一种通过虚拟机实现网络控制的方法技术

技术编号:6328306 阅读:182 留言:0更新日期:2012-04-11 18:40
本发明专利技术适用于计算机领域,提供了一种通过虚拟机实现网络控制的方法。所述方法包括以下步骤:当网络数据传输到网卡上时,网卡将所述网络数据传输到虚拟的网卡模块,在UEFI BIOS中应用虚拟的网卡模块对网络数据进行监控,控制网络传输功能的开启和关闭。本发明专利技术实现对网卡的数据截获或数据的传输,以保护计算机的网络安全。

【技术实现步骤摘要】

本专利技术属于计算机领域,尤其涉及。
技术介绍
近年来,网络安全已经引起广泛的关注,随着网络用户的普及,网络的安全应用也 变得越来越重要,其中网络的控制就显得尤其重要。网络控制包括对网络的开启和关闭以 及对网络数据的截获分析等。随着计算机技术的不断更新,虚拟化技术得到了广泛的应用, 虚拟化技术已经渗透到了计算机的各个领域,应用虚拟化技术对计算机网络数据进行控制 也是未来的发展趋势。在现有技术中,计算机开机后,连通网线,计算机会自动连接到hternet网络或 工作网络,进行正常的网络数据传输,因此,容易受到网络的攻击,从而使计算机的网络安 全得不到保护。虚拟机(virtual machine, VM)是支持多操作系统并行运行在单个物理服务 器上的一种系统,能够提供更加有效的底层硬件使用。如果在某虚拟机中出现程序冻结 现象,这并不会影响运行在虚拟机外的程序操作和操作系统的正常工作;虚拟机监视器 (Virtual Machine Monitor,VMM)是由 Vanderpool 技术引入的一个软件层。一个 VMM 可 以是一个宿主,它可以完全控制系统中的处理器和其他的硬件资源,还可以对运行在他之 上的VM分配资源,如处理器、物理内存、中断管理、输入输出端口 I/O分配等;虚拟化技术 (VirtualizationTechnology, VT)是一个广义的术语,在计算机方面通常是指计算机元器 件在虚拟的基础上而不是真实的基础上运行。虚拟化技术可以扩大硬件的容量,简化软件 的重新配置过程。CPU的虚拟化技术可以单CPU模拟多CPU并行,允许一个平台同时运行多 个操作系统,并且应用程序都可以在相互独立的空间内运行而互不影响,从而显著提高计 算机的工作效率。虚拟化技术与多任务以及超线程技术是完全不同的。多任务是指在一个操作系统 中多个程序同时并行运行。而在虚拟化技术中,则可以同时运行多个操作系统,而且每一个 操作系统中都有多个程序运行,每一个操作系统都运行在一个虚拟的CPU或者是虚拟主机 上。而超线程技术只是单CPU模拟双CPU来平衡程序运行性能,这两个模拟出来的CPU是 不能分离的,只能协同工作。纯软件虚拟软件有VMWare Workstation, VMWare PC,纯软件虚拟具体的优势表现 在减少虚拟机的相关开销和支持更广泛的操作系统。原因是使用纯软件的VMM后使得原 来系统中的特权等级发生变化,使得VMM和OS之间的通信增加二进制的转换,以通过提供 到物理资源(如处理器、内存、存储、显卡和网卡等)的接口,模拟硬件环境。而CPU的虚拟化技术是一种硬件方案,支持虚拟技术的CPU带有特别优化过的指 令集来控制虚拟过程,通过这些指令集,VMM会很容易提高性能,相比软件的虚拟实现方式 会很大程度上提高性能。虚拟化技术可提供基于芯片的功能,借助兼容VMM软件能够改进 纯软件解决方案。由于虚拟化硬件可提供全新的架构,支持操作系统直接在上面运行,从而无需进行二进制转换,减少了相关的性能开销,极大简化了 VMM设计,进而使VMM能够按通 用标准进行编写,性能更加强大。
技术实现思路
本专利技术所要解决的技术问题在于提供一种在连通网络的情况下,应用虚拟化技术 可以控制计算机网络的开启和关闭,对网卡数据进行截获,以保护计算机的网络安全的通 过虚拟机实现网络控制的方法。为解决上述技术问题,本专利技术提供,所述方 法包括以下步骤当网络数据传输到网卡上时,网卡将所述网络数据传输到虚拟的网卡模块,在 UEFI BIOS中应用虚拟的网卡模块对网络数据进行监控,控制网络传输功能的开启和关闭。在本专利技术中,当网络数据传输到网卡上时,网卡将所述网络数据传输到虚拟的网 卡模块,在UEFI BIOS中应用虚拟的网卡模块对网络数据进行控制,控制网络传输功能的开 启和关闭,从而实现对网卡的数据截获或数据的传输,以保护计算机的网络安全。附图说明图1是本专利技术实施例提供的通过虚拟机实现网络控制的方法的实现流程示意图。图2是本专利技术实施例提供的接收网络数据的控制实现流程示意图。图3是本专利技术实施例提供的发送网络数据的控制实现流程示意图。图4是本专利技术实施例提供的基于UEFI的BIOS的总体逻辑架构图。具体实施例方式为了使本专利技术所要解决的技术问题、技术方案及有益效果更加清楚明白,以下结 合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅 用以解释本专利技术,并不用于限定本专利技术。在本专利技术实施例中,当网络数据传输到网卡上时,网卡将所述网络数据传输到虚 拟的网卡模块,在UEFI BIOS中应用虚拟的网卡模块对网络数据进行监控,控制网络传输功 能的开启和关闭。当网络传输功能处于开启状态时,外部网络可以通过网线将网络数据传 输到网卡上,再将网络数据传输到虚拟的网络控制模块,由虚拟的网络控制模块将解析后 的网络数据传输到最终的操作系统上,同样,由操作系统发出的网络数据通过中间的虚拟 的网络控制模块传输到真正的网卡上,再由网卡传输到网络。当网络传输功能处于关闭状 态时,外部网络传输的网络数据会传输到真实的网卡上,再传输到虚拟的网络控制模块,虚 拟的网络控制模块会将网络数据进行拦截,不会传输到操作系统;同样,当操作系统将网络 数据发送到虚拟的网络控制模块时,虚拟的网络控制模块也会将网络数据进行拦截,不会 传输到真实的网卡上。这样就可以利用虚拟的中间层(网络控制模块)对网络数据进行控 制。请参阅图1,为本专利技术实施例提供的通过虚拟机实现网络控制的方法的实现流程, 其包括以下步骤在步骤SlOl中,网线将接收到来自网络传输过来的网络数据传输到网络适配器(网卡)上;在本专利技术实施例中,网卡本身是LAN (局域网)的设备,通过网关、路由器等设备则 可以将这个局域网挂接到hternet上。而hternet本身就是无数个这样的局域网组成的。 网卡工作在OSI (Open System Interconnection)结构的数据链路层和物理层上。在步骤S102中,所述网络适配器将所述网络数据传输到虚拟的网络适配器上;在步骤S103中,虚拟的网络适配器将网络数据传送到解析模块;在步骤S104中,解析模块将解析后的网络数据传输到微型操作系统(例如长城 微型操作系统);在步骤S105中,由微型操作系统将网络数据传输到虚拟机监视器;在步骤S106中,虚拟机监视器将网络数据传输到网卡Miniport协议的IO ;在步骤S107中,通过在UEFI BIOS中设置网络控制功能的开启和关闭;在步骤S108中,通过网卡Miniport协议的IO截获网络的传输数据,判断是否需 要传输到操作系统中;在步骤S109中,如果网络控制功能开启,则传输到操作系统上;如果网络控制功 能关闭,则截获网络数据。请参阅图2,为本专利技术实施例提供的接收网络数据的控制实现流程,其实现过程如 下计算机开机连通网络后,执行步骤001 网络通过网线将网络数据以数据包的形 式传输到网络适配器上。而后执行步骤002 :NIC (network interface card,网卡)把网络数据从网线接收 到硬件FIF0(First in, First out,先进先出的数据缓存器),当硬件FIFO接收的网络数 据达到数据限制时,网本文档来自技高网
...

【技术保护点】
1.一种通过虚拟机实现网络控制的方法,其特征在于,所述方法包括以下步骤:当网络数据传输到网卡上时,网卡将所述网络数据传输到虚拟的网卡模块,在UEFI BIOS中应用虚拟的网卡模块对网络数据进行监控,控制网络传输功能的开启和关闭。

【技术特征摘要】

【专利技术属性】
技术研发人员:王淼贾兵宋靖林诗达刘欣房顾文锦
申请(专利权)人:中国长城计算机深圳股份有限公司
类型:发明
国别省市:94[中国|深圳]

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1