如何更好的实施虚拟防火墙策略?

日期: 2011-04-17 作者:Kevin Beaver翻译:杨亚男 来源:TechTarget中国 英文

任何企业网络都会有很多虚拟环境。有趣的是,我发现大多数虚拟服务器和VLAN环境都没有对攻击进行任何的防范。仅仅是因为虚拟环境是你“四堵墙”内事,并不是所有人都可以自由访问。而这也正是虚拟防火墙策略可以对你有所帮助的地方。

  想要让虚拟防火墙策略实施得更加有意义,以下几个因素是需要考虑的:   1.在每一个虚拟环境中都有什么样的业务需求?哪些人需要访问哪个虚拟环境?   2.目前你的虚拟环境所面临着怎样的风险?是否存在错误配置,是否有遗漏的系统补丁,是否存在可二次开发的开放端口。   3.如何应用或改善最小特权原则,以确保只有在业务需要时才可以访问系统?   4.如果虚拟化安全控制出现问题,在……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

任何企业网络都会有很多虚拟环境。有趣的是,我发现大多数虚拟服务器和VLAN环境都没有对攻击进行任何的防范。仅仅是因为虚拟环境是你“四堵墙”内事,并不是所有人都可以自由访问。而这也正是虚拟防火墙策略可以对你有所帮助的地方。

  想要让虚拟防火墙策略实施得更加有意义,以下几个因素是需要考虑的:

  1.在每一个虚拟环境中都有什么样的业务需求?哪些人需要访问哪个虚拟环境?

  2.目前你的虚拟环境所面临着怎样的风险?是否存在错误配置,是否有遗漏的系统补丁,是否存在可二次开发的开放端口。

  3.如何应用或改善最小特权原则,以确保只有在业务需要时才可以访问系统?

  4.如果虚拟化安全控制出现问题,在使用Metasploit工具防止弱点的二次开发时,还有哪些阻碍?

  如何在虚拟化防火墙策略中分割流量

  一旦你决定做这些事情,你就得退一步想想看,在使用虚拟化防火墙策略时,如何做流量分割更好,以及只让需要的人员访问系统。它的存在形式可能是每个操作系统上运行的传统网络防火墙和个人防火墙软件。大多数部门都成功的将本地管理程序和OS控制机制与自身特点结合起来利用,以建立相关的安全虚拟环境的经验。但是事实上,这种环境的安全性仍然无法与物理主机环境中的安全性相提并论。此外,在所有最简单的虚拟环境中,系统复杂程度会呈指数增长,这将更难达到你所追求的安全性。

  我非常确信,复杂性是安全的敌人,如果不是,那么环境中使用的一些工具的效果可能会更好,诸如VMware的vShield或来自第三方厂商的虚拟防火墙产品,如Reflex Systems,Altor Networks (现在已经被Juniper收购了) 以及TBD Networks。如此以来,您还会在虚拟环境中得到更佳的可视性,更精细的控制力,以及更优的系统性能和可扩展性。

  LAN中的安全漏洞

  有一点你需要牢记,那就是你永远不要低估来自内部的技术水平和意图。我发现的虚拟环境中的大多数弱点使用免费工具或按照书本中、网页上中指导的步骤就能很容易的进行二次开发。恶意软件也是一样。

作者

Kevin Beaver
Kevin Beaver

Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。

相关推荐