基于虛擬化技術的高校服務器網絡安全策略分析

◆崔藝馨

（太原工業學院 山西 030000）

在互聯網背景下，高校應進一步加強服務器網絡建設工作，改進服務器網絡的安全程度。虛擬技術是對于物理形式的服務器實施虛擬化干預，使一個物理類型的服務器區分為多個相互之間不影響的虛擬形式的服務器，從而在實現對網絡上分散的服務與應用的統一管理的基礎上，實現服務器資源根據各服務器與應用之間實際需求的動態分配。通常情況下，虛擬化技術在服務器管理中的應用需實現以下功能：可以實現對服務器的維護與管理；能夠有效降低硬件采購的成本；具有較高的實效性與安全性。

1 VMware虛擬化技術概述

1.1 VMware虛擬化技術

作為當今較為成熟、先進的虛擬化技術，VMware虛擬化技術在國內多個高校數據中心相關服務器管控過程中被運用[1]。在VMware虛擬化技術誕生的初期，我國對服務器相關管理過程中的虛擬化技術運用情況，如虛擬化服務器安全及其邊界防護的相關研究較少，因此在初期，我國高校采用的VMware技術都是依靠進口。隨著近年來我國綜合國力的提升，對于服務器虛擬化的研究進程加快，我國自主的虛擬化服務器安全技術已經趨近成熟，基本可以滿足高校的服務器管理需求[2]。目前來看，一些高校的虛擬化服務器也初具規模，并且隨著高校信息化建設進程的加快，如何營造一個安全可靠的虛擬化服務器運行環境，成了高校服務器管理中所面臨的一個全新問題。

1.2 VMware虛擬化技術重要性

VMware虛擬化技術在高校服務器管理中的應用，主要是憑借VMware虛擬化技術，來對服務器的操作系統、儲存空間與處理器進行虛擬化處理，從而實現對硬件資源的管理，并可以根據用戶需求進行服務器功能的拓展與完善[3]。在高校服務器管理中，VMware虛擬化技術具有以下幾方面的重要性：第一，既可以科學合理地對資源進行重新配置，同時也可以滿足不同用戶的多元化需求。并將儲存空間、磁盤空間等利用虛擬化平臺進行重新配置。第二，VMware虛擬化技術具備強大的靈活性與適應能力，可以分析與整合服務器的不同狀態，從而以此對服務器整體性能進行提升，為服務器的性能發揮提供保障。

2 高校服務器管理現狀分析

2.1 高校服務器虛擬化基本內容

2.1.1 全虛擬化內容

高校在對當前自身的服務器技術基本內容進行分析研究時，對于全虛擬化的理解應該重視其自身的執行技術和DBT（數據庫轉換）應用情況，這樣才能為操作系統實現虛擬化目標提供保證。在虛擬機中的DBT需要保持自身的穩定運行狀態，同時還要在其中嵌入相應的命令，再通過對應的指令進行相應的操作，進而經由VMM完成有效轉化，促使虛擬硬件相關功能指令獲得達成[4]。而且，虛擬化相關指令在被翻譯體系達成后，于CPU內還是會存在執行命令的相關權限情況，通過虛擬化層使用，使得硬件中的客戶操作系統有效運用，同時根據不同的系統對其內核進行改善，以此達到良好的應用效果。

2.1.2 半虛擬化內容

所謂半虛擬化內容，是高校于虛擬技術的運用實踐中，應采取半虛擬化技術對電腦用戶相關操作系統實施更改，且不能經由虛擬指令實施獨立完成，它的使用往往是利用Hypervisor實現的操作與調動。研究半虛擬化技術具體運用狀況發現，采取半虛擬技術實施相關操控，能夠保證電腦操作系統和虛擬平臺之間存在一定兼容特征，保證采取半虛擬技術能夠操控物理機以及虛擬機。Xen是當今運用較廣的一種虛擬化技術，控制主體涉及Domain、VMM等，而VMM于硬件內的應用較廣一些，可以虛擬處置設備相關內存和處理器等，以此達到良好的作用效果[5]。

2.1.3 硬件輔助虛擬化內容

服務器的相關虛擬化技術運用范圍一般較廣，促進服務器運用個數增加。在服務器運行的過程中，虛擬化類型的服務器具有一種全新的Root運行模式。結合使用虛擬技術，能夠促進服務器的平穩運轉，同時能夠在不依靠外部因素及相關技術的基礎上完成對應敏感指令。在此過程中，電腦用戶僅經由利用操作系統即可保證虛擬機相關控制結構內的管控模塊，對涉及內容給予改進。

2.2 高校服務器虛擬化中存在的問題

2.2.1 單點故障多，系統恢復困難

由于虛擬化技術在高校服務器應用前期過程中，缺乏統一的協調部署，導致一些高校的不同部門采用的都是獨立的服務器管理模式，在這種前提下，服務器一旦出現故障，就有可能導致整個系統的癱瘓。并且隨著時間的推移，一些高校早期所采用的服務器已經無法滿足高校的信息化建設需求，甚至一些年份較為久遠的服務器已經停產。

2.2.2 軟硬件資源分配不合理

隨著我國各高校辦學規模的不斷擴增以及信息化建設進程的加快，高校內的各類信息系統層出不窮，如本科教務管理系統、人事系統，統一身份認證系統等，由于不同類型系統的運行環境不同，因此高校需要為其單獨進行硬件資源的配置，給現有的硬件資源帶來額外的壓力[6]。

3 高校服務器虛擬化具體設計

3.1 現有環境及需求

本次以某高校為研究案例，對基于虛擬化技術的高校服務器網絡安全策略進行分析。目前，該高校擁有27臺服務器，負責各教學單位與行政處室共14臺不同業務應用系統的運行。其中，除了有3臺服務器的負載較大外，其余服務器的負載較小，并沒有充分發揮出服務器的真實運行狀態。負載比較大的3臺服務器未發揮硬件平臺相關資源效率情況?？紤]到該高校網絡設備與服務器管理的實際需求，本次提出將VMware vSphere安裝配置于服務器中的方式，從而在單個物理實體服務器中生成多個虛擬服務器，且于虛擬類型的服務器內設置Windows操作系統，并在每個系統中安裝相同的應用程序，確保虛擬形式的服務器相關操控方法和性能較為一致，且和物理形式的服務器對應操作方法及性能維持一定的一致性，并預期實現以下幾個目標：

平臺搭建：搭建VMware vSphere6.7的虛擬化平臺。

相關功能：HA服務器存在可用性及Vmotion 動態遷移等。

完善備份：構建快速的數據備份、數據還原機制，為數據的安全、完整提供保障。

3.2 方案構成要素

該部分主要涉及的軟件、硬件情況如表1所示。

表1 方案構成要素

3.3 方案設計流程

3.3.1 網絡安全

網絡安全涉及檢驗入侵情況、對用戶的身份進行驗證，對于外部實施設置和運用防火墻等，進而對某高校相關網絡邊界實施預防及保護干預，設置一定的安全區，做好入侵方面的檢驗及分析，加強網絡病毒的積極預防及保護等，增加服務器網絡相關邊界的預防及保護功能情況。此高校相關網絡應用層具備不同類型服務需要的相關運用系統，為符合運用系統的實際需求情況，于虛擬機的相關物理形式服務器內，將esx/esxi指令給予運行，對服務器實施對應虛擬干預，調節虛擬機相關資源狀況。因為對此高校的運用系統實施區分成各項差異性類型情況，具備差異特別的運用系統能為差異性電腦用戶供應個性化服務，有效增加網絡服務的多樣性。因此為了實現這一目的，能夠經由主機層相關vnetwork，經核心交換機與處于內網中的差異性交換機實施相連。

3.3.2 主機安全

主機安全涉及多項：首先，對虛擬化服務器進行邊界保護；其次，提高涉及關鍵信息系統相關服務器整體安全性；再次，實現主機訪問控制、身份識別、安全審計、惡意代碼防范與入侵防范控制等功能。主機層是VMware vSphere內的一項虛擬層，涉及基礎架構以及運用程序?；A架構服務（infrastructure services）涉及運行計算、保存、網絡等內容。運用程序服務涉及可行性、可擴展性、安全性等內容。而基礎架構服務中，exs/exsi主機可對上層服務供應硬件資源實施虛擬干預。當一個或多個物理服務器作為一個整體組合在一起時，計算和內存資源便形成群集。

3.3.3 數據安全及備份恢復

數據的安全性和備份恢復情況是經由設置數據備份系統，增加數據的整體完整程度，能夠自動對數據信息實施備份，且對相關數據資料給予及時恢復。而且，數據的保存同樣是數據中心中物理資源構成的虛擬方式，物理保存資源的來源較廣，涉及服務器相關本地SCSI、SATA磁盤、SAS、ISCSI SAN相關磁盤陣列、光纖通道SAN相關磁盤陣列、網絡附加形式保存陣列等。網絡服務器是服務器實施虛擬干預之后的一項服務層，具備網絡服務、數據相關備份服務、網絡管控服務等。服務器的虛擬化框架內相關設施常需經由交換機中的交互層給予相連接，同時采取VMware vSphere具備的快照方法對于虛擬機相關網絡給予備份工作，規避數據信息丟失情況。作為虛擬化電腦環境內的中心點，VMware vSphere體系內的vcenter server構成網絡管控，且能配置及管控、調整運用程序等，故vcenter server為vSphere的一個整體控制中心。

3.3.4 信息安全服務

在虛擬化計算機基礎設備及物理形式的服務器內，都存在一定程度上的信息安全風險隱患，防護的方法是用戶可以充分利用虛擬化軟件提供安全機制和多處理器、多核體系結構。以后，為有效保護虛擬形式的計算機資源，建議于虛擬平臺內運用NSX分布式防火墻，增加其安全程度，或是利用進程監控的方式，從而實現對異常情況的及時發現、有效處置，積極預防及保護虛擬化安全程度。而且，信息安全服務也涉及預防保護系統服務及數據庫運用情況、監督控制不同類型事件情況、虛擬化訪問管控、審核系統操作狀況、預防及保護DDoS攻擊情況等。

4 結語

綜上所述，在使用虛擬機技術對高校服務器網絡安全進行防護的過程中，應該結合實際情況制定相應的策略，同時還可以通過策略制定相應的保護方式，從而使得主機得到精確的定位和管理。虛擬技術在高校服務器網絡安全防護中的應用，不僅可以減少高校服務器的運維成本，同時還能減少一些其他的問題出現，為高校信息化建設進程的推進奠定扎實的基礎。