国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　虛擬互換機(jī)在呵護(hù)虛擬根本舉措措施安然方面闡揚(yáng)了首要感化，所以體味若何利用VMware vSwitch安然建設(shè)，可以或許將你的虛擬根本舉措措施被進(jìn)侵的概率降到最低。

　　為了呵護(hù)虛擬收集環(huán)境，你需要評估哪里是最危險(xiǎn)的處所。為外部用戶供給辦事的虛擬機(jī)多是最脆弱的一環(huán)，是以最需要對其加強(qiáng)呵護(hù)。從把持系統(tǒng)層面上看，虛擬網(wǎng)卡和物理網(wǎng)卡是完全不異的，這意味可以或許拜候虛擬網(wǎng)卡的報(bào)復(fù)打擊者便可以進(jìn)行和在物理網(wǎng)卡上不異的報(bào)復(fù)打擊，好比在收集中實(shí)施拒盡辦事報(bào)復(fù)打擊。

　　VMware vSwitch供給了一些安然辦法可以禁止歹意行動(dòng)，或限制接口上承諾經(jīng)由過程的最大年夜流量。下面是若何實(shí)施這些安然建設(shè)的編制。

　　1. 打開vSphere Client。進(jìn)進(jìn)主機(jī)的“建設(shè)”標(biāo)簽頁，在硬件列表當(dāng)選擇收集連接，會顯示VMware vSwitch的當(dāng)前建設(shè)。

　　2. 在你想要建設(shè)的vSwitch上選擇屬性。以后，彈出的新窗口中將會顯示vSwitch的現(xiàn)有端口和此刻利用的屬性。

　　3. 選擇你想要建設(shè)安然設(shè)定的端口，點(diǎn)擊編纂。以后，點(diǎn)擊安然標(biāo)簽頁進(jìn)行激活。這里會顯示所選端口上三個(gè)可用的、默許的安然設(shè)定。

　　圖1. 從VMware vSwitch屬性中，你可以看到已建設(shè)的所有端口。

　　建設(shè)VMware vSwitch安然策略

　　你需要決定的第一項(xiàng)vSwitch安然策略就是不是利用稠濁模式。稠濁模式會反對并監(jiān)測網(wǎng)卡發(fā)送給其他節(jié)點(diǎn)的所有流量。這類模式默許是封鎖的，可是假定治理員想要進(jìn)行收集安然闡發(fā)，可以將其啟用。稠濁模式承諾主機(jī)監(jiān)測所有顛末虛擬互換機(jī)的收集流量，也便可以幫忙你闡發(fā)收集中的所有勾當(dāng)。可是，治理員只能在進(jìn)行安然闡發(fā)時(shí)利用這個(gè)模式，因?yàn)樗鼤绊懯占瘷C(jī)能。

　　第二種安然策略是用戶可以指定是不是承諾虛擬網(wǎng)卡的MAC地址產(chǎn)生改變。這個(gè)特點(diǎn)默許是激活的，承諾把持系統(tǒng)在不合環(huán)境下改變MAC地址。當(dāng)你需要這類特點(diǎn)時(shí)，好比連接到iSCSI存儲區(qū)域收集或啟用微軟收集負(fù)載均衡特點(diǎn)時(shí)，這類默許設(shè)定可以起到很大年夜幫忙?？墒羌俣愕沫h(huán)境中沒有益用這些功能，最好封鎖這個(gè)特新，如許報(bào)復(fù)打擊者就不克不及改變MAC地址，或捏造虛擬主機(jī)的IP地址了。

　　第三種可以加強(qiáng)VMware vSwitch安然的編制是拒盡子虛流量。拒盡子虛流量意味著虛擬機(jī)(VM)將會對比數(shù)據(jù)包的源MAC地址和其網(wǎng)卡的真實(shí)MAC地址，來查看他們是不是匹配。假定二者不不異，ESXi主機(jī)緣丟棄這些數(shù)據(jù)包，禁止虛擬機(jī)發(fā)送收集流量。

　　這類特點(diǎn)默許是開啟的，因?yàn)橛袝r(shí)需要利用這類編制來避免軟件授權(quán)標(biāo)題問題。好比，假定物理機(jī)上的軟件只授權(quán)給指定的MAC地址，其在虛擬機(jī)上就不克不及正常工作，因?yàn)樘摂M機(jī)的MAC地址不合。在這類環(huán)境下，承諾子虛流量可讓你經(jīng)由過程捏造虛擬機(jī)的MAC地址來利用軟件。

　　可是，承諾子虛流量將會帶來安然隱患。假定治理員只授權(quán)指定MAC地址拜候收集，那么進(jìn)侵者便可以就將本身未授權(quán)的MAC地址更改成已授權(quán)的。

　　流量整形是別的一種可以加強(qiáng)安然性的VMware vSwitch屬性。打開這類特點(diǎn)以后，你可以限制連接到vSwitch虛擬網(wǎng)卡的可用帶寬。這個(gè)設(shè)定不會影響收集的整體機(jī)能，只是為每個(gè)收集接口設(shè)定限制值。設(shè)定這類限制可以起到一些幫忙，因?yàn)橄拗破骄鶐挕⒆畲竽暌箮捄屯话l(fā)值可以避免一個(gè)節(jié)點(diǎn)占用互換機(jī)和網(wǎng)路的所有帶寬，對避免DOS報(bào)復(fù)打擊是一種不錯(cuò)的編制。

　　圖2. 經(jīng)由過程設(shè)定每個(gè)接口可用帶寬的最大年夜值，可以避免DOS報(bào)復(fù)打擊

　　如你所見，一些VMware vSwitch默許安然設(shè)定是針對可用性、而不是安然性的。經(jīng)由過程一些簡單的改變，便可以進(jìn)步虛擬機(jī)的安然等第，降落外在收集報(bào)復(fù)打擊的風(fēng)險(xiǎn)。