CN101409714A - 一种基于虚拟机的防火墙系统 - Google Patents
一种基于虚拟机的防火墙系统 Download PDFInfo
- Publication number
- CN101409714A CN101409714A CNA2008102191756A CN200810219175A CN101409714A CN 101409714 A CN101409714 A CN 101409714A CN A2008102191756 A CNA2008102191756 A CN A2008102191756A CN 200810219175 A CN200810219175 A CN 200810219175A CN 101409714 A CN101409714 A CN 101409714A
- Authority
- CN
- China
- Prior art keywords
- firewall
- guest operating
- kernel
- xen
- operating system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种基于虚拟机的防火墙系统,包括内核系统,防火墙和客户操作系统,所述内核系统设置在磁盘的安全分区中,客户操作系统为由用户直接使用的操作系统,内核系统和客户操作系统之间采用虚拟网络连接,使得客户操作系统的网络访问都经过内核系统转发,所述防火墙安装在内核系统上,使得客户操作系统的网络访问经内核系统转发后受到防火墙的控制。本发明的优点为:一、防火墙软件不依赖于客户操作系统的类型,客户操作系统可以是Windows、Linux或者其它操作系统;二、即使重新安装了客户操作系统,它仍然受到底层防火墙的保护;三、即使客户操作系统本身存在漏洞或后门,被意外地发出私密数据也会被底层的防火墙拦截。
Description
技术领域
本发明属于信息安全的网络访问控制领域。
技术背景
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
按防火墙的应用部署位置,可以分为边界防火墙、个人防火墙和混合防火墙三大类。边界防火墙位于内、外部网络的边界,所起的作用的对内、外部网络实施隔离,保护边界内部网络;个人防火墙安装于单台主机中,防护的也只是单台主机;混合式防火墙是一整套防火墙系统,由若干个软、硬件组件组成,分布于内、外部网络边界和内部各主机之间,既对内、外部网络之间通信进行过滤,又对网络内部各主机间的通信进行过滤。
受到应用范围、部署难度和成本等因素的限制,在个人计算机中通常使用个人防火墙。这种防火墙通常是软件实现,与操作系统的内核协议栈相互配合完成网络访问的过滤。
目前,由于个人防火墙安装在操作系统之中,它们主要有四大不足:一、重装操作系统之后需要再次安装防火墙,期间存在一个防护真空;二、防火墙软件的实现依赖于特定操作系统,对于不同的操作系统需要实现多套防火墙;三、防火墙本身的安全性依赖于操作系统,一旦操作系统存在漏洞或后门,黑客可能绕过防火墙而访问私密数据;四、本地操作可以关闭防火墙,用户的误操作或执行了木马程序,都可能导致防火墙功能被屏蔽,从而显露在网络攻击之下。所以,传统的个人防火墙部署方式在灵活性和安全性方面都有隐患。
发明内容
本发明的目的在于克服现有个人防火墙技术上的不足,设计了一种集成于个人计算机之中,不依赖于具体操作系统,并且支持多网隔离的个人防火墙设计方案。
为了实现发明目的,采用的技术方案如下:
一种基于虚拟机的防火墙系统,包括内核系统,防火墙和客户操作系统,所述内核系统设置在磁盘的安全分区中,一般用户无法访问,客户操作系统为由用户直接使用的操作系统,内核系统和客户操作系统之间采用虚拟网络连接,使得客户操作系统的网络访问都经过内核系统转发,所述防火墙安装在内核系统上,用于过滤所有经过的网络数据,使得客户操作系统的网络访问经内核系统转发后受到防火墙的控制。
上述技术方案中,所述内核系统采用在Linux上安装Xen补丁,使之成为一个Xen宿主系统,所述Xen宿主系统用于创建和管理虚拟机,所述客户操作系统安装在Xen宿主系统所创建的虚拟机中。
所述防火墙安装在Xen宿主系统的内核协议栈里。
本发明所述Xen宿主系统创建多个虚拟机,每个虚拟机安装和运行一个客户操作系统,所述Xen宿主系统能够支持同时安装和运行多个客户操作系统。
所述Xen宿主系统为每一个客户操作系统创建了一块或多块虚拟网卡,所述虚拟网卡与连接不同类型网络的物理网卡相连接,客户操作系统的网络访问经过物理网卡的转发实现不同类型网络的连接访问。
所述虚拟网卡与物理网卡的连接方式采用网桥或路由器实现。
所述防火墙的规则库和日志信息记录在磁盘的保护分区中,使得一般的磁盘驱动程序无法访问到,Xen宿主系统通过调用UEFI BIOS中的Runtime Service能够访问保护分区,所述Xen宿主系统还增加一个Hypercall来封装并转发Runtime Service,使得防火墙通过调用Hypercall来实现调用Xen宿主系统。
本发明设计了一种基于Xen宿主系统的防火墙方案,Xen是一个开源的虚拟机监视器,支持泛虚拟化(Para-virtualization),虚拟开销仅有3%~5%,比VMWare高效,可以在一个普通的Linux上安装Xen补丁,使之成为一个Xen宿主系统,用于创建和管理虚拟机,容易实现。本发明将防火墙软件与被保护系统分离,而部署到被保护系统之外,即Xen宿主系统之中;再利用虚拟机技术,将客户操作系统安装在虚拟机中,从而将用户的可见范围限制在虚拟机之内。客户操作系统和宿主系统之间用虚拟网络连接,使得客户系统的网络访问需要经过Xen宿主系统转发,从而宿主系统中的防火墙可以对客户操作系统实施有效的网络访问控制,而不需要关心客户操作系统的具体类型,无论用户使用何种操作系统,不管操作系统本身是否有漏洞或后门,均能享受到同样的防火墙保护。上述防火墙的规则库和日志信息都是隐藏的,记录在磁盘的保护分区中,只能进入Xen宿主系统并通过特殊的BIOS调用来访问,所以除了管理员之外,用户不能进入Xen宿主系统或修改防火墙设置,即使本地的黑客也不能访问Xen宿主系统和防火墙。Xen宿主系统在计算机出厂之前已经安装在磁盘保护分区之中,用户无需自行安装防火墙软件。上述Xen宿主系统通过创建多个虚拟机,可以支持同时安装和运行多个客户操作系统;可以指定不同的客户系统的网络访问经过不同的物理网卡来转发,从而实现更加安全的基于虚拟机技术的多网隔离。
本发明所述基于虚拟机技术的多网隔离,是通过将不同客户操作系统的网络访问请求转发到不同的网卡来实现的。Xen宿主系统为每一个客户系统创建了一块或多块虚拟网卡,这些网卡需要以某种方式和物理网卡连接才能访问到网络(这里可用的连接方式有路由器和网桥),由于不同物理网卡连接着不同的网络(例如,外网、内网和私密网),所以,将客户操作系统对应的虚拟网卡和某物理网卡连接,就相当于指定了客户系统所能访问的网络。以网桥为例,假设客户系统G1对应一块虚拟网卡V1,物理网卡P1连接着内网,若创建在Xen宿主系统中创建一个网桥,并将V1和P1同时加入到网桥上,则客户系统G1就只能访问内部网络了。
综上,本发明的优点体现如下:
一、防火墙软件不依赖于客户操作系统的类型,客户操作系统可以是Windows、Linux或者其它操作系统;
二、即使重新安装了客户操作系统,它仍然受到底层防火墙的保护;
三、即使客户操作系统本身存在漏洞或后门,被意外地发出私密数据也会被底层的防火墙拦截。
附图说明
图1为本发明的实现的总体结构图。
图2为本发明防火墙模块示意图。
具体实施方式
下面结合附图对本发明做进一步的说明。
如图1所示,自下而上的各大模块是:硬件设备、BIOS、Xen宿主系统和各客户系统。不同于传统的个人防火墙,本发明的防火墙部署在Xen宿主系统中。
Xen宿主系统是系统中最重要的部分,由Xen和Domain0部分组成。Xen就是虚拟机监视器,它取代了操作系统的位置,直接与硬件设备交互,并且创建虚拟机环境供客户操作系统运行。Domain0是一个运行在Xen默认创建的虚拟机中的Linux系统,它负责协助Xen管理其它虚拟机。后端网卡就是前面提到的虚拟网卡,它与客户系统中的前端网卡一一对应。
客户操作系统运行在Xen宿主系统创建的虚拟机中,其中的前端网卡就是Xen所虚拟的,是客户操作系统能够直接操作的唯一网络接口。
UEFI BIOS中包含唯一能够直接访问磁盘保护分区的驱动程序,另外提供了一个可调用上述驱动程序的Runtime Service,使得Xen可以通过调用Runtime Service来访问保护分区;Domain0中的防火墙不能直接调用BIOS的Runtime Service,所以在Xen中增加一个Hypercall来封装并转发这种调用。Hypercall是一种类似Systemcall的调用,一般应用程序通过Systemcall来调用内核的功能,而Domain0通过Hypercall来调用Xen的功能。
构建此系统的步骤如下:
(1)设计UEFI BIOS中的磁盘保护分区驱动程序,新增一类RuntimeService,用于调用驱动程序访问保护分区;
(2)修改开源虚拟机Xen的源代码,新增一种可以调用上述RuntimeService的Hypercall供Domain0调用;
(3)构建一个小型的Linux系统作为Domain0,使之支持Netfilter/Iptables,Python,以及Xwindow;
(4)编译修改后的Xen,用新的内核和驱动程序替换原小型Linux的内核和驱动程序,从而构建出一个Xen宿主系统;
(5)配置BIOS,使得系统启动时引导Xen宿主系统;
(6)对应每一个物理网卡都创建一个网桥;
(7)创建虚拟机,并为虚拟机中的前端网卡创建相应的后端网卡,根据客户系统网络访问的限制,将相应的后端网卡加入特定网桥(假设图1中的物理网卡1是连接内部网络的,若希望客户系统1和客户系统2只能访问内部网络,则将后端网卡1和后端网卡2加入到网桥1即可);
(8)在Domain0中加载防火墙,进一步过滤客户系统的网络访问。
上述步骤中的(8)的前提是开发一套运行在Domain0上的防火墙,此防火墙的结构如图2所示。其中Firewall-App是供管理员使用的防火墙管理程序,其余部分则是防火墙的实体。
由于上述步骤(3)中构建的Linux系统是支持Netfilter/Iptables的,所以防火墙可以直接在Netfilter/Iptables上构建。Iptables是基于Linux内核的Netfilter过滤框架实现的,分为核心态模块Iptables-K和用户态模块Iptables-U。Iptables-U负责接收用户操作,包括:规则的显示、添加、修改、删除、保存和恢复,将操作转发给Iptables-K,并将执行结果返回。
由于原有的Iptables不能满足Xen宿主系统防火墙的需求,所以需要对Iptables进行扩展。每一个对Iptables的扩展模块也都包含核心态部分IptExt-K和用户态部分IptExt-U,分别实现了Iptables在其内核模块和用户态模块的接口函数。对于Iptables和Iptables扩展模块都无法实现的功能,则通过直接开发Netfilter扩展模块来实现,如图2中的NfExt。
Claims (7)
1、一种基于虚拟机的防火墙系统,其特征在于包括内核系统,防火墙和客户操作系统,所述内核系统设置在磁盘的安全分区中,客户操作系统为由用户直接使用的操作系统,内核系统和客户操作系统之间采用虚拟网络连接,使得客户操作系统的网络访问都经过内核系统转发,所述防火墙安装在内核系统上,使得客户操作系统的网络访问经内核系统转发后受到防火墙的控制。
2、根据权利要求1所述的防火墙系统,其特征在于所述内核系统采用在Linux上安装Xen补丁,使之成为一个Xen宿主系统,所述Xen宿主系统用于创建和管理虚拟机,所述客户操作系统安装在Xen宿主系统所创建的虚拟机中。
3、根据权利要求2所述的防火墙系统,其特征在于所述防火墙安装在Xen宿主系统的内核协议栈里。
4、根据权利要求2或3所述的防火墙系统,其特征在于所述Xen宿主系统创建多个虚拟机,每个虚拟机安装和运行一个客户操作系统,所述Xen宿主系统能够支持同时安装和运行多个客户操作系统。
5、根据权利要求4所述的防火墙系统,其特征在于所述Xen宿主系统为每一个客户操作系统创建了一块或多块虚拟网卡,所述虚拟网卡与连接不同类型网络的物理网卡相连接,客户操作系统的网络访问经过物理网卡的转发实现不同类型网络的连接访问。
6、根据权利要求5所述的防火墙系统,其特征在于所述虚拟网卡与物理网卡的连接方式采用网桥或路由器实现。
7、根据权利要求1或2或3所述的防火墙系统,其特征在于所述防火墙的规则库和日志信息记录在磁盘的保护分区中,使得一般的磁盘驱动程序无法访问到,Xen宿主系统通过调用UEFI BIOS中的Runtime Service能够访问保护分区,所述Xen宿主系统还增加一个Hypercall来封装并转发RuntimeService,使得防火墙通过调用Hypercall来实现调用Xen宿主系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102191756A CN101409714A (zh) | 2008-11-18 | 2008-11-18 | 一种基于虚拟机的防火墙系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008102191756A CN101409714A (zh) | 2008-11-18 | 2008-11-18 | 一种基于虚拟机的防火墙系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101409714A true CN101409714A (zh) | 2009-04-15 |
Family
ID=40572502
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008102191756A Pending CN101409714A (zh) | 2008-11-18 | 2008-11-18 | 一种基于虚拟机的防火墙系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101409714A (zh) |
Cited By (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN102147840A (zh) * | 2010-02-05 | 2011-08-10 | 中国长城计算机深圳股份有限公司 | 一种通过虚拟机实现网络控制的方法 |
| CN102223377A (zh) * | 2011-06-25 | 2011-10-19 | 华南理工大学 | 一种Xen虚拟机可信域间网络连接的控制方法 |
| CN102368725A (zh) * | 2011-09-09 | 2012-03-07 | 北京东方网信科技股份有限公司 | 一种多网卡的数据接收方法及系统 |
| CN102480420A (zh) * | 2010-11-29 | 2012-05-30 | 北京系统工程研究所 | 报文发送方法以及报文接收方法、装置及系统 |
| CN102609638A (zh) * | 2011-12-22 | 2012-07-25 | 中国航天科工集团第二研究院七〇六所 | 基于UEFI运行时服务的Xen虚拟机架构及其实现方法 |
| CN103118066A (zh) * | 2012-11-16 | 2013-05-22 | 佳都新太科技股份有限公司 | 一种基于xen的优化虚拟机网络模型 |
| CN103152239A (zh) * | 2013-02-25 | 2013-06-12 | 汉柏科技有限公司 | 一种基于Open VSwitch的虚拟网络实现方法和系统 |
| CN103270516A (zh) * | 2010-08-18 | 2013-08-28 | 安全第一公司 | 用于安全保护虚拟机计算环境的系统和方法 |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN103428226A (zh) * | 2013-08-30 | 2013-12-04 | 天津汉柏汉安信息技术有限公司 | 一种用户态与内核通信的方法与系统 |
| CN103561027A (zh) * | 2013-11-05 | 2014-02-05 | 曙光云计算技术有限公司 | 虚拟网络隔离的实现方法和实现装置 |
| CN103632090A (zh) * | 2013-11-04 | 2014-03-12 | 天津汉柏信息技术有限公司 | 一种虚拟机运行虚拟防火墙的方法 |
| CN103685235A (zh) * | 2013-11-18 | 2014-03-26 | 汉柏科技有限公司 | 一种基于防火墙的三层网络虚拟化实现方法及系统 |
| CN103731308A (zh) * | 2013-12-29 | 2014-04-16 | 国云科技股份有限公司 | 一种虚拟机公网管理方法 |
| CN103890715A (zh) * | 2011-08-30 | 2014-06-25 | 惠普发展公司,有限责任合伙企业 | 路由器和虚拟受信任运行时bios |
| CN104363230A (zh) * | 2014-11-14 | 2015-02-18 | 山东乾云启创信息科技有限公司 | 一种在桌面虚拟化中防护洪水攻击的方法 |
| CN104573553A (zh) * | 2014-12-30 | 2015-04-29 | 中国航天科工集团第二研究院七O六所 | 一种面向Xen的虚拟机内存共享的安全隔离方法 |
| CN104704791A (zh) * | 2012-10-05 | 2015-06-10 | 思科技术公司 | 用于有状态服务的应用的网络流量的重定向 |
| WO2015139546A1 (zh) * | 2014-03-21 | 2015-09-24 | 海信集团有限公司 | 一种通过wifi传输数据的方法、主设备及模块设备 |
| CN105187427A (zh) * | 2015-09-11 | 2015-12-23 | 浪潮集团有限公司 | 采用自定义表规则的细粒度内核防火墙实现方法 |
| CN105871939A (zh) * | 2016-06-26 | 2016-08-17 | 杨越 | 网络环境下虚拟机安全隔离系统 |
| CN106559428A (zh) * | 2016-11-25 | 2017-04-05 | 国云科技股份有限公司 | 一种防虚拟机ip和mac伪造的方法 |
| CN103873469B (zh) * | 2014-03-14 | 2017-04-12 | 中央电视台 | 一种播出控制系统 |
| CN103763310B (zh) * | 2013-12-31 | 2017-04-12 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
| US9871770B2 (en) | 2004-10-25 | 2018-01-16 | Security First Corp. | Secure data parser method and system |
| US9916456B2 (en) | 2012-04-06 | 2018-03-13 | Security First Corp. | Systems and methods for securing and restoring virtual machines |
| CN114050992A (zh) * | 2021-10-20 | 2022-02-15 | 北京鲸鲮信息系统技术有限公司 | 多域系统的数据处理方法、装置和设备 |
-
2008
- 2008-11-18 CN CNA2008102191756A patent/CN101409714A/zh active Pending
Cited By (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9871770B2 (en) | 2004-10-25 | 2018-01-16 | Security First Corp. | Secure data parser method and system |
| CN102147840B (zh) * | 2010-02-05 | 2013-08-28 | 中国长城计算机深圳股份有限公司 | 一种通过虚拟机实现网络控制的方法 |
| CN102147840A (zh) * | 2010-02-05 | 2011-08-10 | 中国长城计算机深圳股份有限公司 | 一种通过虚拟机实现网络控制的方法 |
| US9529998B2 (en) | 2010-08-18 | 2016-12-27 | Security First Corp. | Systems and methods for securing virtual machine computing environments |
| CN103270516B (zh) * | 2010-08-18 | 2016-10-12 | 安全第一公司 | 用于安全保护虚拟机计算环境的系统和方法 |
| CN103270516A (zh) * | 2010-08-18 | 2013-08-28 | 安全第一公司 | 用于安全保护虚拟机计算环境的系统和方法 |
| US9165137B2 (en) | 2010-08-18 | 2015-10-20 | Security First Corp. | Systems and methods for securing virtual machine computing environments |
| CN101958903B (zh) * | 2010-10-09 | 2013-01-02 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN101958903A (zh) * | 2010-10-09 | 2011-01-26 | 南京博同科技有限公司 | 一种基于soc及并行虚拟防火墙的高性能防火墙实现方法 |
| CN102480420A (zh) * | 2010-11-29 | 2012-05-30 | 北京系统工程研究所 | 报文发送方法以及报文接收方法、装置及系统 |
| CN102223377B (zh) * | 2011-06-25 | 2013-10-30 | 华南理工大学 | 一种Xen虚拟机可信域间网络连接的控制方法 |
| CN102223377A (zh) * | 2011-06-25 | 2011-10-19 | 华南理工大学 | 一种Xen虚拟机可信域间网络连接的控制方法 |
| CN103890715B (zh) * | 2011-08-30 | 2017-09-12 | 惠普发展公司,有限责任合伙企业 | 路由器和虚拟受信任运行时bios |
| CN103890715A (zh) * | 2011-08-30 | 2014-06-25 | 惠普发展公司,有限责任合伙企业 | 路由器和虚拟受信任运行时bios |
| CN102368725B (zh) * | 2011-09-09 | 2013-11-27 | 北京东方网信科技股份有限公司 | 一种多网卡的数据接收方法及系统 |
| CN102368725A (zh) * | 2011-09-09 | 2012-03-07 | 北京东方网信科技股份有限公司 | 一种多网卡的数据接收方法及系统 |
| CN102609638A (zh) * | 2011-12-22 | 2012-07-25 | 中国航天科工集团第二研究院七〇六所 | 基于UEFI运行时服务的Xen虚拟机架构及其实现方法 |
| US9916456B2 (en) | 2012-04-06 | 2018-03-13 | Security First Corp. | Systems and methods for securing and restoring virtual machines |
| CN104704791A (zh) * | 2012-10-05 | 2015-06-10 | 思科技术公司 | 用于有状态服务的应用的网络流量的重定向 |
| CN104704791B (zh) * | 2012-10-05 | 2017-10-31 | 思科技术公司 | 用于有状态服务的应用的网络流量的重定向的方法和装置 |
| CN103118066A (zh) * | 2012-11-16 | 2013-05-22 | 佳都新太科技股份有限公司 | 一种基于xen的优化虚拟机网络模型 |
| CN103152239A (zh) * | 2013-02-25 | 2013-06-12 | 汉柏科技有限公司 | 一种基于Open VSwitch的虚拟网络实现方法和系统 |
| CN103354530B (zh) * | 2013-07-18 | 2016-08-10 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN103354530A (zh) * | 2013-07-18 | 2013-10-16 | 北京启明星辰信息技术股份有限公司 | 虚拟化网络边界数据流汇聚方法及装置 |
| CN103428226A (zh) * | 2013-08-30 | 2013-12-04 | 天津汉柏汉安信息技术有限公司 | 一种用户态与内核通信的方法与系统 |
| CN103632090A (zh) * | 2013-11-04 | 2014-03-12 | 天津汉柏信息技术有限公司 | 一种虚拟机运行虚拟防火墙的方法 |
| CN103632090B (zh) * | 2013-11-04 | 2016-06-08 | 天津汉柏信息技术有限公司 | 一种虚拟机运行虚拟防火墙的方法 |
| CN103561027A (zh) * | 2013-11-05 | 2014-02-05 | 曙光云计算技术有限公司 | 虚拟网络隔离的实现方法和实现装置 |
| CN103685235A (zh) * | 2013-11-18 | 2014-03-26 | 汉柏科技有限公司 | 一种基于防火墙的三层网络虚拟化实现方法及系统 |
| CN103731308A (zh) * | 2013-12-29 | 2014-04-16 | 国云科技股份有限公司 | 一种虚拟机公网管理方法 |
| CN103763310B (zh) * | 2013-12-31 | 2017-04-12 | 曙光云计算技术有限公司 | 基于虚拟网络的防火墙服务系统及方法 |
| CN103873469B (zh) * | 2014-03-14 | 2017-04-12 | 中央电视台 | 一种播出控制系统 |
| WO2015139546A1 (zh) * | 2014-03-21 | 2015-09-24 | 海信集团有限公司 | 一种通过wifi传输数据的方法、主设备及模块设备 |
| CN104363230B (zh) * | 2014-11-14 | 2018-01-12 | 山东乾云启创信息科技股份有限公司 | 一种在桌面虚拟化中防护洪水攻击的方法 |
| CN104363230A (zh) * | 2014-11-14 | 2015-02-18 | 山东乾云启创信息科技有限公司 | 一种在桌面虚拟化中防护洪水攻击的方法 |
| CN104573553A (zh) * | 2014-12-30 | 2015-04-29 | 中国航天科工集团第二研究院七O六所 | 一种面向Xen的虚拟机内存共享的安全隔离方法 |
| CN105187427A (zh) * | 2015-09-11 | 2015-12-23 | 浪潮集团有限公司 | 采用自定义表规则的细粒度内核防火墙实现方法 |
| WO2018000537A1 (zh) * | 2016-06-26 | 2018-01-04 | 杨越 | 网络环境下虚拟机安全隔离系统 |
| CN105871939A (zh) * | 2016-06-26 | 2016-08-17 | 杨越 | 网络环境下虚拟机安全隔离系统 |
| CN106559428A (zh) * | 2016-11-25 | 2017-04-05 | 国云科技股份有限公司 | 一种防虚拟机ip和mac伪造的方法 |
| CN114050992A (zh) * | 2021-10-20 | 2022-02-15 | 北京鲸鲮信息系统技术有限公司 | 多域系统的数据处理方法、装置和设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101409714A (zh) | 一种基于虚拟机的防火墙系统 | |
| CA2838507C (en) | Multi-domain information sharing | |
| Pék et al. | A survey of security issues in hardware virtualization | |
| US7725305B2 (en) | Partial virtualization on computing device | |
| EP2622459B1 (en) | Virtual desktop configuration and operation techniques | |
| US9081911B2 (en) | Mediating communication of a universal serial bus device | |
| US10699003B2 (en) | Virtual air-gapped endpoint, and methods thereof | |
| EP2867811B1 (en) | Method, system, and device for securely handling virtual function driver communications with a physical function driver | |
| US8996864B2 (en) | System for enabling multiple execution environments to share a device | |
| KR100938521B1 (ko) | 보안 위치 인식 플랫폼을 가능하게 해주는 방법, 장치, 및시스템 | |
| CN103870749B (zh) | 一种实现虚拟机系统的安全监控系统及方法 | |
| US20100175104A1 (en) | Safe and secure program execution framework with guest application space | |
| US20060136911A1 (en) | Method, apparatus and system for enhacing the usability of virtual machines | |
| MXPA06002447A (es) | Sistema de seguridad en internet para computadora personal. | |
| US10360386B2 (en) | Hardware enforcement of providing separate operating system environments for mobile devices | |
| CN103176817B (zh) | 一种基于自学习的Linux安全策略配置方法 | |
| KR101454837B1 (ko) | 하이퍼바이저 보안 api 모듈 및 하이퍼바이저 기반 가상화 네트워크 침입 방지 시스템 | |
| CN106293875A (zh) | 一种Docker容器的创建方法和创建系统 | |
| CN102521531A (zh) | 基于硬件虚拟化的密码保护系统 | |
| US20170264607A1 (en) | Embedded trusted network security perimeter in computing systems based on ARM processors | |
| CN102289620A (zh) | 一种基于Xen安全计算机可信设备虚拟化系统及方法 | |
| CN103997502A (zh) | 一种基于云计算数据中心安全增强模型的设计方法 | |
| CN102096782B (zh) | 一种基于虚拟机的移动介质网银安全认证方法 | |
| CN107239700A (zh) | 一种基于xen虚拟化平台的安全防护方法 | |
| Potter et al. | Secure Isolation of Untrusted Legacy Applications. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20090415 |