程 明

（安徽電信規(guī)劃設(shè)計有限責任公司，安徽 合肥 230031）

0 引 言

在云計算技術(shù)的快速發(fā)展下，以云環(huán)境為基本依托的虛擬化技術(shù)得到了廣泛應(yīng)用。從實際應(yīng)用情況來看，虛擬化技術(shù)形式具有環(huán)境隔離、動態(tài)配置、底層控制以及接口兼容等多個方面的特征，在這個技術(shù)的支持下能夠為網(wǎng)絡(luò)安全監(jiān)督控制提供重要支持，最終有效保證網(wǎng)絡(luò)系統(tǒng)的安全性和穩(wěn)定性。但是從實際應(yīng)用層面來看，虛擬化技術(shù)在使用的時候沒有從根本上解決傳統(tǒng)計算環(huán)境所面臨的安全問題，且在使用期間對虛擬化技術(shù)自身也會帶來比較多的威脅，這些威脅不僅包含原有網(wǎng)絡(luò)的固有威脅，而且也會引入新的安全威脅[1]。

1 虛擬化網(wǎng)絡(luò)環(huán)境基本情況分析

1.1 虛擬化網(wǎng)絡(luò)內(nèi)涵

網(wǎng)絡(luò)虛擬化的實現(xiàn)會具體落實在計算機節(jié)點、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)信息通信層面上。受虛擬化平臺特點的影響，虛擬化網(wǎng)絡(luò)在運行過程中和以往網(wǎng)絡(luò)相比呈現(xiàn)出來的特點如下。第一，網(wǎng)絡(luò)系統(tǒng)中的計算機實體會從物理服務(wù)器轉(zhuǎn)變到虛擬機械設(shè)備上；第二，在網(wǎng)絡(luò)平臺上呈現(xiàn)出來的二元網(wǎng)絡(luò)設(shè)備能夠為信息的使用提供必要的連接服務(wù)支持，這些設(shè)備包含傳統(tǒng)網(wǎng)絡(luò)平臺上固有的物理網(wǎng)絡(luò)設(shè)備和虛擬化管理設(shè)備[2]；第三，在虛擬化網(wǎng)絡(luò)環(huán)境下，組網(wǎng)方式會從單純的物理互聯(lián)網(wǎng)轉(zhuǎn)變?yōu)樘摂M網(wǎng)絡(luò)、物理互聯(lián)網(wǎng)共同作用的復(fù)合型網(wǎng)絡(luò)。

1.2 虛擬化網(wǎng)絡(luò)下的信息連接方式

網(wǎng)絡(luò)的形成離不開各個對象之間的配合，這些網(wǎng)絡(luò)平臺的特點共同形成了虛擬化網(wǎng)絡(luò)的特點?；跓o線技術(shù)的虛擬化網(wǎng)絡(luò)如圖1所示，在整個虛擬化網(wǎng)絡(luò)運作中，不同對象之間會形成一種新關(guān)系的綜合。整合信息資源的情況下使用各個處理器來處理數(shù)據(jù)信息，這個期間所牽扯到的服務(wù)器眾多，各個設(shè)備和服務(wù)器之間的關(guān)聯(lián)屬性不同，各個對象在各類數(shù)據(jù)信息的交互過程中建立形成新的網(wǎng)絡(luò)環(huán)境，彼此之間的連接關(guān)系如下。第一，外部網(wǎng)絡(luò)連接。外部網(wǎng)絡(luò)的連接廣泛存在于各個虛擬機、外部網(wǎng)絡(luò)系統(tǒng)中，整個連接會從外部網(wǎng)絡(luò)來訪問各個虛擬機的網(wǎng)絡(luò)服務(wù)接口和鏈路[3]。第二，業(yè)務(wù)信息連接。業(yè)務(wù)信息連接廣泛存在于各個虛擬化環(huán)境中，在其作用下能夠?qū)崿F(xiàn)對各類信息的交互管理，在信息整合利用之后打造出完善的虛擬化網(wǎng)絡(luò)。第三，物理信息的管理連接。虛擬機設(shè)備和服務(wù)系統(tǒng)的穩(wěn)定運行離不開物理層面的管理控制。其中，物理信息連接被人們廣泛使用到遠程虛擬服務(wù)器的管理上，通過一系列的物理連接能夠優(yōu)化系統(tǒng)平臺的作用，合理調(diào)控系統(tǒng)運作。第四，虛擬管理連接。虛擬管理連接廣泛存在于管理屬性的虛擬機械設(shè)備上和監(jiān)控屬性的虛擬機械設(shè)備上。通過虛擬管理連接能夠幫助管理者合理優(yōu)化配置各個虛擬平臺上的虛擬機械設(shè)備，從而有效保障各類數(shù)據(jù)信息的安全。第五，受限的虛擬管理連接。受限的虛擬管理連接廣泛存在于管理虛擬機和虛擬監(jiān)控器上，連接中存在的管理信息通道能夠幫助管理者在某一個時刻內(nèi)對某一個虛擬機實施管理操作。

圖1 基于無線技術(shù)的虛擬化網(wǎng)絡(luò)

1.3 虛擬化網(wǎng)絡(luò)的特點

1.3.1 信息資源的共享性

在虛擬化網(wǎng)絡(luò)架構(gòu)中，虛擬管理器會對各層級的硬件進行管理，根據(jù)需要來調(diào)度各個虛擬機的運作，借助虛擬機來實現(xiàn)信息資源的共享應(yīng)用。借助網(wǎng)絡(luò)虛擬化技術(shù)形式能夠有效提升服務(wù)器網(wǎng)絡(luò)的利用效率，強化各類信息的整合應(yīng)用。在虛擬化網(wǎng)絡(luò)平臺的支持下會通過虛擬機的形式來實現(xiàn)對輕量負載的合并處理，通過將信息應(yīng)用在物理機上來達到均衡負載的目的。

1.3.2 信息技術(shù)的排他性

虛擬網(wǎng)絡(luò)空間中的計算機操作系統(tǒng)在一定程度上能夠整合信息，并根據(jù)需要來為各類信息的使用成立獨立的地址空間。在這期間，系統(tǒng)內(nèi)部的故障信息會呈現(xiàn)出獨立的狀態(tài)，根據(jù)不同環(huán)境的屬性和需要來予以使用。由此決定了虛擬網(wǎng)絡(luò)系統(tǒng)背景下的信息技術(shù)有著自身的應(yīng)用條件限定，技術(shù)應(yīng)用具有排他性的特點[4]。

1.3.3 信息的隔離性

借助隔離性能能夠全面測試出一個虛擬機出現(xiàn)故障后對其他虛擬機所產(chǎn)生的影響。在整個虛擬化網(wǎng)絡(luò)平臺中，虛擬中央處理器（Central Processing Unit，CPU）調(diào)度能夠?qū)μ摂M機的性能產(chǎn)生影響，虛擬機管理器能夠有效隔離虛擬機的性能，使得虛擬機的CPU公平性得到保障。信息隔離能夠有效保障虛擬網(wǎng)絡(luò)系統(tǒng)的安全，即使在一個虛擬機器被攻擊后也不影響其他虛擬機的運行[5]。

1.4 虛擬化網(wǎng)絡(luò)的安全問題

虛擬化是基礎(chǔ)設(shè)施，也就是服務(wù)云和私有云運作的重要影響因素。在信息時代背景下，虛擬化被人們廣泛應(yīng)用在計算機網(wǎng)絡(luò)平臺上。從實際操作角度來看，虛擬化也是公、私有云交付虛擬界面的一種技術(shù)形式。受虛擬化網(wǎng)絡(luò)自身特點的影響，在虛擬化網(wǎng)絡(luò)運作的時候會出現(xiàn)以下幾個方面的安全問題。

1.4.1 對物理網(wǎng)和虛擬局域網(wǎng)的威脅

不管是物理層面的劃分，還是虛擬層面的劃分，虛擬化網(wǎng)絡(luò)系統(tǒng)中的每一個網(wǎng)段都有著各自設(shè)定的目的和需求。在紛繁的信息背景下，為了能夠保障網(wǎng)絡(luò)平臺的安全，需要做好網(wǎng)段間的隔離工作。

在實際應(yīng)用操作層面上，所有的網(wǎng)絡(luò)通信都會進入到特定的物理端口中，但是受虛擬網(wǎng)絡(luò)服務(wù)器物理端口限制的影響，不是所有的信息都能夠被有效應(yīng)用。

在虛擬化平臺的內(nèi)部，虛擬機不同的虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）流量都可以通過平臺上的虛擬交換機中繼來匯入到公用物理端口，由此會為網(wǎng)絡(luò)信息攻擊者從VLAN中逃逸提供網(wǎng)絡(luò)通信支持。和傳統(tǒng)意義上的網(wǎng)絡(luò)一樣，虛擬化網(wǎng)絡(luò)在運行的時候容易出現(xiàn)VLAN跳躍攻擊、CAM/MAC洪泛攻擊、地址解析協(xié)議（Address Resolution Protocol，ARP）欺騙、生成樹攻擊、拒絕服務(wù)（Denial of Service，DoS）攻擊以及MAC地址欺騙性攻擊等。文章現(xiàn)以VLAN跳躍攻擊作為研究案例來予以全面分析和說明。

攻擊者會從自己所在的VLAN段中逃離出來，之后會攔截和修改其他VLAN流量，在信息流量篡改的過程中達到攻擊VLAN段的目的。在具體實施操作的時候，VLAN跳躍攻擊是對動態(tài)化協(xié)議的管理。攻擊的過程中，攻擊者會創(chuàng)建出具有VLAN標識的流量信息，這種方式會在虛擬化環(huán)境中得到充體現(xiàn)。

例如，在 VMware ESN/ESXi平臺中，主機系統(tǒng)運作的時候能夠支持3個類型的VLAN標識，這些標識的類型十分豐富多樣，包含外部交換機標識（External SwitchTagging，EST）、虛擬交換機標識（Virtual Switch Tagging，VST）以及虛擬客戶標識（Virtual Guest Tagging，VGT）。通過使用這些標識能夠有效確定VLAN數(shù)據(jù)幀適合使用怎樣的傳播方式，在客戶標識模式的影響下，數(shù)據(jù)信息會在各個虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)中進行傳遞。這個過程中，如果虛擬客戶標識被應(yīng)用到了802.1q中繼中，惡意攻擊系統(tǒng)的VM用戶會利用機制作用下的數(shù)據(jù)幀來制造出虛假的信息。期間，虛擬網(wǎng)絡(luò)系統(tǒng)的攻擊者還可以模擬物理交換機、虛擬交換機的中繼協(xié)商模式，從而實現(xiàn)自身對VLAN流量信息發(fā)送和接收的自由處理[6]。

1.4.2 虛擬化網(wǎng)絡(luò)的威脅

（1）對物理管理連接的威脅

對物理管理網(wǎng)絡(luò)的有序訪問會讓攻擊者獲取一套完整的虛擬化系統(tǒng)，在系統(tǒng)運作的時候，攻擊者會根據(jù)自己的需要隨意關(guān)閉、啟動或操控物理服務(wù)器。

（2）對虛擬機遷移連接所產(chǎn)生的威脅

虛擬機遷移會牽扯到多個類型數(shù)據(jù)信息的傳輸，這些信息在遷移的過程中會被分割出獨一無二的LAN或者VLAN，從而網(wǎng)絡(luò)數(shù)據(jù)的傳輸。如果虛擬機遷移網(wǎng)絡(luò)遭受到攻擊，則會嚴重威脅到系統(tǒng)的運行。

（3）虛擬管理連接的威脅

虛擬管理通信實體會被放置在一個單獨的網(wǎng)段，通過對虛擬管理通信信息的訪問，攻擊者會肆意篡改虛擬網(wǎng)絡(luò)的拓撲結(jié)構(gòu)。

（4）對存儲連接的威脅

虛擬化存儲對信息的安全屬性有著較高的要求，虛擬化網(wǎng)絡(luò)平臺中所包含的各類敏感數(shù)據(jù)、帶有攻擊屬性的數(shù)據(jù)會對虛擬平臺帶來威脅[7]。

2 虛擬化網(wǎng)絡(luò)信息管理使用的安全措施

（1）針對虛擬機遷移和虛擬存儲網(wǎng)絡(luò)信息的截取攻擊，相關(guān)人員可以通過打造相應(yīng)的安全通信通道來優(yōu)化管理，在管理信息時所使用的技術(shù)包含安全套接層（Secure Sockets Layer，SSL）技術(shù)和IPsec技術(shù)。（2）傳統(tǒng)意義上的二層網(wǎng)絡(luò)以及節(jié)點存在多個用來防御攻擊的措施，但是受軟硬件組件限制的影響，無法從設(shè)計層面解決虛擬化網(wǎng)絡(luò)系統(tǒng)所面臨的安全威脅。為此，在進行軟件設(shè)計的時候要制定出安全的操作程序，并在程序制定完成之后對程序系統(tǒng)開展必要的強化測試，通過測試來減少漏洞的出現(xiàn)[8]。（3）VLAN跳躍攻擊可以通過禁止GVT以及配置端口轉(zhuǎn)發(fā)模式來限制數(shù)據(jù)信息的傳輸，將數(shù)據(jù)信息選擇特定的標記來進行傳輸。另外，在內(nèi)部VLAN傳輸關(guān)鍵數(shù)據(jù)信息的時候要注重使用另外一個VLAN進行控制，在VLAN的支持下將傳輸?shù)男畔⒑推渌畔⑦M行隔離，通過隔離能夠有效防范攻擊者對端口的操作。（4）對于生成樹來說，面對外界對生成樹的攻擊可以通過一系列傳統(tǒng)措施來對整個系統(tǒng)進行防護處理。（5）為了能夠減少動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）地址范圍不足所誘發(fā)的數(shù)據(jù)使用風險，對物理交換機和虛擬交換機的使用來說，要注重采取必要的措施予以防范[9]。例如，在VMware ESX中，管理人員不能夠使用客戶機來改變虛擬MAC地址的訪問局限，虛擬網(wǎng)絡(luò)更不會接收到來自客戶機的數(shù)據(jù)包。（6）為了能夠減緩?fù)獠扛鱾€因素變化對系統(tǒng)運作所產(chǎn)生的攻擊，系統(tǒng)管理人員在操作系統(tǒng)的過程中需要實現(xiàn)對存儲流量和其他關(guān)聯(lián)數(shù)據(jù)流量的區(qū)分處理，并使用IPSec技術(shù)和SSL技術(shù)來保證信息的傳輸安全[10]。（7）加強對業(yè)務(wù)信息連接的防護處理，通過對業(yè)務(wù)信息連接隔離的方式來防范外界不良環(huán)境對信息使用的干擾。在信息使用的時候，可以借助數(shù)據(jù)管理區(qū)域來和系統(tǒng)內(nèi)部的網(wǎng)絡(luò)連接在一起，最終實現(xiàn)對數(shù)據(jù)信息的有效防護，減少惡意攻擊用戶行為的發(fā)生[11]。

3 結(jié) 論

文章通過對虛擬化網(wǎng)絡(luò)環(huán)境特點的分析來剖析當前網(wǎng)絡(luò)所面臨的安全威脅，通過打造威脅矩陣來對以上風險進行全面分析。根據(jù)虛擬網(wǎng)絡(luò)運作可能存在的風險來給出對應(yīng)的安全措施，在虛擬化的網(wǎng)絡(luò)環(huán)境下來保證整個網(wǎng)絡(luò)平臺信息的安全，做好一系列的網(wǎng)絡(luò)安全防護工作，從而更好地促進現(xiàn)代虛擬網(wǎng)絡(luò)平臺的建設(shè)發(fā)展。