考利格推荐了三种方式来实现这一目标：

1.硬件方式

硬件途径会涉及迫使ESX主机之间的流量由入侵检测系统加以审核。考利格描述这个系统的每个ESX托管都配置了独一无二的出入虚拟本地局域网，配置了虚拟本地局域网的入侵检测系统要配置每个入口虚拟本地局域网和出口虚拟本地局域网。这样能保证所有虚拟机到虚拟机的流量可以通过有线发送到入侵检测系统进行审核，只有干净的流量才能在每个入口/出口虚拟本地局域网之间进行通行。这种方法的不足之处就是在多个数据中心和灾难恢复站点进行复制的成本太高。

2.完全虚拟化的方式

采用这种方式，每个ESX主机都配置了虚拟入侵检测系统和防火墙，每个虚拟机配置的协议可以判断什么流量应该被检测。这种方式能保证所有被许可的内部虚拟机流量都能被检测到，而且当虚拟机在物理主机之间迁移时，安全协议也会随之一起迁移，不过不足之处是这种方式是影响体系架构的性能为代价的。

3.综合方式

这是一种可以大幅度缓解完全虚拟化方式所导致的虚拟受损的折衷方式。这种方式是在每个虚拟机上运行虚拟转向器，虚拟机配置了什么流量应该被改变方向-转向物理入侵检测系统的协议来进行检测。入侵检测系统只允许通过检测的干净流量在虚拟机之间进行通行。

因此什么是最佳方法?考利格表示什么是适合企业用户的最佳方法要取决于企业自身的目标和预算以及面对风险的态度。某些成功的解决方案可能会涉及这些三种方法中其中两种方法的结合使用。

考利格表示，好消息是随着安全公司研发出能提供必备功能的更多产品，构建和实施这些解决方案可能在不久的将来将变得更加容易。

(责任编辑：)