vSphere 環境中的網路安全性不僅具有保護實體網路環境的許多特性,而且具有一些僅適用於虛擬機器的特性。

防火牆

為虛擬網路新增防火牆保護,方法是在其中的部分或所有虛擬機器上安裝和設定以主機為基礎的防火牆。

為提高效率,您可以設定私人虛擬機器乙太網路或虛擬網路。有了虛擬網路,您可以在虛擬網路最前面的虛擬機器上安裝以主機為基礎的防火牆。此防火牆可以用作實體網路介面卡和虛擬網路中剩餘虛擬機器之間的保護緩衝區。

由於以主機為基礎的防火牆會降低效能,因此請先根據效能目標平衡安全性需求,然後再決定是否在虛擬網路中的其他虛擬機器上安裝以主機為基礎的防火牆。

請參閱使用防火牆確保網路安全

分割

將主機中的不同虛擬機器區域置於不同網路區段。如果將每個虛擬機器區域隔離在各自的網路區段中,可以大大降低虛擬機器區域之間洩漏資料的風險。分割可防止多種威脅,包括位址解析通訊協定 (ARP) 詐騙,即攻擊者操縱 ARP 資料表重新對應 MAC 和 IP 位址,從而存取進出主機的網路流量。攻擊者使用 ARP 詐騙產生攔截式 (MITM) 攻擊、執行拒絕服務 (DoS) 攻擊、劫持目標系統,並以其他方式破壞虛擬網路。

仔細規劃分割可降低虛擬機器區域間傳輸封包的幾率,從而防止嗅探攻擊 (此類攻擊需向受害者傳送網路流量)。此外,攻擊者無法使用一個虛擬機器區域中的不安全服務存取主機中的其他虛擬機器區域。可以使用兩種方法之一實作分割。每種方法具有不同的優點。

  • 為虛擬機器區域使用單獨的實體網路介面卡,確保已將區域隔離。為虛擬機器區域使用單獨的實體網路介面卡可能是最安全的方法,並且更不容易在建立初始區段之後出現錯誤組態。

  • 設定虛擬區域網路 (VLAN),協助保護網路。VLAN 幾乎能夠提供實體實作單獨網路所具有的所有安全性優點,且不增加硬體額外開支,可為您節省部署和維護其他裝置、纜線等硬體的成本,是一種可行的解決方案。請參閱透過 VLAN 保護虛擬機器的安全

防止未經授權的存取

如果將虛擬機器網路連線到實體網路,將會遭到破壞,就像由實體機器組成的網路一樣。即使虛擬機器網路已與任何實體網路隔離,虛擬機器也可能遭到網路中其他虛擬機器的攻擊。用於確保虛擬機器安全的需求通常與確保實體機器安全的需求相同。

虛擬機器是相互獨立的。一個虛擬機器無法讀取或寫入另一個虛擬機器的記憶體、無法存取其資料、無法使用其應用程式等等。但在網路中,任何虛擬機器或虛擬機器群組仍可能遭到其他虛擬機器的未經授權存取,因此可能需要透過外部方法加強保護。