一种网络隔离的方法和装置与流程

本发明属于云计算系统技术领域，特别是涉及一种网络隔离的方法和装置。

背景技术：

随着云计算和大数据等新型技术的发展，大量云计算基地的建立，对网络安全的要求也日益增加，因此，如何进行各虚拟数据中心的网络隔离、各业务之间的网络隔离、各虚拟机之间的网络隔离成为亟待解决的问题。

技术实现要素：

为解决上述问题，本发明提供了一种网络隔离的方法和装置，能够对虚拟机等设备之间进行网络隔离，以提高整个云平台的可用性、安全性、稳定性，不会增加更多的设备，大幅降低总维护成本。

本发明提供的一种网络隔离的方法，包括：

对云平台进行配置，添加网络隔离组件；

利用所述网络隔离组件对需要隔离的虚拟机进行配置，使其具有数据封装能力；

当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟机的标签的表头文件；

传输所述数据；

当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟机接收并使用所述数据。

优选的，在上述网络隔离的方法中，还包括：

利用所述网络隔离组件对需要隔离的业务系统和虚拟机进行配置，使其具有数据封装能力；

当有数据需要传输时，进行协议的封装，所述协议中增加带有所述业务系统和所述虚拟机的标签的表头文件；

当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的业务系统和虚拟机接收并使用所述数据。

优选的，在上述网络隔离的方法中，还包括：

利用所述网络隔离组件对需要隔离的虚拟数据中心、业务系统和虚拟机进行配置，使其具有数据封装能力；

当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟数据中心、业务系统和虚拟机的标签的表头文件；

当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟数据中心、业务系统和虚拟机接收并使用所述数据。

优选的，在上述网络隔离的方法中，对所述数据解封装之后，还包括：

利用校验位对所述数据的完整性进行校验，如果数据不完整则重新封装和传输。

优选的，在上述网络隔离的方法中，所述传输所述数据为：

利用tcp/ip协议，传输所述数据。

本发明提供的一种网络隔离的装置，包括：

添加单元，用于对云平台进行配置，添加网络隔离组件；

第一配置单元，用于利用所述网络隔离组件对需要隔离的虚拟机进行配置，使其具有数据封装能力；

第一封装单元，用于当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟机的标签的表头文件；

传输单元，用于传输所述数据；

第一解封装单元，用于当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟机接收并使用所述数据。

优选的，在上述网络隔离的装置中，还包括：

第二配置单元，用于利用所述网络隔离组件对需要隔离的业务系统和虚拟机进行配置，使其具有数据封装能力；

第二封装单元，用于当有数据需要传输时，进行协议的封装，所述协议中增加带有所述业务系统和所述虚拟机的标签的表头文件；

第二解封装单元，用于当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的业务系统和虚拟机接收并使用所述数据。

优选的，在上述网络隔离的装置中，还包括：

第三配置单元，用于利用所述网络隔离组件对需要隔离的虚拟数据中心、业务系统和虚拟机进行配置，使其具有数据封装能力；

第三封装单元，用于当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟数据中心、业务系统和虚拟机的标签的表头文件；

第三解封装单元，用于当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟数据中心、业务系统和虚拟机接收并使用所述数据。

优选的，在上述网络隔离的装置中，还包括：

校验单元，用于利用校验位对所述数据的完整性进行校验，如果数据不完整则重新封装和传输。

优选的，在上述网络隔离的装置中，所述传输单元具体用于利用tcp/ip协议，传输所述数据。

通过上述描述可知，本发明提供的上述网络隔离的方法和装置，由于该方法包括对云平台进行配置，添加网络隔离组件；利用所述网络隔离组件对需要隔离的虚拟机进行配置，使其具有数据封装能力；当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟机的标签的表头文件；传输所述数据；当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟机接收并使用所述数据，因此能够对虚拟机等设备之间进行网络隔离，以提高整个云平台的可用性、安全性、稳定性，不会增加更多的设备，大幅降低总维护成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的第一种网络隔离的方法的示意图；

图2为本申请实施例提供的第一种网络隔离的装置的示意图。

图3为协议栈的表头示意图。

具体实施方式

本发明的核心思想在于提供一种网络隔离的方法和装置，能够对虚拟机等设备之间进行网络隔离，以提高整个云平台的可用性、安全性、稳定性，不会增加更多的设备，大幅降低总维护成本。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请实施例提供的第一种网络隔离的方法如图1所示，图1为本申请实施例提供的第一种网络隔离的方法的示意图，该方法包括如下步骤：

s1：对云平台进行配置，添加网络隔离组件；

具体的，首先搭建云平台，通过云平台进行虚拟数据中心、业务系统和虚拟机的配置。基础环境配置完成后，添加网络隔离组件，并进行配置，从而通过云平台进行统一的管理。

s2：利用所述网络隔离组件对需要隔离的虚拟机进行配置，使其具有数据封装能力；

需要说明的是，为了提高传输的效率，不让数据封装成为数据传输的瓶颈，因虚拟数据中心、业务系统和虚拟机是一个相互包含的关系，虚拟机是云平台中最小的数据实体，因此可以在封装过程中进行优化，对于存在于同一个虚拟数据中心的业务系统，可以进行简化封装，不进行虚拟数据中心层面的封装，从而提高封装效率，提高整个云平台的数据传输的效率。

s3：当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟机的标签的表头文件；

这种标签的作用在于标识出哪个虚拟机来处理这些数据，而除此之外的其他虚拟机则不能处理，从而实现不同的虚拟机之间的网络隔离，提高了传输效率，增加了传输带宽。

s4：传输所述数据；

需要说明的是，可以但不限于采用tcp/ip协议来传输数据。

s5：当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟机接收并使用所述数据。

上述方法可以但不限于基于tcp/ip网络架构实现，通过优化协议栈，对现有协议进行封装，增加包含虚拟机的表头，然后通过协议传输、解封装，最终达到网络隔离的目的，这种方法不影响原有数据的传输，提高了安全性。这种方法实现了底层的网络隔离，对上层应用是透明的、无感知的，并且通过此方法，可以有效进行网络的隔离，从而实现数据的隔离，进一步达到网络安全、数据安全的目的，这种方法与目前大多数云平台那样通过网络设备，包括交换机、路由器、防火墙等进行的网络隔离相比，不会增加更多的设备，却大大提高了系统的安全性，能够节省资源，大幅降低总维护成本。

通过上述描述可知，本申请实施例提供的第一种网络隔离的方法，由于包括对云平台进行配置，添加网络隔离组件；利用所述网络隔离组件对需要隔离的虚拟机进行配置，使其具有数据封装能力；当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟机的标签的表头文件；传输所述数据；当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟机接收并使用所述数据，因此能够对虚拟机等设备之间进行网络隔离，以提高整个云平台的可用性、安全性、稳定性，不会增加更多的设备，大幅降低总维护成本。

本申请实施例提供的第二种网络隔离的方法，是在上述第一种网络隔离的方法的基础上，还包括如下技术特征：

还包括：

利用所述网络隔离组件对需要隔离的业务系统和虚拟机进行配置，使其具有数据封装能力；

当有数据需要传输时，进行协议的封装，所述协议中增加带有所述业务系统和所述虚拟机的标签的表头文件；

当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的业务系统和虚拟机接收并使用所述数据。

需要说明的是，在该第二种实施例中，是针对同一个虚拟数据中心内，不同的业务系统以及不同的虚拟机的例子进行网络隔离的，在这种情况下，需要在表头文件中同时添加业务系统的标签和虚拟机的标签，这样在解封装之后就可以得知数据需要被哪个业务系统中的哪个虚拟机处理，这样就有效避免其他业务系统中的其他虚拟机处理。

本申请实施例提供的第三种网络隔离的方法，是在上述第二种网络隔离的方法的基础上，还包括如下技术特征：

还包括：

利用所述网络隔离组件对需要隔离的虚拟数据中心、业务系统和虚拟机进行配置，使其具有数据封装能力；

当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟数据中心、业务系统和虚拟机的标签的表头文件；

当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟数据中心、业务系统和虚拟机接收并使用所述数据。

需要说明的是，在该第三种实施例中，是针对不同的虚拟数据中心内，不同的业务系统以及不同的虚拟机的例子进行网络隔离的，在这种情况下，需要在表头文件中同时添加虚拟数据中心的标签、业务系统的标签和虚拟机的标签，具体如图3所示，图3为协议栈的表头示意图，这样在解封装之后就可以得知数据需要被哪个虚拟数据中心的哪个业务系统中的哪个虚拟机处理，这样就有效避免其他的虚拟数据中心中的其他业务系统中的其他虚拟机处理。例如，解封装后通过表头文件可以看到该数据是需要传输给a虚拟数据中心a业务的虚拟机①的，那么该数据只会被a虚拟数据中心a业务的虚拟机①接收并进行使用，而其他的虚拟数据中心、业务系统、虚拟机不会收到该信息，从而达到了网络隔离、数据隔离的目的。

本申请实施例提供的第四种网络隔离的方法，是在上述第一种至第三种网络隔离的方法中任一种的基础上，还包括如下技术特征：

对所述数据解封装之后，还包括：

利用校验位对所述数据的完整性进行校验，如果数据不完整则重新封装和传输。

具体的，在数据传输过程中，可能产生的数据不完整情况，因此该实施例在数据接收端增加检验机制，通过校验位对数据的完整性进行校验，如数据不完整，则返回进行重新封装传输，通过该机制，可以保证传输数据的完整，从而保证了数据的安全。

本申请实施例提供的第五种网络隔离的方法，是在上述第一种至第三种网络隔离的方法中任一种的基础上，还包括如下技术特征：

所述传输所述数据为：

利用tcp/ip协议，传输所述数据。

本申请实施例提供的第一种网络隔离的装置如图2所示，图2为本申请实施例提供的第一种网络隔离的装置的示意图，该装置包括：

添加单元201，用于对云平台进行配置，添加网络隔离组件，具体的，该单元用于搭建云平台，通过云平台进行虚拟数据中心、业务系统和虚拟机的配置，并添加网络隔离组件，并进行配置，从而通过云平台进行统一的管理；

第一配置单元202，用于利用所述网络隔离组件对需要隔离的虚拟机进行配置，使其具有数据封装能力，需要说明的是，为了提高传输的效率，不让数据封装成为数据传输的瓶颈，因虚拟数据中心、业务系统和虚拟机是一个相互包含的关系，虚拟机是云平台中最小的数据实体，因此可以在封装过程中进行优化，对于存在于同一个虚拟数据中心的业务系统，可以进行简化封装，不进行虚拟数据中心层面的封装，从而提高封装效率，提高整个云平台的数据传输的效率；

第一封装单元203，用于当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟机的标签的表头文件，这种标签的作用在于标识出哪个虚拟机来处理这些数据，而除此之外的其他虚拟机则不能处理，从而实现不同的虚拟机之间的网络隔离，提高了传输效率，增加了传输带宽；

传输单元204，用于传输所述数据，需要说明的是，可以但不限于采用tcp/ip协议来传输数据；

第一解封装单元205，用于当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟机接收并使用所述数据。

上述装置保证了各虚拟数据中心、各业务系统、各虚拟机的网络安全、数据安全。提高了整个云平台的可用性、安全性、稳定性，减少网络设备修改、加入。通过对协议栈及协议表头的优化，可以大大增加传输的效率，增加传输的带宽。同时引入完整性检测机制，在数据传输到目的端后，进行数据的完整性检测，保证通过传输后的数据是一致的。本发明通过多种技术机制，很好的解决了虚拟数据中心之间、业务系统之间、虚拟机之间的网络隔离需求。从而增加了整个系统的安全性、可用性。另外此种方法，灵活运用，可以针对其他云平台进行设置，提高云平台的安全性、降低总运营成本。

本申请实施例提供的第二种网络隔离的装置，是在上述第一种网络隔离的装置的基础上，还包括如下技术特征：

还包括：

第二配置单元，用于利用所述网络隔离组件对需要隔离的业务系统和虚拟机进行配置，使其具有数据封装能力；

第二封装单元，用于当有数据需要传输时，进行协议的封装，所述协议中增加带有所述业务系统和所述虚拟机的标签的表头文件；

第二解封装单元，用于当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的业务系统和虚拟机接收并使用所述数据。

需要说明的是，在该第二种实施例中，是针对同一个虚拟数据中心内，不同的业务系统以及不同的虚拟机的例子进行网络隔离的，在这种情况下，需要在表头文件中同时添加业务系统的标签和虚拟机的标签，这样在解封装之后就可以得知数据需要被哪个业务系统中的哪个虚拟机处理，这样就有效避免其他业务系统中的其他虚拟机处理。

本申请实施例提供的第三种网络隔离的装置，是在上述第二种网络隔离的装置的基础上，还包括如下技术特征：

还包括：

第三配置单元，用于利用所述网络隔离组件对需要隔离的虚拟数据中心、业务系统和虚拟机进行配置，使其具有数据封装能力；

第三封装单元，用于当有数据需要传输时，进行协议的封装，所述协议中增加带有所述虚拟数据中心、业务系统和虚拟机的标签的表头文件；

第三解封装单元，用于当所述数据传输完毕，对所述数据进行解封装，并根据识别出的解封装之后的表头文件进行数据归类，控制与所述表头文件相对应的虚拟数据中心、业务系统和虚拟机接收并使用所述数据。

需要说明的是，在该第三种实施例中，是针对不同的虚拟数据中心内，不同的业务系统以及不同的虚拟机的例子进行网络隔离的，在这种情况下，需要在表头文件中同时添加虚拟数据中心的标签、业务系统的标签和虚拟机的标签，具体如图3所示，图3为协议栈的表头示意图，这样在解封装之后就可以得知数据需要被哪个虚拟数据中心的哪个业务系统中的哪个虚拟机处理，这样就有效避免其他的虚拟数据中心中的其他业务系统中的其他虚拟机处理。例如，解封装后通过表头文件可以看到该数据是需要传输给a虚拟数据中心a业务的虚拟机①的，那么该数据只会被a虚拟数据中心a业务的虚拟机①接收并进行使用，而其他的虚拟数据中心、业务系统、虚拟机不会收到该信息，从而达到了网络隔离、数据隔离的目的。

本申请实施例提供的第四种网络隔离的装置，是在上述第一种至第三种网络隔离的装置中任一种的基础上，还包括如下技术特征：

还包括：

校验单元，用于利用校验位对所述数据的完整性进行校验，如果数据不完整则重新封装和传输。

具体的，在数据传输过程中，可能产生的数据不完整情况，因此该实施例在数据接收端增加检验机制，通过校验位对数据的完整性进行校验，如数据不完整，则返回进行重新封装传输，通过该机制，可以保证传输数据的完整，从而保证了数据的安全。

本申请实施例提供的第五种网络隔离的装置，是在上述第一种至第三种网络隔离的装置中任一种的基础上，还包括如下技术特征：

所述传输单元具体用于利用tcp/ip协议，传输所述数据。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。