分页: 6/24 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]
Apr 25
1、做你真正感兴趣的事——你会花很多时间在上面,因此你一定要感兴趣才行,如果不是这样的话,你不愿意把时间花在上面,就得不到成功。

2、自己当老板。为别人打工,你绝不会变成巨富,老板一心一意地缩减开支,他的目标不是使他的职员变成有钱人。

3、提供一种有实效的服务,或一种实际的产品。你要以写作、绘画或作曲变成百万富翁的机会可以说是无限小,而你要在营造业、房地产、制造业发大财的机会比较大。记住,出版商赚的钱比作家多得多。

4、如果你坚持要用自己的灵感来创业?最好选择娱乐业,在这方面,发财的速度相当快,流行歌曲和电视最理想。

5、不论你是演员或商人,尽量增加你的观众。在小咖啡馆唱歌的人,所赚的钱一定比不上替大唱片公司灌唱片的人,地方性的商人,不会比全国性的商人赚的钱多。

6、找出一种需要,然后满足它。社会越变越复杂,人们所需要的产品和服务越来越多,最先发现这些需求而且满足他们的人,是改进现有产品和服务的人,也是最先成为富翁的人。

7、不要不敢采用不同的方式——新的方法和新产品,会造成新的财富。但必须确定你的新方法比旧方法更理想,你的新方法必须增进产品外观、效率、品质、方便或者降低成本。

8、如果你受过专业教育,或者有特殊才能,充分利用它。如果你烧得一手好菜,而却要去当泥水匠,那就太笨了。

9、在你着手任何事情之前,仔细地对周围的情形研究一番。政府机关和公共图书馆,可以提供不少资料,先做研究,可以节省你不少时间和金钱。

10、不要一直都想着发大财,不如你想想如何改进你的事业,您应该常常问自己的是:“我如何改良我的事业?”如何使事业进行顺利,财富就会跟着而来。

11、可能的话,进行一种家庭事业,这种方法可以减少费用,增进士气,利润的分配很简单,利润能够得到充分的利用,整个事业控制也较容易。

12、尽可能减少你的费用,但不能牺牲你的品质,否则的话,你等于是在慢性自杀,赚钱的机会不会大。

13、跟同行的朋友维持友谊——他们可能对你很有帮助。

14、把尽量多的时间花在事业上。一天12小时、一星期6天是最低要求,一天14小时到18小时很平常,一星期工作7天最好了。你必须先牺牲家庭和社会上的娱乐,直到你事业站稳为止。也只有到那时候,你才能把责任分给别人。

15、不要不敢自己下决心。听听别人的赞美和批评,但你自己要下决心。

16、不要不敢说实话。拐弯抹角,只会浪费时间,心里想什么就说什么,而且要尽可能地直截了当地、明确地说出来。

17、不要不敢承认自己的错误。犯了错误并不是一种罪行,犯错不改才是罪过。

18、不要因为失败就裹足不前。失败是难免的,也是有价值的,从失败中,你会学到正确的方法论。

19、不要在不可行的观念上打转。一发现某种方法行不通,立即把它放弃。世界上有无数的方法,把时间浪费在那些不可行的方法上是无可弥补的损失。

20、不要冒你承担不起的风险。如果你损失10万元,若损失得起的话,就可以继续下去,但如果你赔不起5万元,而一旦失败的话,你就完蛋了。

21、一再投资,不要让你的利润空闲着,你的利润要继续投资下去,最好投资别的事业或你控制的事业上,那样,才能钱滚钱,替你增加好几倍的财富。

22、请一位高明的律师——他会替你节约更多的金钱和时间,比起你所给予的将要多的多。

23、请一位精明的会计师。最初的时候,你自己记账,但除非你本身是个会计师,你还是请一位精明的会计师,可能决定你的成功和失败——他是值得你花钱的。

24、请专家替你报税。一位机灵的税务专家,可又替你免很多的税。

25、好好维持你的健康和你的平静心灵——否则的话,拥有再多的钱也没有什么意思。
Apr 23
看了《问绿盟黑洞》的文章好几天了,有点想法不吐不快。前两天正忙,现在闲下来了,说说我的想法。文章中会提到一些厂商的技术,有正有反,大家不 要对号入座,主要是希望对你们的技术提高有帮助。我以原始的ddos的先行者syn flood来举例说明,cc我不打算评价,因为我认为syn flood的效果远远好于cc,而隐蔽性是cc远远达不到的。先点评一下关于DDoS话题方面的一些网友的错误认识和厂商的技术弱点。以下如果没有特殊指 明,ddos我指的就是syn flood这种最原始、最有效、最简单、最可爱的东西。

1.只要一谈论ddos想到的就是大流量,就是无 边无际、无际无边的带宽消耗战。
错了,syn flood可不是带宽消耗战,drdos才是!那是因为syn flood的使用者使用不当,才会有今天大家的错误认识。

2.天,我CPU都满跑了,为什么目标机一点事都没有?我用的可以Linux下开源的、大家都害怕的、网评第1的攻击软件呀。
检查一下你的网关是不是有NAT,如果有。不是你的包没出去,就是你的网关快阵亡了,您赶快住手吧。
去掉你前面的防火墙,因为防火墙在你发起攻击时,最先受到损害,更重要的是它是你财产的一部分。
你极有可能拿一款ether下的攻击 程序在pppoe网络中使用了,为了提高效率攻击数据包都是自己填充的,所以程序本身可能把数据包进行了ether_type的二层封装,如果你在 pppoe环境中攻击,请自己修改源代码改为PPPOE封装。否则的话,你攻击的不是目标机,而是在自己的房间里大小便。要学会分析协议,下面才是二层 PPPOE封装的正确格式:
88 64 11 00 0B D0 00 56 00 21

3.这个ddos设备没什么了不起,用 的就是syn cookie和syn proxy。
我认为这两种方法是当前最有效的解决方法,就像攻击者必须联网才能发起攻击一样,这两种措施是 必做的。如果您没用这两种方法就实现了ddos防御,以下的内容您就不用看了。因为您是我见过的第一牛人,我在您面前绝对是个晚辈的。在此就不浪费您的宝 贵时间了。如果您感觉我还可救,给我留点面子传张纸条教侮我一番吧。

4.drdos比ddos时髦多了,可以四两拨千斤
真不好意 思,syn ack这个数据包应该从内网口收到才对,从外网口收到时直接丢掉就可以了。它浪费的是你的宽带而不是内存或者大量的cpu。
你可能会 说我后面的服务器是ftp并工作在主动模式,所以有时syn ack也是不能丢的。嗯…解决方案你自己已经说出来了,自己想个办法吧。

5.DDoS 是最没有水准的攻击类型,菜鸟才用。
这只能说明你只是使用ddos工具的人,而不是一个编写ddos攻击类程序的人。大家知道一款好的ddos攻 击软件,所发的包在各协议首部字段的合法范围内越随机越好。只要有一个字段该变但你没变的,特证过滤一下子就把你干掉了。如果攻击包是以多播、回环为源 ip发送,我只能说攻击者在和你开玩笑,看看日历确认今天不是愚人节。
但满足随机就是好的攻击软件吗?喵~喵~俺家的小花猫都知道,远远不是滴, 单纯发syn攻击包就不是好的攻击方式。浪费ddos设备资源的是握手的第三个ack包。但第三个包构造上又很有讲究,举个例子:国内某某ddos厂商的 主页,我小流量正常访问时抓包,可以发现他没有做syn proxy,但当我1000pps时,通过抓包就可以看出,他启用syn proxy了,并且syn cookie也随之打开了,你问我怎么知道的?看看它回复的syn ack包的tcp选项部分的变化你就明白了。这时是他启用防护的时机,也是它最脆弱的时候,细心的构造一个syn包,一个ack包,算准了它的 cookie,喂给它。喵~小花猫都知道5000pps足够了。我不是有意这么做的,是它在CU里叫大家帮忙做测试,我简单的分析了一下,是这个原理。没 叫劲,睡觉了,第二天具说有3000台肉机参与了,不知是真是假,如果没有了解原理,你就算动用8000台也没用啊!
这里真正的技术是推算 cookie,但我在市面上找不到一款ddos攻击软件有这个方面的功能,你可能会说这不就是cookie攻击吗,我不这么认为,我不会发大量的ack来 消耗它的cpu资源,我只是想钻它算法的空子。因为一种cookie的算法就好比是一类ddos设备的指纹,推出这个cookie的参数与运算法则,以后 遇到它的时候,它就死定了。当然厂商也不傻,算cookie的参数是个很大的数并且还是在不断变化,但不会经常变,每次启动的时候变一次就算很智能了。因 为每天小花猫吃饭的时候,我都会便顺发送一个相同的syn包给它,它返给我的syn ack中的cookie一直都是一样的。哈哈…如果我有耐心,终有一天我会推出来的,注意:这个syn包源IP是真实的,所以我能观察到它的返回数据包, 并且他根本就发现不了偶。一天才一个syn包嘛。
顺便问问版主,绿盟在测试黑洞的时候,肯定有一种攻击软件是他们自己写的,针对自己的产品的弱 点、软肋、命门、死穴、扪门发送5000pps应该就可以挂了。喵~喵~喵~小花猫咽到了。

6.这个百兆ddos设备真牛呀,百兆的线路 我都D满了,还可以正常访问保护的服务器
你的感叹用错对像了,你应该感叹于这条网线的质量很好,一条质量优秀的网线,百兆千兆的确都可以跑起来 呀。另外一个设备适用于百兆还是千兆环境的瓶颈,你没有弄清楚。我用82559网卡,我的算法再好也不可能你把百兆线路D满了,后面的服务器你还可以访 问。你的这种情况,我可以很负责任的告诉你,这个外表百兆ddos设备实际采用了千兆平台和千兆网卡,而流量的瓶颈在你测试中的其它结点上。仅此而己。

7.我们的算法不对syn包做回追处理,所以你的下行带宽没有被浪费。
这话也说的出口,真汗!小花猫甩甩尾巴跑去喝水了。你把10kpps的发包 器真接插在百兆ddos设备上面试一下,看看是回复syn ack时CPU使用率高,还是只接受syn包不回复时CPU占用率高。告诉你,后者的cpu占用率更高一些。为什么呢?因为我回复syn ack时也是一种另类的保护策略,在局域网中,攻击者发的数据包也必须依照冲突检测载波监听的方式来发送攻击包,如果你回复等量的syn ack也就是在堵攻击者的嘴,他发包的速度会成倍的减下来。这意味这什么?意味着你用你的下行带宽换来了上行带宽,这么好的机会你为什么要放弃?这就好像 一群人在用砖头拍你,拍的你上串下蹦,左躲右闪,累的你呼吃带喘,你心里还在想我TM怎么这么聪明呀,没有回拍他们,节约了不少力气,所以现在身行才能如 此敏捷。

8.你看我们的设备连IP地址都没有,可以实现网络隐身,所以很安全
幸好小花猫不在身边,否则还不得被呛个半死呀。这个 因果关系也说的出来?那我是不是可以说工作在桥模式下的设备都很安全?这是我见过的最大的拿缺点当优点忽忧人的说词。你把IP地址给我设上,我为什么要网 络隐身啊,我光明正大!你不是防ddos攻击吗?你自己的ip为什么不敢暴露在公网上提供http管理控制?厂商会找出各种的手段来忽忧你,以下是最常见 的托词:设置管理IP地址当然可以了,但要从另外的一个网口专门引出来,并且我们不对管理网口做防护,因为这样会增加我们系统的负载呀。呀~~呀~~ 呀~~,回想起测试性能的时候他们好像说自己的算法很牛,什么国际领先啦,什么可以抵御所有未知的ddos攻击啦,什么算法CPU零负载啦,什么指纹啦, 什么单向数据包一次检测啦,什么身份证啦、什么syn包实名制啦、什么暂住证啦….什么这个,什么那个了,你都这么强了,暴露一下嘛。
不 想做过多技术分析,主机型syn proxy syn cookie和网关型syn proxy syn cookie的难度不是一个数量级,原因是厂家为了效率把syn proxy syn cookie都在驱动层实现了,你叫他们把数据包上送到系统的TCP/IP协议栈给系统自身,真的是很难为他们。但你实现不了可以直说,忽忧我家小花猫就 不厚道了。

9.我们的设备是透明接入,不会修改你的拓扑
嗯…这要看你对透明接入的了解程度了,我翻了翻所有ddos厂商的手册, 吃惊的发现,都是一个模子,不知是谁抄谁的。上画三张用户常用拓扑,一个保护服务器、一个保护防火墙,一个保护网络,就认为自己可以全透明接入了?下面这 张图你能透明接入吗?内网为三个VLAN网段,服务器放在VLAN2中,每个网段互相访问都必须通过防火墙内网口的三个对应VLAN网卡(各网段默认网 关),防火墙通过DNAT后对外映射VLAN2网段服务器。我的要求是即要求你防外网的ddos还要你防止内网对VLAN2的ddos,敢问您,您打算怎 么个透明进入法?
1)        透明接入在防火墙外网口?
2)        透明接入在防火墙内网口?
你八成会修改我的 拓扑,把VLAN2转到DMZ,然后透明接入在防火墙DMZ网口上

外网
|
防 火墙
|
|交换机trunk口
|
switch
|            |             |
VLAN 1       VLAN2      VLAN3

10.利用超时重传来判断syn包是否合法
这种方法是相当的有效啊,远处传来 小花猫的声音:“给它在三秒钟之内发第二个syn包”
原文作者:skipjack
Tags:
Apr 23
Author:
赵彦,中联绿盟信息技术(北京)有限公司
Homepage:www.ph4nt0m.org
Mailto: [email protected]
本版初稿只代表个人观点,仅供参考,对于迷信产生的后果,本人不承担任何责任
本文实际上并不能算 是Career Planning,只是一些分类描述,唯一好处仅在于帮助你理解不同职位的技能要求,因为最近很忙,本文也远远达不到Body of  Knowledge的详细程度,计划在空闲时再补一篇真正的Career Roadmap

[漏洞挖掘/安全技术研究员]
研 究对象:OS,网络,应用,通讯媒介及协议的安全漏洞和防御方法,偏重于底层技术,对技术要求最高,但不要求很全面,只需精通一两种流行的平台即可。其研 究成果经常为IDS/IPS/Vulnerability Scanner插件作分析等,最新的技术可能被转化到产品中实现商业价值,或可能承担技术最高的一部分专业安全服务。

主要技 能:CC++,ASM,OS kernel,调试器,反汇编、缓冲区溢出类,逻辑编程错误等

[安全产品开发]
和其他程序员一 样,只不过是面向安全产品,有核心引擎也有界面开发,如何成为一个优秀的程序员就不用我废话了吧,网上的Proposal多的是

[产品工 程师]
作为厂商的技术人员,一般是对自有产品做售后技术支持,如 FW,VPN,IDS/IPS,Scanner,AV,AAAA,CF,UTM,SOC,Terminal Management,Vulnerability/Patch Management,Anti-DOS,Anti-Spam……该职位对技术要求一般,有一定的系统、网络基础,可以熟练部署产品即可,另外还有 Testing和Troubleshooting的能力也是比较重要的

[技术顾问/售前工程师]
作为厂商的售前,须对自有的产品 和解决方案非常熟悉,售前偏重于架构/方案设计,Presentation,Documentation以及其他Presale Engineering的能力(如投标、销售推介技能),一般需要多年工作经验,有售后或者研发背景,对特定行业的理解-如曾在电信、金融或者SI的工作 经验能增强竞争力,如能对专业安全技术服务及咨询服务有所掌握,会使你的知识背景更强势,项目管理技能也是必要的。

[安全服务工程师]
个 人觉得在安全工程领域,产品选型和部署相对简单,门槛较高的是专业安全服务,先不论当前行业内的安全服务技术人员实际水平如何,我只是就我的理解谈一下以 下职位的技能需求。如渗透测试、安全加固、安全外包/安全监控,应急响应,高级安全技术培训,风险评估等要求技术人员对主流的操作系统平台,网络设备,数 据库,企业应用有一定程度的掌握,并且需要融入对安全和攻防技术的理解,另外安全服务人员最好需要有信息安全管理和项目管理的知识。沟通表达以及文档撰写 能力都是必须的。

[安全架构师]
之前的售前工程师和安全服务工程师也要写整体解决方案,但从专业程度来说,他们还达不到安全架构 师的技术高度,安全架构师须熟悉IT基础设施、容灾备份,大型企业级应用,安全集成,网络设计规划,网络安全产品典型部署,熟悉各种通信标准及协议,需要 了解安全趋势和客户的整体安全需求,既有深度又有广度,需要较多的经验和技术。

[信息安全咨询顾问]
信息安全既有技术也有管理的 问题,如传统的Strategy、HR、IT consulting一样,Information Security Consulting也是专业服务中的主要业务,如:Risk Assessment、ISMS building、SOX Compliance……
信 息安全不可能脱离企业自身的业务和实际需求,否则便成了空中楼阁,信息安全管理应该是以企业管理为上层引导,信息安全管理为中间支柱,下层以计算机及通信 技术为基础依托的三层结构,当然出售的最终产物是三层融合的整体解决方案,咨询顾问一般需要以下技能:
熟悉各类安全标准 –BS7799,ISO13335,CC,SSE-CMM,IATF,SP800……
相关的知识领域—IT Governance,ITIL/ITSM,MOF,COBIT,SOA,COSO……
咨询体系–企业经营管理,流程管理,人力资源管理,信息 战略,法律法规
基本技能–沟通表达、文档、项目管理
技术体系–All above(不要因为我说了这句话趋之若鹜哦)

[CHO]
这 里并不是指人力资源总监,而是传说中的Chief Hacker Officer–首席黑客官,在国外某些公司设有此类职位,是更加纯技术的职位,从名字就可以看出他的技术偏向哪里,实际上应该是安全教科书中的 Whitehat,从Know your enemy的角度讲,反黑的的能力也确实强

[CSO/CISO]
一般只有较大的组织机 构才单独设有首席安全官或首席信息安全官,在没有独立设置CSO职位的情况下,信息安全通常属于CIO/CTO/COO考虑的范畴,实际上也由他们扮演 CSO的角色,因此换个角度—信息安全管理咨询应该是in CXO’s perspective,实际上高级咨询顾问到甲方即可成为CSO

通 用且有一定竞争力的认证:
CISSP,CISM,CISA,BS7799LA

可供职的厂商:
国内专业安全公司:绿盟科 技、启明星辰、天融信、联想网御、安氏
国外安全公司:ISS、Mcafee、Symantec、Checkpoint、TrendMirco
各 大IT公司:Microsoft、HP、IBM、Cisco、Juniper、F5、Various vendors
会计事务所:PWC、 E&Y、KPMG、DTT……
咨询公司:Accenture
甲方:如电信移动、金融、各大门户、电子商务以及IT系统对内部运营 起到关键作用的企业

薪酬:
职位当然是影响Salary的重要因素,除此之外,审计师/咨询顾问、安全架构师和研究员的工资较高, 外企的工资一般比国内企业高,在甲方的工资不一定有乙方高,主要看所在行业、企业盈利程度和对信息安全的重视程度,但乙方高薪职位通常来说比甲方更忙碌, 其实质也是用时间换工资,从行为经济学看未必很实惠。

职业发展路线
研究员-高级安全研究员
开发程序员-项目经理
产 品工程师-安全服务工程师-售前技术顾问
产品工程师-安全服务工程师-安全服务项目经理
产品工程师、安全服务工程师、技术顾问有两个发展 方向:
1.        偏技术方向—安全架构师
2.        偏管理方向—咨询顾问
甲方和乙方的角色切换,如果对当前 的视角失去了兴趣,不妨换个角度,如果结婚了寻求安定不想出差可以去甲方
当然以上只是理论公式,现实生活中的“天花板”在哪里有机会可以自己去体 验一下

知识体系结构
大体分为技术体系和管理体系吧
技术体系:
对攻防技术的理解
OS、 Network、Application、Data protection and related
TCP/IP protocol suits
研 究偏重底层技术,架构偏重网络

安全管理体系:
各种信息安全技术/管理标准,审计及内部控制标准
传统管理学大集合
咨 询及审计

其他:
对客户业务的理解
表达沟通,文档,演讲,项目管理和销售技能
Apr 23
以前听人说在Linux上可以查到一个很奇怪的月份,只是当时忘了那个特殊的月份。今天在网上搜了一下,发现通过这个命令(月份)了解了一段人类文明历 史。呵呵。虽然和Linux没什么关系,但是确实是因为Linux才让我了解到的。

# cal 9 1752

September 1752
S M Tu W Th F S
1 2 14 15 16
1 7 18 19 20 21 22 23
2 4 25 26 27 28 29 30

我们发现1752年9月2日的后面竟然是14日,确实很奇怪,通过在网上搜索,找到 了答案:

1582年2月,罗马教廷要求从1582 年10月中减去10天,因此1852 年10月4日后面紧跟着就是15日。 在意大利、西班牙等国家都这样处理了。其他天主教国家也很快跟着这么做了,但是新教国家不愿意修改, 而且希腊等东正教国家直到20世纪初才修改,所以这个改革在英国及其殖民地(包括美国)在1752年9月才被执行。这样 1752 年9月2日后面跟着的就是1752 年9月14日。 这就是为什么cal会生成上面输出的原因了。

Windows用户是没福气查到这个 特殊月份了,因为Windows的纪年范围只是1980-2099。
Apr 22
Hyper-V中的I/O架构

该架构极大地减少发送I/O请求所需的开销。如果Virtual Server用户把虚机迁移到Hyper-V中,能体会到高I/O的工作负载的CPU开销大大降低。

在虚拟化领域,微软是继VMware后最大的竞争者,它的出场引发了一个讨论:Hyper-V是否会超越VMware ESX Server成为主导的hypervisor。VMware与微软及其余竞争者之间的争论是一场热烈的战争,让想人起了Windows与Mac OS之间的战争。

VMware对 Hyper-V的看法

对于微软这样庞大的但在虚拟化领域的后来者,VMware方面认为,VMware是最有经验的公司。VMware有10年的虚拟化经验和一个庞大的用户基础,包括100%的财富500强公司和92%的财富1000强公司,全球总共有超过10万的用户。VMware还拥有11个虚拟化专利权,在2007年,VMware的收入达到了13.3亿美元。

拥有新虚拟化产品的微软几乎没有企业虚拟化经验,到目前为止,还没有财富500强的用户在生产环境里采用微软的企业虚拟化产品。哪个公司听起来更能胜任提供你企业的虚拟化解决方案?

据称ESX已经有过运行1000多天而没有一次重启的记录;而由于Windows更新,Windows Server 2008 Hyper-V需要,每三十天重启一次。总而言之,如果你仅仅看到一个单独的VMware Infrastructure企业套件许可证要花费6950美元,相比一个单独的Windows Server 2008企业或标准的套件许可证来说,毫无疑问,VMware解决方案花费更多。然而,就性能而言,VMware仍然比微软的Hyper-V胜出一筹。

微软是毫不示弱给予回击

Microsoft Hyper-V 和VMware ESX Server都是基于硬件支持的Bare-Metal虚拟化产品,他们最大的区别在于,Microsoft Hyper-V采用了微内核的结构,而ESX Server是一个单内核的产品。

单内核的主要特点是硬件的驱动程序集中在Hypervisor一层,被Hypervisor上的所有的虚机所共同使用。当一个虚机的OS需要访问硬件时,它通过Hypervisor中的driver model来访问,这种单内核的Hypervisor能够提供很好的性能,但是它在安全性和兼容性上存在缺陷。由于驱动程序和一些第三方代码跑在一个很敏感的区域内,这种模式有了一个很大的被攻击面。

设想下某些不怀好意的代码被隐藏在驱动程序当中,然后跑在Hypervisor中,这会影响到所有的客户虚拟机,而且这是很难被发现的,因为对于实际被使用的虚机来说,Hypervisor这层是不可见的,所以无法通过一些病毒软件去监控它。 另外一个问题就是稳定性,假设某个驱动程序当中存在bug,那么它将影响到所有的虚机。另外你还要求Hypervisor去支持所有的驱动程序,造成了这层体积较为庞大。所以单内核的Hypervisor一般被认为是胖Hypervisor。

而Hyper-V采用了微内核的结构,它是一个瘦Hypervisor。因为它里面没有驱动程序,所以在体积上Hyper-V更有优势,另外,由于微内核体积较小,所以运行的效率很高。驱动程序是跑在每一个分区里面的,每一个分区内的虚机OS都能够通过Hypervisor直接访问硬件,还使得每一个分区都相互独立,这样就拥有更好的安全性和稳定性。

除此之外,大多数虚拟化解决方案都是采用了硬件模拟来解决硬件访问的兼容性问题,但是也造成了很大的开销和性能损失。而微软的Hyper-V没有采用这样的做法,而是采用了Enlightenment(启蒙)技术。它能够对那些虚拟机操作系统进行启蒙,让它们明白自己是一个虚拟机,被启蒙过的虚拟机操作系统会记住虚拟化,所以他们可以不需要硬件模拟,而是通过VSP/VSC这套组件来进行的,当子分区内的操作系统需要访问硬件的时候,由子分区内的VSC(Virtualization Service Client)通过VMBUS将request发给父分区里面的VSP(Virtualization Service Provider),然后由VSP去提供实际的硬件服务。通过这种方式来使用硬件,相对于使用硬件模拟的方法,其访问性能有了大幅度的提高。

另外这种方式可以兼容大量的驱动程序,而不必像ESX Server一样为虚拟机开发专用的驱动程序。在大多数情况下,只要硬件设备能够在Windows Server 2008下工作,那么就肯定能够在虚拟机下工作。再加上Windows平台的驱动本来就比其他平台的驱动程序丰富,而ESX Server容易遇到兼容性方面的问题,所以在硬件兼容性支持上Hyper-V具有无可比拟的优势。

经过这几年的努力,微软为虚拟化技术提供了非常丰富和全面的产品线,从服务器虚拟化的Virtual Server, Hyper-V,到应用程序虚拟化的SoftGrid,到桌面虚拟化的VPC,再到用户界面虚拟化的Terminal Services,一应俱全。而且为这些所有的产品提供了统一的管理平台:System Center, 不管是物理机,还是Hyper-V,VPC,Virtual Server的虚机,甚至是VMware的虚拟机都可以通过System Center的管理工具进行统一管理,并且彼此兼容。另外微软还提供了自己的服务器操作系统和一些其他服务器产品(比如Exchange Server),能够做到在后台将虚拟化产品和其他服务器产品的联动支持和无缝连接,所以微软能够为用户提供一套完整的虚拟化解决方案。

随着Windows Server 2008的发布及其全新的Hyper-V虚拟化支持,微软终于能够向VMware――这个企业虚拟化市场所制造的成熟又健壮的ESX Server发出正式的挑战了。

VMware的ESX Server 3.5和微软的Hyper-V采用的都是基于管理程序的(hypervisor-based)服务器虚拟化技术。这就使这两个软件都可以直接安装到裸机上,因此它们有着比诸如Microsoft VirtuaI Server 2005和VMware VirtuaI Server 2.0等旧式虚拟产品优秀得多的表现。以前那些虚拟产品都是在主操作系统上运行虚拟软件,这会给在虚拟环境中运行的虚拟机带来额外的开销,更长的代码执行路径。相反,像ESX Server和Hyper-V这样的基于管理程序的虚拟化产品则是直接在系统硬件上运行管理程序的。尽管ESX Server和Hyper-V有着相似的基于管理程序的架构,它们的设计却迥然不同。

这两个产品的管理程序都是直接在系统硬件上运行的。然而,对于ESX Server来说,所有的硬件驱动程序都只是管理程序的一部分,这一点大大增加了管理程序的大小。除此之外,它的设备驱动程序是由硬件供应商制造的,于是第三方代码就被引入管理程序,这限制了它所支持的硬件类型。即便如此,几乎所有的一级供应商,例如HP、DelI和IBM等,他们所制造的服务器系统都能够正常运行ESX Server。另外,许多一级供应商也出售预装了ESX Server的系统配置。

相反,Hyper-V使用的是微核管理程序,该管理程序包含最少量的代码,用于不同虚拟机之间调度和共享硬件资源。Hyper-V的管理程序既没有设备驱动程序,也没有第三方代码,这就保证了它的最佳性能, 同时也减少了安全隐患。Hyper-V利用本机Windows设备驱动程序模型,以及子虚拟机中的设备驱动程序。

总结

看完他们的口水仗之后,其实我们也很难给出一个结论。同样基于裸金属硬件虚拟化架构下的微软Hyper-V和VMware的ESX,也许这两种技术并不存在谁优谁劣,区别只在于什么类型的用户更适合什么样的具体解决方案。
Tags: ,
分页: 6/24 第一页 上页 1 2 3 4 5 6 7 8 9 10 下页 最后页 [ 显示模式: 摘要 | 列表 ]