[发明专利]虚拟网络隔离的实现方法和实现装置

说明书

技术领域

本发明涉及网络安全领域，具体来说，涉及一种虚拟网络隔离的实现方法和实现装置。

背景技术

当前，许多厂家在一台物理防火墙中放置多个虚拟机，然后在虚拟机上安装防火墙软件，以此来提高物理防火墙的使用率，使一台物理防火墙可以作为多台防火墙使用。这种方法在一定程度上是提高了物理防火墙的使用率，然而在使用时也存在一些不足之处，例如：

目前，在虚拟机中安装的防火墙都是特定的，其是在创建虚拟机时，根据预先拟定的虚拟机的用途去安装的特定防火墙，这种防火墙是不可修改的，然而，人们在实际使用的过程中，有可能会根据自身的需求去改变虚拟机的用途，从而就导致了原先特定的防火墙可能不满足新的用途，起不到有效的隔离作用。此时，就需要重新创建一个新的虚拟机，并且，在这个虚拟机上安装一个与新用途对应的防火墙，而创建一个新的虚拟机，并且根据新的用途建立一个新的防火墙时，会产生一系列的编程及其他繁琐操作，不仅费时费力，而且投入成本较大，对用户的要求比较高。

另外，目前，在虚拟机中安装的防火墙都是根据网络的IP去设定防火墙的规则的，这种根据网络IP去设定防火墙的规则，在使用时不够稳定，当虚拟机进行重启时，虚拟机所分配到的IP有可能会改动，从而就会导致对应的防火墙失效，起不到对应的作用，导致虚拟机之间无法进行有效的隔离和控制。

针对相关技术中虚拟机的网络隔离不够稳定且灵活性差的问题，目前尚未提出有效的解决方案。

发明内容

针对相关技术中虚拟机的网络隔离不够稳定且灵活性差的问题，本发明提出一种虚拟网络隔离的实现方法和实现装置，能够根据虚拟机不同的用途，灵活的改变隔离策略；而且还能够保证每个虚拟机之间隔离策略的稳定性。

本发明的技术方案是这样实现的：

根据本发明的一个方面，提供了一种虚拟网络隔离的实现方法。

该实现方法包括：

对虚拟机生成模块化防火墙，模块化防火墙包括多个模块，每个模块用于将虚拟机与其他至少一个虚拟机隔离；

根据虚拟机的隔离需求，启动模块化防火墙的至少一个模块。

其中，在根据虚拟机的隔离需求，启动模块化防火墙的至少一个模块时，可根据隔离需求确定需要与虚拟机隔离的其他虚拟机；并根据需要隔离的其他虚拟机，启动模块化防火墙中的相应模块。

此外，该实现方法还包括：预先配置防火墙与虚拟机的固有特征信息之间的对应关系。

另外，该实现方法还包括：在对虚拟机生成模块化防火墙之后，根据多个模块配置功能列表，功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。

此外，该实现方法还包括：在配置功能列表之后，根据用户需求，将用户在功能列表中选择的模块启动。

根据本发明的另一方面，提供了一种虚拟网络隔离的实现装置。

该实现装置包括：

生成模块，用于对虚拟机生成模块化防火墙，模块化防火墙包括多个模块，每个模块用于将虚拟机与其他至少一个虚拟机隔离；

处理模块，用于根据虚拟机的隔离需求，启动模块化防火墙的至少一个模块。

其中，处理模块包括目标确定模块和第一启动模块，目标确定模块，用于根据隔离需求确定需要与虚拟机隔离的其他虚拟机；第一启动模块，用于根据需要隔离的其他虚拟机，启动模块化防火墙中的相应模块。

此外，该实现装置还包括：第一配置模块，用于预先配置防火墙与虚拟机的固有特征信息之间的对应关系。

另外，该实现装置还包括：第二配置模块，用于在对虚拟机生成模块化防火墙之后，根据多个模块配置功能列表，功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。

此外，该实现装置还包括：第二启动模块，用于在配置功能列表之后，根据用户需求，将用户在功能列表中选择的模块启动。

本发明通过创建模块化防火墙，使得虚拟机在实际使用时，可根据不同的隔离需求启动模块化防火墙相应的模块来实现对应的隔离策略，极大的提高了虚拟机之间进行网络隔离的灵活性，此外，本发明通过虚拟机的固有特征信息来设置防火墙，而由于虚拟机的固有特征信息是不会改变的，从而极大的提高了虚拟机防火墙的稳定性，进而提高了虚拟机之间网络隔离的稳定性，另外，本发明还创建了与模块化防火墙对应的功能列表，可以让用户直观的根据自身的需求选着对应的隔离策略，大大的提高了用户使用时的方便性。

附图说明