科技时代新浪首页 > 科技时代 > 滚动新闻 > 正文

让电脑安全固若金汤——解读博锐中的虚拟化应用


http://www.sina.com.cn 2006年09月29日 10:10 太平洋电脑网

  PConline产业资讯上海专稿 [文/陶美坤] 对不少用户而言,英特尔在今年全力推广的虚拟机技术看似一个非常神秘的东西,让不少人感觉到高深莫测。但其实虚拟技术已经是一项由来已久的技术,早在1970的UNIX大型机器中,就已经出现了虚拟磁区。

  虽然虚拟化技术,看起来似乎很玄妙,但是所有的技术就是都是都是为了应用服务的。不如就让我们一起来看看通过博锐的虚拟化,都能够给用户带来那些好处。

  浅析虚拟化和Intel硬件虚拟技术

  UNIX可能很多人都不了解,不过对很多伴随电脑长大的朋友而言,相信很多人都用过虚拟光驱软件。虚拟光驱软件就是一种虚拟技术,通过这种软件它可以将本来在物理硬件中没有的光驱虚拟出来,并且让它在操作系统中真实的存在——在操作系统中完全就是一个真正的光驱。

  在虚拟光驱的实现过程中,通过程序对系统的欺骗,在硬盘上某个区块的数据,就被解释转换成为了光盘的数据。通过系统读取,我们就可以在“光驱”中读出这些实际在硬盘上的数据。

  而虚拟技术,在本质上来说,其实和虚拟光驱是完全一样的。

  以目前最常应用的虚拟操作系统而言,其实就是可以让一个或者多个操作系统在另外一个平台上运行。比如,在Windows中运行另外一个Linux系统,或者在Linux系统中跑另外一个Windows,这些实际上已经是不少用户做过的事情。Windows下的操作系统模拟软件,相信有一部分人都是实际使用过的。

  实际上在虚拟化中,所有虚拟的操作系统都是运行在VMM(Virtual Machine Monitor,虚拟机监视器)。而这个VMM也就是可以看作一个特殊的操作系统,其余的虚拟操作系统就如同安装的应用程序一般,运行在VMM上。虚拟操作系统很多情况下是通过VMM(Virtual Machine Monitor,虚拟机监视器)来与硬件进行数据通信,由VMM来决定其对系统上所有虚拟机的访问。也就是说,在VMM之上运行的所有虚拟操作系统,和实际上电脑之间的硬件数据交换都是通过VMM来进行处理的。

  这其实就是目前大多数的虚拟技术在做的事情——将一个或者多个操作系统运行在VMM之上。
  
在纯软件虚拟化解决方案中,VMM在软件套件中的位置是传统意义上操作系统所处的位置,而操作系统的位置是传统意义上应用程序所处的位置。这一额外的通信层需要进行二进制转换,以通过提供到物理资源(如处理器、内存、存储、显卡和网卡等)的接口,模拟硬件环境。

  简单来说,操作系统运行在硬件之上,就需要和硬件之间打交道。而在传统的过程中,操作系统对硬件所有的控制都是翻译成为二进制数据来进行的。但是在虚拟操作系统中,操作系统是运行在VMM的虚拟硬件环境中,一切和硬件打交道的数据都是通过VMM来进行的。那么对虚拟操作系统而言,用户在虚拟操作系统上的操作,将首先被机器翻译为专门的二进制数据给虚拟硬件环境(实际上就是VMM),然后还需要再通过一次翻译将这些数据翻译为VMM这个操作系统能够“读懂”的数据,再通过VMM对实际的物理硬件进行翻译。

  不过,对传统的纯软件虚拟化解决方案而言,虚拟的操作系统在和硬件之间进行数据通信的过程中,所有的数据需要全部被翻译一次,以便VMM可以理解并且实际来控制硬件。这种转换必然会增加系统的复杂性,此外,客户操作系统的支持受到虚拟机环境的能力限制,这会阻碍特定技术的部署,如64位客户操作系统。在纯软件解决方案中,软件堆栈增加的复杂性意味着,这些环境难于管理,因而会加大确保系统可靠性和安全性的困难。

  而CPU的虚拟化技术是一种硬件方案,支持虚拟技术的CPU带有特别优化过的指令集来控制虚拟过程,通过这些指令集,VMM会很容易提高性能,相比软件的虚拟实现方式会很大程度上提高性能。虚拟化技术可提供基于芯片的功能,借助兼容VMM软件能够改进纯软件解决方案。由于虚拟化硬件可提供全新的架构,支持操作系统直接在上面运行,从而无需进行二进制转换,减少了相关的性能开销,极大简化了VMM设计,进而使VMM能够按通用标准进行编写,性能更加强大。另外,在纯软件VMM中,目前缺少对64位客户操作系统的支持,而随着64位处理器的不断普及,这一严重缺点也日益突出。而CPU的虚拟化技术除支持广泛的传统操作系统之外,还支持64位客户操作系统。

  同样的简单来说,正如同当年英特尔通过加入MMX指令使得处理器对多媒体应用性能得到了大大的提升,在电脑上播放VCD再也不需要专门的解压卡而仅凭借处理器的运算能力就足够了。英特尔新的虚拟化技术,也是通过在处理器的内部加入专门的支持虚拟化的硬件指令,使得电脑在运行虚拟化软件和虚拟操作系统时的性能大幅度提升,将原本大量需要由软件进行的翻译工作、对平台控制权切换等复杂的工作全部交给了处理器硬件来直接处理,减轻了VMM工作时的运算负担。

  一般来说,基于硬件的解决方案比基于软件的解决方案更加高效安全,这一点相信大家都可以感受的到,最好的例子就是在玩3D游戏时软加速的效果和硬加速的效果相差甚远,并且后者的对游戏速度的提升更高。如果采用软加速,哪怕购买市场中最好的处理器,可能也无法达到满意的画面效果,而选用一款中等的处理器加一张主流显卡,往往就可以轻松达到纯处理器无法达到的画面效果。

  我们可以了解到的是,虚拟技术就是使一个虚拟操作系统可以运行在VMM之上。而类似于英特尔处理器内部内建的硬件虚拟技术,则可以使得虚拟操作系统运行在VMM上的时候更加安全高效。

  虚拟化如何使得系统安全固若金汤

  也许有的人会问,这样子做有什么实际的意义?在一个操作系统上运行另外一个操作系统,似乎本来就是一件浪费资源的事情,去做这件事情的效率提升似乎完全没有任何实质的意义。

  实际上对个人用户而言,虚拟技术目前确实没有什么非常实质的意义。但是对公司用户和商务人士而言,虚拟技术却是一项非常应该重视的应用,因为它实实在在的为用户提供了安全保障和方便管理。特别是在系统安全上,博锐的虚拟化可以使得电脑的安全性相对普通电脑而言大幅度提升。

  对几乎所有的企业用户而言,网络正在不断的改变着公司的经济形态和运营模式。越来越多的企业在日常的工作组织和业务拓展中,都和网络结合紧密,并且越来越离不开网络。

  与此同时,网络安全问题也正在成为一个越来越大的问题。对个人用户而言,数据损毁核泄露带来的是个人隐私的泄露;对企业用户而言,数据损毁或泄露带来的就可能是重大的经济损失。因此,各式各样的网络安全软件应运而生,杀毒软件、防火墙等等。

  不过,这些软件也并不能完全保障电脑的安全。正如同“先有鸡还是先有蛋”的这样一个悖论,这些软件都是也都是运行在被他们“保护”的操作系统中,一旦操作系统出现问题,身处其中的安全软件自然不能幸免。

  一般来说的话我们目前看到的做网络安全两种办法,分别是基于硬件的和基于软件的。

  对直接基于硬件的网络安全解决方案而言,其好处是这种方案本身可以被强化,并是和被保护德系统独立,它只做你专门想要做的事情,缺点是硬件要占空间并且成本相对较高。

  对软件解决方案来说,它更加方便管理,因为它是直接安装在操作系统上的。但其缺点也非常明显,就是使用者或者攻击者可以很轻易将它关掉,并且要求整个系统启动时必须是安全干净的才能开始执行保护功能。

  而英特尔提供的博锐技术中,有专门的虚拟化技术,安全厂商就可以在VMM里面直接做出针对网络安全的功能,所有的进出东西送给后端的操作系统,操作系统本身任何问题不会影响到前面。同时,新的处理器平台由于基于酷睿架构,其双核等特性使得运行的网络安全服务对系统整体运行不会有很大影响,也避免传统操作系统中网络安全软件有时反而会由于占用硬件资源过多而拖累整个系统的运行效率。

  简单的来解释,通过虚拟技术之后,整个网络安全不再依赖我们实际操作的操作系统。网络安全的功能是被放在了VMM这个操作系统之中,它是独立在操作系统之外的,使得整个网络安全摆脱了对操作系统的依赖,从根本上解决了网络安全软件的独立安全性。

  轻如鹅毛重于

泰山 虚拟化也有重量

  通过前面的文字,相信大家对虚拟化到底是做什么,和博锐中的虚拟化有些什么好处都已经有了初步的了解。有些用户可能发现,在博锐的虚拟化中,非常显著的提出了一个轻量级虚拟化的概念。

  难道虚拟化也是有轻重之分么?实际上这里的轻总只是对虚拟化程度的形容而已。

  就重量级的虚拟化而言,你可以在其上执行任何你想要的平台,运行任何你想要的事情。重量级的虚拟化多用于服务器上,可以在一台服务器上跑上多个系统提供不同的服务,有效提升硬件使用率。

  由于整个英特尔博锐技术都在着眼去做网络安全这块,由于目前常见的入侵检测较好的实现方式,是所有的数据进入到操作系统之前先进行检测再送入操作系统中去,现在传统的平台做不到。而英特尔目前提供的博锐中的虚拟化是专门给安全的

开发商,是一个不需要占用太多资源的情况下提供一个解决方案。里面只提供了足够的功能,能够让软件开发商基于网络安全方面作出选择就够了,因此这和所谓传统的重量级全方位虚拟化是有很大差异的,被称之为轻量级虚拟化。

  实际上大家可以看出,博锐平台最核心的两块就是对内部计算机的主动管理和通过轻量级虚拟化实现的网络安全。由于普通的商用电脑在性能上无法和服务器相比拟,因此自然不应采用对系统资源消耗相对较多的重量级虚拟化。而英特尔的轻量级虚拟化,在满足了网络安全需求的前提下,也实现了对系统资源较少的占用,让系统节省出资源去做更多的商务应用。

  写在最后:对博锐中虚拟化的感受

  毫无疑问,技术不断进步的同时最终受益的都是用户。博锐平台在硬件中植入了对虚拟化的支持以后,更是体现了这一趋势。

  通过硬件支持虚拟化,使得原本对系统硬件性能要求的较高的虚拟化系统,也可以轻易的运行在主流的电脑平台之中。正如同当年MMX指令级的处理器被退出之后,用户再也不用额外购买解压卡就可以看VCD一样,现在的用户要享受虚拟化也不用再去花费昂贵投入购买顶级的电脑硬件。而只要选择具备硬件支持虚拟技术的处理器,如英特尔基于酷睿和酷睿2架构的处理器,就可以轻松享受到虚拟技术带来的好处。

  透过博锐的虚拟化技术,使得困扰

电子商务的网络安全问题,被得到了很大的改善。并且,获得这种改善的成本并不是很高,并且只有大型企业才能够消受的其。对中小企业而言,具备博锐技术的电脑和普通的商用电脑相比价格并不会贵出多少,而在网络安全上更有保障的博锐平台无疑为这些企业节省了请专人维护网络安全的开支,并且能够让相关人员更加专注于商务应用本身,而不是为并非主业的网络安全而烦恼。

爱问(iAsk.com)



论坛】【收藏此页】【 】【多种方式看新闻】【下载点点通】【打印】【关闭




科技时代意见反馈留言板 电话:010-82628888-5595   欢迎批评指正

新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

Copyright © 1996 - 2006 SINA Inc. All Rights Reserved

新浪公司 版权所有