[发明专利]虚拟化网络边界数据流汇聚方法及装置

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及虚拟化网络中的网络数据流监控的方案。

背景技术

云计算是计算机和互联网的又一次新的革命，它将计算和存储转移到了云端，用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看，云计算不仅仅是一种新的概念，并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展，使得一台普通的物理服务器的所具有性能远远超过普通的单一用户对硬件性能的需求。因此，通过虚拟化的手段，将一台物理服务器虚拟为多台虚拟机，提供虚拟化服务成为了构建公有云和企业私有云的技术基础。

虚拟化在带来技术变革的同时，也提出了新的虚拟网络安全监控问题。传统的网络安全监控通常采用在安全域的网络边界、以及需要监听的安全域内的网络链路上旁路式部署网络安全监控产品，如入侵检测系统（Intrusion Detection Systems,IDS）、安全审计系统等。虚拟化技术对网络工程的最大影响是使得传统的物理网络边界不再清晰的存在，从而无法找到网络安全域的网络数据流的物理汇聚点，也就使得传统网络安全监控产品无法找到合适的部署位置来保护虚拟网络安全域的边界安全。也就是说传统物理网络安全产品不具有在虚拟化网络环境中捕获特定虚拟网络安全域边界网络数据流的能力。如图1所示，虚拟机3、虚拟机4和虚拟机8为需要被检测和审计的目标主机，传统的物理安全检测和审计设备只能通过捕获物理交换机端口镜像的网络数据流对特定主机进行检测和审计。

在虚拟化网络中，同一个安全域中的虚拟机可能分布于不同的物理主机上，并连接在不同的物理交换机上。在云计算的多租户环境下，同一个物理主机上还可能存在有多个属于不同安全域的虚拟机。这都使得传统物理网络安全监控设备无法有效监控被保护安全域的所有网络数据流，同时虚拟机的迁移更使得只能固定连接在某个交换机上的物理网络安全监控设备失去作用。对某个被保护的网络安全域而言，可以通过在每个域内虚拟机所在物理主机上部署一个安全虚拟机来实现对该网络安全域的全流量监控。这样虽然能够实现对一个安全域的边界以及域内的全流量监控，但是在多租户环境下，一台物理机上可能存在多个属于不同安全域的虚拟机，这样就需要同时在该物理主机上部署多个安全虚拟机，来分别完成对每个不同安全域的安全监控。这样做显然存在严重的性能问题，安全虚拟机数量的增加会抢占同属于一台物理机上的业务虚拟机的计算和存储资源。由于安全虚拟机通常具有较高的计算负载，因此在实际生产环境中，简单的部署多个安全虚拟机的方式并不可行。

Intel VT-d（Virtualization Technology for Directed I/O）即基于虚拟化技术的直接I/O，AMD称为IOMMU（I/O Memory Management Unit）即I/O内存管理单元，是一种基于北桥芯片的硬件辅助虚拟化技术，通过在北桥芯片中内置提供DMA（Direct Memory Access）即直接内存存取虚拟化和IRQ（Interrupt Request）即中断请求虚拟化硬件，实现了DMA和中断的重映射，（Remapping）从而能够直接将I/O设备分配给虚拟机，使得虚拟机内部的驱动程序可以直接和硬件设备进行通信，而不需要经过虚拟机监控器的管理。使用VT-d技术可以极大的提高虚拟机的虚拟化I/O能力，达到跟物理机近似的I/O性能。PCI透传技术是基于Intel VT-d或IOMMU的一种PCI设备直接IO技术，该技术向一个特定客户操作系统提供一种PCI设备的隔离，使得该设备能够被那个客户操作系统独占，从而使得透传设备可以获得近乎本机的性能。

发明内容

本发明所要解决的技术问题是，提供一种虚拟化网络边界数据流汇聚方法及装置，以提高网络安全产品的检测效率。

为了解决上述技术问题，本发明公开了一种虚拟化网络边界数据流汇聚装置，至少包括安全策略模块、虚拟化网络数据流捕获模块和网络边界数据流过滤网模块，其中：

所述安全策略模块，运行于安全虚拟机的用户态，维护并管理不同租户的网络边界安全策略；

所述虚拟化网络数据流捕获模块，运行于安全虚拟机的内核态，监听虚拟交换机上的网络数据流，从中捕获网络边界安全策略指定网络接口的数据包，并将捕获的数据包提交到所述网络边界数据流过滤网模块，其中，网络边界安全策略指定网络接口指不同租户的网络边界安全策略对应的虚拟交换机上的网络接口；