虛擬交換機(jī)在保護(hù)虛擬基礎(chǔ)設(shè)施安全方面發(fā)揮了重要作用，所以了解如何應(yīng)用VMware vSwitch安全配置，能夠?qū)⒛愕奶摂M基礎(chǔ)設(shè)施被入侵的幾率降到最低。

為了保護(hù)虛擬網(wǎng)絡(luò)環(huán)境，你需要評(píng)估哪里是最危險(xiǎn)的地方。為外部用戶提供服務(wù)的虛擬機(jī)可能是最脆弱的一環(huán)，因此最需要對(duì)其加強(qiáng)保護(hù)。從操作系統(tǒng)層面上看，虛擬網(wǎng)卡和物理網(wǎng)卡是完全相同的，這意味能夠訪問虛擬網(wǎng)卡的攻擊者就可以進(jìn)行和在物理網(wǎng)卡上相同的攻擊，比如在網(wǎng)絡(luò)中實(shí)施拒絕服務(wù)攻擊。

VMware vSwitch提供了一些安全措施可以阻止惡意行為，或者限制接口上允許通過的最大流量。下面是如何實(shí)施這些安全配置的方法。

1. 打開vSphere Client。進(jìn)入主機(jī)的“配置”標(biāo)簽頁，在硬件列表中選擇網(wǎng)絡(luò)連接，會(huì)顯示VMware vSwitch的當(dāng)前配置。

2. 在你想要配置的vSwitch上選擇屬性。之后，彈出的新窗口中將會(huì)顯示vSwitch的現(xiàn)有端口以及現(xiàn)在應(yīng)用的屬性。

3. 選擇你想要配置安全設(shè)定的端口，點(diǎn)擊編輯。之后，點(diǎn)擊安全標(biāo)簽頁進(jìn)行激活。這里會(huì)顯示所選端口上三個(gè)可用的、默認(rèn)的安全設(shè)定。

圖1. 從VMware vSwitch屬性中，你可以看到已經(jīng)配置的所有端口。

配置VMware vSwitch安全策略

你需要決定的第一項(xiàng)vSwitch安全策略就是否使用混雜模式?；祀s模式會(huì)攔截并監(jiān)測(cè)網(wǎng)卡發(fā)送給其他節(jié)點(diǎn)的所有流量。這種模式默認(rèn)是關(guān)閉的，但是如果管理員想要進(jìn)行網(wǎng)絡(luò)安全分析，可以將其啟用。混雜模式允許主機(jī)監(jiān)測(cè)所有經(jīng)過虛擬交換機(jī)的網(wǎng)絡(luò)流量，也就可以幫助你分析網(wǎng)絡(luò)中的所有活動(dòng)。但是，管理員只能在進(jìn)行安全分析時(shí)使用這個(gè)模式，因?yàn)樗鼤?huì)影響網(wǎng)絡(luò)性能。

第二種安全策略是用戶可以指定是否允許虛擬網(wǎng)卡的MAC地址發(fā)生變化。這個(gè)特性默認(rèn)是激活的，允許操作系統(tǒng)在不同情況下改變MAC地址。當(dāng)你需要這種特性時(shí)，比如連接到iSCSI存儲(chǔ)區(qū)域網(wǎng)絡(luò)或者啟用微軟網(wǎng)絡(luò)負(fù)載均衡特性時(shí)，這種默認(rèn)設(shè)定可以起到很大幫助。但是如果你的環(huán)境中沒有使用這些功能，最好關(guān)閉這個(gè)特新，這樣攻擊者就不能改變MAC地址，或者偽造虛擬主機(jī)的IP地址了。

第三種可以加強(qiáng)VMware vSwitch安全的方式是拒絕虛假流量。拒絕虛假流量意味著虛擬機(jī)(VM)將會(huì)對(duì)比數(shù)據(jù)包的源MAC地址和其網(wǎng)卡的真實(shí)MAC地址，來查看他們是否匹配。如果兩者不相同，ESXi主機(jī)會(huì)丟棄這些數(shù)據(jù)包，阻止虛擬機(jī)發(fā)送網(wǎng)絡(luò)流量。

這種特性默認(rèn)是開啟的，因?yàn)橛袝r(shí)需要使用這種方式來避免軟件授權(quán)問題。比如，如果物理機(jī)上的軟件只授權(quán)給指定的MAC地址，其在虛擬機(jī)上就不能正常工作，因?yàn)樘摂M機(jī)的MAC地址不同。在這種情況下，允許虛假流量可以讓你通過偽造虛擬機(jī)的MAC地址來使用軟件。

但是，允許虛假流量將會(huì)帶來安全隱患。如果管理員只授權(quán)指定MAC地址訪問網(wǎng)絡(luò)，那么入侵者就可以就將自己未授權(quán)的MAC地址更改為已授權(quán)的。

圖2. 調(diào)整虛擬機(jī)的安全策略

流量整形是另外一種可以增強(qiáng)安全性的VMware vSwitch屬性。打開這種特性之后，你可以限定連接到vSwitch虛擬網(wǎng)卡的可用帶寬。這個(gè)設(shè)定不會(huì)影響網(wǎng)絡(luò)的整體性能，只是為每個(gè)網(wǎng)絡(luò)接口設(shè)定限制值。設(shè)定這種限制可以起到一些幫助，因?yàn)橄薅ㄆ骄鶐挕⒆畲髱捄屯话l(fā)值可以防止一個(gè)節(jié)點(diǎn)占用交換機(jī)和網(wǎng)路的所有帶寬，對(duì)于防止DOS攻擊是一種不錯(cuò)的方式。

圖3. 通過設(shè)定每個(gè)接口可用帶寬的最大值，可以防止DOS攻擊

如你所見，一些VMware vSwitch默認(rèn)安全設(shè)定是針對(duì)可用性、而不是安全性的。通過一些簡單的改變，就可以提高虛擬機(jī)的安全等級(jí)，降低外在網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。