并將所述虛擬防火墻策略通知所述虛擬防火墻模塊����;
[0010]步驟103��,所述虛擬防火墻模塊根據(jù)所述虛擬防火墻策略通知生成物理防火墻策略�,所述虛擬防火墻策略與所述物理防火墻策略相關(guān)聯(lián),實現(xiàn)所述虛擬機通信時受到所述物理防火墻的控制����。
[0011]優(yōu)選的,步驟104,在所述同一物理機上設(shè)有的XenServer,所述虛擬化安全系統(tǒng)通過所述XenServer感知在所述同一網(wǎng)絡(luò)中的虛擬機是否遷移�����;
[0012]步驟104.a���,若感知到所述虛擬機已遷移�����,生成遷移結(jié)果��;進行步驟105 ���;
[0013]步驟104.b,若感知到所述虛擬機未遷移���,則繼續(xù)感知����,直到感知到所述虛擬機發(fā)生遷移為止����,返回步驟104.a ;
[0014]步驟105����,所述虛擬化安全系統(tǒng)根據(jù)所述防火墻規(guī)則將所述遷移結(jié)果通知物理機上設(shè)置的虛擬防火墻模塊;
[0015]步驟106����,所述虛擬防火墻模塊對已遷移的所述虛擬機相關(guān)聯(lián)的物理防火墻策略進行刪除處理��,完成所述虛擬機遷移處理�。
[0016]優(yōu)選的����,所述虛擬機為無代理服務(wù)的虛擬機。
[0017]本發(fā)明與現(xiàn)有技術(shù)相比����,具有如下有益效果:
[0018]1、通過本發(fā)明���,在實現(xiàn)虛擬機之間的安全通信�。
[0019]2���、通過本發(fā)明�,簡化了為虛擬機配備安裝防火墻軟件���,高效的利用了
[0020]物理防火墻的作用���。
[0021 ] 3���、通過本發(fā)明,在虛擬機環(huán)境中批量使用�����,可以靈活使用�,便于在其它
[0022]虛擬化環(huán)境中快速創(chuàng)建并根據(jù)實際情況進行防火墻配置定制達到靈活
[0023]應(yīng)用���。
【附圖說明】
[0024]圖1示例性的示出了本發(fā)明一種虛擬防火墻的實現(xiàn)方法的流程示意圖��。
【具體實施方式】
[0025]為了更好的理解本發(fā)明所解決的技術(shù)問題�����、所提供的技術(shù)方案���,以下結(jié)合附圖及實施例,對本發(fā)明進行進一步詳細(xì)說明����。此處所描述的具體實施例僅用以解釋本發(fā)明的實施,但并不用于限定本發(fā)明����。
[0026]如圖1所示的一種虛擬防火墻的實現(xiàn)方法����,同一網(wǎng)絡(luò)中的兩臺以上不同的虛擬機位于同一物理機上�,所述虛擬機為無代理服務(wù)的虛擬機,包括如下步驟:
[0027]步驟101���,在所述同一網(wǎng)絡(luò)中設(shè)有虛擬化安全系統(tǒng)����;所述虛擬化安全系統(tǒng)制定防火墻規(guī)則���;在所述同一物理機上設(shè)有虛擬防火墻模塊���;
[0028]步驟102,所述虛擬化安全系統(tǒng)根據(jù)所述防火墻規(guī)則在所述虛擬機上設(shè)置虛擬防火墻策略并將所述虛擬防火墻策略通知所述虛擬防火墻模塊�;
[0029]步驟103,所述虛擬防火墻模塊根據(jù)所述虛擬防火墻策略通知生成物理防火墻策略�,所述虛擬防火墻策略與所述物理防火墻策略相關(guān)聯(lián),實現(xiàn)所述虛擬機通信時受到所述物理防火墻的控制��。
[0030]步驟104,在所述同一物理機上設(shè)有的XenServer,所述虛擬化安全系統(tǒng)通過所述XenServer感知在所述同一網(wǎng)絡(luò)中的虛擬機是否遷移��;
[0031]步驟104.a,若感知到所述虛擬機已遷移�,生成遷移結(jié)果;進行步驟105 �����;
[0032]步驟104.b�����,若感知到所述虛擬機未遷移��,則繼續(xù)感知���,直到感知到所述虛擬機發(fā)生遷移為止,返回步驟104.a ��;
[0033]步驟105���,所述虛擬化安全系統(tǒng)根據(jù)所述防火墻規(guī)則將所述遷移結(jié)果通知物理機上設(shè)置的虛擬防火墻模塊�;
[0034]步驟106��,所述虛擬防火墻模塊對已遷移的所述虛擬機相關(guān)聯(lián)的物理防火墻策略進行刪除處理��,完成所述虛擬機遷移處理。
[0035]本發(fā)明通過虛擬化安全系統(tǒng)制定防火墻規(guī)則����,把規(guī)則應(yīng)用到虛擬機上,采用無代理方式���。虛擬化安全系統(tǒng)可以制定����、修改和刪除虛擬防火墻策略��,并且把虛擬防火墻策略應(yīng)用到不同的虛擬機上�,虛擬機一旦被分配虛擬防火墻策略,虛擬化安全系統(tǒng)就會將分配虛擬防火墻策略通知物理機中的虛擬防火墻模塊����,通過虛擬防火墻模塊根據(jù)分配虛擬防火墻策略生成真實的防火墻策略,達到保護虛擬機的目的�����。當(dāng)含有虛擬防火墻策略的虛擬機發(fā)生遷移時�,虛擬化安全系統(tǒng)會通過物理機中的XenServer系統(tǒng)產(chǎn)生的事件感知到,感知到所述虛擬機已遷移,生成遷移結(jié)果并通知虛擬防火墻模塊�;所述虛擬防火墻模塊對已遷移的所述虛擬機相關(guān)聯(lián)的物理防火墻策略進行刪除處理,完成所述虛擬機遷移處理�。通過本發(fā)明,在實現(xiàn)虛擬機之間的安全通信�,簡化了為虛擬機配備安裝防火墻軟件,高效的利用了物理防火墻的作用�����。在虛擬機環(huán)境中批量使用�����,可以靈活使用�,便于在其它虛擬化環(huán)境中快速創(chuàng)建并根據(jù)實際情況進行防火墻配置定制達到靈活應(yīng)用。
[0036]以上通過具體的和優(yōu)選的實施例詳細(xì)的描述了本發(fā)明����,但本領(lǐng)域技術(shù)人員應(yīng)該明白��,本發(fā)明并不局限于以上所述實施例�����,凡在本發(fā)明的基本原理之內(nèi),所作的任何修改�、組合及等同替換等,均包含在本發(fā)明的保護范圍之內(nèi)����。
【主權(quán)項】
1.一種虛擬防火墻的實現(xiàn)方法,同一網(wǎng)絡(luò)中的兩臺以上不同的虛擬機位于同一物理機上�,其特征在于,包括如下步驟: 步驟101�����,在所述同一網(wǎng)絡(luò)中設(shè)有虛擬化安全系統(tǒng)��;所述虛擬化安全系統(tǒng)制定防火墻規(guī)則��;在所述同一物理機上設(shè)有虛擬防火墻模塊��; 步驟102����,所述虛擬化安全系統(tǒng)根據(jù)所述防火墻規(guī)則在所述虛擬機上設(shè)置虛擬防火墻策略并將所述虛擬防火墻策略通知所述虛擬防火墻模塊; 步驟103�,所述虛擬防火墻模塊根據(jù)所述虛擬防火墻策略通知生成物理防火墻策略,所述虛擬防火墻策略與所述物理防火墻策略相關(guān)聯(lián)�,實現(xiàn)所述虛擬機通信時受到所述物理防火墻的控制。
2.根據(jù)權(quán)利要求1所述的虛擬防火墻的實現(xiàn)方法,其特征在于:在步驟103之后還包括如下步驟: 步驟104�,在所述同一物理機上設(shè)有的XenServer,所述虛擬化安全系統(tǒng)通過所述XenServer感知在所述同一網(wǎng)絡(luò)中的虛擬機是否遷移��; 步驟104.a����,若感知到所述虛擬機已遷移,生成遷移結(jié)果�;進行步驟105 ; 步驟104.b�,若感知到所述虛擬機未遷移,則繼續(xù)感知����,直到感知到所述虛擬機發(fā)生遷移為止,返回步驟104.a �����; 步驟105����,所述虛擬化安全系統(tǒng)根據(jù)所述防火墻規(guī)則將所述遷移結(jié)果通知物理機上設(shè)置的虛擬防火墻模塊����; 步驟106�����,所述虛擬防火墻模塊對已遷移的所述虛擬機相關(guān)聯(lián)的物理防火墻策略進行刪除處理�,完成所述虛擬機遷移處理�。
3.根據(jù)權(quán)利要求1或2所述的虛擬防火墻的實現(xiàn)方法,其特征在于:所述虛擬機為無代理服務(wù)的虛擬機����。
【專利摘要】一種虛擬防火墻的實現(xiàn)方法,同一網(wǎng)絡(luò)中的兩臺以上不同的虛擬機位于同一物理機上��,包括如下步驟:步驟101����,在所述同一網(wǎng)絡(luò)中設(shè)有虛擬化安全系統(tǒng);所述虛擬化安全系統(tǒng)制定防火墻規(guī)則��;在所述同一物理機上設(shè)有虛擬防火墻模塊�;步驟102,所述虛擬化安全系統(tǒng)根據(jù)所述防火墻規(guī)則在所述虛擬機上設(shè)置虛擬防火墻策略并將所述虛擬防火墻策略通知所述虛擬防火墻模塊�����;步驟103,所述虛擬防火墻模塊根據(jù)所述虛擬防火墻策略通知生成物理防火墻策略����,所述虛擬防火墻策略與所述物理防火墻策略相關(guān)聯(lián),實現(xiàn)所述虛擬機通信時受到所述物理防火墻的控制��。在實現(xiàn)虛擬機之間的安全通信���,簡化了為虛擬機配備安裝防火墻軟件���,高效的利用了物理防火墻的作用。
【IPC分類】H04L12-46, H04L29-06
【公開號】CN104660553
【申請?zhí)枴緾N201310585074
【發(fā)明人】姜猛
【申請人】北京天地超云科技有限公司
【公開日】2015年5月27日
【申請日】2013年11月19日