虚拟化网络环境面临的安全威胁严重影响了各类网络用户的信息安全，必须采取有针对性的措施加强网络安全。3.1安全风险分析风险分析是安全管理的必要过程14。因此，应评估虚拟化网络环境中网络元素和用户可能面临的干扰或破坏风险，为网络安全管理的实施提供有益的参考。风险分析的有效方法之一是构建威胁矩阵，以表示各部分的潜在威胁。在表1中，H表示高度威胁，M表示中度威胁，L表示低威胁。一般来说，风险分析必须包括网络中的所有相关组成部分。这里的威胁矩阵侧重于对虚拟化相关元素及其面临的各种网络威胁进行比较分析，并给出威胁等级。参考威胁矩阵，网络用户和管理者应重点关注高度威胁，并对中度威胁和低度威胁采取相应的保护措施。3.2安全措施建议通过对虚拟网络环境面临的各种安全威胁的风险分析，对典型的安全威胁提出相应的安全措施建议：（1）对虚拟机迁移和虚拟存储网络的信息嗅探和截取攻击，可以通过建立相应的安全通信渠道来改进，如使用SSL和IPsec等技术。（2）传统的二层网络和节点部署了许多防御攻击的措施。然而，由于网络组成中的各种软件组件，包括各种缺陷，所有的安全威胁都无法从设计层面得到充分解决。因此，软件设计应采用安全程序设计，加强测试，减少漏洞。(3)VLAN通过禁止GVT和配置端口转发模式，可以进行跳跃攻击Trunk，同时，限制只传输特定标记的数据帧。此外，在内部VLAN传输关键数据时，应使用另一个VLAN与其他数据隔离，防止攻击者操作相应的端口，然后访问内部关键传输数据。（4）生成树攻击可以通过BPDU保护等传统措施来解决，因此虚拟交换机应支持这一特性并进行配置和部署，这需要在虚拟软件设计中考虑。（5）为了降低DHCP地址范围不足的风险，物理交换机和虚拟交换机必须配置为只允许特定的IP/MAC地址访问该网络。对于MAC地址欺诈风险，也可以采取相应措施防止，如VMwareESX，管理员禁止客户机改变虚拟MAC地址权限，确保虚拟平台注册MAC地址不被修改，虚拟网络设备不会接收客户机数据包，防止MAC地址欺诈。（6）为了缓解对虚拟存储网络的攻击威胁，系统管理者应区分存储流量和其他流量，并使用IPSEC和SSL等待技术支持的安全通道传输数据，防止嗅探和会话劫持攻击。(7)保护业务信息连接的最佳方法是隔离。由于业务信息通常通过数据管理区域连接(DataManagementZone，DMZ)连接内部网络，因此必须重点保护DMZ，以限制恶意用户的攻击行为。总之，对于虚拟网络，要借鉴传统网络中的安全防护措施构建安全体系，注重虚拟化特性本身的特点，加强虚拟化基础设施的安全防护，构建多重防护体系，增强系统的安全防护能力。

通过对虚拟化网络环境特征的分析，指出其面临的网络安全威胁，并通过构建威胁矩阵来实施风险分析，并给出相应的安全对策。研究虚拟化条件下的网络安全问题，不仅要关注网络本身，还要从底层审视各种网络安全威胁的根本原因，加强虚拟化基础设施的安全保护，这是确保虚拟化系统安全的基础，也是网络安全保护的前提和关键。