我们都知道虚拟化手艺可以帮忙企业节流开支，简化IT资本治理，可是我们可以或许操纵虚拟化手艺来加强系统和收集的安然性吗?跟着虚拟蜜罐(honeypot)和蜜网(honeynet)手艺的呈现，到利用Hyper-V虚拟化手艺分派办事器角色，再到虚拟利用法度的无缝沙盒(sandboxing)手艺和最新版本VMWare工作站的发布，谜底是必定的。本文将切磋若何利用虚拟化东西进步Windows环境的安然性等标题问题。

　　虚拟化安然vs安然的虚拟化

　　常常会有人谈论虚拟环境中呈现的安然标题问题，而大年夜部门会商都是环绕若何呵护虚拟机标题问题标。诚然，虚拟化手艺可能带来某些安然风险，但是，假定用得恰当，虚拟化手艺也能够或许帮忙进步安然性。

　　节制力是呵护系统的一个首要身分，包含对企业内部人员的节制和拜候公司收集资本的外部人员的节制(例如长途用户利用便携式电脑和移动设备拜候收集)。虚拟化手艺可以或许帮忙你集中节制最终用户所拜候的利用法度，而桌面虚拟手艺则可以或许为具有暗藏风险的利用法度、网站等成立安然、孤立的计较机环境。

　　数据集中化治理可以或许确保数据的安然性，而基于办事器的虚拟化手艺可以或许确保首要数据不被存储在台式机或很等闲遗掉或被盗窃的笔记本电脑中。

　　沙盒手艺

　　沙盒是指器不克不及直接拜候主一种相对孤立的环境，可以或许安然地运行那些可能对把持系统、其他利用法度或收集造成威胁的法度。虚拟机机资本，所以使沙盒手艺十分安然。假定系统中存在不不变的利用法度、有安然缝隙利用法度或未知利用法度，你可以将如许的利用法度安装在虚拟机中，如许的话，当该利用法度呈现标题问题时，就不会对主机系统的其他部门造成影响。

　　因为收集浏览器常常会成为歹意软件和病毒报复打击的对象，我们可以将浏览器在虚拟机中运行，当然你也能够在虚拟机中运行其他互联网相干的法度(如电子邮件客户端、聊天法度和P2P文件共享法度等)。虚拟性可以或许拜候互联网，可是不克不及拜候公司的局域网，这可以或许帮忙你呵护主机把持系统和拜候本地资本的商业法度免受互联网中的报复打击。

　　另外一个好处就是，当虚拟机遭到报复打击时可以或许很精练地恢复，VM软件会在特定的时候点对机械进行“快照”，是以可以或许很快速地恢复到报复打击前的状况。

　　无缝虚拟利用软件和丰硕的VMWare Workstation 6.5实战经验

　　最新版本的VMWare Workstation (6.5版本)供给了最完全的桌面功能，并且其“Unity”功能可以或许让你在主机桌面中查看在主机把持系统的利用法度(来自虚拟机)。对用户而言，这意味着完全的无缝虚拟利用法度整合，把持过程加倍便利。用户可以或许轻松在虚拟机和主机间进行拖放或粘贴把持，底子不会感触感染利用法度是在虚拟机中运行，这就是说对虚拟机中的利用程最新版本的VMWare Workstation (6.5版本)供给了最完全的桌面功能，并且其“Unity”功能可以或许让你在主机桌面中查看在主机操序(如收集浏览器)实施沙盒手艺时不再会感触感染到任何障碍。

　　这类新软件还可以或许帮忙用户安装虚拟机以便超越多个监控器进行把持，这很首要，特别是当你需要在虚拟机中同事运行几个利用法度时。或你也能够安装多个虚拟机在不合的监控器上显示，如许就更等闲追踪用户在特按时候所把持的虚拟计较机。别的也能够在后台运行虚拟机，而不利用workstation用户界面。

　　办事器分手

　　办事器整合是良多企业利用虚拟化的首要目标，当然你也能够不利用虚拟化而在一台机械上运行多个办事器角色，你的域节制机还可以作为DNS办事器、DHCP办事器、RRAS办事器等。可是在一台办事器上运行多个角色，出格是在域节制器上，会造成重大年夜的安然风险。虚拟化可让你在统一物理机上运行所有这些不异的角色，并将办事器分手，因为他们是在伶仃的虚拟机上运行。

　　微软公司发布的Hyper-V虚拟软件可以或许避免VM间的未经授权的通信，且每个虚拟机在分手出来的单个工作过程中运行，并且在用户模式中独一有限的权限，这可以或许包管主办事器和法度的安然性。其他可以或许分手虚拟机的安然机制包含分手虚拟设备，一种从每个虚拟机到主办事器的自力的VMBus，并且VM之间没有共享空间。

　　寄望：

　　值得寄望的是，假定VM把持系统在VM之间传输内容或在局域网内共享磁盘，就会带来很大年夜的安然风险，并且会摆荡用户利用虚拟手艺的决心。

　　虚拟蜜罐手艺和蜜网手艺

　　蜜罐是指用来勾引报复打击者的计较机，而蜜网则是指包含蜜罐的全部收集，收集外部人员会感觉蜜网是某种出产收集，其目标包含三方面：

　　·转移报复打击者的寄望力，呵护真实的出产收集;

　　·让你对试图报复打击收集的报复打击类型进行预警，如许就有时候专门研究若何对这些报复打击，以防报复打击真实的收集和系统;

　　·汇集可以用于鉴定报复打击者的信息。

　　蜜罐和蜜网可利用物理机械构建，可是代价将会很昂贵，并且难以治理。有了虚拟手艺，就可以在一台物理机上成立大年夜型的蜜网，并且成本很低。虚拟桌面还可以找出收集中防病毒软件没有防备到病毒和歹意软件。

　　寄望：

　　作为最好安然方案，可以或许转移互联网的报复打击的蜜网应当在专用物理机上运行，如许就不会连接到真实的出产收集，或与真正收集间有防火墙。蜜网凡是被置于DMZ或外围收集中，另外一种编制就是将蜜罐置于内部收集中以检测来自内部的报复打击。

　　因为良多公司此刻都将其出产办事器放在VM上运行，虚拟环境不再作为勾引报复打击者的旌旗灯号，而是真实的出产收集。

　　总结

　　恰当摆设虚拟手艺可觉得公司收集供给多一层的安然保障，为了实现最好安然做法，该当确保对运行在虚拟机上的把持系统和利用法度实施的呵护与对运行在物理机中的把持系统和利用法度实施的呵护是一样，总之，虚拟化手艺只能作为安然东西库的一种东西，而不是全数。