當前位置:首頁 > 電腦網絡 > 文章正文

計算機網絡安全中的防火墻技術應用研究


任利軍

  

  摘要:oVirt(open Virtualization)即開源虛擬化管理平臺,它是目前計算機領域影響力較大的開源桌面云系統,是未來桌面云的主要發展導向之一。雖然oVirt在虛擬生命周期管理、網絡資源管理、存儲資源管理等方面都擁有較為強大的功能模塊,但它在網絡安全管理方面卻有所欠缺,缺乏較為成熟穩定的網絡防火墻系統,這導致它的虛擬機可能隨時處于不受控制狀態并與外界網絡進行數據交換,威脅系統及云環境網絡安全。因此本文就針對該狀況,結合oVirt自身環境特性,為oVirt設計一套基于云環境的防火墻系統,希望對其網絡安全管理性能提升有所幫助。

  關鍵詞:網絡防火墻;云環境;oVirt;虛擬化;系統設計;性能應用;分析

  就目前oVirt云桌面虛擬化管理平臺的發展現狀來看,安全問題一直是制約其進步的主要因素。這是因為它將各種物理資源抽象為虛擬化資源,并在技術體系架構方面與傳統物理服務器架構存在較大差異,所以其本身是沒有傳統形式的物理設備隔離保護的,這就導致它所管理的大量內部信息很容易被攻擊甚至被盜取。在面對如此嚴峻的現實挑戰背景下,oVirt需要開發一套適合于自身特點的防火墻技術以擺脫當前安全困境。

  1、oVirt桌面云的防火墻安全解決方案總體思路

  oVirt所采用的是基于KVM虛擬化技術的開源IaaS云服務解決方案,為了實現對信息數據的方便劃分與管理,它采用的是Node/Engine分離式架構技術,它的主體技術設計框架如圖1。如圖1,oVirt的桌面云解決方案主要分為3大部分:oVirtengine云平臺管理中心、oVirt-note集群虛擬機運行環境以及存儲池服務器,這3大部分的構建都需要多組件來完成,它們均作為整個虛擬機生命周期的管理段出現,提供生命周期管理解決方案,并為虛擬機的修改與刪除提供創建、配置等功能服務,為計算機桌面系統構建集中式云服務中心。但從整體來看oVirt體系下它的數據隱私性與安全性實際上并不受到較高級別保護,一旦桌面云服務中心受到外部用戶攻擊其數據就會即刻遭到嚴重威脅,這展現了桌面云技術的不夠精致成熟。具體來說,oVirt桌面云環境在網絡安全保護方面不具備充分的安全解決方案,僅僅提供基本的虛擬網絡框架來滿足虛擬機現有用戶對網絡的訪問需求。為了防止用戶超越安全問題及服務需求實施違規操作,下文將設計一套基于平臺網絡安全性能,能夠提供管理虛擬機網絡攻擊防范行為的高水平云環境防火墻系統[1]。

  2、基于云環境的oVirt網絡安全防火墻設計與應用

  2.1 設計目標

  為oVirt設計網絡安全防火墻,主要出于3點目標考慮問題。首先,是為了增強云環境網絡安全指數,實現對云環境中所有虛擬機的網絡行為管控。在防火墻策略規則輔助下,可以實現對虛擬機數據包的細粒度過濾過程,將允許的數據包轉發給有需求的虛擬機。這樣做有兩點好處:避免虛擬機用戶在云環境中發起主動惡意攻擊,或者防止安全級別較高的虛擬機受到外界非法方位或非法攻擊。

  其次,能夠滿足防火墻系統對云環境網絡以及虛擬機的自適應過程,實現分布式拓撲結構保護特征。按照oVirt的云環境分布式網絡布局,虛擬機能夠在每一個物理服務器據點之間來回遷移,因此要為它設計具有遷移規則的分布式云防火墻,確保虛擬機實時遷移作用能夠即時生效。

  最后,它能提高防火墻的基本性能,為oVirt所設計的是經過改進后的帶有數據包過濾原則及匹配算法的防火墻,它對計算機網絡威脅的處理效率明顯更高。

  2.2 設計框架

  oVirt的所有虛擬機都分布在數量有限的Node節點物理服務器上,是明顯的多對一關系,其中每一臺虛擬機都擁有獨立的虛擬化層,并且可以為平臺提供虛擬網卡接口。由于oVirt所采用的是管理與執行分離設計模式,所以它的防火墻配置也應該跟隨保護對象系統一樣實施防火墻功能分離,將防火墻策略配置、異常處理以及狀態監控都分布于oVirt-engine上,真正的防火墻執行主體則設置在oVirt-node集群物理主機上。這種設計能夠大幅提升防火墻本身的系統穩定性,進而提高它的安全保護能力。對于oVirt-engine部分而言,它將單獨部署在一臺高穩定性能服務器上,進一步減小發生故障的可能性。如此設計能夠保證oVirt-node及oVirt-engine中的所有服務器都不會受到侵犯,同時保證防火墻系統始終處于高可用性狀態。

  如圖2,該防火墻主要被劃分為為防火墻策略管理模塊、遷移模塊和執行模塊。這其中策略管理模塊與遷移控制模塊都部署于oVirt-engine端,而防火墻執行代理模塊則被部署在oVirtnode集群中,保證每一臺物理服務器都有防火墻保護。具體來講,防火墻執行模塊所負責的每一個Node節點都會在功能開啟后逐一生效,其中執行代理負責完成通信功能,而Libvirt網絡管理與內核層防火墻負責管理和完成內核防火墻保護任務,實現各個服務層級之間的相互聯動。


更多關于“計算機網絡安全中的防火墻技術應用研究”的相關文章
    推荐阅读
    支持杂志产业发展,请购买、订阅纸质杂志,欢迎杂志社提供过刊、样刊及电子版。
    关于我们 | 免责声明 | 联系方式 | RSS 2.0订阅
    全刊赏析网 2019 繁體中文 简体中文