針對(duì)上述安全威脅，本節(jié)介紹3種虛擬化軟件保護(hù)機(jī)制。

(1)虛擬防火墻

虛擬防火墻是完全運(yùn)行于虛擬環(huán)境下的防火墻，它如同一臺(tái)虛擬機(jī)，一般運(yùn)行在Hypervisor中，對(duì)虛擬機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)分組進(jìn)行過濾和監(jiān)控。虛擬防火墻可以是主機(jī)Hypervisor中的一個(gè)內(nèi)核進(jìn)程，也可以是一個(gè)帶有安全功能的虛擬交換機(jī)。

在Hypervisor中，虛擬機(jī)不直接與物理網(wǎng)絡(luò)相連，通常只連接到一個(gè)虛擬交換機(jī)上，再由該虛擬交換機(jī)與物理網(wǎng)絡(luò)適配器連接。在這種類型的架構(gòu)中，每個(gè)虛擬機(jī)共享物理網(wǎng)絡(luò)適配器和虛擬交換機(jī)，這使得兩臺(tái)虛擬機(jī)之間可以直接通信，數(shù)據(jù)分組不通過物理網(wǎng)絡(luò)，也不被硬件防火墻所監(jiān)控。克服這種缺陷的最好方法就是創(chuàng)建虛擬防火墻，或者在所有的虛擬機(jī)上安裝軟件防火墻，以利用虛擬防火墻確保Hypervisor的安全。