专利名称:一种虚拟安全设备的部署配置方法及系统的制作方法
技术领域:
本发明涉及虚拟安全技术,尤其涉及一种虚拟安全设备的部署配置方法及系统。
背景技术:
随着信息 技术的发展,计算和网络等设备已经成为我们工作生活中不可或缺的信息基础设施。大量的企事业单位已经建立了数据中心为自己开展的业务提供计算支持。同时,为了适应日益增长的业务需求,这些数据中心也在不断的扩张。然而,相关统计却显示这些数据中心的资源利用率却较低。如何实现资源的共享和协同,提高资源利用率是当前产业界和研究人员关心的核心问题之一。虚拟化的出现为解决这一难题提供了重要的技术手段。以虚拟机和网络虚拟化为代表的虚拟化技术分别从计算资源和网络资源的角度对资源进行虚拟化,支持对资源的封装、分割、隔离以及动态的分配与管理,为实现异构、分布资源的共享和协同提供了技术支撑。正是虚拟化技术的这些良好特性,它正逐渐地被众多的数据中心大量采用。虚拟化技术在带来了诸多便利与好处的同时,也给系统管理和系统安全带来了许多挑战。首先,虚拟机天然具备良好的动态性,其创建、部署和迁移都十分便利。传统的物理机是静态的,所处的环境相对固定。对其进行安全保护相对容易,发生故障或出现安全问题后较容易定位,隔离起来也比较方便。与之对应,虚拟机动态性强,它可以动态创建、销毁以及在多个宿主机之间迁移,其所处的网络环境也随着虚拟机的变化而动态变化。虚拟机的动态性增加了管理配置的难度,特别是当虚拟机所处环境发生变化时,其安全策略和配置都需要做相应的调整。其次,虚拟化技术对网络结构有着重大的影响。在传统计算环境下,网络边界明确,安全域界限较容易划分,安全产品的部署点和加固安全的防护点都有确定的位置。而在虚拟计算环境下,虚拟网络技术模糊了网络边界。例如,虚拟网络技术可以将分处于不同物理网络中的设备组成同一个虚拟网络,传统依据物理网络边界划分安全域的方法在虚拟计算环境下需要改变。又如,虚拟交换机将原本在主机之外的报文交换转移到宿主机内部进行,部署在物理交换机上的安全策略无法作用于同一宿主机内虚拟机间的通信。因此,在虚拟计算环境下,为了保护系统的安全,需要能够对虚拟机特别是虚拟的安全设备进行动态部署、管理和配置。当前的科学研究和企业界的产品在这一方向上都做了大量的工作。VMWare云计算套件vSphere中的vCenter组件采取集中的方式对虚拟机进行部署和管理。通过vCenter统一的管理界面,管理员可以对所有vCenter管辖的虚拟机进行操作,而无需逐一登陆到被管理的虚拟机上,给管理带来了极大的便利性。此外,VMWare还提供了一种虚拟数据中心的安全架构vShield,用于保护vCenterServer和ESX/ESXi主机,提供端到端的云安全。vShield组件包括vShield App>vShield Edge、vShield Endpoint 和 vShield Manager 等。vShield App 本质上是分析虚拟网络流量的虚拟防火墙,它主要保护的是虚拟系统内的安全,其对象是多个虚拟机中程序组成的应用。vShield Edge为虚拟数据中心的边缘提供安全服务,其主要对象是ESX/ESXi主机。vShieldEndpoint则主要加强每台虚拟机的安全,它是每个虚拟机中的反病毒代理,将反病毒的功能交给由反病毒厂商提供的安全VM处理。vShield Manager是vShield安全套件的管理组件,它可以集中管理和配置vShield的其它安全组件,从而控制整个vCenter环境的安全性。在开源的社区中存在着于与VMWare vSphere组件功能类似的产品。oVirt是一个专注于Iinux系统的KVM虚拟化的项目,为主机和客户机提供特性丰富且功能强大的虚拟化管理系统,但安全方面的功能它涉及不多。OpenStack是一个开源的云平台管理项目,由多个组件构成,可以对计算、存储管理、网络等方面进行支持,但它对虚拟计算环境下的安全支持同样不足。Open vSwitch是一个虚拟化的交换机,通常用于虚拟机组网。针对网络安全问题,Open vSwitch提供虚拟的防火墙,可以配置ACL策略对数据包进行过滤。本发明的发明人在实现本发明的过程中,发现当前的产品主要存在着如下问题。首先,现有产品对虚拟化安全的支持十分有限且是封闭的。大部分产品专注于虚拟机管理,缺乏对虚拟化安全的支持。即使产品对虚拟化提供安全支持,也只能使用该厂商所提供的安全功能,不能方便地将其它厂商的安全产品集成进来,扩展性差。其次,现有的产品和解决方案中,通常虚拟机管理平台和安全管理平台之间的协同性较差,不能很好地将虚拟机管理和安全管理很好的结合起来,不便于安全设备的集中部署、配置和管理。
发明内容
本发明所要解决的技术问题是克服目前虚拟化技术对安全的支持较为有限且扩展性较差以及安全设备的集中管理能力有待提高的不足。为了解决上述技术问题,本发明提供了一种虚拟安全设备的部署配置系统,包括安全管理配置中心,以及与该安全管理配置中心相连的虚拟化管理中心及虚拟安全产品器件库,其中虚拟安全产品器件库中设置为存储虚拟机形态的虚拟安全设备;安全管理配置中心,设置为从该虚拟化管理中心获取虚拟计算环境的拓扑信息,从该虚拟安全产品器件库获取可以参与部署的虚拟安全设备的设备信息,将该拓扑信息及设备信息展示给用户;接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备;根据该需要部署的虚拟安全设备的类型引导用户输入部署参数,根据该部署参数生成配置文件;调用该虚拟化管理中心对该需要部署的虚拟安全设备进行部署,并根据该配置文件对该需要部署的虚拟安全设备进行配置。优选地,该安全管理配置中心包括交互接口模块、用户交互模块、用户向导模块、安全服务管理代理模块以及管理配置服务模块,其中用户交互模块,设置为通过该交互接口模块从该虚拟化管理中心获取该拓扑信息,从该虚拟安全产品器件库获取该设备信息,将该拓扑信息及设备信息展示给用户,接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备以及相应的拓扑结构和拓扑位置;用户向导模块,设置为根据该需要部署的虚拟安全设备的类型以及该拓扑结构和拓扑位置引导用户输入部署参数,根据该部署参数生成配置文件;管理配置服务模块,设置为通过该交互接口模块调用该虚拟化管理中心的应用程序接口对该需要部署的虚拟安全设备进行部署,并根据该配置文件通过该安全服务管理代理模块对该需要部署的虚拟安全设备进行配置;安全服务管理代理模块,设置为通过内网访问方式访问需要部署虚拟安全设备的安全服务控制台。优选地,该需要部署的虚拟安全设备的安全服务管理接口被配置成内网地址,该安全服务管理代理模块设置为与该需要部署的虚拟安全设备的安全服务管理接口相连,通过接入代理的方式连接到该需要部署的虚拟安全设备的安全服务控制台,以内网访问方式访问该需要部署的虚拟安全设备,对该需要部署的虚拟安全设备的安全服务进行配置。优选地,该安全管理配置中心通过存储区域网络协议或者互联网小型计算机系统接口协议与该虚拟安全产品器件库相连。本申请还提供了一种虚拟安全设备的部署配置方法,该方法包括安全管理配置中心从该虚拟化管理中心获取虚拟计算环境的拓扑信息,从虚拟安全产品器件库获取可以参与部署的虚拟安全设备的设备信息,将该拓扑信息及设备信息展示给用户;该安全管理配置中心接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备; 该安全管理配置中心根据该需要部署的虚拟安全设备的类型引导用户输入部署参数,根据该部署参数生成配置文件;该安全管理配置中心调用该虚拟化管理中心对该需要部署的虚拟安全设备进行部署,并根据该配置文件对该需要部署的虚拟安全设备进行配置;其中,该虚拟安全产品器件库中设置为存储虚拟机形态的虚拟安全设备。优选地,该安全管理配置中心接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备,包括该安全管理配置中心接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备以及相应的拓扑结构和拓扑位置;该安全管理配置中心根据该需要部署的虚拟安全设备的类型引导用户输入部署参数,根据该部署参数生成配置文件,包括该安全管理配置中心根据该需要部署的虚拟安全设备的类型以及该拓扑结构和拓扑位置引导用户输入部署参数,根据该部署参数生成配置文件。优选地,该安全管理配置中心调用该虚拟化管理中心对该需要部署的虚拟安全设备进行部署,包括该安全管理配置中心调用该虚拟化管理中心的应用程序接口对该需要部署的虚拟安全设备进行部署。优选地,该安全管理配置中心根据该配置文件对该需要部署的虚拟安全设备进行配置,包括该安全管理配置中心通过接入代理的方式连接到该需要部署的虚拟安全设备的安全服务控制台,对该需要部署的虚拟安全设备的安全服务进行配置。优选地,该安全管理配置中心设置为通过内网访问方式访问该需要部署的虚拟安全设备安全服务控制台,包括该需要部署的虚拟安全设备的安全服务管理接口被配置成内网地址,该安全管理配置中心与该需要部署的虚拟安全设备的安全服务管理接口相连,通过内网访问方式访问该需要部署的虚拟安全设备安全服务控制台,进行安全服务配置。优选地,该安全管理配置中心通过存储区域网络协议或者互联网小型计算机系统接口协议与该虚拟安全产品器件库相连。与现有技术相比,本申请的实施例中,虚拟安全设备能够进行自动部署,使得虚拟计算环境可以拥有良好的扩展性,可以方便地将第三方的安全产品部署到现有的虚拟计算环境中。本申请的实施例可以与现有的虚拟机管理平台紧密结合,实现虚拟安全产品的自动部署、集中管理和便捷配置。本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。图1为本申请实施例的虚拟安全设备的部署配置系统的构造示意图。图2为图1所示实施例中安全管理配置中心的构造示意图。图3为本申请 实施例的虚拟安全设备的部署配置方法的流程示意图。图4为图3实施例中虚拟安全设备的安全服务配置过程的流程示意图。
具体实施例方式以下将结合附图及实施例来详细说明本发明的实施方式,借此对本发明如何应用技术手段来解决技术问题,并达成技术效果的实现过程能充分理解并据以实施。本申请实施例以及实施例中的各个特征在不相冲突前提下的相互结合,均在本发明的保护范围之内。另外,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。本申请实施例的虚拟安全设备的部署配置方法,适合于虚拟化计算环境,例如VMWare vSphere所构建的虚拟计算环境,但不局限于上述环境。当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明的权利要求的保护范围。如附图1所示,本申请实施例的虚拟安全设备的部署配置系统,包括安全管理配置中心120,以及与该安全管理配置中心120相连的虚拟化管理中心110及虚拟安全产品器件库130。虚拟安全产品器件库130中设置为存储虚拟机形态的虚拟安全设备。安全管理配置中心110设置为从该虚拟化管理中心110获取虚拟计算环境的拓扑信息,从该虚拟安全产品器件库130获取可以参与部署的虚拟安全设备的设备信息,将该拓扑信息及设备信息展示给用户。接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备以及相应的拓扑结构和拓扑位置。根据该需要部署的虚拟安全设备的类型以及该拓扑结构和拓扑位置,引导用户输入部署参数,根据该部署参数生成配置文件。调用该虚拟化管理中心的应用程序接口进行该需要部署的虚拟安全设备的部署,并根据该配置文件对该需要部署的虚拟安全设备进行配置,并提供配置虚拟安全设备安全服务的接口。本申请的实施例中,安全管理配置中心 120与虚拟化计算环境的集中控制模块虚拟化管理中心110通过其公开的API进行连接和交互。虚拟化管理中心110设置为主要完成虚拟机相关的管理配置等工作,安全管理配置中心120设置为主要完成安全管理配置相关的工作。本申请的实施例中,虚拟安全设备以虚拟机形态存储在虚拟安全产品器件库130中。安全管理配置中心120通过公开的协议,如存储区域网络(SAN)协议或者互联网小型计算机系统接口(iSCSI)协议等,与虚拟安全产品器件库130相连。本申请的实施例保证了虚拟计算环境的独立性。利用本申请的实施例在现有的虚拟计算环境中添加安全功能,无需对现有环境进行修改,便于系统的扩展与升级。如附图2所示,安全管理配置中心120主要包括有管理配置服务模块210、交互接口模块220、用户交互模块230、用户向导模块240和安全服务管理代理模块250等。管理配置服务模块210是安全管理配置中心120的核心模块,主要完成虚拟安全设备自动部署配置的主要功能,与交互接口模块220、用户交互模块230、用户向导模块240和安全服务管理代理模块250相连,其它四个模块协助管理配置服务模块210工作。其设置为通过该交互接口模块调用该虚拟化管理中心的应用程序接口进行该需要部署的虚拟安全设备的部署和虚拟安全设备的配置,并通过安全服务管理代理模块250提供对需要部署虚拟安全设备的安全服务控制台的访问,供用户对虚拟安全设备的安全服务进行配置。交互接口模块220,与虚拟化管理中心110、虚拟安全产品器件库130、用户交互模块230及安全服务管理代理模块250相连,设置为主要完成安全管理配置中心120与外界的通信,如调用虚拟化管理中心110的功能、访问虚拟安全产品器件库130等,其通过虚拟化管理中心110对外公开的API与虚拟化管理中心110进行交互,通过公开的网络协议与虚拟安全产品器件库130进行交互。用户交互模块230,与用户向导模块250相连,设置为用户交互模块,设置为通过该交互接口模块220从该虚拟化管理中心110获取该拓扑信息,从该虚拟安全产品器件库130获取该设备信息,将该拓扑信息及设备信息展示给用户,接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备以及相应的拓扑结构和拓扑位置。用户向导模块240,设置为根据该需要部署的虚拟安全设备的类型以及该拓扑结构和拓扑位置,引导用户输入部署参数,根据该部署参数生成配置文件。其根据需要操作的虚拟安全设备的类型,比如设置为通过该交互接口模块调用该虚拟化管理中心的应用程序接口进行该需要部署的虚拟安全设备的部署,并根据该配置文件通过该安全服务管理代理模块对该需要部署的虚拟安全设备进行配置;虚拟入侵检测系统(vIDS)、虚拟统一威胁管理(vUTM)等,向用户提供不同的向导,辅助用户完成虚拟安全设备的管理配置,便于用户根据向导完成输入,根据用户的输入生成配置文件发送给管理配置服务模块210。其是用户管理配置虚拟安全设备的辅助模块,提供一种简单、直观的管理配置参数的设置方式,一旦参数采集完成,生成配置文件,由管理配置服务模块210根据配置文件自动完成相关的管理和配置。安全服务管理代理模块250,是虚拟安全设备安全服务配置的代理,虚拟安全设备的安全服务管理接口设置为内网地址,从外网无法访问虚拟安全设备的安全服务控制台(或者称之为安全服务管理配置中心)。通过安全服务配置代理模块250提供的接入代理,连接到虚拟安全设备的安全服务控制台,对虚拟安全设备的安全服务进行配置。本申请的实施例中,访问虚拟安全设备的安全服务控制台需要经由安全服务管理代理模块250进行转发。本申请的实施例中,虚拟安全设备的安全服务管理接口配置成内网地址,通过安全服务管理代理模块250进行内部访问,而从外部无法访问,增强了安全性。当虚拟计算环境中部署大量的虚拟安全设备时,如果每个虚拟安全设备的安全服务管理接口都配置一个公网IP地址,则会消耗大量的IP地址。本申请的实施例通过安全服务管理代理模块250的代理访问,将虚拟安全设备的安全服务管理接口配置成内网接口,相比现有技术节省了大量的IP地址。如附图3所示,本申请实施例的虚拟安全设备的部署配置方法主要包括如下内容。步骤S310,安全管理配置中心中的用户交互模块通过交互接口模块从虚拟化管理中心获取虚拟计算环境的拓扑信息,从虚拟安全产品器件库获取可以参与部署的虚拟安全设备的设备信息,并将该 拓扑信息及设备信息通过用户交互模块友好地展示给用户。步骤S320,用户根据自己的安全需求,通过安全管理配置中心中的用户交互模块选择需要部署的虚拟安全设备以及相应的拓扑结构和拓扑位置等,用户交互模块接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备以及相应的拓扑结构和拓扑位置。步骤S330,安全管理配置中心中的用户向导模块根据需要部署的虚拟安全设备的类型以及该拓扑结构和拓扑位置,调用相应的向导流程,引导用户输入部署参数,协助用户完成部署参数的输入,在向导完成后根据用户输入的部署参数生成用于部署的配置文件。步骤S340,安全管理配置中心中的管理配置服务模块通过交互接口模块调用虚拟化管理中心的API,对需要部署的虚拟安全设备进行部署,并根据步骤S330中生成的配置文件,对虚拟安全设备进行配置。虚拟安全设备的安全服务管理接口配置成内网地址,管理配置服务通过安全服务管理代理模块提供访问虚拟安全设备的安全服务控制台,供用户对虚拟设备的安全服务进行配置。本申请的实施例中,所获取的配置文件主要包括虚拟安全设备的类型、虚拟安全设备的网络配置参数和虚拟安全设备的安全服务管理接口等信息。虚拟安全设备的类型不同,部署时所需的参数也会有所不同,因此生成的部署配置文件也不同。本申请的实施例中,部署参数主要包括需要部署的虚拟安全设备的类型、部署的拓扑位置、虚拟安全设备的网络配置和虚拟安全设备的安全服务管理接口等。用户通过用户交互模块选定要部署的虚拟安全设备和部署的拓扑位置,安全管理配置中心依据安全设备类型选用相应的用户向导模块获取其它配置参数。向导完成后,生成XML格式的配置文件共管理配置服务模块调用。本申请的实施例中,将虚拟安全设备的配置分为虚拟安全设备的网络配置和虚拟安全设备的安全服务配置两大部分。虚拟安全设备以虚拟机形态存在,其网络配置属于虚拟机管理相关的功能,由安全管理配置中心调用虚拟化管理中心的功能完成。虚拟安全设备安全服务配置用于设置虚拟安全设备的安全服务,以便其发挥自身的安全功能,这部分配置属于安全管理配置相关的功能,由安全管理配置中心来完成。安全设备安全服务配置需要访问虚拟安全设备的安全服务管理接口进行配置。本发明实施例中将虚拟安全设备的安全服务管理接口都配置成内网地址,从外部无法访问。如此处理可以防止外部直接访问虚拟安全设备的安全服务管理接口,加强了对虚拟安全设备的保护。同时,也节省了公网IP地址。在虚拟计算环境中可以按需部署安全设备,如果每个安全设备的安全服务管理接口都配置公网IP,会消耗大量的IP地址资源。管理员需要配置虚拟安全设备的安全服务时,需要经由安全管理配置中心的安全服务管理代理转发才能访问虚拟安全设备安全服务控制台。虚拟安全设备的安全服务管理接口配置成内网地址,访问虚拟安全设备管理接口需要经过安全服务管理代理转发。如附图4所示,本申请的实施例中,虚拟安全设备的安全服务配置过程主要包括如下内容。步骤S410,安全管理配置中心接收用户的登录。步骤S420,安全管理配置中心接收用户通过用户交互模块选择的要进行配置的虚拟安全设备。步骤S430,安全管理配置中心切换用户交互界面到管理视图,通过安全管理配置中心提供的访问接口,经由安全服务管理代理模块连接到虚拟安全设备的安全服务控制台。步骤S440,安全管理配置中心接受身份权限验证,认证通过后由虚拟安全设备的安全服务控制台进行虚拟安全设备安全服务配置。现有技术中虚拟安全设备的部署通常需要进行一系列配置,十分繁琐且不便于管理人员记忆和操作。本申请的实施例通过用户向导,降低了操作的复杂程度,简化了配置流程,提高了配置效率。本领域的技术人员应该明白,上述的本申请实施例所提供的系统的各组成部分,以及方法中的各步骤,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上。可选地,它们可以用计算装置可执行的程序代码来实现。从而,可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化, 但本发明的专利保护范围,仍须以所附的权利要求书所界定的范围为准。
权利要求
1.一种虚拟安全设备的部署配置系统,包括安全管理配置中心,以及与该安全管理配置中心相连的虚拟化管理中心及虚拟安全产品器件库,其中 虚拟安全产品器件库中设置为存储虚拟机形态的虚拟安全设备; 安全管理配置中心,设置为从该虚拟化管理中心获取虚拟计算环境的拓扑信息,从该虚拟安全产品器件库获取可以参与部署的虚拟安全设备的设备信息,将该拓扑信息及设备信息展示给用户;接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备;根据该需要部署的虚拟安全设备的类型引导用户输入部署参数,根据该部署参数生成配置文件;调用该虚拟化管理中心对该需要部署的虚拟安全设备进行部署,并根据该配置文件对该需要部署的虚拟安全设备进行配置。
2.根据权利要求1所述的系统,其中,该安全管理配置中心包括交互接口模块、用户交互模块、用户向导模块、安全服务管理代理模块以及管理配置服务模块,其中 用户交互模块,设置为通过该交互接口模块从该虚拟化管理中心获取该拓扑信息,从该虚拟安全产品器件库获取该设备信息,将该拓扑信息及设备信息展示给用户,接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备以及相应的拓扑结构和拓扑位置; 用户向导模块,设置为根据该需要部署的虚拟安全设备的类型以及该拓扑结构和拓扑位置引导用户输入部署参数,根据该部署参数生成配置文件; 管理配置服务模块,设置为通过该交互接口模块调用该虚拟化管理中心的应用程序接口对该需要部署的虚拟安全设备进行部署,并根据该配置文件对该需要部署的虚拟安全设备进行配置;通过该安全服务管理代理模块对该需要部署的虚拟安全设备的安全服务进行配置; 安全服务管理代理模块,设置为通过内网访问方式访问需要部署虚拟安全设备的安全服务控制台。
3.根据权利要求2所述的系统,其中 该需要部署的虚拟安全设备的安全服务管理接口被配置成内网地址,该安全服务管理代理模块设置为与该需要部署的虚拟安全设备的安全服务管理接口相连,通过接入代理的方式连接到该需要部署的虚拟安全设备的安全服务控制台,对该需要部署的虚拟安全设备的安全服务进行配置。
4.根据权利要求1所述的系统,其中 该安全管理配置中心通过存储区域网络协议或者互联网小型计算机系统接口协议与该虚拟安全产品器件库相连。
5.一种虚拟安全设备的部署配置方法,该方法包括 安全管理配置中心从该虚拟化管理中心获取虚拟计算环境的拓扑信息,从虚拟安全产品器件库获取可以参与部署的虚拟安全设备的设备信息,将该拓扑信息及设备信息展示给用户; 该安全管理配置中心接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备; 该安全管理配置中心根据该需要部署的虚拟安全设备的类型引导用户输入部署参数,根据该部署参数生成配置文件;该安全管理配置中心调用该虚拟化管理中心对该需要部署的虚拟安全设备进行部署,并根据该配置文件对该需要部署的虚拟安全设备进行配置; 其中,该虚拟安全产品器件库中设置为存储虚拟机形态的虚拟安全设备。
6.根据权利要求5所述的方法,其中 该安全管理配置中心接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备,包括该安全管理配置中心接收用户根据该拓扑信息及设备信息选择需要部署的虚拟安全设备以及相应的拓扑结构和拓扑位置; 该安全管理配置中心根据该需要部署的虚拟安全设备的类型引导用户输入部署参数,根据该部署参数生成配置文件,包括该安全管理配置中心根据该需要部署的虚拟安全设备的类型以及该拓扑结构和拓扑位置引导用户输入部署参数,根据该部署参数生成配置文件。
7.根据权利要求5所述的方法,其中,该安全管理配置中心调用该虚拟化管理中心对该需要部署的虚拟安全设备进行部署,包括 该安全管理配置中心调用该虚拟化管理中心的应用程序接口对该需要部署的虚拟安全设备进行部署。
8.根据权利要求5所述的方法,其中,该安全管理配置中心根据该配置文件对该需要部署的虚拟安全设备进行配置,包括 该安全管理配置中心通过接入代理的方式连接到该需要部署的虚拟安全设备的安全服务控制台,对该需要部署的虚拟安全设备的安全服务进行配置。
9.根据权利要求8所述的方法,其中,该安全管理配置中心设置为通过内网访问方式访问该需要部署的虚拟安全设备安全服务控制台,包括 该需要部署的虚拟安全设备的安全服务管理接口被配置成内网地址,该安全管理配置中心与该需要部署的虚拟安全设备的安全服务管理接口相连,通过内网访问方式访问该需要部署的虚拟安全设备安全服务控制台,进行安全服务配置。
10.根据权利要求5所述的方法,其中 该安全管理配置中心通过存储区域网络协议或者互联网小型计算机系统接口协议与该虚拟安全产品器件库相连。
全文摘要
本发明公开了一种虚拟安全设备的部署配置方法及系统,克服目前虚拟化技术对安全的支持较为有限以及安全设备的集中管理能力有待提高的不足,该系统中的安全管理配置中心从虚拟化管理中心获取虚拟计算环境的拓扑信息,从虚拟安全产品器件库获取可参与部署的虚拟安全设备的设备信息,将拓扑信息及设备信息展示给用户;接收用户选择需要部署的虚拟安全设备;根据需要部署的虚拟安全设备的类型引导用户输入部署参数并生成配置文件;调用虚拟化管理中心对需要部署的虚拟安全设备进行部署,并根据配置文件对需要部署的虚拟安全设备进行配置。本发明的实施例可与现有的虚拟机管理平台紧密结合,实现虚拟安全产品的自动部署、集中管理和便捷配置。
文档编号H04L29/06GK103067380SQ20121057675
公开日2013年4月24日 申请日期2012年12月26日 优先权日2012年12月26日
发明者刘新刚, 叶润国, 李陟, 汪宏 申请人:北京启明星辰信息技术股份有限公司, 北京启明星辰信息安全技术有限公司