肖小兵

摘 要：隨著時代的進(jìn)步和計算機技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)信息技術(shù)應(yīng)用范圍越來越廣。在給人們的生活和工作帶來極大便利的同時，也出現(xiàn)了一些安全隱患，這樣就需要重視網(wǎng)絡(luò)安全。本文主要分析了云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全的實現(xiàn)原理，希望可以提供一些有價值的參考意見。

關(guān)鍵詞：云計算數(shù)據(jù)中心；網(wǎng)絡(luò)安全；實現(xiàn)原理

1 基本概念

云計算：云計算融合了一系列傳統(tǒng)計算機技術(shù)和網(wǎng)絡(luò)技術(shù)，比如網(wǎng)格計算、并行計算、網(wǎng)絡(luò)存儲、效用計算、虛擬、負(fù)載均衡、分布式計算等等。它主要是利用網(wǎng)絡(luò)的功能有效的整合這些有著較低成本的計算實體，從而形成一個計算能力超強的系統(tǒng)，然后利用一些先進(jìn)的商業(yè)模式，比如SaaS、PaaS、IaaS、MSP等等，讓所有的終端用戶都能夠擁有這些強大的計算能力。

云服務(wù)：云服務(wù)指的是云服務(wù)提供商利用自己的基礎(chǔ)設(shè)置直接將服務(wù)提供給外部用戶。在通常情況下，可以將提供的服務(wù)分為兩種，一種是向用戶租用自己的設(shè)備，給用戶提供的機房和局域網(wǎng)絡(luò)都是相對獨立的；另一種是在自己的服務(wù)器集群上部署一些軟件或者應(yīng)用，然后通過因特網(wǎng)的方式，讓用戶對其進(jìn)行訪問。

VLAN：VLAN是英文Virtuai Local Area Network的簡稱，我們將其翻譯為虛擬局域網(wǎng)。VLAN指的是從邏輯上來劃分局域網(wǎng)設(shè)備，使其成為單個的網(wǎng)段，這樣虛擬工作組就可以有效的交換新興數(shù)據(jù)。目前，主要是在交換機和路由器中應(yīng)用這一新興技術(shù)，但是交換機的應(yīng)用范圍更廣一些。需要注意的是，有些交換機是不具備這項功能的，具有這項功能的交換機都是擁有VLAN協(xié)議的第三層以上的，我們要想對其了解，只需要查看交換機的說明書就好。

VSX：VSX是英文Virtual System Extension的簡稱，它主要是一種網(wǎng)絡(luò)安全和VPN的解決方案，是在有著比較大規(guī)模的場景下保證網(wǎng)絡(luò)的安全。VSX提供保護(hù)的對象主要是多重網(wǎng)絡(luò)或者混合的基礎(chǔ)架構(gòu)中的VLAN。VSX技術(shù)主要是安全的連接他們，然后對互聯(lián)網(wǎng)和DMZ分區(qū)共享資源，并且互相連接的它們也可以有效的進(jìn)行信息交互。

2 網(wǎng)絡(luò)實現(xiàn)原理

傳統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)洌何覀兌贾?，在傳統(tǒng)的網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)中心分配給用戶的網(wǎng)絡(luò)都是單獨存在的，也就是每人一個，每一個網(wǎng)絡(luò)自然需要單獨的設(shè)備和技術(shù)，比如防火墻、交換機、網(wǎng)絡(luò)安全設(shè)備等。在一個單獨的物理網(wǎng)絡(luò)中，部署同一個用戶的所有服務(wù)器，從而實現(xiàn)安全隔離數(shù)據(jù)的目的。

云服務(wù)數(shù)據(jù)中心的網(wǎng)絡(luò)拓?fù)洌盒碌臄?shù)據(jù)中心架構(gòu)將傳統(tǒng)的VPN和網(wǎng)絡(luò)安全設(shè)備替換成了VSX Gateway，并且將VLAN啟用在核心交換機和二級交換機中，利用Trunk來有效地連接二級交換機和核心交換機。

VSX系統(tǒng)的通信流：主要可以通過這些步驟來執(zhí)行VSX系統(tǒng)網(wǎng)關(guān)，一是ContextID的定義，每一個Virtual System都可以對一個ContextID進(jìn)行定義，從而將其作為唯一的標(biāo)識符。二是實施安全策略，每一個虛擬系統(tǒng)的功能都可以作為一個獨立的安全網(wǎng)關(guān)，在對整個網(wǎng)絡(luò)進(jìn)行保護(hù)的時候，主要利用的是獨特的安全政策?？梢灾付ㄌ摂M系統(tǒng)允許或者組織所有交通等，并且自己獨立的安全政策里都包含著基本規(guī)則。三是轉(zhuǎn)發(fā)到目的地，每臺虛擬系統(tǒng)為了能夠達(dá)到目的地，就有著自己獨特的結(jié)構(gòu)處理和轉(zhuǎn)發(fā)通信原則，并且，這個配置規(guī)則還包括了其他很多方面的內(nèi)容，比如VPN、定義NAT以及其他的高級特性。

VSX系統(tǒng)有著很多的組成部分，比如Virtual Switch、Virtual Firewall和Virtual Route的虛擬設(shè)備。數(shù)據(jù)中心中的每一個VLAN在與外網(wǎng)進(jìn)行通信時，利用的都是獨立的Virtual Firewall。

3 安全分析

和傳統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行比較：在傳統(tǒng)的數(shù)據(jù)中心網(wǎng)絡(luò)結(jié)構(gòu)中，每一臺服務(wù)器的網(wǎng)絡(luò)是由機柜的物理位置所決定的。舉個例子來說，用戶要想建立自己的企業(yè)局域網(wǎng)，就需要訂購服務(wù)器，訂單中包括了很多的信息，比如試用日期、結(jié)束日期、服務(wù)器的型號、服務(wù)器的配置等等，傳統(tǒng)的數(shù)據(jù)中心工作人員依據(jù)訂單上的內(nèi)容，在一個特定的機房和機柜中，放置這種型號的服務(wù)器，然后向用戶進(jìn)行網(wǎng)絡(luò)安全設(shè)備的組裝，用戶要想正常使用，必須要等到完成了配置網(wǎng)絡(luò)和安全策略之后。工作人員在進(jìn)行這些工作時，需要耗費大量的時間，這是因為需要去機房中移動設(shè)備；當(dāng)然，也可以不移動設(shè)備，但是可能會出現(xiàn)三種問題，一是因為服務(wù)器所在的機房和機柜是不同的，這樣接入的網(wǎng)絡(luò)也可能存在著不同，這樣就會影響到互相的正常訪問；二是如果在同一個機房或者機柜中，接入的設(shè)備是不同的用戶，那么可能網(wǎng)絡(luò)是相同的，并且相互訪問也不會出現(xiàn)問題，但是，容易造成一些安全隱患；三是防火墻如果沒有獨立出各個用戶，那么正常的規(guī)則就容易遭到破壞，給維護(hù)增加了難度，并且，用戶也不能直接的使用防火墻的管理權(quán)限。

而上文所講的VSX和VLAN構(gòu)成的網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)備所處的物理位置是不會影響到用戶使用的服務(wù)器，所以，在任何一個機房，任何一個機柜中存放這臺服務(wù)器，都不會出現(xiàn)問題，只需要在這個用戶的VLAN中劃分與這臺服務(wù)器連接的Switch端口，用戶就可以有效的使用這個機器；如果經(jīng)過一段時間之后，用戶不想要這臺服務(wù)器，只需要在預(yù)備的VLAN中劃分與這臺設(shè)備連接的Switch端口即可。并且，這些步驟是不需要人工來進(jìn)行的，云計算中心的自動化部署程序可以自動實時的完成這些工作。

網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)勢：在數(shù)據(jù)安全方面，每一個用戶的網(wǎng)絡(luò)都是安全的；從商業(yè)角度上來看，每一個用戶都需要訂購VLAN和網(wǎng)絡(luò)設(shè)備，在配置網(wǎng)絡(luò)設(shè)備的過程中，可以在VLAN中指定需要運行哪一個設(shè)備，當(dāng)然，從用戶的角度上來看，用戶只能在自己訂購的VLAN中劃分自己訂購的網(wǎng)絡(luò)設(shè)備。每一個VLAN都十分的安全，這是因為它擁有著獨立的Security Gateway，這個網(wǎng)絡(luò)安全保障包括了很多個方面的內(nèi)容，比如日志監(jiān)控、VPN、入侵檢測流量控制以及ACL和NAT等等。從某個角度上來講，就是將一個獨立的機房分配給了這個用戶，然后在這個機房中放置用戶訂購的設(shè)備，從而向用戶提供安全的服務(wù)。如果用戶不想接受這些服務(wù)，只需要利用自動化部署程序在當(dāng)前的VLAN中移除它就可以了。

在服務(wù)質(zhì)量方面得到了提高：這種網(wǎng)絡(luò)結(jié)構(gòu)具有較好的彈性，它可以依據(jù)用戶的需求來對設(shè)備進(jìn)行靈活的增減。有著較快的相應(yīng)速度，設(shè)備的到位只需要幾分鐘即可，并且操作系統(tǒng)、軟件以及應(yīng)用程序也可以自動化進(jìn)行部署，在很短的時間內(nèi)將服務(wù)提供給用戶。如果用戶不需要這些服務(wù)，只需要進(jìn)行退訂，然后初始化這些設(shè)備，將其放回資源池，就可以等待下一個用戶的使用。

4 云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)方法

云計算數(shù)據(jù)中心內(nèi)部安全與隔離：要互相隔離云數(shù)據(jù)中心內(nèi)部的不同業(yè)務(wù)之間的網(wǎng)絡(luò)，也需要在邏輯上隔離多租戶之間的虛擬網(wǎng)絡(luò)；利用云計算技術(shù)中的虛擬化方法提供出來的運算平臺雖然比較獨立，但是在同一個網(wǎng)絡(luò)中、同一宿主機的多樣化計算任務(wù)之間，還存在著數(shù)據(jù)通道可以互相進(jìn)行交流。

在設(shè)計云計算數(shù)據(jù)中心網(wǎng)絡(luò)時，需要嚴(yán)格的遵循三個主要設(shè)計原則，分別是靈活簡單、虛擬化以及開放等。

靈活簡單指的是安全設(shè)備所具備的能力必須有著較高的性能、部署比較方便以及可以靈活進(jìn)行操作等特點；開放性指的是安全設(shè)備的功能必須要有這些方面，分別是訪問控制、識別用戶和應(yīng)用、合理授權(quán)以及基于身份運維等等；虛擬化指的是安全設(shè)備應(yīng)該具有虛擬訪問層、虛擬網(wǎng)絡(luò)可見性以及混合的物理和虛擬操作等等。

從網(wǎng)絡(luò)安全模型的角度上來講，垂直分層以及水平分區(qū)的概念都被引入到了數(shù)據(jù)中心網(wǎng)絡(luò)安全模型中。垂直分層指的是在一套業(yè)務(wù)系統(tǒng)中，擁有的服務(wù)是屬于不同層次的，比如應(yīng)用層、接入層以及隔離層等等；安全控制機制需要部署在各個層次之間；水平分區(qū)指的是將隔離機制應(yīng)用在不同的業(yè)務(wù)系統(tǒng)之間，這樣各個業(yè)務(wù)系統(tǒng)就是獨立的，不會互相影響。

隔離技術(shù)主要是為了安全防護(hù)各層，同時，隔離不同的業(yè)務(wù)系統(tǒng)。目前，防護(hù)墻技術(shù)依然是數(shù)據(jù)中心內(nèi)部安全虛擬化的主要技術(shù)；隨著云計算技術(shù)的不斷發(fā)展，安全虛擬化逐漸的成熟，它指的是安全設(shè)備虛擬化。虛擬防火墻可以利用不同的安全策略，來有效的實現(xiàn)相互隔離，每一個防火墻都有著獨立的資源和策略，但是物理資源卻是可以共享的。

訪問云數(shù)據(jù)中心的安全數(shù)據(jù)傳輸通道：在這個方面，主要有兩個安全范疇需要考慮，一是未授權(quán)的訪客無法獲取用戶存儲的信息；二是授權(quán)訪問時是否可以將數(shù)據(jù)傳輸通道上的信息進(jìn)行獲取，安全數(shù)據(jù)通道防護(hù)就是為了維護(hù)用戶訪問時數(shù)據(jù)通道上信息是安全的。

通常情況下，可以利用內(nèi)部和外部兩個部分來實現(xiàn)通道安全防護(hù)；內(nèi)部防護(hù)依據(jù)的是媒體訪問控制安全系列安全協(xié)議，來加密數(shù)據(jù)通道，加密傳輸通道中的每一跳路由，保證流量信息的安全，在路由設(shè)備內(nèi)部都是明文傳輸信息。通過實踐研究表明，基于安全分組的媒體訪問控制技術(shù)可以有效的保證重要敏感流量加密傳輸，避免數(shù)據(jù)遭到竊取和破壞。在外部數(shù)據(jù)防護(hù)方面，采用的大多是VPN方式，主要的技術(shù)有SSL VPN技術(shù)、IPSec等等，這些技術(shù)都是理想的安全解決方案，可以在移動過程中解決遠(yuǎn)程訪問；高速局域網(wǎng)和廣域網(wǎng)中需要的安全解決方案需要擁有比較高的性能、延遲比較低并且管理功能比較簡單等優(yōu)點。

5 結(jié)語

計算機網(wǎng)絡(luò)技術(shù)發(fā)展的趨勢就是云計算，越來越多的傳統(tǒng)硬件設(shè)備生產(chǎn)商都注意到了這個問題，并且利用自己的一些優(yōu)勢逐漸的轉(zhuǎn)換為云計算的服務(wù)商。不管是企業(yè)用戶還是私人用戶，在接受云計算、云服務(wù)的過程中，難免會擔(dān)心它的安全；本文首先概述了它的基本概念，然后分析了云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全的實現(xiàn)原理，最后又探討了云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全防護(hù)方法，希望可以提供一些有價值的參考意見。

[參考文獻(xiàn)]

[1]李知杰.云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全的實現(xiàn)原理[J].軟件導(dǎo)刊，2011，2（12）：123-125.

[2]夏雷，鐘青峰.云計算數(shù)據(jù)中心網(wǎng)絡(luò)安全探討[J].2012全國無線及移動通信學(xué)術(shù)大會論文集，2012，1（1）：87-89.

[3]黃大川.云計算數(shù)據(jù)中心網(wǎng)絡(luò)的關(guān)鍵技術(shù)[J].郵電設(shè)計技術(shù)，2011，2（10）：34-37.

[4]劉朝，薛凱，楊樹國.云環(huán)境數(shù)據(jù)庫安全問題探究[J].電腦與電信，2011，2（1）：56-57.

[5]柯亮亮，鄭傳行.淺析現(xiàn)階段云計算發(fā)展中的瓶頸問題[J].電腦知識與技術(shù)，2009，2（20）：78-80.

[6]宮達(dá)偉.云計算技術(shù)在中小企業(yè)信息化建設(shè)中的應(yīng)用[J].科技咨詢，2012，2（18）：23-27.

[7]續(xù)曉燕，叢雪.淺談云計算與物聯(lián)網(wǎng)的融合發(fā)展[J].電腦知識與技術(shù)，2012，2（24）：45-48.