一种云计算网络中南北向流量安全防护系统的制作方法

一种云计算网络中南北向流量安全防护系统的制作方法
【技术领域】
[0001]本发明涉及云计算技术领域，尤其涉及一种云计算网络中南北向流量安全防护系统。
【背景技术】
[0002]虚拟计算环境主要由虚机VM、虚拟化系统Hypervisor两者构成。从网络边界防护的角度来看，存在虚机VM南北向流量、东西向流量访问、入侵、躲避等安全隐患。
[0003]租户内部的网络多数情况下是跨节点的，同时大多是二层网络结构(不排除也有三层网络结构，但是考虑到跨数据中心的虚机迀移等问题，大多数情况下还是采用大二层网络结构)，所以租户内部虚机VM之间访问具有如下特点。同一租户的虚机在不同的物理节点上，互访的流量出物理节点。同一租户的虚机都处于一个大的二层网络，互访流量要能够穿越三层网络。同一租户的内部网络可能需要划分不同的安全区域VN，安全区域之间的安全策略不同。
[0004]纵向流量包括从客户端到服务器侧的正常流量访问请求，以及不同VM之间的三层转发的流量。这些流量的共同特点是其交换必然经过外置的硬件安全防护层，我们也称之为纵向流量控制层。
[0005]—方面，这些流量的防护方式和传统的数据中心的安全防护相比没有本质区别；另一方面，在虚拟化环境下的云安全部署，因为存在多租户的服务模型，因此对于设备的虚拟化实现程度又有了更高的要求。
[0006]由于纵向流量存在多租户的概念，则对安全也提出了需求，能够实现基于租户的安全防护。

【发明内容】

[0007]本发明的目的是提供一种将虚机防火墙无缝嵌入到虚拟化平台中，从而实现在云计算网络中对南北向流量的安全防护。
[0008]为了实现上述发明目的，本发明提供了一种云计算网络中南北向流量安全防护部署系统，包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的虚拟防火墙、第一网络转发层和第二网络转发层；
[0009]所述第一网络转发层，用于通过对接收的报文的标签的识别判断该报文的来源，如果来源为虚拟机，则将所述报文转发至当前虚拟机的租户所对应的虚拟防火墙，并将经过该虚拟防火墙处理后的报文经过二层交换机和三层交换机发送至Network网络，如果来源为Network网络，则将所述报文转发至该报文的标签所指示的虚拟防火墙，并将经过该虚拟防火墙处理后的报文经过二层交换机发送至第二网络转发层；
[0010]所述第二网络转发层，用于接收来自Network网络的报文时，通过对报文的标签的识别判断该报文所归属的租户，并将该报文下发至该报文的标签所指示的租户所对应的虚拟机，还用于将虚拟机发送的报文转发至二层交换机。
[0011]其中，所述第一网络转发层和虚拟防火墙运行于第一服务器群集，所述第二网络转发层和虚拟机运行于第二服务器集群。
[0012]其中，所述第二网络转发层包括物理网卡、逻辑网卡和逻辑网桥；
[0013]所述第二服务器群集包括多个物理服务器，同一个物理服务器包括多张所述物理网卡，该多张物理网卡绑定于同一张所述逻辑网卡，该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口，每个逻辑网卡子接口连接一个所述逻辑网桥，每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机。
[0014]其中，所述第一网络转发层包括物理网卡、逻辑网卡和逻辑网桥；
[0015]所述第一服务器集群的物理服务器上具有多张所述物理网卡，该多张物理网卡绑定于同一张所述逻辑网卡，该逻辑网卡除了具有与所述租户一一对应的逻辑网卡子接口夕卜，还具有接收来自于Network网络报文的逻辑网卡子接口，每个逻辑网卡子接口连接一个所述逻辑网桥，逻辑网桥连接其所对应的租户的虚拟防火墙。
[0016]其中，所述第一网络转发层包括物理网卡、逻辑网卡和逻辑网桥；
[0017]所述第一服务器集群的物理服务器上具有多张所述物理网卡，该多张物理网卡绑定于同一张所述逻辑网卡，该逻辑网卡连接所述逻辑网桥，所述逻辑网桥分别连接运行虚拟防火墙的虚拟机的Tap接口。
[0018]其中，当所述虚拟防火墙工作在路由模式时，所述虚拟防火墙内部配置有VLAN和网关。
[0019]其中，当所述虚拟防火墙工作在透明模式时，在所述三层交换机上连接硬件防火墙，并在该三层交换机上配置路由网关和Nat。
[0020]其中，所述第一服务器集群的物理服务器上运行一台虚拟机，该虚拟机上运行与所述租户一一对应的虚拟防火墙，
[0021]所述第一网络转发层包括物理网卡和逻辑网卡；
[0022]所述第一服务器集群的物理服务器上具有多张所述物理网卡，该多张物理网卡绑定于同一张所述逻辑网卡，该逻辑网卡连接每个租户所对应的虚拟防火墙。
[0023]根据本发明的另一个方面，一种云计算网络中南北向流量安全防护部署系统，包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的硬件防火墙；
[0024]所述硬件防火墙部署于三层交换机，硬件防火墙内部包括与各租户一一对应的逻辑防火墙单元，各逻辑防火墙单元分别连接物理网卡，该物理网卡连接二层交换机；
[0025]所述虚拟机运行于第二服务器群集，所述第二服务器群集包括多个物理服务器，同一个物理服务器包括多张所述物理网卡，该多张物理网卡绑定于同一张所述逻辑网卡，该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口，每个逻辑网卡子接口连接一个所述逻辑网桥，每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机。
[0026]根据本发明的另一个方面，一种云计算网络中南北向流量安全防护部署系统，包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的硬件防火墙；
[0027]所述虚拟机运行于服务器群集，所述服务器群集包括多个物理服务器，同一个物理服务器包括多张所述物理网卡，该多张物理网卡绑定于同一张所述逻辑网卡，该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口，每个逻辑网卡子接口连接一个所述逻辑网桥，每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机；
[0028]所述硬件防火墙内部包括与各租户一一对应的逻辑防火墙单元，各逻辑防火墙单元分别连接置于硬件防火墙的各个物理网卡，部分物理网卡连接运行虚拟机的服务器群集中的物理网卡，部分物理网卡通过二层交换机和三层交换机连接至Network网络。
【附图说明】
[0029]图1是根据本发明第一实施方式的部署结构示意图；
[0030]图2是根据本发明第二实施方式的部署结构示意图；
[0031]图3是根据本发明第三实施方式的部署结构示意图；
[0032]图4是根据本发明第四实施方式的部署结构示意图；
[0033]图5是根据本发明第五实施方式的部署结构示意图；
[0034]图6是根据本发明第六实施方式的部署结构示意图。
【具体实施方式】
[0035]为使本发明的目的、技术方案和优点更加清楚明了，下面结合【具体实施方式】并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。
[0036]图1是根据本发明第一实施方式的部署结构示意图。
[0037]该部署结构适用的场景为租户需要独立的具有路由功能的安全系统，同时租户的识别依赖于虚拟化平台，而不是安全系统。
[0038]如图1所示，云计算网络中南北向流量安全防护部署系统包括:第一服务器群集ClusterA和第二服务器集群ClusterB、二层交换机L2 Switch和三层交换机L3 Switch。
[0039]假设当前云计算平台为两个租户提供服务，为了表述清楚，图1中，椭圆的框线代表为租户1提供服务的资源，矩形的框线代表为租户2提供服务的资源，梯形的框线代表租户1与租户2的共享资源。
[0040]ClusterB包括两台物理服务器Host2和Host3。Host2中，租户1占用了两台虚拟机VM，租户2占用了 1台虚拟机VM。Host3中，租户1占用了 1台虚拟机VM，租户2占用了2台虚拟机VM。
[0041]ClusterA中的物理服务器Hostl中运行了 2台虚拟机VM，每台虚拟机上运行一个虚拟防火墙VFW(Virtual firewal)。两个VFW分别负责监控ClusterB中租户1的VM和租户2的VMo
[0042]ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2 Switch。第二网络转发层包括物理网卡ethO、ethl，逻辑网卡bondO和逻辑网桥brlOO、br200。Host2上的物理网卡ethO、ethl绑定于逻辑网卡bondO，逻辑网卡bondO具有两个逻辑网卡子接口bond0.100和bond0.200，其中bond0.100为租户1提供服务，bond0.200为租户2提供服务。bond0.100连接逻辑网桥brl00，bond0