本文格式為Word版，下載可任意編輯——略談虛擬環(huán)境下的網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全環(huán)境

略談虛擬環(huán)境下的網(wǎng)絡(luò)安好

略談虛擬環(huán)境下的網(wǎng)絡(luò)安好1分開虛擬機(jī)管理虛擬機(jī)不同于實(shí)體計算機(jī)。在實(shí)體計算機(jī)上有各種接口、電源開關(guān)鍵以及連接在機(jī)箱上的外接設(shè)備。對實(shí)體計算機(jī)的操縱，可以通過按下電源按鈕、連接網(wǎng)線、識別指紋等方式來完成。但是對于虛擬機(jī)那么不能通過這些方式來實(shí)現(xiàn)操縱，只能通過網(wǎng)絡(luò)舉行遠(yuǎn)程管理。因此，對于虛擬環(huán)境下的網(wǎng)絡(luò)安好，要考慮的第一個問題就是將虛擬機(jī)的管理同普遍操作分開。為了保證不是任何人都能通過網(wǎng)絡(luò)遠(yuǎn)程操縱虛擬機(jī)，需要將虛擬機(jī)的權(quán)限設(shè)置為上下兩個級別。沒有任何權(quán)限的賬號不能夠?qū)μ摂M機(jī)舉行操作;低級別的普遍賬號只有對虛擬機(jī)的簡樸操縱權(quán)限，如更新虛擬機(jī)上的信息、檢查虛擬機(jī)的運(yùn)行狀態(tài)等;高級賬號擁有對虛擬機(jī)的全部操縱權(quán)限，不但具有低級用戶的全體權(quán)限，還能對虛擬機(jī)舉行重啟、賬號管理等高級操作。全體的賬號都要設(shè)置密碼且不能使用簡樸密碼，生日、姓名、手機(jī)號碼、特殊日期等都不適合當(dāng)做密碼使用，由于這樣的密碼的破譯難度遠(yuǎn)遠(yuǎn)小于由數(shù)字、字母、字符組成的繁雜密碼。同時，密碼確定要經(jīng)常更換，長時間使用同一個密碼，很有可能會在無意中將密碼泄露。

2數(shù)據(jù)加密加密技術(shù)已為大多數(shù)計算機(jī)用戶所采納，不管是郵箱還是個人賬號，我們一般都會使用密碼加密［2］。但是對于虛擬機(jī)來說，僅僅是這些加密還遠(yuǎn)遠(yuǎn)不夠。目前有大量惡意軟件可以抓獲、重新配置內(nèi)存數(shù)據(jù)值并在此過程中將自身插入內(nèi)存中，這樣惡意軟件就可以在不被操作系統(tǒng)覺察的處境下舉行數(shù)據(jù)監(jiān)視和竊取，普遍的賬戶加密對于這種竊取行為沒有有效的防衛(wèi)效果。應(yīng)對這種處境，可以通過SSL(SecureSocketsLayer)對數(shù)據(jù)舉行加密，保證在數(shù)據(jù)傳遞過程中，即使有人竊取，也無法獲得實(shí)際的真實(shí)數(shù)據(jù)。

3關(guān)閉片面服務(wù)和功能虛擬機(jī)一般用來完成固定的某些任務(wù)，也就是說總會有一片面不需要啟動的服務(wù)可以關(guān)閉，如系統(tǒng)更新、屏幕養(yǎng)護(hù)、磁盤碎片整理、空閑檢測、文件完整性檢查等，這些服務(wù)對于單一操作系統(tǒng)的虛擬機(jī)來說，完全不需要開啟。好多虛擬機(jī)支持在宿主主機(jī)和虛擬機(jī)之間的文件共享，這樣有助于虛擬機(jī)和實(shí)體機(jī)之間的文件共享使用，但同時也引入了風(fēng)險。

通過這種共享，虛擬機(jī)有機(jī)遇訪問實(shí)體機(jī)，能對共享文件進(jìn)行修改，進(jìn)而獲得片面操縱權(quán)限，最終要挾其他虛擬機(jī)。因此，文件共享如非必要不要開啟。除此之外，還有一些常用的但可能不被使用的服務(wù)，也可以根據(jù)概括處境關(guān)閉。

4斷開不使用的設(shè)備通常處境下，虛擬機(jī)是允許連接物理設(shè)備如光驅(qū)、軟驅(qū)、掃描儀、打印機(jī)、USB接口等的。當(dāng)虛擬機(jī)啟動的時候，會如普遍電腦一般自動對這些設(shè)備舉行檢測，假設(shè)有多臺虛擬機(jī)同時啟動，那么會由于優(yōu)先權(quán)問題大大降級虛擬機(jī)的啟動速度。另外，假設(shè)這些外接設(shè)備中存在惡意代碼，虛擬機(jī)那么可能在啟動的時候自動執(zhí)行這些代碼，從而給虛擬機(jī)帶來病毒入侵。因此，如非必要應(yīng)關(guān)閉全體的外接可控設(shè)備，只在必須使用的時候才開啟［4］。

5開啟防火墻雖然一般在宿主機(jī)上會安裝防火墻，但因虛擬機(jī)是獨(dú)立運(yùn)行的，所以有必要在虛擬機(jī)上單獨(dú)安裝防火墻，以有效地攔截網(wǎng)絡(luò)攻擊，監(jiān)控網(wǎng)絡(luò)信息，防止額外代碼的攻擊。除此之外，還可以通過防火墻將虛擬機(jī)上不需要的端口關(guān)閉。端口是計算機(jī)連接網(wǎng)絡(luò)的通道，這些通道本身沒有問題，但是可能被非法程序利用。通過端口，入侵者可以遠(yuǎn)程連接虛擬機(jī)，查看虛擬機(jī)上的文件、修改虛擬機(jī)的配置信息。因此，除了正在使用的端口外，應(yīng)將其他暫時不用的端口全部關(guān)閉，在需要使用時再開啟。

6數(shù)據(jù)備份為了保證虛擬機(jī)上的數(shù)據(jù)安好，防止意外災(zāi)難或者破壞的發(fā)生，務(wù)必對數(shù)據(jù)舉行備份。通常數(shù)據(jù)備份通過備份軟件就可以自動完成，不過虛擬機(jī)對數(shù)據(jù)備份的要求對比高。第一，要能夠?qū)崿F(xiàn)跨平臺的數(shù)據(jù)備份。目前網(wǎng)絡(luò)上有各種數(shù)據(jù)平臺以及不同的操作系統(tǒng)，這就要求備份功能不能只靠單一處境下的備份。其次，備份要能夠自動恢復(fù)和災(zāi)難重建。備份數(shù)據(jù)就是為了在展現(xiàn)問題的時候舉行恢復(fù)，所以好的數(shù)據(jù)備份理應(yīng)能夠在需要的時候舉行自動恢復(fù)，而不應(yīng)取決于管理員是否有空閑時間。第三，要具備定時備份和自動備份等多種備份功能并能夠在發(fā)生奇怪錯誤時提示管理員。第四，備份的數(shù)據(jù)要具有防病毒入侵功能并能夠支持群集系統(tǒng)和磁盤陣列。由于虛擬機(jī)便捷生動，目前不僅各大公司在使用虛擬技術(shù)，全國各高校的網(wǎng)絡(luò)測驗(yàn)室也開頭逐步使用虛擬機(jī)來完成各種繁雜測驗(yàn)，再加上目前很熱門的“云”技術(shù)也和虛擬技術(shù)密不成分，所以虛擬技術(shù)的使用范圍越來越大，隨之而來的新的網(wǎng)絡(luò)安好問題也越來越嚴(yán)重。假設(shè)虛擬環(huán)境下的網(wǎng)絡(luò)安好問題不能夠得到合理解決，必然會給網(wǎng)