一種云計算網(wǎng)絡(luò)中南北向流量安全防護系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及云計算技術(shù)領(lǐng)域����,尤其涉及一種云計算網(wǎng)絡(luò)中南北向流量安全防護系統(tǒng)。
【背景技術(shù)】
[0002]虛擬計算環(huán)境主要由虛機VM�、虛擬化系統(tǒng)Hypervisor兩者構(gòu)成。從網(wǎng)絡(luò)邊界防護的角度來看�,存在虛機VM南北向流量、東西向流量訪問���、入侵���、躲避等安全隱患。
[0003]租戶內(nèi)部的網(wǎng)絡(luò)多數(shù)情況下是跨節(jié)點的�����,同時大多是二層網(wǎng)絡(luò)結(jié)構(gòu)(不排除也有三層網(wǎng)絡(luò)結(jié)構(gòu)���,但是考慮到跨數(shù)據(jù)中心的虛機迀移等問題�����,大多數(shù)情況下還是采用大二層網(wǎng)絡(luò)結(jié)構(gòu))��,所以租戶內(nèi)部虛機VM之間訪問具有如下特點����。同一租戶的虛機在不同的物理節(jié)點上�,互訪的流量出物理節(jié)點。同一租戶的虛機都處于一個大的二層網(wǎng)絡(luò)��,互訪流量要能夠穿越三層網(wǎng)絡(luò)����。同一租戶的內(nèi)部網(wǎng)絡(luò)可能需要劃分不同的安全區(qū)域VN,安全區(qū)域之間的安全策略不同����。
[0004]縱向流量包括從客戶端到服務(wù)器側(cè)的正常流量訪問請求,以及不同VM之間的三層轉(zhuǎn)發(fā)的流量�����。這些流量的共同特點是其交換必然經(jīng)過外置的硬件安全防護層,我們也稱之為縱向流量控制層�����。
[0005]—方面����,這些流量的防護方式和傳統(tǒng)的數(shù)據(jù)中心的安全防護相比沒有本質(zhì)區(qū)別;另一方面���,在虛擬化環(huán)境下的云安全部署�����,因為存在多租戶的服務(wù)模型�,因此對于設(shè)備的虛擬化實現(xiàn)程度又有了更高的要求�����。
[0006]由于縱向流量存在多租戶的概念��,則對安全也提出了需求��,能夠?qū)崿F(xiàn)基于租戶的安全防護。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的是提供一種將虛機防火墻無縫嵌入到虛擬化平臺中���,從而實現(xiàn)在云計算網(wǎng)絡(luò)中對南北向流量的安全防護。
[0008]為了實現(xiàn)上述發(fā)明目的�����,本發(fā)明提供了一種云計算網(wǎng)絡(luò)中南北向流量安全防護部署系統(tǒng)����,包括:租戶占用的虛擬機和用于監(jiān)控當前租戶所占用的虛擬機與Network網(wǎng)絡(luò)的通信的虛擬防火墻、第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層和第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層����;
[0009]所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層,用于通過對接收的報文的標簽的識別判斷該報文的來源����,如果來源為虛擬機,則將所述報文轉(zhuǎn)發(fā)至當前虛擬機的租戶所對應(yīng)的虛擬防火墻�����,并將經(jīng)過該虛擬防火墻處理后的報文經(jīng)過二層交換機和三層交換機發(fā)送至Network網(wǎng)絡(luò)��,如果來源為Network網(wǎng)絡(luò),則將所述報文轉(zhuǎn)發(fā)至該報文的標簽所指示的虛擬防火墻�����,并將經(jīng)過該虛擬防火墻處理后的報文經(jīng)過二層交換機發(fā)送至第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層��;
[0010]所述第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層���,用于接收來自Network網(wǎng)絡(luò)的報文時��,通過對報文的標簽的識別判斷該報文所歸屬的租戶�,并將該報文下發(fā)至該報文的標簽所指示的租戶所對應(yīng)的虛擬機�����,還用于將虛擬機發(fā)送的報文轉(zhuǎn)發(fā)至二層交換機��。
[0011]其中����,所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層和虛擬防火墻運行于第一服務(wù)器群集,所述第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層和虛擬機運行于第二服務(wù)器集群��。
[0012]其中���,所述第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡�、邏輯網(wǎng)卡和邏輯網(wǎng)橋;
[0013]所述第二服務(wù)器群集包括多個物理服務(wù)器�,同一個物理服務(wù)器包括多張所述物理網(wǎng)卡,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡���,該邏輯網(wǎng)卡具有與當前物理服務(wù)器上的租戶數(shù)量相同的邏輯網(wǎng)卡子接口�����,每個邏輯網(wǎng)卡子接口連接一個所述邏輯網(wǎng)橋,每個邏輯網(wǎng)橋連接運行于當前物理服務(wù)器上的同一個租戶的一個或多個虛擬機����。
[0014]其中,所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡�、邏輯網(wǎng)卡和邏輯網(wǎng)橋;
[0015]所述第一服務(wù)器集群的物理服務(wù)器上具有多張所述物理網(wǎng)卡���,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡���,該邏輯網(wǎng)卡除了具有與所述租戶一一對應(yīng)的邏輯網(wǎng)卡子接口夕卜,還具有接收來自于Network網(wǎng)絡(luò)報文的邏輯網(wǎng)卡子接口����,每個邏輯網(wǎng)卡子接口連接一個所述邏輯網(wǎng)橋��,邏輯網(wǎng)橋連接其所對應(yīng)的租戶的虛擬防火墻��。
[0016]其中��,所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡��、邏輯網(wǎng)卡和邏輯網(wǎng)橋�;
[0017]所述第一服務(wù)器集群的物理服務(wù)器上具有多張所述物理網(wǎng)卡�����,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡��,該邏輯網(wǎng)卡連接所述邏輯網(wǎng)橋�����,所述邏輯網(wǎng)橋分別連接運行虛擬防火墻的虛擬機的Tap接口���。
[0018]其中�����,當所述虛擬防火墻工作在路由模式時���,所述虛擬防火墻內(nèi)部配置有VLAN和網(wǎng)關(guān)����。
[0019]其中��,當所述虛擬防火墻工作在透明模式時���,在所述三層交換機上連接硬件防火墻�����,并在該三層交換機上配置路由網(wǎng)關(guān)和Nat。
[0020]其中��,所述第一服務(wù)器集群的物理服務(wù)器上運行一臺虛擬機���,該虛擬機上運行與所述租戶一一對應(yīng)的虛擬防火墻���,
[0021]所述第一網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡和邏輯網(wǎng)卡;
[0022]所述第一服務(wù)器集群的物理服務(wù)器上具有多張所述物理網(wǎng)卡�����,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡,該邏輯網(wǎng)卡連接每個租戶所對應(yīng)的虛擬防火墻��。
[0023]根據(jù)本發(fā)明的另一個方面���,一種云計算網(wǎng)絡(luò)中南北向流量安全防護部署系統(tǒng)����,包括:租戶占用的虛擬機和用于監(jiān)控當前租戶所占用的虛擬機與Network網(wǎng)絡(luò)的通信的硬件防火墻���;
[0024]所述硬件防火墻部署于三層交換機�����,硬件防火墻內(nèi)部包括與各租戶一一對應(yīng)的邏輯防火墻單元��,各邏輯防火墻單元分別連接物理網(wǎng)卡���,該物理網(wǎng)卡連接二層交換機;
[0025]所述虛擬機運行于第二服務(wù)器群集����,所述第二服務(wù)器群集包括多個物理服務(wù)器���,同一個物理服務(wù)器包括多張所述物理網(wǎng)卡,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡�����,該邏輯網(wǎng)卡具有與當前物理服務(wù)器上的租戶數(shù)量相同的邏輯網(wǎng)卡子接口���,每個邏輯網(wǎng)卡子接口連接一個所述邏輯網(wǎng)橋���,每個邏輯網(wǎng)橋連接運行于當前物理服務(wù)器上的同一個租戶的一個或多個虛擬機。
[0026]根據(jù)本發(fā)明的另一個方面�,一種云計算網(wǎng)絡(luò)中南北向流量安全防護部署系統(tǒng),包括:租戶占用的虛擬機和用于監(jiān)控當前租戶所占用的虛擬機與Network網(wǎng)絡(luò)的通信的硬件防火墻�;
[0027]所述虛擬機運行于服務(wù)器群集���,所述服務(wù)器群集包括多個物理服務(wù)器���,同一個物理服務(wù)器包括多張所述物理網(wǎng)卡,該多張物理網(wǎng)卡綁定于同一張所述邏輯網(wǎng)卡�,該邏輯網(wǎng)卡具有與當前物理服務(wù)器上的租戶數(shù)量相同的邏輯網(wǎng)卡子接口,每個邏輯網(wǎng)卡子接口連接一個所述邏輯網(wǎng)橋���,每個邏輯網(wǎng)橋連接運行于當前物理服務(wù)器上的同一個租戶的一個或多個虛擬機�����;
[0028]所述硬件防火墻內(nèi)部包括與各租戶一一對應(yīng)的邏輯防火墻單元�����,各邏輯防火墻單元分別連接置于硬件防火墻的各個物理網(wǎng)卡�����,部分物理網(wǎng)卡連接運行虛擬機的服務(wù)器群集中的物理網(wǎng)卡���,部分物理網(wǎng)卡通過二層交換機和三層交換機連接至Network網(wǎng)絡(luò)�。
【附圖說明】
[0029]圖1是根據(jù)本發(fā)明第一實施方式的部署結(jié)構(gòu)示意圖����;
[0030]圖2是根據(jù)本發(fā)明第二實施方式的部署結(jié)構(gòu)示意圖;
[0031]圖3是根據(jù)本發(fā)明第三實施方式的部署結(jié)構(gòu)示意圖�����;
[0032]圖4是根據(jù)本發(fā)明第四實施方式的部署結(jié)構(gòu)示意圖;
[0033]圖5是根據(jù)本發(fā)明第五實施方式的部署結(jié)構(gòu)示意圖�;
[0034]圖6是根據(jù)本發(fā)明第六實施方式的部署結(jié)構(gòu)示意圖。
【具體實施方式】
[0035]為使本發(fā)明的目的�、技術(shù)方案和優(yōu)點更加清楚明了,下面結(jié)合【具體實施方式】并參照附圖���,對本發(fā)明進一步詳細說明����。應(yīng)該理解����,這些描述只是示例性的,而并非要限制本發(fā)明的范圍�。此外,在以下說明中����,省略了對公知結(jié)構(gòu)和技術(shù)的描述,以避免不必要地混淆本發(fā)明的概念���。
[0036]圖1是根據(jù)本發(fā)明第一實施方式的部署結(jié)構(gòu)示意圖。
[0037]該部署結(jié)構(gòu)適用的場景為租戶需要獨立的具有路由功能的安全系統(tǒng)���,同時租戶的識別依賴于虛擬化平臺�,而不是安全系統(tǒng)。
[0038]如圖1所示��,云計算網(wǎng)絡(luò)中南北向流量安全防護部署系統(tǒng)包括:第一服務(wù)器群集ClusterA和第二服務(wù)器集群ClusterB���、二層交換機L2 Switch和三層交換機L3 Switch�。
[0039]假設(shè)當前云計算平臺為兩個租戶提供服務(wù)�,為了表述清楚,圖1中����,橢圓的框線代表為租戶1提供服務(wù)的資源,矩形的框線代表為租戶2提供服務(wù)的資源�,梯形的框線代表租戶1與租戶2的共享資源。
[0040]ClusterB包括兩臺物理服務(wù)器Host2和Host3���。Host2中�,租戶1占用了兩臺虛擬機VM����,租戶2占用了 1臺虛擬機VM。Host3中�,租戶1占用了 1臺虛擬機VM���,租戶2占用了2臺虛擬機VM。
[0041]ClusterA中的物理服務(wù)器Hostl中運行了 2臺虛擬機VM�,每臺虛擬機上運行一個虛擬防火墻VFW(Virtual firewal)。兩個VFW分別負責監(jiān)控ClusterB中租戶1的VM和租戶2的VMo
[0042]ClusterB中的虛擬機通過第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層連接二層交換機L2 Switch��。第二網(wǎng)絡(luò)轉(zhuǎn)發(fā)層包括物理網(wǎng)卡ethO��、ethl�,邏輯網(wǎng)卡bondO和邏輯網(wǎng)橋brlOO、br200��。Host2上的物理網(wǎng)卡ethO���、ethl綁定于邏輯網(wǎng)卡bondO�,邏輯網(wǎng)卡bondO具有兩個邏輯網(wǎng)卡子接口bond0.100和bond0.200�,其中bond0.100為租戶1提供服務(wù),bond0.200為租戶2提供服務(wù)�����。bond0.100連接邏輯網(wǎng)橋brl00���,bond0