本发明专利技术公开了一种基于分布式安全域的微分段防护方法,通过防火墙引流实现微分段:受保护的虚拟机连接防火墙对应的引流网络,当被防护的虚拟机与其他虚拟机通信时需要经过防火墙进行引流;通过分布式安全域实现云环境下的微分段防护:在云环境的主机上部署分布式防火墙,通过管理节点对分布式防火墙进行统一管理,虚拟机之间通过分布式防火墙引流实现微防护,所有防火墙配置相同的安全域,使得虚拟机之间的访问和对外访问均会被统一的防护策略保护。本发明专利技术将分布式防火墙和分布式安全域应用于云环境下的微分段防护,在云环境下同一vlan网络进行微分段隔离,实现东西流量防护;通过分布式安全域的方式对云环境下的微分段配置防护策略。
【技术实现步骤摘要】
一种基于分布式安全域的微分段防护方法
本专利技术属于网络安全防护领域,尤其涉及一种基于分布式安全域的微分段防护方法。
技术介绍
云计算的相关技术特点及其应用模式正在使网络边界变得模糊,这使云数据中心对于边界安全防护的需求和以往的应用场景相比有所不同。对于解决云数据中心的边界安全问题,传统网关技术水土不服,而此时更需要为“云化”的数据中心提供一套针对性的、量体裁衣的安全解决方案。在云计算环境中,计算资源(虚拟机)高度集中,并且具有动态迁移的属性,很容易跨越既定的安全边界,这些使得传统物理环境中基于网络拓扑划分管理区域的方式不再适用。再者,一旦边界防护被突破,则诸如蠕虫病毒之类的恶意代码可以很容易由被感染的机器扩散到区域内部其他机器。或者被当作肉机,使得攻击者可以肆无忌惮地入侵其他机器,进而演变为APT攻击,造成更大的破坏。而将传统的物理防火墙直接部署到云计算环境中,可以解决进出数据中心(南北向)流量的过滤,但对于数据中心内部主机及虚机之间(东西向)流量的防护则有些勉为其难。即便是对于不同网段的流量,也需要转到主机外侧的防火墙,过滤之后再返回给主机内部的目的虚机,这显然存在着性能缺陷。而在同网段内部,流量在虚拟交换机内部完成转发,外置防火墙根本获取不到,安全防护无从谈起。来自Cisco的最新的全球云指数报告显示,数据中心中的东西向流量比重持续增加,到2020年占比将超过85%。这种情况下,微分段可以很好解决云环境中的安全防护。微分段(微隔离)摒弃了传统的安全域的概念,直接将安全的边界聚焦到单机层面,可以针对单个虚机部署安全策略,大大缩小了安全防护区域的范围。这样,即便是某个VM(虚机)感染了恶意代码,由于同网络内部的虚机皆处于被防护状态,可以有效阻止恶意代码进一步扩散。在微分段架构中,相当于为每个虚机单独部署了一台防火墙。传统网络中,为了安全管理需要,往往进行安全域划分。安全域划分原则为:将所有相同安全等级、具有相同安全需求的计算机划入同一网段内,在网段的边界处进行访问控制。一般实现方法是采用防火墙部署在边界处来实现,通过防火墙策略控制允许哪些IP访问此域、不允许哪些访问此域;允许此域访问哪些IP/网段、不允许访问哪些IP/网段。一般将应用、服务器、数据库等归入最高安全域,办公网归为中级安全域,连接外网的部分归为低级安全域。在不同域之间设置策略进行控制。
技术实现思路
本专利技术针对现有技术的不足,提供一种基于分布式安全域的微分段防护方法。为实现上述目的,本专利技术提供如下技术方案:(1)通过防火墙引流实现微分段:当虚拟机添加防护时,受保护的虚拟机连接防火墙对应的引流网络,通过防火墙将不同vlan之间的vlan标记互相转换,当被防护的虚拟机与其他虚拟机通信时需要经过防火墙进行引流,对受保护的虚拟机实现微分段;(2)通过分布式安全域实现云环境下的微分段防护:在云环境的主机上部署分布式防火墙,并通过管理节点对分布式防火墙进行统一管理,虚拟机之间通过分布式防火墙引流实现微防护;所有防火墙配置相同的安全域:包括相同的接口和相同的防护策略,使得虚拟机之间的访问和对外访问均会被统一的防护策略保护。本专利技术的有益效果是:本专利技术将分布式防火墙和分布式安全域应用于云环境下的微分段防护,在云环境下同一vlan网络进行微分段隔离,实现东西流量防护;通过分布式安全域的方式对云环境下的微分段配置防护策略。附图说明图1为传统虚拟机部署方式示意图;图2为通过防火墙引流实现微分段示意图;图3为虚拟机之间通过分布式防火墙引流实现微防护示意图;图4为虚拟防火墙通过管理节点进行统一管理示意图;图5为通过分布式安全域实现云环境下的微分段防护示意图。具体实施方式下面结合附图和具体实施例对本专利技术作进一步详细说明。本专利技术提供的一种基于分布式安全域的微分段防护方法,包括两部分:(1)通过防火墙引流实现微分段当虚拟机添加防护时,受保护的虚拟机连接防火墙对应的引流网络,因此当被防护的虚拟机与其他虚拟机通信时需要经过防火墙进行引流。保护流程实例如下:1、VM1、VM2、VM3属于同一二层网络,并在同一vlan33中。在传统部署中由于所有虚拟机属于同一vlan,流量不会被防火墙防护,如图1所示。2、在防火墙上创建引流网络vlan3001,对VM1添加微防护,如图2所示,将VM1加入vlan3001网络。通过防火墙将vlan3001和vlan33之间的vlan标记互相转换,VM1、VM2、VM3之间就可以互相通信,并且VM1和VM2之间的流量经过防火墙,VM1和VM3之间的流量经过防火墙,这样就对VM1实现了微分段。(2)通过分布式安全域实现云环境下的微分段防护在云环境的主机上部署分布式防火墙,并通过管理节点对分布式防火墙进行统一管理,虚拟机之间通过分布式防火墙引流实现微防护。如图3所示,每个虚拟机访问其它虚拟机的时候,流量都先经过本主机的防火墙。虚拟防火墙通过管理节点进行统一管理,如图4所示。所有防火墙配置相同的安全域:包括相同的接口和相同的防护策略。由于安全域在所有主机的防火墙上配置相同,相当于一个统一的安全域对所有主机上可见。如图5所示,VM-A、VM-B、VM-C和VM-D属于相同网络,通过引流后,四个虚拟机经过防火墙进行通信。将四个虚拟机对应的接口都加入安全域1,并在安全域1上配置防护策略,那么这四个虚拟机之间的访问和对外访问就都会被统一的防护策略保护。应当说明的是:以上实施例仅用以说明本专利技术的技术流程而不是对其限制,尽管参照上述实施例对本专利技术进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本专利技术的具体实施方式进行修改或者等同替换,而未脱离本专利技术精神和范围的任何修改或者等同替换,其均应该涵盖在本专利技术的权利要求范围当中。本文档来自技高网...
【技术保护点】
一种基于分布式安全域的微分段防护方法,其特征在于,包括:通过防火墙引流实现微分段:当虚拟机添加防护时,受保护的虚拟机连接防火墙对应的引流网络,通过防火墙将不同vlan之间的vlan标记互相转换,当被防护的虚拟机与其他虚拟机通信时需要经过防火墙进行引流,对受保护的虚拟机实现微分段;通过分布式安全域实现云环境下的微分段防护:在云环境的主机上部署分布式防火墙,并通过管理节点对分布式防火墙进行统一管理,虚拟机之间通过分布式防火墙引流实现微防护;所有防火墙配置相同的安全域:包括相同的接口和相同的防护策略,使得虚拟机之间的访问和对外访问均会被统一的防护策略保护。
【技术特征摘要】
1.一种基于分布式安全域的微分段防护方法,其特征在于,包括:通过防火墙引流实现微分段:当虚拟机添加防护时,受保护的虚拟机连接防火墙对应的引流网络,通过防火墙将不同vlan之间的vlan标记互相转换,当被防护的虚拟机与其他虚拟机通信时需要经过防火墙进行引流,对受保护的虚拟机实现微分...
【专利技术属性】
技术研发人员:张彩友,王红凯,龚小刚,叶卫,王以良,吴惠芬,贺沛宇,戴波,蒋城颖,周鹏,沈潇军,郭亚琼,陈超,戚伟强,沈志豪,裴旭斌,耿继朴,姜维,
申请(专利权)人:国家电网公司,国网浙江省电力公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。