同時在主機和網(wǎng)絡層面進行入侵監(jiān)測和預防，是當今信息安全基礎設施建設的主要內(nèi)容。然而，隨著虛擬化技術的出現(xiàn)，許多安全專家意識到，傳統(tǒng)的入侵監(jiān)測工具可能沒法融入或運行在虛擬化的網(wǎng)絡或系統(tǒng)中，像它們在傳統(tǒng)企業(yè)網(wǎng)絡系統(tǒng)中所做的那樣。

例如，由于主要平臺廠商提供的虛擬交換機不支持建立SPAN或鏡像端口、禁止將數(shù)據(jù)流拷貝至IDS傳感器，網(wǎng)絡入侵監(jiān)測可能會變得更加困難。類似地，內(nèi)聯(lián)在傳統(tǒng)物理網(wǎng)區(qū)域中的IPS系統(tǒng)可能也沒辦法輕易地集成到虛擬環(huán)境中，尤其是面對虛擬網(wǎng)絡內(nèi)部流量的時候?；谥鳈C的IDS系統(tǒng)也許仍能在虛擬機中正常運行，但是會消耗共享的資源，使得安裝安全代理軟件變得不那么理想。

幸運的是，我們有辦法調(diào)整IDS/IPS系統(tǒng)的實現(xiàn)策略，從而允許監(jiān)控虛擬系統(tǒng)的網(wǎng)絡流量。這就是本文將要講述的內(nèi)容。

對初學者來說，VMware公司的虛擬交換機允許交換機或端口組運行在“混雜模式”，這時虛擬的IDS傳感器能夠感知在同一虛擬段上的網(wǎng)絡流量。另外，我們也可以把網(wǎng)絡流量送至物理端口，然后用物理的IDS傳感器監(jiān)測流量。目前有大量開源的或第三方虛擬交換機工具可供使用，它們能夠進行如傳統(tǒng)交換機一樣的操作。

相較于Citrix系統(tǒng)公司的基于內(nèi)核的虛擬機（KVM）和甲骨文公司的VirtualBox平臺，Open vSwitch項目提供了虛擬交換機的完整功能，允許建立SPAN端口進行流量鏡像和監(jiān)控。思科系統(tǒng)公司的商業(yè)產(chǎn)品Nexus 1000v交換機提供了同樣的能力，并使用廣為人知的思科IOS命令行接口。這兩種交換機都支持流數(shù)據(jù)的捕獲和分析，還可以用于在系統(tǒng)間和網(wǎng)絡間進行行為監(jiān)控。

除了重新設計系統(tǒng)和使用功能更加全面的虛擬交換機外，安全專家還應研究一些開源或商業(yè)的入侵檢測和預防產(chǎn)品是否有虛擬化的版本。許多知名的廠商，如Sourcefire公司、HP TippingPoint公司以及IBM ISS都將他們已有的IDS和IPS平臺移植為對應的虛擬化設備。所有這些虛擬化設備都能容易的集成到虛擬化網(wǎng)絡中，在虛擬機之間提供流量監(jiān)測，也能在虛擬網(wǎng)絡與真實物理網(wǎng)絡之間提供流量監(jiān)測。

如今我們可以在市場上看到由Reflex系統(tǒng)有限責任公司、Catbird網(wǎng)絡公司、HyTrust公司等提供的專業(yè)虛擬化產(chǎn)品。這些公司還提供虛擬環(huán)境中基于政策的（policy-based）監(jiān)控和分析工具。雖然不是真正的基于簽名的入侵監(jiān)測，但是這些產(chǎn)品可以加強傳統(tǒng)的IDS/IPS系統(tǒng)，允許更精確的流量監(jiān)控和訪問控制，還能分析網(wǎng)絡行為，為虛擬網(wǎng)絡提供更高的安全性。

有許多免費產(chǎn)品可以考慮使用。你可以從VMware的虛擬設備市場（Virtual Appliance Marketplace）獲得Snort和Shadow入侵監(jiān)測系統(tǒng)。這兩個工具可接入Vmware虛擬環(huán)境中，監(jiān)控和偵測入侵企圖。值得一提的是，這一獨特能力是Vmware公司相比競爭對手而言的一項優(yōu)勢。

此外，一些基于主機的IDS和IPS產(chǎn)品也已被推出，它們經(jīng)過了測試，被證明能夠在許多虛擬環(huán)境中工作。Check Point軟件技術公司、McAfee公司以及賽門鐵克公司是支持基于主機的IDS/IPS系統(tǒng)的代表廠商，這類IDS/IPS系統(tǒng)可以在虛擬客戶系統(tǒng)中使用。另一個例子是可免費使用的ISSEC HIDS（現(xiàn)在被趨勢科技公司擁有），它被證明能在虛擬機中使用，盡管在虛擬系統(tǒng)中的性能和穩(wěn)定性還不能夠得到保證。大多數(shù)情況下，商業(yè)的HIDS和HIPS代理都經(jīng)過了測試和修改，它們在虛擬系統(tǒng)中占用更少的資源，避免過度消耗宿主機的硬件能力。然而，基于主機的設備仍然要消耗大量的資源，且要求更加集約化的管理。為確保虛擬機資源不會在掃描或檢測活動中被過度消耗，額外的調(diào)度和控制能力也是必要的。

許多公司面臨的關鍵問題應該是：“我們需要多大程度的監(jiān)控？”對許多公司而言，已有的基于硬件的設備足以監(jiān)控進出虛擬網(wǎng)絡的流量。如今大多數(shù)公司都很少，如果還有的話，在特殊的網(wǎng)絡段監(jiān)控系統(tǒng)間的網(wǎng)絡活動。然而，對于那些想要或需要更高級的入侵檢測和預防系統(tǒng)的公司來說，好消息是無論是在網(wǎng)絡層面還是主機層面，我們都有許多選項可供選擇。鑒于虛擬化技術變得越來越流行，虛擬IDS和IPS技術無疑將更加普遍。

原文鏈接：http://netsecurity.51cto.com/art/201103/248063.htm