您現(xiàn)在的位置:首頁 >關(guān)于我們 >行業(yè)新聞 >虛擬化安全焦點:虛擬防火墻的妙處?

虛擬化安全焦點:虛擬防火墻的妙處?

時間:2011年1月9日

  服務(wù)器虛擬化給人一種勢不可擋的感覺。市場調(diào)研公司IDC預(yù)測,到2011年底這個市場的平均年增長率為27%,全球銷售額預(yù)計將達(dá)到35億美元。需要注意的是,虛擬技術(shù)可能成黑客的幫手。如果企業(yè)一味擴(kuò)大虛擬化產(chǎn)品,而對虛擬機與物理服務(wù)器的本質(zhì)區(qū)別熟視無睹的話,那么他們遲早會給入侵者開辟新的方便之門,使之順利進(jìn)入到數(shù)據(jù)中心。業(yè)界目前還無法精準(zhǔn)地確定這類威脅的本質(zhì),因為它們尚未切實發(fā)生過。

  有專家表示:在虛擬化的新一代數(shù)據(jù)中心基礎(chǔ)設(shè)施中,每款虛擬設(shè)備及其系統(tǒng)和網(wǎng)段都必須根據(jù)最佳實踐進(jìn)行管理和控制。這些實踐應(yīng)包括:   (vps主機)

  1、為所有虛擬機及各類型虛擬機上運行的所有應(yīng)有程序建立黃金標(biāo)準(zhǔn),應(yīng)用安全及版本和補丁管理控制。

  2、通過虛擬防火墻、防惡意軟件和虛擬設(shè)備管理功能強制實施所定策略。

  3、依據(jù)虛擬機類型進(jìn)行適當(dāng)?shù)倪壿嫼臀锢砀綦x。例如:應(yīng)將虛擬Web服務(wù)器與虛擬數(shù)據(jù)庫服務(wù)器進(jìn)行隔離。

  4、適當(dāng)調(diào)整網(wǎng)絡(luò)入侵檢測系統(tǒng)或是監(jiān)控器來監(jiān)視非法的及惡意的虛擬機流量。

  監(jiān)控虛擬系統(tǒng)里的應(yīng)用系統(tǒng)的虛擬防火墻是一個新生事物,其產(chǎn)品在國內(nèi)還沒有出現(xiàn)。為了對其有更多的了解,記者就以下問題詢問了Stonesoft中國區(qū)經(jīng)理張研。

一、虛擬防火墻產(chǎn)生的原因是什么?

  1、由于在虛擬系統(tǒng)里面需要部署很多的應(yīng)用系統(tǒng),需要對各個應(yīng)用系統(tǒng)之間的安全進(jìn)行防護(hù)和訪問控制,同時,需要監(jiān)控和限制各個應(yīng)用系統(tǒng)之間的流量。

  2、由于IDC或者M(jìn)SSP(管理安全服務(wù)提供商)等服務(wù)商需要部署虛擬防火墻給不同的用戶來使用,同時可以實現(xiàn)對用戶的防火墻進(jìn)行統(tǒng)一集中管理。

  3、每個物理防火墻的投資成本比較高,而且維護(hù)費用高。

二、虛擬防火墻和傳統(tǒng)防火墻的區(qū)別

  傳統(tǒng)防火墻是一個物理的實體,而虛擬防火墻是在這個物理實體里面可以劃分多個虛擬的防火墻。虛擬防火墻的某些功能甚至比傳統(tǒng)防火墻做的還要好。比如StoneGate的虛擬防火墻可以監(jiān)控部署在虛擬系統(tǒng)中的各個應(yīng)用系統(tǒng)之間的流量,實施訪問控制。   (服務(wù)器租用)

三、虛擬防火墻部署在什么位置?

  1、可以部署在核心交換機和主要服務(wù)器群的位置。

  2、可以部署在物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)之間。

  3、可以部署在兩個虛擬網(wǎng)絡(luò)之間。

四、軟件虛擬防火墻和硬件虛擬防火墻有什么區(qū)別,應(yīng)用環(huán)境和要求有什么不同?

  由于虛擬防火墻功能可將資源分別獨立分配給各個虛擬的系統(tǒng),彼此之間互不干擾,因此當(dāng)一個虛擬系統(tǒng)因抵御黑客攻擊耗費大量資源的時候,另一個虛擬系統(tǒng)的資源卻不受任何影響,從而有效保證網(wǎng)絡(luò)其他應(yīng)用的正常運行。軟件虛擬防火墻支持的應(yīng)用環(huán)境可以更靈活,像StoneGate軟件虛擬防火墻目前主要支持VMware系統(tǒng)、VM Workstation和VM ESX Server。軟件虛擬防火墻最主要的環(huán)境要求還是看硬件系統(tǒng)是否足夠強大,包括:CPU、內(nèi)存、硬盤等等。

Copyright© 2004-2020 河南海騰電子技術(shù)有限公司 版權(quán)所有   經(jīng)營性ICP/ISP證 備案號:B1-20180452   豫公網(wǎng)安備 41019702002018號    電子營業(yè)執(zhí)照