基于云平台的虚拟化流量监控方法及装置的制造方法

基于云平台的虚拟化流量监控方法及装置的制造方法
【技术领域】
[0001]本发明涉及网络安全领域，尤其涉及一种基于云平台的虚拟化流量监控方法及装置。
【背景技术】
[0002]防火墙是一种用于在内网和外网之间构造保护屏障的设备，内外网之间的所有流量均要经过防火墙进行安全检测才能通过，以保护内网免受非法用户的侵入。
[0003]企业、院校等组织一般采用防火墙作为安全保障体系的第一道防线。但是在现实应用中，防火墙并不能解决Web应用安全的问题，而对于网站站点而言，同样存在针对Web应用的检测需求，由此产生了另一种形式的防火墙:Web应用防护防火墙(Web Applicat1nFirewalI，简称WAF)。WAF代表了一类新兴的信息安全技术，用以解决诸如防火墙一类传统安全设备无法解决的Web应用安全问题。与传统防火墙不同，WAF工作在应用层，因此对Web应用防护具有先天的技术优势。WAF对来自Web应用程序客户端的各类请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各类网站站点进行有效防护。
[0004]现有的WAF —般为具有物理形态的实体硬件设备，如图1所示，WAF通常部署在站点服务器集群的网关上，站点服务器与外网之间产生的流量经由WAF进行过滤和清洗。
[0005]在现有的站点安全防护方案中，发明人发现:作为实体硬件设备的WAF只能部署在同样为实体硬件的网关上，对实体设备之间的流量进行监控(例如对内网服务器与外网服务器之间产生的流量进行监控)。但是在虚拟环境下，由于WAF是独立设置于宿主机之外的，因此无法对宿主机内部虚拟机(Virtual Machine，简称VM)之间产生的流量进行监控。实际应用中，同一台宿主机中的虚拟机有可能会被分配给不同站点使用，此种情况下如何保证虚拟机流量的安全性，就成为互联网安全领域中亟待解决的问题之一。

【发明内容】

[0006]本发明提供了一种基于云平台的虚拟化流量监控方法及装置，能够解决无法有效监控虚拟机流量安全性的问题。
[0007]为解决上述技术问题，一方面，本发明提供了一种基于云平台的虚拟化流量监控方法，该方法包括:
[0008]在宿主机中部署虚拟防火墙；
[0009]通过虚拟交换设备监控源虚拟机产生的数据流量，并根据云平台下发的牵引策略将监控到的数据流量牵引到虚拟防火墙中；
[0010]通过虚拟防火墙对数据流量进行清洗，获得安全数据流量；
[0011]将安全数据流量转发给对应的目标虚拟机。
[0012]另一方面，本发明还提供了一种基于云平台的虚拟化流量监控装置，该装置包括:
[0013]部署单元，用于在宿主机中部署虚拟防火墙；
[0014]监控单元，用于通过虚拟交换设备监控源虚拟机产生的数据流量，并根据云平台下发的牵引策略将监控到的数据流量牵引到部署单元部署的虚拟防火墙中；
[0015]处理单元，用于通过部署单元部署的虚拟防火墙对监控单元牵引的数据流量进行清洗，获得安全数据流量；
[0016]发送单元，用于将处理单元处理得到的安全数据流量转发给对应的目标虚拟机。
[0017]本发明提供的基于云平台的虚拟化流量监控方法及装置，能够在宿主机中部署用于流量清洗的虚拟防火墙，由虚拟交换设备对虚拟机之间交换的数据流量进行监控，并将监控到的数据流量牵引到虚拟防火墙中进行清洗，由此保证数据流量的安全性。与现有技术相比，本发明能够通过部署在宿主机中的虚拟防火墙保障虚拟环境下的网络安全。
[0018]上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的【具体实施方式】。
【附图说明】
[0019]通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中:
[0020]图1示出了现有技术中在网关上部署实体WAF的系统示意图；
[0021]图2示出了本发明提供的一种基于云平台的虚拟化流量监控方法的流程图；
[0022]图3示出了本发明提供的另一种基于云平台的虚拟化流量监控方法的流程图；
[0023]图4示出了本发明提供的一种部署虚拟防火墙的示意图；
[0024]图5示出了本发明提供的另一种部署虚拟防火墙的示意图；
[0025]图6示出了本发明提供的一种跨虚拟交换设备的数据流量监控方案的示意图；
[0026]图7示出了本发明提供的一种跨宿主机的数据流量监控方案的示意图；
[0027]图8示出了本发明提供的一种基于云平台的虚拟化流量监控装置的结构组成框图；
[0028]图9示出了本发明提供的另一种基于云平台的虚拟化流量监控装置的结构组成框图。
【具体实施方式】
[0029]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。
[0030]为保障虚拟环境下虚拟机之间的数据流量安全，本发明实施例提供了一种基于云平台的虚拟化流量监控方法。如图2所示，该方法包括:
[0031]201、在宿主机中部署虚拟防火墙。
[0032]本实施例中所述的宿主机在实际应用中又可以称作为物理机或虚拟服务器，用作于虚拟机的物理实体介质，通过对内存、中央处理器(Central Processing Unit，简称CPU)等计算机资源的划分，一台宿主机可以划分出多个虚拟机，每个虚拟机共享宿主机的内存、硬盘、CPU及各种软硬件接口资源。
[0033]除划分多个虚拟机外，本实施例中，宿主机内部还需要部署一个虚拟防火墙。与现有技术中的实体防火墙不同，虚拟防火墙实际上只是一段基于进程执行的计算机程序，不具有物理形态。与虚拟机类似，虚拟防火墙同样基于宿主机的计算机资源进行工作。
[0034]本实施例中，宿主机中可以部署一个或多个虚拟防火墙。当部署多个虚拟防火墙时，虚拟交换设备监控的数据流量可以依次经由多个虚拟防火墙进行多次清理；或者，也可以多个虚拟防火墙分别用于清洗各自负责的一个或多个虚拟机，本实施例不对虚拟防火墙的数量和部署方式进行限制。
[0035]除此之外，宿主机中还会部署有用于流量交换的虚拟交换设备，该虚拟交换设备用于对虚拟机之间收发的数据流量进行转发，所有虚拟机都需要通过虚拟交换设备进行数据交换。与虚拟防火墙类似，虚拟交换设备同样不具有确定的物理形态，并需要基于宿主机的计算机资源进行工作。
[0036]本实施例中，虚拟防火墙可以部署在虚拟交换设备上，也可以独立于虚拟交换设备部署，或者还可以部署在某个特定的虚拟机上，本实施例不对虚拟防火墙的部署位置进行限制。
[0037]202、通过虚拟交换设备监控源虚拟机产生的数据流量。
[0038]虚拟机在进行数据收发时，所有在虚拟机之间交换的数据都需要经由虚拟交换设备转发。本实施例中，虚拟交换设备作为数据流量的交换媒介，用于在虚拟机进行数据交换时，对交换的数据流量进行监控。
[0039]实际应用中，本实施例中所述的虚拟交换设备可以但不限于是虚拟路由器或者虚拟交换机。
[0040]为便于理解方案，本实施例从数据流向的角度将发送数据流量的虚拟机称为源虚拟机，将接收数据流量的虚拟机称为目标虚拟机。实际应用中，任何一台虚拟机都兼具有数据收发的功能，所以任何一个虚拟机都既是源虚拟机又是目标虚拟机。
[0041]在本发明各实施例中，虚拟交换设备在监控到数据流量后，对其进行截获，在虚拟防火墙完成对数据流量的清洗前，该数据流量暂不转发到目标虚拟机中。
[0042]203、根据云平台下发的牵引策略将监控到的数据流量牵引到虚拟防火墙中。
[0043]在监控到数据流量之后，虚拟交换设备将数据流量牵引到虚拟防火墙中进行清洗。本实施例中，流量牵引的时机、数据量大小等因素由宿主机预先获得的牵引策略决定。实际应用中，虚拟交换设备可以全时或周期性的对全部或部分数据流量进行牵引，本实施例对此不作限制。
[0044]在本实施例中，虚拟交换设备预先获得的牵引策略由云平台制定并下发，云平台可以基于对不同网站节点的大数据分析，计算生成该牵引策略。在云平台一侧，可以针对所有网站站点制定统一的牵引策略，也可以基于不同的站点类型、宿主机型号、虚拟机数量、虚拟机性能、路由拓扑等因素为不同的虚拟环境制定不同的牵引策略。当然，实际应用中，云平台侧的牵引策略也可以由安全管理员手动设置制定，或者直接在宿主机侧的虚拟交换设备中制定而成，本实施例对此不作限制。
[0045]在获得云平台配置的牵引策略后，宿主机还可以通过云平台定期或不定期更新本地的牵引策略。
[0046]204、通过虚拟防火墙对数据流量进行清洗，获得安全数据流量。
[0047]虚拟防火墙具有但不限于异常检测、漏洞修复、设备审计等安全功能，在获得虚拟交换设备牵引的数据流量后，虚拟防火墙根据网站站点的具体需求对数据流量进行安全清洗，获得安全数据流量。
[0048]在一种实现方式中，对于存在安全隐患的数据流量，虚拟防火墙可以对其直接进行丢弃，也可以不予丢弃但向虚拟交换设备进