虚拟化安全问题：在哪里安置防火墙连接？

问：是否有可能在防火墙连接前实施一个病毒阻止程序?特别是，这将有助于增加虚拟服务器的安全性?

答：执行远离服务器的基于签名的阻止活动或嵌入式补丁(inline patching)是有可能的。使用网络第七层(layer-7)保护技术，比如Web应用防火墙或在线入侵防御系统(IPS)将有助于缓解或解决病毒和其他恶意软件带来的威胁，在它们到达服务器前。

不过，考虑到未过滤的互联网流量所产生的大量噪音，我不会将这样一种产品安置在防火墙连接前。理想的情况是，这些产品应该安置在防火前和交换器的基础设施托管服务器之间，作为一个网络第二层(layer-2)的桥。

由于这种阻止活动是在远离服务器的情况下执行的——在虚拟化环境以外——所以它对于保护同一物理硬件上的多个虚拟服务器是非常有效的。

【编辑推荐】

1. 下一代防火墙赢在“应用识别”
2. 梭子鱼下一代防火墙为中欧银行提供安全稳定网络环境
3. 网络防火墙的末日真的来了吗？
4. 梭子鱼防火墙有力保障机场用户的邮件安全
5. 假“暴雪战网”现身网络 瑞星防火墙即刻封杀