黑客通过几种方式能闯入你的虚拟架构。在这系列第一部分中，虚拟化层产生了额外的易受攻击的点，需要你确保每台主机及每个虚拟机的安全。

　　这些攻击媒介包括虚拟硬盘文件、日志工具，甚至虚拟机。但还有个媒介需要考虑到：网络本身。要避免风险，遵循以下的虚拟网络安全实践很重要。在本文中，TechTarget中国特约专家Eric Siebert将介绍一些关键战略。

　　网络隔离

　　虚拟网络安全的关键在于隔离。每台主机都有一个与其他主机通信的管理网络和管理系统。在虚拟架构中，管理网络应该进行物理或虚拟的隔离。连接所有主机、客户端和管理系统到一个独立的物理网络，使流量安全。也应该创建独立的虚拟交换机用于主机管理网络，永远不要混合虚拟交换机流量和一般的虚拟机网络流量。当然这不能解决虚拟交换机产生的所有问题，但是个重要的开始。

　　除了隔离，还有其他几个虚拟网络安全最佳实践。注意，用于从一台主机移动活动虚拟机到另一台的VMkernel网络是用明文的。就是说“嗅”到数据或者执行半路攻击在热迁移过程中是可能的。当你将主机暴露在DMZ的web环境中，要格外小心。常见做法是使用自己的物理网络接口创建一个独立的虚拟交换机，不要在这个虚拟交换机上混合内部和外部的流量。同时，锁定对虚拟交换机的访问，因此黑客不能从一个网络移动虚拟机到另一个，并且那台虚拟机不能横跨内部和外部网络。

　　在物理网络已经延伸到主机作为虚拟网络的虚拟架构中，物理网络安全设备和应用通常会失效。这些设备不能看见从没离开过主机的网络流量（因为它们本质上是物理设备）。此外，物理侵入检测和预防系统没法保护虚拟机。

　　最佳的虚拟网络安全策略是使用专门设计用于虚拟架构的安全应用，并将其直接集成到虚拟网络层。这包括网络入侵检测和预防系统、监控与报道系统，以及用于包却虚拟交换机和独立虚拟机安全的虚拟防火墙。你可以集成物理和虚拟网络安全，提供完整的数据中心保护机制。

　　如果使用基于网络的存储，如iSCSI或Network File System，使用合适的认证机制。对于iSCSI，双向的询问握手认证协议（CHAP）是最佳的。确保对存储网络流量进行物理隔离，因为流量通常是以明文方式发送。对同个网络拥有访问权的人都能监听和修改文件，更改流量或者进行破坏。

　　虚拟网络安全最佳实践与传统物理系统的保密措施不同，因此考虑所有会被攻击的点。如果只在某些领域关注虚拟安全，你可能就会在你没意识到的地方发现有黑客闯入。