[发明专利]一种电力信息系统的云环境下虚拟机的保护装置

说明书

本发明涉及一种电力信息系统的云环境下虚拟机的保护装置，在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机，虚拟机上分配多块虚拟网卡，并在虚拟机上部署安全软件；第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连，所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连，第一标准虚拟交换机通过物理网络适配器与物理网络相连；第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器相连，第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连，安全软件用于对未保护区域流向保护区域的网络流量进行监控分析，为电力信息系统中保护区域的虚拟机提供安全保护。

技术领域

本发明涉及网络安全技术领域，特别涉及一种电力信息系统的云环境下虚拟机的保护装置。

背景技术

在传统的物理环境中，对信息系统的防护角度来说，首先需要从业务功能和安全特性两方面划分安全域，安全域是指同一环境内具有相同安全保护需求、相互信任、并具有相同安全访问控制和边界控制策略的网络系统。

通过将所有同等安全等级和安全需求的计算机划入同一网段，并在网络边界处部署防火墙、IDS、IPS等设备，实现访问控制、流量分析和安全策略配置，保证信息网络的安全性。

随着服务器虚拟化技术的普及，底层计算资源的部署方式趋于动态，传统的网络边界逐渐被一体化的硬件资源池取代，网络层的交互数据直接在虚拟化环境的主机内部完成。

现有的VMware云环境系统结构如图1所示，在ESXi主机中部署着标准虚拟交换机vSwitch 0，其上挂载着属于不同VLAN的诸多虚拟机。在图1中，VLAN 1属于未保护区域，运行着安全性要求较低的系统；VLAN2、VLAN3属于保护区域，运行着安全性要求较高的系统。虚拟机通过虚拟网络适配器与vSwitch 0上的端口组(Port Group)进行连接，vSwitch 0通过上行链路以及物理网络适配器连通物理网络，同时所有与外部物理网络的数据交换都必须经过物理网络适配器。

这种结构导致了传统的安全防护手段和产品难以适应新环境的安全需求，无法实时监控虚拟网络的网络流量，侦测潜在威胁，为系统安全运行带来了极大的安全隐患。

尽管VMware公司在安全性上做出了很多的努力，例如在VMware ESXi 5.0的版本中集成了基于vSwitch的轻量级防火墙和简单的流量监测功能，以及发布了支持Netflow技术的分布式虚拟交换机(Distributed Virtual Switch,以下简称DVS)。但是，对于在电力企业中使用标准vSwitch的云环境，VMware ESXi 5.0依然难以提供足够的安全保障，具体表现为：一是安全域划分不明确，域边界比较模糊，网络流量进出通道较多，安全防护难度大，不能满足国家电网公司对信息系统“分区分域”的安全防护要求；二是缺乏对流经标准虚拟交换机的网络流量的有效分析方法。严重影响了整个信息网络的安全性。

发明内容

为解决现有技术的问题，本发明提出一种电力信息系统的云环境下虚拟机的保护装置，通过改变虚拟网络的结构，以及在标准虚拟交换机间部署安全软件的方式，为用户提供安全域划分、防火墙保护和网络流量分析功能，保证了云环境下虚拟机的安全性，具有安全、实用等特点。

为实现上述目的，本发明提供了一种电力信息系统的云环境下虚拟机的保护装置，该装置包括：第一标准虚拟交换机和第二标准虚拟交换机；其中，在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机，所述虚拟机上分配多块虚拟网卡，并在虚拟机上部署安全软件；

所述第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连，所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连，所述虚拟网卡用于传输所述第一标准虚拟交换机中未保护流量；所述第一标准虚拟交换机通过物理网络适配器与物理网络相连；