一种虚拟化平台下保护信息安全的方法

一种虚拟化平台下保护信息安全的方法
【专利摘要】本发明公开了一种虚拟化平台下保护信息安全的方法，其具体实现过程为：设置虚拟平台检测系统、虚拟平台防护系统、虚拟平台管理系统；捕获网络流量，该流量在虚拟平台检测系统进行主机防火墙安全规则匹配；在虚拟平台防护系统中hypervisor层由虚拟交换机对上述匹配后的流量进行转发，在转发后经过虚拟平台防护层，在此层中判断是否符合设定的网络访问控制策略，符合条件的则拒绝转发；对没有限制的流量信息进行分析，当不符合流量安全策略，对此流量进行过滤。该一种虚拟化平台下保护信息安全的方法与现有技术相比，可以实现虚拟机之间的访问控制，QoS设置，VLAN划分及流量过滤等功能，降低恶意流量传播发生的可能性。
【专利说明】一种虚拟化平台下保护信息安全的方法

【技术领域】
[0001]本发明涉及计算机信息安全【技术领域】，具体地说是一种实用性强、虚拟化平台下保护信息安全的方法。

【背景技术】
[0002]随着云计算及大数据时代的到来，使服务器虚拟化技术达到了快速发展，服务器虚拟化是指在一台服务器上同时运行多个逻辑计算机，每个虚拟的逻辑计算机可运行不同的操作系统，每个系统都对外提供一种或多种服务，并且各逻辑计算机之间可以相互独立运行而互不影响，可以显著提高计算机的工作效率。但这种架构给人们带来方便高效的同时也存在着很多安全风险，如hypervisor安全,在不同的虚拟机之间可能存在的攻击和安全盲点，由于虚拟机之间及虚拟机与宿主机之间的通信是在虚拟化平台内部来完成，没有外部网络的参与，因此传统的网络边界无法对这些信息进行捕获，从而也就无法进行防护，而随着虚拟机规模的加大，会给现有的配置管理增加许多压力，如何有效的对虚拟机进行配置管理也成为需要解决的问题。
[0003]基于此，本发明提出了一种在虚拟化平台下全面的网络安全防护方法，该方法可以对Internet与虚拟机之间以及虚拟机相互之间通信进行有效的防护，防止网络安全行为的发生，并且提供了统一的管理平台，可以对虚拟平台内部虚拟机之间的通信进行有效的管理。


【发明内容】

[0004]本发明的技术任务是针对以上不足之处，提供一种实用性强、虚拟化平台下保护信息安全的方法。
[0005]一种虚拟化平台下保护信息安全的方法，其具体实现过程为:
一、设置虚拟平台检测系统、虚拟平台防护系统、虚拟平台管理系统；其中:
虚拟平台检测系统内安装主机防火墙，该主机防火墙检查源地址和目标地址、源端口和目标端口以及数据包的协议号，然后将它们与管理员定义的安全规则进行比较，当规则与网络数据包匹配时，则执行规则中指定的操作，即允许或阻止数据包操作；
虚拟平台防护系统内置网络访问控制模块、虚拟机自动发现引擎、流量分析引擎、流量过滤引擎、虚拟机状态监控、网络策略服务管理，其用于对虚拟机发出的流量及收到的流量中的源或目的地址，源或目端口及协议进行分析，当发现可以的流量时进行过滤，保证系统的安全稳定；
虚拟化平台管理系统对整个平台进行管理，包括虚拟机状态查看模块、安全策略设置模块、网络拓扑管理模块、系统日志查看模块，对虚拟化平台的运行情况进行展示及相应安全策略的维护，反映整个虚拟化平台的安全管理运行情况；
二、捕获网络流量，该流量在虚拟平台检测系统进行主机防火墙安全规则匹配；
三、在虚拟平台防护系统中hypervisor层由虚拟交换机对上述匹配后的流量进行转发，在转发后经过虚拟平台防护层，在此层中判断是否符合设定的网络访问控制策略，符合条件的则拒绝转发；
四、对没有限制的流量信息进行分析，当分析结果为不符合流量安全策略，则说明此流量存在安全威胁，对此流量进行过滤。
[0006]所述虚拟平台检测系统的主机防火墙通过代理端和安全虚拟机的通信，下载安全规则和进行日志收集工作，监控进出本机的数据包，实现维护虚拟化平台安全。
[0007]所述虚拟平台防护层部署在虚拟交换机之前，该虚拟平台防护层在虚拟机网卡与虚拟交换机相应端口之间对流量进行拦截来保护虚拟机。
[0008]所述网络访问策略是指通过设置网络策略服务来实现网络访问隔离控制，将远程客户端计算机或其他虚拟机限制为隔离模式，为其提供阶段性网络访问，将流向目的虚拟机的流量策略配置为符合或确定为符合组织的网络策略后，将删除隔离限制，并将标准网络策略应用于该连接。
[0009]所述虚拟化平台管理系统提供web管理平台，对虚拟平台及虚拟机信息进行实时展示，提供API接口，满足企业定制化开发；提供详尽的日志和报表功能，实现管理日志、事件日志的安全审计和追溯；
该虚拟平台管理系统进行虚拟机监控:通过VMI技术收集基于Windows和Linux的虚拟机、虚拟网络安全性和虚拟环境配置方面的信息，将这些信息反映到虚拟化平台管理平台中，实时掌握虚拟化平台及虚拟机系统运行情况。
[0010]所述防火墙安全规则匹配过程为:在虚拟平台进行主机防火墙安全规则匹配:有安全规则时，则匹配防火墙策略；无安全规则时，虚拟平台管理系统根据主机防火墙规则设定安全规则后，匹配防火墙策略；
所述匹配过程中由虚拟平台管理系统收集相应日志。
[0011]所述虚拟交换机对于流量进行转发时，虚拟平台管理系统完成对网络拓扑的管理和虚拟状态的查看。
[0012]本发明的一种虚拟化平台下保护信息安全的方法，具有以下优点:
该发明的一种虚拟化平台下保护信息安全的方法具有多层次，全面高效的特点。可以实现虚拟机之间的访问控制，QoS设置，VLAN划分及流量过滤等功能，降低恶意流量传播发生的可能性；通过虚拟机网络拓扑展现功能及虚拟机自省技术实现虚拟机网络关系的管理及深入的虚机状态监控，实时展示虚拟机运行状况，方便错误的跟踪及处理；通过主机防火墙的集中管理提供基于五元组的细粒度安全策略的配置并且提供了全面的主机审查机制来满足保等政策性合规要求，有效的对主机安全进行防护；通过web管理平台对虚拟平台进行实时显示为用户提供简单明了的安全配置，并且提供了丰富的API接口和日志功能，满足企业的定制化开发需求；实用性较强，适用范围广泛，易于推广。

【专利附图】

【附图说明】
[0013]附图1为本发明的实现结构图。
[0014]附图2为本发明的实现流程图。

【具体实施方式】
[0015]下面结合附图和具体实施例对本发明作进一步说明。
[0016]本发明提供一种虚拟化平台下保护信息安全的方法，可与虚拟化平台(Vmware、KVM和Xen)集成，本发明的显著特点是对虚拟化平台及虚拟机进行安全管理，将流向虚拟主机跟虚拟机的流量通过主机防火墙进行安全检测与流量过滤，用来过滤掉不安全服务和非法用户请求，控制对虚拟机的外部访问，监视Internet安全和预警防止DDoS攻击或其他攻击行为的发生，通过在虚拟化平台的hypervisor层部署虚拟平台防护层来实现东西向流量与南北向流量之间的检测与过滤，实现网络访问控制，并对流量进行检测与分析，从而降低垫脚石攻击发生的可能性。
[0017]如附图1、图2所示，其具体实现过程为:
一、设置虚拟平台检测系统、虚拟平台防护系统、虚拟平台管理系统；其中:
虚拟平台检测系统内安装主机防火墙，该主机防火墙检查源地址和目标地址、源端口和目标端口以及数据包的协议号，然后将它们与管理员定义的安全规则进行比较，当规则与网络数据包匹配时，则执行规则中指定的操作，即允许或阻止数据包操作；
虚拟平台防护系统内置网络访问控制模块、虚拟机自动发现引擎、流量分析引擎、流量过滤引擎、虚拟机状态监控、网络策略服务管理，其用于对虚拟机发出的流量及收到的流量中的源或目的地址，源或目端口及协议进行分析，当发现可以的流量时进行过滤，保证系统的安全稳定；
虚拟化平台管理系统对整个平台进行管理，包括虚拟机状态查看模块、安全策略设置模块、网络拓扑管理模块、系统日志查看模块，对虚拟化平台的运行情况进行展示及相应安全策略的维护，反映整个虚拟化平台的安全管理运行情况。
[0018]二、捕获网络流量，该流量在虚拟平台检测系统进行主机防火墙安全规则匹配；主机防火墙是虚拟化平台的保护性边界，监视和限制经过计算机及连到的网络或Internet之间的信息，同时提供了一条重要的防线，以防止非法访问等情况的发生。
[0019]三、在虚拟平台防护系统中hypervisor层由虚拟交换机对上述匹配后的流量进行转发，在转发后经过虚拟平台防护层，在此层中判断是否符合设定的网络访问控制策略，符合条件的则拒绝转发；虚拟平台防护层主要是虚拟防火墙的功能，是对网络与虚拟机之间及虚拟机之间的流量进行五元组的访问控制，进行VLAN划分管理、虚拟机隔离等实现虚拟机的安全。为虚拟机内部和虚拟机之间的通信提供可视化的监控和全面的安全审计。
[0020]四、对没有限制的流量信息进行分析，当分析结果为不符合流量安全策略，则说明此流量存在安全威胁，对此流量进行过滤。
[0021]所述虚拟平台检测系统的主机防火墙通过代理端和安全虚拟机的通信，下载安全规则和进行日志收集工作，监控进出本机的数据包，实现维护虚拟化平台安全。
[0022]所述虚拟平台防护层部署在虚拟交换机之前，该虚拟平台防护层在虚拟机网卡与虚拟交换机相应端口之间对流量进行拦截来保护虚拟机。
[0023]所述网络访问策略是指通过设置网络策略服务来实现网络访问隔离控制，将远程客户端计算机或其他虚拟机限制为隔离模式，为其提供阶段性网络访问，将流向目的虚拟机的流量策略配置为符合或确定为符合组织的网络策略后，将删除隔离限制，并将标准网络策略应用于该连接。
[0024]所述虚拟化平台管理系统提供web管理平台，对虚拟平台内部的虚拟机之间的网络拓扑进行管理通过web管理页面进行呈现，实时的显示运行和安全视图。自动发现所有已安装的客户机，对新增加的虚拟化平台和环境中新添加的虚拟机时能够随时扩展。web管理平台对虚拟平台进行实时显示为用户提供简单明了的安全配置，并且提供了丰富的API接口和日志功能，满足企业的定制化开发需求。
[0025]该虚拟平台管理系统进行虚拟机监控:通过VMI技术(Virtual MachineIntrospect1n,—种用于在外部监测系统级虚拟机运行状态的技术)收集基于Windows和Linux的虚拟机、虚拟网络安全性和虚拟环境配置方面的信息，将这些信息反映到虚拟化平台管理平台中，实时掌握虚拟化平台及虚拟机系统运行情况。充分利用虚拟机管理器的较高权限，可以实现在单独的虚拟机中部署安全工具对目标虚拟机进行监测，VMI允许特权域查看非特权域的运行状态，并能获得被监控虚拟机运行状态相关的状态数据，这些数据包括内存使用情况。磁盘空间使用的情况，以及操作系统日志文件的数据等等。
[0026]所述防火墙安全规则匹配过程为:在虚拟平台进行主机防火墙安全规则匹配:有安全规则时，则匹配防火墙策略；无安全规则时，虚拟平台管理系统根据主机防火墙规则设定安全规则后，匹配防火墙策略；
所述匹配过程中由虚拟平台管理系统收集相应日志。
[0027]所述虚拟交换机对于流量进行转发时，虚拟平台管理系统完成对网络拓扑的管理和虚拟状态的查看。
[0028]上述【具体实施方式】仅是本发明的具体个案，本发明的专利保护范围包括但不限于上述【具体实施方式】，任何符合本发明的一种虚拟化平台下保护信息安全的方法的权利要求书的且任何所述【技术领域】的普通技术人员对其所做的适当变化或替换，皆应落入本发明的专利保护范围。
【权利要求】
1.一种虚拟化平台下保护信息安全的方法，其特征在于，其具体实现过程为: 一、设置虚拟平台检测系统、虚拟平台防护系统、虚拟平台管理系统；其中: 虚拟平台检测系统内安装主机防火墙，该主机防火墙检查源地址和目标地址、源端口和目标端口以及数据包的协议号，然后将它们与管理员定义的安全规则进行比较，当规则与网络数据包匹配时，则执行规则中指定的操作，即允许或阻止数据包操作； 虚拟平台防护系统内置网络访问控制模块、虚拟机自动发现引擎、流量分析引擎、流量过滤引擎、虚拟机状态监控、网络策略服务管理，其用于对虚拟机发出的流量及收到的流量中的源或目的地址，源或目端口及协议进行分析，当发现可以的流量时进行过滤，保证系统的安全稳定； 虚拟化平台管理系统对整个平台进行管理，包括虚拟机状态查看模块、安全策略设置模块、网络拓扑管理模块、系统日志查看模块，对虚拟化平台的运行情况进行展示及相应安全策略的维护，反映整个虚拟化平台的安全管理运行情况； 二、捕获网络流量，该流量在虚拟平台检测系统进行主机防火墙安全规则匹配； 三、在虚拟平台防护系统中hypervisor层由虚拟交换机对上述匹配后的流量进行转发，在转发后经过虚拟平台防护层，在此层中判断是否符合设定的网络访问控制策略，符合条件的则拒绝转发； 四、对没有限制的流量信息进行分析，当分析结果为不符合流量安全策略，则说明此流量存在安全威胁，对此流量进行过滤。
2.根据权利要求1所述的一种虚拟化平台下保护信息安全的方法，其特征在于，所述虚拟平台检测系统的主机防火墙通过代理端和安全虚拟机的通信，下载安全规则和进行日志收集工作，监控进出本机的数据包，实现维护虚拟化平台安全。
3.根据权利要求1所述的一种虚拟化平台下保护信息安全的方法，其特征在于，所述虚拟平台防护层部署在虚拟交换机之前，该虚拟平台防护层在虚拟机网卡与虚拟交换机相应端口之间对流量进行拦截来保护虚拟机。
4.根据权利要求1所述的一种虚拟化平台下保护信息安全的方法，其特征在于，所述网络访问策略是指通过设置网络策略服务来实现网络访问隔离控制，将远程客户端计算机或其他虚拟机限制为隔离模式，为其提供阶段性网络访问，将流向目的虚拟机的流量策略配置为符合或确定为符合组织的网络策略后，将删除隔离限制，并将标准网络策略应用于该连接。
5.根据权利要求1所述的一种虚拟化平台下保护信息安全的方法，其特征在于，所述虚拟化平台管理系统提供web管理平台，对虚拟平台及虚拟机信息进行实时展示，提供API接口，满足企业定制化开发；提供详尽的日志和报表功能，实现管理日志、事件日志的安全审计和追溯； 该虚拟平台管理系统进行虚拟机监控:通过VMI技术收集基于Windows和Linux的虚拟机、虚拟网络安全性和虚拟环境配置方面的信息，将这些信息反映到虚拟化平台管理平台中，实时掌握虚拟化平台及虚拟机系统运行情况。
6.根据权利要求1所述的一种虚拟化平台下保护信息安全的方法，其特征在于，所述防火墙安全规则匹配过程为:在虚拟平台进行主机防火墙安全规则匹配:有安全规则时，则匹配防火墙策略；无安全规则时，虚拟平台管理系统根据主机防火墙规则设定安全规则后，匹配防火墙策略； 所述匹配过程中由虚拟平台管理系统收集相应日志。
7.根据权利要求1所述的一种虚拟化平台下保护信息安全的方法，其特征在于，所述虚拟交换机对于流量进行转发时，虚拟平台管理系统完成对网络拓扑的管理和虚拟状态的查看。
【文档编号】H04L29/06GK104378387SQ201410744567
【公开日】2015年2月25日 申请日期:2014年12月9日 优先权日:2014年12月9日
【发明者】宋洪涛 申请人:浪潮电子信息产业股份有限公司