任何企業(yè)網(wǎng)絡(luò)都會有很多虛擬環(huán)境���。有趣的是,我發(fā)現(xiàn)大多數(shù)虛擬服務(wù)器和VLAN環(huán)境都沒有對攻擊進(jìn)行任何的防范��。僅僅是因為虛擬環(huán)境是你“四堵墻”內(nèi)事���,并不是所有人都可以自由訪問。而這也正是虛擬防火墻策略可以對你有所幫助的地方��。
想要讓虛擬防火墻策略實施得更加有意義�,以下幾個因素是需要考慮的:
1.在每一個虛擬環(huán)境中都有什么樣的業(yè)務(wù)需求?哪些人需要訪問哪個虛擬環(huán)境?
2.目前你的虛擬環(huán)境所面臨著怎樣的風(fēng)險?是否存在錯誤配置,是否有遺漏的系統(tǒng)補(bǔ)丁����,是否存在可二次開發(fā)的開放端口����。
3.如何應(yīng)用或改善最小特權(quán)原則�,以確保只有在業(yè)務(wù)需要時才可以訪問系統(tǒng)?
4.如果虛擬化安全控制出現(xiàn)問題,在使用Metasploit工具防止弱點的二次開發(fā)時�����,還有哪些阻礙?
如何在虛擬化防火墻策略中分割流量
一旦你決定做這些事情��,你就得退一步想想看��,在使用虛擬化防火墻策略時��,如何做流量分割更好�����,以及只讓需要的人員訪問系統(tǒng)��。它的存在形式可能是每個操作系統(tǒng)上運行的傳統(tǒng)網(wǎng)絡(luò)防火墻和個人防火墻軟件�����。大多數(shù)部門都成功的將本地管理程序和OS控制機(jī)制與自身特點結(jié)合起來利用��,以建立相關(guān)的安全虛擬環(huán)境的經(jīng)驗。但是事實上�����,這種環(huán)境的安全性仍然無法與物理主機(jī)環(huán)境中的安全性相提并論�。此外,在所有最簡單的虛擬環(huán)境中�,系統(tǒng)復(fù)雜程度會呈指數(shù)增長,這將更難達(dá)到你所追求的安全性��。
我非常確信�����,復(fù)雜性是安全的敵人���,如果不是����,那么環(huán)境中使用的一些工具的效果可能會更好�,諸如VMware的vShield或來自第三方廠商的虛擬防火墻產(chǎn)品���,如Reflex Systems����,Altor Networks (現(xiàn)在已經(jīng)被Juniper收購了) 以及TBD Networks。如此以來�����,您還會在虛擬環(huán)境中得到更佳的可視性���,更精細(xì)的控制力���,以及更優(yōu)的系統(tǒng)性能和可擴(kuò)展性。
LAN中的安全漏洞
有一點你需要牢記�,那就是你永遠(yuǎn)不要低估來自內(nèi)部的技術(shù)水平和意圖。我發(fā)現(xiàn)的虛擬環(huán)境中的大多數(shù)弱點使用免費工具或按照書本中�、網(wǎng)頁上中指導(dǎo)的步驟就能很容易的進(jìn)行二次開發(fā)。惡意軟件也是一樣���。
