一種云計算中心網(wǎng)絡安全解決方案的制作方法
【專利摘要】本發(fā)明公開了一種云計算中心網(wǎng)絡安全解決方案,通過引入虛擬交換機與虛擬路由器,將物理層面的網(wǎng)絡概念抽象到虛擬層面,在虛擬網(wǎng)絡之上實現(xiàn)隔離、防火墻網(wǎng)絡安全功能,該方案主要包括:搭建二層虛擬網(wǎng)絡,劃分子網(wǎng),部署虛擬路由器,定義防火墻規(guī)則。本發(fā)明通過將網(wǎng)絡科學的劃分為公有網(wǎng)絡池、私有網(wǎng)絡池兩大類,并根據(jù)不同的網(wǎng)絡分類,分層制定部署方案,在更加滿足客戶靈活需求的同時,實現(xiàn)網(wǎng)絡的分類、分層化管理。通過引入虛擬路由器,將物理網(wǎng)絡抽象到虛擬層面,有效節(jié)省了物理網(wǎng)絡IP的使用量,將底層網(wǎng)絡的管理功能統(tǒng)一轉(zhuǎn)交給虛擬路由器,使得網(wǎng)管人員直接通過管理虛擬路由器即可管理整個系統(tǒng)網(wǎng)絡的配置與服務,管理更加簡便快捷。
【專利說明】—種云計算中心網(wǎng)絡安全解決方案
【技術領域】
[0001]本發(fā)明涉及云計算的應用領域,具體涉及一種云計算中心網(wǎng)絡安全解決方案。
技術背景
[0002]隨著信息科技的發(fā)展,云計算逐步成為業(yè)界的發(fā)展熱點,國內(nèi)外各大廠商的云計算服務平臺也開始紛紛投入到科學、教育、文化、衛(wèi)生、政府、高性能計算、電子商務、物聯(lián)網(wǎng)等多個領域進行使用。
[0003]云計算的一大重要特點,即是通過網(wǎng)絡技術,將分布在各地的數(shù)據(jù)中心中的服務器、存儲、網(wǎng)絡設備通過管理軟件集合起來協(xié)同工作,共同對外提供計算與存儲等服務。在云數(shù)據(jù)中心,安全的網(wǎng)絡環(huán)境不僅是必需的,而且已經(jīng)成為企業(yè)成功的先決條件。黑客入侵、數(shù)據(jù)篡改、網(wǎng)絡環(huán)境遭到破壞,將對企業(yè)的整個生產(chǎn)經(jīng)營活動產(chǎn)生巨大影響。
[0004]然而隨著計算機病毒、黑客以及拒絕服務攻擊等破壞手段的盛行,網(wǎng)絡安全已經(jīng)逐漸成為企業(yè)不可不考慮的因素。如何在保證網(wǎng)絡構架本身效率的同時,保護虛擬化網(wǎng)絡環(huán)境中硬件、軟件及系統(tǒng)中的數(shù)據(jù)不因偶然或者惡意的原因而遭到破壞、更改、泄露,成為各云計算廠商亟待解決的核心問題。
[0005]為了提供適當?shù)陌踩w系和管理計劃,動態(tài)攔截或放行網(wǎng)絡流量,有效降低網(wǎng)絡安全對網(wǎng)絡性能的影響,保證云計算環(huán)境下的軟、硬件不受惡意破壞,我們提出了一種易擴展、易開發(fā)、易維護的云數(shù)據(jù)中心網(wǎng)絡安全解決方案。
【發(fā)明內(nèi)容】
[0006]本發(fā)明要解決的技術問題是:本發(fā)明針對現(xiàn)有的云數(shù)據(jù)中心網(wǎng)絡安全性差、難于管理的弊端,提出一種基于虛擬路由器的云數(shù)據(jù)中心網(wǎng)絡安全保護方案。
[0007]傳統(tǒng)的數(shù)據(jù)中心一般采用通過Vlan隔離網(wǎng)絡、物理路由連通子網(wǎng)、物理防火墻過濾流量的網(wǎng)絡部署方案。這種方案雖然在一定程度上保證了客戶物理網(wǎng)絡環(huán)境的安全,但采購物理路由器、防火墻會耗費相當一部分資金,且很難運用于以虛擬機為中心的云計算數(shù)據(jù)中心,無法方便地控制虛擬機之間的流量。
[0008]傳統(tǒng)的VNC開源程序,通過直接連接服務器VNC端口,獲取虛擬機桌面,具有如下缺點:
1)無法穿越多網(wǎng)絡環(huán)境;
2)無法實現(xiàn)VNC數(shù)據(jù)分流,導致網(wǎng)絡帶寬占用率很大;
3)對于VMwanXen等虛擬化底層,有不同程度的雙鼠標現(xiàn)象出現(xiàn),無法做到雙鼠標的根本消除。
[0009]本發(fā)明所采用的技術方案為:
一種云計算中心網(wǎng)絡安全解決方案,通過引入虛擬交換機與虛擬路由器,將物理層面的網(wǎng)絡概念抽象到虛擬層面,在虛擬網(wǎng)絡之上實現(xiàn)隔離、防火墻等網(wǎng)絡安全功能,節(jié)省網(wǎng)絡成本,具備高擴展性、安全性、兼容性、適用性、實用性。該方案主要包括:搭建二層虛擬網(wǎng)絡,劃分子網(wǎng),部署虛擬路由器,定義防火墻規(guī)則,其中: 搭建二層虛擬網(wǎng)絡,是該方案的二層網(wǎng)絡實現(xiàn)基礎。在物理網(wǎng)絡互通的前提下,將服務器網(wǎng)卡抽象為虛擬交換機部件,提供二層網(wǎng)絡服務,基于開源虛擬交換機Open vSwitch進行開發(fā),將每臺服務器的物理網(wǎng)卡與一臺虛擬交換機一對一綁定,抽象形成二層虛擬交換機部件;兼容各大廠商的路由器、交換機、網(wǎng)卡等物理網(wǎng)絡設備,具有較高的抽象性與適用性。
[0010]劃分子網(wǎng),是該方案實現(xiàn)虛擬網(wǎng)絡隔離的基礎。通過基于VLan與IP池的子網(wǎng)劃分方式,有效節(jié)省了物理網(wǎng)絡IP的使用量,充分滿足不同客戶的各種網(wǎng)絡需求,實現(xiàn)虛擬子網(wǎng)間的隔離;通過在虛擬交換機之上以VLan劃分二層虛擬網(wǎng)絡,保證系統(tǒng)內(nèi)各類業(yè)務間的數(shù)據(jù)分離,將復雜的物理網(wǎng)絡配置過程,抽象到虛擬層面,節(jié)省物理網(wǎng)絡IP使用量的同時,簡化了網(wǎng)絡的配置過程;
部署虛擬路由器,是該方案的三層網(wǎng)絡實施環(huán)節(jié)。通過引入虛擬路由器,將物理層面的三層網(wǎng)絡概念抽象到虛擬層面,將底層網(wǎng)絡的管理功能統(tǒng)一轉(zhuǎn)交給虛擬路由器,使得網(wǎng)管人員不必關心底層網(wǎng)絡的具體分布情況,直接通過管理虛擬路由器即可管理整個系統(tǒng)網(wǎng)絡的配置與服務,配置更加靈活,成本更加低廉,管理更加便捷。采用自主研發(fā)的虛擬路由器,提供三層網(wǎng)絡服務(NAT、路由、DHCP)等,實現(xiàn)虛擬子網(wǎng)之間的互聯(lián)與訪問控制,部署科學、靈活、高效、節(jié)省成本。
[0011]定義防火墻規(guī)則,是本方案實現(xiàn)網(wǎng)絡安全的核心環(huán)節(jié)。通過向虛擬路由器發(fā)送防火墻控制命令,實現(xiàn)對系統(tǒng)網(wǎng)絡的統(tǒng)一安全管理,本方案所采用的虛擬路由器根據(jù)5元組(源IP地址、目標IP地址、源端口、目標端口、協(xié)議)對連接進行篩選和分組,在保證云數(shù)據(jù)中心各個子網(wǎng)網(wǎng)絡性能的同時,保障系統(tǒng)網(wǎng)絡的安全性;
基于虛擬路由器添加防火墻規(guī)則,根據(jù)5元組(源IP地址、目標IP地址、源端口、目標端口、協(xié)議)對連接進行篩選和分組,對虛擬機之間的流量進行基本的防火墻保護;可在虛擬機遷移時動態(tài)地保護應用程序,并可以支持眾多協(xié)議(包括FTP、RPC、TCP/IP協(xié)議
O
[0012]所述搭建二層虛擬網(wǎng)絡,部署步驟如下:
O如圖2,使用路由器、交換機、防火墻等物理設備,將云數(shù)據(jù)中心的計算(服務器)、存儲(磁盤陣列)等資源進行連接,保證物理節(jié)點之間、管理節(jié)點與物理節(jié)點之間、節(jié)點與存儲之間的網(wǎng)絡可以互通;
對于網(wǎng)絡性能要求較高的云數(shù)據(jù)中心,可以在物理上將系統(tǒng)的網(wǎng)絡劃分為業(yè)務網(wǎng)、控制網(wǎng)、數(shù)據(jù)網(wǎng)三種網(wǎng)絡(如圖2),以保證系統(tǒng)內(nèi)各類業(yè)務間的數(shù)據(jù)分離。
[0013]2)配置虛擬交換機,即通過物理網(wǎng)卡抽象虛擬交換機部件,如圖3,通過基于OpenvSwitch的軟件方式,將每臺服務器上的物理網(wǎng)卡與一臺虛擬交換機一對一綁定,形成交換機部件,在交換機上虛擬若干端口,每個端口與云數(shù)據(jù)中心虛擬機的一塊網(wǎng)卡一對一綁定,通過這種方式,實現(xiàn)虛擬機?虛擬機網(wǎng)卡?虛擬端口 ?虛擬交換機?物理網(wǎng)卡的網(wǎng)絡連接方式;多個虛擬交換機可以進行級聯(lián)設置,組成一個大的分布式虛擬交換機。跟傳統(tǒng)的物理交換機相比,這種虛擬交換機具備眾多優(yōu)點,一是配置更加靈活,每塊物理網(wǎng)卡抽象出的虛擬交換機,均可靈活配置虛擬端口,端口的數(shù)目可以靈活選擇;二是成本更加低廉,通過虛擬交換機,往往可以獲得昂貴的物理交換機才能達到的性能;三是對客戶透明,客戶只需配置虛擬機的網(wǎng)卡,即可實現(xiàn)虛擬機網(wǎng)絡的自動連接,不必關心底層虛擬網(wǎng)絡設備的連接方式。
[0014]所述劃分子網(wǎng),按照不同的網(wǎng)絡連接方式與隔離手段,將虛擬網(wǎng)絡劃分為2大類,以滿足不同客戶的網(wǎng)絡需求:
O公有網(wǎng)絡池:如圖4,公有網(wǎng)絡池對應虛擬交換機上直連公網(wǎng)的虛擬端口組,虛擬機使用可以訪問公網(wǎng)的IP;
2)私有網(wǎng)絡池:如圖5,私有網(wǎng)絡池對應虛擬交換機上設置VLan的虛擬端口組,虛擬機使用特定Vlan下的私網(wǎng)IP,只能在局域網(wǎng)范圍內(nèi)通信,不可訪問公網(wǎng)。
[0015]所述部署虛擬路由器,通過引入虛擬路由器,如圖6,單獨創(chuàng)建一個系統(tǒng)虛擬機,在其中添加路由核心服務、管理服務與SSH交互服務,統(tǒng)一封裝成虛擬路由器的形式,為虛擬路由器設置兩個網(wǎng)卡,分別連接私網(wǎng)虛擬交換機的端口與公網(wǎng)虛擬交換機的端口,并設置私網(wǎng)與公網(wǎng)IP,保證虛擬路由器可以與公網(wǎng)、私網(wǎng)連通;虛擬路由器的私網(wǎng)IP (如192.168.6.254),即為所連接的私網(wǎng)虛擬交換機的網(wǎng)關,所有連接該私網(wǎng)虛擬交換機的虛擬機,通過將該虛擬路由器的私網(wǎng)IP (如192.168.6.254)設置為自身的網(wǎng)關,實現(xiàn)虛擬路由器對虛擬機網(wǎng)絡的管理,虛擬路由器以虛擬機模版(ovf格式)的形式提供,便于快速部署;通過虛擬路由,將各類網(wǎng)絡連接起來。如圖7,虛擬機使用私網(wǎng)IP,通過虛擬路由器,進行NAT與路由處理,實現(xiàn)與公網(wǎng)或隔離子網(wǎng)間的互聯(lián)。由于系統(tǒng)中的網(wǎng)絡均是虛擬的概念,因此有效節(jié)省了系統(tǒng)中不必要的IP使用。
[0016]所述定義防火墻規(guī)則,是該方案實現(xiàn)網(wǎng)絡安全的核心環(huán)節(jié)。由于所有私有網(wǎng)絡池的虛擬機網(wǎng)關均設置為虛擬路由器的私網(wǎng)網(wǎng)卡IP,因此在跨網(wǎng)絡(跨網(wǎng)絡指同Vlan不同網(wǎng)段之間、不同vlan之間)訪問時,所有的外網(wǎng)(不同網(wǎng)段或不同vlan的網(wǎng)絡)流量都必須先通過虛擬路由器,再流入虛擬機;類似的,所有的內(nèi)網(wǎng)流量要到達外網(wǎng)(不同網(wǎng)段或不同vlan的網(wǎng)絡)也要先通過虛擬路由器,如圖7。因此,通過在虛擬路由中添加防火墻規(guī)則,即可控制不同網(wǎng)絡之間互訪時的流量。
[0017]如圖8,虛擬化網(wǎng)絡環(huán)境不外乎分為公共區(qū)域、私有區(qū)域、隔離區(qū)域三大類區(qū)域。不同區(qū)域間,以及同區(qū)域的不同網(wǎng)段間互訪,均可通過添加防火墻規(guī)則進行限制。
[0018]所述防火墻規(guī)則包括:
1)數(shù)據(jù)包過濾:源IP過濾、源IP與目的IP過濾、源IP與目的協(xié)議過濾、源MAC地址過濾等;
2)網(wǎng)絡過濾:通過URL過濾、內(nèi)容分類過濾、關鍵字過濾等;
3)入侵防護:IPS等。
[0019]注:侵入保護(阻止)系統(tǒng)(IPS)是新一代的侵入檢測系統(tǒng)(IDS),可彌補IDS存在于前攝及假陽性/陰性等性質(zhì)方面的弱點。IPS能夠識別事件的侵入、關聯(lián)、沖擊、方向和適當?shù)姆治?,然后將合適的信息和命令傳送給防火墻、交換機和其它的網(wǎng)絡設備以減輕該事件的風險。
[0020]網(wǎng)絡地址轉(zhuǎn)換(NAT,Network Address Translation)屬接入廣域網(wǎng)(WAN)技術,是一種將私有(保留)地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術,它被廣泛應用于各種類型Internet接入方式和各種類型的網(wǎng)絡中。
[0021]本發(fā)明的有益效果為:
1、通過深入調(diào)研客戶的網(wǎng)絡需求,將網(wǎng)絡科學的劃分為公有網(wǎng)絡池、私有網(wǎng)絡池兩大類,并根據(jù)不同的網(wǎng)絡分類,分層制定部署方案,在更加滿足客戶靈活需求的同時,實現(xiàn)網(wǎng)絡的分類、分層化管理,部署更加科學、簡潔,便于管理。
[0022]2、通過引入自主研發(fā)的虛擬路由器,將物理網(wǎng)絡抽象到虛擬層面,一方面,有效節(jié)省了物理網(wǎng)絡IP的使用量;另一方面,將底層網(wǎng)絡的管理功能統(tǒng)一轉(zhuǎn)交給虛擬路由器,使得網(wǎng)管人員不必關心底層網(wǎng)絡的具體分布情況,直接通過管理虛擬路由器即可管理整個系統(tǒng)網(wǎng)絡的配置與服務,管理更加簡便快捷。
[0023]3、基于三層虛擬路由器之上添加防火墻規(guī)則,根據(jù)5元組(源IP地址、目標IP地址、源端口、目標端口、協(xié)議)對連接進行篩選和分組,對虛擬機之間的流量進行基本的防火墻保護,大大增強了云計算環(huán)境下的網(wǎng)絡安全。
【專利附圖】
【附圖說明】
[0024]圖1為本發(fā)明的實現(xiàn)流程示意圖;
圖2為基礎網(wǎng)絡環(huán)境圖;
圖3為虛擬交換機邏輯示意圖;
圖4為公有網(wǎng)絡池不意圖;
圖5為私有網(wǎng)絡池不意圖;
圖6為虛擬路由器組成架構圖;
圖7為虛擬路由網(wǎng)絡示意圖;
圖8為防火墻隔離流量示意圖。
【具體實施方式】
[0025]下面參照附圖,通過【具體實施方式】對本發(fā)明進一步說明:
本發(fā)明的體系結構主要包括:搭建二層虛擬網(wǎng)絡,劃分子網(wǎng),部署虛擬路由器,定義防火墻規(guī)則。
[0026]其中,搭建二層虛擬網(wǎng)絡是該方案的二層網(wǎng)絡實現(xiàn)基礎。部署步驟如下:
O如圖2,使用路由器、交換機、防火墻等物理設備,將云數(shù)據(jù)中心的計算(服務器)、存儲(磁盤陣列)等資源進行連接,保證物理節(jié)點之間、管理節(jié)點與物理節(jié)點之間、節(jié)點與存儲之間的網(wǎng)絡可以互通。對于網(wǎng)絡性能要求較高的云數(shù)據(jù)中心,可以在物理上將系統(tǒng)的網(wǎng)絡劃分為業(yè)務網(wǎng)、控制網(wǎng)、數(shù)據(jù)網(wǎng)三種網(wǎng)絡(如圖2),以保證系統(tǒng)內(nèi)各類業(yè)務間的數(shù)據(jù)分離。
[0027]2)配置虛擬交換機,即通過物理網(wǎng)卡抽象虛擬交換機部件。如圖3,通過基于OpenvSwitch的軟件方式,將每臺服務器上的物理網(wǎng)卡與一臺虛擬交換機一對一綁定,形成交換機部件。在交換機上虛擬若干端口,每個端口與云數(shù)據(jù)中心虛擬機的一塊網(wǎng)卡一對一綁定。通過這種方式,實現(xiàn) 虛擬機?虛擬機網(wǎng)卡?虛擬端口 ?虛擬交換機?物理網(wǎng)卡的網(wǎng)絡連接方式。多個虛擬交換機可以進行級聯(lián)設置,組成一個大的分布式虛擬交換機。跟傳統(tǒng)的物理交換機相比,這種虛擬交換機具備眾多優(yōu)點,一是配置更加靈活,每塊物理網(wǎng)卡抽象出的虛擬交換機,均可靈活配置虛擬端口,端口的數(shù)目可以靈活選擇;二是成本更加低廉,通過虛擬交換機,往往可以獲得昂貴的物理交換機才能達到的性能;三是對客戶透明,客戶只需配置虛擬機的網(wǎng)卡,即可實現(xiàn)虛擬機網(wǎng)絡的自動連接,不必關心底層虛擬網(wǎng)絡設備的連接方式。[0028]劃分子網(wǎng)是本方案實現(xiàn)虛擬網(wǎng)絡隔離的基礎。按照不同的網(wǎng)絡連接方式與隔離手段,將虛擬網(wǎng)絡劃分為2大類,以滿足不同客戶的網(wǎng)絡需求:
O公有網(wǎng)絡池:如圖4,公有網(wǎng)絡池對應虛擬交換機上直連公網(wǎng)的虛擬端口組,虛擬機使用可以訪問公網(wǎng)的IP。
[0029]2)私有網(wǎng)絡池:如圖5,私有網(wǎng)絡池對應虛擬交換機上設置VLan的虛擬端口組,虛擬機使用特定Vlan下的私網(wǎng)IP,只能在局域網(wǎng)范圍內(nèi)通信,不可訪問公網(wǎng)。
[0030]部署虛擬路由器是該方案的三層網(wǎng)絡實施環(huán)節(jié)。引入自主研發(fā)的虛擬路由器,如圖6,單獨創(chuàng)建一個系統(tǒng)虛擬機,在其中添加路由核心服務、管理服務與SSH交互服務,統(tǒng)一封裝成虛擬路由器的形式。為虛擬路由器設置兩個網(wǎng)卡,分別連接私網(wǎng)虛擬交換機的端口與公網(wǎng)虛擬交換機的端口,并設置私網(wǎng)與公網(wǎng)IP,保證虛擬路由器可以與公網(wǎng)、私網(wǎng)連通。虛擬路由器的私網(wǎng)IP (如192.168.6.254),即為所連接的私網(wǎng)虛擬交換機的網(wǎng)關。所有連接該私網(wǎng)虛擬交換機的虛擬機,通過將該虛擬路由器的私網(wǎng)IP (如192.168.6.254)設置為自身的網(wǎng)關,實現(xiàn)虛擬路由器對虛擬機網(wǎng)絡的管理。虛擬路由器以虛擬機模版(ovf格式)的形式提供,便于快速部署。
[0031]通過虛擬路由,將各類網(wǎng)絡連接起來。如圖7,虛擬機使用私網(wǎng)IP,通過虛擬路由器,進行NAT與路由處理,實現(xiàn)與公網(wǎng)或隔離子網(wǎng)間的互聯(lián)。由于系統(tǒng)中的網(wǎng)絡均是虛擬的概念,因此有效節(jié)省了系統(tǒng)中不必要的IP使用。
[0032]定義防火墻規(guī)則是該方案實現(xiàn)網(wǎng)絡安全的核心環(huán)節(jié)。由于所有私有網(wǎng)絡池的虛擬機網(wǎng)關均設置為虛擬路由器的私網(wǎng)網(wǎng)卡IP,因此在跨網(wǎng)絡(跨網(wǎng)絡指同Vlan不同網(wǎng)段之間、不同vlan之間)訪問時,所有的外網(wǎng)(不同網(wǎng)段或不同vlan的網(wǎng)絡)流量都必須先通過虛擬路由器,再流入虛擬機;類似的,所有的內(nèi)網(wǎng)流量要到達外網(wǎng)(不同網(wǎng)段或不同vlan的網(wǎng)絡)也要先通過虛擬路由器,如圖7。因此,通過在虛擬路由中添加防火墻規(guī)則,即可控制不同網(wǎng)絡之間互訪時的流量。
[0033]如圖8,虛擬化網(wǎng)絡環(huán)境不外乎分為公共區(qū)域、私有區(qū)域、隔離區(qū)域三大類區(qū)域。不同區(qū)域間,以及同區(qū)域的不同網(wǎng)段間互訪,均可通過添加防火墻規(guī)則進行限制。具體的防火墻規(guī)則包括:
1)數(shù)據(jù)包過濾:源IP過濾、源IP與目的IP過濾、源IP與目的協(xié)議過濾、源MAC地址過濾等;
2)網(wǎng)絡過濾:通過URL過濾、內(nèi)容分類過濾、關鍵字過濾等;
入侵防護:ips等。
【權利要求】
1.一種云計算中心網(wǎng)絡安全解決方案,其特征在于:通過引入虛擬交換機與虛擬路由器,將物理層面的網(wǎng)絡概念抽象到虛擬層面,在虛擬網(wǎng)絡之上實現(xiàn)隔離、防火墻網(wǎng)絡安全功能,該方案主要包括:搭建二層虛擬網(wǎng)絡,劃分子網(wǎng),部署虛擬路由器,定義防火墻規(guī)則,其中: 搭建二層虛擬網(wǎng)絡,在物理網(wǎng)絡互通的前提下,將服務器網(wǎng)卡抽象為虛擬交換機部件,提供二層網(wǎng)絡服務,基于開源虛擬交換機Open VSwitch進行開發(fā),將每臺服務器的物理網(wǎng)卡與一臺虛擬交換機一對一綁定,抽象形成二層虛擬交換機部件; 劃分子網(wǎng),通過基于VLan與IP池的子網(wǎng)劃分方式,有效節(jié)省了物理網(wǎng)絡IP的使用量,充分滿足不同客戶的各種網(wǎng)絡需求,實現(xiàn)虛擬子網(wǎng)間的隔離;通過在虛擬交換機之上以VLan劃分二層虛擬網(wǎng)絡,保證系統(tǒng)內(nèi)各類業(yè)務間的數(shù)據(jù)分離,將復雜的物理網(wǎng)絡配置過程,抽象到虛擬層面,節(jié)省物理網(wǎng)絡IP使用量的同時,簡化了網(wǎng)絡的配置過程; 部署虛擬路由器,通過引入虛擬路由器,將物理層面的三層網(wǎng)絡概念抽象到虛擬層面,將底層網(wǎng)絡的管理功能統(tǒng)一轉(zhuǎn)交給虛擬路由器,使得網(wǎng)管人員不必關心底層網(wǎng)絡的具體分布情況,直接通過管理虛擬路由器即可管理整個系統(tǒng)網(wǎng)絡的配置與服務,采用自主研發(fā)的虛擬路由器,提供NAT、路由、DHCP三層網(wǎng)絡服務,實現(xiàn)虛擬子網(wǎng)之間的互聯(lián)與訪問控制; 定義防火墻規(guī)則,通過向虛擬路由器發(fā)送防火墻控制命令,實現(xiàn)對系統(tǒng)網(wǎng)絡的統(tǒng)一安全管理,本方案所采用的虛擬路由器根據(jù)源IP地址、目標IP地址、源端口、目標端口、協(xié)議5元組對連接進行篩選和分組,在保證云數(shù)據(jù)中心各個子網(wǎng)網(wǎng)絡性能的同時,保障系統(tǒng)網(wǎng)絡的安全性; 基于虛擬路由器添加防火墻規(guī)則,根據(jù)源IP地址、目標IP地址、源端口、目標端口、協(xié)議5元組對連接進行 篩選和分組,對虛擬機之間的流量進行基本的防火墻保護。
2.根據(jù)權利要求1所述的一種云計算中心網(wǎng)絡安全解決方案,其特征在于:所述搭建二層虛擬網(wǎng)絡,部署步驟如下: 1)使用路由器、交換機、防火墻物理設備,將云數(shù)據(jù)中心的計算、存儲資源進行連接,保證物理節(jié)點之間、管理節(jié)點與物理節(jié)點之間、節(jié)點與存儲之間的網(wǎng)絡互通; 2)配置虛擬交換機,通過物理網(wǎng)卡抽象虛擬交換機部件,通過基于OpenvSwitch的軟件方式,將每臺服務器上的物理網(wǎng)卡與一臺虛擬交換機一對一綁定,形成交換機部件,在交換機上虛擬若干端口,每個端口與云數(shù)據(jù)中心虛擬機的一塊網(wǎng)卡一對一綁定,通過這種方式,實現(xiàn)虛擬機?虛擬機網(wǎng)卡?虛擬端口 ?虛擬交換機?物理網(wǎng)卡的網(wǎng)絡連接方式;多個虛擬交換機能夠進行級聯(lián)設置,組成一個大的分布式虛擬交換機。
3.根據(jù)權利要求1或2所述的一種云計算中心網(wǎng)絡安全解決方案,其特征在于:所述劃分子網(wǎng),按照不同的網(wǎng)絡連接方式與隔離手段,將虛擬網(wǎng)絡劃分為2大類: O公有網(wǎng)絡池:公有網(wǎng)絡池對應虛擬交換機上直連公網(wǎng)的虛擬端口組,虛擬機使用可以訪問公網(wǎng)的IP ; 2)私有網(wǎng)絡池:私有網(wǎng)絡池對應虛擬交換機上設置VLan的虛擬端口組,虛擬機使用特定Vlan下的私網(wǎng)IP,只能在局域網(wǎng)范圍內(nèi)通信,不可訪問公網(wǎng)。
4.根據(jù)權利要求3所述的一種云計算中心網(wǎng)絡安全解決方案,其特征在于:所述部署虛擬路由器,通過引入虛擬路由器,單獨創(chuàng)建一個系統(tǒng)虛擬機,在其中添加路由核心服務、管理服務與SSH交互服務,統(tǒng)一封裝成虛擬路由器的形式,為虛擬路由器設置兩個網(wǎng)卡,分別連接私網(wǎng)虛擬交換機的端口與公網(wǎng)虛擬交換機的端口,并設置私網(wǎng)與公網(wǎng)IP,保證虛擬路由器可以與公網(wǎng)、私網(wǎng)連通;虛擬路由器的私網(wǎng)IP,即為所連接的私網(wǎng)虛擬交換機的網(wǎng)關,所有連接該私網(wǎng)虛擬交換機的虛擬機,通過將該虛擬路由器的私網(wǎng)IP設置為自身的網(wǎng)關,實現(xiàn)虛擬路由器對虛擬機網(wǎng)絡的管理,虛擬路由器以虛擬機模版的形式提供,便于快速部署;通過虛擬路由,將各類網(wǎng)絡連接起來,虛擬機使用私網(wǎng)IP,通過虛擬路由器,進行NAT與路由處理,實現(xiàn)與公網(wǎng)或隔離子網(wǎng)間的互聯(lián)。
5.根據(jù)權利要求4所述的一種云計算中心網(wǎng)絡安全解決方案,其特征在于:通過在虛擬路由中添加防火墻規(guī)則,控制不同網(wǎng)絡之間互訪時的流量。
6.根據(jù)權利要求5所述的一種云計算中心網(wǎng)絡安全解決方案,其特征在于:所述防火墻規(guī)則包括: . 1)數(shù)據(jù)包過濾:源IP過濾、源IP與目的IP過濾、源IP與目的協(xié)議過濾、源MAC地址過濾等; . 2)網(wǎng)絡過濾:通過URL過濾、內(nèi)容分類過濾、關鍵字過濾等; . 3)入侵防護。
【文檔編號】H04L29/06GK103746997SQ201410011353
【公開日】2014年4月23日 申請日期:2014年1月10日 優(yōu)先權日:2014年1月10日
【發(fā)明者】呂廣杰, 朱波 申請人:浪潮電子信息產(chǎn)業(yè)股份有限公司