[发明专利]一种云计算中心网络安全解决方案

说明书

技术领域

本发明涉及云计算的应用领域，具体涉及一种云计算中心网络安全解决方案。

技术背景

随着信息科技的发展，云计算逐步成为业界的发展热点，国内外各大厂商的云计算服务平台也开始纷纷投入到科学、教育、文化、卫生、政府、高性能计算、电子商务、物联网等多个领域进行使用。

云计算的一大重要特点，即是通过网络技术，将分布在各地的数据中心中的服务器、存储、网络设备通过管理软件集合起来协同工作，共同对外提供计算与存储等服务。在云数据中心，安全的网络环境不仅是必需的，而且已经成为企业成功的先决条件。黑客入侵、数据篡改、网络环境遭到破坏，将对企业的整个生产经营活动产生巨大影响。

然而随着计算机病毒、黑客以及拒绝服务攻击等破坏手段的盛行，网络安全已经逐渐成为企业不可不考虑的因素。如何在保证网络构架本身效率的同时，保护虚拟化网络环境中硬件、软件及系统中的数据不因偶然或者恶意的原因而遭到破坏、更改、泄露，成为各云计算厂商亟待解决的核心问题。

为了提供适当的安全体系和管理计划，动态拦截或放行网络流量，有效降低网络安全对网络性能的影响，保证云计算环境下的软、硬件不受恶意破坏，我们提出了一种易扩展、易开发、易维护的云数据中心网络安全解决方案。

发明内容

本发明要解决的技术问题是：本发明针对现有的云数据中心网络安全性差、难于管理的弊端，提出一种基于虚拟路由器的云数据中心网络安全保护方案。

传统的数据中心一般采用通过Vlan隔离网络、物理路由连通子网、物理防火墙过滤流量的网络部署方案。这种方案虽然在一定程度上保证了客户物理网络环境的安全，但采购物理路由器、防火墙会耗费相当一部分资金，且很难运用于以虚拟机为中心的云计算数据中心，无法方便地控制虚拟机之间的流量。

传统的VNC开源程序，通过直接连接服务器VNC端口，获取虚拟机桌面，具有如下缺点：

1）无法穿越多网络环境；

2）无法实现VNC数据分流，导致网络带宽占用率很大；

3）对于VMware、Xen等虚拟化底层，有不同程度的双鼠标现象出现，无法做到双鼠标的根本消除。

本发明所采用的技术方案为：

一种云计算中心网络安全解决方案，通过引入虚拟交换机与虚拟路由器，将物理层面的网络概念抽象到虚拟层面，在虚拟网络之上实现隔离、防火墙等网络安全功能，节省网络成本，具备高扩展性、安全性、兼容性、适用性、实用性。该方案主要包括：搭建二层虚拟网络，划分子网，部署虚拟路由器，定义防火墙规则，其中：

搭建二层虚拟网络,是该方案的二层网络实现基础。在物理网络互通的前提下，将服务器网卡抽象为虚拟交换机部件，提供二层网络服务，基于开源虚拟交换机Open vSwitch进行开发，将每台服务器的物理网卡与一台虚拟交换机一对一绑定，抽象形成二层虚拟交换机部件；兼容各大厂商的路由器、交换机、网卡等物理网络设备，具有较高的抽象性与适用性。

划分子网,是该方案实现虚拟网络隔离的基础。通过基于VLan与IP池的子网划分方式，有效节省了物理网络IP的使用量，充分满足不同客户的各种网络需求，实现虚拟子网间的隔离；通过在虚拟交换机之上以VLan划分二层虚拟网络，保证系统内各类业务间的数据分离，将复杂的物理网络配置过程，抽象到虚拟层面，节省物理网络IP使用量的同时，简化了网络的配置过程；

部署虚拟路由器，是该方案的三层网络实施环节。通过引入虚拟路由器，将物理层面的三层网络概念抽象到虚拟层面，将底层网络的管理功能统一转交给虚拟路由器，使得网管人员不必关心底层网络的具体分布情况，直接通过管理虚拟路由器即可管理整个系统网络的配置与服务，配置更加灵活，成本更加低廉，管理更加便捷。采用自主研发的虚拟路由器，提供三层网络服务（NAT、路由、DHCP）等，实现虚拟子网之间的互联与访问控制，部署科学、灵活、高效、节省成本。

定义防火墙规则,是本方案实现网络安全的核心环节。通过向虚拟路由器发送防火墙控制命令，实现对系统网络的统一安全管理，本方案所采用的虚拟路由器根据 5 元组（源 IP 地址、目标 IP 地址、源端口、目标端口、协议）对连接进行筛选和分组，在保证云数据中心各个子网网络性能的同时，保障系统网络的安全性；

基于虚拟路由器添加防火墙规则，根据 5 元组（源 IP 地址、目标 IP 地址、源端口、目标端口、协议）对连接进行筛选和分组，对虚拟机之间的流量进行基本的防火墙保护；可在虚拟机迁移时动态地保护应用程序，并可以支持众多协议（包括 FTP、RPC、TCP/IP协议等）。