[发明专利]虚拟机中报文过滤方法和装置

说明书

本发明公开了一种虚拟机中报文过滤的方法和装置。所述方法包括：从虚拟机的网卡接收所述虚拟机传输的报文；利用预先存储的报文过滤规则，对接收的报文进行处理，并输出处理后的报文；利用虚拟机内预先配置的Linux Bridge发送所述处理后的报文。

技术领域

本发明涉及信息处理领域，尤指一种虚拟机中报文过滤方法和装置。

背景技术

随着云计算的日益成熟，越来越多的企业开始部署云计算管理平台，用云管平台管理自己的服务器，创建虚拟机，将公司业务迁移上云。云管理平台云海OS集成了VMware、XenServer、InCloud Sphere等不同厂家的虚拟化产品，用统一的界面风格和操作为用户提供了一个大而全的云管理平台。用户在云海OS创建了虚拟机，虚拟机的网卡进出数据是没有限制的，即可以随便进出，这样虚拟机是有安全风险的。

Iptables是Linux内核集成的IP信息包过滤系统，每一条Iptables规则都可以自定义内容，比如允许哪个协议的数据通过或丢弃，比如来自哪个IP的数据通过或丢弃。

虚拟机向外发出数据时，数据到达网卡前，会经过Linux内核的网络协议栈，协议栈会调用netfilter模块的各个钩子函数，钩子函数里面就会调用预先设置的Iptables规则对数据进行处理，或丢弃、或放行、或修改。同样，虚拟机收到一条数据后，也会被预置的Iptables规则处理一遍。这样，我们就可以通过自定义Iptables规则，对虚拟机进出数据做控制，比如不允许某些数据进入虚拟机，这样就可以保护虚拟机的安全。

在OpenStack平台有类似的概念，它也是通过Iptables实现对虚拟机进出数据的过滤和修改。那么对于云管理平台VMware平台，如何实现集成Iptables规则是亟待解决的问题。

发明内容

为了解决上述技术问题，本发明提供了一种虚拟机中报文过滤方法和装置，能够保护虚拟机网络安全。

为了达到本发明目的，本发明提供了一种虚拟机中报文过滤的装置，包括：

存储模块，用于存储报文过滤规则；

接收模块，与虚拟机的网卡相连，用于从所述网卡接收所述虚拟机传输的报文；

处理模块，与所述存储模块和所述接收模块相连，用于利用所述报文过滤规则，对接收模块接收的报文进行处理，并输出处理后的报文；

Linux Bridge模块，与所述处理模块，用于发送所述处理后的报文。

其中，所述装置还具有如下特点：所述存储模块包括：

获取单元，用于获取为所述虚拟机配置的安全组信息，其中所述安全组包括一个或至少两个报文过滤规则；

存储单元，用于根据所述安全组信息，存储所述安全组对应的报文过滤规则。

其中，所述装置还具有如下特点：所述装置还包括：

检测模块，用于检测所述安全组的报文过滤规则是否发生变化；

更新模块，用于在检测到所述安全组的报文过滤规则发生变化后，将发生变化的信息更新到所述存储模块内对应的报文规则中。

其中，所述装置还具有如下特点：所述处理模块，包括：

判断单元，用于利用所述报文过滤规则，判断所述报文是否符合所述报文过滤规则，得到判断结果；

处理单元，用于将判断结果为符合所述报文过滤规则的报文发送出去。

其中，所述装置还具有如下特点：所述Linux Bridge模块，包括：

识别单元，用于识别所述处理后的报文的传输方向是否为向外部设备发送的数据；