云计算网络系统的网络全局安全测评研究（已经发过）

1、云计算系统的网络全局平安测评研究 才昊辽宁省大连市大连大工现代工程检测，116001摘 要：本文主要讨论在采用虚拟机作为根底的环境下，使用云计算方式完成企业信息网络搭建的优缺点，以及等级保护测评工作的实施重点、实施方法，平安漏洞的改良方式等内容。本文以VMware为研究对象，详细分析了在等级保护中网络全局相关内容的测评内容、测评方法，并提出相应整改建议。关键词：云计算；虚拟机；信息平安；等级保护； Cloud Computing System Network Global Safety Evaluation Research CAI HAO (Liaoning province city of

2、 Dalian Dalian University of modern engineering limited testing,116001)Abstract：Mainly discussed in this paper uses the virtual machine as the basis of the environment, the use of cloud computing way to complete the enterprise information network set up advantages and disadvantages, and hierarchical

3、 protection assessment work focused on the implementation, implementation method, the improvement of security vulnerabilities such as. This paper takes VMware as the research object, analyzes in detail the rank protection network global content related to the evaluation content, evaluation method, a

4、nd puts forward the corresponding improvement suggestion.Key words：Cloud Computing; Virtual Machine; Information Security; classified security protection; 0 引言随着计算机技术的进步与开展，云计算已大量进入到实际应用阶段，虚拟机技术作为云计算的根底在企事业单位中得到广泛的应用，无论在银行、证券、石化、电力、大型企业、保险等行业，都得到了广泛的应用。相对于传统网络，基于虚拟技术的云计算网络有着降低实施本钱、降低管理本钱、更好的平安性、更好的备

5、份恢复性能、更灵活的扩展性能、更好的可用性与兼容性等优势。VMware公司作为全球知名的虚拟化和云计算架构领导厂商，在中国的市场占有率为第一位。大量公司采用其虚拟化产品作为云计算系统的根底。本文主要讨论以VMware产品为根底的的云计算系统为对象，主要对等级保护平安中的网络全局局部的测评和整改技术问题进行讨论。参考标准为?信息平安等级保护根本要求?GB/T 22239:2021中的三级要求，实施环境是以VMware公司的VMware vSphere为根底，涉及产品包括ESXvCenter Servervicliente等，主要讨论在此环境下的网络全局平安测评及整改工作的实施。1 网络全局平安测

6、评总述在等级保护要求中，网络全局平安测评主要是针对网络结构、边界、入侵可能等工程进行检测。而在以虚拟技术为根底的云计算系统中，测评整改工作的开展和传统网络有着很大的区别。效劳器和交换机系统也不再是传统结构，而是采用虚拟系统或物理机与虚拟产品相结合方式来完成。这无形间给我们的测评工作加大难度，在进行此种测评时，不仅要技术熟练，还需要有大量的实施经验。而在Vmware产品系列中,与网络相关设置主要有vSwitch、vNetwork两种实现方式思科Nexus 1000v 需单独购置许可证，在此不讨论。，一种是在主机上管理，一种是在vCenter上管理，我们在进行网络全局测评时，重点在这两项的使用和配

7、置，当然，也需要熟悉其他工程的使用。2 结构平安相关测评在结构平安测评单元中，由于VMware中存在vNetwork及vSwitch，其在网络规划、流量带宽管理、边界别离上都有着得天独厚的优势，下面讨论每一个测评子类的检测方法与实现方法。2.1 设备空间冗余基于单机的VMware中的虚拟交换机vSwitch和vDS仅是在效劳器内部模拟信息流交换，所以节省了大量的CPU资源，类似于1个软件交信息在机器内部交给另外1个软件，所以在这一测评工程上，是完全符合公安部等级保护要求的。 而在多机集群形成的系统中，仅能采用vDS进行处理，而多机集群信息需要通过传统的物理交换机进行信息交换，在此种情况下进行测

8、评工作，需要对物理交换机进行业务能力的测评。 另外，虚拟交换机是提供冗余设计的，确保其不会因为处理能力缺乏而当机。但是，由于其是主机层而不是链路层的冗余，所以当使用冗余功能时需要多块物理网卡来实现，最好是不同网卡连接不同的物理交换机端口，可以同时工作，实现冗余的同时也可以实现交换效能的增加。物理多链接的冗余检测中，如采用分布式交换模式可通过vSphere Client中的“清单-“网络-“配置进行检查如图2-1-1；如采用vSwitch方式那么需在vSphere Client中的“清单-“主机和群集-“配置-“网络虚拟交换机中进行检查如图2-1-2。 图2-1-1 图2-1-22.2 网络带宽

9、要求在这一个测评子类中，需要分为两局部。一个是虚拟交换机内部交换带宽，另一个是物理交换带宽。虚拟交换机带宽：在vSphere Client中的“配置-“网络-“属性可以查看和设置虚拟交换机带宽如图2-2-1。其交换带宽可到达极高值，所以根本上满足一切业务需要，但需查看其带宽限制如图2-2-2。 图2-2-1 图2-2-2而在物理交换带宽中，我们需要考察传统物理交换机的交换能力和提供虚拟机的效劳器的网卡的吞吐能力。在此，物理交换机不再讨论，而相对于效劳器的网卡交换能力是比拟特殊的一点，因为这与效劳器搭载的虚拟机数量和效劳有极大关系，这就需要我们进行综合的分析和评定，但值得注意的，VMware是支

10、持多网卡带宽绑定的，在vSphere Client中的“配置-“网络中可以进行查看如图2-2-3，当被测系统网络带宽缺乏时可以使用多加网卡的方式进行带宽的扩展在此页面下，“属性-网络适配器中。图2-2-32.3 业务终端与业务效劳器平安路径在采用云计算的条件下我们可以把业务终端分为两大类，即终端在云系统内部和终端在云系统外部。很多大型企业，为减少管理本钱，增加平安性，进行了包含效劳器系统和终端系统的全部虚拟化部署，在这种情况下，当业务终端访问业务效劳器时，完全在运系统内部完成，所以根本上是可以信赖的平安路径，为了防止其他系统内部虚机使用SNIFFER进行窃听，除了采取传统方法外，还可以在网络设

11、置中将混杂模式关闭如图2-3-1。图2-3-1 而对于来自云系统外部的终端访问，我们应该使用传统方法进行平安访问路径的测评。2.4 拓扑结图的生成在测评工作中，大家可能都会碰到没有与网络实际情况相符的拓扑图的情况，而在基于VMware的云系统内部这种情况是不存在的。我们可以通过“数据中心的“映射进行云计算网络内部拓扑结构的查看(如图2-4-1)。但是需要注意，云系统以外的网络情况，还需要进行单独的添加。图2-4-12.5 子网及网段的划分在传统网络中我们需要使用物理交换机进行IP或者虚拟子网络的划分，而在云计算系统中管理相对简单得多，它为我们提供便捷的管理界面，我们可以通过图形化设置进行统一管

12、理。在测评时可能碰到两种情况，一种是使用虚拟交换机，一种是使用vNetwork分布式交换机。在使用虚拟交换机时，根本采用与物理交换机相结合的方式进行VLAN划分，其所处VLAN以其物理网卡连接交换机端口的VLAN决定。具体测评应在vShare Clinet-清单-主机和群集-配置-网络中进行查看如图2-5-1此外还需要检查物理交换机的VLAN配置情况。 图2-5-1 而在大型的云计算系统中，采用vNetwork分布式交换机的情况较多，在此情况下，应进入vShare Clinet上进入清单-网络-dvPortgroup-端口中，右键点击相应端口选择“编辑设置-VLAN进行查看(如图2-5-2)。

13、图2-5-2而当需要整改设置时，由于当测评对象采用默认设置时，目标为灰色，不可设置包括替代。具体解决方法请参照网络带宽设置要求?中的描述进行配置。当所述配置完毕后，可以在此处进行VLAN设置。2.6 网段的隔离在网络整体全测评中，要求防止重要网段部署在网络边界处并直接与外部网络相连。虚机系统的要求和测评方法与传统计算机网络结构类似，但是对于一些小型网络，可采用1台电脑模拟双防火墙结构的模式，以到达完整网络边界、降低本钱的目的。实现方法如图2-6-1：如原网络边界仅1台效劳器，无防火墙设置，内外部网络与其直接相连。可在效劳器上安装虚拟机，建立两台虚机，1台作为外部堡垒/防火墙、1台作为内部堡垒/

14、防火墙。分别连接两块物理网卡，与内外部网络相连接，原物理效劳器作为效劳器，提供效劳，并分别与内外虚拟机建立单独连接，并在内外虚拟机上配置相关防火墙访问控制功能，以到达隔离目的。图2-6-1在采用虚拟机为构架的系统中，我们可以使用这种方法，灵活的建立堡垒主机或者网络拓扑，而不用通过物理环境的改动即可实现网络的拓扑的灵活变化。同时，虚拟机系统提供的备份迁移功能可以使我们以最低的本钱完成堡垒主机、效劳器、软件防火墙的备份和恢复，大大优于传统网络。我们可以通过资源池功能来实现上述功能的热备份。2.7 网络带宽设置要求在使用VM建立的云计算系统中可以对虚机的带宽进行设定，但是目前版本不能对虚机的带宽优先

15、级进行设置。由于其虚拟交换机系统是可以进行物理网卡的绑定的，当带宽缺乏时可以通过增加物理网卡进行带宽的扩展，所以内部网络带宽根本可以满足要求。但是需要注意采用vSwitch的方式是无法进行单个端口的带宽配置的，必须使用vNetwork分布式交换机配置。具体网络带宽测评方式为，在vShare Clinet上进入清单-网络-dvPortgroup-端口中，选择相应的端口右键-编辑设置，就可以在策略中进行相关检查了如图2-7-1。 图2-7-1当测评对象未进行设置时，默认为灰色，不可设置包括替代。因此，在进行整改设置时需要首先在vShare Clinet上进入清单-网络-dvPortgroup-入门

16、中，对“管理此分布接口组进行操作如图2-7-2，在高级中寻找编辑替代设置，对流量调整的“允许替代选择“是。这样才能在上述检查位置进行设定如图2-7-3。 图2-7-2 图2-7-33 边界平安完整性相关测评在信息平安登记保护三级要求中，要求能够对非授权设备的私自内联外联进行检查和有效阻断。在传统网络的测评中我们通常通过模拟入侵或对防火墙、IDS设备或流量检测设备的检查完成对此项的测评。在使用第二种方法进行检测时，我们需要对防火墙、IDS设备或流量检测设备的位置进行查证，通过拓扑观察是否处于网络边缘位置。并且需要注意在企业内部，虚拟机的物理终端是否有连接外网需要和是否有有效隔断手段。4 入侵防范

17、相关测评在目前大量使用的虚拟机系统中，并未整合入侵防范系统。VMware使用第三方入侵检测产品，根据接入位置不同，主要由两种方式，一种是安装于访客和管理程序之间如图4-1，一种是安装于每台工作主机之上如图4-2。这与正常网络下的入侵检测主机式和网络式类似。我们在进行测评工作时，需要针对不同的情况，网络结构进行检测。 图4-1 图4-25 结束语虚拟机作为云计算系统的重要根底，本身也在不断的开展变化中，是IT产业开展的必然趋势，它也推动了网络构架的不断变化，作者也在不断的加深学习中。文章仅是作者在工作中的根据所执行工程的实际情况总结出的一些经验，希望文章能够对大家的工作有所帮助，也希望能够抛砖引玉，得到其他兄弟机构的指导和帮助。作者简介：作者简介：才昊1978-，男汉，籍贯辽宁省锦州市，工程师，主要研究方向：信息平安。参考文献