安全基礎(chǔ)：認(rèn)識(shí)虛擬化安全與虛擬防火墻

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

摘要：虛擬化存在安全威脅服務(wù)器虛擬化給人一種勢(shì)不可擋的感覺(jué)。需要注意的是，虛擬技術(shù)可能成黑客的幫手。如果企業(yè)一味擴(kuò)大虛擬化產(chǎn)品，而對(duì)虛擬機(jī)與物理服務(wù)器的本質(zhì)區(qū)別熟視無(wú)睹的話(huà)，那么他們遲早會(huì)給入侵者開(kāi)辟新的方便之門(mén)，使之順利進(jìn)入到數(shù)據(jù)中心。業(yè)界目前還無(wú)法精準(zhǔn)地確定這類(lèi)威脅的本質(zhì)，因?yàn)樗鼈兩形辞袑?shí)發(fā)生過(guò)。

【賽迪網(wǎng)-IT技術(shù)社區(qū)整理】本文主要分析了虛擬化存在的安全威脅，并介紹了虛擬防火墻產(chǎn)生的主要原因，以及與其他防火墻的區(qū)別，以及如何部署，以下的文章將會(huì)給你提供相關(guān)的知識(shí)。

虛擬化存在安全威脅

服務(wù)器虛擬化給人一種勢(shì)不可擋的感覺(jué)。需要注意的是，虛擬技術(shù)可能成黑客的幫手。如果企業(yè)一味擴(kuò)大虛擬化產(chǎn)品，而對(duì)虛擬機(jī)與物理服務(wù)器的本質(zhì)區(qū)別熟視無(wú)睹的話(huà)，那么他們遲早會(huì)給入侵者開(kāi)辟新的方便之門(mén)，使之順利進(jìn)入到數(shù)據(jù)中心。業(yè)界目前還無(wú)法精準(zhǔn)地確定這類(lèi)威脅的本質(zhì)，因?yàn)樗鼈兩形辞袑?shí)發(fā)生過(guò)。

一位安全高手表示：虛擬化技術(shù)存在安全漏洞，這在VMware和AMD公司的產(chǎn)品中都曾出現(xiàn)過(guò)。另外，黑客還可以利用虛擬化技術(shù)來(lái)隱藏病毒、特洛伊木馬及其他各種惡意軟件的蹤跡。

有專(zhuān)家表示：在虛擬化的新一代數(shù)據(jù)中心基礎(chǔ)設(shè)施中，每款虛擬設(shè)備及其系統(tǒng)和網(wǎng)段都必須根據(jù)最佳實(shí)踐進(jìn)行管理和控制。這些實(shí)踐應(yīng)包括：

1、為所有虛擬機(jī)及各類(lèi)型虛擬機(jī)上運(yùn)行的所有應(yīng)有程序建立黃金標(biāo)準(zhǔn)，應(yīng)用安全及版本和補(bǔ)丁管理控制。

2、通過(guò)虛擬防火墻、防惡意軟件和虛擬設(shè)備管理功能強(qiáng)制實(shí)施所定策略。

3、依據(jù)虛擬機(jī)類(lèi)型進(jìn)行適當(dāng)?shù)倪壿嫼臀锢?strong class="keylink">隔離。例如：應(yīng)將虛擬Web服務(wù)器與虛擬數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行隔離。

4、適當(dāng)調(diào)整網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)或是監(jiān)控器來(lái)監(jiān)視非法的及惡意的虛擬機(jī)流量。

虛擬防火墻護(hù)安全

監(jiān)控虛擬系統(tǒng)里的應(yīng)用系統(tǒng)的虛擬防火墻是一個(gè)新生事物，其產(chǎn)品在國(guó)內(nèi)還沒(méi)有出現(xiàn)。

一、虛擬防火墻產(chǎn)生的原因

有三個(gè)原因促使虛擬防火墻的出現(xiàn)。

1、由于在虛擬系統(tǒng)里面需要部署很多的應(yīng)用系統(tǒng)，需要對(duì)各個(gè)應(yīng)用系統(tǒng)之間的虛擬化安全進(jìn)行防護(hù)和訪(fǎng)問(wèn)控制，同時(shí)，需要監(jiān)控和限制各個(gè)應(yīng)用系統(tǒng)之間的流量。

2、由于IDC或者M(jìn)SSP(管理安全服務(wù)提供商)等服務(wù)商需要部署虛擬防火墻給不同的用戶(hù)來(lái)使用，同時(shí)可以實(shí)現(xiàn)對(duì)用戶(hù)的防火墻進(jìn)行統(tǒng)一集中管理。

3、每個(gè)物理防火墻的投資成本比較高，而且維護(hù)費(fèi)用高。

二、虛擬防火墻和傳統(tǒng)防火墻的區(qū)別

傳統(tǒng)防火墻是一個(gè)物理的實(shí)體，而虛擬防火墻是在這個(gè)物理實(shí)體里面可以劃分多個(gè)虛擬的防火墻。虛擬防火墻的某些功能甚至比傳統(tǒng)防火墻做的還要好。

三、虛擬防火墻部署位置

1、可以部署在核心交換機(jī)和主要服務(wù)器群的位置。

2、可以部署在物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)之間。

3、可以部署在兩個(gè)虛擬網(wǎng)絡(luò)之間。

四、軟件虛擬防火墻和硬件虛擬防火墻區(qū)別

硬件虛擬防火墻主要是指可以將一臺(tái)傳統(tǒng)防火墻在邏輯上劃分成多臺(tái)虛擬的防火墻，每個(gè)虛擬防火墻系統(tǒng)都可以被看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，可擁有獨(dú)立的系統(tǒng)資源、管理員、虛擬化安全策略、用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)等。

由于虛擬防火墻功能可將資源分別獨(dú)立分配給各個(gè)虛擬的系統(tǒng)，彼此之間互不干擾，因此當(dāng)一個(gè)虛擬系統(tǒng)因抵御黑客攻擊耗費(fèi)大量資源的時(shí)候，另一個(gè)虛擬系統(tǒng)的資源卻不受任何影響，從而有效保證網(wǎng)絡(luò)其他應(yīng)用的正常運(yùn)行。

軟件虛擬防火墻支持的應(yīng)用環(huán)境可以更靈活，軟件虛擬防火墻最主要的環(huán)境要求還是看硬件系統(tǒng)是否足夠強(qiáng)大，包括：CPU、內(nèi)存、硬盤(pán)等等。

(責(zé)任編輯：鉬鐵)

發(fā)布：2007-03-05 15:33 編輯：泛普軟件 · xiaona [打印此頁(yè)] [關(guān)閉]

相關(guān)欄目：