基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法、裝置和系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及通信技術(shù)領(lǐng)域，尤其涉及一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法、裝置和系統(tǒng)。
【背景技術(shù)】
[0002]虛擬化平臺(tái)上的設(shè)備之間通過至少一個(gè)虛擬交換機(jī)進(jìn)行通信交互，這些通信交互包括:從物理機(jī)到虛擬機(jī)的通信交互、從虛擬機(jī)到物理機(jī)的通信交互，以及虛擬機(jī)之間的通信交互。
[0003]為了保證虛擬化平臺(tái)的通信安全，需要對(duì)上述通信交互過程中的通信流量進(jìn)行安全檢測。現(xiàn)有技術(shù)主要是重新配置通信交互過程中涉及到的通信設(shè)備的端口，將經(jīng)過所有虛擬交互機(jī)的通信流量全部重定向到外部安全系統(tǒng)進(jìn)行檢測。
[0004]由此可見，現(xiàn)有技術(shù)需要將所有的通信流量全部導(dǎo)入到外部安全系統(tǒng)進(jìn)行檢測，隨著通信流量的增大，海量數(shù)據(jù)的導(dǎo)入導(dǎo)出降低了通信效率，而且外部安全系容易出現(xiàn)處理瓶頸，影像處理效率。

【發(fā)明內(nèi)容】

[0005]本發(fā)明實(shí)施例提供一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法、裝置和系統(tǒng)。技術(shù)方案如下:
[0006]根據(jù)本發(fā)明實(shí)施例的第一方面，提供一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法，該方法包括:
[0007]接收虛擬交換機(jī)中的第一接口發(fā)送的數(shù)據(jù)包，所述第一接口用于對(duì)所述虛擬交換機(jī)中的通信鏈路上、第一設(shè)備發(fā)送給第二設(shè)備的數(shù)據(jù)包進(jìn)行攔截；
[0008]采用數(shù)據(jù)特征庫檢測所述數(shù)據(jù)包是否符合預(yù)設(shè)的網(wǎng)絡(luò)安全策略，所述數(shù)據(jù)特征庫中包括:與所述網(wǎng)絡(luò)安全策略對(duì)應(yīng)的特征信息；
[0009]若判斷獲知所述數(shù)據(jù)包符合所述網(wǎng)絡(luò)安全策略，則通過所述虛擬交換機(jī)中的第二接口將經(jīng)過安全檢測的數(shù)據(jù)包發(fā)送給所述第二設(shè)備。
[0010]根據(jù)本發(fā)明實(shí)施例的第二方面，提供一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)裝置，該裝置包括:
[0011]接收模塊，用于接收虛擬交換機(jī)中的第一接口發(fā)送的數(shù)據(jù)包，所述第一接口用于對(duì)所述虛擬交換機(jī)中的通信鏈路上、第一設(shè)備發(fā)送給第二設(shè)備的數(shù)據(jù)包進(jìn)行攔截；
[0012]檢測模塊，用于采用數(shù)據(jù)特征庫檢測所述數(shù)據(jù)包是否符合預(yù)設(shè)的網(wǎng)絡(luò)安全策略，所述數(shù)據(jù)特征庫中包括:與所述網(wǎng)絡(luò)安全策略對(duì)應(yīng)的特征信息；
[0013]發(fā)送模塊，用于若判斷獲知所述數(shù)據(jù)包符合所述網(wǎng)絡(luò)安全策略，則通過所述虛擬交換機(jī)中的第二接口將經(jīng)過安全檢測的數(shù)據(jù)包發(fā)送給所述第二設(shè)備。
[0014]根據(jù)本發(fā)明實(shí)施例的第三方面，提供了一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)系統(tǒng)，該系統(tǒng)包括:位于虛擬化平臺(tái)上的第一設(shè)備、第二設(shè)備，以及虛擬交換機(jī)，其中，所述第一設(shè)備和第二設(shè)備均包括:虛擬化平臺(tái)上的物理機(jī)，或者，部署在物理機(jī)上的虛擬機(jī)，所述虛擬交換機(jī)包括如上所述的基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)裝置。
[0015]本發(fā)明實(shí)施例提供的基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法、裝置和系統(tǒng)，通過虛擬交換機(jī)中的第一接口對(duì)虛擬交換機(jī)中的通信鏈路上、第一設(shè)備發(fā)送給第二設(shè)備的數(shù)據(jù)包進(jìn)行攔截，采用數(shù)據(jù)特征庫中與網(wǎng)絡(luò)安全策略對(duì)應(yīng)的特征信息檢測數(shù)據(jù)包是否安全，若是，則通過虛擬交換機(jī)中的第二接口發(fā)送給第二設(shè)備。從而避免了將虛擬交換機(jī)中的通信流量導(dǎo)入到外部系統(tǒng)進(jìn)行安全檢測，提高了安全檢測的處理效率，并且降低了通信交互的時(shí)延。
[0016]應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性和解釋性的，并不能限制本發(fā)明。
【附圖說明】
[0017]為了更清楚地說明本發(fā)明實(shí)施例或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作一簡單地介紹，顯而易見地，下面描述中的附圖是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。
[0018]圖1是本發(fā)明實(shí)施例提供的一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法的流程圖；
[0019]圖2是本發(fā)明實(shí)施例提供的另一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法的流程圖；
[0020]圖3是本發(fā)明實(shí)施例提供的另一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法的流程圖；
[0021]圖4是本發(fā)明實(shí)施例提供的另一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法的流程圖；
[0022]圖5是本發(fā)明實(shí)施例提供的另一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法的流程圖；
[0023]圖6是本發(fā)明實(shí)施例提供的一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)裝置的結(jié)構(gòu)示意圖；
[0024]圖7是本發(fā)明實(shí)施例提供的另一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)裝置的結(jié)構(gòu)示意圖；
[0025]圖8是本發(fā)明實(shí)施例提供的另一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)裝置的結(jié)構(gòu)示意圖；
[0026]圖9是本發(fā)明實(shí)施例提供的另一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)裝置的結(jié)構(gòu)示意圖；
[0027]圖10是本發(fā)明實(shí)施例提供的另一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)裝置的結(jié)構(gòu)不意圖；
[0028]圖11是本發(fā)明實(shí)施例提供的一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)系統(tǒng)的結(jié)構(gòu)示意圖。
[0029]通過上述附圖，已示出本發(fā)明明確的實(shí)施例，后文中將有更詳細(xì)的描述。這些附圖和文字描述并不是為了通過任何方式限制本發(fā)明構(gòu)思的范圍，而是通過參考特定實(shí)施例為本領(lǐng)域技術(shù)人員說明本發(fā)明的概念。
【具體實(shí)施方式】
[0030]為使本發(fā)明實(shí)施例的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚，下面將結(jié)合本發(fā)明實(shí)施例中的附圖，對(duì)本發(fā)明實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述，顯然，所描述的實(shí)施例是本發(fā)明一部分實(shí)施例，而不是全部的實(shí)施例?；诒景l(fā)明中的實(shí)施例，本領(lǐng)域普通技術(shù)人員在沒有作出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例，都屬于本發(fā)明保護(hù)的范圍。
[0031]圖1是本發(fā)明實(shí)施例提供的一種基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法的流程圖，如圖1所示，該方法具體包括:
[0032]步驟101，接收虛擬交換機(jī)中的第一接口發(fā)送的數(shù)據(jù)包，所述第一接口用于對(duì)所述虛擬交換機(jī)中的通信鏈路上、第一設(shè)備發(fā)送給第二設(shè)備的數(shù)據(jù)包進(jìn)行攔截；
[0033]虛擬化平臺(tái)上包括至少一個(gè)物理機(jī)，通過虛擬化技術(shù)可將一臺(tái)物理機(jī)虛擬成多臺(tái)虛擬機(jī)，以及在虛擬化平臺(tái)上虛擬出來至少一個(gè)虛擬交換機(jī)。其中，每個(gè)虛擬機(jī)可運(yùn)行不同的操作系統(tǒng)和應(yīng)用，不同的虛擬機(jī)之間，以及虛擬機(jī)與物理機(jī)之間可以通過虛擬交換機(jī)進(jìn)行通信交互。
[0034]由于虛擬化平臺(tái)上進(jìn)行通信交互的通信雙方的類型較多，包括:虛擬機(jī)通過虛擬交換機(jī)向虛擬機(jī)發(fā)送數(shù)據(jù)包，或者，物理機(jī)通過虛擬交換機(jī)向虛擬機(jī)發(fā)送數(shù)據(jù)包，虛擬機(jī)通過虛擬交換機(jī)向物理機(jī)發(fā)送數(shù)據(jù)包。因此，為了更清楚的說明本實(shí)施例提供的基于虛擬交換機(jī)的虛擬化平臺(tái)安全防護(hù)方法，以虛擬化平臺(tái)上的第一設(shè)備和第二設(shè)備為執(zhí)行主體通過虛擬交換機(jī)進(jìn)行通信交互為例進(jìn)行具體說明。其中，第一設(shè)備包括:物理機(jī)或者虛擬機(jī)；第二設(shè)備包括:物理機(jī)或者虛擬機(jī)。
[0035]預(yù)先在虛擬交換機(jī)中設(shè)置的第一接口，第一接口用于對(duì)虛擬交換機(jī)中的通信鏈路上、第一設(shè)備發(fā)送給第二設(shè)備的數(shù)據(jù)包進(jìn)行攔截。需要注意的是，第一接口的位置可以根據(jù)實(shí)際應(yīng)用需要在通信鏈路上進(jìn)行選擇，比如:通信鏈路的入口，或者中間位置，即在數(shù)據(jù)包通過通信鏈路流出虛擬交換機(jī)之前的位置均可以作為第一接口的設(shè)置位置。
[0036]需要說明的是，第一接口的生成方式有很多，可以根據(jù)應(yīng)用需要進(jìn)行選擇，本實(shí)施例對(duì)此不做限制，舉例說明如下:可以通過鉤子Hook程序在虛擬交換機(jī)中進(jìn)行生成，也可以從虛擬化平臺(tái)上的控制中心獲取固化好的接口進(jìn)行安裝。
[0037]當(dāng)?shù)谝辉O(shè)備通過虛擬交換機(jī)預(yù)先建立的通信鏈路向第二設(shè)備發(fā)送數(shù)據(jù)包時(shí)，第一接口用于對(duì)通信鏈路上的數(shù)據(jù)包進(jìn)行攔截，并發(fā)送給數(shù)據(jù)特征庫進(jìn)行安全檢測。
[0038]步驟102，采用數(shù)據(jù)特征庫檢測所述數(shù)據(jù)包是否符合預(yù)設(shè)的網(wǎng)絡(luò)安全策略，所述數(shù)據(jù)特征庫中包括:與所述網(wǎng)絡(luò)安全策略對(duì)應(yīng)的特征信息；
[0039]虛擬交換機(jī)中預(yù)先設(shè)置有數(shù)據(jù)特征庫，數(shù)據(jù)特征庫中包括有與網(wǎng)絡(luò)安全策略對(duì)應(yīng)的特征信息。其中，網(wǎng)絡(luò)安全策略包括:網(wǎng)絡(luò)權(quán)限審計(jì)、網(wǎng)絡(luò)攻擊檢測、以及流量入侵中的至少一種，可以根據(jù)網(wǎng)絡(luò)應(yīng)用環(huán)境和虛擬機(jī)和物理機(jī)的業(yè)務(wù)類型進(jìn)行設(shè)置，本實(shí)施例對(duì)此不做限制。由于網(wǎng)絡(luò)安全策略不同，因此，對(duì)應(yīng)的特征信息的具體內(nèi)容和表現(xiàn)形式也不相同。
[0040]當(dāng)數(shù)據(jù)特征庫通過第一接口接收到第一設(shè)備發(fā)送給第二設(shè)備的數(shù)據(jù)包時(shí)，采用數(shù)據(jù)特征庫中與網(wǎng)絡(luò)安全策略對(duì)應(yīng)的特征信息檢測該數(shù)據(jù)包是否符合預(yù)設(shè)的網(wǎng)絡(luò)安全策略。由于網(wǎng)絡(luò)安全策略的特征信息不同，因此，具體的檢測過程和判斷標(biāo)準(zhǔn)也不同，在后續(xù)實(shí)施例中會(huì)進(jìn)行具體介紹。
[0041]步驟103，若判斷獲知所述數(shù)據(jù)包符合所述網(wǎng)絡(luò)安全策略，則通過所述虛擬交換機(jī)中的第二接口將經(jīng)過安全檢測的數(shù)據(jù)包發(fā)送給所述第二設(shè)備。
[0042]若數(shù)據(jù)特征庫根據(jù)與網(wǎng)絡(luò)安全策略對(duì)應(yīng)的特征信息，判斷獲知該數(shù)據(jù)包符合