[发明专利]基于Opensatck实现个人虚拟应用防火墙方法

说明书

技术领域

本发明涉及一种桌面虚拟化中网络安全防护方法，尤其是一种针对虚拟桌面云办公环境进行防护的应用防火墙方法。

背景技术

Openstack提供了基础的云平台，在Openstack基础上实现桌面虚拟化的业务是一种快捷的实现方案。桌面虚拟化包括了网络虚拟化、计算虚拟化、存储虚拟化。在网络虚拟化后，网络边界模糊化，传统的边界防火墙不能部署，不利于网络边界的安全。

发明内容

本发明要解决的问题是提供一种为虚拟桌面用户提供精细的网络安全防护方法。Openstack实现了安全组，相当于物理网络中PC端的个人状态防火墙。通过扩展安全组，实现针对应用的精细化控制。

为解决上述技术问题，本发明的技术方案为：

本发明提供一种为虚拟桌面用户提供精细的网络安全防护方法。通过扩展安全组，实现针对应用控制，完成应用防火墙的基本功能：

1.应用层协议的过滤，

2.应用层协议的QOS，

3.与用户关联的过滤规则。

不同于个人防火墙需要依赖操作系统，有可能被卸载、破坏掉。虚拟的应用防火墙技术部署在计算节点的虚拟网络服务中，对终端用户透明，不被终端用户感知，它的分析控制能力到了应用层。

一种基于Opensatck实现个人虚拟应用防火墙方法，其操作步骤如下：

1.协议分析引擎选择；

2.对Neutron安全组规则进行扩展；

3.对Neutron应用安全组模型的设计；

4.增加个人应用防火增规则的模型和表；

5.扩展Neturon客户端部分、增加个人应用防火增规则组管理接口的定义；

6.扩展Neturon服务器部分、增加个人应用防火增规则组的存储、下发；

7.增加ovs-agent对安全组规则的查询响应；

8.扩展代理端，通过iptables+ndpi+tc实现个人应用防火墙的生效。

本发明的有益效果是：Openstack实现了安全组，相当于物理网络中PC端的个人状态防火墙。通过扩展安全组，实现针对应用的精细化控制，利于网络边界的安全。

附图说明

下面结合附图对本发明的具体实施方式作进一步详细的说明。

图1示出了本发明的流程示意图。

具体实施方式

为了使本发明解决的技术问题、采用的技术方案、取得的技术效果易于理解，下面结合具体的附图，对本发明的具体实施方式做进一步说明。

如图1所示，一种基于Opensatck实现个人虚拟应用防火墙方法，其操作步骤如下：

1.协议分析引擎选择；

选用nDPI完成应用识别引擎，nDPI是保持高度欢迎的OpenDPI，在GPL证书下发布，它的目标是增加新的协议，扩展原有的库，可检测应用层的协议，它可检测非标准端口，如非80端口的http协议；或者检测标准端口，如80端口上的skype协议。支持186种应用协议的识别。

2.对Neutron的安全组规则进行扩展；

对Neturon的安全组规则进行扩展，以支持应用安全组规则的设置OpenStack需要在qbr桥上使用iptables过滤进出虚机的数据包Neutron安全组使用OVSHybridIptablesFirewallDriver完成安全组在Iptables上的配置。Neutron L2 Agent承担使用iptables维护链和规则的任务。为虚机的每块网卡的tap设备建立i(进)、o(出)和s(防IP欺骗)链和规则。

在进出虚机的网络包数据链的头部增加应用防火墙规则，这些规则必须在标准的安全组规则之前，否则不能生效。

3.对Neutron的应用安全组模型的设计；

在neutron现有的安全组基础上实现应用防火墙的扩展，保留现有的安全组规则，现有的规则可以设置方向，IP，端口，协议。扩展的安全组规则可以设置：应用协议，IP，动作；动作包括：允许，拒绝，QOS，默认是允许。

4.增加个人应用防火墙规则的数据模型与表；

个人应用防火墙规则模型包括：IP、应用协议、方向、动作。

5.扩展Neturon客户端部分、增加个人应用防火增规则组管理接口的定义；

在neutron客户端中定义应用防火墙规则资源的增加、删除、修改、查询、获取的接口。

6.扩展Neturon服务器部分、增加个人应用防火增规则组的存储、下发；