[发明专利]一种建立在虚拟机上的虚拟网络隔离系统及实现方法

说明书

技术领域

本发明涉及一种虚拟网络安全访问技术领域，特别涉及一种建立在虚拟机 上的虚拟网络隔离系统及其实现方法。

背景技术

目前，为节省成本、方便管理，企业开始使用虚拟机(Virtual Machine)技 术构建虚拟机网络系统，如图1所示，该技术是在物理机上通过软件模拟出多 个具有完整硬件系统功能的完整计算机系统，这些虚拟机完全就像真正的计算 机那样进行工作。而虚拟机中的VM(Virtual Machine，虚拟机)虚拟网卡和物 理机的真实网卡之间采用桥接(Bridging)方式，虚拟系统的IP地址与真实系 统的IP地址属于同一网段，虚拟系统相当于物理网络内的一台独立的计算机， 网络内其他计算机可访问虚拟系统，虚拟系统也可访问网络内其他计算机。而 客户端则主要通过IP Sec、SSL、MPLS等VPN(Virtual Private Network虚拟专 用网络)方式连接到各个虚拟机中，虚拟服务器对客户端的接入进行了身份验 证。该方案节省成本、方便管理，同时保证客户端数据传送的安全，然而存在 着以下缺点：1、由于虚拟机中的VM虚拟网卡和物理机的真实网卡之间采用桥 接方式，各虚拟机之间可以互相访问，甚至访问到物理机；这将可能造成不同 部门的虚拟机之间的数据泄漏。2、客户端虽然采用VPN接入进行身份验证， 保证客户端数据传送的安全，但对于数据本身的安全性却无法验证；如果客户 端传入带有病毒的文件，那么虚拟机及其连接的网络将受到感染，这种安全隐 患甚至将影响到物理服务器。3、硬件VPN设备成本高，而软件VPN服务端配 置麻烦。

发明内容

为了克服现有技术的缺点与不足，本发明的目的在于提供一种建立在虚拟 机上的虚拟网络隔离系统，为用户提供安全、成本低、速度快、方便维护的网 络环境。

本发明目的是通过下述技术方案实现的，一种建立在虚拟机上的虚拟网络 隔离系统，包括路由器/防火墙、物理服务器以及多个客户机，所述物理服务器 内包括有多个虚拟机，每个虚拟机服务于部分客户机，所述虚拟机内设置有VM 虚拟网卡，所述物理服务器内还设置有

位于各虚拟机间，用于隔离虚拟机、使虚拟机之间的信息无法互相发送和 接收的隔离墙；

所述客户机通过路由器/防火墙与虚拟机，具体是与物理服务器里其所属的 虚拟机相连。

为更好的实现本发明，建立在虚拟机上的虚拟网络隔离系统还包括端口通 讯限制模块，所述端口通讯限制模块用于限制各客户机与其所属的虚拟机之间 的端口通讯。

所述端口通讯限制模块包括：

多个用于接入到Tunnel(加密隧道)虚拟集线器、构成虚拟局域网一部分 的Tunnel虚拟网卡；所述Tunnel虚拟网卡内置于客户机及客户机所属的虚拟机；

用于多个Tunnel虚拟网卡的接入、组成虚拟局域网的Tunnel虚拟集线器， 所述Tunnel虚拟集线器内置于虚拟机中。

本发明的另一目的在于提供一种建立在虚拟机上的虚拟网络隔离方法，包 括以下步骤：

(1)首先在虚拟机之间建立虚拟机隔离墙；

(2)在虚拟机里面安装虚拟集线器和Tunnel虚拟网卡，并让该虚拟机的 Tunnel虚拟网卡接入虚拟集线器；在虚拟机里面为各个客户机设置Tunnel的接 入账号和密码，在虚拟机的Tunnel虚拟网卡上建立端口通讯限制；

(3)在路由器/防火墙里，设置虚拟机对应的端口映射；使得访问该端口的 客户机都能被引导到对应的虚拟机；

(4)在各客户机上安装Tunnel虚拟网卡，配置其所属虚拟机所在的Internet IP地址及保存其Tunnel的接入账号和密码，并让该Tunnel虚拟网卡接入所属虚 拟机的虚拟集线器。

为更好的实现本发明，所述步骤(1)具体包括以下步骤：

(1.1)将VM虚拟网卡所在网络的IP子网信息、任意端口、任意协议这些 配置信息，配合阻止的筛选器操作，写入一个新建的vm.ini配置文件中；