虛擬化網絡安全分析

程 明

（安徽電信規劃設計有限責任公司，安徽 合肥 230031）

0 引 言

在云計算技術的快速發展下，以云環境為基本依托的虛擬化技術得到了廣泛應用。從實際應用情況來看，虛擬化技術形式具有環境隔離、動態配置、底層控制以及接口兼容等多個方面的特征，在這個技術的支持下能夠為網絡安全監督控制提供重要支持，最終有效保證網絡系統的安全性和穩定性。但是從實際應用層面來看，虛擬化技術在使用的時候沒有從根本上解決傳統計算環境所面臨的安全問題，且在使用期間對虛擬化技術自身也會帶來比較多的威脅，這些威脅不僅包含原有網絡的固有威脅，而且也會引入新的安全威脅[1]。

1 虛擬化網絡環境基本情況分析

1.1 虛擬化網絡內涵

網絡虛擬化的實現會具體落實在計算機節點、網絡設備以及網絡信息通信層面上。受虛擬化平臺特點的影響，虛擬化網絡在運行過程中和以往網絡相比呈現出來的特點如下。第一，網絡系統中的計算機實體會從物理服務器轉變到虛擬機械設備上；第二，在網絡平臺上呈現出來的二元網絡設備能夠為信息的使用提供必要的連接服務支持，這些設備包含傳統網絡平臺上固有的物理網絡設備和虛擬化管理設備[2]；第三，在虛擬化網絡環境下，組網方式會從單純的物理互聯網轉變為虛擬網絡、物理互聯網共同作用的復合型網絡。

1.2 虛擬化網絡下的信息連接方式

網絡的形成離不開各個對象之間的配合，這些網絡平臺的特點共同形成了虛擬化網絡的特點。基于無線技術的虛擬化網絡如圖1所示，在整個虛擬化網絡運作中，不同對象之間會形成一種新關系的綜合。整合信息資源的情況下使用各個處理器來處理數據信息，這個期間所牽扯到的服務器眾多，各個設備和服務器之間的關聯屬性不同，各個對象在各類數據信息的交互過程中建立形成新的網絡環境，彼此之間的連接關系如下。第一，外部網絡連接。外部網絡的連接廣泛存在于各個虛擬機、外部網絡系統中，整個連接會從外部網絡來訪問各個虛擬機的網絡服務接口和鏈路[3]。第二，業務信息連接。業務信息連接廣泛存在于各個虛擬化環境中，在其作用下能夠實現對各類信息的交互管理，在信息整合利用之后打造出完善的虛擬化網絡。第三，物理信息的管理連接。虛擬機設備和服務系統的穩定運行離不開物理層面的管理控制。其中，物理信息連接被人們廣泛使用到遠程虛擬服務器的管理上，通過一系列的物理連接能夠優化系統平臺的作用，合理調控系統運作。第四，虛擬管理連接。虛擬管理連接廣泛存在于管理屬性的虛擬機械設備上和監控屬性的虛擬機械設備上。通過虛擬管理連接能夠幫助管理者合理優化配置各個虛擬平臺上的虛擬機械設備，從而有效保障各類數據信息的安全。第五，受限的虛擬管理連接。受限的虛擬管理連接廣泛存在于管理虛擬機和虛擬監控器上，連接中存在的管理信息通道能夠幫助管理者在某一個時刻內對某一個虛擬機實施管理操作。

圖1 基于無線技術的虛擬化網絡

1.3 虛擬化網絡的特點

1.3.1 信息資源的共享性

在虛擬化網絡架構中，虛擬管理器會對各層級的硬件進行管理，根據需要來調度各個虛擬機的運作，借助虛擬機來實現信息資源的共享應用。借助網絡虛擬化技術形式能夠有效提升服務器網絡的利用效率，強化各類信息的整合應用。在虛擬化網絡平臺的支持下會通過虛擬機的形式來實現對輕量負載的合并處理，通過將信息應用在物理機上來達到均衡負載的目的。

1.3.2 信息技術的排他性

虛擬網絡空間中的計算機操作系統在一定程度上能夠整合信息，并根據需要來為各類信息的使用成立獨立的地址空間。在這期間，系統內部的故障信息會呈現出獨立的狀態，根據不同環境的屬性和需要來予以使用。由此決定了虛擬網絡系統背景下的信息技術有著自身的應用條件限定，技術應用具有排他性的特點[4]。

1.3.3 信息的隔離性

借助隔離性能能夠全面測試出一個虛擬機出現故障后對其他虛擬機所產生的影響。在整個虛擬化網絡平臺中，虛擬中央處理器（Central Processing Unit，CPU）調度能夠對虛擬機的性能產生影響，虛擬機管理器能夠有效隔離虛擬機的性能，使得虛擬機的CPU公平性得到保障。信息隔離能夠有效保障虛擬網絡系統的安全，即使在一個虛擬機器被攻擊后也不影響其他虛擬機的運行[5]。

1.4 虛擬化網絡的安全問題

虛擬化是基礎設施，也就是服務云和私有云運作的重要影響因素。在信息時代背景下，虛擬化被人們廣泛應用在計算機網絡平臺上。從實際操作角度來看，虛擬化也是公、私有云交付虛擬界面的一種技術形式。受虛擬化網絡自身特點的影響，在虛擬化網絡運作的時候會出現以下幾個方面的安全問題。

1.4.1 對物理網和虛擬局域網的威脅

不管是物理層面的劃分，還是虛擬層面的劃分，虛擬化網絡系統中的每一個網段都有著各自設定的目的和需求。在紛繁的信息背景下，為了能夠保障網絡平臺的安全，需要做好網段間的隔離工作。

在實際應用操作層面上，所有的網絡通信都會進入到特定的物理端口中，但是受虛擬網絡服務器物理端口限制的影響，不是所有的信息都能夠被有效應用。

在虛擬化平臺的內部，虛擬機不同的虛擬局域網（Virtual Local Area Network，VLAN）流量都可以通過平臺上的虛擬交換機中繼來匯入到公用物理端口，由此會為網絡信息攻擊者從VLAN中逃逸提供網絡通信支持。和傳統意義上的網絡一樣，虛擬化網絡在運行的時候容易出現VLAN跳躍攻擊、CAM/MAC洪泛攻擊、地址解析協議（Address Resolution Protocol，ARP）欺騙、生成樹攻擊、拒絕服務（Denial of Service，DoS）攻擊以及MAC地址欺騙性攻擊等。文章現以VLAN跳躍攻擊作為研究案例來予以全面分析和說明。

攻擊者會從自己所在的VLAN段中逃離出來，之后會攔截和修改其他VLAN流量，在信息流量篡改的過程中達到攻擊VLAN段的目的。在具體實施操作的時候，VLAN跳躍攻擊是對動態化協議的管理。攻擊的過程中，攻擊者會創建出具有VLAN標識的流量信息，這種方式會在虛擬化環境中得到充體現。

例如，在 VMware ESN/ESXi平臺中，主機系統運作的時候能夠支持3個類型的VLAN標識，這些標識的類型十分豐富多樣，包含外部交換機標識（External SwitchTagging，EST）、虛擬交換機標識（Virtual Switch Tagging，VST）以及虛擬客戶標識（Virtual Guest Tagging，VGT）。通過使用這些標識能夠有效確定VLAN數據幀適合使用怎樣的傳播方式，在客戶標識模式的影響下，數據信息會在各個虛擬網絡和物理網絡中進行傳遞。這個過程中，如果虛擬客戶標識被應用到了802.1q中繼中，惡意攻擊系統的VM用戶會利用機制作用下的數據幀來制造出虛假的信息。期間，虛擬網絡系統的攻擊者還可以模擬物理交換機、虛擬交換機的中繼協商模式，從而實現自身對VLAN流量信息發送和接收的自由處理[6]。

1.4.2 虛擬化網絡的威脅

（1）對物理管理連接的威脅

對物理管理網絡的有序訪問會讓攻擊者獲取一套完整的虛擬化系統，在系統運作的時候，攻擊者會根據自己的需要隨意關閉、啟動或操控物理服務器。

（2）對虛擬機遷移連接所產生的威脅

虛擬機遷移會牽扯到多個類型數據信息的傳輸，這些信息在遷移的過程中會被分割出獨一無二的LAN或者VLAN，從而網絡數據的傳輸。如果虛擬機遷移網絡遭受到攻擊，則會嚴重威脅到系統的運行。

（3）虛擬管理連接的威脅

虛擬管理通信實體會被放置在一個單獨的網段，通過對虛擬管理通信信息的訪問，攻擊者會肆意篡改虛擬網絡的拓撲結構。

（4）對存儲連接的威脅

虛擬化存儲對信息的安全屬性有著較高的要求，虛擬化網絡平臺中所包含的各類敏感數據、帶有攻擊屬性的數據會對虛擬平臺帶來威脅[7]。

2 虛擬化網絡信息管理使用的安全措施

（1）針對虛擬機遷移和虛擬存儲網絡信息的截取攻擊，相關人員可以通過打造相應的安全通信通道來優化管理，在管理信息時所使用的技術包含安全套接層（Secure Sockets Layer，SSL）技術和IPsec技術。（2）傳統意義上的二層網絡以及節點存在多個用來防御攻擊的措施，但是受軟硬件組件限制的影響，無法從設計層面解決虛擬化網絡系統所面臨的安全威脅。為此，在進行軟件設計的時候要制定出安全的操作程序，并在程序制定完成之后對程序系統開展必要的強化測試，通過測試來減少漏洞的出現[8]。（3）VLAN跳躍攻擊可以通過禁止GVT以及配置端口轉發模式來限制數據信息的傳輸，將數據信息選擇特定的標記來進行傳輸。另外，在內部VLAN傳輸關鍵數據信息的時候要注重使用另外一個VLAN進行控制，在VLAN的支持下將傳輸的信息和其他信息進行隔離，通過隔離能夠有效防范攻擊者對端口的操作。（4）對于生成樹來說，面對外界對生成樹的攻擊可以通過一系列傳統措施來對整個系統進行防護處理。（5）為了能夠減少動態主機配置協議（Dynamic Host Configuration Protocol，DHCP）地址范圍不足所誘發的數據使用風險，對物理交換機和虛擬交換機的使用來說，要注重采取必要的措施予以防范[9]。例如，在VMware ESX中，管理人員不能夠使用客戶機來改變虛擬MAC地址的訪問局限，虛擬網絡更不會接收到來自客戶機的數據包。（6）為了能夠減緩外部各個因素變化對系統運作所產生的攻擊，系統管理人員在操作系統的過程中需要實現對存儲流量和其他關聯數據流量的區分處理，并使用IPSec技術和SSL技術來保證信息的傳輸安全[10]。（7）加強對業務信息連接的防護處理，通過對業務信息連接隔離的方式來防范外界不良環境對信息使用的干擾。在信息使用的時候，可以借助數據管理區域來和系統內部的網絡連接在一起，最終實現對數據信息的有效防護，減少惡意攻擊用戶行為的發生[11]。

3 結 論

文章通過對虛擬化網絡環境特點的分析來剖析當前網絡所面臨的安全威脅，通過打造威脅矩陣來對以上風險進行全面分析。根據虛擬網絡運作可能存在的風險來給出對應的安全措施，在虛擬化的網絡環境下來保證整個網絡平臺信息的安全，做好一系列的網絡安全防護工作，從而更好地促進現代虛擬網絡平臺的建設發展。