[发明专利]一种主机与虚拟机的隔离方法、装置及存储介质

权利要求书

1.一种主机与虚拟机的隔离方法，其特征在于，应用于策略服务器，包括：

获取至少一个网络管控规则以及至少一个外设管控规则，其中，所述至少一个网络管控规则中的每个网络管控规则包括互联网网络管控规则和/或办公网网络管控规则，且任一外设管控规则用于表征任一主机的各个外设接口或任一主机中虚拟机的各个外设接口的访问权限；

获取业务需求信息，其中，所述业务需求信息包括指定主机的业务需求信息以及指定主机中的虚拟机的业务需求信息，且指定主机的业务需求信息与虚拟机的业务需求信息互不相同；

基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略以及虚拟机通信隔离策略；

将所述主机通信隔离策略发送至所述指定主机，以及将所述虚拟机通信隔离策略发送至所述指定主机中的虚拟机，以使所述指定主机基于主机通信隔离策略配置网络访问权限和外设接口访问权限，以及使所述虚拟机基于虚拟机通信隔离策略配置网络访问权限和外设接口访问权限，以便在所述指定主机和所述虚拟机的网络访问权限以及外设接口访问权限配置完成后，完成所述指定主机与所述虚拟机之间的网络隔离。

2.根据权利要求1所述的方法，其特征在于，所述互联网网络管控规则包括互联网网段地址，所述办公网网络管控规则包括办公网网段地址，任一外设管控规则包括：待管控设备的IP地址、待管控设备中各个待管控外设接口的标识以及访问权限；

所述指定主机的业务需求信息包括指定主机的IP地址和指定主机的业务访问网段地址；

其中，基于所述业务需求信息、所述至少一个网络管控规则和所述至少一个外设管控规则，生成主机通信隔离策略，包括：

基于所述指定主机的业务访问网段地址，从所述至少一个网络管控规则中，匹配出与所述业务访问网段地址相同的互联网网段地址或办公网网段地址，作为网络放行地址；

将所述至少一个网络管控规则中，与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址，作为网络拦截地址；

基于所述指定主机的IP地址，从所述至少一个外设管控规则中，筛选出包含有所述指定主机的IP地址的外设管控规则，作为所述指定主机的外设隔离规则；

利用所述网络放行地址、所述网络拦截地址以及所述外设隔离规则，组成所述主机通信隔离策略。

3.如权利要求2所述的方法，其特征在于，所述指定主机的业务需求信息还包括：指定拦截网段地址，其中，在将所述至少一个网络管控规则中，与所述业务访问网段地址不一致的互联网网段地址或办公网网段地址，作为网络拦截地址后，所述方法还包括：

判断所述网络放行地址中是否存在有与所述指定拦截网段地址相同的网络放行地址；

若是，则从所述网络放行地址中，剔除与所述指定拦截网段地址相同的网络放行地址，并将所述指定拦截网段地址也作为网络拦截地址；否则，则直接将所述指定拦截网段地址作为网络拦截地址。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

接收指定主机和指定主机中虚拟机发送的网络访问记录以及外设接口访问记录；

基于所述指定主机发送的网络访问记录和外设接口访问记录，生成第一操作记录报表，以及基于指定主机中虚拟机发送的网络访问记录和外设接口访问记录，生成第二操作记录报表，以便维护人员基于所述第一操作记录报表对所述指定主机进行数据审计，以及维护人员基于所述第二操作记录报表对指定主机中的虚拟机进行数据审计。

5.一种主机与虚拟机的隔离方法，其特征在于，应用于指定主机，包括：

接收策略服务器发送的主机通信隔离策略；

根据所述主机通信隔离策略，配置网络访问权限和外设接口访问权限，以便基于配置的网络访问权限和外设接口访问权限进行业务通信，其中，所述配置网络访问权限包括允许访问网段地址和拒绝访问网段地址，且所述外设接口访问权限用于表征所述指定主机中各个外设接口的数据通信权限，且所述数据通信权限包括只读、只写、读写或禁用。