CIO聚焦虛擬化安全：四問虛擬防火墻

　　

    需要注意的是，虛擬技術可能成黑客的幫手。如果企業一味擴大虛擬化產品，而對虛擬機與物理服務器的本質區別熟視無睹的話，那么他們遲早會給入侵者開辟新的方便之門，使之順利進入到數據中心。業界目前還無法精準地確定這類威脅的本質，因為它們尚未切實發生過。

　　

    一位安全高手表示：虛擬化技術存在安全漏洞，這在VMware和AMD公司的產品中都曾出現過。另外，黑客還可以利用虛擬化技術來隱藏病毒、特洛伊木馬及其他各種惡意軟件的蹤跡。

　　

    有專家表示：在虛擬化的新一代數據中心基礎設施中，每款虛擬設備及其系統和網段都必須根據最佳實踐進行管理和控制。這些實踐應包括：

　　

    1、為所有虛擬機及各類型虛擬機上運行的所有應有程序建立黃金標準，應用安全及版本和補丁管理控制。

　　

    2、通過虛擬防火墻、防惡意軟件和虛擬設備管理功能強制實施所定策略。

　　

    3、依據虛擬機類型進行適當的邏輯和物理隔離。例如：應將虛擬Web服務器與虛擬數據庫服務器進行隔離。

　　

    4、適當調整網絡入侵檢測系統或是監控器來監視非法的及惡意的虛擬機流量。

　　

    虛擬防火墻護安全

　　

    監控虛擬系統里的應用系統的虛擬防火墻是一個新生事物，其產品在國內還沒有出現。為了對其有更多的了解，記者就以下問題詢問了Stonesoft中國區經理張研。

　　

    一、虛擬防火墻產生的原因是什么?

　　

    張研向記者介紹，有三個原因促使虛擬防火墻的出現。

　　

    1、由于在虛擬系統里面需要部署很多的應用系統，需要對各個應用系統之間的安全進行防護和訪問控制，同時，需要監控和限制各個應用系統之間的流量。

　　

    2、由于IDC或者MSSP(管理安全服務提供商)等服務商需要部署虛擬防火墻給不同的用戶來使用，同時可以實現對用戶的防火墻進行統一集中管理。

　　

    3、每個物理防火墻的投資成本比較高，而且維護費用高。

 

　　

    二、虛擬防火墻和傳統防火墻的區別

　　

    傳統防火墻是一個物理的實體,而虛擬防火墻是在這個物理實體里面可以劃分多個虛擬的防火墻。虛擬防火墻的某些功能甚至比傳統防火墻做的還要好。比如StoneGate的虛擬防火墻可以監控部署在虛擬系統中的各個應用系統之間的流量，實施訪問控制。

　　

    三、虛擬防火墻部署在什么位置?

　　

    1、可以部署在核心交換機和主要服務器群的位置。

　　

    2、可以部署在物理網絡和虛擬網絡之間。

　　

    3、可以部署在兩個虛擬網絡之間。

　　

    四、軟件虛擬防火墻和硬件虛擬防火墻有什么區別，應用環境和要求有什么不同?

　　

    硬件虛擬防火墻主要是指可以將一臺傳統防火墻在邏輯上劃分成多臺虛擬的防火墻，每個虛擬防火墻系統都可以被看成是一臺完全獨立的防火墻設備，可擁有獨立的系統資源、管理員、安全策略、用戶認證數據庫等。

　　

    由于虛擬防火墻功能可將資源分別獨立分配給各個虛擬的系統，彼此之間互不干擾，因此當一個虛擬系統因抵御黑客攻擊耗費大量資源的時候，另一個虛擬系統的資源卻不受任何影響，從而有效保證網絡其他應用的正常運行。軟件虛擬防火墻支持的應用環境可以更靈活，像StoneGate軟件虛擬防火墻目前主要支持VMware系統、VM Workstation和VM ESX Server。軟件虛擬防火墻最主要的環境要求還是看硬件系統是否足夠強大，包括：CPU、內存、硬盤等等。