虛擬服務器安全存在的問題及策略

劉艷麗

摘要：虛擬化是利用程序對計算機進行相應的邏輯表示表達，讓其能夠不會受到運行環境的影響，并且能夠使用通用的方式進行訪問、資源維護和查看。結合虛擬服務器的現狀，分析虛擬服務器所帶來的一些安全問題，并且需找相應的解決方案，其中包括機房的管理、防火墻的配置和抵御系統，通過分析服務的安全措施使用新的技術手段，尋得更好的解決虛擬服務器安全的安全對策。

關鍵詞：虛擬服務器 安全問題 解決方案 VEPA

中圖分類號：TP393 文獻標識碼：A 文章編號：1007-9416（2016）05-0000-00

伴隨著科學水平的不斷提高，信息技術不斷的發展，服務器的形態也發生了很大的改變，從最初的塔式服務器演變成機架式服務器再到的刀片式服務器，相應的服務系統和應用模式也不斷變化，尤其是近幾年發展的虛擬服務器。虛擬服務器是一種新型的應用模式，它能夠讓很多臺物理服務器聯合使用，只要安裝虛擬服務器軟件就可以讓他成為一個能夠符合許多操作系統的平臺。虛擬服務器的不光是在物理服務器上和一個操作系統上的應用，一組虛擬服務器可以承載多個操作系統，每個操作系統的需求都能被科學的方法進行分配系統資源，而且每個虛擬系統之間存在獨立的邏輯關系。

1虛擬服務器的安全分析

1.1虛擬服務器的安全隱患

虛擬服務器具備相比傳統服務器的強大優勢，它可以將依據信息的應用來分配系統資源，而且至只占用一組刀片服務器，虛擬完成后可以負載一百多個常規的應用信息，還可以將大量的系統資源分配給需要大量訪問的服務器。但是并不代表這樣的虛擬服務器就是沒有缺點的，虛擬服務器也是具有一定的安全隱患的。服務器在安全方面分為數據安全和系統安全，一般受到的攻擊是來自內網和外網的，像數據盜取、系統攻擊這類的攻擊是來自網絡。一般服務器的網絡口都是配備防御措施的，用來抵擋來自外網的攻擊，但是沒有辦法抵御來自局域網內的攻擊。對于局域網內的攻擊，通常在內部交換機上設置訪問的控制標來進行解決。虛擬服務器有可能處于一片刀機中，通過虛擬化平臺上的虛擬交換機進行數據交換而不經過物理交換機。虛擬交換機僅僅可以提供二層數據的交換，并不支持安全訪問控制，造成了在數據交換的過程中不安全性。另一方面系統中的防火墻等安全防御軟件會占用很多資源，產生系統資源的浪費，這會使虛擬服務器的高效率大打折扣。是我們在當前階段急需解決的問題。

1.2虛擬服務器的安全分析

虛擬機的抽象資源是由虛擬機監控器提供的，而這種資源共享技術會導致新的安全風險發生。虛擬機監控器由于自生理論模式不完善存在漏洞而被攻擊時，很容易使虛擬機發生逃逸，使攻擊者可以隨意出入主機系統和運行其他虛擬機的權利，這是對虛擬機最為嚴重的安全隱患。網絡構架最大的變化就是網絡邊界的消失，服務器安全與網絡安全之間的融合。在傳統的模式中，每一個物理機上都有各自的安全產品進行防御保護，并且在外圍又設置防火墻和網關，安全性能十分高。而虛擬服務器使用了新型的網絡模型，多個操作系統和應用程序都是憑借虛擬機的形態部署在物理服務器上，這些虛擬機都能使用物理服務器的資源，虛擬機的網絡流量能夠不被外網所感知，但是如果一臺虛擬機發生了安全問題，其他的虛擬機也會有安全隱患。而虛擬機的泛濫使用，也會嚴重的影響主機的內存、資源和處理器，造成因服務器的負荷運作而導致的物理主機崩潰和虛擬機應用中斷。虛擬機的在線遷移會導致虛擬機在不中斷應用的情況下在不同的物理主機之間的遷移，增加了服務器的安全隱患。

2解決虛擬服務器的方案

2.1構建合適的機房管理制度

俗話說沒有規矩不成方圓，想要一個組織進行良好的運作必須要有相對科學的制度管理，定制的機房管理制度要規范使用機器的制度、監督上機操作的規范性，要求專人專機并且有專門的負責人員對其進行監管，培養良好科學的使用習慣。使用合適的管理制度能夠讓信息設備的安全獲得保障，在出現問題師可以利用排查和解決，還能避免閑雜人員對服務器的錯誤操作造成的損失。在進入機房后任何上機的操作都必須記錄下來，方便日后出現問題時有效的解決。

2.2建立數據中心

安全備份是服務器應用系統存儲和運算得出的數據不能缺少的，而服務器應該在計算處理和對需求的快速反饋方面體現出它的性能，不是浪費在信息存儲方面。單臺的物理服務器的存儲空間是有限的，在使用磁盤陣列以后，可以在一定程度上提供數據的備份，但是會造成存儲的空間大幅縮小的問題。在很多網絡應用所產生的數據的存儲過程中，繼續配置數據中心。所謂數據中心是一種集中存儲的方式，由專用的存儲服務器所組成，既能集中部署，還能分布式部署，在通過高速網絡和各個服務器進行連接，具有十分可觀的存儲空間并且具有擴充性，可以承載上百塊的高速硬盤的運作，還能滿足整個機房服務器的所有需求。分布式的存儲模式是屬于虛擬存儲，它讓所保存的數據具有了災備能力。當前主流的實施策略是根據每個機房的不同情況，使用適合機房特點的虛擬存儲用以配合虛擬服務器的制備和運作。服務器端只保留必要的系統文件，是高效可行的。

2.3配置防御系統

配置防御系統是指配置防火墻和入侵防御系統。傳統的服務器容易遭到外網的病毒侵害，虛擬服務器也存在這一安全隱患。為了防止受到外網的侵害的而設置防御系統和防火墻。當受到來自外部網絡的攻擊是，性能優良的防火墻可以保證自己平安無事并且可以截斷非法的數據包。一部包過濾式的路由器或者一臺雙網關的主機就能組成防火系統，屏蔽子網防火墻是現在比較成熟和安全性較高的防火墻，它的安全策略在應用層和網絡層中工作。屏蔽子網防火墻是由被屏蔽子網和兩部包過濾式的路由器所構成的，被屏蔽子網內有具有安全設置的堡壘主機和簡單的應用服務器，兩部包過濾式路游器的功效是分別截斷來自外部網絡和內部網絡的直接訪問，達到只允許內部網絡和外部網絡與非軍事區的主機之間的通訊。內部網絡和外部網絡之中所有的數據都通過非軍事區的堡壘主機中進行中轉，保證了服務器的安全。入侵防御系統是由檢測系統和防火墻融合的的產物，入侵防御系統可以對通訊所產生的數據進收集和分析，在檢測出違背安全策略的攻擊行為后對其進行阻斷。入侵檢測系統在一定程度上彌補了防火墻不能識別通信數據的缺點。入侵防御系統的檢測手段又分為轉換分析、神經網絡法、概率統計法和模型推理法，而常見的是專家系統。

2.4服務器的安全策略

服務器的自身安全包括軟件維護和操作系統，它們需要使用正版的應用軟件進行定期的升級維護。使用一種合適的殺毒系統能夠有效的抵御來自網絡的木馬病毒植入，還可以預防因為操作不恰當導致的病毒感染。服務器所提供的信息應用的數目越多，受到病毒攻擊的可能性就越大，所以將不必要的系統服務關閉，在一定程度上可以使安全系數得到提高。而來自局域網尤其的是服務器機房內部的攻擊，只能在網絡交換機上設定安全策略來使受到攻擊的可能降低。交換機安全策略是指虛擬局域網和訪問控制列表。訪問控制列表是普遍使用的安全措施，它能夠通過對數據幀中的源地址、端口號、協議類型的對比，來判斷是否符合規則，作出丟棄數據幀或者放行數據幀的動作，達到對一些訪問和數據傳輸控制的目的。虛擬局域網可以增強局域網內的安全性，不同的虛擬局域網的數據幀在傳輸的過程中是相互獨立的，就是說一個虛擬局域網中的用戶不可以跟其他的虛擬局域網中的用戶進行直接通訊的，將一些安全需求高的服務器設置在獨立的虛擬局域網中，可以大大降低受到攻擊的幾率。

2.5解決共享技術帶來的問題

想要良好的解決共享技術所帶來的問題，除了加強虛擬機監控器的安全策略，并且設計能夠支持不同級別的安全性和不同硬件分區的防御策略以外，還應該將虛擬機的隔離和封裝機制進行優化處理，達到增加內存的保護和在出現故障后及時隔離的機制。與此同時在運行的過程中，對未經授權的訪問操作進行嚴格的監控，使虛擬機的安全系數得到提高。

2.6解決虛擬機濫用和在線遷移問題

加強服務器資源的監控和容量的分析功能能夠很好的防止虛擬機的濫用情況發生，因為會定期將占用的資源進行報告，在出現突發變化時會發出警報。同時還要規范內部人員的行為，使他們的安全意識得到提高，并且對虛擬機加密和訪問授權等安全措施。而解決虛擬機的在線遷移問題，需要增強對遷移數據的加密工作，制定良好的安全遷移策略，加強對虛擬機生命周期的管理，達到使虛擬機的安全隱患消除的目的。

3結語

虛擬服務器是學術界的研究熱點，它與傳統服務器相比具有優良的使用價值和優勢，可以節約客戶的資源等。當然虛擬服務器的安全問題也是我們不能忽視的問題，所以我們要努力避免這些問題的發生，提高虛擬服務器的信息安全性，保證用戶的信息安全。

參考文獻

[1]顧勤豐.虛擬服務器安全存在的問題及應對策略[J].信息通信，2014，（7）：109-109，110. [2]張百盛.虛擬服務器管理技術在機房管理中的應用[J].網絡安全技術與應用，2014，（11）：114-115.

[3]侯程偉.虛擬服務器安全存在的問題及對策[J].電腦知識與技術，2012，（31）：7444-7445.