云资源池网络异常流量分析与加固防范

赵立军　樊燕红　张龙江

摘要：建安全可靠的云资源池。分析了网络堵塞的排查和分析方法，通过对防火墙的session分析、交换机的端口流量、物理主机网络流量、虚拟机的网络流量的分析，找到网络堵塞发生的根源，对物理防火墙和服务器虚拟化管理软件本身进行了防范性加固，杜绝恶意攻击导致的网络堵塞。

关键词：云资源池；安全；网络堵塞；网络防范

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）07-1401-02

云计算的兴起，数据中心作为云端的核心，承载了越来越多的业务。和传统网络相比，在需求和规划上有着极大的差异性。这些差异也直接催生了网络的变化，也给数据中心网络安全带来了新挑战。

网络堵塞是目前遇到的最为常见的网络攻击故障，表现为网络链路链接被云主机在某一时间大量发包，占用了幾乎所有的网络带宽。当网络负载接近网络容量时，延时急剧增大，当网络负载大于网络容量时，延时为无穷大，导致网络无法使用。云数据中心网络与传统网络的差异性，增加了故障排查的难度。

1 网络堵塞监测

2.3 查看对应物理主机和承载的虚拟机异常流量

发现192.168.254.11服务器上的流量有异常，该物理主机的流量比正常情况下出现了很大变化，说明运行在该物理主机上的虚拟机有流量问题。查看每个虚拟机的流量变化情况。发现有个iTV-100的虚拟机的流量出现了异常：

正常情况下，流量在50M左右，流量突然增加到900M以上，高峰时刻达到了1200M，超过了防火墙的网络出口上限1000M，可以判断，该虚拟机是引起网络堵塞的原因。

3 安全加固

造成网络堵塞大部分是由于DDOS攻击引起的。这种攻击就是要阻止合法用户对正常网络资源的访问，它通过很多“僵尸主机”向受害主机发送大量看似合法的网络包，从而造成网络阻塞或服务器资源耗尽而导致拒绝服务，导致合法用户无法正常访问服务器的网络资源。

3.1 攻击防范配置

攻击防范是一个重要的网络安全特性，它通过分析经过设备的报文的内容和行为，判断报文是否具有攻击特征，并根据配置对具有攻击特征的报文执行一定的防范措施。防火墙都提供了一些防御能力，华为防护墙的防范网络攻击的配置如下。

3.2 虚拟应用流量限制

在云平台下，由于部署了众多的业务平台，为安全起见，每个业务平台都有各自独立使用的Vlan，在调研阶段，就需要对业务平台使用的网络带宽情况进行规划。部署时，进行网络带宽限制。Vmware提供了对一个Vlan进行网络流量限制的方法。在Vlan属性对话框中，开启流量调整策略，设置平均带宽、带宽峰值、突发大小的值。

4 结束语

云资源池的安全性一方面依赖于服务器虚拟化本身的安全性能，另一方面，需要采用传统的安全技术和云资源池下的特性结合起来，在现有的网络设备上进行配置，减少网络遭受攻击的可能性。该文介绍的网络在遭受攻击后的检测，通过分析防火墙、交换机、物理机的网络流量、虚拟机的网络流量几个层面的特性，定位到网络攻击的根源，并提供了几个加固防范的措施。

参考文献：

[1] 彭晓靖，郭亮，彭国城，等.中国电信基于云平台提供网站安全运营服务探索[J]电信技术， 2013（9）：25-28.

[2] 袁玉宇，刘川意，郭松柳.虚拟化与云计算[M].北京：电子工业出版社，2012，8.