遵循常规网络连接安全建议是确保网络环境安全的第一步。然后可以转到特殊区域,例如使用防火墙或使用 IPsec 确保网络安全。
- 生成树协议 (STP) 检测并防止在网络拓扑中形成循环。VMware 虚拟交换机通过其他方式防止形成循环,但不直接支持 STP。网络拓扑发生更改时,网络重新发现拓扑需要一些时间(30 到 50 秒)。在这段时间内,不允许任何流量通过。为避免出现这些问题,网络供应商创建了一些功能,使交换机端口能够继续转发流量。有关详细信息,请参见相应的 VMware 知识库文章,网址为 https://kb.vmware.com/kb/1003804。有关正确的网络和网络硬件配置,请参阅您的网络供应商文档。
- 确保分布式虚拟交换机的 Netflow 流量仅发送至授权的收集器 IP 地址。Netflow 导出未加密,可以包含有关虚拟网络的信息。这些信息增加了敏感信息在传输过程中被攻击者查看和捕获的可能性。如果需要 Netflow 导出,请确保所有 Netflow 目标 IP 地址正确。
- 确保仅授权管理员可以使用基于角色的访问控制来访问虚拟网络连接组件。例如,虚拟机管理员只能访问其虚拟机驻留的端口组。网络管理员可以访问所有虚拟网络连接组件,但不能访问虚拟机。限制访问可降低意外或恶意配置错误的风险,并强制执行职责分离和最小特权的主要安全概念。
- 确保未将端口组配置为本机 VLAN 的值。物理交换机通常配置一个本机 VLAN,默认情况下,该本机 VLAN 通常为 VLAN 1。ESXi 没有本机 VLAN。在端口组中指定了 VLAN 的帧具有标记,而在端口组中未指定 VLAN 的帧则没有标记。此配置可能会导致出现问题,因为标记为 1 的虚拟机最终会属于物理交换机的本机 VLAN。
例如,Cisco 物理交换机中 VLAN 1 上的帧没有标记,因为 VLAN 1 是该物理交换机上的本机 VLAN。但是,ESXi 主机上指定为 VLAN 1 的帧会标记为 1。因此,ESXi 主机上发往本机 VLAN 的流量无法正确路由,因为它标记为 1,而不是没有标记。物理交换机上来自本机 VLAN 的流量不可见,因为它没有标记。如果 ESXi 虚拟交换机端口组使用本机 VLAN ID,则从该端口发出的虚拟机流量对于该交换机上的本机 VLAN 不可见,因为该交换机应接收不带标记的流量。
- 确保未将端口组配置为上游物理交换机预留的 VLAN 值。物理交换机预留了某些 VLAN ID 以供内部使用,并且通常会禁止接收配置为这些值的流量。例如,Cisco Catalyst 交换机通常会预留 VLAN 1001–1024 和 4094。使用预留的 VLAN 可能会导致网络上出现拒绝服务问题。
- 确保未将端口组配置为 VLAN 4095(采用虚拟客户机标记 (VGT) 时除外)。将端口组设置为 VLAN 4095 会激活 VGT 模式。在此模式下,虚拟交换机会将所有网络帧传递给虚拟机,而不会修改 VLAN 标记,相反,它会将其留给虚拟机进行处理。
- 限制分布式虚拟交换机上的端口级配置替代。默认情况下,端口级配置替代处于禁用状态。如果启用了替代,则可以为虚拟机使用与端口组级设置不同的安全设置。某些虚拟机需要采用唯一配置,但必须进行监控。如果不对替代进行监控,则在虚拟机采用安全性较低的分布式虚拟交换机配置时,任何用户只要能够访问该虚拟机,就可能试图利用该访问权限漏洞。
- 确保分布式虚拟交换机端口镜像流量仅发送至授权的收集器端口或 VLAN。vSphere Distributed Switch 可以将流量从一个端口镜像至另一端口,以使数据包捕获设备可以收集特定的流量。端口镜像操作会将所有指定流量的副本以未加密格式发送。此镜像流量包含捕获的数据包中的全部数据,如果定向错误,可能会全面危及这些数据的安全。如果需要使用端口镜像功能,请确认所有端口镜像目标 VLAN、端口和上行链路 ID 都正确无误。
