基于虛擬化技術(shù)的高校服務(wù)器網(wǎng)絡(luò)安全策略分析

◆崔藝馨

（太原工業(yè)學(xué)院 山西 030000）

在互聯(lián)網(wǎng)背景下，高校應(yīng)進(jìn)一步加強(qiáng)服務(wù)器網(wǎng)絡(luò)建設(shè)工作，改進(jìn)服務(wù)器網(wǎng)絡(luò)的安全程度。虛擬技術(shù)是對(duì)于物理形式的服務(wù)器實(shí)施虛擬化干預(yù)，使一個(gè)物理類型的服務(wù)器區(qū)分為多個(gè)相互之間不影響的虛擬形式的服務(wù)器，從而在實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)上分散的服務(wù)與應(yīng)用的統(tǒng)一管理的基礎(chǔ)上，實(shí)現(xiàn)服務(wù)器資源根據(jù)各服務(wù)器與應(yīng)用之間實(shí)際需求的動(dòng)態(tài)分配。通常情況下，虛擬化技術(shù)在服務(wù)器管理中的應(yīng)用需實(shí)現(xiàn)以下功能：可以實(shí)現(xiàn)對(duì)服務(wù)器的維護(hù)與管理；能夠有效降低硬件采購(gòu)的成本；具有較高的實(shí)效性與安全性。

1 VMware虛擬化技術(shù)概述

1.1 VMware虛擬化技術(shù)

作為當(dāng)今較為成熟、先進(jìn)的虛擬化技術(shù)，VMware虛擬化技術(shù)在國(guó)內(nèi)多個(gè)高校數(shù)據(jù)中心相關(guān)服務(wù)器管控過(guò)程中被運(yùn)用[1]。在VMware虛擬化技術(shù)誕生的初期，我國(guó)對(duì)服務(wù)器相關(guān)管理過(guò)程中的虛擬化技術(shù)運(yùn)用情況，如虛擬化服務(wù)器安全及其邊界防護(hù)的相關(guān)研究較少，因此在初期，我國(guó)高校采用的VMware技術(shù)都是依靠進(jìn)口。隨著近年來(lái)我國(guó)綜合國(guó)力的提升，對(duì)于服務(wù)器虛擬化的研究進(jìn)程加快，我國(guó)自主的虛擬化服務(wù)器安全技術(shù)已經(jīng)趨近成熟，基本可以滿足高校的服務(wù)器管理需求[2]。目前來(lái)看，一些高校的虛擬化服務(wù)器也初具規(guī)模，并且隨著高校信息化建設(shè)進(jìn)程的加快，如何營(yíng)造一個(gè)安全可靠的虛擬化服務(wù)器運(yùn)行環(huán)境，成了高校服務(wù)器管理中所面臨的一個(gè)全新問(wèn)題。

1.2 VMware虛擬化技術(shù)重要性

VMware虛擬化技術(shù)在高校服務(wù)器管理中的應(yīng)用，主要是憑借VMware虛擬化技術(shù)，來(lái)對(duì)服務(wù)器的操作系統(tǒng)、儲(chǔ)存空間與處理器進(jìn)行虛擬化處理，從而實(shí)現(xiàn)對(duì)硬件資源的管理，并可以根據(jù)用戶需求進(jìn)行服務(wù)器功能的拓展與完善[3]。在高校服務(wù)器管理中，VMware虛擬化技術(shù)具有以下幾方面的重要性：第一，既可以科學(xué)合理地對(duì)資源進(jìn)行重新配置，同時(shí)也可以滿足不同用戶的多元化需求。并將儲(chǔ)存空間、磁盤空間等利用虛擬化平臺(tái)進(jìn)行重新配置。第二，VMware虛擬化技術(shù)具備強(qiáng)大的靈活性與適應(yīng)能力，可以分析與整合服務(wù)器的不同狀態(tài)，從而以此對(duì)服務(wù)器整體性能進(jìn)行提升，為服務(wù)器的性能發(fā)揮提供保障。

2 高校服務(wù)器管理現(xiàn)狀分析

2.1 高校服務(wù)器虛擬化基本內(nèi)容

2.1.1 全虛擬化內(nèi)容

高校在對(duì)當(dāng)前自身的服務(wù)器技術(shù)基本內(nèi)容進(jìn)行分析研究時(shí)，對(duì)于全虛擬化的理解應(yīng)該重視其自身的執(zhí)行技術(shù)和DBT（數(shù)據(jù)庫(kù)轉(zhuǎn)換）應(yīng)用情況，這樣才能為操作系統(tǒng)實(shí)現(xiàn)虛擬化目標(biāo)提供保證。在虛擬機(jī)中的DBT需要保持自身的穩(wěn)定運(yùn)行狀態(tài)，同時(shí)還要在其中嵌入相應(yīng)的命令，再通過(guò)對(duì)應(yīng)的指令進(jìn)行相應(yīng)的操作，進(jìn)而經(jīng)由VMM完成有效轉(zhuǎn)化，促使虛擬硬件相關(guān)功能指令獲得達(dá)成[4]。而且，虛擬化相關(guān)指令在被翻譯體系達(dá)成后，于CPU內(nèi)還是會(huì)存在執(zhí)行命令的相關(guān)權(quán)限情況，通過(guò)虛擬化層使用，使得硬件中的客戶操作系統(tǒng)有效運(yùn)用，同時(shí)根據(jù)不同的系統(tǒng)對(duì)其內(nèi)核進(jìn)行改善，以此達(dá)到良好的應(yīng)用效果。

2.1.2 半虛擬化內(nèi)容

所謂半虛擬化內(nèi)容，是高校于虛擬技術(shù)的運(yùn)用實(shí)踐中，應(yīng)采取半虛擬化技術(shù)對(duì)電腦用戶相關(guān)操作系統(tǒng)實(shí)施更改，且不能經(jīng)由虛擬指令實(shí)施獨(dú)立完成，它的使用往往是利用Hypervisor實(shí)現(xiàn)的操作與調(diào)動(dòng)。研究半虛擬化技術(shù)具體運(yùn)用狀況發(fā)現(xiàn)，采取半虛擬技術(shù)實(shí)施相關(guān)操控，能夠保證電腦操作系統(tǒng)和虛擬平臺(tái)之間存在一定兼容特征，保證采取半虛擬技術(shù)能夠操控物理機(jī)以及虛擬機(jī)。Xen是當(dāng)今運(yùn)用較廣的一種虛擬化技術(shù)，控制主體涉及Domain、VMM等，而VMM于硬件內(nèi)的應(yīng)用較廣一些，可以虛擬處置設(shè)備相關(guān)內(nèi)存和處理器等，以此達(dá)到良好的作用效果[5]。

2.1.3 硬件輔助虛擬化內(nèi)容

服務(wù)器的相關(guān)虛擬化技術(shù)運(yùn)用范圍一般較廣，促進(jìn)服務(wù)器運(yùn)用個(gè)數(shù)增加。在服務(wù)器運(yùn)行的過(guò)程中，虛擬化類型的服務(wù)器具有一種全新的Root運(yùn)行模式。結(jié)合使用虛擬技術(shù)，能夠促進(jìn)服務(wù)器的平穩(wěn)運(yùn)轉(zhuǎn)，同時(shí)能夠在不依靠外部因素及相關(guān)技術(shù)的基礎(chǔ)上完成對(duì)應(yīng)敏感指令。在此過(guò)程中，電腦用戶僅經(jīng)由利用操作系統(tǒng)即可保證虛擬機(jī)相關(guān)控制結(jié)構(gòu)內(nèi)的管控模塊，對(duì)涉及內(nèi)容給予改進(jìn)。

2.2 高校服務(wù)器虛擬化中存在的問(wèn)題

2.2.1 單點(diǎn)故障多，系統(tǒng)恢復(fù)困難

由于虛擬化技術(shù)在高校服務(wù)器應(yīng)用前期過(guò)程中，缺乏統(tǒng)一的協(xié)調(diào)部署，導(dǎo)致一些高校的不同部門采用的都是獨(dú)立的服務(wù)器管理模式，在這種前提下，服務(wù)器一旦出現(xiàn)故障，就有可能導(dǎo)致整個(gè)系統(tǒng)的癱瘓。并且隨著時(shí)間的推移，一些高校早期所采用的服務(wù)器已經(jīng)無(wú)法滿足高校的信息化建設(shè)需求，甚至一些年份較為久遠(yuǎn)的服務(wù)器已經(jīng)停產(chǎn)。

2.2.2 軟硬件資源分配不合理

隨著我國(guó)各高校辦學(xué)規(guī)模的不斷擴(kuò)增以及信息化建設(shè)進(jìn)程的加快，高校內(nèi)的各類信息系統(tǒng)層出不窮，如本科教務(wù)管理系統(tǒng)、人事系統(tǒng)，統(tǒng)一身份認(rèn)證系統(tǒng)等，由于不同類型系統(tǒng)的運(yùn)行環(huán)境不同，因此高校需要為其單獨(dú)進(jìn)行硬件資源的配置，給現(xiàn)有的硬件資源帶來(lái)額外的壓力[6]。

3 高校服務(wù)器虛擬化具體設(shè)計(jì)

3.1 現(xiàn)有環(huán)境及需求

本次以某高校為研究案例，對(duì)基于虛擬化技術(shù)的高校服務(wù)器網(wǎng)絡(luò)安全策略進(jìn)行分析。目前，該高校擁有27臺(tái)服務(wù)器，負(fù)責(zé)各教學(xué)單位與行政處室共14臺(tái)不同業(yè)務(wù)應(yīng)用系統(tǒng)的運(yùn)行。其中，除了有3臺(tái)服務(wù)器的負(fù)載較大外，其余服務(wù)器的負(fù)載較小，并沒(méi)有充分發(fā)揮出服務(wù)器的真實(shí)運(yùn)行狀態(tài)。負(fù)載比較大的3臺(tái)服務(wù)器未發(fā)揮硬件平臺(tái)相關(guān)資源效率情況?？紤]到該高校網(wǎng)絡(luò)設(shè)備與服務(wù)器管理的實(shí)際需求，本次提出將VMware vSphere安裝配置于服務(wù)器中的方式，從而在單個(gè)物理實(shí)體服務(wù)器中生成多個(gè)虛擬服務(wù)器，且于虛擬類型的服務(wù)器內(nèi)設(shè)置Windows操作系統(tǒng)，并在每個(gè)系統(tǒng)中安裝相同的應(yīng)用程序，確保虛擬形式的服務(wù)器相關(guān)操控方法和性能較為一致，且和物理形式的服務(wù)器對(duì)應(yīng)操作方法及性能維持一定的一致性，并預(yù)期實(shí)現(xiàn)以下幾個(gè)目標(biāo)：

平臺(tái)搭建：搭建VMware vSphere6.7的虛擬化平臺(tái)。

相關(guān)功能：HA服務(wù)器存在可用性及Vmotion 動(dòng)態(tài)遷移等。

完善備份：構(gòu)建快速的數(shù)據(jù)備份、數(shù)據(jù)還原機(jī)制，為數(shù)據(jù)的安全、完整提供保障。

3.2 方案構(gòu)成要素

該部分主要涉及的軟件、硬件情況如表1所示。

表1 方案構(gòu)成要素

3.3 方案設(shè)計(jì)流程

3.3.1 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全涉及檢驗(yàn)入侵情況、對(duì)用戶的身份進(jìn)行驗(yàn)證，對(duì)于外部實(shí)施設(shè)置和運(yùn)用防火墻等，進(jìn)而對(duì)某高校相關(guān)網(wǎng)絡(luò)邊界實(shí)施預(yù)防及保護(hù)干預(yù)，設(shè)置一定的安全區(qū)，做好入侵方面的檢驗(yàn)及分析，加強(qiáng)網(wǎng)絡(luò)病毒的積極預(yù)防及保護(hù)等，增加服務(wù)器網(wǎng)絡(luò)相關(guān)邊界的預(yù)防及保護(hù)功能情況。此高校相關(guān)網(wǎng)絡(luò)應(yīng)用層具備不同類型服務(wù)需要的相關(guān)運(yùn)用系統(tǒng)，為符合運(yùn)用系統(tǒng)的實(shí)際需求情況，于虛擬機(jī)的相關(guān)物理形式服務(wù)器內(nèi)，將esx/esxi指令給予運(yùn)行，對(duì)服務(wù)器實(shí)施對(duì)應(yīng)虛擬干預(yù)，調(diào)節(jié)虛擬機(jī)相關(guān)資源狀況。因?yàn)閷?duì)此高校的運(yùn)用系統(tǒng)實(shí)施區(qū)分成各項(xiàng)差異性類型情況，具備差異特別的運(yùn)用系統(tǒng)能為差異性電腦用戶供應(yīng)個(gè)性化服務(wù)，有效增加網(wǎng)絡(luò)服務(wù)的多樣性。因此為了實(shí)現(xiàn)這一目的，能夠經(jīng)由主機(jī)層相關(guān)vnetwork，經(jīng)核心交換機(jī)與處于內(nèi)網(wǎng)中的差異性交換機(jī)實(shí)施相連。

3.3.2 主機(jī)安全

主機(jī)安全涉及多項(xiàng)：首先，對(duì)虛擬化服務(wù)器進(jìn)行邊界保護(hù)；其次，提高涉及關(guān)鍵信息系統(tǒng)相關(guān)服務(wù)器整體安全性；再次，實(shí)現(xiàn)主機(jī)訪問(wèn)控制、身份識(shí)別、安全審計(jì)、惡意代碼防范與入侵防范控制等功能。主機(jī)層是VMware vSphere內(nèi)的一項(xiàng)虛擬層，涉及基礎(chǔ)架構(gòu)以及運(yùn)用程序?；A(chǔ)架構(gòu)服務(wù)（infrastructure services）涉及運(yùn)行計(jì)算、保存、網(wǎng)絡(luò)等內(nèi)容。運(yùn)用程序服務(wù)涉及可行性、可擴(kuò)展性、安全性等內(nèi)容。而基礎(chǔ)架構(gòu)服務(wù)中，exs/exsi主機(jī)可對(duì)上層服務(wù)供應(yīng)硬件資源實(shí)施虛擬干預(yù)。當(dāng)一個(gè)或多個(gè)物理服務(wù)器作為一個(gè)整體組合在一起時(shí)，計(jì)算和內(nèi)存資源便形成群集。

3.3.3 數(shù)據(jù)安全及備份恢復(fù)

數(shù)據(jù)的安全性和備份恢復(fù)情況是經(jīng)由設(shè)置數(shù)據(jù)備份系統(tǒng)，增加數(shù)據(jù)的整體完整程度，能夠自動(dòng)對(duì)數(shù)據(jù)信息實(shí)施備份，且對(duì)相關(guān)數(shù)據(jù)資料給予及時(shí)恢復(fù)。而且，數(shù)據(jù)的保存同樣是數(shù)據(jù)中心中物理資源構(gòu)成的虛擬方式，物理保存資源的來(lái)源較廣，涉及服務(wù)器相關(guān)本地SCSI、SATA磁盤、SAS、ISCSI SAN相關(guān)磁盤陣列、光纖通道SAN相關(guān)磁盤陣列、網(wǎng)絡(luò)附加形式保存陣列等。網(wǎng)絡(luò)服務(wù)器是服務(wù)器實(shí)施虛擬干預(yù)之后的一項(xiàng)服務(wù)層，具備網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)相關(guān)備份服務(wù)、網(wǎng)絡(luò)管控服務(wù)等。服務(wù)器的虛擬化框架內(nèi)相關(guān)設(shè)施常需經(jīng)由交換機(jī)中的交互層給予相連接，同時(shí)采取VMware vSphere具備的快照方法對(duì)于虛擬機(jī)相關(guān)網(wǎng)絡(luò)給予備份工作，規(guī)避數(shù)據(jù)信息丟失情況。作為虛擬化電腦環(huán)境內(nèi)的中心點(diǎn)，VMware vSphere體系內(nèi)的vcenter server構(gòu)成網(wǎng)絡(luò)管控，且能配置及管控、調(diào)整運(yùn)用程序等，故vcenter server為vSphere的一個(gè)整體控制中心。

3.3.4 信息安全服務(wù)

在虛擬化計(jì)算機(jī)基礎(chǔ)設(shè)備及物理形式的服務(wù)器內(nèi)，都存在一定程度上的信息安全風(fēng)險(xiǎn)隱患，防護(hù)的方法是用戶可以充分利用虛擬化軟件提供安全機(jī)制和多處理器、多核體系結(jié)構(gòu)。以后，為有效保護(hù)虛擬形式的計(jì)算機(jī)資源，建議于虛擬平臺(tái)內(nèi)運(yùn)用NSX分布式防火墻，增加其安全程度，或是利用進(jìn)程監(jiān)控的方式，從而實(shí)現(xiàn)對(duì)異常情況的及時(shí)發(fā)現(xiàn)、有效處置，積極預(yù)防及保護(hù)虛擬化安全程度。而且，信息安全服務(wù)也涉及預(yù)防保護(hù)系統(tǒng)服務(wù)及數(shù)據(jù)庫(kù)運(yùn)用情況、監(jiān)督控制不同類型事件情況、虛擬化訪問(wèn)管控、審核系統(tǒng)操作狀況、預(yù)防及保護(hù)DDoS攻擊情況等。

4 結(jié)語(yǔ)

綜上所述，在使用虛擬機(jī)技術(shù)對(duì)高校服務(wù)器網(wǎng)絡(luò)安全進(jìn)行防護(hù)的過(guò)程中，應(yīng)該結(jié)合實(shí)際情況制定相應(yīng)的策略，同時(shí)還可以通過(guò)策略制定相應(yīng)的保護(hù)方式，從而使得主機(jī)得到精確的定位和管理。虛擬技術(shù)在高校服務(wù)器網(wǎng)絡(luò)安全防護(hù)中的應(yīng)用，不僅可以減少高校服務(wù)器的運(yùn)維成本，同時(shí)還能減少一些其他的問(wèn)題出現(xiàn)，為高校信息化建設(shè)進(jìn)程的推進(jìn)奠定扎實(shí)的基礎(chǔ)。