当前位置：首页 > 虚拟化 > 正文

关闭基于虚拟化的安全性

虚拟化
2024-05-26 11:13:17
7501

一、如何应对虚拟化安全问题？然而，现实情况是，数据中心网络总是通过内置防火墙来实现基本的安全保护，以减少暴力攻击导致的拒绝服务，并且很少对入站流量进行TCP端口过滤。
使用防火墙来保护数据中心网络中的物理服务器已经很困难。使用防火墙来保护虚拟服务器或私有云环境会更加困难。毕竟，虚拟服务器经常移动，因此防火墙不一定需要位于服务器的物理边界内。有多种策略可以为您的虚拟环境提供防火墙保护。
虚拟网络安全
传统数据中心架构的网络安全设计是众所周知的。如果服务器的物理边界属于同一安全域，则防火墙通常位于汇聚层。当您开始实施服务器虚拟化并使用VMware的vMotion和分布式资源调度器（DistributedResourceScheduler）部署虚拟机移动和自动负载平衡时，物理分离方法的有效性就消失了。在这种情况下，服务器与网络其余部分之间的流量仍然必须经过防火墙，导致严重的流量拥塞并增加数据中心的内部负载。
虚拟网络设备允许您在网络上的任何位置快速部署防火墙、路由器或负载均衡器。然而，一旦开始部署这些虚拟网络设备，上述问题就会变得越来越严重。这些虚拟化设备可以在物理服务器之间移动，使流量更加复杂。VMware的vCloudDirector面临着这些设计挑战。
使用DVFilter和虚拟防火墙
几年前，VMware开发了一种名为DVFilterAPI的虚拟机管理程序，允许第三方软件检查并行虚拟机的网络和存储流量。一些防火墙和入侵检测系统（IDS）供应商很快认识到了潜在的市场，并开始发布不会过度的虚拟防火墙。去年，随着vShieldZones和vShieldApp的推出，VMware成为了该供应商类别的一员。
基于DVFilter的网络安全设备的工作方式与典型防火墙不同。它不会强制流量通过基于IP路由规则的设备，而是显式地在虚拟机的网络接口卡(vNIC)和虚拟交换机(vSwitch)之间插入防火墙。这样，防火墙就可以检查进出vNIC的所有流量，而无需在虚拟机、虚拟交换机或物理网络上进行任何配置。vShield通过特殊的配置层进一步扩展了这一概念。这意味着您可以在不同级别（例如数据中心、集群和端口组（安全域））配置防火墙规则，并且防火墙在为每个vNIC创建策略时将应用这些规则。
自动保护虚拟机的并行防火墙的概念似乎很完美，但DVFilterAPI的架构允许它仅在虚拟机管理程序上运行，因此它也有一些潜在的缺点。
虚拟机防火墙的缺点：
每台物理服务器都必须运行防火墙VM。防火墙设备只能保护同一台物理服务器上运行的虚拟机。要保护所有物理位置的虚拟机，您必须在每台物理服务器上部署防火墙虚拟机。
检查所有流量。您可以将DVFilterAPI仅应用于某些vNIC，并仅保护这些虚拟机的子集，但vShield产品不支持此功能。部署这些产品后，所有通过虚拟机管理程序的流量都会受到检查，从而导致CPU使用率增加并降低网络性能。
防火墙冲突影响虚拟机。虚拟机防火墙的另一个问题是它们会影响受影响物理服务器上的所有虚拟机。但是，由于物理服务器仍在运行并连接到网络，高可用性功能无法将受影响的虚拟机迁移到另一台物理服务器。
多次检测到相同的流量。DVFilterAPI检查vNIC上的流量。因此，即使属于同一安全域，虚拟机之间移动的流量也会被检查两次，而传统防火墙则不然。
虚拟交换机在虚拟化安全中的作用
虚拟化安全设备制造商还可以选择vPathAPI，它可用于实现自定义虚拟交换机。思科系统公司最近发布了虚拟安全网关（VSG）产品，该产品可以将流量优化技术与除DVFilter之外的传统虚拟防火墙方法相集成。思科宣布，VSG仅通过执行初始流量检查并将卸载流量转发到虚拟以太网模块（VEM：管理程序的增强型虚拟交换机）来防止流量长号和性能问题。

二、hypervisor如何关闭。

Windows附带Hyper-V

1。Win+R，输入“msinfo32”（或搜索“系统信息”）

2.在右侧页面上，单击“摘要”下的“系统”，向下滑动至“基于虚拟化的安全性”并
确保其显示“未启用”。

如果该选项为“已启用”，请按照以下步骤禁用Hyper-V。

1.以正常方式关闭Hyper-V

A.首先，搜索“控制面板”并打开它

转到“打开或关闭Windows功能”（控制面板-查看为“大图标”-程序和功能）

您也可以直接搜索“打开/关闭Windows功能”

请确保下图中的这些项目没有被选中。

如果勾选，请取消勾选，然后点击“确定”，根据系统提示重新启动。

B.以管理员身份打开命令提示符窗口。