采用网络隔离措施

最新推荐文章于 2023-12-19 21:26:01 发布
最新推荐文章于 2023-12-19 21:26:01 发布
阅读量1.4k 收藏 3
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/103791083
版权

采用网络隔离措施

VMware vSphere 6.7 
 上次更新时间 2019年05月31日 0 
 
 添加到MyLibrary
<提出 新问题

网络隔离做法可大大增强vSphere环境中的网络安全性。

隔离管理网络

通过vSphere管理网络,可以访问每个组件上的vSphere管理界面。在管理界面上运行的服务为攻击者提供了获得对系统的特权访问的机会。远程攻击可能始于获得对该网络的访问权限。如果攻击者获得了对管理网络的访问权限,它将为进一步的入侵提供舞台。

通过在ESXi主机或群集上运行的最安全的VM的安全级别保护管理网络,严格控制对管理网络的访问。无论如何限制管理网络,管理员都必须有权访问该网络以配置ESXi主机和vCenter Server系统。

将vSphere管理端口组放在通用标准交换机上的专用VLAN中。如果生产VM不使用vSphere管理端口组的VLAN,则生产(VM)流量可以共享标准交换机。

检查该网段是否未被路由,除了找到其他与管理相关的实体的网络之外。对于vSphere Replication,路由网段可能很有意义。特别是,请确保生产VM流量不能路由到该网络。

通过使用以下方法之一,严格控制对管理功能的访问。
  • 对于特别敏感的环境,请配置受控网关或其他受控方法来访问管理网络。例如,要求管理员通过VPN连接到管理网络。只允许信任的管理员访问管理网络。
  • 配置运行管理客户端的跳转框。

隔离存储流量

确保隔离基于IP的存储流量。基于IP的存储包括iSCSI和NFS。VM可能会与基于IP的存储配置共享虚拟交换机和VLAN。这种类型的配置可能会将基于IP的存储流量暴露给未经授权的VM用户。

基于IP的存储经常不加密。有权访问此网络的任何人都可以查看基于IP的存储流量。要限制未授权用户查看基于IP的存储流量,请在逻辑上将基于IP的存储网络流量与生产流量分开。在VMkernel管理网络的不同VLAN或网段上配置基于IP的存储适配器,以限制未经授权的用户查看流量。

隔离vMotion流量

vMotion迁移信息以纯文本格式传输。有权访问此信息流经的网络的任何人都可以查看它。潜在的攻击者可以拦截vMotion流量以获得VM的内存内容。他们还可能发动MiTM攻击,在迁移过程中修改内容。

在隔离的网络上将vMotion流量与生产流量分开。将网络设置为不可路由,即,确保没有第3层路由器跨越该网络和其他网络,以防止外部访问该网络。

在通用标准交换机上为vMotion端口组使用专用VLAN。如果生产虚拟机未使用vMotion端口组的VLAN,则生产(VM)流量可以使用同一标准交换机。

allway2
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同网段的VLAN隔离
weixin_43075093的博客
03-17 2852
小型企业实现不同部门同网段IP之间的隔离,相同部门同网段之间互通
exsi双网卡实现网络隔离
web326的专栏
11-13 1138
今天接到一个需求:在公司内部的vm虚拟机上搭建一个CentOS虚拟机,通过VPN提供刚给外部友商使用并部署业务,来进行对接开发测试,并希望和现有的虚拟机、工作网络完全隔离,提高公司内部的数据安全性。 个人感觉已经到公司内部了,只能相对安全点。IT给的方案是,将虚拟机及通过MAC过来进行隔离,但是只能隔离到物理主机层,但是次主机上还有很多其他业务,不能因为此需求而给停止。 给出简单方案:启用双网...
(二)ESXI的安装、资源隔离、SAN组网以及新建虚拟机(linux虚拟化从入门到精通)
Until_U的博客
07-13 3398
声明:VMware ESXi是一款行业领先、 专门构建的裸机hypervisor。ESXI直接安装在物理服务器上,并将其划分为多个逻辑服务器即虚拟机。 本博客整理了ESXI的安装过程,并介绍ESXI资源隔离、SAN组网,以及在ESXI上如何创建虚拟机等相关介绍。 CONTENTS 1、安装ESXI 2、ESXI资源分隔 3、SAN组网 4、 新建虚拟机 5 、ESXI的一些说明 1、安装ESXI ESXI镜像和vclient客户端下载链接: 链 接: https:...
ESXI 6.5 配置 VLAN
ling
02-17 1万+
ESXI 6.5配置VLAN 背景介绍 ESXI 标准 vSwitch 支持自定义 VLAN ID,以实现网络隔离! 根据 VLAN ID 的不同,可分为三种网络: VLAN ID 0 阻止任何携带了 VLAN tag 的数据包 VLAN ID 4095 允许通过携带任何 VLAN tag 的数据包(trunk) VLAN ID 1~4094 仅允许携带指定 VLAN ID tag 的数据包 默认地,在未做更改的情况下,虚拟机往往是使用的 VLAN ID 为 0 的网络。 当我们需要虚拟机间的网卡能接收到携
【vsphere高可用】主机出现故障或隔离后的处理
hongdi也IT
07-15 2269
当主机出现故障或出现隔离后的处理方案
vSphere虚拟网络02 - 虚拟交换机
冰岛网子的专栏
05-23 4080
在之前的 vSphere虚拟网络01中,提到了vSphere中的两种虚拟交换机类型:标准交换机和分布式交换机。这篇里就虚拟交换机的知识进行一些深入的了解。首先,虚拟交换机就是从软件层面来模拟一个Layer2的交换机。在物理网络中,交换机在Layer2利用它维护的CAM表来做点到点的数据包传输。在虚拟网络中,虚拟交换机检测到连接到它的虚拟端口的虚拟机,然后用MAC来转发流量到正确的目的地(点到点)。...
网络安全 医院 网络隔离 数据安全
04-22
传统的网络隔离方法,如虚拟局域网(VLAN)隔离和访问权限隔离,虽然能在一定程度上划分网络区域,但它们存在明显的安全隐患。VLAN隔离依赖于路由器或三层交换机的配置,可能因管理员错误或权限泄露导致隔离失效;...
专用网络安全隔离系统的深度数据包过滤及数据审计关键技术研究.pdf
08-17
网络安全隔离系统是一种用于隔绝内外网络,防止非法入侵和信息泄露的安全措施,尤其对企业和政府机构的内部网络安全至关重要。然而,如何平衡过滤效率和内容安全之间的矛盾,以及如何为系统的安全审计提供准确的数据...
计算机网络信息安全及其防护措施.pdf
09-26
6. **强化网络基础设施安全**:采用安全的网络架构,如隔离敏感网络,设置多层防御,增强网络抵御攻击的能力。 7. **法律监管**:制定和完善相关法律法规,对网络犯罪行为进行打击,保障网络空间的法制环境。 8. *...
电力监控系统网络安全隔离技术研究及应用.pdf
09-19
通过采用“白名单”技术和智能流量监测,不仅可以增强边界防护,还能实现内部网络的深度防御,有效防止非法侵入和恶意攻击。未来,随着网络技术的不断发展,电力监控系统的网络安全策略也需要持续更新和完善,以适应...
关于设置VMware虚拟机里的IP所在网段与主机(Windows)电脑上的Ip所在网段一致的问题
Mr_XiMu的博客
10-31 2万+
关于设置VMware虚拟机里的IP所在网段与主机(Windows)电脑上的Ip所在网段一致的问题
一张图了解VMware vSphere网络架构
最新发布
m0_60444349的博客
12-19 2620
某个EXSI主机为例,虚拟机网卡->虚拟交换机端口组->虚拟机上行链路->物理网卡->物理交换机,完成从虚拟网络和物理网络的连通。如果物理交换机是划分了VLAN口,那么ESXI主机物理网卡连接的物理交换机端口设置成Trunk口,tag上物理网络中的VLAN ID,然后在虚拟交换机的端口组里做VLAN ID的设置之后,就把虚拟机连接到物理网络的VLAN里。注:标准交换机由ESXI主机创建,分布式交换机由 vCenter创建。单虚拟交换机和多虚拟交换机。标准交换机和分布式交换机。
VMware搭建虚拟机隔离内外网
知识就是生产力
03-27 1万+
VMware搭建虚拟机隔离内外网目的一、宿主机的配置二、VMware虚拟网卡配置1.配置外网的虚拟网卡2.配置内网的虚拟网卡(对应的无线网卡)1)添加一个虚拟网卡2)配置新添加的虚拟网卡三、centos添加新的虚拟网卡四、检查配置是否生效1.检测网络1)测试内网:a. 在内网网卡eth1启动的情况下ping内网主机192.168.2.13:b.将内网eth1停掉后再ping:c.内网eth1恢复后...
虚拟化
weixin_46373707的博客
01-05 946
服务器虚拟化 什么是虚拟化虚和实是相对的。虚拟化将物理资源转变为具有可管理性的逻辑资源,以消除物理结构之间的隔离,将物理资源融化成一个整体。虚拟机是指通过软件模拟的具有完整硬件系统的计算机,从理论上讲完全等同于实体的物理计算机,可以安装运行自己的操作系统和应用程序。虚拟机完全由软件组成,本身不含任何硬件组件。服务器的虚拟化是指将服务器的物理资源抽象成逻辑资源,让一台服务器变成若干台相互隔离的虚拟服务器。虚拟化的优势虚拟机具有物理系统所没有的独特优势:提高利用效率。便于隔离应用。节约总体成本。灵活性和适应性。
利用虚拟化实现应用发布与网络隔离
weixin_34019929的博客
03-29 376
目前很多单位在网络建设之初就在规划和考虑更多的安全问题,非常通行的安全措施就是对网络实现隔离,所谓网络隔离就是“拿出去”的概念,要么把企业内网拿出去,要么把企业互联网拿出去。物理隔离对安全而言显然是一种解决办法,但是往往建设成为两张网络的时候,企业信息化的维护成本会迅速上升,内网要考虑安全准入与身份认证、病毒防护、数据泄露、移动介质管理等待您,外网要考虑行为审计和流量管理、...
VMWare Esxi 建立Host-Only网络的方法
lvshaorong的博客
07-30 4993
我们在Windows系统下使用VMWare Workstation 的时候,经常会创建虚拟交换机给虚拟机使用,这种虚拟交换机配置的IP是与外部网络隔离IP地址,可以方便的建立一个只有多个虚拟机和宿主机使用的内网。有了这个内网很多网络部署就会变得简单,比如Oracle RAC的搭建,LVS负载均衡,各种集群部署等。 但是在VMWare Esxi中,却没有host-only这个概念和配置了,那么我...
虚拟机隔离和容器隔离机制及区别
热门推荐
qq_41870111的博客
09-07 4万+
1、虚拟机隔离机制 通过虚拟化技术虚拟出资源完全独立的的主机,支持虚拟化的层是hypervisor,hypervisor是一种虚拟化服务器的软件。 2、Docker容器的隔离机制 Docker利用Namespace实现系统环境隔离采用Cgroup实现资源限制并通过镜像实现根目录环境隔离。对比传统虚拟机(VM),Docker简练而优雅,正在改变开发、测试、部署应用的方式。 3、虚拟机与docker相同及区别: 1)虚拟机和容器都是在硬件和操作系统以上的,虚拟机有Hypervisor层,Hyperv
ESXI 虚拟交换机配置 Trunk 端口组
shida's blog
06-27 2万+
背景介绍 ESXI 标准 vSwitch 支持自定义 VLAN ID,以实现网络隔离! 根据 VLAN ID 的不同,可分为三种网络: VLAN ID 0 阻止任何携带了 VLAN tag 的数据包 VLAN ID 4095 允许通过携带任何 VLAN tag 的数据包(trunk) VLAN ID 1~4094 仅允许携带指定 VLAN ID tag 的数据包 默认地,在未做更改的情况下,虚...
法院网络安全规划建设设计方案.pdf
05-16
网络出口由于直接面对外部网络,环境复杂,因此必须采取严格的安全措施,例如抗DDoS攻击的防火墙、SSLVPN双机等,以防止未经授权的访问和恶意攻击。 3. 内网与外网安全隔离:通过部署防火墙和安全隔离系统,实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值