任何企业网络都会有很多虚拟环境。有趣的是,我发现大多数虚拟服务器和VLAN环境都没有对攻击进行任何的防范。仅仅是因为虚拟环境是你“四堵墙”内事,并不是所有人都可以自由访问。而这也正是虚拟防火墙策略可以对你有所帮助的地方。
想要让虚拟防火墙策略实施得更加有意义,以下几个因素是需要考虑的:
1.在每一个虚拟环境中都有什么样的业务需求?哪些人需要访问哪个虚拟环境?
2.目前你的虚拟环境所面临着怎样的风险?是否存在错误配置,是否有遗漏的系统补丁,是否存在可二次开发的开放端口。
3.如何应用或改善最小特权原则,以确保只有在业务需要时才可以访问系统?
4.如果虚拟化安全控制出现问题,在使用Metasploit工具防止弱点的二次开发时,还有哪些阻碍?
如何在虚拟化防火墙策略中分割流量
一旦你决定做这些事情,你就得退一步想想看,在使用虚拟化防火墙策略时,如何做流量分割更好,以及只让需要的人员访问系统。它的存在形式可能是每个操作系统上 运行的传统网络防火墙和个人防火墙软件。大多数部门都成功的将本地管理程序和OS控制机制与自身特点结合起来利用,以建立相关的安全虚拟环境的经验。但是 事实上,这种环境的安全性仍然无法与物理主机环境中的安全性相提并论。此外,在所有最简单的虚拟环境中,系统复杂程度会呈指数增长,这将更难达到你所追求 的安全性。
我非常确信,复杂性是安全的敌人,如果不是,那么环境中使用的一些工具的效果可能会更好,诸如VMware的vShield 或来自第三方厂商的虚拟防火墙产品,如Reflex Systems,Altor Networks (现在已经被Juniper收购了) 以及TBD Networks。如此以来,您还会在虚拟环境中得到更佳的可视性,更精细的控制力,以及更优的系统性能和可扩展性。
LAN中的安全漏洞
有一点你需要牢记,那就是你永远不要低估来自内部的技术水平和意图。我发现的虚拟环境中的大多数弱点使用免费工具或按照书本中、网页上中指导的步骤就能很容易的进行二次开发。恶意软件也是一样。
想要让虚拟防火墙策略实施得更加有意义,以下几个因素是需要考虑的:
1.在每一个虚拟环境中都有什么样的业务需求?哪些人需要访问哪个虚拟环境?
2.目前你的虚拟环境所面临着怎样的风险?是否存在错误配置,是否有遗漏的系统补丁,是否存在可二次开发的开放端口。
3.如何应用或改善最小特权原则,以确保只有在业务需要时才可以访问系统?
4.如果虚拟化安全控制出现问题,在使用Metasploit工具防止弱点的二次开发时,还有哪些阻碍?
如何在虚拟化防火墙策略中分割流量
一旦你决定做这些事情,你就得退一步想想看,在使用虚拟化防火墙策略时,如何做流量分割更好,以及只让需要的人员访问系统。它的存在形式可能是每个操作系统上 运行的传统网络防火墙和个人防火墙软件。大多数部门都成功的将本地管理程序和OS控制机制与自身特点结合起来利用,以建立相关的安全虚拟环境的经验。但是 事实上,这种环境的安全性仍然无法与物理主机环境中的安全性相提并论。此外,在所有最简单的虚拟环境中,系统复杂程度会呈指数增长,这将更难达到你所追求 的安全性。
我非常确信,复杂性是安全的敌人,如果不是,那么环境中使用的一些工具的效果可能会更好,诸如VMware的vShield 或来自第三方厂商的虚拟防火墙产品,如Reflex Systems,Altor Networks (现在已经被Juniper收购了) 以及TBD Networks。如此以来,您还会在虚拟环境中得到更佳的可视性,更精细的控制力,以及更优的系统性能和可扩展性。
LAN中的安全漏洞
有一点你需要牢记,那就是你永远不要低估来自内部的技术水平和意图。我发现的虚拟环境中的大多数弱点使用免费工具或按照书本中、网页上中指导的步骤就能很容易的进行二次开发。恶意软件也是一样。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
