實(shí)施例對(duì)此不作窮盡枚舉�����。
[0091]以上實(shí)施例對(duì)本發(fā)明提供的方法進(jìn)行了說(shuō)明�,實(shí)際應(yīng)用中,前述虛擬防火墻可以是網(wǎng)站級(jí)的虛擬WAF�。虛擬WAF除包含前述安全規(guī)則庫(kù)所具有的功能外,還具有虛擬機(jī)審計(jì)����、虛擬機(jī)訪問(wèn)控制、架構(gòu)設(shè)計(jì)����、Web應(yīng)用加固等基本功能。下面����,以虛擬WAF為例,給出本發(fā)明的兩種特殊的應(yīng)用場(chǎng)景�����。
[0092]場(chǎng)景一:跨虛擬交換設(shè)備的數(shù)據(jù)流量監(jiān)控
[0093]如圖6所示����,在一臺(tái)宿主機(jī)中�����,虛擬機(jī)1�、2���、3隸屬于虛擬交換設(shè)備X���,虛擬機(jī)4、5���、
6�、7隸屬于虛擬交換設(shè)備Y�。虛擬交換設(shè)備X上部署有虛擬WAF a,虛擬交換設(shè)備Y上部署有虛擬WAF bo當(dāng)虛擬機(jī)I向虛擬機(jī)4發(fā)送數(shù)據(jù)流量k時(shí)��,數(shù)據(jù)流量k由虛擬機(jī)I發(fā)出����,經(jīng)由虛擬交換設(shè)備X到達(dá)虛擬WAF a進(jìn)行清洗,再由虛擬交換設(shè)備X到達(dá)虛擬交換設(shè)備Y���,并進(jìn)一步經(jīng)由虛擬交換設(shè)備Y到達(dá)虛擬WAF b再次進(jìn)行清洗�����,最后再由虛擬交換設(shè)備Y到達(dá)虛擬機(jī)4��。
[0094]其中���,為防止兩次數(shù)據(jù)清洗導(dǎo)致的資源浪費(fèi)��,數(shù)據(jù)流量k上可以進(jìn)行字段標(biāo)記:若虛擬WAF a未對(duì)其進(jìn)行清洗��,則將數(shù)據(jù)流量k標(biāo)記為“ I ”���,以便虛擬交換設(shè)備Y根據(jù)該標(biāo)記將數(shù)據(jù)流量k牽引到虛擬WAF b進(jìn)行清洗�;若虛擬WAF a已對(duì)其進(jìn)行清洗�����,則將數(shù)據(jù)流量k標(biāo)記為“0”�����,以便虛擬交換設(shè)備Y根據(jù)該標(biāo)記將數(shù)據(jù)流量k直接發(fā)送給虛擬機(jī)4���。
[0095]場(chǎng)景二:跨宿主機(jī)的數(shù)據(jù)流量監(jiān)控
[0096]如圖7所示,在宿主機(jī)M中�,虛擬機(jī)1�、2���、3隸屬于虛擬交換設(shè)備X��,在宿主機(jī)N中�����,虛擬機(jī)4��、5����、6、7隸屬于虛擬交換設(shè)備Y���。虛擬交換設(shè)備X上部署有虛擬WAF a����,虛擬交換設(shè)備Y上部署有虛擬WAF bo當(dāng)虛擬機(jī)I向虛擬機(jī)4發(fā)送數(shù)據(jù)流量k時(shí)��,監(jiān)控與清洗數(shù)據(jù)流量k的實(shí)現(xiàn)方式與上述場(chǎng)景一的實(shí)現(xiàn)方式相同�,此處不再贅述�。
[0097]進(jìn)一步的�,作為對(duì)上述方法的實(shí)現(xiàn)��,本發(fā)明另一實(shí)施例還提供了一種基于云平臺(tái)的虛擬化流量監(jiān)控裝置,該裝置可以位于宿主機(jī)中,該宿主機(jī)又稱為物理機(jī)或虛擬服務(wù)器��。如圖8所示,該裝置包括:
[0098]部署單元81���,用于在宿主機(jī)中部署虛擬防火墻��;
[0099]監(jiān)控單元82,用于通過(guò)虛擬交換設(shè)備監(jiān)控源虛擬機(jī)產(chǎn)生的數(shù)據(jù)流量,并根據(jù)云平臺(tái)下發(fā)的牽引策略將監(jiān)控到的數(shù)據(jù)流量牽引到部署單元81部署的虛擬防火墻中;
[0100]處理單元83,用于通過(guò)部署單元81部署的虛擬防火墻對(duì)監(jiān)控單元82牽引的數(shù)據(jù)流量進(jìn)行清洗��,獲得安全數(shù)據(jù)流量;
[0101]發(fā)送單元84���,用于將處理單元83處理得到的安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)�����。
[0102]進(jìn)一步的,部署單元81用于:將虛擬防火墻部署在虛擬交換設(shè)備上。
[0103]進(jìn)一步的,部署單元81用于:
[0104]獲取作為監(jiān)控對(duì)象的虛擬機(jī)的網(wǎng)段�;
[0105]將虛擬防火墻動(dòng)態(tài)部署在對(duì)應(yīng)網(wǎng)段的虛擬交換設(shè)備上�����。
[0106]進(jìn)一步的,如圖9所示��,監(jiān)控單元82�����,包括:
[0107]分流模塊821����,用于根據(jù)牽引策略對(duì)數(shù)據(jù)流量進(jìn)行分流;
[0108]牽引模塊822��,用于將分流模塊821分流獲得的分流數(shù)據(jù)選擇性的牽引到虛擬防火墻中�����。
[0109]進(jìn)一步的�����,監(jiān)控單元82使用的牽引策略包括基于下述至少一個(gè)維度對(duì)數(shù)據(jù)流量進(jìn)行分流:
[0110]數(shù)據(jù)包類型���、數(shù)據(jù)包大小���、源虛擬機(jī)分組�、目標(biāo)虛擬機(jī)分組以及時(shí)段��。
[0111]進(jìn)一步的�,處理單元83用于對(duì)數(shù)據(jù)流量進(jìn)行下述至少一種處理:
[0112]異常請(qǐng)求檢測(cè)、增強(qiáng)輸入驗(yàn)證��、修補(bǔ)安全漏洞�、異常規(guī)則/模型檢測(cè)、狀態(tài)管理���、隱藏表單域保護(hù)���、抗入侵規(guī)避處理、響應(yīng)監(jiān)視及信息泄露保護(hù)�。
[0113]進(jìn)一步的,發(fā)送單元84用于:根據(jù)數(shù)據(jù)包字段的目的網(wǎng)間協(xié)議IP地址將安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)�����。
[0114]進(jìn)一步的����,如圖9所示,該裝置進(jìn)一步包括:
[0115]更新單元85�����,用于通過(guò)云平臺(tái)對(duì)部署單元81部署的虛擬防火墻的安全規(guī)則庫(kù)進(jìn)行更新����。
[0116]進(jìn)一步的,如圖9所示��,該裝置進(jìn)一步包括:
[0117]標(biāo)記單元86����,用于在處理單元83獲得安全數(shù)據(jù)流量之后,對(duì)安全數(shù)據(jù)流量進(jìn)行字段標(biāo)記�����;
[0118]監(jiān)控單元82���,用于根據(jù)云平臺(tái)下發(fā)的牽引策略�,將標(biāo)記單元86未做字段標(biāo)記的數(shù)據(jù)流量牽引到虛擬防火墻中����;
[0119]發(fā)送單元84��,用于將標(biāo)記單元86已做字段標(biāo)記的安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)�����。
[0120]進(jìn)一步的�����,部署單元81部署的虛擬防火墻為虛擬WAF���。
[0121]本發(fā)明提供的基于云平臺(tái)的虛擬化流量監(jiān)控裝置,可以在宿主機(jī)中部署用于流量清洗的虛擬防火墻�����,由虛擬交換設(shè)備對(duì)虛擬機(jī)之間交換的數(shù)據(jù)流量進(jìn)行監(jiān)控�����,并牽引到虛擬防火墻中進(jìn)行清洗�����,由此保證數(shù)據(jù)流量的安全性��。與現(xiàn)有技術(shù)相比����,本發(fā)明能夠通過(guò)部署在宿主機(jī)中的虛擬防火墻保障虛擬環(huán)境下的網(wǎng)絡(luò)安全。
[0122]本發(fā)明的實(shí)施例公開(kāi)了:
[0123]Al�、一種基于云平臺(tái)的虛擬化流量監(jiān)控方法,其特征在于��,所述方法包括:
[0124]在宿主機(jī)中部署虛擬防火墻����;
[0125]通過(guò)虛擬交換設(shè)備監(jiān)控源虛擬機(jī)產(chǎn)生的數(shù)據(jù)流量,并根據(jù)云平臺(tái)下發(fā)的牽引策略將監(jiān)控到的所述數(shù)據(jù)流量牽引到所述虛擬防火墻中�����;
[0126]通過(guò)所述虛擬防火墻對(duì)所述數(shù)據(jù)流量進(jìn)行清洗�,獲得安全數(shù)據(jù)流量;
[0127]將所述安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)���。
[0128]A2���、根據(jù)權(quán)利要求Al所述的方法�,其特征在于�,所述在宿主機(jī)中部署虛擬防火墻,包括:
[0129]將所述虛擬防火墻部署在所述虛擬交換設(shè)備上��。
[0130]A3�、根據(jù)權(quán)利要求A2所述的方法,其特征在于���,所述將所述虛擬防火墻部署在所述虛擬交換設(shè)備上�����,包括:
[0131]獲取作為監(jiān)控對(duì)象的虛擬機(jī)的網(wǎng)段����;
[0132]將所述虛擬防火墻動(dòng)態(tài)部署在對(duì)應(yīng)所述網(wǎng)段的虛擬交換設(shè)備上���。
[0133]A4�����、根據(jù)權(quán)利要求Al所述的方法���,其特征在于�����,所述根據(jù)云平臺(tái)下發(fā)的牽引策略將監(jiān)控到的所述數(shù)據(jù)流量牽引到所述虛擬防火墻中����,包括:
[0134]根據(jù)所述牽引策略對(duì)所述數(shù)據(jù)流量進(jìn)行分流��;
[0135]將分流數(shù)據(jù)選擇性的牽引到所述虛擬防火墻中��。
[0136]A5����、根據(jù)權(quán)利要求A4所述的方法���,其特征在于����,所述牽引策略包括基于下述至少一個(gè)維度對(duì)數(shù)據(jù)流量進(jìn)行分流:
[0137]數(shù)據(jù)包類型��、數(shù)據(jù)包大小�、源虛擬機(jī)分組、目標(biāo)虛擬機(jī)分組以及時(shí)段。
[0138]A6����、根據(jù)權(quán)利要求Al所述的方法,其特征在于�,所述通過(guò)所述虛擬防火墻對(duì)所述數(shù)據(jù)流量進(jìn)行清洗,包括對(duì)所述數(shù)據(jù)流量進(jìn)行下述至少一種處理:
[0139]異常請(qǐng)求檢測(cè)�、增強(qiáng)輸入驗(yàn)證、修補(bǔ)安全漏洞�����、異常規(guī)則/模型檢測(cè)�����、狀態(tài)管理����、隱藏表單域保護(hù)、抗入侵規(guī)避處理����、響應(yīng)監(jiān)視及信息泄露保護(hù)。
[0140]A7�、根據(jù)權(quán)利要求A6所述的方法,其特征在于,所述將所述安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)�,包括:
[0141]根據(jù)數(shù)據(jù)包字段的目的網(wǎng)間協(xié)議IP地址將所述安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)。
[0142]AS����、根據(jù)權(quán)利要求A6所述的方法,其特征在于��,所述方法進(jìn)一步包括:
[0143]通過(guò)所述云平臺(tái)對(duì)所述虛擬防火墻的安全規(guī)則庫(kù)進(jìn)行更新��。
[0144]A9�、根據(jù)權(quán)利要求Al至AS中任一項(xiàng)所述的方法�,其特征在于,在所述獲得安全數(shù)據(jù)流量之后��,所述方法進(jìn)一步包括:
[0145]對(duì)所述安全數(shù)據(jù)流量進(jìn)行字段標(biāo)記��;
[0146]所述根據(jù)云平臺(tái)下發(fā)的牽引策略將監(jiān)控到的所述數(shù)據(jù)流量牽引到所述虛擬防火墻中�����,包括:
[0147]根據(jù)云平臺(tái)下發(fā)的牽引策略���,將未做字段標(biāo)記的數(shù)據(jù)流量牽引到所述虛擬防火墻中�����;
[0148]所述將所述安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)�,包括:
[0149]將已做字段標(biāo)記的安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)。
[0150]A10�����、根據(jù)權(quán)利要求Al至AS中任一項(xiàng)所述的方法��,其特征在于��,所述虛擬防火墻為虛擬Web應(yīng)用防火墻WAF����。
[0151]B11、一種基于云平臺(tái)的虛擬化流量監(jiān)控裝置��,其特征在于�����,所述裝置包括:
[0152]部署單元��,用于在宿主機(jī)中部署虛擬防火墻�����;
[0153]監(jiān)控單元,用于通過(guò)虛擬交換設(shè)備監(jiān)控源虛擬機(jī)產(chǎn)生的數(shù)據(jù)流量����,并根據(jù)云平臺(tái)下發(fā)的牽引策略將監(jiān)控到的所述數(shù)據(jù)流量牽引到所述部署單元部署的所述虛擬防火墻中;
[0154]處理單元�����,用于通過(guò)所述部署單元部署的所述虛擬防火墻對(duì)所述監(jiān)控單元牽引的所述數(shù)據(jù)流量進(jìn)行清洗���,獲得安全數(shù)據(jù)流量�����;
[0155]發(fā)送單元,用于將所述處理單元處理得到的所述安全數(shù)據(jù)流量轉(zhuǎn)發(fā)給對(duì)應(yīng)的目標(biāo)虛擬機(jī)�����。
[0156]B12����、根據(jù)權(quán)利要求Bll所述的裝置�����,其特征在于���,所述部署單元用于:將所述虛擬防火墻部署在所述虛擬交換設(shè)備上。
[0157]B13����、根據(jù)權(quán)利要求B12所述的裝置,其特征在于�����,所述部署單元用于:
[0158]獲取作為監(jiān)控對(duì)象的虛擬機(jī)的網(wǎng)段��;
[0159]將所述虛擬防火墻動(dòng)態(tài)部署在對(duì)應(yīng)所述網(wǎng)段的虛擬交換設(shè)備上����。
[0160]B14、根據(jù)權(quán)利要求Bll所述的裝置�,其特征在于,所述監(jiān)控單元�,包括:
[0161]分流模塊,用于根據(jù)所述牽引策略對(duì)所述數(shù)據(jù)流量進(jìn)行分流�;
[0162]牽引模塊��,用于將所述分流模塊分流獲得的分流數(shù)據(jù)選擇性的牽引到所述虛擬防火墻中��。
[0163]B15�、根據(jù)權(quán)利要求B14所述的裝置�����,其特