基于企業虛擬化平臺的安全防護

冷寶劍

摘 要：隨著虛擬化平臺的建設及應用部署的普及，虛擬化平臺的安全防護問題日趨迫切。本文從虛擬化平臺的邊界網絡、終端、應用等角度構建虛擬化平臺的安全防護，通過這些安全防護技術的實施，搭建成了一套虛擬化平臺的安全防護體系，實現平臺的安全。

關鍵詞：虛擬化；安全防護；邊界網絡；終端安全；應用安全

中圖分類號：TP309 文獻標識碼：A 文章編號：1671-2064（2018）10-0035-01

隨著虛擬化技術在企業基礎架構環境中的廣泛應用，越來越多的企業應用開始搭建在私有的虛擬化平臺上，這些應用既有單純內部使用的系統，如企業辦公自動化（OA）、生產制造執行系統（MES），又有對外提供服務的應用，如企業門戶網站、物聯網平臺等。企業虛擬化平臺在提供便捷服務的同時，對于保證基于虛擬化平臺的系統的安全也帶來了新的挑戰。

1 企業虛擬化平臺構成

河鋼唐鋼的虛擬化平臺采用VMware vSphere技術作為基礎架構，由18臺高性能的X86服務器、2臺8Gb的光纖SAN交換機、1臺高擴展存儲陣列組成。平臺的虛擬化資源總包括：672核CPU、6TB內存容量、92TB存儲容量。利用VMware vSphere虛擬化技術將計算、存儲和網絡等基礎硬件資源，以邏輯方式形成基礎資源池，進而形成一個個面向用戶的虛擬服務器，目前河鋼唐鋼的虛擬化平臺有200多個虛擬機，主要運行的應用有企業OA、MES系統、企業門戶網站、物流管控系統等。

2 企業虛擬化平臺安全防護技術

虛擬化平臺的安全包括邊界網絡安全、終端安全防護、業務應用防護等，河鋼唐鋼虛擬化平臺通過部署保證邊界高安全性的訪問控制及惡意代碼防護的下一代防火墻，保障網絡高可控性的網絡行為管理系統，保障核心業務系統高可信性的數據庫審計系統，實現對虛擬化平臺的安全防護。

2.1 邊界網絡安全防護

在網絡邊界部署訪問控制設備，啟用訪問控制功能，對進出網絡的信息內容進行過濾，實現對應用HTTP、FTP、TELNET、SMTP、POP3等協議命令級的控制，在會話處于非活躍一定時間或會話結束后終止網絡連接，對網絡邊界處的惡意代碼進行檢測和清除。

防火墻作為安全隔離和訪問控制設備，可以有效防止來自外部的安全威脅，保證內網的安全可靠運行，保障內部資源受控合法的使用。河鋼唐鋼虛擬化平臺在外網出口部署了2臺任子行SURF-NGSA-S3603R下一代防火墻，并通過HA形成雙機熱備集群，任子行SURF-NGSA下一代防火墻所集成的訪問控制、入侵防御、病毒過濾、惡意網址過濾、僵尸網絡防護、數據安全等多方面的功能建立一道從網絡層到應用層的攻擊防御體系，實現基于應用的精細化訪問控制和帶寬管理，通過防火墻的數據包進行病毒、惡意網站、僵尸網絡、網絡攻擊、數據安全等多方面的深度內容過濾。

2.1.1 病毒過濾和防護

對往來的HTTP、FTP、POP3、SMTP數據進行病毒掃描，過濾來自于互聯網的病毒，防止病毒進入內部網絡；對所有HTTP請求進行惡意網址檢查，防止病毒自動與網絡連接，切斷病毒源頭。

2.1.2 入侵防御

任子行SURF-NGSA下一代防火墻中的入侵防御功能對往來的數據進行3-7層的協議分析和識別，防止DOS攻擊、端口掃描、操作系統和協議漏洞利用、WEB應用攻擊等各種網絡攻擊，保證辦公區域設備的安全，防止被黑客入侵和控制。一方面在網關處檢測和屏蔽僵尸網絡的指令與外聯信息，防止終端設備成為僵尸成員，被不法分子利用進行各種惡意網絡活動；另一方面阻斷病毒、木馬、后門程序將收集到的信息回傳到僵尸網絡服務器，防止內部數據的丟失與泄露。

2.2 終端安全防護

2.2.1 網絡鏈路負載均衡

終端安全防護方面，河鋼唐鋼虛擬化平臺在出口互聯區部署兩臺任子行SURF-AD-H3003鏈路負載均衡設備，兩臺設備之間通過HA形成雙機熱備集群。任子行SURF-AD支持服務器負載、防火墻/VPN負載、智能鏈路負載、集群服務器負載以及全局負載多種方式的負載均衡設置，進行4/7層交換，內容交換。當流量進入鏈路負載均衡設備后，鏈路負載均衡設備會根據訪問流量的目的IP地址進行逐一匹配。在匹配的過程中該地址如果命中某一運營商的IP地址，鏈路負載均衡設備則將流量引導向該運營商所對應的接口，從而將流量成功的進行分流引導。為了抵御外部攻擊，設備支持如DoS攻擊、SYN攻擊、洪水攻擊、7層過濾等先進的安全功能，以確保系統應用程序和數據的安全性。

2.2.2 網絡行為管理

河鋼唐鋼虛擬化平臺網絡行為管理采用2臺任天行SURF-RAG-H8108網絡安全管理系統進行管理。該系統以 DPI（Deep Packet Inspect深度包檢測）技術為核心，結合基于報文內容及基于行為特征的技術，實現網絡中應用的自動識別和智能分類。該設備提供了細致的上網行為管理方案，對用戶的上網行為進行細致而靈活的管理，進而提高員工的工作效率，避免機密信息的泄漏。

當用戶在使用網絡應用與服務時，會在系統中留下痕跡，包括網絡流量、日志記錄、審計跟蹤記錄等。通過監測網絡流量，關注網絡流量異常和偏離正常操作的行為，檢測網絡攻擊、網絡異常、高級威脅和不良行為，實現對網絡的分析和持續自動評估，進而增強網絡安全性。

2.2.3 終端防病毒

河鋼唐鋼虛擬化平臺終端防病毒采用趨勢科技防毒墻套裝進行終端防護，包括趨勢科技防毒墻網絡版、趨勢科技防毒墻控管中心、INTERSCAN網關防病毒、SCANMAIL for DOMINO、趨勢科技防毒墻服務器版、趨勢科技防毒墻網絡版客戶端、趨勢科技防毒墻服務器版等。支持云安全掃描和傳統病毒碼掃描兩種運行方式，實時掃描、偵測并移除文件及壓縮文件中的病毒。在病毒到達終端用戶之前即予以封鎖，防止其擴散到整個網絡。

2.3 應用防護

一個安全的系統需要數據庫的安全、操作系統的安全、網絡的安全、應用系統自身的安全共同完成。只有通過綜合有關安全的各個環節，才能確保高度安全的系統。

2.3.1 數據庫審計

河鋼唐鋼數據庫審計系統采用任子行SURF-DBA-H2500數據庫防火墻。針對數據庫和業務系統的重要性以及面臨的風險，提供數據庫實時攻擊檢測、實時監控和審計等功能，提升數據庫和業務系統的整體安全水平。具體包括：對訪問數據庫的數據流和用戶進行采集、分析、識別、屏蔽、替換、阻斷、授權、身份驗證和身份識別等操作，并對訪問數據庫的相關行為、發送和接收的相關內容進行存儲，分析和查詢等功能。河鋼唐鋼虛擬化平臺的數據庫審計系統能夠實時記錄網絡上的數據庫活動，對數據庫操作進行細粒度審計的合規性管理，對數據庫遭受到的風險行為進行告警，對攻擊行為進行阻斷，提高數據資產安全。

2.3.2 WAF防護

Web應用防護系統（Web Application Firewall， 簡稱：WAF）工作在應用層，用以解決Web應用安全問題。河鋼唐鋼虛擬化平臺WAF防護采用下一代防火墻中集成的WAF防護功能。基于對Web應用業務和邏輯的深刻理解，WAF對來自Web應用程序客戶端的各類請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網站站點進行有效防護。

3 結語

本文介紹了基于河鋼唐鋼虛擬化平臺的安全防護技術的實現。通過這些安全防護技術，形成了一套基于虛擬化平臺的安全防護體系，為企業的應用安全提供了支撐，能較好的應對虛擬化平臺的風險。