一種報(bào)文安全轉(zhuǎn)發(fā)方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及網(wǎng)絡(luò)通信技術(shù)領(lǐng)域,特別涉及一種報(bào)文安全轉(zhuǎn)發(fā)方法及裝置。
【背景技術(shù)】
[0002] 隨著云計(jì)算技術(shù)的快速發(fā)展,數(shù)據(jù)中心虛擬化逐步深入人心,面對(duì)資源的虛擬化, 其安全問(wèn)題也越來(lái)越受到關(guān)注。傳統(tǒng)的防火墻設(shè)備能夠?qū)W(wǎng)絡(luò)中的流量進(jìn)行安全防護(hù)及業(yè) 務(wù)隔離,但在虛擬環(huán)境中,服務(wù)器內(nèi)部多個(gè)虛擬機(jī)(Virtual Machine,VM)間的流量通常在 服務(wù)器內(nèi)部存在,而不會(huì)傳送到服務(wù)器外部的物理防火墻中,導(dǎo)致物理防火墻無(wú)法對(duì)其進(jìn) 行安全防護(hù)。
[0003] 為解決服務(wù)器內(nèi)虛擬機(jī)間流量的安全防護(hù)問(wèn)題,現(xiàn)有技術(shù)主要是利用"體外循環(huán)" 方案,即將服務(wù)器內(nèi)部虛擬機(jī)流量全部牽引到服務(wù)器外部,然后引導(dǎo)給專用的安全設(shè)備對(duì) 其進(jìn)行過(guò)濾和防護(hù)等安全處理?,F(xiàn)有技術(shù)實(shí)現(xiàn)過(guò)程中,服務(wù)器內(nèi)部流量要引導(dǎo)到外部處理, 增加了流量處理的負(fù)荷,會(huì)影響服務(wù)器和交換機(jī)性能;同時(shí)流量引導(dǎo)要外部接入交換機(jī)配 合,需要專用的物理交換設(shè)備。
【發(fā)明內(nèi)容】
[0004] 本發(fā)明的目的在于提供一種報(bào)文安全轉(zhuǎn)發(fā)方法及裝置,能夠避免流量轉(zhuǎn)發(fā)到外部 處理。
[0005] 為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明提供了一種一種報(bào)文安全轉(zhuǎn)發(fā)方法,應(yīng)用于虛擬防 火墻VFW中,該方法包括:
[0006] VFW根據(jù)自身配置的安全策略,通知虛擬交換機(jī)建立相應(yīng)的引流策略,所述引流策 略用于指示虛擬交換機(jī)將接收到源虛擬機(jī)發(fā)送的匹配該引流策略的報(bào)文引導(dǎo)至VFW ;
[0007] VFW接收到所述虛擬交換機(jī)轉(zhuǎn)發(fā)的報(bào)文時(shí),基于自身配置的安全策略對(duì)報(bào)文進(jìn)行 安全處理,并將處理后的符合安全策略的報(bào)文經(jīng)由虛擬交換機(jī)轉(zhuǎn)發(fā)至目的虛擬機(jī);
[0008] 其中,所述VFW和虛擬交換機(jī)基于虛擬化平臺(tái)構(gòu)建于同一物理機(jī)中。
[0009] 為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明還提供了一種報(bào)文安全轉(zhuǎn)發(fā)方法,應(yīng)用于虛擬交換 機(jī)中,該方法包括:
[0010] 虛擬交換機(jī)接收源虛擬機(jī)發(fā)送的報(bào)文,并將該報(bào)文與自身建立的引流策略進(jìn)行匹 配,所述引流策略為根據(jù)VFW基于自身配置的安全策略下發(fā)的通知相應(yīng)建立;
[0011] 虛擬交換機(jī)在確定該報(bào)文匹配有引流策略時(shí),根據(jù)引流策略將該報(bào)文引導(dǎo)至VFW, 以便由VFW對(duì)該報(bào)文進(jìn)行安全處理;
[0012] 其中,所述VFW和虛擬交換機(jī)基于虛擬化平臺(tái)構(gòu)建于同一物理機(jī)中。
[0013] 為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明還提供了一種報(bào)文安全轉(zhuǎn)發(fā)裝置,所述裝置應(yīng)用于 虛擬防火墻VFW中,該裝置包括 :
[0014] 通知單元,用于根據(jù)自身配置的安全策略,通知虛擬交換機(jī)建立相應(yīng)的引流策略, 所述引流策略用于指示虛擬交換機(jī)將接收到源虛擬機(jī)發(fā)送的匹配該引流策略的報(bào)文引導(dǎo) 至 VFW ;
[0015] 處理單元,用于接收到所述虛擬交換機(jī)轉(zhuǎn)發(fā)的報(bào)文時(shí),基于自身配置的安全策略 對(duì)報(bào)文進(jìn)行安全處理,并將處理后的符合安全策略的報(bào)文經(jīng)由虛擬交換機(jī)轉(zhuǎn)發(fā)至目的虛擬 機(jī);
[0016] 其中,所述VFW和虛擬交換機(jī)基于虛擬化平臺(tái)構(gòu)建于同一物理機(jī)中。
[0017] 為實(shí)現(xiàn)上述發(fā)明目的,本發(fā)明還提供了一種報(bào)文安全轉(zhuǎn)發(fā)裝置,所述裝置應(yīng)用于 虛擬交換機(jī)中,該裝置包括:
[0018] 匹配單元,用于接收源虛擬機(jī)發(fā)送的報(bào)文,并將該報(bào)文與自身建立的引流策略進(jìn) 行匹配,所述引流策略為根據(jù)VFW基于自身配置的安全策略下發(fā)的通知相應(yīng)建立;
[0019] 引流單元,用于在確定該報(bào)文匹配有引流策略時(shí),根據(jù)引流策略將該報(bào)文引導(dǎo)至 VFW,以便由VFW對(duì)該報(bào)文進(jìn)行安全處理;
[0020] 其中,所述VFW和虛擬交換機(jī)基于虛擬化平臺(tái)構(gòu)建于同一物理機(jī)中。
[0021] 綜上所述,本發(fā)明實(shí)施例基于虛擬化平臺(tái)創(chuàng)建虛擬防火墻(VFW),使得VFW可根據(jù) 自身配置的安全策略,通知虛擬交換機(jī)建立相應(yīng)的引流策略,所述引流策略用于指示虛擬 交換機(jī)將接收到源虛擬機(jī)發(fā)送的匹配該引流策略的報(bào)文引導(dǎo)至VFW,這樣,物理機(jī)內(nèi)的虛擬 機(jī)之間的需要進(jìn)行安全處理的報(bào)文,可被引流到VFW進(jìn)行處理。通過(guò)本發(fā)明的方案,在虛擬 環(huán)境中,使得VFW可基于自身配置的安全策略,實(shí)現(xiàn)對(duì)服務(wù)器內(nèi)部VM間流量的安全防護(hù),避 免了流量轉(zhuǎn)發(fā)到外部處理。
【附圖說(shuō)明】
[0022] 圖1為本發(fā)明實(shí)施例在服務(wù)器中基于KVM的典型部署模型示意圖。
[0023] 圖2為本發(fā)明實(shí)施例報(bào)文安全轉(zhuǎn)發(fā)方法的流程示意圖。
[0024] 圖3為本發(fā)明實(shí)施例報(bào)文安全轉(zhuǎn)發(fā)裝置應(yīng)用于VFW的結(jié)構(gòu)示意圖。
[0025] 圖4為本發(fā)明實(shí)施例報(bào)文安全轉(zhuǎn)發(fā)裝置應(yīng)用于虛擬交換機(jī)的結(jié)構(gòu)示意圖。
【具體實(shí)施方式】
[0026] 為使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白,以下參照附圖并舉實(shí)施例,對(duì) 本發(fā)明所述方案作進(jìn)一步地詳細(xì)說(shuō)明。
[0027] 本發(fā)明的核心思想是,在物理機(jī),例如服務(wù)器上,基于虛擬化平臺(tái)創(chuàng)建虛擬防火 墻,虛擬防火墻作為一個(gè)特殊的虛擬機(jī)運(yùn)行在虛擬平臺(tái)中,該創(chuàng)建的虛擬防火墻可具有與 傳統(tǒng)物理防火墻相同的安全防護(hù)功能。當(dāng)服務(wù)器內(nèi)部虛擬機(jī)VM間訪問(wèn)流量需要進(jìn)行安全 防護(hù)時(shí),管理員可在VFW上配置相應(yīng)的安全策略,而VFW可自動(dòng)配置虛擬交換機(jī)(vSwtich) 中的引流策略,并可以流表形式保存在vSwtich中,vSwitch可根據(jù)流表內(nèi)容對(duì)流量進(jìn)行匹 配,從而可將特定VM的報(bào)文引流到VFW中,由VFW對(duì)VM間流量進(jìn)行安全防護(hù)處理,最后經(jīng) VFW處理過(guò)的流量再回到vSwtich中進(jìn)行正常轉(zhuǎn)發(fā)。通過(guò)本方案,在虛擬環(huán)境中,可使用VFW 實(shí)現(xiàn)對(duì)服務(wù)器內(nèi)部VM間流量的防護(hù),避免流量轉(zhuǎn)發(fā)到外部處理,造成服務(wù)器和物理交換機(jī) 性能浪費(fèi)。
[0028] 其中,上述的虛擬化平臺(tái)可包括VMware,Xen,KVM等,本發(fā)明實(shí)施例將以KVM虛擬 化平臺(tái)中的實(shí)現(xiàn)為例進(jìn)行說(shuō)明,其中,虛擬機(jī)、VFW、虛擬交換機(jī)等均可在虛擬化平臺(tái)中構(gòu)建 出來(lái)。
[0029] 圖1為本發(fā)明實(shí)施例在服務(wù)器中基于KVM虛擬化平臺(tái)的典型部署模型示意 圖。從圖1可以看出,在服務(wù)器(Physical Server)中基于KVM虛擬化軟件管理程序 (Hypervisor),創(chuàng)建虛擬交換機(jī)vSwitch、多個(gè)虛擬機(jī)VM和虛擬防火墻VFW。其中,虛擬機(jī) VM具有傳統(tǒng)計(jì)算機(jī)設(shè)備的功能,虛擬交換機(jī)vSwitch具有傳統(tǒng)交換機(jī)的功能,虛擬防火墻 則具有傳統(tǒng)防火墻的功能,虛擬防火墻也是虛擬機(jī)的一種,是利用KVM虛擬出來(lái)的虛擬網(wǎng) 卡,通過(guò)端口與虛擬交換機(jī)連接。實(shí)際應(yīng)用中,可根據(jù)需要在虛擬化平臺(tái)上構(gòu)建出所需功能 的各種虛擬設(shè)備。
[0030] 本發(fā)明虛擬防火墻與現(xiàn)有的物理防火墻的功能等同,具有防攻擊、隔離網(wǎng)絡(luò)等作 用,并可供用戶,例如管理員進(jìn)行安全策略的配置。從圖1中流量的走向可以看出,來(lái)自服 務(wù)器中的源虛擬機(jī)的流量,發(fā)送到虛擬交換機(jī)后,被引入VFW,經(jīng)過(guò)VFW的安全防護(hù)處理后, 流量再次返回虛擬交換機(jī),由虛擬交換機(jī)發(fā)送到服務(wù)器中的目的虛擬機(jī)。源虛擬機(jī)和目的 虛擬機(jī)位于同一物理服務(wù)器上,他們之間的流量可不需要經(jīng)過(guò)外部的物理防火墻進(jìn)行安全 處理,而是由內(nèi)部的VFW進(jìn)行安全處理。
[0031] 基于圖1的描述,本發(fā)明實(shí)施例提供了一種報(bào)文安全轉(zhuǎn)發(fā)方法,應(yīng)用于VFW中,其 流程示意圖如圖2所示,該方法包括:
[0032] 步驟