任何企業(yè)網絡都會有很多虛擬環(huán)境。有趣的是，我發(fā)現大多數虛擬服務器和VLAN環(huán)境都沒有對攻擊進行任何的防范。僅僅是因為虛擬環(huán)境是你“四堵墻”內事，并不是所有人都可以自由訪問。而這也正是虛擬防火墻策略可以對你有所幫助的地方。

　　想要讓虛擬防火墻策略實施得更加有意義，以下幾個因素是需要考慮的：

　　1.在每一個虛擬環(huán)境中都有什么樣的業(yè)務需求?哪些人需要訪問哪個虛擬環(huán)境?

　　2.目前你的虛擬環(huán)境所面臨著怎樣的風險?是否存在錯誤配置，是否有遺漏的系統(tǒng)補丁，是否存在可二次開發(fā)的開放端口。

　　3.如何應用或改善最小特權原則，以確保只有在業(yè)務需要時才可以訪問系統(tǒng)?

　　4.如果虛擬化安全控制出現問題，在使用Metasploit工具防止弱點的二次開發(fā)時，還有哪些阻礙?

　　如何在虛擬化防火墻策略中分割流量

　　一旦你決定做這些事情，你就得退一步想想看，在使用虛擬化防火墻策略時，如何做流量分割更好，以及只讓需要的人員訪問系統(tǒng)。它的存在形式可能是每個操作系統(tǒng)上運行的傳統(tǒng)網絡防火墻和個人防火墻軟件。大多數部門都成功的將本地管理程序和OS控制機制與自身特點結合起來利用，以建立相關的安全虛擬環(huán)境的經驗。但是事實上，這種環(huán)境的安全性仍然無法與物理主機環(huán)境中的安全性相提并論。此外，在所有最簡單的虛擬環(huán)境中，系統(tǒng)復雜程度會呈指數增長，這將更難達到你所追求的安全性。

　　我非常確信，復雜性是安全的敵人，如果不是，那么環(huán)境中使用的一些工具的效果可能會更好，諸如VMware的vShield或來自第三方廠商的虛擬防火墻產品，如Reflex Systems，Altor Networks (現在已經被Juniper收購了) 以及TBD Networks。如此以來，您還會在虛擬環(huán)境中得到更佳的可視性，更精細的控制力，以及更優(yōu)的系統(tǒng)性能和可擴展性。

　　LAN中的安全漏洞

　　有一點你需要牢記，那就是你永遠不要低估來自內部的技術水平和意圖。我發(fā)現的虛擬環(huán)境中的大多數弱點使用免費工具或按照書本中、網頁上中指導的步驟就能很容易的進行二次開發(fā)。惡意軟件也是一樣。