肖小兵

摘 要：隨著時(shí)代的進(jìn)步和計(jì)算機(jī)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息技術(shù)應(yīng)用范圍越來越廣。在給人們的生活和工作帶來極大便利的同時(shí)，也出現(xiàn)了一些安全隱患，這樣就需要重視網(wǎng)絡(luò)安全。本文主要分析了云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全的實(shí)現(xiàn)原理，希望可以提供一些有價(jià)值的參考意見。

關(guān)鍵詞：云計(jì)算數(shù)據(jù)中心；網(wǎng)絡(luò)安全；實(shí)現(xiàn)原理

1 基本概念

云計(jì)算：云計(jì)算融合了一系列傳統(tǒng)計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，比如網(wǎng)格計(jì)算、并行計(jì)算、網(wǎng)絡(luò)存儲(chǔ)、效用計(jì)算、虛擬、負(fù)載均衡、分布式計(jì)算等等。它主要是利用網(wǎng)絡(luò)的功能有效的整合這些有著較低成本的計(jì)算實(shí)體，從而形成一個(gè)計(jì)算能力超強(qiáng)的系統(tǒng)，然后利用一些先進(jìn)的商業(yè)模式，比如SaaS、PaaS、IaaS、MSP等等，讓所有的終端用戶都能夠擁有這些強(qiáng)大的計(jì)算能力。

云服務(wù)：云服務(wù)指的是云服務(wù)提供商利用自己的基礎(chǔ)設(shè)置直接將服務(wù)提供給外部用戶。在通常情況下，可以將提供的服務(wù)分為兩種，一種是向用戶租用自己的設(shè)備，給用戶提供的機(jī)房和局域網(wǎng)絡(luò)都是相對(duì)獨(dú)立的；另一種是在自己的服務(wù)器集群上部署一些軟件或者應(yīng)用，然后通過因特網(wǎng)的方式，讓用戶對(duì)其進(jìn)行訪問。

VLAN：VLAN是英文Virtuai Local Area Network的簡(jiǎn)稱，我們將其翻譯為虛擬局域網(wǎng)。VLAN指的是從邏輯上來劃分局域網(wǎng)設(shè)備，使其成為單個(gè)的網(wǎng)段，這樣虛擬工作組就可以有效的交換新興數(shù)據(jù)。目前，主要是在交換機(jī)和路由器中應(yīng)用這一新興技術(shù)，但是交換機(jī)的應(yīng)用范圍更廣一些。需要注意的是，有些交換機(jī)是不具備這項(xiàng)功能的，具有這項(xiàng)功能的交換機(jī)都是擁有VLAN協(xié)議的第三層以上的，我們要想對(duì)其了解，只需要查看交換機(jī)的說明書就好。

VSX：VSX是英文Virtual System Extension的簡(jiǎn)稱，它主要是一種網(wǎng)絡(luò)安全和VPN的解決方案，是在有著比較大規(guī)模的場(chǎng)景下保證網(wǎng)絡(luò)的安全。VSX提供保護(hù)的對(duì)象主要是多重網(wǎng)絡(luò)或者混合的基礎(chǔ)架構(gòu)中的VLAN。VSX技術(shù)主要是安全的連接他們，然后對(duì)互聯(lián)網(wǎng)和DMZ分區(qū)共享資源，并且互相連接的它們也可以有效的進(jìn)行信息交互。

2 網(wǎng)絡(luò)實(shí)現(xiàn)原理

傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)洌何覀兌贾?，在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)中心分配給用戶的網(wǎng)絡(luò)都是單獨(dú)存在的，也就是每人一個(gè)，每一個(gè)網(wǎng)絡(luò)自然需要單獨(dú)的設(shè)備和技術(shù)，比如防火墻、交換機(jī)、網(wǎng)絡(luò)安全設(shè)備等。在一個(gè)單獨(dú)的物理網(wǎng)絡(luò)中，部署同一個(gè)用戶的所有服務(wù)器，從而實(shí)現(xiàn)安全隔離數(shù)據(jù)的目的。

云服務(wù)數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)洌盒碌臄?shù)據(jù)中心架構(gòu)將傳統(tǒng)的VPN和網(wǎng)絡(luò)安全設(shè)備替換成了VSX Gateway，并且將VLAN啟用在核心交換機(jī)和二級(jí)交換機(jī)中，利用Trunk來有效地連接二級(jí)交換機(jī)和核心交換機(jī)。

VSX系統(tǒng)的通信流：主要可以通過這些步驟來執(zhí)行VSX系統(tǒng)網(wǎng)關(guān)，一是ContextID的定義，每一個(gè)Virtual System都可以對(duì)一個(gè)ContextID進(jìn)行定義，從而將其作為唯一的標(biāo)識(shí)符。二是實(shí)施安全策略，每一個(gè)虛擬系統(tǒng)的功能都可以作為一個(gè)獨(dú)立的安全網(wǎng)關(guān)，在對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行保護(hù)的時(shí)候，主要利用的是獨(dú)特的安全政策?？梢灾付ㄌ摂M系統(tǒng)允許或者組織所有交通等，并且自己獨(dú)立的安全政策里都包含著基本規(guī)則。三是轉(zhuǎn)發(fā)到目的地，每臺(tái)虛擬系統(tǒng)為了能夠達(dá)到目的地，就有著自己獨(dú)特的結(jié)構(gòu)處理和轉(zhuǎn)發(fā)通信原則，并且，這個(gè)配置規(guī)則還包括了其他很多方面的內(nèi)容，比如VPN、定義NAT以及其他的高級(jí)特性。

VSX系統(tǒng)有著很多的組成部分，比如Virtual Switch、Virtual Firewall和Virtual Route的虛擬設(shè)備。數(shù)據(jù)中心中的每一個(gè)VLAN在與外網(wǎng)進(jìn)行通信時(shí)，利用的都是獨(dú)立的Virtual Firewall。

3 安全分析

和傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行比較：在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)中，每一臺(tái)服務(wù)器的網(wǎng)絡(luò)是由機(jī)柜的物理位置所決定的。舉個(gè)例子來說，用戶要想建立自己的企業(yè)局域網(wǎng)，就需要訂購(gòu)服務(wù)器，訂單中包括了很多的信息，比如試用日期、結(jié)束日期、服務(wù)器的型號(hào)、服務(wù)器的配置等等，傳統(tǒng)的數(shù)據(jù)中心工作人員依據(jù)訂單上的內(nèi)容，在一個(gè)特定的機(jī)房和機(jī)柜中，放置這種型號(hào)的服務(wù)器，然后向用戶進(jìn)行網(wǎng)絡(luò)安全設(shè)備的組裝，用戶要想正常使用，必須要等到完成了配置網(wǎng)絡(luò)和安全策略之后。工作人員在進(jìn)行這些工作時(shí)，需要耗費(fèi)大量的時(shí)間，這是因?yàn)樾枰C(jī)房中移動(dòng)設(shè)備；當(dāng)然，也可以不移動(dòng)設(shè)備，但是可能會(huì)出現(xiàn)三種問題，一是因?yàn)榉?wù)器所在的機(jī)房和機(jī)柜是不同的，這樣接入的網(wǎng)絡(luò)也可能存在著不同，這樣就會(huì)影響到互相的正常訪問；二是如果在同一個(gè)機(jī)房或者機(jī)柜中，接入的設(shè)備是不同的用戶，那么可能網(wǎng)絡(luò)是相同的，并且相互訪問也不會(huì)出現(xiàn)問題，但是，容易造成一些安全隱患；三是防火墻如果沒有獨(dú)立出各個(gè)用戶，那么正常的規(guī)則就容易遭到破壞，給維護(hù)增加了難度，并且，用戶也不能直接的使用防火墻的管理權(quán)限。

而上文所講的VSX和VLAN構(gòu)成的網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)備所處的物理位置是不會(huì)影響到用戶使用的服務(wù)器，所以，在任何一個(gè)機(jī)房，任何一個(gè)機(jī)柜中存放這臺(tái)服務(wù)器，都不會(huì)出現(xiàn)問題，只需要在這個(gè)用戶的VLAN中劃分與這臺(tái)服務(wù)器連接的Switch端口，用戶就可以有效的使用這個(gè)機(jī)器；如果經(jīng)過一段時(shí)間之后，用戶不想要這臺(tái)服務(wù)器，只需要在預(yù)備的VLAN中劃分與這臺(tái)設(shè)備連接的Switch端口即可。并且，這些步驟是不需要人工來進(jìn)行的，云計(jì)算中心的自動(dòng)化部署程序可以自動(dòng)實(shí)時(shí)的完成這些工作。

網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)勢(shì)：在數(shù)據(jù)安全方面，每一個(gè)用戶的網(wǎng)絡(luò)都是安全的；從商業(yè)角度上來看，每一個(gè)用戶都需要訂購(gòu)VLAN和網(wǎng)絡(luò)設(shè)備，在配置網(wǎng)絡(luò)設(shè)備的過程中，可以在VLAN中指定需要運(yùn)行哪一個(gè)設(shè)備，當(dāng)然，從用戶的角度上來看，用戶只能在自己訂購(gòu)的VLAN中劃分自己訂購(gòu)的網(wǎng)絡(luò)設(shè)備。每一個(gè)VLAN都十分的安全，這是因?yàn)樗鼡碛兄?dú)立的Security Gateway，這個(gè)網(wǎng)絡(luò)安全保障包括了很多個(gè)方面的內(nèi)容，比如日志監(jiān)控、VPN、入侵檢測(cè)流量控制以及ACL和NAT等等。從某個(gè)角度上來講，就是將一個(gè)獨(dú)立的機(jī)房分配給了這個(gè)用戶，然后在這個(gè)機(jī)房中放置用戶訂購(gòu)的設(shè)備，從而向用戶提供安全的服務(wù)。如果用戶不想接受這些服務(wù)，只需要利用自動(dòng)化部署程序在當(dāng)前的VLAN中移除它就可以了。

在服務(wù)質(zhì)量方面得到了提高：這種網(wǎng)絡(luò)結(jié)構(gòu)具有較好的彈性，它可以依據(jù)用戶的需求來對(duì)設(shè)備進(jìn)行靈活的增減。有著較快的相應(yīng)速度，設(shè)備的到位只需要幾分鐘即可，并且操作系統(tǒng)、軟件以及應(yīng)用程序也可以自動(dòng)化進(jìn)行部署，在很短的時(shí)間內(nèi)將服務(wù)提供給用戶。如果用戶不需要這些服務(wù)，只需要進(jìn)行退訂，然后初始化這些設(shè)備，將其放回資源池，就可以等待下一個(gè)用戶的使用。

4 云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)方法

云計(jì)算數(shù)據(jù)中心內(nèi)部安全與隔離：要互相隔離云數(shù)據(jù)中心內(nèi)部的不同業(yè)務(wù)之間的網(wǎng)絡(luò)，也需要在邏輯上隔離多租戶之間的虛擬網(wǎng)絡(luò)；利用云計(jì)算技術(shù)中的虛擬化方法提供出來的運(yùn)算平臺(tái)雖然比較獨(dú)立，但是在同一個(gè)網(wǎng)絡(luò)中、同一宿主機(jī)的多樣化計(jì)算任務(wù)之間，還存在著數(shù)據(jù)通道可以互相進(jìn)行交流。

在設(shè)計(jì)云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)時(shí)，需要嚴(yán)格的遵循三個(gè)主要設(shè)計(jì)原則，分別是靈活簡(jiǎn)單、虛擬化以及開放等。

靈活簡(jiǎn)單指的是安全設(shè)備所具備的能力必須有著較高的性能、部署比較方便以及可以靈活進(jìn)行操作等特點(diǎn)；開放性指的是安全設(shè)備的功能必須要有這些方面，分別是訪問控制、識(shí)別用戶和應(yīng)用、合理授權(quán)以及基于身份運(yùn)維等等；虛擬化指的是安全設(shè)備應(yīng)該具有虛擬訪問層、虛擬網(wǎng)絡(luò)可見性以及混合的物理和虛擬操作等等。

從網(wǎng)絡(luò)安全模型的角度上來講，垂直分層以及水平分區(qū)的概念都被引入到了數(shù)據(jù)中心網(wǎng)絡(luò)安全模型中。垂直分層指的是在一套業(yè)務(wù)系統(tǒng)中，擁有的服務(wù)是屬于不同層次的，比如應(yīng)用層、接入層以及隔離層等等；安全控制機(jī)制需要部署在各個(gè)層次之間；水平分區(qū)指的是將隔離機(jī)制應(yīng)用在不同的業(yè)務(wù)系統(tǒng)之間，這樣各個(gè)業(yè)務(wù)系統(tǒng)就是獨(dú)立的，不會(huì)互相影響。

隔離技術(shù)主要是為了安全防護(hù)各層，同時(shí)，隔離不同的業(yè)務(wù)系統(tǒng)。目前，防護(hù)墻技術(shù)依然是數(shù)據(jù)中心內(nèi)部安全虛擬化的主要技術(shù)；隨著云計(jì)算技術(shù)的不斷發(fā)展，安全虛擬化逐漸的成熟，它指的是安全設(shè)備虛擬化。虛擬防火墻可以利用不同的安全策略，來有效的實(shí)現(xiàn)相互隔離，每一個(gè)防火墻都有著獨(dú)立的資源和策略，但是物理資源卻是可以共享的。

訪問云數(shù)據(jù)中心的安全數(shù)據(jù)傳輸通道：在這個(gè)方面，主要有兩個(gè)安全范疇需要考慮，一是未授權(quán)的訪客無法獲取用戶存儲(chǔ)的信息；二是授權(quán)訪問時(shí)是否可以將數(shù)據(jù)傳輸通道上的信息進(jìn)行獲取，安全數(shù)據(jù)通道防護(hù)就是為了維護(hù)用戶訪問時(shí)數(shù)據(jù)通道上信息是安全的。

通常情況下，可以利用內(nèi)部和外部?jī)蓚€(gè)部分來實(shí)現(xiàn)通道安全防護(hù)；內(nèi)部防護(hù)依據(jù)的是媒體訪問控制安全系列安全協(xié)議，來加密數(shù)據(jù)通道，加密傳輸通道中的每一跳路由，保證流量信息的安全，在路由設(shè)備內(nèi)部都是明文傳輸信息。通過實(shí)踐研究表明，基于安全分組的媒體訪問控制技術(shù)可以有效的保證重要敏感流量加密傳輸，避免數(shù)據(jù)遭到竊取和破壞。在外部數(shù)據(jù)防護(hù)方面，采用的大多是VPN方式，主要的技術(shù)有SSL VPN技術(shù)、IPSec等等，這些技術(shù)都是理想的安全解決方案，可以在移動(dòng)過程中解決遠(yuǎn)程訪問；高速局域網(wǎng)和廣域網(wǎng)中需要的安全解決方案需要擁有比較高的性能、延遲比較低并且管理功能比較簡(jiǎn)單等優(yōu)點(diǎn)。

5 結(jié)語(yǔ)

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢(shì)就是云計(jì)算，越來越多的傳統(tǒng)硬件設(shè)備生產(chǎn)商都注意到了這個(gè)問題，并且利用自己的一些優(yōu)勢(shì)逐漸的轉(zhuǎn)換為云計(jì)算的服務(wù)商。不管是企業(yè)用戶還是私人用戶，在接受云計(jì)算、云服務(wù)的過程中，難免會(huì)擔(dān)心它的安全；本文首先概述了它的基本概念，然后分析了云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全的實(shí)現(xiàn)原理，最后又探討了云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)方法，希望可以提供一些有價(jià)值的參考意見。

[參考文獻(xiàn)]

[1]李知杰.云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全的實(shí)現(xiàn)原理[J].軟件導(dǎo)刊，2011，2（12）：123-125.

[2]夏雷，鐘青峰.云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)安全探討[J].2012全國(guó)無線及移動(dòng)通信學(xué)術(shù)大會(huì)論文集，2012，1（1）：87-89.

[3]黃大川.云計(jì)算數(shù)據(jù)中心網(wǎng)絡(luò)的關(guān)鍵技術(shù)[J].郵電設(shè)計(jì)技術(shù)，2011，2（10）：34-37.

[4]劉朝，薛凱，楊樹國(guó).云環(huán)境數(shù)據(jù)庫(kù)安全問題探究[J].電腦與電信，2011，2（1）：56-57.

[5]柯亮亮，鄭傳行.淺析現(xiàn)階段云計(jì)算發(fā)展中的瓶頸問題[J].電腦知識(shí)與技術(shù)，2009，2（20）：78-80.

[6]宮達(dá)偉.云計(jì)算技術(shù)在中小企業(yè)信息化建設(shè)中的應(yīng)用[J].科技咨詢，2012，2（18）：23-27.

[7]續(xù)曉燕，叢雪.淺談云計(jì)算與物聯(lián)網(wǎng)的融合發(fā)展[J].電腦知識(shí)與技術(shù)，2012，2（24）：45-48.