[发明专利]一种虚拟防火墙的实现方法

说明书

技术领域

本发明涉及计算机中防火墙技术领域，尤其是涉及一种虚拟防火墙的实现方法。

背景技术

防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

XenServer是为了高效地管理虚拟机服务器而设计的，可提供经济高效的服务器整合和业务连续性，XenServer是在云计算环境中可提供创建和管理虚拟基础架构所需的所有功能，深得企业信赖，但XenServer与在与防火墙相关的计算机技术领域却是一片空白。

目前的防火墙一般是物理防火墙，是一台物理设备，在传统网络环境下普遍采用。还有一些厂家推出了所谓的虚拟防火墙，实现方法是在传统的物理防火墙中放置多个虚拟机，在虚拟机中安装防火墙软件。这种方法的表现仍然是一台物理设备，只不过一台防火墙可以作为多台防火墙来使用，但是不能够解决同一台物理机上的虚拟机之间的网络隔离和控制，因为虚拟机之间的通信完全在一台服务器内部，不会流到物理防火墙中，所以也就不能够起到防火墙的作用。

名词解释：XenServer是思杰公司(Citrix)推出的一款服务器虚拟化系统，是服务器“虚拟化系统”而不是“软件”，与传统虚拟机类软件不同的是它无需底层原生操作系统的支持，也就是说XenServer本身就具备了操作系统的功能，是能直接安装在服务器上引导启动并运行的。

发明内容

本发明的目的在于设计一种虚拟防火墙的实现方法，解决上述问题。为了实现上述目的，本发明采用的技术方案如下：

一种虚拟防火墙的实现方法，同一网络中的两台以上不同的虚拟机位于同一物理机上，包括如下步骤：

步骤101，在所述同一网络中设有虚拟化安全系统；所述虚拟化安全系统制定防火墙规则；在所述同一物理机上设有虚拟防火墙模块；

步骤102，所述虚拟化安全系统根据所述防火墙规则在所述虚拟机上设置虚拟防火墙策略并将所述虚拟防火墙策略通知所述虚拟防火墙模块；

步骤103，所述虚拟防火墙模块根据所述虚拟防火墙策略通知生成物理防火墙策略，所述虚拟防火墙策略与所述物理防火墙策略相关联，实现所述虚拟机通信时受到所述物理防火墙的控制。

优选的，步骤104，在所述同一物理机上设有的XenServer，所述虚拟化安全系统通过所述XenServer感知在所述同一网络中的虚拟机是否迁移；

步骤104.a，若感知到所述虚拟机已迁移，生成迁移结果；进行步骤105；

步骤104.b，若感知到所述虚拟机未迁移，则继续感知，直到感知到所述虚拟机发生迁移为止，返回步骤104.a；

步骤105，所述虚拟化安全系统根据所述防火墙规则将所述迁移结果通知物理机上设置的虚拟防火墙模块；

步骤106，所述虚拟防火墙模块对已迁移的所述虚拟机相关联的物理防火墙策略进行删除处理，完成所述虚拟机迁移处理。

优选的，所述虚拟机为无代理服务的虚拟机。

本发明与现有技术相比，具有如下有益效果：

1、通过本发明，在实现虚拟机之间的安全通信。

2、通过本发明，简化了为虚拟机配备安装防火墙软件，高效的利用了

物理防火墙的作用。

3、通过本发明，在虚拟机环境中批量使用，可以灵活使用，便于在其它

虚拟化环境中快速创建并根据实际情况进行防火墙配置定制达到灵活

应用。

附图说明

图1示例性的示出了本发明一种虚拟防火墙的实现方法的流程示意图。

具体实施方式

为了更好的理解本发明所解决的技术问题、所提供的技术方案，以下结合附图及实施例，对本发明进行进一步详细说明。此处所描述的具体实施例仅用以解释本发明的实施，但并不用于限定本发明。

如图1所示的一种虚拟防火墙的实现方法，同一网络中的两台以上不同的虚拟机位于同一物理机上，所述虚拟机为无代理服务的虚拟机，包括如下步骤：

步骤101，在所述同一网络中设有虚拟化安全系统；所述虚拟化安全系统制定防火墙规则；在所述同一物理机上设有虚拟防火墙模块；

步骤102，所述虚拟化安全系统根据所述防火墙规则在所述虚拟机上设置虚拟防火墙策略并将所述虚拟防火墙策略通知所述虚拟防火墙模块；