呂君 夏宏雷 朱劍玫

摘 要：在虛擬化技術(shù)廣泛應(yīng)用的今天，其中一項重要的虛擬化網(wǎng)技術(shù)也在不斷地發(fā)展和使用，近年來在各高校的實驗教學(xué)和實驗室網(wǎng)絡(luò)架構(gòu)中應(yīng)用取得了不錯的效果。伴隨著虛擬化網(wǎng)絡(luò)技術(shù)在越來越多的地方應(yīng)用，網(wǎng)絡(luò)安全問題也慢慢地凸顯出來。網(wǎng)絡(luò)安全問題不僅給高校實驗教學(xué)造成重大的影響，有時還會造成數(shù)據(jù)和資料泄密而被破壞。而虛擬網(wǎng)絡(luò)技術(shù)的使用可以增強跨網(wǎng)段訪問及傳輸數(shù)據(jù)的安全，并且大大提高了高校實驗教學(xué)的信息化手段。虛擬化網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全方面具有十分重要的研究意義。從跨不同的網(wǎng)段間互相通信、超級管理員在后臺進行遠程管理等方面研究了虛擬網(wǎng)絡(luò)技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用，本文希望能對網(wǎng)絡(luò)安全的管理提供一些參考意見。

關(guān)鍵詞：虛擬化網(wǎng)絡(luò);網(wǎng)絡(luò)安全;安全設(shè)計

基金項目：本文系武漢工商學(xué)院教改教研課題：虛擬化網(wǎng)絡(luò)在實驗教學(xué)中的安全設(shè)計（2017Y10）

1 虛擬化網(wǎng)絡(luò)基本概念

網(wǎng)絡(luò)虛擬化是指采用虛擬化技術(shù)搭建的網(wǎng)絡(luò)。虛擬化網(wǎng)絡(luò)對網(wǎng)絡(luò)連接中概念進行了抽象化，可以讓遠程用戶來訪問內(nèi)部的網(wǎng)絡(luò)，就像物理終端訪問物理網(wǎng)絡(luò)一樣的效果。網(wǎng)絡(luò)虛擬化可以更好地保護IT環(huán)境，防御來自Internet的病毒，同時讓用戶能夠快速安全地訪問各種應(yīng)用程序和數(shù)據(jù)。網(wǎng)絡(luò)虛擬化可將網(wǎng)絡(luò)抽象化成一個廣義的網(wǎng)絡(luò)容量池。可以將統(tǒng)一網(wǎng)絡(luò)容量池以最佳的方式分割成多個邏輯網(wǎng)絡(luò)。虛擬化網(wǎng)絡(luò)可以實現(xiàn)跨越物理邊界的邏輯網(wǎng)絡(luò)，從而實現(xiàn)跨集群和單位的計算資源并將其進行優(yōu)化。不同于傳統(tǒng)網(wǎng)絡(luò)體系架構(gòu)，邏輯網(wǎng)絡(luò)不需要重新配置底層物理硬件便能實現(xiàn)擴展。

我校虛擬資源中心使用的是VMware虛擬化網(wǎng)絡(luò)技術(shù)，通過虛擬化技術(shù)可將局域網(wǎng)進行擴展，可以創(chuàng)建疊加在物理網(wǎng)絡(luò)基礎(chǔ)架構(gòu)之上的邏輯網(wǎng)絡(luò)。VMware作為全球最大的虛擬化廠商實現(xiàn)了通過軟件可以定義應(yīng)用及其所需的所有資源，包括服務(wù)器、存儲、網(wǎng)絡(luò)和安全功能都會實現(xiàn)虛擬化，然后組合所有元素以創(chuàng)建一個軟件定義的數(shù)據(jù)中心。通過虛擬化可以減少服務(wù)器部署的時間和成本，可以實現(xiàn)靈活性和資源利用率的最大化，可以在調(diào)配虛擬機時對環(huán)境進行自定義，在軟件定義的數(shù)據(jù)中心里虛擬機可以跨越物理子網(wǎng)邊界。傳統(tǒng)的網(wǎng)絡(luò)在第2層利用VLAN來實現(xiàn)廣播隔離，在以太網(wǎng)數(shù)據(jù)幀中使用12位的VLAN ID將第二層網(wǎng)絡(luò)劃分成多個廣播域，VLAN數(shù)量需少于4094個。隨著虛擬化技術(shù)應(yīng)用越來越廣泛，4094個的數(shù)值上限基本快到達峰值。此外，由于生成樹協(xié)議（STP）的限制，極大的限制了可以使用的VLAN數(shù)量?；赩XLAN的網(wǎng)絡(luò)虛擬化解決了傳統(tǒng)物理網(wǎng)絡(luò)面臨的諸多難題。

2 虛擬資源中心網(wǎng)絡(luò)虛擬化存在的主要問題

2.1 物理和虛擬資源的高利用率帶來的風(fēng)險

通過使用虛擬化技術(shù)，大提高了虛擬資源中心服務(wù)器的利用效率和訪問量，但也導(dǎo)致服務(wù)器負載過重，特別是機房同時上課讓服務(wù)器和網(wǎng)絡(luò)資源使用率達到近90%。虛擬化后臺的多個應(yīng)用和管理平臺集中在幾臺核心物理服務(wù)器上，當(dāng)物理服務(wù)器出現(xiàn)故障時那么虛擬的應(yīng)用平臺和管理臺將不能正常運轉(zhuǎn)。網(wǎng)絡(luò)虛擬化的特點是應(yīng)用只與虛擬層進行交互，與物理硬件是隔離的，從而導(dǎo)致管理人員看不到設(shè)備背后的安全風(fēng)險，服務(wù)器系統(tǒng)變得不穩(wěn)定，數(shù)據(jù)變得不安全。

2.2 網(wǎng)絡(luò)架構(gòu)變動導(dǎo)致的安全風(fēng)險

虛擬化網(wǎng)絡(luò)技術(shù)的部置對傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)進行了很大的變動，因此也帶來了新的風(fēng)險。部署虛擬化網(wǎng)絡(luò)之前，在防火墻上新建幾個隔離區(qū)，根據(jù)物理服務(wù)器的異同用不同的訪問規(guī)則加以控制，從而有效地保證把網(wǎng)絡(luò)攻擊限定在一個隔離區(qū)范圍之內(nèi)，部署虛擬化網(wǎng)絡(luò)完成后，若有一臺虛擬機失效，能通過虛擬網(wǎng)絡(luò)把安全問題的消息發(fā)布到其他虛擬機中去。

2.3 虛擬化網(wǎng)絡(luò)環(huán)境的安全風(fēng)險

1）來自黑客的攻擊。全面地控制住管理層的黑客，能控制物理服務(wù)器中的全部虛擬機，那么管理程序上所運行的所有操作系統(tǒng)特別難監(jiān)測出一些流氓軟件和病毒所帶來的威脅。

2）系統(tǒng)補丁存在安全風(fēng)險。在物理服務(wù)器發(fā)布多個虛擬機之后，這些虛擬機會在定期進行系統(tǒng)的補丁更新、維護，在補丁成功安裝后會出現(xiàn)不能及時地補漏洞所產(chǎn)生的安全威脅。超級管理員在虛擬化管理平臺發(fā)現(xiàn)有安全漏洞時，那么就能讓虛擬機在主機上運行惡意代碼。黑客便使用虛擬化技術(shù)去隱藏計算機病毒、木馬程序和其他各類帶有破壞性的軟件的軌跡，讓我們防不勝防。

3 虛擬化網(wǎng)絡(luò)的安全設(shè)計

3.1 虛擬資源中心的安全需求

正常的虛擬資源中心主要監(jiān)控常規(guī)業(yè)務(wù)流量的訪問情況，虛擬資源中心進行虛擬化后增加了一些主機的動態(tài)遷移和積灰業(yè)務(wù)混雜一起的風(fēng)險，所以在安全的模型之中要把主機的動態(tài)去遷移到同一個資源池的其他物理服務(wù)器中，把業(yè)務(wù)風(fēng)險有效的隔離作為管理平臺的一個關(guān)注點。虛擬化技術(shù)的虛擬資源中心安全需求包含三個方面：一是進行通道隔離，主要是各種應(yīng)用、業(yè)務(wù)和用戶需要安全隔離，以便保證終端用戶群組可以獲得準(zhǔn)確資源和充裕的網(wǎng)絡(luò)流量，從而保持高可用;二是接入進行控制，主要是網(wǎng)絡(luò)安全的策略可支撐集群中所有成員進行動態(tài)加入、遷移或離開;三是網(wǎng)絡(luò)安全方面策略能夠跟隨虛擬機進行遷移。

3.2 虛擬資源中心的安全網(wǎng)絡(luò)架構(gòu)

1）虛擬資源中心的安全網(wǎng)絡(luò)架構(gòu)原則。在虛擬資源中心新一代的虛擬化技術(shù)進行網(wǎng)絡(luò)架構(gòu)，可以通過智能彈性架構(gòu)技術(shù)將多臺網(wǎng)絡(luò)設(shè)備組成一個集群，連成一臺網(wǎng)絡(luò)設(shè)備進行統(tǒng)一管理，采用整體無環(huán)路設(shè)計方案可以大大提高設(shè)備的可用性。

虛擬資源中心在進行虛擬化網(wǎng)絡(luò)架構(gòu)的時候，堅持模塊化和層次化的規(guī)則。以安全可靠性原則為出發(fā)點，使用三層架構(gòu)和二層架構(gòu)兩種方式都能夠?qū)崿F(xiàn)網(wǎng)絡(luò)的高可用，如果使用二層扁平化的網(wǎng)絡(luò)架構(gòu)則更能滿足大規(guī)模的服務(wù)器虛擬化集群，以及虛擬機進行遷移工作。能在內(nèi)部網(wǎng)中基于應(yīng)用系統(tǒng)的重要性、網(wǎng)絡(luò)流量特征以及用戶特征不同的特點，可以劃分幾個區(qū)域來，要以虛擬資源中心的核心區(qū)為中心，將其它功能區(qū)與核心區(qū)進行連接，從而讓虛擬資源中心網(wǎng)絡(luò)的邊緣區(qū)域資源都利用起來。

2）虛擬資源中心的安全網(wǎng)絡(luò)架構(gòu)具體方案。隨著云計算的發(fā)展，計算資源被池化，為了使得計算資源可以任意分配，需要一個大二層的網(wǎng)絡(luò)架構(gòu)。即整個數(shù)據(jù)中心網(wǎng)絡(luò)都是一個L2廣播域，這樣，服務(wù)器可以在任意地點創(chuàng)建、遷移，而不需要對IP地址或者默認網(wǎng)關(guān)做修改。大二層網(wǎng)絡(luò)架構(gòu)，L2/L3分界在核心交換機，核心交換機以下，也就是整個數(shù)據(jù)中心，是L2網(wǎng)絡(luò)（當(dāng)然，可以包含多個VLAN，VLAN之間通過核心交換機做路由進行連通）。大二層的網(wǎng)絡(luò)架構(gòu)如下圖所示：

大二層網(wǎng)絡(luò)架構(gòu)雖然使得虛機網(wǎng)絡(luò)能夠靈活創(chuàng)建，但是帶來的問題也是明顯的。共享的L2廣播域帶來的BUM（Broadcast，Unknown Unicast，Multicast）風(fēng)暴隨著網(wǎng)絡(luò)規(guī)模的增加而明顯增加，最終將影響正常的網(wǎng)絡(luò)流量。

傳統(tǒng)三層網(wǎng)絡(luò)架構(gòu)已經(jīng)存在幾十年，并且現(xiàn)在有些數(shù)據(jù)中心中仍然使用這種架構(gòu)。這種架構(gòu)提出的最初原因是什么？一方面是因為早期L3路由設(shè)備比L2橋接設(shè)備貴得多。即使是現(xiàn)在，核心交換機也比匯聚接入層設(shè)備貴不少。采用這種架構(gòu)，使用一組核心交換機可以連接多個匯聚層POD，例如上面的圖中，一對核心交換機連接了多個匯聚層POD。另一方面，早期的數(shù)據(jù)中心，大部分流量是南北向流量。例如，一個服務(wù)器上部署了WEB應(yīng)用，供數(shù)據(jù)中心之外的客戶端使用。使用這種架構(gòu)可以在核心交換機統(tǒng)一控制數(shù)據(jù)的流入流出，添加負載均衡器，為數(shù)據(jù)流量做負載均衡等。

虛擬化的流行。傳統(tǒng)的數(shù)據(jù)中心中，服務(wù)器的利用率并不高，采用三層網(wǎng)絡(luò)架構(gòu)配合一定的超占比（over subscription），能夠有效的共享利用核心交換機和一些其他網(wǎng)絡(luò)設(shè)備的性能。但是虛擬化的流行使得服務(wù)器的利用率變高，一個物理服務(wù)器可以虛擬出多個虛擬機，分別運行各自的任務(wù)，走自己的網(wǎng)絡(luò)路徑。因此，高的服務(wù)器利用率要求更小的超占比。

虛擬資源中心的虛擬化網(wǎng)絡(luò)是以虛擬化技術(shù)來構(gòu)建基礎(chǔ)的設(shè)施池，這包括計算、存儲和網(wǎng)絡(luò)三種資源。高校實驗教學(xué)在安全的范疇上使用虛擬網(wǎng)絡(luò)技術(shù)，從而可以更好地服務(wù)于廣大師生們。

參考文獻

[1]潘林.安全中虛擬網(wǎng)絡(luò)技術(shù)的作用[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2015（6）：31-33.

[2]金磊.虛擬專用網(wǎng)絡(luò)技術(shù)在計算機網(wǎng)絡(luò)信息安全中的應(yīng)用探討[J].無線互聯(lián)科技，2016（19）：29-30.

[3]劉培.淺談計算機網(wǎng)絡(luò)安全中虛擬網(wǎng)絡(luò)技術(shù)的作用[J].通訊世界，2015（11）：313-314.