管理員可選擇多種方式來保護其 vSphere 環境中的 vSphere Distributed Switch 安全。

程序

  1. 對於具有靜態繫結的分散式連接埠群組,停用自動展開功能。

    在 vSphere 5.1 及更新版本中,自動展開功能預設為啟用。

    若要停用自動展開,請使用 vSphere Web Services SDK 或命令列介面,設定分散式連接埠群組下的 autoExpand 內容。請參閱《vSphere Web Services SDK》說明文件。

  2. 請確保已完整記錄所有 vSphere Distributed Switch 的全部私人 VLAN 識別碼。
  3. 如果您在 dvPortgroup 上使用 VLAN 標記,則 VLAN 識別碼必須對應於外部 VLAN 感知上游交換器上的識別碼。如果未正確地追蹤 VLAN 識別碼,錯誤地重複使用識別碼可能會允許非預期的流量。同樣地,錯誤或遺失的 VLAN 識別碼可能會讓流量不流經實體和虛擬機器。
  4. 請確保與 vSphere Distributed Switch 關聯的虛擬連接埠群組上不存在任何未使用的連接埠。
  5. 標記所有 vSphere Distributed Switch。

    ESXi 主機相關聯的 vSphere Distributed Switch 需要交換器名稱所對應的文字方塊。此標籤用作交換器的功能性描述元,如同與實體交換器相關聯的主機名稱。vSphere Distributed Switch 上的標籤指示交換器的功能或 IP 子網路。例如,您可以將交換器標示為內部以指示其僅適用於虛擬機器之私人虛擬交換器上的內部網路。沒有任何流量通過實體網路介面卡。

  6. 如果未使用網路健全狀況檢查,請針對 vSphere Distributed Switch 將其停用。

    依預設已停用網路健全狀況檢查。啟用後,健全狀況檢查封包將包含攻擊者可能會使用之主機、交換器及連接埠的相關資訊。僅將網路健全狀況檢查用於疑難排解,並在疑難排解完成後將其關閉。

  7. 透過在連接埠群組或連接埠上設定安全性原則,防止虛擬流量受到模擬和第 2 層攔截攻擊。

    分散式連接埠群組和連接埠上的安全性原則包含下列選項:

    透過從分散式交換器的右鍵功能表中選取管理分散式連接埠群組,然後在精靈中選取安全性,可以檢視和變更目前設定。請參閱 vSphere 網路說明文件。