CN105592016B - 一种电力信息***的云环境下虚拟机的保护装置 - Google Patents

一种电力信息***的云环境下虚拟机的保护装置 Download PDF

Info

Publication number
CN105592016B
CN105592016B CN201410592508.5A CN201410592508A CN105592016B CN 105592016 B CN105592016 B CN 105592016B CN 201410592508 A CN201410592508 A CN 201410592508A CN 105592016 B CN105592016 B CN 105592016B
Authority
CN
China
Prior art keywords
virtual machine
virtual
interchanger
network
standard
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201410592508.5A
Other languages
English (en)
Other versions
CN105592016A (zh
Inventor
陈乐然
王刚
陈威
徐小天
石磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
North China Electric Power Research Institute Co Ltd
Original Assignee
State Grid Corp of China SGCC
North China Electric Power Research Institute Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, North China Electric Power Research Institute Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN201410592508.5A priority Critical patent/CN105592016B/zh
Publication of CN105592016A publication Critical patent/CN105592016A/zh
Application granted granted Critical
Publication of CN105592016B publication Critical patent/CN105592016B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种电力信息***的云环境下虚拟机的保护装置,在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机,虚拟机上分配多块虚拟网卡,并在虚拟机上部署安全软件;第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连,所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,第一标准虚拟交换机通过物理网络适配器与物理网络相连;第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器相连,第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,安全软件用于对未保护区域流向保护区域的网络流量进行监控分析,为电力信息***中保护区域的虚拟机提供安全保护。

Description

一种电力信息***的云环境下虚拟机的保护装置
技术领域
本发明涉及网络安全技术领域,特别涉及一种电力信息***的云环境下虚拟机的保护装置。
背景技术
在传统的物理环境中,对信息***的防护角度来说,首先需要从业务功能和安全特性两方面划分安全域,安全域是指同一环境内具有相同安全保护需求、相互信任、并具有相同安全访问控制和边界控制策略的网络***。
通过将所有同等安全等级和安全需求的计算机划入同一网段,并在网络边界处部署防火墙、IDS、IPS等设备,实现访问控制、流量分析和安全策略配置,保证信息网络的安全性。
随着服务器虚拟化技术的普及,底层计算资源的部署方式趋于动态,传统的网络边界逐渐被一体化的硬件资源池取代,网络层的交互数据直接在虚拟化环境的主机内部完成。
现有的VMware云环境***结构如图1所示,在ESXi主机中部署着标准虚拟交换机vSwitch 0,其上挂载着属于不同VLAN的诸多虚拟机。在图1中,VLAN 1属于未保护区域,运行着安全性要求较低的***;VLAN2、VLAN3属于保护区域,运行着安全性要求较高的***。虚拟机通过虚拟网络适配器与vSwitch 0上的端口组(Port Group)进行连接,vSwitch 0通过上行链路以及物理网络适配器连通物理网络,同时所有与外部物理网络的数据交换都必须经过物理网络适配器。
这种结构导致了传统的安全防护手段和产品难以适应新环境的安全需求,无法实时监控虚拟网络的网络流量,侦测潜在威胁,为***安全运行带来了极大的安全隐患。
尽管VMware公司在安全性上做出了很多的努力,例如在VMware ESXi 5.0的版本中集成了基于vSwitch的轻量级防火墙和简单的流量监测功能,以及发布了支持Netflow技术的分布式虚拟交换机(Distributed Virtual Switch,以下简称DVS)。但是,对于在电力企业中使用标准vSwitch的云环境,VMware ESXi 5.0依然难以提供足够的安全保障,具体表现为:一是安全域划分不明确,域边界比较模糊,网络流量进出通道较多,安全防护难度大,不能满足国家电网公司对信息***“分区分域”的安全防护要求;二是缺乏对流经标准虚拟交换机的网络流量的有效分析方法。严重影响了整个信息网络的安全性。
发明内容
为解决现有技术的问题,本发明提出一种电力信息***的云环境下虚拟机的保护装置,通过改变虚拟网络的结构,以及在标准虚拟交换机间部署安全软件的方式,为用户提供安全域划分、防火墙保护和网络流量分析功能,保证了云环境下虚拟机的安全性,具有安全、实用等特点。
为实现上述目的,本发明提供了一种电力信息***的云环境下虚拟机的保护装置,该装置包括:第一标准虚拟交换机和第二标准虚拟交换机;其中,在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机,所述虚拟机上分配多块虚拟网卡,并在虚拟机上部署安全软件;
所述第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连,所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡用于传输所述第一标准虚拟交换机中未保护流量;所述第一标准虚拟交换机通过物理网络适配器与物理网络相连;
所述第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器相连,第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡还用于传输所述第二标准虚拟交换机中保护流量;
所述安全软件用于对未保护区域流向保护区域的网络流量进行监控分析,为电力信息***中保护区域的虚拟机提供安全保护;
其中,所述虚拟机上与未保护区域的第一标准虚拟交换机连接的虚拟网卡作为未被保护的流量入口,所述虚拟机上与保护区域的第二标准虚拟交换机连接的虚拟网卡作为被保护流量的出口,使得未保护区域的网络流量通过虚拟网卡传输至保护区域,保护区域的网络流量通过虚拟网卡传输至未保护区域。
优选地,所述安全软件还用于根据电力信息***的安全性需求划分逻辑区域,将电力信息***区分为保护区域与未保护区域。
优选地,所述安全软件还用于建立访问规则,选择允许或阻止特殊的端口访问、协议和流向。
优选地,所述安全软件还用于收集和汇总关于源、目标地、流向和服务相关的信息,用于网络故障诊断和可疑流量分析;其中,包括对保护区域输出的网络流量进行分析。
优选地,所述电力信息***的云环境采用VMware云平台基础架构。
上述技术方案具有如下有益效果:
根据应用***特点与安全需求,划分数据敏感性较高的重要业务***和敏感性较低的***,建立虚拟防火墙,隔离安全威胁较大的应用***,对位于安全区域的虚拟机提供安全保障。
建立网络流量的唯一通路,限制物理网络和未保护区域用户直接访问安全域虚拟机,任何流向保护区域的网络流量必须经过安全软件的检查和分析,为虚拟机提供严格的访问控制和安全防护。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有的VMware云环境***结构示意图;
图2为本发明的VMware云环境***结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的技术方案的工作原理为:首先按业务功能要求与安全需求级别划分应用***,分为保护区域和未保护区域。对于重要的***来说,例如:核心业务***、数据库、安全控制管理、后台维护服务器等,将被部署到保护区域;一些需要公开的服务器设施,例如:企业的Web服务器、FTP服务器和论坛服务器等,将被放置到未保护区域。该区域在本质上是一个安全缓冲区,为重要的信息***提供了一个安全地带。未保护区域中部署的***一般不含有机密信息,以便来自物理网络的外部访问者可以访问未保护区域中的服务,但又不会接触到存放在保护区域中的公司机密或私人信息,即使未保护区域中的***受到破坏或黑客攻击,也不会对保护区域中的重要信息造成影响。
在本发明的技术方案中,保护区域与未保护区域的所有虚拟机通过虚拟网络适配器与标准虚拟交换机端口组相连,标准虚拟交换机通过物理网络适配器和上行链路接入物理网络进行通信。
在本技术方案中,需要设计拥有防火墙和网络流量分析功能的基于VMware虚拟化环境的安全软件,或部署成熟的第三方软件,为云环境提供以下安全功能:
防火墙防护:建立访问规则,选择允许或阻止特殊的端口访问、协议和流向;
网络流量分析:收集和汇总关于源、目标地、流向和服务相关的信息,用于网络故障诊断和可疑流量分析;
安全域划分:根据信息***的安全性需求划分逻辑区域,区分保护区与未保护区,执行不同的安全策略。实现国家电网公司“分区分域”的防护要求。
接下来,在保护区域与未保护区域间以桥接方式串接一台虚拟机,为该台虚拟机分配多块虚拟网卡,并分别与保护区域和未保护区域中的vSwitch连接。该台虚拟机上部署安全软件对流经的网络流量进行监控和分析。
实施例:
本发明的结构示意参见图2。我们将在图1的基础上对虚拟网络结构进行改造。其中,vSwitch1首先继承了vSwitch 0的所有配置,包括端口(组)、网络适配器、挂载的虚拟机、相关策略等。vSwitch1和vSwitch 2均为标准虚拟交换机,VM表示服务器,VLAN1、VLAN2、VLAN3表示局域网络。
为保护区域的虚拟机创建虚拟交换机vSwitch 2,注意创建时不要分配任何物理网卡。
创建虚拟机,用于之后部署安全软件,为其分配两块虚拟网卡,第一块网卡作为入口,用于传输vSwitch 1中未被保护的流量,第二块网卡连接到新创建的vSwitch 2上作为被保护流量的出口。
在vSwitch 1上创建新的端口用于未被保护流量通过,在vSwitch 2上创建端口用于被保护流量通过。新建虚拟机的虚拟网卡分别建立与上述端口的连接。
根据vSwitch 1中的网络配置,在新建虚拟交换机vSwitch 2中复制属于保护区域的虚拟机的所有对应端口,迁移vSwitch 1中属于保护区域的虚拟机至vSwitch 2。
完成迁移后,删除vSwitch 1中的原始端口。
开启vSwitch 1和vSwitch 2上端口(组)的“混杂模式”,以便使端口组中的每个端口都能够看到流经vSwitch的流量,比如:未保护区域的网络流量通过虚拟网卡传输至保护区域,保护区域的网络流量通过虚拟网卡传输至未保护区域,或者外部物理网络的流量通过虚拟网卡传输至保护区域等等,使得安全软件可以有效监控网络流量。配置完成后,在新建虚拟机中部署安全软件,该软件可以是利用VMsafe开放的编程接口自主研发,也可以采用成熟的商业套件,例如软件防火墙,配合网络性能监控和故障诊断工具SolarwindsOrion、Xangati for vSphere,网络流量收集分析器MRTG、PRTG、CACTI等,实现对虚拟网络流量的监控、统计和分析,以及防火墙规则的设置,具体如下:
防火墙规则设置:对源IP、目的IP、源端口、目的端口和协议进行配置规则。添加规则允许或阻止特殊的端口访问,协议和流向。通过Web界面,管理控制平台插件,命令行等方式对虚拟防火墙进行配置与管理。
网络流量分析:所有通过安全软件的数据都将被监控,收集和汇总关于源、目标地、流向和服务相关的信息进行分析,实现网络故障诊断、可疑流量分析等。
分析上述实施例可知,在使用标准虚拟交换机的VMware ESXi主机中部署具有防火墙防护、流量分析功能的安全软件;实现虚拟网络中保护区域与未保护区域的划分;将所有从未保护区域流向保护区域的网络流量预先引入安全软件中进行分析;为保护区域的虚拟机提供安全保护,满足国家电网公司对管理信息***“分区分域”的安全防护要求。与现有技术相比,实现了对VMware云环境下安全域的划分和区域间网络流量的统计与分析,为重要业务***提供可靠的安全保障。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (5)

1.一种电力信息***的云环境下虚拟机的保护装置,其特征在于,该装置包括:第一标准虚拟交换机和第二标准虚拟交换机;其中,在第一标准虚拟交换机和第二标准虚拟交换机之间设置一虚拟机,所述虚拟机上分配多块虚拟网卡,并在虚拟机上部署安全软件;
所述第一标准虚拟交换机的一端口组与未保护区域中的虚拟机的虚拟网络适配器相连,所述第一标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡用于传输所述第一标准虚拟交换机中未保护流量;所述第一标准虚拟交换机通过物理网络适配器与物理网络相连;
所述第二标准虚拟交换机的一端口组与保护区域中的虚拟机的虚拟网络适配器相连,第二标准虚拟交换机的另一端口组与安全软件所属虚拟机的虚拟网卡相连,所述虚拟网卡还用于传输所述第二标准虚拟交换机中保护流量;
所述安全软件用于对未保护区域流向保护区域的网络流量进行监控分析,为电力信息***中保护区域的虚拟机提供安全保护;
其中,所述虚拟机上与未保护区域的第一标准虚拟交换机连接的虚拟网卡作为未被保护的流量入口,所述虚拟机上与保护区域的第二标准虚拟交换机连接的虚拟网卡作为被保护流量的出口,使得未保护区域的网络流量通过虚拟网卡传输至保护区域,保护区域的网络流量通过虚拟网卡传输至未保护区域。
2.如权利要求1所述的装置,其特征在于,所述安全软件还用于根据电力信息***的安全性需求划分逻辑区域,将电力信息***区分为保护区域与未保护区域。
3.如权利要求1所述的装置,其特征在于,所述安全软件还用于建立访问规则,选择允许或阻止特殊的端口访问、协议和流向。
4.如权利要求1所述的装置,其特征在于,所述安全软件还用于收集和汇总关于源、目标地、流向和服务相关的信息,用于网络故障诊断和可疑流量分析;其中,包括对保护区域输出的网络流量进行分析。
5.如权利要求1所述的装置,其特征在于,所述电力信息***的云环境采用VMware云平台基础架构。
CN201410592508.5A 2014-10-29 2014-10-29 一种电力信息***的云环境下虚拟机的保护装置 Active CN105592016B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410592508.5A CN105592016B (zh) 2014-10-29 2014-10-29 一种电力信息***的云环境下虚拟机的保护装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410592508.5A CN105592016B (zh) 2014-10-29 2014-10-29 一种电力信息***的云环境下虚拟机的保护装置

Publications (2)

Publication Number Publication Date
CN105592016A CN105592016A (zh) 2016-05-18
CN105592016B true CN105592016B (zh) 2019-04-30

Family

ID=55931235

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410592508.5A Active CN105592016B (zh) 2014-10-29 2014-10-29 一种电力信息***的云环境下虚拟机的保护装置

Country Status (1)

Country Link
CN (1) CN105592016B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107769938B (zh) * 2016-08-16 2021-01-22 北京金山云网络技术有限公司 一种Openstack平台支持多网络区域的***和方法
CN106603373A (zh) * 2016-10-27 2017-04-26 曙光信息产业(北京)有限公司 一种网络设备虚拟化***
CN107547258B (zh) * 2017-07-18 2021-02-05 新华三云计算技术有限公司 一种网络策略的实现方法和装置
CN109768871B (zh) * 2017-11-09 2022-09-16 阿里巴巴集团控股有限公司 配置多个虚拟网卡的方法、宿主机和存储介质
CN112804131B (zh) * 2021-01-08 2021-12-07 上海自恒信息科技有限公司 一种基于vlan构造的访问控制方法
CN112905303B (zh) * 2021-03-05 2024-04-09 深圳市网心科技有限公司 一种基于有线网卡的无感知网络桥接方法及其装置
CN114422296B (zh) * 2022-01-05 2024-02-20 北京天一恩华科技股份有限公司 一种多场景虚拟网络构建***、方法、终端及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1917514A (zh) * 2006-01-18 2007-02-21 中国科学院计算技术研究所 一种分域溯源式全局网络安全体系的构建方法
CN102244622A (zh) * 2011-07-25 2011-11-16 北京网御星云信息技术有限公司 用于服务器虚拟化的虚拟网关防护方法、安全网关及***
CN103258160A (zh) * 2013-05-30 2013-08-21 浪潮集团有限公司 一种虚拟化环境下的云安全监测方法
CN103973676A (zh) * 2014-04-21 2014-08-06 蓝盾信息安全技术股份有限公司 一种基于sdn的云计算安全保护***及方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7890999B2 (en) * 2003-08-07 2011-02-15 Hewlett-Packard Development Company, L.P. RPC port mapper integrity checker to improve security of a provisionable network
CN101022340B (zh) * 2007-03-30 2010-11-24 武汉烽火网络有限责任公司 实现城域以太网交换机接入安全的智能控制方法
US20090044270A1 (en) * 2007-08-07 2009-02-12 Asaf Shelly Network element and an infrastructure for a network risk management system
US20140052877A1 (en) * 2012-08-16 2014-02-20 Wenbo Mao Method and apparatus for tenant programmable logical network for multi-tenancy cloud datacenters
CN104113522A (zh) * 2014-02-20 2014-10-22 西安未来国际信息股份有限公司 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1917514A (zh) * 2006-01-18 2007-02-21 中国科学院计算技术研究所 一种分域溯源式全局网络安全体系的构建方法
CN102244622A (zh) * 2011-07-25 2011-11-16 北京网御星云信息技术有限公司 用于服务器虚拟化的虚拟网关防护方法、安全网关及***
CN103258160A (zh) * 2013-05-30 2013-08-21 浪潮集团有限公司 一种虚拟化环境下的云安全监测方法
CN103973676A (zh) * 2014-04-21 2014-08-06 蓝盾信息安全技术股份有限公司 一种基于sdn的云计算安全保护***及方法

Also Published As

Publication number Publication date
CN105592016A (zh) 2016-05-18

Similar Documents

Publication Publication Date Title
CN105592016B (zh) 一种电力信息***的云环境下虚拟机的保护装置
CN102244622B (zh) 用于服务器虚拟化的虚拟网关防护方法、安全网关及***
CN108964959A (zh) 一种用于虚拟化平台的网卡直通***及数据包监管方法
CN109922021B (zh) 安全防护***以及安全防护方法
CN103354530B (zh) 虚拟化网络边界数据流汇聚方法及装置
CN105100026B (zh) 一种报文安全转发方法及装置
CN106790091A (zh) 一种云安全防护***以及流量清洗方法
CN104378387A (zh) 一种虚拟化平台下保护信息安全的方法
CN106254176A (zh) 一种基于openvswitch的流量镜像方法
CN106576099A (zh) 支持攻击检测和缓解的数据中心架构
TW201600997A (zh) 於一集中式管理環境中動態產生一策略實施點之封包檢視策略的方法、資訊設備及電腦程式產品
CN104125214B (zh) 一种实现软件定义安全的安全架构***及安全控制器
CN104468504B (zh) 虚拟化网络动态信息安全的监控方法及***
CN104506614B (zh) 一种基于云计算的分布式多活数据中心的设计方法
CN103067356B (zh) 保障业务虚拟机安全的***及方法
KR102088308B1 (ko) 네트워크 보안 기능 가상화 기반의 클라우드 보안 분석 장치, 보안 정책 관리 장치 및 보안 정책 관리 방법
CN107786391A (zh) 一种基于Grafana的对OpenStack的网络监控方法
CN104113527A (zh) 一种应用于云计算网络的waf防火墙配置
CN103258160A (zh) 一种虚拟化环境下的云安全监测方法
CN109194640A (zh) 一种虚拟化平台东西向流量隔离防护方法
Smolyar et al. Securing {Self-Virtualizing} Ethernet Devices
CN104050038B (zh) 一种基于策略感知的虚拟机迁移方法
CN105704087A (zh) 一种基于虚拟化实现网络安全管理的装置及其管理方法
CN111262815A (zh) 一种虚拟主机管理***
CN201499183U (zh) 一种虚拟网络分隔***

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant