[发明专利]一种虚拟机级安全防护系统及方法

权利要求书

1.一种虚拟机级安全防护系统，其特征在于，包括：分组管理单元（11）、数据单元（12）、通信处理单元（13）和日志单元（14），所述通信处理单元（13）连接于所述分组管理单元（11）、数据单元（12）和日志单元（14）；所述分组管理单元（11）中存储有各虚拟机的分组管理策略，所述数据单元（12）用于收发通信数据包并将虚拟机之间的通信数据包发送至通信处理单元（13），所述通信处理单元（13）根据分组管理单元（11）中的分组管理策略控制虚拟机之间的通信过程，并向所述日志单元（14）生成日志信息。

2.根据权利要求1所述的虚拟机级安全防护系统，其特征在于，所述分组管理单元（11）中存储的分组管理策略包括分组信息和通信策略，所述分组信息包括每一个虚拟机所在的分组编号以及组内每一个虚拟机的地址信息，所述通信策略包括各分组之间以及同一分组内各虚拟机之间的通信允许情况；所述通信处理单元（13）接收数据单元（12）发送过来的通信数据包，提取通信数据包的源地址信息和目的地址信息，并在分组管理单元（11）的分组信息中查询得到源地址信息对应的源虚拟机所在的分组编号以及目的地址信息对应的目的虚拟机所在的分组编号，然后根据分组编号在分组管理单元（11）的通信策略中查询得到源虚拟机和目的虚拟机之间的通信允许情况，当源虚拟机和目的虚拟机之间允许进行通信时，所述通信处理单元（13）将通信数据包转发给数据单元（12），由数据单元（12）将通信数据包发送给目的虚拟机，当源虚拟机和目的虚拟机之间不允许进行通信时，所述通信处理单元（13）直接将通信数据包丢弃，并生成日志信息输出给日志单元（14）。

3.根据权利要求2所述的虚拟机级安全防护系统，其特征在于，所述虚拟机的地址信息包括虚拟机的IP地址和/或虚拟机的MAC地址，所述通信数据包的源地址信息包括源IP地址和/或源MAC地址，所述通信数据包的目的地址信息包括目的IP地址和/或目的MAC地址，用户根据虚拟机的IP地址和/或虚拟机的MAC地址对虚拟机进行分组管理，并设置分组管理单元（11）中的分组信息和通信策略，所述分组信息中每一个虚拟机的地址信息都对应于唯一的一个分组编号，所述通信策略中处于同一分组内的各虚拟机之间允许进行通信。

4.根据权利要求2或3所述的虚拟机级安全防护系统，其特征在于，所述分组管理单元（11）包括分组信息存储模块（21）和分组通信策略存储模块（22），所述分组管理策略中的分组信息存储于所述分组信息存储模块（21）中，所述分组管理策略中的通信策略存储于所述分组通信策略存储模块（22），所述通信处理单元（13）通过查询访问所述分组信息存储模块（21）得到源虚拟机和目的虚拟机所在的分组编号，通过查询访问所述分组通信策略存储模块（22）得到源虚拟机和目的虚拟机之间的通信允许情况。

5.根据权利要求2-4任一项所述的虚拟机级安全防护系统，其特征在于，所述通信处理单元（13）在以下两种情况下生成日志信息并输出给日志单元（14）：当源虚拟机和目的虚拟机之间允许进行通信且所述通信处理单元（13）转发给数据单元的通信数据包是源虚拟机和目的虚拟机一次通信过程中的第一个数据包时，所述通信处理单元（13）生成日志信息并输出给日志单元（14）；当源虚拟机和目的虚拟机之间不允许进行通信时，所述通信处理单元（13）在将通信数据包丢弃后生成日志信息并输出给日志单元（14）。

6.根据权利要求2-5任一项所述的虚拟机级安全防护系统，其特征在于，所述日志信息至少包括通信数据包的源地址信息、通信数据包的目的地址信息、通信协议、通信数据包的到达时间、源虚拟机所在的分组编号、目的虚拟机所在的分组编号、源虚拟机和目的虚拟机间的通信策略。