[发明专利]一种虚拟机之间的网络访问控制实现方法

说明书

技术领域

本发明涉及计算机信息安全领域，具体地说是一种用于同一安全域内的虚拟机之间的网络访问控制实现方法。

背景技术

云计算和大数据时代，虚拟化技术应用正以非常快速的速度发展，虚拟化技术中应用最广泛的当属服务器虚拟化，这种技术通过一台或多台物理服务器构建成一个虚拟化环境，在这个虚拟化环境中虚拟出多个虚拟系统，每个虚拟系统对外提供一种或多种服务，各个系统之间相互独立。

网络边界的虚拟化使传统网络边界的防护手段失效，“东西向”流量监控成为盲点：在传统的网络结构中，网络边界一般通过物理的服务器、网络设备、网络接口进行识别，防火墙和入侵检测设备可以采用串接和旁路的方式捕获进出边界的流量并按照预设的策略执行防护动作。

但随着虚拟化实施之后，系统之间的边界不单单是以物理设备的形式存在。比如在物理服务器中虚拟出多个服务器，这些虚拟机之间以及虚拟机与宿主机之间的通信都只会在服务器内完成，不会与外部网络发生交互，传统的边界防护设备捕捉不到这些流量，也就不能进行防护；特别多个虚机在同一个安全域内，虚机之间流量通过虚拟交换进行转发时，更是没有任何防护设施。

发明内容

本发明的技术任务是针对上述现有技术的不足，提供一种虚拟机之间的网络访问控制实现方法，目的在于解决虚拟化平台下虚拟机访问不可控的问题。

本发明的技术任务是按以下方式实现的：一种虚拟机之间的网络访问控制实现方法，其特点是在虚拟化平台的Hypervisor层部署虚拟安全防护层，通过安全防护层对由源虚拟机发出的数据包根据流表中的流规则进行匹配，实现虚拟化环境下虚拟机之间的网络访问可控。

 用于实现上述方法的控制系统包括虚拟交换机，安全防护层和虚拟机三个模块。其中：

（1）虚拟交换机利用虚拟化平台，通过软件的方式形成交换机部件，完成交换机的工作，虚拟交换机位于虚拟化平台的Hypervisor层；

（2）安全防护层在虚拟化平台的Hypervisor层的虚拟交换机之前部署，在虚拟机的虚拟网卡和虚拟交换机端口之间通过流表匹配的方式执行规则转发；

（3）虚拟机模块：虚拟机通过在虚拟化环境下的虚拟网卡与虚拟交换机端口连接的方式接入网络，通过匹配安全防护层中流表的规则进行网络访问。

作为优选，本发明方法包括以下步骤：

（1）虚拟机流量拦截

安全防护层拦截源虚拟机的虚拟网卡到虚拟交换机之间的流量，并获取待匹配信息；

（2）虚拟机规则匹配

安全防护层代理端接受源拟虚机网卡的流量，待匹配信息与安全防护层中的流表通过优先级由高到低的顺序进行规则匹配；

（3）虚拟机流量响应

安全防护层的响应引擎接受规则匹配的动作，执行正常和异常两种响应。正常响应将按照规则转发到目的虚拟机；异常响应则执行丢弃操作。

进一步的，所述待匹配信息包括源虚拟机、目的虚拟机和协议。

步骤（2）中所述规则包括：

（1）虚拟交换机规则：获取当前虚拟化环境下的虚拟交换机，为所有虚拟交换机配置统一的默认转发规则，默认所有虚拟交换机的转发规则均为正常转发，且优先级为0；

（2）虚拟机默认规则：获取当前虚拟化环境下的网络拓扑，对接入虚拟交换机的虚拟机的虚拟网卡配置统一的默认转发规则，默认所有虚机的转发规则均为丢弃，此规则优先级高于（1）中规则；

（3）为允许互相访问的虚拟机之间添加通路，即将两台虚拟机的虚拟网卡的地址分别作为源虚拟机地址和目的虚拟机地址，为其添加转发规则为正常转发，此规则优先级高于（2）中规则；

（4）外部网络对虚拟机的访问：对于需要对外部网络提供服务的虚拟机，针对提供服务的协议添加该虚拟机与外部主机或虚拟机之间的通路，即将虚拟机的虚拟网卡与外部主机（或虚拟机）的ip地址（或mac地址）分别作为源虚拟机地址和目的虚拟机地址，为其添加转发规则为正常转发，此规则优先级高于（2）中规则。

规则（3）（4）中所述地址为ip地址或mac地址。

本发明方法是基于虚拟化环境下的访问控制技术实现对虚拟机之间的访问控制，在虚拟交换机和需防护的虚拟机的虚拟网卡之间部署安全防护层，通过虚拟化安全防护层对由源虚拟机发出的数据包根据流表中的流规则进行匹配，只有符合流规则的流量才可以到达目的虚机，实现了虚拟化环境下虚拟机之间的网络访问可控。

附图说明

附图1是本发明实施例中虚拟机访问控制规则匹配流程图；