System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种虚拟机与物理服务器的通信方法和装置制造方法及图纸_技高网
当前位置: 首页 > 专利查询>西安四叶草信息技术有限公司专利>正文

一种虚拟机与物理服务器的通信方法和装置制造方法及图纸

技术编号:43059650 阅读:8 留言:0更新日期:2024-10-22 14:39
本发明专利技术公开了一种虚拟机与物理服务器的通信方法和装置,所述方法包括:监听流量拦截器所在的第一网络命名空间接收到的访问请求;当监听到访问请求时,解析访问请求,得到请求信息;将请求信息与预先设置的异常流量匹配规则进行匹配;若根据匹配结果确定访问请求为异常流量,则根据匹配规则对访问请求进行拦截处理,并将第一虚拟机对应的IP地址进行封禁处理;若根据匹配结果确定访问请求为正常流量,则将访问请求通过HAProxy代理器转发到物理服务器。虚拟通信系统具有集中的网络配置与管理界面,能够降低维护成本,提高操作便利性,并且,不对宿主机性能产生负面影响,有效提升了网络通信的整体安全水平,防止了未授权的访问和攻击。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及网络安全领域,尤其涉及一种虚拟机与物理服务器的通信方法和装置


技术介绍

1、在虚拟化环境中,物理机与虚拟机之间的通信是一个重要需求。传统上,虚拟机通过虚拟网络设备(如vnic)连接到物理网络,这通常依赖于虚拟化平台提供的网络桥接、nat或vlan技术。然而,在大规模部署时,这些方式可能带来管理复杂度增加、性能开销大等问题。


技术实现思路

1、本专利技术旨在至少解决现有技术中存在的技术问题,为此,本专利技术第一方面提出一种虚拟机与物理服务器的通信方法,应用于虚拟通信系统中的流量拦截器,所述虚拟通信系统还包括物理服务器、在所述物理服务器中部署的多个虚拟局域网、与所述虚拟局域网对应的网络命名空间、位于所述虚拟局域网中的虚拟机,所述流量拦截器部署于所述网络命名空间,所述网络命名空间中还部署有haproxy代理器,所述方法包括:

2、监听所述流量拦截器所在的第一网络命名空间接收到的访问请求;所述所述访问请求为位于第一虚拟局域网中的虚拟机发送的、请求访问所述物理服务器上的目标web服务的请求消息,所述第一网络命名空间为所述第一虚拟局域网的网段所对应的网络命名空间;

3、当监听到所述访问请求时,解析所述访问请求,得到请求信息;

4、将所述请求信息与预先设置的异常流量匹配规则进行匹配;

5、若根据匹配结果确定所述访问请求为异常流量,则根据所述匹配规则对所述访问请求进行拦截处理,并将第一虚拟机对应的ip地址进行封禁处理;所述第一虚拟机为发送所述访问请求的虚拟机;

6、若根据所述匹配结果确定所述访问请求为正常流量,则将所述访问请求通过所述haproxy代理器转发到所述物理服务器。

7、可选地,在将所述访问请求通过所述haproxy代理器转发到所述物理服务器之后,还包括:

8、接收所述物理服务器上的目标web服务发送的响应流量;

9、将所述响应流量与所述异常流量匹配规则进行匹配;

10、若根据匹配结果确定所述响应流量为异常流量,则根据所述匹配规则对所述响应流量进行拦截处理;

11、若根据所述匹配结果确定所述响应流量为正常流量,则将所述响应流量通过所述haproxy代理器转发到所述第一虚拟机上。

12、可选地,所述流量拦截器中安装有suricata工具;在监听所述流量拦截器所在的第一网络命名空间接收到的访问请求之前,还包括:

13、使用第一配置文件启动所述suricata工具,并将所述第一网络命名空间设定为监听对象;

14、在所述第一配置文件中,设置异常流量匹配规则;

15、所述监听所述流量拦截器所在的第一网络命名空间接收到的访问请求,包括:

16、利用所述suricata工具监听所述第一网络命名空间接收到的访问请求;

17、所述将所述请求信息与预先设置的异常流量匹配规则进行匹配,包括:

18、利用所述suricata工具将所述请求信息与预先设置的异常流量匹配规则进行匹配。

19、可选地,所述流量拦截器中安装有iptables工具,所述根据所述匹配规则对所述访问请求进行拦截处理,并将第一虚拟机对应的ip地址进行封禁处理,包括:

20、利用所述iptables工具根据所述匹配规则对所述访问请求进行拦截处理,并将第一虚拟机对应的ip地址进行封禁处理。

21、可选地,所述异常流量匹配规则中包括多个异常请求行为,所述异常请求行为至少包括:

22、在预设时间段内对服务器发起大于或等于预设目标次数的含有.zip关键字的http请求行为;所述请求的统一资源定位符中包含".php",且请求体中同时含有"=@eval(base64_decode"和"&z0="的特征字符串的http请求行为。

23、可选地,所述将第一虚拟机对应的ip地址进行封禁处理,包括:

24、将来自所述第一虚拟机对应的ip地址的所有访问流量进行拦截;

25、或,

26、将来自所述第一虚拟机对应的ip地址的、针对所述物理服务器的80端口访问的所有流量进行拦截。

27、本专利技术第二方面提出一种虚拟机与物理服务器的通信装置,应用于虚拟通信系统中的流量拦截器,所述虚拟通信系统还包括物理服务器、在所述物理服务器中部署的多个虚拟局域网、与所述虚拟局域网对应的网络命名空间、位于所述虚拟局域网中的虚拟机,所述流量拦截器部署于所述网络命名空间,所述网络命名空间中还部署有haproxy代理器,所述装置包括:

28、监听模块,用于监听所述流量拦截器所在的第一网络命名空间接收到的访问请求;所述所述访问请求为位于第一虚拟局域网中的虚拟机发送的、请求访问所述物理服务器上的目标web服务的请求消息,所述第一网络命名空间为所述第一虚拟局域网的网段所对应的网络命名空间;

29、解析模块,用于当监听到所述访问请求时,解析所述访问请求,得到请求信息;

30、第一匹配模块,用于将所述请求信息与预先设置的异常流量匹配规则进行匹配;

31、第一拦截模块,用于若根据匹配结果确定所述访问请求为异常流量,则根据所述匹配规则对所述访问请求进行拦截处理,并将第一虚拟机对应的ip地址进行封禁处理;所述第一虚拟机为发送所述访问请求的虚拟机;

32、第一转发模块,用于若根据所述匹配结果确定所述访问请求为正常流量,则将所述访问请求通过所述haproxy代理器转发到所述物理服务器。

33、可选地,所述装置还包括:

34、接收模块,用于接收所述物理服务器上的目标web服务发送的响应流量;

35、第二匹配模块,用于将所述响应流量与所述异常流量匹配规则进行匹配;

36、第二拦截模块,用于若根据匹配结果确定所述响应流量为异常流量,则根据所述匹配规则对所述响应流量进行拦截处理;

37、第二转发模块,用于若根据所述匹配结果确定所述响应流量为正常流量,则将所述响应流量通过所述haproxy代理器转发到所述第一虚拟机上。

38、本专利技术第三方面提出一种电子设备,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的虚拟机与物理服务器的通信方法。

39、本专利技术第四方面提出一种计算机可读存储介质,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的虚拟机与物理服务器的通信方法。

40、本专利技术实施例具有以下有益效果:

41、本专利技术实施例提供的虚拟机与物理服务器的通信方法,流量拦截器监听所述流量拦截器所在的第一网络命名空间接收到的访问请求;所述所述本文档来自技高网...

【技术保护点】

1.一种虚拟机与物理服务器的通信方法,其特征在于,应用于虚拟通信系统中的流量拦截器,所述虚拟通信系统还包括物理服务器、在所述物理服务器中部署的多个虚拟局域网、与所述虚拟局域网对应的网络命名空间、位于所述虚拟局域网中的虚拟机,所述流量拦截器部署于所述网络命名空间,所述网络命名空间中还部署有HAProxy代理器,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,在将所述访问请求通过所述HAProxy代理器转发到所述物理服务器之后,还包括:

3.根据权利要求1所述的方法,其特征在于,所述流量拦截器中安装有suricata工具;在监听所述流量拦截器所在的第一网络命名空间接收到的访问请求之前,还包括:

4.根据权利要求1所述的方法,其特征在于,所述流量拦截器中安装有iptables工具,所述根据所述匹配规则对所述访问请求进行拦截处理,并将第一虚拟机对应的IP地址进行封禁处理,包括:

5.根据权利要求1所述的方法,其特征在于,所述异常流量匹配规则中包括多个异常请求行为,所述异常请求行为至少包括:

6.根据权利要求1所述的方法,其特征在于,所述将第一虚拟机对应的IP地址进行封禁处理,包括:

7.一种虚拟机与物理服务器的通信装置,其特征在于,应用于虚拟通信系统中的流量拦截器,所述虚拟通信系统还包括物理服务器、在所述物理服务器中部署的多个虚拟局域网、与所述虚拟局域网对应的网络命名空间、位于所述虚拟局域网中的虚拟机,所述流量拦截器部署于所述网络命名空间,所述网络命名空间中还部署有HAProxy代理器,所述装置包括:

8.根据权利要求7所述的装置,其特征在于,所述装置还包括:

9.一种电子设备,其特征在于,所述电子设备包括处理器和存储器,所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如权利要求1-6任一项所述的虚拟机与物理服务器的通信方法。

10.一种计算机可读存储介质,其特征在于,所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如权利要求1-6任一项所述的虚拟机与物理服务器的通信方法。

...

【技术特征摘要】

1.一种虚拟机与物理服务器的通信方法,其特征在于,应用于虚拟通信系统中的流量拦截器,所述虚拟通信系统还包括物理服务器、在所述物理服务器中部署的多个虚拟局域网、与所述虚拟局域网对应的网络命名空间、位于所述虚拟局域网中的虚拟机,所述流量拦截器部署于所述网络命名空间,所述网络命名空间中还部署有haproxy代理器,所述方法包括:

2.根据权利要求1所述的方法,其特征在于,在将所述访问请求通过所述haproxy代理器转发到所述物理服务器之后,还包括:

3.根据权利要求1所述的方法,其特征在于,所述流量拦截器中安装有suricata工具;在监听所述流量拦截器所在的第一网络命名空间接收到的访问请求之前,还包括:

4.根据权利要求1所述的方法,其特征在于,所述流量拦截器中安装有iptables工具,所述根据所述匹配规则对所述访问请求进行拦截处理,并将第一虚拟机对应的ip地址进行封禁处理,包括:

5.根据权利要求1所述的方法,其特征在于,所述异常流量匹配规则中包括多个异常请求行为,所述异常请求行为至少包括:

6.根据权利要求1所述的方法,其特征...

【专利技术属性】
技术研发人员:陈毅聪朱利军张永永余伟刘伟
申请(专利权)人:西安四叶草信息技术有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有