就物理网络适配器而言,虚拟机网络适配器可以发送可能来自不同计算机的帧,或者模拟另一台计算机,以便能够接收针对该计算机的网络帧。同样,与物理网络适配器相同,可以对虚拟机网络适配器进行配置,以便其可以接收针对其他计算机的帧。这两种情形都具有一定的安全风险。

为网络创建标准交换机时,将在 vSphere Web Client 中添加端口组,以便为附加到该交换机上的虚拟机和 VMkernel 适配器强制执行系统流量策略。

在为标准交换机添加 VMkernel 端口组或虚拟机端口组的过程中,ESXi 会为组中的端口配置安全策略。可以使用此安全策略确保主机能防止其虚拟机的客户机操作系统模拟网络中的其他计算机。实施此安全功能的目的在于使负责模拟的客户机操作系统检测不到模拟行为已被阻止。

安全策略决定您对虚拟机执行的防模拟和截断攻击保护的强度。为了正确使用安全配置文件中的设置,必须了解虚拟机网络适配器如何控制传送及此级别的攻击如何进行。请参见 vSphere 网络 出版物中的“安全策略”部分。

.