一种实现分布式网络安全防护的方法及系统的制作方法

一种实现分布式网络安全防护的方法及系统的制作方法
【专利摘要】本申请公开了一种分布式网络安全防护的方法及系统，包括：将虚拟防火墙旁挂在虚拟交换机上；对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发数据流量，否则，将该数据流量发往虚拟防火墙；虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，把数据流量转发回业务虚拟机；否则，丢弃数据流量。本发明通过对不是来自或发往物理防火墙的数据流量进行判断后，业务虚拟机对需要进行过滤的数据流量，发往旁挂虚拟防火墙进行过滤，无需过滤的数据流量直接转发；对网络拓扑改变很小，保证了进入虚拟机系统数据流量全部被过滤，减少了虚拟防火墙对资源的消耗。
【专利说明】一种实现分布式网络安全防护的方法及系统

【技术领域】
[0001]本申请涉及信息安全【技术领域】，尤指一种实现分布式网络安全防护的方法及系统。

【背景技术】
[0002]云计算是计算机和互联网的又一次新的革命，它将计算和存储转移到了云端，用户可以通过使用轻量级的便携式终端来进行复杂的计算和大容量的存储。从技术的角度来看，云计算不仅仅是一种新的概念，并行计算和虚拟化是实现云计算应用的主要技术手段。由于硬件技术的快速发展，使得一台普通的物理服务器所具有性能远远超过普通的单一用户对硬件性能的需求。因此，通过虚拟化的手段，将一台物理服务器虚拟为多台虚拟机，提供虚拟化服务成为了构建公有云和企业私有云的技术基础。经过虚拟化后，可以极大的提高软件系统对硬件资源的利用率，并通过虚拟化平台对计算、存储、网络等资源的统一调度管理，实现按需高效的使用硬件资源。
[0003]由于多台虚拟机共用同一台物理机的资源，不同虚拟机的网络流量可以在一台物理主机内部通过虚拟交换机交换，而无须被转发到物理网络上。即使是不同的物理主机之间的虚拟机交换数据，也由于同一块物理网卡上出入的流量混杂了属于不同网络的虚拟机的流量，这些流量都在一个大二层物理交换机上进行交换，而无法找到网络间清晰的物理边界。因此，虚拟化环境中网络的物理边界消失了。因此，在虚拟化技术在带来便利的同时，也带来了新的安全问题。在虚拟化环境中，由于网络物理边界的消失，无法采用设置网络防火墙的方法，在不同网络之间进行防火墙的部署。如果把防火墙部署在整个虚拟化环境的网络出入口，则无法对虚拟网络内部的流量进行监控。而通常一个虚拟网络内不同业务子网间的流量也需要通过防火墙进行隔离防护。因为对于每个业务子网来说，其网络边界既包括与整个虚拟网络外的其它主机进行通信的链路(南北向流量)，也包括与虚拟网络内其它业务子网内的虚拟主机进行通信的链路(东西向流量)。要实现对各业务子网的所有数据流量都进行监控，需要使所有出入业务子网边界的数据流量通过防火墙。虚拟化环境中，使用软件形态的虚拟防火墙进行数据流量的过滤。
[0004]虚拟防火墙通常以虚拟机的形态部署在虚拟网络中，它共享使用用户业务环境中的虚拟化资源；防火墙通常采取透明接入的方式，透明接入的方式在网络部署上也存在很大的困难，并且在每台虚拟机前都接入一个虚拟防火墙对资源造成很大的浪费。目前，为避免上述问题，一种做法是:把所有虚拟机都接入到一个虚拟防火墙后，通过该虚拟防火墙对所有数据流量进行过滤；但是，当该虚拟防火墙出现网络故障时，会影响数据流量的正常可靠传输，即，存在很大的单点故障隐患。另一种方法是:不采用透明接入方式，在网关中添加虚拟防火墙；为了对数据流量进行过滤，在网关中添加虚拟防火墙后，需要修改数据流量传输过程的接入IP为虚拟防火墙的IP ;即，在网关中添加虚拟防火墙，需要改变网络用户拓扑。


【发明内容】

[0005]为了解决上述问题，本发明提供一种实现分布式网络安全防护的方法及系统，能够在仅对分布式网络进行简要调整下，设置虚拟防火墙，保证分布式网络的安全可靠运行。
[0006]为了达到本发明的目的，本申请提供一种实现分布式网络安全防护的方法；包括:将虚拟防火墙旁挂在虚拟交换机上；
[0007]对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量，否则，将该数据流量发往虚拟防火墙；
[0008]虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，将所述数据流量转发回业务虚拟机；否则，丢弃所述数据流量。
[0009]进一步地，不是来自或发往物理防火墙的数据流量具体包括:
[0010]从网络协议栈发出的不是发往物理防火墙的数据流量；接收的发往网络协议栈的不是来自物理防火墙的数据流量。
[0011]进一步地，该方法之前还包括:所述业务虚拟机确定由网络协议栈发出的数据流量是否发往物理防火墙；
[0012]或者，发往网络协议栈的数据流量是否来自物理防火墙。
[0013]进一步地，在转发所述数据流量或，将数据流量发往虚拟防火墙之前，该方法还包括:
[0014]获取分布式网络的网络拓扑信息；
[0015]业务虚拟机根据获得的网络拓扑信息，进行所述数据流量的转发或将数据流量发往所述虚拟防火墙。
[0016]进一步地，该方法之前还包括，在所述各业务虚拟机上，预先设置第一虚拟网卡和第二虚拟网卡；其中，
[0017]第一虚拟网卡，用于接收、来自物理防火墙的数据流量、不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量、不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；发送、发往物理防火墙的数据流量，不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量；不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；
[0018]第二虚拟网卡，为安全导流网卡，用于将不是来自或发往物理防火墙且未过滤的数据流量，发往虚拟防火墙；接收由网络协议栈发出的且不是发往物理防火墙的被业务虚拟机确定未过滤的数据流量后、经虚拟防火墙过滤的数据流量。
[0019]进一步地，数据流量为发往物理防火墙的数据流量，所述根据网络拓扑信息进行数据流量的转发包括:
[0020]根据网络拓扑信息中物理防火墙的介质访问控制(MAC)地址进行流量转发；
[0021]数据流量为不是来自或发往物理防火墙且已经过虚拟防火墙过滤的数据流量，所述根据网络拓扑信息进行数据流量的转发包括:
[0022]根据网络拓扑信息的MAC地址和IP地址，将数据流量发往数据流量的目的地址；
[0023]数据流量为不是来自或发往物理防火墙的数据流量且未经过虚拟防火墙过滤的数据流量；所述将该数据流量发往虚拟防火墙包括:
[0024]根据网络拓扑信息中虚拟防火墙的MAC地址进行流量转发。
[0025]进一步地，当数据流量为不是来自或发往物理防火墙的数据流量，所述判断数据流量是否已经过虚拟防火墙过滤包括:
[0026]业务虚拟机根据所述网络拓扑信息中虚拟防火墙的MAC地址，判断所述不是来自或发往物理防火墙的数据流量的数据包的源MAC地址是否与记录的虚拟防火墙的MAC地址的对外网口的MAC地址相同，当所述数据流量标记的MAC地址与记录的虚拟防火墙的对外网口的MAC地址相同时，确定所述数据流量已经过虚拟防火墙；否则，确定所述数据流量未经过虚拟防火墙；
[0027]所述虚拟防火墙的MAC地址包括用于接收数据流量的对内网口的MAC地址和用于向外发送已过滤数据流量的对外网口的MAC地址。
[0028]进一步地，确定接收的数据流量是否来自于或发往物理防火墙包括:
[0029]将所述接收数据流量标记的MAC地址或所述数据流量发往的MAC地址与网络拓扑信息中的物理防火墙的MAC地址进行比对，当与记录的物理防火墙的MAC地址相同时，确定所述接收到的数据流量来自或发往物理防火墙。
[0030]进一步地，当数据流量经过虚拟防火墙过滤时，该方法之前还包括:在数据流量上添加虚拟防火墙的对外网口的MAC地址作为源MAC地址进行标记。
[0031]进一步地，当数据流量经过物理防火墙过滤时，该方法之前还包括:在所述数据流量上添加物理防火墙的MAC地址进行标记。
[0032]进一步地，周期，获取所述虚拟防火墙的工作状态；
[0033]当获得的工作状态显示所述虚拟防火墙发生故障时，对所述不是来自或发往物理防火墙的数据流量，根据数据流量的所发往的业务虚拟机，将所述数据流量转发至该业务虚拟机。
[0034]另一方面，本申请还提供一种实现分布式网络安全防护的系统，包括:物理防火墙，若干物理主机；各物理主机上包含有若干业务虚拟机、虚拟防火墙；其中，
[0035]各业务虚拟机包含判断单元，用于对不是来自或发往物理防火墙的数据流量，判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量；否则，将该数据流量发往虚拟防火墙；
[0036]物理防火墙，用于接收来自外网的发往分布式网络的业务虚拟机的数据流量；接收来自业务虚拟机的发往外网的数据流量；
[0037]虚拟防火墙，旁挂于虚拟交换机，用于对接收的数据流量进行过滤，确定为安全的数据流量后，把所述数据流量转发回业务虚拟机；否则，丢弃所述数据流量。
[0038]进一步地，判断单元具体用于，判断从网络协议栈发出的不是发往物理防火墙的数据流量，是否已经过虚拟防火墙；判断接收的发往网络协议栈的不是来自物理防火墙的数据流量，是否已经过虚拟防火墙；
[0039]如果是，转发所述数据流量；否则，将该数据流量发往虚拟防火墙。
[0040]进一步地，判断单元还用于，确定由网络协议栈发出的数据流量是否发往物理防火墙；或者，
[0041]发往网络协议栈的数据流量是否来自物理防火墙。
[0042]进一步地，该系统还包括网络拓扑单元，用于在转发所述数据流量或，将数据流量发往虚拟防火墙之前，
[0043]获取分布式网络的网络拓扑信息；
[0044]业务虚拟机根据获得的网络拓扑信息，进行所述数据流量的转发或将数据流量发往所述虚拟防火墙。
[0045]进一步地，各业务虚拟机还设置有第一虚拟网卡和第二虚拟网卡；其中，
[0046]第一虚拟网卡，为虚拟机的业务网卡，用于接收、来自物理防火墙的数据流量、不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量、不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；发送、发往物理防火墙的数据流量，不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量；不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；
[0047]第二虚拟网卡，为安全导流网卡，用于将不是来自或发往物理防火墙且未过滤的数据流量，发往虚拟防火墙；接收、由网络协议栈发出的且不是发往物理防火墙的被业务虚拟机确定未过滤的数据流量后、经虚拟防火墙过滤的数据流量。
[0048]进一步地，数据流量为发往物理防火墙的数据流量，所述第一虚拟网卡具体用于，
[0049]根据网络拓扑信息中物理防火墙的介质访问控制MAC地址进行流量转发；
[0050]数据流量为不是来自或发往物理防火墙且已经过虚拟防火墙过滤的数据流量，所述第一虚拟网卡具体用于，
[0051]根据网络拓扑信息的MAC地址和IP地址，将数据流量发往数据流量的目的地址；
[0052]数据流量为不是来自或发往物理防火墙的数据流量且未经过虚拟防火墙过滤的数据流量；所述第二虚拟网卡具体用于，
[0053]根据网络根据网络拓扑信息中虚拟防火墙的MAC地址进行流量转发。
[0054]进一步地，当数据流量为不是来自或发往物理防火墙的数据流量，所述判断单元具体用于，
[0055]根据网络拓扑信息中虚拟防火墙的MAC地址，判断不是来自或发往物理防火墙的数据流量的数据包的源MAC地址是否与记录的虚拟防火墙的MAC地址的对外网口的MAC地址相同，当所述数据流量标记的MAC地址与记录的虚拟防火墙的对外网口的MAC地址相同时，确定所述数据流量已经过虚拟防火墙；否则，确定所述数据流量未经过虚拟防火墙；
[0056]所述虚拟防火墙的MAC地址包括用于接收数据流量的对内网口的MAC地址和用于向外发送已过滤数据流量的对外网口的MAC地址。
[0057]进一步地，判断单元具体用于，
[0058]将接收数据流量标记的MAC地址或所述数据流量发往的MAC地址与网络拓扑信息中的物理防火墙的MAC地址进行比对，当与记录的物理防火墙的MAC地址相同时，确定所述接收到的数据流量来自或发往物理防火墙；
[0059]对不是来自或发往物理防火墙的数据流量，判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量；否则，将该数据流量发往虚拟防火墙。
[0060]进一步地，该系统还包括标记单元，用于当所述数据流量经过虚拟防火墙过滤时，在所述数据流量上添加虚拟防火墙的对外网口的MAC地址作为源MAC地址进行标记。
[0061]进一步地，标记单元还用于，
[0062]当数据流量经过物理防火墙过滤时，在所述数据流量上添加物理防火墙的MAC地址进行标记。
[0063]进一步地，该系统还包括周期检测单元，用于按照预设周期，获取所述虚拟防火墙的工作状态；
[0064]当获得的工作状态显示所述虚拟防火墙发生故障时，对所述不是来自或发往物理防火墙的数据流量，根据数据流量的所发往的业务虚拟机，将所述数据流量转发至该业务虚拟机。
[0065]与现有技术相比，本发明提供的技术方案，包括:将虚拟防火墙旁挂在虚拟交换机上；对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发数据流量，否则，将该数据流量发往虚拟防火墙；虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，把数据流量转发回业务虚拟机；否则，丢弃数据流量。本发明通过业务虚拟机对需要进行过滤的数据流量，发往虚拟防火墙进行过滤，让虚拟防火墙仅需要过滤不经过物理防火墙的虚拟化网络内部流量；通过业务虚拟机对不是来自或发往物理防火墙的数据流量进行判断后，配合旁挂虚拟防火墙进行安全过滤，对网络拓扑改变很小，不仅能够保证进入虚拟机系统的全部网络流量被过滤，也减少了虚拟防火墙对虚拟化资源的消耗。

【专利附图】

【附图说明】
[0066]附图用来提供对本申请技术方案的进一步理解，并且构成说明书的一部分，与本申请的实施例一起用于解释本申请的技术方案，并不构成对本申请技术方案的限制。
[0067]图1为本发明实现分布式网络安全防护的方法的流程图；
[0068]图2为本发明实现分布式网络安全防护的系统的结构框图。

【具体实施方式】
[0069]为使本申请的目的、技术方案和优点更加清楚明白，下文中将结合附图对本申请的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。
[0070]图1为本发明实现分布式网络安全防护的方法的流程图，将虚拟防火墙旁挂在虚拟交换机上。
[0071]如图1所示,还包括:
[0072]步骤100、对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，执行步骤101:转发数据流量；否则，执行步骤102:将该数据流量发往虚拟防火墙；
[0073]需要说明的是，将数据流量发往虚拟防火墙是通过虚拟防火墙的介质访问控制(MAC)实现的，通过MAC地址进行数据传输，属于本领域技术人员的公知常识，在此不再赘述。
[0074]本步骤中，不是来自或发往物理防火墙的数据流量具体包括:
[0075]从网络协议栈发出的不是发往物理防火墙的数据流量；
[0076]接收的发往网络协议栈的不是来自物理防火墙的数据流量。
[0077]本发明方法之前还包括:业务虚拟机确定由网络协议栈发出的数据流量是否发往物理防火墙；
[0078]或者，发往网络协议栈的数据流量是否来自物理防火墙。
[0079]在转发数据流量或，将数据流量发往虚拟防火墙之前，本发明方法还包括:
[0080]获取分布式网络的网络拓扑信息；
[0081]业务虚拟机根据获得的网络拓扑信息，进行数据流量的转发或将数据流量发往虚拟防火墙。
[0082]本发明方法之前还包括，在各业务虚拟机上，预先设置第一虚拟网卡和第二虚拟网卡；其中，
[0083]第一虚拟网卡，为虚拟机的业务网卡，用于接收、来自物理防火墙的数据流量、不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量、不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；发送、发往物理防火墙的数据流量，不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量；不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；
[0084]第二虚拟网卡，为安全导流网卡，用于将不是来自或发往物理防火墙且未过滤的数据流量，发往虚拟防火墙；接收、由网络协议栈发出的且不是发往物理防火墙的被业务虚拟机确定未过滤的数据流量后、经虚拟防火墙过滤的数据流量。
[0085]需要说明的是，由于分布式网络中数据流量较大，因此，在对数据流量进行判断和分析过程中，通过设置第一虚拟网卡和第二虚拟网卡，并设置相应的数据流量收发，和仅采用第一虚拟网卡，在判断为未过滤的数据流量时，仍然需要通过第一虚拟网卡将数据流量发往虚拟防火墙，造成第一虚拟网卡数据流量压力过大，通过第二虚拟网卡的设置，可以使数据流量收发在第一虚拟网卡和第二虚拟网卡中得到缓解。
[0086]数据流量为发往物理防火墙的数据流量，根据网络拓扑信息进行数据流量的转发包括:
[0087]根据网络拓扑信息中物理防火墙的介质访问控制(MAC)地址进行流量转发。
[0088]数据流量为不是来自或发往物理防火墙且已经过虚拟防火墙过滤的数据流量，根据网络拓扑信息进行数据流量的转发包括:
[0089]根据网络拓扑信息的MAC地址和IP地址，将数据流量发往数据流量的目的地址；
[0090]数据流量为不是来自或发往物理防火墙的数据流量且未经过虚拟防火墙过滤的数据流量；将该数据流量发往虚拟防火墙包括:
[0091]根据网络根据网络拓扑信息中虚拟防火墙的MAC地址进行流量转发。
[0092]需要说明的是，这里涉及到数据流量中的数据包内数据传输过程的MAC地址和IP地址等修改，该部分修改属于网络传输过程中常用的修改方式，为本领域技术人员的惯用技术手段。数据流量的目的地址是指网络上下一跳的MAC地址，通过IP地址，查到此MAC地址，并把数据包的目的MAC地址改成此MAC地址，数据包在被虚拟防火墙送到网络上前，需要指定数据包的目的MAC，确定数据流量的传输方向，这里，数据流量在被送到虚拟防火墙前，目的MAC已经被改成虚拟防火墙的目的MAC 了，目的MAC的获得，由虚拟防火墙从网络拓扑信息中取得，通过数据包里的目的IP查到目的MAC。
[0093]当数据流量为不是来自或发往物理防火墙的数据流量，判断数据流量是否已经过虚拟防火墙过滤包括:
[0094]业务虚拟机根据网络拓扑信息中虚拟防火墙的MAC地址，判断不是来自或发往物理防火墙的数据流量的数据包的源MAC地址是否与记录的虚拟防火墙的MAC地址的对外网口的MAC地址相同，当数据流量标记的MAC地址与记录的虚拟防火墙的对外网口的MAC地址相同时，确定数据流量已经过虚拟防火墙；否则，确定数据流量未经过虚拟防火墙；
[0095]虚拟防火墙的MAC地址包括用于接收数据流量的对内网口的MAC地址和用于向外发送已过滤数据流量的对外网口的MAC地址。
[0096]确定接收的数据流量是否来自于或发往物理防火墙包括:
[0097]将接收数据流量标记的MAC地址或数据流量发往的MAC地址与网络拓扑信息中的物理防火墙的MAC地址进行比对，当与记录的物理防火墙的MAC地址相同时，确定所述接收到的数据流量来自或发往物理防火墙。
[0098]当数据流量经过虚拟防火墙过滤时，本发明方法之前还包括:在数据流量上添加虚拟防火墙的对外网口的MAC地址作为源MAC地址进行标记。
[0099]当数据流量经过物理防火墙过滤时，本发明方法之前还包括:在所述数据流量上添加物理防火墙的MAC地址进行标记。
[0100]步骤102、虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，将数据流量转发回业务虚拟机；否则，丢弃数据流量。
[0101]需要说明的是，数据流量的安全与否，是通过虚拟防火墙进行过滤实现的，属于本领域技术人员的公知常识，在此不再赘述。
[0102]本发明方法还包括，按照预设周期，获取所述虚拟防火墙的工作状态；
[0103]当获得的工作状态显示所述虚拟防火墙发生故障时，对所述不是来自或发往物理防火墙的数据流量，根据数据流量的所发往的业务虚拟机，将所述数据流量转发至该业务虚拟机。
[0104]需要说明的是，这里预设的周期，是根据本领域技术人员对数据流量的收发情况及数据流量安全情况设定的周期，根据实际情况可以进行相应的调整。通过对虚拟防火墙故障的获取，进一步避免分布式网络出现单点故障隐患的问题。
[0105]图2为本发明实现分布式网络安全防护的系统的结构框图，如图2所示，包括:
[0106]包括:物理防火墙，若干物理主机；各物理主机上包含有若干业务虚拟机、虚拟防火墙；其中，
[0107]各业务虚拟机包含判断单元，用于对不是来自或发往物理防火墙的数据流量，判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量；否则，将该数据流量发往虚拟防火墙。
[0108]判断单元具体用于，判断从网络协议栈发出的不是发往物理防火墙的数据流量，是否已经过虚拟防火墙；判断接收的发往网络协议栈的不是来自物理防火墙的数据流量，是否已经过虚拟防火墙；
[0109]如果是，转发数据流量；否则，将该数据流量发往虚拟防火墙。
[0110]判断单元还用于，确定由网络协议栈发出的数据流量是否发往物理防火墙；或者，
[0111]发往网络协议栈的数据流量是否来自物理防火墙。
[0112]当数据流量为不是来自或发往物理防火墙的数据流量，判断单元具体用于，
[0113]根据网络拓扑信息中虚拟防火墙的MAC地址，判断不是来自或发往物理防火墙的数据流量的数据包的源MAC地址是否与记录的虚拟防火墙的MAC地址的对外网口的MAC地址相同，当所述数据流量标记的MAC地址与记录的虚拟防火墙的对外网口的MAC地址相同时，确定所述数据流量已经过虚拟防火墙；否则，确定所述数据流量未经过虚拟防火墙；
[0114]虚拟防火墙的MAC地址包括用于接收数据流量的对内网口的MAC地址和用于向外发送已过滤数据流量的对外网口的MAC地址。
[0115]将接收数据流量标记的MAC地址或所述数据流量发往的MAC地址与网络拓扑信息中的物理防火墙的MAC地址进行比对，当与记录的物理防火墙的MAC地址相同时，确定所述接收到的数据流量来自或发往物理防火墙。
[0116]对不是来自或发往物理防火墙的数据流量，判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量；否则，将该数据流量发往虚拟防火墙。
[0117]物理防火墙，用于接收来自外网的发往分布式网络的业务虚拟机的数据流量；接收来自业务虚拟机的发往外网的数据流量。
[0118]虚拟防火墙，旁挂于虚拟交换机，用于对接收的数据流量进行过滤，确定为安全的数据流量后，把所述数据流量转发回业务虚拟机；否则，丢弃所述数据流量。
[0119]本发明系统还包括网络拓扑单元，用于在转发所述数据流量或，将数据流量发往虚拟防火墙之前，
[0120]获取分布式网络的网络拓扑信息；
[0121]业务虚拟机根据获得的网络拓扑信息，进行所述数据流量的转发或将数据流量发往所述虚拟防火墙。
[0122]各业务虚拟机还设置有第一虚拟网卡和第二虚拟网卡；其中，
[0123]第一虚拟网卡，为虚拟机的业务网卡，用于接收、来自物理防火墙的数据流量、不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量、不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；发送、发往物理防火墙的数据流量，不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量；不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；
[0124]第二虚拟网卡，为安全导流网卡，用于将不是来自或发往物理防火墙且未过滤的数据流量，发往虚拟防火墙；接收、由网络协议栈发出的且不是发往物理防火墙的被业务虚拟机确定未过滤的数据流量后、经虚拟防火墙过滤的数据流量。
[0125]数据流量为发往物理防火墙的数据流量，第一虚拟网卡具体用于，
[0126]根据网络拓扑信息中物理防火墙的介质访问控制MAC地址进行流量转发；
[0127]数据流量为不是来自或发往物理防火墙且已经过虚拟防火墙过滤的数据流量，所述第一虚拟网卡具体用于，
[0128]根据网络拓扑信息的MAC地址和IP地址，将数据流量发往数据流量的目的地址；
[0129]数据流量为不是来自或发往物理防火墙的数据流量且未经过虚拟防火墙过滤的数据流量；所述第二虚拟网卡具体用于，
[0130]根据网络根据网络拓扑信息中虚拟防火墙的MAC地址进行流量转发。
[0131]本发明系统还包括标记单元，用于当所述数据流量经过虚拟防火墙过滤时，在所述数据流量上添加虚拟防火墙的对外网口的MAC地址作为源MAC地址进行标记。
[0132]标记单元还用于，当数据流量经过物理防火墙过滤时，在所述数据流量上添加物理防火墙的MAC地址进行标记。
[0133]本发明系统还包括周期检测单元，用于按照预设周期，获取所述虚拟防火墙的工作状态；
[0134]当获得的工作状态显示所述虚拟防火墙发生故障时，对所述不是来自或发往物理防火墙的数据流量，根据数据流量的所发往的业务虚拟机，将所述数据流量转发至该业务虚拟机。
[0135]需要说明的是，虚拟防火墙的建立，还可以根据业务虚拟机的种类以及其他分类标准设置多个。
[0136]为清楚的陈述本发明，以下通过具体实施例对本发明方法进行清楚详细的说明，实施例并不用于限制本发明保护的范围。
[0137]实施例1
[0138]本实施例以在分布式网络中一个物理主机的驱动网卡上建立一个虚拟防火墙为例，对分布式网络安全防护的方法进行说明。
[0139]一个分布式网络的数据流量在进入分布式网络时，必将通过部署在分布式网络的出入口的物理防火墙，建立一个虚拟防火墙，将虚拟防火墙旁挂在虚拟交换机上。
[0140]对经过物理防火墙或虚拟防火墙的数据流量通过经过的物理防火墙或虚拟防火墙的MAC地址进行标记。
[0141]物理防火墙负责对南北向数据流量的过滤，各业务虚拟机分别包含有各自的判断模块，负责对经过业务虚拟机第一虚拟网卡的东西向数据流量进行判断:
[0142]获取并记录分布式网络中物理防火墙和虚拟防火墙的MAC地址。
[0143]当从物理防火墙过滤后的南北向流量和接收的来自其他业务虚拟机的东西向流量，进入业务虚拟机的第一虚拟网卡后，传输到判断模块，通过MAC地址标记，确定是否已经过物理防火墙或虚拟防火墙的过滤，通过网络拓扑信息中对外网口的MAC地址与数据流量的源MAC地址进行比对，相同时，为已过滤，如果已过滤，则将数据流量发往第一虚拟网卡，按照网络拓扑信息进行转发；否则，通过第二虚拟网卡发往虚拟防火墙，过滤后，发往第一虚拟网卡。
[0144]由网络协议栈发往其他业务虚拟机的数据流量或发往物理防火墙的数据流量，经判断模块判断，对未经过过滤的数据流量，将该部分数据流量通过第二虚拟网卡发往虚拟防火墙，对已过滤的数据流量，经第二虚拟网卡发往第一虚拟网卡，通过第一虚拟网卡发往其他业务虚拟机；对发往物理防火墙的数据流量直接进行数据转发；
[0145]以上数据转发通过，网络拓扑信息进行，具体的转发地址变换等，属于本领域技术人员的惯用技术手段。
[0146]为了避免由于虚拟防火墙自身故障导致的网络通信的中断，定期的获取虚拟防火墙的工作状态，当虚拟防火墙发生故障，则判断模块对不是来自或发往物理防火墙的数据流量，根据数据流量的所发往的业务虚拟机，直接进行数据转发。对发往或来自物理防火墙的数据流量，直接进行数据流量的转发。
[0147]本发明所提出的分布式部署方案具有更好的容错能力，避免了单点故障隐患；当虚拟机发生迁移时，分布式的部署方案中，业务虚拟机和虚拟防火墙的设置，可以在分布式网络中实现良好的迁移。避免了网络拓扑的修改给分布式网络带来的影响，因此分布式防火墙部署方案对虚拟化环境的拓扑动态变化也具有更好的适应性。
[0148]虽然本申请所揭露的实施方式如上，但所述的内容仅为便于理解本申请而采用的实施方式，并非用以限定本申请，如本发明实施方式中的具体的实现方法。任何本申请所属领域内的技术人员，在不脱离本申请所揭露的精神和范围的前提下，可以在实施的形式及细节上进行任何的修改与变化，但本申请的专利保护范围，仍须以所附的权利要求书所界定的范围为准。
【权利要求】
1.一种实现分布式网络安全防护的方法，其特征在于，包括:将虚拟防火墙旁挂在虚拟交换机上； 对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量，否则，将该数据流量发往虚拟防火墙； 虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，将所述数据流量转发回业务虚拟机；否则，丢弃所述数据流量。
2.根据权利要求1所述的方法，其特征在于，所述不是来自或发往物理防火墙的数据流量具体包括: 从网络协议栈发出的不是发往物理防火墙的数据流量；接收的发往网络协议栈的不是来自物理防火墙的数据流量。
3.根据权利要求1或2所述的方法，其特征在于，该方法之前还包括:所述业务虚拟机确定由网络协议栈发出的数据流量是否发往物理防火墙； 或者，发往网络协议栈的数据流量是否来自物理防火墙。
4.根据权利要求1或2所述的方法，其特征在于，在转发所述数据流量或，将数据流量发往虚拟防火墙之前，该方法还包括: 获取分布式网络的网络拓扑信息； 所述业务虚拟机根据获得的网络拓扑信息，进行所述数据流量的转发或将数据流量发往所述虚拟防火墙。
5.根据权利要求4所述的方法，其特征在于，该方法之前还包括，在所述各业务虚拟机上，预先设置第一虚拟网卡和第二虚拟网卡；其中， 第一虚拟网卡，用于接收、来自物理防火墙的数据流量、不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量、不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；发送、发往物理防火墙的数据流量，不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量；不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量； 第二虚拟网卡，为安全导流网卡，用于将不是来自或发往物理防火墙且未过滤的数据流量，发往虚拟防火墙；接收由网络协议栈发出的且不是发往物理防火墙的被业务虚拟机确定未过滤的数据流量后、经虚拟防火墙过滤的数据流量。
6.根据权利要求4所述的方法，其特征在于，所述数据流量为发往物理防火墙的数据流量，所述根据网络拓扑信息进行数据流量的转发包括: 根据所述网络拓扑信息中物理防火墙的介质访问控制MAC地址进行流量转发； 所述数据流量为不是来自或发往物理防火墙且已经过虚拟防火墙过滤的数据流量，所述根据网络拓扑信息进行数据流量的转发包括: 根据所述网络拓扑信息的MAC地址和IP地址，将数据流量发往数据流量的目的地址； 所述数据流量为不是来自或发往物理防火墙的数据流量且未经过虚拟防火墙过滤的数据流量；所述将该数据流量发往虚拟防火墙包括: 根据所述网络拓扑信息中虚拟防火墙的MAC地址进行流量转发。
7.根据权利要求4所述的方法，其特征在于，当所述数据流量为不是来自或发往物理防火墙的数据流量，所述判断数据流量是否已经过虚拟防火墙过滤包括: 所述业务虚拟机根据所述网络拓扑信息中虚拟防火墙的MAC地址，判断所述不是来自或发往物理防火墙的数据流量的数据包的源MAC地址是否与记录的虚拟防火墙的MAC地址的对外网口的MAC地址相同，当所述数据流量标记的MAC地址与记录的虚拟防火墙的对外网口的MAC地址相同时，确定所述数据流量已经过虚拟防火墙；否则，确定所述数据流量未经过虚拟防火墙； 所述虚拟防火墙的MAC地址包括用于接收数据流量的对内网口的MAC地址和用于向外发送已过滤数据流量的对外网口的MAC地址。
8.根据权利要求4所述的方法，其特征在于，所述确定接收的数据流量是否来自于或发往物理防火墙包括: 将所述接收数据流量标记的MAC地址或所述数据流量发往的MAC地址与网络拓扑信息中的物理防火墙的MAC地址进行比对，当与记录的物理防火墙的MAC地址相同时，确定所述接收到的数据流量来自或发往物理防火墙。
9.根据权利要求7所述的方法，其特征在于，当所述数据流量经过虚拟防火墙过滤时，该方法之前还包括:在所述数据流量上添加虚拟防火墙的对外网口的MAC地址作为源MAC地址进行标记。
10.根据权利要求7所述的方法，其特征在于，当所述数据流量经过物理防火墙过滤时，该方法之前还包括:在所述数据流量上添加物理防火墙的MAC地址进行标记。
11.根据权利要求1所述的方法，其特征在于，该方法还包括，按照预设周期，获取所述虚拟防火墙的工作状态； 当获得的工作状态显示所述虚拟防火墙发生故障时，对所述不是来自或发往物理防火墙的数据流量，根据数据流量的所发往的业务虚拟机，将所述数据流量转发至该业务虚拟机。
12.—种实现分布式网络安全防护的系统，其特征在于，包括:物理防火墙，若干物理主机；各物理主机上包含有若干业务虚拟机、虚拟防火墙；其中， 各业务虚拟机包含判断单元，用于对不是来自或发往物理防火墙的数据流量，判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量；否则，将该数据流量发往虚拟防火m ; 物理防火墙，用于接收来自外网的发往分布式网络的业务虚拟机的数据流量；接收来自业务虚拟机的发往外网的数据流量； 虚拟防火墙，旁挂于虚拟交换机，用于对接收的数据流量进行过滤，确定为安全的数据流量后，把所述数据流量转发回业务虚拟机；否则，丢弃所述数据流量。
13.根据权利要求12所述的系统，其特征在于，所述判断单元具体用于，判断从网络协议栈发出的不是发往物理防火墙的数据流量，是否已经过虚拟防火墙；判断接收的发往网络协议栈的不是来自物理防火墙的数据流量，是否已经过虚拟防火墙； 如果是，转发所述数据流量；否则，将该数据流量发往虚拟防火墙。
14.根据权利要求12或13所述的系统，其特征在于，所述判断单元还用于，确定由网络协议栈发出的数据流量是否发往物理防火墙；或者， 发往网络协议栈的数据流量是否来自物理防火墙。
15.根据权利要求12或13所述的系统，其特征在于，该系统还包括网络拓扑单元，用于在转发所述数据流量或，将数据流量发往虚拟防火墙之前， 获取分布式网络的网络拓扑信息； 所述业务虚拟机根据获得的网络拓扑信息，进行所述数据流量的转发或将数据流量发往所述虚拟防火墙。
16.根据权利要求15所述的系统，其特征在于，各所述业务虚拟机还设置有第一虚拟网卡和第二虚拟网卡；其中， 第一虚拟网卡，为虚拟机的业务网卡，用于接收、来自物理防火墙的数据流量、不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量、不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量；发送、发往物理防火墙的数据流量，不是来自或发往物理防火墙的发往网络协议栈的已经过虚拟防火墙过滤的数据流量；不是来自或发往物理防火墙的发往网络协议栈的未过滤的数据流量； 第二虚拟网卡，为安全导流网卡，用于将不是来自或发往物理防火墙且未过滤的数据流量，发往虚拟防火墙；接收、由网络协议栈发出的且不是发往物理防火墙的被业务虚拟机确定未过滤的数据流量后、经虚拟防火墙过滤的数据流量。
17.根据权利要求16所述的系统，其特征在于，所述数据流量为发往物理防火墙的数据流量，所述第一虚拟网卡具体用于， 根据所述网络拓扑信息中物理防火墙的介质访问控制MAC地址进行流量转发； 所述数据流量为不是来自或发往物理防火墙且已经过虚拟防火墙过滤的数据流量，所述第一虚拟网卡具体用于， 根据所述网络拓扑信息的MAC地址和IP地址，将数据流量发往数据流量的目的地址；所述数据流量为不是来自或发往物理防火墙的数据流量且未经过虚拟防火墙过滤的数据流量；所述第二虚拟网卡具体用于， 根据网络根据网络拓扑信息中虚拟防火墙的MAC地址进行流量转发。
18.根据权利要求15所述的系统，其特征在于，当所述数据流量为不是来自或发往物理防火墙的数据流量，所述判断单元具体用于， 根据网络拓扑信息中虚拟防火墙的MAC地址，判断不是来自或发往物理防火墙的数据流量的数据包的源MAC地址是否与记录的虚拟防火墙的MAC地址的对外网口的MAC地址相同，当所述数据流量标记的MAC地址与记录的虚拟防火墙的对外网口的MAC地址相同时，确定所述数据流量已经过虚拟防火墙；否则，确定所述数据流量未经过虚拟防火墙； 所述虚拟防火墙的MAC地址包括用于接收数据流量的对内网口的MAC地址和用于向外发送已过滤数据流量的对外网口的MAC地址。
19.根据权利要求15所述的系统，其特征在于，所述判断单元具体用于， 将所述接收数据流量标记的MAC地址或所述数据流量发往的MAC地址与网络拓扑信息中的物理防火墙的MAC地址进行比对，当与记录的物理防火墙的MAC地址相同时，确定所述接收到的数据流量来自或发往物理防火墙； 对不是来自或发往物理防火墙的数据流量，判断是否已经过虚拟防火墙过滤，如果是，转发所述数据流量；否则，将该数据流量发往虚拟防火墙。
20.根据权利要求18所述的系统，其特征在于，该系统还包括标记单元，用于当所述数据流量经过虚拟防火墙过滤时，在所述数据流量上添加虚拟防火墙的对外网口的MAC地址作为源MAC地址进行标记。
21.根据权利要求20所述的系统，其特征在于，所述标记单元还用于， 当所述数据流量经过物理防火墙过滤时，在所述数据流量上添加物理防火墙的MAC地址进行标记。
22.根据权利要求12所述的系统，其特征在于，该系统还包括周期检测单元，用于按照预设周期，获取所述虚拟防火墙的工作状态； 当获得的工作状态显示所述虚拟防火墙发生故障时，对所述不是来自或发往物理防火墙的数据流量，根据数据流量的所发往的业务虚拟机，将所述数据流量转发至该业务虚拟机。
【文档编号】H04L29/06GK104301321SQ201410568541
【公开日】2015年1月21日 申请日期:2014年10月22日 优先权日:2014年10月22日
【发明者】李陟, 曲武 申请人:北京启明星辰信息技术股份有限公司, 北京启明星辰信息安全技术有限公司