吕君 夏宏雷 朱剑玫
摘 要:在虚拟化技术广泛应用的今天,其中一项重要的虚拟化网技术也在不断地发展和使用,近年来在各高校的实验教学和实验室网络架构中应用取得了不错的效果。伴随着虚拟化网络技术在越来越多的地方应用,网络安全问题也慢慢地凸显出来。网络安全问题不仅给高校实验教学造成重大的影响,有时还会造成数据和资料泄密而被破坏。而虚拟网络技术的使用可以增强跨网段访问及传输数据的安全,并且大大提高了高校实验教学的信息化手段。虚拟化网络技术在网络安全方面具有十分重要的研究意义。从跨不同的网段间互相通信、超级管理员在后台进行远程管理等方面研究了虚拟网络技术在网络安全中的应用,本文希望能对网络安全的管理提供一些参考意见。
关键词:虚拟化网络;網络安全;安全设计
基金项目:本文系武汉工商学院教改教研课题:虚拟化网络在实验教学中的安全设计(2017Y10)
1 虚拟化网络基本概念
网络虚拟化是指采用虚拟化技术搭建的网络。虚拟化网络对网络连接中概念进行了抽象化,可以让远程用户来访问内部的网络,就像物理终端访问物理网络一样的效果。网络虚拟化可以更好地保护IT环境,防御来自Internet的病毒,同时让用户能够快速安全地访问各种应用程序和数据。网络虚拟化可将网络抽象化成一个广义的网络容量池。可以将统一网络容量池以最佳的方式分割成多个逻辑网络。虚拟化网络可以实现跨越物理边界的逻辑网络,从而实现跨集群和单位的计算资源并将其进行优化。不同于传统网络体系架构,逻辑网络不需要重新配置底层物理硬件便能实现扩展。
我校虚拟资源中心使用的是VMware虚拟化网络技术,通过虚拟化技术可将局域网进行扩展,可以创建叠加在物理网络基础架构之上的逻辑网络。VMware作为全球最大的虚拟化厂商实现了通过软件可以定义应用及其所需的所有资源,包括服务器、存储、网络和安全功能都会实现虚拟化,然后组合所有元素以创建一个软件定义的数据中心。通过虚拟化可以减少服务器部署的时间和成本,可以实现灵活性和资源利用率的最大化,可以在调配虚拟机时对环境进行自定义,在软件定义的数据中心里虚拟机可以跨越物理子网边界。传统的网络在第2层利用VLAN来实现广播隔离,在以太网数据帧中使用12位的VLAN ID将第二层网络划分成多个广播域,VLAN数量需少于4094个。随着虚拟化技术应用越来越广泛,4094个的数值上限基本快到达峰值。此外,由于生成树协议(STP)的限制,极大的限制了可以使用的VLAN数量。基于VXLAN的网络虚拟化解决了传统物理网络面临的诸多难题。
2 虚拟资源中心网络虚拟化存在的主要问题
2.1 物理和虚拟资源的高利用率带来的风险
通过使用虚拟化技术,大提高了虚拟资源中心服务器的利用效率和访问量,但也导致服务器负载过重,特别是机房同时上课让服务器和网络资源使用率达到近90%。虚拟化后台的多个应用和管理平台集中在几台核心物理服务器上,当物理服务器出现故障时那么虚拟的应用平台和管理台将不能正常运转。网络虚拟化的特点是应用只与虚拟层进行交互,与物理硬件是隔离的,从而导致管理人员看不到设备背后的安全风险,服务器系统变得不稳定,数据变得不安全。
2.2 网络架构变动导致的安全风险
虚拟化网络技术的部置对传统的网络结构进行了很大的变动,因此也带来了新的风险。部署虚拟化网络之前,在防火墙上新建几个隔离区,根据物理服务器的异同用不同的访问规则加以控制,从而有效地保证把网络攻击限定在一个隔离区范围之内,部署虚拟化网络完成后,若有一台虚拟机失效,能通过虚拟网络把安全问题的消息发布到其他虚拟机中去。
2.3 虚拟化网络环境的安全风险
1)来自黑客的攻击。全面地控制住管理层的黑客,能控制物理服务器中的全部虚拟机,那么管理程序上所运行的所有操作系统特别难监测出一些流氓软件和病毒所带来的威胁。
2)系统补丁存在安全风险。在物理服务器发布多个虚拟机之后,这些虚拟机会在定期进行系统的补丁更新、维护,在补丁成功安装后会出现不能及时地补漏洞所产生的安全威胁。超级管理员在虚拟化管理平台发现有安全漏洞时,那么就能让虚拟机在主机上运行恶意代码。黑客便使用虚拟化技术去隐藏计算机病毒、木马程序和其他各类带有破坏性的软件的轨迹,让我们防不胜防。
3 虚拟化网络的安全设计
3.1 虚拟资源中心的安全需求
正常的虚拟资源中心主要监控常规业务流量的访问情况,虚拟资源中心进行虚拟化后增加了一些主机的动态迁移和积灰业务混杂一起的风险,所以在安全的模型之中要把主机的动态去迁移到同一个资源池的其他物理服务器中,把业务风险有效的隔离作为管理平台的一个关注点。虚拟化技术的虚拟资源中心安全需求包含三个方面:一是进行通道隔离,主要是各种应用、业务和用户需要安全隔离,以便保证终端用户群组可以获得准确资源和充裕的网络流量,从而保持高可用;二是接入进行控制,主要是网络安全的策略可支撑集群中所有成员进行动态加入、迁移或离开;三是网络安全方面策略能够跟随虚拟机进行迁移。
3.2 虚拟资源中心的安全网络架构
1)虚拟资源中心的安全网络架构原则。在虚拟资源中心新一代的虚拟化技术进行网络架构,可以通过智能弹性架构技术将多台网络设备组成一个集群,连成一台网络设备进行统一管理,采用整体无环路设计方案可以大大提高设备的可用性。
虚拟资源中心在进行虚拟化网络架构的时候,坚持模块化和层次化的规则。以安全可靠性原则为出发点,使用三层架构和二层架构两种方式都能够实现网络的高可用,如果使用二层扁平化的网络架构则更能满足大规模的服务器虚拟化集群,以及虚拟机进行迁移工作。能在内部网中基于应用系统的重要性、网络流量特征以及用户特征不同的特点,可以划分几个区域来,要以虚拟资源中心的核心区为中心,将其它功能区与核心区进行连接,从而让虚拟资源中心网络的边缘区域资源都利用起来。
2)虚拟资源中心的安全网络架构具体方案。随着云计算的发展,计算资源被池化,为了使得计算资源可以任意分配,需要一个大二层的网络架构。即整个数据中心网络都是一个L2广播域,这样,服务器可以在任意地点创建、迁移,而不需要对IP地址或者默认网关做修改。大二层网络架构,L2/L3分界在核心交换机,核心交换机以下,也就是整个数据中心,是L2网络(当然,可以包含多个VLAN,VLAN之间通过核心交换机做路由进行连通)。大二层的网络架构如下图所示:
大二层网络架构虽然使得虚机网络能够灵活创建,但是带来的问题也是明显的。共享的L2广播域带来的BUM(Broadcast,Unknown Unicast,Multicast)风暴随着网络规模的增加而明显增加,最终将影响正常的网络流量。
传统三层网络架构已经存在几十年,并且现在有些数据中心中仍然使用这种架构。这种架构提出的最初原因是什么?一方面是因为早期L3路由设备比L2桥接设备贵得多。即使是现在,核心交换机也比汇聚接入层设备贵不少。采用这种架构,使用一组核心交换机可以连接多个汇聚层POD,例如上面的图中,一对核心交换机连接了多个汇聚层POD。另一方面,早期的数据中心,大部分流量是南北向流量。例如,一个服务器上部署了WEB应用,供数据中心之外的客户端使用。使用这种架构可以在核心交换机统一控制数据的流入流出,添加负载均衡器,为数据流量做负载均衡等。
虚拟化的流行。传统的数据中心中,服务器的利用率并不高,采用三层网络架构配合一定的超占比(over subscription),能够有效的共享利用核心交换机和一些其他网络设备的性能。但是虚拟化的流行使得服务器的利用率变高,一个物理服务器可以虚拟出多个虚拟机,分别运行各自的任务,走自己的网络路径。因此,高的服务器利用率要求更小的超占比。
虚拟资源中心的虚拟化网络是以虚拟化技术来构建基础的设施池,这包括计算、存储和网络三种资源。高校实验教学在安全的范畴上使用虚拟网络技术,从而可以更好地服务于广大师生们。
参考文献
[1]潘林.安全中虚拟网络技术的作用[J].网络安全技术与应用,2015(6):31-33.
[2]金磊.虚拟专用网络技术在计算机网络信息安全中的应用探讨[J].无线互联科技,2016(19):29-30.
[3]刘培.浅谈计算机网络安全中虛拟网络技术的作用[J].通讯世界,2015(11):313-314.