虛擬IDS、IPS安全策略分析

　　入侵防護系統（IPS）是被放置在傳統的物理網絡區域內的，不可能輕易地融入到一個虛擬的環境中，尤其是虛擬網絡流量。一個基於主機的入侵檢測系統（IDS）在虛擬機上仍可以正常運行，但它現在將使用其從共享工具上提取的資源，使得防御網絡不能正常安裝。

　　IDS/IPS安全實施戰略如下所述：

　　位於主機和網絡層的入侵檢測系統和防御系統是當今信息安全的主要產品。然而隨著虛擬技術的出現，許多網絡安全專家已經意識到傳統的入侵檢測系統已經不能如以前融入到傳統的企業基礎設施中一樣融入或是在虛擬的網絡或系統中工作。

　　例如，網絡入侵檢測可能會更加困難，因為主要平台供應商的默認虛擬交換機不允許用來建立交換端 口分析器（SPAN）或鏡像端口，防止流量被復制到入侵檢測系統（IDS）傳感器。同樣地，入侵防護系統（IPS）是被放置在傳統的物理網絡區域內的，不 可能輕易地融入到一個虛擬的環境中，尤其是虛擬網絡流量。一個基於主機的入侵檢測系統（IDS）在虛擬機上仍可以正常運行，但它現在將使用其從共享工具上 提取的資源，使得防御網絡不能正常安裝。

　　幸運的是，有很多的方法可以用來調整IDS/IPS 實施策略和監控虛擬系統流量。這就是我們要在此提出的。對於初學者來說，VMware公司的虛擬交換機或端口組分為“混合模式”，在這種模式下一個虛擬 IDS傳感器可以在相同的虛擬部件上監測到流量。此外，流量可能會到達被物理IDS傳感器監控的接口。現在有許多有效的開放源碼和第三方虛擬交換機是可以 用操作傳統交換機的方法來操作的。

　　對於思傑系統公司（Citrix Systems Inc.），內核虛擬機（KVMs），和甲骨文公司（Oracle Corp.）的VirtualBox的平台來說，開放虛擬交換標准（Open vSwithch）提供了一個完全特定的虛擬交換機，這為流量鏡像和流量監控建立了SPAN端口。思科系統公司（Cisco Sywtems Inc.）的Nexus 1000V商業交換機具有相同的功能，並使用著名的思科IOS命令行界面。這些交換機都支持流量數據采集和分析，也可以用於系統和網絡之間的形為監控。

　　除了重新設計他們的系統和使用更多的多功能虛擬交換機以外，網絡安全專家們應該研究虛擬設備格式化的開放源碼和商業入侵檢測及防御辦法。許多著 名的企業，如Sourcefire Inc.，惠普TippingPoint和IBM ISS，也已經將其現有的IDS和IPS平台轉移到一個虛擬設備中。這些虛擬設備都可以很容易地融入到虛擬網絡中，提供虛擬機之間，虛擬和物理網絡之間的 流量監控。

　　如今市場上專業的虛擬產品是Reflex Systems LLC、 Catbird Networks 和HyTrust等公司的產品，這些產品在虛擬環境中提供基礎的流量監控與分析。雖然他們並非真正命名為入侵檢測系統，但是這些產品可以增加一個更為傳統 的IDS / IPS，用來進行粒狀的流量監控和訪問控制以及為虛擬網絡獲得更大的安全行為分析。