全功能:
[0027] >防火墻防護(hù):建立訪(fǎng)問(wèn)規(guī)則���,選擇允許或阻止特殊的端口訪(fǎng)問(wèn)、協(xié)議和流向���;
[0028] >網(wǎng)絡(luò)流量分析:收集和匯總關(guān)于源�、目標(biāo)地��、流向和服務(wù)相關(guān)的信息�,用于網(wǎng)絡(luò) 故障診斷和可疑流量分析;
[0029] >安全域劃分:根據(jù)信息系統(tǒng)的安全性需求劃分邏輯區(qū)域�,區(qū)分保護(hù)區(qū)與未保護(hù) 區(qū),執(zhí)行不同的安全策略�����。實(shí)現(xiàn)國(guó)家電網(wǎng)公司"分區(qū)分域"的防護(hù)要求�。
[0030] 接下來(lái),在保護(hù)區(qū)域與未保護(hù)區(qū)域間以橋接方式串接一臺(tái)虛擬機(jī),為該臺(tái)虛擬機(jī) 分配多塊虛擬網(wǎng)卡�,并分別與保護(hù)區(qū)域和未保護(hù)區(qū)域中的vSwitch連接。該臺(tái)虛擬機(jī)上部 署安全軟件對(duì)流經(jīng)的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和分析���。
[0031] 實(shí)施例:
[0032] 本發(fā)明的結(jié)構(gòu)示意參見(jiàn)圖2。我們將在圖1的基礎(chǔ)上對(duì)虛擬網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造�����。 其中�����,vSwitchl首先繼承了 vSwitch 0的所有配置�����,包括端口(組)�����、網(wǎng)絡(luò)適配器����、掛載的虛 擬機(jī)、相關(guān)策略等。vSwitchl和vSwitch 2均為標(biāo)準(zhǔn)虛擬交換機(jī)��,VM表示服務(wù)器���,VLAN1�、 VLAN2�、VLAN3表示局域網(wǎng)絡(luò)。
[0033] 為保護(hù)區(qū)域的虛擬機(jī)創(chuàng)建虛擬交換機(jī)vSwitch 2,注意創(chuàng)建時(shí)不要分配任何物理 網(wǎng)卡��。
[0034] 創(chuàng)建虛擬機(jī)�����,用于之后部署安全軟件�,為其分配兩塊虛擬網(wǎng)卡,第一塊網(wǎng)卡作為入 口����,用于傳輸vSwitch 1中未被保護(hù)的流量,第二塊網(wǎng)卡連接到新創(chuàng)建的vSwitch 2上作為 被保護(hù)流量的出口��。
[0035] 在vSwitch 1上創(chuàng)建新的端口用于未被保護(hù)流量通過(guò)��,在vSwitch 2上創(chuàng)建端口 用于被保護(hù)流量通過(guò)�。新建虛擬機(jī)的虛擬網(wǎng)卡分別建立與上述端口的連接�。
[0036] 根據(jù)vSwitch 1中的網(wǎng)絡(luò)配置��,在新建虛擬交換機(jī)vSwitch 2中復(fù)制屬于保護(hù)區(qū) 域的虛擬機(jī)的所有對(duì)應(yīng)端口�����,遷移vSwitch 1中屬于保護(hù)區(qū)域的虛擬機(jī)至vSwitch 2���。
[0037] 完成遷移后����,刪除vSwitch 1中的原始端口���。
[0038] 開(kāi)啟vSwitch 1和vSwitch 2上端口(組)的"混雜模式",以便使端口組中的每個(gè) 端口都能夠看到流經(jīng)vSwitch的流量�,比如:未保護(hù)區(qū)域的網(wǎng)絡(luò)流量通過(guò)虛擬網(wǎng)卡傳輸至 保護(hù)區(qū)域,保護(hù)區(qū)域的網(wǎng)絡(luò)流量通過(guò)虛擬網(wǎng)卡傳輸至未保護(hù)區(qū)域�����,或者外部物理網(wǎng)絡(luò)的流 量通過(guò)虛擬網(wǎng)卡傳輸至保護(hù)區(qū)域等等���,使得安全軟件可以有效監(jiān)控網(wǎng)絡(luò)流量����。配置完成后, 在新建虛擬機(jī)中部署安全軟件�����,該軟件可以是利用VMsafe開(kāi)放的編程接口自主研發(fā)���,也可 以采用成熟的商業(yè)套件�,例如軟件防火墻�,配合網(wǎng)絡(luò)性能監(jiān)控和故障診斷工具Solarwinds Orion、Xangati for vSphere��,網(wǎng)絡(luò)流量收集分析器MRTG�、PRTG、CACTI等�,實(shí)現(xiàn)對(duì)虛擬網(wǎng)絡(luò) 流量的監(jiān)控、統(tǒng)計(jì)和分析�,以及防火墻規(guī)則的設(shè)置,具體如下:
[0039] 防火墻規(guī)則設(shè)置:對(duì)源IP�、目的IP、源端口�����、目的端口和協(xié)議進(jìn)行配置規(guī)則。添加 規(guī)則允許或阻止特殊的端口訪(fǎng)問(wèn)��,協(xié)議和流向��。通過(guò)Web界面���,管理控制平臺(tái)插件��,命令行 等方式對(duì)虛擬防火墻進(jìn)行配置與管理��。
[0040] 網(wǎng)絡(luò)流量分析:所有通過(guò)安全軟件的數(shù)據(jù)都將被監(jiān)控�,收集和匯總關(guān)于源�����、目標(biāo) 地�����、流向和服務(wù)相關(guān)的信息進(jìn)行分析����,實(shí)現(xiàn)網(wǎng)絡(luò)故障診斷�����、可疑流量分析等。
[0041] 分析上述實(shí)施例可知�,在使用標(biāo)準(zhǔn)虛擬交換機(jī)的VMware ESXi主機(jī)中部署具有防 火墻防護(hù)、流量分析功能的安全軟件�;實(shí)現(xiàn)虛擬網(wǎng)絡(luò)中保護(hù)區(qū)域與未保護(hù)區(qū)域的劃分;將 所有從未保護(hù)區(qū)域流向保護(hù)區(qū)域的網(wǎng)絡(luò)流量預(yù)先引入安全軟件中進(jìn)行分析�����;為保護(hù)區(qū)域的 虛擬機(jī)提供安全保護(hù)����,滿(mǎn)足國(guó)家電網(wǎng)公司對(duì)管理信息系統(tǒng)"分區(qū)分域"的安全防護(hù)要求。與 現(xiàn)有技術(shù)相比�,實(shí)現(xiàn)了對(duì)VMware云環(huán)境下安全域的劃分和區(qū)域間網(wǎng)絡(luò)流量的統(tǒng)計(jì)與分析, 為重要業(yè)務(wù)系統(tǒng)提供可靠的安全保障���。
[0042] 以上所述的【具體實(shí)施方式】����,對(duì)本發(fā)明的目的�����、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步 詳細(xì)說(shuō)明,所應(yīng)理解的是�����,以上所述僅為本發(fā)明的【具體實(shí)施方式】而已���,并不用于限定本發(fā)明 的保護(hù)范圍��,凡在本發(fā)明的精神和原則之內(nèi)�,所做的任何修改�、等同替換、改進(jìn)等����,均應(yīng)包含 在本發(fā)明的保護(hù)范圍之內(nèi)。
【主權(quán)項(xiàng)】
1. 一種電力信息系統(tǒng)的云環(huán)境下虛擬機(jī)的保護(hù)裝置��,其特征在于���,該裝置包括:第一 標(biāo)準(zhǔn)虛擬交換機(jī)和第二標(biāo)準(zhǔn)虛擬交換機(jī);其中����,在第一標(biāo)準(zhǔn)虛擬交換機(jī)和第二標(biāo)準(zhǔn)虛擬交 換機(jī)之間設(shè)置一虛擬機(jī)��,所述虛擬機(jī)上分配多塊虛擬網(wǎng)卡�����,并在虛擬機(jī)上部署安全軟件���; 所述第一標(biāo)準(zhǔn)虛擬交換機(jī)的一端口組與未保護(hù)區(qū)域中的虛擬機(jī)的虛擬網(wǎng)絡(luò)適配器相 連,所述第一標(biāo)準(zhǔn)虛擬交換機(jī)的另一端口組與安全軟件所屬虛擬機(jī)的虛擬網(wǎng)卡相連�,所述 虛擬網(wǎng)卡用于傳輸所述第一標(biāo)準(zhǔn)虛擬交換機(jī)中未保護(hù)流量;所述第一標(biāo)準(zhǔn)虛擬交換機(jī)通過(guò) 物理網(wǎng)絡(luò)適配器與物理網(wǎng)絡(luò)相連���; 所述第二標(biāo)準(zhǔn)虛擬交換機(jī)的一端口組與保護(hù)區(qū)域中的虛擬機(jī)的虛擬網(wǎng)絡(luò)適配器相連����, 第二標(biāo)準(zhǔn)虛擬交換機(jī)的另一端口組與安全軟件所屬虛擬機(jī)的虛擬網(wǎng)卡相連��,所述虛擬網(wǎng)卡 還用于傳輸所述第二標(biāo)準(zhǔn)虛擬交換機(jī)中保護(hù)流量�; 所述安全軟件用于對(duì)未保護(hù)區(qū)域流向保護(hù)區(qū)域的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控分析,為電力信息 系統(tǒng)中保護(hù)區(qū)域的虛擬機(jī)提供安全保護(hù)�����。2. 如權(quán)利要求1所述的裝置�����,其特征在于,所述安全軟件還用于根據(jù)電力信息系統(tǒng)的 安全性需求劃分邏輯區(qū)域����,將電力信息系統(tǒng)區(qū)分為保護(hù)區(qū)域與未保護(hù)區(qū)域。3. 如權(quán)利要求1所述的裝置��,其特征在于����,所述安全軟件還用于建立訪(fǎng)問(wèn)規(guī)則,選擇允 許或阻止特殊的端口訪(fǎng)問(wèn)���、協(xié)議和流向����。4. 如權(quán)利要求1所述的裝置���,其特征在于��,所述安全軟件還用于收集和匯總關(guān)于源、目 標(biāo)地���、流向和服務(wù)相關(guān)的信息���,用于網(wǎng)絡(luò)故障診斷和可疑流量分析�;其中�����,包括對(duì)保護(hù)區(qū)域 輸出的網(wǎng)絡(luò)流量進(jìn)行分析�。5. 如權(quán)利要求1所述的裝置,其特征在于�,所述電力信息系統(tǒng)的云環(huán)境采用VMware云 平臺(tái)基礎(chǔ)架構(gòu)。
【專(zhuān)利摘要】本發(fā)明涉及一種電力信息系統(tǒng)的云環(huán)境下虛擬機(jī)的保護(hù)裝置���,在第一標(biāo)準(zhǔn)虛擬交換機(jī)和第二標(biāo)準(zhǔn)虛擬交換機(jī)之間設(shè)置一虛擬機(jī)���,虛擬機(jī)上分配多塊虛擬網(wǎng)卡,并在虛擬機(jī)上部署安全軟件��;第一標(biāo)準(zhǔn)虛擬交換機(jī)的一端口組與未保護(hù)區(qū)域中的虛擬機(jī)的虛擬網(wǎng)絡(luò)適配器相連��,所述第一標(biāo)準(zhǔn)虛擬交換機(jī)的另一端口組與安全軟件所屬虛擬機(jī)的虛擬網(wǎng)卡相連�����,第一標(biāo)準(zhǔn)虛擬交換機(jī)通過(guò)物理網(wǎng)絡(luò)適配器與物理網(wǎng)絡(luò)相連;第二標(biāo)準(zhǔn)虛擬交換機(jī)的一端口組與保護(hù)區(qū)域中的虛擬機(jī)的虛擬網(wǎng)絡(luò)適配器相連����,第二標(biāo)準(zhǔn)虛擬交換機(jī)的另一端口組與安全軟件所屬虛擬機(jī)的虛擬網(wǎng)卡相連,安全軟件用于對(duì)未保護(hù)區(qū)域流向保護(hù)區(qū)域的網(wǎng)絡(luò)流量進(jìn)行監(jiān)控分析�����,為電力信息系統(tǒng)中保護(hù)區(qū)域的虛擬機(jī)提供安全保護(hù)���。
【IPC分類(lèi)】H04L29/06, H04L29/08, H04L12/46
【公開(kāi)號(hào)】CN105592016
【申請(qǐng)?zhí)枴緾N201410592508
【發(fā)明人】陳樂(lè)然, 王剛, 陳威, 徐小天, 石磊
【申請(qǐng)人】國(guó)家電網(wǎng)公司, 華北電力科學(xué)研究院有限責(zé)任公司
【公開(kāi)日】2016年5月18日
【申請(qǐng)日】2014年10月29日