论文部分内容阅读
摘要:近年来,高校信息化建设取得了重大突破,网络应用达到了一定规模。VPS以其功能齐全,操作灵活,便于统筹管理,节省硬件资源等优势得到广泛应用,但其同时也存在着诸多安全隐患,本文针对这类问题进行了研究。
关键词:VPS 安全风险 解决方案
近年来,随着高校不断加大和落实用于信息化建设的资金,高校网络基础设施建设和信息系统建设被进一步推动。随着信息化需求的不断增加,传统基于FTP或一般WEB管理的虚拟空间由于其功能单一、管理不便等缺点已不能满足我们的需求,VPS以其特有的优势得到广泛应用,在教学科研中正发挥着重要作用。
VPS服务器(虚拟专用服务器)(“Virtual Private Server”,或简称“VPS”)是利用虚拟服务器软件(如微软的Virtual Server、VMware的ESX server、SWsoft 的Virtuozzo)在一台物理服务器上创建多个相互隔离的小服务器。VPS指的就是这些小服务器,它具有独立的操作系统,运行和管理与独立服务器是完全相同的。VPS介于虚拟主机(Shared Hosting)和独立主机(Decicated Serber)之间,一个人即可操作,比需要多人操作的虚拟主机,在安全性、效能、自由度上都有很大提高。
1 VPS主机安全风险
安全问题是网络世界永恒不变的话题。边界防火墙、入侵检测、漏洞扫描、防病毒、主页防窜改和安全审计等是目前普遍采取的安全措施。尽管如此,安全问题还是没能有效地解决。
1.1 多部门共享服务器应用普遍存在安全隐患。共享IP众所周知就是几个VPS公用一个IP,这样当其中一个客户的网站由于各种原因被关闭或者受到攻击的时候,就会因为共享的原因而受到连累。整台服务器系统被攻击往往是某一站点或应用程序的安全漏洞引起的,轻则导致系统瘫痪,无法继续提供服务,重则导致数据被窃取或清空,造成无法估量的损失。
1.2 来自外网的攻击是造成网络不安全的主要原因。为了确保内网中的数据安全,通常会设立DMZ区,DMZ(DemilitarizedZone)即俗称的非军事区,是指为不信任系统提供服务的孤立网段,把允许外部访问的服务器单独接在DMZ区端口,例如WEB,e-mail等。内部网络连接在DMZ端口后边,不允许任何访问,实现内网与外网的分离。同时,DMZ区受安全规则限制:内网可以访问外网;内网可以访问DMZ;DMZ不能访问内网;DMZ不能访问外网;外网不能访问内网;外网可以访问DMZ。这样一来,自外网的访问者可以访问DMZ,但不可能接触到存放在内网中的机密数据或私人信息等,即使DMZ中服务器受到破坏,内网中的数据资料也不会受到影响。但是这条策略在实际使用过程中又产生了新的问题:DMZ区的建立,使得内网被隔离,但是DMZ区被完全暴露在互联网,这样一来DMZ区就很容易受到外部入侵和病毒的攻击。
1.3 局域网内部安全存在隐患。首先,校园网中的数据并无商业性质,而更多的是学校日常办公应用、教师和学生的个人数据,因此,一般的黑客对校园网的攻击兴趣并不大,所以,攻击校园网的黑客群体以学生为代表的年轻人为主体。其次,内部的工作人员不是安全方面的专家,容易在意识和行为上忽视安全规则的存在,通常体现在:密码能够轻易被破解,其设置过于简单;对来历不明的软件不经过确认和检查就使用;对恶意的网络连接没有任何防范。边界防火墙的结构决定经过防火墙的数据可以检查,而从内部攻击绕过防火墙,防火墙就无能为力了,因此,局域网内部的不安定因素尤其应当重视。
2 解决方案
针对以上提出的种种安全隐患,我们考虑解决方案的时候应当着眼于全网安全。
①VPS是具有较高安全性的,这一点是毋庸置疑的。VPS虚拟服务器技术在分配服务器资源时可以通过多种不同的方式灵活掌握,每个虚拟化服务器的资源都可以根据其具体需要,量身定制。每个VPS拥有独立IP地址、端口号码、表单、以及过滤和路由规则。VPS主机拥有独立的服务器的资源(包括驱动器、CPU、内存、硬盘和网络I/O),由于采用动态的分区隔离,VPS主机实现了客户与客户之间的隔离。这使得每个VPS主机都能独占自己的服务器资源,这样一来,DDoS攻击单个用户时,同一物理服务器的其他用户不会受到影响。DDoS的攻击危害被降至最少,服务器的安全性得到了很大提高。而且如果其中一个VPS主机宕机,其它的VPS主机不会受到影响,仍旧可以正常运行。
同时,VPS主机采用操作系统虚拟化技术实现了软件和硬件的隔离,因而改变了黑客程序经常利用的攻击入口,从而增强了服务器的安全性,这同时意味着VPS主机可以被快速而容易地从一台服务器迁移至另一台。事实上VPS主机甚至比拍立的服务器都要更加安全可靠。由于基于操作系统虚拟化技术,VPS主机完全与底层硬件隔离,通过操作系统模版轻松实现VPS主机的开通,可以通过拖拽方式瞬间实现VPS主机的服务器迁移,从而真正实现服务器维护和更新时零宕机。
②对网络结构进一步明确和细划,采用VLAN尽可能对网络进行划分分段;用分布式防火墙替换原来的防火墙。
全网安全方案的主要特点如下:将分布式防火墙安装在局域网内的每一台PC和服务器上,分布式防火墙的首要责任是对整个网络的安全予以保障,首先确保的是网络内的每台计算机都不会对整个网络造成安全威胁,然后才是保护自己的计算机免遭别人的攻击,这样一来,如果病毒或木馬感染了局域网内部的一台计算机,分布式防火墙首先会隔离被感染的计算机,防止被感染的计算机对全网安全造成威胁。如果局域网内部有人攻击其他的计算机,攻击者和被攻击者的防火墙会同时发挥作用,对攻击进行拦截,因为每台计算机都具有保护自己和保护全网的能力。分布式防火墙的规则公共规则和本机规则构成。全网安全是优先被保障的,其次才是本机规则,本机规则负责保证本机安全,这样一来边界防火墙没有什么规则需要配置,网络安全策略的管理被大大简化了。通过中央管理控制台,可以分发安全策略给每一台分布式防火墙,每台防火墙的流量和安全状况都可以随时查看,查看日志并对安全事件进行审计,使得局域网内部的安全问题得到有效解决,降低了局域网对服务器DMZ区的威胁。
排除了技术方面的因素,人为因素的控制主要体现在管理方面。首先,校园网的网络安全是非常重要的,需要网络管理人员从思想上重视,从技术上提高防范技能。其次,学生出于好奇心和对黑客的仰慕,希望以校园网为实验平台,利用手中的黑客工具,对工具的操作和效果进行验证,建议老师可以有计划、有准备地组织这类活动,给学生实际操作的机会,使其好奇心得到满足。
随着互联网的发展,一些非法用户利用各种手段和系统的漏洞攻击计算机网络。网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现。校园网是用于实验教学,培养学生动手能力、创新能力的,VPS以其卓越的安全性,最大限度地阻隔着来自各方面的网络攻击,但是不可避免地也存在着一些这样那样的问题,因此也需要我们定期查看网络的流量状况和安全状况,根据互联网上的出现的病毒和攻击情况,定期发布和撤销公共安全规则,进行宏观管理,给教师和学生创建一个安全的网络环境。
参考文献:
[1]何全胜,姚国祥.网络安全需求分析及安全策略研究[J].计算机工程,2000(06)
[2]闫宝华.教务管理系统之安全策略研究[J].网络安全技术与应用,2009(02).
[3]崔蔚,赵强,姜建国,黄钧,刘渊.基于主机的安全审计系统研究[J].电脑与信息技术,2004(01).
[4]孙柏林.对我国自动化控制系统发展趋势的分析——需求牵引,技术推动[J].自动化博览,2009(02).
作者简介:
孙庚欣(1985-),男,天津人,助理工程师,研究方向:服务器集群虚拟化的安全与维护。
关键词:VPS 安全风险 解决方案
近年来,随着高校不断加大和落实用于信息化建设的资金,高校网络基础设施建设和信息系统建设被进一步推动。随着信息化需求的不断增加,传统基于FTP或一般WEB管理的虚拟空间由于其功能单一、管理不便等缺点已不能满足我们的需求,VPS以其特有的优势得到广泛应用,在教学科研中正发挥着重要作用。
VPS服务器(虚拟专用服务器)(“Virtual Private Server”,或简称“VPS”)是利用虚拟服务器软件(如微软的Virtual Server、VMware的ESX server、SWsoft 的Virtuozzo)在一台物理服务器上创建多个相互隔离的小服务器。VPS指的就是这些小服务器,它具有独立的操作系统,运行和管理与独立服务器是完全相同的。VPS介于虚拟主机(Shared Hosting)和独立主机(Decicated Serber)之间,一个人即可操作,比需要多人操作的虚拟主机,在安全性、效能、自由度上都有很大提高。
1 VPS主机安全风险
安全问题是网络世界永恒不变的话题。边界防火墙、入侵检测、漏洞扫描、防病毒、主页防窜改和安全审计等是目前普遍采取的安全措施。尽管如此,安全问题还是没能有效地解决。
1.1 多部门共享服务器应用普遍存在安全隐患。共享IP众所周知就是几个VPS公用一个IP,这样当其中一个客户的网站由于各种原因被关闭或者受到攻击的时候,就会因为共享的原因而受到连累。整台服务器系统被攻击往往是某一站点或应用程序的安全漏洞引起的,轻则导致系统瘫痪,无法继续提供服务,重则导致数据被窃取或清空,造成无法估量的损失。
1.2 来自外网的攻击是造成网络不安全的主要原因。为了确保内网中的数据安全,通常会设立DMZ区,DMZ(DemilitarizedZone)即俗称的非军事区,是指为不信任系统提供服务的孤立网段,把允许外部访问的服务器单独接在DMZ区端口,例如WEB,e-mail等。内部网络连接在DMZ端口后边,不允许任何访问,实现内网与外网的分离。同时,DMZ区受安全规则限制:内网可以访问外网;内网可以访问DMZ;DMZ不能访问内网;DMZ不能访问外网;外网不能访问内网;外网可以访问DMZ。这样一来,自外网的访问者可以访问DMZ,但不可能接触到存放在内网中的机密数据或私人信息等,即使DMZ中服务器受到破坏,内网中的数据资料也不会受到影响。但是这条策略在实际使用过程中又产生了新的问题:DMZ区的建立,使得内网被隔离,但是DMZ区被完全暴露在互联网,这样一来DMZ区就很容易受到外部入侵和病毒的攻击。
1.3 局域网内部安全存在隐患。首先,校园网中的数据并无商业性质,而更多的是学校日常办公应用、教师和学生的个人数据,因此,一般的黑客对校园网的攻击兴趣并不大,所以,攻击校园网的黑客群体以学生为代表的年轻人为主体。其次,内部的工作人员不是安全方面的专家,容易在意识和行为上忽视安全规则的存在,通常体现在:密码能够轻易被破解,其设置过于简单;对来历不明的软件不经过确认和检查就使用;对恶意的网络连接没有任何防范。边界防火墙的结构决定经过防火墙的数据可以检查,而从内部攻击绕过防火墙,防火墙就无能为力了,因此,局域网内部的不安定因素尤其应当重视。
2 解决方案
针对以上提出的种种安全隐患,我们考虑解决方案的时候应当着眼于全网安全。
①VPS是具有较高安全性的,这一点是毋庸置疑的。VPS虚拟服务器技术在分配服务器资源时可以通过多种不同的方式灵活掌握,每个虚拟化服务器的资源都可以根据其具体需要,量身定制。每个VPS拥有独立IP地址、端口号码、表单、以及过滤和路由规则。VPS主机拥有独立的服务器的资源(包括驱动器、CPU、内存、硬盘和网络I/O),由于采用动态的分区隔离,VPS主机实现了客户与客户之间的隔离。这使得每个VPS主机都能独占自己的服务器资源,这样一来,DDoS攻击单个用户时,同一物理服务器的其他用户不会受到影响。DDoS的攻击危害被降至最少,服务器的安全性得到了很大提高。而且如果其中一个VPS主机宕机,其它的VPS主机不会受到影响,仍旧可以正常运行。
同时,VPS主机采用操作系统虚拟化技术实现了软件和硬件的隔离,因而改变了黑客程序经常利用的攻击入口,从而增强了服务器的安全性,这同时意味着VPS主机可以被快速而容易地从一台服务器迁移至另一台。事实上VPS主机甚至比拍立的服务器都要更加安全可靠。由于基于操作系统虚拟化技术,VPS主机完全与底层硬件隔离,通过操作系统模版轻松实现VPS主机的开通,可以通过拖拽方式瞬间实现VPS主机的服务器迁移,从而真正实现服务器维护和更新时零宕机。
②对网络结构进一步明确和细划,采用VLAN尽可能对网络进行划分分段;用分布式防火墙替换原来的防火墙。
全网安全方案的主要特点如下:将分布式防火墙安装在局域网内的每一台PC和服务器上,分布式防火墙的首要责任是对整个网络的安全予以保障,首先确保的是网络内的每台计算机都不会对整个网络造成安全威胁,然后才是保护自己的计算机免遭别人的攻击,这样一来,如果病毒或木馬感染了局域网内部的一台计算机,分布式防火墙首先会隔离被感染的计算机,防止被感染的计算机对全网安全造成威胁。如果局域网内部有人攻击其他的计算机,攻击者和被攻击者的防火墙会同时发挥作用,对攻击进行拦截,因为每台计算机都具有保护自己和保护全网的能力。分布式防火墙的规则公共规则和本机规则构成。全网安全是优先被保障的,其次才是本机规则,本机规则负责保证本机安全,这样一来边界防火墙没有什么规则需要配置,网络安全策略的管理被大大简化了。通过中央管理控制台,可以分发安全策略给每一台分布式防火墙,每台防火墙的流量和安全状况都可以随时查看,查看日志并对安全事件进行审计,使得局域网内部的安全问题得到有效解决,降低了局域网对服务器DMZ区的威胁。
排除了技术方面的因素,人为因素的控制主要体现在管理方面。首先,校园网的网络安全是非常重要的,需要网络管理人员从思想上重视,从技术上提高防范技能。其次,学生出于好奇心和对黑客的仰慕,希望以校园网为实验平台,利用手中的黑客工具,对工具的操作和效果进行验证,建议老师可以有计划、有准备地组织这类活动,给学生实际操作的机会,使其好奇心得到满足。
随着互联网的发展,一些非法用户利用各种手段和系统的漏洞攻击计算机网络。网络中的安全漏洞无处不在,即便旧的安全漏洞补上了补丁,新的安全漏洞又将不断涌现。校园网是用于实验教学,培养学生动手能力、创新能力的,VPS以其卓越的安全性,最大限度地阻隔着来自各方面的网络攻击,但是不可避免地也存在着一些这样那样的问题,因此也需要我们定期查看网络的流量状况和安全状况,根据互联网上的出现的病毒和攻击情况,定期发布和撤销公共安全规则,进行宏观管理,给教师和学生创建一个安全的网络环境。
参考文献:
[1]何全胜,姚国祥.网络安全需求分析及安全策略研究[J].计算机工程,2000(06)
[2]闫宝华.教务管理系统之安全策略研究[J].网络安全技术与应用,2009(02).
[3]崔蔚,赵强,姜建国,黄钧,刘渊.基于主机的安全审计系统研究[J].电脑与信息技术,2004(01).
[4]孙柏林.对我国自动化控制系统发展趋势的分析——需求牵引,技术推动[J].自动化博览,2009(02).
作者简介:
孙庚欣(1985-),男,天津人,助理工程师,研究方向:服务器集群虚拟化的安全与维护。