连接虚拟主机到DMZ网络的最佳方法

　　虽然有很多种方法配置你的虚拟主机到DMZ网络, 这里提供一些你可以遵循的最佳方法，来提高网络安全性并且最小化连接主机到未知网络的风险。

　　限制可以修改虚拟机网络的用户数量：你可以信任你的管理程序，它能给你的虚拟机提供安全的环境,但是你不必相信你的用户和管理员所作的事是正确的。管理程序会按照你的要求去做, 而改变配置会悄悄暴露你的虚拟机给外部环境。对于物理服务器搬迁到另一个网络,你必须从一台交换机上拔下线缆然后插在另一台上。而对于虚拟机，只要轻轻一点按钮就可以从内部网络转移到DMZ 网络。更糟的是,它同时连接到两个网络.因此,必须锁定权限,只有某些用户可以修改虚拟机网络和vSwitch配置。

　　把虚拟防火墙和物理防火墙连起来：一台虚拟防火墙给管理程序又提供一层安全保证，并且在虚拟层保护虚拟机网络流量。现在有免费的基本虚拟防火墙，也有一些高级产品比如VMware的Shield Zones 和其他第三方厂家的产品。

　　锁住你的vSwitch设置：限制虚拟机连接到vSwitch的端口数量。同时设置设备为混杂模式，阻止MAC地址修改和预设接受。

　　加固端口让它尽可能安全：默认vSphere是相当安全的，但是它还是可以改善。按照VMware发布的最佳方法来加固你的整个虚拟环境。