如何配置虚拟主机:如何安全配置虚拟化

Exactech的网络管理员Craig Bush表示：“之所以我们暂时不考虑采用服务器虚拟化技术就是因为我听说了虚拟管理器可能带来的安全风险。”以下是目前人们在虚拟环境下最为关注的四个安全问题：1、虚拟机可能带来的安全问题IT经理们担心针对虚拟机的安全攻击可能会影响到在同一主机环境下的虚拟机。如果一台虚拟机可以“避开”他所处的独立环境而与配套的虚拟管理器协同工作的话，那么攻击者就无法攻进管理其他虚拟机的虚拟管理器，也就不必专门针对保护虚拟机而进行安全控制了。“虚拟世界中安全问题的尚方宝剑就是避开虚拟机，掌握对虚拟机和虚拟环境的控制。”Burton Group高级分析师Pete Lindstrom最近在一个有关虚拟化技术安全问题的网络广播中这样说道。虽然已经有了许多尝试这种避开虚拟机的例子，但是还有人指出目前还没有出现在虚拟机安全方面发生的灾难故障。Catapult Systems公司咨询师Steve Ross表示：“在我看来，目前还没有哪个黑客可以通过虚拟管理器将安全问题从一个虚拟主机上转移到另一个虚拟主机上。”美国缅因州Bowdoin College大学系统工程师Tim Antonowicz表示：“也许这种情况会发生，黑客或者攻击者可能从一个虚拟机上转移到另一个虚拟机，但是到目前为止我还没有发现有任何的功能中断情况。”Antonowicz应用了VMware ESX来进行服务器虚拟化，他根据虚拟机上的数据信息和应用的灵敏性程度，将虚拟机从资源集群中隔离出来，从而将安全隐患降到最低水平。他说：“你不得不以这种方式将虚拟机隔离开来，这样才能加强安全性。”美国芝加哥Carscom公司技术 *** 作总监Edward Christensen也采取相同的做法对架构中的虚拟机进行隔离。他说：“确保IT环境安全的通常做法就是在数据库和应用层之间建立防火墙。但是当你处在虚拟环境下，问题就复杂多了。”这家在线汽车公司使用虚拟机来对其配置的惠普服务器进行虚拟化，在网络外存储虚拟环境可以从一定程度上缓解安全问题。2、为虚拟机打补丁虚拟机的普及会带来一个问题：虚拟机开发的简易性会导致更多预期之外的应用实例出现，尤其是在虚拟环境下对 *** 作系统的升级和更新。Burton Group分析师Lindstrom表示：“因为这些虚拟机并不是固定的，所以为这些虚拟机打补丁成为一个严峻挑战，在虚拟世界中确保一台虚拟机上的补丁程序的合法化是非常重要的。”IT经理都表示认同打补丁是虚拟环境下一项重要工作，但是他们之间的分歧主要集中在为虚拟服务器打补丁和为物理服务器打补丁并不是一个安全问题，而是卷容量问题。Catapult公司分析师Ross表示：“我们需要谨记一点，虚拟服务器和物理服务器一样需要进行补丁管理和补丁维护。”Transplace有三种虚拟环境，其中两个是在网络中而另一个是在DMZ中(包括大约150台虚拟机)，“虚拟管理器为升级更新添加了新的层，但是打补丁这项工作无论在虚拟机还是物理机上都是十分重要的。”在Antonowicz看来，现在虚拟机普遍应用之后首先要面临一个优先考虑的问题，因为当在他直接管理下的虚拟机数量增加时，也就意味着为虚拟机打补丁所花费的时间更长了。早过去，他要给40台服务器打补丁，而现在这个数量增加到了80台，他希望有一天能够使用一款专门的工具来自动完成这个打补丁的工作。他说：“如果不加以强行控制的话，虚拟环境就会疯涨。在我们引进更多的虚拟机设备前，我希望业内能够推出一款专门打补丁的自动化工具。”3、在DMZ上运行虚拟机通常许多IT经理都会避免将虚拟服务器在DMZ中运行，而其他IT经理则不会在DMZ或那些被企业级防火墙保护的虚拟机中运行关键业务应用。但是Burton Group分析师Lindstrom指出，只要有适当的安全保护措施，用户完全可以将虚拟服务器在DMZ中运行。他说：“只要防火墙或其他独立设备是物理环境下的，你就可以在DMZ中应用虚拟化技术。大多数情况下，只要你将资源分离开，就可以放心的运行应用了。”许多IT经理都开始着手将他们的虚拟服务器进行分离，并设置在企业级防火墙的保护下。Transplace公司IT架构总监Scott Engle认为，有价值的东西都在防火墙保护下，那些在DMZ中运行的虚拟机应用包括DNS等服务。Engle表示：“我们在托管主机中运行虚拟机。在DMZ中，我们将运行带有少量VMware实例的物理服务器，但是我们不会将托管服务器和未托管网络连接起来。”4、新引入的虚拟管理器技术可能会让黑客有机可乘任何一套新的 *** 作系统都可能有很多漏洞，这也就意味着黑客们也会极力找出虚拟 *** 作系统致命弱点以发出安全攻击。业内观察家建议安全经理应该谨慎对待虚拟 *** 作系统，这些虚拟 *** 作系统可能带来的安全隐患恐怕不是所有手动 *** 作都能解决的。Ptak,Noel and Associates的首席分析师Richard L Ptak表示：“虚拟系统实际上是一套全新的 *** 作系统，可以实现底层硬件和环境的紧密交互源码天空，可能带来的管理换乱问题不容忽视。”但是，虚拟管理器可能带来的安全隐患也许比人们想象中的少。像VMware等公司都开始致力于最大程度上降低虚拟管理器技术可能存在的安全漏洞。Internet Research Group首席分析师Peter Christy表示：“VMware此举是一个很好的示范。但是一个管理器仅仅是出于表层的一小部分代码，要比确保8000万行代码的安全性要容易多了。”

域名服务器DNS的设置实验
DNS
(Domain Name System)是域名系统的缩写，在Internet上域名与IP地址之间是一对一(或者多对一)的，域名便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，
DNS就是进行域名解析的服务器，俗称域名服务器，其主要功能是把便于人们记忆的域名解析成IP地址。
目前国际域名的DNS必须在国际域名注册商处注册，国内域名的DNS必须在CNNIC注册，注册需交一定的费用。
学生在机房上机做DNS实验，不可能每人都去申请域名，就是有域名，机房都使用临时IP地址，而域名服务器的先决条件之一就是必须有静态固定IP地址。如何让学生使用机房的临时IP地址，每人都能够设置DNS服务器，且能进行域名解析呢？可采取以下措施。
1．把机房的临时IP地址当做静态IP地址使用。每台机器有一固定Ip地址，打开该机的虚拟机系统(windows 2000
Server系统 或windows Server 2003系统，Win XP无服务器设置功能)，设置虚拟机系统IP
=物理机末位+70。在虚拟机上设置DNS服务器，域名取dbcom(为机号)。
2．使用Internet信息服务管理器的创建Web功能，建一小网站，指向事先建好的一模拟小网站(该网站可正常打开，运行、浏览正常)，其主机域名使用DNS的域名，其IP地址与域名服务器为同一IP地址。
3．把物理机当登录客户，在物理机的IE浏览器地址栏输入模拟网站的域名，经虚拟机的DNS解析，即可登录打开虚拟机的摸拟网站。用Ping命令测试>配置重试次数和重试间隔
如果无法在第一次尝试时传递邮件，则 Microsoft 简单邮件传输协议 (SMTP) 服务会在指定时间后再次从队列目录发送该邮件。可以设置传递尝试之间的时间间隔，还可以指定尝试传递邮件的次数。达到限制后，会将未送达报告 (NDR) 和邮件发送到 Badmail（死信）目录中。
可以使用这些设置提高服务器输出速度，但这些设置只影响传出邮件，对其他服务器处理传入邮件的速度不会有任何影响。要配置这些设置，请按照下列步骤 *** 作：
在 Microsoft 管理控制台 (MMC) 中，单击以选中 SMTP 虚拟服务器，然后在 *** 作菜单上，单击属性。
单击传递选项卡。
在第一次重试间隔(分钟)中，键入在发布第一个通知之前尝试传递的时间值。默认值为 15 分钟。
在第二次重试间隔(分钟)中，键入在发布第二个通知之前尝试传递的时间值。默认值为 30 分钟，即第一次重试间隔后 30 分钟。
在第三次重试间隔(分钟)中，键入在发布第三个通知之前尝试传递的时间值。默认值为 60 分钟，即第二次重试间隔后 60 分钟。
在后续重试间隔(分钟)中，键入在发布通知之前尝试传递的时间值。默认值为 240 分钟。
设置邮件的跃点计数
传递邮件时，邮件在到达其最终目标之前可能被路由到多个服务器上。可以指定允许邮件通过的服务器数目。这称为跃点计数。要设置邮件的跃点计数，请按照下列步骤 *** 作：
在 MMC 中，单击以选中 SMTP 虚拟服务器，然后在 *** 作菜单上，单击属性。
在传递选项卡上，单击高级以打开高级传递对话框。
在最大跃点计数中，键入邮件可以通过的源服务器和目标服务器之间的跃点的数值。默认值为 15 个跃点。
注意：设置跃点计数后，SMTP 服务器将计算邮件头的已接收字段中列出的跃点。如果已接收字段中的数目超出最大跃点计数设置，邮件就会返回给发件人，并随附一个 NDR。
设置虚拟域
虚拟域可替换协议中任何发件人行中使用的任意本地域名称。此种替换仅发生在第一个跃点上。
在 MMC 中，单击以选中 SMTP 虚拟服务器，然后在 *** 作菜单上，单击属性。
在传递选项卡上，单击高级以打开高级传递对话框。
在虚拟域中，键入您希望在邮件头中显示的域名，而不是域的真实名称。
注意：对此类邮件的所有答复都是通过使用虚拟域的 SMTP 虚拟服务器进行路由的。
设置完全限定域名
启动时，在系统属性对话框的网络标识选项卡上指定的名称将自动作为完全限定域名 (FQDN)。如果更改此名称（手动或通过加入 Microsoft Windows 2000 域），则在下次重新启动计算机后，新名称将自动用作 FQDN。您不必执行任何 *** 作即可更新虚拟服务器的 FQDN。
要重写网络标识选项卡上自动使用的计算机名和域名，请在高级传递对话框（通过传递选项卡可找到此对话框）中更改 FQDN。这样，Microsoft SMTP 服务将使用指定的名称，而不使用在网络标识选项卡上指定的名称。要设置 FQDN，请按照下列步骤 *** 作：
在 MMC 中，单击以选中 SMTP 虚拟服务器，然后在 *** 作菜单上，单击属性。
在传递选项卡上，单击高级以打开高级传递对话框。
在完全限定的域名中，键入 FQDN。
配置智能主机
可以通过智能主机路由所有要发送到远程域中的传出邮件，而不是将这些邮件直接发送到域。这允许您通过比其他路由更直接或更经济的连接来路由邮件。智能主机类似于远程域的路由域选项。区别是指定智能主机后，所有传出邮件都将路由到该服务器。而使用路由域，则只有发往远程域的邮件路由到特定服务器。
如果设置了智能主机，则仍可以为远程域指定其他路由。路由域设置将重写智能主机设置。要设置智能主机，请按照下列步骤 *** 作：
在 MMC 中，单击以选中 SMTP 虚拟服务器，然后在 *** 作菜单上，单击属性。
在传递选项卡上，单击高级以打开高级传递对话框。
在智能主机中，键入智能主机服务器的名称。可以键入一个字符串来表示名称，也可以键入 IP 地址。
如果想让 Microsoft SMTP 服务在将远程邮件转发给智能主机服务器之前尝试直接传递这些远程邮件，请单击以选中发送到智能主机之前尝试直接进行传递复选框。默认情况下，会向智能主机发送所有远程邮件，而不尝试直接进行传递。
注意：可以通过 FQDN 或 IP 地址来标识智能主机。请注意，如果更改 IP 地址，则还必须在每台虚拟服务器上分别进行更改。如果使用的是 IP 地址，请将其括在方括号 ([]) 中以提高系统性能。Microsoft SMTP 服务首先检查服务器名称，然后检查 IP 地址。括号将值标识为 IP 地址，因此会跳过 DNS 查找。
启用反向 DNS 查找
如果选择了此选项，Microsoft SMTP 服务将尝试验证客户端的 IP 地址是否与客户端用 EHLO 或 HELO 命令提交的主机或域相匹配。
注意：因为此功能可验证所有传入邮件的地址，所以使用它会影响 Microsoft SMTP 服务性能。清除该复选框可禁用此功能。
如果反向 DNS 查找成功，“已接收”邮件头将保持完好无损。如果验证不成功，则“已接收”邮件头中的 IP 地址后面会出现“未验证”。要启用反向 DNS 查找，请按照下列步骤 *** 作：
在 MMC 中，单击以选中 SMTP 虚拟服务器，然后在 *** 作菜单上，单击属性。
在传递选项卡上，单击高级以打开高级传递对话框。
单击以选中对传入邮件执行反向 DNS 查找复选框。

---