一种虚拟机运行虚拟防火墙的方法
【专利摘要】本发明实施例提供了一种虚拟机运行虚拟防火墙的方法,能实现在每台虚拟机上运行虚拟防火墙,操作便捷且成本较低。本发明实施例提供的虚拟机运行虚拟防火墙方法,使用时虚拟机上装有可自编译的操作系统,所述方法包括:修改操作系统文件,使之支持虚拟机的磁盘驱动类型,以支持虚拟防火墙镜像的存储及加载;修改操作系统信息显示功能文件,将信息显示端口由串行端口终端修改为虚拟机所使用的控制台终端;自编译生成新的操作系统镜像;修改启动文件引导新的操作系统启动;新的操作系统加载虚拟防火墙镜像文件。
【专利说明】一种虚拟机运行虚拟防火墙的方法
【技术领域】
[0001]本发明涉及网络安全领域,具体涉及一种虚拟机运行虚拟防火墙的方法。
技术背景
[0002]物理防火墙就是指把防火墙程序做到芯片里面,部署在大型网络的出口,抵御网络上的各种攻击,保护各公网、局域网的信息安全。但物理防火墙设备费用高昂,安装复杂,且不符合现今社会对虚拟化办公的要求。
[0003]虚拟机技术指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。通过虚拟机软件,可以在一台物理计算机上模拟出二台或多台虚拟的计算机,这些虚拟机完全就像真正的计算机那样进行工作,已经成功构建各企业的办公、测试环境。虽然有虚拟机系统自带的防火墙,能起到一定的防护作用,但是无法像真实防火墙设备那样操作和查看接口、流量、配置等信息以及运行一些防火墙业务。
【发明内容】
[0004]有鉴于此,本发明实施例提供了一种虚拟机运行虚拟防火墙的方法,能在虚拟机上运行虚拟防火墙,同时还具备查看、操作等功能。
[0005]本发明实施例提供的虚拟机运行虚拟防火墙方法,应用于安装有自编译的操作系统的虚拟机上,所述方法包括:
[0006]修改操作系统文件,使之支持虚拟机的磁盘驱动类型,以支持虚拟防火墙镜像的存储及加载;
[0007]修改操作系统信息显示功能文件,将信息显示端口由串行端口终端修改为虚拟机所使用的控制台终端;
[0008]自编译生成新的操作系统镜像;
[0009]修改启动文件引导新的操作系统启动;
[0010]新的操作系统加载虚拟防火墙镜像文件。
[0011]其中,所述操作系统为linux。
[0012]其中,所述虚拟机为vmware虚拟机。
[0013]其中,所述修改操作系统文件包括:
[0014]运行Iinux 系统指令 make menuconf ig,点选 SCSI device support 下 SCSI disksupport 中的所有选项;同时,点选 SCSI Low-level drivers 中 BusLogic SCSI support 以及 VMware PVSCSI driver support选项;再点选Fusion MPT device support 中的所有选项,使linux系统支持vmware虚拟机磁盘驱动类型,检测到vmware虚拟机的磁盘。
[0015]其中,所述修改操作系统文件进一步包括:
[0016]运行Iinux系统指令fdisk_l查看vmware虚拟机上的磁盘分区情况,然后按照该分区修改Iinux系统etc/init.d/目录下的rcS文件挂载磁盘目录,支持虚拟机磁盘分区。
[0017]其中,所述修改操作系统信息显示功能文件包括:[0018]修改linux系统etc目录下的inittab文件,将Iinux系统信息显示由串行端口终端(/dev/ttySn)修改为vmware虚拟机使用的控制台终端(/dev/ttyn)。
[0019]其中,所述修改启动文件引导新的操作系统启动包括:
[0020]修改vmware虚拟机上Iinux系统grub目录下的menu.1st文件,新增启动项,引导新的操作系统启动。
[0021]本发明实施例公开的在虚拟机上运行虚拟防火墙的方法,通过修改操作系统文件,使之支持虚拟机的磁盘驱动类型,支持虚拟防火墙镜像的加载;以及通过修改操作系统信息显示功能文件,将信息显示端口由串行端口终端修改为虚拟机所使用的控制台终端,这样使得每一个虚拟机上均各自运行虚拟防火墙镜像,并可根据需要在虚拟防火墙的操作界面进行查看、配置等操作,将物理设备的防火墙功能迁移到虚拟机上,实现安全的虚拟化。
【专利附图】
【附图说明】
[0022]图1所示为本发明实施例提供的虚拟机运行虚拟防火墙方法的流程图。
【具体实施方式】
[0023]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0024]图1所示为本发明实施例提供的一种虚拟机运行虚拟防火墙方法的流程图。如图1所示,该方法包括:
[0025]步骤101:修改操作系统文件,使之支持虚拟机的磁盘驱动类型,以支持虚拟防火墙镜像的存储及加载。
[0026]当操作系统为Iinux ;虚拟机为vmware虚拟机时,步骤101为:运行Iinux系统指令 make menuconf ig,点选 SCSI device support 下 SCSI disk support 中的所有选项;同时,点选 SCSI Low-level drivers 中 BusLogic SCSI support 以及 VMware PVSCSIdriver support选项;再点选Fusion MPT device support中的所有选项,使linux系统支持vmware虚拟机磁盘驱动类型,检测到vmware虚拟机的磁盘。
[0027]运行Iinux系统指令fdisk_l查看vmware虚拟机上的磁盘分区情况,然后按照该分区修改Iinux系统etc/init.d/目录下的rcS文件挂载磁盘目录,支持虚拟机磁盘分区。
[0028]本领域技术人员可以理解,检测虚拟机的磁盘是加载虚拟防火墙镜像所必须的,检测磁盘不仅要检测磁盘的分区,还有磁盘的驱动类型。由于虚拟防火墙是运行在重新编译的Iinux系统之上,在该Iinux系统上要挂载磁盘,先要明确虚拟机原来的分区,然后重新编译的Iinux系统按照原来的分区挂载磁盘。这样磁盘挂载正确,防火墙镜像文件才能上传到磁盘中,并永久保存,才能满足防火墙反复重启而不丢失镜像。
[0029]步骤102:修改操作系统信息显示功能文件,将信息显示端口由串行端口终端修改为虚拟机所使用的控制台终端。
[0030]当操作系统为linux,虚拟机为vmware虚拟机时,步骤102为:修改Iinux系统etc目录下的inittab文件,将Iinux系统信息显示由串行端口终端/dev/ttySn修改为vmware虚拟机使用的控制台终端/dev/ttyn。
[0031]这样,虚拟机才能显示重新编译的Iinux系统的启动信息,以及虚拟防火墙操作界面,才能实现在虚拟防火墙的操作界面进行查看、配置等操作。
[0032]步骤103:自编译生成新的操作系统镜像。
[0033]步骤104:修改启动文件引导新的操作系统启动。
[0034]当操作系统为linux,虚拟机为vmware虚拟机时,步骤104为:修改vmware虚拟机上Iinux系统内核的启动文件(文件目录:/boot/grub/menu.1st),新增启动项,引导新的操作系统启动。
[0035]步骤105:新的操作系统加载虚拟防火墙镜像文件。
[0036]本领域技术人员可以理解,所述虚拟防火墙就是可以将一台防火墙在逻辑上划分成多台虚拟的防火墙,每个虚拟防火墙系统都可以被看成是一台完全独立的防火墙设备,可拥有独立的系统资源、管理员、安全策略、用户认证数据库等。
[0037]在本发明一实施例中,所述虚拟防火墙镜像包括驱动模块、接口管理模块、内存管理模块、命令行模块以及防火墙的一些基础业务模块;在驱动模块中部署虚拟网卡驱动在用户态加载,实现vmware虚拟机动态创建虚拟网卡时,均可以自动检测并加载相同个数、相应类型的用户态驱动;这样使虚拟防火墙镜像运行在所编译的操作系统上,收发报文并处理,可以像物理防火墙设备一样进行串口操作、配置下发、信息查看等,实现物理防火墙的安全虚拟化。
[0038]本领域技术人员可以理解,所述操作系统也可以是支持虚拟机和虚拟防火墙的其它自编译系统。
[0039]本领域技术人员可以理解,以上所有的步骤均可以使用程序代码来实现,并不代表实际的实现过程。
[0040]以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换等,均应包含在本发明的保护范围之内。
【权利要求】
1.一种虚拟机运行虚拟防火墙的方法,其特征在于,应用于安装有自编译的操作系统的虚拟机上,所述方法包括: 修改操作系统文件,使之支持虚拟机的磁盘驱动类型,以支持虚拟防火墙镜像的存储及加载; 修改操作系统信息显示功能文件,将信息显示端口由串行端口终端修改为虚拟机所使用的控制台终端; 自编译生成新的操作系统镜像; 修改启动文件引导新的操作系统启动; 新的操作系统加载虚拟防火墙镜像文件。
2.根据权利要求1所述的方法,其特征在于,所述操作系统为linux。
3.根据权利要求2所述的方法,其特征在于,所述虚拟机为vmware虚拟机。
4.根据权利要求3所述的方法,其特征在于,所述修改操作系统文件包括: 运行 Iinux 系统指令 make menuconfig,点选 SCSI device support 下 SCSI disksupport 中的所有选项;同时,点选 SCSI Low-level drivers 中 BusLogic SCSI support 以及VMware PVSCSI driver support选项;再点选Fusion MPT device support 中的所有选项,使Iinux系统支持vmware虚拟机磁盘驱动类型,检测到并驱动vmware虚拟机的磁盘。
5.根据权利要求4所述的方法,其特征在于,所述修改操作系统文件进一步包括: 运行Iinux系统指令fdisk-Ι查看vmware虚拟机上的磁盘分区情况,然后按照该分区修改Iinux系统etc/init.d/目录下的rcS文件挂载磁盘目录,支持虚拟机磁盘分区。
6.根据权利要求3所述的方法,其特征在于,所述修改操作系统信息显示功能文件包括: 修改Iinux系统etc目录下的inittab文件,将Iinux系统信息显示由串行端口终端/dev/ttySn修改为vmware虚拟机使用的控制台终端/dev/ttyn。
7.根据权利要求3至6任一所述的方法,其特征在于,所述修改启动文件弓I导新的操作系统启动包括: 修改vmware虚拟机上Iinux系统grub目录下的menu.1st文件,新增启动项,引导新的操作系统启动。
【文档编号】G06F21/53GK103632090SQ201310542134
【公开日】2014年3月12日 申请日期:2013年11月4日 优先权日:2013年11月4日
【发明者】高福亮 申请人:天津汉柏信息技术有限公司