基于oVirt云平臺(tái)的防火墻系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、oVirt是一個(gè)影響力較大的開(kāi)源桌面云系統(tǒng)，吸收了開(kāi)源論壇中諸多研究者的貢獻(xiàn)，展現(xiàn)了桌面云的一種發(fā)展導(dǎo)向。目前oVirt已經(jīng)具備了諸如虛擬機(jī)生命周期管理、存儲(chǔ)資源管理、網(wǎng)絡(luò)資源管理等強(qiáng)大豐富的功能模塊。但是oVirt在虛擬機(jī)網(wǎng)絡(luò)安全管理方面投入不夠，缺乏網(wǎng)絡(luò)防火墻系統(tǒng)，使得虛擬機(jī)可以不受控制的與網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交互，威脅云環(huán)境的網(wǎng)絡(luò)安全。本文正是針對(duì)這一現(xiàn)狀，結(jié)合oVirt桌面云環(huán)境的特點(diǎn)，對(duì)網(wǎng)絡(luò)安全防護(hù)技術(shù)做了深入的研究，設(shè)計(jì)并實(shí)現(xiàn)了基于

2、該平臺(tái)網(wǎng)絡(luò)防火墻系統(tǒng)。系統(tǒng)實(shí)現(xiàn)了在云管理端oVirt中統(tǒng)一配置防火墻策略規(guī)則，然后下發(fā)到虛擬機(jī)所在的物理服務(wù)器，最后由內(nèi)核防火墻執(zhí)行數(shù)據(jù)包規(guī)則匹配過(guò)濾。本文在系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)過(guò)程中開(kāi)展了如下工作：
　　1、研究虛擬機(jī)的網(wǎng)絡(luò)虛擬化技術(shù)，針對(duì)虛擬機(jī)通過(guò)內(nèi)核網(wǎng)橋共享網(wǎng)絡(luò)資源的特點(diǎn)，提出了云環(huán)境中虛擬機(jī)網(wǎng)絡(luò)威脅模型，通過(guò)對(duì)網(wǎng)絡(luò)安全威脅的分析確定了基于內(nèi)核網(wǎng)橋的數(shù)據(jù)包過(guò)濾防火墻設(shè)計(jì)方案。
　　2、研究 oVirt桌面云技術(shù)，針對(duì)云環(huán)境分

3、布式網(wǎng)絡(luò)布局，虛擬機(jī)可以在物理服務(wù)器之間遷移的特點(diǎn)，設(shè)計(jì)了基于規(guī)則遷移的分布式云防火墻方案，使得防火墻能夠隨虛擬機(jī)遷移實(shí)時(shí)生效。
　　3、研究?jī)?nèi)核防火墻數(shù)據(jù)包過(guò)濾技術(shù)，針對(duì)云環(huán)境下防火墻規(guī)則數(shù)量較大的特點(diǎn)，考慮到內(nèi)核防火墻按照規(guī)則表逐一匹配過(guò)濾算法較為低效的現(xiàn)狀，本文對(duì)該匹配算法進(jìn)行了改進(jìn)，提出了規(guī)則排序后使用hash表快速定位的數(shù)據(jù)包過(guò)濾優(yōu)化算法，使得數(shù)據(jù)包只需要匹配少量的規(guī)則，從而提高防火墻處理效率。
　　最后完成了系統(tǒng)