一种防止虚拟机ip和mac伪造的方法

一种防止虚拟机ip和mac伪造的方法【专利摘要】本发明涉及云计算领域，特别指一种防止虚拟机IP和MAC伪造的方法。本发明在物理机上安装以太网桥防火墙工具ebtables；创建虚拟机时指定虚拟机的网络采用桥接的方式，并且在网络接口中使用防止MAC欺骗的过滤器；虚拟机运行以后，在宿主机上获取虚拟机的外部接口；根据外部接口，在防火墙工具上建立相应防止IP伪造的子链表；在子链表中添加规则，指定任何IP数据包都不能通过；在配置虚拟机IP后，在子链表中添加规则，指定只有配置的虚拟机IP的数据包才可以通过；如重新设置IP，添加新IP的数据包才可通过的规则。本发明解决了虚拟机被修改IP和MAC地址，伪造主机身份问题；可以用于虚拟机的IP和MAC防伪造上。【专利说明】—种防止虚拟机IP和MAC伪造的方法【
技术领域：
】[0001]本发明涉及云计算领域，特别指一种防止虚拟机IP和MAC伪造的方法。【
背景技术：
】[0002]在云计算发展的大趋势下，利用云计算可以在一台服务器上创建多台虚拟机；这使得网络上主机的数量也成倍增长，大量虚拟机的网络配置给网络管理造成困难。虚拟机的使用者通过修改IP和MAC地址的方式伪造主机身份，更是给网络安全防护带来了巨大的挑战。目前防止IP和MAC地址伪造的方式一般采用IP地址和MAC地址绑定的方法，在不满足绑定条件的情况下；DHCP服务器不分配IP地址。这种方式存在一些弊端:[0003]1、通过修改虚拟机的配置文件，虚拟机的MAC地址也能修改，在虚拟机的MAC地址设置成与已绑定的MAC地址一致的情况下，这种方式也能获取IP地址。[0004]2、虚拟机的使用者在获得网络规划的相关信息后，可以不通过DHCP服务器获取IP，手动设置IP，这时候也不受限制；并且可能会造成网络上IP地址冲突的故障，影响网络安全。【
发明内容】[0005]本发明解决的技术问题在于提供一种防止虚拟机IP和MAC伪造的方法，可以防止虚拟机的使用者通过修改IP和MAC地址的方式伪造主机身份，给网络安全防护带来危害和挑战。[0006]本发明解决上述技术问题的技术方案是:[0007]一种防止虚拟机IP和MAC伪造的方法，其特征在于:[0008]包括以下步骤:[0009]步骤1，在物理机上安装以太网桥防火墙工具ebtables；[0010]步骤2，创建虚拟机时指定虚拟机的网络采用桥接的方式，并且在网络接口中使用防止MAC欺骗的过滤器；[0011]步骤3，虚拟机运行以后，在宿主机上获取虚拟机的外部接口；[0012]步骤4，根据外部接口，在防火墙工具上建立相应防止IP伪造的子链表；[0013]步骤5，在子链表中添加规则，指定任何IP数据包都不能通过；通过该配置，使在虚拟机内部设置任何的IP和MAC都不起作用；[0014]步骤6，在配置虚拟机IP后，在子链表中添加规则，指定只有配置的虚拟机IP的数据包才可以通过:[0015]步骤7，如重新设置IP，则在子链表中将原IP的规则删除，添加新IP的数据包才可通过的规则。[0016]所述的步骤2中的过滤器为no-mac-spoofing。[0017]所述的子链表添加的每一条规则依据虚拟机的网络接口生成。[0018]所述的步骤7操作完成后立即生效，无需对虚拟机网络进行配置。[0019]关闭虚拟机时，根据外部接口，将属于这个接口的相关子链表及其规则全部删除。[0020]迁移虚拟机时，将子链表及其规则导出并重新在目标节点上建立。[0021]采用本发明的方法，可以防止:1、通过修改虚拟机配置文件对虚拟机的MAC地址进行修改；2、在虚拟机的MAC地址设置成与已绑定的MAC地址一致的情况下获取IP地址；3、在获得网络规划的相关信息后，手动设置IP。从而确保网络安全。【专利附图】【附图说明】[0022]下面结合附图对本发明进一步说明:[0023]图1为本发明的流程图；[0024]图2为本发明具体实施例流程图。【具体实施方式】[0025]如图所示，[0026]本发明具体流程如下:[0027]1.创建虚拟机的时候，需要对虚拟机配置文件libvirt.xml进行相应修改:由于通常虚拟机的网络接口是固定的，因此只需要在虚拟机的配置文件libvirt.xml配置网卡如下:[0028]〈interfacetype=”bridge，，>[0029]<filterreffilter=“no-mac-spoofing”/>[0030]〈sourcebridge="brO"/>[0031]〈modeltype="virtio"/>[0032]</interface〉[0033]2.虚拟机创建运行成功后，先在宿主机上面检查虚拟机的外部接口，获得虚拟机外部接口后(如vnet9)，即可用ebtable配置工具在宿主机上面进行相应的配置，以达到对虚拟机IP的控制。[0034](1)配置虚拟机任何IP数据包都不能通过(即虚拟机不可设置IP)宿主机上面配置指定虚拟机网口任何IP数据包都不能通过:[0035]#ebtables-tnat_N1-vnet9_ipv4_ip//建立相应防止ip伪造子链[0036]#ebtables-tnat_Alibvirt-1-vnet9-pIPv4-j1-vnet9-1pv4_ip//将子链放在libvirt-1-vnet9下[0037]#ebtables-tnat_A1-vnet9-1pv4-1p-pIPv4—ip-src0.0.0.0—ip-protoudp-jRETURN//添加第1条规则[0038]#ebtables-tnat_A1-vnet9-1pv4-1p-jDROP//添加第2条规则[0039]以上命令执行完，你在虚拟机内部设置任何ip和mac也不起作用(不能通过宿主机向外转发数据包)。[0040](2)配置虚拟机指定IP数据包才可通过(即虚拟机可设置成指定IP)[0041]假如创建虚拟机的时候就指定ip，假如ip是192.168.6.200，如下配置允许该IP的数据包通过:[0042]#ebtables-tnat_N1-vnet9-1pv4_ip//建立相应防止ip伪造子链表[0043]#ebtables-tnat_Alibvirt-1-vnet9-pIPv4-j1-vnet9-1pv4_ip//将子链放在libvirt-1-vnet9下[0044]#ebtables-tnat_A1-vnet9-1pv4_ip-pIPv4—ip-src0.0.0.0—ip-protoudp-jRETURN//添加第1条规则[0045]#ebtables-tnat_A1-vnet9-1pv4_ip-pIPv4—ip-srcl92.168.6.200-jRETURN[0046]//以上添加第2条规则:允许ip为192.168.6.200的数据包通过[0047]3ebtables_tnat_A1-vnet9-1pv4_ip-jDROP//添加第3条规则[0048]3.设置IP[0049]首先获取虚拟机的网络接口。(例如为vnet9)[0050](1)假如之前虚拟机没有设置ip，现在需设置ipl92.168.6.200，那么执行如下命令:[0051]#ebtables-tnat_I1-vnet9-1pv4_ip2-pIPv4—ip-srcl92.168.6.200-jRETURN[0052]//该设置是针对虚拟机做了“配置虚拟机任何IP数据包都不能通过(即虚拟机不可设置IP)”相应配置后的操作:给1-Vnet9-1pV4-1p子链添加第2条规则，之前存在的第2条规则就成为第3条规则。[0053](2)假如虚拟机已经有ipl92.168.6.200，现在要重新设置为192.168.6.244，那么执行如下[0054]#ebtables-tnat_D1-vnet9-1pv4_ip2//删除1-vnet9-1pv4_ip子链的第2条规则[0055]3ebtables_tnat_I1-vnet9-1pv4_ip2-pIPv4—ip-srcl92.168.6.244-jRETURN//添加第2条规则[0056]///该设置是针对虚拟机做了“配置虚拟机指定IP数据包才可通过(即虚拟机可设置成指定IP)”相应配置后的操作:先删除1-Vnet9-1pV4-1p的第2条规则，然后新增第2条规则。[0057]4.关闭虚拟机[0058]关闭虚拟机后，libvirt会相应的把该虚拟机的ebtable过滤规则删除掉，所以这里不用改动。之后虚拟机重新开机，也必须重新进行对虚拟机进行相应的ebtable过滤规则设置。[0059]5.迁移虚拟机[0060]迁移虚拟机的话，需要在目标宿主机节点上也要建立相应的ebtables规则，这与创建虚拟机时候设置规则过程是一致的。【权利要求】1.一种防止虚拟机IP和MAC伪造的方法，其特征在于:包括以下步骤:步骤1，在物理机上安装以太网桥防火墙工具ebtables；步骤2，创建虚拟机时指定虚拟机的网络采用桥接的方式，并且在网络接口中使用防止MAC欺骗的过滤器；步骤3，虚拟机运行以后，在宿主机上获取虚拟机的外部接口；步骤4，根据外部接口，在防火墙工具上建立相应防止IP伪造的子链表；步骤5，在子链表中添加规则，指定任何IP数据包都不能通过；通过该配置，使在虚拟机内部设置任何的IP和MAC都不起作用；步骤6，在配置虚拟机IP后，在子链表中添加规则，指定只有配置的虚拟机IP的数据包才可以通过；步骤7，如重新设置IP，则在子链表中将原IP的规则删除，添加新IP的数据包才可通过的规则。2.根据权利要求1所述的防止虚拟机IP和MAC伪造的方法，其特征在于:所述的步骤2中的过滤器为no-mac-spoofing。3.根据权利要求1所述的防止虚拟机IP和MAC伪造的方法，其特征在于:所述的子链表添加的每一条规则依据虚拟机的网络接口生成。4.根据权利要求2所述的防止虚拟机IP和MAC伪造的方法，其特征在于:所述的子链表添加的每一条规则依据虚拟机的网络接口生成。5.根据权利要求1至4任一项所述的防止虚拟机IP和MAC伪造的方法，其特征在于:所述的步骤7操作完成后立即生效，无需对虚拟机网络进行配置。6.根据权利要求1至4任一项所述的防止虚拟机IP和MAC伪造的方法，其特征在于:关闭虚拟机时，根据外部接口，将属于这个接口的相关子链表及其规则全部删除。7.根据权利要求5所述的防止虚拟机IP和MAC伪造的方法，其特征在于:关闭虚拟机时，根据外部接口，将属于这个接口的相关子链表及其规则全部删除。8.根据权利要求1至4任一项所述的防止虚拟机IP和MAC伪造的方法，其特征在于:迁移虚拟机时，将子链表及其规则导出并重新在目标节点上建立。9.根据权利要求5所述的防止虚拟机IP和MAC伪造的方法，其特征在于:迁移虚拟机时，将子链表及其规则导出并重新在目标节点上建立。10.根据权利要求6所述的防止虚拟机IP和MAC伪造的方法，其特征在于:迁移虚拟机时，将子链表及其规则导出并重新在目标节点上建立。【文档编号】H04L29/12GK103595826SQ201310535410【公开日】2014年2月19日申请日期:2013年11月1日优先权日:2013年11月1日【发明者】洪紫程,杨松,莫展鹏,季统凯申请人:国云科技股份有限公司