Nothing Special   »   [go: up one dir, main page]

CN105245504A - 一种云计算网络中南北向流量安全防护系统 - Google Patents

一种云计算网络中南北向流量安全防护系统 Download PDF

Info

Publication number
CN105245504A
CN105245504A CN201510574191.7A CN201510574191A CN105245504A CN 105245504 A CN105245504 A CN 105245504A CN 201510574191 A CN201510574191 A CN 201510574191A CN 105245504 A CN105245504 A CN 105245504A
Authority
CN
China
Prior art keywords
network
tenant
logic
virtual machine
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201510574191.7A
Other languages
English (en)
Inventor
王智民
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING OPZOON TECHNOLOGY Co Ltd
Opzoon Technology Co Ltd
Original Assignee
BEIJING OPZOON TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING OPZOON TECHNOLOGY Co Ltd filed Critical BEIJING OPZOON TECHNOLOGY Co Ltd
Priority to CN201510574191.7A priority Critical patent/CN105245504A/zh
Publication of CN105245504A publication Critical patent/CN105245504A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种云计算网络中南北向流量安全防护部署系统,包括:租户占用的虚拟机;用于监控当前租户所占用的虚拟机与Network网络的通信的虚拟防火墙;第一网络转发层,用于通过对接收的报文的标签的识别判断该报文的来源,如果来源为虚拟机,则将报文转发至当前虚拟机的租户所对应的虚拟防火墙,并将经过该虚拟防火墙处理后的报文经过二层交换机和三层交换机发送至Network网络;第二网络转发层,用于接收来自Network网络的报文时,通过对报文的标签的识别判断该报文所归属的租户,并将该报文下发至该报文的标签所指示的租户所对应的虚拟机,还用于将虚拟机发送的报文转发至二层交换机。

Description

一种云计算网络中南北向流量安全防护系统
技术领域
本发明涉及云计算技术领域,尤其涉及一种云计算网络中南北向流量安全防护系统。
背景技术
虚拟计算环境主要由虚机VM、虚拟化系统Hypervisor两者构成。从网络边界防护的角度来看,存在虚机VM南北向流量、东西向流量访问、入侵、躲避等安全隐患。
租户内部的网络多数情况下是跨节点的,同时大多是二层网络结构(不排除也有三层网络结构,但是考虑到跨数据中心的虚机迁移等问题,大多数情况下还是采用大二层网络结构),所以租户内部虚机VM之间访问具有如下特点。同一租户的虚机在不同的物理节点上,互访的流量出物理节点。同一租户的虚机都处于一个大的二层网络,互访流量要能够穿越三层网络。同一租户的内部网络可能需要划分不同的安全区域VN,安全区域之间的安全策略不同。
纵向流量包括从客户端到服务器侧的正常流量访问请求,以及不同VM之间的三层转发的流量。这些流量的共同特点是其交换必然经过外置的硬件安全防护层,我们也称之为纵向流量控制层。
一方面,这些流量的防护方式和传统的数据中心的安全防护相比没有本质区别;另一方面,在虚拟化环境下的云安全部署,因为存在多租户的服务模型,因此对于设备的虚拟化实现程度又有了更高的要求。
由于纵向流量存在多租户的概念,则对安全也提出了需求,能够实现基于租户的安全防护。
发明内容
本发明的目的是提供一种将虚机防火墙无缝嵌入到虚拟化平台中,从而实现在云计算网络中对南北向流量的安全防护。
为了实现上述发明目的,本发明提供了一种云计算网络中南北向流量安全防护部署系统,包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的虚拟防火墙、第一网络转发层和第二网络转发层;
所述第一网络转发层,用于通过对接收的报文的标签的识别判断该报文的来源,如果来源为虚拟机,则将所述报文转发至当前虚拟机的租户所对应的虚拟防火墙,并将经过该虚拟防火墙处理后的报文经过二层交换机和三层交换机发送至Network网络,如果来源为Network网络,则将所述报文转发至该报文的标签所指示的虚拟防火墙,并将经过该虚拟防火墙处理后的报文经过二层交换机发送至第二网络转发层;
所述第二网络转发层,用于接收来自Network网络的报文时,通过对报文的标签的识别判断该报文所归属的租户,并将该报文下发至该报文的标签所指示的租户所对应的虚拟机,还用于将虚拟机发送的报文转发至二层交换机。
其中,所述第一网络转发层和虚拟防火墙运行于第一服务器群集,所述第二网络转发层和虚拟机运行于第二服务器集群。
其中,所述第二网络转发层包括物理网卡、逻辑网卡和逻辑网桥;
所述第二服务器群集包括多个物理服务器,同一个物理服务器包括多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机。
其中,所述第一网络转发层包括物理网卡、逻辑网卡和逻辑网桥;
所述第一服务器集群的物理服务器上具有多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡除了具有与所述租户一一对应的逻辑网卡子接口外,还具有接收来自于Network网络报文的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,逻辑网桥连接其所对应的租户的虚拟防火墙。
其中,所述第一网络转发层包括物理网卡、逻辑网卡和逻辑网桥;
所述第一服务器集群的物理服务器上具有多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡连接所述逻辑网桥,所述逻辑网桥分别连接运行虚拟防火墙的虚拟机的Tap接口。
其中,当所述虚拟防火墙工作在路由模式时,所述虚拟防火墙内部配置有VLAN和网关。
其中,当所述虚拟防火墙工作在透明模式时,在所述三层交换机上连接硬件防火墙,并在该三层交换机上配置路由网关和Nat。
其中,所述第一服务器集群的物理服务器上运行一台虚拟机,该虚拟机上运行与所述租户一一对应的虚拟防火墙,
所述第一网络转发层包括物理网卡和逻辑网卡;
所述第一服务器集群的物理服务器上具有多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡连接每个租户所对应的虚拟防火墙。
根据本发明的另一个方面,一种云计算网络中南北向流量安全防护部署系统,包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的硬件防火墙;
所述硬件防火墙部署于三层交换机,硬件防火墙内部包括与各租户一一对应的逻辑防火墙单元,各逻辑防火墙单元分别连接物理网卡,该物理网卡连接二层交换机;
所述虚拟机运行于第二服务器群集,所述第二服务器群集包括多个物理服务器,同一个物理服务器包括多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机。
根据本发明的另一个方面,一种云计算网络中南北向流量安全防护部署系统,包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的硬件防火墙;
所述虚拟机运行于服务器群集,所述服务器群集包括多个物理服务器,同一个物理服务器包括多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机;
所述硬件防火墙内部包括与各租户一一对应的逻辑防火墙单元,各逻辑防火墙单元分别连接置于硬件防火墙的各个物理网卡,部分物理网卡连接运行虚拟机的服务器群集中的物理网卡,部分物理网卡通过二层交换机和三层交换机连接至Network网络。
附图说明
图1是根据本发明第一实施方式的部署结构示意图;
图2是根据本发明第二实施方式的部署结构示意图;
图3是根据本发明第三实施方式的部署结构示意图;
图4是根据本发明第四实施方式的部署结构示意图;
图5是根据本发明第五实施方式的部署结构示意图;
图6是根据本发明第六实施方式的部署结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面结合具体实施方式并参照附图,对本发明进一步详细说明。应该理解,这些描述只是示例性的,而并非要限制本发明的范围。此外,在以下说明中,省略了对公知结构和技术的描述,以避免不必要地混淆本发明的概念。
图1是根据本发明第一实施方式的部署结构示意图。
该部署结构适用的场景为租户需要独立的具有路由功能的安全系统,同时租户的识别依赖于虚拟化平台,而不是安全系统。
如图1所示,云计算网络中南北向流量安全防护部署系统包括:第一服务器群集ClusterA和第二服务器集群ClusterB、二层交换机L2Switch和三层交换机L3Switch。
假设当前云计算平台为两个租户提供服务,为了表述清楚,图1中,椭圆的框线代表为租户1提供服务的资源,矩形的框线代表为租户2提供服务的资源,梯形的框线代表租户1与租户2的共享资源。
ClusterB包括两台物理服务器Host2和Host3。Host2中,租户1占用了两台虚拟机VM,租户2占用了1台虚拟机VM。Host3中,租户1占用了1台虚拟机VM,租户2占用了2台虚拟机VM。
ClusterA中的物理服务器Host1中运行了2台虚拟机VM,每台虚拟机上运行一个虚拟防火墙VFW(Virtualfirewal)。两个VFW分别负责监控ClusterB中租户1的VM和租户2的VM。
ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2Switch。第二网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0和逻辑网桥br100、br200。Host2上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的1台虚拟机,br200连接为租户2提供服务的2台虚拟机。
ClusterA中虚拟机上的虚拟防火墙通过第一网络转发层连接二层交换机L2Switch。第一网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0和逻辑网桥br100、br200、br400。Host1上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有3个逻辑网卡子接口bond0.100和bond0.200和bond0.400,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务,bond0.400连接外部Network网络,并同时为租户1和租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200,bond0.400连接逻辑网桥br400。br100连接为租户1提供服务的虚拟防火墙,br200连接为租户2提供服务的虚拟防火墙,br400同时连接为租户1提供服务的虚拟防火墙和为租户2提供服务的虚拟防火墙。
为租户的资源设备分配IP地址。
设置Host1上的租户1的虚拟防火墙私有IP地址为:192.188.60.1。设置ClusterB中租户1的所有的虚拟机的私有IP地址分别为:192.188.60.2;192.188.60.3;192.188.60.4。
设置Host1上的租户2的虚拟防火墙私有IP地址为:192.188.61.1。设置ClusterB中租户2的所有的虚拟机的私有IP地址分别为:192.188.61.2;192.188.61.3;192.188.61.4。
当位于Host2上的租户1的IP地址为:192.188.60.2的虚拟机VM将预将报文发送至Network网络时,当位于Host1上租户1的虚拟防火墙根据报文的标签识别到该报文属于其监控范围,根据虚拟防火墙的预设拦截规则对该报文进行处理。
图2是根据本发明第二实施方式的部署结构示意图。
该部署结构适用的场景为租户需要独立的具有路由功能的安全系统,同时租户的识别依赖于安全系统,而不是虚拟化平台。
如图2所示,云计算网络中南北向流量安全防护部署系统包括:第一服务器群集ClusterA和第二服务器集群ClusterB、二层交换机L2Switch和三层交换机L3Switch。
假设当前云计算平台为两个租户提供服务,为了表述清楚,图2中,椭圆的框线代表为租户1提供服务的资源,矩形的框线代表为租户2提供服务的资源,梯形的框线代表租户1与租户2的共享资源。
ClusterB包括两台物理服务器Host2和Host3。Host2中,租户1占用了两台虚拟机VM,租户2占用了1台虚拟机VM。Host3中,租户1占用1台虚拟机VM,租户2占用了2台虚拟机VM。
ClusterA中的物理服务器Host1中运行了2台虚拟机VM,每台虚拟机上运行一个虚拟防火墙VFW(Virtualfirewal),该虚拟防火墙VFW内部配置VlAN和网关。两个VFW共同监控ClusterB中租户1的VM和租户2的虚拟机VM。其中,每台虚拟机VM具有2个逻辑网卡Tap,其中,一台虚拟机的一个逻辑网卡Tap口用于为租户1提供服务,另一台虚拟机的一个逻辑网卡Tap口用于为租户2提供服务。
ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2Switch。第二网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0和逻辑网桥br100、br200。Host2上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的1台虚拟机,br200连接为租户2提供服务的2台虚拟机。
ClusterA中虚拟机上的虚拟防火墙通过第一网络转发层连接二层交换机L2Switch的trunk端口。第一网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0和逻辑网桥br0。Host1上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0连接逻辑网桥br0。br0分别连接为租户1和租户2提供服务的虚拟防火墙所运行的虚拟机的Tap接口。
为租户的资源设备分配IP地址。
设置Host1上为租户1提供服务的Tap端口的私有IP地址为:192.188.60.1。
设置ClusterB中租户1的所有的虚拟机的私有IP地址分别为:192.188.60.2;192.188.60.3;192.188.60.4。
设置Host1上为租户2提供服务的Tap端口的私有IP地址为:192.188.61.1。设置ClusterB中租户2的所有的虚拟机的私有IP地址分别为:192.188.61.2;192.188.61.3;192.188.61.4。
设置Host1上连接外部Network网络以及同时为租户1和租户2提供服务的两个Tap端口的私有IP地址分别为:192.188.63.1和192.188.63.2。
当位于Host2上的租户1的IP地址为:192.188.60.2的虚拟机VM将预将报文发送至Network网络时,当位于Host1上租户1的虚拟防火墙根据报文的标签识别到该报文属于其监控范围,根据虚拟防火墙的预设拦截规则对该报文进行处理。
图3是根据本发明第三实施方式的部署结构示意图。
该部署结构适用的场景为租户需要独立的透明接入安全系统(IPS、AV等),同时租户的识别依赖于安全系统,而不是虚拟化平台。
如图3所示,云计算网络中南北向流量安全防护部署系统包括:第一服务器群集ClusterA和第二服务器集群ClusterB、二层交换机L2Switch和三层交换机L3Switch。
假设当前云计算平台为两个租户提供服务,为了表述清楚,图3中,椭圆的框线代表为租户1提供服务的资源,矩形的框线代表为租户2提供服务的资源,梯形的框线代表租户1与租户2的共享资源。
ClusterB包括两台物理服务器Host2和Host3。Host2中,租户1占用了两台虚拟机VM,租户2占用了1台虚拟机VM。Host3中,租户1占用1台虚拟机VM,租户2占用了2台虚拟机VM。
ClusterA中的物理服务器Host1中运行了2台虚拟机VM,每台虚拟机上运行一个虚拟防火墙VFW(Virtualfirewal)。两个VFW共同监控ClusterB中租户1的VM和租户2的虚拟机VM。其中,每台虚拟机VM具有2个逻辑网卡Tap,一台虚拟机的一个逻辑网卡Tap口用于为租户1提供服务,另一台虚拟机的一个逻辑网卡Tap口用于为租户2提供服务。
ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2Switch。第二网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0和逻辑网桥br100、br200。Host2上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的1台虚拟机,br200连接为租户2提供服务的2台虚拟机。
ClusterA中虚拟机上的虚拟防火墙通过第一网络转发层连接二层交换机L2Switch的trunk端口。第一网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0和逻辑网桥br0。Host1上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0连接逻辑网桥br0。br0分别连接为租户1和租户2提供服务的虚拟防火墙所运行的虚拟机的Tap接口。
在三层交换机上连接物理防火墙,并在该三层交换机上配置路由网关和Nat。
为租户的资源设备分配IP地址。
设置ClusterB中租户1的所有的虚拟机的私有IP地址分别为:192.188.60.2;192.188.60.3;192.188.60.4。
设置ClusterB中租户2的所有的虚拟机的私有IP地址分别为:192.188.61.2;192.188.61.3;192.188.61.4。
当位于Host2上的租户1的IP地址为:192.188.60.2的虚拟机VM将预将报文发送至Network网络时,当位于Host1上租户1的虚拟防火墙根据报文的标签识别到该报文属于其监控范围,根据虚拟防火墙的预设拦截规则对该报文进行处理。
图4是根据本发明第四实施方式的部署结构示意图。
该部署结构适用的场景为租户不需要独立的具有路由功能的安全系统,而只是安全防护特性,此时多个租户共享一个安全系统,租户的识别与隔离依赖于安全系统,此安全系统是虚机形态提供。
如图4所示,云计算网络中南北向流量安全防护部署系统包括:第一服务器群集ClusterA和第二服务器集群ClusterB、二层交换机L2Switch和三层交换机L3Switch。
假设当前云计算平台为两个租户提供服务,为了表述清楚,图4中,椭圆的框线代表为租户1提供服务的资源,矩形的框线代表为租户2提供服务的资源,梯形的框线代表租户1与租户2的共享资源。
ClusterB包括两台物理服务器Host2和Host3。Host2中,租户1占用了两台虚拟机VM,租户2占用了1台虚拟机VM。Host3中,租户1占用1台虚拟机VM,租户2占用了2台虚拟机VM。
ClusterA中的物理服务器中运行了1台虚拟机VM,该虚拟机上运行一个虚拟防火墙VFW(Virtualfirewal),其用于监控ClusterB中租户1的VM和租户2的虚拟机VM。其中,在虚拟防火墙VFW内部划分出2个逻辑防火墙单元,每个逻辑防火墙单元对应一个租户。
ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2Switch。第二网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0和逻辑网桥br100、br200。Host2上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的1台虚拟机,br200连接为租户2提供服务的2台虚拟机。
ClusterA中虚拟机上的虚拟防火墙通过第一网络转发层连接二层交换机L2Switch的trunk端口。第一网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0。ClusterA中的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0分别连接为租户1和租户2提供服务的逻辑防火墙单元。
为租户的资源设备分配IP地址。
设置ClusterB中租户1的所有的虚拟机的私有IP地址分别为:192.188.60.2;192.188.60.3;192.188.60.4。
设置ClusterB中租户2的所有的虚拟机的私有IP地址分别为:192.188.61.2;192.188.61.3;192.188.61.4。
当位于Host2上的租户1的IP地址为:192.188.60.2的虚拟机VM将预将报文发送至Network网络时,当位于Host1上租户1的虚拟防火墙根据报文的标签识别到该报文属于其监控范围,根据虚拟防火墙的预设拦截规则对该报文进行处理。
图5是根据本发明第五实施方式的部署结构示意图。
该部署结构适用的场景为租户不需要独立的具有路由功能的安全系统,而只是安全防护特性,此时多个租户共享一个安全系统,租户的识别与隔离依赖于安全系统,此安全系统是硬件形态提供。
如图5所示,云计算网络中南北向流量安全防护部署系统包括:第一服务器群集ClusterA、布置于三层交换机L3Switch中的硬件防火墙和二层交换机L2Switch。
假设当前云计算平台为两个租户提供服务,为了表述清楚,图5中,椭圆的框线代表为租户1提供服务的资源,矩形的框线代表为租户2提供服务的资源,梯形的框线代表租户1与租户2的共享资源。
ClusterB包括两台物理服务器Host2和Host3。Host2中,租户1占用了两台虚拟机VM,租户2占用了1台虚拟机VM。Host3中,租户1占用1台虚拟机VM,租户2占用了2台虚拟机VM。
ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2Switch。第二网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0和逻辑网桥br100、br200。Host2上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的1台虚拟机,br200连接为租户2提供服务的2台虚拟机。
硬件防火墙host1中划分出2个逻辑防火墙单元,每个逻辑防火墙单元对应一个租户,用于监控ClusterB中该租户的虚拟机VM与Network之间的通信。
硬件防火墙通过第一网络转发层连接二层交换机L2Switch的trunk端口。第一网络转发层包括物理网卡eth0、eth1。物理网卡eth0、eth1分别连接逻辑防火墙单元。
为租户的资源设备分配IP地址。
设置ClusterB中租户1的所有的虚拟机的私有IP地址分别为:192.188.60.2;192.188.60.3;192.188.60.4。
设置ClusterB中租户2的所有的虚拟机的私有IP地址分别为:192.188.61.2;192.188.61.3;192.188.61.4。
当位于Host2上的租户1的IP地址为:192.188.60.2的虚拟机VM将预将报文发送至Network网络时,当位于Host1上租户1的逻辑防火墙单元根据报文的标签识别到该报文属于其监控范围,根据逻辑防火墙单元的预设拦截规则对该报文进行处理。
图6是根据本发明第六实施方式的部署结构示意图。
该部署结构适用的场景为租户不需要独立的透明接入安全系统,而只是安全防护特性,此时多个租户共享一个安全系统,租户的识别与隔离依赖于安全系统,此安全系统是硬件形态提供。
如图6所示,云计算网络中南北向流量安全防护部署系统包括:第一服务器群集ClusterA、硬件防火墙、二层交换机L2Switch和三层交换机L3Switch。
假设当前云计算平台为两个租户提供服务,为了表述清楚,图6中,椭圆的框线代表为租户1提供服务的资源,矩形的框线代表为租户2提供服务的资源,梯形的框线代表租户1与租户2的共享资源。
ClusterB包括两台物理服务器Host2和Host3。Host2中,租户1占用了两台虚拟机VM,租户2占用了1台虚拟机VM。Host3中,租户1占用1台虚拟机VM,租户2占用了2台虚拟机VM。
ClusterB中的虚拟机通过第二网络转发层连接二层交换机L2Switch。第二网络转发层包括物理网卡eth0、eth1,逻辑网卡bond0和逻辑网桥br100、br200。Host2上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的2台虚拟机,br200连接为租户2提供服务的1台虚拟机。Host3上的物理网卡eth0、eth1绑定于逻辑网卡bond0,逻辑网卡bond0具有两个逻辑网卡子接口bond0.100和bond0.200,其中bond0.100为租户1提供服务,bond0.200为租户2提供服务。bond0.100连接逻辑网桥br100,bond0.200连接逻辑网桥br200。br100连接为租户1提供服务的1台虚拟机,br200连接为租户2提供服务的2台虚拟机。
硬件防火墙host1中划分出2个逻辑防火墙单元,每个逻辑防火墙单元对应一个租户,用于监控ClusterB中该租户的虚拟机VM与Network之间的通信。
硬件防火墙包括物理网卡eth0、eth1。其中,物理网卡eth0连接二层交换机L2Switch的trunk端口,物理网卡eth1分别连接ClusterB中的物理服务器的物理网卡eth0、eth1。
二层交换机L2Switch的trunk接口连接至三层交换机L3Switch,三层交换机L3Switch连接Network网络。
为租户的资源设备分配IP地址。
设置ClusterB中租户1的所有的虚拟机的私有IP地址分别为:192.188.60.2;192.188.60.3;192.188.60.4。
设置ClusterB中租户2的所有的虚拟机的私有IP地址分别为:192.188.61.2;192.188.61.3;192.188.61.4。
当位于Host2上的租户1的IP地址为:192.188.60.2的虚拟机VM将预将报文发送至Network网络时,当位于Host1上租户1的逻辑防火墙单元根据报文的标签识别到该报文属于其监控范围,根据逻辑防火墙单元的预设拦截规则对该报文进行处理。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (10)

1.一种云计算网络中南北向流量安全防护部署系统,其特征在于,包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的虚拟防火墙、第一网络转发层和第二网络转发层;
所述第一网络转发层,用于通过对接收的报文的标签的识别判断该报文的来源,如果来源为虚拟机,则将所述报文转发至当前虚拟机的租户所对应的虚拟防火墙,并将经过该虚拟防火墙处理后的报文经过二层交换机和三层交换机发送至Network网络,如果来源为Network网络,则将所述报文转发至该报文的标签所指示的虚拟防火墙,并将经过该虚拟防火墙处理后的报文经过二层交换机发送至第二网络转发层;
所述第二网络转发层,用于接收来自Network网络的报文时,通过对报文的标签的识别判断该报文所归属的租户,并将该报文下发至该报文的标签所指示的租户所对应的虚拟机,还用于将虚拟机发送的报文转发至二层交换机。
2.根据权利要求1所述的系统,其特征在于,所述第一网络转发层和虚拟防火墙运行于第一服务器群集,所述第二网络转发层和虚拟机运行于第二服务器集群。
3.根据权利要求2所述的系统,其特征在于,所述第二网络转发层包括物理网卡、逻辑网卡和逻辑网桥;
所述第二服务器群集包括多个物理服务器,同一个物理服务器包括多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机。
4.根据权利要求2所述的系统,其特征在于,所述第一网络转发层包括物理网卡、逻辑网卡和逻辑网桥;
所述第一服务器集群的物理服务器上具有多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡除了具有与所述租户一一对应的逻辑网卡子接口外,还具有接收来自于Network网络报文的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,逻辑网桥连接其所对应的租户的虚拟防火墙。
5.根据权利要求3所述的系统,其特征在于,所述第一网络转发层包括物理网卡、逻辑网卡和逻辑网桥;
所述第一服务器集群的物理服务器上具有多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡连接所述逻辑网桥,所述逻辑网桥分别连接运行虚拟防火墙的虚拟机的Tap接口。
6.根据权利要求5所述的系统,其特征在于,当所述虚拟防火墙工作在路由模式时,所述虚拟防火墙内部配置有VLAN和网关。
7.根据权利要求5所述的系统,其特征在于,当所述虚拟防火墙工作在透明模式时,在所述三层交换机上连接硬件防火墙,并在该三层交换机上配置路由网关和Nat。
8.根据权利要求3所述的系统,其特征在于,
所述第一服务器集群的物理服务器上运行一台虚拟机,该虚拟机上运行与所述租户一一对应的虚拟防火墙,
所述第一网络转发层包括物理网卡和逻辑网卡;
所述第一服务器集群的物理服务器上具有多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡连接每个租户所对应的虚拟防火墙。
9.一种云计算网络中南北向流量安全防护部署系统,其特征在于,包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的硬件防火墙;
所述硬件防火墙部署于三层交换机,硬件防火墙内部包括与各租户一一对应的逻辑防火墙单元,各逻辑防火墙单元分别连接物理网卡,该物理网卡连接二层交换机;
所述虚拟机运行于第二服务器群集,所述第二服务器群集包括多个物理服务器,同一个物理服务器包括多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机。
10.一种云计算网络中南北向流量安全防护部署系统,其特征在于,包括:租户占用的虚拟机和用于监控当前租户所占用的虚拟机与Network网络的通信的硬件防火墙;
所述虚拟机运行于服务器群集,所述服务器群集包括多个物理服务器,同一个物理服务器包括多张所述物理网卡,该多张物理网卡绑定于同一张所述逻辑网卡,该逻辑网卡具有与当前物理服务器上的租户数量相同的逻辑网卡子接口,每个逻辑网卡子接口连接一个所述逻辑网桥,每个逻辑网桥连接运行于当前物理服务器上的同一个租户的一个或多个虚拟机;
所述硬件防火墙内部包括与各租户一一对应的逻辑防火墙单元,各逻辑防火墙单元分别连接置于硬件防火墙的各个物理网卡,部分物理网卡连接运行虚拟机的服务器群集中的物理网卡,部分物理网卡通过二层交换机和三层交换机连接至Network网络。
CN201510574191.7A 2015-09-10 2015-09-10 一种云计算网络中南北向流量安全防护系统 Pending CN105245504A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201510574191.7A CN105245504A (zh) 2015-09-10 2015-09-10 一种云计算网络中南北向流量安全防护系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201510574191.7A CN105245504A (zh) 2015-09-10 2015-09-10 一种云计算网络中南北向流量安全防护系统

Publications (1)

Publication Number Publication Date
CN105245504A true CN105245504A (zh) 2016-01-13

Family

ID=55043004

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510574191.7A Pending CN105245504A (zh) 2015-09-10 2015-09-10 一种云计算网络中南北向流量安全防护系统

Country Status (1)

Country Link
CN (1) CN105245504A (zh)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105812222A (zh) * 2016-03-10 2016-07-27 汉柏科技有限公司 基于虚拟机和容器的多租户虚拟网络及实现方法
CN106790091A (zh) * 2016-12-23 2017-05-31 深圳市深信服电子科技有限公司 一种云安全防护系统以及流量清洗方法
CN107046546A (zh) * 2017-05-18 2017-08-15 郑州云海信息技术有限公司 一种网络安全控制方法及装置
CN107241283A (zh) * 2017-05-23 2017-10-10 国家计算机网络与信息安全管理中心 一种跨主机租户的东西向网络流量镜像采集方法
CN109669761A (zh) * 2018-12-21 2019-04-23 合肥时代智慧高新投资管理有限公司 一种sdn控制器系统
CN111371740A (zh) * 2020-02-17 2020-07-03 华云数据有限公司 一种报文流量监控方法、系统及电子设备
CN111556110A (zh) * 2020-04-21 2020-08-18 贵州新致普惠信息技术有限公司 一种用于私有云系统的不同物理业务网络自动化适配方法
CN111800340A (zh) * 2020-06-05 2020-10-20 北京京东尚科信息技术有限公司 数据包转发方法和装置
CN111934971A (zh) * 2020-08-12 2020-11-13 杭州默安科技有限公司 一种跨越三层网络映射业务到多vlan多ip进行本地网络访问的方法和装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8321936B1 (en) * 2007-05-30 2012-11-27 M86 Security, Inc. System and method for malicious software detection in multiple protocols
CN103973673A (zh) * 2014-04-09 2014-08-06 汉柏科技有限公司 划分虚拟防火墙的方法和设备
CN104301321A (zh) * 2014-10-22 2015-01-21 北京启明星辰信息技术股份有限公司 一种实现分布式网络安全防护的方法及系统
US8972581B2 (en) * 2010-11-05 2015-03-03 Verizon Patent And Licensing Inc. Server clustering in a computing-on-demand system
US20150163200A1 (en) * 2011-07-12 2015-06-11 Cisco Technology, Inc. Zone-Based Firewall Policy Model for a Virtualized Data Center

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8321936B1 (en) * 2007-05-30 2012-11-27 M86 Security, Inc. System and method for malicious software detection in multiple protocols
US8972581B2 (en) * 2010-11-05 2015-03-03 Verizon Patent And Licensing Inc. Server clustering in a computing-on-demand system
US20150163200A1 (en) * 2011-07-12 2015-06-11 Cisco Technology, Inc. Zone-Based Firewall Policy Model for a Virtualized Data Center
CN103973673A (zh) * 2014-04-09 2014-08-06 汉柏科技有限公司 划分虚拟防火墙的方法和设备
CN104301321A (zh) * 2014-10-22 2015-01-21 北京启明星辰信息技术股份有限公司 一种实现分布式网络安全防护的方法及系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
王景学: "云计算虚拟机防护系统设计与实现", 《中国优秀硕士学位论文全文数据库 信息科技辑》 *

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105812222A (zh) * 2016-03-10 2016-07-27 汉柏科技有限公司 基于虚拟机和容器的多租户虚拟网络及实现方法
CN106790091B (zh) * 2016-12-23 2020-10-27 深信服科技股份有限公司 一种云安全防护系统以及流量清洗方法
CN106790091A (zh) * 2016-12-23 2017-05-31 深圳市深信服电子科技有限公司 一种云安全防护系统以及流量清洗方法
CN107046546A (zh) * 2017-05-18 2017-08-15 郑州云海信息技术有限公司 一种网络安全控制方法及装置
CN107241283A (zh) * 2017-05-23 2017-10-10 国家计算机网络与信息安全管理中心 一种跨主机租户的东西向网络流量镜像采集方法
CN107241283B (zh) * 2017-05-23 2020-06-05 国家计算机网络与信息安全管理中心 一种跨主机租户的东西向网络流量镜像采集方法
CN109669761A (zh) * 2018-12-21 2019-04-23 合肥时代智慧高新投资管理有限公司 一种sdn控制器系统
CN109669761B (zh) * 2018-12-21 2023-01-13 合肥时代智慧高新投资管理有限公司 一种sdn控制器系统
CN111371740A (zh) * 2020-02-17 2020-07-03 华云数据有限公司 一种报文流量监控方法、系统及电子设备
CN111556110A (zh) * 2020-04-21 2020-08-18 贵州新致普惠信息技术有限公司 一种用于私有云系统的不同物理业务网络自动化适配方法
CN111556110B (zh) * 2020-04-21 2022-09-06 贵州新致普惠信息技术有限公司 一种用于私有云系统的不同物理业务网络自动化适配方法
CN111800340A (zh) * 2020-06-05 2020-10-20 北京京东尚科信息技术有限公司 数据包转发方法和装置
CN111800340B (zh) * 2020-06-05 2022-08-12 北京京东尚科信息技术有限公司 数据包转发方法和装置
CN111934971A (zh) * 2020-08-12 2020-11-13 杭州默安科技有限公司 一种跨越三层网络映射业务到多vlan多ip进行本地网络访问的方法和装置

Similar Documents

Publication Publication Date Title
CN105245504A (zh) 一种云计算网络中南北向流量安全防护系统
US10791066B2 (en) Virtual network
US8989188B2 (en) Preventing leaks among private virtual local area network ports due to configuration changes in a headless mode
US9755959B2 (en) Dynamic service path creation
CN106878048B (zh) 故障处理方法及装置
CN105207873B (zh) 一种报文处理方法和装置
CN107332812B (zh) 网络访问控制的实现方法及装置
CN104685507B (zh) 向虚拟云基础结构提供虚拟安全装置架构
CN101938370B9 (zh) 用于基于边界网关协议的虚拟专用局域网业务多宿主机环境的冗余伪线
CN117178534A (zh) 存在点中的网络管理服务
WO2016055027A1 (en) Table entry in software defined network
US20110243146A1 (en) Data Frame Forwarding Using a Multitiered Distributed Virtual Bridge Hierarchy
US9374310B2 (en) Systems and methods of inter data center out-bound traffic management
CN108173694B (zh) 一种数据中心的安全资源池接入方法及系统
CN105634942B (zh) 转发报文的方法和交换机
CN103118149B (zh) 同一租户内服务器间的通信控制方法及网络设备
CN104813611A (zh) 针对网络服务的虚拟设备描述表(vdc)集成
US10103980B1 (en) Methods and apparatus for maintaining an integrated routing and bridging interface
CN105530259A (zh) 报文过滤方法及设备
WO2016107594A1 (en) Accessing external network from virtual network
CN105429870A (zh) Sdn环境下的vxlan安全网关装置及其应用方法
CN103973578A (zh) 一种虚拟机流量重定向的方法及装置
WO2015147943A1 (en) Distributed network address translation for cloud service access
CN105791402A (zh) 一种云计算平台网络虚拟化实现方法及相应插件和代理
US10742493B1 (en) Remote network interface card management

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20160113

WD01 Invention patent application deemed withdrawn after publication