簡介

大家應該都知道VMware NSX裡面有一個強大的分布式防火牆功能,管理員可以設定網路裡的哪些虛擬機可以互相訪問或隔離,這個功能從vCloud Director 8.20版開始,也被整合了進來,使服務供應商的客戶對於運行在其虛擬數據中心裡的虛擬機,得到更完整的安全保護,也大幅降低客戶對資料放在公有雲安全的疑慮。

vCloud Director藉由與NSX的緊密整合, 邏輯防火牆技術包含兩個元件來處理不同的部署使用案例。Edge 閘道防火牆的重點在於南北向流量強制執行,而 Distributed Firewall (DFW)著重於東西向存取控制。

vCloud Director 9.X版本通過 DFW,租戶可得到更高層級的安全控管。通過Distributed Logical Router技術,虛擬數據中心裡虛擬機器跨網段間的網路傳輸則得到更佳效能。

Edge 閘道防火牆會監控南北向流量,以提供周邊安全性功能,包括防火牆、網路位址轉譯 (NAT) 以及站台間 IPSec 與 SSL VPN 功能。

Distributed Firewall 提供用於隔離並保護每個虛擬機器和應用程式安全 (直至L2)的功能。有效地設定 Distributed Firewall 可以隔離任何外部或內部網路安全性危害,從而隔離位於相同網路區段上的虛擬機器之間的東西向流量。安全性原則可集中管理、繼承和嵌套,以便網路和安全管理員可進行大規模管理。

分布式防火牆是Hypervisor 核心內嵌防火牆,用於查看和控制虛擬機的工作負載和網路。

一般來說在私有雲環境如果是用NSX,我們可以基于 VMware vCenter 對象(如資料中心和群集)和虛擬機名稱、如 IP 或 IPSet 地址、VLAN(DVS 端口组)、VXLAN、安全组以及 Active Directory 中的User Group來新增控制策略。防火牆規則套用在每台虛擬機的vNIC上,可以提供一致的訪問控制;即使VM通過vMotion 由某台主機遷移到另一台,防火牆規則也可持續作用。

NSX 分布式防火牆是Stateful的防火牆,它會監控活動的連接狀態,并使用此訊息来確定允許哪些網路資料包可以穿過防火牆。流量可以是:

  • 源地址

  • 源端口

  • 目標地址

  • 目標端口

  • 協議

而在vCloud Director的環境下,Distributed Firewall 可讓您根據虛擬機器名稱和屬性,分割組織虛擬資料中心實體,例如虛擬機器。

由於vCloud Director 環境中的 Distributed Firewall 功能由 NSX 軟體提供,所以運作原理是一樣的,此 Distributed Firewall 也是 Hypervisor 核心內嵌防火牆,可以想像成顆粒度更細的針對虛擬化工作負載和網路的可見度與控制,您可以根據虛擬機器名稱等物件以及 IP 位址或 IP 集位址等網路建構,建立存取控制原則。此 Distributed Firewall 支援可在近線速率處理時檢查東西向流量的微分割安全性模型。

NSX 說明文件中所述,對於第 2 層 (L2) 封包,Distributed Firewall 會建立快取以提升效能。第 3 層 (L3) 封包按下列順序進行處理:

  1. 檢查所有封包的現有狀態。

  2. 找到狀態相符項時,會處理封包。

  3. 找不到狀態相符項時,會透過規則處理封包,直到找到相符項。

  • 對於 TCP 封包,僅針對具有 SYN 旗標的封包設定狀態。但是,未指定通訊協定 (服務 ANY) 的規則可以符合具有任意旗標組合的 TCP 封包。

  • 對於 UDP 封包,會從封包擷取 5 元組詳細資料。如果狀態資料表中不存在狀態,會使用擷取的 5 元組詳細資料建立新狀態。後續接收的封包會根據剛建立的狀態進行比對。

  • 對於 ICMP 封包,ICMP 類型、代碼和封包方向會用來建立狀態。

Distributed Firewall 同時有助於建立身分識別型規則。管理員可以根據使用者的群組成員資格 (如企業 Active Directory 中所定義),強制執行存取控制。

可以使用身分識別型防火牆規則的一些使用案例如下:

  • 使用者使用膝上型電腦或行動裝置存取虛擬應用程式,其中 AD 用於使用者驗證

  • 使用者使用 VDI 基礎結構存取虛擬應用程式,其中虛擬機器以 Microsoft Windows 為基礎

如何設定開啟DFW功能

這邊以vCloud Director 9.1為例,當我們安裝好vCloud Director 後,如果要提供某租戶的虛擬數據中心使用分布式防火牆的功能,其實非常簡單:

1. 服務提供商的系統管理者,首先登入到vCD的HTML 5頁面,點選你要啟動的租戶(T2),如下:

HTML 5 Tenant selection

2. 點選左邊Security,然後選擇虛擬數據中心(Louis-OVDC),再點”CONFIGURE SERVICES”:

Configure Services
3. 點擊”Enable Distributed Firewall”按鈕:
Enable
4. 這樣就完成了,你會看到的畫面如下:
Enable finished

租戶如何使用分布式防火牆的服務

1. 首先登入到vCD的HTML 5頁面,點選左邊Security,然後選擇虛擬數據中心(Louis-OVDC),再點”CONFIGURE SERVICES”:

T2 Configure

2.  租戶管理者可以看到如上第4步驟一樣的畫面,如此就可以開始新增規則了:

select object

3. 管理員可以很靈活的新增一些自定義的群組,例如服務群組、安全群組等等,還有安全標籤,功能非常完整:

Service Group

如果想要進一步了解如何設置DFW規則,可以看這裡

如何設定關閉DFW功能

如果我們不想要讓租戶再使用DFW功能,那應該怎麼做呢? (客戶應該不會不想用吧…:-))

  1. 首先要把租戶已經新增的所有DFW規則清空,再查看一下該虛擬數據中心的UUID:

check UUID

2. 然後使用vCenter Web Client,到NSX的Firewall頁籤中,把相對應的防火牆規則刪掉就可以可回到啟動之前的狀態了:

disable

以上關於vCloud Director 9.X DFW的簡短說明,希望對大家有一些幫助! 謝謝!