[发明专利]基于虚拟化云平台的转发流量的方法、装置与存储介质

说明书

本申请提供了一种基于虚拟化云平台的转发流量的方法、装置、存储介质与处理器。该方法包括：检测物理主机的虚拟网络流量中是否存在威胁；在虚拟网络流量中存在威胁的情况下，控制物理主机由流量镜像模式切换为流量串行模式；在威胁解除后，控制物理主机由流量串行模式切换为流量镜像模式，该方案实现了虚拟化云平台中转发流量的方法在流量镜像模式和流量串行模式之间的切换，由于基于流量镜像模式可以检测到威胁且不会导致流量产生丢包和延时，而基于流量串行模式可以实现对流量的转发和消除威胁，所以本方案具有了流量镜像模式和流量串行模式的双重优势，进而改善了基于虚拟化云平台的转发流量的效果。

技术领域

本申请涉及云安全技术领域，具体而言，涉及一种基于虚拟化云平台的转发流量的方法、装置、存储介质与处理器。

背景技术

现有的在虚拟化云平台中虚拟机通过虚拟网络转发流量，一般有两种方式，单纯流量镜像技术和单纯流量串联技术。

单纯流量镜像技术本身是复制虚拟化云平台的流量，实际的流量并不经过镜像设备处理，所以并不能对流量的转发路径产生影响。如果在流量中发现威胁，并不能对流量做对应的策略阻断威胁。

单纯流量串联技术是将特定的虚拟安全设备接入虚拟机和虚拟网络之间，流量先进入虚拟安全设备，经过虚拟安全设备查询安全规则以后，决定继续转发到目标虚拟网络，该技术虽然能够完整控制虚拟化云平台流量，但是受制于虚拟化安全设备的对流量处理转发性能，一旦虚拟化安全设备性能不高或者不稳定就会影响流量，导致流量产生丢包和延时。

在背景技术部分中公开的以上信息只是用来加强对本文所描述技术的背景技术的理解，因此，背景技术中可能包含某些信息，这些信息对于本领域技术人员来说并未形成在本国已知的现有技术。

发明内容

本申请的主要目的在于提供一种基于虚拟化云平台的转发流量的方法、装置、存储介质与处理器，以解决现有技术中虚拟化云平台中虚拟机通过虚拟网络转发流量的处理效果较差的问题。

为了实现上述目的，根据本申请的一个方面，提供了一种基于虚拟化云平台的转发流量的方法，包括：检测物理主机的虚拟网络流量中是否存在威胁；在所述虚拟网络流量中存在威胁的情况下，控制所述物理主机由流量镜像模式切换为流量串行模式；在所述威胁解除后，控制所述物理主机由所述流量串行模式切换为所述流量镜像模式。

进一步地，在检测物理主机的虚拟网络流量中是否存在威胁之前，所述方法还包括：配置所述物理主机的流量，所述流量为任意两个虚拟机之间通信所需的流量的总和，所述物理主机包括所述虚拟机；配置所述物理主机的安全等级要求和安全规范要求。

进一步地，检测物理主机的虚拟网络流量中是否存在威胁，包括：根据所述物理主机的流量进行镜像配置，得到镜像配置结果；根据所述镜像配置结果，检测所述物理主机的虚拟网络流量中是否存在威胁。

进一步地，在所述虚拟网络流量中存在威胁的情况下，控制所述物理主机由流量镜像模式切换为流量串行模式，包括：在所述虚拟网络流量中存在威胁的情况下，确定所述物理主机是否满足所述安全等级要求和/或所述安全规范要求；在所述物理主机不满足所述安全等级要求和/或所述安全规范要求的情况下，控制所述物理主机由流量镜像模式切换为流量串行模式。

进一步地，在控制所述物理主机由所述流量镜像模式切换为所述流量串行模式之后，且在控制所述物理主机由所述流量串行模式切换为所述流量镜像模式之前，所述方法还包括：在触发威胁的目标网络和目标虚拟机之间串联一个或多个虚拟化安全设备，所述虚拟化安全设备进行流量接管和威胁解除。

进一步地，所述虚拟化安全设备支持镜像接入方式和/或串联接入方式。

进一步地，在检测物理主机的虚拟网络流量中是否存在威胁之前，所述方法还包括：配置所述物理主机的目标功能，所述目标功能为所述物理主机上的虚拟机实现的功能。