行告警�,由虛擬交換設備對隱患數(shù)據(jù)進行相應處理。
[0049]需要說明的是�����,本實施例中所謂安全數(shù)據(jù)流量的概念包含兩層含義:其一是剔除隱患數(shù)據(jù)之后的正常數(shù)據(jù)流量�,其二是經(jīng)過虛擬防火墻修復之后的數(shù)據(jù)流量。本發(fā)明后續(xù)實施例對此不作具體區(qū)分和限定����。
[0050]205、將安全數(shù)據(jù)流量轉發(fā)給對應的目標虛擬機。
[0051]在獲得安全數(shù)據(jù)流量之后�,將安全數(shù)據(jù)流量轉發(fā)給對應的目標虛擬機,由此完成從源虛擬機到目標虛擬機的數(shù)據(jù)流量轉發(fā)�。
[0052]實際應用中,安全數(shù)據(jù)流量可以由虛擬防火墻直接轉發(fā)給目標虛擬機�,也可以在經(jīng)由虛擬防火墻清洗后返回給虛擬交換設備,由虛擬交換設備轉發(fā)給目標虛擬機���。
[0053]日常生活中��,電腦�����、服務器等硬件設備會感染病毒或存在漏洞�,虛擬環(huán)境下的虛擬機也會存在同樣問題?����,F(xiàn)有技術能夠通過在網(wǎng)關上部署硬件防火墻的方式阻斷實體設備間的病毒傳播���,但是對于虛擬機之間的病毒傳播則無能為力。本實施例提供的方法能夠在宿主機內部部署虛擬防火墻����,通過虛擬交換設備對虛擬機之間的數(shù)據(jù)流量進行監(jiān)控��,牽引到虛擬防火墻中進行清洗��,由此防止虛擬機之間傳播病毒��,保障虛擬環(huán)境下的網(wǎng)絡安全��。
[0054]進一步的���,作為對圖2所示實現(xiàn)方式的細化,本發(fā)明另一實施例還提供了一種基于云平臺的虛擬化流量監(jiān)控方法���。在該方法中���,虛擬交換設備對虛擬機的數(shù)據(jù)流量進行全時監(jiān)控,并全部牽引到虛擬防火墻中進行清洗�。具體的,如圖3所示�����,該方法包括:
[0055]301�����、根據(jù)虛擬機所在的網(wǎng)段動態(tài)部署虛擬防火墻。
[0056]在本實施例中�����,虛擬防火墻部署在虛擬交換設備上���,宿主機中的部分虛擬機需要進行流量清洗���,而部分可信任的虛擬機無需進行流量清洗。在部署虛擬防火墻時�,可以基于虛擬機所在的網(wǎng)段,針對需要進行流量清洗的虛擬機進行虛擬防火墻的動態(tài)部署�����。具體實現(xiàn)方式如下步驟3011及步驟3012所示:
[0057]3011�����、獲取作為監(jiān)控對象的虛擬機的網(wǎng)段�����。
[0058]例如在圖4所示的示意圖中����,宿主機中配置有5個虛擬機,虛擬機I至虛擬機5的網(wǎng)間協(xié)議(Internet Protocol���,簡稱IP)地址分別為192.168.2.1�����、2���、3、4及5��。根據(jù)安全管理員的配置���,需要對虛擬機1����、2及3進行流量清洗��,因此虛擬機1�、2及3為虛擬交換設備X的監(jiān)控對象�,并且由此獲得的監(jiān)控對象的IP網(wǎng)段為192.168.2.1_3�����。
[0059]3012���、將虛擬防火墻動態(tài)部署在對應網(wǎng)段的虛擬交換設備上����。
[0060]在圖4所示示例中��,5臺虛擬機全部基于唯一的虛擬交換設備X進行數(shù)據(jù)轉發(fā)����,因此網(wǎng)段192.168.2.1-3對應的虛擬交換設備為虛擬交換設備X,可以將虛擬防火墻動態(tài)部署在虛擬交換設備X上���。
[0061]實際應用中�,一臺宿主機中可能存在多個虛擬交換設備����,每個虛擬交換設備負責不同數(shù)量的虛擬機的數(shù)據(jù)流量交換。對于此種情況���,步驟3011和步驟3012的示例可以如圖5所示�。在圖5中,虛擬機1���、2及3通過虛擬交換設備X進行流量交換,虛擬機4����、5、6及7通過虛擬交換設備Y進行流量交換�。虛擬機I至7的IP地址依次為192.168.2.1、2�、3、4�、5、6及7�,其中,虛擬交換設備X對應的IP網(wǎng)段為192.168.2.1_3����,虛擬交換設備Y對應的IP網(wǎng)段為192.168.2.4_7。在進行防火墻部署時�����,如果需要對虛擬機2和3進行監(jiān)控,則可以將虛擬防火墻部署在對應IP網(wǎng)段為192.168.2.1-3的虛擬交換設備X上����,而如果需要對虛擬機4、5�����、6及7進行監(jiān)控��,則可以將虛擬防火墻部署在對應IP網(wǎng)段為192.168.2.4-7的虛擬交換設備Y上�。如果兩個IP網(wǎng)段上都包含需要監(jiān)控的虛擬機,則可以分別在虛擬交換設備X及虛擬交換設備Y上各自部署一個虛擬防火墻�。圖5示出了在兩個虛擬交換設備上分別部署虛擬防火墻的實現(xiàn)方式。
[0062]302�、通過虛擬交換設備監(jiān)控源虛擬機產(chǎn)生的數(shù)據(jù)流量。
[0063]以圖4為例�,虛擬交換設備X對作為監(jiān)控對象的虛擬機1、2及3進行流量監(jiān)控���。當虛擬機I向虛擬機3發(fā)送數(shù)據(jù)流量a時�,該數(shù)據(jù)流量a首先由虛擬機I發(fā)送至虛擬交換設備X上�,虛擬交換設備X監(jiān)控獲得數(shù)據(jù)流量a。
[0064]303�����、根據(jù)云平臺下發(fā)的牽引策略將監(jiān)控到的數(shù)據(jù)流量牽引到虛擬防火墻中。
[0065]對于圖4所示方案��,在監(jiān)控到數(shù)據(jù)流量a后�,虛擬交換設備X將該數(shù)據(jù)流量a牽引到虛擬防火墻中。
[0066]在本實施例的一種改進方案中��,虛擬交換設備X可以對數(shù)據(jù)流量進行選擇性牽弓I�����。具體的�����,虛擬交換設備X根據(jù)牽引策略對數(shù)據(jù)流量進行分流����,該牽引策略包括基于下述至少一個維度對數(shù)據(jù)流量進行分流:數(shù)據(jù)包類型���、數(shù)據(jù)包大小�����、源虛擬機分組��、目標虛擬機分組以及時段�����。在進行分流后����,虛擬交換設備X將部分分流數(shù)據(jù)選擇性的牽引到虛擬防火墻中,當然���,虛擬交換設備X也可以將所有分流數(shù)據(jù)都牽引到虛擬防火墻中�����。
[0067]以數(shù)據(jù)包類型為例���,對于數(shù)據(jù)流量a,虛擬交換設備X可以將其分流為公有協(xié)議數(shù)據(jù)包和私有協(xié)議數(shù)據(jù)包兩個分流數(shù)據(jù)�����,然后將私有協(xié)議類型的分流數(shù)據(jù)牽引到虛擬防火墻中。實際應用中��,不同的虛擬防火墻采用的協(xié)議類型所有不同��,按照數(shù)據(jù)包類型進行分流可以將虛擬防火墻無法處理包類型過濾掉����,避免不必要的資源開銷。當然���,在本示例中��,如果宿主機中還部署有基于公有協(xié)議的虛擬防火墻��,虛擬交換設備X也可以將有公有協(xié)議類型的分流數(shù)據(jù)牽引到后者虛擬防火墻,以使不同防火墻“各司其職”�����。
[0068]再以時段為例���,虛擬交換設備X可以以時段為依據(jù)將數(shù)據(jù)流量a分流為“00:00-08:00”�����、“08:00-16:00”及“ 16:00-24:00”三個時段產(chǎn)生的三個分流數(shù)據(jù)����,并將其中的至少一個分流數(shù)據(jù)牽引到虛擬防火墻中。
[0069]實際應用中�����,虛擬交換設備X可以根據(jù)上述牽引策略中的任意一個維度進行分流���,也可以基于至少兩個維度的組合進行分流��,本實施例對此不作限制�����。
[0070]進一步的�,在本實施例的另一實現(xiàn)方式中�����,數(shù)據(jù)分流還包含另一層含義:即對不同的數(shù)據(jù)流量進行分類�����,而非對某個數(shù)據(jù)流量進行“拆分”。例如�����,當虛擬機I和虛擬機2分別向虛擬機3發(fā)送數(shù)據(jù)流量時��,虛擬交換設備X可以對虛擬機I發(fā)送的公有協(xié)議的數(shù)據(jù)流量以及虛擬機2發(fā)送的私有協(xié)議的數(shù)據(jù)流量進行區(qū)分���,并將虛擬機I發(fā)送的公有協(xié)議類型的數(shù)據(jù)流量發(fā)送給虛擬防火墻�����。
[0071]304���、通過虛擬防火墻對數(shù)據(jù)流量進行清洗。
[0072]虛擬防火墻中包含一個安全規(guī)則庫���,其中記錄了用以進行數(shù)據(jù)安全檢測的各種安全規(guī)則。本實施例中���,基于安全規(guī)則庫的數(shù)據(jù)流量清洗包括對數(shù)據(jù)流量進行下述至少一種處理:
[0073]1��、異常請求檢測���;
[0074]2�����、增強輸入驗證�����;
[0075]3�、修補安全漏洞���;
[0076]4�����、異常規(guī)則/模型檢測���;
[0077]5、狀態(tài)管理���;
[0078]6�、隱藏表單域保護����;
[0079]7�、抗入侵規(guī)避處理�����;
[0080]8��、響應監(jiān)視���;
[0081]9���、信息泄露保護。
[0082]虛擬防火墻基于上述一種或多種規(guī)則對數(shù)據(jù)流量進行清洗�����,對于不存在安全隱患的數(shù)據(jù)流量�,虛擬防火墻不作任何處理,直接得到安全數(shù)據(jù)流量��;對于存在安全隱患的數(shù)據(jù)流量�����,虛擬防火墻對其進行修復�,獲得安全數(shù)據(jù)流量;對于無法修復的數(shù)據(jù)流量(例如目的在于發(fā)起流量攻擊的異常訪問)����,虛擬防火墻直接將其丟棄。
[0083]本實施例中��,虛擬防火墻使用的安全規(guī)則庫可以是在防火墻產(chǎn)品出廠時直接寫入到防火墻中的���,也可以是在部署虛擬防火墻之后�����,由云平臺下發(fā)配置的�����。在首次配置安全規(guī)則庫后�����,虛擬防火墻可以通過云平臺定期或不定期進行規(guī)則庫的更新�。
[0084]305�����、根據(jù)數(shù)據(jù)包字段的目的IP地址將安全數(shù)據(jù)流量轉發(fā)給對應的目標虛擬機。
[0085]虛擬防火墻將安全數(shù)據(jù)流量返回給虛擬交換設備X���,由虛擬交換設備X將安全數(shù)據(jù)流量發(fā)送給目標虛擬機��。
[0086]本實施例中����,源虛擬機發(fā)送的數(shù)據(jù)流量中����,數(shù)據(jù)包的特定字段里攜帶有目的IP地址,該IP地址一般即為目標虛擬機的IP地址��。虛擬防火墻的數(shù)據(jù)清洗不會對該字段中的內容造成改動�,虛擬交換設備X可以基于該字段中的目的IP地址向目標虛擬機路由清洗后的安全數(shù)據(jù)流量。
[0087]進一步的�����,作為對圖2或圖3所示實施例的改進���,在本發(fā)明的另一實施例中���,還可以對清洗后的數(shù)據(jù)流量進行字段標記。對于虛擬交換設備而言�����,其既需要接收源虛擬機發(fā)送的未經(jīng)清洗的數(shù)據(jù)流量�����,又需要接收虛擬防火墻返回的清洗后的安全數(shù)據(jù)流量����。為便于虛擬交換設備對不同數(shù)據(jù)流量進行區(qū)分,防止將清洗后的數(shù)據(jù)流量重復牽引到虛擬防火墻中�,本實施例對清洗后的數(shù)據(jù)流量進行字段標記,相應的�����,未做字段標記的數(shù)據(jù)流量則為未清洗的數(shù)據(jù)流量��。此外�,還可以對清洗及未清洗的數(shù)據(jù)流量分別做不同的字段標記。
[0088]本實施例中��,可以由虛擬防火墻進行字段標記,也可以由虛擬交換設備進行字段標記����。對于后者方式,虛擬交換設備可以以數(shù)據(jù)流量的來源為依據(jù)進行區(qū)分����。例如將來源于虛擬機的數(shù)據(jù)流量標記為未清洗數(shù)據(jù),將來源于虛擬防火墻的數(shù)據(jù)流量標記為已清洗數(shù)據(jù)���。
[0089]基于標記結果��,虛擬交換設備執(zhí)行不同的流程:對于未進行字段標記或標記為未清洗的數(shù)據(jù)流量���,虛擬交換設備將其牽引到虛擬防火墻中進行清洗;而對于已進行字段標記或標記為已清洗的數(shù)據(jù)流量����,虛擬交換設備將其作為安全數(shù)據(jù)流量轉發(fā)給對應的目標虛擬機。
[0090]本實施例僅對標記數(shù)據(jù)流量的實現(xiàn)方式進行定性說明��,不對標記主體��、標記時機以及具體的標記形式進行限制。實際應用中�,對于標記形式,虛擬交換設備可以通過0/1或true/false予以區(qū)分����,本