[发明专利]一种云计算中心网络安全解决方案

权利要求书

1.一种云计算中心网络安全解决方案，其特征在于：通过引入虚拟交换机与虚拟路由器，将物理层面的网络概念抽象到虚拟层面，在虚拟网络之上实现隔离、防火墙网络安全功能，该方案主要包括：搭建二层虚拟网络，划分子网，部署虚拟路由器，定义防火墙规则，其中：

搭建二层虚拟网络,在物理网络互通的前提下，将服务器网卡抽象为虚拟交换机部件，提供二层网络服务，基于开源虚拟交换机Open vSwitch进行开发，将每台服务器的物理网卡与一台虚拟交换机一对一绑定，抽象形成二层虚拟交换机部件； 

划分子网,通过基于VLan与IP池的子网划分方式，有效节省了物理网络IP的使用量，充分满足不同客户的各种网络需求，实现虚拟子网间的隔离；通过在虚拟交换机之上以VLan划分二层虚拟网络，保证系统内各类业务间的数据分离，将复杂的物理网络配置过程，抽象到虚拟层面，节省物理网络IP使用量的同时，简化了网络的配置过程；

部署虚拟路由器，通过引入虚拟路由器，将物理层面的三层网络概念抽象到虚拟层面，将底层网络的管理功能统一转交给虚拟路由器，使得网管人员不必关心底层网络的具体分布情况，直接通过管理虚拟路由器即可管理整个系统网络的配置与服务，采用自主研发的虚拟路由器，提供NAT、路由、DHCP三层网络服务，实现虚拟子网之间的互联与访问控制；

定义防火墙规则,通过向虚拟路由器发送防火墙控制命令，实现对系统网络的统一安全管理，本方案所采用的虚拟路由器根据源 IP 地址、目标 IP 地址、源端口、目标端口、协议5 元组对连接进行筛选和分组，在保证云数据中心各个子网网络性能的同时，保障系统网络的安全性；

基于虚拟路由器添加防火墙规则，根据源 IP 地址、目标 IP 地址、源端口、目标端口、协议5 元组对连接进行筛选和分组，对虚拟机之间的流量进行基本的防火墙保护。

2.根据权利要求1所述的一种云计算中心网络安全解决方案，其特征在于：所述搭建二层虚拟网络，部署步骤如下：

1）使用路由器、交换机、防火墙物理设备，将云数据中心的计算、存储资源进行连接，保证物理节点之间、管理节点与物理节点之间、节点与存储之间的网络互通；

2）配置虚拟交换机，通过物理网卡抽象虚拟交换机部件，通过基于Open vSwitch的软件方式，将每台服务器上的物理网卡与一台虚拟交换机一对一绑定，形成交换机部件，在交换机上虚拟若干端口，每个端口与云数据中心虚拟机的一块网卡一对一绑定，通过这种方式，实现虚拟机à虚拟机网卡à虚拟端口à虚拟交换机à物理网卡的网络连接方式；多个虚拟交换机能够进行级联设置，组成一个大的分布式虚拟交换机。

3.根据权利要求1或2所述的一种云计算中心网络安全解决方案，其特征在于：所述划分子网，按照不同的网络连接方式与隔离手段，将虚拟网络划分为2大类：

1）公有网络池：公有网络池对应虚拟交换机上直连公网的虚拟端口组，虚拟机使用可以访问公网的IP；

2）私有网络池：私有网络池对应虚拟交换机上设置VLan的虚拟端口组，虚拟机使用特定Vlan下的私网IP，只能在局域网范围内通信，不可访问公网。

4.根据权利要求3所述的一种云计算中心网络安全解决方案，其特征在于：所述部署虚拟路由器，通过引入虚拟路由器，单独创建一个系统虚拟机，在其中添加路由核心服务、管理服务与SSH交互服务，统一封装成虚拟路由器的形式，为虚拟路由器设置两个网卡，分别连接私网虚拟交换机的端口与公网虚拟交换机的端口，并设置私网与公网IP，保证虚拟路由器可以与公网、私网连通；虚拟路由器的私网IP，即为所连接的私网虚拟交换机的网关，所有连接该私网虚拟交换机的虚拟机，通过将该虚拟路由器的私网IP设置为自身的网关，实现虚拟路由器对虚拟机网络的管理，虚拟路由器以虚拟机模版的形式提供，便于快速部署；通过虚拟路由，将各类网络连接起来，虚拟机使用私网IP，通过虚拟路由器，进行NAT与路由处理，实现与公网或隔离子网间的互联。

5.根据权利要求4所述的一种云计算中心网络安全解决方案，其特征在于：通过在虚拟路由中添加防火墙规则，控制不同网络之间互访时的流量。

6.根据权利要求5所述的一种云计算中心网络安全解决方案，其特征在于：所述防火墙规则包括：

1）数据包过滤：源IP过滤、源IP与目的IP过滤、源IP与目的协议过滤、源MAC地址过滤等；

2）网络过滤：通过URL过滤、内容分类过滤、关键字过滤等；

3）入侵防护。