更好的實施虛擬防火牆策略

　任何企業網絡都會有很多虛擬環境。有趣的是，我發現大多數虛擬服務器和VLAN環境都沒有對攻擊進行任何的防范。僅僅是因為虛擬環境是你“四堵牆”內事，並不是所有人都可以自由訪問。而這也正是虛擬防火牆策略可以對你有所幫助的地方。

　　想要讓虛擬防火牆策略實施得更加有意義，以下幾個因素是需要考慮的：

　　1.在每一個虛擬環境中都有什麼樣的業務需求?哪些人需要訪問哪個虛擬環境?

　　2.目前你的虛擬環境所面臨著怎樣的風險?是否存在錯誤配置，是否有遺漏的系統補丁，是否存在可二次開發的開放端口。

　　3.如何應用或改善最小特權原則，以確保只有在業務需要時才可以訪問系統?

　　4.如果虛擬化安全控制出現問題，在使用Metasploit工具防止弱點的二次開發時，還有哪些阻礙?

　　如何在虛擬化防火牆策略中分割流量

　　一旦你決定做這些事情，你就得退一步想想看，在使用虛擬化防火牆策略時，如何做流量分割更好，以及只讓需要的人員訪問系統。它的存在形式可能是每個操作系統上運行的傳統網絡防火牆和個人防火牆軟件。大多數部門都成功的將本地管理程序和OS控制機制與自身特點結合起來利用，以建立相關的安全虛擬環境的經驗。但是事實上，這種環境的安全性仍然無法與物理主機環境中的安全性相提並論。此外，在所有最簡單的虛擬環境中，系統復雜程度會呈指數增長，這將更難達到你所追求的安全性。

　　我非常確信，復雜性是安全的敵人，如果不是，那麼環境中使用的一些工具的效果可能會更好，諸如VMware的vShield或來自第三方廠商的虛擬防火牆產品，如Reflex Systems，Altor Networks (現在已經被Juniper收購了) 以及TBD Networks。如此以來，您還會在虛擬環境中得到更佳的可視性，更精細的控制力，以及更優的系統性能和可擴展性。

　　LAN中的安全漏洞

　　有一點你需要牢記，那就是你永遠不要低估來自內部的技術水平和意圖。我發現的虛擬環境中的大多數弱點使用免費工具或按照書本中、網頁上中指導的步驟就能很容易的進行二次開發。惡意軟件也是一樣。