基于虛擬化技術(shù)的高校服務(wù)器網(wǎng)絡(luò)安全方法策略

俞洋

（無錫南洋職業(yè)技術(shù)學(xué)院，江蘇 無錫 214081）

0 引言

在計(jì)算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)不斷創(chuàng)新和發(fā)展的背景下，虛擬化技術(shù)本身的應(yīng)用優(yōu)勢(shì)逐漸凸顯，并在許多高端商用服務(wù)器中得到廣泛應(yīng)用。但另一方面，服務(wù)器虛擬化技術(shù)的應(yīng)用雖然有利于實(shí)現(xiàn)資源的有效整合和管理成本的控制，但服務(wù)器在運(yùn)行過程中的安全風(fēng)險(xiǎn)也有所增加。為了保證服務(wù)器虛擬化技術(shù)的運(yùn)行安全，使控制合理化具有重要的現(xiàn)實(shí)意義。

1 網(wǎng)絡(luò)服務(wù)器安全漏洞分析

1.1 網(wǎng)絡(luò)服務(wù)器安全漏洞概述

計(jì)算機(jī)的完成內(nèi)部通信是依靠?jī)蓚€(gè)進(jìn)程進(jìn)行連接來完成的，使用IP層IP地址來唯一標(biāo)識(shí)主機(jī)，而TCO層協(xié)議及端口來唯一標(biāo)識(shí)電腦主機(jī)，此為不同的兩個(gè)進(jìn)程。而在網(wǎng)絡(luò)當(dāng)中的數(shù)據(jù)通信唯一標(biāo)識(shí)主機(jī)則屬需要使用IP地址、協(xié)議及端號(hào)口來完成，而在此過程當(dāng)中需要利用socket來完成通信，socket是存在于應(yīng)用層及傳輸層之間的抽閑層，其能夠?qū)CP/IP層的復(fù)雜操作進(jìn)行簡(jiǎn)化，將其轉(zhuǎn)化成為簡(jiǎn)單接口。在供應(yīng)用層當(dāng)中是通過進(jìn)程來完成數(shù)據(jù)通信，而病毒在傳遞的過程當(dāng)中就是利用TCP/IP接口來完成的。當(dāng)服務(wù)器端的主機(jī)開始工作時(shí)，則會(huì)將全部的端口進(jìn)行開放等待用戶進(jìn)行連接。其根據(jù)應(yīng)用程序的不同默認(rèn)打開的監(jiān)聽接口也會(huì)存在不同，對(duì)于病毒而言由于控制功能的不同其對(duì)端口的利用也有所區(qū)別，為此病毒就是利用開放端口當(dāng)中存在的漏洞，從而對(duì)漏洞的特性進(jìn)行掌控來對(duì)其協(xié)議端口發(fā)送代碼來完成控制的[1]。

1.2 網(wǎng)絡(luò)服務(wù)器安全漏洞實(shí)例

由NetBIOS Session Senrice提供的139端口是為打印設(shè)備、windows文件提供服務(wù)的。當(dāng)主機(jī)的139端口處于開放狀態(tài)時(shí)其就存在著139端口漏洞，此時(shí)就能夠通過命令的形式來收獲用戶的信息，同時(shí)通過這樣的方式能夠獲取主機(jī)的名稱及工作組的名稱，以此達(dá)到攻擊共享數(shù)據(jù)資源的目的[2]。

而為SMB服務(wù)的445端口其主要作用于打印設(shè)備及局域網(wǎng)當(dāng)中其他主機(jī)的文件夾共享，為此病毒同樣能夠依靠其端口存在得到漏洞對(duì)局域網(wǎng)當(dāng)中的共享文件夾進(jìn)行代碼的上傳從而實(shí)現(xiàn)遠(yuǎn)程控制。Wannacry病毒就是使用445端口中存在的漏洞來完成網(wǎng)絡(luò)數(shù)據(jù)包的發(fā)送，從而使用遠(yuǎn)程代碼實(shí)現(xiàn)控制。

2 虛擬化防火墻工作原理

虛擬化就是將物理服務(wù)器的程序在虛擬機(jī)上進(jìn)行運(yùn)行的應(yīng)用，通過虛擬化監(jiān)控程序能夠完成服務(wù)器資源的劃分，此后尤其對(duì)虛擬機(jī)進(jìn)行二次分配。但是監(jiān)控程序由于開銷會(huì)造成系統(tǒng)性能在一定程度上受到損耗，因此系統(tǒng)當(dāng)中的各個(gè)層次都能夠使用虛擬化技術(shù)。當(dāng)前主流的虛擬化技術(shù)包含硬件虛擬化技術(shù)、OS虛擬化技術(shù)及應(yīng)用虛擬化技術(shù)。在本文的研究當(dāng)中選用最為常見的硬件虛擬化作為研究對(duì)象進(jìn)行分析，其是使用虛擬化技術(shù)來完成多個(gè)硬件抽象層的構(gòu)建，而虛擬硬件抽象層當(dāng)中的網(wǎng)卡接口功能設(shè)計(jì)就是最為常見的功能之一。其作為內(nèi)核當(dāng)中較小的模塊則是使用更高權(quán)限的UNUX軟件來完成合理層及操作系統(tǒng)的運(yùn)行，通過這樣的方式完成硬件層的整體抽象化。而在實(shí)現(xiàn)物理資源向虛擬資源的映射過程中其需要相應(yīng)的機(jī)制，其原理是通過對(duì)應(yīng)的指令來保證數(shù)據(jù)的進(jìn)入能夠得到阻斷。而對(duì)于虛擬防火墻而言其原理則是使用虛擬網(wǎng)卡對(duì)應(yīng)的TAP接口來實(shí)現(xiàn)宿主及之間的數(shù)據(jù)交換。在此過程當(dāng)中虛擬機(jī)會(huì)將虛擬防火墻設(shè)置為默認(rèn)網(wǎng)關(guān)，這樣虛擬防火墻就能夠完成虛擬機(jī)及物理網(wǎng)卡流量的轉(zhuǎn)移。由此能夠發(fā)現(xiàn)防火墻作為高級(jí)訪問控制系統(tǒng)能夠?qū)⑵渲糜诓煌陌踩珔^(qū)域組合，同時(shí)在不同的網(wǎng)絡(luò)安全與之間其能夠作為唯一的通道存在，由此根據(jù)實(shí)際情況對(duì)相關(guān)的安全策略集訪問行為進(jìn)行選擇。防火墻主要在網(wǎng)絡(luò)層及傳輸層進(jìn)行工作，其完成的則是端口及IP地址的過濾工作。通過分析TCP/IP數(shù)據(jù)來源及訪問目的區(qū)域的端口進(jìn)行分析來完成日志、端口及運(yùn)行時(shí)間的設(shè)置。此后再對(duì)網(wǎng)絡(luò)當(dāng)中的出入口進(jìn)行串聯(lián)能夠完成防護(hù)作用的建立。而當(dāng)完成了虛擬防火墻的構(gòu)建后，其每個(gè)接口都能夠自動(dòng)稱為虛擬網(wǎng)橋。通過其接口與另一個(gè)VNET接口的鏈接如防火墻與外部網(wǎng)絡(luò)進(jìn)行鏈接則能夠?qū)NET接口與其他接口共同放置在虛擬網(wǎng)橋之下[3]。

3 虛擬化服務(wù)器安全策略模型設(shè)計(jì)

3.1 虛擬化服務(wù)器安全策略模型概述

作為云計(jì)算數(shù)據(jù)中心當(dāng)中的關(guān)鍵技術(shù)，虛擬化是現(xiàn)代數(shù)據(jù)中心發(fā)展過程當(dāng)中存儲(chǔ)、資源儲(chǔ)備等方面的發(fā)展方向。在對(duì)用戶需求及個(gè)性化設(shè)置的過程當(dāng)中都需要使用虛擬化技術(shù)來完成服務(wù)，且對(duì)數(shù)據(jù)進(jìn)行安全防護(hù)時(shí)也會(huì)使用邏輯隔離的方式確保數(shù)據(jù)的安全性，由此能夠發(fā)現(xiàn)虛擬化是必不可少的技術(shù)之一。為此在完成云計(jì)算數(shù)據(jù)中心安全體系構(gòu)建的步驟中使用虛擬化技術(shù)進(jìn)行支撐是很有必要的。當(dāng)云計(jì)算數(shù)據(jù)中心的安全邊界出現(xiàn)模糊的情況時(shí)，其資源自然也處于高度集中的狀態(tài)，此時(shí)管理員的能力即便能夠完成數(shù)據(jù)中心的分區(qū)，其分區(qū)也是由邏輯劃分的方式來完成，在物理上的安全邊界也不再存在。因此在此情況下根據(jù)用戶來完成安全系統(tǒng)的獨(dú)立部署無法完成，其安全設(shè)備的部署應(yīng)當(dāng)在形式上進(jìn)行轉(zhuǎn)變向著基于云數(shù)據(jù)中心安全防護(hù)的方向轉(zhuǎn)變，而不是使用傳統(tǒng)的子系統(tǒng)安全防護(hù)模式。對(duì)于網(wǎng)絡(luò)服務(wù)器當(dāng)中出現(xiàn)的端口安全漏洞而言，其可以使用虛擬化技術(shù)及UNUX防火墻的組合完成防護(hù)系統(tǒng)的構(gòu)建，以此完成安全防護(hù)模型的構(gòu)建，同時(shí)提升其管理效率[4]，其具體的網(wǎng)絡(luò)中心物理模型詳情見下圖1。

圖1 網(wǎng)絡(luò)中心物理模型詳情圖

3.2 構(gòu)建安全策略雛形解決不同虛擬操作系統(tǒng)的管理建立規(guī)則

根據(jù)虛擬防火墻的原理當(dāng)物理主機(jī)下達(dá)命令作用于虛擬網(wǎng)卡及端口配置的防火墻時(shí)其操作由物理主機(jī)完成，因此其所有的操作不會(huì)與虛擬機(jī)的操作系統(tǒng)發(fā)生關(guān)系，這樣就能夠達(dá)成虛擬機(jī)操作系統(tǒng)不同從而保證安全性的目的，其具體的流程為：

第一步在虛擬服務(wù)器當(dāng)中通過搜索的方法得出配置管理過程當(dāng)中需要的MAC地址及IP地址，WINDOWS系統(tǒng)的DOS環(huán)境下使用IP ADDR命令完成服務(wù)器地址的獲取，虛擬網(wǎng)卡的相關(guān)信息上其IP地址為172.18.x.x。此后使用SSH軟件完成窩里服務(wù)器的鏈接，此后使用UNUX內(nèi)部命令完成虛擬網(wǎng)卡及物理網(wǎng)卡的查詢。第二部則是在物理主機(jī)的服務(wù)器當(dāng)中完成多臺(tái)虛擬機(jī)的設(shè)置及其相關(guān)安全策略的建立，多服務(wù)器的操作則是在WINDOWS及UNUX服務(wù)器上使用相同的設(shè)置，例如在對(duì)三臺(tái)虛擬服務(wù)器進(jìn)行設(shè)置的過程當(dāng)中只需要在物理主機(jī)當(dāng)中完成參數(shù)的修改，不需要使用虛擬主機(jī)完成設(shè)置。在完成設(shè)置后也不需要對(duì)物理服務(wù)器進(jìn)行重啟，其對(duì)虛擬服務(wù)器的兩種系統(tǒng)所使用的指令相同，因此無需重新設(shè)置其安全原則，在服務(wù)器數(shù)量增加時(shí)其操作原理相同[5]。

3.3 構(gòu)建智能程序化的算法對(duì)安全策略規(guī)則進(jìn)行優(yōu)化

對(duì)于上述需求本文需要完成安全防護(hù)系統(tǒng)的構(gòu)建，而在構(gòu)建的過程當(dāng)中其需要能夠完成智能識(shí)別、部署及管理工作，而在對(duì)虛擬技術(shù)及相關(guān)防火墻的原理進(jìn)行研究后能夠發(fā)現(xiàn)設(shè)計(jì)虛擬技術(shù)服務(wù)器網(wǎng)絡(luò)安全系統(tǒng)需要對(duì)應(yīng)的策略，而本文將其策略歸納為圖片的形式，詳情見下圖2。為了應(yīng)對(duì)不同的實(shí)際需求，在使用的過程當(dāng)中也可以使用不同的策略，例如當(dāng)學(xué)校中有幾臺(tái)WEB服務(wù)器是，其任務(wù)只要開啟80端口且并無需開啟其他端口。因此在TCP協(xié)議之下只允許完成80端口的安全策略，其他所有的WEB服務(wù)器只需要基于此策略完成展開即可。與其原理相同的數(shù)據(jù)端口3306也能夠通過此規(guī)則完成服務(wù)器安全次略的定義，以此來對(duì)不同服務(wù)器的需求進(jìn)行滿足。

圖2 設(shè)計(jì)策略詳情圖

在虛擬化智能程序安全管理策略落實(shí)后能夠完成新的服務(wù)器安全問題的解決，同時(shí)也能夠根據(jù)安全漏洞端口的實(shí)際情況添加具有拒絕協(xié)議的端口，由此只需要對(duì)其安全策略進(jìn)行改進(jìn)就能夠完成服務(wù)器的運(yùn)行。通過快速部署服務(wù)器的方式不僅能夠減少服務(wù)器部署的時(shí)間，也可以完成不常用服務(wù)器管理的功能，以此保證其安全防護(hù)系統(tǒng)能夠更加容易運(yùn)行[6]。

4 實(shí)驗(yàn)結(jié)果分析

為了對(duì)上述內(nèi)容進(jìn)行證明，本文將使用實(shí)驗(yàn)的方法來保證其結(jié)果準(zhǔn)確，在傳統(tǒng)法所使用的環(huán)境是實(shí)驗(yàn)室機(jī)房當(dāng)中有50臺(tái)Windows操作系統(tǒng)的服務(wù)器，而在實(shí)驗(yàn)的過程當(dāng)中使用人工操作的方式并進(jìn)行及時(shí)，其計(jì)時(shí)沒有將開機(jī)及輸入密碼時(shí)間算入其中，具體數(shù)據(jù)詳情見下表1。

表1 部署時(shí)間對(duì)比表

虛擬化技術(shù)所使用的的環(huán)境是其操作平臺(tái)為中科院研發(fā)的國云6.5系統(tǒng)，其物理主機(jī)安裝的系統(tǒng)為UNUX6.5，虛擬應(yīng)用所使用的服務(wù)器數(shù)量為35臺(tái)，其中包含Windows系統(tǒng)及UNUX系統(tǒng)，通過上表1的內(nèi)容可知其人工操作的時(shí)間相較于本文操作方法較長(zhǎng)，同時(shí)在操作的過程當(dāng)中可能出現(xiàn)誤操作的情況且不能根據(jù)智能化結(jié)果完成不同哦誒之的管理，當(dāng)主機(jī)數(shù)量超過5臺(tái)是其所用時(shí)間遠(yuǎn)遠(yuǎn)長(zhǎng)于智能程序方式。

5 結(jié)論

在使用虛擬技術(shù)對(duì)智能程序進(jìn)行設(shè)計(jì)的過程當(dāng)中其是根據(jù)對(duì)應(yīng)的實(shí)際應(yīng)用來完成管理策略的制定，同時(shí)通過相應(yīng)策略的制定能夠保證服務(wù)器當(dāng)中任何一臺(tái)主機(jī)都得到快速準(zhǔn)確的管理。這樣的部署不僅能夠盡可能的降低人工維護(hù)產(chǎn)生的成本，同樣還能夠由應(yīng)用層及網(wǎng)絡(luò)層出發(fā)為高校信息建設(shè)提供技術(shù)上的保障。在對(duì)虛擬網(wǎng)絡(luò)服務(wù)器的安全性進(jìn)行分析的過程當(dāng)中有大量的內(nèi)容需要通過人工干預(yù)的方式來達(dá)到目的，為此就需要設(shè)計(jì)出一種能夠提升適應(yīng)能力及自動(dòng)化程度的方法以此來完成安全事件的分類，同時(shí)實(shí)現(xiàn)規(guī)則庫的自動(dòng)更新。本文恩在使用實(shí)驗(yàn)的方法后通過實(shí)驗(yàn)結(jié)果證明其方法具有很強(qiáng)的有效性，同時(shí)根據(jù)相關(guān)的關(guān)聯(lián)規(guī)則其能夠自動(dòng)完成生成，保證檢測(cè)效率的同時(shí)兼顧準(zhǔn)確率。但是在其安全問題研究的過程當(dāng)中需要經(jīng)歷漫長(zhǎng)的時(shí)間，同時(shí)任何安全措施都可能由于外界技術(shù)的進(jìn)步而被擊破。因此在安全措施的管理上應(yīng)當(dāng)予以盡可能地支持，以保證其技術(shù)能夠不斷發(fā)展。