基于虛擬化技術的高校服務器網絡安全方法策略

俞洋

（無錫南洋職業技術學院，江蘇 無錫 214081）

0 引言

在計算機技術及網絡技術不斷創新和發展的背景下，虛擬化技術本身的應用優勢逐漸凸顯，并在許多高端商用服務器中得到廣泛應用。但另一方面，服務器虛擬化技術的應用雖然有利于實現資源的有效整合和管理成本的控制，但服務器在運行過程中的安全風險也有所增加。為了保證服務器虛擬化技術的運行安全，使控制合理化具有重要的現實意義。

1 網絡服務器安全漏洞分析

1.1 網絡服務器安全漏洞概述

計算機的完成內部通信是依靠兩個進程進行連接來完成的，使用IP層IP地址來唯一標識主機，而TCO層協議及端口來唯一標識電腦主機，此為不同的兩個進程。而在網絡當中的數據通信唯一標識主機則屬需要使用IP地址、協議及端號口來完成，而在此過程當中需要利用socket來完成通信，socket是存在于應用層及傳輸層之間的抽閑層，其能夠將TCP/IP層的復雜操作進行簡化，將其轉化成為簡單接口。在供應用層當中是通過進程來完成數據通信，而病毒在傳遞的過程當中就是利用TCP/IP接口來完成的。當服務器端的主機開始工作時，則會將全部的端口進行開放等待用戶進行連接。其根據應用程序的不同默認打開的監聽接口也會存在不同，對于病毒而言由于控制功能的不同其對端口的利用也有所區別，為此病毒就是利用開放端口當中存在的漏洞，從而對漏洞的特性進行掌控來對其協議端口發送代碼來完成控制的[1]。

1.2 網絡服務器安全漏洞實例

由NetBIOS Session Senrice提供的139端口是為打印設備、windows文件提供服務的。當主機的139端口處于開放狀態時其就存在著139端口漏洞，此時就能夠通過命令的形式來收獲用戶的信息，同時通過這樣的方式能夠獲取主機的名稱及工作組的名稱，以此達到攻擊共享數據資源的目的[2]。

而為SMB服務的445端口其主要作用于打印設備及局域網當中其他主機的文件夾共享，為此病毒同樣能夠依靠其端口存在得到漏洞對局域網當中的共享文件夾進行代碼的上傳從而實現遠程控制。Wannacry病毒就是使用445端口中存在的漏洞來完成網絡數據包的發送，從而使用遠程代碼實現控制。

2 虛擬化防火墻工作原理

虛擬化就是將物理服務器的程序在虛擬機上進行運行的應用，通過虛擬化監控程序能夠完成服務器資源的劃分，此后尤其對虛擬機進行二次分配。但是監控程序由于開銷會造成系統性能在一定程度上受到損耗，因此系統當中的各個層次都能夠使用虛擬化技術。當前主流的虛擬化技術包含硬件虛擬化技術、OS虛擬化技術及應用虛擬化技術。在本文的研究當中選用最為常見的硬件虛擬化作為研究對象進行分析，其是使用虛擬化技術來完成多個硬件抽象層的構建，而虛擬硬件抽象層當中的網卡接口功能設計就是最為常見的功能之一。其作為內核當中較小的模塊則是使用更高權限的UNUX軟件來完成合理層及操作系統的運行，通過這樣的方式完成硬件層的整體抽象化。而在實現物理資源向虛擬資源的映射過程中其需要相應的機制，其原理是通過對應的指令來保證數據的進入能夠得到阻斷。而對于虛擬防火墻而言其原理則是使用虛擬網卡對應的TAP接口來實現宿主及之間的數據交換。在此過程當中虛擬機會將虛擬防火墻設置為默認網關，這樣虛擬防火墻就能夠完成虛擬機及物理網卡流量的轉移。由此能夠發現防火墻作為高級訪問控制系統能夠將其置于不同的安全區域組合，同時在不同的網絡安全與之間其能夠作為唯一的通道存在，由此根據實際情況對相關的安全策略集訪問行為進行選擇。防火墻主要在網絡層及傳輸層進行工作，其完成的則是端口及IP地址的過濾工作。通過分析TCP/IP數據來源及訪問目的區域的端口進行分析來完成日志、端口及運行時間的設置。此后再對網絡當中的出入口進行串聯能夠完成防護作用的建立。而當完成了虛擬防火墻的構建后，其每個接口都能夠自動稱為虛擬網橋。通過其接口與另一個VNET接口的鏈接如防火墻與外部網絡進行鏈接則能夠將VNET接口與其他接口共同放置在虛擬網橋之下[3]。

3 虛擬化服務器安全策略模型設計

3.1 虛擬化服務器安全策略模型概述

作為云計算數據中心當中的關鍵技術，虛擬化是現代數據中心發展過程當中存儲、資源儲備等方面的發展方向。在對用戶需求及個性化設置的過程當中都需要使用虛擬化技術來完成服務，且對數據進行安全防護時也會使用邏輯隔離的方式確保數據的安全性，由此能夠發現虛擬化是必不可少的技術之一。為此在完成云計算數據中心安全體系構建的步驟中使用虛擬化技術進行支撐是很有必要的。當云計算數據中心的安全邊界出現模糊的情況時，其資源自然也處于高度集中的狀態，此時管理員的能力即便能夠完成數據中心的分區，其分區也是由邏輯劃分的方式來完成，在物理上的安全邊界也不再存在。因此在此情況下根據用戶來完成安全系統的獨立部署無法完成，其安全設備的部署應當在形式上進行轉變向著基于云數據中心安全防護的方向轉變，而不是使用傳統的子系統安全防護模式。對于網絡服務器當中出現的端口安全漏洞而言，其可以使用虛擬化技術及UNUX防火墻的組合完成防護系統的構建，以此完成安全防護模型的構建，同時提升其管理效率[4]，其具體的網絡中心物理模型詳情見下圖1。

圖1 網絡中心物理模型詳情圖

3.2 構建安全策略雛形解決不同虛擬操作系統的管理建立規則

根據虛擬防火墻的原理當物理主機下達命令作用于虛擬網卡及端口配置的防火墻時其操作由物理主機完成，因此其所有的操作不會與虛擬機的操作系統發生關系，這樣就能夠達成虛擬機操作系統不同從而保證安全性的目的，其具體的流程為：

第一步在虛擬服務器當中通過搜索的方法得出配置管理過程當中需要的MAC地址及IP地址，WINDOWS系統的DOS環境下使用IP ADDR命令完成服務器地址的獲取，虛擬網卡的相關信息上其IP地址為172.18.x.x。此后使用SSH軟件完成窩里服務器的鏈接，此后使用UNUX內部命令完成虛擬網卡及物理網卡的查詢。第二部則是在物理主機的服務器當中完成多臺虛擬機的設置及其相關安全策略的建立，多服務器的操作則是在WINDOWS及UNUX服務器上使用相同的設置，例如在對三臺虛擬服務器進行設置的過程當中只需要在物理主機當中完成參數的修改，不需要使用虛擬主機完成設置。在完成設置后也不需要對物理服務器進行重啟，其對虛擬服務器的兩種系統所使用的指令相同，因此無需重新設置其安全原則，在服務器數量增加時其操作原理相同[5]。

3.3 構建智能程序化的算法對安全策略規則進行優化

對于上述需求本文需要完成安全防護系統的構建，而在構建的過程當中其需要能夠完成智能識別、部署及管理工作，而在對虛擬技術及相關防火墻的原理進行研究后能夠發現設計虛擬技術服務器網絡安全系統需要對應的策略，而本文將其策略歸納為圖片的形式，詳情見下圖2。為了應對不同的實際需求，在使用的過程當中也可以使用不同的策略，例如當學校中有幾臺WEB服務器是，其任務只要開啟80端口且并無需開啟其他端口。因此在TCP協議之下只允許完成80端口的安全策略，其他所有的WEB服務器只需要基于此策略完成展開即可。與其原理相同的數據端口3306也能夠通過此規則完成服務器安全次略的定義，以此來對不同服務器的需求進行滿足。

圖2 設計策略詳情圖

在虛擬化智能程序安全管理策略落實后能夠完成新的服務器安全問題的解決，同時也能夠根據安全漏洞端口的實際情況添加具有拒絕協議的端口，由此只需要對其安全策略進行改進就能夠完成服務器的運行。通過快速部署服務器的方式不僅能夠減少服務器部署的時間，也可以完成不常用服務器管理的功能，以此保證其安全防護系統能夠更加容易運行[6]。

4 實驗結果分析

為了對上述內容進行證明，本文將使用實驗的方法來保證其結果準確，在傳統法所使用的環境是實驗室機房當中有50臺Windows操作系統的服務器，而在實驗的過程當中使用人工操作的方式并進行及時，其計時沒有將開機及輸入密碼時間算入其中，具體數據詳情見下表1。

表1 部署時間對比表

虛擬化技術所使用的的環境是其操作平臺為中科院研發的國云6.5系統，其物理主機安裝的系統為UNUX6.5，虛擬應用所使用的服務器數量為35臺，其中包含Windows系統及UNUX系統，通過上表1的內容可知其人工操作的時間相較于本文操作方法較長，同時在操作的過程當中可能出現誤操作的情況且不能根據智能化結果完成不同哦誒之的管理，當主機數量超過5臺是其所用時間遠遠長于智能程序方式。

5 結論

在使用虛擬技術對智能程序進行設計的過程當中其是根據對應的實際應用來完成管理策略的制定，同時通過相應策略的制定能夠保證服務器當中任何一臺主機都得到快速準確的管理。這樣的部署不僅能夠盡可能的降低人工維護產生的成本，同樣還能夠由應用層及網絡層出發為高校信息建設提供技術上的保障。在對虛擬網絡服務器的安全性進行分析的過程當中有大量的內容需要通過人工干預的方式來達到目的，為此就需要設計出一種能夠提升適應能力及自動化程度的方法以此來完成安全事件的分類，同時實現規則庫的自動更新。本文恩在使用實驗的方法后通過實驗結果證明其方法具有很強的有效性，同時根據相關的關聯規則其能夠自動完成生成，保證檢測效率的同時兼顧準確率。但是在其安全問題研究的過程當中需要經歷漫長的時間，同時任何安全措施都可能由于外界技術的進步而被擊破。因此在安全措施的管理上應當予以盡可能地支持，以保證其技術能夠不斷發展。