[发明专利]一种作用于云计算数据中心安全域的虚拟防火墙组件的设计

说明书

技术领域

本发明涉及Web方向网络安全防护，尤其涉及云计算环境下的网络安全技术。

背景技术

随着云计算的快速发展，云计算平台的环境也日趋复杂，其中包括了高速的网络设施、高性能的计算设施、大容量的存储设施、高可靠性的能量管理、高效的安全防护和资源管理等相关的基础设施，以及在这些基础设施上构建的虚拟化环境，原先使用各种硬件设备对网络计算环境进行防护的传统安全防护模式已经不能满足现今云计算平台下细颗粒度安全防护的要求。

网络安全防护中防火墙作为一种成熟有效的安全技术，是解决网络安全问题的一个行之有效的方法，但是传统防火墙存在着先天缺陷。边界防火墙依赖于网络拓扑结构，形成网络流量瓶颈，只能提供粗粒度的安全保护，且无法防御来自受保护网络的内部攻击；主机防火墙自身的处理能力往往十分有限，它的安全策略可以由主机使用者自行设置，这样作为一个云计算数据中心，无法对主机防火墙进行集中、有效的安全配置，来实现本组织的网络安全保护。

传统边界式防火墙主要存在以下不足之处：

1.  网络应用受到结构性限制

云计算数据中心中部署的大量的虚拟主机，虚拟主机网络之间的边界比较模糊，形成动态的网络边界，传统边界防火墙针对传统的静态网络结构设计，传统边界防火墙在网络边界较为模糊的网络环境中应用受到了结构性限制。

2.  内部网络安全隐患仍在

传统的边界防火墙只对内部网络的周边提供保护。这些边界防火墙会在从外部网络进入内部网络的流量进行过滤和审查，但是，他们并不能确保内部网络的用户之间的安全访问。

3.  效率较低和故障率高

由于边界式防火墙把检查机制集中在网络边界处的单点上，产成了网络的瓶颈和单点故障隐患。所以墙边界防火墙难以平衡网络效率与安全性设定之间的矛盾，无法为网络中的每台服务器订制规则，它只能使用一个折衷的规则来近似满足所有被保护的服务器的需要，因此或者损失效率，或者损失安全性。

分布式防火墙基于传统防火墙技术，集中管理、分布防御，即集中制定安全策略、由分布于网络中的各个防火墙实施策略。可以提供细粒度(的网络安全保护，已成为防火墙技术发展的一个重要方向。

发明内容

针对传统边界防火墙的缺欠，根据云计算数据中心的安全防护需求，结合虚拟主机防护分布式防护、集中控制的思路。我们提出一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，它要负责对网络边界、各子网和网络内部各网络域之间的安全防护，所以“分布式防火墙”是一个完整的系统，而不是单一的产品。根据其所需完成的功能，云计算数据中心内，通过分布式部署安全网关运行防火墙组件完成对整体数据中心的个性化，分布式安全防护，新的防火墙体系结构包含如下部分统一安全网关、网络防火墙组件、中心管理：

进一步的，上述的统一安全网关统一安全网关以虚拟主机的方式通过网络配置成为网关，虚拟主机的网流量通过统一安全网关进行清洗，转发达到安全防护的效果。

进一步的，上述的网络防火墙组件：虚拟主机防护的防火墙组件，通过统一的配置为虚拟主机提供定制化的安全防护服务，同时，可以根据信息安全防护的相关法规将有关的安全防护服务制作成信息安全防护策略模板，按不同的安全防护要求直接将防护策略下发到虚拟主机以监控其运行状态。与传统边界式防火墙相比，它多了一种用于对内部子网之间的安全防护层，这样整个网络的安全防护体系就显得更加全面，更加可靠。不过在功能与传统的边界式防火墙类似。

进一步的，上述的中心管理：这是一个服务器软件，负责总体安全策略的策划、管理、分发及日志的汇总。这是新的防火墙的管理功能，也是以前传统边界防火墙所不具有的。这样防火墙就可进行智能管理，提高了防火墙的安全防护灵活性，具备可管理性。

云计算环境中，不同租户、不同的主机对防火墙的需求也是不同的。在统一安全网关中将防火墙功能以组件化的方式进行服务化封装，达到针对不同租户、应用提供灵活的、可定制的、安全即服务的安全防护效果。

为了达到上述目的，本发明提出了一种作用于云计算数据中心安全域的虚拟防火墙组件的设计，功能组成如下：

1)  数据包经过网卡便由TCP/IP栈的网络过滤模块接收和处理。统一安全网关从网络过滤

模块获取网络数据包之后，将数据包交给防火墙模块。防火墙模块根据策略库处理网络数据包并同时统计数据包处理的信息，最后将数据包交还给统一安全网关，再由其他模块来进一步处理数据包。