用虚拟机模拟校园网络服务架构及安全防护.docVIP

用虚拟机模拟校园网络服务架构及安全防护 　　摘 要： 探讨校园网络的服务架构、安全防护，以及采用虚拟技术实施相关方案的实现技术，并在实践中验证通过。 　　关键词： 虚拟机；网络安全；VMware；域模式 　　中图分类号：TP306 文献标识码：A 文章编号：1671－7597（2012）0310126－02 　　 　　校园网络包含了校园网服务器和师生工作站。校园网服务器主要有Web服务器、邮件服务器、FTP服务器等，若这些服务器受到攻击，可能会造成用户无法正常访问、用户信息丢失、垃圾邮件泛滥等情况。师生工作站是师生日常教学、实验、工作、休闲的基本设施，若师生网络安全意识不强，可能会面临摄像头自动打开，被网络另一端的黑客所窥探；隐私泄露；QQ密码、银行帐号密码证书被盗；计算机运行变慢；文件被删；无法上网等危险。 　　若对校园网络进行了网络服务及安全方案的重新规划，在实施前需做一定的测试，为不影响校园网络的正常运行，方案可先由虚拟机进行模拟，等稳定后再在真实系统中进行迁移实施。虚拟机拥有自己的虚拟硬件，在此基础上可自由的安装所有能在真机使用的软件，如操作系统、数据库、应用程序等。在同一台真机上，可运行多个虚拟机，这些虚拟机之间、虚拟机与真机之间，可以通过虚拟网络进行互联。常见的虚拟机软件有Virtual PC、VMware workstation、QEMU等。 　　本文以VMware为例，利用它模拟实现校园网络的服务架构及安全防护。VMware具有很多优点：它允许在同一台真机上虚拟出多台计算机或服务器，这些虚拟机之间可互联；虚拟机与真机间既可互联，又可完全隔绝。在面临病毒、木马等可能对真机造成危害的等研究时，虚拟机与真机可设置为完全隔绝，保护真机系统不受破坏。VMware的快照功能可保存多个研究场景，并随时调出。不同场景间可快速切换，从而避免了用真机系统进行研究时因失误而需耗时重新搭建场景等情况，加快科研进展。另外，VMware的链接克隆功能，可迅速生成一个同类的虚拟机，不但克隆速度快，而且还能节省70%左右的存储空间。 　　1 整体规划 　　随着校园网络计算机和用户的增多，为了实现高效管理和提高安全性，决定将由原来的???作组模式升级为域模式。域模式相对于工作组有很多优势，它采用了活动目录集中组织管理用户账户、组、共享文件夹、打印机等网络资源，活动目录允许用户一次登录就可以访问网络中的所有该用户有权限访问的资源；域环境下，管理员可方便设置整个域的组策略及其继承性，对不同部门创建OU并采取不同的策略，设置用户可访问的资源、可执行的操作；管理员还可建立委派账号减少域管理员账户的使用，增强了安全性。 　　1.1 规划校园网络的服务 　　除了各系部客户机外，从服务的角度看，校园内网应提供域控、额外域控制器、DHCP服务器、Web及FTP服务器、临时域控制器等。 　　1.2 校园网络的安全防护 　　1）除了安装杀毒软件，及时升级病毒库外，还要解决校园网内部经常会受到不明身份用户连接等问题。采用ISA服务器作为边缘防火墙连接企业内部和外部网络，通过设置防火墙策略，可拒绝外部用户访问内部网络，可允许使内部用户访问外网Web站点，还可使用身份验证、IP地址限制等来禁止某些内部用户访问外网。 　　2）内部用户通过代理上网，可设置缓存加快对企业外网的访问。 　　3）通过发布服务器，让外网用户能浏览校园网网站。 　　4）校园网还会遭受来自内部的攻击或外部绕过防火墙的攻击，可利用Snort构建校园入侵检测系统系统。 　　2 具体实施 　　2.1 服务器部署与实施 　　1）在两台真机上准备10台虚拟机，充分利用硬件资源。 　　10台虚拟机分别模拟：域控制器DC1、额外域控制器DC2、DHCP服务器、Web及FTP服务器、校企合作临时域控制器XiaoDC、入侵检测系统Snort（以上设为内网1网段）、各系部客户机（用某系一台作代表，设为内网2网段）、ISA防火墙（用一台安装双网卡的虚拟机模拟，一块网卡连接内网3网段，另一块网卡连接外网）、路由器（用一台安装三块网卡的虚拟机模拟，并在路由器相应接口上配置DHCP中继代理）、外网Web服务器（连接防火墙的外网网卡）。10台虚拟机平均分配到两台真机，每台真机搭建5台虚拟机。为实现互联，路由器、2网段客户机、ISA防火墙、外网Web服务器必须在同一台真机上架设，再外加一台1网段入侵检测系统Snort；其余五台1 网段虚拟机架设在另一台真机上，1网段的网卡分列于两台真机间，因此需要将它们设置为连接到VMnet0；2网段客户机及相连路由器的网卡设为连接到VMnet2；3网段客户机及相连路由器的网卡设为连接到VMnet3。 　　2）为一台虚拟机安装三块网卡，将其设置为路由器。