前言：本站為你精心整理了網絡防護體系建構范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：王剛耀馬杰作者單位：人民日報社技術部

虛擬化應用運行過程

從圖1中可以看出，虛擬化應用位于網絡的DMZ區。Cisco6509、Cisco4506、Cisco3750和防火墻設備運行的都是路由模式。報社互聯網上的用戶要訪問單位的虛擬化應用，數據包首先通過4506交換機，再到防火墻上。在防火墻上配置有相應的安全策略，會根據數據包的源和目的IP地址，以及端口號來判斷是否對數據包進行路由，允許通過的數據包將會傳輸到DMZ區的Cisco3750交換機上，最終訪問到虛擬化服務器上的業務應用。報社部分編輯、記者用戶，需要通過虛擬化應用訪問到報社內部網絡上的一些采編應用系統，這樣圖1中的虛擬化服務器就會作為服務器，通過Cisco3750、防火墻和Cisco6509，最終訪問到報社內部服務器上的資源。從采編應用服務器上返回的數據包也是先到達DMZ區的虛擬化應用服務器上，然后服務器再把數據包返回給報社互聯網上的用戶。

虛擬化應用安全思考

安全是應用的基礎。目前，使用報社虛擬化的用戶主要來自互聯網，但是隨著報社信息化建設的不斷發展，桌面虛擬化和網絡虛擬化也相繼在報社進行測試應用。所以隨著虛擬化使用范圍的越來越廣，更應該注重虛擬化在安全方面的防護和加固。（1）安全防護五要素。虛擬化應用和其它應用系統一樣，都應該從五個方面進行安全加固，如圖2所示。一是用戶身份安全。它能夠提供用戶名密碼、USB-KEY、硬件特征碼、數字證書、短信認證中的一種或多種身份認證方式，保障用戶身份接入的可靠性。二是終端安全。應當加強終端設備的病毒、木馬防護，及時升級系統的漏洞補丁，檢測、攔截和移除病毒、間諜軟件。三是傳輸安全。要使用標準的加密算法保障數據的安全傳輸。四是應用權限安全。能夠針對每個部門、每個用戶進行應用、URL級別的授權，并可針對用戶終端安全環境、登錄時間的不同，進行差別授權和靈活控制。五是審計安全。日志中心能提供詳細的報告，作為網絡規劃的依據，并且具備管理員權限的分級功能，提高管理安全性。（2）虛擬化應用安全隱患。報社虛擬化應用最普遍的方法是，用戶用各種終端通過互聯網連接到單位DMZ區的虛擬化服務器上，虛擬化服務器再作為就可以訪問到內網的采編應用系統上，如圖3所示。從圖中可以看出，接入到虛擬化應用的終端有很多種，只要能接入到互聯網就可以訪問到報社的虛擬化應用。但是，訪問虛擬化應用的“用戶身份安全”不是很好驗證，存在用戶不能通過智能手機或PDA掌上電腦，使用USB-Key認證訪問報社的虛擬化應用的問題，因為這些設備上沒有USB接口。所以為了方便用戶訪問虛擬化應用，就開通了“用戶名密碼+認證碼”的認證訪問方式，這樣用戶無論使用什么樣的終端都可以訪問到虛擬化應用。但是，使用“用戶名密碼+認證碼”的認證方式屬于靜態認證，一旦用戶名和密碼泄露會造成嚴重的后果。況且認證碼也是一種非常簡單的認證方式，它的目的是保證登錄網站的是人而不是程序。非法用戶完全可以通過一些專用的破解軟件，把密碼破譯出來。所以，在虛擬化應用中最好不要使用“用戶名密碼”的認證方式。

虛擬化應用安全防護措施

針對應用系統的安全防護五要素，和報社虛擬化應用的實際情況，提出以下四點虛擬化應用的安全防護措施。（1）手機動態密碼驗證。報社很多業務應用系統，對安全性的要求也很高，而手機動態密碼的認證方式，在國內有的銀行已經廣泛應用，例如交通銀行。所以它的安全性已經得到認可，完全可以把它應用到報社的虛擬化認證中。它是一種動態的、互動的密碼認證方式，即使非法用戶盜用了銀行用戶的銀行卡和支付密碼，若他沒有銀行用戶的手機也不能完成網上支付，因為動態密碼只發送到銀行用戶本人的手機上。而且在向銀行用戶發送動態密碼時會包括一個“密碼序號”，如圖4所示的上半部分，是用戶進入到銀行支付頁面的提示。在“動態密碼”輸入框的后邊就有一個提示“密碼序號：56”；同樣在圖4的下半部分的黃色顯示區域，是銀行用戶本人手機上收到的動態密碼提示信息，在其中也包含有“密碼序列：56”，這兩個序號的數值必須一致才是真實有效的密碼，這就進一步提高了手機動態密碼的安全性。（2）擴展USB-Key認證使用范圍。人民日報社目前已部署有完善的PKI認證系統，用戶在訪問重要的業務應用前，都需要通過USB-Key認證。而且，從表1對幾種認證方式的比較可以看出，安全性最高的是USB-Key和動態口令認證方式。所以，在報社的虛擬化應用上，采用USB-Key認證就能保證所有業務應用系統在認證方式上的統一性。相比較而言，USB-Key認證方式性價比高，而且USB接口又有通用性，因此USB-Key認證技術最適合應用推廣。由于USB-Key具有安全可靠、便于攜帶、使用方便、成本低廉的優點，加上PKI體系完善的數據保護機制，使用USB-Key存儲數字證書的認證方式已經成為目前主要的認證模式。報社用戶通過互聯網，使用智能手機、PDA等沒有USB接口的設備，遠程登錄虛擬化應用時，可以使用USB接口的轉接線，把設備上的接口轉換成USB接口，就可以繼續使用USB-Key的認證方式。（3）遠程安全桌面應用。圖5安全桌面應用原理圖訪問虛擬化應用的用戶，無論是用USB-Key認證方式，還是用“用戶名密碼”方式登入虛擬化應用系統時，經常會把報社內網中的資源下載到本地電腦中，其中可能會包含有涉及到單位的敏感信息，這些信息又極易被黑客和不法分子獲取，若散播到互聯網上，會對報社帶來極壞的影響。而安全桌面技術的應用可以很好的解決這一問題。安全桌面技術可以防止重要數據留存在用戶終端而泄露的風險。所有和虛擬化應用服務器發生的訪問行為和傳輸的應用數據都將置于該安全桌面中，此安全桌面中的所有數據均無法存儲到本機、無法拷貝到U盤等外設設備、無法通過局域網和互聯網外發，任何方式都無法將數據從安全桌面內泄漏出去。當用戶關閉安全桌面后，其中的所有數據將一并銷毀，從而徹底保障重要數據被終端訪問時的高安全性。（4）DMZ區部署七層防火墻。目前，報社部署的防火墻都是傳統的防火墻設備，在性能、帶寬和安全性上已遠遠不能滿足虛擬化應用的各項需求，不能夠在應用層面上對傳輸的數據進行攔截和監控。從圖1中可以看出，互聯網上的用戶訪問報社內部的虛擬化應用的所有數據，都必須通過兩臺防火墻設備FW-A和FW-B，所以防火墻設備性能的優劣，將會對虛擬化應用的安全起到決定性作用。七層防火墻增強了允許通過防火墻的數據包的安全性，因為網絡安全的真實需求是，既要保證網絡安全，也必須保證應用的正常運行。它主要是基于應用層開發的新一代防火墻，與傳統防火墻相比它可以針對豐富的應用提供完整的、可視化的內容安全保護方案。解決了傳統安全設備在應用可視化、應用管控、應用防護處理方面的巨大不足，并且滿足了同時開啟所有功能后性能不會大幅下降的要求。它既滿足了普遍互聯網邊界行為管控的要求，同時還滿足了在內網數據中心和廣域網邊界的部署要求，可以識別和控制豐富的內網應用。在圖1所示的網絡中部署七層防火墻后，可以識別出互聯網上訪問虛擬化的各種應用及其應用動作，識別出用戶IP地址對應的多種信息，并建立組織的用戶分組結構，這將會大大提高報社互聯網用戶訪問虛擬化應用的安全性。