一种作用于云计算数据中心安全域的虚拟防火墙组件的设计.pdf

摘要
申请专利号：	CN201410056759.1	申请日：	2014.02.20
公开号：	CN104113522A	公开日：	2014.10.22
当前法律状态：	实审	有效性：	审中
法律详情：	实质审查的生效IPC(主分类):H04L 29/06申请日:20140220\|\|\|公开
IPC分类号：	H04L29/06; H04L29/08	主分类号：	H04L29/06
申请人：	西安未来国际信息股份有限公司; 西安邮电大学
发明人：	王茜; 史晨昱; 张磊; 魏巍; 朱志祥
地址：	710121 陕西省西安市雁塔区长安南路563号
优先权：
专利代理机构：		代理人：
PDF下载：	PDF下载

内容摘要

一种作用于云计算数据中心安全域的虚拟防火墙组件的设计。本发明涉及Web方向网络安全防护，尤其涉及云计算环境下的网络安全技术。本发明的技术方案为：通过分布式部署安全网关运行防火墙组件完成对整体数据中心的个性化，分布式安全防护，新的防火墙体系结构包含如下部分统一安全网关、网络防火墙组件、中心管理。本发明实现了基于数据包过滤技术是防火墙组件，该组件运行统一安全网关中，使用包过滤技术对网络流量进行控制，使用分布式方式部署，完成对整体数据中心的个性化安全防护。

权利要求书

1. 一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，其特征在于，以虚拟机群为单位，以分布式部署为方式，提供统一的安全防护，包含如下部分统一安全网关、网络防火墙组件、中心管理：上述的统一安全网关统一安全网关以虚拟主机的方式通过网络配置成为网关，虚拟主机的网流量通过统一安全网关进行清洗，转发达到安全防护的效果，进一步的，上述的网络防火墙组件：即虚拟主机防护的防火墙组件，通过统一的配置为虚拟主机提供定制化的安全防护服务，同时，可以根据信息安全防护的相关法规将有关的安全防护服务制作成信息安全防护策略模板，按不同的安全防护要求直接将防护策略下发到虚拟主机以监控其运行状态，上述的中心管理：是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。

说明书

一种作用于云计算数据中心安全域的虚拟防火墙组件的设计
技术领域
本发明涉及Web方向网络安全防护，尤其涉及云计算环境下的网络安全技术。
背景技术
随着云计算的快速发展，云计算平台的环境也日趋复杂，其中包括了高速的网络设施、高性能的计算设施、大容量的存储设施、高可靠性的能量管理、高效的安全防护和资源管理等相关的基础设施，以及在这些基础设施上构建的虚拟化环境，原先使用各种硬件设备对网络计算环境进行防护的传统安全防护模式已经不能满足现今云计算平台下细颗粒度安全防护的要求。
网络安全防护中防火墙作为一种成熟有效的安全技术，是解决网络安全问题的一个行之有效的方法，但是传统防火墙存在着先天缺陷。边界防火墙依赖于网络拓扑结构，形成网络流量瓶颈，只能提供粗粒度的安全保护，且无法防御来自受保护网络的内部攻击；主机防火墙自身的处理能力往往十分有限，它的安全策略可以由主机使用者自行设置，这样作为一个云计算数据中心，无法对主机防火墙进行集中、有效的安全配置，来实现本组织的网络安全保护。
传统边界式防火墙主要存在以下不足之处：
1.  网络应用受到结构性限制
云计算数据中心中部署的大量的虚拟主机，虚拟主机网络之间的边界比较模糊，形成动态的网络边界，传统边界防火墙针对传统的静态网络结构设计，传统边界防火墙在网络边界较为模糊的网络环境中应用受到了结构性限制。
2.  内部网络安全隐患仍在
传统的边界防火墙只对内部网络的周边提供保护。这些边界防火墙会在从外部网络进入内部网络的流量进行过滤和审查，但是，他们并不能确保内部网络的用户之间的安全访问。
3.  效率较低和故障率高
由于边界式防火墙把检查机制集中在网络边界处的单点上，产成了网络的瓶颈和单点故障隐患。所以墙边界防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器订制规则，它只能使用一个折衷的规则来近似满足所有被保护的服务器的需要，因此或者损失效率，或者损失安全性。
分布式防火墙基于传统防火墙技术，集中管理、分布防御，即集中制定安全策略、由分布于网络中的各个防火墙实施策略。可以提供细粒度(的网络安全保护，已成为防火墙技术发展的一个重要方向。
发明内容
针对传统边界防火墙的缺欠，根据云计算数据中心的安全防护需求，结合虚拟主机防护分布式防护、集中控制的思路。我们提出一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，它要负责对网络边界、各子网和网络内部各网络域之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，云计算数据中心内，通过分布式部署安全网关运行防火墙组件完成对整体数据中心的个性化，分布式安全防护，新的防火墙体系结构包含如下部分统一安全网关、网络防火墙组件、中心管理：
进一步的，上述的统一安全网关统一安全网关以虚拟主机的方式通过网络配置成为网关，虚拟主机的网流量通过统一安全网关进行清洗，转发达到安全防护的效果。
进一步的，上述的网络防火墙组件：虚拟主机防护的防火墙组件，通过统一的配置为虚拟主机提供定制化的安全防护服务，同时，可以根据信息安全防护的相关法规将有关的安全防护服务制作成信息安全防护策略模板，按不同的安全防护要求直接将防护策略下发到虚拟主机以监控其运行状态。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。
进一步的，上述的中心管理：这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。
云计算环境中，不同租户、不同的主机对防火墙的需求也是不同的。在统一安全网关中将防火墙功能以组件化的方式进行服务化封装，达到针对不同租户、应用提供灵活的、可定制的、安全即服务的安全防护效果。
为了达到上述目的，本发明提出了一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，功能组成如下：
1)  数据包经过网卡便由TCP/IP栈的网络过滤模块接收和处理。统一安全网关从网络过滤
模块获取网络数据包之后，将数据包交给防火墙模块。防火墙模块根据策略库处理网络数据包并同时统计数据包处理的信息，最后将数据包交还给统一安全网关，再由其他模块来进一步处理数据包。
2)  数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、IP 层、传输层、最后到达应用程序。而包捕获机制是在数据链路层增加一个旁路处理，对发送和接收到的数据包做过滤/缓冲等相关处理，最后直接传递到应用程序。包捕获机制并不影响操作系统对数据包的网络栈处理。对用户程序而言，包捕获机制提供了一个统一的接口，使用户程序只需要简单的调用若干函数就能获得所期望的数据包。这样一来，针对特定操作系统的捕获机制对用户透明，使用户程序有比较好的可移植性。
本发明实现了基于数据包过滤技术是防火墙组件，该组件运行统一安全网关中，使用包过滤技术对网络流量进行控制，使用分布式方式部署，完成对整体数据中心的个性化安全防护。
云计算数据中心安全域的虚拟防火墙组件系统，它可以在网络的任何交界和节点处设置屏障，从而形成了一个多层次、多协议，内外皆防的全方位安全体系。主要优势如下：
1.  增强的系统安全性
增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。在传统边界式防火墙应用中，内部网络非常容易受到有目的的攻击，一旦已经接入了内部网络的某台计算机，并获得这台计算机的控制权，他们便可以利用这台机器作为入侵其他系统的跳板。云计算数据中心安全域的虚拟防火墙组件系统的分布式防火墙将防火墙功能分布到网关的各个节点上。分布于整个网络内的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种安全性能，租户通过内部网、外联网、虚拟专用网还是远程访问所实现与互联互通不再有任何区别。分布式防火墙还可以使避免发生由于内部网络某一系统的入侵而导致向整个内部网络蔓延的情况发生。
2.  提高了系统性能：
消除了结构性瓶颈问题，提高了系统性能。分布式防火墙以组件化的形式部署在统一安全网关中，统一安全网关本质上是一台虚拟主机，该虚拟主机可以根据实际的性能需求增减配置，对统一安全网关本进行最佳配置，保证网络流量清洗，处理，转发的性能，消除了边界防火墙的单点性能瓶颈，如此便可在保障网络安全的前提下大大提高网络运转效率。
3.  系统的扩展性：
分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个云计算数据中心的网络或中，所以它具有无限制的扩展能力。随着网络的增长，可以增加统一安全网关数量，增加防火前组件的数量，它们的网络数据包处理负荷也在网络中进一步分布，因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。
附图说明
图1，虚拟防火墙组件内部数据处理逻辑图。
图2，  虚拟防火墙组件网络数据包获取与处理流程图。
具体实施方式
为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白，以下结
合附图和实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，它要负责对网络边界、各子网和网络内部各网络域之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，云计算数据中心内，通过分布式部署安全网关运行防火墙组件完成对整体数据中心的个性化，分布式安全防护，新的防火墙体系结构包含如下部分统一安全网关、网络防火墙组件、中心管理：
进一步的，上述的统一安全网关统一安全网关以虚拟主机的方式通过网络配置成为网关，虚拟主机的网流量通过统一安全网关进行清洗，转发达到安全防护的效果。
进一步的，上述的网络防火墙组件：虚拟主机防护的防火墙组件，通过统一的配置为虚拟主机提供定制化的安全防护服务，同时，可以根据信息安全防护的相关法规将有关的安全防护服务制作成信息安全防护策略模板，按不同的安全防护要求直接将防护策略下发到虚拟主机以监控其运行状态。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。
进一步的，上述的中心管理：这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。

资源描述

《一种作用于云计算数据中心安全域的虚拟防火墙组件的设计.pdf》由会员分享，可在线阅读，更多相关《一种作用于云计算数据中心安全域的虚拟防火墙组件的设计.pdf（7页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN104113522A43申请公布日20141022CN104113522A21申请号201410056759122申请日20140220H04L29/06200601H04L29/0820060171申请人西安未来国际信息股份有限公司地址710121陕西省西安市雁塔区长安南路563号申请人西安邮电大学72发明人王茜史晨昱张磊魏巍朱志祥54发明名称一种作用于云计算数据中心安全域的虚拟防火墙组件的设计57摘要一种作用于云计算数据中心安全域的虚拟防火墙组件的设计。本发明涉及WEB方向网络安全防护，尤其涉及云计算环境下的网络安全技术。本发明的技术方案为通过分布式部署安全网关运行防火墙。

2、组件完成对整体数据中心的个性化，分布式安全防护，新的防火墙体系结构包含如下部分统一安全网关、网络防火墙组件、中心管理。本发明实现了基于数据包过滤技术是防火墙组件，该组件运行统一安全网关中，使用包过滤技术对网络流量进行控制，使用分布式方式部署，完成对整体数据中心的个性化安全防护。51INTCL权利要求书1页说明书4页附图1页19中华人民共和国国家知识产权局12发明专利申请权利要求书1页说明书4页附图1页10申请公布号CN104113522ACN104113522A1/1页21一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，其特征在于，以虚拟机群为单位，以分布式部署为方式，提供统一的安全防护。

3、，包含如下部分统一安全网关、网络防火墙组件、中心管理上述的统一安全网关统一安全网关以虚拟主机的方式通过网络配置成为网关，虚拟主机的网流量通过统一安全网关进行清洗，转发达到安全防护的效果，进一步的，上述的网络防火墙组件即虚拟主机防护的防火墙组件，通过统一的配置为虚拟主机提供定制化的安全防护服务，同时，可以根据信息安全防护的相关法规将有关的安全防护服务制作成信息安全防护策略模板，按不同的安全防护要求直接将防护策略下发到虚拟主机以监控其运行状态，上述的中心管理是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。权利要求书CN104113522A1/4页3一种作用于云计算数据中心安全域的。

4、虚拟防火墙组件的设计技术领域0001本发明涉及WEB方向网络安全防护，尤其涉及云计算环境下的网络安全技术。背景技术0002随着云计算的快速发展，云计算平台的环境也日趋复杂，其中包括了高速的网络设施、高性能的计算设施、大容量的存储设施、高可靠性的能量管理、高效的安全防护和资源管理等相关的基础设施，以及在这些基础设施上构建的虚拟化环境，原先使用各种硬件设备对网络计算环境进行防护的传统安全防护模式已经不能满足现今云计算平台下细颗粒度安全防护的要求。0003网络安全防护中防火墙作为一种成熟有效的安全技术，是解决网络安全问题的一个行之有效的方法，但是传统防火墙存在着先天缺陷。边界防火墙依赖于网络拓扑结构。

5、，形成网络流量瓶颈，只能提供粗粒度的安全保护，且无法防御来自受保护网络的内部攻击；主机防火墙自身的处理能力往往十分有限，它的安全策略可以由主机使用者自行设置，这样作为一个云计算数据中心，无法对主机防火墙进行集中、有效的安全配置，来实现本组织的网络安全保护。0004传统边界式防火墙主要存在以下不足之处1网络应用受到结构性限制云计算数据中心中部署的大量的虚拟主机，虚拟主机网络之间的边界比较模糊，形成动态的网络边界，传统边界防火墙针对传统的静态网络结构设计，传统边界防火墙在网络边界较为模糊的网络环境中应用受到了结构性限制。00052内部网络安全隐患仍在传统的边界防火墙只对内部网络的周边提供保护。这些。

6、边界防火墙会在从外部网络进入内部网络的流量进行过滤和审查，但是，他们并不能确保内部网络的用户之间的安全访问。00063效率较低和故障率高由于边界式防火墙把检查机制集中在网络边界处的单点上，产成了网络的瓶颈和单点故障隐患。所以墙边界防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器订制规则，它只能使用一个折衷的规则来近似满足所有被保护的服务器的需要，因此或者损失效率，或者损失安全性。0007分布式防火墙基于传统防火墙技术，集中管理、分布防御，即集中制定安全策略、由分布于网络中的各个防火墙实施策略。可以提供细粒度的网络安全保护，已成为防火墙技术发展的一个重要方向。发明内容000。

7、8针对传统边界防火墙的缺欠，根据云计算数据中心的安全防护需求，结合虚拟主说明书CN104113522A2/4页4机防护分布式防护、集中控制的思路。我们提出一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，它要负责对网络边界、各子网和网络内部各网络域之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，云计算数据中心内，通过分布式部署安全网关运行防火墙组件完成对整体数据中心的个性化，分布式安全防护，新的防火墙体系结构包含如下部分统一安全网关、网络防火墙组件、中心管理进一步的，上述的统一安全网关统一安全网关以虚拟主机的方式通过网络配置成为网关，虚拟主机的。

8、网流量通过统一安全网关进行清洗，转发达到安全防护的效果。0009进一步的，上述的网络防火墙组件虚拟主机防护的防火墙组件，通过统一的配置为虚拟主机提供定制化的安全防护服务，同时，可以根据信息安全防护的相关法规将有关的安全防护服务制作成信息安全防护策略模板，按不同的安全防护要求直接将防护策略下发到虚拟主机以监控其运行状态。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。0010进一步的，上述的中心管理这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，。

9、也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。0011云计算环境中，不同租户、不同的主机对防火墙的需求也是不同的。在统一安全网关中将防火墙功能以组件化的方式进行服务化封装，达到针对不同租户、应用提供灵活的、可定制的、安全即服务的安全防护效果。0012为了达到上述目的，本发明提出了一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，功能组成如下1数据包经过网卡便由TCP/IP栈的网络过滤模块接收和处理。统一安全网关从网络过滤模块获取网络数据包之后，将数据包交给防火墙模块。防火墙模块根据策略库处理网络数据包并同时统计数据包处理的信息，最。

10、后将数据包交还给统一安全网关，再由其他模块来进一步处理数据包。00132数据包常规的传输路径依次为网卡、设备驱动层、数据链路层、IP层、传输层、最后到达应用程序。而包捕获机制是在数据链路层增加一个旁路处理，对发送和接收到的数据包做过滤/缓冲等相关处理，最后直接传递到应用程序。包捕获机制并不影响操作系统对数据包的网络栈处理。对用户程序而言，包捕获机制提供了一个统一的接口，使用户程序只需要简单的调用若干函数就能获得所期望的数据包。这样一来，针对特定操作系统的捕获机制对用户透明，使用户程序有比较好的可移植性。0014本发明实现了基于数据包过滤技术是防火墙组件，该组件运行统一安全网关中，使用包过滤技术。

11、对网络流量进行控制，使用分布式方式部署，完成对整体数据中心的个性化安全防护。0015云计算数据中心安全域的虚拟防火墙组件系统，它可以在网络的任何交界和节点处设置屏障，从而形成了一个多层次、多协议，内外皆防的全方位安全体系。主要优势如下说明书CN104113522A3/4页51增强的系统安全性增加了针对主机的入侵检测和防护功能，加强了对来自内部攻击防范，可以实施全方位的安全策略。在传统边界式防火墙应用中，内部网络非常容易受到有目的的攻击，一旦已经接入了内部网络的某台计算机，并获得这台计算机的控制权，他们便可以利用这台机器作为入侵其他系统的跳板。云计算数据中心安全域的虚拟防火墙组件系统的分布式防火。

12、墙将防火墙功能分布到网关的各个节点上。分布于整个网络内的分布式防火墙使用户可以方便地访问信息，而不会将网络的其他部分暴露在潜在非法入侵者面前。凭借这种安全性能，租户通过内部网、外联网、虚拟专用网还是远程访问所实现与互联互通不再有任何区别。分布式防火墙还可以使避免发生由于内部网络某一系统的入侵而导致向整个内部网络蔓延的情况发生。00162提高了系统性能消除了结构性瓶颈问题，提高了系统性能。分布式防火墙以组件化的形式部署在统一安全网关中，统一安全网关本质上是一台虚拟主机，该虚拟主机可以根据实际的性能需求增减配置，对统一安全网关本进行最佳配置，保证网络流量清洗，处理，转发的性能，消除了边界防火墙的单。

13、点性能瓶颈，如此便可在保障网络安全的前提下大大提高网络运转效率。00173系统的扩展性分布式防火墙随系统扩充提供了安全防护无限扩充的能力。因为分布式防火墙分布在整个云计算数据中心的网络或中，所以它具有无限制的扩展能力。随着网络的增长，可以增加统一安全网关数量，增加防火前组件的数量，它们的网络数据包处理负荷也在网络中进一步分布，因此它们的高性能可以持续保持住。而不会像边界式防火墙一样随着网络规模的增大而不堪重负。附图说明0018图1，虚拟防火墙组件内部数据处理逻辑图。0019图2，虚拟防火墙组件网络数据包获取与处理流程图。0020具体实施方式为了使本发明所要解决的技术问题、技术方案及有益效果更加。

14、清楚、明白，以下结合附图和实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。0021一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，它要负责对网络边界、各子网和网络内部各网络域之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，云计算数据中心内，通过分布式部署安全网关运行防火墙组件完成对整体数据中心的个性化，分布式安全防护，新的防火墙体系结构包含如下部分统一安全网关、网络防火墙组件、中心管理进一步的，上述的统一安全网关统一安全网关以虚拟主机的方式通过网络配置成为网关，虚拟主机的网流量通过统一。

15、安全网关进行清洗，转发达到安全防护的效果。0022进一步的，上述的网络防火墙组件虚拟主机防护的防火墙组件，通过统一的配置为虚拟主机提供定制化的安全防护服务，同时，可以根据信息安全防护的相关法规将有关的安全防护服务制作成信息安全防护策略模板，按不同的安全防护要求直接将防护策略下说明书CN104113522A4/4页6发到虚拟主机以监控其运行状态。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。0023进一步的，上述的中心管理这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。说明书CN104113522A1/1页7图1图2说明书附图CN104113522A。

展开阅读全文