[0066] 進(jìn)一步地,VFW在自身的安全策略改變時(shí),可通知虛擬機(jī)更新相應(yīng)的引流策略,所 述更新具體可包括刪除、新增或修改。具體而言,當(dāng)用戶在VFW配置新的安全策略或者變更 原有的安全策略時(shí),可生成相應(yīng)的新增引流策略來代替原有的引流策略,以對(duì)虛擬交換機(jī) 中的相應(yīng)的引流策略進(jìn)行刪除、新增或修改。例如,新增安全策略,需要對(duì)于VMl和VM2之 間的流量進(jìn)行安全防護(hù),那么就會(huì)生成VMl和VM2之間的流量的引流策略,作為新增表項(xiàng), VFW可通知虛擬交換機(jī)來新增表項(xiàng);又例如,刪除原來的安全策略,不需要對(duì)VMl和VM2之 間的流量進(jìn)行安全防護(hù),那么原來生成的VMl和VM2之間的流量的引流策略,就可以刪除, VFW可通知虛擬交換機(jī)刪除該表項(xiàng),等等。
[0067] 優(yōu)選地,當(dāng)VFW對(duì)虛擬交換機(jī)引流過來的流量進(jìn)行安全檢測,檢測到某流量內(nèi)容 安全時(shí),可以自動(dòng)刷新vSwtich流表內(nèi)容,配置該流量動(dòng)作項(xiàng)為直接正常轉(zhuǎn)發(fā),而不必轉(zhuǎn)到 VFW中進(jìn)行處理,減少了經(jīng)VFW處理的流量,提高處理效率,同時(shí)也能保證流量安全。以前面 的例子進(jìn)行說明,VFW進(jìn)行安全策略(源IP :192. 168. 0. 1到目的IP :192. 168. 2. 2的流量允 許通過)匹配,且判斷該報(bào)文不是攻擊報(bào)文,所以,該報(bào)文為VFW允許通過的報(bào)文,則,通知 虛擬交換機(jī)增加新的引流策略,新的引流策略所對(duì)應(yīng)的流表內(nèi)容更新為:匹配字段:Src_ IP :192. 168. 0. 1,Dest_IP :192. 168. 2. 2 ;優(yōu)先級(jí):200 ;匹配動(dòng)作:直接轉(zhuǎn)發(fā)。從增加的新 的流表內(nèi)容可以看出,匹配字段與之前與該報(bào)文匹配的引流策略沒有變化,只是匹配優(yōu)先 級(jí)高于之前的流表,這樣交換機(jī)中存在兩個(gè)可匹配該報(bào)文所屬流量的流表,即之前與該報(bào) 文匹配的引流策略,以及增加的與之對(duì)應(yīng)的新的引流策略。也就是說,VFW對(duì)報(bào)文進(jìn)行處理, 且該報(bào)文符合自身配置的安全策略時(shí),通知所述虛擬交換機(jī)增加新的引流策略,該新的引 流策略與匹配該報(bào)文的引流策略對(duì)應(yīng),且該新的引流策略的匹配優(yōu)先級(jí)高于匹配該報(bào)文的 引流策略的優(yōu)先級(jí);所述新的引流策略用于指示所述虛擬交換機(jī)對(duì)接收到的與該報(bào)文屬于 同一流量的報(bào)文直接轉(zhuǎn)發(fā)至目的虛擬機(jī)。所以,匹配動(dòng)作指示這樣的報(bào)文進(jìn)入虛擬交換機(jī) 后直接轉(zhuǎn)發(fā)到目的地,而不再經(jīng)過VFW,提高處理效率。需要說明的是,這里所述的新的引流 策略,是指匹配動(dòng)作為直接轉(zhuǎn)發(fā)的引流策略,其是與交換機(jī)中已有的匹配動(dòng)作為引導(dǎo)至VFW 的引流策略對(duì)應(yīng),實(shí)際中,也可將其稱為轉(zhuǎn)發(fā)策略,這里為了便于與此前建立的對(duì)應(yīng)的引流 策略比較說明,所以使用新的引流策略,這與前述的對(duì)引流策略進(jìn)行更新中的新增也不同, 新增是增加原來沒有的引流策略,而這里的新的引流策略是指與已有的引流策略對(duì)應(yīng),只 是匹配動(dòng)作不同,且優(yōu)先級(jí)高。
[0068] 需要說明的是,本發(fā)明可對(duì)增加的新的引流策略設(shè)置老化時(shí)間,以便在該報(bào)文所 屬流量終止后在老化時(shí)間超時(shí)時(shí)自動(dòng)刪除新的引流策略。也就是說,當(dāng)該直接轉(zhuǎn)發(fā)的流量 終止后,根據(jù)新的引流策略中設(shè)置的老化時(shí)間,虛擬交換機(jī)會(huì)自動(dòng)刪除該直接轉(zhuǎn)發(fā)的引流 策略;新流量會(huì)繼續(xù)匹配原有的引流策略,將流量引導(dǎo)到VFW端口,通過這種動(dòng)態(tài)調(diào)整方 式,以兼顧安全和處理效率??梢钥闯?,本發(fā)明中新增加的引流策略是用于形成轉(zhuǎn)發(fā)流表, 所以可以給轉(zhuǎn)發(fā)流表設(shè)置老化時(shí)間。而引導(dǎo)至VFW的引流策略,不需要設(shè)置老化時(shí)間,這種 引流策略會(huì)一直存在,在轉(zhuǎn)發(fā)流表老化后,將流量引導(dǎo)到VFW端口。
[0069] 另外,VFW所配置的安全策略,以及虛擬交換機(jī)所建立的引流策略,不限于上述舉 例,基于源IP和目的IP進(jìn)行引流,還可以基于如下方式進(jìn)行:
[0070] 基于源虛擬機(jī)MAC和目的虛擬機(jī)MAC進(jìn)行引流;基于源虛擬機(jī)名稱(id)和目的虛 擬機(jī)名稱(id)進(jìn)行引流;
[0071] 或者,基于目的虛擬機(jī)MAC進(jìn)行引流;基于目的虛擬機(jī)IP進(jìn)行引流;基于目的虛 擬機(jī)名稱(id)進(jìn)行引流。
[0072] 另外,需要說明的是,第一點(diǎn)、本發(fā)明主要解決的是,對(duì)于同一物理服務(wù)器內(nèi)部的 各虛擬機(jī)之間的安全訪問處理。對(duì)于來自該物理服務(wù)器外部的流量,在具體實(shí)現(xiàn)上也可以 經(jīng)過在該物理服務(wù)器上構(gòu)建的VFW。為區(qū)別來自物理服務(wù)器內(nèi)部還是外部的流量,可以設(shè)置 VFW拒絕接收來自該物理服務(wù)器外部的流量,則在該物理服務(wù)器的VFW上,最優(yōu)的安全策略 設(shè)置方式為,指定安全策略的源ip、目的ip為本服務(wù)器內(nèi)的虛擬機(jī),則可以限定為內(nèi)部流 量經(jīng)過VFW處理。
[0073] 第二點(diǎn)、虛擬機(jī)在不同的物理服務(wù)器中可以遷移,虛擬機(jī)遷移之后,仍然可以實(shí)現(xiàn) 流量安全交互。一種具體實(shí)現(xiàn)可以為:假設(shè)初始虛擬機(jī)1和虛擬機(jī)2位于同一物理服務(wù)器1 上,該物理服務(wù)器1上構(gòu)建有VFWl,虛擬機(jī)2遷移到物理服務(wù)器2上,物理服務(wù)器2上構(gòu)建 有VFW2,則配置VFW2的安全策略與VFWl相同。這樣,來自虛擬機(jī)1的流量依次經(jīng)過VFWl 和VFW2,到達(dá)虛擬機(jī)2。從而實(shí)現(xiàn)了虛擬機(jī)遷移后的安全防護(hù)。還有一種實(shí)現(xiàn)方式可以為: 由于虛擬機(jī)2由物理服務(wù)器1遷移到物理服務(wù)器2上,則將物理服務(wù)器1上的相應(yīng)安全策 略刪除,這樣,來自物理服務(wù)器1上虛擬機(jī)1的流量,經(jīng)過服務(wù)器外部的物理防火墻到達(dá)物 理服務(wù)器2上的虛擬機(jī)2,同樣也實(shí)現(xiàn)了虛擬機(jī)遷移后的安全防護(hù)。
[0074] 基于同樣的發(fā)明構(gòu)思,本發(fā)明還提出一種報(bào)文安全轉(zhuǎn)發(fā)裝置,參見圖3,圖3為本 發(fā)明具體實(shí)施例中應(yīng)用于上述方法的報(bào)文安全轉(zhuǎn)發(fā)裝置的結(jié)構(gòu)示意圖。該裝置應(yīng)用于VFW, 包括:
[0075] 通知單元301,用于根據(jù)自身配置的安全策略,通知虛擬交換機(jī)建立相應(yīng)的引流策 略,所述引流策略用于指示虛擬交換機(jī)將接收到源虛擬機(jī)發(fā)送的匹配該引流策略的報(bào)文引 導(dǎo)至VFW ;
[0076] 處理單元302,用于接收到所述虛擬交換機(jī)轉(zhuǎn)發(fā)的報(bào)文時(shí),基于自身配置的安全策 略對(duì)報(bào)文進(jìn)行安全處理,并將處理后的符合安全策略的報(bào)文經(jīng)由虛擬交換機(jī)轉(zhuǎn)發(fā)至目的虛 擬機(jī);
[0077] 其中,所述VFW和虛擬交換機(jī)基于虛擬化平臺(tái)構(gòu)建于同一物理機(jī)中。
[0078] 進(jìn)一步地,所述通知單元301,還用于在自身的安全策略改變時(shí),通知虛擬機(jī)更新 相應(yīng)的引流策略,所述更新包括刪除、新增或修改。
[0079] 所述通知單元301,具體用于通過將帶有引流策略的消息發(fā)送給虛擬交換機(jī),通知 虛擬交換機(jī)建立或更新相應(yīng)的引流策略;
[0080] 所述引流策略在虛擬交換機(jī)中以流表形式保存,所述流表內(nèi)容包括:匹配字段、優(yōu) 先級(jí)、匹配動(dòng)作和匹配次數(shù)。
[0081] 所述通知單元301,還用于在對(duì)報(bào)文進(jìn)行處理,且該報(bào)文符合自身配置的安全策略 時(shí),通知所述虛擬交換機(jī)增加新的引流策略,該新的引流策略與匹配該報(bào)文的引流策略對(duì) 應(yīng),且該新的引流策略的匹配優(yōu)先級(jí)高于匹配該報(bào)文的引流策略的優(yōu)先級(jí);
[0082] 所述新的引流策略用于指示所述虛擬交換機(jī)對(duì)接收到的與該報(bào)文屬于同一流量 的報(bào)文直接轉(zhuǎn)發(fā)至目的虛擬機(jī)。
[0083] 所述通知單元301,還用于對(duì)增加的新的引流策略設(shè)置老化時(shí)間,以便在該報(bào)文所 屬流量終止后在老化時(shí)間超時(shí)時(shí)自動(dòng)刪除該新的引流策略。
[0084] 本發(fā)明還提出一種報(bào)文安全轉(zhuǎn)發(fā)裝置,參見圖4,圖4為本發(fā)明具體實(shí)施例中應(yīng)用 于上述方法的報(bào)文安全轉(zhuǎn)發(fā)裝置的結(jié)構(gòu)示意圖。該裝置應(yīng)用于虛擬交換機(jī),包括:
[0085] 匹配單元401,用于接收源虛擬機(jī)發(fā)送的報(bào)文,并將該報(bào)文與自身建立的引流