網(wǎng)絡(luò)課程中云計(jì)算安全的仿真實(shí)踐

陳向陽(yáng)+王春梅

【摘要】隨著云計(jì)算技術(shù)的不斷發(fā)展成熟，人們已經(jīng)越來(lái)越習(xí)慣于電子化、網(wǎng)絡(luò)化應(yīng)用，但由此也產(chǎn)生了一系列問(wèn)題，如IT架構(gòu)是否滿足其對(duì)性能的需求以及安全保障問(wèn)題，于是云計(jì)算的安全運(yùn)用就被提出來(lái)了。在網(wǎng)絡(luò)課程中利用OPNET仿真工具，創(chuàng)建并評(píng)估三種不同情況下云計(jì)算的安全性，以便學(xué)生能將云計(jì)算理論與實(shí)踐良好地結(jié)合起來(lái)。

【關(guān)鍵詞】網(wǎng)絡(luò)仿真 ； 云計(jì)算 ； 防火墻技術(shù)

【中圖分類(lèi)號(hào)】TP393.08-4；G712【文獻(xiàn)標(biāo)識(shí)碼】B 【文章編號(hào)】2095-3089（2015）36-0002-02

1.前言

云計(jì)算是大數(shù)據(jù)時(shí)代的核心技術(shù)，要處理龐大而重要的數(shù)據(jù)，如何才能保證數(shù)據(jù)和應(yīng)用在云計(jì)算中的安全性？要解決這個(gè)問(wèn)題，首先分析清楚云計(jì)算中數(shù)據(jù)和應(yīng)用的安全性問(wèn)題。通過(guò)采用OPNET仿真工具對(duì)三種不同云安全環(huán)境中的數(shù)據(jù)和應(yīng)用的性能以及云計(jì)算的整體性能進(jìn)行評(píng)估，進(jìn)而得出云計(jì)算中的數(shù)據(jù)和應(yīng)用的安全性結(jié)論，并為以后提出安全性解決方案提供理論支持[1][2]。

2.網(wǎng)絡(luò)仿真實(shí)踐

云計(jì)算安全流程及OPNET仿真如圖1、圖2所示。利用OPNET評(píng)估三種不同情況云計(jì)算安全性[3]。

（1）在仿真中創(chuàng)建云環(huán)境中無(wú)防火墻的場(chǎng)景。將基于IP的云作為所需的云，該云充當(dāng)網(wǎng)絡(luò)云并連接兩個(gè)或多個(gè)子網(wǎng)，其代表服務(wù)提供商。兩臺(tái)路由器用于整個(gè)模擬過(guò)程，其中的一臺(tái)路由器作為防火墻路由器。有兩個(gè)不同的應(yīng)用在這個(gè)場(chǎng)景中創(chuàng)建，一個(gè)是數(shù)據(jù)庫(kù)應(yīng)用，另一個(gè)是Web應(yīng)用。所需的應(yīng)用流量是通過(guò)在應(yīng)用配置和配置文件配置級(jí)別配置應(yīng)用創(chuàng)建的。一個(gè)大型的數(shù)據(jù)庫(kù)訪問(wèn)應(yīng)用被用在這個(gè)仿真中，這樣該數(shù)據(jù)庫(kù)服務(wù)器就可以接受更多的數(shù)據(jù)庫(kù)查詢操作。在應(yīng)用和配置文件配置水平下的所需配置做完后，數(shù)據(jù)庫(kù)應(yīng)用和Web應(yīng)用方面的云計(jì)算性能就可以進(jìn)行研究了。使用文件菜單創(chuàng)建一個(gè)新的項(xiàng)目并在這個(gè)水平上創(chuàng)建所需的場(chǎng)景。在該模擬中使用的云是給250個(gè)工作站提供服務(wù)，通過(guò)仿真，使得所有的250個(gè)工作站可以訪問(wèn)數(shù)據(jù)庫(kù)應(yīng)用和Web應(yīng)用。在這個(gè)場(chǎng)景中不提供安全性，從而來(lái)評(píng)估云的正常性能。在沒(méi)有安全性通過(guò)云時(shí)用于云計(jì)算性能評(píng)估的性能指標(biāo)：HTTP頁(yè)面響應(yīng)時(shí)間用以評(píng)估Web應(yīng)用、數(shù)據(jù)庫(kù)查詢時(shí)間和響應(yīng)時(shí)間用于數(shù)據(jù)庫(kù)應(yīng)用的評(píng)估、節(jié)點(diǎn)級(jí)別的統(tǒng)計(jì)數(shù)據(jù)（如服務(wù)器數(shù)據(jù)庫(kù)查詢響應(yīng)時(shí)間和負(fù)載）也被用于數(shù)據(jù)庫(kù)應(yīng)用的評(píng)估、鏈路級(jí)和利用率統(tǒng)計(jì)數(shù)據(jù)用于整個(gè)模擬過(guò)程的評(píng)估等。同樣的一系列性能指標(biāo)也用于其他兩種場(chǎng)景，所需的描述如下。

（2）有實(shí)際的防火墻實(shí)施，并且這個(gè)特殊的防火墻允許所有請(qǐng)求的流量。復(fù)制第一個(gè)場(chǎng)景并創(chuàng)建所需的防火墻場(chǎng)景。在這種特殊場(chǎng)景中，防火墻路由器被創(chuàng)建，一個(gè)持續(xù)的0.05秒的數(shù)據(jù)包延遲被用在包過(guò)濾中。類(lèi)似的性能指標(biāo)的使用參照第一個(gè)場(chǎng)景。

（3）處理防火墻的實(shí)施，使其丟棄網(wǎng)絡(luò)流量。數(shù)據(jù)庫(kù)和Web應(yīng)用是整個(gè)云計(jì)算中要求使用的應(yīng)用并通過(guò)訪問(wèn)它們來(lái)產(chǎn)生流量，防火墻將作用在這些應(yīng)用上，阻止Web訪問(wèn)。通過(guò)復(fù)制第二個(gè)場(chǎng)景來(lái)創(chuàng)建本場(chǎng)景，該場(chǎng)景阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問(wèn)。創(chuàng)建三個(gè)場(chǎng)景后，仿真運(yùn)行一小時(shí)，進(jìn)行評(píng)估討論。

3.仿真結(jié)果

數(shù)據(jù)庫(kù)應(yīng)用、Web應(yīng)用、云性能仿真結(jié)果如圖3～8所示。

從仿真結(jié)果可以看出，兩種應(yīng)用被用來(lái)證明，當(dāng)Web流量被阻塞時(shí)，數(shù)據(jù)庫(kù)應(yīng)用的整體性能得到增強(qiáng)。當(dāng)?shù)谌N場(chǎng)景中的Web流量被阻塞時(shí)，云利用率會(huì)因?yàn)樘幚砑彝マk公的數(shù)據(jù)庫(kù)應(yīng)用而提高。正如之前提到，有250個(gè)工作站被使用，其中100個(gè)用戶支持?jǐn)?shù)據(jù)庫(kù)應(yīng)用。即使存在防火墻的安全策略和數(shù)據(jù)包延遲，所有用戶的總體數(shù)據(jù)庫(kù)點(diǎn)到點(diǎn)利用率也會(huì)增強(qiáng)。因此，該仿真的主要目的是提高防火墻環(huán)境下的云計(jì)算的整體性能，并從結(jié)果的分析可證明通過(guò)阻斷Web流量可以提高安全性。當(dāng)有大量的云訪問(wèn)時(shí)，整體的云利用率會(huì)大大提高，因而性能會(huì)降低。如阻斷Web流量，數(shù)據(jù)庫(kù)用戶將獲取快速的查詢響應(yīng)時(shí)間，同時(shí)云計(jì)算的整體性能也會(huì)因?yàn)辄c(diǎn)到點(diǎn)的利用率的降低而得到提高。

4.結(jié)論與展望

通過(guò)仿真結(jié)果使同學(xué)們認(rèn)識(shí)到：在云計(jì)算應(yīng)用的實(shí)施中，可以阻斷不必要的Web流量增強(qiáng)數(shù)據(jù)庫(kù)應(yīng)用的整體性能和整個(gè)云計(jì)算的安全性。然而，實(shí)施安全雖然可以提高云計(jì)算和數(shù)據(jù)庫(kù)服務(wù)器的點(diǎn)到點(diǎn)利用率，但是會(huì)導(dǎo)致整個(gè)數(shù)據(jù)庫(kù)服務(wù)器上的負(fù)載增加，同時(shí)也會(huì)由于安全策略和數(shù)據(jù)包過(guò)濾等因素導(dǎo)致頁(yè)面的響應(yīng)時(shí)間增加。因此，在云計(jì)算應(yīng)用中，要通過(guò)各種技術(shù)和手段來(lái)進(jìn)一步優(yōu)化云計(jì)算的性能，彌補(bǔ)因安全性而失去的性能，那么云服務(wù)提供商就可以提供性能好、安全性高的服務(wù)。

參考文獻(xiàn)

[1]林闖，蘇文博，孟坤等.云計(jì)算安全：架構(gòu)、機(jī)制與模型評(píng)價(jià)[J].計(jì)算機(jī)學(xué)報(bào)，2013，36（9）：1-2.

[2]常學(xué)洲，朱之紅.云計(jì)算安全問(wèn)題探討和研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014，（3）：1-2.

[3]Adarshpal S.Sethi，Vasil Y.Hnatyshin.The Practical OPNET User Guide for Computer Network Simulation[M].Chapman & Hall/CRC：2012.1-18.endprint