云計算網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)全局安全測評研究（已經(jīng)發(fā)過）

1、云計算系統(tǒng)的網(wǎng)絡(luò)全局平安測評研究 才昊遼寧省大連市大連大工現(xiàn)代工程檢測，116001摘 要：本文主要討論在采用虛擬機作為根底的環(huán)境下，使用云計算方式完成企業(yè)信息網(wǎng)絡(luò)搭建的優(yōu)缺點，以及等級保護測評工作的實施重點、實施方法，平安漏洞的改良方式等內(nèi)容。本文以VMware為研究對象，詳細分析了在等級保護中網(wǎng)絡(luò)全局相關(guān)內(nèi)容的測評內(nèi)容、測評方法，并提出相應(yīng)整改建議。關(guān)鍵詞：云計算；虛擬機；信息平安；等級保護； Cloud Computing System Network Global Safety Evaluation Research CAI HAO (Liaoning province city of

2、 Dalian Dalian University of modern engineering limited testing,116001)Abstract：Mainly discussed in this paper uses the virtual machine as the basis of the environment, the use of cloud computing way to complete the enterprise information network set up advantages and disadvantages, and hierarchical

3、 protection assessment work focused on the implementation, implementation method, the improvement of security vulnerabilities such as. This paper takes VMware as the research object, analyzes in detail the rank protection network global content related to the evaluation content, evaluation method, a

4、nd puts forward the corresponding improvement suggestion.Key words：Cloud Computing; Virtual Machine; Information Security; classified security protection; 0 引言隨著計算機技術(shù)的進步與開展，云計算已大量進入到實際應(yīng)用階段，虛擬機技術(shù)作為云計算的根底在企事業(yè)單位中得到廣泛的應(yīng)用，無論在銀行、證券、石化、電力、大型企業(yè)、保險等行業(yè)，都得到了廣泛的應(yīng)用。相對于傳統(tǒng)網(wǎng)絡(luò)，基于虛擬技術(shù)的云計算網(wǎng)絡(luò)有著降低實施本錢、降低管理本錢、更好的平安性、更好的備

5、份恢復(fù)性能、更靈活的擴展性能、更好的可用性與兼容性等優(yōu)勢。VMware公司作為全球知名的虛擬化和云計算架構(gòu)領(lǐng)導(dǎo)廠商，在中國的市場占有率為第一位。大量公司采用其虛擬化產(chǎn)品作為云計算系統(tǒng)的根底。本文主要討論以VMware產(chǎn)品為根底的的云計算系統(tǒng)為對象，主要對等級保護平安中的網(wǎng)絡(luò)全局局部的測評和整改技術(shù)問題進行討論。參考標準為?信息平安等級保護根本要求?GB/T 22239:2021中的三級要求，實施環(huán)境是以VMware公司的VMware vSphere為根底，涉及產(chǎn)品包括ESXvCenter Servervicliente等，主要討論在此環(huán)境下的網(wǎng)絡(luò)全局平安測評及整改工作的實施。1 網(wǎng)絡(luò)全局平安測

6、評總述在等級保護要求中，網(wǎng)絡(luò)全局平安測評主要是針對網(wǎng)絡(luò)結(jié)構(gòu)、邊界、入侵可能等工程進行檢測。而在以虛擬技術(shù)為根底的云計算系統(tǒng)中，測評整改工作的開展和傳統(tǒng)網(wǎng)絡(luò)有著很大的區(qū)別。效勞器和交換機系統(tǒng)也不再是傳統(tǒng)結(jié)構(gòu)，而是采用虛擬系統(tǒng)或物理機與虛擬產(chǎn)品相結(jié)合方式來完成。這無形間給我們的測評工作加大難度，在進行此種測評時，不僅要技術(shù)熟練，還需要有大量的實施經(jīng)驗。而在Vmware產(chǎn)品系列中,與網(wǎng)絡(luò)相關(guān)設(shè)置主要有vSwitch、vNetwork兩種實現(xiàn)方式思科Nexus 1000v 需單獨購置許可證，在此不討論。，一種是在主機上管理，一種是在vCenter上管理，我們在進行網(wǎng)絡(luò)全局測評時，重點在這兩項的使用和配

7、置，當然，也需要熟悉其他工程的使用。2 結(jié)構(gòu)平安相關(guān)測評在結(jié)構(gòu)平安測評單元中，由于VMware中存在vNetwork及vSwitch，其在網(wǎng)絡(luò)規(guī)劃、流量帶寬管理、邊界別離上都有著得天獨厚的優(yōu)勢，下面討論每一個測評子類的檢測方法與實現(xiàn)方法。2.1 設(shè)備空間冗余基于單機的VMware中的虛擬交換機vSwitch和vDS僅是在效勞器內(nèi)部模擬信息流交換，所以節(jié)省了大量的CPU資源，類似于1個軟件交信息在機器內(nèi)部交給另外1個軟件，所以在這一測評工程上，是完全符合公安部等級保護要求的。 而在多機集群形成的系統(tǒng)中，僅能采用vDS進行處理，而多機集群信息需要通過傳統(tǒng)的物理交換機進行信息交換，在此種情況下進行測

8、評工作，需要對物理交換機進行業(yè)務(wù)能力的測評。 另外，虛擬交換機是提供冗余設(shè)計的，確保其不會因為處理能力缺乏而當機。但是，由于其是主機層而不是鏈路層的冗余，所以當使用冗余功能時需要多塊物理網(wǎng)卡來實現(xiàn)，最好是不同網(wǎng)卡連接不同的物理交換機端口，可以同時工作，實現(xiàn)冗余的同時也可以實現(xiàn)交換效能的增加。物理多鏈接的冗余檢測中，如采用分布式交換模式可通過vSphere Client中的“清單-“網(wǎng)絡(luò)-“配置進行檢查如圖2-1-1；如采用vSwitch方式那么需在vSphere Client中的“清單-“主機和群集-“配置-“網(wǎng)絡(luò)虛擬交換機中進行檢查如圖2-1-2。 圖2-1-1 圖2-1-22.2 網(wǎng)絡(luò)帶寬

9、要求在這一個測評子類中，需要分為兩局部。一個是虛擬交換機內(nèi)部交換帶寬，另一個是物理交換帶寬。虛擬交換機帶寬：在vSphere Client中的“配置-“網(wǎng)絡(luò)-“屬性可以查看和設(shè)置虛擬交換機帶寬如圖2-2-1。其交換帶寬可到達極高值，所以根本上滿足一切業(yè)務(wù)需要，但需查看其帶寬限制如圖2-2-2。 圖2-2-1 圖2-2-2而在物理交換帶寬中，我們需要考察傳統(tǒng)物理交換機的交換能力和提供虛擬機的效勞器的網(wǎng)卡的吞吐能力。在此，物理交換機不再討論，而相對于效勞器的網(wǎng)卡交換能力是比擬特殊的一點，因為這與效勞器搭載的虛擬機數(shù)量和效勞有極大關(guān)系，這就需要我們進行綜合的分析和評定，但值得注意的，VMware是支

10、持多網(wǎng)卡帶寬綁定的，在vSphere Client中的“配置-“網(wǎng)絡(luò)中可以進行查看如圖2-2-3，當被測系統(tǒng)網(wǎng)絡(luò)帶寬缺乏時可以使用多加網(wǎng)卡的方式進行帶寬的擴展在此頁面下，“屬性-網(wǎng)絡(luò)適配器中。圖2-2-32.3 業(yè)務(wù)終端與業(yè)務(wù)效勞器平安路徑在采用云計算的條件下我們可以把業(yè)務(wù)終端分為兩大類，即終端在云系統(tǒng)內(nèi)部和終端在云系統(tǒng)外部。很多大型企業(yè)，為減少管理本錢，增加平安性，進行了包含效勞器系統(tǒng)和終端系統(tǒng)的全部虛擬化部署，在這種情況下，當業(yè)務(wù)終端訪問業(yè)務(wù)效勞器時，完全在運系統(tǒng)內(nèi)部完成，所以根本上是可以信賴的平安路徑，為了防止其他系統(tǒng)內(nèi)部虛機使用SNIFFER進行竊聽，除了采取傳統(tǒng)方法外，還可以在網(wǎng)絡(luò)設(shè)

11、置中將混雜模式關(guān)閉如圖2-3-1。圖2-3-1 而對于來自云系統(tǒng)外部的終端訪問，我們應(yīng)該使用傳統(tǒng)方法進行平安訪問路徑的測評。2.4 拓撲結(jié)圖的生成在測評工作中，大家可能都會碰到?jīng)]有與網(wǎng)絡(luò)實際情況相符的拓撲圖的情況，而在基于VMware的云系統(tǒng)內(nèi)部這種情況是不存在的。我們可以通過“數(shù)據(jù)中心的“映射進行云計算網(wǎng)絡(luò)內(nèi)部拓撲結(jié)構(gòu)的查看(如圖2-4-1)。但是需要注意，云系統(tǒng)以外的網(wǎng)絡(luò)情況，還需要進行單獨的添加。圖2-4-12.5 子網(wǎng)及網(wǎng)段的劃分在傳統(tǒng)網(wǎng)絡(luò)中我們需要使用物理交換機進行IP或者虛擬子網(wǎng)絡(luò)的劃分，而在云計算系統(tǒng)中管理相對簡單得多，它為我們提供便捷的管理界面，我們可以通過圖形化設(shè)置進行統(tǒng)一管

12、理。在測評時可能碰到兩種情況，一種是使用虛擬交換機，一種是使用vNetwork分布式交換機。在使用虛擬交換機時，根本采用與物理交換機相結(jié)合的方式進行VLAN劃分，其所處VLAN以其物理網(wǎng)卡連接交換機端口的VLAN決定。具體測評應(yīng)在vShare Clinet-清單-主機和群集-配置-網(wǎng)絡(luò)中進行查看如圖2-5-1此外還需要檢查物理交換機的VLAN配置情況。 圖2-5-1 而在大型的云計算系統(tǒng)中，采用vNetwork分布式交換機的情況較多，在此情況下，應(yīng)進入vShare Clinet上進入清單-網(wǎng)絡(luò)-dvPortgroup-端口中，右鍵點擊相應(yīng)端口選擇“編輯設(shè)置-VLAN進行查看(如圖2-5-2)。

13、圖2-5-2而當需要整改設(shè)置時，由于當測評對象采用默認設(shè)置時，目標為灰色，不可設(shè)置包括替代。具體解決方法請參照網(wǎng)絡(luò)帶寬設(shè)置要求?中的描述進行配置。當所述配置完畢后，可以在此處進行VLAN設(shè)置。2.6 網(wǎng)段的隔離在網(wǎng)絡(luò)整體全測評中，要求防止重要網(wǎng)段部署在網(wǎng)絡(luò)邊界處并直接與外部網(wǎng)絡(luò)相連。虛機系統(tǒng)的要求和測評方法與傳統(tǒng)計算機網(wǎng)絡(luò)結(jié)構(gòu)類似，但是對于一些小型網(wǎng)絡(luò)，可采用1臺電腦模擬雙防火墻結(jié)構(gòu)的模式，以到達完整網(wǎng)絡(luò)邊界、降低本錢的目的。實現(xiàn)方法如圖2-6-1：如原網(wǎng)絡(luò)邊界僅1臺效勞器，無防火墻設(shè)置，內(nèi)外部網(wǎng)絡(luò)與其直接相連。可在效勞器上安裝虛擬機，建立兩臺虛機，1臺作為外部堡壘/防火墻、1臺作為內(nèi)部堡壘/

14、防火墻。分別連接兩塊物理網(wǎng)卡，與內(nèi)外部網(wǎng)絡(luò)相連接，原物理效勞器作為效勞器，提供效勞，并分別與內(nèi)外虛擬機建立單獨連接，并在內(nèi)外虛擬機上配置相關(guān)防火墻訪問控制功能，以到達隔離目的。圖2-6-1在采用虛擬機為構(gòu)架的系統(tǒng)中，我們可以使用這種方法，靈活的建立堡壘主機或者網(wǎng)絡(luò)拓撲，而不用通過物理環(huán)境的改動即可實現(xiàn)網(wǎng)絡(luò)的拓撲的靈活變化。同時，虛擬機系統(tǒng)提供的備份遷移功能可以使我們以最低的本錢完成堡壘主機、效勞器、軟件防火墻的備份和恢復(fù)，大大優(yōu)于傳統(tǒng)網(wǎng)絡(luò)。我們可以通過資源池功能來實現(xiàn)上述功能的熱備份。2.7 網(wǎng)絡(luò)帶寬設(shè)置要求在使用VM建立的云計算系統(tǒng)中可以對虛機的帶寬進行設(shè)定，但是目前版本不能對虛機的帶寬優(yōu)先

15、級進行設(shè)置。由于其虛擬交換機系統(tǒng)是可以進行物理網(wǎng)卡的綁定的，當帶寬缺乏時可以通過增加物理網(wǎng)卡進行帶寬的擴展，所以內(nèi)部網(wǎng)絡(luò)帶寬根本可以滿足要求。但是需要注意采用vSwitch的方式是無法進行單個端口的帶寬配置的，必須使用vNetwork分布式交換機配置。具體網(wǎng)絡(luò)帶寬測評方式為，在vShare Clinet上進入清單-網(wǎng)絡(luò)-dvPortgroup-端口中，選擇相應(yīng)的端口右鍵-編輯設(shè)置，就可以在策略中進行相關(guān)檢查了如圖2-7-1。 圖2-7-1當測評對象未進行設(shè)置時，默認為灰色，不可設(shè)置包括替代。因此，在進行整改設(shè)置時需要首先在vShare Clinet上進入清單-網(wǎng)絡(luò)-dvPortgroup-入門

16、中，對“管理此分布接口組進行操作如圖2-7-2，在高級中尋找編輯替代設(shè)置，對流量調(diào)整的“允許替代選擇“是。這樣才能在上述檢查位置進行設(shè)定如圖2-7-3。 圖2-7-2 圖2-7-33 邊界平安完整性相關(guān)測評在信息平安登記保護三級要求中，要求能夠?qū)Ψ鞘跈?quán)設(shè)備的私自內(nèi)聯(lián)外聯(lián)進行檢查和有效阻斷。在傳統(tǒng)網(wǎng)絡(luò)的測評中我們通常通過模擬入侵或?qū)Ψ阑饓ΑDS設(shè)備或流量檢測設(shè)備的檢查完成對此項的測評。在使用第二種方法進行檢測時，我們需要對防火墻、IDS設(shè)備或流量檢測設(shè)備的位置進行查證，通過拓撲觀察是否處于網(wǎng)絡(luò)邊緣位置。并且需要注意在企業(yè)內(nèi)部，虛擬機的物理終端是否有連接外網(wǎng)需要和是否有有效隔斷手段。4 入侵防范

17、相關(guān)測評在目前大量使用的虛擬機系統(tǒng)中，并未整合入侵防范系統(tǒng)。VMware使用第三方入侵檢測產(chǎn)品，根據(jù)接入位置不同，主要由兩種方式，一種是安裝于訪客和管理程序之間如圖4-1，一種是安裝于每臺工作主機之上如圖4-2。這與正常網(wǎng)絡(luò)下的入侵檢測主機式和網(wǎng)絡(luò)式類似。我們在進行測評工作時，需要針對不同的情況，網(wǎng)絡(luò)結(jié)構(gòu)進行檢測。 圖4-1 圖4-25 結(jié)束語虛擬機作為云計算系統(tǒng)的重要根底，本身也在不斷的開展變化中，是IT產(chǎn)業(yè)開展的必然趨勢，它也推動了網(wǎng)絡(luò)構(gòu)架的不斷變化，作者也在不斷的加深學(xué)習中。文章僅是作者在工作中的根據(jù)所執(zhí)行工程的實際情況總結(jié)出的一些經(jīng)驗，希望文章能夠?qū)Υ蠹业墓ぷ饔兴鶐椭?，也希望能夠拋磚引玉，得到其他兄弟機構(gòu)的指導(dǎo)和幫助。作者簡介：作者簡介：才昊1978-，男漢，籍貫遼寧省錦州市，工程師，主要研究方向：信息平安。參考文獻