俞洋

（無錫南洋職業(yè)技術(shù)學(xué)院，江蘇 無錫 214081）

0 引言

在計算機(jī)技術(shù)及網(wǎng)絡(luò)技術(shù)不斷創(chuàng)新和發(fā)展的背景下，虛擬化技術(shù)本身的應(yīng)用優(yōu)勢逐漸凸顯，并在許多高端商用服務(wù)器中得到廣泛應(yīng)用。但另一方面，服務(wù)器虛擬化技術(shù)的應(yīng)用雖然有利于實現(xiàn)資源的有效整合和管理成本的控制，但服務(wù)器在運(yùn)行過程中的安全風(fēng)險也有所增加。為了保證服務(wù)器虛擬化技術(shù)的運(yùn)行安全，使控制合理化具有重要的現(xiàn)實意義。

1 網(wǎng)絡(luò)服務(wù)器安全漏洞分析

1.1 網(wǎng)絡(luò)服務(wù)器安全漏洞概述

計算機(jī)的完成內(nèi)部通信是依靠兩個進(jìn)程進(jìn)行連接來完成的，使用IP層IP地址來唯一標(biāo)識主機(jī)，而TCO層協(xié)議及端口來唯一標(biāo)識電腦主機(jī)，此為不同的兩個進(jìn)程。而在網(wǎng)絡(luò)當(dāng)中的數(shù)據(jù)通信唯一標(biāo)識主機(jī)則屬需要使用IP地址、協(xié)議及端號口來完成，而在此過程當(dāng)中需要利用socket來完成通信，socket是存在于應(yīng)用層及傳輸層之間的抽閑層，其能夠?qū)CP/IP層的復(fù)雜操作進(jìn)行簡化，將其轉(zhuǎn)化成為簡單接口。在供應(yīng)用層當(dāng)中是通過進(jìn)程來完成數(shù)據(jù)通信，而病毒在傳遞的過程當(dāng)中就是利用TCP/IP接口來完成的。當(dāng)服務(wù)器端的主機(jī)開始工作時，則會將全部的端口進(jìn)行開放等待用戶進(jìn)行連接。其根據(jù)應(yīng)用程序的不同默認(rèn)打開的監(jiān)聽接口也會存在不同，對于病毒而言由于控制功能的不同其對端口的利用也有所區(qū)別，為此病毒就是利用開放端口當(dāng)中存在的漏洞，從而對漏洞的特性進(jìn)行掌控來對其協(xié)議端口發(fā)送代碼來完成控制的[1]。

1.2 網(wǎng)絡(luò)服務(wù)器安全漏洞實例

由NetBIOS Session Senrice提供的139端口是為打印設(shè)備、windows文件提供服務(wù)的。當(dāng)主機(jī)的139端口處于開放狀態(tài)時其就存在著139端口漏洞，此時就能夠通過命令的形式來收獲用戶的信息，同時通過這樣的方式能夠獲取主機(jī)的名稱及工作組的名稱，以此達(dá)到攻擊共享數(shù)據(jù)資源的目的[2]。

而為SMB服務(wù)的445端口其主要作用于打印設(shè)備及局域網(wǎng)當(dāng)中其他主機(jī)的文件夾共享，為此病毒同樣能夠依靠其端口存在得到漏洞對局域網(wǎng)當(dāng)中的共享文件夾進(jìn)行代碼的上傳從而實現(xiàn)遠(yuǎn)程控制。Wannacry病毒就是使用445端口中存在的漏洞來完成網(wǎng)絡(luò)數(shù)據(jù)包的發(fā)送，從而使用遠(yuǎn)程代碼實現(xiàn)控制。

2 虛擬化防火墻工作原理

虛擬化就是將物理服務(wù)器的程序在虛擬機(jī)上進(jìn)行運(yùn)行的應(yīng)用，通過虛擬化監(jiān)控程序能夠完成服務(wù)器資源的劃分，此后尤其對虛擬機(jī)進(jìn)行二次分配。但是監(jiān)控程序由于開銷會造成系統(tǒng)性能在一定程度上受到損耗，因此系統(tǒng)當(dāng)中的各個層次都能夠使用虛擬化技術(shù)。當(dāng)前主流的虛擬化技術(shù)包含硬件虛擬化技術(shù)、OS虛擬化技術(shù)及應(yīng)用虛擬化技術(shù)。在本文的研究當(dāng)中選用最為常見的硬件虛擬化作為研究對象進(jìn)行分析，其是使用虛擬化技術(shù)來完成多個硬件抽象層的構(gòu)建，而虛擬硬件抽象層當(dāng)中的網(wǎng)卡接口功能設(shè)計就是最為常見的功能之一。其作為內(nèi)核當(dāng)中較小的模塊則是使用更高權(quán)限的UNUX軟件來完成合理層及操作系統(tǒng)的運(yùn)行，通過這樣的方式完成硬件層的整體抽象化。而在實現(xiàn)物理資源向虛擬資源的映射過程中其需要相應(yīng)的機(jī)制，其原理是通過對應(yīng)的指令來保證數(shù)據(jù)的進(jìn)入能夠得到阻斷。而對于虛擬防火墻而言其原理則是使用虛擬網(wǎng)卡對應(yīng)的TAP接口來實現(xiàn)宿主及之間的數(shù)據(jù)交換。在此過程當(dāng)中虛擬機(jī)會將虛擬防火墻設(shè)置為默認(rèn)網(wǎng)關(guān)，這樣虛擬防火墻就能夠完成虛擬機(jī)及物理網(wǎng)卡流量的轉(zhuǎn)移。由此能夠發(fā)現(xiàn)防火墻作為高級訪問控制系統(tǒng)能夠?qū)⑵渲糜诓煌陌踩珔^(qū)域組合，同時在不同的網(wǎng)絡(luò)安全與之間其能夠作為唯一的通道存在，由此根據(jù)實際情況對相關(guān)的安全策略集訪問行為進(jìn)行選擇。防火墻主要在網(wǎng)絡(luò)層及傳輸層進(jìn)行工作，其完成的則是端口及IP地址的過濾工作。通過分析TCP/IP數(shù)據(jù)來源及訪問目的區(qū)域的端口進(jìn)行分析來完成日志、端口及運(yùn)行時間的設(shè)置。此后再對網(wǎng)絡(luò)當(dāng)中的出入口進(jìn)行串聯(lián)能夠完成防護(hù)作用的建立。而當(dāng)完成了虛擬防火墻的構(gòu)建后，其每個接口都能夠自動稱為虛擬網(wǎng)橋。通過其接口與另一個VNET接口的鏈接如防火墻與外部網(wǎng)絡(luò)進(jìn)行鏈接則能夠?qū)NET接口與其他接口共同放置在虛擬網(wǎng)橋之下[3]。

3 虛擬化服務(wù)器安全策略模型設(shè)計

3.1 虛擬化服務(wù)器安全策略模型概述

作為云計算數(shù)據(jù)中心當(dāng)中的關(guān)鍵技術(shù)，虛擬化是現(xiàn)代數(shù)據(jù)中心發(fā)展過程當(dāng)中存儲、資源儲備等方面的發(fā)展方向。在對用戶需求及個性化設(shè)置的過程當(dāng)中都需要使用虛擬化技術(shù)來完成服務(wù)，且對數(shù)據(jù)進(jìn)行安全防護(hù)時也會使用邏輯隔離的方式確保數(shù)據(jù)的安全性，由此能夠發(fā)現(xiàn)虛擬化是必不可少的技術(shù)之一。為此在完成云計算數(shù)據(jù)中心安全體系構(gòu)建的步驟中使用虛擬化技術(shù)進(jìn)行支撐是很有必要的。當(dāng)云計算數(shù)據(jù)中心的安全邊界出現(xiàn)模糊的情況時，其資源自然也處于高度集中的狀態(tài)，此時管理員的能力即便能夠完成數(shù)據(jù)中心的分區(qū)，其分區(qū)也是由邏輯劃分的方式來完成，在物理上的安全邊界也不再存在。因此在此情況下根據(jù)用戶來完成安全系統(tǒng)的獨(dú)立部署無法完成，其安全設(shè)備的部署應(yīng)當(dāng)在形式上進(jìn)行轉(zhuǎn)變向著基于云數(shù)據(jù)中心安全防護(hù)的方向轉(zhuǎn)變，而不是使用傳統(tǒng)的子系統(tǒng)安全防護(hù)模式。對于網(wǎng)絡(luò)服務(wù)器當(dāng)中出現(xiàn)的端口安全漏洞而言，其可以使用虛擬化技術(shù)及UNUX防火墻的組合完成防護(hù)系統(tǒng)的構(gòu)建，以此完成安全防護(hù)模型的構(gòu)建，同時提升其管理效率[4]，其具體的網(wǎng)絡(luò)中心物理模型詳情見下圖1。

圖1 網(wǎng)絡(luò)中心物理模型詳情圖

3.2 構(gòu)建安全策略雛形解決不同虛擬操作系統(tǒng)的管理建立規(guī)則

根據(jù)虛擬防火墻的原理當(dāng)物理主機(jī)下達(dá)命令作用于虛擬網(wǎng)卡及端口配置的防火墻時其操作由物理主機(jī)完成，因此其所有的操作不會與虛擬機(jī)的操作系統(tǒng)發(fā)生關(guān)系，這樣就能夠達(dá)成虛擬機(jī)操作系統(tǒng)不同從而保證安全性的目的，其具體的流程為：

第一步在虛擬服務(wù)器當(dāng)中通過搜索的方法得出配置管理過程當(dāng)中需要的MAC地址及IP地址，WINDOWS系統(tǒng)的DOS環(huán)境下使用IP ADDR命令完成服務(wù)器地址的獲取，虛擬網(wǎng)卡的相關(guān)信息上其IP地址為172.18.x.x。此后使用SSH軟件完成窩里服務(wù)器的鏈接，此后使用UNUX內(nèi)部命令完成虛擬網(wǎng)卡及物理網(wǎng)卡的查詢。第二部則是在物理主機(jī)的服務(wù)器當(dāng)中完成多臺虛擬機(jī)的設(shè)置及其相關(guān)安全策略的建立，多服務(wù)器的操作則是在WINDOWS及UNUX服務(wù)器上使用相同的設(shè)置，例如在對三臺虛擬服務(wù)器進(jìn)行設(shè)置的過程當(dāng)中只需要在物理主機(jī)當(dāng)中完成參數(shù)的修改，不需要使用虛擬主機(jī)完成設(shè)置。在完成設(shè)置后也不需要對物理服務(wù)器進(jìn)行重啟，其對虛擬服務(wù)器的兩種系統(tǒng)所使用的指令相同，因此無需重新設(shè)置其安全原則，在服務(wù)器數(shù)量增加時其操作原理相同[5]。

3.3 構(gòu)建智能程序化的算法對安全策略規(guī)則進(jìn)行優(yōu)化

對于上述需求本文需要完成安全防護(hù)系統(tǒng)的構(gòu)建，而在構(gòu)建的過程當(dāng)中其需要能夠完成智能識別、部署及管理工作，而在對虛擬技術(shù)及相關(guān)防火墻的原理進(jìn)行研究后能夠發(fā)現(xiàn)設(shè)計虛擬技術(shù)服務(wù)器網(wǎng)絡(luò)安全系統(tǒng)需要對應(yīng)的策略，而本文將其策略歸納為圖片的形式，詳情見下圖2。為了應(yīng)對不同的實際需求，在使用的過程當(dāng)中也可以使用不同的策略，例如當(dāng)學(xué)校中有幾臺WEB服務(wù)器是，其任務(wù)只要開啟80端口且并無需開啟其他端口。因此在TCP協(xié)議之下只允許完成80端口的安全策略，其他所有的WEB服務(wù)器只需要基于此策略完成展開即可。與其原理相同的數(shù)據(jù)端口3306也能夠通過此規(guī)則完成服務(wù)器安全次略的定義，以此來對不同服務(wù)器的需求進(jìn)行滿足。

圖2 設(shè)計策略詳情圖

在虛擬化智能程序安全管理策略落實后能夠完成新的服務(wù)器安全問題的解決，同時也能夠根據(jù)安全漏洞端口的實際情況添加具有拒絕協(xié)議的端口，由此只需要對其安全策略進(jìn)行改進(jìn)就能夠完成服務(wù)器的運(yùn)行。通過快速部署服務(wù)器的方式不僅能夠減少服務(wù)器部署的時間，也可以完成不常用服務(wù)器管理的功能，以此保證其安全防護(hù)系統(tǒng)能夠更加容易運(yùn)行[6]。

4 實驗結(jié)果分析

為了對上述內(nèi)容進(jìn)行證明，本文將使用實驗的方法來保證其結(jié)果準(zhǔn)確，在傳統(tǒng)法所使用的環(huán)境是實驗室機(jī)房當(dāng)中有50臺Windows操作系統(tǒng)的服務(wù)器，而在實驗的過程當(dāng)中使用人工操作的方式并進(jìn)行及時，其計時沒有將開機(jī)及輸入密碼時間算入其中，具體數(shù)據(jù)詳情見下表1。

表1 部署時間對比表

虛擬化技術(shù)所使用的的環(huán)境是其操作平臺為中科院研發(fā)的國云6.5系統(tǒng)，其物理主機(jī)安裝的系統(tǒng)為UNUX6.5，虛擬應(yīng)用所使用的服務(wù)器數(shù)量為35臺，其中包含Windows系統(tǒng)及UNUX系統(tǒng)，通過上表1的內(nèi)容可知其人工操作的時間相較于本文操作方法較長，同時在操作的過程當(dāng)中可能出現(xiàn)誤操作的情況且不能根據(jù)智能化結(jié)果完成不同哦誒之的管理，當(dāng)主機(jī)數(shù)量超過5臺是其所用時間遠(yuǎn)遠(yuǎn)長于智能程序方式。

5 結(jié)論

在使用虛擬技術(shù)對智能程序進(jìn)行設(shè)計的過程當(dāng)中其是根據(jù)對應(yīng)的實際應(yīng)用來完成管理策略的制定，同時通過相應(yīng)策略的制定能夠保證服務(wù)器當(dāng)中任何一臺主機(jī)都得到快速準(zhǔn)確的管理。這樣的部署不僅能夠盡可能的降低人工維護(hù)產(chǎn)生的成本，同樣還能夠由應(yīng)用層及網(wǎng)絡(luò)層出發(fā)為高校信息建設(shè)提供技術(shù)上的保障。在對虛擬網(wǎng)絡(luò)服務(wù)器的安全性進(jìn)行分析的過程當(dāng)中有大量的內(nèi)容需要通過人工干預(yù)的方式來達(dá)到目的，為此就需要設(shè)計出一種能夠提升適應(yīng)能力及自動化程度的方法以此來完成安全事件的分類，同時實現(xiàn)規(guī)則庫的自動更新。本文恩在使用實驗的方法后通過實驗結(jié)果證明其方法具有很強(qiáng)的有效性，同時根據(jù)相關(guān)的關(guān)聯(lián)規(guī)則其能夠自動完成生成，保證檢測效率的同時兼顧準(zhǔn)確率。但是在其安全問題研究的過程當(dāng)中需要經(jīng)歷漫長的時間，同時任何安全措施都可能由于外界技術(shù)的進(jìn)步而被擊破。因此在安全措施的管理上應(yīng)當(dāng)予以盡可能地支持，以保證其技術(shù)能夠不斷發(fā)展。