论文摘要：Xen平台下虚拟网络安全子系统的研究与实现

系统虚拟化技术使得一台物理主机上能够同时运行多个虚拟机，将原先需要在多个物理主机上运行的应用集中到一台物理主机上，既提高了资源利用率，也大大降低了企业的运营成本。因此，近年来系统虚拟化技术越来越广泛地应用在现代企业的服务器运行上，称为服务器虚拟化。服务器使用虚拟化技术后，所有的虚拟机服务器由各自的虚拟实体（虚拟网卡）连接到虚拟网络连接设备上与外部网络进行通信，服务器组成的网络架构发生了变化。在这种网络架构下，虚拟机之间的通信在虚拟网络内部进行，传统的基于主机的网络安全防护方式对虚拟网络内部通信无法提供保护，因此这种网络架构的变更给虚拟网络带来了安全问题。在服务器虚拟化之前通过在前端的防火墙设备上建立多个隔离区来针对不同应用的服务器，所以当有服务器遭到攻击时，可以将攻击局限在单个隔离区之内，不会影响到所有的服务器。然而在进行虚拟化之后各虚拟机之间通过内部虚拟网络进行通信，传统的防火墙防护方式对虚拟网络内部的连接无法防护，原本通过使用防火墙采取隔离的防护方式就会失去作用，并且当虚拟网络内部的某个虚拟机遭到攻击时，攻击很容易在整个虚拟网络内扩散。本文根据系统虚拟化中虚拟网络架构的特点，从实际应用中虚拟网络安全防护的重要性出发，研究并实现了一个基于Xen平台的虚拟网络安全子系统。安全子系统的目标是为虚拟机提供全生命周期的安全防护，达到增强虚拟网络安全性的目的。论文的主要工作包括：1. 安全策略的定制：为了满足各种应用对安全防护不同的需求，给出了一种虚拟机安全策略定制方法，该方法在虚拟机创建初始时对虚拟机的安全防护需求进行描述；在虚拟机创建过程中解析安全防护需求，为虚拟机生成安全策略，保证满足虚拟机对安全防护的需求。2. 持续安全防护的保证：针对虚拟机在动态迁移过程中安全防护容易失效的特点以及在虚拟机进行安全策略定制后动态迁移对上层应用不透明的问题，给出了一种持续安全防护机制，该机制将虚拟机动态迁移的内容分为三部分：虚拟机实例迁移、安全策略迁移和网络连接迁移，保证虚拟机在动态迁移的过程中安全策略对其安全防护始终有效，同时也保证了虚拟机动态迁移对上层服务具有透明性。3. 基于网络监测的虚拟机调度：针对在虚拟网络中攻击极易扩散的问题，利用虚拟机可以被调度的特性，给出了一种基于网络监测的虚拟机调度方法，该方法实时监测虚拟网络内部的流量信息，并对收集到的流量信息进行分析，当发现有可疑流量时给出反馈信息，并通过反馈信息对虚拟机做出调度决策，限制了攻击在虚拟网络内部的扩散。

来源：半壳优胜育转载请保留出处和链接！

本文链接：http://87cpy.com/204352.html