如何改善 Hyper-V 虚拟网络环境的安全性

cheng029

  

  

当人们提及虚拟交换机的时候，首先在您脑海出现的是否是一个放置于服务器

  

机架顶端的，有 1U 或 2U 高，外观为黑色或深绿色的盒子？传统交换机厂商 Cisco,

  

3Com  或  Juniper 提供这种用于完成 IT 系统内部连接的网络架构产品。在这些网络

  

设备的硬件内集成有成熟的网络处理操作系统（Internetwork Operating

  

System），用于完成用户生产环境中所需的复杂路由、交换和访问控制等功能。

  

  

  

在现有的任何一种技术下，用虚拟交换机去完全地模拟物理交换机还仅仅处于

  

设想阶段。而虚拟化平台内部的虚拟机交换机已经和物理交换机功能非常的相似，

  

只是现在它还仅能作为物理服务器连接子网的一部分提供补充功能。本文中将要涉

  

及的是在 Microsoft Hyper-V 环境中这种技术可能面临的一些问题。

  

  

  

    简言之，虚拟网络并不等同于物理网络，我们需要对虚拟网络安全性保障方面

  

给予更多的关注。首先，Hyper-V 的虚拟机交换机是“Learning Layer 2”设备，

  

这指的是它们只能对基于介质访问控制地址（Media Access Control addresses）

  

的数据包做路由。这也意味着 Hyper-V 的虚拟交换机不能识别和处理，基于更先进

  

的 IP  地址方式的路由和数据访问控制功能，而这种方式在现在的 Layer 3 物理交

  

换机上已经非常的普遍。从原理上看是因为在现有技术下，访问控制列表（ACL

  

access  control list）还无法被应用于 Hyper-V 内部的虚拟交换机上。

  

  

  

Hyper-V  的虚拟交换机还有一些其它功能限制，这是由于它缺乏对第三方监控

  

和虚拟网络流量管理功能的支持而导致的。一旦数据流从物理网络进入到  Hyper-V

  

的内部虚拟网络中，它就失去了所有来自外部的入侵防护和流量检测功能。

  

  

  

  因此，Hyper-V 网络环境需要通过一些配置技巧来复制那些在物理服务器中所

  

具有的高级安全功能。首先，用于限制到 Hyper-V 宿主机端口流量的访问控制列表

  

（ACLs）需要重新设置，使其仅支持来自物理网络架构中的数据访问。而位于同一

  

台主机上的虚拟机之间的会话则不会受到那些基于网络的访问控制列表的限制。如

  

果在安全法规中有要求的话，还需要为每台虚拟机单独安装操作系统层防火墙和流

  

量监测软件。

  

  

  

在微软的 Hyper-V 安全指南中也强烈建议用户保留独立的网卡设备，用于宿主

  

机主分区（primary partition,即管理操作系统所在的分区）到网络的连接。通过

  

这种方式，可以使位于主分区上操作系统的网络流量和子虚拟机的网络流量接口层

  

相分离。从安全的角度考虑，我们认为子虚拟机访问流量的安全级别往往比主分区

  

的要低，因为必须首先保证主分区的安全才能使其上的子虚拟机保持正常运行。那

  

  

  

Www.yunvn.com YunVN 运维网 运维管理专家

  

  

  

Page 12 of 32

  

  

  

些对安全级别要求较高的环境中可能会更加严格，对于主分区网络流量不仅仅要限

  

制在自有的网卡接口上，而且要位于独有的受保护的子网中。

  

  

  

    微软在 Windows Server 2008  R2 版本中，引入了一项新的虚拟机交换机管理

  

设置，从而加强了 Hyper-V 的安全性。在 R2 版本的 Hyper-V Virtual Network

  

Manager  中加入了一个新的复选框“Allow management operating system to

  

share  this network adapter（允许管理操作系统共享该网络适配器）”。通过这

  

个选项进一步确保管理操作系统流量和虚拟机流量的分离。在不勾选该项的情况

  

下，主操作系统分区就无法访问创建的虚拟网络。

  

  

  

在需要实现高可用的 Hyper-V 环境中，还需要在集群节点间实现一定形式的存

  

储共享。在很多情况下，都是通过安装基于  iSCSI 接口的存储区域网络（SAN）架

  

构以满足 Hyper-V 虚拟机的存储需求。那么，最佳的做法就是始终保持 iSCSI 网络

  

流量和生产环境网络流量的分离。同时，iSCSI 流量通常还应该位于一个独立的子

  

网中，以防止在网络拥挤时出现拒绝服务的情况，而且也便于将来把各种不同类型

  

的网络流量相互分离。

  

  

  

    很多用户尝试通过网络接口间的聚合（teaming）来提高系统可用性。在这方

  

面，微软本身并不提供用于实现高可用的网卡聚合功能。而这一点也是众多媒体经

  

常批判的，关于生产环境中应用 Hyper-V 架构所具有的重大缺陷之一。但是，我们

  

需要注意到微软从未对端口聚合做支持，包括在物理环境中。而在这点上，像

  

Dell  和  HP 这样的供应商多年来一直在坚持开发自己的支持负载均衡的网卡聚合驱

  

动程序，而这些驱动有很多也可以用于 Hyper-V 环境中。很明显，作为用户我们需

  

要去区分各 OEM 供应商所能提供的这类驱动的支持级别。

  

  

  

    简言之，当我们的 Hyper-V 宿主机拥有足够多的物理网卡接口时，迁移到

  

Hyper-V  虚拟机环境的工作就会变得很简单。我们也可以看到一些公司采用了带有

  

10  个网卡接口的  Hyper-V 宿主机，除了现在通用的主板自带的两个网卡接口之

  

外，加入两块四端口的物理网卡实现总计 10 个物理端口。拥有这么多的物理网卡

  

接口可以确保满足冗余的生产网络、存储网络和管理网络分离的需求，另外还有部

  

分预留的接口可以做很多“有趣的”网络设置，从而满足将来可能增长的需求。

  

  

  

网络具有潜在的风险，而在托管的虚拟机如何适应  Hyper-V 宿主机上也存在潜

  

在的风险。尤其在为满足故障切换和负载均衡需求而设置的，可以支持虚拟机在线

  

迁移的集群环境中，虚拟机的托管带来的安全性以及和  IT 架构的兼容性问题都是

  

需要特别关注的。请关注这一系列文章的下一篇，您将了解到更多相关内容。

  

fjptec-xm

不错不错，楼主您辛苦了。。。 SO娱乐城：真_人.足球.彩票齐全| 开户送10元.首存送58元.手机可投︵注任何游戏顶级信用︵提现即时到账SO.CC

andy27367451

女，喜甜食，甚胖!该女有一癖好：痛恨蚂蚁，见必杀之。问其故曰：这小东西，那么爱吃甜食，腰还那么细! SO娱乐城：真_人.足球.彩票齐全| 开户送10元.首存送58元.手机可投Ｅ注任何游戏顶级信用Ｅ提现即时到账SO.CC

wzh789

自从我变成了狗屎,就再也没有人踩在我头上了。 SO娱乐城：真_人.足球.彩票齐全| 开户送10元.首存送58元.手机可投卍注任何游戏顶级信用卍提现即时到账SO.CC

阿尔哦覅和

学习了，不错，讲的太有道理了 SO娱乐城：真_人.足球.彩票齐全| 开户送10元.首存送58元.手机可投Ｘ注任何游戏顶级信用Ｘ提现即时到账SO.CC

sqtsqt

此地禁止大小便，违者没收工具。 SO娱乐城：真_人.足球.彩票齐全| 开户送10元.首存送58元.手机可投┳注任何游戏顶级信用┳提现即时到账SO.CC

luoson1

写的真的很不错 SO娱乐城：真_人.足球.彩票齐全| 开户送10元.首存送58元.手机可投∮注任何游戏顶级信用∮提现即时到账SO.CC