冷寶劍

摘 要：隨著虛擬化平臺(tái)的建設(shè)及應(yīng)用部署的普及，虛擬化平臺(tái)的安全防護(hù)問題日趨迫切。本文從虛擬化平臺(tái)的邊界網(wǎng)絡(luò)、終端、應(yīng)用等角度構(gòu)建虛擬化平臺(tái)的安全防護(hù)，通過這些安全防護(hù)技術(shù)的實(shí)施，搭建成了一套虛擬化平臺(tái)的安全防護(hù)體系，實(shí)現(xiàn)平臺(tái)的安全。

關(guān)鍵詞：虛擬化；安全防護(hù)；邊界網(wǎng)絡(luò)；終端安全；應(yīng)用安全

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671-2064（2018）10-0035-01

隨著虛擬化技術(shù)在企業(yè)基礎(chǔ)架構(gòu)環(huán)境中的廣泛應(yīng)用，越來越多的企業(yè)應(yīng)用開始搭建在私有的虛擬化平臺(tái)上，這些應(yīng)用既有單純內(nèi)部使用的系統(tǒng)，如企業(yè)辦公自動(dòng)化（OA）、生產(chǎn)制造執(zhí)行系統(tǒng)（MES），又有對(duì)外提供服務(wù)的應(yīng)用，如企業(yè)門戶網(wǎng)站、物聯(lián)網(wǎng)平臺(tái)等。企業(yè)虛擬化平臺(tái)在提供便捷服務(wù)的同時(shí)，對(duì)于保證基于虛擬化平臺(tái)的系統(tǒng)的安全也帶來了新的挑戰(zhàn)。

1 企業(yè)虛擬化平臺(tái)構(gòu)成

河鋼唐鋼的虛擬化平臺(tái)采用VMware vSphere技術(shù)作為基礎(chǔ)架構(gòu)，由18臺(tái)高性能的X86服務(wù)器、2臺(tái)8Gb的光纖SAN交換機(jī)、1臺(tái)高擴(kuò)展存儲(chǔ)陣列組成。平臺(tái)的虛擬化資源總包括：672核CPU、6TB內(nèi)存容量、92TB存儲(chǔ)容量。利用VMware vSphere虛擬化技術(shù)將計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)等基礎(chǔ)硬件資源，以邏輯方式形成基礎(chǔ)資源池，進(jìn)而形成一個(gè)個(gè)面向用戶的虛擬服務(wù)器，目前河鋼唐鋼的虛擬化平臺(tái)有200多個(gè)虛擬機(jī)，主要運(yùn)行的應(yīng)用有企業(yè)OA、MES系統(tǒng)、企業(yè)門戶網(wǎng)站、物流管控系統(tǒng)等。

2 企業(yè)虛擬化平臺(tái)安全防護(hù)技術(shù)

虛擬化平臺(tái)的安全包括邊界網(wǎng)絡(luò)安全、終端安全防護(hù)、業(yè)務(wù)應(yīng)用防護(hù)等，河鋼唐鋼虛擬化平臺(tái)通過部署保證邊界高安全性的訪問控制及惡意代碼防護(hù)的下一代防火墻，保障網(wǎng)絡(luò)高可控性的網(wǎng)絡(luò)行為管理系統(tǒng)，保障核心業(yè)務(wù)系統(tǒng)高可信性的數(shù)據(jù)庫審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)虛擬化平臺(tái)的安全防護(hù)。

2.1 邊界網(wǎng)絡(luò)安全防護(hù)

在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能，對(duì)進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對(duì)應(yīng)用HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級(jí)的控制，在會(huì)話處于非活躍一定時(shí)間或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接，對(duì)網(wǎng)絡(luò)邊界處的惡意代碼進(jìn)行檢測(cè)和清除。

防火墻作為安全隔離和訪問控制設(shè)備，可以有效防止來自外部的安全威脅，保證內(nèi)網(wǎng)的安全可靠運(yùn)行，保障內(nèi)部資源受控合法的使用。河鋼唐鋼虛擬化平臺(tái)在外網(wǎng)出口部署了2臺(tái)任子行SURF-NGSA-S3603R下一代防火墻，并通過HA形成雙機(jī)熱備集群，任子行SURF-NGSA下一代防火墻所集成的訪問控制、入侵防御、病毒過濾、惡意網(wǎng)址過濾、僵尸網(wǎng)絡(luò)防護(hù)、數(shù)據(jù)安全等多方面的功能建立一道從網(wǎng)絡(luò)層到應(yīng)用層的攻擊防御體系，實(shí)現(xiàn)基于應(yīng)用的精細(xì)化訪問控制和帶寬管理，通過防火墻的數(shù)據(jù)包進(jìn)行病毒、惡意網(wǎng)站、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)攻擊、數(shù)據(jù)安全等多方面的深度內(nèi)容過濾。

2.1.1 病毒過濾和防護(hù)

對(duì)往來的HTTP、FTP、POP3、SMTP數(shù)據(jù)進(jìn)行病毒掃描，過濾來自于互聯(lián)網(wǎng)的病毒，防止病毒進(jìn)入內(nèi)部網(wǎng)絡(luò)；對(duì)所有HTTP請(qǐng)求進(jìn)行惡意網(wǎng)址檢查，防止病毒自動(dòng)與網(wǎng)絡(luò)連接，切斷病毒源頭。

2.1.2 入侵防御

任子行SURF-NGSA下一代防火墻中的入侵防御功能對(duì)往來的數(shù)據(jù)進(jìn)行3-7層的協(xié)議分析和識(shí)別，防止DOS攻擊、端口掃描、操作系統(tǒng)和協(xié)議漏洞利用、WEB應(yīng)用攻擊等各種網(wǎng)絡(luò)攻擊，保證辦公區(qū)域設(shè)備的安全，防止被黑客入侵和控制。一方面在網(wǎng)關(guān)處檢測(cè)和屏蔽僵尸網(wǎng)絡(luò)的指令與外聯(lián)信息，防止終端設(shè)備成為僵尸成員，被不法分子利用進(jìn)行各種惡意網(wǎng)絡(luò)活動(dòng)；另一方面阻斷病毒、木馬、后門程序?qū)⑹占降男畔⒒貍鞯浇┦W(wǎng)絡(luò)服務(wù)器，防止內(nèi)部數(shù)據(jù)的丟失與泄露。

2.2 終端安全防護(hù)

2.2.1 網(wǎng)絡(luò)鏈路負(fù)載均衡

終端安全防護(hù)方面，河鋼唐鋼虛擬化平臺(tái)在出口互聯(lián)區(qū)部署兩臺(tái)任子行SURF-AD-H3003鏈路負(fù)載均衡設(shè)備，兩臺(tái)設(shè)備之間通過HA形成雙機(jī)熱備集群。任子行SURF-AD支持服務(wù)器負(fù)載、防火墻/VPN負(fù)載、智能鏈路負(fù)載、集群服務(wù)器負(fù)載以及全局負(fù)載多種方式的負(fù)載均衡設(shè)置，進(jìn)行4/7層交換，內(nèi)容交換。當(dāng)流量進(jìn)入鏈路負(fù)載均衡設(shè)備后，鏈路負(fù)載均衡設(shè)備會(huì)根據(jù)訪問流量的目的IP地址進(jìn)行逐一匹配。在匹配的過程中該地址如果命中某一運(yùn)營商的IP地址，鏈路負(fù)載均衡設(shè)備則將流量引導(dǎo)向該運(yùn)營商所對(duì)應(yīng)的接口，從而將流量成功的進(jìn)行分流引導(dǎo)。為了抵御外部攻擊，設(shè)備支持如DoS攻擊、SYN攻擊、洪水攻擊、7層過濾等先進(jìn)的安全功能，以確保系統(tǒng)應(yīng)用程序和數(shù)據(jù)的安全性。

2.2.2 網(wǎng)絡(luò)行為管理

河鋼唐鋼虛擬化平臺(tái)網(wǎng)絡(luò)行為管理采用2臺(tái)任天行SURF-RAG-H8108網(wǎng)絡(luò)安全管理系統(tǒng)進(jìn)行管理。該系統(tǒng)以 DPI（Deep Packet Inspect深度包檢測(cè)）技術(shù)為核心，結(jié)合基于報(bào)文內(nèi)容及基于行為特征的技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)中應(yīng)用的自動(dòng)識(shí)別和智能分類。該設(shè)備提供了細(xì)致的上網(wǎng)行為管理方案，對(duì)用戶的上網(wǎng)行為進(jìn)行細(xì)致而靈活的管理，進(jìn)而提高員工的工作效率，避免機(jī)密信息的泄漏。

當(dāng)用戶在使用網(wǎng)絡(luò)應(yīng)用與服務(wù)時(shí)，會(huì)在系統(tǒng)中留下痕跡，包括網(wǎng)絡(luò)流量、日志記錄、審計(jì)跟蹤記錄等。通過監(jiān)測(cè)網(wǎng)絡(luò)流量，關(guān)注網(wǎng)絡(luò)流量異常和偏離正常操作的行為，檢測(cè)網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)異常、高級(jí)威脅和不良行為，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的分析和持續(xù)自動(dòng)評(píng)估，進(jìn)而增強(qiáng)網(wǎng)絡(luò)安全性。

2.2.3 終端防病毒

河鋼唐鋼虛擬化平臺(tái)終端防病毒采用趨勢(shì)科技防毒墻套裝進(jìn)行終端防護(hù)，包括趨勢(shì)科技防毒墻網(wǎng)絡(luò)版、趨勢(shì)科技防毒墻控管中心、INTERSCAN網(wǎng)關(guān)防病毒、SCANMAIL for DOMINO、趨勢(shì)科技防毒墻服務(wù)器版、趨勢(shì)科技防毒墻網(wǎng)絡(luò)版客戶端、趨勢(shì)科技防毒墻服務(wù)器版等。支持云安全掃描和傳統(tǒng)病毒碼掃描兩種運(yùn)行方式，實(shí)時(shí)掃描、偵測(cè)并移除文件及壓縮文件中的病毒。在病毒到達(dá)終端用戶之前即予以封鎖，防止其擴(kuò)散到整個(gè)網(wǎng)絡(luò)。

2.3 應(yīng)用防護(hù)

一個(gè)安全的系統(tǒng)需要數(shù)據(jù)庫的安全、操作系統(tǒng)的安全、網(wǎng)絡(luò)的安全、應(yīng)用系統(tǒng)自身的安全共同完成。只有通過綜合有關(guān)安全的各個(gè)環(huán)節(jié)，才能確保高度安全的系統(tǒng)。

2.3.1 數(shù)據(jù)庫審計(jì)

河鋼唐鋼數(shù)據(jù)庫審計(jì)系統(tǒng)采用任子行SURF-DBA-H2500數(shù)據(jù)庫防火墻。針對(duì)數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的重要性以及面臨的風(fēng)險(xiǎn)，提供數(shù)據(jù)庫實(shí)時(shí)攻擊檢測(cè)、實(shí)時(shí)監(jiān)控和審計(jì)等功能，提升數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的整體安全水平。具體包括：對(duì)訪問數(shù)據(jù)庫的數(shù)據(jù)流和用戶進(jìn)行采集、分析、識(shí)別、屏蔽、替換、阻斷、授權(quán)、身份驗(yàn)證和身份識(shí)別等操作，并對(duì)訪問數(shù)據(jù)庫的相關(guān)行為、發(fā)送和接收的相關(guān)內(nèi)容進(jìn)行存儲(chǔ)，分析和查詢等功能。河鋼唐鋼虛擬化平臺(tái)的數(shù)據(jù)庫審計(jì)系統(tǒng)能夠?qū)崟r(shí)記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動(dòng)，對(duì)數(shù)據(jù)庫操作進(jìn)行細(xì)粒度審計(jì)的合規(guī)性管理，對(duì)數(shù)據(jù)庫遭受到的風(fēng)險(xiǎn)行為進(jìn)行告警，對(duì)攻擊行為進(jìn)行阻斷，提高數(shù)據(jù)資產(chǎn)安全。

2.3.2 WAF防護(hù)

Web應(yīng)用防護(hù)系統(tǒng)（Web Application Firewall， 簡(jiǎn)稱：WAF）工作在應(yīng)用層，用以解決Web應(yīng)用安全問題。河鋼唐鋼虛擬化平臺(tái)WAF防護(hù)采用下一代防火墻中集成的WAF防護(hù)功能?；趯?duì)Web應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對(duì)來自Web應(yīng)用程序客戶端的各類請(qǐng)求進(jìn)行內(nèi)容檢測(cè)和驗(yàn)證，確保其安全性與合法性，對(duì)非法的請(qǐng)求予以實(shí)時(shí)阻斷，從而對(duì)各類網(wǎng)站站點(diǎn)進(jìn)行有效防護(hù)。

3 結(jié)語

本文介紹了基于河鋼唐鋼虛擬化平臺(tái)的安全防護(hù)技術(shù)的實(shí)現(xiàn)。通過這些安全防護(hù)技術(shù)，形成了一套基于虛擬化平臺(tái)的安全防護(hù)體系，為企業(yè)的應(yīng)用安全提供了支撐，能較好的應(yīng)對(duì)虛擬化平臺(tái)的風(fēng)險(xiǎn)。