DHCP Guard和Router Guard是如何保护虚拟化环境的?

日期: 2016-05-05 作者:Brien Posey翻译:王学强 来源:TechTarget中国 英文

尽管Hyper-V的高级网络安全特性不可能适用于所有情况,但是管理员可以使用其构建额外的防御层级,防止恶意入侵,保护虚拟化环境。 当微软发布Windows Server 2012时,对Hyper-V进行了大幅度调整,并且在Windows Server 2012 R2当中完成了进一步改进。在Hyper-V增加的新功能当中包含了一些提升安全性的高级网络特性,比如DHCP Guard和Router Guard。 这些高级网络特性运行在虚拟机层,以虚拟网卡(vNIC)为基础。

用户可以在Hyper-V Manager当中查看这些配置,右键单击虚拟机,在快捷菜单当中选择“Setting”命令。之后系统会弹……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

尽管Hyper-V的高级网络安全特性不可能适用于所有情况,但是管理员可以使用其构建额外的防御层级,防止恶意入侵,保护虚拟化环境。

当微软发布Windows Server 2012时,对Hyper-V进行了大幅度调整,并且在Windows Server 2012 R2当中完成了进一步改进。在Hyper-V增加的新功能当中包含了一些提升安全性的高级网络特性,比如DHCP Guard和Router Guard。

这些高级网络特性运行在虚拟机层,以虚拟网卡(vNIC)为基础。用户可以在Hyper-V Manager当中查看这些配置,右键单击虚拟机,在快捷菜单当中选择“Setting”命令。之后系统会弹出虚拟机配置对话框,点开虚拟机的vNIC下拉列表,之后选择“Advanced Features”配置界面。如图A所示。如果虚拟机包含多个vNIC,那么每个vNIC都拥有独立的Advanced Features配置界面。

图A.高级特性 以网卡为单位进行管理

这些特性当中有两种高级特性应该首先了解,分别是DHCP(动态主机配置协议) Guard和Router Guard,如上图所示。这两种保护机制能够防止未授权的网络服务访问虚拟机。

Router Guard工作原理

Router Guard能够防止虚拟机当成路由器使用,这样就能够在虚拟机操作系统被劫持时保护虚拟网络。表面上,这种特性的使用场景非常有限。毕竟,大多数入侵者并不会将虚拟机作为路由器使用——尽管这种情况曾经发生过。即便如此,Router Guard特性还是拥有其发挥空间的。

设想当前环境中存在一台跨越多个虚拟网络、提供路由服务的特殊虚拟机。通常这种虚拟机会包含一块并不直接参与路由进程的虚拟网卡,这块虚拟网卡会用于管理流量或者类似目的。尽管这块虚拟网卡不需要执行路由功能,网络流量通常也不会被路由到管理网络当中,但是在这种情况当中,管理员可以在管理网络网卡上启用Router Guard功能,防止其被加入到可路由范围当中。

当然,路由和远程访问服务不会无故将数据流量路由到管理网络当中。既然如此,在管理网络当中启用Router Guard不应该对虚拟机的原有行为产生影响。Router Guard只是一种额外的保护机制,防止管理员在更改配置时错误地将管理网络加入到可路由进程当中或者防止路由器被挟持。

如果你想了解Router Guard究竟是如何工作的:它会丢弃路由宣告并且重定向消息。特别是,Router Guard会尽量避免以下类型的数据包:

ICMPv4 Type 5 (Redirect message 重定向消息)

ICMPv4 Type 9 (Router advertisement 路由宣告)

ICMPv6 Type 134 (Router advertisement 路由宣告)

ICMPv6 Type 137 (Redirect message 重定向消息)

用户可以在MSDN(Microsoft Developer Network)网站上了解更多Router Guard的工作原理。

将DHCP Guard作为第二道防线

DHCP Guard部分需要解释的问题更多。如果管理员曾经在Windows上部署过DHCP服务器,那么就会知道在部署过程当中需要使用活动目录(AD)对新的DHCP服务器进行授权。这样AD服务器就能够区分合法DHCP服务器和仿冒DHCP服务器。但是现在的问题在于,非Windows DHCP服务器不需要通过AD授权就能够开始工作。因此,DHCP Guard能够作为抵御未授权DHCP服务器的第二道防线。这种特性被启用之后会阻止虚拟机成为DHCP服务器。恶意软件会将一台普通机器变为DHCP服务器,而DHCP Guard的作用就是防止这种恶意软件进行破坏。

DHCP Guard特性还可以被用来限制合法DHCP服务器。比如,在某个特定的网段当中不想使用DHCP服务器自动分配IP地址,那么可以在特定vNIC上启用DHCP Guard特性。

Hyper-V的Router Guard和DHCP Guard特性被设计用来防止未授权的网络服务访问虚拟机。即便如此,微软通常推荐根据实际需求启用这些特性,而不是默认开启,因为使用这些特性会对性能表现产生一些小的影响。

翻译

王学强
王学强

TechTarget特邀编辑,毕业于计算机专业,现任职于外企IT分析师,负责网络、防火墙和服务器等系统运维工作,对虚拟化、网络安全和渗透测试拥有浓厚兴趣,工作外热爱旅行、汽车和健身。

相关推荐

  • 回顾年度9大虚拟化技术

    虚拟化管理员从未放弃追寻更好虚拟化技术,以使他们的工作更快、更易于管理以及更好地优化。 我们看到,虚拟化工具在 […]

  • 从Azure VM到Hyper-V:想想这些技巧

    多年来,IT行业已经推动IT人员把工作负载转到云中。虽然在公有云中有一些好处,但有些工作负载更适合运行云本地数据中心中。

  • 功能多样的Get-VM PowerShell cmdlet,你知道多少?

    Hyper-V管理员能够使用Get-VM PowerShell cmdlet查看并调整一系列虚拟机配置信息。微软花费大量精力对PowerShell进行优化,以提升其对本地或者远程服务器的管理功能。

  • 支持Linux虚拟机:新版Hyper-V来帮忙

    大家都知道,Linux虚拟机无法利用Hyper-V针对Windows虚拟机提供的众多特性。幸运的是,情况已经发生变化,Hyper-V现在能够为Linux提供更多的支持。