云計(jì)算網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)全局安全測(cè)評(píng)研究（已經(jīng)發(fā)過(guò)）

1、云計(jì)算系統(tǒng)的網(wǎng)絡(luò)全局平安測(cè)評(píng)研究 才昊遼寧省大連市大連大工現(xiàn)代工程檢測(cè)，116001摘 要：本文主要討論在采用虛擬機(jī)作為根底的環(huán)境下，使用云計(jì)算方式完成企業(yè)信息網(wǎng)絡(luò)搭建的優(yōu)缺點(diǎn)，以及等級(jí)保護(hù)測(cè)評(píng)工作的實(shí)施重點(diǎn)、實(shí)施方法，平安漏洞的改良方式等內(nèi)容。本文以VMware為研究對(duì)象，詳細(xì)分析了在等級(jí)保護(hù)中網(wǎng)絡(luò)全局相關(guān)內(nèi)容的測(cè)評(píng)內(nèi)容、測(cè)評(píng)方法，并提出相應(yīng)整改建議。關(guān)鍵詞：云計(jì)算；虛擬機(jī)；信息平安；等級(jí)保護(hù)； Cloud Computing System Network Global Safety Evaluation Research CAI HAO (Liaoning province city of

2、 Dalian Dalian University of modern engineering limited testing,116001)Abstract：Mainly discussed in this paper uses the virtual machine as the basis of the environment, the use of cloud computing way to complete the enterprise information network set up advantages and disadvantages, and hierarchical

3、 protection assessment work focused on the implementation, implementation method, the improvement of security vulnerabilities such as. This paper takes VMware as the research object, analyzes in detail the rank protection network global content related to the evaluation content, evaluation method, a

4、nd puts forward the corresponding improvement suggestion.Key words：Cloud Computing; Virtual Machine; Information Security; classified security protection; 0 引言隨著計(jì)算機(jī)技術(shù)的進(jìn)步與開(kāi)展，云計(jì)算已大量進(jìn)入到實(shí)際應(yīng)用階段，虛擬機(jī)技術(shù)作為云計(jì)算的根底在企事業(yè)單位中得到廣泛的應(yīng)用，無(wú)論在銀行、證券、石化、電力、大型企業(yè)、保險(xiǎn)等行業(yè)，都得到了廣泛的應(yīng)用。相對(duì)于傳統(tǒng)網(wǎng)絡(luò)，基于虛擬技術(shù)的云計(jì)算網(wǎng)絡(luò)有著降低實(shí)施本錢、降低管理本錢、更好的平安性、更好的備

5、份恢復(fù)性能、更靈活的擴(kuò)展性能、更好的可用性與兼容性等優(yōu)勢(shì)。VMware公司作為全球知名的虛擬化和云計(jì)算架構(gòu)領(lǐng)導(dǎo)廠商，在中國(guó)的市場(chǎng)占有率為第一位。大量公司采用其虛擬化產(chǎn)品作為云計(jì)算系統(tǒng)的根底。本文主要討論以VMware產(chǎn)品為根底的的云計(jì)算系統(tǒng)為對(duì)象，主要對(duì)等級(jí)保護(hù)平安中的網(wǎng)絡(luò)全局局部的測(cè)評(píng)和整改技術(shù)問(wèn)題進(jìn)行討論。參考標(biāo)準(zhǔn)為?信息平安等級(jí)保護(hù)根本要求?GB/T 22239:2021中的三級(jí)要求，實(shí)施環(huán)境是以VMware公司的VMware vSphere為根底，涉及產(chǎn)品包括ESXvCenter Servervicliente等，主要討論在此環(huán)境下的網(wǎng)絡(luò)全局平安測(cè)評(píng)及整改工作的實(shí)施。1 網(wǎng)絡(luò)全局平安測(cè)

6、評(píng)總述在等級(jí)保護(hù)要求中，網(wǎng)絡(luò)全局平安測(cè)評(píng)主要是針對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、邊界、入侵可能等工程進(jìn)行檢測(cè)。而在以虛擬技術(shù)為根底的云計(jì)算系統(tǒng)中，測(cè)評(píng)整改工作的開(kāi)展和傳統(tǒng)網(wǎng)絡(luò)有著很大的區(qū)別。效勞器和交換機(jī)系統(tǒng)也不再是傳統(tǒng)結(jié)構(gòu)，而是采用虛擬系統(tǒng)或物理機(jī)與虛擬產(chǎn)品相結(jié)合方式來(lái)完成。這無(wú)形間給我們的測(cè)評(píng)工作加大難度，在進(jìn)行此種測(cè)評(píng)時(shí)，不僅要技術(shù)熟練，還需要有大量的實(shí)施經(jīng)驗(yàn)。而在Vmware產(chǎn)品系列中,與網(wǎng)絡(luò)相關(guān)設(shè)置主要有vSwitch、vNetwork兩種實(shí)現(xiàn)方式思科Nexus 1000v 需單獨(dú)購(gòu)置許可證，在此不討論。，一種是在主機(jī)上管理，一種是在vCenter上管理，我們?cè)谶M(jìn)行網(wǎng)絡(luò)全局測(cè)評(píng)時(shí)，重點(diǎn)在這兩項(xiàng)的使用和配

7、置，當(dāng)然，也需要熟悉其他工程的使用。2 結(jié)構(gòu)平安相關(guān)測(cè)評(píng)在結(jié)構(gòu)平安測(cè)評(píng)單元中，由于VMware中存在vNetwork及vSwitch，其在網(wǎng)絡(luò)規(guī)劃、流量帶寬管理、邊界別離上都有著得天獨(dú)厚的優(yōu)勢(shì)，下面討論每一個(gè)測(cè)評(píng)子類的檢測(cè)方法與實(shí)現(xiàn)方法。2.1 設(shè)備空間冗余基于單機(jī)的VMware中的虛擬交換機(jī)vSwitch和vDS僅是在效勞器內(nèi)部模擬信息流交換，所以節(jié)省了大量的CPU資源，類似于1個(gè)軟件交信息在機(jī)器內(nèi)部交給另外1個(gè)軟件，所以在這一測(cè)評(píng)工程上，是完全符合公安部等級(jí)保護(hù)要求的。 而在多機(jī)集群形成的系統(tǒng)中，僅能采用vDS進(jìn)行處理，而多機(jī)集群信息需要通過(guò)傳統(tǒng)的物理交換機(jī)進(jìn)行信息交換，在此種情況下進(jìn)行測(cè)

8、評(píng)工作，需要對(duì)物理交換機(jī)進(jìn)行業(yè)務(wù)能力的測(cè)評(píng)。 另外，虛擬交換機(jī)是提供冗余設(shè)計(jì)的，確保其不會(huì)因?yàn)樘幚砟芰θ狈Χ?dāng)機(jī)。但是，由于其是主機(jī)層而不是鏈路層的冗余，所以當(dāng)使用冗余功能時(shí)需要多塊物理網(wǎng)卡來(lái)實(shí)現(xiàn)，最好是不同網(wǎng)卡連接不同的物理交換機(jī)端口，可以同時(shí)工作，實(shí)現(xiàn)冗余的同時(shí)也可以實(shí)現(xiàn)交換效能的增加。物理多鏈接的冗余檢測(cè)中，如采用分布式交換模式可通過(guò)vSphere Client中的“清單-“網(wǎng)絡(luò)-“配置進(jìn)行檢查如圖2-1-1；如采用vSwitch方式那么需在vSphere Client中的“清單-“主機(jī)和群集-“配置-“網(wǎng)絡(luò)虛擬交換機(jī)中進(jìn)行檢查如圖2-1-2。 圖2-1-1 圖2-1-22.2 網(wǎng)絡(luò)帶寬

9、要求在這一個(gè)測(cè)評(píng)子類中，需要分為兩局部。一個(gè)是虛擬交換機(jī)內(nèi)部交換帶寬，另一個(gè)是物理交換帶寬。虛擬交換機(jī)帶寬：在vSphere Client中的“配置-“網(wǎng)絡(luò)-“屬性可以查看和設(shè)置虛擬交換機(jī)帶寬如圖2-2-1。其交換帶寬可到達(dá)極高值，所以根本上滿足一切業(yè)務(wù)需要，但需查看其帶寬限制如圖2-2-2。 圖2-2-1 圖2-2-2而在物理交換帶寬中，我們需要考察傳統(tǒng)物理交換機(jī)的交換能力和提供虛擬機(jī)的效勞器的網(wǎng)卡的吞吐能力。在此，物理交換機(jī)不再討論，而相對(duì)于效勞器的網(wǎng)卡交換能力是比擬特殊的一點(diǎn)，因?yàn)檫@與效勞器搭載的虛擬機(jī)數(shù)量和效勞有極大關(guān)系，這就需要我們進(jìn)行綜合的分析和評(píng)定，但值得注意的，VMware是支

10、持多網(wǎng)卡帶寬綁定的，在vSphere Client中的“配置-“網(wǎng)絡(luò)中可以進(jìn)行查看如圖2-2-3，當(dāng)被測(cè)系統(tǒng)網(wǎng)絡(luò)帶寬缺乏時(shí)可以使用多加網(wǎng)卡的方式進(jìn)行帶寬的擴(kuò)展在此頁(yè)面下，“屬性-網(wǎng)絡(luò)適配器中。圖2-2-32.3 業(yè)務(wù)終端與業(yè)務(wù)效勞器平安路徑在采用云計(jì)算的條件下我們可以把業(yè)務(wù)終端分為兩大類，即終端在云系統(tǒng)內(nèi)部和終端在云系統(tǒng)外部。很多大型企業(yè)，為減少管理本錢，增加平安性，進(jìn)行了包含效勞器系統(tǒng)和終端系統(tǒng)的全部虛擬化部署，在這種情況下，當(dāng)業(yè)務(wù)終端訪問(wèn)業(yè)務(wù)效勞器時(shí)，完全在運(yùn)系統(tǒng)內(nèi)部完成，所以根本上是可以信賴的平安路徑，為了防止其他系統(tǒng)內(nèi)部虛機(jī)使用SNIFFER進(jìn)行竊聽(tīng)，除了采取傳統(tǒng)方法外，還可以在網(wǎng)絡(luò)設(shè)

11、置中將混雜模式關(guān)閉如圖2-3-1。圖2-3-1 而對(duì)于來(lái)自云系統(tǒng)外部的終端訪問(wèn)，我們應(yīng)該使用傳統(tǒng)方法進(jìn)行平安訪問(wèn)路徑的測(cè)評(píng)。2.4 拓?fù)浣Y(jié)圖的生成在測(cè)評(píng)工作中，大家可能都會(huì)碰到?jīng)]有與網(wǎng)絡(luò)實(shí)際情況相符的拓?fù)鋱D的情況，而在基于VMware的云系統(tǒng)內(nèi)部這種情況是不存在的。我們可以通過(guò)“數(shù)據(jù)中心的“映射進(jìn)行云計(jì)算網(wǎng)絡(luò)內(nèi)部拓?fù)浣Y(jié)構(gòu)的查看(如圖2-4-1)。但是需要注意，云系統(tǒng)以外的網(wǎng)絡(luò)情況，還需要進(jìn)行單獨(dú)的添加。圖2-4-12.5 子網(wǎng)及網(wǎng)段的劃分在傳統(tǒng)網(wǎng)絡(luò)中我們需要使用物理交換機(jī)進(jìn)行IP或者虛擬子網(wǎng)絡(luò)的劃分，而在云計(jì)算系統(tǒng)中管理相對(duì)簡(jiǎn)單得多，它為我們提供便捷的管理界面，我們可以通過(guò)圖形化設(shè)置進(jìn)行統(tǒng)一管

12、理。在測(cè)評(píng)時(shí)可能碰到兩種情況，一種是使用虛擬交換機(jī)，一種是使用vNetwork分布式交換機(jī)。在使用虛擬交換機(jī)時(shí)，根本采用與物理交換機(jī)相結(jié)合的方式進(jìn)行VLAN劃分，其所處VLAN以其物理網(wǎng)卡連接交換機(jī)端口的VLAN決定。具體測(cè)評(píng)應(yīng)在vShare Clinet-清單-主機(jī)和群集-配置-網(wǎng)絡(luò)中進(jìn)行查看如圖2-5-1此外還需要檢查物理交換機(jī)的VLAN配置情況。 圖2-5-1 而在大型的云計(jì)算系統(tǒng)中，采用vNetwork分布式交換機(jī)的情況較多，在此情況下，應(yīng)進(jìn)入vShare Clinet上進(jìn)入清單-網(wǎng)絡(luò)-dvPortgroup-端口中，右鍵點(diǎn)擊相應(yīng)端口選擇“編輯設(shè)置-VLAN進(jìn)行查看(如圖2-5-2)。

13、圖2-5-2而當(dāng)需要整改設(shè)置時(shí)，由于當(dāng)測(cè)評(píng)對(duì)象采用默認(rèn)設(shè)置時(shí)，目標(biāo)為灰色，不可設(shè)置包括替代。具體解決方法請(qǐng)參照網(wǎng)絡(luò)帶寬設(shè)置要求?中的描述進(jìn)行配置。當(dāng)所述配置完畢后，可以在此處進(jìn)行VLAN設(shè)置。2.6 網(wǎng)段的隔離在網(wǎng)絡(luò)整體全測(cè)評(píng)中，要求防止重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處并直接與外部網(wǎng)絡(luò)相連。虛機(jī)系統(tǒng)的要求和測(cè)評(píng)方法與傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)類似，但是對(duì)于一些小型網(wǎng)絡(luò)，可采用1臺(tái)電腦模擬雙防火墻結(jié)構(gòu)的模式，以到達(dá)完整網(wǎng)絡(luò)邊界、降低本錢的目的。實(shí)現(xiàn)方法如圖2-6-1：如原網(wǎng)絡(luò)邊界僅1臺(tái)效勞器，無(wú)防火墻設(shè)置，內(nèi)外部網(wǎng)絡(luò)與其直接相連。可在效勞器上安裝虛擬機(jī)，建立兩臺(tái)虛機(jī)，1臺(tái)作為外部堡壘/防火墻、1臺(tái)作為內(nèi)部堡壘/

14、防火墻。分別連接兩塊物理網(wǎng)卡，與內(nèi)外部網(wǎng)絡(luò)相連接，原物理效勞器作為效勞器，提供效勞，并分別與內(nèi)外虛擬機(jī)建立單獨(dú)連接，并在內(nèi)外虛擬機(jī)上配置相關(guān)防火墻訪問(wèn)控制功能，以到達(dá)隔離目的。圖2-6-1在采用虛擬機(jī)為構(gòu)架的系統(tǒng)中，我們可以使用這種方法，靈活的建立堡壘主機(jī)或者網(wǎng)絡(luò)拓?fù)?，而不用通過(guò)物理環(huán)境的改動(dòng)即可實(shí)現(xiàn)網(wǎng)絡(luò)的拓?fù)涞撵`活變化。同時(shí)，虛擬機(jī)系統(tǒng)提供的備份遷移功能可以使我們以最低的本錢完成堡壘主機(jī)、效勞器、軟件防火墻的備份和恢復(fù)，大大優(yōu)于傳統(tǒng)網(wǎng)絡(luò)。我們可以通過(guò)資源池功能來(lái)實(shí)現(xiàn)上述功能的熱備份。2.7 網(wǎng)絡(luò)帶寬設(shè)置要求在使用VM建立的云計(jì)算系統(tǒng)中可以對(duì)虛機(jī)的帶寬進(jìn)行設(shè)定，但是目前版本不能對(duì)虛機(jī)的帶寬優(yōu)先

15、級(jí)進(jìn)行設(shè)置。由于其虛擬交換機(jī)系統(tǒng)是可以進(jìn)行物理網(wǎng)卡的綁定的，當(dāng)帶寬缺乏時(shí)可以通過(guò)增加物理網(wǎng)卡進(jìn)行帶寬的擴(kuò)展，所以內(nèi)部網(wǎng)絡(luò)帶寬根本可以滿足要求。但是需要注意采用vSwitch的方式是無(wú)法進(jìn)行單個(gè)端口的帶寬配置的，必須使用vNetwork分布式交換機(jī)配置。具體網(wǎng)絡(luò)帶寬測(cè)評(píng)方式為，在vShare Clinet上進(jìn)入清單-網(wǎng)絡(luò)-dvPortgroup-端口中，選擇相應(yīng)的端口右鍵-編輯設(shè)置，就可以在策略中進(jìn)行相關(guān)檢查了如圖2-7-1。 圖2-7-1當(dāng)測(cè)評(píng)對(duì)象未進(jìn)行設(shè)置時(shí)，默認(rèn)為灰色，不可設(shè)置包括替代。因此，在進(jìn)行整改設(shè)置時(shí)需要首先在vShare Clinet上進(jìn)入清單-網(wǎng)絡(luò)-dvPortgroup-入門

16、中，對(duì)“管理此分布接口組進(jìn)行操作如圖2-7-2，在高級(jí)中尋找編輯替代設(shè)置，對(duì)流量調(diào)整的“允許替代選擇“是。這樣才能在上述檢查位置進(jìn)行設(shè)定如圖2-7-3。 圖2-7-2 圖2-7-33 邊界平安完整性相關(guān)測(cè)評(píng)在信息平安登記保護(hù)三級(jí)要求中，要求能夠?qū)Ψ鞘跈?quán)設(shè)備的私自內(nèi)聯(lián)外聯(lián)進(jìn)行檢查和有效阻斷。在傳統(tǒng)網(wǎng)絡(luò)的測(cè)評(píng)中我們通常通過(guò)模擬入侵或?qū)Ψ阑饓ΑDS設(shè)備或流量檢測(cè)設(shè)備的檢查完成對(duì)此項(xiàng)的測(cè)評(píng)。在使用第二種方法進(jìn)行檢測(cè)時(shí)，我們需要對(duì)防火墻、IDS設(shè)備或流量檢測(cè)設(shè)備的位置進(jìn)行查證，通過(guò)拓?fù)溆^察是否處于網(wǎng)絡(luò)邊緣位置。并且需要注意在企業(yè)內(nèi)部，虛擬機(jī)的物理終端是否有連接外網(wǎng)需要和是否有有效隔斷手段。4 入侵防范

17、相關(guān)測(cè)評(píng)在目前大量使用的虛擬機(jī)系統(tǒng)中，并未整合入侵防范系統(tǒng)。VMware使用第三方入侵檢測(cè)產(chǎn)品，根據(jù)接入位置不同，主要由兩種方式，一種是安裝于訪客和管理程序之間如圖4-1，一種是安裝于每臺(tái)工作主機(jī)之上如圖4-2。這與正常網(wǎng)絡(luò)下的入侵檢測(cè)主機(jī)式和網(wǎng)絡(luò)式類似。我們?cè)谶M(jìn)行測(cè)評(píng)工作時(shí)，需要針對(duì)不同的情況，網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行檢測(cè)。 圖4-1 圖4-25 結(jié)束語(yǔ)虛擬機(jī)作為云計(jì)算系統(tǒng)的重要根底，本身也在不斷的開(kāi)展變化中，是IT產(chǎn)業(yè)開(kāi)展的必然趨勢(shì)，它也推動(dòng)了網(wǎng)絡(luò)構(gòu)架的不斷變化，作者也在不斷的加深學(xué)習(xí)中。文章僅是作者在工作中的根據(jù)所執(zhí)行工程的實(shí)際情況總結(jié)出的一些經(jīng)驗(yàn)，希望文章能夠?qū)Υ蠹业墓ぷ饔兴鶐椭?，也希望能夠拋磚引玉，得到其他兄弟機(jī)構(gòu)的指導(dǎo)和幫助。作者簡(jiǎn)介：作者簡(jiǎn)介：才昊1978-，男漢，籍貫遼寧省錦州市，工程師，主要研究方向：信息平安。參考文獻(xiàn)