基于桌面虛擬化的安全研究

趙 鑫 安融通 許 瑾

（西南石油大學 四川 610500）

0 引言

虛擬化技術主要包括桌面虛擬化、服務器虛擬化和應用虛擬化等幾個方面。桌面虛擬化是指將主要數據存放在云端，計算機的終端系統進行虛擬化，開機后向云端請求所需數據，并在三分鐘內完成數據下載和安裝。桌面虛擬化中屬于我們個人的桌面系統可以通過任意位置，任意時間，在任意終端設備來通過網絡訪問。目前的桌面虛擬化市場中，國外主要是微軟、思杰和Vmware，這三家公司占大多數的份額，2014中國的市場份額達到85%以上。微軟在2009年的時候推出了Windows Server2008 R2這一服務器操作系統，這也是微軟邁向虛擬化的第一步，其中的DirectAccess整合多種驗證機制和NAP，有效提高聯機過程的安全性。該系統還能夠隔離虛擬機，用戶可以限制虛擬機和vlan間的通信而且利用BitLocker to go加密隨身碟驗證使用者身份，加強儲存裝置的安全。思杰系統公司獨有的 HDX技術為虛擬桌面提供高清的視頻播放功能并通過SSL/TLS加密確保安全桌面和應用數據完全在數據中心服務器運行，沒有應用數據在傳輸路徑上。VMwar推出的view使用pcoip協議將客戶端會話以圖像形式壓縮傳輸，而且觸發性更新的方式增強了帶寬的利用率，極大地提高了桌面虛擬化的性能。國內主要有深信服、京華科訊、升騰等。國內企業大多采用多廠商組合方案，部署時間長導致國內桌面虛擬化處于“不溫不熱”的狀態，深信服因而提出一站式桌面云方案，并加入 SSL加密通信、個人密盤技術、多因子身份認證技術以提升安全性。京華科訊除了在身份驗證、安全傳輸方面入手，在用戶權限上也下了功夫，比如用戶組與資源組的融合、角色管理、授權管理等來加強安全性。

1 桌面虛擬化安全技術理論基礎

1.1 Vlan技術

（1）Vlan的概念

VLAN是一個網絡用戶和資源的邏輯分組，與相應的交換機端口相連。這些設備和使用者不僅不受物理位置的限制，而且能夠根據部門，分支機構等因素聯系在一起，它們之間的通信就如同在同一個廣播域。VLAN工作在OSI參考模型的data link和network，VLAN間的相互通信可通過路由器或者3層交換機來完成。

（2）VLAN的優點

與傳統的LAN相比，VLAN更加便利，一是網絡設備可移動、添加和修改。二則可以有效控制廣播活動，從而使帶寬的使用率大大增加。我們可以通過將校園網劃分成多個部門將其放入對應的VLAN來降低單個廣播域的范圍，增加廣播域的數量從而限制網絡中的廣播，防止風暴的產生對校園網絡造成影響，占用了無需的帶寬。

1.2 防火墻技術

（1）什么是防火墻

防火墻是內部網絡與外部網絡（internet）的隔離帶，主要是通過OSI中的數據鏈路層（mac）、網絡層（ip）和傳輸層（tcp，udp）的報文加以 監測和控制。廣義的說就是按照一定的安全策略管理（流量識別，審計，VPN，NAT等）進入內網主機數據數據包的一種機制，從而實現信息和網絡安全的基礎設施。

（2）軟件防火墻NETFILTER

在桌面虛擬化的環境下，防火墻的搭建環境是至關重要的，代碼開源的Linux系統必然成為了首選。而Linux系統自帶的軟件防火墻NETFILTER可以和NAT、VPN等技術合用，從而加強安全性，并且它使用很多內核原有的數據，保障了系統的牢固性。NETFILTER對IPV4提供了五種鉤子函數，這五種函數可以看成是數據處理及設置，當觸發其中一種時，模塊會對NETFILTER有不同反饋。

2 虛擬桌面安全研究

2.1 VLAN應用及配置

某高校中想實現相同部門可互相訪問，但不同部門間只能部分訪問。用vlan的劃分可以實現相同vlan部門之間的訪問，而不同的vlan之間訪問可以通過單臂路由來實現以節約路由器的接口，并且通過ACL訪問控制列表的擴展使用來限制外網對不同服務的訪問，來加強校園網安全性。其中部分配置代碼如下：

進入交換機1的配置環境（交換機2與交換機1類似）：

進行TRUNK的配置.在兩個交換機的相連的兩個fa0/3端口上進行以下配置：

在交換機1上配置（交換機2與交換機1類似）

2.2 基于NETFILTER的NAT技術研究

2.2.1 NAT技術簡介

NAT（Network Addresses Translation）即網絡地址轉換，它指本地局域網內主機在已經分配私有的地址情況下，當與在外網的主機相互對話的時候，那么則需要使用NAT技術來完成內外部地址間的映射。因此動態 NAT技術極大地緩解了之前IPV4地址快速枯竭的壓力。IP地址和端口號的對外而言是隱藏的，從而保護內網計算機的安全，能有效的避免外網非法人員的網絡攻擊。

2.2.2 NAT的分類

NAT分靜態NAT、動態NAT、PAT三類。靜態NAT把內部的本地地址同內部的全局地址一一對應的映射，主要應用于內網對外網提供服務時的各種Sever（服務器），如WEB、MAIL等。DNAT與 SNAT相同之處在于也是將內網的本地地址和全局地址實行一一對應的映射，不同處則在于將內網的全局私有地址池里自動分配出一個空閑的地址進行地址映射。在通信使用完成結束后，剛才使用的地址將被路由器重新放回到地址池里面，就像DHCP一樣。PAT（Port Address Translation）端口地址轉換，路由器將記錄地址、應用程序端口等唯一標識進行轉換，實現內部的本地地址同時與內部的全局地址進行多對一的轉換并對外網進行訪問。NETFILTER的NAT實現

2.2.3 NETFILTER的NAT實現

在 NAT table 中含有三種鏈，PREROUTING鏈、POSTROUTING鏈、OUTPUT鏈。一個內網中的主機想通過LINUX主機將數據發送到外網中，要經歷以下步驟。

（1）數據經過NAT table的PREROUTING鏈；

（2）經過路由器判斷接收的數據包是否進入本機，若不是則進行（3）；

（3）經過FILTER table的FORWARD鏈；

（4）通過NAT table的POSTROUTING鏈，將變換后的數據傳輸出去

當進行NAT時NETFILTER只對NF_IP_PRE_ROUTING、NF_IP_LOCAL_OUT、NF_IP_POST_ROUTING進行監聽，并根據相應步驟的相應NAT鏈規則進行地址轉換。在上述過程中最重的兩個步驟是（1）和（4）。其中所講的兩個 NAT table鏈對于 IP的修改是不同的。POSTROUTING鏈修改源 IP，PREROUTING鏈修改目標IP。由修改IP不一樣，我們分為源NAT（SNAT）和目標NAT（DNAT）。對不同NAT的關鍵配置語句如下：

① SNAT

iptables-t nat -A POSTROUTING -s $innet -o $extif-jSNAT --to $outnet

其中$innet：內部地址 $extif：對外接口 $outnet：外部地址

例如將內部地址192.168.100.254轉換為189.168.2.1，外部接口為eth0

# iptables-t nat -A POSTROUTING -s 192.168.100.254-o eth0 -jSNAT --to 189.168.2.1

② DNAT

iptables-t nat -A PREROUTING -i $inif -j DNAT -to$destination

例如更改來自以太網接口的數據包目的地址189.168.2.1

#iptables-t nat -A PREROUTING -i eth2 -j DNAT -to 189.168.2.1

3 結束語

運用vlan技術和Netfilter防火墻技術可以提升高校桌面虛擬化的安全性，有效保護內網的安全，具有易于管理、低維護成本、安全性高的優點。這些將會使桌面虛擬化在以后越來越普遍使用替代傳統的桌面系統，桌面虛擬化的安全性也會得到進一步的提升。

[1]Richard Froom，Balaji Sivasubramanian，Erum Frahim，CCNP SWITCH（642-813）.人民郵電出版社.2011.

[2]Amir Ranjbar，CCNP TSHOOT（642-832）.人民郵電出版社.2010.

[3]鳥哥，鳥哥的 LINUX私房菜-服務器架設篇.機械工業出版社.2012.

[4]Diane Teare，CCNP ROUTE（642-902）.人民郵電出版社.2011.

[5]樂德廣，郭東輝，吳伯僖，基于Netfilter的NAT技術及其應用.計算機工程.2004.

[6]陳臻棟，從安全性方面看桌面虛擬化技術.學術·技術.2011.