首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

NSX 从入门到精通(7)

NSX从入门到精通(6):NSX 微分段架构、组件及实践 Part1

”一文中提到,NSX 使用基于对象的安全规则使得防火墙策略更加容易辨识。但对象始终是静态的东西,对于动态的业务来说,两者之间不一定有恒定的关联关系。因此 NSX 提出了安全组这一概念,可以简单理解为:安全组=业务组,或安全组=一组需要执行相同安全策略的虚拟机。

从安全策略制定上来说,会变为下图这样,安全组在中间,之上对应的是业务组,之后关联的是安全规则。

图1

这样做有一定的好处,举个例子:下面的Finance部门的用户和Finance部门的服务器都属于可能会变动的,如果使用静态的安全规则,当用户和服务器有任何变动,安全规则需要手动修改。

如果有安全组作为“容器”,动态将所有Finance部门用户关联在一个组,将Finance 部门的服务器关联到另一个组,针对两个安全组去做安全规则,未来用户再怎么变,安全规则是不用变的。

图2

为了能更精确地描述出一组业务,安全组包含多种匹配规则:

图3

举个例子:

将所有与部门 Finance 相关的 CentOS 虚拟机加到一个组。

安全组配置方式:

动态包含: 虚拟机名称包含 Fin 且 计算机操作系统名称包含 CentOS

静态包含:空

静态排除:空

对应在 NSX 中配置方法:

打开NSX配置>安全性>服务编排>安全组,点击“安全组”按钮

图4

安全组名称为:Finance CentOS 虚拟机

图5

动态成员规则第一条: 匹配虚拟机名称包含Fin;

动态成员规则第二条: 匹配虚拟机操作系统名称包含 CentOS;

两条规则需要同时匹配(全部匹配)。

图6

其他选项无需配置,直接点击完成。

返回查看安全组,已经关联了所有 Finance 的 CentOS 虚拟机。

图7

创建好安全组后,可以直接返回防火墙,使用安全组去建立防火墙规则:

图8

NSX 除了可以将虚拟机加组,也可以将多条安全规则设为组,在 NSX 中,这个功能叫“ 安全策略”。

使用安全策略,有以下功能和优点:

将多条安全规则(例如防病毒规则、DFW防火墙规则、第三方防火墙规则)嵌套在一起,应用在一个组上;

将安全策略做成组后,可以反复套用给各种业务;

替代传统防火墙策略设置规则,直接将安全策略应用给业务组。

图9

个人觉得,最实用的功能是1和2,使用3来创建安全规则会增大安全策略的理解难度。

NSX 现在已经集成了 EPSec 和 NetX 两个接口,分别用来集成第三方防病毒产品和NGFW产品。而集成各种安全产品的核心就是安全组和安全策略。

以 NSX 集成无代理防病毒软件为例,在 NSX 中,操作步骤是:

设置防病毒安全组,将需要进行安全防护的虚拟机加到该组(使用上面介绍的各种动态、静态匹配规则);

图10

设置安全策略,在安全策略中配置 Guest Introspection 服务,将流量应用给第三方安全产品;

图11

将安全策略应用给安全组

图12

图13

为了让安全组与各种安全规则的关联关系更清晰,NSX 里多了个“画布 Canvas” 功能。画布可以围绕着安全组,展示与安全组相关的安全标记、虚拟机、安全策略、Guest Introspection规则、防火墙规则、NGFW 规则。

图14

在以前的文章中,介绍过 NSX 和杀毒软件联动做安全,而要实现这一功能,需要介绍 NSX 的另外一个组件:安全标记。

前两篇文章我们介绍了 NSX 防火墙的创建及使用,而这些规则都是基于 NSX 和 vCenter 的对象。而在有些时候,安全规则不能直接附加给基于 vCenter 的安全组。比如:

安全规则和 vCenter 的目录结构不能匹配;

基于名称的安全组可能因为名称被误修改而失效(尤其是有多个 vCenter 管理员时);

第三方安全解决方案和 NSX 结合做安全联动;

第三方云管理平台和 NSX 结合去做安全。

使用安全标记后,架构会变成这样子,安全标记作为安全组的一个中间角色使用:

图15

如果要实现下图中的安全联动,则步骤为:

一旦防病毒软件查出虚拟机有病毒,为其打上 ANTI_VIRUS.VirusFound 的安全标记

基于安全标记预先配置安全组“隔离”

设置安全策略,规定虚拟机只能访问安全工具,不能访问其他任意网络

将安全组与安全策略做关联

图16

图17

小结:

以上两篇文章围绕着 NSX 防火墙的各种组件、组件之间的搭配使用、安全规则的制定、安全规则的易读性等方面内容,简单介绍了NSX分布式防火墙的应用场景。

在生产环境中,需要熟悉每个组件的功能和优势,在适宜的时候去使用。安全规则的制定没有统一的标准,但是有一个统一的目标:足够安全、管理方便。希望这两篇文章可以作为引子,帮助大家更好了解 NSX 带来的一系列变化,在不变与变化中取舍。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180807A1B8O100?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券