涉及虚拟机流量防火墙的系统和处理与虚拟机流量防火墙相关的信息的方法
【专利摘要】公开了涉及计算节点的系统和方法,所述计算节点被配置成定义和/或者处理与一个或多个虚拟机相关的信息。在一个示例性实施例中,计算节点可被配置成启用所述虚拟机和网络的至少一部分之间的防火墙。另外,所述防火墙可被配置成基于与所述虚拟机和所述网络之间的通信相关联的规则列表或以太网桥表来检测不期望的流量。各种特征也可涉及被配置成响应于所述防火墙检测到与虚拟机相关的不期望的流量而锁定虚拟机的计算节点。
【专利说明】涉及虚拟机流量防火墙的系统和处理与虚拟机流量防火墙相关的信息的方法
[0001]相关申请的交叉引用
[0002]本申请基于2012年2月20日提交的美国临时专利申请N0.61/600,816,且享有该美国临时专利申请的申请日的权益。该申请的全部内容在此通过引用方式而全文并入本文中。
【技术领域】
[0003]本公开大体针对涉及虚拟机流量防火墙的系统和方法。
【专利附图】
【附图说明】
[0004]构成本说明书一部分的【专利附图】
【附图说明】本文的创新的各种实施例和方面,所述附图与说明书一起帮助说明本发明的原理。在附图中:
[0005]图1是根据所公开的实施例的虚拟机防火墙系统的框图。
[0006]图2是示出根据所公开的实施例的操作虚拟机防火墙系统的方法的流程图。
[0007]图3是示出根据所公开的实施例的操作虚拟机防火墙系统的另一方法的流程图。
[0008]图4是示出根据所公开的实施例的操作虚拟机防火墙系统的又一方法的流程图。
[0009]图5是示出根据所公开的实施例的操作虚拟机防火墙系统的再一方法的流程图。
[0010]图6是示出根据实施例的操作虚拟机防火墙系统的方法的流程图。
【具体实施方式】
[0011]现在将详细参照本发明,在附图中示出本发明的示例。在下面的描述中提出的实施例不代表与要求保护的发明相一致的所有实施例。相反,它们只是与本发明所涉及的某些方面相一致的一些示例。在任何可能的情况下,贯穿附图将使用相同的附图标记来标识相同或相似的部件。
[0012]根据本创新的方面,本文的系统可涉及一种包括计算节点的设备,所述计算节点被配置成定义和/或执行与虚拟机有关的处理。所述计算节点可被配置成启用虚拟机和网络的至少一部分之间的防火墙。所述防火墙可被配置成例如,基于规则来检测不期望的流量,诸如恶意攻击或欺骗攻击,所述规则诸如与虚拟机和所述网络的所述至少一部分之间的通信相关联的以太网桥表。在本文中使用的以太网桥表包括一个或多个防火墙进程、组件和/或规则列表,所述规则列表应用一组可配置的规则来检查、修改、重路由、丢弃或者检查和/或修改在网络堆栈的数据链路层传递的流量。此类修改和检查可包括影响网络堆栈的较高层的变更,诸如较高层路由、源和/或目标地址或任何其他数据包内容,因为它们在网络上被交换或被发送到系统中的任一网络或从系统中的任一网络被接收。虽然上面内容本身可通过‘以太网桥表’被执行,但是本文的其他实施例可通过更通用的‘规则列表’来执行此种处理。在这种检测之后,在一些实施例中,计算节点可被配置成响应于防火墙检测到虚拟机的欺骗攻击而锁定虚拟机。
[0013]根据本创新的其他方面,本文的方法可涉及处理关于计算节点和相关防火墙的信息,所述防火墙被配置成检测和阻止涉及一个或多个网络的不期望流量。
[0014]如下所述,本文的虚拟机防火墙系统和方法可被用于锁定虚拟机和/或停止或阻止从虚拟机到网络的流量。图1示出示例性虚拟机防火墙系统100的框图。系统100包括计算节点110、交换机130、计算节点110’、网络140、网络管理器组件150、管理组件160,该计算节点110包括虚拟机120、虚拟机120’、防火墙132和以太网桥表134。根据本文的实施例,计算节点110可被配置成定义虚拟机120以及启用防火墙132。
[0015]计算节点110可以是配置成在网络140内部发送数据和/或发送数据到网络140外部和/或接收来自网络140内部的数据和/或网络140外部的数据的任一类型的装置。例如,在一些实施例中,计算节点110可被配置成起到虚拟机主机、服务器装置(如网页服务器装置)、网络管理装置、数据储存库和/或者类似物的作用。计算节点110被配置成,基于从另一计算节点、网络管理器装置150或者防火墙和/或交换机130接收到的命令、指令和/或其它指示,来添加、移除、锁定、修改和/或编辑虚拟机和/或防火墙。具体地,计算节点110可被配置成基于例如来自网络管理器装置150的命令定义虚拟机120。计算节点110可通过交换机130启用和/或定义防火墙132,或可指示交换机130启用和/或定义防火墙132。计算节点110包括物理端口 122,所述物理端口 122配置成可操作地将计算节点110连接至交换机130。物理端口 122可包括任何数目的虚拟端口来将计算节点110的组件可操作地连接至交换机130。在此类实施例中,防火墙132能经由物理端口 122的虚拟端口而可操作地连接至交换机130。
[0016]与本文的各种实施例一致,计算节点110可包括至少一个存储器136A、一个或多个处理器/处理元件138A和/或其它组件142A。存储器136A可以是例如随机存取存储器(RAM)、存储缓冲器、硬盘驱动器、数据库、可擦可编程只读存储器(EPROM)、电可擦只读存储器(EEPROM)、只读存储器(ROM)等。在某些实施例中,计算节点110的存储器136A包括用于定义虚拟机和/或启用防火墙的数据。在某些实施例中,所述存储器存储用以使处理器执行与系统100相关联的模块、进程和/或功能的指令。
[0017]计算节点110的(一个或多个)处理器138A可以是被配置成运行和/或执行系统100的任何合适的处理装置。在某些实施例中,此种处理器可以是通用处理器、现场可编程门阵列(FPGA)、专用集成电路(ASIC)、数字信号处理器(DSP)和/或类似物。此外,该处理器可被配置成执行用以操作系统100的模块、功能和/或进程。
[0018]在某些实施例中,计算节点110和计算节点110’可操作被配置成定义管理器-代理关系的软件和/或硬件元素。在这样的实施例中,计算节点110’可操作管理器软件和/或硬件,诸如,配置成能使客户、网络管理器150和/或其他管理组件160在网络140内请求和/或预配置(provis1n)虚拟机的程序。在这些实施例中,计算节点110可操作代理软件和/或硬件,例如被配置成使计算节点能定义虚拟机、防火墙、表等的程序。这样的元素可通过其它组件142A体现或被分布在系统内的各种其它位置中。替选地,诸如网络管理器150、管理组件160等的位于网络外的实体可被配置成,在这样的管理器-代理关系或其他情况下,执行本文中提出的各类管理或其他创新特征(或者处理与执行相关的信息)。
[0019]参阅图1的说明性系统,计算节点110可操作地连接至交换机130。交换机130可被配置成将计算节点110连接到网络140内的一个或多个其它计算节点和/或通信设备,和/或将计算节点110连接到另一网络内的一个或多个计算节点和/或通信设备。按照这样的方式,交换机130可被配置成将虚拟机120可操作地连接到设置在网络140内或另一网络内的任意数量的其它计算节点和/或通信设备上的其它虚拟机。交换机130可包括被配置成将计算节点110可操作地连接至交换机130的物理端口 136,且可包括虚拟端口(图未示),所述虚拟端口被配置成将计算节点110的组件(例如虚拟机120)经由防火墙132连接至所述交换机130。
[0020]计算节点110包括一个或多个以太网桥表134。在此,举例而言,以太网桥表134可包括,与计算节点110、虚拟机120和通过物理端口和/或虚拟端口可操作地连接至交换机130的其他计算节点以及与所述其他计算节点相关联的虚拟机之间的通信相关联的转发数据。在某些实施例中,可例如通过侦测网络140内的洪水流量来定义和/或构成以太网桥表134。在某些实施例中,计算节点110可包括可被配置成包括或存取以太网桥表134的基于软件的桥和/或交换机。在这些实施例中,桥和/或交换机可被配置成转发、而不是路由数据包。
[0021]计算节点110也可包括防火墙132的一部分或全部。进一步地,此处的防火墙132可以是硬件和/或软件(例如,存储于存储器中和/或在处理器上执行)的组合,所述硬件和/或软件被配置成:(I)监测通过交换机130的流量,(2)检测不期望的流量,比如恶意流量、欺骗攻击、错误配置的或失效的虚拟机等,和/或(3)根据以太网桥表134阻止来自源和/或去往目的地的流量。本文使用的不期望的流量是指,因一种或多种原因要被禁止的流量,比如该流量是恶意的(如欺骗攻击等)和/或该流量是错误配置的、失效的或出故障的虚拟机造成的结果。除了其它方面之外,后者的例子包括过度聊天登录系统、诸如比特流(bit-torrent)的禁用协议,正发送无效数据包或者使网络泛洪(flooding)的错误配置的虚拟机。
[0022]防火墙132可以是无状态防火墙,例如在活动会话期间不维持状态信息的防火墙。防火墙132也可以被配置成,响应于检测到的来自于虚拟机120的不期望的流量自动锁定虚拟机120,和/或可被配置成响应于检测到的来自虚拟机120的攻击,响应于来自计算节点110的命令而锁定虚拟机120。根据本发明的各种实施例,防火墙132可被配置成检测各种特定的恶意流量,例如,介质访问控制(MAC)欺骗、因特网协议(IP)地址欺骗、动态主机配置协议(DHCP)欺骗、流氓DHCP服务器、地址解析协议(ARP)欺骗、ARP中毒以及其他相关攻击。定义防火墙132的过程可包括定义以太网桥表134使得除了广播数据包之夕卜,只允许从虚拟机的介质访问控制(MAC)地址发送过来的数据包。防火墙132可被配置成例如允许DHCP请求和虚拟机响应,且可被配置成终止和/或阻止来自虚拟机的DHCP请求。防火墙132可被配置成检查DHCP数据包报头以确定DHCP数据包的地址是否有效。防火墙132可被配置成锁定以太网桥表134,以仅传送数据包至与有效的DHCP地址有关联的IP地址,以及传送来自与有效的DHCP地址有关联的IP地址的数据包。在此类实施例中,防火墙132可锁定以太网桥表134以仅转发来自该IP地址的ARP数据包。
[0023]在本文的各种创新中,防火墙132可被配置成监测和/或过滤链路层(即,第2层)的流量。根据一些实施例,例如,在转发期间、但在路由之前,防火墙132可监测和/或过滤虚拟机流量。以此方式,不期望的流量,诸如恶意攻击流量,可在其到达交换机130或计算节点110中的另一虚拟机(例如,虚拟机120’ )之前,在虚拟硬件层面(例如,虚拟机层面)被丢弃。防火墙132可通过执行例如深度数据包检查使用链路层信息(诸如,MAC地址)或使用其它信息(诸如,IP地址,DHCP地址等)例如在路由之前监测和/或过滤链路层的流量。防火墙132可被配置成使用数据包捕获机制(诸如,举例而言,linux Kernalpcap)监测流量。
[0024]根据一些实施例,交换机130可包括一个或多个存储器136B、处理器138B和/或在操作上与本文提出的特征和功能有关或关联的其它组件142B。这里,举例而言,交换机130的这样的(一个或多个)处理器138B和存储器136B可基本上类似于上面所描述的计算节点110的处理器和存储器。在一些实施例中,交换机130的处理器138B可被配置成,将经由物理端口和/或虚拟端口来自计算节点110和/或虚拟机120的数据(例如,数据包、单元等)经由另一物理端口和/或虚拟端口转发至另一计算节点、其他交换机和/或网络和/或虚拟机。在此类实施例中,交换机130的处理器138B可参照可存储在交换机130的存储器136B中的以太网桥表134。交换机130的处理器138B可被配置成执行用以转发数据、定义表和/或定义和/或启用防火墙的模块、功能和/或进程。交换机130的存储器可存储用以使处理器执行与交换机130相关的模块、进程和/或功能的指令。
[0025]图2示出与图1中示出的系统100相一致的一种操作方法200的流程图。参照图2的示例性实施例,说明性方法200可包括,在202处,定义虚拟机。在一些实施例中,计算节点110可从网络管理器装置150、另一计算节点(110’或其他)、管理组件160等中的一者或多者接收指令,并且响应于该指令,定义虚拟机120。转回图2,说明性方法200接着可包括,在204,启用所述虚拟机和网络的至少一部分之间的防火墙,所述防火墙被配置成基于与所述虚拟机和网络的所述至少一部分之间的通信相关联的以太网桥表,检测不期望的流量。在一些实施例中,计算节点110可发送用以定义和/或启用防火墙132的指令至交换机130。在此类实施例中,防火墙132可逻辑地设置在虚拟机120和网络140的其他部分之间,且可基于以太网桥表134检测来自虚拟机120的不期望流量和/或恶意攻击。在图2中,方法200接着包括,在206,响应于防火墙检测到虚拟机的不期望流量,将虚拟机锁定。在一些实施例中,计算节点110可从交换机130和/或防火墙132接收检测到来自虚拟机120的不期望流量的指示,且可发送指令至交换机130和/或防火墙132以锁定虚拟机120。在其他实施例中,当检测到不期望的流量时,交换机130和/或防火墙132可自动锁定虚拟机120,和/或由防火墙132阻止流量。
[0026]图3是示出根据公开的实施例的操作虚拟机防火墙系统的另一方法的流程图。在图3中,与本文的其他方法一样,与方法步骤的执行有关的处理可由系统内各种实体中的一者或多者来执行。举例而言,方法步骤或与方法步骤有关的处理可由一个或多个计算节点110、110’、一个或多个交换机130、一个或多个网络管理器组件150、和/或一个或多个管理组件160执行。根据图3所示的示例性实施例,说明性方法可包括:在302,处理与启用或定义一个或多个虚拟机有关的信息;在304,处理与启用或定义一个或多个虚拟机和网络之间的防火墙有关的信息,所述防火墙被配置成基于以太网桥表检测不期望的流量;以及在306,处理与响应于检测到不期望流量而锁定/停止/阻止虚拟机有关的信息。
[0027]图4是示出根据公开的实施例的操作虚拟机防火墙系统的另一方法的流程图。在图4中,与本文的其他图和过程一样,与方法步骤的执行有关的处理可由系统内各种实体中的一者或多者来执行。举例而言,方法步骤或与方法步骤有关的处理可由一个或多个计算节点110、110’、一个或多个交换机130、一个或多个网络管理器组件150、和/或一个或多个管理组件160执行。根据图4所示的示例性实施例,另一说明性方法可包括:在402,处理与启用或定义一个或多个虚拟机有关的信息;在404,处理与启用一个或多个虚拟机和网络之间的防火墙有关的信息,其中所述防火墙被配置成,基于以太网桥表检测不期望的流量以及监测/过滤链路层(第2层)的流量;以及在406,处理与响应于检测到不期望流量而锁定/停止/阻止虚拟机有关的信息。
[0028]关于流量的监测/过滤,防火墙可被配置成监测和/或过滤链路层(如在OSI模型中提到的第2层或数据链路层)的流量,使得在转发期间但在路由之前,防火墙可监测和/或过滤虚拟机流量。在路由之前的这种在第2层的监测和过滤,允许本文中的实施例在不期望的或恶意的流量被任何其他网络对等端接收之前,终止所述不期望的或恶意的流量,所述网络对等端诸如计算节点110’、110’、交换机130或例如附接至节点122或网络140的任何其他装置。通过此类在实际物理链路之上的最低通信层面上的处理实现了其他益处,其中,数据在同一物理网络上的对等端之间交换,发生在TCP/IP网络层之下。举例而言,第2层本身是无状态的,意味着本文中的实施例为了保持通信,不必须存储/处理数据包到数据包的细节。因此,这些实施例不需要像第3层通信必须包括记录的方式那样保持以往流量的记录。进一步地,在不需要保持状态信息的情况下同样可检查第2层数据包以监测它们第3层的内容,S卩,检查报头以查看数据包的类型或数据包的来源或目的地。如此,在不期望的流量到达交换机或计算节点内的另一虚拟机之前,可在虚拟硬件/虚拟机层面有利地丢弃所述不期望的流量。
[0029]图5是示出根据公开的实施例的操作虚拟机防火墙系统的又一方法的流程图。根据图5中所示的示例性实施例,另一说明性方法可首先包括:在502,处理有关启用或定义一个或多个虚拟机的信息的可选步骤。此处,举例来说,虽然计算节点110、110’可执行对与本文创新相关联的这样的信息的处理,但是此最初的处理(同本文中的其他特征和功能一样)也可在先前被执行和/或甚至被各种其他组件执行,所述其他组件诸如网络管理器150、管理组件160等。转回到图5,该方法接着可包括:在504,处理用以启用在一个或多个虚拟机和网络之间的防火墙的信息,其中所述防火墙被配置成基于以太网桥表来检测不期望的流量;之后在506,通过防火墙处理与不期望流量的检测相关的信息,所述防火墙监测/过滤链路层(第2层)的流量;然后在508,响应于检测到不期望的流量,处理用以锁定/停止/阻止虚拟机的信息。
[0030]图6表示示出了与根据本文的实施例的操作虚拟机防火墙系统相关的说明性处理的代表性的流程/状态图。流程图600包括:在602,第一计算节点(如代理)603接收来自第二计算节点(如管理器)601的用以定义或启动虚拟机(VM)的指令。在这里,虽然在图中显示为分离的,但该管理器节点和代理节点可以是相同的物理节点或位于相同的物理节点中,或甚至在相同的进程/软件中。在604,所述代理可验证来自管理器的指令且定义虚拟机。虚拟机可接着通过向网络发送网络地址请求并接收有效的DHCP响应,或通过使用预定义的或动态生成的配置值来配置其联网。
[0031]在606,该代理启用或定义防火墙(FW) 609以监测来自虚拟机的流量。在一些实施例中,该代理可发送指令或其它指示以启用和/或定义防火墙。在608,该代理通过指令或信号向管理器报告虚拟机的定义。图6的不例中,在610,虚拟机尝试恶意攻击。在该不例中,恶意攻击可以是欺骗攻击,尤其是尝试假冒网络内另一计算节点的IP地址。在此类实施例中,防火墙609可停止与欺骗攻击相关的流量,例如,包括与虚拟机不相关的MAC地址的数据帧或数据单元。在此类实施例中,防火墙基于代理的以太网桥表中包含的信息检测欺骗攻击,且阻止与欺骗攻击有关的流量。在其他示例中,虚拟机可能尝试任一类型的恶意攻击。当防火墙检测到欺骗攻击时,在612,代理发送用以锁定虚拟机的指令到防火墙,使得在614,来自虚拟机的所有流量都被阻止。
[0032]根据另外的实施例,在616,代理可接着接收来自管理器的重新启动虚拟机的指令。在一些实施例中,来自管理器的该指令可基于来自客户或其它用户的重新启动虚拟机的请求。在618,该代理重新启动虚拟机,且在620,发送解除虚拟机的锁定的指令到防火墙。在622,该虚拟机向网络发送网络地址请求,且在624,该虚拟机接收有效的DHCP响应。在626,该代理向防火墙发送将IP地址与虚拟机锁定的指令。该虚拟机分别在628和630经由网络发送和接收流量。
[0033]在图6的示例中示出的进一步处理中,在632,虚拟机被显示为尝试恶意攻击,例如IP欺骗攻击。在此类实施例中,防火墙可停止与欺骗攻击相关的流量,例如包括与虚拟机不相关的IP地址的数据帧或数据单元。在此类实施例中,防火墙基于代理的以太网桥表中包含的信息检测欺骗攻击并阻止与欺骗攻击相关的流量。当代理检测到欺骗攻击时,在634,该代理发送锁定虚拟机的指令到防火墙。在图6的示例中,在636,虚拟机还尝试第二次恶意攻击,例如,流氓DHCP攻击。在此类流氓DHCP攻击中,虚拟机可表现得像DHCP服务器,且可尝试经由防火墙发送DHCP请求到网络基础设施607。在这种流氓DHCP攻击中,防火墙可停止与欺骗攻击有关的流量,例如包含DHCP提供的数据帧或数据单元。当该代理检测到恶意攻击时,在638,防火墙可被配置成或被指示锁定来自虚拟机的所有流量。
[0034]除非上下文明确指出,本说明书中使用的单数形式“一”和“所述”包括复数参照对象。因此,例如,术语“一防火墙”意图指单一的防火墙,或多个防火墙的组合。
[0035]本文中描述的一些实施例涉及具有计算机可读介质(也可称为处理器可读介质)的计算机存储产品,该计算机可读介质上具有用以执行各种计算机实现的操作的指令或计算机代码。该介质和计算机代码(也可被称为代码)可是为了特定目的而被设计和构造的代码。计算机可读介质的示例包括但不限于:磁存储介质,如硬盘、软盘、磁带;光存储介质,如光盘/数字视频光盘(CD/DVD)、光盘只读存储器(CD-ROM)以及全息装置;磁光存储介质,如光盘;载波信号处理模块;被具体配置成存储和执行程序代码的硬件装置,如专用集成电路(ASIC)、可编程序逻辑装置(PLD)、只读存储器(ROM)和随机存储存储器(RAM)装置。
[0036]计算机代码的示例包括但不限于:微代码或微指令、诸如通过编译器产生的机器指令、用于产生网页服务的代码以及包含较高等级指令的文件,所述较高等级指令由计算机使用解译器执行。举例而言,实施例可使用Java,C++或其它编程语言(举例,面向对象的编程语言)和开发工具来实施。计算机代码的其它示例包括但不限于:控制信号、加密代码和压缩代码。
[0037]虽然上文已描述了各种实施例,但是应理解的是,它们只是以示例而非限制的形式呈现,可以在形式和细节上做出各种改变。本文中描述的设备和/或方法的任意部分可以以任意组合被组合,除相互排斥的组合外。本文中所描述的实施例可包括,描述的不同实施例的功能、组件和/或特征的各种组合和/或子组合。例如,虽然图1示出虚拟机120设置在计算节点110内,但在一些实施例中,虚拟机120可逻辑上位于计算节点110内但物理上位于另一位置。在一些实施例中,任一攻击可被不同的攻击取代。例如,虽然方法600可在636处包括DHCP攻击,但是在一些实施例中,方法600可在636处包括ARP攻击。
[0038]尽管在本文中已具体描述了目前公开的一些发明实施例,但对本发明所属领域中的技术人员显而易见的是,在不背离本发明的精神和范围的情况下,可对本文所示和描述的各种实施例进行改变和修改。因此,意图是,本文的权利要求和发明仅在适用法规要求的程度上受限制。
【权利要求】
1.一种用于处理网络上的关于一个或多个虚拟机和所述网络之间的通信的流量的方法,所述方法包括: 通过计算节点,启用所述一个或多个虚拟机和网络的至少一部分之间的防火墙,所述防火墙被配置成基于与所述一个或多个虚拟机和所述网络之间的通信相关联的规则列表来处理第2层的流量以检测不期望的流量;以及 响应于所述防火墙检测到不期望的流量,锁定/停止/阻止虚拟机。
2.根据权利要求1所述的方法,还包括启用或定义虚拟机。
3.根据本文任一项权利要求所述的方法,其中,所述锁定/停止/阻止虚拟机包括通过所述防火墙停止与所述不期望的流量相关联的流量,其中,停止流量包括停止包括不与所述虚拟机相关联的DHCP提供和/或MAC地址的数据帧或数据单元。
4.根据本文任一项权利要求所述的方法,其中,所述防火墙基于代理的以太网桥表中包含的信息,检测所述不期望的流量并阻止与所述不期望的流量相关联的流量。
5.根据本文任一项权利要求所述的方法,还包括,在检测到所述不期望的流量之后,执行关于重新启动所述虚拟机的处理,所述关于重新启动所述虚拟机的处理涉及以下步骤中的一个或多个步骤: 处理来自管理器组件的用以重新启动所述虚拟机的一个或多个指令; 重新启动所述虚拟机; 处理向所述防火墙的用以对所述虚拟机解锁的指令; 处理关于由所述虚拟机向所述网络发送网络地址请求的指令; 处理关于由所述虚拟机接收回应所述请求的有效响应的信息,和/或 处理关于由代理组件向所述防火墙发送用以将IP地址与所述虚拟机锁定的指令的信肩、O
6.根据权利要求5或本文的其它权利要求所述的方法,其中,来自所述管理器的指令基于来自客户或其它用户的重新启动所述虚拟机的请求。
7.根据前述任一项权利要求所述的方法,还包括执行用以应付流氓DHCP攻击的处理,所述用以应付流氓DHCP攻击的处理包括: 通过代理组件检测所述虚拟机经由所述防火墙发送DHCP请求到网络基础设施的尝试,其中,所述虚拟机表现得像DHCP服务器,以及 处理用以使所述防火墙停止或阻止来自所述虚拟机的全部流量的指令。
8.根据本文任一项权利要求所述的方法,还包括通过管理器组件和代理组件定义管理器-代理关系。
9.根据权利要求8所述的方法,其中,所述管理器组件包括程序和/或被配置成与程序合作,所述程序使客户、网络管理器、和/或管理组件能够请求和/或预配置所述网络中的虚拟机。
10.根据权利要求8所述的方法,其中,所述代理组件向所述防火墙提供指令,所述代理组件被配置成向所述防火墙发送用以锁定所述虚拟机的指令,使得来自所述虚拟机的所有流量被阻止。
11.根据本文任一项权利要求所述的方法,其中,所述防火墙被配置成监测和/或过滤链路层(第2层)的流量,使得所述防火墙能够监测和/或过滤转发期间但在路由之前的虚拟机流量。
12.根据权利要求11或本文的其它权利要求所述的方法,其中,在不期望的流量到达交换机或所述计算节点中的另一虚拟机之前,在虚拟硬件/虚拟机层面丢弃所述不期望的流量。
13.根据权利要求11或本文的其它权利要求所述的方法,其中,所述防火墙被配置成,在路由之前,通过以下的一种或多种来监测和/或过滤所述链路层的流量:使用链路层信息,诸如MAC地址;使用其他信息,诸如,IP地址或DHCP地址;执行深度数据包检查;和/或使用数据包捕获机制,诸如Linux Kernal pcap。
14.一种用于处理网络上的关于一个或多个虚拟机和所述网络之间的通信的流量的方法,所述方法包括: 处理与以下有关的信息:通过计算节点启用或定义所述一个或多个虚拟机和网络的至少一部分之间的防火墙; 处理与以下有关的信息:通过所述防火墙基于与所述一个或多个虚拟机和所述网络之间的通信相关联的以太网桥表检测不期望的流量;以及 处理与以下有关的信息:响应于检测到不期望的流量,锁定/停止/阻止虚拟机。
15.—种系统,包括: 计算节点,所述计算节点包括规则列表或以太网桥表或访问规则列表或以太网桥表,所述计算节点被配置成: 定义一个或多个虚拟机; 启用至少一个虚拟机和网络的至少一部分之间的防火墙,所述防火墙被配置成基于与所述至少一个虚拟机和所述网络的所述至少一部分之间的通信相关联的所述规则列表或所述以太网桥表检测不期望的流量;以及 响应于所述防火墙检测到不期望的流量,锁定、停止或阻止虚拟机。
16.根据本文任一项权利要求所述的发明,其中,所述不期望的流量包括恶意攻击或欺骗攻击,所述恶意攻击或欺骗攻击包含假冒所述网络中的另一计算节点的IP地址的尝试。
17.根据本文任一项权利要求所述的发明,其中,所述锁定或阻止所述虚拟机包括,通过所述防火墙停止与所述不期望的流量相关联的流量。
18.根据权利要求17所述的发明,其中,所述停止流量包括停止包括不与所述虚拟机相关联的MAC地址的数据帧或数据单元。
19.根据本文任一项权利要求所述的发明,其中,所述计算节点/防火墙检测所述不期望的流量,并基于代理的所述以太网桥表中包括的信息阻止与所述不期望的流量相关联的流量。
20.根据本文任一项权利要求所述的发明,其中,所述计算节点包括向所述防火墙提供指令的代理组件,所述代理组件被配置成,发送用以锁定所述虚拟机的指令,使得来自所述虚拟机的所有流量被阻止。
21.根据本文任一项权利要求所述的发明,其中,所述计算节点还被配置成: 启用和/或定义所述计算节点或交换机上的所述防火墙;和/或 指示相关联的交换机启用和/或定义所述防火墙。
22.根据本文任一项权利要求所述的发明,其中,所述计算节点包括管理器组件和代理组件,所述管理器组件和所述代理组件被配置为定义管理器-代理关系。
23.根据权利要求22或本文其他权利要求所述的发明,其中,所述管理器组件包括程序和/或被配置成与程序合作,所述程序使客户、网络管理器、和/或管理组件能够请求和/或预配置所述网络中的虚拟机。
24.根据权利要求22、权利要求23或本文其他权利要求所述的发明,其中,所述代理组件包括程序和/或被配置成与程序合作,所述程序使计算节点能够定义虚拟机、防火墙和/或表。
25.根据本文任一项权利要求所述的发明,其中,所述规则列表或所述以太网桥表包括与所述计算节点和所述虚拟机之间的通信相关联的转发数据以及与其他计算节点和其它虚拟机相关联的数据,所述其他虚拟机与所述其它计算节点相关联。
26.根据本文任一项权利要求所述的发明,其中,通过侦测网络中的洪水流量来定义和/或构成所述规则列表或所述以太网桥表。
27.根据本文任一项权利要求所述的发明,其中,所述计算节点包括基于软件的桥和/或交换机,所述基于软件的桥和/或所述交换机能够被配置成包括所述规则列表或所述以太网桥表或访问所述规则列表或所述以太网桥表。
28.根据权利要求27或本文其他权利要求所述的发明,其中,所述桥和/或所述交换机能够被配置成转发但不路由数据包。
29.根据本文任一项权利要求所述的发明,其中,所述防火墙被配置成,根据所述规则列表或所述以太网桥表,监测经过相关联的交换机的流量、检测不期望的流量、和/或阻止来自源和/或目的地的流量。
30.根据本文任一项权利要求所述的发明,其中,所述防火墙:是无状态防火墙;在活动会话期间不维持状态信息;被配置成响应于来自所述虚拟机的检测到的恶意攻击而自动锁定所述虚拟机;被配置成响应于来自虚拟机的检测到的攻击而响应于来自所述计算节点的命令而锁定所述虚拟机;和/或被配置成检测介质访问控制(MAC)欺骗、因特网协议(IP)地址欺骗、动态主机配置协议(DHCP)欺骗、流氓DHCP服务器、地址解析协议(ARP)欺骗、ARP中毒、以及其他相关攻击。
31.根据本文任一项权利要求所述的发明,还包括定义所述防火墙的过程,所述定义所述防火墙的过程包括定义所述规则列表或所述以太网桥表,使得除了广播数据包之外,只允许从所述虚拟机的介质访问控制(MAC)地址发送的数据包。
32.根据本文任一项权利要求所述的发明,其中,所述防火墙被配置成允许DHCP请求和虚拟机响应,且被配置成终止和/或阻止来自所述虚拟机的DHCP请求,和/或被配置成检查DHCP数据包的报头以确定所述DHCP数据包的地址是否有效。
33.根据本文任一项权利要求所述的发明,其中,所述防火墙被配置成锁定所述规则列表或所述以太网桥表,以仅向与有效的DHCP地址相关联的IP地址传送数据包,以及仅传送来自与有效的DHCP地址相关联的IP地址的数据包。
34.根据权利要求33或本文的其它权利要求所述的发明,其中,所述防火墙被配置成锁定所述规则列表或所述以太网桥表,以仅转发来自相关联的IP地址的ARP数据包。
35.根据本文任一项权利要求所述的发明,其中,所述防火墙被配置成监测和/或过滤在所述链路层(第2层)的流量,使得所述防火墙能够在转发期间但在路由之前监测和/或过滤虚拟机流量。
36.根据权利要求35或本文的其它权利要求所述的发明,其中,在不期望的流量到达交换机或所述计算节点中的另一虚拟机之前,在虚拟硬件/虚拟机层面丢弃所述不期望的流量。
37.根据权利要求35或本文的其它权利要求所述的发明,其中,所述防火墙被配置成在路由之前通过以下中的一种或多种来监测和/或过滤所述链路层的流量:使用链路层信息,诸如MAC地址;使用其他信息,诸如,IP地址或DHCP地址;执行深度数据包检查;和/或使用数据包捕获机制,诸如Linux Kernal pcap。
38.根据本文任一项权利要求所述的发明,其中,根据所述计算节点接收来自网络管理器装置、管理器计算节点和/或管理组件的指令,来定义所述虚拟机,其中,所述计算节点响应于所述指令来定义所述虚拟机。
39.根据本文任一项权利要求所述的发明,其中,所述计算节点被配置成向交换机发送用以定义和/或启用所述防火墙的指令。
40.根据权利要求39或本文其它权利要求所述的发明,其中,所述防火墙被逻辑地设置在所述虚拟机和所述网络之间,且能够基于所述规则列表或所述以太网桥表检测来自所述虚拟机的不期望的流量。
41.根据本文任一项权利要求所述的发明,其中,所述计算节点被配置成: 接收来自交换机和/或所述防火墙的从所述虚拟机检测到不期望的流量的指示;以及 向所述交换机和/或所述防火墙发送锁定所述虚拟机的指令。
42.根据本文任一项权利要求所述的发明,其中,交换机和/或所述防火墙被配置成,当检测到所述不期望的流量时,自动锁定所述虚拟机和/或由所述防火墙阻止流量。
43.根据本文任一项权利要求所述的发明,还包括通过所述防火墙检测所述不期望的流量。
【文档编号】H04L12/22GK104247332SQ201380010256
【公开日】2014年12月24日 申请日期:2013年2月20日 优先权日:2012年2月20日
【发明者】德里克·安德森 申请人:虚拟流加拿大控股有限公司