摘要：該文結(jié)合虛擬服務(wù)器的現(xiàn)狀，得出虛擬服務(wù)器安全方面存在的問題。通過分析傳統(tǒng)服務(wù)器安全措施并結(jié)合新技術(shù)標(biāo)準(zhǔn)，最終得出虛擬服務(wù)器安全問題的解決方案。

關(guān)鍵詞：虛擬服務(wù)器；安全問題；VEPA

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2012）31-7444-02

隨著信息技術(shù)的發(fā)展，服務(wù)器形態(tài)經(jīng)歷著從塔式、機(jī)架式到刀片式的轉(zhuǎn)變，服務(wù)器系統(tǒng)和應(yīng)用模式也隨之更新?lián)Q代，其中最熱門的屬近幾年快速發(fā)展并推廣的虛擬服務(wù)器。虛擬服務(wù)器是一種全新的應(yīng)用模式，它可將多臺(tái)物理服務(wù)器聯(lián)合起來并行使用，安裝專業(yè)虛擬服務(wù)器軟件（以VMWare為代表）使之成為一個(gè)承載若干操作系統(tǒng)并提供信息服務(wù)的虛擬化統(tǒng)一平臺(tái)。虛擬服務(wù)器的應(yīng)用模式不拘泥于單臺(tái)物理服務(wù)器，也不受制于單一的操作系統(tǒng)，一組虛擬服務(wù)器可同時(shí)運(yùn)行若干WINDOWS、UNIX、LINUX、OS/2等操作系統(tǒng)，各操作系統(tǒng)根據(jù)需求被科學(xué)的分配CPU、內(nèi)存、存儲(chǔ)空間等系統(tǒng)資源，各虛擬系統(tǒng)之間相互邏輯獨(dú)立。

1　虛擬服務(wù)器帶來的安全問題

虛擬服務(wù)器擁有傳統(tǒng)服務(wù)器不可比擬的優(yōu)點(diǎn)，它可根據(jù)信息應(yīng)用情況按需劃分系統(tǒng)資源，只占用一個(gè)機(jī)柜的一組刀片服務(wù)器，在虛擬化后可承載多達(dá)一百個(gè)常規(guī)需求的信息應(yīng)用，也可將大部分系統(tǒng)資源劃分給某個(gè)需要大量并發(fā)訪問和數(shù)據(jù)處理的ZW7eMJbMfvQuAYi0cjybrrr4bHVTwi0MjTy5LR5lveI=虛擬服務(wù)器。但新事物總會(huì)帶來新問題，帶來優(yōu)點(diǎn)和便利的虛擬服務(wù)器同樣帶來新的安全問題。

服務(wù)器的安全需求包系統(tǒng)安全和數(shù)據(jù)安全，諸如系統(tǒng)侵入、數(shù)據(jù)竊取和篡改等攻擊行為一般來自于網(wǎng)絡(luò)，而網(wǎng)絡(luò)攻擊分為來自外網(wǎng)的攻擊和內(nèi)網(wǎng)之間的攻擊兩種。在服務(wù)器機(jī)房的網(wǎng)絡(luò)出口配置防火墻、入侵防御等安全設(shè)備可抵御絕大部分來自外部的網(wǎng)絡(luò)攻擊，而對(duì)于局域網(wǎng)內(nèi)部之間的攻擊卻無(wú)法控制。針對(duì)內(nèi)網(wǎng)之間的網(wǎng)絡(luò)攻擊，傳統(tǒng)的解決方法是在局域網(wǎng)內(nèi)部交換機(jī)上設(shè)置訪問控制列表，結(jié)合服務(wù)器端必要的安全軟件和配置，以此降低來自局域網(wǎng)內(nèi)部網(wǎng)絡(luò)侵害。

一組虛擬服務(wù)器可能處于一臺(tái)物理機(jī)或一組刀片機(jī)之中，它們之間的數(shù)據(jù)交換都由虛擬化平臺(tái)上的虛擬交換機(jī)完成，不經(jīng)過物理交換機(jī)。虛擬交換機(jī)只提供數(shù)據(jù)二層交換，不支持基于包過濾的安全訪問控制，所以虛擬服務(wù)器之間的數(shù)據(jù)交換不在數(shù)據(jù)安全策略的控制之下。而在每個(gè)虛擬服務(wù)器上安裝殺毒軟件和軟件防火墻會(huì)占用較大的系統(tǒng)資源，造成不必要的浪費(fèi)（如一組20臺(tái)虛擬服務(wù)器就需要安裝20套安全軟件），這勢(shì)必降低虛擬服務(wù)器的高效優(yōu)勢(shì)。來自虛擬服務(wù)器內(nèi)部之間的攻擊侵害就是有待迫切解決的新安全問題。

2　虛擬服務(wù)器安全對(duì)策

虛擬服務(wù)器的安全保障需要結(jié)合以下安全措施：

1）科學(xué)的服務(wù)器機(jī)房管理制度

沒有制度不成方圓，制定科學(xué)的管理制度是每個(gè)組織良好運(yùn)轉(zhuǎn)的前提。機(jī)房管理制度應(yīng)當(dāng)確立良好用機(jī)制度、保障上機(jī)操作合法性、養(yǎng)成專機(jī)專用和專人監(jiān)管的科學(xué)使用習(xí)慣、杜絕服務(wù)器物理環(huán)境的安全隱患等?？茖W(xué)的機(jī)房管理制度有利于保障信息設(shè)備的物理安全；有利于對(duì)信息安全事故的排查和解決；可杜絕非相關(guān)人員對(duì)服務(wù)器誤操作帶來的信息危害。進(jìn)入機(jī)房所做的上機(jī)操作都應(yīng)記錄到管理日志中，以便日后查驗(yàn)。對(duì)出現(xiàn)的各種問題也可參照管理日志進(jìn)行反向操作。

2）配置數(shù)據(jù)中心

服務(wù)器應(yīng)用系統(tǒng)存儲(chǔ)和運(yùn)算出的數(shù)據(jù)離不開安全備份，但服務(wù)器的性能應(yīng)體現(xiàn)在對(duì)數(shù)據(jù)快速計(jì)算處理和對(duì)需求快速相應(yīng)，而不應(yīng)耗費(fèi)在對(duì)大量數(shù)據(jù)的存取。單臺(tái)物理服務(wù)器的硬盤存儲(chǔ)空間有限，開啟磁盤陣列（RAID）后，雖然可提供數(shù)據(jù)冗余備份，但有限的存儲(chǔ)空間將大幅縮小。一組高度集成的虛擬服務(wù)器在大量硬盤存儲(chǔ)擴(kuò)充方面將有所欠缺。

當(dāng)眾多網(wǎng)絡(luò)應(yīng)用產(chǎn)生大量數(shù)據(jù)的讀取和寫入時(shí)，迫切需要配置數(shù)據(jù)中心。數(shù)據(jù)中心是集中存儲(chǔ)的一種方式，由一臺(tái)或多臺(tái)處理大量數(shù)據(jù)存取的專用存儲(chǔ)服務(wù)器組成，可集中或分布式部署，通過高速網(wǎng)絡(luò)與各服務(wù)器相連，擁有龐大的存儲(chǔ)空間和高度可擴(kuò)充性，能夠容納上百塊高速硬盤，并發(fā)數(shù)據(jù)讀取性能可滿足整個(gè)服務(wù)器機(jī)房的所有應(yīng)用需求。分布存儲(chǔ)模式的數(shù)據(jù)中心屬虛擬存儲(chǔ)，其優(yōu)勢(shì)在于數(shù)據(jù)存儲(chǔ)的災(zāi)備能力。根據(jù)機(jī)房情況不同，選取合適的虛擬存儲(chǔ)配合虛擬服務(wù)器的建設(shè)和使用，是目前流行的實(shí)施方案。以平均劃分空間開啟并發(fā)讀寫互備機(jī)制為例，在提供的數(shù)據(jù)100%備份保護(hù)的同時(shí)，還可提高約70%的讀寫性能（大部分?jǐn)?shù)據(jù)的讀取需求多）。將所有服務(wù)器應(yīng)用所涉及的數(shù)據(jù)存取都配置或指向到數(shù)據(jù)中心，服務(wù)器端只保留必要的系統(tǒng)文件和應(yīng)用程序，是高效安全可行的。

3）配置防火墻和入侵防御系統(tǒng)

傳統(tǒng)服務(wù)器容易遭受來自外部網(wǎng)絡(luò)的侵害，虛擬服務(wù)器也不例外。抵御外部網(wǎng)絡(luò)侵害需依賴防火墻和入侵防御系統(tǒng)。在受到外網(wǎng)攻擊時(shí)，優(yōu)秀的防火墻能確保自己安然無(wú)恙且阻斷非法數(shù)據(jù)包通過。一臺(tái)包過濾路由器或一臺(tái)雙網(wǎng)關(guān)主機(jī)即可組成一套防火墻系統(tǒng)，現(xiàn)今比較成熟和安全的防火墻當(dāng)屬屏蔽子網(wǎng)防火墻，它的安全策略工作于網(wǎng)絡(luò)層和應(yīng)用層。屏蔽子網(wǎng)防火墻由兩臺(tái)包過濾路由器和被屏蔽的子網(wǎng)組成，被屏蔽子網(wǎng)又稱“非軍事區(qū)”，內(nèi)含簡(jiǎn)單的應(yīng)用服務(wù)器和帶有安全設(shè)置的堡壘主機(jī)。兩臺(tái)包過濾路由器分別阻斷外網(wǎng)和內(nèi)網(wǎng)之間的直接訪問，只允許內(nèi)外網(wǎng)與非軍事區(qū)內(nèi)的主機(jī)通訊。內(nèi)外網(wǎng)之間所有數(shù)據(jù)通訊都通過非軍事區(qū)的堡壘主機(jī)中轉(zhuǎn)，從而確保對(duì)內(nèi)網(wǎng)服務(wù)器的安全保護(hù)。

入侵防御系統(tǒng)是防火墻與入侵檢測(cè)系統(tǒng)結(jié)合的產(chǎn)物，它對(duì)通訊數(shù)據(jù)進(jìn)行收集并分析，檢測(cè)出違反安全策略的攻擊行為并加以阻斷。入侵檢測(cè)系統(tǒng)彌補(bǔ)了防火墻系統(tǒng)不能對(duì)通信數(shù)據(jù)行為進(jìn)行判斷的缺陷，是信息系統(tǒng)安全的第二道防線。入侵檢測(cè)技術(shù)有模型推理、行為狀態(tài)轉(zhuǎn)換分析、概率統(tǒng)計(jì)方法和神經(jīng)網(wǎng)絡(luò)方法，但比較多見的技術(shù)是專家系統(tǒng)。為了達(dá)到或不斷接近服務(wù)器所需的安全程度，入侵檢測(cè)專家系統(tǒng)可根據(jù)現(xiàn)今流行的網(wǎng)絡(luò)攻擊特征和使用環(huán)境具體情況進(jìn)行更新升級(jí)。

4）服務(wù)器和網(wǎng)絡(luò)交換機(jī)安全策略

服務(wù)器自身安全包括常規(guī)的操作系統(tǒng)和應(yīng)用軟件維護(hù)，操作系統(tǒng)和應(yīng)用軟件應(yīng)使用正版并定期更行升級(jí)，避免測(cè)試版和杜絕盜版。選擇一款合適的殺毒軟件不但能抵御來自網(wǎng)絡(luò)的木馬植入，而且可以防范由于不良使用習(xí)慣帶來的病毒感染。服務(wù)器提供的信息應(yīng)用越多，遭受攻擊的概率就越大，將不必要的系統(tǒng)服務(wù)和網(wǎng)絡(luò)端口屏蔽，也可提高服務(wù)器自身安全系數(shù)。

對(duì)于來自內(nèi)網(wǎng)，特別是服務(wù)器機(jī)房?jī)?nèi)部之間的網(wǎng)絡(luò)攻擊，目前只有依靠在網(wǎng)絡(luò)交換機(jī)上設(shè)置安全策略來降低所受侵害。交換機(jī)安全策略包括訪問控制列表（ACL）和虛擬局域網(wǎng)（VLAN）。ACL是一種廣泛使用的安全技術(shù)，它通過比對(duì)數(shù)據(jù)幀中的源地址、目標(biāo)地址、端口號(hào)、協(xié)議類型等判斷是否符合控制規(guī)則，做出放行或丟棄數(shù)據(jù)幀的動(dòng)作，以此來實(shí)現(xiàn)對(duì)某些訪問和某些數(shù)據(jù)傳輸控制的效果。交換機(jī)VLAN是為限制大廣播域而產(chǎn)生的技術(shù)，通過給數(shù)據(jù)幀添加VLAN標(biāo)簽來決定該數(shù)據(jù)幀可以再哪一個(gè)VLAN中傳播。VLAN能增強(qiáng)局域網(wǎng)的安全性，不同VLAN內(nèi)的數(shù)據(jù)幀在傳輸時(shí)是相互隔離的，即一個(gè)VLAN內(nèi)的用戶不能和其它VLAN內(nèi)的用戶直接通信，將安全需求較高的服務(wù)器安置于單獨(dú)劃分的VLAN中，可降低其遭受內(nèi)網(wǎng)侵害的概率。

5）結(jié)合最新技術(shù)標(biāo)準(zhǔn)

對(duì)于虛擬服務(wù)器內(nèi)部之間的數(shù)據(jù)交換不經(jīng)過物理網(wǎng)絡(luò)設(shè)備、不易受安全策略控制的情況，CISCO聯(lián)合VMWare提出基于VN-tag的802.11qbh技術(shù)標(biāo)準(zhǔn)，而HP提出基于VEPA（虛擬以太端口匯聚器Virtual　Ethernet　Port　Aggregator）技術(shù)的802.11qbg技術(shù)標(biāo)準(zhǔn)。這兩種虛擬化安全技術(shù)的主要思想一致，將虛擬服務(wù)器內(nèi)部之間訪問的數(shù)據(jù)幀打上標(biāo)簽后引導(dǎo)至物理交換機(jī)上，由具備訪問控制等安全策略的交換機(jī)對(duì)原先不易受控的數(shù)據(jù)交換進(jìn)行控制，最后將經(jīng)由安全過濾后的數(shù)據(jù)幀返回并發(fā)送至目的地。不同的是VN-tag技術(shù)要結(jié)合CISCO自己推出的UCS服務(wù)器和POLO虛擬服務(wù)器網(wǎng)卡使用，而VEPA技術(shù)不改變現(xiàn)有以太網(wǎng)交換規(guī)則，只需對(duì)交換機(jī)生成樹協(xié)議稍加修改，讓物理交換機(jī)與虛擬服務(wù)器機(jī)組相連的指定端口接受源MAC和目標(biāo)MAC相同的數(shù)據(jù)幀，等待網(wǎng)絡(luò)安全策略過濾后將合法數(shù)據(jù)幀由相同端口返回，如圖1所示。

VN-tag技術(shù)由網(wǎng)絡(luò)界巨頭CISCO涉足服務(wù)器產(chǎn)品市場(chǎng)后提出，它獲得虛擬化應(yīng)用權(quán)威VMWare廠家的認(rèn)可。不過VN-tag技術(shù)的產(chǎn)品選擇面單一，只能結(jié)合CISCO品牌的相關(guān)產(chǎn)品實(shí)現(xiàn)，有壟斷虛擬化產(chǎn)品市場(chǎng)的趨向。HP收購(gòu)H3C股份后提出的VEPA技術(shù)具有成本低廉，技術(shù)標(biāo)準(zhǔn)改動(dòng)少的優(yōu)點(diǎn)。目前已經(jīng)獲得國(guó)際眾多網(wǎng)絡(luò)設(shè)備廠商支持，技術(shù)實(shí)現(xiàn)難度低、兼容性強(qiáng)。在虛擬化安全實(shí)際應(yīng)用中，需要結(jié)合自身虛擬服務(wù)器現(xiàn)狀和市場(chǎng)主流導(dǎo)向進(jìn)行選取。

3　虛擬安全新技術(shù)的不足和展望

虛擬服務(wù)器是傳統(tǒng)服務(wù)器的發(fā)展和延伸，是物理服務(wù)器的虛擬化應(yīng)用，解決其安全問題應(yīng)基于傳統(tǒng)服務(wù)器的安全措施出發(fā)，同時(shí)需結(jié)合虛擬化安全方面的新技術(shù)和新標(biāo)準(zhǔn)。不論是802.11qbg還是802.11qbh，帶來解決問題新思路的同時(shí)，也帶來了內(nèi)部大量數(shù)據(jù)交換受限于上聯(lián)網(wǎng)絡(luò)鏈路帶寬的問題。

相比較而言，傳統(tǒng)交換機(jī)單純處理數(shù)據(jù)轉(zhuǎn)發(fā)消耗的設(shè)備CPU和內(nèi)存等資源有限，而對(duì)數(shù)據(jù)進(jìn)行安全過濾，特別是面對(duì)多臺(tái)服務(wù)器之間大量數(shù)據(jù)安全過濾需求時(shí)，大量的網(wǎng)絡(luò)設(shè)備資源占用不可避免。虛擬服務(wù)器設(shè)計(jì)開發(fā)的側(cè)重點(diǎn)是服務(wù)器物理資源的高效利用，所以位于虛擬服務(wù)器組底層的虛擬交換機(jī)只提供大量數(shù)據(jù)的快速二層交換，相對(duì)消耗資源的二層網(wǎng)絡(luò)數(shù)據(jù)安全過濾控制等功能被舍棄。開發(fā)升級(jí)虛擬化應(yīng)用平臺(tái)底層的虛擬交換機(jī)，不影響快速數(shù)據(jù)轉(zhuǎn)發(fā)的條件下提供對(duì)數(shù)據(jù)簡(jiǎn)單分析過濾的安全控制功能，可提高虛擬信息安全性并減緩對(duì)單一上聯(lián)網(wǎng)絡(luò)鏈路帶寬的壓力。

參考文獻(xiàn)：

[1]　徐國(guó)愛.網(wǎng)絡(luò)安全[M].北京：北京郵電大學(xué)出版社，2003.

[2]　H3C.構(gòu)建中小企業(yè)網(wǎng)絡(luò)V6.0[Z].杭州：H3C，2011.

[3]　美國(guó)思科公司，美國(guó)思科網(wǎng)絡(luò)技術(shù)學(xué)院著.思科網(wǎng)絡(luò)技術(shù)學(xué)院教程[M].黃海，譯.3版.北京：人民郵電出版社，2004.

[4]　下一代數(shù)據(jù)中心的虛擬接入技術(shù)—VN-Tag和VEPA[EB/OL].?。?011-01-16）.http：//www.tektalk.org.