2�����、通過虛擬防火墻���、防惡意軟件和虛擬設(shè)備管理功能強制實施所定策略��。
3�、依據(jù)虛擬機類型進行適當(dāng)?shù)倪壿嫼臀锢砀綦x��。例如:應(yīng)將虛擬Web服務(wù)器與虛擬數(shù)據(jù)庫服務(wù)器進行隔離�。
4、適當(dāng)調(diào)整網(wǎng)絡(luò)入侵檢測系統(tǒng)或是監(jiān)控器來監(jiān)視非法的及惡意的虛擬機流量��。
虛擬防火墻護安全
監(jiān)控虛擬系統(tǒng)里的應(yīng)用系統(tǒng)的虛擬防火墻是一個新生事物�����,其產(chǎn)品在國內(nèi)還沒有出現(xiàn)�����。為了對其有更多的了解,記者就以下問題詢問了Stonesoft中國區(qū)經(jīng)理張研�。
一、虛擬防火墻產(chǎn)生的原因是什么����?
張研向記者介紹,有三個原因促使虛擬防火墻的出現(xiàn)�。
1、由于在虛擬系統(tǒng)里面需要部署很多的應(yīng)用系統(tǒng)��,需要對各個應(yīng)用系統(tǒng)之間的安全進行防護和訪問控制�����,同時����,需要監(jiān)控和限制各個應(yīng)用系統(tǒng)之間的流量����。
2、由于IDC或者MSSP(管理安全服務(wù)提供商)等服務(wù)商需要部署虛擬防火墻給不同的用戶來使用�,同時可以實現(xiàn)對用戶的防火墻進行統(tǒng)一集中管理。
3�、每個物理防火墻的投資成本比較高���,而且維護費用高。
二�、虛擬防火墻和傳統(tǒng)防火墻的區(qū)別
傳統(tǒng)防火墻是一個物理的實體,而虛擬防火墻是在這個物理實體里面可以劃分多個虛擬的防火墻。虛擬防火墻的某些功能甚至比傳統(tǒng)防火墻做的還要好��。比如StoneGate的虛擬防火墻可以監(jiān)控部署在虛擬系統(tǒng)中的各個應(yīng)用系統(tǒng)之間的流量����,實施訪問控制。
三���、虛擬防火墻部署在什么位置�����?
1��、可以部署在核心交換機和主要服務(wù)器群的位置�����。
2�����、可以部署在物理網(wǎng)絡(luò)和虛擬網(wǎng)絡(luò)之間�����。
3�、可以部署在兩個虛擬網(wǎng)絡(luò)之間。
四���、軟件虛擬防火墻和硬件虛擬防火墻有什么區(qū)別�,應(yīng)用環(huán)境和要求有什么不同�?
硬件虛擬防火墻主要是指可以將一臺傳統(tǒng)防火墻在邏輯上劃分成多臺虛擬的防火墻,每個虛擬防火墻系統(tǒng)都可以被看成是一臺完全獨立的防火墻設(shè)備�,可擁有獨立的系統(tǒng)資源、管理員�、安全策略、用戶認(rèn)證數(shù)據(jù)庫等����。
由于虛擬防火墻功能可將資源分別獨立分配給各個虛擬的系統(tǒng)���,彼此之間互不干擾�����,因此當(dāng)一個虛擬系統(tǒng)因抵御黑客攻擊耗費大量資源的時候���,另一個虛擬系統(tǒng)的資源卻不受任何影響����,從而有效保證網(wǎng)絡(luò)其他應(yīng)用的正常運行���。
軟件虛擬防火墻支持的應(yīng)用環(huán)境可以更靈活���,像StoneGate軟件虛擬防火墻目前主要支持VMware系統(tǒng)、VM Workstation和VM ESX Server�。軟件虛擬防火墻最主要的環(huán)境要求還是看硬件系統(tǒng)是否足夠強大,包括:CPU�、內(nèi)存、硬盤等等�。
