虚拟网络隔离的实现方法和实现装置制造方法
【专利摘要】本发明公开了一种虚拟网络隔离的实现方法和实现装置,该实现方法包括:对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。该实现方法还包括:预先配置防火墙与虚拟机的固有特征信息之间的对应关系、以及在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系;并且,在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。本发明能够根据虚拟机不同的用途,灵活的改变隔离策略;而且还能够保证每个虚拟机之间隔离策略的稳定性。
【专利说明】虚拟网络隔离的实现方法和实现装置
【技术领域】
[0001]本发明涉及网络安全领域,具体来说,涉及一种虚拟网络隔离的实现方法和实现
装直。
【背景技术】 [0002]当前,许多厂家在一台物理防火墙中放置多个虚拟机,然后在虚拟机上安装防火墙软件,以此来提高物理防火墙的使用率,使一台物理防火墙可以作为多台防火墙使用。这种方法在一定程度上是提高了物理防火墙的使用率,然而在使用时也存在一些不足之处,例如:
[0003]目前,在虚拟机中安装的防火墙都是特定的,其是在创建虚拟机时,根据预先拟定的虚拟机的用途去安装的特定防火墙,这种防火墙是不可修改的,然而,人们在实际使用的过程中,有可能会根据自身的需求去改变虚拟机的用途,从而就导致了原先特定的防火墙可能不满足新的用途,起不到有效的隔离作用。此时,就需要重新创建一个新的虚拟机,并且,在这个虚拟机上安装一个与新用途对应的防火墙,而创建一个新的虚拟机,并且根据新的用途建立一个新的防火墙时,会产生一系列的编程及其他繁琐操作,不仅费时费力,而且投入成本较大,对用户的要求比较高。
[0004]另外,目前,在虚拟机中安装的防火墙都是根据网络的IP去设定防火墙的规则的,这种根据网络IP去设定防火墙的规则,在使用时不够稳定,当虚拟机进行重启时,虚拟机所分配到的IP有可能会改动,从而就会导致对应的防火墙失效,起不到对应的作用,导致虚拟机之间无法进行有效的隔离和控制。
[0005]针对相关技术中虚拟机的网络隔离不够稳定且灵活性差的问题,目前尚未提出有效的解决方案。
【发明内容】
[0006]针对相关技术中虚拟机的网络隔离不够稳定且灵活性差的问题,本发明提出一种虚拟网络隔离的实现方法和实现装置,能够根据虚拟机不同的用途,灵活的改变隔离策略;而且还能够保证每个虚拟机之间隔离策略的稳定性。
[0007]本发明的技术方案是这样实现的:
[0008]根据本发明的一个方面,提供了一种虚拟网络隔离的实现方法。
[0009]该实现方法包括:
[0010]对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;
[0011]根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。
[0012]其中,在根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块时,可根据隔离需求确定需要与虚拟机隔离的其他虚拟机;并根据需要隔离的其他虚拟机,启动模块化防火墙中的相应模块。[0013]此外,该实现方法还包括:预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
[0014]另外,该实现方法还包括:在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
[0015]此外,该实现方法还包括:在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。
[0016]根据本发明的另一方面,提供了一种虚拟网络隔离的实现装置。
[0017]该实现装置包括:
[0018]生成模块,用于对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;
[0019]处理模块,用于根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。
[0020]其中,处理模块包括目标确定模块和第一启动模块,目标确定模块,用于根据隔离需求确定需要与虚拟机隔离的其他虚拟机;第一启动模块,用于根据需要隔离的其他虚拟机,启动模块化防火墙中的相应模块。
[0021]此外,该实现装置还包括:第一配置模块,用于预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
[0022]另外,该实现装置还包括:第二配置模块,用于在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
[0023]此外,该实现装置还包括:第二启动模块,用于在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。
[0024]本发明通过创建模块化防火墙,使得虚拟机在实际使用时,可根据不同的隔离需求启动模块化防火墙相应的模块来实现对应的隔离策略,极大的提高了虚拟机之间进行网络隔离的灵活性,此外,本发明通过虚拟机的固有特征信息来设置防火墙,而由于虚拟机的固有特征信息是不会改变的,从而极大的提高了虚拟机防火墙的稳定性,进而提高了虚拟机之间网络隔离的稳定性,另外,本发明还创建了与模块化防火墙对应的功能列表,可以让用户直观的根据自身的需求选着对应的隔离策略,大大的提高了用户使用时的方便性。
【专利附图】
【附图说明】
[0025]为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0026]图1是根据本发明实施例的虚拟网络隔离的实现方法的流程示意图;
[0027]图2是根据本发明实施例的虚拟网络隔离的实现装置的结构示意图。
【具体实施方式】
[0028]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的范围。
[0029]根据本发明的实施例,提供了一种虚拟网络隔离的实现方法。
[0030]如图1所示,根据本发明实施例的虚拟网络隔离的实现方法包括:
[0031 ] 步骤SlOl,对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;
[0032]步骤S103,根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。
[0033]其中,在根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块时,可根据隔离需求确定需要与虚拟机隔离的其他虚拟机;并根据需要隔离的其他虚拟机,启动模块化防火墙中的相应模块。
[0034]此外,该实现方法还包括:预先配置防火墙与虚拟机的固有特征信息(虚拟机的名称、虚拟机上的唯一标识符、虚拟机的特有属性等等)之间的对应关系。
[0035]另外,该实现方法还包括:在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
[0036]此外,该实现方法还包括:在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。
[0037]通过本发明的上述方案,能够根据虚拟机不同的用途,灵活的改变隔离策略;而且还能够保证每个虚拟机之间隔离策略的稳定性。
[0038]根据本发明的实施例,还提供了 一种虚拟网络隔离的实现装置。
[0039]如图2所示,根据本发明实施例的虚拟网络隔离的实现装置包括:
[0040]生成模块21,用于对虚拟机生成模块化防火墙,模块化防火墙包括多个模块,每个模块用于将虚拟机与其他至少一个虚拟机隔离;
[0041]处理模块22,用于根据虚拟机的隔离需求,启动模块化防火墙的至少一个模块。
[0042]其中,处理模块22包括目标确定模块(未示出)和第一启动模块(未示出),目标确定模块,用于根据隔离需求确定需要与虚拟机隔离的其他虚拟机;第一启动模块,用于根据需要隔离的其他虚拟机,启动模块化防火墙中的相应模块。
[0043]此外,该实现装置还包括:第一配置模块(未示出),用于预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
[0044]另外,该实现装置还包括:第二配置模块(未示出),用于在对虚拟机生成模块化防火墙之后,根据多个模块配置功能列表,功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
[0045]此外,该实现装置还包括:第二启动模块(未示出),用于在配置功能列表之后,根据用户需求,将用户在功能列表中选择的模块启动。
[0046]综上所述,借助于本发明的上述技术方案,通过创建模块化防火墙,使得虚拟机在实际使用时,可根据不同的隔离需求启动模块化防火墙相应的模块来实现对应的隔离策略,极大的提高了虚拟机之间进行网络隔离的灵活性,此外,本发明通过虚拟机的固有特征信息来设置防火墙,而由于虚拟机的固有特征信息是不会改变的,从而极大的提高了虚拟机防火墙的稳定性,进而提高了虚拟机之间网络隔离的稳定性,另外,本发明还创建了与模块化防火墙对应的功能列表,可以让用户直观的根据自身的需求选着对应的隔离策略,大大的提高了用户使用时的方便性。
[0047]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种虚拟网络隔离的实现方法,其特征在于,包括: 对虚拟机生成模块化防火墙,所述模块化防火墙包括多个模块,每个模块用于将所述虚拟机与其他至少一个虚拟机隔离; 根据所述虚拟机的隔离需求,启动所述模块化防火墙的至少一个模块。
2.根据权利要求1所述的实现方法,其特征在于,根据所述虚拟机的隔离需求,启动所述模块化防火墙的至少一个模块包括: 根据所述隔离需求确定需要与所述虚拟机隔离的其他虚拟机; 根据需要隔离的其他虚拟机,启动所述模块化防火墙中的相应模块。
3.根据权利要求1所述的实现方法,其特征在于,进一步包括: 预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
4.根据权利要求1所述的实现方法,其特征在于,进一步包括: 在对虚拟机生成模块化防火墙之后,根据所述多个模块配置功能列表,所述功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
5.根据权利要求4所述的实现方法,其特征在于,进一步包括: 在配置所述功能列表之后,根据用户需求,将用户在所述功能列表中选择的模块启动。
6.一种虚拟网络隔离的实现装置,其特征在于,包括: 生成模块,用于对虚拟机生成模块化防火墙,所述模块化防火墙包括多个模块,每个模块用于将所述虚拟机与其他至少一个虚拟机隔离; 处理模块,用于根据所述虚拟机的隔离需求,启动所述模块化防火墙的至少一个模块。
7.根据权利要求6所述的实现装置,其特征在于,所述处理模块包括目标确定模块和第一启动模块,其中, 目标确定模块,用于根据所述隔离需求确定需要与所述虚拟机隔离的其他虚拟机; 第一启动模块,用于根据需要隔离的其他虚拟机,启动所述模块化防火墙中的相应模块。
8.根据权利要求6所述的实现装置,其特征在于,进一步包括: 第一配置模块,用于预先配置防火墙与虚拟机的固有特征信息之间的对应关系。
9.根据权利要求1所述的实现装置,其特征在于,进一步包括: 第二配置模块,用于在对虚拟机生成模块化防火墙之后,根据所述多个模块配置功能列表,所述功能列表包括每个模块与该模块所隔离的虚拟机的对应关系。
10.根据权利要求9所述的实现装置,其特征在于,进一步包括: 第二启动模块,用于在配置所述功能列表之后,根据用户需求,将用户在所述功能列表中选择的模块启动。
【文档编号】H04L29/06GK103561027SQ201310541468
【公开日】2014年2月5日 申请日期:2013年11月5日 优先权日:2013年11月5日
【发明者】邵宗有, 欧阳涛, 孙国忠, 樊兴军 申请人:曙光云计算技术有限公司