国际完美世界下载,好看的玄幻小说,好看的小说完本推荐

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

圖文教程：配置VMwarevSwitch安全策略

虛擬交換機在保護虛擬基礎(chǔ)設(shè)施安全方面發(fā)揮了重要作用，所以了解如何應(yīng)用VMware vSwitch安全配置，能夠?qū)⒛愕奶摂M基礎(chǔ)設(shè)施被入侵的幾率降到最低。

織金網(wǎng)站制作公司哪家好，找創(chuàng)新互聯(lián)建站！從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)公司等網(wǎng)站項目制作，到程序開發(fā)，運營維護。創(chuàng)新互聯(lián)建站于2013年成立到現(xiàn)在10年的時間，我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗，來保證我們的工作的順利進行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)建站。

為了保護虛擬網(wǎng)絡(luò)環(huán)境，你需要評估哪里是最危險的地方。為外部用戶提供服務(wù)的虛擬機可能是最脆弱的一環(huán)，因此最需要對其加強保護。從操作系統(tǒng)層面上看，虛擬網(wǎng)卡和物理網(wǎng)卡是完全相同的，這意味能夠訪問虛擬網(wǎng)卡的攻擊者就可以進行和在物理網(wǎng)卡上相同的攻擊，比如在網(wǎng)絡(luò)中實施拒絕服務(wù)攻擊。

VMware vSwitch提供了一些安全措施可以阻止惡意行為，或者限制接口上允許通過的最大流量。下面是如何實施這些安全配置的方法。

1. 打開vSphere Client。進入主機的“配置”標(biāo)簽頁，在硬件列表中選擇網(wǎng)絡(luò)連接，會顯示VMware vSwitch的當(dāng)前配置。

2. 在你想要配置的vSwitch上選擇屬性。之后，彈出的新窗口中將會顯示vSwitch的現(xiàn)有端口以及現(xiàn)在應(yīng)用的屬性。

3. 選擇你想要配置安全設(shè)定的端口，點擊編輯。之后，點擊安全標(biāo)簽頁進行激活。這里會顯示所選端口上三個可用的、默認的安全設(shè)定。

圖1. 從VMware vSwitch屬性中，你可以看到已經(jīng)配置的所有端口。

配置VMware vSwitch安全策略

你需要決定的第一項vSwitch安全策略就是否使用混雜模式。混雜模式會攔截并監(jiān)測網(wǎng)卡發(fā)送給其他節(jié)點的所有流量。這種模式默認是關(guān)閉的，但是如果管理員想要進行網(wǎng)絡(luò)安全分析，可以將其啟用?；祀s模式允許主機監(jiān)測所有經(jīng)過虛擬交換機的網(wǎng)絡(luò)流量，也就可以幫助你分析網(wǎng)絡(luò)中的所有活動。但是，管理員只能在進行安全分析時使用這個模式，因為它會影響網(wǎng)絡(luò)性能。

第二種安全策略是用戶可以指定是否允許虛擬網(wǎng)卡的MAC地址發(fā)生變化。這個特性默認是激活的，允許操作系統(tǒng)在不同情況下改變MAC地址。當(dāng)你需要這種特性時，比如連接到iSCSI存儲區(qū)域網(wǎng)絡(luò)或者啟用微軟網(wǎng)絡(luò)負載均衡特性時，這種默認設(shè)定可以起到很大幫助。但是如果你的環(huán)境中沒有使用這些功能，最好關(guān)閉這個特新，這樣攻擊者就不能改變MAC地址，或者偽造虛擬主機的IP地址了。

第三種可以加強VMware vSwitch安全的方式是拒絕虛假流量。拒絕虛假流量意味著虛擬機(VM)將會對比數(shù)據(jù)包的源MAC地址和其網(wǎng)卡的真實MAC地址，來查看他們是否匹配。如果兩者不相同，ESXi主機會丟棄這些數(shù)據(jù)包，阻止虛擬機發(fā)送網(wǎng)絡(luò)流量。

這種特性默認是開啟的，因為有時需要使用這種方式來避免軟件授權(quán)問題。比如，如果物理機上的軟件只授權(quán)給指定的MAC地址，其在虛擬機上就不能正常工作，因為虛擬機的MAC地址不同。在這種情況下，允許虛假流量可以讓你通過偽造虛擬機的MAC地址來使用軟件。

但是，允許虛假流量將會帶來安全隱患。如果管理員只授權(quán)指定MAC地址訪問網(wǎng)絡(luò)，那么入侵者就可以就將自己未授權(quán)的MAC地址更改為已授權(quán)的。

圖2. 調(diào)整虛擬機的安全策略

流量整形是另外一種可以增強安全性的VMware vSwitch屬性。打開這種特性之后，你可以限定連接到vSwitch虛擬網(wǎng)卡的可用帶寬。這個設(shè)定不會影響網(wǎng)絡(luò)的整體性能，只是為每個網(wǎng)絡(luò)接口設(shè)定限制值。設(shè)定這種限制可以起到一些幫助，因為限定平均帶寬、最大帶寬和突發(fā)值可以防止一個節(jié)點占用交換機和網(wǎng)路的所有帶寬，對于防止DOS攻擊是一種不錯的方式。

圖3. 通過設(shè)定每個接口可用帶寬的最大值，可以防止DOS攻擊

如你所見，一些VMware vSwitch默認安全設(shè)定是針對可用性、而不是安全性的。通過一些簡單的改變，就可以提高虛擬機的安全等級，降低外在網(wǎng)絡(luò)攻擊的風(fēng)險。

當(dāng)前標(biāo)題：圖文教程：配置VMwarevSwitch安全策略
瀏覽地址：http://m.fisionsoft.com.cn/article/djjeghc.html

新聞中心

其他資訊