如果用户在隔离区（DMZ：Demilitarized Zone）内配置VMware ESX或者VMware ESXi宿主虚拟机的话，需要格外注意网络问题。VMware网络包括VMotion和存储VMotion网络、虚拟机网络、存储网络以及管理控制台所必需的网络。如果网络问题不能很好地处理的话，这些网络就会绕过现有的保护措施，而这些保护措施通常情况下用来阻止隔离区与外部通信。

　　在隔离区内部署VMware ESX和VMware ESXi的一个关键问题就是要意识到这是一个混合网络和混合计算资源，而不是一个单一操作系统或者应用设备。相应的，同时也应该评估一下在隔离区内是否应该有一台虚拟机。

　　很多安全管理员不允许在隔离区内实现多宿主系统，多宿主系统就意味着一个系统同时可以和很多网络建立连接。多宿主系统中，令人担心的问题就是这些系统会不自觉地成为安全区域和外部预定义的防火墙、路由器和网关通信的桥梁，其中这些防火墙、路由器、网关是安全部门早期建立的。

　　使用VMware ESX或者VMware ESXi的话，情况就不会是这个样子。在Hypervisor内部的Layer 2虚拟网关使用起来同Layer 2物理网关一样简单。鉴于这些虚拟网关的存在并且这些虚拟网关不能相互通信（除非是和不同的物理网关），所以存在一些系统可以为此建立连接。VMware ESX或者VMware ESXi不会作为这样一个桥梁，但是却可以维持虚拟网关作为其自身的一个实体。虚拟机被连接到虚拟网关的portgroups上，这个虚拟网关作为一个VLAN，其实并不必需。虚拟网关之间不能直接通信，不同portgroups的虚拟机也不可以直接通信。除非是ID为4095的VLAN portgroups内的虚拟网关，这是因为ID为4095的VLAN是供安全软件和控制VLAN的虚拟机使用的。

　　对于每一个VMware ESX主机来讲有四个可能网络：服务控制台或者管理设备、存储网络、VMware VMotion或者存储VMotion网络和虚拟机网络。前三个网络是关键性网络，不能部署在隔离区内。最后一个网络是唯一个可以部署在隔离区内的网络。

　　很多人都认为最好的实现方式就是不要把前三个网络部署在隔离区内，但是却没有合适的理由。以下是我的理由：但都是基于这样一个假设，在持续威胁和可能性攻击情况下，隔离区可以会成为一个恶意网络环境。它一旦被攻破，就会成为对保护的网络进一步攻击的枢纽。

　　服务控制台

　　服务控制台或者管理设备是虚拟网关上的portgroups的门户，并且部署在它们自身虚拟网关上的portgroups内。所有的管理性的工作都在这个网络上完成，所谓管理性的工作通常包括登录每一个系统的认证信息。这个网络一般通过SSL得到保护，访问这个网络可以给予攻击者从最基本的层次渗透到虚拟环境中的可能性，悄无声息地窃取数据的机会也会有很大增长（所谓的数据，我这里是指虚拟磁盘文件及其内容）。进一步来讲，这也就提供一个直接攻击VMware ESX主机和VMware ESXi主机上账户的机会，也就等于是给了攻击者访问所有信息的权限。

　　存储网络

　　存储网络是另外一个经常部署在其自身虚拟网关内部的重要网络。当前所有负责存储的协议在物理线路上都以不加密形式传送数据。攻击者获得访问这个网络的权限就可以访问虚拟磁盘数据。进一步来讲，如果使用的是iSCSI，就会有另外一种攻击服务控制台或者管理设备的可能，这是因为服务控制台或者管理设备也参与iSCSI网络。

　　VMotion和存储VMotion网络

　　VMware VMotion 和 Storage VMotion网络通常情况下在其自身的虚拟网关上，一般以明文方式在物理线路上传送虚拟机的内容和磁盘信息。由于攻击者可以获得虚拟机内存和磁盘内容的信息，所以这个网络是不安全位置中最危险的一处。通过这些信息，攻击者可以得到访问认证信息的权限。通过收集到的认证信息，这个网络也就成了攻击用户网络的枢纽。

　　虚拟机网络

　　获得虚拟机网络访问控制权限不会带来获得其它三个网络访问控制权限同样的风险。

　　有必要进一步阅读VMware其它文档，因为我发现在一个隔离区内开始部署VMware ESX主机和VMware ESXi主机之前，阅读这些文档是相当重要的。列举部分如下：

• VMware whitepaper on virtual networking concepts
• VMware whitepaper on VMware ESX 802.1q VLAN solutions
• VMware whitepaper on iSCSI design and deployment
• VMware whitepaper on placing a VMware ESX host within a DMZ