基于企业虚拟化平台安全防护.docVIP

基于企业虚拟化平台安全防护 　　摘 要：随着虚拟化平台的建设及应用部署的普及，虚拟化平台的安全防护问题日趋迫切。本文从虚拟化平台的边界网络、终端、应用等角度构建虚拟化平台的安全防护，通过这些安全防护技术的实施，搭建成了一套虚拟化平台的安全防护体系，实现平台的安全。 　　?P键词：虚拟化；安全防护；边界网络；终端安全；应用安全 　　中图分类号：TP309 文献标识码：A 文章编号：1671-2064（2018）10-0035-01 　　随着虚拟化技术在企业基础架构环境中的广泛应用，越来越多的企业应用开始搭建在私有的虚拟化平台上，这些应用既有单纯内部使用的系统，如企业办公自动化（OA）、生产制造执行系统（MES），又有对外提供服务的应用，如企业门户网站、物联网平台等。企业虚拟化平台在提供便捷服务的同时，对于保证基于虚拟化平台的系统的安全也带来了新的挑战。 　　1 企业虚拟化平台构成 　　河钢唐钢的虚拟化平台采用VMware vSphere技术作为基础架构，由18台高性能的X86服务器、2台8Gb的光纤SAN交换机、1台高扩展存储阵列组成。平台的虚拟化资源总包括：672核CPU、6TB内存容量、92TB存储容量。利用VMware vSphere虚拟化技术将计算、存储和网络等基础硬件资源，以逻辑方式形成基础资源池，进而形成一个个面向用户的虚拟服务器，目前河钢唐钢的虚拟化平台有200多个虚拟机，主要运行的应用有企业OA、MES系统、企业门户网站、物流管控系统等。 　　2 企业虚拟化平台安全防护技术 　　虚拟化平台的安全包括边界网络安全、终端安全防护、业务应用防护等，河钢唐钢虚拟化平台通过部署保证边界高安全性的访问控制及恶意代码防护的下一代防火墙，保障网络高可控性的网络行为管理系统，保障核心业务系统高可信性的数据库审计系统，实现对虚拟化平台的安全防护。 　　2.1 边界网络安全防护 　　在网络边界部署访问控制设备，启用访问控制功能，对进出网络的信息内容进行过滤，实现对应用HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制，在会话处于非活跃一定时间或会话结束后终止网络连接，对网络边界处的恶意代码进行检测和清除。 　　防火墙作为安全隔离和访问控制设备，可以有效防止来自外部的安全威胁，保证内网的安全可靠运行，保障内部资源受控合法的使用。河钢唐钢虚拟化平台在外网出口部署了2台任子行SURF-NGSA-S3603R下一代防火墙，并通过HA形成双机热备集群，任子行SURF-NGSA下一代防火墙所集成的访问控制、入侵防御、病毒过滤、恶意网址过滤、僵尸网络防护、数据安全等多方面的功能建立一道从网络层到应用层的攻击防御体系，实现基于应用的精细化访问控制和带宽管理，通过防火墙的数据包进行病毒、恶意网站、僵尸网络、网络攻击、数据安全等多方面的深度内容过滤。 　　2.1.1 病毒过滤和防护 　　对往来的HTTP、FTP、POP3、SMTP数据进行病毒扫描，过滤来自于互联网的病毒，防止病毒进入内部网络；对所有HTTP请求进行恶意网址检查，防止病毒自动与网络连接，切断病毒源头。 　　2.1.2 入侵防御 　　任子行SURF-NGSA下一代防火墙中的入侵防御功能对往来的数据进行3-7层的协议分析和识别，防止DOS攻击、端口扫描、操作系统和协议漏洞利用、WEB应用攻击等各种网络攻击，保证办公区域设备的安全，防止被黑客入侵和控制。一方面在网关处检测和屏蔽僵尸网络的指令与外联信息，防止终端设备成为僵尸成员，被不法分子利用进行各种恶意网络活动；另一方面阻断病毒、木马、后门程序将收集到的信息回传到僵尸网络服务器，防止内部数据的丢失与泄露。 　　2.2 终端安全防护 　　2.2.1 网络链路负载均衡 　　终端安全防护方面，河钢唐钢虚拟化平台在出口互联区部署两台任子行SURF-AD-H3003链路负载均衡设备，两台设备之间通过HA形成双机热备集群。任子行SURF-AD支持服务器负载、防火墙/VPN负载、智能链路负载、集群服务器负载以及全局负载多种方式的负载均衡设置，进行4/7层交换，内容交换。当流量进入链路负载均衡设备后，链路负载均衡设备会根据访问流量的目的IP地址进行逐一匹配。在匹配的过程中该地址如果命中某一运营商的IP地址，链路负载均衡设备则将流量引导向该运营商所对应的接口，从而将流量成功的进行分流引导。为了抵御外部攻击，设备支持如DoS攻击、SYN攻击、洪水攻击、7层过滤等先进的安全功能，以确保系统应用程序和数据的安全性。 　　2.2.2 网络行为管理 　　河钢唐钢虚拟化平台网络行为管理采用2台任天行SURF-RAG-H8108网络安全管理系统进行管理。该系统以 DPI（Deep Packet Inspect深度包检