8.1.3　虚拟VMZ

简单来说，一个虚拟DMZ解决方案要求使用以下技术：

·带有防火墙的物理访问分段，以保持数据包状态监测，包括有效传输及无效传输（更多细节请参考3.1节）。

·端口配置文件实施责任划分（在服务器及网络管理者之间）以及协议增强（更多细节请参考第2章“该轮到谁了，服务器还是网络管理员”一节）。

·认证、授权和统计（例如AAA）模型，来确定访问权限并维护详细的日志。

·VLAN和PVLAN，以实现VM和应用之间的隔离（更多细节请参考“VLAN和PVLAN”一节）。

·ACL，以限制DMZ VM、生产网络和管理网络之间的连接（更多细节请参考“访问控制列表”一节）。

·ERSPAN和NetFlow，以增加虚拟DMZ环境可视化的可操作性（更多细节请参考端口镜像以及NetFlow的相关章节内容）。

·速率限制，以减小由那些已经遭受了攻击的VM或其他任意主机发起的拒绝服务式（DoS）等恶意攻击的影响。

此外，需要铭记于心的一些常用经验包括：

·保持物理非虚拟化环境的安全（例如，入侵检测和防范，使用防火墙来阻止无关访问，进行DoS预防等）。

·对虚拟和物理网络互连活动进行详尽的记录。

·强化明确定义了的变更管理控制。

·强化对角色和权限间清晰度的分离。

·强化持续审计（登录和审计）和持续监测。