基于云平臺(tái)的虛擬化流量監(jiān)控方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全領(lǐng)域���,尤其涉及一種基于云平臺(tái)的虛擬化流量監(jiān)控方法及裝置����。
【背景技術(shù)】
[0002]防火墻是一種用于在內(nèi)網(wǎng)和外網(wǎng)之間構(gòu)造保護(hù)屏障的設(shè)備�,內(nèi)外網(wǎng)之間的所有流量均要經(jīng)過(guò)防火墻進(jìn)行安全檢測(cè)才能通過(guò),以保護(hù)內(nèi)網(wǎng)免受非法用戶的侵入����。
[0003]企業(yè)、院校等組織一般采用防火墻作為安全保障體系的第一道防線��。但是在現(xiàn)實(shí)應(yīng)用中�����,防火墻并不能解決Web應(yīng)用安全的問(wèn)題,而對(duì)于網(wǎng)站站點(diǎn)而言�����,同樣存在針對(duì)Web應(yīng)用的檢測(cè)需求���,由此產(chǎn)生了另一種形式的防火墻:Web應(yīng)用防護(hù)防火墻(Web Applicat1nFirewalI�,簡(jiǎn)稱WAF)��。WAF代表了一類新興的信息安全技術(shù)����,用以解決諸如防火墻一類傳統(tǒng)安全設(shè)備無(wú)法解決的Web應(yīng)用安全問(wèn)題。與傳統(tǒng)防火墻不同����,WAF工作在應(yīng)用層,因此對(duì)Web應(yīng)用防護(hù)具有先天的技術(shù)優(yōu)勢(shì)��。WAF對(duì)來(lái)自Web應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證����,確保其安全性與合法性��,對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷���,從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。
[0004]現(xiàn)有的WAF —般為具有物理形態(tài)的實(shí)體硬件設(shè)備�����,如圖1所示�����,WAF通常部署在站點(diǎn)服務(wù)器集群的網(wǎng)關(guān)上���,站點(diǎn)服務(wù)器與外網(wǎng)之間產(chǎn)生的流量經(jīng)由WAF進(jìn)行過(guò)濾和清洗。
[0005]在現(xiàn)有的站點(diǎn)安全防護(hù)方案中��,發(fā)明人發(fā)現(xiàn):作為實(shí)體硬件設(shè)備的WAF只能部署在同樣為實(shí)體硬件的網(wǎng)關(guān)上�����,對(duì)實(shí)體設(shè)備之間的流量進(jìn)行監(jiān)控(例如對(duì)內(nèi)網(wǎng)服務(wù)器與外網(wǎng)服務(wù)器之間產(chǎn)生的流量進(jìn)行監(jiān)控)�����。但是在虛擬環(huán)境下,由于WAF是獨(dú)立設(shè)置于宿主機(jī)之外的���,因此無(wú)法對(duì)宿主機(jī)內(nèi)部虛擬機(jī)(Virtual Machine���,簡(jiǎn)稱VM)之間產(chǎn)生的流量進(jìn)行監(jiān)控。實(shí)際應(yīng)用中����,同一臺(tái)宿主機(jī)中的虛擬機(jī)有可能會(huì)被分配給不同站點(diǎn)使用,此種情況下如何保證虛擬機(jī)流量的安全性���,就成為互聯(lián)網(wǎng)安全領(lǐng)域中亟待解決的問(wèn)題之一���。
【發(fā)明內(nèi)容】
[0006]本發(fā)明提供了一種基于云平臺(tái)的虛擬化流量監(jiān)控方法及裝置,能夠解決無(wú)法有效監(jiān)控虛擬機(jī)流量安全性的問(wèn)題���。
[0007]為解決上述技術(shù)問(wèn)題�����,一方面��,本發(fā)明提供了一種基于云平臺(tái)的虛擬化流量監(jiān)控方法��,該方法包括:
[0008]在宿主機(jī)中部署虛擬防火墻��;
[0009]通過(guò)虛擬交換設(shè)備監(jiān)控源虛擬機(jī)產(chǎn)生的數(shù)據(jù)流量���,并根據(jù)云平臺(tái)下發(fā)的牽引策略將監(jiān)控到的數(shù)據(jù)流量牽引到虛擬防火墻中����;
[0010]通過(guò)虛擬防火墻對(duì)數(shù)據(jù)流量進(jìn)行清洗���,獲得安全數(shù)據(jù)流量��;
[0011]將安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)�。
[0012]另一方面���,本發(fā)明還提供了一種基于云平臺(tái)的虛擬化流量監(jiān)控裝置,該裝置包括:
[0013]部署單元���,用于在宿主機(jī)中部署虛擬防火墻�����;
[0014]監(jiān)控單元����,用于通過(guò)虛擬交換設(shè)備監(jiān)控源虛擬機(jī)產(chǎn)生的數(shù)據(jù)流量,并根據(jù)云平臺(tái)下發(fā)的牽引策略將監(jiān)控到的數(shù)據(jù)流量牽引到部署單元部署的虛擬防火墻中�;
[0015]處理單元,用于通過(guò)部署單元部署的虛擬防火墻對(duì)監(jiān)控單元牽引的數(shù)據(jù)流量進(jìn)行清洗���,獲得安全數(shù)據(jù)流量�;
[0016]發(fā)送單元����,用于將處理單元處理得到的安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)。
[0017]本發(fā)明提供的基于云平臺(tái)的虛擬化流量監(jiān)控方法及裝置�����,能夠在宿主機(jī)中部署用于流量清洗的虛擬防火墻���,由虛擬交換設(shè)備對(duì)虛擬機(jī)之間交換的數(shù)據(jù)流量進(jìn)行監(jiān)控��,并將監(jiān)控到的數(shù)據(jù)流量牽引到虛擬防火墻中進(jìn)行清洗�����,由此保證數(shù)據(jù)流量的安全性�����。與現(xiàn)有技術(shù)相比���,本發(fā)明能夠通過(guò)部署在宿主機(jī)中的虛擬防火墻保障虛擬環(huán)境下的網(wǎng)絡(luò)安全�。
[0018]上述說(shuō)明僅是本發(fā)明技術(shù)方案的概述�,為了能夠更清楚了解本發(fā)明的技術(shù)手段,而可依照說(shuō)明書的內(nèi)容予以實(shí)施��,并且為了讓本發(fā)明的上述和其它目的�����、特征和優(yōu)點(diǎn)能夠更明顯易懂�,以下特舉本發(fā)明的【具體實(shí)施方式】。
【附圖說(shuō)明】
[0019]通過(guò)閱讀下文優(yōu)選實(shí)施方式的詳細(xì)描述�����,各種其他的優(yōu)點(diǎn)和益處對(duì)于本領(lǐng)域普通技術(shù)人員將變得清楚明了���。附圖僅用于示出優(yōu)選實(shí)施方式的目的,而并不認(rèn)為是對(duì)本發(fā)明的限制。而且在整個(gè)附圖中���,用相同的參考符號(hào)表示相同的部件��。在附圖中:
[0020]圖1示出了現(xiàn)有技術(shù)中在網(wǎng)關(guān)上部署實(shí)體WAF的系統(tǒng)示意圖�����;
[0021]圖2示出了本發(fā)明提供的一種基于云平臺(tái)的虛擬化流量監(jiān)控方法的流程圖���;
[0022]圖3示出了本發(fā)明提供的另一種基于云平臺(tái)的虛擬化流量監(jiān)控方法的流程圖;
[0023]圖4示出了本發(fā)明提供的一種部署虛擬防火墻的示意圖����;
[0024]圖5示出了本發(fā)明提供的另一種部署虛擬防火墻的示意圖;
[0025]圖6示出了本發(fā)明提供的一種跨虛擬交換設(shè)備的數(shù)據(jù)流量監(jiān)控方案的示意圖�;
[0026]圖7示出了本發(fā)明提供的一種跨宿主機(jī)的數(shù)據(jù)流量監(jiān)控方案的示意圖;
[0027]圖8示出了本發(fā)明提供的一種基于云平臺(tái)的虛擬化流量監(jiān)控裝置的結(jié)構(gòu)組成框圖��;
[0028]圖9示出了本發(fā)明提供的另一種基于云平臺(tái)的虛擬化流量監(jiān)控裝置的結(jié)構(gòu)組成框圖�����。
【具體實(shí)施方式】
[0029]下面將參照附圖更詳細(xì)地描述本公開的示例性實(shí)施例��。雖然附圖中顯示了本公開的示例性實(shí)施例,然而應(yīng)當(dāng)理解�����,可以以各種形式實(shí)現(xiàn)本公開而不應(yīng)被這里闡述的實(shí)施例所限制���。相反����,提供這些實(shí)施例是為了能夠更透徹地理解本公開��,并且能夠?qū)⒈竟_的范圍完整的傳達(dá)給本領(lǐng)域的技術(shù)人員���。
[0030]為保障虛擬環(huán)境下虛擬機(jī)之間的數(shù)據(jù)流量安全�,本發(fā)明實(shí)施例提供了一種基于云平臺(tái)的虛擬化流量監(jiān)控方法��。如圖2所示�,該方法包括:
[0031]201、在宿主機(jī)中部署虛擬防火墻���。
[0032]本實(shí)施例中所述的宿主機(jī)在實(shí)際應(yīng)用中又可以稱作為物理機(jī)或虛擬服務(wù)器�����,用作于虛擬機(jī)的物理實(shí)體介質(zhì)�,通過(guò)對(duì)內(nèi)存��、中央處理器(Central Processing Unit�,簡(jiǎn)稱CPU)等計(jì)算機(jī)資源的劃分,一臺(tái)宿主機(jī)可以劃分出多個(gè)虛擬機(jī)���,每個(gè)虛擬機(jī)共享宿主機(jī)的內(nèi)存���、硬盤、CPU及各種軟硬件接口資源�����。
[0033]除劃分多個(gè)虛擬機(jī)外�����,本實(shí)施例中���,宿主機(jī)內(nèi)部還需要部署一個(gè)虛擬防火墻����。與現(xiàn)有技術(shù)中的實(shí)體防火墻不同,虛擬防火墻實(shí)際上只是一段基于進(jìn)程執(zhí)行的計(jì)算機(jī)程序�,不具有物理形態(tài)。與虛擬機(jī)類似����,虛擬防火墻同樣基于宿主機(jī)的計(jì)算機(jī)資源進(jìn)行工作。
[0034]本實(shí)施例中�,宿主機(jī)中可以部署一個(gè)或多個(gè)虛擬防火墻。當(dāng)部署多個(gè)虛擬防火墻時(shí)��,虛擬交換設(shè)備監(jiān)控的數(shù)據(jù)流量可以依次經(jīng)由多個(gè)虛擬防火墻進(jìn)行多次清理���;或者����,也可以多個(gè)虛擬防火墻分別用于清洗各自負(fù)責(zé)的一個(gè)或多個(gè)虛擬機(jī)�,本實(shí)施例不對(duì)虛擬防火墻的數(shù)量和部署方式進(jìn)行限制。
[0035]除此之外�����,宿主機(jī)中還會(huì)部署有用于流量交換的虛擬交換設(shè)備�,該虛擬交換設(shè)備用于對(duì)虛擬機(jī)之間收發(fā)的數(shù)據(jù)流量進(jìn)行轉(zhuǎn)發(fā),所有虛擬機(jī)都需要通過(guò)虛擬交換設(shè)備進(jìn)行數(shù)據(jù)交換�。與虛擬防火墻類似��,虛擬交換設(shè)備同樣不具有確定的物理形態(tài)�����,并需要基于宿主機(jī)的計(jì)算機(jī)資源進(jìn)行工作。
[0036]本實(shí)施例中�,虛擬防火墻可以部署在虛擬交換設(shè)備上,也可以獨(dú)立于虛擬交換設(shè)備部署�����,或者還可以部署在某個(gè)特定的虛擬機(jī)上����,本實(shí)施例不對(duì)虛擬防火墻的部署位置進(jìn)行限制。
[0037]202���、通過(guò)虛擬交換設(shè)備監(jiān)控源虛擬機(jī)產(chǎn)生的數(shù)據(jù)流量���。
[0038]虛擬機(jī)在進(jìn)行數(shù)據(jù)收發(fā)時(shí),所有在虛擬機(jī)之間交換的數(shù)據(jù)都需要經(jīng)由虛擬交換設(shè)備轉(zhuǎn)發(fā)��。本實(shí)施例中�,虛擬交換設(shè)備作為數(shù)據(jù)流量的交換媒介�,用于在虛擬機(jī)進(jìn)行數(shù)據(jù)交換時(shí)���,對(duì)交換的數(shù)據(jù)流量進(jìn)行監(jiān)控�。
[0039]實(shí)際應(yīng)用中����,本實(shí)施例中所述的虛擬交換設(shè)備可以但不限于是虛擬路由器或者虛擬交換機(jī)。
[0040]為便于理解方案���,本實(shí)施例從數(shù)據(jù)流向的角度將發(fā)送數(shù)據(jù)流量的虛擬機(jī)稱為源虛擬機(jī)����,將接收數(shù)據(jù)流量的虛擬機(jī)稱為目標(biāo)虛擬機(jī)�。實(shí)際應(yīng)用中,任何一臺(tái)虛擬機(jī)都兼具有數(shù)據(jù)收發(fā)的功能��,所以任何一個(gè)虛擬機(jī)都既是源虛擬機(jī)又是目標(biāo)虛擬機(jī)����。
[0041]在本發(fā)明各實(shí)施例中,虛擬交換設(shè)備在監(jiān)控到數(shù)據(jù)流量后��,對(duì)其進(jìn)行截獲,在虛擬防火墻完成對(duì)數(shù)據(jù)流量的清洗前�����,該數(shù)據(jù)流量暫不轉(zhuǎn)發(fā)到目標(biāo)虛擬機(jī)中����。
[0042]203、根據(jù)云平臺(tái)下發(fā)的牽引策略將監(jiān)控到的數(shù)據(jù)流量牽引到虛擬防火墻中��。
[0043]在監(jiān)控到數(shù)據(jù)流量之后�,虛擬交換設(shè)備將數(shù)據(jù)流量牽引到虛擬防火墻中進(jìn)行清洗�。本實(shí)施例中,流量牽引的時(shí)機(jī)�����、數(shù)據(jù)量大小等因素由宿主機(jī)預(yù)先獲得的牽引策略決定���。實(shí)際應(yīng)用中�����,虛擬交換設(shè)備可以全時(shí)或周期性的對(duì)全部或部分?jǐn)?shù)據(jù)流量進(jìn)行牽引����,本實(shí)施例對(duì)此不作限制。
[0044]在本實(shí)施例中���,虛擬交換設(shè)備預(yù)先獲得的牽引策略由云平臺(tái)制定并下發(fā)�����,云平臺(tái)可以基于對(duì)不同網(wǎng)站節(jié)點(diǎn)的大數(shù)據(jù)分析�,計(jì)算生成該牽引策略���。在云平臺(tái)一側(cè)���,可以針對(duì)所有網(wǎng)站站點(diǎn)制定統(tǒng)一的牽引策略,也可以基于不同的站點(diǎn)類型�����、宿主機(jī)型號(hào)���、虛擬機(jī)數(shù)量�、虛擬機(jī)性能����、路由拓?fù)涞纫蛩貫椴煌奶摂M環(huán)境制定不同的牽引策略�����。當(dāng)然���,實(shí)際應(yīng)用中,云平臺(tái)側(cè)的牽引策略也可以由安全管理員手動(dòng)設(shè)置制定����,或者直接在宿主機(jī)側(cè)的虛擬交換設(shè)備中制定而成,本實(shí)施例對(duì)此不作限制����。
[0045]在獲得云平臺(tái)配置的牽引策略后��,宿主機(jī)還可以通過(guò)云平臺(tái)定期或不定期更新本地的牽引策略��。
[0046]204���、通過(guò)虛擬防火墻對(duì)數(shù)據(jù)流量進(jìn)行清洗��,獲得安全數(shù)據(jù)流量��。
[0047]虛擬防火墻具有但不限于異常檢測(cè)�����、漏洞修復(fù)����、設(shè)備審計(jì)等安全功能,在獲得虛擬交換設(shè)備牽引的數(shù)據(jù)流量后�����,虛擬防火墻根據(jù)網(wǎng)站站點(diǎn)的具體需求對(duì)數(shù)據(jù)流量進(jìn)行安全清洗�,獲得安全數(shù)據(jù)流量。
[0048]在一種實(shí)現(xiàn)方式中�,對(duì)于存在安全隱患的數(shù)據(jù)流量,虛擬防火墻可以對(duì)其直接進(jìn)行丟棄����,也可以不予丟棄但向虛擬交換設(shè)備進(jìn)