[发明专利]一种数据包重定向装置、虚拟机安全保护方法及系统

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种数据包重定向装置、虚拟机安全保护方法及系统。

背景技术

服务器虚拟化指将一台物理服务器通过软件硬件技术抽象为多台虚拟机，各虚拟机就像实际的物理机一样，可以安装操作系统。各虚拟机逻辑上互联隔离，但共享同一台物理服务器的CPU，内存，I/O等资源。

服务器虚拟化为实现灵活的资源管理和更高的服务器资源利用率提供了基础，该技术已经成为当前企业数据中心信息化建设的核心技术。

然而，服务器虚拟化面临虚拟机隔离失效及虚拟机间通信监控失效风险。

虚拟机隔离失效指虚拟机相互干扰，图1示出了虚拟机隔离失效及监控失效的示意图。如图1所示，虚拟机101和虚拟机102都连接到同一个虚拟交换设备上，如果没有在虚拟机交换机上设置访问控制策略，虚拟机101发送的所有数据包都可以能被虚拟机102所监听。另外，这种情况下，虚拟机101也可以向虚拟机102发送大量连接请求，导致虚拟机102拒绝服务其他请求处理。

虚拟机间通信监控失效指运行同一物理服务器上虚拟机之间通信不能被传统的监控系统所感知。再次参考图1，虚拟机102和虚拟机103可以通过虚拟监控器内部的虚拟交换机进行通信，但通信流量不能被外部的网关系统所感知，导致监控失效。

针对虚拟机隔离失效及流量监控失效问题，目前主要通过两种方法来实现虚拟机流量监控和虚拟机隔离。

第一种方法如图2所示，该方法是通过使用新的交换技术和硬件设备，将虚拟机间的通信流量重定向到外部安全系统。这种方法的优点是可以利用已有的安全系统资源。不足的是需要修改虚拟机监控器内核，特别是网卡驱动，以实现虚拟机流量识别和分发，同时需要增加新的网络硬件设备，如新的物理交换机，对用户而言成本较高。

目前，设备厂商提出了将流量重定向到服务器外部网络设备的技术，如Cisco VN-tag,以及HP VEPA(virtrual Earth Port Aggriate)技术。基于这些技术，服务器外部署的安全系统也就能够实现对虚拟机隔离和流量监控目的。

第二种方法如图3所示，该方法是将普通虚拟机流量重定向到部署有安全系统的虚拟机上，主要采用修改虚拟交换机端口转发配置来实现流量重定向。该方法的优点是不用修改虚拟化软件内核代码，可适用于不同虚拟化平台，只要平台支持虚拟交换机。不足之处是每接入一个虚拟机就要进行虚拟交换机配置修改，管理不方便；同时，随着虚拟机数量和通信流量增加，安全系统的性能瓶颈也将出现。

目前，商用虚拟化软件中都支持基于虚拟交换机的重定向方法，主流开源虚拟化软件也都支持虚拟机交换流重定向配置功能。

当前，诸如北京网御星云信息技术有限公司的虚拟化网关系列产品就采用了第二类重定向方法来实现虚拟机安全。

对于第二种方法，北京网御星云信息技术有限公司于2011年7月25日提出了申请号为201110208735.X、题为“用于服务器虚拟化的虚拟网关防护方法，安全网关及系统”的专利申请。该专利申请的技术方案采用了第二类流量重定向方法,即虚拟机流量重定向到安装有监控系统的虚拟机中，该虚拟机称为虚拟安全网关。该专利申请的技术方案包括以下步骤：

1.虚拟监控器VMM中的虚拟子网络通过各自的虚拟交换机向其他虚拟子网络发送通信流量，并接收其它虚拟子网络发出的通信流量。

2.在VMM层潜入重定向驱动模块,由重定向驱动模块负责将所有虚拟机的通信流量重定向到虚拟安全网关中,虚拟安全网关通过虚拟交换机和虚拟网卡间的一一对应关系，接收虚拟子网络内的虚拟交换机发送或接收的通信流量，然后将通信流量暂时隔离在虚拟安全网关中。

3.虚拟安全网关根据预设的安全策略分析处理这些流量，当符合安全策略时，依据虚拟交换机和虚拟网卡间的对应关系将通信流量发送给目的虚拟子网络内的虚拟交换机。当不符合安全策略时，虚拟安全网关做出响应，如果检测到分组数据的目的端口为安全策略规定关闭的端口，那么可以对这些数据进行拦截或丢弃，也可以对用户报警，由用户选择处理方式；或者检测到一个虚拟子网络对一个没有访问权限的虚拟子网络发起访问，那么就可以对用户报警，具体响应方式也可以由用户自定义。