CN106411863A - 一种实时处理虚拟交换机网络流量的虚拟化平台 - Google Patents
一种实时处理虚拟交换机网络流量的虚拟化平台 Download PDFInfo
- Publication number
- CN106411863A CN106411863A CN201610824785.3A CN201610824785A CN106411863A CN 106411863 A CN106411863 A CN 106411863A CN 201610824785 A CN201610824785 A CN 201610824785A CN 106411863 A CN106411863 A CN 106411863A
- Authority
- CN
- China
- Prior art keywords
- virtual
- network
- port
- switch
- virtual machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种实时处理虚拟交换机网络流量的虚拟化平台,包括主机、虚拟机、虚拟网口、虚拟设备、安全软件、虚拟交换机和物理网口;虚拟机分别与相对应的虚拟网口相连,虚拟网口与虚拟设备相连,安全软件与虚拟设备相连,虚拟设备与虚拟交换机相连,虚拟交换机与物理网口相连。本发明的有益效果为:通过在虚拟机的虚拟网口和虚拟交换机之间的通信链路中加入一个虚拟设备,来实时过来/阻断进入和流出虚拟机的网络数据包;新加入的虚拟设备对虚拟机和虚拟交换机都是透明的,保证虚拟交换机各种功能的兼容性;新加入的虚拟设备与***现有模块松散耦合,不会影响现有模块的功能。
Description
技术领域
本发明涉及计算机网络技术领域,尤其是一种实时处理虚拟交换机网络流量的虚拟化平台。
背景技术
现有技术中,虚拟化平台通过在主机的虚拟网桥上加载防火墙/入侵检测等网络安全软件,来检测每个虚拟机的出/入网络流量,以此保护虚拟机并抵抗各种形式的网络攻击。但上述平台的虚拟网桥功能太单一,难以适应日渐复杂的虚拟网络环境。为应对现实中的复杂网络环境,现有的虚拟化平台逐渐采用符合软件定义网络SDN标准的虚拟交换机,如OpenSwitch,但无法与虚拟交换机协同工作,无法有效保护主机上运行的虚拟交换机不遭受网络攻击。
发明内容
本发明所要解决的技术问题在于,提供一种实时处理虚拟交换机网络流量的虚拟化平台,可以保证虚拟交换机各种功能的兼容性,不影响虚拟交换机的各种功能。
为解决上述技术问题,本发明提供一种实时处理虚拟交换机网络流量的虚拟化平台,包括主机、虚拟机、虚拟网口、虚拟设备、安全软件、虚拟交换机和物理网口;虚拟机分别与相对应的虚拟网口相连,虚拟网口与虚拟设备相连,安全软件与虚拟设备相连,虚拟设备与虚拟交换机相连,虚拟交换机与物理网口相连;虚拟机正常启动,主机上运行的虚拟机管理程序为虚拟机创建虚拟网口和其他外部设备,虚拟机管理程序激活该虚拟网口,激活操作会触发主机***内核通告设备热插拔事件,监听程序实时监控设备热插拔事件,并判断热插拔事件描述的设备是否是其所关心的某个虚拟机的虚拟网口,监听程序创建一个全新的虚拟设备,并将其植入到虚拟网口和虚拟交换机的通信链路中间,安全软件与新的虚拟设备协同工作,执行网络流量的安全扫描/过滤/阻断工作,虚拟机通过端口与虚拟网口相连,虚拟机通过物理网口与主机外部网络相连。
优选的,虚拟机发出的网络流量或主机外部网络收到的流量都先通过虚拟交换机的端口,流量入端口把流量交给网络流量分发模块,网络流量分发模块计算该从哪个端口出,把流量转发到相应的流量出端口。
优选的,虚拟设备包括端口、过滤模块和用户层接口,虚拟设备内部有2个端口,一个和虚拟机的虚拟网口连接,另一个和虚拟交换机的端口连接,接收和转发网络数据包;过滤模块维护网络连接的状态信息,记录网络连接的端点信息,过滤模块收到端口转发过来的数据包之后,统计流量,更新网络连接信息,过滤模块将数据包传递给安全软件扫描,直到安全软件得出结论,该网络连接是安全的还是恶意的,安全软件得出结论之后,把信息通知给过滤模块,过滤模块更新网络连接信息,网络连接安全,过滤模块会把数据包重定向给虚拟设备中的另一个端口,数据包最终会发送到目的地址,网络连接是恶意的,安全软件会发送重置信号给该网络连接的两端主机,终止该连接,如果后续还有数据包未处理,过滤模块会简单执行丢包策略;监听程序需要动态创建虚拟设备,虚拟设备实现必要的用户层接口供监听程序使用。
优选的,虚拟机个数为3台,虚拟交换机的个数为2台。
优选的,虚拟网口与虚拟设备的个数与虚拟机相对应。
本发明的有益效果为:通过在虚拟机的虚拟网口和虚拟交换机之间的通信链路中加入一个虚拟设备,来实时过来/阻断进入和流出虚拟机的网络数据包;新加入的虚拟设备对虚拟机和虚拟交换机都是透明的,保证虚拟交换机各种功能的兼容性;新加入的虚拟设备与***现有模块松散耦合,不会影响现有模块的功能。
附图说明
图1是本发明的虚拟化平台结构示意图。
图2是本发明的虚拟设备加入通信链路过程示意图。
图3是本发明的虚拟设备的结构示意图。
具体实施方式
如图1所示,一种实时处理虚拟交换机网络流量的虚拟化平台,包括主机、虚拟机、虚拟网口、虚拟设备、安全软件、虚拟交换机和物理网口;虚拟机分别与相对应的虚拟网口相连,虚拟网口与虚拟设备相连,安全软件与虚拟设备相连,虚拟设备与虚拟交换机相连,虚拟交换机与物理网口相连。
如图2所示,为虚拟设备加入通信链路的过程示意图。虚拟机正常启动,主机上运行的虚拟机管理程序为虚拟机创建虚拟网口和其他外部设备,虚拟机管理程序激活该虚拟网口,激活操作会触发主机***内核通告设备热插拔事件,监听程序实时监控设备热插拔事件,并判断热插拔事件描述的设备是否是其所关心的某个虚拟机的虚拟网口,监听程序创建一个全新的虚拟设备,并将其植入到虚拟网口和虚拟交换机的通信链路中间,安全软件与新的虚拟设备协同工作,执行网络流量的安全扫描/过滤/阻断工作,虚拟机通过端口与虚拟网口相连,虚拟机通过物理网口与主机外部网络相连。安全软件和过滤模块进行通信,监听程序和用户层接口进行通信。
虚拟机发出的网络流量或主机外部网络收到的流量都先通过虚拟交换机的端口,流量入端口把流量交给网络流量分发模块,网络流量分发模块计算该从哪个端口出,把流量转发到相应的流量出端口。
如图3所示,为虚拟设备的结构示意图。虚拟设备包括端口、过滤模块和用户层接口,虚拟设备内部有2个端口,一个和虚拟机的虚拟网口连接,另一个和虚拟交换机的端口连接,接收和转发网络数据包;过滤模块维护网络连接的状态信息,记录网络连接的端点信息,过滤模块收到端口转发过来的数据包之后,统计流量,更新网络连接信息,过滤模块将数据包传递给安全软件扫描,直到安全软件得出结论,该网络连接是安全的还是恶意的,安全软件得出结论之后,把信息通知给过滤模块,过滤模块更新网络连接信息,网络连接安全,过滤模块会把数据包重定向给虚拟设备中的另一个端口,数据包最终会发送到目的地址,网络连接是恶意的,安全软件会发送重置信号给该网络连接的两端主机,终止该连接,如果后续还有数据包未处理,过滤模块会简单执行丢包策略;监听程序需要动态创建虚拟设备,虚拟设备实现必要的用户层接口供监听程序使用。
虚拟机个数为3台,虚拟交换机的个数为2台。虚拟网口与虚拟设备的个数与虚拟机相对应。
原来的网络拓扑结构里面,虚拟网口和虚拟交换机的端口直连,为了保证虚拟交换机的功能100%兼容,虚拟设备与虚拟交换机相连的端口,必须提供和虚拟网口一样的接口;某些恶意软件,会探测网络时延,例如启动耗时多长,找个公网主机计算ICMP报文来回时间,如果时延大于经验值,那么恶意软件为避免被检测到,会故意停止工作,基于这类恶意软件的行为模式,虚拟设备植入通信链路的过程须尽可能的快。
尽管本发明就优选实施方式进行了示意和描述,但本领域的技术人员应当理解,只要不超出本发明的权利要求所限定的范围,可以对本发明进行各种变化和修改。
Claims (5)
1.一种实时处理虚拟交换机网络流量的虚拟化平台,其特征在于,包括:主机、虚拟机、虚拟网口、虚拟设备、安全软件、虚拟交换机和物理网口;虚拟机分别与相对应的虚拟网口相连,虚拟网口与虚拟设备相连,安全软件与虚拟设备相连,虚拟设备与虚拟交换机相连,虚拟交换机与物理网口相连;虚拟机正常启动,主机上运行的虚拟机管理程序为虚拟机创建虚拟网口和其他外部设备,虚拟机管理程序激活该虚拟网口,激活操作会触发主机***内核通告设备热插拔事件,监听程序实时监控设备热插拔事件,并判断热插拔事件描述的设备是否是其所关心的某个虚拟机的虚拟网口,监听程序创建一个全新的虚拟设备,并将其植入到虚拟网口和虚拟交换机的通信链路中间,安全软件与新的虚拟设备协同工作,执行网络流量的安全扫描/过滤/阻断工作,虚拟机通过端口与虚拟网口相连,虚拟机通过物理网口与主机外部网络相连。
2.如权利要求1所述的实时处理虚拟交换机网络流量的虚拟化平台,其特征在于,虚拟机发出的网络流量或主机外部网络收到的流量都先通过虚拟交换机的端口,流量入端口把流量交给网络流量分发模块,网络流量分发模块计算该从哪个端口出,把流量转发到相应的流量出端口。
3.如权利要求1所述的实时处理虚拟交换机网络流量的虚拟化平台,其特征在于,虚拟设备包括端口、过滤模块和用户层接口,虚拟设备内部有2个端口,一个和虚拟机的虚拟网口连接,另一个和虚拟交换机的端口连接,接收和转发网络数据包;过滤模块维护网络连接的状态信息,记录网络连接的端点信息,过滤模块收到端口转发过来的数据包之后,统计流量,更新网络连接信息,过滤模块将数据包传递给安全软件扫描,直到安全软件得出结论,该网络连接是安全的还是恶意的,安全软件得出结论之后,把信息通知给过滤模块,过滤模块更新网络连接信息,网络连接安全,过滤模块会把数据包重定向给虚拟设备中的另一个端口,数据包最终会发送到目的地址,网络连接是恶意的,安全软件会发送重置信号给该网络连接的两端主机,终止该连接,如果后续还有数据包未处理,过滤模块会简单执行丢包策略;监听程序需要动态创建虚拟设备,虚拟设备实现必要的用户层接口供监听程序使用。
4.如权利要求1所述的实时处理虚拟交换机网络流量的虚拟化平台,其特征在于,虚拟机个数为3台,虚拟交换机的个数为2台。
5.如权利要求1所述的实时处理虚拟交换机网络流量的虚拟化平台,其特征在于,虚拟网口与虚拟设备的个数与虚拟机相对应。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610824785.3A CN106411863A (zh) | 2016-09-14 | 2016-09-14 | 一种实时处理虚拟交换机网络流量的虚拟化平台 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610824785.3A CN106411863A (zh) | 2016-09-14 | 2016-09-14 | 一种实时处理虚拟交换机网络流量的虚拟化平台 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106411863A true CN106411863A (zh) | 2017-02-15 |
Family
ID=57997096
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610824785.3A Pending CN106411863A (zh) | 2016-09-14 | 2016-09-14 | 一种实时处理虚拟交换机网络流量的虚拟化平台 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106411863A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107360058A (zh) * | 2017-07-12 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种实现流量监控的方法及装置 |
| CN108306784A (zh) * | 2017-12-26 | 2018-07-20 | 广东睿江云计算股份有限公司 | 一种统计XenServer池虚拟机总流量的方法 |
| CN108964959A (zh) * | 2017-05-27 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 一种用于虚拟化平台的网卡直通***及数据包监管方法 |
| CN109088827A (zh) * | 2018-07-11 | 2018-12-25 | 新华三云计算技术有限公司 | 虚拟机流量处理方法、装置及主机 |
| CN110730133A (zh) * | 2019-10-21 | 2020-01-24 | 北京百度网讯科技有限公司 | 路由通告方法和*** |
| CN115080191A (zh) * | 2022-08-18 | 2022-09-20 | 苏州浪潮智能科技有限公司 | 一种管理i2c链路的方法、装置、设备及可读介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100269171A1 (en) * | 2009-04-20 | 2010-10-21 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
| CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及*** |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| CN104994094A (zh) * | 2015-07-01 | 2015-10-21 | 北京奇虎科技有限公司 | 基于虚拟交换机的虚拟化平台安全防护方法、装置和*** |
-
2016
- 2016-09-14 CN CN201610824785.3A patent/CN106411863A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100269171A1 (en) * | 2009-04-20 | 2010-10-21 | Check Point Software Technologies, Ltd. | Methods for effective network-security inspection in virtualized environments |
| CN102244622A (zh) * | 2011-07-25 | 2011-11-16 | 北京网御星云信息技术有限公司 | 用于服务器虚拟化的虚拟网关防护方法、安全网关及*** |
| CN104917653A (zh) * | 2015-06-26 | 2015-09-16 | 北京奇虎科技有限公司 | 基于云平台的虚拟化流量监控方法及装置 |
| CN104994094A (zh) * | 2015-07-01 | 2015-10-21 | 北京奇虎科技有限公司 | 基于虚拟交换机的虚拟化平台安全防护方法、装置和*** |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108964959A (zh) * | 2017-05-27 | 2018-12-07 | 阿里巴巴集团控股有限公司 | 一种用于虚拟化平台的网卡直通***及数据包监管方法 |
| CN108964959B (zh) * | 2017-05-27 | 2022-02-25 | 阿里巴巴集团控股有限公司 | 一种用于虚拟化平台的网卡直通***及数据包监管方法 |
| CN107360058A (zh) * | 2017-07-12 | 2017-11-17 | 郑州云海信息技术有限公司 | 一种实现流量监控的方法及装置 |
| CN108306784A (zh) * | 2017-12-26 | 2018-07-20 | 广东睿江云计算股份有限公司 | 一种统计XenServer池虚拟机总流量的方法 |
| CN108306784B (zh) * | 2017-12-26 | 2020-12-01 | 广东睿江云计算股份有限公司 | 一种统计XenServer池虚拟机总流量的方法 |
| CN109088827A (zh) * | 2018-07-11 | 2018-12-25 | 新华三云计算技术有限公司 | 虚拟机流量处理方法、装置及主机 |
| CN109088827B (zh) * | 2018-07-11 | 2019-12-13 | 新华三云计算技术有限公司 | 虚拟机流量处理方法、装置及主机 |
| CN110730133A (zh) * | 2019-10-21 | 2020-01-24 | 北京百度网讯科技有限公司 | 路由通告方法和*** |
| CN110730133B (zh) * | 2019-10-21 | 2021-11-12 | 北京百度网讯科技有限公司 | 路由通告方法和*** |
| CN115080191A (zh) * | 2022-08-18 | 2022-09-20 | 苏州浪潮智能科技有限公司 | 一种管理i2c链路的方法、装置、设备及可读介质 |
| CN115080191B (zh) * | 2022-08-18 | 2023-01-06 | 苏州浪潮智能科技有限公司 | 一种管理i2c链路的方法、装置、设备及可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106411863A (zh) | 一种实时处理虚拟交换机网络流量的虚拟化平台 | |
| CN108040057B (zh) | 适于保障网络安全、网络通信质量的sdn***的工作方法 | |
| US8737398B2 (en) | Communication module with network isolation and communication filter | |
| CN104301321B (zh) | 一种实现分布式网络安全防护的方法及*** | |
| CN1761240B (zh) | 用于高度可实现性应用的智能集成网络安全设备 | |
| CN105049450A (zh) | 一种基于虚拟网络环境的云安全***及其部署框架 | |
| CN103746885A (zh) | 一种面向下一代防火墙的测试***和测试方法 | |
| CN104767748B (zh) | Opc服务器安全防护*** | |
| CN106130767A (zh) | 一种业务路径故障监控及故障解决的***和方法 | |
| CN105991637B (zh) | 网络攻击的防护方法和装置 | |
| CN104519065B (zh) | 一种支持过滤Modbus TCP协议的工控防火墙实现方法 | |
| CN108123824A (zh) | 一种网络故障检测方法及装置 | |
| CN106657019A (zh) | 网络安全防护方法和装置 | |
| CN105812318B (zh) | 用于在网络中防止攻击的方法、控制器和*** | |
| CN106254338B (zh) | 报文检测方法以及装置 | |
| CN106789982B (zh) | 一种应用于工业控制***中的安全防护方法和*** | |
| TW201616386A (zh) | 雲端虛擬網路安全之防護方法與系統 | |
| CN101483649A (zh) | 一种基于fpga的网络安全内容处理卡 | |
| CN105429974B (zh) | 一种面向sdn的入侵防御***和方法 | |
| Kumar et al. | Open flow switch with intrusion detection system | |
| CN103634166B (zh) | 一种设备存活检测方法及装置 | |
| CN105897536A (zh) | 基于重叠网的网络游戏加速*** | |
| CN107864153A (zh) | 一种基于网络安全传感器的网络病毒预警方法 | |
| CN104519021A (zh) | 防止恶意流量攻击的方法及装置 | |
| CN103957128B (zh) | 云计算环境下监控数据流向的方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170215 |