一種網(wǎng)絡(luò)安全管理裝置的制造方法
【技術(shù)領(lǐng)域】
[0001]本實(shí)用新型屬于網(wǎng)絡(luò)安全管理領(lǐng)域���。
【背景技術(shù)】
[0002]現(xiàn)有寄宿虛擬化實(shí)現(xiàn)網(wǎng)絡(luò)安全管理,用戶通過(guò)防火墻�����、路由器����、冗余交換機(jī)等安全來(lái)訪問(wèn)內(nèi)部網(wǎng)絡(luò)中基于寄宿虛擬化的宿主主機(jī)�����。其實(shí)現(xiàn)網(wǎng)絡(luò)安全管理不足之處在于:(1)硬件資源利用率和成本較高�,性能往往較低��,不能有效的降低并發(fā)數(shù),滿足不了大用戶量的訪問(wèn)控制�����。(2)未明確支持硬件虛擬化�,網(wǎng)絡(luò)功能需要加載服務(wù),容易導(dǎo)致宿主機(jī)的網(wǎng)絡(luò)設(shè)備混亂����,系統(tǒng)資源占用率高����,網(wǎng)絡(luò)安全防護(hù)能力低����。(3)寄宿虛擬化目前采用的主流產(chǎn)品是VMware Workstat1n,安裝于宿主主機(jī)內(nèi)的操作系統(tǒng)上,一旦宿主主機(jī)出現(xiàn)安全問(wèn)題�,宿主主機(jī)無(wú)法工作���,導(dǎo)致虛擬服務(wù)器無(wú)法運(yùn)行�,網(wǎng)絡(luò)安全性和穩(wěn)定性相對(duì)較差���。
[0003]現(xiàn)有原生虛擬化實(shí)現(xiàn)網(wǎng)絡(luò)安全管理:和寄宿虛擬化實(shí)現(xiàn)網(wǎng)絡(luò)安全管理過(guò)程大致相同����,不同之處在于原生虛擬化產(chǎn)品(目前主流產(chǎn)品是VMware ESX Server)直接安裝于服務(wù)器上���。不足之處在于無(wú)法對(duì)網(wǎng)絡(luò)入侵進(jìn)行24小時(shí)不間斷監(jiān)視和保護(hù),降低了虛擬機(jī)網(wǎng)絡(luò)安全訪問(wèn)和管理能力。
【實(shí)用新型內(nèi)容】
[0004]本實(shí)用新型的目的是提供一種網(wǎng)絡(luò)安全管理裝置�����。
[0005]一種網(wǎng)絡(luò)安全管理裝置,該裝置包括防火墻��、路由器��、冗余交換機(jī),它還包括虛擬防火墻��、虛擬路由器和ESX主機(jī)��,防火墻�����、路由器和冗余交換機(jī)與LAN網(wǎng)絡(luò)連接����,虛擬防火墻���、虛擬路由器相連并與ESX主機(jī)相連�����。
[0006]本實(shí)用新型可以取得如下的有益效果:
[0007]I)在外部客戶機(jī)和內(nèi)部服務(wù)器之間部署具有防火墻��、路由功能的物理設(shè)備����,提高了物理網(wǎng)絡(luò)安全性及資源管理的可操作性;
[0008]2)實(shí)現(xiàn)防火墻虛擬化�����,對(duì)虛擬機(jī)的隔離�����,提供控制區(qū)���、外網(wǎng)和參數(shù)保護(hù)等功能實(shí)現(xiàn)對(duì)多用戶應(yīng)用環(huán)境的支持�����,提高了虛擬環(huán)境下的網(wǎng)絡(luò)安全��;
[0009]3)實(shí)現(xiàn)在虛擬機(jī)環(huán)境中的網(wǎng)絡(luò)入侵檢測(cè)功能���;
[0010]4)構(gòu)建虛擬服務(wù)器����,減低了物理服務(wù)器的數(shù)量���,提高了服務(wù)器的性能��。
【附圖說(shuō)明】
[0011]圖1是一種網(wǎng)絡(luò)安全管理裝置的結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0012]下面的實(shí)施例可以進(jìn)一步說(shuō)明本實(shí)用新型,但不以任何方式限制本實(shí)用新型���。
[0013]一種網(wǎng)絡(luò)安全管理裝置�����,包括防火墻1�、路由器2、冗余交換機(jī)3���,它還包括虛擬防火墻52���、虛擬路由器53和ESX主機(jī)6�,防火墻1�����、路由器2和冗余交換機(jī)3與LAN網(wǎng)絡(luò)4連接��,虛擬防火墻52和虛擬路由器53相連并與ESX主機(jī)6相連����。
[0014]一種基于虛擬化實(shí)現(xiàn)網(wǎng)絡(luò)安全管理的流程如下:
[0015]I)首先��,WAN用戶進(jìn)入LAN網(wǎng)后,首先通過(guò)虛擬防火墻(VMware vShield Zones)對(duì)虛擬機(jī)的進(jìn)行隔離��,提供控制區(qū)����、外網(wǎng)和參數(shù)保護(hù)等���,對(duì)訪問(wèn)權(quán)限及惡意信息進(jìn)行過(guò)濾設(shè)置和攔截設(shè)置。
[0016]2)其次�����,通過(guò)虛擬路由器分配路由指向請(qǐng)求訪問(wèn)不同資源上的虛擬機(jī)��,即根據(jù)實(shí)際需要在VMware vSphere將路由設(shè)置為不同形式橋接方式����,建立虛擬路由���。
[0017]3)最后,對(duì)訪問(wèn)進(jìn)行實(shí)時(shí)性監(jiān)測(cè)����。過(guò)程流程為:當(dāng)啟動(dòng)監(jiān)測(cè)以后,遍歷每臺(tái)客戶虛擬機(jī)����,根據(jù)客戶虛擬機(jī)的需求,分析策略部分給出屬于該客戶虛擬機(jī)的一個(gè)分析測(cè)試集。監(jiān)測(cè)分析部分逐個(gè)運(yùn)行分析測(cè)試集中的測(cè)試���。如果測(cè)試未通過(guò)���,則說(shuō)明客戶虛擬機(jī)受到了攻擊,采取相應(yīng)的行動(dòng)���,檢測(cè)失敗����;否則��,監(jiān)測(cè)分析部分繼續(xù)選擇下一個(gè)分析測(cè)試進(jìn)行運(yùn)行。如此循環(huán)����,直到分析測(cè)試集中的所有測(cè)試通過(guò)為止。
[0018]最后,安全的訪問(wèn)客戶機(jī)請(qǐng)求ESX主機(jī)中不同資源的虛擬機(jī)���。
【主權(quán)項(xiàng)】
1.一種網(wǎng)絡(luò)安全管理裝置��,包括防火墻(I)���、路由器(2)�����、冗余交換機(jī)(3)�����,其特征在于:它還包括虛擬防火墻(52)����、虛擬路由器(53)和ESX主機(jī)(6),防火墻(I)、路由器(2)和冗余交換機(jī)(3)與LAN網(wǎng)絡(luò)(4)連接�,虛擬防火墻(52)和虛擬路由器(53)相連并與ESX主機(jī)(6)相連��。
【專利摘要】本實(shí)用新型公開了一種網(wǎng)絡(luò)安全管理裝置�����,該裝置包括防火墻、路由器����、冗余交換機(jī)�����,它還包括虛擬防火墻��、虛擬路由器和ESX主機(jī)����,防火墻���、路由器和冗余交換機(jī)與LAN網(wǎng)絡(luò)連接��,虛擬防火墻���、虛擬路由器相連并與ESX主機(jī)相連�。本實(shí)用新型建立虛擬防火墻,對(duì)虛擬機(jī)隔離,建立虛擬路由功能以及控制ESX主機(jī)內(nèi)的虛擬機(jī)����,實(shí)現(xiàn)在虛擬機(jī)環(huán)境中的網(wǎng)絡(luò)入侵檢測(cè)功能��,提升網(wǎng)絡(luò)安全。
【IPC分類】H04L29-06
【公開號(hào)】CN204334621
【申請(qǐng)?zhí)枴緾N201420715272
【發(fā)明人】楊生舉, 趙凡, 施韶亭, 趙昕暉, 蒙杰
【申請(qǐng)人】甘肅省科學(xué)技術(shù)情報(bào)研究所
【公開日】2015年5月13日
【申請(qǐng)日】2014年11月25日