国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      一種適用于虛擬機(jī)的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法

      文檔序號:7805147閱讀:552來源:國知局
      一種適用于虛擬機(jī)的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法【專利摘要】本發(fā)明涉及云計(jì)算領(lǐng)域,特別是一種適用于虛擬機(jī)的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法。本發(fā)明必須保證宿主機(jī)安裝防火墻軟件,并且開啟ip轉(zhuǎn)發(fā)。創(chuàng)建的虛擬機(jī)通過橋接的方式連接到網(wǎng)絡(luò);然后在宿主機(jī)上創(chuàng)建屬于此虛擬機(jī)的子鏈表,接著根據(jù)虛擬機(jī)選擇網(wǎng)絡(luò)防火墻規(guī)則,把防火墻規(guī)則添加到虛擬機(jī)的子鏈表。最后把虛擬機(jī)的子鏈表鏈接到防火墻的FARWARD表中。假如用戶修改網(wǎng)絡(luò)防火墻規(guī)則的時(shí),相應(yīng)的把防火墻規(guī)則更新到虛擬機(jī)子鏈表。本發(fā)明實(shí)現(xiàn)防火墻規(guī)則只需要在宿主機(jī)上執(zhí)行,虛擬機(jī)操作內(nèi)部無需再安裝防火墻軟件,提供一個節(jié)省資源,靈活方便虛擬機(jī)網(wǎng)絡(luò)防火墻的方法?!緦@f明】一種適用于虛擬機(jī)的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法【
      技術(shù)領(lǐng)域
      】[0001]本發(fā)明涉及云計(jì)算領(lǐng)域,特別是一種適用于虛擬機(jī)的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法?!?br>背景技術(shù)
      】[0002]在云計(jì)算時(shí)代,通過虛擬機(jī)的形式提供彈性計(jì)算資源給用戶使用。通常,一個物理主機(jī)可以創(chuàng)建多臺的虛擬機(jī),一個管理員需要管理的虛擬機(jī)成倍的增長,因此虛擬機(jī)網(wǎng)絡(luò)安全也面臨著嚴(yán)峻的挑戰(zhàn)。面對網(wǎng)絡(luò)安全的問題,傳統(tǒng)的解決辦法在每臺虛擬機(jī)上安裝網(wǎng)絡(luò)防火墻軟件,然后在每臺虛擬機(jī)上配置相應(yīng)的防火墻規(guī)則。這種解決辦法存在以下弊端:[0003]1、網(wǎng)絡(luò)防火墻管理配置麻煩,每次設(shè)置更新修改網(wǎng)絡(luò)防火墻規(guī)則,用戶需要遠(yuǎn)程登陸虛擬機(jī)逐一的設(shè)置。這種方式需要花費(fèi)大量的人工,而且沒有統(tǒng)一的界面展示修改規(guī)貝U,容易產(chǎn)生混亂。[0004]2、每臺虛擬機(jī)需要運(yùn)行網(wǎng)絡(luò)防火墻的軟件,額外占用大量的計(jì)算機(jī)資源?!?br/>發(fā)明內(nèi)容】[0005]本發(fā)明解決的技術(shù)問題在于提供一種適用虛擬機(jī)的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法,解決傳統(tǒng)方法存在的管理混亂、浪費(fèi)資源的弊端,提供一個節(jié)省物理資源、靈活方便虛擬機(jī)網(wǎng)絡(luò)防火墻的解決方案。[0006]本發(fā)明解決上述問題,其特征在于:[0007]包括如下步驟:[0008]步驟1:宿主機(jī)安裝防火墻軟件,并且開啟ip轉(zhuǎn)發(fā);[0009]步驟2:宿主機(jī)創(chuàng)建的虛擬機(jī)以橋接的方式連接網(wǎng)絡(luò);[0010]步驟3:宿主機(jī)上每創(chuàng)建一臺虛擬機(jī)就創(chuàng)建新的子鏈表,子鏈表的名字跟虛擬機(jī)名字一致;[0011]步驟4:在宿主機(jī)上初始化子鏈表規(guī)則,并且鏈接到FORWARD表;[0012]步驟5:用戶通過web頁面修改虛擬機(jī)子鏈表的規(guī)則。[0013]所述的宿主機(jī)可以創(chuàng)建、刪除虛擬機(jī)防火墻,添加、修改虛擬機(jī)防火墻的規(guī)則;[0014]所述的防火墻軟件是運(yùn)行在宿主機(jī),能夠?qū)崿F(xiàn)上下行訪問策略、ARP防御、DOS防御。[0015]所述的步驟2是虛擬機(jī)網(wǎng)絡(luò)接口連接到Iinux網(wǎng)橋;所述的網(wǎng)橋相當(dāng)于在Iinux宿主機(jī)上實(shí)現(xiàn)了一個虛擬的交換機(jī)。[0016]所述FORWARD鏈表允許網(wǎng)絡(luò)數(shù)據(jù)包重新轉(zhuǎn)發(fā)到虛擬機(jī)的網(wǎng)絡(luò)接口,按虛擬機(jī)子鏈表的規(guī)則所定義的方法來進(jìn)行放行(accept)、拒絕(reject)、丟棄(drop)處理這些數(shù)據(jù)包;[0017]所述的初始化鏈表是為了保障虛擬機(jī)的網(wǎng)絡(luò)安全性,默認(rèn)規(guī)則是:虛擬機(jī)下行是拒絕訪問的;上行訪問時(shí)沒有任何限制的;抵御ARP網(wǎng)關(guān)欺騙。[0018]用戶可以通過web頁面修改虛擬機(jī)的防火墻規(guī)則。[0019]防火墻規(guī)則只需要在宿主機(jī)上執(zhí)行,而不需要在虛擬機(jī)上安裝防火墻軟件。[0020]本發(fā)明實(shí)現(xiàn)了防火墻規(guī)則只需要在宿主機(jī)上執(zhí)行,虛擬機(jī)操作內(nèi)部無需再安裝防火墻軟件,提供一個節(jié)省資源,靈活方便虛擬機(jī)網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法。【專利附圖】【附圖說明】[0021]下面結(jié)合附圖對本發(fā)明進(jìn)一步說明:[0022]圖1為本發(fā)明的流程圖;[0023]圖2為本發(fā)明的模型架構(gòu)圖。【具體實(shí)施方式】[0024]如圖1、2所示,本發(fā)明包括如下步驟:[0025]步驟1:宿主機(jī)安裝防火墻軟件,并且開啟ip轉(zhuǎn)發(fā)。[0026]步驟2:宿主機(jī)創(chuàng)建的虛擬機(jī)以橋接的方式連接網(wǎng)絡(luò);即虛擬機(jī)網(wǎng)絡(luò)接口連接到Iinux網(wǎng)橋;所述的網(wǎng)橋相當(dāng)于在Iinux宿主機(jī)上實(shí)現(xiàn)了一個虛擬的交換機(jī)。[0027]步驟3:宿主機(jī)上每創(chuàng)建一臺虛擬機(jī)就創(chuàng)建新的子鏈表,子鏈表的名字跟虛擬機(jī)名字一致。[0028]步驟4:在宿主機(jī)上初始化子鏈表規(guī)則,并且鏈接到FORWARD表;所述FORWARD鏈表允許網(wǎng)絡(luò)數(shù)據(jù)包重新轉(zhuǎn)發(fā)到虛擬機(jī)的網(wǎng)絡(luò)接口,按虛擬機(jī)子鏈表的規(guī)則所定義的方法來進(jìn)行放行(accept)、拒絕(reject)、丟棄(drop)處理這些數(shù)據(jù)包;所述的初始化鏈表是為了保障虛擬機(jī)的網(wǎng)絡(luò)安全性,默認(rèn)規(guī)則是:虛擬機(jī)下行是拒絕訪問的;上行訪問時(shí)沒有任何限制的;抵御ARP網(wǎng)關(guān)欺騙。[0029]步驟5:用戶通過web頁面修改虛擬機(jī)子鏈表的規(guī)則;即可以通過web頁面修改虛擬機(jī)的防火墻規(guī)則。[0030]前述中,宿主機(jī)可以創(chuàng)建、刪除虛擬機(jī)防火墻,添加、修改虛擬機(jī)防火墻的規(guī)則。防火墻軟件是運(yùn)行在宿主機(jī),能夠?qū)崿F(xiàn)上下行訪問策略、ARP防御、DOS防御。[0031]防火墻規(guī)則只需要在宿主機(jī)上執(zhí)行,而不需要在虛擬機(jī)上安裝防火墻軟件。[0032]本發(fā)明涉及的防火墻軟件有多種,下面以iptables為例講述其中一種虛擬機(jī)網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方式,流程圖如圖1所示,具體實(shí)施過程如下[0033]1、在宿主機(jī)執(zhí)行以下命令,開啟宿主機(jī)ip數(shù)據(jù)包轉(zhuǎn)發(fā)[0034]#sysctl-wnet.1pv4.1p_forward=I[0035]2、創(chuàng)建虛擬機(jī)時(shí),虛擬機(jī)網(wǎng)絡(luò)接口采用橋接的方式,配置文件如下[0036]〈interfacetype=”bridge,,〉[0037]<filterreffilter=“no-mac-spoofing,,/>[0038]〈sourcebridge="br0"/>[0039]〈modeltype="virtio"/〉[0040]</interface〉[0041]3、假如虛擬機(jī)id為1-abcd,然后創(chuàng)建1-abcd子鏈表,然后初始化子鏈表,并鏈接到FOR上ARD表,執(zhí)行命令如下:[0042]#iptables-tfiIter-N1-abcd[0043]#iptables-AFORWARD-j1-abcd[0044]#iptables-A1-abcd-mstate—stateINVALID-jDROP[0045]##iptables-A1-abcd-mstate—stateRELATED,ESTABLISHED-jACCEPT[0046]#iptables-A1-abcd-jDROP[0047]4、給1-abcd子鏈表添加規(guī)則,假如允許windows遠(yuǎn)程連接,允許能夠ping虛擬機(jī),那么需要執(zhí)行如下命令[0048]#iptables-1i_abcd3-ptcp—dport3389-jACCEPT[0049]#iptables-1i_abcd4-picmp-micmp-jACCEPT[0050]5、刪除1-abcd子鏈表的某個規(guī)則,比如刪除允許虛擬機(jī)被ping的規(guī)則,不允許windows遠(yuǎn)程連接,那么需要執(zhí)行的命令如下:[0051]#iptables-D1-abcd-picmp-micmp-jACCEPT[0052]#iptables-Di_abcd4-ptcp—dport3389-jACCEPT[0053]6、虛擬機(jī)1-abcd被刪除時(shí),虛擬機(jī)i_abcd的防火墻規(guī)則同樣被刪除,執(zhí)行命令如下:[0054]#iptables-DFORWARD1-abcd[0055]#iptables-F1-abcd[0056]#iptables-Xi_abcd。【權(quán)利要求】1.一種適用于虛擬機(jī)的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法,其特征在于:包括如下步驟:步驟1:宿主機(jī)安裝防火墻軟件,并且開啟ip轉(zhuǎn)發(fā);步驟2:宿主機(jī)創(chuàng)建的虛擬機(jī)以橋接的方式連接網(wǎng)絡(luò);步驟3:宿主機(jī)上每創(chuàng)建一臺虛擬機(jī)就創(chuàng)建新的子鏈表,子鏈表的名字跟虛擬機(jī)名字一致;步驟4:在宿主機(jī)上初始化子鏈表規(guī)則,并且鏈接到FORWARD表;步驟5:用戶通過web頁面修改虛擬機(jī)子鏈表的規(guī)則。2.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法,其特征在于:所述的宿主機(jī)可以創(chuàng)建、刪除虛擬機(jī)防火墻,添加、修改虛擬機(jī)防火墻的規(guī)則;所述的防火墻軟件是運(yùn)行在宿主機(jī),能夠?qū)崿F(xiàn)上下行訪問策略、ARP防御、DOS防御。3.根據(jù)權(quán)利要求1所述的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法,其特征在于:所述的步驟2是虛擬機(jī)網(wǎng)絡(luò)接口連接到Iinux網(wǎng)橋;所述的網(wǎng)橋相當(dāng)于在Iinux宿主機(jī)上實(shí)現(xiàn)了一個虛擬的交換機(jī)。4.根據(jù)權(quán)利要求2所述的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法,其特征在于:所述的步驟2是虛擬機(jī)網(wǎng)絡(luò)接口連接到Iinux網(wǎng)橋;所述的網(wǎng)橋相當(dāng)于在Iinux宿主機(jī)上實(shí)現(xiàn)了一個虛擬的交換機(jī)。5.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法,其特征在于:所述FORWARD鏈表允許網(wǎng)絡(luò)數(shù)據(jù)包重新轉(zhuǎn)發(fā)到虛擬機(jī)的網(wǎng)絡(luò)接口,按虛擬機(jī)子鏈表的規(guī)則所定義的方法來進(jìn)行放行(accept)、拒絕(reject)、丟棄(drop)處理這些數(shù)據(jù)包;所述的初始化鏈表是為了保障虛擬機(jī)的網(wǎng)絡(luò)安全性,默認(rèn)規(guī)則是:虛擬機(jī)下行是拒絕訪問的;上行訪問時(shí)沒有任何限制的;抵御ARP網(wǎng)關(guān)欺騙。6.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法,其特征在于:用戶可以通過web頁面修改虛擬機(jī)的防火墻規(guī)則。7.根據(jù)權(quán)利要求5所述的網(wǎng)絡(luò)防火墻的實(shí)現(xiàn)方法,其特征在于:用戶可以通過web頁面修改虛擬機(jī)的防火墻規(guī)則。8.根據(jù)權(quán)利要求1至4任一項(xiàng)所述的一種適用于虛擬機(jī)的網(wǎng)絡(luò)防火墻的方法,其特征在于:防火墻規(guī)則只需要在宿主機(jī)上執(zhí)行,而不需要在虛擬機(jī)上安裝防火墻軟件。9.根據(jù)權(quán)利要求5所述的一種適用于虛擬機(jī)的網(wǎng)絡(luò)防火墻的方法,其特征在于:防火墻規(guī)則只需要在宿主機(jī)上執(zhí)行,而不需要在虛擬機(jī)上安裝防火墻軟件。10.根據(jù)權(quán)利要求6所述的一種適用于虛擬機(jī)的網(wǎng)絡(luò)防火墻的方法,其特征在于:防火墻規(guī)則只需要在宿主機(jī)上執(zhí)行,而不需要在虛擬機(jī)上安裝防火墻軟件?!疚臋n編號】H04L29/06GK104023011SQ201410238596【公開日】2014年9月3日申請日期:2014年5月30日優(yōu)先權(quán)日:2014年5月30日【發(fā)明者】張瑜科,楊松,莫展鵬,季統(tǒng)凱申請人:國云科技股份有限公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
      1