日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
圖文教程:配置VMwarevSwitch安全策略

虛擬交換機在保護虛擬基礎設施安全方面發(fā)揮了重要作用,所以了解如何應用VMware vSwitch安全配置,能夠將你的虛擬基礎設施被入侵的幾率降到最低。

織金網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)建站!從網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、APP開發(fā)、成都響應式網(wǎng)站建設公司等網(wǎng)站項目制作,到程序開發(fā),運營維護。創(chuàng)新互聯(lián)建站于2013年成立到現(xiàn)在10年的時間,我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗,來保證我們的工作的順利進行。專注于網(wǎng)站建設就選創(chuàng)新互聯(lián)建站。

為了保護虛擬網(wǎng)絡環(huán)境,你需要評估哪里是最危險的地方。為外部用戶提供服務的虛擬機可能是最脆弱的一環(huán),因此最需要對其加強保護。從操作系統(tǒng)層面上看,虛擬網(wǎng)卡和物理網(wǎng)卡是完全相同的,這意味能夠訪問虛擬網(wǎng)卡的攻擊者就可以進行和在物理網(wǎng)卡上相同的攻擊,比如在網(wǎng)絡中實施拒絕服務攻擊。

VMware vSwitch提供了一些安全措施可以阻止惡意行為,或者限制接口上允許通過的最大流量。下面是如何實施這些安全配置的方法。

1. 打開vSphere Client。進入主機的“配置”標簽頁,在硬件列表中選擇網(wǎng)絡連接,會顯示VMware vSwitch的當前配置。

2. 在你想要配置的vSwitch上選擇屬性。之后,彈出的新窗口中將會顯示vSwitch的現(xiàn)有端口以及現(xiàn)在應用的屬性。

3. 選擇你想要配置安全設定的端口,點擊編輯。之后,點擊安全標簽頁進行激活。這里會顯示所選端口上三個可用的、默認的安全設定。

圖1. 從VMware vSwitch屬性中,你可以看到已經(jīng)配置的所有端口。

配置VMware vSwitch安全策略

你需要決定的第一項vSwitch安全策略就是否使用混雜模式?;祀s模式會攔截并監(jiān)測網(wǎng)卡發(fā)送給其他節(jié)點的所有流量。這種模式默認是關閉的,但是如果管理員想要進行網(wǎng)絡安全分析,可以將其啟用?;祀s模式允許主機監(jiān)測所有經(jīng)過虛擬交換機的網(wǎng)絡流量,也就可以幫助你分析網(wǎng)絡中的所有活動。但是,管理員只能在進行安全分析時使用這個模式,因為它會影響網(wǎng)絡性能。

第二種安全策略是用戶可以指定是否允許虛擬網(wǎng)卡的MAC地址發(fā)生變化。這個特性默認是激活的,允許操作系統(tǒng)在不同情況下改變MAC地址。當你需要這種特性時,比如連接到iSCSI存儲區(qū)域網(wǎng)絡或者啟用微軟網(wǎng)絡負載均衡特性時,這種默認設定可以起到很大幫助。但是如果你的環(huán)境中沒有使用這些功能,最好關閉這個特新,這樣攻擊者就不能改變MAC地址,或者偽造虛擬主機的IP地址了。

第三種可以加強VMware vSwitch安全的方式是拒絕虛假流量。拒絕虛假流量意味著虛擬機(VM)將會對比數(shù)據(jù)包的源MAC地址和其網(wǎng)卡的真實MAC地址,來查看他們是否匹配。如果兩者不相同,ESXi主機會丟棄這些數(shù)據(jù)包,阻止虛擬機發(fā)送網(wǎng)絡流量。

這種特性默認是開啟的,因為有時需要使用這種方式來避免軟件授權問題。比如,如果物理機上的軟件只授權給指定的MAC地址,其在虛擬機上就不能正常工作,因為虛擬機的MAC地址不同。在這種情況下,允許虛假流量可以讓你通過偽造虛擬機的MAC地址來使用軟件。

但是,允許虛假流量將會帶來安全隱患。如果管理員只授權指定MAC地址訪問網(wǎng)絡,那么入侵者就可以就將自己未授權的MAC地址更改為已授權的。

圖2. 調整虛擬機的安全策略

流量整形是另外一種可以增強安全性的VMware vSwitch屬性。打開這種特性之后,你可以限定連接到vSwitch虛擬網(wǎng)卡的可用帶寬。這個設定不會影響網(wǎng)絡的整體性能,只是為每個網(wǎng)絡接口設定限制值。設定這種限制可以起到一些幫助,因為限定平均帶寬、最大帶寬和突發(fā)值可以防止一個節(jié)點占用交換機和網(wǎng)路的所有帶寬,對于防止DOS攻擊是一種不錯的方式。

圖3. 通過設定每個接口可用帶寬的最大值,可以防止DOS攻擊

如你所見,一些VMware vSwitch默認安全設定是針對可用性、而不是安全性的。通過一些簡單的改變,就可以提高虛擬機的安全等級,降低外在網(wǎng)絡攻擊的風險。


文章標題:圖文教程:配置VMwarevSwitch安全策略
文章轉載:http://www.5511xx.com/article/djjeghc.html