基于SR-IOV的虛擬機(jī)防火墻設(shè)計(jì)與實(shí)現(xiàn)

荀仲愷，黃 皓，金胤丞

(1. 南京大學(xué) a. 計(jì)算機(jī)軟件新技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室；b. 計(jì)算機(jī)科學(xué)與技術(shù)系，南京 2 10046；2. 中國(guó)電子科技集團(tuán)公司第三十二研究所，上海 20023 3)

基于SR-IOV的虛擬機(jī)防火墻設(shè)計(jì)與實(shí)現(xiàn)

荀仲愷1a,1b，黃 皓1a,1b，金胤丞2

(1. 南京大學(xué) a. 計(jì)算機(jī)軟件新技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室；b. 計(jì)算機(jī)科學(xué)與技術(shù)系，南京 2 10046；2. 中國(guó)電子科技集團(tuán)公司第三十二研究所，上海 20023 3)

由于虛擬網(wǎng)絡(luò)數(shù)據(jù)傳輸時(shí)，用戶態(tài)與核心態(tài)之間頻繁切換，導(dǎo)致虛擬域間多次數(shù)據(jù)拷貝嚴(yán)重影響網(wǎng)絡(luò)I/O性能。為此，提出一種高性能的虛擬機(jī)防火墻設(shè)計(jì)方案。利用SR-IOV規(guī)范的高性能數(shù)據(jù)傳輸特性和對(duì)接收數(shù)據(jù)包的過(guò)濾功能，使虛擬域直接與真實(shí)網(wǎng)卡交互。針對(duì)低特權(quán)級(jí)的虛擬域中防火墻容易受到攻擊的問(wèn)題，通過(guò)在高特權(quán)級(jí)的Xen中部署監(jiān)控模塊，對(duì)虛擬域中的防火墻進(jìn)行實(shí)時(shí)監(jiān)控。實(shí)驗(yàn)結(jié)果表明，應(yīng)用SR-IOV網(wǎng)卡可使虛擬機(jī)的網(wǎng)絡(luò)I/O性能相對(duì)于Xen傳統(tǒng)網(wǎng)絡(luò)訪問(wèn)模式平均提高1倍以上，并且具有監(jiān)控模塊的Xen能防止防火墻被非法訪問(wèn)和惡意篡改，保證防火墻的安全。

虛擬化；Xen虛擬機(jī)管理器；SR-IOV規(guī)范；防火墻；高性能；監(jiān)控

1 概述

虛擬化技術(shù)是云計(jì)算[1]的關(guān)鍵技術(shù)。多個(gè)虛擬的計(jì)算機(jī)系統(tǒng)(以下簡(jiǎn)稱虛擬機(jī))可以利用虛擬化技術(shù)運(yùn)行在同一臺(tái)物理主機(jī)之上，實(shí)現(xiàn)CPU、內(nèi)存、I/O設(shè)備等物理資源的共享，最大化地利用物理資源。虛擬機(jī)管理器(Virtual Machine Manager, V MM)[2]是位于操作系統(tǒng)和計(jì)算機(jī)硬件之間的軟件層，實(shí)現(xiàn)對(duì)整個(gè)物理平臺(tái)的虛擬化。Xen是一款主流的開(kāi)源VMM，它的上層運(yùn)行著一個(gè)特權(quán)域Domain0和零個(gè)或多個(gè)非特權(quán)域DomainU。下面以Xen為具體對(duì)象，介紹虛擬化技術(shù)面臨的主要問(wèn)題和相關(guān)工作。

Xen面臨著網(wǎng)絡(luò)I/O性能問(wèn)題[3]。Xen傳統(tǒng)的網(wǎng)絡(luò)設(shè)備驅(qū)動(dòng)模式，使得DomainU在I/O訪問(wèn)過(guò)程中，需要由VMM處理設(shè)備中斷，通過(guò)Domain0進(jìn)行虛擬訪問(wèn)和物理訪問(wèn)的轉(zhuǎn)換。當(dāng)VMM處理中斷時(shí)，形成數(shù)據(jù)拷貝，影響數(shù)據(jù)傳輸性能。當(dāng)DomainU的數(shù)量較大時(shí)，Domain0處會(huì)形成I/O訪問(wèn)的性能瓶頸。

SR-IOV[4]是由PCI-SIG提出的、基于Intel VT-d[5-6]技術(shù)的標(biāo)準(zhǔn)。SR-IOV網(wǎng)卡可創(chuàng)建多個(gè)虛擬網(wǎng)卡，并可分配給虛擬機(jī)獨(dú)享。虛擬機(jī)進(jìn)行網(wǎng)絡(luò)訪問(wèn)時(shí)，設(shè)備驅(qū)動(dòng)程序可以直接與虛擬網(wǎng)卡交互，而不經(jīng)過(guò)Domain0和VMM，避免VMM處的數(shù)據(jù)拷貝，以及Domain0處的中轉(zhuǎn)，提高了性能[4]。

Xen面臨網(wǎng)絡(luò)安全問(wèn)題[7]。虛擬機(jī)運(yùn)行在Xen上層，特權(quán)級(jí)較低。以Xen全虛擬化為例，客戶機(jī)操作系統(tǒng)運(yùn)行在非Root特權(quán)級(jí)[8]，系統(tǒng)層的防火墻更容易被非法訪問(wèn)和惡意篡改。本文針對(duì)Xen虛擬機(jī)管理器，提出一種虛擬機(jī)防火墻方案，利用SR-IOV技術(shù)提高虛擬機(jī)的I/O性能，同時(shí)在Xen中部署監(jiān)控機(jī)制，保護(hù)虛擬機(jī)中部署的防火墻模塊。

2 相關(guān)工作

近年來(lái)，虛擬機(jī)網(wǎng)絡(luò)安全防火墻研究、虛擬機(jī)網(wǎng)絡(luò)I/O性能方面的研究有了一定進(jìn)展，已經(jīng)積累了一些新的方法。

關(guān)于虛擬機(jī)網(wǎng)絡(luò)安全防火墻方面的研究，文獻(xiàn)[9]在Domain0中基于Netfilter/iptables實(shí)現(xiàn)了包過(guò)濾。由于多次的用戶態(tài)與核心態(tài)間切換，以及虛擬域間的多次數(shù)據(jù)拷貝嚴(yán)重影響了性能。文獻(xiàn)[10]在Domain0中建立虛擬機(jī)(Virtual Machine, VM)共享網(wǎng)絡(luò)路由表，將數(shù)據(jù)包通過(guò)路由表轉(zhuǎn)發(fā)至VM共享網(wǎng)絡(luò)，實(shí)現(xiàn)VM組間網(wǎng)絡(luò)隔離問(wèn)題。在進(jìn)入Domain0中建立防火墻模塊，阻止數(shù)據(jù)包進(jìn)入多個(gè)VM共享網(wǎng)絡(luò)，阻止VM共享網(wǎng)絡(luò)路由表被非法篡改。文獻(xiàn)[11] 對(duì)VM設(shè)置不同的安全等級(jí)，在VM的用戶層構(gòu)建狀態(tài)防火墻。然而，以上工作依然沒(méi)有解決用戶態(tài)與核心態(tài)間多次切換，以及虛擬域間多次數(shù)據(jù)拷貝引起的性能問(wèn)題。

在虛擬機(jī)網(wǎng)絡(luò)I/O性能方面，文獻(xiàn)[4]利用了SR-IOV高性能網(wǎng)卡，并對(duì)其性能進(jìn)行了分析和證明，但是并未對(duì)虛擬域中接收和發(fā)送的網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行過(guò)濾監(jiān)控。

文獻(xiàn)[12]在Domain0和DomainU中建立數(shù)據(jù)面板。DomainU的數(shù)據(jù)面板中保存預(yù)發(fā)送數(shù)據(jù)包，Domain0的數(shù)據(jù)面板中保存所有DomainU預(yù)發(fā)送數(shù)據(jù)包的副本，避免了Xen中DomainU發(fā)送數(shù)據(jù)包時(shí)在Domain0處進(jìn)行用戶態(tài)與核心態(tài)轉(zhuǎn)換的開(kāi)銷。然而，虛擬域間的多次數(shù)據(jù)拷貝問(wèn)題依然存在。同時(shí)，在DomainU中部署了防火墻模塊。然而，虛擬域運(yùn)行在較低的非Root特權(quán)級(jí)，防火墻部署在DomainU中，容易被非法訪問(wèn)和惡意篡改。

本文提出一種基于SR-IOV規(guī)范的防火墻方案，通過(guò)應(yīng)用SR-IOV網(wǎng)卡，避免了網(wǎng)絡(luò)數(shù)據(jù)傳輸過(guò)程中，用戶態(tài)與核心態(tài)間的頻繁切換，避免了虛擬域間的多次數(shù)據(jù)拷貝。通過(guò)在運(yùn)行于最高特權(quán)級(jí)的VMM中部署監(jiān)控模塊，監(jiān)控部署在虛擬域中的防火墻，防止防火墻被非法攻擊。本文主要優(yōu)勢(shì)為：(1)提出了一種高性能防火墻架構(gòu)。應(yīng)用SR-IOV網(wǎng)卡較高的網(wǎng)絡(luò)傳輸性能和接收數(shù)據(jù)包時(shí)的網(wǎng)絡(luò)層過(guò)濾功能。通過(guò)使用SR-IOV硬件代替了Xen中需要軟件虛擬實(shí)現(xiàn)的部分工作。同時(shí)，在虛擬機(jī)中部署防火墻，實(shí)現(xiàn)數(shù)據(jù)包發(fā)送時(shí)的過(guò)濾功能。通過(guò)實(shí)現(xiàn)軟硬件結(jié)合，保證了虛擬機(jī)網(wǎng)絡(luò)I/O高性能的同時(shí)，完整保護(hù)虛擬機(jī)的安全。(2)利用Xen監(jiān)控VM中的防火墻模塊。Xen具有高特權(quán)級(jí)，通過(guò)Xen對(duì)虛擬機(jī)中的防火墻進(jìn)行實(shí)時(shí)監(jiān)控，保證防火墻模塊不被非法訪問(wèn)和惡意篡改。

3 SR-IOV網(wǎng)卡

SR-IOV規(guī)范用于實(shí)現(xiàn)虛擬化環(huán)境中的I/O設(shè)備共享。它繼承了Intel VT-d技術(shù)，支持設(shè)備直接分配和DMA重映射。如圖1所示(SR-IOV網(wǎng)卡模塊中的左邊矩形框是網(wǎng)線插槽口)，物理功能(Physical Function, PF)部件用于配置和管理所有虛擬功能部件。虛擬功能(Virtual Function, VF)部件是一個(gè)輕量級(jí)的PCIe(PCI Express)功能部件。PF驅(qū)動(dòng)運(yùn)行于Domain0，VF驅(qū)動(dòng)運(yùn)行于DomainU。PF驅(qū)動(dòng)是一個(gè)真實(shí)的PCIe設(shè)備驅(qū)動(dòng)，可以直接訪問(wèn)PF，同時(shí)負(fù)責(zé)創(chuàng)建、配置和管理所有VF。VF驅(qū)動(dòng)為一個(gè)真實(shí)的PCIe設(shè)備驅(qū)動(dòng)，可直接訪問(wèn)其對(duì)應(yīng)的VF。

圖1 基于SR-IOV網(wǎng)卡的虛擬化結(jié)構(gòu)

采用SR-IOV規(guī)范的網(wǎng)卡(以下簡(jiǎn)稱SR-IOV網(wǎng)卡)可由一個(gè)PF創(chuàng)建多個(gè)VF，每個(gè)VF可獨(dú)立分配給一個(gè)虛擬機(jī)。虛擬機(jī)可以通過(guò)VF驅(qū)動(dòng)直接與VF進(jìn)行數(shù)據(jù)通信，不用通過(guò)Domain0和VMM，避免了Xen傳統(tǒng)網(wǎng)絡(luò)模式中VMM處的數(shù)據(jù)拷貝和Domain0中用戶態(tài)與核心態(tài)間的切換，提高了網(wǎng)絡(luò)I/O性能。

4 虛擬機(jī)防火墻的設(shè)計(jì)與實(shí)現(xiàn)

4.1 虛擬機(jī)防火墻架構(gòu)

虛擬機(jī)防火墻系統(tǒng)整體架構(gòu)如圖2所示，分為防火墻模塊和監(jiān)控模塊，其中，虛線表示不經(jīng)過(guò)Xen，對(duì)Xen透明；實(shí)線指經(jīng)過(guò)Xen，與上層的Xen直接交互。防火墻模塊包括基于SR-IOV的接收數(shù)據(jù)包過(guò)濾部分和虛擬機(jī)防火墻部分。SR-IOV的接收數(shù)據(jù)包過(guò)濾部分，基于SR-IOV網(wǎng)卡中PF的接收數(shù)據(jù)包過(guò)濾功能，為每個(gè)虛擬機(jī)配置接收數(shù)據(jù)包過(guò)濾策略，策略保存在Xen中。虛擬機(jī)防火墻部分，以Linux netfilter模塊中的NF_IP_LOCAL_ OUT為檢測(cè)點(diǎn)，加入自身防火墻過(guò)濾規(guī)則，實(shí)現(xiàn)發(fā)送數(shù)據(jù)包過(guò)濾。在監(jiān)控模塊中，保護(hù)策略存儲(chǔ)DomainU中受保護(hù)的內(nèi)存頁(yè)地址范圍。在VMM中，依據(jù)保護(hù)策略，實(shí)時(shí)監(jiān)控DomainU中受保護(hù)的內(nèi)存范圍，防止其被非法訪問(wèn)和惡意篡改。

圖2 虛擬機(jī)防火墻架構(gòu)

4.2 防火墻模塊

4.2.1 基于SR-IOV的接收數(shù)據(jù)包過(guò)濾

在SR-IOV網(wǎng)卡中，PF屬于Domain0，VF屬于DomainU。PF支持網(wǎng)絡(luò)層接收數(shù)據(jù)包過(guò)濾行為，支持五元組過(guò)濾。但是，VF不支持網(wǎng)絡(luò)層接收數(shù)據(jù)包過(guò)濾。為了對(duì)虛擬機(jī)接收數(shù)據(jù)包進(jìn)行網(wǎng)絡(luò)層過(guò)濾，需要使數(shù)據(jù)包在進(jìn)入虛擬機(jī)的VF之前，先通過(guò)PF進(jìn)行網(wǎng)絡(luò)層過(guò)濾。

(1)為PF開(kāi)啟流定向模式，分別為所有虛擬機(jī)設(shè)定數(shù)據(jù)包接收時(shí)過(guò)濾策略。相關(guān)命令舉例如下：

(2)隱藏所有DomainU的MAC地址，只暴露Domain0 的MAC地址，使接收到的數(shù)據(jù)包全部進(jìn)入PF。在PF中，依照預(yù)先定義的策略進(jìn)行網(wǎng)絡(luò)層過(guò)濾。隨后，數(shù)據(jù)包被Domain0的設(shè)備驅(qū)動(dòng)接收，進(jìn)入Domain0內(nèi)核。預(yù)先在Domain0內(nèi)核路由表中添加所有虛擬機(jī)所在的網(wǎng)段，從而可將目的IP地址為虛擬機(jī)IP地址的數(shù)據(jù)包通過(guò)Domain0內(nèi)核路由表轉(zhuǎn)發(fā)。數(shù)據(jù)包通過(guò)Domain0設(shè)備驅(qū)動(dòng)程序進(jìn)入PF。此時(shí)，通過(guò)SR-IOV網(wǎng)卡自身的數(shù)據(jù)鏈路層轉(zhuǎn)發(fā)機(jī)制，將數(shù)據(jù)包轉(zhuǎn)發(fā)給正確的VF，最終進(jìn)入虛擬機(jī)。

4.2.2 虛擬機(jī)防火墻

SR-IOV網(wǎng)卡不支持?jǐn)?shù)據(jù)包發(fā)送時(shí)的過(guò)濾行為。因此，在虛擬機(jī)中部署發(fā)送數(shù)據(jù)包防火墻以Guest OS為L(zhǎng)inux的狀況作為工作重點(diǎn)。

Linux ne tfilter向系統(tǒng)開(kāi)發(fā)者提供了5個(gè)掛載點(diǎn)，用于掛載自定義HOOK函數(shù)。通過(guò)在掛載點(diǎn)NF_IP_LOCAL_ OUT處掛載自定義的數(shù)據(jù)包檢測(cè)函數(shù)，可以截獲到虛擬機(jī)所有的接收數(shù)據(jù)包，在自定義HOOK函數(shù)中，通過(guò)預(yù)先設(shè)置的策略，對(duì)接收到的數(shù)據(jù)包進(jìn)行行為檢測(cè)。

然而netfilter運(yùn)行在虛擬機(jī)系統(tǒng)層，虛擬機(jī)的特權(quán)級(jí)較低，自定義HOOK函數(shù)面臨著被非法卸載、惡意篡改等行為的風(fēng)險(xiǎn)。VMM具有更高的特權(quán)級(jí)，通過(guò)在VMM中部署監(jiān)控模塊，監(jiān)控虛擬機(jī)系統(tǒng)層中運(yùn)行的自定義防火墻模塊，組織其不被非法訪問(wèn)和惡意篡改。

4.3 監(jiān)控模塊

監(jiān)控模塊部署在VMM中，負(fù)責(zé)實(shí)時(shí)監(jiān)控上層Guest OS中的防火墻模塊，阻止非法行為。保護(hù)策略存儲(chǔ)DomainU中防火墻模塊所在的內(nèi)存地址范圍。基于保護(hù)策略，監(jiān)控模塊監(jiān)控DomainU中防火墻模塊所在的內(nèi)存段。涉及到的問(wèn)題包括：將模塊所在的內(nèi)存地址范圍通知給VMM；如何在Guest OS中觸發(fā)惡意行為后將其交給VMM處理。

CPUID指令為Intel V T技術(shù)中定義的敏感指令。在全虛擬化的Xen中，如果虛擬機(jī)中的軟件執(zhí)行CPUID指令，會(huì)觸發(fā)VM Exit，而陷入VMM進(jìn)行處理。通過(guò)在模塊初始化函數(shù)中添加CPUID指令，將模塊內(nèi)存地址范圍寫入?yún)?shù)寄存器中。在模塊首次加載時(shí)會(huì)調(diào)用模塊初始化函數(shù)，其中的CPUID指令觸發(fā)VM Exit，從而陷入VMM中進(jìn)行處理。預(yù)先在VMM陷入處理函數(shù)中部署監(jiān)控模塊。陷入VMM后，監(jiān)控模塊將CPUID指令的寄存器參數(shù)中填寫的被保護(hù)內(nèi)存地址范圍保存在保護(hù)策略中。

Xen在全虛擬化中，利用影子頁(yè)表機(jī)制實(shí)現(xiàn)虛擬內(nèi)存的管理，完成客戶機(jī)虛擬內(nèi)存地址與主機(jī)物理內(nèi)存地址之間的轉(zhuǎn)換。其中，Xen為每個(gè)VM的進(jìn)程維護(hù)一個(gè)影子頁(yè)表。當(dāng)VM中的頁(yè)表項(xiàng)與Xen中對(duì)應(yīng)的影子頁(yè)表項(xiàng)不一致時(shí)，訪問(wèn)該頁(yè)表項(xiàng)的內(nèi)存頁(yè)即會(huì)觸發(fā)缺頁(yè)異常，同時(shí)引起VM Exit從而陷入Xen中處理。

監(jiān)控模塊在將被保護(hù)內(nèi)存地址范圍寫入保護(hù)策略的同時(shí)，將內(nèi)存頁(yè)地址范圍對(duì)應(yīng)的影子頁(yè)表項(xiàng)存在位設(shè)為不存在，讀寫位設(shè)為只讀。如圖3所示，當(dāng)虛擬機(jī)中發(fā)生對(duì)防火墻模塊所在的內(nèi)存頁(yè)進(jìn)行讀或?qū)懖僮鲿r(shí)，基于Xen影子頁(yè)表機(jī)制的原理會(huì)引發(fā)缺頁(yè)異常，并引起VM Ex it而陷入Xen的監(jiān)控模塊中處理。監(jiān)控模塊通過(guò)查詢保護(hù)策略，判斷所訪問(wèn)頁(yè)面是否在保護(hù)范圍內(nèi)，如果在，則認(rèn)定此操作為非法訪問(wèn)操作，拒絕此非法訪問(wèn)行為。如果不在保護(hù)范圍內(nèi)，則進(jìn)入正常處理流程。

圖3 缺頁(yè)異常處理流程

5 實(shí)驗(yàn)結(jié)果與分析

實(shí)驗(yàn)采用Genuine Intel 2.7 GHz CPU、2 GB內(nèi)存。安裝82599 10 Gpbs SR-IOV網(wǎng)卡。安裝Ubuntu12.04.2LTS和Xen 4.1，其中，Domain內(nèi)核版本為3.5.0。Domain1和Domain2均安裝Ubuntu 12.04.1 LTS。使用一臺(tái)Spirent Testcenter測(cè)試儀，一臺(tái)安裝了Spirent Testcenter控制軟件的PC。通過(guò)從性能、防火墻訪問(wèn)控制和監(jiān)控3個(gè)方面分析，得出如下實(shí)驗(yàn)結(jié)果。

5.1 數(shù)據(jù)傳輸性能

在Domain2中部署本文描述的虛擬機(jī)防火墻。同時(shí)，將Domain1設(shè)置為傳統(tǒng)網(wǎng)絡(luò)訪問(wèn)模式。將Domain3設(shè)置為SR-IOV網(wǎng)絡(luò)模式，不部署防火墻。

在Domain0創(chuàng)建VF，為Domain2分配VF設(shè)備，網(wǎng)絡(luò)連接模式為SR-IOV模式，并在Domain2中部署虛擬機(jī)防火墻，在Xen中部署監(jiān)控模塊。為Domain3分配VF設(shè)備，網(wǎng)絡(luò)連接模式為SR-IOV模式。在Domain1中部署為Domain1分配vif3.0虛擬網(wǎng)卡，網(wǎng)絡(luò)連接模式為傳統(tǒng)虛擬網(wǎng)橋模式。使用Spirent T estcenter測(cè)試儀對(duì)Domain1和Domain2進(jìn)行數(shù)據(jù)傳輸性能測(cè)試，分別測(cè)試的數(shù)據(jù)包大小為64 Byte，256 Byte，512 Byte，1 500 Byte，結(jié)果見(jiàn)表1。由此可知，部署防火墻、安裝SR-IOV網(wǎng)卡后的虛擬機(jī)在性能方面相對(duì)于未安裝SR-IOV網(wǎng)卡的虛擬機(jī)性能優(yōu)勢(shì)明顯，平均提高1倍以上。

表1 數(shù)據(jù)傳輸性能對(duì)比

5.2 防火墻訪問(wèn)控制

通過(guò)檢測(cè)部分防火墻策略，查看防火墻運(yùn)行狀況，結(jié)果如表2所示。由此可知，當(dāng)Domain1訪問(wèn)主機(jī)114.212.87. 122時(shí)，由于策略禁止，因此訪問(wèn)失敗。當(dāng)Domain1訪問(wèn)主機(jī)114.212.87.165時(shí)，由于策略未禁止，因此訪問(wèn)成功。

表2 策略檢測(cè)狀況

5.3 監(jiān)控狀況

Xen中的監(jiān)控模塊監(jiān)控虛擬機(jī)中的防火墻模塊vmfirewall。在運(yùn)行的Domain1中，安裝MyRootkit模塊，MyRootkit嘗試卸載NF_IP_LOCAL_OUT處HOOK鏈中的防火墻模塊并返回訪問(wèn)結(jié)果。在Domain1終端運(yùn)行rmmod vmfirewall命令，嘗試卸載vmfirewall模塊，對(duì)于rmmod方式卸載模塊，結(jié)果為拒絕卸載；對(duì)于MyRootkit方式卸載模塊，結(jié)果為訪問(wèn)無(wú)效。

6 結(jié)束語(yǔ)

在Xen虛擬化技術(shù)中，虛擬域網(wǎng)絡(luò)訪問(wèn)時(shí)，Domain0中用戶態(tài)與核心態(tài)頻繁切換，虛擬域間多次數(shù)據(jù)拷貝，影響了網(wǎng)絡(luò)I/O性能。應(yīng)用SR-IOV網(wǎng)卡的高性能特征，使虛擬域直接與真實(shí)網(wǎng)卡交互，提高網(wǎng)絡(luò)I/O性能。針對(duì)運(yùn)行在低特權(quán)級(jí)虛擬域中防火墻缺乏保護(hù)的問(wèn)題，在高特權(quán)級(jí)的Xen中部署監(jiān)控模塊，對(duì)防火墻實(shí)時(shí)監(jiān)控，保護(hù)防火墻安全。在SR-IOV規(guī)范下，VMM較少地參與VM與網(wǎng)絡(luò)適配器間數(shù)據(jù)傳輸和管理工作。下一步工作重點(diǎn)是將防火墻部署于VMM中，提高特權(quán)級(jí)，更大程度地保證防火墻安全。

[1] Vaquero L M, Rodero-Merino L, Caceres J. A Break in the Clouds: T owards a Cloud Definition[J]. ACM SIGCOMM Computer Communication Review, 2009, 39(1): 50-55.

[2] 石 磊, 鄒德清, 金 海. X en虛擬化技術(shù)[M]. 武漢: 華中科技大學(xué)出版社, 2009.

[3] Egi N, Greenhalgh A, Handley M. Evaluating Xen for Router Virtualization[C]//Proceedings of the 16th International Conference on Computer Communications and Networks. Honolulu, USA: IEEE Press, 2007: 1256-1261.

[4] Dong Yanzu, Yang Xiaowei, Li Jianhua. High Performance Network Virtualization with SR-I OV[J]. Journal o f Parallel and Distributed Computing, 2010, 72(11): 1471-1480.

[5] 張 揚(yáng). Xen下基于Intel VT-d技術(shù)的I/O虛擬化的實(shí)現(xiàn)[D].成都: 電子科技大學(xué), 2010.

[6] 張 鑫. 基于Intel V T-d在安騰平臺(tái)的高效虛擬IO模型的實(shí)現(xiàn)與研究[D]. 成都: 電子科技大學(xué), 2008.

[7] Kan dukuri B R. Cloud Sec urity Issues[C]//Proceedings of 2009 IEEE International Conference on Services Computing. Los Angeles, USA: IEEE Press, 2009: 517-520.

[8] 陳文智, 姚 遠(yuǎn), 楊建華, 等. Pcanel/V2——基于Intel VT-x 的VMM架構(gòu)[J]. 計(jì)算機(jī)學(xué)報(bào), 2009, 32(7): 2-8.

[9] Liu Fagui, Su Xiang. The Design an d Application of Xe nbased Host System Firewall and Its Extension[C]// Proceedings of 2009 International Conferenc e on Electronic Computer T echnology. Washington D. C., USA: IE EE Computer Society, 2009: 392-395.

[10] Wu Hanqian, Ding Yi, Winer C. Network Security for Virtual Machines in Cl oud Computing[C]//Proceedings of the 5th International Conference on Computer Sciences and Convergence Inf ormation T echnology. Seoul, So uth Koera: [s. n.], 2010: 18-21.

[11] Gao Xiaop eng, Wang Sum ei. VNSS: A Network Security Sandbox for Virtual Computing Environment[C]//Proceedings of IEE E Youth Conferenc e In formation Computing and Telecommunications. Beijing, China: [s. n.], 2010: 395-398.

[12] Fernandes N C. XNetMon: A Network Monitor for Securing Virtual Network s[C]//Proceedings of IEEE International Conference on Communications. Kyoto, Jap an: IE EE Press, 2011: 1-5.

編輯 陸燕菲

Design and Implementation of Virtual Machine Firewall Based on SR-IOV

XUN Zhong-kai1a,1b, HUANG Hao1a,1b, JIN Yin-cheng2

(1a. State Key Laboratory for Novel Software Technology; 1b. Department of Computer Science and Technology, Nanjing University, Nanjing 210046, China; 2. The 32nd Research Institute of China Electronics Technology Group Corporation, Shanghai 200233, China)

Aiming at the problem of low performance caused by frequent switching between user mode and kernel mode, multiple copies of data between the virtual domains through virtua l network data transmission, this paper proposes a high performanc e virtual m achine firewall, and it adopts the networ k packet filtering and high performance of SR-IOV to make virtual domain directly interact wi th the real network card. Aiming at the problem of vulnerable attack for a lower privilege level virtual domain firewall, it takes higher privilege level of Xen to real-time monitor the virtual machine fire wall module and protect it from illegally accessing. Experimental results show that the deployment of SR-IOV network card in the virtual machine firewall makes the network I/O performance increase by 1 time compared with the Xen network I/O assess mode. The deployment of the monitor module in Xen can successfully prevent the firewall from unauthorized access and malicious tampering, and ensure the safety of the firewall.

virtualization; Xen Virtual Machine Manager(VMM); SR-IOV specification; firewall; high-performance; monitoring

10.3969/j.issn.1000-3428.2014.05.032

1000-3428(2014)05-0154-04

A

TP399

國(guó)家“863”計(jì)劃基金資助項(xiàng)目(2011AA01A202)；江蘇省“六大人才高峰”高層次人才基金資助項(xiàng)目(2011-DZXX-035)；江蘇省高校自然科學(xué)研究基金資助項(xiàng)目(12KJB520001)。

荀仲愷(1987－)，男，碩士，主研方向：操作系統(tǒng)安全，虛擬化技術(shù)；黃 皓，教授、博士生導(dǎo)師；金胤丞，碩士。

2013-04-10

2013-05-08E-mail：xunzhk@126.com

·人工智能及識(shí)別技術(shù)·