[发明专利]一种基于虚拟机的防火墙系统

说明书

技术领域

本发明属于信息安全的网络访问控制领域。

技术背景

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

按防火墙的应用部署位置，可以分为边界防火墙、个人防火墙和混合防火墙三大类。边界防火墙位于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络；个人防火墙安装于单台主机中，防护的也只是单台主机；混合式防火墙是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。

受到应用范围、部署难度和成本等因素的限制，在个人计算机中通常使用个人防火墙。这种防火墙通常是软件实现，与操作系统的内核协议栈相互配合完成网络访问的过滤。

目前，由于个人防火墙安装在操作系统之中，它们主要有四大不足：一、重装操作系统之后需要再次安装防火墙，期间存在一个防护真空；二、防火墙软件的实现依赖于特定操作系统，对于不同的操作系统需要实现多套防火墙；三、防火墙本身的安全性依赖于操作系统，一旦操作系统存在漏洞或后门，黑客可能绕过防火墙而访问私密数据；四、本地操作可以关闭防火墙，用户的误操作或执行了木马程序，都可能导致防火墙功能被屏蔽，从而显露在网络攻击之下。所以，传统的个人防火墙部署方式在灵活性和安全性方面都有隐患。

发明内容

本发明的目的在于克服现有个人防火墙技术上的不足，设计了一种集成于个人计算机之中，不依赖于具体操作系统，并且支持多网隔离的个人防火墙设计方案。

为了实现发明目的，采用的技术方案如下：

一种基于虚拟机的防火墙系统，包括内核系统，防火墙和客户操作系统，所述内核系统设置在磁盘的安全分区中，一般用户无法访问，客户操作系统为由用户直接使用的操作系统，内核系统和客户操作系统之间采用虚拟网络连接，使得客户操作系统的网络访问都经过内核系统转发，所述防火墙安装在内核系统上，用于过滤所有经过的网络数据，使得客户操作系统的网络访问经内核系统转发后受到防火墙的控制。

上述技术方案中，所述内核系统采用在Linux上安装Xen补丁，使之成为一个Xen宿主系统，所述Xen宿主系统用于创建和管理虚拟机，所述客户操作系统安装在Xen宿主系统所创建的虚拟机中。

所述防火墙安装在Xen宿主系统的内核协议栈里。

本发明所述Xen宿主系统创建多个虚拟机，每个虚拟机安装和运行一个客户操作系统，所述Xen宿主系统能够支持同时安装和运行多个客户操作系统。

所述Xen宿主系统为每一个客户操作系统创建了一块或多块虚拟网卡，所述虚拟网卡与连接不同类型网络的物理网卡相连接，客户操作系统的网络访问经过物理网卡的转发实现不同类型网络的连接访问。

所述虚拟网卡与物理网卡的连接方式采用网桥或路由器实现。

所述防火墙的规则库和日志信息记录在磁盘的保护分区中，使得一般的磁盘驱动程序无法访问到，Xen宿主系统通过调用UEFI BIOS中的Runtime Service能够访问保护分区，所述Xen宿主系统还增加一个Hypercall来封装并转发Runtime Service，使得防火墙通过调用Hypercall来实现调用Xen宿主系统。