可适于IaaS平台的虚拟机通信访问控制方法

　　为了解决传统网络缺乏统一 与无法适应网络业务的快速变化等问题，如软件定义网络（ Software Defined　Networking，SDN）与网络功能虚拟化（Network FuncTIons　VirtualizaTIon，NFV）等一些新的网络技术都在云计算环境中得到快速应用，为基础设施即服务（Infrastructure as a　Service．IaaS）平台业务的快速变化提供网络保障。然而，在租户网络快速变化的同时，租户网络的通信访问控制也面临挑战。美国国家标准与技术研究院（ NaTIonal InsTItute of　Standards and Technology，NIST）在关于虚拟网络的保护措施中指出，大多数的网络虚拟化平台拥有创建虚拟交换机的功能，并把虚拟交换机作为虚拟网络中的一部分，使得同一宿主机上的虚拟机能够利用虚拟交换机直接进行通信。例如，网络虚拟化平台支持在宿主机内部为虚拟机建立虚拟网绪，虚拟机之间通信流量将不经过外部物理链路上的网络安全设淄。因此，实现宿主机内部的网络安全防护，将物理链路中网络安全设备的功能移植到虚拟网络中是必要的。云安全联盟（ Cloud Security Alliance，CSA）在安全即服务实现指南中指出，网络访问控制是云环境安全的基础，同时应当引入边界防火墙控制机制随1。欧洲网络信息安全机构（ European　Network and Information Security Agency，ENISA）指出在网络体系结构的控制中应当具备基于深度包检测的防护措施。