[发明专利]虚拟机通信系统和虚拟机

说明书

本发明公开了一种虚拟机通信系统和虚拟机。所述虚拟机通信系统，包括虚拟机环境中的第一路由器和云计算操作系统中的第二路由器以及虚拟机环境下的虚拟机；其中：第一路由器，与第一网络相连，且配置有第一网卡，其中第一网卡的IP地址为第一网络的网关地址；第二路由器，与第一网络和第二网络相连，且配置有第二网卡；虚拟机，包括：获取模块，用于在使用第一路由器与第二路由器进行数据传输时，获取接收到的报文的IP地址和/或MAC地址；识别模块，用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略，识别是否为虚拟机传输的报文，得到识别结果；控制模块，用于根据识别结果，确定是否继续报文。

技术领域

本发明涉及信息处理领域，尤指一种虚拟机通信系统和虚拟机。

背景技术

随着云计算的日益成熟，越来越多的企业开始部署云计算管理平台，用云管平台管理自己的服务器，创建虚拟机，将公司业务迁移上云。云管理平台云海OS集成了VMware、XenServer、InCloud Sphere等不同厂家的虚拟化产品，用统一的界面风格和操作为用户提供了一个大而全的云管理平台。用户在云海OS创建了虚拟机，虚拟机的网卡进出数据是没有限制的，即可以随便进出，这样虚拟机是有安全风险的。

Iptables是Linux内核集成的IP信息包过滤系统，每一条Iptables规则都可以自定义内容，比如允许哪个协议的数据通过或丢弃，比如来自哪个IP的数据通过或丢弃。虚拟机向外发出数据时，数据到达网卡前，会经过Linux内核的网络协议栈，协议栈会调用netfilter模块的各个钩子函数，钩子函数里面就会调用预先设置的Iptables规则对数据进行处理，或丢弃、或放行、或修改。同样，虚拟机收到一条数据后，也会被预置的Iptables规则处理一遍。这样，我们就可以通过自定义Iptables规则，对虚拟机进出数据做控制，比如不允许某些数据进入虚拟机，这样就可以保护虚拟机的安全。

IP/Mac欺骗是一种常见的网络攻击手段，当有人入侵一台虚拟机，将虚拟机发出的数据包的IP地址或者Mac地址修改了，便会造成一种欺骗，让数据接收者以为数据来源是其它的虚拟机，给潜在的危险数据带来可乘之机，让破坏者用IP/mac欺骗的原理对机器实施更大的危害。因此，如何提高虚拟机的安全是亟待解决的问题。

发明内容

为了解决上述技术问题，本发明提供了一种虚拟机通信系统和虚拟机，能够提供虚拟机的安全。

为了达到本发明目的，本发明提供了一种虚拟机通信系统，包括虚拟机环境中的第一路由器和云计算操作系统中的第二路由器以及虚拟机环境下的虚拟机；其中：

所述第一路由器，与所述第一网络相连，且配置有第一网卡，其中第一网卡的IP地址为第一网络的网关地址；

所述第二路由器，与所述第一网络和第二网络相连，且配置有第二网卡，其中所述第二网卡的IP地址为第二网络的网关地址；其中所述第一网络和所述第二网络属于不同网段；

所述虚拟机，包括：

获取模块，用于在使用所述第一路由器与所述第二路由器进行数据传输时，获取接收到的报文的IP地址和/或MAC地址；

识别模块，用于根据获取到的IP地址和/或MAC地址以及预先获取的识别策略，识别是否为所述虚拟机传输的报文，得到识别结果；

控制模块，用于根据所述识别结果，确定是否继续所述报文。

其中，所述系统还具有如下特点：所述第一路由器为Linux系统下的名称空间namespace模块。

其中，所述系统还具有如下特点：

所述第一路由器配置有所述第一网络的路由表；

所述第一路由器还用于在接收到的从所述第二网络发送的数据后，根据所述第一网络的路由器，将接收的数据进行发送。