如何让VMware虚拟架构里的混合模式端口组不受到威胁？许多网络安全工具，如Blue Lane、Catbird和Reflex Systems都可用，不过它们需要激活。另外，一些检查网络数据包的新工具，如VMware vCenter AppSpeed，也需要激活混合模式设置。

　　这些程序也需要你设置端口组的VLAN ID为4095。这个特殊的VLAN ID用于直接传递数据到虚拟机，而不需要通过vSwitch里VLAN进程的解释（通常用于执行虚拟子标记）。不过这个端口组也允许混合模式的虚拟机看见所有的数据包，这是由于它们不通过VLAN而穿过vSwitch。如果端口组的VLAN ID不是设置成4095，混合模式的以太网适配器只能看见某个端口组的数据，而不是整个vSwitch。

　　不过你如何安全地执行？你如何激活混合模式端口组并且保持其他的都没影响？由于从一个端口组移动虚拟机到另一个的颗粒度保护不存在于目前的VMware ESX或ESXi版本里，所以这是个棘手的问题。有几种方法可以将虚拟机从一个端口组移动到另一个。

• 关闭虚拟机后手动编辑虚拟机VMX文件，或者直接在虚拟机文件系统上或使用远程命令行接口VIF工具得到原始文件，然后将修改后的文件放回系统。
• 使用VMware Converter或其他工具执行虚拟到虚拟（V2V）迁移。
• 使用VMware Infrastructure Client（VI Client）连接到VirtualCenter（现在叫做vCenter Server）以作修改。
• 在VI Client里连接到主机虚拟机以作修改。

　　有如此多的方法将虚拟机移动到混合模式端口组，一些角色和权限设置的安全性降低了。

　　信任

　　安全，尤其是没有阻止同事管理员做一些无意识（或有意）的破坏性事件的安全设置，需要信任其他管理员。除了信任其他系统管理员，你需要经常审计你的架构以获取可能的安全威胁。不幸的是，在虚拟架构里没有设置用来监控这些问题的告警，所以你需要依赖手动监控或第三方工具。

　　防火墙

　　由于每个行为都需要管理员权限，宿主vCenter、管理工作站和VMware ESX Management设备（服务器控制台和VMware ESXi管理设备）的虚拟化管理网络应该位于自身防火墙的后面。这样的话，你能控制哪个工作站能够访问基础设施管理工具，哪个不能，也包括如何访问这些工具。理想中，你想让管理员使用VPN访问他们的内部——虚拟化管理——网络虚拟机。这就是说一般情况下，工作站不是每天都在网络里。换句话说，保护虚拟化管理网络类似保护数据中心，要尽可能多的控制。这种类型的设置也可能有助于远程到虚拟化主机的访问。

　　远程控制台

　　由于也可以通过控制台发生一些变更，所以保护对远程控制台的访问也很重要。远程控制台应该是网络里另外一个需要隔离的部分。

　　VMware Converter

　　VMware Converter是能轻易饶过安全防护的工具之一，所以唯一的方法是通过增加审计减少风险。

　　角色与权限

　　最后一个需要实施的控制是限制对能宿主虚拟机的网络的修改。对非管理员设置以下权限控制这些功能：

• 主机、配置及网络配置
• 主机、配置及变更设置
• 虚拟机、相互影响及设备连接
• 虚拟机、配置及添加或移除设备
• 虚拟机、配置及修改设备设置
• 虚拟机、配置及高级设置

　　总结

　　不幸的是，这些更改都不能最终防止恶意虚拟机对混合模式端口组的攻击，但是可以减少这种可能。不过，没有什么方法能够取代定期地对基础设施作出更改。有几家公司的产品可以做到：Tripwire和Configuresoft。其他公司的产品通过在虚拟机周围放置Catbird与Reflex Security，防止有疑问的虚拟机输入输出信息。