一种虚拟主机安全防护系统的设计的制作方法
【专利摘要】本发明涉及一种虚拟主机安全防护系统。本发明技术方案是:虚拟主机安全防护系统通过采用分布式部署方式,在云计算中心的每个机柜中部署安全节点,安全节点使用透明模式进行部署。安全节点中运行安全防护组件,所有的安全节点由虚拟主机防护管理中心的统一管理控制。本发明的有益效果是:通过本系统对云计算数据中心所有虚拟机提供组件化、定制化、动态化、自动化的安全防护方案。
【专利说明】一种虚拟主机安全防护系统的设计
【技术领域】
[0001]本发明专利涉及一种虚拟主机安全防护系统。
【背景技术】
[0002]云计算是信息【技术领域】的一次变革,是信息技术发展的必然趋势和信息技术深度应用的必然结果,也必然对信息安全保障产生重大影响。
[0003]在电子通讯时代,为了实现通讯保密,信息安全技术的主要研究内容以密码技术为主。进入计算机时代后,信息安全的理念有了新变化,主机安全成为信息安全的主要研究目标,以安全模型分析与验证为理论基础,以信息安全产品为主要构件,以安全域建设为主要目标的安全防护体系思想逐渐成为主流。
[0004]在云计算时代,计算资源、存储资源、数据资源等高度共享,使其成为真正的基础资源,从而使得普通用户能够享用更高端的IT服务。云计算这一创新模式,也给信息安全带来了挑战和机遇,我们急需实现云计算环境下的数据安全与隐私保护,实现多租户环境的安全计算,实现涉及关键技术、标准、法规建设、国家监督管理制度等多层次、全方位的变革.在传统网络安全模式下,对网络计算环境进行安全需要使用各种硬件设备一层一层进行防护,但各个安全设备之间缺乏协同防护及统一管理,并且在现今云计算数据中心环境下,安全防护的颗粒度越来越细,不同的虚拟机设备所承载的业务需求不同,所需的安全防护级别以及要求也不尽相同,这对安全管理水平提出了较高的要求。
[0005]根据云计算数据中心的特点,本文提出的虚拟主机安全防护方案变革了传统网络安全防护手段,解决了云计算环境下虚拟化和多租户所产生的安全问题。以一体化机柜为基本单元,一体化机柜既是云平台部署和运维管理的基本单元,也是安全防护的基本单元,同一机柜中的主机属于同一安全域;以组件化的形式提供安全设备,可以根据需求不断扩展新的安全组件;以安全组件为基础建立安全措施库,根据不同的安全需求类型,定制不同的安全措施模板;引入Secaas (Security-as-a_service)“安全即服务”,使不同的租户专享个性化的安全服务;针对云平台下的安全性需求,设计开发加解密引擎、密钥管理等安全组件。
【发明内容】
[0006]为了克服现有云计算数据中心无法对云计算数据中心内众多具有特定功能的虚拟机群组进行有针对性的安全防护的问题,本发明提出一种虚拟机主机安全防护系统的设计,从而提高云计算数据中心整体安全水平。本发明采用分布式、多组件、多实例方式为云计算数据中心所有虚拟机提供组件化、定制化、动态化、自动化的安全防护方案。
[0007]本发明的技术方案主要针对云计算数据中心的特点,虚拟主机安全防护系统以“安全即服务”为出发点,以虚拟机为核心,以虚拟机群为单位,采用分布式的部署方式,在云计算中心的每个机柜中以透明模式部署安全节点,安全节点之间互不影响,单独工作,所有的安全节点由虚拟主机防护管理中心进行统一管理。
[0008]云计算环境中虚拟主机的用户通过网络通信与虚拟主机交互,虚拟主机所承载的业务功能也是通过网络通信对外提供的,所以网络通信就成虚拟主机与外界交互的主要通道,做好虚拟主机网络通信的防护就能在很大程度上保证虚拟主机的安全。
[0009]安全节点由统一安全网关、统一配置管理功能、安全防护组件等核心功能模块构成,如图2所示,具体介绍如下:
1.统一安全网关功能模块
进一步的,上述的统一安全网关,主要功能是对网络数据包进行解析并且过滤。
[0010]该网关模块主要由网络服务、日志服务、数据存储服务、用户认证服务、网络流量管理服务五大部分组成,如图3所示。网关可以通过统一配置管理里面的网络配置来设置系统运行的网络信息,所述的网络信息包括网卡信息、主机名和动态域名客户端配置、DHCP动态主机配置协议、DNS域名解析。同时可以通过统一配置管理子系统的各项配置来根据事件类型或者是网络事件类型来查看事件日志信息。客户端访问系统的时候需要有证书认证,否则相关的功能的是无法看到的或者登录的时候总是报证书错误信息。用户设置的策略信息和添加的各项应用信息都会存储在postgreSQL数据库里面。
[0011]统一安全网关的业务流程如图4所示,统一安全网关主要是对网络数据包进行过滤,在过滤过程中必须是有两个网卡才可以完成的,网络数据包由第一个网卡ethO流入,通过各个组件释放出来的与统一安全网关对接的接口和各个组件进行规则匹配,在组件里面匹配完成之后,将通过的网络数据包以一种方式进行标注、不通过的(也可以叫做是有威胁的数据包)又以另一种方式进行标注,然后在组件里面标注完成之后,数据包又会从组件里面流出来进入统一安全网关,统一安全网关按照两种不同的标识来对数据包进行舍弃和保留操作,将没有威胁的数据包进行下一步的操作,经过ethl网卡流出。
[0012]进一步的,上述的统一安全网关中的网络数据包捕获机制,主要包含三个部分:一是针对特定操作系统的包捕获机制,二是针对用户程序的接口,三是包过滤机制。
[0013]数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、IP层、传输层、最后到达应用程序。而包捕获机制是在数据链路层增加一个旁路处理,对发送和接收到的数据包做过滤/缓冲等相关处理,最后直接传递到应用程序。值得注意的是,包捕获机制并不影响操作系统对数据包的网络栈处理。对用户程序而言,包捕获机制提供了一个统一的接口,使用户程序只需要简单的调用若干函数就能获得所期望的数据包。这样一来,针对特定操作系统的捕获机制对用户透明,使用户程序有比较好的可移植性。网络数据包的主要功能体现在以下几个方面:
a)使用1控制命令设置网卡,并将链路层所以数据包拷贝至缓冲区。
[0014]b)使用Linux下高性能网络1/0,提高网络间通信的性能。
[0015]c)针对高性能网络I/O接收到的event事件,根据event注册的处理模块,分别进行相应处理,将接收到的数据包根据其协议进行重新封装,方便数据包过滤使用。
[0016]进一步的,上述的数据包过滤是对所捕获到的数据包根据用户的要求进行筛选,最终只把满足过滤条件的数据包传递给用户程序。
[0017]数据包过滤技术是防火墙最基本的实现技术,具有包过滤技术的装置是用来控制内、外网数据流入和流出,包过滤技术大部分是基于TCP/IP协议,对数据流的每个包进行检查,根据数据报的源地址、目的地址、TCP和IP的端口号,以及TCP的其他状态来确定是否允许数据包通过。数据包过滤主要是以下几个方面:
通过Epoll高性能网络1监听,采集网络中所有数据包,将所有数据包根据其包头信息做相应处理。
[0018]a)解析旁路监听接收的数据包,分别按照tcp, udp, icmp进行分析处理。
[0019]b)解析的数据包与数据包过滤条件进行匹配,然后根据过滤条件设置数据包的处理标志,操作系统内核根据处理标志对数据包进行处理。
[0020]2.统一配置管理功能模块
进一步的,上述的统一配置管理功能模块主要由网络配置、管理配置、系统配置、本地目录配置和系统信息配置组成,如图5所示。
[0021]网络配置里面可以设置系统运行的网络信息(网卡信息、网络常见问题的解决方案);管理配置里面可以添加管理员帐号信息,开启外部访问系统的选项,设置外部访问系统的公共地址,根据用户输入的证书信息,生成一个自签的证书,可以启用或者是禁用简单网络管理协议(SNMP)监视,用户可以根据自己的喜好更改系统的皮肤信息,也可以自己上传自己喜欢的.zip格式的皮肤信息;系统配置里面可以设置手动重启或者是手动关闭服务器、设置安装向导,可以备份和恢复系统的个别信息,可以设置系统的协议信息超文本传输协议(HTTP)、文件传输协议(FTP)、简单邮件传输协议(SMTP)、邮件协议(POP3)、互联网消息访问协议(IMAP),局域配置里面可以查看系统所在服务器的当前时间、设置时区和登录系统的语言信息,用户也可以根据自己的喜好上传新的.zip格式的语言包、可以强制更新系统服务器的时间,使得与其当前时间相同。本地目录配置可以添加登录VPN的用户信息,也可以对添加的vpn用户信息进行编辑(包括删除和修改用户信息)。系统信息配置里面可以查看系统的当前版本信息、许可证信息和许可证协议信息。
[0022]3.安全防护组件
进一步的,上述的安全防护组件包括防火墙组件、入侵检测组件、入侵防御组件、病毒威胁组件、拒绝服务防御组件,如图6所示。
[0023]进一步的,上述的防火墙组件里面可添加需要过滤的防火墙规则,也可以对添加的规则信息进行编辑(删除和修改规则信息)也可以把添加好的规则信息进行批量的导入和导出操作,也可以事件类型(所有活动的事件和封锁的事件类型)、(默认机架和所有机架两种)来查看事件日志信息。
[0024]进一步的,上述的入侵防御组件里面可以查看入侵防御组件的状态信息、可以添加入侵防御组件需要过滤的规则信息(包括规则和相关的规则变量)可以对添加的规则信息和规则对应的变量信息进行编辑操作(包括修改和删除操作),同时也可以将添加的批量规则信息和规则对应的变量信息进行导出和导入操作,可以根据事件类型(所有活动的事件和阻止的事件)、(默认机架和所有机架)来查看事件日志信息。
[0025]进一步的,上述的病毒威胁组件里面可以设置需要过滤的互联网信息(包括文件的扩展名和MME类型),也可以对需要过滤的文件扩展名和MME类型的相关信息进行添加和编辑操作(修改文件扩展名和MIME类型信息和删除文件扩展名和MIME类型信息),可以设置需要过滤的电子邮件信息,这个可以启用和禁用扫描电子邮件的一些协议信息(smtp简单邮件传输协议、pop3、imap互联网消息访问协议),可以设置ftp信息,可以通过web事件类型(受感染的web事件类型、清洁web事件类型)来查看web事件日志,通过电子邮件事件类型(受感染的电子邮件事件和清洁的电子邮件)来查看电子邮件日志信息。
[0026]进一步的,上述的拒绝服务防御组件是其他各个组件查看事件日志的必要条件,只有在安装了拒绝服务防御组件之后,才可以在其他的组件里面来查看相关的事件日志信息。用户可以在拒绝服务防御组件里面查看报告的状态信息,可以设置报告生成的时间(每周、每天)还可以设置报告生成的预时间,可以添加查看报告用户的电子邮件信息和添加附件的附件大小限制信息,还可以设置查看的日志信息(启用和禁用syslog)。
[0027]本发明的有益效果是:通过本系统对云计算数据中心所有虚拟机提供组件化、定制化、动态化、自动化的安全防护方案。
【专利附图】
【附图说明】
[0028]图1:为虚拟主机防护系统结构图。
[0029]图2:为虚拟主机防护安全防护节点结构图。
[0030]图3:为统一安全网关结构图。
[0031]图4:为统一安全网关业务处理流程图。
[0032]图5:为统一配置管理结构图。
[0033]图6:为安全防护组件结构图。
[0034]具体实施例(根据
【发明内容】
撰写,可以进一步补充关于
【发明内容】
的实施方案) 结合附图以及实施例,对本发明进行进一步的阐述。
[0035]本发明主要由统一安全网关、统一配置管理功能、安全防护组件等核心功能模块构成,如图2所示,具体介绍如下:
具体来说,结合附图4,对上述的统一安全网关模块的流程步骤,进行详细描述,如下:统一安全网关主要是对网络数据包进行过滤,在过滤过程中必须是有两个网卡才可以完成的,网络数据包由第一个网卡ethO流入,通过各个组件释放出来的与统一安全网关对接的接口和各个组件进行规则匹配,在组件里面匹配完成之后,将通过的网络数据包以一种方式进行标注、不通过的(也可以叫做是有威胁的数据包)又以另一种方式进行标注,然后在组件里面标注完成之后,数据包又会从组件里面流出来进入统一安全网关,统一安全网关按照两种不同的标识来对数据包进行舍弃和保留操作,将没有威胁的数据包进行下一步的操作,经过ethl网卡流出。
[0036]具体来说,上述的统一配置管理功能模块,其具体的操作步骤如下:
网络配置里面可以设置系统运行的网络信息(网卡信息、网络常见问题的解决方案);管理配置里面可以添加管理员帐号信息,开启外部访问系统的选项,设置外部访问系统的公共地址,根据用户输入的证书信息,生成一个自签的证书,可以启用或者是禁用简单网络管理协议(SNMP)监视,用户可以根据自己的喜好更改系统的皮肤信息,也可以自己上传自己喜欢的.zip格式的皮肤信息;系统配置里面可以设置手动重启或者是手动关闭服务器、设置安装向导,可以备份和恢复系统的个别信息,可以设置系统的协议信息超文本传输协议(HTTP)、文件传输协议(FTP)、简单邮件传输协议(SMTP)、邮件协议(POP3)、互联网消息访问协议(IMAP),局域配置里面可以查看系统所在服务器的当前时间、设置时区和登录系统的语言信息,用户也可以根据自己的喜好上传新的.zip格式的语言包、可以强制更新系统服务器的时间,使得与其当前时间相同。本地目录配置可以添加登录VPN的用户信息,也可以对添加的vpn用户信息进行编辑(包括删除和修改用户信息)。系统信息配置里面可以查看系统的当前版本信息、许可证信息和许可证协议信息。
[0037]具体来说,结合附图6,对上述的统一安全网关模块的内部组件,进行详细描述,如下:
安全防护组件包括防火墙组件、入侵检测组件、入侵防御组件、病毒威胁组件、拒绝服务防御组件。
[0038]需要说明的是,上述各技术特征继续相互组合,形成未在上面列举的各种实施例,均视为本发明说明书记载的范围;并且,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。
【权利要求】
1.一种虚拟主机安全防护系统,其特征在于,以虚拟机群为单位,以分布式部署为方式,提供统一的安全防护。
2.一种虚拟主机安全防护系统,其特征在于,云计算数据中心的虚拟主机防护系统由虚拟主机管理中心及众多安全节点组成。
3.—种虚拟主机安全防护系统,其特征在于,安全节点由安全网关功能模块、统一配置功能模块及安全组件构成。
4.一种虚拟主机安全防护系统,其特征在于,安全网关功能模块主要由网络服务、日志服务、数据存储服务、用户认证服务、网络流量管理服务五大部分组成,主要是对网络数据包进行过滤。
5.一种虚拟主机安全防护系统,其特征在于,统一配置功能模块由网络配置、管理配置、系统配置、本地目录配置和系统信息配置组成,对整个系统进行详细配置。
6.一种虚拟主机安全防护系统,其特征在于,安全防护组件由防火墙组件、入侵检测组件、入侵防御组件、病毒威胁组件、拒绝服务防御组件构成,为安全节点所管理范围内所有虚拟机提供安全防护服务。
【文档编号】H04L29/06GK104184717SQ201410057063
【公开日】2014年12月3日 申请日期:2014年2月20日 优先权日:2014年2月20日
【发明者】王茜, 史晨昱, 张磊, 魏巍, 朱志祥 申请人:西安未来国际信息股份有限公司, 西安邮电大学