6.4 虛擬網絡安全

6.4.1　架構安全

6.4.1.1　一般要求

本項要求包括：

a) 應保證關鍵網絡設備及虛擬化網絡設備的業務處理能力具備冗余空間，滿足業務高峰期需要；

b) 應保證核心網絡的帶寬滿足業務高峰期需要；

c) 應保證虛擬機只能接收到目的地址包括自己地址的報文；

d) 應能監控虛擬機之間、虛擬機與宿主機之間的流量；

e) 應提供開放接口，允許接入第三方安全產品。

6.4.2　網絡隔離

6.4.2.1　一般要求

本項要求包括：

a) 應保證不同類型流量分離，如管理流量、桌面云用戶業務流量分離；

b) 應支持網絡安全域劃分，確保虛擬機之間的安全隔離，支持VLAN/VxLAN或安全組等方式；

c) 應采用技術手段防止桌面用戶修改虛擬網卡的IP地址、MAC地址；

d) 應支持IP地址和MAC地址綁定；

e) 應能對虛擬機的網絡接口帶寬進行設置；

f) 應避免部分虛擬機對虛擬化網絡資源的過度占用以及網路故障影響其他虛擬機的正常使用。

6.4.3　入侵防范

6.4.3.1　一般要求

本項要求包括：

a) 應防止虛擬機使用虛假的IP或MAC地址對外發起攻擊；

b) 應禁止虛擬機修改VLAN ID，防止虛擬機VLAN跳躍攻擊；

c) 應支持在虛擬網絡中對虛擬機監視器和虛擬機的入侵行為進行檢測，并在發生入侵事件時提供告警。

6.4.3.2　增強要求

本項要求包括：

a) 應支持虛擬機綁定固定IP；

b) 應支持網絡端口訪問控制，關閉暫未使用的端口。