[发明专利]一种虚拟机通信数据安全的实现方法

说明书

技术领域

本发明涉及虚拟机通信数据安全技术领域，尤其是涉及一种虚拟机通信数据安全的实现方法。

背景技术

传统意义的防火墙指的是一台物理设备，它可以在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障，是一种获取安全性方法的形象说法。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。网络环境中计算机流入流出的所有网络通信和数据包均要经过防火墙。一些厂家推出了虚拟防火墙，实现方法其实是将一台物理防火墙在逻辑上划分成多台虚拟的防火墙，每个虚拟防火墙都可以被看成是一台完全独立的防火墙设备，可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。这种方法的表现仍然是一台物理设备，只不过是一台防火墙可以作为多台防火墙来使用，并且需要物理防火墙作为支撑。现有技术中不能够解决虚拟机与虚拟机之间的网络隔离和控制，因为虚拟机之间的通信完全在一台服务器内部，通信数据不会流到物理防火墙中，虚拟机通信数据的安全无法得到保证，故此急切需要研发一种虚拟机通信数据安全的实现方法。

发明内容

本发明的目的在于设计一种虚拟机通信数据安全的实现方法，解决上述问题。

为了实现上述目的，本发明采用的技术方案如下：

一种虚拟机通信数据安全的实现方法，两台以上不同的虚拟机位于同一物理机上，包括如下步骤：

步骤101，两台不同的所述虚拟机在同一网络中进行通信数据传输时，发送所述通信数据的虚拟机为发送端虚拟机，接收所述通信数据的虚拟机为接收端虚拟机；所述发送端虚拟机通过管理端虚拟机与所述接收端虚拟机通信数据；所述发送端虚拟机向所述接收端虚拟机发送所述通信数据；所述通信数据包括源地址和目的地址；

步骤102，在所述管理端虚拟机的驱动控制层设有驱动控制模块层；所述驱动控制模块层记录所述通信数据中的所述目的地址；所述驱动控制模块层改变所述通信数据的数据流向；改变所述数据流向的所述通信数据作为待测通信数据；所述驱动控制模块层将所述待测通信数据发送到安全虚拟机上；所述检测、所述分析和所述过滤具体包括：

步骤103，所述安全虚拟机对所述待测通信数据进行检测、分析和过滤；

步骤103.a，所述安全虚拟机若检测到所述待测通信数据含有危险通信数据，则所述安全虚拟机对所述危险通信数据进行隔离和／或告警；将不包含所述危险通信数据的所述待测通信数据进行下述步骤104；

步骤103.b，若所述安全虚拟机未检测所述待测通信数据含有所述危险通信数据，则直接进行下述步骤104；

步骤104，所述安全虚拟机通过所述驱动控制模块层记录的所述目的地址，将所述不包含有危险通信数据的所述待测通信数据发送到所述接收端虚拟机，完成两台不同的所述虚拟机在同一网络中进行通信数据传输的安全通信。

优选的，所述步骤101中的所述源地址为发送端的IP地址；所述目的地址为

接收端的IP地址。

优选的，所述步骤103中的所述分析和所述过滤包括在所述安全虚拟机上配置防火墙和／或IDS软件。

名词解释：IDS是英文“Intrus ion Detect ion Sys tems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

本发明的有益效果可以总结如下：

1、本发明修改驱动控制层，实现了虚拟机的无端的模式，实现了虚拟

机的安全、高效、性能较好的防护。

2、本发明可以作为模板在虚拟机环境中批量使用，使得本发明可以灵活

使用，便于在其它虚拟化环境中快速创建，同时该模板可以根据实际情

况进行定制，防火墙配置和IDS软件的安装和使用也可以灵活掌控。

附图说明

图1为本发明一种虚拟机通信数据安全的实现方法流程示意图。

具体实施方式

为了使本发明所解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

如图1所示的一种虚拟机通信数据安全的实现方法，包括如下步骤：