虚拟化的网络安全问题研究

1. 服务器虚拟化的安全风险

破坏了正常的网络架构采用服务器虚拟化技术，需要对原来的网络架构进行一定的改动，建立新的网络架构，以适应服务器虚拟化的要求。但是，网络架构的改动打破了原来平衡的网络架构系统，也就会产生一些危险系统安全的风险安全问题。比如：如果不使用服务器虚拟化技术，客户可以把几个隔离区设置在防火墙的设备上。这样一来，一个隔离区就可以管理着一个服务器，服务器之间可以不同的管理原则，不同的服务器也就可以有不同的管理方法。这样，当有一个服务器被外界攻击时，其它的服务器就不会受到影响，可以正常运行。但是，如果采用了服务器虚拟化技术，就需要把虚拟的服务器一起连接到同一个虚拟交换机上。通过虚拟交换机就把所有的虚拟的服务器同外部网络联系了起来。因为所有的虚拟的服务器都连接在同一个虚拟交换机上，这就造成了一方面原来设置的防火墙功能失去了防护作用，另一方面给所有的虚拟服务器增加了安全风险。当一个虚拟服务器遭受到攻击或出现状况时，其它的虚拟服务器也会受到影响。可能致使系统服务器超载服务器虚拟化虽然能产生若干个服务器供用户使用，但是这些产生的服务器只是虚拟的，还需要借用物理服务器的硬件系统来进行各种应用程序的运行。各个虚拟服务器的应用程序非常多，这些应用程序一旦全部运行起来，就会大量占用物理服务器的内存、中央处理器、网络等硬件系统，从而给物理服务器带来沉重的运行负担。如果有一天，所有的虚拟服务器都在运行大量的应用程序，就有可能使物理服务器负荷太大，从而出现服务器超载的现象。服务器超载到一定程度，就有可能造成各个虚拟服务器运行程序速度太慢，影响客户的使用。更严重的还可能造成物理服务器系统崩溃，给客户带来无法估量的损失。致使虚拟机失去安全保护服务器虚拟化后，每个虚拟机都会被装上自己的管理程序，供客户操作和使用虚拟服务器。但是不是所有的管理程序都是完美无缺，没有安全漏洞的。管理程序在设计中都有可能会产生一些安全漏洞和缺陷。而这些安全漏洞和缺陷则有可能成为电脑黑客的攻击服务器的着手点。他们通过这些安全漏洞和缺陷会顺利地进入服务器，进行一些非法操作。更重要的是，一台虚拟机管理程序的安全漏洞和缺陷会传染给其它虚拟机。当一台虚拟机因安全漏洞和缺陷遭受黑客攻击时，其它的虚拟机也会受到影响，致使虚拟机失去安全保护。服务器被攻击的机会大大增加连接于同一台物理服务器的所有服务器虚拟机是能相互联系的。在相互联系的过程中，就有可能产生一些安全风险，致使服务器遭受黑客的攻击。而且，黑客不需要对所有的服务器虚拟机逐个进行攻击，只需要对其中的一台虚拟机进行攻击。只要攻下一台虚拟机，其它的虚拟机就可以被攻下。因为，所有的虚拟机都是相互联系的。所以说，服务器虚拟化后被攻击的机会大大增加了。虚拟机补丁带来的安全风险每个虚拟机都有着自己的管理系统，而这些管理系统是经常需要及时安装最新补丁以防止被攻击。但是，一个物理服务器可以带许多个虚拟机，每个虚拟机就是一台服务器，都需要安装补丁，工作量太大。这就给虚拟机的补丁安装带来麻烦，会大大影响补丁的安装速度，使虚拟机不能够及时安装不断，从而带来安全隐患。另外，一些客户会通过一些技术手段保留个别虚拟机用于虚拟机的灾难恢复。但是，保留的虚拟机很可能没有及时安装新的补丁，从而会给灾难恢复的虚拟机带来运行的安全风险。

2. 虚拟机环境有哪些安全隐患

存在意见分歧 然而，对于在与其它计算设备一起使用时不安全的虚拟化也许是什么样子还没有结论。一般来说，正是虚拟化厂商宣传不存在安全问题。Secure Computing公司负责全球技术战略额副总裁Scott Montgomery说，虚拟化没有向安全环境中增加任何东西。它是节省成本的一种强大工具。但是，虚拟化不是万灵药。它不能解决你的全部问题。虚拟机不能降低安全。它只是让安全情况与原来不同。VMware公司的人说，虚拟化会增加安全。我不会走那么远。 其它担心的问题 虚拟化安全是这个行业中争论比较多的问题。有支持的也有反对的。 安全公司Core Security负责产品管理的副总裁Fred Pinkett说，一个防火墙是在硬件设备上设置的。现在，一个虚拟机环境中的所有的系统能够在防火墙外面进行通讯。产品现在能够控制虚拟机内部的这种情况。增加另一个层次和新的边界的任何东西都会产生新的安全问题。 人们也许不常听说涉及到利用虚拟化安全漏洞的引人注目的数据突破事件。但是，这并不意味着不存在这种可能性。如果好人能够发现这种安全漏洞，坏蛋也照样会发现这种漏洞。 虚拟环境与物理环境风险相同 Montgomery谨慎地指出，让我感到紧张的是虚拟化能够让你把许多数据放在一个物理平台上。这让虚拟化访问所有的平台。同一个地方的数据库和网络服务器可能存在风险。很少有厂商讨论这个问题。 访问服务器应用程序和数据能够更容易。如果一个服务器被攻破，另一个也面临风险，从而出现交叉的问题。 安全厂商坚持认为要特别对待在一个网络上的虚拟机环境中隐藏的漏洞。虚拟机软件厂商也许没有提供这些解决方案，需要第三方参与。 Stonesoft公司高级解决方案架构师Kim Lassila说，我认为人们要理解的关键问题是对于虚拟平台和物理平台来说，威胁都是一样的。不使用虚拟安全解决方案，要保护虚拟环境是很困难的。 他不补充说，有他的想法的人都不会不使用防火墙就把物理的企业网络连接到互联网。对于虚拟环境也是如此。 Lassila说，服务器、台式电脑和任何其它工作量在物理平台上与在虚拟平台上的风险是一样的。这是因为操作系统和软件应用程序是一样的。 黑客的诱惑Lassila担心的另一个问题是虚拟化有可能为黑客留下一个可利用的后门。有关虚拟化的两个因素使这个问题成为令人担心的问题。 一个因素是普遍存在的误解，认为虚拟化平台能够神奇地使虚拟化的服务器、台式电脑或者网络更安全。这样思考问题，管理员就不会认识到需要担心安全问题。 第二个因素是虚拟网络是无形的。因此，管理员不能物理地把一个网络分析器连接到虚拟网络以便观察通讯状况。

3. 如何应对虚拟化安全问题

但现实情况是，数据中心网络总是通过嵌入的防火墙实现主要的安全保护来减少暴力攻击造成的拒绝服务，对入站流量极少执行TCP端口过滤。
使用防火墙来保护数据中心网络的物理服务器已经很难了，把它用于保护虚拟服务器，或者私有云环境，那么难度会更大。毕竟，虚拟服务器会经常迁移，所以防火墙不需要必须位于服务器物理边界内。有几种策略可以为虚拟环境提供防火墙保护。
虚拟网络安全
传统数据中心架构的网络安全设计众所周知：如果服务器的物理边界属于同一个安全域，那么防火墙通常位于聚合层。当你开始实现服务器虚拟化，使用 VMware的vMotion和分布式资源调度（Distributed Resource Scheler）部署虚拟机移动和自动负载分发时，物理定界的方式就失去作用。在这种情况下，服务器与剩余的网络之间的流量仍然必须通过防火墙，这样就会造成严重的流量长号，并且会增加数据中心的内部负载。
虚拟网络设备能够让你在网络中任何地方快速部署防火墙、路由器或负载均衡器。但当你开始部署这样的虚拟网络设备时，上述问题会越来越严重。这些虚拟化设备可以在物理服务器之间任意移动，其结果就是造成更加复杂的流量流。VMware的vCloud Director就遇到这样的设计问题。
使用DVFilter和虚拟防火墙
几年前，VMware开发了一个虚拟机管理程序DVFilter API，它允许第三方软件检查网络和存储并列虚拟机的流量。有一些防火墙和入侵检测系统 （IDS）供应商很快意识到它的潜在市场，开始发布不会出现过度行为的虚拟防火墙。VMware去年发布了vShield Zones和vShield App，也成为这类供应商的一员。
基于DVFilter的网络安全设备的工作方式与典型的防火墙不同。它不强迫流量必须通过基于IP路由规则的设备，而是明确地将防火墙插入到虚拟机的网卡（vNIC）和虚拟交换机（vSwitch）之间。这样，不需要在虚拟机、虚拟交换机或物理网络上进行任何配置，防火墙就能够检测所有进出vNIC 的流量。vShield通过一个特别的配置层进一步扩充这个概念：你可以在数据中心、集群和端口组（安全域）等不同级别上配置防火墙规则，在创建每个 vNIC的策略时防火墙会应用相应的规则。
并列防火墙自动保护虚拟机的概念似乎是完美的，但是由于DVFilter API的构架原因，它只能运行在虚拟机管理程序中，所以它也有一些潜在的缺点。
虚拟机防火墙的缺点：
每一个物理服务器都必须运行一个防火墙VM.防火墙设备只能保护运行在同一台物理服务器上的虚拟机。如果希望保 护所有物理位置的虚拟机，那么你必须在每一台物理服务器上部署防火墙VM.
所有流量都会被检测。你可能将DVFilter API只应用到特定的vNIC上，只保护其中一些虚拟机，但是vShield产品并不支持这个功能。部署这些产品之后，所有通过虚拟机管理程序的流量都会被检测到，这增加了CPU使用率，降低了网络性能。
防火墙崩溃会影响到VM.防火墙VM的另一个问题是它会影响DVFilter API.受到影响的物理服务器上所有虚拟机网络都会中断。然而，物理服务器仍然可以运行，并且连到网络；因此，高可用特性无法将受影响的VM迁移到其他物理服务器上。
相同流量流会执行多次检测。DVFilter API在vNIC上检测流量。因此，即使虚拟机之间传输的流量属于同一个安全域，它们也会被检测两次，而传统防火墙则不会出现这种情况。
虚拟交换机在虚拟化安全中的作用
虚拟化安全设备制造商也可以选择vPath API，它可用于实现自定义虚拟交换机。思科系统最近发布了虚拟安全网关（Virtual Security Gateway ，VSG）产品，该产品可能整合传统（非DVFilter）虚拟防火墙方法和流量流优化技术。思科宣布VSG只进行初始流量检测，并将卸载流量转发到虚拟以太网模块（Virtual Ethernet Moles，VEM：虚拟机管理程序中改良的虚拟交换机），从而防止出现流量长号和性能问题。

4. 企业在考虑实施虚拟化时要考虑的安全问题包括哪些呢

支持应用程序和操作系统虚拟化的概念并不是新的。然而，最近几年虚拟化应用的速度成倍增长，特别是软件操作系统虚拟化的应用。虚拟机最终的到了认可并且正在迅速进入企业数据中心，成为每一个地方IT部门内部所有人员和小组的通用工具。
那么，虚拟机到底是什么?VMware把虚拟机定义为把物理硬件与操作系统分离的一个抽象层。目前，我们一般都认为虚拟机是在一个硬件平台范围内运行多个软件操作系统。这个概念通常是以这种方式实施的：在一台硬件服务器上的一个操作系统(主机平台)运行前后排列的虚拟硬件平台(客户机)上的多个独立的操作系统。
平台虚拟化通常依靠全面的硬件分段：允许单个的客户机平台使用物理主机硬件的具体部分，对主机平台不会产生冲突和影响，并且运行主机和客户机按顺序运行并且没有相互影响。
平台虚拟化有两种主要类型：透明的和熟悉主机的。透明的虚拟化是客户机不知道它在虚拟状态下运行。客户机就像在本地硬件平台上运行一样消耗资源，显然这是因为它正在由VMM(虚拟机监视器)或者管理程序等额外的组件管理。VMware等更标准的虚拟化形式都采用透明的管理程序系统。这些系统可以被看作是代理：管理程序将透明地代理客户机和主机硬件之间的全部通讯，并且把自己隐藏起来使客户机认为自己是在那个硬件上运行的唯一的系统。
熟悉主机的虚拟化实施与此不同，客户机在内核中内置了某种形式的虚拟化知识。客户机操作系统内核的某些部分知道管理程序的存在并且直接与管理程序沟通。流行的Linux虚拟化软件Xen使用一种熟悉主机的架构，要求特别的管理程序指令代码积极地在主机和所有运行虚拟化的客户机上运行。
推动虚拟化应用的一个推动因素之一是支持VMM的硬件的开放性质：运行和管理主机操作系统的硬件平台和VMM不是特殊的设备或者装置。这种把虚拟化软件应用到日常硬件的灵活性允许每一个人直接地和廉价地运行虚拟化的环境。虚拟化能够让企业购买一台高端硬件设备运行20个虚拟操作系统，而不用购买20台商品化的低端设备，每一台设备当作一个操作系统平台。
虚拟化的入侵载体
虚拟化的好处是明显的：能够节省更多的资金。但是，每一件事情都有正反两个方面，虚拟化也不例外。虚拟化的优点是很大的，但是，缺点不是那样明显。在一台服务器上运行20个虚拟机有什么坏处?虽然人们目前还没有把虚拟化当作一个巨大的威胁，没有考虑虚拟机和虚拟化环境的安全问题，但是，这并不是因为虚拟化的安全问题在技术上还是一个迷，而是因为正在广泛实施虚拟化的组织一般都不知道虚拟化入侵的载体。换句话说，虚拟化的实施一般都没有考虑到它可能带来的新的威胁。
虚拟化带来了一套全新的问题和风险。安全管理员熟悉“增强的操作系统”、“有围墙的花园”和“网段”等在一台机器使用一个应用程序的环境中使用的词汇。但是，安全管理员如何把这些概念应用到虚拟数据中心这个未知的领域?我们如何在我们不熟悉的环境中保护自己?当前的系统和安全管理员需要把重点放在虚拟安全上，准备应付分布式攻击和有针对性的攻击等新的威胁。
实施虚拟化前要考虑的六大问题
虚拟基础设施管理员应该熟悉和准备应对虚度安全风险和考虑。许多安全风险和考虑在这次讨论中没有涉及到。在向全面虚拟化环境过渡时，还有许多问题需要考虑，如：
·我们当前的分析、调试和取证工具如何适应虚拟化?
·安全管理员需要什么新工具管理所有的虚拟化平台?
·补丁管理对于客户机、主机和管理子系统等虚拟基础设施有什么影响?
·新的安全工具(如，处理器内置的硬件虚拟化)能够通过把管理程序从软件转移到硬件来保护这个管理程序吗?
·非执行栈(no-exec stacks)等已知的安全最佳做法在全面实施虚拟化的时候有什么区别吗?硬件虚拟化能为真正安全的VMM铺平道路吗?
·虚拟化和共享的存储：如果我们一直到iSCSI传输层都采用了虚拟化会出现什么情况呢?我们会为绕过内置存储局域网安全的攻击敞开防洪闸门吗?
所有这些问题都是企业全面采用虚拟化之前需要考虑的问题。此外，我们现在还应该考虑虚拟化安全未来将把我们引向何方。我们都赞成这个观点，虚拟化是为了企业更好并且已经定型了。但是，安全管理员需要保证自己领先于威胁，在攻击者编写攻击虚拟化的代码之前想到虚拟化的威胁载体。

5. 现在虚拟化的推广越来越多，想了解一下虚拟化办公存在那些隐患

我们不久前编译了一篇文章，探讨了自带移动设备（BYOD）办公的潮流导致的企业数据安全问题，它正困扰着大多数正在迈向移动化之路的公司。

没错，自带设备办公确实带来很多安全问题，比如说数据归谁管（是否能将企业数据和个人数据分开管理），比如说终端硬件的安全问题（如果员工的硬件有病毒并连接上企业的网络，后果不堪设想）等等。可事实上，哪有企业真的会去冒险逐一地解决这些安全问题呢？现阶段，虚拟化才是自带设备办公的唯一出路。

什么是虚拟化？

我们先来解释一下定义。业界常用的词是desktop virtualization（桌面虚拟化），在这里，我们要把这个概念扩到对一切用户端硬件的虚拟化，不管是电脑，平板电脑还是手机。

如何虚拟化？

简单的说就是在建立一个虚拟的环境（其中包括操作系统，应用软件和数据），然后让用户端硬件直接通过该虚拟环境进行操作。虚拟环境将同用户端已有的环境相独立。举个例子，用户A通过自己的电脑登录其公司的环境，此时，用户A自己只是在用自己的硬件而已，电脑上的操作系统，软件，或者数据都是公司的。除了计算能力（computing power）需要自己的硬件提供以外，跟用公司的电脑没有区别。

在后端，这些虚拟环境被一些服务器支持（host），这些服务器由企业或者第三方控制，和用户端硬件无关。

为什么虚拟化能解决自带设备办公的安全问题？

很简单，虚拟化环境将和用户端环境独立，任何用户端环境的安全问题都不会影响到虚拟环境。而只有虚拟环境才会连接到公司网络，这样就保证了公司网络的安全。而数据的所有权也不会有争议。由于公司只控制虚拟环境，将无法接触到用户的数据；更重要的是，由于用户只是通过一个虚拟环境连接到公司网路，任何公司数据都不会寄付于用户端硬件之上（即使用户端硬件不幸丢失，也不会将公司的数据流出）。

谁在提供用户端硬件虚拟化的服务？

这里要分两类来讨论：桌面虚拟化（电脑）和移动虚拟化（平板电脑，手机）。

桌面虚拟化的技术已经相对成熟，我自己在出差是也会通过登录Citrix提供虚拟环境进行办公。除了Citrix以外，提供这类服务的还有VMware，甲骨文，微软，Quest Software (戴尔)和red hat等等。根据V-Index的调查，目前，北美已经有34%的公司可以让员工通过桌面虚拟化登录办公。

移动虚拟化的技术目前主要有两种。一种是一些桌面虚拟化服务的提供者将已有技术进行改动，让其在移动硬件上也能使用。这类公司中有以上提到的Citrix和VMware，也有没有提到的Framehawk和NComputing。第二种是一些专门为移动虚拟化提供服务的公司，比如Red Bend（在2010年通过收购VirtualLogix进入移动虚拟化市场），比如OK Labs（成立于2006年，在今年九月被General Dynamics收购），还有Cellrox（位于以色列，由几个哥伦比亚大学的校友在2011年成立）。

6. 如何在虚拟化环境中实现网络安全

网络
安全政策是管理层制定的高层文档，目的是将管理层的指导策略和观念传达到员工。管理和业务过程的人负责组织和设计成功的安全政策。政策要突出管理层的阐述方式。网络安全政策必须阐述清楚谁负责安全性，需要在虚拟环境中保护什么，以及定义一个可接受的风险级别。网络虚拟化环境的安全政策必须解决下面这些关键方面：
• 授权与责任
• 复制、容错和故障恢复
• 宿主安全性
• 共享资源
• 备份
• 应急响应
• 培训
设置访问权限

7. 云计算需要考虑哪些信息安全问题

云计算应用的现存问题主要有以下几点：

1.虚拟化安全问题：如果物理主机受到破坏，其所管理的虚拟服务器由于存在和物理主机的交流，有可能被攻克，若物理主机和虚拟机不交流，则可能存在虚拟机逃逸。如果物理主机上的虚拟网络受到破坏，由于存在物理主机和虚拟机的交流，以及一台虚拟机监控另一台虚拟机的场景，导致虚拟机也会受到损害。

2.数据集中的安全问题：用户的数据存储、处理、网络传输等都与云计算系统有关，包括如何有效存储数据以避免数据丢失或损坏，如何对多租户应用进行数据隔离，如何避免数据服务被阻塞等等。

3.云平台可用性问题：用户的数据和业务应用处于云平台遭受攻击的问题系统中，其业务流程将依赖于云平台服务连续性、SLA和IT流程、安全策略、事件处理和分析等提出了挑战。另外，当发生系统故障时，如何保证用户数据的快速恢复也成为一个重要问题。

4.云平台遭受攻击的问题：云计算平台由于其用户、信息资源的高度集中，容易成为黑客攻击的目标，由此拒绝服务造成的后果和破坏性将会明显超过传统的企业网应用环境。

5.法律风险：云计算应用地域弱、信息流动性大，信息服务或用户数据可能分布在不同地区甚至是不同国家，在政府信息安全监管等方面存在法律差异与纠纷;同时由于虚拟化等技术引起的用户间物理界限模糊可能导致的司法取证问题也不容忽视。

8. 什么是网络虚拟化 网络虚拟化简介

网络虚拟化的内容一般指虚拟专用网络 (VPN)。VPN 对网络连接的概念进行了抽象，允许远程用户访问组织的内部网络，就像物理上连接到该网络一样。网络虚拟化可以帮助保护 IT 环境，防止来自 Internet 的威胁，同时使用户能够快速安全的访问应用程序和数据。 基于网络的虚拟化方法是在网络设备之间实现存储虚拟化功能，具体有下面几种方式： 1. 基于互联设备的虚拟化：基于互联设备的方法如果是对称的，那么控制信息和数据走在同一条通道上;如果是不对称的，控制信息和数据走在不同的路径上。在对称的方式下，互联设备可能成为瓶颈，但是多重设备管理和负载平衡机制可以减缓瓶颈的矛盾。同时，多重设备管理环境中，当一个设备发生故障时，也比较容易支持服务器实现故障接替。但是，这将产生多个SAN孤岛，因为一个设备仅控制与它所连接的存储系统。非对称式虚拟存储比对称式更具有可扩展性，因为数据和控制信息的路径是分离的。 基于互联设备的虚拟化方法能够在专用服务器上运行，使用标准操作系统，例如Windows、Sun Solaris、Linux或供应商提供的操作系统。这种方法运行在标准操作系统中，具有基于主机方法的诸多优势--易使用、设备便宜。许多基于设备的虚拟化提供商也提供附加的功能模块来改善系统的整体性能，能够获得比标准操作系统更好的性能和更完善的功能，但需要更高的硬件成本。 但是，基于设备的方法也继承了基于主机虚拟化方法的一些缺陷，因为它仍然需要一个运行在主机上的代理软件或基于主机的适配器，任何主机的故障或不适当的主机配置都可能导致访问到不被保护的数据。同时，在异构操作系统间的互操作性仍然是一个问题。 2. 基于路由器的虚拟化：基于路由器的方法是在路由器固件上实现存储虚拟化功能。供应商通常也提供运行在主机上的附加软件来进一步增强存储管理能力。在此方法中，路由器被放置于每个主机到存储网络的数据通道中，用来截取网络中任何一个从主机到存储系统的命令。]

9. 如何利用虚拟化提高安全性

我们都知道虚拟化技术可以帮助企业节省开支，简化IT资源管理，但是我们能够利用虚拟化技术来加强系统和网络的安全性吗?随着虚拟蜜罐(honeypot)和蜜网(honeynet)技术的出现，到使用Hyper-V虚拟化技术分配服务器角色，再到虚拟应用程序的无缝沙盒(sandboxing)技术以及最新版本VMWare工作站的发布，答案是肯定的。本文将探讨如何使用虚拟化工具提高Windows环境的安全性等问题。

虚拟化安全vs安全的虚拟化

经常会有人谈论虚拟环境中出现的安全问题，而大部分讨论都是围绕如何保护虚拟机问题的。诚然，虚拟化技术可能带来某些安全风险，然而，如果用得适当，虚拟化技术也能够帮助提高安全性。

控制力是保护系统的一个重要因素，包括对企业内部人员的控制和访问公司网络资源的外部人员的控制(例如远程用户使用便携式电脑和移动设备访问网络)。虚拟化技术能够帮助你集中控制最终用户所访问的应用程序，而桌面虚拟技术则能够为具有潜在危害的应用程序、网站等创建安全、孤立的计算机环境。

数据集中化管理能够确保数据的安全性，而基于服务器的虚拟化技术能够确保重要数据不被存储在台式机或者很容易遗失或者被偷窃的笔记本电脑中。

沙盒技术

沙盒是指器不能直接访问主一种相对孤立的环境，能够安全地运行那些可能对操作系统、其他应用程序或网络造成威胁的程序。虚拟机机资源，所以使沙盒技术十分安全。如果系统中存在不稳定的应用程序、有安全漏洞应用程序或者未知应用程序，你可以将这样的应用程序安装在虚拟机中，这样的话，当该应用程序出现问题时，就不会对主机系统的其他部分造成影响。

由于网络浏览器经常会成为恶意软件和病毒攻击的对象，我们可以将浏览器在虚拟机中运行，当然你也可以在虚拟机中运行其他互联网相关的程序(如电子邮件客户端、聊天程序和P2P文件共享程序等)。虚拟机能够访问互联网，但是不能访问公司的局域网，这能够帮助你保护主机操作系统以及访问本地资源的商业程序免受互联网中的攻击。

另一个好处就是，当虚拟机受到攻击时能够很简便地恢复，VM软件会在特定的时间点对机器进行“快照”，因此能够很快速地恢复到攻击前的状态。

无缝虚拟应用软件和丰富的VMWare Workstation 6.5实战经验

最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，并且其“Unity”功能能够让你在主机桌面中查看在主机操作系统的应用程序(来自虚拟机)。对用户而言，这意味着完全的无缝虚拟应用程序整合，操作过程更加方便。用户能够轻松在虚拟机和主机间进行拖放或者粘贴操作，根本不会感觉应用程序是在虚拟机中运行，这就是说对虚拟机中的应用程最新版本的VMWare Workstation (6.5版本)提供了最完整的桌面功能，并且其“Unity”功能能够让你在主机桌面中查看在主机操序(如网络浏览器)实施沙盒技术时不再会感觉到任何障碍。

这种新软件还能够帮助用户安装虚拟机以便跨越多个监控器进行操作，这很重要，尤其是当你需要在虚拟机中同事运行几个应用程序时。或者你也可以安装多个虚拟机在不同的监控器上显示，这样就更容易追踪用户在特定时间所操作的虚拟计算机。另外也可以在后台运行虚拟机，而不使用workstation用户界面。

服务器分离

服务器整合是很多企业使用虚拟化的主要目的，当然你也可以不使用虚拟化而在一台机器上运行多个服务器角色，你的域控制机还可以作为DNS服务器、DHCP服务器、RRAS服务器等。但是在一台服务器上运行多个角色，特别是在域控制器上，会造成重大的安全风险。虚拟化可以让你在同一物理机上运行所有这些相同的角色，并将服务器分离，因为他们是在单独的虚拟机上运行。

微软公司发布的Hyper-V虚拟软件能够防止VM间的未经授权的通信，且每个虚拟机在分离出来的单个工作进程中运行，并且在用户模式中仅有有限的权限，这能够保证主服务器和程序的安全性。其他能够分离虚拟机的安全机制包括分离虚拟设备，一种从每个虚拟机到主服务器的独立的VMBus，并且VM之间没有共享空间。