虛擬化網(wǎng)絡(luò)在實(shí)驗(yàn)教學(xué)中的安全設(shè)計(jì)

呂君 夏宏雷 朱劍玫

摘 要：在虛擬化技術(shù)廣泛應(yīng)用的今天，其中一項(xiàng)重要的虛擬化網(wǎng)技術(shù)也在不斷地發(fā)展和使用，近年來在各高校的實(shí)驗(yàn)教學(xué)和實(shí)驗(yàn)室網(wǎng)絡(luò)架構(gòu)中應(yīng)用取得了不錯(cuò)的效果。伴隨著虛擬化網(wǎng)絡(luò)技術(shù)在越來越多的地方應(yīng)用，網(wǎng)絡(luò)安全問題也慢慢地凸顯出來。網(wǎng)絡(luò)安全問題不僅給高校實(shí)驗(yàn)教學(xué)造成重大的影響，有時(shí)還會(huì)造成數(shù)據(jù)和資料泄密而被破壞。而虛擬網(wǎng)絡(luò)技術(shù)的使用可以增強(qiáng)跨網(wǎng)段訪問及傳輸數(shù)據(jù)的安全，并且大大提高了高校實(shí)驗(yàn)教學(xué)的信息化手段。虛擬化網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全方面具有十分重要的研究意義。從跨不同的網(wǎng)段間互相通信、超級(jí)管理員在后臺(tái)進(jìn)行遠(yuǎn)程管理等方面研究了虛擬網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用，本文希望能對(duì)網(wǎng)絡(luò)安全的管理提供一些參考意見。

關(guān)鍵詞：虛擬化網(wǎng)絡(luò);網(wǎng)絡(luò)安全;安全設(shè)計(jì)

基金項(xiàng)目：本文系武漢工商學(xué)院教改教研課題：虛擬化網(wǎng)絡(luò)在實(shí)驗(yàn)教學(xué)中的安全設(shè)計(jì)（2017Y10）

1 虛擬化網(wǎng)絡(luò)基本概念

網(wǎng)絡(luò)虛擬化是指采用虛擬化技術(shù)搭建的網(wǎng)絡(luò)。虛擬化網(wǎng)絡(luò)對(duì)網(wǎng)絡(luò)連接中概念進(jìn)行了抽象化，可以讓遠(yuǎn)程用戶來訪問內(nèi)部的網(wǎng)絡(luò)，就像物理終端訪問物理網(wǎng)絡(luò)一樣的效果。網(wǎng)絡(luò)虛擬化可以更好地保護(hù)IT環(huán)境，防御來自Internet的病毒，同時(shí)讓用戶能夠快速安全地訪問各種應(yīng)用程序和數(shù)據(jù)。網(wǎng)絡(luò)虛擬化可將網(wǎng)絡(luò)抽象化成一個(gè)廣義的網(wǎng)絡(luò)容量池?？梢詫⒔y(tǒng)一網(wǎng)絡(luò)容量池以最佳的方式分割成多個(gè)邏輯網(wǎng)絡(luò)。虛擬化網(wǎng)絡(luò)可以實(shí)現(xiàn)跨越物理邊界的邏輯網(wǎng)絡(luò)，從而實(shí)現(xiàn)跨集群和單位的計(jì)算資源并將其進(jìn)行優(yōu)化。不同于傳統(tǒng)網(wǎng)絡(luò)體系架構(gòu)，邏輯網(wǎng)絡(luò)不需要重新配置底層物理硬件便能實(shí)現(xiàn)擴(kuò)展。

我校虛擬資源中心使用的是VMware虛擬化網(wǎng)絡(luò)技術(shù)，通過虛擬化技術(shù)可將局域網(wǎng)進(jìn)行擴(kuò)展，可以創(chuàng)建疊加在物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之上的邏輯網(wǎng)絡(luò)。VMware作為全球最大的虛擬化廠商實(shí)現(xiàn)了通過軟件可以定義應(yīng)用及其所需的所有資源，包括服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)和安全功能都會(huì)實(shí)現(xiàn)虛擬化，然后組合所有元素以創(chuàng)建一個(gè)軟件定義的數(shù)據(jù)中心。通過虛擬化可以減少服務(wù)器部署的時(shí)間和成本，可以實(shí)現(xiàn)靈活性和資源利用率的最大化，可以在調(diào)配虛擬機(jī)時(shí)對(duì)環(huán)境進(jìn)行自定義，在軟件定義的數(shù)據(jù)中心里虛擬機(jī)可以跨越物理子網(wǎng)邊界。傳統(tǒng)的網(wǎng)絡(luò)在第2層利用VLAN來實(shí)現(xiàn)廣播隔離，在以太網(wǎng)數(shù)據(jù)幀中使用12位的VLAN ID將第二層網(wǎng)絡(luò)劃分成多個(gè)廣播域，VLAN數(shù)量需少于4094個(gè)。隨著虛擬化技術(shù)應(yīng)用越來越廣泛，4094個(gè)的數(shù)值上限基本快到達(dá)峰值。此外，由于生成樹協(xié)議（STP）的限制，極大的限制了可以使用的VLAN數(shù)量?；赩XLAN的網(wǎng)絡(luò)虛擬化解決了傳統(tǒng)物理網(wǎng)絡(luò)面臨的諸多難題。

2 虛擬資源中心網(wǎng)絡(luò)虛擬化存在的主要問題

2.1 物理和虛擬資源的高利用率帶來的風(fēng)險(xiǎn)

通過使用虛擬化技術(shù)，大提高了虛擬資源中心服務(wù)器的利用效率和訪問量，但也導(dǎo)致服務(wù)器負(fù)載過重，特別是機(jī)房同時(shí)上課讓服務(wù)器和網(wǎng)絡(luò)資源使用率達(dá)到近90%。虛擬化后臺(tái)的多個(gè)應(yīng)用和管理平臺(tái)集中在幾臺(tái)核心物理服務(wù)器上，當(dāng)物理服務(wù)器出現(xiàn)故障時(shí)那么虛擬的應(yīng)用平臺(tái)和管理臺(tái)將不能正常運(yùn)轉(zhuǎn)。網(wǎng)絡(luò)虛擬化的特點(diǎn)是應(yīng)用只與虛擬層進(jìn)行交互，與物理硬件是隔離的，從而導(dǎo)致管理人員看不到設(shè)備背后的安全風(fēng)險(xiǎn)，服務(wù)器系統(tǒng)變得不穩(wěn)定，數(shù)據(jù)變得不安全。

2.2 網(wǎng)絡(luò)架構(gòu)變動(dòng)導(dǎo)致的安全風(fēng)險(xiǎn)

虛擬化網(wǎng)絡(luò)技術(shù)的部置對(duì)傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了很大的變動(dòng)，因此也帶來了新的風(fēng)險(xiǎn)。部署虛擬化網(wǎng)絡(luò)之前，在防火墻上新建幾個(gè)隔離區(qū)，根據(jù)物理服務(wù)器的異同用不同的訪問規(guī)則加以控制，從而有效地保證把網(wǎng)絡(luò)攻擊限定在一個(gè)隔離區(qū)范圍之內(nèi)，部署虛擬化網(wǎng)絡(luò)完成后，若有一臺(tái)虛擬機(jī)失效，能通過虛擬網(wǎng)絡(luò)把安全問題的消息發(fā)布到其他虛擬機(jī)中去。

2.3 虛擬化網(wǎng)絡(luò)環(huán)境的安全風(fēng)險(xiǎn)

1）來自黑客的攻擊。全面地控制住管理層的黑客，能控制物理服務(wù)器中的全部虛擬機(jī)，那么管理程序上所運(yùn)行的所有操作系統(tǒng)特別難監(jiān)測(cè)出一些流氓軟件和病毒所帶來的威脅。

2）系統(tǒng)補(bǔ)丁存在安全風(fēng)險(xiǎn)。在物理服務(wù)器發(fā)布多個(gè)虛擬機(jī)之后，這些虛擬機(jī)會(huì)在定期進(jìn)行系統(tǒng)的補(bǔ)丁更新、維護(hù)，在補(bǔ)丁成功安裝后會(huì)出現(xiàn)不能及時(shí)地補(bǔ)漏洞所產(chǎn)生的安全威脅。超級(jí)管理員在虛擬化管理平臺(tái)發(fā)現(xiàn)有安全漏洞時(shí)，那么就能讓虛擬機(jī)在主機(jī)上運(yùn)行惡意代碼。黑客便使用虛擬化技術(shù)去隱藏計(jì)算機(jī)病毒、木馬程序和其他各類帶有破壞性的軟件的軌跡，讓我們防不勝防。

3 虛擬化網(wǎng)絡(luò)的安全設(shè)計(jì)

3.1 虛擬資源中心的安全需求

正常的虛擬資源中心主要監(jiān)控常規(guī)業(yè)務(wù)流量的訪問情況，虛擬資源中心進(jìn)行虛擬化后增加了一些主機(jī)的動(dòng)態(tài)遷移和積灰業(yè)務(wù)混雜一起的風(fēng)險(xiǎn)，所以在安全的模型之中要把主機(jī)的動(dòng)態(tài)去遷移到同一個(gè)資源池的其他物理服務(wù)器中，把業(yè)務(wù)風(fēng)險(xiǎn)有效的隔離作為管理平臺(tái)的一個(gè)關(guān)注點(diǎn)。虛擬化技術(shù)的虛擬資源中心安全需求包含三個(gè)方面：一是進(jìn)行通道隔離，主要是各種應(yīng)用、業(yè)務(wù)和用戶需要安全隔離，以便保證終端用戶群組可以獲得準(zhǔn)確資源和充裕的網(wǎng)絡(luò)流量，從而保持高可用;二是接入進(jìn)行控制，主要是網(wǎng)絡(luò)安全的策略可支撐集群中所有成員進(jìn)行動(dòng)態(tài)加入、遷移或離開;三是網(wǎng)絡(luò)安全方面策略能夠跟隨虛擬機(jī)進(jìn)行遷移。

3.2 虛擬資源中心的安全網(wǎng)絡(luò)架構(gòu)

1）虛擬資源中心的安全網(wǎng)絡(luò)架構(gòu)原則。在虛擬資源中心新一代的虛擬化技術(shù)進(jìn)行網(wǎng)絡(luò)架構(gòu)，可以通過智能彈性架構(gòu)技術(shù)將多臺(tái)網(wǎng)絡(luò)設(shè)備組成一個(gè)集群，連成一臺(tái)網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理，采用整體無環(huán)路設(shè)計(jì)方案可以大大提高設(shè)備的可用性。

虛擬資源中心在進(jìn)行虛擬化網(wǎng)絡(luò)架構(gòu)的時(shí)候，堅(jiān)持模塊化和層次化的規(guī)則。以安全可靠性原則為出發(fā)點(diǎn)，使用三層架構(gòu)和二層架構(gòu)兩種方式都能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的高可用，如果使用二層扁平化的網(wǎng)絡(luò)架構(gòu)則更能滿足大規(guī)模的服務(wù)器虛擬化集群，以及虛擬機(jī)進(jìn)行遷移工作。能在內(nèi)部網(wǎng)中基于應(yīng)用系統(tǒng)的重要性、網(wǎng)絡(luò)流量特征以及用戶特征不同的特點(diǎn)，可以劃分幾個(gè)區(qū)域來，要以虛擬資源中心的核心區(qū)為中心，將其它功能區(qū)與核心區(qū)進(jìn)行連接，從而讓虛擬資源中心網(wǎng)絡(luò)的邊緣區(qū)域資源都利用起來。

2）虛擬資源中心的安全網(wǎng)絡(luò)架構(gòu)具體方案。隨著云計(jì)算的發(fā)展，計(jì)算資源被池化，為了使得計(jì)算資源可以任意分配，需要一個(gè)大二層的網(wǎng)絡(luò)架構(gòu)。即整個(gè)數(shù)據(jù)中心網(wǎng)絡(luò)都是一個(gè)L2廣播域，這樣，服務(wù)器可以在任意地點(diǎn)創(chuàng)建、遷移，而不需要對(duì)IP地址或者默認(rèn)網(wǎng)關(guān)做修改。大二層網(wǎng)絡(luò)架構(gòu)，L2/L3分界在核心交換機(jī)，核心交換機(jī)以下，也就是整個(gè)數(shù)據(jù)中心，是L2網(wǎng)絡(luò)（當(dāng)然，可以包含多個(gè)VLAN，VLAN之間通過核心交換機(jī)做路由進(jìn)行連通）。大二層的網(wǎng)絡(luò)架構(gòu)如下圖所示：

大二層網(wǎng)絡(luò)架構(gòu)雖然使得虛機(jī)網(wǎng)絡(luò)能夠靈活創(chuàng)建，但是帶來的問題也是明顯的。共享的L2廣播域帶來的BUM（Broadcast，Unknown Unicast，Multicast）風(fēng)暴隨著網(wǎng)絡(luò)規(guī)模的增加而明顯增加，最終將影響正常的網(wǎng)絡(luò)流量。

傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)已經(jīng)存在幾十年，并且現(xiàn)在有些數(shù)據(jù)中心中仍然使用這種架構(gòu)。這種架構(gòu)提出的最初原因是什么？一方面是因?yàn)樵缙贚3路由設(shè)備比L2橋接設(shè)備貴得多。即使是現(xiàn)在，核心交換機(jī)也比匯聚接入層設(shè)備貴不少。采用這種架構(gòu)，使用一組核心交換機(jī)可以連接多個(gè)匯聚層POD，例如上面的圖中，一對(duì)核心交換機(jī)連接了多個(gè)匯聚層POD。另一方面，早期的數(shù)據(jù)中心，大部分流量是南北向流量。例如，一個(gè)服務(wù)器上部署了WEB應(yīng)用，供數(shù)據(jù)中心之外的客戶端使用。使用這種架構(gòu)可以在核心交換機(jī)統(tǒng)一控制數(shù)據(jù)的流入流出，添加負(fù)載均衡器，為數(shù)據(jù)流量做負(fù)載均衡等。

虛擬化的流行。傳統(tǒng)的數(shù)據(jù)中心中，服務(wù)器的利用率并不高，采用三層網(wǎng)絡(luò)架構(gòu)配合一定的超占比（over subscription），能夠有效的共享利用核心交換機(jī)和一些其他網(wǎng)絡(luò)設(shè)備的性能。但是虛擬化的流行使得服務(wù)器的利用率變高，一個(gè)物理服務(wù)器可以虛擬出多個(gè)虛擬機(jī)，分別運(yùn)行各自的任務(wù)，走自己的網(wǎng)絡(luò)路徑。因此，高的服務(wù)器利用率要求更小的超占比。

虛擬資源中心的虛擬化網(wǎng)絡(luò)是以虛擬化技術(shù)來構(gòu)建基礎(chǔ)的設(shè)施池，這包括計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)三種資源。高校實(shí)驗(yàn)教學(xué)在安全的范疇上使用虛擬網(wǎng)絡(luò)技術(shù)，從而可以更好地服務(wù)于廣大師生們。

參考文獻(xiàn)

[1]潘林.安全中虛擬網(wǎng)絡(luò)技術(shù)的作用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（6）：31-33.

[2]金磊.虛擬專用網(wǎng)絡(luò)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用探討[J].無線互聯(lián)科技，2016（19）：29-30.

[3]劉培.淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的作用[J].通訊世界，2015（11）：313-314.