趙立軍　樊燕紅　張龍江

摘要：建安全可靠的云資源池。分析了網(wǎng)絡(luò)堵塞的排查和分析方法，通過對防火墻的session分析、交換機(jī)的端口流量、物理主機(jī)網(wǎng)絡(luò)流量、虛擬機(jī)的網(wǎng)絡(luò)流量的分析，找到網(wǎng)絡(luò)堵塞發(fā)生的根源，對物理防火墻和服務(wù)器虛擬化管理軟件本身進(jìn)行了防范性加固，杜絕惡意攻擊導(dǎo)致的網(wǎng)絡(luò)堵塞。

關(guān)鍵詞：云資源池；安全；網(wǎng)絡(luò)堵塞；網(wǎng)絡(luò)防范

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）07-1401-02

云計算的興起，數(shù)據(jù)中心作為云端的核心，承載了越來越多的業(yè)務(wù)。和傳統(tǒng)網(wǎng)絡(luò)相比，在需求和規(guī)劃上有著極大的差異性。這些差異也直接催生了網(wǎng)絡(luò)的變化，也給數(shù)據(jù)中心網(wǎng)絡(luò)安全帶來了新挑戰(zhàn)。

網(wǎng)絡(luò)堵塞是目前遇到的最為常見的網(wǎng)絡(luò)攻擊故障，表現(xiàn)為網(wǎng)絡(luò)鏈路鏈接被云主機(jī)在某一時間大量發(fā)包，占用了幾乎所有的網(wǎng)絡(luò)帶寬。當(dāng)網(wǎng)絡(luò)負(fù)載接近網(wǎng)絡(luò)容量時，延時急劇增大，當(dāng)網(wǎng)絡(luò)負(fù)載大于網(wǎng)絡(luò)容量時，延時為無窮大，導(dǎo)致網(wǎng)絡(luò)無法使用。云數(shù)據(jù)中心網(wǎng)絡(luò)與傳統(tǒng)網(wǎng)絡(luò)的差異性，增加了故障排查的難度。

1 網(wǎng)絡(luò)堵塞監(jiān)測

2.3 查看對應(yīng)物理主機(jī)和承載的虛擬機(jī)異常流量

發(fā)現(xiàn)192.168.254.11服務(wù)器上的流量有異常，該物理主機(jī)的流量比正常情況下出現(xiàn)了很大變化，說明運(yùn)行在該物理主機(jī)上的虛擬機(jī)有流量問題。查看每個虛擬機(jī)的流量變化情況。發(fā)現(xiàn)有個iTV-100的虛擬機(jī)的流量出現(xiàn)了異常：

正常情況下，流量在50M左右，流量突然增加到900M以上，高峰時刻達(dá)到了1200M，超過了防火墻的網(wǎng)絡(luò)出口上限1000M，可以判斷，該虛擬機(jī)是引起網(wǎng)絡(luò)堵塞的原因。

3 安全加固

造成網(wǎng)絡(luò)堵塞大部分是由于DDOS攻擊引起的。這種攻擊就是要阻止合法用戶對正常網(wǎng)絡(luò)資源的訪問，它通過很多“僵尸主機(jī)”向受害主機(jī)發(fā)送大量看似合法的網(wǎng)絡(luò)包，從而造成網(wǎng)絡(luò)阻塞或服務(wù)器資源耗盡而導(dǎo)致拒絕服務(wù)，導(dǎo)致合法用戶無法正常訪問服務(wù)器的網(wǎng)絡(luò)資源。

3.1 攻擊防范配置

攻擊防范是一個重要的網(wǎng)絡(luò)安全特性，它通過分析經(jīng)過設(shè)備的報文的內(nèi)容和行為，判斷報文是否具有攻擊特征，并根據(jù)配置對具有攻擊特征的報文執(zhí)行一定的防范措施。防火墻都提供了一些防御能力，華為防護(hù)墻的防范網(wǎng)絡(luò)攻擊的配置如下。

3.2 虛擬應(yīng)用流量限制

在云平臺下，由于部署了眾多的業(yè)務(wù)平臺，為安全起見，每個業(yè)務(wù)平臺都有各自獨(dú)立使用的Vlan，在調(diào)研階段，就需要對業(yè)務(wù)平臺使用的網(wǎng)絡(luò)帶寬情況進(jìn)行規(guī)劃。部署時，進(jìn)行網(wǎng)絡(luò)帶寬限制。Vmware提供了對一個Vlan進(jìn)行網(wǎng)絡(luò)流量限制的方法。在Vlan屬性對話框中，開啟流量調(diào)整策略，設(shè)置平均帶寬、帶寬峰值、突發(fā)大小的值。

4 結(jié)束語

云資源池的安全性一方面依賴于服務(wù)器虛擬化本身的安全性能，另一方面，需要采用傳統(tǒng)的安全技術(shù)和云資源池下的特性結(jié)合起來，在現(xiàn)有的網(wǎng)絡(luò)設(shè)備上進(jìn)行配置，減少網(wǎng)絡(luò)遭受攻擊的可能性。該文介紹的網(wǎng)絡(luò)在遭受攻擊后的檢測，通過分析防火墻、交換機(jī)、物理機(jī)的網(wǎng)絡(luò)流量、虛擬機(jī)的網(wǎng)絡(luò)流量幾個層面的特性，定位到網(wǎng)絡(luò)攻擊的根源，并提供了幾個加固防范的措施。

參考文獻(xiàn)：

[1] 彭曉靖，郭亮，彭國城，等.中國電信基于云平臺提供網(wǎng)站安全運(yùn)營服務(wù)探索[J]電信技術(shù)， 2013（9）：25-28.

[2] 袁玉宇，劉川意，郭松柳.虛擬化與云計算[M].北京：電子工業(yè)出版社，2012，8.