任何企業(yè)網(wǎng)絡(luò)都會(huì)有很多虛擬環(huán)境。有趣的是，我發(fā)現(xiàn)大多數(shù)虛擬服務(wù)器和VLAN環(huán)境都沒(méi)有對(duì)攻擊進(jìn)行任何的防范。僅僅是因?yàn)樘摂M環(huán)境是你“四堵墻”內(nèi)事，并不是所有人都可以自由訪問(wèn)。而這也正是虛擬防火墻策略可以對(duì)你有所幫助的地方。

　　想要讓虛擬防火墻策略實(shí)施得更加有意義，以下幾個(gè)因素是需要考慮的：

　　1.在每一個(gè)虛擬環(huán)境中都有什么樣的業(yè)務(wù)需求?哪些人需要訪問(wèn)哪個(gè)虛擬環(huán)境?

　　2.目前你的虛擬環(huán)境所面臨著怎樣的風(fēng)險(xiǎn)?是否存在錯(cuò)誤配置，是否有遺漏的系統(tǒng)補(bǔ)丁，是否存在可二次開(kāi)發(fā)的開(kāi)放端口。

　　3.如何應(yīng)用或改善最小特權(quán)原則，以確保只有在業(yè)務(wù)需要時(shí)才可以訪問(wèn)系統(tǒng)?

　　4.如果虛擬化安全控制出現(xiàn)問(wèn)題，在使用Metasploit工具防止弱點(diǎn)的二次開(kāi)發(fā)時(shí)，還有哪些阻礙?

　　如何在虛擬化防火墻策略中分割流量

　　一旦你決定做這些事情，你就得退一步想想看，在使用虛擬化防火墻策略時(shí)，如何做流量分割更好，以及只讓需要的人員訪問(wèn)系統(tǒng)。它的存在形式可能是每個(gè)操作系統(tǒng)上運(yùn)行的傳統(tǒng)網(wǎng)絡(luò)防火墻和個(gè)人防火墻軟件。大多數(shù)部門(mén)都成功的將本地管理程序和OS控制機(jī)制與自身特點(diǎn)結(jié)合起來(lái)利用，以建立相關(guān)的安全虛擬環(huán)境的經(jīng)驗(yàn)。但是事實(shí)上，這種環(huán)境的安全性仍然無(wú)法與物理主機(jī)環(huán)境中的安全性相提并論。此外，在所有最簡(jiǎn)單的虛擬環(huán)境中，系統(tǒng)復(fù)雜程度會(huì)呈指數(shù)增長(zhǎng)，這將更難達(dá)到你所追求的安全性。

　　我非常確信，復(fù)雜性是安全的敵人，如果不是，那么環(huán)境中使用的一些工具的效果可能會(huì)更好，諸如VMware的vShield或來(lái)自第三方廠商的虛擬防火墻產(chǎn)品，如Reflex Systems，Altor Networks (現(xiàn)在已經(jīng)被Juniper收購(gòu)了) 以及TBD Networks。如此以來(lái)，您還會(huì)在虛擬環(huán)境中得到更佳的可視性，更精細(xì)的控制力，以及更優(yōu)的系統(tǒng)性能和可擴(kuò)展性。

　　LAN中的安全漏洞

　　有一點(diǎn)你需要牢記，那就是你永遠(yuǎn)不要低估來(lái)自內(nèi)部的技術(shù)水平和意圖。我發(fā)現(xiàn)的虛擬環(huán)境中的大多數(shù)弱點(diǎn)使用免費(fèi)工具或按照書(shū)本中、網(wǎng)頁(yè)上中指導(dǎo)的步驟就能很容易的進(jìn)行二次開(kāi)發(fā)。惡意軟件也是一樣。