客户端操作系统虚拟化加强服务器安全服务器教程

以下是小编收集整理的客户端操作系统虚拟化加强服务器安全服务器教程，本文共4篇，仅供参考，希望对大家有所帮助。本文原稿由网友“fdfghfg”提供。

篇1：客户端操作系统虚拟化加强服务器安全服务器教程

一项加强服务器安全的新技术就是“客户端操作系统虚拟化”---它的原理就是使用一个特殊的虚拟化引擎来使一个虚拟化的来宾实例运转，或者是使在一个顶层的物理结构和主机实例上的操作系统客户端实例运转，

在客户端虚拟化操作系统中，主机把它的资源大体上划分成几个独立的部分，由这些不同的部分共同来支持不同的操作系统和不同的应用。一个虚拟机就是一个设备齐全的操作系统环境，它运行在虚拟层的顶层，并扮演着一个独立的计算机角色。

微软公司提供了商业用途的免费版本，它们是“虚拟机服务器 R2”和“虚拟PC机”。VMware也发行了几款免费版本的虚拟机服务，例如有VMware Server，还有“WORKSTATION 6.0”，它可以运行在普通的PC机上;另外还有Virtual Infrastructure 3.x or ESX Server 3.x，这是VMware公司最全面的解决方案;最后就是“虚拟桌面结构”(简称VDI)，它可以把桌面环境进行虚拟化。

其他的厂商也提供了一些客户端操作系统虚拟化的解决方案，其中包括SWsoft，Virtual Iron 和 XenSource。例如，Linux的任何Xen版本都包括有一个核心的虚拟引擎。XenSource也提供了单机的虚拟化工具，而Virtual Iron和SWsoft公司也提供了这样的工具。关于XenSource最有趣的事情是，他们和微软公司一样，都是运行一个相同的虚拟机的格式，并且都保证您可以进行从一个虚拟机的解决方案迁移到另外的一台虚拟机上的操作。

操作系统虚拟化把操作系统本身从硬盘上解放出来

客户端操作系统虚拟化具有如此强大的作用的原因是，它把操作系统本身从正在运行的硬盘上“解放”出来。毕竟，一个虚拟机其实只不过就是一个文件夹下的一整套文件而已，如下图的目录图所示。

这些文件主要是由一些配置信息、虚拟硬盘驱动器和内存文件组成，如下面的表格所示。

文件类型

微软公司

VMware公司

配置信息文件

VMC

.VMX

虚拟硬盘驱动器文件

.VHD

.VMDK

内存文件

.VSV

.VMEM

一旦一个客户端操作系统被“解放”，您就能用它做各种各样的事情了。例如，您可以把它从一个主机服务器迁移到另外一个主机服务器上。除此之外，您还可以很容易的就做到保护一个客户端虚拟化操作系统，而做到这些您只需要使用一个复制的引擎来把一台主机信息复制到另外一台主机上去就可以了，甚至是发布在不同的网址上的。使用这项技术可以做的事情真是不胜枚举。

客户端操作系统虚拟化的工具分为几种不同的类型。最常用的工具就是现有操作系统顶部上的一个虚拟化引擎。举个例子，假设您在您的主机上安装了Windows Server，然后不论您是安装微软公司的“虚拟服务器”还是“VMware服务器”后，您都能创建和运行虚拟化的操作系统了。

然而，这种方法更适合用来做测试和在研发环境中使用，而真正谈到了产品系统，那可能就要差很多距离了。在产品环境中，您还得再使用一个虚拟化系统管理程序的工具。一个系统管理程序就是一个最基本的软件，这个软件直接运行在硬件的顶层上，以此来管理不同的虚拟化操作系统，

这个系统管理程序的目的是为虚拟机操作系统揭露硬件资源。

系统管理程序事实上是一些大小在180K到500K之间小代码。由于它的小体积，所以使用起来给人的感觉很不错。

您可以在一个物理设备上同时运行几个不同的虚拟操作系统。平均算来，一个依赖系统管理程序的公司在一个物理设备上可以同时运行10个到20个的虚拟机操作系统。因为它们只不过是一些文件夹下的文件而已，所以虚拟机操作系统可以很轻松的被保护起来，而且可以完全支持商业连续性的各个环节。

软件的厂商们甚至在他们的服务器操作系统上创建自定义特征来使客户端操作系统更加完善。例如，微软公司在带有SP2补丁的Windows Server上添加了新特征来使它和主机进行更好的通讯协作工作。

修补许可证模式

但是使客户端虚拟化操作系统倍受喜爱的原因是，最近一些厂商们对许可证做了一些修改。例如，微软公司修改了服务器操作系统的许可证模式。在旧的许可证模式下，不管是物理实际存在的系统实例还是在虚拟机上存在的实例，您都得为此购买一个Windows的许可证。

但是现在，带有R2企业版本的Windows Server 2003(简称，WS03 R2 EE)，您所购买的每个许可证都可以让您在主机上同时安装、创建和运行四个虚拟机。因此您只需要为您的实际物理操作系统购买一个许可证，然后您就能添加四个免费而且是任何版本的Windows客户端系统。如果您想得到多于四个的虚拟操作系统，那就要为WS03 R2 EE再购买一个许可证就可以了。

除此之外，微软公司撤消了对Windows R2数据中心版本OEM的限制。如果您购买了数据中心版本，您就能运行一个不受数量限制的Windows的虚拟机实例。那么这就好象是圣代冰淇淋最上面的小樱桃一样令人喜爱：而这又与您所使用的是哪个虚拟平台无关。

这个模式的好处就在于它支持更快速度的虚拟机响应，因此您没有必要为许可证的事情而担忧了。仔细考虑一下这个问题。当您把它安装在一个虚拟实例上而不是在一个物理主机上的时候，可以得到WS03版本的75%的购买折扣。这使得通过虚拟机操作系统加固服务器变得更加的令人满意。

微软公司在关于授予给服务器许可证的技术上还做出了一些改变。最简单的计算您所需要许可证数量的方法就是使用微软现在所提供的“Windows服务器虚拟机计算器”，它有两种方法，您可以选择使用其中的一个。

当您创建一个虚拟化主机的时候，第一个“计算器”可以配置您的基于虚拟化技术的服务器、sockets程序和群集需求。

第二个计算器让您对Windows Server版本估算许可证的数量和花费。它给您提供了两种选择：

1. 选项A根据在您网络中存在服务器的数量来计算可运行在每个服务器上虚拟机的平均数量。

2. 选项B根据在每个服务器上的处理器的数量，计算了针对于每个个体服务器可运行虚拟机的数量。

微软公司并不是唯一一个在进行许可证修改的公司，其他一些厂商们也很赞同虚拟运行模式并且在他们的许可证计划中可见一斑。首先在您决定把一个服务器产品虚拟化之前，一定要和您的软件提供商谈好这个问题。

这篇文章是关于服务器加固的四篇文章中最后的一篇。第一篇文章，讲述了关于“使IT管理员们五步就能管理好服务器的加固的方法”。第二篇文章讲述了关于“控制花费是服务器加固的第一步”，在这篇文章中讨论了控制IT花费应该优先于服务器的加固工程。第三篇文章，讨论了“多核处理器和64位服务器”在当今服务器安全加固中所起到的重要作用。

64位服务器技术、多核处理器、虚拟化操作系统和操作系统许可证模式的修改，它们使得迁移虚拟化的服务器变得非常引人注目。因为服务器加固的目标是减少服务器的增殖负担，所以在我们的加固工程完成之前，您还得使用一些其他的技术。毕竟，如果您一旦把操作系统的每个物理实例进行虚拟化后，那么就相当于既要管理好实际的主机操作系统，又要管理好比现在数量更多的客户端虚拟化操作系统了。

来源：TechTarget  作者：Danielle Ruest  责编：豆豆技术应用

篇2：浅析服务器虚拟化技术及其安全性论文

浅析服务器虚拟化技术及其安全性论文

摘要：随着计算机技术的发展, 企业、机关单位、政府等数据中心产生的数据越来越多, 服务器以及数据中心每年的电费以及维修费用不断上涨, 然而高投入并没有取得良好的效果。将虚拟化技术应用在服务器中, 能提高硬件资源利用率, 降低管理和维修成本。本文主要分析了服务器虚拟化技术内容、服务器虚拟化存在的安全风险, 并根据这些安全风险, 采取相应的措施, 提高服务器的安全等级, 确保服务器运行安全。

关键词：服务器; 虚拟化技术; 安全风险;

1 服务器虚拟化技术的内容

1.1 全虚拟化

全虚拟化技术又叫硬件辅助虚拟化技术, 是通过BDT和直接执行技术实现的, BDT在虚拟机运行时, 一些敏感指令会在指令到达之前陷入到其他指令中, 将这些敏感执行命令插入到VMM中, VMM技术将这些动态指令转化为具有相同功能的指令, 按照顺序直接访问计算机虚拟硬件。从这也可以看出, 在全虚拟化技术中, 计算机用户所有的指令都是通过CPU运行的, 计算机操作系统从虚拟层硬件中抽离出来。全虚拟化技术也是唯一一个不需要硬件或者操作系统协助完成敏感指令虚拟化技术。

1.2 半虚拟化

半虚拟化技术需要修改计算机用户的操作系统内核, 替换不能虚拟化的指令, 并通过Hypervisor完成敏感指令的调用。在半虚拟化技术中, 计算机操作系统还要与虚拟化平台兼容, 否则虚拟机无法有效的操作宿主的计算机。

1.3 硬件辅助虚拟化

虚拟化技术的应用给CPU的运行增加了新的模式―Root, 这种模式下, VMM可以在Root模式下运行, 而Root模式建立在Ring O下, 敏感指令可以直接在Hypervisor执行, 不需要BT或者半虚拟技术, 计算机用户只要将操作系统状态保存在虚拟机控制结构中或者虚拟机控制模块中。

2 服务器虚拟化存在的安全风险

与传统的服务器运行模式相比, 服务器虚拟技术在物理硬件和虚拟服务器之间引入了虚拟层, 也就是虚拟机监控器。虚拟技术的应用也给服务器的安全带来了一定的风险。具体体现在以下几个方面:第一, VMM为虚拟机提供统一的资源抽象, 资源共享技术的出现增加了服务器运行的安全风险。此外, VMM理论还不够成熟, VMM出现系统漏洞时, 很容易受到hacker的攻击和病毒的感染, hacker可以直接进入到数据中心的主机系统, 随意篡改数据库的数据, 给虚拟机的运行带来了极大地安全隐患。第二, 随着计算机技术的进入, 网络边界逐渐消失, 服务器和网络逐渐融合, 在这种融合模式下, 每一个虚拟机都需要一套相对完整的防护产品保护虚拟机。使用这种新的网络模型, 将计算机十几个操作系统用虚拟机形式展现在服务器上, 虚拟机可以共享十几个操作系统的数据资料, 一旦一台计算机操作系统出现问题, 可能影响整个网络系统和其他虚拟机。第三, 由于虚拟化技术的优越性, 越来越多的企业使用虚拟机, 造成虚拟机滥用现象, 影响到物理主机CPU和网络资源, 造成计算机服务器运行负荷过重, 造成计算机操作系统崩溃或者虚拟应用中断等现象。

3 服务器虚拟化安全应对措施

虚拟化技术安全风险除了遇到病毒、木马的入侵以及恶意软件的感染等因素, 还会造成服务器负荷过重, 影响计算机运行的`速度和效率。因此必须采取有效的措施:第一, 针对共享技术带来的安全风险, 可以提高VMM安全策略。根据数据中心资料的重要性, 建立安全等级防御系统。并优化虚拟机的隔离和封装制度, 加强服务器内部的保护, 严格控制审计未通过的浏览和访问。第二, 为了解决虚拟机网络内部攻击现象, 程序设计时要根据虚拟机的重要性划分等级, 安全等级比较高的虚拟机要及时备份数据, 并采取隔离措施。创立虚拟机防护边界和安全防火墙, 防止恶意攻击和访问服务器系统。第三, 为了解决虚拟机滥用这个问题, 要加强服务器数据资源的容量分析和数据监控, 服务器资源要定期进行汇报, 一旦出现安全风险或者恶意入侵, 系统能自动发出警报, 以便维护人员第一时间掌握服务器情况。同时, 企业要加强管理人员的安全意识, 对服务器的访问、跟踪和审计等做好安全防护措施, 严格设置业务逻辑访问控制策略, 提高虚拟机网络的安全性和可靠性。

4 结语

服务器虚拟技术在网络技术中应用十分广泛, 服务器虚拟技术能降低用户硬件成本, 最大限度利用硬件资源, 让计算机系统变得更加简洁, 便于用户安装、使用和管理。但是近年来的网络安全问题使得服务器虚拟化技术的安全性成为社会关注的焦点。通过提高安全等级, 制定访问控制策略, 提高虚拟机的安全性。

参考文献

[1]伊波.服务器虚拟化技术及安全研究[J].神州 (中旬刊) , , (2) :49-49.

[2]彭锦.服务器虚拟化技术及安全性探讨[J].通讯世界, , (9) :193-193.

[3]关庆娟, 杨燕梅, 吾湖兰・吾拉木, 等.服务器虚拟化技术在数字图书馆中的研究进展[J].福建电脑, , 30 (3) :15-17.

篇3：如何打造最安全的服务器虚拟化环境

服务器虚拟化不只是服务器与储存厂商提出具体的数据保护方案，现在，网络安全设备厂商也陆续推出虚拟化的相关产品，我们将告诉你在安全防护上该注意的所有事项。

服务器虚拟化是IT基础架构得以资源共享、共享的作法，也是未来机房的重要元素之一，然而，在整个环境移转的过程中，稍有不慎就会造成危害。今天我们将告诉告诉你虚拟化在安全防护上应注意的事项。

全面检查虚拟机器的安全性做法

服务器虚拟化是构成未来新一代企业机房的重要元素之一，由于硬件效能的突飞猛进，使得在一台服务器上同时执行多个操作系统、提供服务成为可能。然而，在整个环境移转的过程中，有许多安全上的问题也会随之产生，稍有不慎就会造成危害，而影响到日常的营运。

许多人认为「虚拟化是实体环境的应用延伸，对于虚拟机器的安全防护只需要采用现有的做法管理即可……」，这个观点从某些方面来说是正确的，但实际上两者之间仍有着诸多差异之处，如果未能及时正视这些差异，就有可能因此产生安全问题。

网络架构因虚拟化而产生质变

网络架构是服务器虚拟化的过程中，变动最大的一环，也是最有可能产生安全问题的关键所在，

尚未移转到虚拟化之前，企业可以在前端的防火墙设备上订立出多个隔离区，针对不同功能的服务器个别套用合适的存取规则进行管理，假使日后有服务器不幸遭到攻击，危害通常也仅局限在单一个DMZ区之内，不容易对于所有运作中的服务器都造成影响。

虚拟化之后，所有的虚拟机器很可能就集中连接到同一台虚拟交换器(如VMware ESX/ESXi，微软的Hyper-V)，或者由「虚拟──实体」网卡之间的桥接(如VMware Server/Workstation，微软的Virtual Server/PC)，与外部网络进行通讯。在这种架构之下，原本可以透过防火墙采取阻隔的防护就会消失不见，届时只要一台虚拟机器发生问题，安全威胁就可以透过网络散布到其它的虚拟机器。

要解决上述问题的最简单做法，就是在每一台虚拟机器上都安装防毒软件，以及其它种类的杀毒软件。不过如此一来，却又可能衍生出一些管理上的疑虑，例如应用程序与杀毒软件之间的兼容性问题即同样可能在虚拟机器的环境下发生。

此外，虚拟机器安装杀毒软件后的运作效能，也值得企业加以注意，过去在一台实体主机上安装防毒软件，几十MB的内存使用量不会是太大的问题，但是在虚拟化的环境下，多台虚拟机器累积下来，就可能占用到相当可观的硬件资源，因此需要寻求其它做法加以因应解决，才能做好虚拟平台上的安全控管。

篇4：五大绝招策略 教你如何解除服务器虚拟化安全隐患

服务器虚拟化正在推动着当前的数据中心改造，这种技术提高了可用性，减少IT成本和支持未来的业务增长。服务器虚拟化能够让机构更好地准备好应对更广泛的云计算机会和基于服务的计算机会。在降低成本的同时提高效率的需求正在推动虚拟化技术的迅速应用。

在不确定的经济情况下，服务器虚拟化仍在继续增长。然而，虚拟化的快速应用能够引起颠覆性的特征(也就是说完全改造的基础设施和提供新的模式)，改变数据中心自然的秩序和引起安全问题。

企业保护自己的虚拟服务器环境的安全是非常重要的，特别是虚拟化不仅已经在服务器中更普遍的应用，而且在存储、操作系统、台式电脑和网络资源等方面也在广泛应用。下面看一下机构担心的虚拟服务安全的主要问题，以及如何更好地控制这些问题，同时为虚拟化进一步向数据中心普及做好准备。

解除服务器虚拟化安全隐患之管理、责任和政策

管理虚拟化的主要问题是谁负责虚拟资源。与物理服务器不同，物理服务器由在这个物理区域的管理员直接负责，虚拟服务器的责任通常是不明确的。当涉及到虚拟化的时候，会出现如下问题：谁负责、谁应该拥有访问权、谁应该配置和保证这个环境的安全?这个责任是应该由业务部门、服务器管理员还是一个集中的主管理员负责?

当设法解决这些问题时，遵循的一个简单的规则是对待重要的虚拟服务器应该像对待物理服务器一样采取同样的控制措施。例如，如果你没有把你的SAP服务器的根口令提供给主要管理员以外的其他人，对于你的虚拟SAP服务器也要制定同样的规则。

应用安全虚拟解决方案定义和管理整个新的环境中的政策。当遇到虚拟安全的问题时，IT管理员需要制定正确的政策安全地保护自己的系统。然而，这些政策必须足够灵活以保证它们没有太多的限制。IT管理员需要询问使用当前的安全政策是否可以实现服务器虚拟化的全部好处。一个理想的解决方案是通过保证虚拟化不绕过现有的安全控制措施让用户保持对自己的基础设施的控制。这需要高水平的集中批准和控制。

解除服务器虚拟化安全隐患之遵守法规

随着一些虚拟服务器变成拥有极少控制的看不见的网络，就会出现遵守法规的问题。对于没有专门负责监视每一台主机内部虚拟机的全部互动情况的数据中心管理员来说，这是很成问题的。随着虚拟化继续向主流应用发展，有许多遵守法规的强制规定将不可避免地影响到虚拟化的应用。

在零售行业，定义信用卡处理的规定(PCI-DSS要求2.2.1)要求企业每台服务器仅执行一项功能。这使人们对这个规定有许多解释。有些零售商也许把这个规定解释为每台物理服务器仅执行一项任务。有些企业仅把这项规定严格地限制在部署虚拟服务器方面。由于标准含糊不清，单个的企业正在采取不同的方式使用虚拟化技术处理信用卡信息。这会暴露持卡人的数据和没有使用新的行业规定遵守法规，从而引起企业的风险。使用一个有经验的综合者解决这个问题。PCI安全标准委员会最近恢复了一个特别兴趣组，以澄清审计人员和用户在虚拟化方面遇到的一些问题，

这个兴趣组将在2009年年底之前提供第一轮建议。

在处理服务器虚拟化的遵守法规的问题，企业需要理解自己的风险。建立一个安全的审计跟踪作为遵守内部和外部审计者规定的证明，实时报警和联合流程仍是虚拟环境优先考虑的事情。如果一家公司能够现实地处理自己的风险，它就很容易解决审计者担心的问题并且保证能够修复任何问题。

随着他们允许机构保持老式的服务、操作系统和应用程序，同时继续推进数据中心优化的努力，虚拟机将更加流行。因此，没有一个管理这些老式系统的撤销过程的明确的计划，就会存在风险并且会给企业带来新的重大安全风险。有一种推测认为，老式系统中使用的安全措施能够在虚拟化环境中提供同样的安全保护。企业把老式的安全措施当作安全系统是不安全的，不会以同样的方式发挥作用，从而使企业容易遭到安全攻击。

解除服务器虚拟化安全隐患之保证虚拟化安全并监视虚拟化

把服务器虚拟化推广到生产环境的一个重要挑战是保证平台的安全并且进行监视以便解决安全漏洞。与在裸机上运行的操作系统/应用程序不同，在一个虚拟化平台上运行的虚拟机是这个系统的活动部件。虚拟机管理员能够复制和把虚拟机镜像从一台服务器迁移到另一台服务器，在迁移中携带那个虚拟机、操作系统和支持的应用程序等全部内容。IT部门还能够在运行状态暂停、拷贝和把虚拟机从一台服务器迁移到另一台服务器。

当然，这种灵活性还会产生安全漏洞。随着虚拟机的不断的上线和下线，或者根据需要从一台服务器迁移到另一台服务器，安全控制措施需要反映这些变化。此外，随着虚拟机从一台服务器迁移到另一台服务器，这些虚拟机也许会为传统的防火墙检测不到的危险和攻击敞开大门。处理这种安全漏洞的一个理想的方法是利用高级记录事件管理技术。这使企业能够监视各种虚拟化基础设施组件以便检测虚拟化平台中将发生什么事情。这包括监视具体的事件、失败的登录和其它可以认为是违法政策的活动。这种技术还能够让机构详细地理解有权限的用户能够对单个虚拟机做什么。

由于虚拟机的设置和运行时间都比传统的物理服务器更短暂，这将引起额外的担心。这产生了一些风险情况。在这种情况中，虚拟机不可能上线进行安全扫描、升级和使用补丁。当发生故障的时候，找到故障原因也是很困难的，因为虚拟机不断地建立和撤销，快照和检查点经常退回重来。机构部署目前可用的软件管理解决方案管理离线虚拟机和物理服务器以避开这些安全问题是非常重要的。

由于数据中心的虚拟机数量比物理服务器的数量多，保证这些虚拟机避免遭到病毒攻击是比较复杂的。由于虚拟机数量更多，病毒能够成倍地传播，攻击的服务器数量要把纯物理服务器环境中攻击的服务器数量多。传统的网络管理工具看不到虚拟机与虚拟机之间的通讯。要在这种情况下提供帮助，不同物理服务器上的虚拟机池需要在自己的专用网络上相互沟通，能够完全访问共同身份识别和加密等安全功能。

虚拟机镜像将保留在文件中。结果，由于这些文件很容易复制，这就增加了风险。有一些可用的选择可以管理这些特殊问题。虚拟机镜像本身中的秘密数据不应该轻松地访问。最起码的是企业应该加密这些数据或者把这些数据存储到其它的存储位置(这可以是虚拟的或者物理的)。此外，加强管理来自网络的虚拟机镜像能够更严格进行控制，保证最低限度地访问这些镜像和增加身份识别。

三层核心+防火墙服务器教程

linux ftp服务器架设配置教程

WIN技巧：用WINServer03搭建安全服务器

Windows系统防ARP攻击的几种方法总结Windows服务器操作系统

Adaptive Server Anywhere数据库服务器

客户端操作系统虚拟化加强服务器安全服务器教程.doc

将本文的Word文档下载到电脑，方便收藏和打印

推荐度：

点击下载文档