一種自動(dòng)配置安全虛擬機(jī)ip地址的方法及裝置制造方法
【專(zhuān)利摘要】本發(fā)明涉及一種自動(dòng)配置安全虛擬機(jī)IP地址的方法及裝置�。用于虛擬安全管理中心對(duì)安全虛擬機(jī)的管理和配置過(guò)程,該方法或裝置包括:對(duì)安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備�,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問(wèn)控制MAC地址���,將該MAC地址的一部分設(shè)置為協(xié)議識(shí)別信息��,另一部分設(shè)置為需要配置的管理端口的IP地址�����;安全虛擬機(jī)啟動(dòng)后���,根據(jù)所述協(xié)議識(shí)別信息識(shí)別出所述第一虛擬網(wǎng)卡設(shè)備,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址�,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上�����。通過(guò)該方案可以簡(jiǎn)化虛擬化安全產(chǎn)品的部署過(guò)程和虛擬化平臺(tái)的管理權(quán)限分配��。
【專(zhuān)利說(shuō)明】—種自動(dòng)配置安全虛擬機(jī)IP地址的方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及虛擬化【技術(shù)領(lǐng)域】��,尤其涉及虛擬化環(huán)境中的安全虛擬機(jī)的部署和配置方案�����。
【背景技術(shù)】
[0002]云計(jì)算是計(jì)算機(jī)和互聯(lián)網(wǎng)的又一次新的革命��,它將計(jì)算和存儲(chǔ)轉(zhuǎn)移到了云端�����,用戶可以通過(guò)使用輕量級(jí)的便攜式終端來(lái)進(jìn)行復(fù)雜的計(jì)算和大容量的存儲(chǔ)�。從技術(shù)的角度來(lái)看���,云計(jì)算不僅僅是一種新的概念�,并行計(jì)算和虛擬化是實(shí)現(xiàn)云計(jì)算應(yīng)用的主要技術(shù)手段��。由于硬件技術(shù)的快速發(fā)展,使得一臺(tái)普通的物理服務(wù)器的所具有性能遠(yuǎn)遠(yuǎn)超過(guò)普通的單一用戶對(duì)硬件性能的需求�����。因此��,通過(guò)虛擬化的手段���,將一臺(tái)物理服務(wù)器虛擬為多臺(tái)虛擬機(jī),提供虛擬化服務(wù)成為了構(gòu)建公有云和企業(yè)私有云的技術(shù)基礎(chǔ)�。經(jīng)過(guò)虛擬化后,可以極大的提高軟件系統(tǒng)對(duì)硬件資源的利用率���,并通過(guò)虛擬化平臺(tái)對(duì)計(jì)算��、存儲(chǔ)�����、網(wǎng)絡(luò)等資源的統(tǒng)一調(diào)度管理��,實(shí)現(xiàn)按需高效的使用硬件資源�����。
[0003]在網(wǎng)絡(luò)安全領(lǐng)域�����,傳統(tǒng)的網(wǎng)絡(luò)安全監(jiān)控通常采用在安全域的網(wǎng)絡(luò)邊界�、以及需要監(jiān)聽(tīng)的安全域內(nèi)的網(wǎng)絡(luò)鏈路上旁路式部署網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品,如入侵檢測(cè)系統(tǒng)(IntrusionDetection Systems, IDS)���、安全審計(jì)系統(tǒng)等�����。虛擬化在帶來(lái)技術(shù)變革的同時(shí),也提出了新的虛擬網(wǎng)絡(luò)安全監(jiān)控問(wèn)題�。首先是網(wǎng)絡(luò)邊界問(wèn)題��,虛擬化技術(shù)對(duì)網(wǎng)絡(luò)工程的最大影響是使得傳統(tǒng)的物理網(wǎng)絡(luò)邊界不再清晰的存在���,從而無(wú)法找到網(wǎng)絡(luò)安全域的網(wǎng)絡(luò)流的物理匯聚點(diǎn)�;其次是隱蔽通信信道問(wèn)題�����,在同一個(gè)大二層網(wǎng)絡(luò)環(huán)境下�����,同一虛擬交換機(jī)上的網(wǎng)絡(luò)流量會(huì)在虛擬交換機(jī)內(nèi)部直接交換,而不會(huì)被轉(zhuǎn)發(fā)到物理鏈路上��,連接在物理鏈路上的物理安全設(shè)備無(wú)法捕獲到這部分流量��;虛擬機(jī)的遷移問(wèn)題是另外一個(gè)影響安全產(chǎn)品在虛擬化網(wǎng)絡(luò)中部署的問(wèn)題�,由于虛擬機(jī)的可動(dòng)態(tài)遷移的特性,使得物理網(wǎng)絡(luò)安全產(chǎn)品所監(jiān)控的物理端口不再固定����,而被監(jiān)控的物理端口和連接其上的物理設(shè)備又無(wú)法跟隨遷移��。以上這些問(wèn)題使得傳統(tǒng)網(wǎng)絡(luò)安全監(jiān)控產(chǎn)品無(wú)法找到合適的部署位置來(lái)保護(hù)虛擬網(wǎng)絡(luò)安全域的邊界安全�����。為了應(yīng)對(duì)虛擬化帶來(lái)的這一技術(shù)變革和引入的安全威脅�,目前安全廠商往往通過(guò)把安全產(chǎn)品虛擬化后,以安全虛擬機(jī)的方式直接部署到虛擬交換機(jī)上�,從而直接抓取虛擬交換機(jī)上的流量,并且實(shí)時(shí)感知虛擬機(jī)的遷移情況���,實(shí)現(xiàn)安全虛擬機(jī)或安全策略的跟隨遷移��,以實(shí)時(shí)保護(hù)業(yè)務(wù)虛擬機(jī)的安全����。
[0004]在通常情況下,出于對(duì)于人員職責(zé)權(quán)限的劃分和人員專(zhuān)業(yè)能力的區(qū)別����,一個(gè)業(yè)務(wù)網(wǎng)絡(luò)中的網(wǎng)絡(luò)運(yùn)維管理和安全管理應(yīng)該分別由專(zhuān)人負(fù)責(zé),即存在專(zhuān)門(mén)的網(wǎng)絡(luò)運(yùn)維管理人員���,其權(quán)限和職責(zé)是通過(guò)網(wǎng)絡(luò)管理平臺(tái)對(duì)網(wǎng)絡(luò)上運(yùn)行著業(yè)務(wù)系統(tǒng)的硬件設(shè)備進(jìn)行狀態(tài)監(jiān)控和管理���,網(wǎng)絡(luò)安全則由專(zhuān)門(mén)的安全管理人員負(fù)責(zé)實(shí)施和管理,通過(guò)專(zhuān)業(yè)安全管理平臺(tái)和設(shè)備負(fù)責(zé)業(yè)務(wù)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全���。在傳統(tǒng)的物理環(huán)境下����,配置安全產(chǎn)品時(shí)�����,直接通過(guò)串口線或者網(wǎng)線連接在安全產(chǎn)品上即可���,而在虛擬化網(wǎng)絡(luò)中����,虛擬機(jī)無(wú)法直接使用物理線纜連接,但是虛擬機(jī)形態(tài)的安全產(chǎn)品在配置好管理端口 IP地址前無(wú)法通過(guò)網(wǎng)絡(luò)登入�,若使用虛擬化管理平臺(tái)的控制臺(tái)登入安全虛擬機(jī)再進(jìn)行配置,將使得對(duì)安全產(chǎn)品的整個(gè)配置過(guò)程變得復(fù)雜�,同時(shí)不熟悉虛擬化環(huán)境的安全管理人員直接使用vCenter等對(duì)虛擬網(wǎng)絡(luò)和虛擬機(jī)進(jìn)行配置也存在一定的風(fēng)險(xiǎn)。
[0005]在虛擬化安全產(chǎn)品部署過(guò)程中���,由于不同的客戶環(huán)境會(huì)需要配置不同的管理口 IP地址����,而在管理口 IP地址被配置完成前���,無(wú)法通過(guò)管理口連接上該安全產(chǎn)品對(duì)其進(jìn)行配置和部署。與傳統(tǒng)物理環(huán)境不同的是虛擬化環(huán)境中����,安全虛擬機(jī)也運(yùn)行在客戶的虛擬化平臺(tái)上,因此必須通過(guò)客戶的虛擬化平臺(tái)的管理工具如vCenter����,來(lái)登錄到安全虛擬機(jī)內(nèi)部進(jìn)行管理�����,這就使得安全虛擬化產(chǎn)品的配置部署過(guò)程無(wú)法實(shí)現(xiàn)完全的自動(dòng)化����,而且登錄業(yè)務(wù)網(wǎng)絡(luò)的管理環(huán)境去配置安全產(chǎn)品還需要專(zhuān)門(mén)為vCenter分配相應(yīng)的管理權(quán)限���,帶來(lái)了管理的復(fù)雜性�����。
【發(fā)明內(nèi)容】
[0006]本發(fā)明要解決的技術(shù)問(wèn)題是如何簡(jiǎn)化虛擬化安全產(chǎn)品的部署過(guò)程和虛擬化平臺(tái)的管理權(quán)限分配�。
[0007]一種自動(dòng)配置安全虛擬機(jī)IP地址的方法和裝置����,用于虛擬安全管理中心
[0008]對(duì)安全虛擬機(jī)的管理和配置過(guò)程,包括:
[0009]對(duì)安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備��,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用�;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問(wèn)控制MAC地址,將該MAC地址的一部分設(shè)置為協(xié)議識(shí)別信息��,另一部分設(shè)置為需要配置的管理端口的IP地址��;
[0010]安全虛擬機(jī)啟動(dòng)后,根據(jù)所述協(xié)議識(shí)別信息識(shí)別出所述第一虛擬網(wǎng)卡設(shè)備�,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上���。
[0011]可選地�����,在對(duì)所述安全虛擬機(jī)模板進(jìn)行修改的步驟前還包括:對(duì)所述安全虛擬機(jī)模板進(jìn)行復(fù)制���;
[0012]對(duì)所述安全虛擬機(jī)模板進(jìn)行修改的步驟中是對(duì)復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改。
[0013]可選地�,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用的步驟包括:將所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中的自動(dòng)定位AUTOMATICALLOCATION項(xiàng)設(shè)置為false。
[0014]可選地���,所述ovf文件修改的步驟完成后��,再修改所述ovf文件對(duì)應(yīng)的mf文件中的SHAl校驗(yàn)值,以完成校驗(yàn)�����。
[0015]可選地���,所述管理端口的IP地址配置完成的步驟后還包括:所述安全管理中心和所述安全虛擬機(jī)進(jìn)行雙向注冊(cè)�。
[0016]一種自動(dòng)配置安全虛擬機(jī)IP地址的裝置,用于虛擬安全管理中心對(duì)安全虛擬機(jī)的管理和配置過(guò)程����,包括:
[0017]運(yùn)行在虛擬安全管理中心的模板管配模塊、運(yùn)行在安全虛擬機(jī)上的自動(dòng)配置代理模塊��;
[0018]所述模板管配模塊對(duì)安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備�,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問(wèn)控制MAC地址�����,將該MAC地址的一部分設(shè)置為協(xié)議識(shí)別信息��,另一部分設(shè)置為需要配置的管理端口的IP地址�����;
[0019]安全虛擬機(jī)啟動(dòng)后�����,所述自動(dòng)配置代理模塊根據(jù)所述協(xié)議識(shí)別信息識(shí)別出所述第一虛擬網(wǎng)卡設(shè)備�����,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上��。
[0020]可選地��,所述安全虛擬機(jī)模板管配模塊還包括安全虛擬機(jī)模板庫(kù)�����、模板實(shí)例化模塊�����;
[0021 ] 所述安全虛擬機(jī)模板庫(kù)用于存儲(chǔ)安全虛擬機(jī)模板���;
[0022]所述模板實(shí)例化模塊用于在對(duì)所述安全虛擬機(jī)模板進(jìn)行修改前���,對(duì)所述安全虛擬機(jī)模板進(jìn)行復(fù)制;
[0023]所述模板實(shí)例化模塊還用于對(duì)復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改��。
[0024]可選地����,所述模板管配模塊用于將所述第一網(wǎng)卡設(shè)備的配置項(xiàng)中的自動(dòng)定位AUTOMATICALLOCATION 項(xiàng)設(shè)置為 false。
[0025]可選地��,所述模板實(shí)例化模塊完成對(duì)所述ovf文件的修改后�,再修改所述ovf文件對(duì)應(yīng)的mf文件中的SHAl校驗(yàn)值,以完成校驗(yàn)��。
[0026]可選地��,所述安全管理中心和所述安全虛擬機(jī)在所述管理端口的IP地址配置完成后進(jìn)行雙向注冊(cè)����。
[0027]本發(fā)明公開(kāi)了一種無(wú)需登錄虛擬機(jī)的操作系統(tǒng)就可以自動(dòng)配置虛擬機(jī)的IP地址的方法和裝置,通過(guò)該方案����,在部署安全虛擬機(jī)時(shí),安全管理人員可以動(dòng)態(tài)根據(jù)用戶的網(wǎng)絡(luò)環(huán)境���,配置安全虛擬機(jī)的管理端口的IP地址���,而不需要登錄到vCenter來(lái)進(jìn)入安全虛擬機(jī)系統(tǒng)后再修改IP,這就為不使用vCenter等虛擬化管理中心部署安全虛擬機(jī)提供了可能性�,從而利用該方法能夠開(kāi)發(fā)不需要與vCenter耦合在一起的獨(dú)立的虛擬化安全管理平臺(tái),并把安全產(chǎn)品的部署與業(yè)務(wù)系統(tǒng)虛擬機(jī)的部署分開(kāi),簡(jiǎn)化虛擬化安全產(chǎn)品的部署過(guò)程和虛擬化平臺(tái)的管理權(quán)限分配���。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0028]圖1安全虛擬機(jī)IP地址自動(dòng)配置方法的流程圖���;
[0029]圖2安全虛擬機(jī)IP地址自動(dòng)配置系統(tǒng)結(jié)構(gòu)圖;
[0030]圖3虛擬化安全管理中心端的邏輯序列圖����;
[0031 ] 圖4安全虛擬機(jī)內(nèi)的邏輯序列圖;
[0032]圖5虛擬化安全管理中心和安全虛擬機(jī)間的邏輯序列圖�。
【具體實(shí)施方式】
[0033]下面將結(jié)合附圖及實(shí)施例對(duì)本發(fā)明的技術(shù)方案進(jìn)行更詳細(xì)的說(shuō)明。
[0034]需要說(shuō)明的是����,如果不沖突,本發(fā)明實(shí)施例以及實(shí)施例中的各個(gè)特征可以相互結(jié)合���,均在本發(fā)明的保護(hù)范圍之內(nèi)����。另外�,雖然在流程圖中示出了邏輯順序,但是在某些情況下�����,可以以不同于此處的順序執(zhí)行所示出或描述的步驟。
[0035]圖1是安全虛擬機(jī)IP地址自動(dòng)配置方法的流程圖�;
[0036]一種自動(dòng)配置安全虛擬機(jī)IP地址的方法�����,用于虛擬安全管理中心對(duì)安全虛擬機(jī)的管理和配置過(guò)程�����,包括:
[0037]對(duì)安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備�,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問(wèn)控制MAC地址���,將該MAC地址的一部分設(shè)置為協(xié)議識(shí)別信息�,另一部分設(shè)置為需要配置的管理端口的IP地址�;
[0038]安全虛擬機(jī)啟動(dòng)后,根據(jù)所述協(xié)議識(shí)別信息識(shí)別出所述第一虛擬網(wǎng)卡設(shè)備�,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口使用的目標(biāo)虛擬網(wǎng)卡上���。
[0039]在物理網(wǎng)絡(luò)環(huán)境中部署物理安全產(chǎn)品時(shí)����,安全服務(wù)人員可以通過(guò)直接接入網(wǎng)線或者串口線的方式連接到部署的安全產(chǎn)品上對(duì)其進(jìn)行管理端口的配置,而在虛擬化平臺(tái)中��,由于安全產(chǎn)品變成了虛擬機(jī)的形態(tài)��,因此無(wú)法直接連接物理的線纜到特定的物理端口����,若通過(guò)虛擬化管理平臺(tái)提供的管理接口進(jìn)行配置,需要獲取相應(yīng)的管理權(quán)限�����,同時(shí)虛擬機(jī)是以軟件的形態(tài)存在����,本身可提供自動(dòng)的配置和部署能力,因此通過(guò)統(tǒng)一的安全管理平臺(tái)直接配置安全虛擬機(jī)才是一種最符合虛擬化平臺(tái)安全管理特性的安全部署方案����,為了解決被部署的安全虛擬機(jī)的管理端口 IP地址無(wú)法自動(dòng)配置的問(wèn)題,本申請(qǐng)發(fā)明人提出一種自動(dòng)配置安全虛擬機(jī)IP地址的方法和裝置���,利用虛擬機(jī)的硬件屬性可以通過(guò)虛擬機(jī)管理平臺(tái)進(jìn)行修改的特性����,把安全虛擬機(jī)中的一塊不啟用,或者添加一塊新的虛擬網(wǎng)卡設(shè)備稱(chēng)作第一虛擬網(wǎng)卡設(shè)備�,將其MAC地址作為傳遞管理端口 IP地址的媒介,使用事先定義的管理端口 IP地址傳遞協(xié)議來(lái)實(shí)現(xiàn)安全虛擬機(jī)啟動(dòng)后對(duì)該IP地址的識(shí)別和獲取�����。
[0040]該裝置至少包括安全虛擬機(jī)模板管配模塊和安全虛擬機(jī)自動(dòng)配置代理模塊���。
[0041]如圖2所示,下面具體介紹整個(gè)系統(tǒng)的結(jié)構(gòu)和各模塊的功能��。
[0042]一種自動(dòng)配置安全虛擬機(jī)IP地址的裝置����,用于虛擬安全管理中心對(duì)安全虛擬機(jī)的管理和配置過(guò)程,其特征在于���,包括:
[0043]運(yùn)行在虛擬安全管理中心的模板管配模塊����、運(yùn)行在安全虛擬機(jī)上的自動(dòng)配置代理模塊�����;
[0044]所述模板管配模塊對(duì)安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用�����;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問(wèn)控制MAC地址����,將該MAC地址的一部分設(shè)置為協(xié)議識(shí)別信息,另一部分設(shè)置為需要配置的管理端口的IP地址�����;
[0045]安全虛擬機(jī)啟動(dòng)后�����,所述自動(dòng)配置代理模塊根據(jù)所述協(xié)議識(shí)別信息識(shí)別出所述第一虛擬網(wǎng)卡設(shè)備����,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上���。
[0046]模板管配模塊運(yùn)行于安全管理中心內(nèi)��,對(duì)安全管理中心的應(yīng)用系統(tǒng)提供安全虛擬機(jī)模板自動(dòng)部署的接口�,對(duì)于安全管理中心的應(yīng)用系統(tǒng)來(lái)說(shuō),直接調(diào)用該接口����,傳入管理端口 IP地址作為參數(shù),就可以實(shí)現(xiàn)安全虛擬機(jī)的自動(dòng)部署��。
[0047]所述安全虛擬機(jī)模板管配模塊還包括安全虛擬機(jī)模板庫(kù)��、模板實(shí)例化模塊���;
[0048]所述安全虛擬機(jī)模板庫(kù)用于存儲(chǔ)安全虛擬機(jī)模板;
[0049]所述模板實(shí)例化模塊用于在對(duì)所述安全虛擬機(jī)模板進(jìn)行修改前����,對(duì)所述安全虛擬機(jī)模板進(jìn)行復(fù)制;[0050]所述模板實(shí)例化模塊還用于對(duì)復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改�����。
[0051]所述模板管配模塊包括的子模塊還有模板管理模塊�����、安全虛擬機(jī)部署模塊。其中模板管理模塊負(fù)責(zé)提供對(duì)外接口和實(shí)現(xiàn)整個(gè)安全虛擬機(jī)自動(dòng)化部署的主流程����;
[0052]安全虛擬機(jī)模板庫(kù)提供對(duì)本地存儲(chǔ)的安全虛擬機(jī)模板的獲取、復(fù)制���、修改等功能���;模板實(shí)例化模塊實(shí)現(xiàn)對(duì)復(fù)制后的安全虛擬機(jī)模板按照需要配置的IP地址進(jìn)行修改,重新計(jì)算SHAl校驗(yàn)值等操作�����;安全虛擬機(jī)部署模塊提供對(duì)修改好的安全虛擬機(jī)模板的遠(yuǎn)程部署能力���。
[0053]安全虛擬機(jī)內(nèi)以軟件的形式運(yùn)行著虛擬化安全產(chǎn)品的業(yè)務(wù)系統(tǒng)����,自動(dòng)配置代理模塊在該系統(tǒng)的底層提供在系統(tǒng)初始化時(shí)的管理端口 IP地址自動(dòng)配置服務(wù)�,系統(tǒng)在初始化時(shí),將根據(jù)事先定義的管理端口 IP地址傳遞協(xié)議����,從專(zhuān)用的第一虛擬網(wǎng)卡設(shè)備的MAC地址處分析獲得由安全管理中心指定的管理端口 IP��,并調(diào)用操作系統(tǒng)命令配置到相應(yīng)的管理端口使用的目標(biāo)虛擬網(wǎng)卡上���。
[0054]下面以如圖3、圖4和圖5所示的序列圖為例�,介紹整個(gè)系統(tǒng)的工作過(guò)程。
[0055]圖3是安全管理中心內(nèi)的流程序列圖��,安全管理業(yè)務(wù)邏輯層是安全管理中心的業(yè)務(wù)處理模塊�,用戶通過(guò)其界面寫(xiě)入安全虛擬機(jī)管理端口 IP和其它相關(guān)的配置到數(shù)據(jù)庫(kù)中,并由該模塊調(diào)用模板管理模塊提供的接口發(fā)起安全虛擬機(jī)的部署請(qǐng)求���。在接收到部署請(qǐng)求后�,模板管理模塊先從數(shù)據(jù)庫(kù)中讀出需要部署的安全虛擬機(jī)的配置���,從安全虛擬機(jī)模板庫(kù)取得安全虛擬機(jī)模板文件,再調(diào)用模板實(shí)例化模塊根據(jù)配置修改安全虛擬機(jī)的模板���,最后調(diào)用安全虛擬機(jī)部署模塊執(zhí)行遠(yuǎn)程的安全虛擬機(jī)部署�。通信協(xié)議層負(fù)責(zé)提供對(duì)外通信的統(tǒng)一接口�����,在部署完成后,返回部署成功的消息給管理中心的調(diào)用模塊��。
[0056]下面詳細(xì)描述修改安全虛擬機(jī)的模板的具體過(guò)程:
[0057]在配置一臺(tái)安全虛擬機(jī)時(shí)��,安全管理中心從存儲(chǔ)在本地的安全虛擬機(jī)模板庫(kù)中取出安全虛擬機(jī)的模板����,所述安全虛擬機(jī)模板即標(biāo)準(zhǔn)的ovf格式的虛擬機(jī)模板,可以被直接導(dǎo)入到虛擬化平臺(tái)中����。該模板默認(rèn)被配置了 η塊虛擬網(wǎng)卡設(shè)備,n〈10���,第一塊虛擬網(wǎng)卡設(shè)備默認(rèn)作為管理網(wǎng)卡設(shè)備��,將第η塊虛擬網(wǎng)卡設(shè)備作為傳遞IP地址用的第一虛擬網(wǎng)卡設(shè)備��。
[0058]所述“第一虛擬網(wǎng)卡設(shè)備”中的“第一”并不表示序號(hào)和順序����,而表示所選的虛擬網(wǎng)卡設(shè)備和未選虛擬網(wǎng)卡設(shè)備的區(qū)分關(guān)系�。
[0059]在取得安全虛擬機(jī)模板后,先對(duì)該模板進(jìn)行復(fù)制,并以文件的形式打開(kāi)復(fù)制后的模板�����,修改所述第一虛擬虛擬網(wǎng)卡設(shè)備的配置項(xiàng)���,增加〈rasd:Address>MAC</rasd:Address〉屬性��,其中MAC為自定義的MAC地址���,地址的前16位定義為FF:AA,作為協(xié)議識(shí)別����,后32位定義為實(shí)際需要配置在管理端口上的IP地址。
[0060]可選地����,所述模板管配模塊用于將所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中的自動(dòng)定位AUTOMATICALLOCATION 項(xiàng)設(shè)置為 false。
[0061]同時(shí)還需要修改所述第一虛擬網(wǎng)卡設(shè)備的自動(dòng)定位AutomaticAllocation屬性為false�,以保證安全虛擬機(jī)在加電啟動(dòng)后���,不會(huì)把用于傳遞IP地址的所述第一虛擬網(wǎng)卡設(shè)備當(dāng)作真實(shí)使用的網(wǎng)卡連接在網(wǎng)上�,避免發(fā)生MAC地址沖突或者錯(cuò)誤的可能。
[0062]可選地�,所述模板實(shí)例化模塊完成對(duì)所述ovf文件的修改后,再修改所述ovf文件對(duì)應(yīng)的mf文件中的SHAl校驗(yàn)值����,以完成校驗(yàn)。[0063]修改完0Vf文件后���,再修改該ovf文件對(duì)應(yīng)的mf文件中ovf文件的SHAl校驗(yàn)值���,并保存文件,完成對(duì)復(fù)制模板的修改���。
[0064]把修改完的安全虛擬機(jī)模板通過(guò)vCenter的vSphere Web Service SDK遠(yuǎn)程導(dǎo)入到需要部署安全虛擬機(jī)的ESXi服務(wù)器上�。
[0065]所述的vCenter, vSphere和ESXi服務(wù)器都是在vmware平臺(tái)上����。
[0066]圖4是安全虛擬機(jī)被部署到虛擬化平臺(tái)后,啟動(dòng)初始化后的流程序列圖�����,安全虛擬機(jī)在啟動(dòng)后會(huì)自動(dòng)運(yùn)行其中安裝的安全產(chǎn)品應(yīng)用系統(tǒng)���,系統(tǒng)初始化時(shí)���,首先將調(diào)用自動(dòng)配置代理模塊進(jìn)行管理端口的IP配置��,
[0067]自動(dòng)配置代理模塊將首先從操作系統(tǒng)獲取所有虛擬網(wǎng)卡設(shè)備的信息����,根據(jù)定義的IP地址傳遞協(xié)議解析出管理端口的IP地址���,把其中MAC地址的前16位為FF: AA的那塊第一虛擬網(wǎng)卡設(shè)備識(shí)別出來(lái)��,將其MAC地址后32位讀出并配置在管理端口使用的目標(biāo)虛擬網(wǎng)卡上�����。
[0068]并對(duì)管理端口使用的所述目標(biāo)虛擬網(wǎng)卡進(jìn)行配置��,配置完成后開(kāi)始運(yùn)行安全產(chǎn)品的業(yè)務(wù)邏輯�。
[0069]并啟動(dòng)注冊(cè)服務(wù)的守護(hù)進(jìn)程等待安全管理中心的注冊(cè)請(qǐng)求����,至此完成對(duì)安全虛擬機(jī)IP的自動(dòng)配置。
[0070]可選地�����,所述安全管理中心和所述安全虛擬機(jī)在所述管理端口的IP地址配置完成后進(jìn)行雙向注冊(cè)����。
[0071]圖5是在管理端口的IP地址配置完成后,安全管理中心和安全虛擬機(jī)之間進(jìn)行雙向注冊(cè)的流程序列圖���,在安全管理中心部署完安全虛擬機(jī)后���,就將對(duì)其所配置的安全虛擬機(jī)的管理端口 IP地址進(jìn)行輪詢的發(fā)送注冊(cè)管理中心的請(qǐng)求,當(dāng)安全虛擬機(jī)的管理端口的IP地址也配置完成后��,就將對(duì)此請(qǐng)求進(jìn)行響應(yīng)���,并通過(guò)獲得的安全管理中心的IP地址���,向安全管理中心發(fā)起安全虛擬機(jī)的注冊(cè)請(qǐng)求,以完成雙向的注冊(cè)��,之后安全管理中心就可以通過(guò)管理端口向該安全虛擬機(jī)自動(dòng)下發(fā)更加復(fù)雜的配置管理項(xiàng)��,以完成整個(gè)安全虛擬機(jī)安全策略的整體配置����。
[0072]本領(lǐng)域普通技術(shù)人員可以理解上述方法中的全部或部分步驟可通過(guò)程序來(lái)指令相關(guān)硬件完成�����,所述程序可以存儲(chǔ)于計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中�,如只讀存儲(chǔ)器��、磁盤(pán)或光盤(pán)等���?����?蛇x地����,上述實(shí)施例的全部或部分步驟也可以使用一個(gè)或多個(gè)集成電路來(lái)實(shí)現(xiàn)���。相應(yīng)地�,上述實(shí)施例中的各模塊/單元可以采用硬件的形式實(shí)現(xiàn)���,也可以采用軟件功能模塊的形式實(shí)現(xiàn)���。本發(fā)明不限制于任何特定形式的硬件和軟件的結(jié)合�。
[0073]當(dāng)然�����,本發(fā)明還可有其他多種實(shí)施例��,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形��,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明的權(quán)利要求的保護(hù)范圍��。
【權(quán)利要求】
1.一種自動(dòng)配置安全虛擬機(jī)IP地址的方法�,用于虛擬安全管理中心對(duì)安全虛擬機(jī)的管理和配置過(guò)程��,其特征在于�,包括: 對(duì)安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備,將所述第一網(wǎng)卡設(shè)備設(shè)置為不啟用�;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問(wèn)控制MAC地址,將該MAC地址的一部分設(shè)置為協(xié)議識(shí)別信息��,另一部分設(shè)置為需要配置的管理端口的IP地址; 安全虛擬機(jī)啟動(dòng)后�����,根據(jù)所述協(xié)議識(shí)別信息識(shí)別出所述第一虛擬網(wǎng)卡設(shè)備��,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址���,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上�����。
2.如權(quán)利要求1所述的方法�����,其特征在于���,在對(duì)所述安全虛擬機(jī)模板進(jìn)行修改的步驟前還包括:對(duì)所述安全虛擬機(jī)模板進(jìn)行復(fù)制; 對(duì)所述安全虛擬機(jī)模板進(jìn)行修改的步驟中是對(duì)復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改�。
3.如權(quán)利要求1所述的方法,其特征在于�,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用的步驟包括:將所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中的自動(dòng)定位AUTOMATICALLOCATION項(xiàng)設(shè)置為 false。
4.如權(quán)利要求2所述的方法��,其特征在于,所述ovf文件修改的步驟完成后�����,再修改所述ovf文件對(duì)應(yīng)的mf文件中的SHAl校驗(yàn)值�,以完成校驗(yàn)。
5.如權(quán)利要求1所述的方法��,其特征在于�,所述管理端口的IP地址配置完成的步驟后還包括:所述安全管理中心和所述安全虛擬機(jī)進(jìn)行雙向注冊(cè)�。
6.一種自動(dòng)配置安全`虛擬機(jī)IP地址的裝置,用于虛擬安全管理中心對(duì)安全虛擬機(jī)的管理和配置過(guò)程��,其特征在于��,包括: 運(yùn)行在虛擬安全管理中心的模板管配模塊��、運(yùn)行在安全虛擬機(jī)上的自動(dòng)配置代理模塊�; 所述模板管配模塊對(duì)安全虛擬機(jī)模板進(jìn)行修改包括:添加或選出第一虛擬網(wǎng)卡設(shè)備,將所述第一虛擬網(wǎng)卡設(shè)備設(shè)置為不啟用�����;在所述第一虛擬網(wǎng)卡設(shè)備的配置項(xiàng)中增加介質(zhì)訪問(wèn)控制MAC地址�����,將該MAC地址的一部分設(shè)置為協(xié)議識(shí)別信息,另一部分設(shè)置為需要配置的管理端口的IP地址�; 安全虛擬機(jī)啟動(dòng)后,所述自動(dòng)配置代理模塊根據(jù)所述協(xié)議識(shí)別信息識(shí)別出所述第一虛擬網(wǎng)卡設(shè)備��,從所述第一虛擬網(wǎng)卡設(shè)備的MAC地址中讀取所述IP地址��,將該IP地址配置到管理端口所用的目標(biāo)虛擬網(wǎng)卡上����。
7.—種如權(quán)利要求6所述的裝置,其特征在于���,所述安全虛擬機(jī)模板管配模塊還包括安全虛擬機(jī)模板庫(kù)����、模板實(shí)例化模塊�����; 所述安全虛擬機(jī)模板庫(kù)用于存儲(chǔ)安全虛擬機(jī)模板�; 所述模板實(shí)例化模塊用于在對(duì)所述安全虛擬機(jī)模板進(jìn)行修改前,對(duì)所述安全虛擬機(jī)模板進(jìn)行復(fù)制; 所述模板實(shí)例化模塊還用于對(duì)復(fù)制得到的安全虛擬機(jī)模板中的模板ovf文件進(jìn)行修改�。
8.—種如權(quán)利要求6所述的裝置,其特征在于��,所述模板管配模塊用于將所述第一網(wǎng)卡設(shè)備的配置項(xiàng)中的自動(dòng)定位AUTOMATICALLOCATION項(xiàng)設(shè)置為false�。
9.一種如權(quán)利要求7所述的裝置,其特征在于���,所述模板實(shí)例化模塊完成對(duì)所述ovf文件的修改后��,再修改所述OVf文件對(duì)應(yīng)的mf文件中的SHAl校驗(yàn)值�����,以完成校驗(yàn)。
10.一種如權(quán)利要求6所述的裝置��,其特征在于����,所述安全管理中心和所述安全虛擬機(jī)在所述管理端口的IP地址配`置完成后進(jìn)行雙向注冊(cè)。
【文檔編號(hào)】H04L29/06GK103685608SQ201310723045
【公開(kāi)日】2014年3月26日 申請(qǐng)日期:2013年12月24日 優(yōu)先權(quán)日:2013年12月24日
【發(fā)明者】李陟, 劉新剛, 葉潤(rùn)國(guó) 申請(qǐng)人:北京啟明星辰信息技術(shù)股份有限公司, 北京啟明星辰信息安全技術(shù)有限公司