一種自動配置安全虛擬機(jī)ip地址的方法及裝置制造方法
【專利摘要】本發(fā)明涉及一種自動配置安全虛擬機(jī)IP地址的方法及裝置�。用于虛擬安全管理中心對安全虛擬機(jī)的管理和配置過程����,該方法或裝置包括:對安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備���,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用��;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問控制MAC地址����,將該MAC地址的一部分設(shè)置為協(xié)議識別信息�����,另一部分設(shè)置為需要配置的管理端口的IP地址�;安全虛擬機(jī)啟動后�����,根據(jù)所述協(xié)議識別信息識別出所述第一虛擬網(wǎng)卡設(shè)備���,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址��,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上����。通過該方案可以簡化虛擬化安全產(chǎn)品的部署過程和虛擬化平臺的管理權(quán)限分配。
【專利說明】—種自動配置安全虛擬機(jī)IP地址的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬化【技術(shù)領(lǐng)域】����,尤其涉及虛擬化環(huán)境中的安全虛擬機(jī)的部署和配置方案。
【背景技術(shù)】
[0002]云計(jì)算是計(jì)算機(jī)和互聯(lián)網(wǎng)的又一次新的革命����,它將計(jì)算和存儲轉(zhuǎn)移到了云端,用戶可以通過使用輕量級的便攜式終端來進(jìn)行復(fù)雜的計(jì)算和大容量的存儲���。從技術(shù)的角度來看���,云計(jì)算不僅僅是一種新的概念,并行計(jì)算和虛擬化是實(shí)現(xiàn)云計(jì)算應(yīng)用的主要技術(shù)手段���。由于硬件技術(shù)的快速發(fā)展�,使得一臺普通的物理服務(wù)器的所具有性能遠(yuǎn)遠(yuǎn)超過普通的單一用戶對硬件性能的需求�����。因此,通過虛擬化的手段��,將一臺物理服務(wù)器虛擬為多臺虛擬機(jī)���,提供虛擬化服務(wù)成為了構(gòu)建公有云和企業(yè)私有云的技術(shù)基礎(chǔ)����。經(jīng)過虛擬化后�,可以極大的提高軟件系統(tǒng)對硬件資源的利用率,并通過虛擬化平臺對計(jì)算����、存儲、網(wǎng)絡(luò)等資源的統(tǒng)一調(diào)度管理�����,實(shí)現(xiàn)按需高效的使用硬件資源�����。
[0003]在網(wǎng)絡(luò)安全領(lǐng)域�,傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控通常采用在安全域的網(wǎng)絡(luò)邊界�、以及需要監(jiān)聽的安全域內(nèi)的網(wǎng)絡(luò)鏈路上旁路式部署網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品,如入侵檢測系統(tǒng)(IntrusionDetection Systems, IDS)、安全審計(jì)系統(tǒng)等�����。虛擬化在帶來技術(shù)變革的同時,也提出了新的虛擬網(wǎng)絡(luò)安全監(jiān)控問題����。首先是網(wǎng)絡(luò)邊界問題,虛擬化技術(shù)對網(wǎng)絡(luò)工程的最大影響是使得傳統(tǒng)的物理網(wǎng)絡(luò)邊界不再清晰的存在��,從而無法找到網(wǎng)絡(luò)安全域的網(wǎng)絡(luò)流的物理匯聚點(diǎn)����;其次是隱蔽通信信道問題,在同一個大二層網(wǎng)絡(luò)環(huán)境下����,同一虛擬交換機(jī)上的網(wǎng)絡(luò)流量會在虛擬交換機(jī)內(nèi)部直接交換,而不會被轉(zhuǎn)發(fā)到物理鏈路上�,連接在物理鏈路上的物理安全設(shè)備無法捕獲到這部分流量;虛擬機(jī)的遷移問題是另外一個影響安全產(chǎn)品在虛擬化網(wǎng)絡(luò)中部署的問題��,由于虛擬機(jī)的可動態(tài)遷移的特性�����,使得物理網(wǎng)絡(luò)安全產(chǎn)品所監(jiān)控的物理端口不再固定,而被監(jiān)控的物理端口和連接其上的物理設(shè)備又無法跟隨遷移����。以上這些問題使得傳統(tǒng)網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品無法找到合適的部署位置來保護(hù)虛擬網(wǎng)絡(luò)安全域的邊界安全。為了應(yīng)對虛擬化帶來的這一技術(shù)變革和引入的安全威脅��,目前安全廠商往往通過把安全產(chǎn)品虛擬化后��,以安全虛擬機(jī)的方式直接部署到虛擬交換機(jī)上��,從而直接抓取虛擬交換機(jī)上的流量����,并且實(shí)時感知虛擬機(jī)的遷移情況,實(shí)現(xiàn)安全虛擬機(jī)或安全策略的跟隨遷移��,以實(shí)時保護(hù)業(yè)務(wù)虛擬機(jī)的安全�����。
[0004]在通常情況下�,出于對于人員職責(zé)權(quán)限的劃分和人員專業(yè)能力的區(qū)別����,一個業(yè)務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)運(yùn)維管理和安全管理應(yīng)該分別由專人負(fù)責(zé),即存在專門的網(wǎng)絡(luò)運(yùn)維管理人員,其權(quán)限和職責(zé)是通過網(wǎng)絡(luò)管理平臺對網(wǎng)絡(luò)上運(yùn)行著業(yè)務(wù)系統(tǒng)的硬件設(shè)備進(jìn)行狀態(tài)監(jiān)控和管理�,網(wǎng)絡(luò)安全則由專門的安全管理人員負(fù)責(zé)實(shí)施和管理,通過專業(yè)安全管理平臺和設(shè)備負(fù)責(zé)業(yè)務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全����。在傳統(tǒng)的物理環(huán)境下,配置安全產(chǎn)品時�����,直接通過串口線或者網(wǎng)線連接在安全產(chǎn)品上即可�,而在虛擬化網(wǎng)絡(luò)中,虛擬機(jī)無法直接使用物理線纜連接�����,但是虛擬機(jī)形態(tài)的安全產(chǎn)品在配置好管理端口 IP地址前無法通過網(wǎng)絡(luò)登入�����,若使用虛擬化管理平臺的控制臺登入安全虛擬機(jī)再進(jìn)行配置��,將使得對安全產(chǎn)品的整個配置過程變得復(fù)雜����,同時不熟悉虛擬化環(huán)境的安全管理人員直接使用vCenter等對虛擬網(wǎng)絡(luò)和虛擬機(jī)進(jìn)行配置也存在一定的風(fēng)險���。
[0005]在虛擬化安全產(chǎn)品部署過程中,由于不同的客戶環(huán)境會需要配置不同的管理口 IP地址�����,而在管理口 IP地址被配置完成前���,無法通過管理口連接上該安全產(chǎn)品對其進(jìn)行配置和部署���。與傳統(tǒng)物理環(huán)境不同的是虛擬化環(huán)境中,安全虛擬機(jī)也運(yùn)行在客戶的虛擬化平臺上�,因此必須通過客戶的虛擬化平臺的管理工具如vCenter,來登錄到安全虛擬機(jī)內(nèi)部進(jìn)行管理��,這就使得安全虛擬化產(chǎn)品的配置部署過程無法實(shí)現(xiàn)完全的自動化���,而且登錄業(yè)務(wù)網(wǎng)絡(luò)的管理環(huán)境去配置安全產(chǎn)品還需要專門為vCenter分配相應(yīng)的管理權(quán)限�,帶來了管理的復(fù)雜性���。
【發(fā)明內(nèi)容】
[0006]本發(fā)明要解決的技術(shù)問題是如何簡化虛擬化安全產(chǎn)品的部署過程和虛擬化平臺的管理權(quán)限分配�。
[0007]一種自動配置安全虛擬機(jī)IP地址的方法和裝置�,用于虛擬安全管理中心
[0008]對安全虛擬機(jī)的管理和配置過程,包括:
[0009]對安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備��,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用��;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問控制MAC地址��,將該MAC地址的一部分設(shè)置為協(xié)議識別信息����,另一部分設(shè)置為需要配置的管理端口的IP地址;
[0010]安全虛擬機(jī)啟動后��,根據(jù)所述協(xié)議識別信息識別出所述第一虛擬網(wǎng)卡設(shè)備��,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址��,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上���。
[0011]可選地���,在對所述安全虛擬機(jī)模板進(jìn)行修改的步驟前還包括:對所述安全虛擬機(jī)模板進(jìn)行復(fù)制;
[0012]對所述安全虛擬機(jī)模板進(jìn)行修改的步驟中是對復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改�。
[0013]可選地,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用的步驟包括:將所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中的自動定位AUTOMATICALLOCATION項(xiàng)設(shè)置為false��。
[0014]可選地,所述ovf文件修改的步驟完成后�,再修改所述ovf文件對應(yīng)的mf文件中的SHAl校驗(yàn)值,以完成校驗(yàn)�。
[0015]可選地,所述管理端口的IP地址配置完成的步驟后還包括:所述安全管理中心和所述安全虛擬機(jī)進(jìn)行雙向注冊�。
[0016]一種自動配置安全虛擬機(jī)IP地址的裝置,用于虛擬安全管理中心對安全虛擬機(jī)的管理和配置過程���,包括:
[0017]運(yùn)行在虛擬安全管理中心的模板管配模塊�、運(yùn)行在安全虛擬機(jī)上的自動配置代理模塊�;
[0018]所述模板管配模塊對安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用�����;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問控制MAC地址���,將該MAC地址的一部分設(shè)置為協(xié)議識別信息��,另一部分設(shè)置為需要配置的管理端口的IP地址����;
[0019]安全虛擬機(jī)啟動后���,所述自動配置代理模塊根據(jù)所述協(xié)議識別信息識別出所述第一虛擬網(wǎng)卡設(shè)備��,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址���,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上。
[0020]可選地�,所述安全虛擬機(jī)模板管配模塊還包括安全虛擬機(jī)模板庫、模板實(shí)例化模塊��;
[0021 ] 所述安全虛擬機(jī)模板庫用于存儲安全虛擬機(jī)模板���;
[0022]所述模板實(shí)例化模塊用于在對所述安全虛擬機(jī)模板進(jìn)行修改前����,對所述安全虛擬機(jī)模板進(jìn)行復(fù)制��;
[0023]所述模板實(shí)例化模塊還用于對復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改���。
[0024]可選地����,所述模板管配模塊用于將所述第一網(wǎng)卡設(shè)備的配置項(xiàng)中的自動定位AUTOMATICALLOCATION 項(xiàng)設(shè)置為 false�。
[0025]可選地����,所述模板實(shí)例化模塊完成對所述ovf文件的修改后�����,再修改所述ovf文件對應(yīng)的mf文件中的SHAl校驗(yàn)值��,以完成校驗(yàn)�����。
[0026]可選地�,所述安全管理中心和所述安全虛擬機(jī)在所述管理端口的IP地址配置完成后進(jìn)行雙向注冊。
[0027]本發(fā)明公開了一種無需登錄虛擬機(jī)的操作系統(tǒng)就可以自動配置虛擬機(jī)的IP地址的方法和裝置���,通過該方案��,在部署安全虛擬機(jī)時�,安全管理人員可以動態(tài)根據(jù)用戶的網(wǎng)絡(luò)環(huán)境��,配置安全虛擬機(jī)的管理端口的IP地址����,而不需要登錄到vCenter來進(jìn)入安全虛擬機(jī)系統(tǒng)后再修改IP���,這就為不使用vCenter等虛擬化管理中心部署安全虛擬機(jī)提供了可能性,從而利用該方法能夠開發(fā)不需要與vCenter耦合在一起的獨(dú)立的虛擬化安全管理平臺���,并把安全產(chǎn)品的部署與業(yè)務(wù)系統(tǒng)虛擬機(jī)的部署分開����,簡化虛擬化安全產(chǎn)品的部署過程和虛擬化平臺的管理權(quán)限分配��。
【專利附圖】
【附圖說明】
[0028]圖1安全虛擬機(jī)IP地址自動配置方法的流程圖����;
[0029]圖2安全虛擬機(jī)IP地址自動配置系統(tǒng)結(jié)構(gòu)圖��;
[0030]圖3虛擬化安全管理中心端的邏輯序列圖�����;
[0031 ] 圖4安全虛擬機(jī)內(nèi)的邏輯序列圖��;
[0032]圖5虛擬化安全管理中心和安全虛擬機(jī)間的邏輯序列圖����。
【具體實(shí)施方式】
[0033]下面將結(jié)合附圖及實(shí)施例對本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說明���。
[0034]需要說明的是,如果不沖突�����,本發(fā)明實(shí)施例以及實(shí)施例中的各個特征可以相互結(jié)合�,均在本發(fā)明的保護(hù)范圍之內(nèi)。另外�����,雖然在流程圖中示出了邏輯順序�,但是在某些情況下,可以以不同于此處的順序執(zhí)行所示出或描述的步驟�����。
[0035]圖1是安全虛擬機(jī)IP地址自動配置方法的流程圖����;
[0036]一種自動配置安全虛擬機(jī)IP地址的方法,用于虛擬安全管理中心對安全虛擬機(jī)的管理和配置過程�,包括:
[0037]對安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備�����,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用����;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問控制MAC地址���,將該MAC地址的一部分設(shè)置為協(xié)議識別信息���,另一部分設(shè)置為需要配置的管理端口的IP地址;
[0038]安全虛擬機(jī)啟動后����,根據(jù)所述協(xié)議識別信息識別出所述第一虛擬網(wǎng)卡設(shè)備��,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址����,將該IP地址配置到管理端口使用的目標(biāo)虛擬網(wǎng)卡上。
[0039]在物理網(wǎng)絡(luò)環(huán)境中部署物理安全產(chǎn)品時��,安全服務(wù)人員可以通過直接接入網(wǎng)線或者串口線的方式連接到部署的安全產(chǎn)品上對其進(jìn)行管理端口的配置�����,而在虛擬化平臺中,由于安全產(chǎn)品變成了虛擬機(jī)的形態(tài)��,因此無法直接連接物理的線纜到特定的物理端口��,若通過虛擬化管理平臺提供的管理接口進(jìn)行配置��,需要獲取相應(yīng)的管理權(quán)限�����,同時虛擬機(jī)是以軟件的形態(tài)存在��,本身可提供自動的配置和部署能力����,因此通過統(tǒng)一的安全管理平臺直接配置安全虛擬機(jī)才是一種最符合虛擬化平臺安全管理特性的安全部署方案,為了解決被部署的安全虛擬機(jī)的管理端口 IP地址無法自動配置的問題��,本申請發(fā)明人提出一種自動配置安全虛擬機(jī)IP地址的方法和裝置�,利用虛擬機(jī)的硬件屬性可以通過虛擬機(jī)管理平臺進(jìn)行修改的特性,把安全虛擬機(jī)中的一塊不啟用���,或者添加一塊新的虛擬網(wǎng)卡設(shè)備稱作第一虛擬網(wǎng)卡設(shè)備�,將其MAC地址作為傳遞管理端口 IP地址的媒介,使用事先定義的管理端口 IP地址傳遞協(xié)議來實(shí)現(xiàn)安全虛擬機(jī)啟動后對該IP地址的識別和獲取�����。
[0040]該裝置至少包括安全虛擬機(jī)模板管配模塊和安全虛擬機(jī)自動配置代理模塊�����。
[0041]如圖2所示���,下面具體介紹整個系統(tǒng)的結(jié)構(gòu)和各模塊的功能�。
[0042]一種自動配置安全虛擬機(jī)IP地址的裝置�����,用于虛擬安全管理中心對安全虛擬機(jī)的管理和配置過程���,其特征在于,包括:
[0043]運(yùn)行在虛擬安全管理中心的模板管配模塊��、運(yùn)行在安全虛擬機(jī)上的自動配置代理模塊�;
[0044]所述模板管配模塊對安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用�;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問控制MAC地址�����,將該MAC地址的一部分設(shè)置為協(xié)議識別信息��,另一部分設(shè)置為需要配置的管理端口的IP地址��;
[0045]安全虛擬機(jī)啟動后��,所述自動配置代理模塊根據(jù)所述協(xié)議識別信息識別出所述第一虛擬網(wǎng)卡設(shè)備�����,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址����,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上�。
[0046]模板管配模塊運(yùn)行于安全管理中心內(nèi),對安全管理中心的應(yīng)用系統(tǒng)提供安全虛擬機(jī)模板自動部署的接口�,對于安全管理中心的應(yīng)用系統(tǒng)來說,直接調(diào)用該接口�����,傳入管理端口 IP地址作為參數(shù)���,就可以實(shí)現(xiàn)安全虛擬機(jī)的自動部署�����。
[0047]所述安全虛擬機(jī)模板管配模塊還包括安全虛擬機(jī)模板庫����、模板實(shí)例化模塊;
[0048]所述安全虛擬機(jī)模板庫用于存儲安全虛擬機(jī)模板�;
[0049]所述模板實(shí)例化模塊用于在對所述安全虛擬機(jī)模板進(jìn)行修改前,對所述安全虛擬機(jī)模板進(jìn)行復(fù)制���;[0050]所述模板實(shí)例化模塊還用于對復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改�����。
[0051]所述模板管配模塊包括的子模塊還有模板管理模塊��、安全虛擬機(jī)部署模塊���。其中模板管理模塊負(fù)責(zé)提供對外接口和實(shí)現(xiàn)整個安全虛擬機(jī)自動化部署的主流程�;
[0052]安全虛擬機(jī)模板庫提供對本地存儲的安全虛擬機(jī)模板的獲取、復(fù)制�、修改等功能�;模板實(shí)例化模塊實(shí)現(xiàn)對復(fù)制后的安全虛擬機(jī)模板按照需要配置的IP地址進(jìn)行修改��,重新計(jì)算SHAl校驗(yàn)值等操作��;安全虛擬機(jī)部署模塊提供對修改好的安全虛擬機(jī)模板的遠(yuǎn)程部署能力���。
[0053]安全虛擬機(jī)內(nèi)以軟件的形式運(yùn)行著虛擬化安全產(chǎn)品的業(yè)務(wù)系統(tǒng)�����,自動配置代理模塊在該系統(tǒng)的底層提供在系統(tǒng)初始化時的管理端口 IP地址自動配置服務(wù)����,系統(tǒng)在初始化時����,將根據(jù)事先定義的管理端口 IP地址傳遞協(xié)議,從專用的第一虛擬網(wǎng)卡設(shè)備的MAC地址處分析獲得由安全管理中心指定的管理端口 IP���,并調(diào)用操作系統(tǒng)命令配置到相應(yīng)的管理端口使用的目標(biāo)虛擬網(wǎng)卡上�。
[0054]下面以如圖3����、圖4和圖5所示的序列圖為例����,介紹整個系統(tǒng)的工作過程�。
[0055]圖3是安全管理中心內(nèi)的流程序列圖,安全管理業(yè)務(wù)邏輯層是安全管理中心的業(yè)務(wù)處理模塊�����,用戶通過其界面寫入安全虛擬機(jī)管理端口 IP和其它相關(guān)的配置到數(shù)據(jù)庫中���,并由該模塊調(diào)用模板管理模塊提供的接口發(fā)起安全虛擬機(jī)的部署請求���。在接收到部署請求后,模板管理模塊先從數(shù)據(jù)庫中讀出需要部署的安全虛擬機(jī)的配置�,從安全虛擬機(jī)模板庫取得安全虛擬機(jī)模板文件,再調(diào)用模板實(shí)例化模塊根據(jù)配置修改安全虛擬機(jī)的模板���,最后調(diào)用安全虛擬機(jī)部署模塊執(zhí)行遠(yuǎn)程的安全虛擬機(jī)部署�。通信協(xié)議層負(fù)責(zé)提供對外通信的統(tǒng)一接口����,在部署完成后,返回部署成功的消息給管理中心的調(diào)用模塊。
[0056]下面詳細(xì)描述修改安全虛擬機(jī)的模板的具體過程:
[0057]在配置一臺安全虛擬機(jī)時�,安全管理中心從存儲在本地的安全虛擬機(jī)模板庫中取出安全虛擬機(jī)的模板��,所述安全虛擬機(jī)模板即標(biāo)準(zhǔn)的ovf格式的虛擬機(jī)模板���,可以被直接導(dǎo)入到虛擬化平臺中���。該模板默認(rèn)被配置了 η塊虛擬網(wǎng)卡設(shè)備,n〈10����,第一塊虛擬網(wǎng)卡設(shè)備默認(rèn)作為管理網(wǎng)卡設(shè)備,將第η塊虛擬網(wǎng)卡設(shè)備作為傳遞IP地址用的第一虛擬網(wǎng)卡設(shè)備��。
[0058]所述“第一虛擬網(wǎng)卡設(shè)備”中的“第一”并不表示序號和順序��,而表示所選的虛擬網(wǎng)卡設(shè)備和未選虛擬網(wǎng)卡設(shè)備的區(qū)分關(guān)系�����。
[0059]在取得安全虛擬機(jī)模板后�����,先對該模板進(jìn)行復(fù)制,并以文件的形式打開復(fù)制后的模板��,修改所述第一虛擬虛擬網(wǎng)卡設(shè)備的配置項(xiàng)���,增加〈rasd:Address>MAC</rasd:Address〉屬性��,其中MAC為自定義的MAC地址��,地址的前16位定義為FF:AA���,作為協(xié)議識別,后32位定義為實(shí)際需要配置在管理端口上的IP地址��。
[0060]可選地�,所述模板管配模塊用于將所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中的自動定位AUTOMATICALLOCATION 項(xiàng)設(shè)置為 false。
[0061]同時還需要修改所述第一虛擬網(wǎng)卡設(shè)備的自動定位AutomaticAllocation屬性為false�,以保證安全虛擬機(jī)在加電啟動后,不會把用于傳遞IP地址的所述第一虛擬網(wǎng)卡設(shè)備當(dāng)作真實(shí)使用的網(wǎng)卡連接在網(wǎng)上��,避免發(fā)生MAC地址沖突或者錯誤的可能��。
[0062]可選地��,所述模板實(shí)例化模塊完成對所述ovf文件的修改后���,再修改所述ovf文件對應(yīng)的mf文件中的SHAl校驗(yàn)值�,以完成校驗(yàn)。[0063]修改完0Vf文件后�����,再修改該ovf文件對應(yīng)的mf文件中ovf文件的SHAl校驗(yàn)值����,并保存文件�,完成對復(fù)制模板的修改。
[0064]把修改完的安全虛擬機(jī)模板通過vCenter的vSphere Web Service SDK遠(yuǎn)程導(dǎo)入到需要部署安全虛擬機(jī)的ESXi服務(wù)器上�����。
[0065]所述的vCenter, vSphere和ESXi服務(wù)器都是在vmware平臺上�。
[0066]圖4是安全虛擬機(jī)被部署到虛擬化平臺后,啟動初始化后的流程序列圖�,安全虛擬機(jī)在啟動后會自動運(yùn)行其中安裝的安全產(chǎn)品應(yīng)用系統(tǒng),系統(tǒng)初始化時�,首先將調(diào)用自動配置代理模塊進(jìn)行管理端口的IP配置,
[0067]自動配置代理模塊將首先從操作系統(tǒng)獲取所有虛擬網(wǎng)卡設(shè)備的信息���,根據(jù)定義的IP地址傳遞協(xié)議解析出管理端口的IP地址����,把其中MAC地址的前16位為FF: AA的那塊第一虛擬網(wǎng)卡設(shè)備識別出來,將其MAC地址后32位讀出并配置在管理端口使用的目標(biāo)虛擬網(wǎng)卡上����。
[0068]并對管理端口使用的所述目標(biāo)虛擬網(wǎng)卡進(jìn)行配置,配置完成后開始運(yùn)行安全產(chǎn)品的業(yè)務(wù)邏輯��。
[0069]并啟動注冊服務(wù)的守護(hù)進(jìn)程等待安全管理中心的注冊請求��,至此完成對安全虛擬機(jī)IP的自動配置�。
[0070]可選地,所述安全管理中心和所述安全虛擬機(jī)在所述管理端口的IP地址配置完成后進(jìn)行雙向注冊��。
[0071]圖5是在管理端口的IP地址配置完成后��,安全管理中心和安全虛擬機(jī)之間進(jìn)行雙向注冊的流程序列圖����,在安全管理中心部署完安全虛擬機(jī)后,就將對其所配置的安全虛擬機(jī)的管理端口 IP地址進(jìn)行輪詢的發(fā)送注冊管理中心的請求�����,當(dāng)安全虛擬機(jī)的管理端口的IP地址也配置完成后�,就將對此請求進(jìn)行響應(yīng)����,并通過獲得的安全管理中心的IP地址���,向安全管理中心發(fā)起安全虛擬機(jī)的注冊請求����,以完成雙向的注冊����,之后安全管理中心就可以通過管理端口向該安全虛擬機(jī)自動下發(fā)更加復(fù)雜的配置管理項(xiàng)����,以完成整個安全虛擬機(jī)安全策略的整體配置。
[0072]本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過程序來指令相關(guān)硬件完成�����,所述程序可以存儲于計(jì)算機(jī)可讀存儲介質(zhì)中��,如只讀存儲器����、磁盤或光盤等���。可選地�,上述實(shí)施例的全部或部分步驟也可以使用一個或多個集成電路來實(shí)現(xiàn)。相應(yīng)地����,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn),也可以采用軟件功能模塊的形式實(shí)現(xiàn)�����。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合�����。
[0073]當(dāng)然�,本發(fā)明還可有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下���,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形����,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明的權(quán)利要求的保護(hù)范圍�����。
【權(quán)利要求】
1.一種自動配置安全虛擬機(jī)IP地址的方法,用于虛擬安全管理中心對安全虛擬機(jī)的管理和配置過程����,其特征在于,包括: 對安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備���,將所述第一網(wǎng)卡設(shè)備設(shè)置為不啟用�����;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問控制MAC地址���,將該MAC地址的一部分設(shè)置為協(xié)議識別信息�����,另一部分設(shè)置為需要配置的管理端口的IP地址��; 安全虛擬機(jī)啟動后����,根據(jù)所述協(xié)議識別信息識別出所述第一虛擬網(wǎng)卡設(shè)備���,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上����。
2.如權(quán)利要求1所述的方法,其特征在于����,在對所述安全虛擬機(jī)模板進(jìn)行修改的步驟前還包括:對所述安全虛擬機(jī)模板進(jìn)行復(fù)制; 對所述安全虛擬機(jī)模板進(jìn)行修改的步驟中是對復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改����。
3.如權(quán)利要求1所述的方法,其特征在于�����,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用的步驟包括:將所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中的自動定位AUTOMATICALLOCATION項(xiàng)設(shè)置為 false�����。
4.如權(quán)利要求2所述的方法�,其特征在于,所述ovf文件修改的步驟完成后,再修改所述ovf文件對應(yīng)的mf文件中的SHAl校驗(yàn)值��,以完成校驗(yàn)�����。
5.如權(quán)利要求1所述的方法����,其特征在于,所述管理端口的IP地址配置完成的步驟后還包括:所述安全管理中心和所述安全虛擬機(jī)進(jìn)行雙向注冊��。
6.一種自動配置安全`虛擬機(jī)IP地址的裝置���,用于虛擬安全管理中心對安全虛擬機(jī)的管理和配置過程�,其特征在于�,包括: 運(yùn)行在虛擬安全管理中心的模板管配模塊、運(yùn)行在安全虛擬機(jī)上的自動配置代理模塊����; 所述模板管配模塊對安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備����,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問控制MAC地址����,將該MAC地址的一部分設(shè)置為協(xié)議識別信息�,另一部分設(shè)置為需要配置的管理端口的IP地址�; 安全虛擬機(jī)啟動后,所述自動配置代理模塊根據(jù)所述協(xié)議識別信息識別出所述第一虛擬網(wǎng)卡設(shè)備�,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上��。
7.—種如權(quán)利要求6所述的裝置�����,其特征在于�����,所述安全虛擬機(jī)模板管配模塊還包括安全虛擬機(jī)模板庫���、模板實(shí)例化模塊����; 所述安全虛擬機(jī)模板庫用于存儲安全虛擬機(jī)模板����; 所述模板實(shí)例化模塊用于在對所述安全虛擬機(jī)模板進(jìn)行修改前��,對所述安全虛擬機(jī)模板進(jìn)行復(fù)制�����; 所述模板實(shí)例化模塊還用于對復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改��。
8.—種如權(quán)利要求6所述的裝置�����,其特征在于�����,所述模板管配模塊用于將所述第一網(wǎng)卡設(shè)備的配置項(xiàng)中的自動定位AUTOMATICALLOCATION項(xiàng)設(shè)置為false��。
9.一種如權(quán)利要求7所述的裝置���,其特征在于,所述模板實(shí)例化模塊完成對所述ovf文件的修改后���,再修改所述OVf文件對應(yīng)的mf文件中的SHAl校驗(yàn)值,以完成校驗(yàn)。
10.一種如權(quán)利要求6所述的裝置�,其特征在于,所述安全管理中心和所述安全虛擬機(jī)在所述管理端口的IP地址配`置完成后進(jìn)行雙向注冊�。
【文檔編號】H04L29/06GK103685608SQ201310723045
【公開日】2014年3月26日 申請日期:2013年12月24日 優(yōu)先權(quán)日:2013年12月24日
【發(fā)明者】李陟, 劉新剛, 葉潤國 申請人:北京啟明星辰信息技術(shù)股份有限公司, 北京啟明星辰信息安全技術(shù)有限公司