vmware怎么实施安全策略

VMware vSwitch提供了一些安全措施可以阻止恶意行为，或者限制接口上允许通过的最大流量。下面是如何实施这些安全配置的方法。

1. 打开vSphere Client。进入主机的“配置”标签页，在硬件列表中选择网络连接，会显示VMware vSwitch的当前配置。

2. 在你想要配置的vSwitch上选择属性。之后，弹出的新窗口中将会显示vSwitch的现有端口以及现在应用的属性。

3. 选择你想要配置安全设定的端口，点击编辑。之后，点击安全标签页进行激活。这里会显示所选端口上三个可用的、默认的安全设定。

图1. 从VMware vSwitch属性中，你可以看到已经配置的所有端口。

配置VMware vSwitch安全策略

你需要决定的第一项vSwitch安全策略就是否使用混杂模式。混杂模式会拦截并监测网卡发送给其他节点的所有流量。这种模式默认是关闭的，但是如果管理员想要进行网络安全分析，可以将其启用。混杂模式允许主机监测所有经过虚拟交换机的网络流量，也就可以帮助你分析网络中的所有活动。但是，管理员只能在进行安全分析时使用这个模式，因为它会影响网络性能。

第二种安全策略是用户可以指定是否允许虚拟网卡的MAC地址发生变化。这个特性默认是激活的，允许操作系统在不同情况下改变MAC地址。当你需要这种特性时，比如连接到iSCSI存储区域网络或者启用微软网络负载均衡特性时，这种默认设定可以起到很大帮助。但是如果你的环境中没有使用这些功能，最好关闭这个特新，这样攻击者就不能改变MAC地址，或者伪造虚拟主机的IP地址了。

第三种可以加强VMware vSwitch安全的方式是拒绝虚假流量。拒绝虚假流量意味着虚拟机(VM)将会对比包的源MAC地址和其网卡的真实MAC地址，来查看他们是否匹配。如果两者不相同，ESXi主机会丢弃这些数据包，阻止虚拟机发送网络流量。

这种特性默认是开启的，因为有时需要使用这种方式来避免软件授权问题。比如，如果物理机上的软件只授权给指定的MAC地址，其在虚拟机上就不能正常工作，因为虚拟机的MAC地址不同。在这种情况下，允许虚假流量可以让你通过伪造虚拟机的MAC地址来使用软件。

但是，允许虚假流量将会带来安全隐患。如果管理员只授权指定MAC地址访问网络，那么入侵者就可以就将自己未授权的MAC地址更改为已授权的。

流量整形是另外一种可以增强安全性的VMware vSwitch属性。打开这种特性之后，你可以限定连接到vSwitch虚拟网卡的可用带宽。这个设定不会影响网络的整体性能，只是为每个网络接口设定限制值。设定这种限制可以起到一些帮助，因为限定平均带宽、最大带宽和突发值可以防止一个节点占用交换机和网路的所有带宽，对于防止DOS攻击是一种不错的方式。

图2. 通过设定每个接口可用带宽的最大值，可以防止DOS攻击

如你所见，一些VMware vSwitch默认安全设定是针对可用性、而不是安全性的。通过一些简单的改变，就可以提高虚拟机的安全等级，降低外在网络攻击的风险。

当前各大运营商的政策都是40g以内不限速，超过40g的将被限制网速滑落至3g网络。

运营商之所以会对不限流量套餐进行限速，是一种自我保护。据一位通讯行业的技术人士介绍：无论是3G还是4G，以及即将到来的5G网络，每个基站的容量都是有限的。具体来说，一个基站能够容纳的用户数量，以及最大带宽都是有限的。而且，手机无线上网会占用基站的频率，如果很多用户长时间使用手机上网，甚至把手机作为热点，那么基站的频率会被长期占用无法释放，这样会影响其他用户的正常通信。

虽说经历了多轮技术变革，但无线频谱资源有限，这导致每个基站都有极限。一旦基站的所有频率被占用，基站就会瘫痪。出于这样的考虑，运营商才会限速，因为无线上网速率越慢，占用的频率越少。限速，是为了让基站能够容纳更多的人上网。在目前的技术条件下，让所有消费者使用无限流量套餐是不可能的。正因于此，三大运营商在限速的同时，才会变相的限制不限流量套餐的最大上网流量。

在中国联通冰激凌套餐推出前，不限流量套餐的限速阀值在40G。随着竞争的激烈，以及不限流量套餐用户的增多，三大运营商每一个基站的压力增大，不限流量套餐的限速阀值才会变成20G。如果不限流量套餐的用户继续增加，限速阀值或许会到10G。这样一来，无限流量套餐就成了既限速，又限量的缩水版套餐了。

事实上，限速限量并不是国内专利，这是国际通行的做法。美国4G刚开始运营时，当地一运营商巨头为了争夺客户，曾推出不限量不限速的套餐，结果网络曾一度崩溃。最后，运营商只能对用户限速。

---