[发明专利]基于虚拟交换机的虚拟化平台安全防护方法、装置和系统

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种基于虚拟交换机的虚拟化平台安全防护方法、装置和系统。

背景技术

虚拟化平台上的设备之间通过至少一个虚拟交换机进行通信交互，这些通信交互包括：从物理机到虚拟机的通信交互、从虚拟机到物理机的通信交互，以及虚拟机之间的通信交互。

为了保证虚拟化平台的通信安全，需要对上述通信交互过程中的通信流量进行安全检测。现有技术主要是重新配置通信交互过程中涉及到的通信设备的端口，将经过所有虚拟交互机的通信流量全部重定向到外部安全系统进行检测。

由此可见，现有技术需要将所有的通信流量全部导入到外部安全系统进行检测，随着通信流量的增大，海量数据的导入导出降低了通信效率，而且外部安全系容易出现处理瓶颈，影像处理效率。

发明内容

本发明实施例提供一种基于虚拟交换机的虚拟化平台安全防护方法、装置和系统。技术方案如下：

根据本发明实施例的第一方面，提供一种基于虚拟交换机的虚拟化平台安全防护方法，该方法包括：

接收虚拟交换机中的第一接口发送的数据包，所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截；

采用数据特征库检测所述数据包是否符合预设的网络安全策略，所述数据特征库中包括：与所述网络安全策略对应的特征信息；

若判断获知所述数据包符合所述网络安全策略，则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备。

根据本发明实施例的第二方面，提供一种基于虚拟交换机的虚拟化平台安全防护装置，该装置包括：

接收模块，用于接收虚拟交换机中的第一接口发送的数据包，所述第一接口用于对所述虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截；

检测模块，用于采用数据特征库检测所述数据包是否符合预设的网络安全策略，所述数据特征库中包括：与所述网络安全策略对应的特征信息；

发送模块，用于若判断获知所述数据包符合所述网络安全策略，则通过所述虚拟交换机中的第二接口将经过安全检测的数据包发送给所述第二设备。

根据本发明实施例的第三方面，提供了一种基于虚拟交换机的虚拟化平台安全防护系统，该系统包括：位于虚拟化平台上的第一设备、第二设备，以及虚拟交换机，其中，所述第一设备和第二设备均包括：虚拟化平台上的物理机，或者，部署在物理机上的虚拟机，所述虚拟交换机包括如上所述的基于虚拟交换机的虚拟化平台安全防护装置。

本发明实施例提供的基于虚拟交换机的虚拟化平台安全防护方法、装置和系统，通过虚拟交换机中的第一接口对虚拟交换机中的通信链路上、第一设备发送给第二设备的数据包进行拦截，采用数据特征库中与网络安全策略对应的特征信息检测数据包是否安全，若是，则通过虚拟交换机中的第二接口发送给第二设备。从而避免了将虚拟交换机中的通信流量导入到外部系统进行安全检测，提高了安全检测的处理效率，并且降低了通信交互的时延。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；

图2是本发明实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；

图3是本发明实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；

图4是本发明实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；

图5是本发明实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护方法的流程图；

图6是本发明实施例提供的一种基于虚拟交换机的虚拟化平台安全防护装置的结构示意图；

图7是本发明实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护装置的结构示意图；

图8是本发明实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护装置的结构示意图；

图9是本发明实施例提供的另一种基于虚拟交换机的虚拟化平台安全防护装置的结构示意图；