一種云計算網絡中南北向流量安全防護系統(tǒng)的制作方法
【技術領域】
[0001]本發(fā)明涉及云計算技術領域，尤其涉及一種云計算網絡中南北向流量安全防護系統(tǒng)。
【背景技術】
[0002]虛擬計算環(huán)境主要由虛機VM、虛擬化系統(tǒng)Hypervisor兩者構成。從網絡邊界防護的角度來看，存在虛機VM南北向流量、東西向流量訪問、入侵、躲避等安全隱患。
[0003]租戶內部的網絡多數情況下是跨節(jié)點的，同時大多是二層網絡結構(不排除也有三層網絡結構，但是考慮到跨數據中心的虛機迀移等問題，大多數情況下還是采用大二層網絡結構)，所以租戶內部虛機VM之間訪問具有如下特點。同一租戶的虛機在不同的物理節(jié)點上，互訪的流量出物理節(jié)點。同一租戶的虛機都處于一個大的二層網絡，互訪流量要能夠穿越三層網絡。同一租戶的內部網絡可能需要劃分不同的安全區(qū)域VN，安全區(qū)域之間的安全策略不同。
[0004]縱向流量包括從客戶端到服務器側的正常流量訪問請求，以及不同VM之間的三層轉發(fā)的流量。這些流量的共同特點是其交換必然經過外置的硬件安全防護層，我們也稱之為縱向流量控制層。
[0005]—方面，這些流量的防護方式和傳統(tǒng)的數據中心的安全防護相比沒有本質區(qū)別；另一方面，在虛擬化環(huán)境下的云安全部署，因為存在多租戶的服務模型，因此對于設備的虛擬化實現程度又有了更高的要求。
[0006]由于縱向流量存在多租戶的概念，則對安全也提出了需求，能夠實現基于租戶的安全防護。

【發(fā)明內容】

[0007]本發(fā)明的目的是提供一種將虛機防火墻無縫嵌入到虛擬化平臺中，從而實現在云計算網絡中對南北向流量的安全防護。
[0008]為了實現上述發(fā)明目的，本發(fā)明提供了一種云計算網絡中南北向流量安全防護部署系統(tǒng)，包括:租戶占用的虛擬機和用于監(jiān)控當前租戶所占用的虛擬機與Network網絡的通信的虛擬防火墻、第一網絡轉發(fā)層和第二網絡轉發(fā)層；
[0009]所述第一網絡轉發(fā)層，用于通過對接收的報文的標簽的識別判斷該報文的來源，如果來源為虛擬機，則將所述報文轉發(fā)至當前虛擬機的租戶所對應的虛擬防火墻，并將經過該虛擬防火墻處理后的報文經過二層交換機和三層交換機發(fā)送至Network網絡，如果來源為Network網絡，則將所述報文轉發(fā)至該報文的標簽所指示的虛擬防火墻，并將經過該虛擬防火墻處理后的報文經過二層交換機發(fā)送至第二網絡轉發(fā)層；
[0010]所述第二網絡轉發(fā)層，用于接收來自Network網絡的報文時，通過對報文的標簽的識別判斷該報文所歸屬的租戶，并將該報文下發(fā)至該報文的標簽所指示的租戶所對應的虛擬機，還用于將虛擬機發(fā)送的報文轉發(fā)至二層交換機。
[0011]其中，所述第一網絡轉發(fā)層和虛擬防火墻運行于第一服務器群集，所述第二網絡轉發(fā)層和虛擬機運行于第二服務器集群。
[0012]其中，所述第二網絡轉發(fā)層包括物理網卡、邏輯網卡和邏輯網橋；
[0013]所述第二服務器群集包括多個物理服務器，同一個物理服務器包括多張所述物理網卡，該多張物理網卡綁定于同一張所述邏輯網卡，該邏輯網卡具有與當前物理服務器上的租戶數量相同的邏輯網卡子接口，每個邏輯網卡子接口連接一個所述邏輯網橋，每個邏輯網橋連接運行于當前物理服務器上的同一個租戶的一個或多個虛擬機。
[0014]其中，所述第一網絡轉發(fā)層包括物理網卡、邏輯網卡和邏輯網橋；
[0015]所述第一服務器集群的物理服務器上具有多張所述物理網卡，該多張物理網卡綁定于同一張所述邏輯網卡，該邏輯網卡除了具有與所述租戶一一對應的邏輯網卡子接口夕卜，還具有接收來自于Network網絡報文的邏輯網卡子接口，每個邏輯網卡子接口連接一個所述邏輯網橋，邏輯網橋連接其所對應的租戶的虛擬防火墻。
[0016]其中，所述第一網絡轉發(fā)層包括物理網卡、邏輯網卡和邏輯網橋；
[0017]所述第一服務器集群的物理服務器上具有多張所述物理網卡，該多張物理網卡綁定于同一張所述邏輯網卡，該邏輯網卡連接所述邏輯網橋，所述邏輯網橋分別連接運行虛擬防火墻的虛擬機的Tap接口。
[0018]其中，當所述虛擬防火墻工作在路由模式時，所述虛擬防火墻內部配置有VLAN和網關。
[0019]其中，當所述虛擬防火墻工作在透明模式時，在所述三層交換機上連接硬件防火墻，并在該三層交換機上配置路由網關和Nat。
[0020]其中，所述第一服務器集群的物理服務器上運行一臺虛擬機，該虛擬機上運行與所述租戶一一對應的虛擬防火墻，
[0021]所述第一網絡轉發(fā)層包括物理網卡和邏輯網卡；
[0022]所述第一服務器集群的物理服務器上具有多張所述物理網卡，該多張物理網卡綁定于同一張所述邏輯網卡，該邏輯網卡連接每個租戶所對應的虛擬防火墻。
[0023]根據本發(fā)明的另一個方面，一種云計算網絡中南北向流量安全防護部署系統(tǒng)，包括:租戶占用的虛擬機和用于監(jiān)控當前租戶所占用的虛擬機與Network網絡的通信的硬件防火墻；
[0024]所述硬件防火墻部署于三層交換機，硬件防火墻內部包括與各租戶一一對應的邏輯防火墻單元，各邏輯防火墻單元分別連接物理網卡，該物理網卡連接二層交換機；
[0025]所述虛擬機運行于第二服務器群集，所述第二服務器群集包括多個物理服務器，同一個物理服務器包括多張所述物理網卡，該多張物理網卡綁定于同一張所述邏輯網卡，該邏輯網卡具有與當前物理服務器上的租戶數量相同的邏輯網卡子接口，每個邏輯網卡子接口連接一個所述邏輯網橋，每個邏輯網橋連接運行于當前物理服務器上的同一個租戶的一個或多個虛擬機。
[0026]根據本發(fā)明的另一個方面，一種云計算網絡中南北向流量安全防護部署系統(tǒng)，包括:租戶占用的虛擬機和用于監(jiān)控當前租戶所占用的虛擬機與Network網絡的通信的硬件防火墻；
[0027]所述虛擬機運行于服務器群集，所述服務器群集包括多個物理服務器，同一個物理服務器包括多張所述物理網卡，該多張物理網卡綁定于同一張所述邏輯網卡，該邏輯網卡具有與當前物理服務器上的租戶數量相同的邏輯網卡子接口，每個邏輯網卡子接口連接一個所述邏輯網橋，每個邏輯網橋連接運行于當前物理服務器上的同一個租戶的一個或多個虛擬機；
[0028]所述硬件防火墻內部包括與各租戶一一對應的邏輯防火墻單元，各邏輯防火墻單元分別連接置于硬件防火墻的各個物理網卡，部分物理網卡連接運行虛擬機的服務器群集中的物理網卡，部分物理網卡通過二層交換機和三層交換機連接至Network網絡。
【附圖說明】
[0029]圖1是根據本發(fā)明第一實施方式的部署結構示意圖；
[0030]圖2是根據本發(fā)明第二實施方式的部署結構示意圖；
[0031]圖3是根據本發(fā)明第三實施方式的部署結構示意圖；
[0032]圖4是根據本發(fā)明第四實施方式的部署結構示意圖；
[0033]圖5是根據本發(fā)明第五實施方式的部署結構示意圖；
[0034]圖6是根據本發(fā)明第六實施方式的部署結構示意圖。
【具體實施方式】
[0035]為使本發(fā)明的目的、技術方案和優(yōu)點更加清楚明了，下面結合【具體實施方式】并參照附圖，對本發(fā)明進一步詳細說明。應該理解，這些描述只是示例性的，而并非要限制本發(fā)明的范圍。此外，在以下說明中，省略了對公知結構和技術的描述，以避免不必要地混淆本發(fā)明的概念。
[0036]圖1是根據本發(fā)明第一實施方式的部署結構示意圖。
[0037]該部署結構適用的場景為租戶需要獨立的具有路由功能的安全系統(tǒng)，同時租戶的識別依賴于虛擬化平臺，而不是安全系統(tǒng)。
[0038]如圖1所示，云計算網絡中南北向流量安全防護部署系統(tǒng)包括:第一服務器群集ClusterA和第二服務器集群ClusterB、二層交換機L2 Switch和三層交換機L3 Switch。
[0039]假設當前云計算平臺為兩個租戶提供服務，為了表述清楚，圖1中，橢圓的框線代表為租戶1提供服務的資源，矩形的框線代表為租戶2提供服務的資源，梯形的框線代表租戶1與租戶2的共享資源。
[0040]ClusterB包括兩臺物理服務器Host2和Host3。Host2中，租戶1占用了兩臺虛擬機VM，租戶2占用了 1臺虛擬機VM。Host3中，租戶1占用了 1臺虛擬機VM，租戶2占用了2臺虛擬機VM。
[0041]ClusterA中的物理服務器Hostl中運行了 2臺虛擬機VM，每臺虛擬機上運行一個虛擬防火墻VFW(Virtual firewal)。兩個VFW分別負責監(jiān)控ClusterB中租戶1的VM和租戶2的VMo
[0042]ClusterB中的虛擬機通過第二網絡轉發(fā)層連接二層交換機L2 Switch。第二網絡轉發(fā)層包括物理網卡ethO、ethl，邏輯網卡bondO和邏輯網橋brlOO、br200。Host2上的物理網卡ethO、ethl綁定于邏輯網卡bondO，邏輯網卡bondO具有兩個邏輯網卡子接口bond0.100和bond0.200，其中bond0.100為租戶1提供服務，bond0.200為租戶2提供服務。bond0.100連接邏輯網橋brl00，bond0