[发明专利]一种基于虚拟化实现网络安全管理的装置及其管理方法

说明书

本发明公开了一种基于虚拟化实现网络安全管理的装置及其管理方法，该装置包括防火墙功能模块、路由功能模块、支持冗余的交换机模块，还包括LAN虚拟网络安全管理平台控件和ESX主机，LAN虚拟网络安全管理平台控件由虚拟机管理端、虚拟防火墙模块、虚拟路由模块和虚拟入侵监测模块组成。本发明基于VMware vShield Zones建立虚拟防火墙，通过安全和网关服务实现对虚拟机的隔离，提供控制区、外网和参数保护等功能实现对多用户应用环境的支持；通过VMware vSphere平台建立虚拟路由功能以及控制ESX主机内的虚拟机；采用基于Xen的半虚拟化实现在虚拟机环境中的网络入侵检测功能，提升网络安全。

技术领域

本发明涉及网络安全管理。

背景技术

虚拟化技术（Virtualization）是指一种物理资源封装的手段，是构建云计算的基础技术之一。从逻辑角度来对资源进行配置，是物理实际的逻辑抽象，让所有的资源透明地运行在各种各样的物理平台上，资源的管理都按逻辑方式进行，完全实现资源的自动分配。根据不同属性，可以对虚拟化进行不同的分类。按实现层次可以分为硬件虚拟化、操作系统虚拟化、应用程序虚拟化。按应用领域可以分为服务器虚拟化、防火墙虚拟化、存储虚拟化、网络虚拟化、桌面虚拟化等。

现有寄宿虚拟化实现网络安全管理，用户通过防火墙、路由器、冗余交换机等安全来访问内部网络中基于寄宿虚拟化技术的宿主主机。这种技术实现网络安全管理不足之处在于：（1）硬件资源利用率和成本较高，性能往往较低，不能有效的降低并发数，满足不了大用户量的访问控制。（2）未明确支持硬件虚拟化技术，网络功能需要加载服务，容易导致宿主机的网络设备混乱，系统资源占用率高，网络安全防护能力低。（3）寄宿虚拟化技术目前采用的主流产品是VMware Workstation，安装于宿主主机内的操作系统上，一旦宿主主机出现安全问题，宿主主机无法工作，导致虚拟服务器无法运行，网络安全性和稳定性相对较差。

现有原生虚拟化实现网络安全管理：和寄宿虚拟化技术实现网络安全管理过程大致相同，不同之处在于原生虚拟化产品（目前主流产品是VMware ESX Server）直接安装于服务器上。不足之处在于：（1）它硬件的驱动程序集中在Hypervisor一层，被Hypervisor上的所有的虚拟机所共同使用，当一个虚拟机的OS需要访问硬件时，它通过Hypervisor中的driver model来访问，有些驱动程序和一些第三方代码在一个很敏感的区域内，它在安全性和兼容性上存在缺陷。（2）无法对网络入侵进行24小时不间断监视和保护，降低了虚拟机网络安全访问和管理能力。

发明内容

本发明的目的是提供一种基于虚拟化实现网络安全管理的装置。

本发明的另一个目的是提供一种优化虚拟化环境下构建网络安全管理的方法。

一种基于虚拟化实现网络安全管理的装置，包括防火墙功能模块、路由功能模块、支持冗余的交换机模块，还包括LAN虚拟网络安全管理平台控件和ESX主机，LAN虚拟网络安全管理平台控件由虚拟机管理端、虚拟防火墙模块、虚拟路由模块和虚拟入侵监测模块组成，防火墙功能模块、路由功能模块和支持冗余的交换机模块与LAN网络连接，虚拟机管理端与ESX主机间依次连接有虚拟防火墙模块、虚拟路由模块和虚拟入侵监测模块。

一种基于虚拟化实现网络安全管理的装置进行管理的方法，包括如下步骤：

1）在外部客户机和内部服务器之间部署具有防火墙功能模块（1）、路由功能模块（2）、支持冗余的交换机模块（3）；为每一种服务器建立一个外网安全访问的线路；并根据实际需要设置访问权限以及访问路由，供外网用户进行访问；

2）在LAN网中建立虚拟防火墙模块（52）、虚拟路由模块（53）和虚拟入侵监测模块（54），通过虚拟防火墙模块对虚拟机的进行隔离，为虚拟机内部和外部网络流量提供基本的虚拟网络防火墙，它作为一个可加载的内核模块和虚拟设备部署在主机上。