冷寶劍

摘 要：隨著虛擬化平臺的建設(shè)及應(yīng)用部署的普及，虛擬化平臺的安全防護問題日趨迫切。本文從虛擬化平臺的邊界網(wǎng)絡(luò)、終端、應(yīng)用等角度構(gòu)建虛擬化平臺的安全防護，通過這些安全防護技術(shù)的實施，搭建成了一套虛擬化平臺的安全防護體系，實現(xiàn)平臺的安全。

關(guān)鍵詞：虛擬化；安全防護；邊界網(wǎng)絡(luò)；終端安全；應(yīng)用安全

中圖分類號：TP309 文獻標(biāo)識碼：A 文章編號：1671-2064（2018）10-0035-01

隨著虛擬化技術(shù)在企業(yè)基礎(chǔ)架構(gòu)環(huán)境中的廣泛應(yīng)用，越來越多的企業(yè)應(yīng)用開始搭建在私有的虛擬化平臺上，這些應(yīng)用既有單純內(nèi)部使用的系統(tǒng)，如企業(yè)辦公自動化（OA）、生產(chǎn)制造執(zhí)行系統(tǒng)（MES），又有對外提供服務(wù)的應(yīng)用，如企業(yè)門戶網(wǎng)站、物聯(lián)網(wǎng)平臺等。企業(yè)虛擬化平臺在提供便捷服務(wù)的同時，對于保證基于虛擬化平臺的系統(tǒng)的安全也帶來了新的挑戰(zhàn)。

1 企業(yè)虛擬化平臺構(gòu)成

河鋼唐鋼的虛擬化平臺采用VMware vSphere技術(shù)作為基礎(chǔ)架構(gòu)，由18臺高性能的X86服務(wù)器、2臺8Gb的光纖SAN交換機、1臺高擴展存儲陣列組成。平臺的虛擬化資源總包括：672核CPU、6TB內(nèi)存容量、92TB存儲容量。利用VMware vSphere虛擬化技術(shù)將計算、存儲和網(wǎng)絡(luò)等基礎(chǔ)硬件資源，以邏輯方式形成基礎(chǔ)資源池，進而形成一個個面向用戶的虛擬服務(wù)器，目前河鋼唐鋼的虛擬化平臺有200多個虛擬機，主要運行的應(yīng)用有企業(yè)OA、MES系統(tǒng)、企業(yè)門戶網(wǎng)站、物流管控系統(tǒng)等。

2 企業(yè)虛擬化平臺安全防護技術(shù)

虛擬化平臺的安全包括邊界網(wǎng)絡(luò)安全、終端安全防護、業(yè)務(wù)應(yīng)用防護等，河鋼唐鋼虛擬化平臺通過部署保證邊界高安全性的訪問控制及惡意代碼防護的下一代防火墻，保障網(wǎng)絡(luò)高可控性的網(wǎng)絡(luò)行為管理系統(tǒng)，保障核心業(yè)務(wù)系統(tǒng)高可信性的數(shù)據(jù)庫審計系統(tǒng)，實現(xiàn)對虛擬化平臺的安全防護。

2.1 邊界網(wǎng)絡(luò)安全防護

在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能，對進出網(wǎng)絡(luò)的信息內(nèi)容進行過濾，實現(xiàn)對應(yīng)用HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制，在會話處于非活躍一定時間或會話結(jié)束后終止網(wǎng)絡(luò)連接，對網(wǎng)絡(luò)邊界處的惡意代碼進行檢測和清除。

防火墻作為安全隔離和訪問控制設(shè)備，可以有效防止來自外部的安全威脅，保證內(nèi)網(wǎng)的安全可靠運行，保障內(nèi)部資源受控合法的使用。河鋼唐鋼虛擬化平臺在外網(wǎng)出口部署了2臺任子行SURF-NGSA-S3603R下一代防火墻，并通過HA形成雙機熱備集群，任子行SURF-NGSA下一代防火墻所集成的訪問控制、入侵防御、病毒過濾、惡意網(wǎng)址過濾、僵尸網(wǎng)絡(luò)防護、數(shù)據(jù)安全等多方面的功能建立一道從網(wǎng)絡(luò)層到應(yīng)用層的攻擊防御體系，實現(xiàn)基于應(yīng)用的精細化訪問控制和帶寬管理，通過防火墻的數(shù)據(jù)包進行病毒、惡意網(wǎng)站、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)攻擊、數(shù)據(jù)安全等多方面的深度內(nèi)容過濾。

2.1.1 病毒過濾和防護

對往來的HTTP、FTP、POP3、SMTP數(shù)據(jù)進行病毒掃描，過濾來自于互聯(lián)網(wǎng)的病毒，防止病毒進入內(nèi)部網(wǎng)絡(luò)；對所有HTTP請求進行惡意網(wǎng)址檢查，防止病毒自動與網(wǎng)絡(luò)連接，切斷病毒源頭。

2.1.2 入侵防御

任子行SURF-NGSA下一代防火墻中的入侵防御功能對往來的數(shù)據(jù)進行3-7層的協(xié)議分析和識別，防止DOS攻擊、端口掃描、操作系統(tǒng)和協(xié)議漏洞利用、WEB應(yīng)用攻擊等各種網(wǎng)絡(luò)攻擊，保證辦公區(qū)域設(shè)備的安全，防止被黑客入侵和控制。一方面在網(wǎng)關(guān)處檢測和屏蔽僵尸網(wǎng)絡(luò)的指令與外聯(lián)信息，防止終端設(shè)備成為僵尸成員，被不法分子利用進行各種惡意網(wǎng)絡(luò)活動；另一方面阻斷病毒、木馬、后門程序?qū)⑹占降男畔⒒貍鞯浇┦W(wǎng)絡(luò)服務(wù)器，防止內(nèi)部數(shù)據(jù)的丟失與泄露。

2.2 終端安全防護

2.2.1 網(wǎng)絡(luò)鏈路負載均衡

終端安全防護方面，河鋼唐鋼虛擬化平臺在出口互聯(lián)區(qū)部署兩臺任子行SURF-AD-H3003鏈路負載均衡設(shè)備，兩臺設(shè)備之間通過HA形成雙機熱備集群。任子行SURF-AD支持服務(wù)器負載、防火墻/VPN負載、智能鏈路負載、集群服務(wù)器負載以及全局負載多種方式的負載均衡設(shè)置，進行4/7層交換，內(nèi)容交換。當(dāng)流量進入鏈路負載均衡設(shè)備后，鏈路負載均衡設(shè)備會根據(jù)訪問流量的目的IP地址進行逐一匹配。在匹配的過程中該地址如果命中某一運營商的IP地址，鏈路負載均衡設(shè)備則將流量引導(dǎo)向該運營商所對應(yīng)的接口，從而將流量成功的進行分流引導(dǎo)。為了抵御外部攻擊，設(shè)備支持如DoS攻擊、SYN攻擊、洪水攻擊、7層過濾等先進的安全功能，以確保系統(tǒng)應(yīng)用程序和數(shù)據(jù)的安全性。

2.2.2 網(wǎng)絡(luò)行為管理

河鋼唐鋼虛擬化平臺網(wǎng)絡(luò)行為管理采用2臺任天行SURF-RAG-H8108網(wǎng)絡(luò)安全管理系統(tǒng)進行管理。該系統(tǒng)以 DPI（Deep Packet Inspect深度包檢測）技術(shù)為核心，結(jié)合基于報文內(nèi)容及基于行為特征的技術(shù)，實現(xiàn)網(wǎng)絡(luò)中應(yīng)用的自動識別和智能分類。該設(shè)備提供了細致的上網(wǎng)行為管理方案，對用戶的上網(wǎng)行為進行細致而靈活的管理，進而提高員工的工作效率，避免機密信息的泄漏。

當(dāng)用戶在使用網(wǎng)絡(luò)應(yīng)用與服務(wù)時，會在系統(tǒng)中留下痕跡，包括網(wǎng)絡(luò)流量、日志記錄、審計跟蹤記錄等。通過監(jiān)測網(wǎng)絡(luò)流量，關(guān)注網(wǎng)絡(luò)流量異常和偏離正常操作的行為，檢測網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)異常、高級威脅和不良行為，實現(xiàn)對網(wǎng)絡(luò)的分析和持續(xù)自動評估，進而增強網(wǎng)絡(luò)安全性。

2.2.3 終端防病毒

河鋼唐鋼虛擬化平臺終端防病毒采用趨勢科技防毒墻套裝進行終端防護，包括趨勢科技防毒墻網(wǎng)絡(luò)版、趨勢科技防毒墻控管中心、INTERSCAN網(wǎng)關(guān)防病毒、SCANMAIL for DOMINO、趨勢科技防毒墻服務(wù)器版、趨勢科技防毒墻網(wǎng)絡(luò)版客戶端、趨勢科技防毒墻服務(wù)器版等。支持云安全掃描和傳統(tǒng)病毒碼掃描兩種運行方式，實時掃描、偵測并移除文件及壓縮文件中的病毒。在病毒到達終端用戶之前即予以封鎖，防止其擴散到整個網(wǎng)絡(luò)。

2.3 應(yīng)用防護

一個安全的系統(tǒng)需要數(shù)據(jù)庫的安全、操作系統(tǒng)的安全、網(wǎng)絡(luò)的安全、應(yīng)用系統(tǒng)自身的安全共同完成。只有通過綜合有關(guān)安全的各個環(huán)節(jié)，才能確保高度安全的系統(tǒng)。

2.3.1 數(shù)據(jù)庫審計

河鋼唐鋼數(shù)據(jù)庫審計系統(tǒng)采用任子行SURF-DBA-H2500數(shù)據(jù)庫防火墻。針對數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的重要性以及面臨的風(fēng)險，提供數(shù)據(jù)庫實時攻擊檢測、實時監(jiān)控和審計等功能，提升數(shù)據(jù)庫和業(yè)務(wù)系統(tǒng)的整體安全水平。具體包括：對訪問數(shù)據(jù)庫的數(shù)據(jù)流和用戶進行采集、分析、識別、屏蔽、替換、阻斷、授權(quán)、身份驗證和身份識別等操作，并對訪問數(shù)據(jù)庫的相關(guān)行為、發(fā)送和接收的相關(guān)內(nèi)容進行存儲，分析和查詢等功能。河鋼唐鋼虛擬化平臺的數(shù)據(jù)庫審計系統(tǒng)能夠?qū)崟r記錄網(wǎng)絡(luò)上的數(shù)據(jù)庫活動，對數(shù)據(jù)庫操作進行細粒度審計的合規(guī)性管理，對數(shù)據(jù)庫遭受到的風(fēng)險行為進行告警，對攻擊行為進行阻斷，提高數(shù)據(jù)資產(chǎn)安全。

2.3.2 WAF防護

Web應(yīng)用防護系統(tǒng)（Web Application Firewall， 簡稱：WAF）工作在應(yīng)用層，用以解決Web應(yīng)用安全問題。河鋼唐鋼虛擬化平臺WAF防護采用下一代防火墻中集成的WAF防護功能?；趯eb應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自Web應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網(wǎng)站站點進行有效防護。

3 結(jié)語

本文介紹了基于河鋼唐鋼虛擬化平臺的安全防護技術(shù)的實現(xiàn)。通過這些安全防護技術(shù)，形成了一套基于虛擬化平臺的安全防護體系，為企業(yè)的應(yīng)用安全提供了支撐，能較好的應(yīng)對虛擬化平臺的風(fēng)險。