[发明专利]一种计算机以及虚拟机环境中实现网络隔离的方法

说明书

技术领域

本发明涉及计算机领域中的虚拟机环境下网络的安全，特别是指计算机以 及虚拟机环境中实现网络隔离的方法。

背景技术

在计算机领域的虚拟机技术领域中，如图1所示，虚拟机系统通常包括安 装在计算机硬件平台上的虚拟机管理器(如Xen中的hypervisor)以及多个操 作系统，其中一个操作系统为Host OS，即主操作系统，其余为Guest OS，即 客户操作系统，在虚拟机环境下，真实网卡即物理网卡通常安装在硬件平台中， 该真实网卡能够被Host OS直接访问，但Guest OS必须使用由虚拟机管理器 分配给该操作系统的虚拟网卡访问该真实网卡，从而实现Guest OS与外部网 络的通信。

再如图1所示，为现有的一种虚拟环境下计算机的网络连接结构图，该图 中，在Xen环境下，Host OS和Guest OS通过hypervisor进行桥接之后，访问 外网，如Internet网络，hypervisor为Host OS分配一个第一虚拟网卡，为Guest OS分配一个第二虚拟网卡，Host OS通过其具有的第一虚拟网卡与虚拟机管 理器中的桥(即Bridge)连接，Guest OS也通过其具有的第二虚拟网卡与虚拟 机管理器中的桥(即Bridge)连接，然而该桥相对于外网来说是透明的，黑客 可以从该网桥处获得Host OS和Guest OS的虚拟网卡的地址，进而直接对Host OS和/或Guest OS进行攻击，可以说这种结构是极其不安全的。

为了提高虚拟机环境下网络的安全性，有人采用如图2所示的结构，图2 为Xen环境下Guest OS通过Host OS的NAT网络过滤驱动(网络地址映射， 功能是进行网络包的过滤和转发)模块访问外网，采用这种方式，黑客发现不 了Guest OS的虚拟网卡地址，因此无法利用网络直接入侵Guest OS，但于Guest OS与Host OS使用了虚拟网卡连接，Guest OS依然可以被黑客通过Host OS 访问，当Host OS被入侵后，Guest OS的安全性也会受到极大威胁。

发明人在实现本发明的过程中，发现现有技术中至少存在如下问题：

在虚拟环境中，Guest OS的网络安全性无法得到很好的保证。

发明内容

本发明要解决的技术问题是提供一种计算机以及虚拟机环境中实现网络 隔离的方法，实现虚拟机环境下的主操作系统和客户操作系统的网络隔离，保 证客户操作系统的网络安全。

为解决上述技术问题，本发明的实施例提供技术方案如下：

一种计算机，包括：

硬件平台；

物理网卡，安装在所述硬件平台上；

虚拟机管理器，安装在所述硬件平台上；

第一操作系统，安装在所述虚拟机管理器上，与所述物理网卡连接，通过 所述物理网卡，所述第一操作系统与外部网络间可实现相互传输第一网络包；

网络过滤驱动模块，与所述物理网卡连接，用于对经过所述网络过滤驱动 模块的网络包进行处理；

第二操作系统，安装在所述虚拟机管理器上，具有所述虚拟机管理器为其 分配的第二虚拟网卡，通过所述第二虚拟网卡、所述网络过滤驱动模块及所述 物理网卡，所述第二操作系统与所述外部网络间可实现相互传输第二网络包， 所述网络过滤驱动模块对所述第二网络包进行处理。

优选的，所述网络过滤驱动模块和所述物理网卡安装在所述第一操作系统 中，所述网络过滤驱动模块包括：

过滤模块，用于对所述第二网络包进行过滤，获得第三网络包；

转发模块，用于转发所述第三网络包。

优选的，所述计算机还包括：

一安全通道，设置在所述虚拟机管理器中，所述安全通道连接在所述网络 过滤驱动模块和所述第二虚拟网卡之间，用于传输在所述网络过滤驱动模块和 所述第二虚拟网卡间的网络包。

优选的，所述计算机还包括：

安全协议模块，用于安装安全协议，并与所述安全通道连接，所述安全通 道在所述安全协议的控制下进行网络包的传输。

优选的，所述安全协议为：可信平台模块规范中的独立对象授权协议或者 特定对象授权协议。

优选的，所述第一操作系统包括：