当前位置：首页 > 虚拟机 > 正文

虚拟机怎么设置防第三方软件(虚拟机防第三方检测)

虚拟机
2024-06-08 07:37:35
3416

一、如何应对虚拟化安全问题？但现实情况是，数据中心网络总是通过嵌入式防火墙部署主要安全保护，以减少暴力攻击造成的拒绝服务，很少对传入流量实施TCP端口过滤。
使用防火墙来保护数据中心网络中的物理服务器很困难。使用防火墙来保护虚拟服务器或私有云环境将更加困难。毕竟，虚拟服务器经常移动，因此防火墙不一定必须位于服务器的物理范围内。有多种策略可以为虚拟环境提供防火墙保护。
虚拟网络安全
传统数据中心架构的网络安全设计众所周知：如果服务器的物理边界属于同一个安全域，那么防火墙通常放置在汇聚层。当您开始部署服务器虚拟化并使用VMware的vMotion和DistributedResourceScheduler来部署虚拟机移动和自动负载分配时，分布式物理集中方法将失去作用。在这种情况下，服务器与网络其余部分之间的流量仍然必须经过防火墙，这会造成严重的流量拥塞并增加数据中心的内部负载。
虚拟网络设备允许您在网络上的任何位置快速部署防火墙、路由器或负载均衡器。但当你开始部署这样的虚拟网络设备时，上述问题就变得更加严重。这些虚拟化设备可以在物理服务器之间移动，从而导致更复杂的流量。VMware的vCloudDirector就遇到了这样的设计问题。
使用DVFilter和虚拟防火墙
几年前，VMware开发了一种名为DVFilterAPI的虚拟机管理程序，允许第三方软件并行检查虚拟机的网络和存储流量。许多防火墙和入侵检测系统（IDS）供应商很快认识到了这一潜在市场，并开始发布过度活跃的虚拟防火墙。随着去年vShieldZones和vShieldApp的发布，VMware也成为了该供应商类别的一员。
基于DVFilter的网络安全设备的运行方式与传统防火墙不同。它不会根据IP路由规则强制流量通过设备，而是在虚拟机的网络接口卡(vNIC)和虚拟交换机(vSwitch)之间显式插入防火墙。这样，防火墙就可以检查进出vNIC的所有流量，而无需在虚拟机、虚拟交换机或物理网络上进行任何配置。vShield通过特殊的配置层进一步扩展了这一概念：您可以在数据中心、集群和端口组（安全域）等不同级别配置防火墙规则，Fire会在为每个vNIC创建策略时应用相应的规则。
自动保护虚拟机的并行防火墙的概念看似完美，但由于DDVilterAPI的架构，它只能运行在虚拟机管理程序中，因此它也存在一些潜在的缺点。
虚拟机防火墙的缺点：
每台物理服务器都必须运行虚拟机防火墙。防火墙设备只能保护同一台物理服务器上运行的虚拟机。如果要保护所有物理位置的虚拟机，则必须在每台物理服务器上部署虚拟机防火墙。
所有流量都会受到检查。您可以仅将DDVilterAPI应用到特定vNIC并仅保护这些虚拟机，但vShield产品不支持此功能。部署这些产品后，所有通过虚拟机管理程序的流量都会受到检查，这会增加CPU使用率并降低网络性能。
影响虚拟机的防火墙问题。防火墙虚拟机的另一个问题是它会影响DDVilterAPI。受影响的物理服务器上的所有虚拟机都将出现网络停机。然而，物理服务器仍在运行并连接到网络；因此，高可用性无法将受影响的虚拟机迁移到其他物理服务器。
相同的流量将被多次检测到。DDViterAPI检查vNIC上的流量。因此，即使流量在属于同一安全域的虚拟机之间移动，也会受到两次检查，而传统防火墙则不会出现这种情况。
虚拟交换机在虚拟化安全中的作用
虚拟化安全设备厂商也可以选择vPathAPI，vPathAPI可以用来部署定制的虚拟交换机。思科系统公司最近发布了虚拟安全网关（VSG）产品，该产品可以集成传统（非DVFilter）虚拟防火墙方法和流量优化技术。思科宣布，VSG仅执行初始流量检查，并将卸载的流量转发到虚拟以太网模块（VEM：虚拟机管理程序内的增强型虚拟交换机），从而防止性能问题和长号流。