涉及虛擬機(jī)流量防火墻的系統(tǒng)和處理與虛擬機(jī)流量防火墻相關(guān)的信息的方法
【專利摘要】公開了涉及計(jì)算節(jié)點(diǎn)的系統(tǒng)和方法,所述計(jì)算節(jié)點(diǎn)被配置成定義和/或者處理與一個(gè)或多個(gè)虛擬機(jī)相關(guān)的信息��。在一個(gè)示例性實(shí)施例中���,計(jì)算節(jié)點(diǎn)可被配置成啟用所述虛擬機(jī)和網(wǎng)絡(luò)的至少一部分之間的防火墻���。另外,所述防火墻可被配置成基于與所述虛擬機(jī)和所述網(wǎng)絡(luò)之間的通信相關(guān)聯(lián)的規(guī)則列表或以太網(wǎng)橋表來檢測(cè)不期望的流量��。各種特征也可涉及被配置成響應(yīng)于所述防火墻檢測(cè)到與虛擬機(jī)相關(guān)的不期望的流量而鎖定虛擬機(jī)的計(jì)算節(jié)點(diǎn)����。
【專利說明】涉及虛擬機(jī)流量防火墻的系統(tǒng)和處理與虛擬機(jī)流量防火墻相關(guān)的信息的方法
[0001]相關(guān)申請(qǐng)的交叉引用
[0002]本申請(qǐng)基于2012年2月20日提交的美國臨時(shí)專利申請(qǐng)N0.61/600,816��,且享有該美國臨時(shí)專利申請(qǐng)的申請(qǐng)日的權(quán)益�。該申請(qǐng)的全部內(nèi)容在此通過引用方式而全文并入本文中。
【技術(shù)領(lǐng)域】
[0003]本公開大體針對(duì)涉及虛擬機(jī)流量防火墻的系統(tǒng)和方法�。
【專利附圖】
【附圖說明】
[0004]構(gòu)成本說明書一部分的【專利附圖】
【附圖說明】本文的創(chuàng)新的各種實(shí)施例和方面,所述附圖與說明書一起幫助說明本發(fā)明的原理���。在附圖中:
[0005]圖1是根據(jù)所公開的實(shí)施例的虛擬機(jī)防火墻系統(tǒng)的框圖�����。
[0006]圖2是示出根據(jù)所公開的實(shí)施例的操作虛擬機(jī)防火墻系統(tǒng)的方法的流程圖��。
[0007]圖3是示出根據(jù)所公開的實(shí)施例的操作虛擬機(jī)防火墻系統(tǒng)的另一方法的流程圖�。
[0008]圖4是示出根據(jù)所公開的實(shí)施例的操作虛擬機(jī)防火墻系統(tǒng)的又一方法的流程圖。
[0009]圖5是示出根據(jù)所公開的實(shí)施例的操作虛擬機(jī)防火墻系統(tǒng)的再一方法的流程圖���。
[0010]圖6是示出根據(jù)實(shí)施例的操作虛擬機(jī)防火墻系統(tǒng)的方法的流程圖��。
【具體實(shí)施方式】
[0011]現(xiàn)在將詳細(xì)參照本發(fā)明����,在附圖中示出本發(fā)明的示例���。在下面的描述中提出的實(shí)施例不代表與要求保護(hù)的發(fā)明相一致的所有實(shí)施例�。相反���,它們只是與本發(fā)明所涉及的某些方面相一致的一些示例��。在任何可能的情況下����,貫穿附圖將使用相同的附圖標(biāo)記來標(biāo)識(shí)相同或相似的部件����。
[0012]根據(jù)本創(chuàng)新的方面,本文的系統(tǒng)可涉及一種包括計(jì)算節(jié)點(diǎn)的設(shè)備����,所述計(jì)算節(jié)點(diǎn)被配置成定義和/或執(zhí)行與虛擬機(jī)有關(guān)的處理。所述計(jì)算節(jié)點(diǎn)可被配置成啟用虛擬機(jī)和網(wǎng)絡(luò)的至少一部分之間的防火墻����。所述防火墻可被配置成例如,基于規(guī)則來檢測(cè)不期望的流量�����,諸如惡意攻擊或欺騙攻擊���,所述規(guī)則諸如與虛擬機(jī)和所述網(wǎng)絡(luò)的所述至少一部分之間的通信相關(guān)聯(lián)的以太網(wǎng)橋表�。在本文中使用的以太網(wǎng)橋表包括一個(gè)或多個(gè)防火墻進(jìn)程��、組件和/或規(guī)則列表���,所述規(guī)則列表應(yīng)用一組可配置的規(guī)則來檢查���、修改����、重路由��、丟棄或者檢查和/或修改在網(wǎng)絡(luò)堆棧的數(shù)據(jù)鏈路層傳遞的流量�����。此類修改和檢查可包括影響網(wǎng)絡(luò)堆棧的較高層的變更���,諸如較高層路由���、源和/或目標(biāo)地址或任何其他數(shù)據(jù)包內(nèi)容,因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上被交換或被發(fā)送到系統(tǒng)中的任一網(wǎng)絡(luò)或從系統(tǒng)中的任一網(wǎng)絡(luò)被接收�����。雖然上面內(nèi)容本身可通過‘以太網(wǎng)橋表’被執(zhí)行����,但是本文的其他實(shí)施例可通過更通用的‘規(guī)則列表’來執(zhí)行此種處理。在這種檢測(cè)之后����,在一些實(shí)施例中���,計(jì)算節(jié)點(diǎn)可被配置成響應(yīng)于防火墻檢測(cè)到虛擬機(jī)的欺騙攻擊而鎖定虛擬機(jī)��。
[0013]根據(jù)本創(chuàng)新的其他方面����,本文的方法可涉及處理關(guān)于計(jì)算節(jié)點(diǎn)和相關(guān)防火墻的信息,所述防火墻被配置成檢測(cè)和阻止涉及一個(gè)或多個(gè)網(wǎng)絡(luò)的不期望流量���。
[0014]如下所述����,本文的虛擬機(jī)防火墻系統(tǒng)和方法可被用于鎖定虛擬機(jī)和/或停止或阻止從虛擬機(jī)到網(wǎng)絡(luò)的流量���。圖1示出示例性虛擬機(jī)防火墻系統(tǒng)100的框圖���。系統(tǒng)100包括計(jì)算節(jié)點(diǎn)110、交換機(jī)130�����、計(jì)算節(jié)點(diǎn)110’、網(wǎng)絡(luò)140�、網(wǎng)絡(luò)管理器組件150、管理組件160��,該計(jì)算節(jié)點(diǎn)110包括虛擬機(jī)120����、虛擬機(jī)120’、防火墻132和以太網(wǎng)橋表134�。根據(jù)本文的實(shí)施例,計(jì)算節(jié)點(diǎn)110可被配置成定義虛擬機(jī)120以及啟用防火墻132�����。
[0015]計(jì)算節(jié)點(diǎn)110可以是配置成在網(wǎng)絡(luò)140內(nèi)部發(fā)送數(shù)據(jù)和/或發(fā)送數(shù)據(jù)到網(wǎng)絡(luò)140外部和/或接收來自網(wǎng)絡(luò)140內(nèi)部的數(shù)據(jù)和/或網(wǎng)絡(luò)140外部的數(shù)據(jù)的任一類型的裝置����。例如,在一些實(shí)施例中���,計(jì)算節(jié)點(diǎn)110可被配置成起到虛擬機(jī)主機(jī)���、服務(wù)器裝置(如網(wǎng)頁服務(wù)器裝置)、網(wǎng)絡(luò)管理裝置、數(shù)據(jù)儲(chǔ)存庫和/或者類似物的作用����。計(jì)算節(jié)點(diǎn)110被配置成,基于從另一計(jì)算節(jié)點(diǎn)���、網(wǎng)絡(luò)管理器裝置150或者防火墻和/或交換機(jī)130接收到的命令���、指令和/或其它指示����,來添加、移除�����、鎖定����、修改和/或編輯虛擬機(jī)和/或防火墻。具體地����,計(jì)算節(jié)點(diǎn)110可被配置成基于例如來自網(wǎng)絡(luò)管理器裝置150的命令定義虛擬機(jī)120。計(jì)算節(jié)點(diǎn)110可通過交換機(jī)130啟用和/或定義防火墻132�����,或可指示交換機(jī)130啟用和/或定義防火墻132。計(jì)算節(jié)點(diǎn)110包括物理端口 122�,所述物理端口 122配置成可操作地將計(jì)算節(jié)點(diǎn)110連接至交換機(jī)130。物理端口 122可包括任何數(shù)目的虛擬端口來將計(jì)算節(jié)點(diǎn)110的組件可操作地連接至交換機(jī)130���。在此類實(shí)施例中�,防火墻132能經(jīng)由物理端口 122的虛擬端口而可操作地連接至交換機(jī)130�����。
[0016]與本文的各種實(shí)施例一致��,計(jì)算節(jié)點(diǎn)110可包括至少一個(gè)存儲(chǔ)器136A�、一個(gè)或多個(gè)處理器/處理元件138A和/或其它組件142A。存儲(chǔ)器136A可以是例如隨機(jī)存取存儲(chǔ)器(RAM)�����、存儲(chǔ)緩沖器����、硬盤驅(qū)動(dòng)器、數(shù)據(jù)庫、可擦可編程只讀存儲(chǔ)器(EPROM)��、電可擦只讀存儲(chǔ)器(EEPROM)��、只讀存儲(chǔ)器(ROM)等�����。在某些實(shí)施例中�,計(jì)算節(jié)點(diǎn)110的存儲(chǔ)器136A包括用于定義虛擬機(jī)和/或啟用防火墻的數(shù)據(jù)。在某些實(shí)施例中��,所述存儲(chǔ)器存儲(chǔ)用以使處理器執(zhí)行與系統(tǒng)100相關(guān)聯(lián)的模塊�、進(jìn)程和/或功能的指令���。
[0017]計(jì)算節(jié)點(diǎn)110的(一個(gè)或多個(gè))處理器138A可以是被配置成運(yùn)行和/或執(zhí)行系統(tǒng)100的任何合適的處理裝置���。在某些實(shí)施例中,此種處理器可以是通用處理器����、現(xiàn)場(chǎng)可編程門陣列(FPGA)、專用集成電路(ASIC)����、數(shù)字信號(hào)處理器(DSP)和/或類似物��。此外���,該處理器可被配置成執(zhí)行用以操作系統(tǒng)100的模塊、功能和/或進(jìn)程�����。
[0018]在某些實(shí)施例中��,計(jì)算節(jié)點(diǎn)110和計(jì)算節(jié)點(diǎn)110’可操作被配置成定義管理器-代理關(guān)系的軟件和/或硬件元素��。在這樣的實(shí)施例中��,計(jì)算節(jié)點(diǎn)110’可操作管理器軟件和/或硬件�����,諸如�,配置成能使客戶、網(wǎng)絡(luò)管理器150和/或其他管理組件160在網(wǎng)絡(luò)140內(nèi)請(qǐng)求和/或預(yù)配置(provis1n)虛擬機(jī)的程序����。在這些實(shí)施例中����,計(jì)算節(jié)點(diǎn)110可操作代理軟件和/或硬件�,例如被配置成使計(jì)算節(jié)點(diǎn)能定義虛擬機(jī)、防火墻�����、表等的程序�����。這樣的元素可通過其它組件142A體現(xiàn)或被分布在系統(tǒng)內(nèi)的各種其它位置中�����。替選地���,諸如網(wǎng)絡(luò)管理器150、管理組件160等的位于網(wǎng)絡(luò)外的實(shí)體可被配置成�����,在這樣的管理器-代理關(guān)系或其他情況下����,執(zhí)行本文中提出的各類管理或其他創(chuàng)新特征(或者處理與執(zhí)行相關(guān)的信息)�����。
[0019]參閱圖1的說明性系統(tǒng)�����,計(jì)算節(jié)點(diǎn)110可操作地連接至交換機(jī)130�����。交換機(jī)130可被配置成將計(jì)算節(jié)點(diǎn)110連接到網(wǎng)絡(luò)140內(nèi)的一個(gè)或多個(gè)其它計(jì)算節(jié)點(diǎn)和/或通信設(shè)備�,和/或?qū)⒂?jì)算節(jié)點(diǎn)110連接到另一網(wǎng)絡(luò)內(nèi)的一個(gè)或多個(gè)計(jì)算節(jié)點(diǎn)和/或通信設(shè)備����。按照這樣的方式,交換機(jī)130可被配置成將虛擬機(jī)120可操作地連接到設(shè)置在網(wǎng)絡(luò)140內(nèi)或另一網(wǎng)絡(luò)內(nèi)的任意數(shù)量的其它計(jì)算節(jié)點(diǎn)和/或通信設(shè)備上的其它虛擬機(jī)�。交換機(jī)130可包括被配置成將計(jì)算節(jié)點(diǎn)110可操作地連接至交換機(jī)130的物理端口 136,且可包括虛擬端口(圖未示)���,所述虛擬端口被配置成將計(jì)算節(jié)點(diǎn)110的組件(例如虛擬機(jī)120)經(jīng)由防火墻132連接至所述交換機(jī)130��。
[0020]計(jì)算節(jié)點(diǎn)110包括一個(gè)或多個(gè)以太網(wǎng)橋表134�����。在此,舉例而言��,以太網(wǎng)橋表134可包括���,與計(jì)算節(jié)點(diǎn)110����、虛擬機(jī)120和通過物理端口和/或虛擬端口可操作地連接至交換機(jī)130的其他計(jì)算節(jié)點(diǎn)以及與所述其他計(jì)算節(jié)點(diǎn)相關(guān)聯(lián)的虛擬機(jī)之間的通信相關(guān)聯(lián)的轉(zhuǎn)發(fā)數(shù)據(jù)����。在某些實(shí)施例中,可例如通過偵測(cè)網(wǎng)絡(luò)140內(nèi)的洪水流量來定義和/或構(gòu)成以太網(wǎng)橋表134�。在某些實(shí)施例中,計(jì)算節(jié)點(diǎn)110可包括可被配置成包括或存取以太網(wǎng)橋表134的基于軟件的橋和/或交換機(jī)�。在這些實(shí)施例中,橋和/或交換機(jī)可被配置成轉(zhuǎn)發(fā)�、而不是路由數(shù)據(jù)包。
[0021]計(jì)算節(jié)點(diǎn)110也可包括防火墻132的一部分或全部�����。進(jìn)一步地���,此處的防火墻132可以是硬件和/或軟件(例如�����,存儲(chǔ)于存儲(chǔ)器中和/或在處理器上執(zhí)行)的組合��,所述硬件和/或軟件被配置成:(I)監(jiān)測(cè)通過交換機(jī)130的流量��,(2)檢測(cè)不期望的流量����,比如惡意流量��、欺騙攻擊����、錯(cuò)誤配置的或失效的虛擬機(jī)等,和/或(3)根據(jù)以太網(wǎng)橋表134阻止來自源和/或去往目的地的流量����。本文使用的不期望的流量是指,因一種或多種原因要被禁止的流量����,比如該流量是惡意的(如欺騙攻擊等)和/或該流量是錯(cuò)誤配置的�、失效的或出故障的虛擬機(jī)造成的結(jié)果�。除了其它方面之外,后者的例子包括過度聊天登錄系統(tǒng)�、諸如比特流(bit-torrent)的禁用協(xié)議,正發(fā)送無效數(shù)據(jù)包或者使網(wǎng)絡(luò)泛洪(flooding)的錯(cuò)誤配置的虛擬機(jī)����。
[0022]防火墻132可以是無狀態(tài)防火墻,例如在活動(dòng)會(huì)話期間不維持狀態(tài)信息的防火墻��。防火墻132也可以被配置成���,響應(yīng)于檢測(cè)到的來自于虛擬機(jī)120的不期望的流量自動(dòng)鎖定虛擬機(jī)120����,和/或可被配置成響應(yīng)于檢測(cè)到的來自虛擬機(jī)120的攻擊��,響應(yīng)于來自計(jì)算節(jié)點(diǎn)110的命令而鎖定虛擬機(jī)120�����。根據(jù)本發(fā)明的各種實(shí)施例��,防火墻132可被配置成檢測(cè)各種特定的惡意流量�,例如,介質(zhì)訪問控制(MAC)欺騙�、因特網(wǎng)協(xié)議(IP)地址欺騙、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)欺騙��、流氓DHCP服務(wù)器��、地址解析協(xié)議(ARP)欺騙����、ARP中毒以及其他相關(guān)攻擊。定義防火墻132的過程可包括定義以太網(wǎng)橋表134使得除了廣播數(shù)據(jù)包之夕卜����,只允許從虛擬機(jī)的介質(zhì)訪問控制(MAC)地址發(fā)送過來的數(shù)據(jù)包。防火墻132可被配置成例如允許DHCP請(qǐng)求和虛擬機(jī)響應(yīng)���,且可被配置成終止和/或阻止來自虛擬機(jī)的DHCP請(qǐng)求���。防火墻132可被配置成檢查DHCP數(shù)據(jù)包報(bào)頭以確定DHCP數(shù)據(jù)包的地址是否有效。防火墻132可被配置成鎖定以太網(wǎng)橋表134��,以僅傳送數(shù)據(jù)包至與有效的DHCP地址有關(guān)聯(lián)的IP地址���,以及傳送來自與有效的DHCP地址有關(guān)聯(lián)的IP地址的數(shù)據(jù)包���。在此類實(shí)施例中�,防火墻132可鎖定以太網(wǎng)橋表134以僅轉(zhuǎn)發(fā)來自該IP地址的ARP數(shù)據(jù)包����。
[0023]在本文的各種創(chuàng)新中,防火墻132可被配置成監(jiān)測(cè)和/或過濾鏈路層(即���,第2層)的流量�����。根據(jù)一些實(shí)施例��,例如���,在轉(zhuǎn)發(fā)期間、但在路由之前���,防火墻132可監(jiān)測(cè)和/或過濾虛擬機(jī)流量����。以此方式,不期望的流量�����,諸如惡意攻擊流量���,可在其到達(dá)交換機(jī)130或計(jì)算節(jié)點(diǎn)110中的另一虛擬機(jī)(例如,虛擬機(jī)120’ )之前�����,在虛擬硬件層面(例如�����,虛擬機(jī)層面)被丟棄��。防火墻132可通過執(zhí)行例如深度數(shù)據(jù)包檢查使用鏈路層信息(諸如���,MAC地址)或使用其它信息(諸如����,IP地址�,DHCP地址等)例如在路由之前監(jiān)測(cè)和/或過濾鏈路層的流量。防火墻132可被配置成使用數(shù)據(jù)包捕獲機(jī)制(諸如,舉例而言,linux Kernalpcap)監(jiān)測(cè)流量。
[0024]根據(jù)一些實(shí)施例��,交換機(jī)130可包括一個(gè)或多個(gè)存儲(chǔ)器136B�、處理器138B和/或在操作上與本文提出的特征和功能有關(guān)或關(guān)聯(lián)的其它組件142B。這里���,舉例而言�,交換機(jī)130的這樣的(一個(gè)或多個(gè))處理器138B和存儲(chǔ)器136B可基本上類似于上面所描述的計(jì)算節(jié)點(diǎn)110的處理器和存儲(chǔ)器�����。在一些實(shí)施例中����,交換機(jī)130的處理器138B可被配置成,將經(jīng)由物理端口和/或虛擬端口來自計(jì)算節(jié)點(diǎn)110和/或虛擬機(jī)120的數(shù)據(jù)(例如��,數(shù)據(jù)包�����、單元等)經(jīng)由另一物理端口和/或虛擬端口轉(zhuǎn)發(fā)至另一計(jì)算節(jié)點(diǎn)����、其他交換機(jī)和/或網(wǎng)絡(luò)和/或虛擬機(jī)����。在此類實(shí)施例中�����,交換機(jī)130的處理器138B可參照可存儲(chǔ)在交換機(jī)130的存儲(chǔ)器136B中的以太網(wǎng)橋表134�����。交換機(jī)130的處理器138B可被配置成執(zhí)行用以轉(zhuǎn)發(fā)數(shù)據(jù)����、定義表和/或定義和/或啟用防火墻的模塊��、功能和/或進(jìn)程����。交換機(jī)130的存儲(chǔ)器可存儲(chǔ)用以使處理器執(zhí)行與交換機(jī)130相關(guān)的模塊、進(jìn)程和/或功能的指令��。
[0025]圖2示出與圖1中示出的系統(tǒng)100相一致的一種操作方法200的流程圖���。參照?qǐng)D2的示例性實(shí)施例���,說明性方法200可包括����,在202處�����,定義虛擬機(jī)���。在一些實(shí)施例中�,計(jì)算節(jié)點(diǎn)110可從網(wǎng)絡(luò)管理器裝置150����、另一計(jì)算節(jié)點(diǎn)(110’或其他)、管理組件160等中的一者或多者接收指令����,并且響應(yīng)于該指令,定義虛擬機(jī)120����。轉(zhuǎn)回圖2,說明性方法200接著可包括�����,在204,啟用所述虛擬機(jī)和網(wǎng)絡(luò)的至少一部分之間的防火墻�����,所述防火墻被配置成基于與所述虛擬機(jī)和網(wǎng)絡(luò)的所述至少一部分之間的通信相關(guān)聯(lián)的以太網(wǎng)橋表�����,檢測(cè)不期望的流量��。在一些實(shí)施例中��,計(jì)算節(jié)點(diǎn)110可發(fā)送用以定義和/或啟用防火墻132的指令至交換機(jī)130�����。在此類實(shí)施例中��,防火墻132可邏輯地設(shè)置在虛擬機(jī)120和網(wǎng)絡(luò)140的其他部分之間����,且可基于以太網(wǎng)橋表134檢測(cè)來自虛擬機(jī)120的不期望流量和/或惡意攻擊���。在圖2中���,方法200接著包括��,在206��,響應(yīng)于防火墻檢測(cè)到虛擬機(jī)的不期望流量���,將虛擬機(jī)鎖定。在一些實(shí)施例中�,計(jì)算節(jié)點(diǎn)110可從交換機(jī)130和/或防火墻132接收檢測(cè)到來自虛擬機(jī)120的不期望流量的指示,且可發(fā)送指令至交換機(jī)130和/或防火墻132以鎖定虛擬機(jī)120�。在其他實(shí)施例中,當(dāng)檢測(cè)到不期望的流量時(shí)���,交換機(jī)130和/或防火墻132可自動(dòng)鎖定虛擬機(jī)120�����,和/或由防火墻132阻止流量����。
[0026]圖3是示出根據(jù)公開的實(shí)施例的操作虛擬機(jī)防火墻系統(tǒng)的另一方法的流程圖���。在圖3中��,與本文的其他方法一樣�����,與方法步驟的執(zhí)行有關(guān)的處理可由系統(tǒng)內(nèi)各種實(shí)體中的一者或多者來執(zhí)行���。舉例而言�����,方法步驟或與方法步驟有關(guān)的處理可由一個(gè)或多個(gè)計(jì)算節(jié)點(diǎn)110�����、110’、一個(gè)或多個(gè)交換機(jī)130����、一個(gè)或多個(gè)網(wǎng)絡(luò)管理器組件150、和/或一個(gè)或多個(gè)管理組件160執(zhí)行����。根據(jù)圖3所示的示例性實(shí)施例���,說明性方法可包括:在302,處理與啟用或定義一個(gè)或多個(gè)虛擬機(jī)有關(guān)的信息���;在304���,處理與啟用或定義一個(gè)或多個(gè)虛擬機(jī)和網(wǎng)絡(luò)之間的防火墻有關(guān)的信息,所述防火墻被配置成基于以太網(wǎng)橋表檢測(cè)不期望的流量��;以及在306��,處理與響應(yīng)于檢測(cè)到不期望流量而鎖定/停止/阻止虛擬機(jī)有關(guān)的信息��。
[0027]圖4是示出根據(jù)公開的實(shí)施例的操作虛擬機(jī)防火墻系統(tǒng)的另一方法的流程圖�����。在圖4中�����,與本文的其他圖和過程一樣�,與方法步驟的執(zhí)行有關(guān)的處理可由系統(tǒng)內(nèi)各種實(shí)體中的一者或多者來執(zhí)行。舉例而言,方法步驟或與方法步驟有關(guān)的處理可由一個(gè)或多個(gè)計(jì)算節(jié)點(diǎn)110�����、110’�����、一個(gè)或多個(gè)交換機(jī)130��、一個(gè)或多個(gè)網(wǎng)絡(luò)管理器組件150�����、和/或一個(gè)或多個(gè)管理組件160執(zhí)行���。根據(jù)圖4所示的示例性實(shí)施例���,另一說明性方法可包括:在402,處理與啟用或定義一個(gè)或多個(gè)虛擬機(jī)有關(guān)的信息���;在404,處理與啟用一個(gè)或多個(gè)虛擬機(jī)和網(wǎng)絡(luò)之間的防火墻有關(guān)的信息�����,其中所述防火墻被配置成,基于以太網(wǎng)橋表檢測(cè)不期望的流量以及監(jiān)測(cè)/過濾鏈路層(第2層)的流量�����;以及在406�,處理與響應(yīng)于檢測(cè)到不期望流量而鎖定/停止/阻止虛擬機(jī)有關(guān)的信息。
[0028]關(guān)于流量的監(jiān)測(cè)/過濾����,防火墻可被配置成監(jiān)測(cè)和/或過濾鏈路層(如在OSI模型中提到的第2層或數(shù)據(jù)鏈路層)的流量,使得在轉(zhuǎn)發(fā)期間但在路由之前��,防火墻可監(jiān)測(cè)和/或過濾虛擬機(jī)流量����。在路由之前的這種在第2層的監(jiān)測(cè)和過濾,允許本文中的實(shí)施例在不期望的或惡意的流量被任何其他網(wǎng)絡(luò)對(duì)等端接收之前�����,終止所述不期望的或惡意的流量����,所述網(wǎng)絡(luò)對(duì)等端諸如計(jì)算節(jié)點(diǎn)110’、110’、交換機(jī)130或例如附接至節(jié)點(diǎn)122或網(wǎng)絡(luò)140的任何其他裝置�����。通過此類在實(shí)際物理鏈路之上的最低通信層面上的處理實(shí)現(xiàn)了其他益處����,其中,數(shù)據(jù)在同一物理網(wǎng)絡(luò)上的對(duì)等端之間交換����,發(fā)生在TCP/IP網(wǎng)絡(luò)層之下���。舉例而言,第2層本身是無狀態(tài)的���,意味著本文中的實(shí)施例為了保持通信�,不必須存儲(chǔ)/處理數(shù)據(jù)包到數(shù)據(jù)包的細(xì)節(jié)�。因此,這些實(shí)施例不需要像第3層通信必須包括記錄的方式那樣保持以往流量的記錄����。進(jìn)一步地,在不需要保持狀態(tài)信息的情況下同樣可檢查第2層數(shù)據(jù)包以監(jiān)測(cè)它們第3層的內(nèi)容�����,S卩�����,檢查報(bào)頭以查看數(shù)據(jù)包的類型或數(shù)據(jù)包的來源或目的地�����。如此���,在不期望的流量到達(dá)交換機(jī)或計(jì)算節(jié)點(diǎn)內(nèi)的另一虛擬機(jī)之前��,可在虛擬硬件/虛擬機(jī)層面有利地丟棄所述不期望的流量�。
[0029]圖5是示出根據(jù)公開的實(shí)施例的操作虛擬機(jī)防火墻系統(tǒng)的又一方法的流程圖�。根據(jù)圖5中所示的示例性實(shí)施例,另一說明性方法可首先包括:在502����,處理有關(guān)啟用或定義一個(gè)或多個(gè)虛擬機(jī)的信息的可選步驟。此處����,舉例來說�,雖然計(jì)算節(jié)點(diǎn)110�、110’可執(zhí)行對(duì)與本文創(chuàng)新相關(guān)聯(lián)的這樣的信息的處理,但是此最初的處理(同本文中的其他特征和功能一樣)也可在先前被執(zhí)行和/或甚至被各種其他組件執(zhí)行����,所述其他組件諸如網(wǎng)絡(luò)管理器150、管理組件160等����。轉(zhuǎn)回到圖5,該方法接著可包括:在504�����,處理用以啟用在一個(gè)或多個(gè)虛擬機(jī)和網(wǎng)絡(luò)之間的防火墻的信息�����,其中所述防火墻被配置成基于以太網(wǎng)橋表來檢測(cè)不期望的流量����;之后在506,通過防火墻處理與不期望流量的檢測(cè)相關(guān)的信息�,所述防火墻監(jiān)測(cè)/過濾鏈路層(第2層)的流量;然后在508�����,響應(yīng)于檢測(cè)到不期望的流量,處理用以鎖定/停止/阻止虛擬機(jī)的信息��。
[0030]圖6表示示出了與根據(jù)本文的實(shí)施例的操作虛擬機(jī)防火墻系統(tǒng)相關(guān)的說明性處理的代表性的流程/狀態(tài)圖�。流程圖600包括:在602�����,第一計(jì)算節(jié)點(diǎn)(如代理)603接收來自第二計(jì)算節(jié)點(diǎn)(如管理器)601的用以定義或啟動(dòng)虛擬機(jī)(VM)的指令�����。在這里��,雖然在圖中顯示為分離的�����,但該管理器節(jié)點(diǎn)和代理節(jié)點(diǎn)可以是相同的物理節(jié)點(diǎn)或位于相同的物理節(jié)點(diǎn)中��,或甚至在相同的進(jìn)程/軟件中��。在604����,所述代理可驗(yàn)證來自管理器的指令且定義虛擬機(jī)��。虛擬機(jī)可接著通過向網(wǎng)絡(luò)發(fā)送網(wǎng)絡(luò)地址請(qǐng)求并接收有效的DHCP響應(yīng)�,或通過使用預(yù)定義的或動(dòng)態(tài)生成的配置值來配置其聯(lián)網(wǎng)��。
[0031]在606����,該代理啟用或定義防火墻(FW) 609以監(jiān)測(cè)來自虛擬機(jī)的流量。在一些實(shí)施例中�����,該代理可發(fā)送指令或其它指示以啟用和/或定義防火墻���。在608����,該代理通過指令或信號(hào)向管理器報(bào)告虛擬機(jī)的定義��。圖6的不例中�,在610,虛擬機(jī)嘗試惡意攻擊。在該不例中�����,惡意攻擊可以是欺騙攻擊,尤其是嘗試假冒網(wǎng)絡(luò)內(nèi)另一計(jì)算節(jié)點(diǎn)的IP地址�。在此類實(shí)施例中,防火墻609可停止與欺騙攻擊相關(guān)的流量�,例如,包括與虛擬機(jī)不相關(guān)的MAC地址的數(shù)據(jù)幀或數(shù)據(jù)單元��。在此類實(shí)施例中�,防火墻基于代理的以太網(wǎng)橋表中包含的信息檢測(cè)欺騙攻擊���,且阻止與欺騙攻擊有關(guān)的流量��。在其他示例中�����,虛擬機(jī)可能嘗試任一類型的惡意攻擊�。當(dāng)防火墻檢測(cè)到欺騙攻擊時(shí)�����,在612�����,代理發(fā)送用以鎖定虛擬機(jī)的指令到防火墻,使得在614���,來自虛擬機(jī)的所有流量都被阻止����。
[0032]根據(jù)另外的實(shí)施例��,在616�,代理可接著接收來自管理器的重新啟動(dòng)虛擬機(jī)的指令。在一些實(shí)施例中�����,來自管理器的該指令可基于來自客戶或其它用戶的重新啟動(dòng)虛擬機(jī)的請(qǐng)求���。在618�,該代理重新啟動(dòng)虛擬機(jī)�,且在620,發(fā)送解除虛擬機(jī)的鎖定的指令到防火墻��。在622,該虛擬機(jī)向網(wǎng)絡(luò)發(fā)送網(wǎng)絡(luò)地址請(qǐng)求�����,且在624�,該虛擬機(jī)接收有效的DHCP響應(yīng)。在626���,該代理向防火墻發(fā)送將IP地址與虛擬機(jī)鎖定的指令���。該虛擬機(jī)分別在628和630經(jīng)由網(wǎng)絡(luò)發(fā)送和接收流量。
[0033]在圖6的示例中示出的進(jìn)一步處理中�,在632,虛擬機(jī)被顯示為嘗試惡意攻擊��,例如IP欺騙攻擊����。在此類實(shí)施例中��,防火墻可停止與欺騙攻擊相關(guān)的流量����,例如包括與虛擬機(jī)不相關(guān)的IP地址的數(shù)據(jù)幀或數(shù)據(jù)單元。在此類實(shí)施例中,防火墻基于代理的以太網(wǎng)橋表中包含的信息檢測(cè)欺騙攻擊并阻止與欺騙攻擊相關(guān)的流量����。當(dāng)代理檢測(cè)到欺騙攻擊時(shí),在634�����,該代理發(fā)送鎖定虛擬機(jī)的指令到防火墻����。在圖6的示例中,在636�,虛擬機(jī)還嘗試第二次惡意攻擊,例如���,流氓DHCP攻擊�����。在此類流氓DHCP攻擊中�,虛擬機(jī)可表現(xiàn)得像DHCP服務(wù)器�����,且可嘗試經(jīng)由防火墻發(fā)送DHCP請(qǐng)求到網(wǎng)絡(luò)基礎(chǔ)設(shè)施607。在這種流氓DHCP攻擊中�����,防火墻可停止與欺騙攻擊有關(guān)的流量����,例如包含DHCP提供的數(shù)據(jù)幀或數(shù)據(jù)單元。當(dāng)該代理檢測(cè)到惡意攻擊時(shí)����,在638,防火墻可被配置成或被指示鎖定來自虛擬機(jī)的所有流量����。
[0034]除非上下文明確指出,本說明書中使用的單數(shù)形式“一”和“所述”包括復(fù)數(shù)參照對(duì)象�。因此,例如�,術(shù)語“一防火墻”意圖指單一的防火墻�����,或多個(gè)防火墻的組合����。
[0035]本文中描述的一些實(shí)施例涉及具有計(jì)算機(jī)可讀介質(zhì)(也可稱為處理器可讀介質(zhì))的計(jì)算機(jī)存儲(chǔ)產(chǎn)品���,該計(jì)算機(jī)可讀介質(zhì)上具有用以執(zhí)行各種計(jì)算機(jī)實(shí)現(xiàn)的操作的指令或計(jì)算機(jī)代碼。該介質(zhì)和計(jì)算機(jī)代碼(也可被稱為代碼)可是為了特定目的而被設(shè)計(jì)和構(gòu)造的代碼�����。計(jì)算機(jī)可讀介質(zhì)的示例包括但不限于:磁存儲(chǔ)介質(zhì)��,如硬盤�、軟盤、磁帶�����;光存儲(chǔ)介質(zhì)�,如光盤/數(shù)字視頻光盤(CD/DVD)、光盤只讀存儲(chǔ)器(CD-ROM)以及全息裝置���;磁光存儲(chǔ)介質(zhì)�����,如光盤���;載波信號(hào)處理模塊��;被具體配置成存儲(chǔ)和執(zhí)行程序代碼的硬件裝置�,如專用集成電路(ASIC)�����、可編程序邏輯裝置(PLD)���、只讀存儲(chǔ)器(ROM)和隨機(jī)存儲(chǔ)存儲(chǔ)器(RAM)裝置��。
[0036]計(jì)算機(jī)代碼的示例包括但不限于:微代碼或微指令���、諸如通過編譯器產(chǎn)生的機(jī)器指令、用于產(chǎn)生網(wǎng)頁服務(wù)的代碼以及包含較高等級(jí)指令的文件�����,所述較高等級(jí)指令由計(jì)算機(jī)使用解譯器執(zhí)行����。舉例而言���,實(shí)施例可使用Java��,C++或其它編程語言(舉例���,面向?qū)ο蟮木幊陶Z言)和開發(fā)工具來實(shí)施�。計(jì)算機(jī)代碼的其它示例包括但不限于:控制信號(hào)���、加密代碼和壓縮代碼�����。
[0037]雖然上文已描述了各種實(shí)施例�����,但是應(yīng)理解的是�,它們只是以示例而非限制的形式呈現(xiàn)���,可以在形式和細(xì)節(jié)上做出各種改變����。本文中描述的設(shè)備和/或方法的任意部分可以以任意組合被組合����,除相互排斥的組合外�����。本文中所描述的實(shí)施例可包括����,描述的不同實(shí)施例的功能���、組件和/或特征的各種組合和/或子組合��。例如�,雖然圖1示出虛擬機(jī)120設(shè)置在計(jì)算節(jié)點(diǎn)110內(nèi)�,但在一些實(shí)施例中,虛擬機(jī)120可邏輯上位于計(jì)算節(jié)點(diǎn)110內(nèi)但物理上位于另一位置��。在一些實(shí)施例中����,任一攻擊可被不同的攻擊取代。例如�����,雖然方法600可在636處包括DHCP攻擊,但是在一些實(shí)施例中����,方法600可在636處包括ARP攻擊���。
[0038]盡管在本文中已具體描述了目前公開的一些發(fā)明實(shí)施例��,但對(duì)本發(fā)明所屬領(lǐng)域中的技術(shù)人員顯而易見的是����,在不背離本發(fā)明的精神和范圍的情況下�����,可對(duì)本文所示和描述的各種實(shí)施例進(jìn)行改變和修改����。因此,意圖是���,本文的權(quán)利要求和發(fā)明僅在適用法規(guī)要求的程度上受限制���。
【權(quán)利要求】
1.一種用于處理網(wǎng)絡(luò)上的關(guān)于一個(gè)或多個(gè)虛擬機(jī)和所述網(wǎng)絡(luò)之間的通信的流量的方法����,所述方法包括: 通過計(jì)算節(jié)點(diǎn)��,啟用所述一個(gè)或多個(gè)虛擬機(jī)和網(wǎng)絡(luò)的至少一部分之間的防火墻�����,所述防火墻被配置成基于與所述一個(gè)或多個(gè)虛擬機(jī)和所述網(wǎng)絡(luò)之間的通信相關(guān)聯(lián)的規(guī)則列表來處理第2層的流量以檢測(cè)不期望的流量��;以及 響應(yīng)于所述防火墻檢測(cè)到不期望的流量��,鎖定/停止/阻止虛擬機(jī)��。
2.根據(jù)權(quán)利要求1所述的方法�,還包括啟用或定義虛擬機(jī)。
3.根據(jù)本文任一項(xiàng)權(quán)利要求所述的方法�,其中,所述鎖定/停止/阻止虛擬機(jī)包括通過所述防火墻停止與所述不期望的流量相關(guān)聯(lián)的流量�����,其中����,停止流量包括停止包括不與所述虛擬機(jī)相關(guān)聯(lián)的DHCP提供和/或MAC地址的數(shù)據(jù)幀或數(shù)據(jù)單元����。
4.根據(jù)本文任一項(xiàng)權(quán)利要求所述的方法�,其中,所述防火墻基于代理的以太網(wǎng)橋表中包含的信息��,檢測(cè)所述不期望的流量并阻止與所述不期望的流量相關(guān)聯(lián)的流量����。
5.根據(jù)本文任一項(xiàng)權(quán)利要求所述的方法���,還包括���,在檢測(cè)到所述不期望的流量之后,執(zhí)行關(guān)于重新啟動(dòng)所述虛擬機(jī)的處理�,所述關(guān)于重新啟動(dòng)所述虛擬機(jī)的處理涉及以下步驟中的一個(gè)或多個(gè)步驟: 處理來自管理器組件的用以重新啟動(dòng)所述虛擬機(jī)的一個(gè)或多個(gè)指令; 重新啟動(dòng)所述虛擬機(jī)�; 處理向所述防火墻的用以對(duì)所述虛擬機(jī)解鎖的指令; 處理關(guān)于由所述虛擬機(jī)向所述網(wǎng)絡(luò)發(fā)送網(wǎng)絡(luò)地址請(qǐng)求的指令���; 處理關(guān)于由所述虛擬機(jī)接收回應(yīng)所述請(qǐng)求的有效響應(yīng)的信息�����,和/或 處理關(guān)于由代理組件向所述防火墻發(fā)送用以將IP地址與所述虛擬機(jī)鎖定的指令的信肩����、O
6.根據(jù)權(quán)利要求5或本文的其它權(quán)利要求所述的方法,其中����,來自所述管理器的指令基于來自客戶或其它用戶的重新啟動(dòng)所述虛擬機(jī)的請(qǐng)求。
7.根據(jù)前述任一項(xiàng)權(quán)利要求所述的方法�����,還包括執(zhí)行用以應(yīng)付流氓DHCP攻擊的處理����,所述用以應(yīng)付流氓DHCP攻擊的處理包括: 通過代理組件檢測(cè)所述虛擬機(jī)經(jīng)由所述防火墻發(fā)送DHCP請(qǐng)求到網(wǎng)絡(luò)基礎(chǔ)設(shè)施的嘗試,其中�,所述虛擬機(jī)表現(xiàn)得像DHCP服務(wù)器,以及 處理用以使所述防火墻停止或阻止來自所述虛擬機(jī)的全部流量的指令���。
8.根據(jù)本文任一項(xiàng)權(quán)利要求所述的方法��,還包括通過管理器組件和代理組件定義管理器-代理關(guān)系�。
9.根據(jù)權(quán)利要求8所述的方法,其中�,所述管理器組件包括程序和/或被配置成與程序合作,所述程序使客戶�、網(wǎng)絡(luò)管理器、和/或管理組件能夠請(qǐng)求和/或預(yù)配置所述網(wǎng)絡(luò)中的虛擬機(jī)���。
10.根據(jù)權(quán)利要求8所述的方法����,其中�,所述代理組件向所述防火墻提供指令�,所述代理組件被配置成向所述防火墻發(fā)送用以鎖定所述虛擬機(jī)的指令,使得來自所述虛擬機(jī)的所有流量被阻止����。
11.根據(jù)本文任一項(xiàng)權(quán)利要求所述的方法,其中�,所述防火墻被配置成監(jiān)測(cè)和/或過濾鏈路層(第2層)的流量,使得所述防火墻能夠監(jiān)測(cè)和/或過濾轉(zhuǎn)發(fā)期間但在路由之前的虛擬機(jī)流量�����。
12.根據(jù)權(quán)利要求11或本文的其它權(quán)利要求所述的方法��,其中,在不期望的流量到達(dá)交換機(jī)或所述計(jì)算節(jié)點(diǎn)中的另一虛擬機(jī)之前����,在虛擬硬件/虛擬機(jī)層面丟棄所述不期望的流量。
13.根據(jù)權(quán)利要求11或本文的其它權(quán)利要求所述的方法���,其中�,所述防火墻被配置成�,在路由之前,通過以下的一種或多種來監(jiān)測(cè)和/或過濾所述鏈路層的流量:使用鏈路層信息���,諸如MAC地址�;使用其他信息���,諸如���,IP地址或DHCP地址;執(zhí)行深度數(shù)據(jù)包檢查�����;和/或使用數(shù)據(jù)包捕獲機(jī)制���,諸如Linux Kernal pcap�。
14.一種用于處理網(wǎng)絡(luò)上的關(guān)于一個(gè)或多個(gè)虛擬機(jī)和所述網(wǎng)絡(luò)之間的通信的流量的方法,所述方法包括: 處理與以下有關(guān)的信息:通過計(jì)算節(jié)點(diǎn)啟用或定義所述一個(gè)或多個(gè)虛擬機(jī)和網(wǎng)絡(luò)的至少一部分之間的防火墻����; 處理與以下有關(guān)的信息:通過所述防火墻基于與所述一個(gè)或多個(gè)虛擬機(jī)和所述網(wǎng)絡(luò)之間的通信相關(guān)聯(lián)的以太網(wǎng)橋表檢測(cè)不期望的流量;以及 處理與以下有關(guān)的信息:響應(yīng)于檢測(cè)到不期望的流量�����,鎖定/停止/阻止虛擬機(jī)���。
15.—種系統(tǒng),包括: 計(jì)算節(jié)點(diǎn)�����,所述計(jì)算節(jié)點(diǎn)包括規(guī)則列表或以太網(wǎng)橋表或訪問規(guī)則列表或以太網(wǎng)橋表,所述計(jì)算節(jié)點(diǎn)被配置成: 定義一個(gè)或多個(gè)虛擬機(jī)�����; 啟用至少一個(gè)虛擬機(jī)和網(wǎng)絡(luò)的至少一部分之間的防火墻����,所述防火墻被配置成基于與所述至少一個(gè)虛擬機(jī)和所述網(wǎng)絡(luò)的所述至少一部分之間的通信相關(guān)聯(lián)的所述規(guī)則列表或所述以太網(wǎng)橋表檢測(cè)不期望的流量����;以及 響應(yīng)于所述防火墻檢測(cè)到不期望的流量����,鎖定、停止或阻止虛擬機(jī)�����。
16.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明����,其中,所述不期望的流量包括惡意攻擊或欺騙攻擊��,所述惡意攻擊或欺騙攻擊包含假冒所述網(wǎng)絡(luò)中的另一計(jì)算節(jié)點(diǎn)的IP地址的嘗試�。
17.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明,其中�,所述鎖定或阻止所述虛擬機(jī)包括,通過所述防火墻停止與所述不期望的流量相關(guān)聯(lián)的流量���。
18.根據(jù)權(quán)利要求17所述的發(fā)明�����,其中��,所述停止流量包括停止包括不與所述虛擬機(jī)相關(guān)聯(lián)的MAC地址的數(shù)據(jù)幀或數(shù)據(jù)單元��。
19.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明����,其中,所述計(jì)算節(jié)點(diǎn)/防火墻檢測(cè)所述不期望的流量�,并基于代理的所述以太網(wǎng)橋表中包括的信息阻止與所述不期望的流量相關(guān)聯(lián)的流量。
20.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明�����,其中��,所述計(jì)算節(jié)點(diǎn)包括向所述防火墻提供指令的代理組件���,所述代理組件被配置成�����,發(fā)送用以鎖定所述虛擬機(jī)的指令,使得來自所述虛擬機(jī)的所有流量被阻止�。
21.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明���,其中,所述計(jì)算節(jié)點(diǎn)還被配置成: 啟用和/或定義所述計(jì)算節(jié)點(diǎn)或交換機(jī)上的所述防火墻���;和/或 指示相關(guān)聯(lián)的交換機(jī)啟用和/或定義所述防火墻���。
22.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明,其中���,所述計(jì)算節(jié)點(diǎn)包括管理器組件和代理組件�,所述管理器組件和所述代理組件被配置為定義管理器-代理關(guān)系����。
23.根據(jù)權(quán)利要求22或本文其他權(quán)利要求所述的發(fā)明,其中��,所述管理器組件包括程序和/或被配置成與程序合作����,所述程序使客戶、網(wǎng)絡(luò)管理器�、和/或管理組件能夠請(qǐng)求和/或預(yù)配置所述網(wǎng)絡(luò)中的虛擬機(jī)。
24.根據(jù)權(quán)利要求22、權(quán)利要求23或本文其他權(quán)利要求所述的發(fā)明����,其中,所述代理組件包括程序和/或被配置成與程序合作���,所述程序使計(jì)算節(jié)點(diǎn)能夠定義虛擬機(jī)�、防火墻和/或表����。
25.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明,其中�����,所述規(guī)則列表或所述以太網(wǎng)橋表包括與所述計(jì)算節(jié)點(diǎn)和所述虛擬機(jī)之間的通信相關(guān)聯(lián)的轉(zhuǎn)發(fā)數(shù)據(jù)以及與其他計(jì)算節(jié)點(diǎn)和其它虛擬機(jī)相關(guān)聯(lián)的數(shù)據(jù)����,所述其他虛擬機(jī)與所述其它計(jì)算節(jié)點(diǎn)相關(guān)聯(lián)。
26.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明���,其中���,通過偵測(cè)網(wǎng)絡(luò)中的洪水流量來定義和/或構(gòu)成所述規(guī)則列表或所述以太網(wǎng)橋表��。
27.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明,其中����,所述計(jì)算節(jié)點(diǎn)包括基于軟件的橋和/或交換機(jī),所述基于軟件的橋和/或所述交換機(jī)能夠被配置成包括所述規(guī)則列表或所述以太網(wǎng)橋表或訪問所述規(guī)則列表或所述以太網(wǎng)橋表�。
28.根據(jù)權(quán)利要求27或本文其他權(quán)利要求所述的發(fā)明,其中��,所述橋和/或所述交換機(jī)能夠被配置成轉(zhuǎn)發(fā)但不路由數(shù)據(jù)包����。
29.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明,其中����,所述防火墻被配置成,根據(jù)所述規(guī)則列表或所述以太網(wǎng)橋表����,監(jiān)測(cè)經(jīng)過相關(guān)聯(lián)的交換機(jī)的流量、檢測(cè)不期望的流量�����、和/或阻止來自源和/或目的地的流量。
30.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明���,其中����,所述防火墻:是無狀態(tài)防火墻�;在活動(dòng)會(huì)話期間不維持狀態(tài)信息;被配置成響應(yīng)于來自所述虛擬機(jī)的檢測(cè)到的惡意攻擊而自動(dòng)鎖定所述虛擬機(jī)����;被配置成響應(yīng)于來自虛擬機(jī)的檢測(cè)到的攻擊而響應(yīng)于來自所述計(jì)算節(jié)點(diǎn)的命令而鎖定所述虛擬機(jī);和/或被配置成檢測(cè)介質(zhì)訪問控制(MAC)欺騙�、因特網(wǎng)協(xié)議(IP)地址欺騙、動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)欺騙�����、流氓DHCP服務(wù)器��、地址解析協(xié)議(ARP)欺騙�����、ARP中毒���、以及其他相關(guān)攻擊�����。
31.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明�,還包括定義所述防火墻的過程��,所述定義所述防火墻的過程包括定義所述規(guī)則列表或所述以太網(wǎng)橋表��,使得除了廣播數(shù)據(jù)包之外��,只允許從所述虛擬機(jī)的介質(zhì)訪問控制(MAC)地址發(fā)送的數(shù)據(jù)包�。
32.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明,其中����,所述防火墻被配置成允許DHCP請(qǐng)求和虛擬機(jī)響應(yīng),且被配置成終止和/或阻止來自所述虛擬機(jī)的DHCP請(qǐng)求���,和/或被配置成檢查DHCP數(shù)據(jù)包的報(bào)頭以確定所述DHCP數(shù)據(jù)包的地址是否有效����。
33.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明���,其中�,所述防火墻被配置成鎖定所述規(guī)則列表或所述以太網(wǎng)橋表,以僅向與有效的DHCP地址相關(guān)聯(lián)的IP地址傳送數(shù)據(jù)包�,以及僅傳送來自與有效的DHCP地址相關(guān)聯(lián)的IP地址的數(shù)據(jù)包。
34.根據(jù)權(quán)利要求33或本文的其它權(quán)利要求所述的發(fā)明�,其中,所述防火墻被配置成鎖定所述規(guī)則列表或所述以太網(wǎng)橋表���,以僅轉(zhuǎn)發(fā)來自相關(guān)聯(lián)的IP地址的ARP數(shù)據(jù)包����。
35.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明���,其中���,所述防火墻被配置成監(jiān)測(cè)和/或過濾在所述鏈路層(第2層)的流量,使得所述防火墻能夠在轉(zhuǎn)發(fā)期間但在路由之前監(jiān)測(cè)和/或過濾虛擬機(jī)流量��。
36.根據(jù)權(quán)利要求35或本文的其它權(quán)利要求所述的發(fā)明�����,其中��,在不期望的流量到達(dá)交換機(jī)或所述計(jì)算節(jié)點(diǎn)中的另一虛擬機(jī)之前,在虛擬硬件/虛擬機(jī)層面丟棄所述不期望的流量����。
37.根據(jù)權(quán)利要求35或本文的其它權(quán)利要求所述的發(fā)明,其中����,所述防火墻被配置成在路由之前通過以下中的一種或多種來監(jiān)測(cè)和/或過濾所述鏈路層的流量:使用鏈路層信息,諸如MAC地址���;使用其他信息,諸如�����,IP地址或DHCP地址���;執(zhí)行深度數(shù)據(jù)包檢查��;和/或使用數(shù)據(jù)包捕獲機(jī)制��,諸如Linux Kernal pcap����。
38.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明,其中�,根據(jù)所述計(jì)算節(jié)點(diǎn)接收來自網(wǎng)絡(luò)管理器裝置、管理器計(jì)算節(jié)點(diǎn)和/或管理組件的指令��,來定義所述虛擬機(jī)�,其中,所述計(jì)算節(jié)點(diǎn)響應(yīng)于所述指令來定義所述虛擬機(jī)��。
39.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明����,其中,所述計(jì)算節(jié)點(diǎn)被配置成向交換機(jī)發(fā)送用以定義和/或啟用所述防火墻的指令����。
40.根據(jù)權(quán)利要求39或本文其它權(quán)利要求所述的發(fā)明,其中��,所述防火墻被邏輯地設(shè)置在所述虛擬機(jī)和所述網(wǎng)絡(luò)之間��,且能夠基于所述規(guī)則列表或所述以太網(wǎng)橋表檢測(cè)來自所述虛擬機(jī)的不期望的流量����。
41.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明,其中�,所述計(jì)算節(jié)點(diǎn)被配置成: 接收來自交換機(jī)和/或所述防火墻的從所述虛擬機(jī)檢測(cè)到不期望的流量的指示���;以及 向所述交換機(jī)和/或所述防火墻發(fā)送鎖定所述虛擬機(jī)的指令。
42.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明��,其中����,交換機(jī)和/或所述防火墻被配置成,當(dāng)檢測(cè)到所述不期望的流量時(shí)���,自動(dòng)鎖定所述虛擬機(jī)和/或由所述防火墻阻止流量���。
43.根據(jù)本文任一項(xiàng)權(quán)利要求所述的發(fā)明���,還包括通過所述防火墻檢測(cè)所述不期望的流量����。
【文檔編號(hào)】H04L12/22GK104247332SQ201380010256
【公開日】2014年12月24日 申請(qǐng)日期:2013年2月20日 優(yōu)先權(quán)日:2012年2月20日
【發(fā)明者】德里克·安德森 申請(qǐng)人:虛擬流加拿大控股有限公司