[发明专利]一种基于分布式安全域的微分段防护方法

说明书

本发明公开了一种基于分布式安全域的微分段防护方法，通过防火墙引流实现微分段：受保护的虚拟机连接防火墙对应的引流网络，当被防护的虚拟机与其他虚拟机通信时需要经过防火墙进行引流；通过分布式安全域实现云环境下的微分段防护：在云环境的主机上部署分布式防火墙，通过管理节点对分布式防火墙进行统一管理，虚拟机之间通过分布式防火墙引流实现微防护，所有防火墙配置相同的安全域，使得虚拟机之间的访问和对外访问均会被统一的防护策略保护。本发明将分布式防火墙和分布式安全域应用于云环境下的微分段防护，在云环境下同一vlan网络进行微分段隔离，实现东西流量防护；通过分布式安全域的方式对云环境下的微分段配置防护策略。

技术领域

本发明属于网络安全防护领域，尤其涉及一种基于分布式安全域的微分段防护方法。

背景技术

云计算的相关技术特点及其应用模式正在使网络边界变得模糊，这使云数据中心对于边界安全防护的需求和以往的应用场景相比有所不同。对于解决云数据中心的边界安全问题，传统网关技术水土不服，而此时更需要为“云化”的数据中心提供一套针对性的、量体裁衣的安全解决方案。

在云计算环境中，计算资源(虚拟机)高度集中，并且具有动态迁移的属性，很容易跨越既定的安全边界，这些使得传统物理环境中基于网络拓扑划分管理区域的方式不再适用。

再者，一旦边界防护被突破，则诸如蠕虫病毒之类的恶意代码可以很容易由被感染的机器扩散到区域内部其他机器。或者被当作肉机，使得攻击者可以肆无忌惮地入侵其他机器，进而演变为APT攻击，造成更大的破坏。

而将传统的物理防火墙直接部署到云计算环境中，可以解决进出数据中心(南北向)流量的过滤，但对于数据中心内部主机及虚机之间(东西向)流量的防护则有些勉为其难。即便是对于不同网段的流量，也需要转到主机外侧的防火墙，过滤之后再返回给主机内部的目的虚机，这显然存在着性能缺陷。而在同网段内部，流量在虚拟交换机内部完成转发，外置防火墙根本获取不到，安全防护无从谈起。

来自Cisco的最新的全球云指数报告显示，数据中心中的东西向流量比重持续增加，到2020年占比将超过85％。这种情况下，微分段可以很好解决云环境中的安全防护。

微分段(微隔离)摒弃了传统的安全域的概念，直接将安全的边界聚焦到单机层面，可以针对单个虚机部署安全策略，大大缩小了安全防护区域的范围。这样，即便是某个VM(虚机)感染了恶意代码，由于同网络内部的虚机皆处于被防护状态，可以有效阻止恶意代码进一步扩散。在微分段架构中，相当于为每个虚机单独部署了一台防火墙。

传统网络中，为了安全管理需要，往往进行安全域划分。安全域划分原则为：将所有相同安全等级、具有相同安全需求的计算机划入同一网段内，在网段的边界处进行访问控制。一般实现方法是采用防火墙部署在边界处来实现，通过防火墙策略控制允许哪些IP访问此域、不允许哪些访问此域；允许此域访问哪些IP/网段、不允许访问哪些IP/网段。一般将应用、服务器、数据库等归入最高安全域，办公网归为中级安全域，连接外网的部分归为低级安全域。在不同域之间设置策略进行控制。

发明内容

本发明针对现有技术的不足，提供一种基于分布式安全域的微分段防护方法。

为实现上述目的，本发明提供如下技术方案：

(1)通过防火墙引流实现微分段：当虚拟机添加防护时，受保护的虚拟机连接防火墙对应的引流网络，通过防火墙将不同vlan之间的vlan标记互相转换，当被防护的虚拟机与其他虚拟机通信时需要经过防火墙进行引流，对受保护的虚拟机实现微分段；

(2)通过分布式安全域实现云环境下的微分段防护：在云环境的主机上部署分布式防火墙，并通过管理节点对分布式防火墙进行统一管理，虚拟机之间通过分布式防火墙引流实现微防护；所有防火墙配置相同的安全域：包括相同的接口和相同的防护策略，使得虚拟机之间的访问和对外访问均会被统一的防护策略保护。