虚拟化网络安全防护体系创建

文/吴雨

1 前言

虚拟化技术以自身独特优势被广泛应用到很多行业和领域当中，相应行业在应用虚拟化技术之后，可以不受时间和地点的限制利用移动终端实现向本企业虚拟化应用当中的有效连接，随时随地的完成相关工作与业务，使用便捷的同时有效提高工作效率。然而，虚拟化技术在为使用者提供便利的同时，也存在一定的安全问题，为了有效提高虚拟化技术的应用程度，针对虚拟化应用实现网络安全防护体系的创建具有重要意义。

2 虚拟化网络安全分析

要实现虚拟化技术的有效运用，就要确保网络安全。为了促使虚拟化技术能够在更大范围内更深层次的为人们的工作和生活提供便利，就要针对虚拟化应用的网络安全问题进行有效分析，并进行加固和防护。

2.1 安全防护五要素

虚拟化网络安全防护需要在五个方面实现安全加固：

2.1.1 用户的身份安全

这种方式可以通过短信认证、用户名与密码、数字证书、USB-Key等方式进行用户身份的实际认证，为了确保用户接入更加可靠，可以通过一种方式，也可同时利用多种方式同时认证。

2.1.2 终端安全

针对终端设备要加强对木马以及病毒的防护，对系统漏洞补丁及时升级，以对病毒和间谍软件能够实现检测与拦截。

2.1.3 传输安全

通过标准加密算法的利用实现数据能够安全传输。

2.1.4 应用权限安全

向每个用户和部门实现URL级别以及应用的实际授权，同时根据实际情况实现差别授权并灵活的控制。

2.1.5 审计安全

通过日志中心的相关功能促使管理更加安全。

2.2 虚拟化安全隐患

在对虚拟化技术进行应用的时候，普遍的一个做法就是通过各种移动终端在互联网环境中实现向目标DMZ区虚拟化服务器的连接，以虚拟化服务器为代理实现向内网相应应用系统当中的访问。但是在对虚拟化应用实现访问的时候，一般为了用户方便快捷的通过认证访问相应的虚拟化应用，多以用户名密码加上认证码的方式进行认证访问，这种静态的认证方式如果出现用户名与密码的泄漏，将会出现严重安全问题。

3 虚拟化网络安全防护体系创建

根据虚拟化技术在应用当中涉及到的安全防护五要素，并结合实际安全隐患，主要从以下四个方面实现虚拟化网络安全防护体系的创建。

3.1 手机动态码验证

通过众多实践发现，手机动态码验证是一种相对安全并且被普遍认可的一种虚拟化认证方式。这种认证方式当中涉及到的密码具有一定的互动性和动态性，比如应用到银行支付当中，即使银行用户自身银行卡和支付密码都被非法盗取了，但是在实际支付行为中还需要用到用户本人的动态手机验证码，在缺失相应验证码的情况下也难以实现取款行为。在用户本文接收到动态验证码的时候还包括相应的密码序号，只有在确保获取的动态密码和相应密码序号是一致的，才能进行相应操作，这样就使手机动态密码进一步提高了安全性。

3.2 将USB-Key认证使用范围有效扩展

一般在虚拟化技术的实际应用当中，已经实现相对健全的PKI认证系统建立，相应业务应用在被用户实现有效访问之前，都要先进行USB-Key的认证。在常用的三种认证技术当中，动态口令和USB-Key认证方式是最具安全性的。要实现虚拟化网络安全，可以有效利用USB-Key认证方式，以此为基础确保相关业务在应用过程中能够实现认证方式都具有高度的一致性。在实际应用过程中，这种认证方式还是具有较高的性价比，并且相应USB接口具备通用性，比较适合在实际的应用当中积极推广应用。USB-Key自身成本较低，并且携带和使用都非常方便，在应用中比较安全可靠，同时，PKI体系自身数据保护相关机制较为完善，促使USB-Key认证方式成为当前较为常用的认证模式。

3.3 利用远程安全桌面

用户在访问虚拟化应用的时候，不管是采用用户名+密码的方式还是通过USB-Key形式的认证方式实现向虚拟化系统当中的登入，通常会将相应应用当中包含的一些资源向本地电脑当中下载，在下载过程中就存在一定的安全隐患，相应的信息有可能被黑客盗取并被不法分子利用，或者上传至互联网当中，影响相应信息的安全。针对这一安全隐患，可以通过安全桌面技术实现问题的解决。

利用安全桌面技术，可以避免一些重要的信息在用户终端存留过程中出现泄漏风险。在应用安全桌面技术之后，一切访问虚拟化服务器的行为以及通过服务器进行数据的传输行为都能够使其中涉及到的数据保存在安全桌面当中，置于安全桌面当中的数据都不能进行本机的存储，也不能向U盘等类似的外设设备当中进行拷贝，也不能利用互联网以及局域网实现数据外发，确保安全桌面当中的数据不能用任何方式实现泄漏。

3.4 DMZ区部署七层防火墙

针对虚拟化应用，传统防火墙的相关设备在安全性、性能以及带宽方面都不能实现数据监控与拦截的需求。针对这种情况，可以利用七层防火墙对虚拟化应用进行安全防护，以此促使数据包在经过防火墙的时候安全性能有效提高，并确保网络安全且应用可以正常的运行。在虚拟化网络当中部署七层防火墙，能够对互联网当中向虚拟化应用访问进行识别。

4 结束语

人们在利用虚拟化技术之后，能够在远离电脑的环境中，通过平板电脑以及智能手机等移动终端在连接网络的基础上，实时访问虚拟化目标应用，为工作与生活提供了极大便利。不过，在应用虚拟化技术的同时，要注意根据网络安全威胁以及自身引入的相应安全问题，灵活多变的创建虚拟化网络安全防护体系。

参考文献

[1]钟植任,关洪涛,刘冉等.一种运营商网络安全功能虚拟化系统部署方法[J].信息通信技术,2017(03):13-19.

[2]孙梅玲,李降宇,王寅永.基于虚拟化环境的信息安全防护体系构建[J].网络安全技术与应用,2017(09):141-141.