我們要如何應對虛擬化安全

并列防火墻自動保護虛擬機的概念似乎是完美的，但是由于DVFilterAPI的構架原因，它只能運行在虛擬機管理程序中，所以它也有一些潛在的缺點。

虛擬機防火墻的缺點：

每一個物理服務器都必須運行一個防火墻VM.防火墻設備只能保護運行在同一臺物理服務器上的虛擬機。如果希望保護所有物理位置的虛擬機，那么你必須在每一臺物理服務器上部署防火墻VM.

所有流量都會被檢測。你可能將DVFilterAPI只應用到特定的vNIC上，只保護其中一些虛擬機，但是vShield產品并不支持這個功能。部署這些產品之后，所有通過虛擬機管理程序的流量都會被檢測到，這增加了CPU使用率，降低了網絡性能。

防火墻崩潰會影響到VM.防火墻VM的另一個問題是它會影響DVFilterAPI.受到影響的物理服務器上所有虛擬機網絡都會中斷。然而，物理服務器仍然可以運行，并且連到網絡；因此，高可用特性無法將受影響的VM遷移到其他物理服務器上。

相同流量流會執行多次檢測。DVFilterAPI在vNIC上檢測流量。因此，即使虛擬機之間傳輸的流量屬于同一個安全域，它們也會被檢測兩次，而傳統防火墻則不會出現這種情況。

虛擬交換機在虛擬化安全中的作用

虛擬化安全設備制造商也可以選擇vPathAPI，它可用于實現自定義虛擬交換機。思科系統最近發布了虛擬安全網關（VirtualSecurityGateway，VSG）產品，該產品可能整合傳統（非DVFilter）虛擬防火墻方法和流量流優化技術。思科宣布VSG只進行初始流量檢測，并將卸載流量轉發到虛擬以太網模塊（VirtualEthernetModules，VEM：虛擬機管理程序中改良的虛擬交換機），從而防止出現流量長號和性能問題。如果這一切是真的，那么VSG可能是工程師部署安全云服務的最理想工具。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]